CentOS dropped怎么优

CentOS系统“dropped”问题优化指南
“dropped”通常指网络数据包丢失或连接中断，常见原因包括网络配置错误、系统资源不足、硬件故障或安全策略限制。以下是针对性的优化措施：

一、网络配置优化

1. 调整TCP缓冲区与超时参数
   编辑/etc/sysctl.conf，增加TCP缓冲区大小以提升高并发下的数据处理能力，缩短连接超时以释放闲置资源：

   net.core.rmem_max = 16777216  
   net.core.wmem_max = 16777216  
   net.ipv4.tcp_rmem = 4096 87380 16777216  
   net.ipv4.tcp_wmem = 4096 65536 16777216  
   net.ipv4.tcp_fin_timeout = 30  # TCP连接关闭等待时间（秒）  
   net.ipv4.tcp_keepalive_time = 120  # TCP保活探测间隔（秒）  
   net.ipv4.tcp_syncookies = 1  # 防止SYN Flood攻击  
   

   执行sysctl -p使配置生效。

2. 检查并修正MTU值
   MTU（最大传输单元）配置不一致会导致数据包分片或丢弃。使用ifconfig或ethtool查看网卡MTU（如eth0），确保链路上所有设备（路由器、交换机、服务器）的MTU值一致（通常为1500）：

   ethtool -g eth0  # 查看当前MTU  
   ethtool -G eth0 mtu 1500  # 修改MTU（需管理员权限）
   

   若存在Jumbo Frame需求，需确保全链路设备支持。

3. 优化连接跟踪表大小
   当ip_conntrack表（跟踪网络连接状态）满时，新连接会被丢弃。编辑/etc/sysctl.conf，增大表容量：

   net.ipv4.ip_conntrack_max = 655360  # 根据服务器内存调整（每条连接约占用300字节）  
   net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 3600  # 已建立连接的超时时间（秒）
   

   执行sysctl -p生效。

二、系统资源管理

1. 监控与调整文件描述符限制
   文件描述符不足会导致无法处理大量并发连接。编辑/etc/security/limits.conf，增加用户级限制：

   * soft nofile 65536  
   * hard nofile 65536  
   

   同时修改/etc/pam.d/login，添加session required pam_limits.so以使限制生效。使用ulimit -n验证当前限制。

2. 监控系统资源占用
   使用top（按M按内存排序、P按CPU排序）、htop（更直观的资源监控）、vmstat 1（查看内存、CPU、I/O状态）、iostat -x 1（查看磁盘I/O瓶颈）等工具，定期检查资源使用情况，及时扩容或优化高负载进程。

三、硬件与驱动维护

1. 检查网卡状态与驱动
   使用ethtool eth0查看网卡错误计数（rx_errors、overruns、frame），若存在非零值，说明网卡或驱动存在问题：

   ethtool -S eth0 | grep -E "rx_errors|overruns|frame"  # 查看错误计数
   

   若错误计数持续增长，尝试更新网卡驱动（通过厂商官网下载对应型号驱动）或更换硬件。

2. 升级硬件资源
   若系统频繁因内存不足（free -h显示可用内存低）、CPU过载（top显示CPU使用率持续>80%）导致dropped，考虑升级物理内存（DDR4/DDR5）、更换更高性能CPU（如Intel Xeon或AMD EPYC），或升级网络设备（如万兆网卡、支持更高吞吐量的交换机）。

四、安全策略优化

1. 配置防火墙过滤恶意流量
   使用iptables或firewalld限制不必要的端口访问，仅开放业务必需的端口（如SSH的22、HTTP的80、HTTPS的443）。例如，使用iptables封禁频繁扫描的IP：

   iptables -A INPUT -s 192.168.1.100 -j DROP  # 封禁指定IP
   iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT  # 限制SSH连接频率
   service iptables save  # 保存规则（CentOS 7及以上使用firewalld）
   

   避免开放所有端口（如iptables -P INPUT ACCEPT）。

2. 合理配置SELinux
   若SELinux处于Enforcing模式，可能因权限问题导致dropped。可通过/var/log/audit/audit.log查看SELinux拒绝日志，使用audit2allow生成允许规则（谨慎使用），或临时将SELinux设为Permissive模式（不拒绝但记录）：

   setenforce 0  # 临时切换为Permissive
   sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config  # 永久修改
   

   生产环境建议保持Enforcing模式，仅针对特定服务调整策略。

五、监控与故障排查

1. 使用dropwatch监控内核级丢包
   dropwatch是一款实时监控内核网络丢弃事件的工具，可定位丢包根源（如网络栈、驱动问题）。安装并使用：

   yum install dropwatch -y  # CentOS 7及以上
   dropwatch -l kas  # 开始监控（显示内核堆栈信息）
   

   根据输出结果针对性解决（如优化网络栈参数、更新驱动）。

2. 分析系统日志
   定期检查/var/log/messages（系统日志）、/var/log/secure（安全日志）、journalctl -xe（systemd日志），查找“dropped”相关关键词（如“packet dropped”、“connection reset by peer”），结合时间戳定位问题发生时段，进一步分析原因。

通过以上步骤，可系统性减少CentOS系统中的“dropped”问题。优化过程中需逐步实施，每次修改后监控系统性能（如sar -n DEV 1查看网络流量、vmstat 1查看系统负载），确保改动有效且未引入新问题。