NAT被叫做地址转换技术,诞生于IP地址匮乏的年代,传统IPV4的公网地址已经枯竭,如果没有NAT地址转换技术,现在很多设备都是连接不上互联网的,很多人在公司上班或者在家里上网,电脑都会分配到一个192.168.1.100的私网地址,这种地址只适用于在局域网内通信,是出不了外网的,正是因为NAT技术的出现才使得内网地址能很方便的访问互联网。
和一些做NAT的老师接触,谈起NAT的问题,大多数都是自己用Linux使用iptables来搞定的,在具体谈到地址池的时候,发现很多老师都习惯将1个C网络NAT到一个单独的IP地址上,如果有N个C类地址,那就需要写N条iptables规则,当然这样做的好处是用户的源地址永远不会变,便于事件的追查等,当问到为什么非要把1个C映射到一个IP地址上时,大家的回答都是:怕一个地址的端口数量不够,导致连接数不够。
想想也是,TCP/IP的端口数是16位的,最大也就支持65535个端口,难道单个IP地址做NAT的最大连接数就是65535?
我们知道,Linux做NAT的时候,将NAT前后的IP地址及端口都记录在/proc/net/ip_conntrack里,通过查找这个文件,可以推断出某个报文NAT前后的IP地址及端口,也就是所谓的一个连接。
NAT支持最大连接数主要看可以产生多少个不重复的5元组。
因此单个IP地址做NAT支持的最大连接数是多少呢?
协议× 源地址×源端口×目的地址×目的端口 = 2 * 1 * 2^16 * 2^32 * 2^16 = 3.68934881e+019 个连接(理想状态)
最差的情况,所有的用户都访问同一个IP地址的同一协议的同一端口,则:
协议×源地址×源端口×目的地址×目的端口 = 1 * 1 * 2^16 * 1 * 1 = 65536个连接(最糟糕情况)。
是也不是
不是的原因:
不管作为客户端还是服务端,一条连接是五元组信息(clientIP,client_port,server_IP,server_port,protocol),在一台主机上,那么要么是clientIP或者server_IP固定(更别提主机多IP的情况了),其他信息变化,那么连接就远不止65535了,实际场景比如服务器接同时处理多个客户端的连接,或者客户端同时访问多个服务器。
是的原因:
系统资源有限,连接通常会关联fd来操作,系统通常会有限制
cat /proc/sys/fs/file-max
2.2 常见TCP连接限制
2.2.1 修改用户进程可打开文件数限制
在Linux平台上,无论编写客户端程序还是服务端程序,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。可使用ulimit命令查看系统允许当前用户进程打开的文件数限制,windows上是256,linux是1024,这个博客的服务器是65535
2.2.2 修改网络内核对TCP连接的有关限制
在Linux上编写支持高并发TCP连接的客户端通讯处理程序时,有时会发现尽管已经解除了系统对用户同时打开文件数的限制,但仍会出现并发TCP连接数增加到一定数量时,再也无法成功建立新的TCP连接的现象。出现这种现在的原因有多种。
第一种原因可能是因为Linux网络内核对本地端口号范围有限制。此时,进一步分析为什么无法建立TCP连接,会发现问题出在connect()调用返回失败,查看系统错误提示消息是“Can’t assign requestedaddress”。同时,如果在此时用tcpdump工具监视网络,会发现根本没有TCP连接时客户端发SYN包的网络流量。这些情况说明问题在于本地Linux系统内核中有限制。
其实,问题的根本原因在于Linux内核的TCP/IP协议实现模块对系统中所有的客户端TCP连接对应的本地端口号的范围进行了限制(例如,内核限制本地端口号的范围为1024~32768之间)。当系统中某一时刻同时存在太多的TCP客户端连接时,由于每个TCP客户端连接都要占用一个唯一的本地端口号(此端口号在系统的本地端口号范围限制中),如果现有的TCP客户端连接已将所有的本地端口号占满,则此时就无法为新的TCP客户端连接分配一个本地端口号了,因此系统会在这种情况下在connect()调用中返回失败,并将错误提示消息设为“Can’t assignrequested address”。
扫一扫
1443
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
