Linu系統(tǒng)調(diào)優(yōu)手冊

/操作系統(tǒng)調(diào)優(yōu)手冊2008-10-29\o"1-3"\h\z\u有9個參數(shù)，但是建議您只改變其中的3個：

1,為排隊(duì)寫入磁盤前，允許的緩沖區(qū)最大百分比

2,為即刻寫的最大緩沖區(qū)的值。如果這個值很大，需要更多的時間完成磁盤的數(shù)據(jù)更新。3-6無意義7,發(fā)生同步前，緩沖區(qū)變的最大百分比。

配置，指定的內(nèi)存交換頁數(shù)量"10243264"

–相當(dāng)于內(nèi)核每次所交換的“頁”的數(shù)量的四倍。對于有很多交換信息的系統(tǒng)，增加這個值可以改進(jìn)性能。

–是每次出去的的最小數(shù)量。

–是即刻寫如的數(shù)量。數(shù)值小，會提高磁盤的性能；數(shù)值大可能也會對請求隊(duì)列產(chǎn)生負(fù)面影響。如果要對這些參數(shù)進(jìn)行改動，可以使用工具檢查對性能的影響。其它可以改進(jìn)性能的虛擬內(nèi)存參數(shù)為：

_

_

_

_

_

_文件系統(tǒng)的調(diào)優(yōu)總體而言，所有數(shù)據(jù)都要從磁盤獲取并都要保存到磁盤。磁盤訪問速度通常以毫秒來計(jì)算，比其它組件要慢上千倍（如內(nèi)存、操作是以納秒或者微秒來計(jì)算的）。文件系統(tǒng)定義了數(shù)據(jù)存儲和訪問的方式。

可用的文件系統(tǒng)有多種，它們的性能和可擴(kuò)展性各不相同。除了保存和管理磁盤數(shù)據(jù)，文件系統(tǒng)還負(fù)責(zé)保證數(shù)據(jù)的完整性。新版的缺省安裝已經(jīng)包括日志文件系統(tǒng)（），日志文件系統(tǒng)可防止系統(tǒng)崩潰時導(dǎo)致的數(shù)據(jù)不一致問題。對文件系統(tǒng)元數(shù)據(jù)（）的更改都被保存在一份單獨(dú)的日志里，當(dāng)發(fā)生系統(tǒng)崩潰時可以根據(jù)日志正確地恢復(fù)數(shù)據(jù)。除此之外，日志使系統(tǒng)重新啟動時不必進(jìn)行文件系統(tǒng)的檢查，從而縮短了恢復(fù)時間。

同其他方面的計(jì)算一樣，性能和完整性是相互平衡的。然而，因服務(wù)器多用于企業(yè)環(huán)境及數(shù)據(jù)中心，因此要求具備更高的可用性。安裝前，硬件方面的考慮當(dāng)前的發(fā)行版本對、硬盤和內(nèi)存方面均有明確的安裝要求。然而，對于如何設(shè)置磁盤子系統(tǒng)的說明遠(yuǎn)遠(yuǎn)不夠。由于服務(wù)器被廣泛的應(yīng)用于各種環(huán)境，數(shù)據(jù)中心的服務(wù)器整合，我們首先要回答的問題就是：“該服務(wù)器的功能是什么,業(yè)務(wù)特點(diǎn)是什么？”

磁盤子系統(tǒng)可能是整個服務(wù)器系統(tǒng)性能的主要方面。了解服務(wù)器的功能是判斷子系統(tǒng)對性能產(chǎn)生多大影響的關(guān)鍵幾種服務(wù)器的磁盤性能是非常重要的：文件和打印服務(wù)器要求在用戶和磁盤子系統(tǒng)之間快速地移動數(shù)據(jù)。因文件服務(wù)器的功能是向客戶端發(fā)送數(shù)據(jù)，所以要快速讀取所有的數(shù)據(jù)。數(shù)據(jù)庫服務(wù)器的最終目標(biāo)是從磁盤上的數(shù)據(jù)倉庫里查找和獲取數(shù)據(jù)。即便有足夠的內(nèi)存，多數(shù)數(shù)據(jù)庫服務(wù)器依然需要大量的磁盤將數(shù)據(jù)讀入內(nèi)存和更新磁盤數(shù)據(jù)。一臺設(shè)備多個短信彩信群發(fā)應(yīng)用的服務(wù)器。因?yàn)橐罅康纳刹市盼募總€彩信有幾個小文件組成，發(fā)送成功后有大量的日志要寫。幾種服務(wù)器的磁盤性能不是最重要的：郵件服務(wù)器用于電子郵件的存儲和轉(zhuǎn)發(fā)，通常產(chǎn)生較大的通信量。對這類服務(wù)器來講，網(wǎng)絡(luò)性能更為重要。服務(wù)器用于發(fā)布靜態(tài)和動態(tài)的頁面，網(wǎng)絡(luò)和內(nèi)存子系統(tǒng)的性能非常重要。磁盤技術(shù)的選擇除了理解服務(wù)器功能，還要了解磁盤容量的部署。下面是當(dāng)前幾種可選的磁盤技術(shù)及其容量、特點(diǎn)：技術(shù)花費(fèi)功能容量及其限制最低直連、本地存儲

低端服務(wù)器，如x305每控制器最多2塊盤低直連、本地存儲

中、高端服務(wù)器，

如x346、x365已經(jīng)使用了10年的標(biāo)準(zhǔn)；

對數(shù)據(jù)線長度、傳輸帶寬和磁盤數(shù)量均有限制

單個通道的并發(fā)訪問的數(shù)量也有所限制，限制了群集功能低中端數(shù)據(jù)存儲應(yīng)用點(diǎn)對點(diǎn)協(xié)議，每個驅(qū)動器都有一個獨(dú)立的通道，增強(qiáng)擴(kuò)展能力；

連續(xù)的磁盤訪問性能可及相比；

支持較低中端數(shù)據(jù)存儲，

如文件服務(wù)器定位于中端存儲和遠(yuǎn)程啟動；

節(jié)省基礎(chǔ)架構(gòu)的開銷

提供了的靈活性和可靠性；

的高延遲影響性能；高高端的企業(yè)存儲，

如數(shù)據(jù)庫服務(wù)器低延遲、高吞吐量，長傳輸距離可達(dá)10公里2傳輸速率；路徑冗余功能提高可靠性；一個光纖環(huán)路支持127個設(shè)備，共享帶寬，實(shí)現(xiàn)大規(guī)模群集磁盤的數(shù)量磁盤的數(shù)量多少會影響到系統(tǒng)性能。對磁盤容量的需求通常是考慮磁盤數(shù)量的唯一因素，而忽視了吞吐量的因素。好的性能是依賴于提供讀寫的磁頭數(shù)量?？赏ㄟ^技術(shù)來實(shí)現(xiàn)，包括軟和硬件。許多型號的服務(wù)器提供了硬件支持，還提供了軟功能。軟是通過設(shè)備驅(qū)動實(shí)現(xiàn)的，支持或硬盤。支持的級別為0,1,和5，可以在初始安裝配置或者用工具配置。提示：通常增加硬盤數(shù)量是提高磁盤性能的一個最有效方法。

文件系統(tǒng)的選擇從7.2開始，缺省文件系統(tǒng)為3。相對于2，增加了日志。其主要特點(diǎn)為：（可用性）：3提供數(shù)據(jù)的寫一致功能。即意外宕機(jī)情況下，不需要檢查數(shù)據(jù)的一致性，使系統(tǒng)恢復(fù)時間從幾小時縮短為幾秒鐘。（數(shù)據(jù)完整性）：通過命令定義日志方式：，所有的數(shù)據(jù)，包括文件數(shù)據(jù)和元數(shù)據(jù)，都被定義為日志型。（速度）：通過定義日志方式：,可以選擇獲得數(shù)據(jù)完整性還是寫速度的優(yōu)勢來滿足不同的業(yè)務(wù)需求。（靈活性）：從2升級到3非常簡單，且不需要重新格式化硬盤。使用命令2并編輯文件，便可完成升級。注意，3可被為不帶日志屬性的2文件系統(tǒng)。另外，許多第三方廠家兼容3，如。

通過對文件系統(tǒng)調(diào)優(yōu)缺省文件系統(tǒng)的設(shè)置或許適合大多數(shù)應(yīng)用環(huán)境。盡管如此，可以通過幾個提高磁盤性能的方法：訪問時間更新文件系統(tǒng)當(dāng)文件被訪問，創(chuàng)建，更新的時候會保留紀(jì)錄。默認(rèn)的，當(dāng)文件讀寫操作的時候，系統(tǒng)會更新屬性。因?yàn)閷懖僮魇潜容^耗費(fèi)資源的操作，減少不必要的可以整體上提高磁盤性能。

在掛接文件系統(tǒng)的時候，加入?yún)?shù)可以禁止節(jié)點(diǎn)訪問時間的修改。如果文件更新時間對于特定的應(yīng)用不是很重要的話，比如服務(wù)，就可以把參數(shù)加入文件中

比如：

1312推薦利用單獨(dú)的分區(qū)作為掛接點(diǎn)并打開開關(guān)調(diào)整階梯算法磁盤階梯算法產(chǎn)生于V2.4它是通過控制請求獲得服務(wù)前在隊(duì)列中等待時間，來調(diào)整塊的運(yùn)算法則。

這是由調(diào)整階梯算法的讀寫值實(shí)現(xiàn)的。通過增加延遲（更大的讀、寫值），請求在隊(duì)列中等待更長時間，給更好地完成操作，改進(jìn)性能。

對應(yīng)用于大量磁盤的服務(wù)器，要在吞吐量和延遲方面找到一個合理的平衡點(diǎn)。文件系統(tǒng)使用塊設(shè)備，因此改進(jìn)塊讀寫的頻率可以改進(jìn)文件系統(tǒng)的性能。一個準(zhǔn)則是，小緩存、平橫的長延遲讀寫有利于大量磁盤的服務(wù)器。階梯算法的調(diào)整是一個交互的過程，首先要獲得基準(zhǔn)性能曲線，然后改動設(shè)置，觀察效果。用命令顯示當(dāng)前設(shè)置以及如何改動讀寫隊(duì)列的數(shù)值。

提示：建議將讀延遲（）調(diào)整為寫延遲()的一半。

做過改動之后，確保被加到中，使設(shè)置在系統(tǒng)重新啟動后生效。2.6核心的指出命令已經(jīng)作廢，取而代之的是調(diào)整結(jié)構(gòu)選擇3文件系統(tǒng)的日志模式3文件系統(tǒng)可選三種日志模式,使用命令來完成:

_

文件數(shù)據(jù)和元數(shù)據(jù)均設(shè)置為日志方式,性能開銷比較大

_(缺省設(shè)置)

順序?qū)懭?，先寫文件?shù)據(jù)，再寫元數(shù)據(jù)

_

提供最快的訪問速度,但是犧牲了數(shù)據(jù)的一致性。元數(shù)據(jù)仍然被記錄到日志，從而確保元數(shù)據(jù)的完整。文件數(shù)據(jù)會在系統(tǒng)崩潰之后恢復(fù)到原先的狀態(tài)。

三種方法改變?nèi)罩灸Ｊ剑菏褂妹睿?/p>

1這里1是掛載的文件系統(tǒng)

在文件的選項(xiàng)中：

1300

更改分區(qū)的，更改上述文件，執(zhí)行命令來掃描文件并創(chuàng)建新的印象文件。升級或指向新的印象文件。調(diào)整并設(shè)定通過調(diào)整虛擬內(nèi)存子系統(tǒng)也可以改進(jìn)文件系統(tǒng)性能。內(nèi)核進(jìn)程保證(任何當(dāng)前被修改的只存在于易失性內(nèi)存的數(shù)據(jù))及磁盤一致。修改變量，來改變寫入磁盤速率，避免磁盤競爭問題。對下的任何修改即刻生效，但是重新啟動后會恢復(fù)到原來狀態(tài)。在文件中加入命令使所做的修改永久生效。對于2.4，在包括九個變量：：在中的最大百分比。值越大，寫入磁盤的延遲越長。當(dāng)內(nèi)存不足時，大量的操作被處理。為使磁盤操作均勻分布，保持較低的值。：可以一次寫入磁盤的最大值。該值過大會導(dǎo)致大量請求，過小會在執(zhí)行不夠頻繁的時候?qū)е聝?nèi)存不足。下面是更改變量的示例:

磁盤的標(biāo)簽命令隊(duì)列()，產(chǎn)生于2標(biāo)準(zhǔn)，是一種將到達(dá)驅(qū)動器的指令序列進(jìn)行打標(biāo)簽和重新排序的方法。對于繁重、隨機(jī)訪問的負(fù)荷，這種方法通過對請求的重排序，使驅(qū)動器磁頭位置最優(yōu)化，改進(jìn)性能。

一些服務(wù)器集成了7控制器。執(zhí)行命令：70來檢查當(dāng)前的設(shè)置，不必重新編譯內(nèi)核?？梢栽谥刑砑尤缦聝尚袃?nèi)容，指定參數(shù)7

文件系統(tǒng)塊大小數(shù)據(jù)塊大小是對磁盤讀寫的最小單位，直接影響服務(wù)器性能。如果服務(wù)器處理的多為小文件，那么較小的數(shù)據(jù)塊尺寸會更有效。反之，如果服務(wù)器處理的多為大文件，大的數(shù)據(jù)尺寸塊會提高系統(tǒng)性能。如果要改變數(shù)據(jù)塊的大小必須重新格式化磁盤。做了的磁盤，就是數(shù)據(jù)塊的容量（光纖盤采用）。根據(jù)應(yīng)用的不同合理選擇正確的塊大小，通常的原則是順序讀寫應(yīng)用宜使用大的塊容量，象數(shù)據(jù)庫這樣的隨機(jī)讀寫操作使用等同于記錄大小的塊容量更合適。不同系統(tǒng)版本，可選的塊大小不同：分區(qū)設(shè)置的原則缺省安裝創(chuàng)建三個分區(qū)：

_一個分區(qū)(自動設(shè)定為2倍內(nèi)存大小但不超過2)

_一個小的分區(qū)(例如100)

_其它空間給根分區(qū)/

關(guān)于磁盤分區(qū)的優(yōu)化存在許多的爭論。如果只有一個根分區(qū)的話，對于將來要增加新分區(qū)時會比較麻煩。而分區(qū)太多對文件系統(tǒng)的管理又會變的復(fù)雜。安裝過程中，允許創(chuàng)建多個分區(qū)。

創(chuàng)建多個磁盤分區(qū)的好處：件系統(tǒng)出色的顆粒度屬性使安全性得到改進(jìn)。例如，允許所有用戶和進(jìn)程容易地訪問和分區(qū)，并防止惡意訪問。通過將這些分區(qū)分布到不同的磁盤，可在不影響系統(tǒng)正常運(yùn)行的情況下對一些分區(qū)進(jìn)行重建和恢復(fù)。某塊磁盤故障導(dǎo)致的數(shù)據(jù)丟失不影響其他磁盤的數(shù)據(jù)，改進(jìn)數(shù)據(jù)完整性。全新的安裝或升級不影響其它分區(qū)。更有效的備份過程設(shè)計(jì)分區(qū)時要考慮到備份工具，要了解備份工具是以分區(qū)為邊界或是以更細(xì)顆粒度級別，如文件系統(tǒng)為邊界。下表列出了要考慮及根分區(qū)分開的五個分區(qū)，這些分區(qū)的劃分可以改進(jìn)性能和靈活性。

交換分區(qū)當(dāng)物理內(nèi)存被全部占用，而系統(tǒng)又需要更多的內(nèi)存時，交換設(shè)備發(fā)揮作用。這時，系統(tǒng)會將內(nèi)存中很少使用的數(shù)據(jù)交換到磁盤的交換分區(qū)，釋放物理內(nèi)存。最初的交換分區(qū)在安裝系統(tǒng)的過程建立，原則上是兩倍的物理內(nèi)存大小。2.4支持每分區(qū)24的交換分區(qū)，32系統(tǒng)理論上支持最大8T分區(qū)大小。交換分區(qū)存在于獨(dú)立的磁盤。

對于安裝好的系統(tǒng)，增加內(nèi)存時，需要設(shè)置更多的交換空間。兩種方法可以實(shí)現(xiàn)：

·創(chuàng)建一個新的分區(qū)作為交換分區(qū)。如果沒有空閑空間創(chuàng)建新的分區(qū)，可以創(chuàng)建一個交換文件。

·如有選擇，最好是創(chuàng)建一個交換分區(qū)。

從磁盤到交換分區(qū)繞過了文件系統(tǒng)，所有的性能開銷都在寫文件上，因此使提高了性能。

另外一種改進(jìn)性能的方法是創(chuàng)建多個交換空間，實(shí)現(xiàn)并行讀寫磁盤。增加了交換分區(qū)或交換文件后，文件包含如下圖所示內(nèi)容通常情況下，首先使用2交換分區(qū)，然后是2，依次類推，直到獲得足夠的交換空間。也就是說，當(dāng)沒有更大空間需求的話，只有2被使用。將數(shù)據(jù)分散到更多的交換分區(qū)可以改進(jìn)性能，這是因?yàn)樗械淖x寫請求是被并行處理的。

交換分區(qū)是從最高優(yōu)先級開始使用的（32767最高，0為最低），給前三個分區(qū)賦予相同的優(yōu)先級使數(shù)據(jù)被寫到三個磁盤中；而不是寫滿一個再寫下一個。三個分區(qū)并行使用，以提高性能。當(dāng)前三個分區(qū)用滿之后，第四個分區(qū)開始啟用。也可以將所有分區(qū)設(shè)置為同一個優(yōu)先級，但是假如這里有一塊磁盤的速度比其它磁盤慢的話，性能就會下降。通常的做法是把交換分區(qū)放在最快的磁盤中。

提示：交換分區(qū)不是物理內(nèi)存的替代品，它存在于物理磁盤中，性能遠(yuǎn)遠(yuǎn)低于內(nèi)存訪問速度。系統(tǒng)調(diào)優(yōu)內(nèi)核參數(shù)——網(wǎng)絡(luò)篇調(diào)優(yōu)網(wǎng)絡(luò)需要具備的基礎(chǔ)知識對網(wǎng)絡(luò)進(jìn)行調(diào)優(yōu)的前提是，你必須了解你現(xiàn)有網(wǎng)絡(luò)的結(jié)構(gòu)，拓?fù)鋱D等，知道目前網(wǎng)絡(luò)瓶頸在那里，了解原理。內(nèi)核網(wǎng)絡(luò)上有哪些可調(diào)參數(shù)系統(tǒng)位于目錄4/下的部分內(nèi)核網(wǎng)絡(luò)參數(shù)，我們可以根據(jù)不同的需求來調(diào)整4/目錄下的內(nèi)核網(wǎng)絡(luò)參數(shù)，通過合理的配置這里內(nèi)核網(wǎng)絡(luò)參數(shù)，從而達(dá)到提高網(wǎng)絡(luò)的安全性和系統(tǒng)的穩(wěn)定性的目的。注意：1.參數(shù)值帶有速度（）的參數(shù)不能在接口上工作。2．因?yàn)閮?nèi)核是以為單位的內(nèi)部時鐘來定義速度的，通常速度為100，所以設(shè)定一個參數(shù)值為100就表示允許1個包/秒，假如為20則允許5個包/秒。3．所有內(nèi)核網(wǎng)絡(luò)參數(shù)配置文件位于4/目錄下。相關(guān)內(nèi)核配置參數(shù)概述：通常我們使用包來探測目的主機(jī)上的其它協(xié)議（如和）是否可用。比如包含“”信息的包就是最常見的包。：設(shè)置內(nèi)容為“”包的響應(yīng)速率。設(shè)置值應(yīng)為整數(shù)。應(yīng)用實(shí)例：假設(shè)有A、B兩部主機(jī)，首先我們在主機(jī)A上執(zhí)行以下語句：－A。這里的和不同，會丟掉符合條件的包如同沒有接收到該包一樣，而會在丟掉該包的同時給請求主機(jī)發(fā)回一個“”的。然后在主機(jī)B上主機(jī)A，這時候我們會發(fā)現(xiàn)“”包的響應(yīng)速度是很及時的。接著我們在主機(jī)A上執(zhí)行："1000">4也即每10秒鐘響應(yīng)一個“”的包。這時候再從主機(jī)B上主機(jī)A就會發(fā)現(xiàn)“”包的響應(yīng)速度已經(jīng)明顯變慢，我很好奇的測試了一下，發(fā)現(xiàn)剛好是每10秒響應(yīng)一次。：設(shè)置是否響應(yīng)請求廣播，設(shè)置值應(yīng)為布爾值，0表示響應(yīng)請求廣播，1表示忽略。注意：系統(tǒng)是不響應(yīng)請求廣播的。應(yīng)用實(shí)例：在我的3和4上該值缺省為0，這樣當(dāng)有個用我的服務(wù)器所在的網(wǎng)段的網(wǎng)絡(luò)地址時，所有的服務(wù)器就會響應(yīng)，從而也能讓讓該用戶得到我的服務(wù)器的地址，可以執(zhí)行："1">4來關(guān)閉該功能。從而防止風(fēng)暴，防止網(wǎng)絡(luò)阻塞。:設(shè)置系統(tǒng)響應(yīng)請求的包的響應(yīng)速度，設(shè)置值為整數(shù)。應(yīng)用實(shí)例：假設(shè)有A、B兩部主機(jī)，首先我們在主機(jī)B上主機(jī)A，可以看到響應(yīng)很正常，然后在主機(jī)A上執(zhí)行："1000">4也即每10秒鐘響應(yīng)一個請求包。然后再主機(jī)A就可以看到響應(yīng)速度已經(jīng)變成10秒一次。最好合理的調(diào)整該參數(shù)的值來防止風(fēng)暴。:設(shè)置系統(tǒng)是否忽略所有的請求，如果設(shè)置了一個非0值，系統(tǒng)將忽略所有的請求。其實(shí)這是的一種極端情況。參數(shù)值為布爾值，1表示忽略，0表示響應(yīng)。：當(dāng)系統(tǒng)接收到數(shù)據(jù)報(bào)的損壞的或頭時，就會向源發(fā)出一個包含有該錯誤信息的包。這個參數(shù)就是用來設(shè)置向源發(fā)送這種包的速度。當(dāng)然，在通常情況下或頭出錯是很少見的。參數(shù)值為整數(shù)。：數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時，其生存時間（）字段會不斷減少，當(dāng)生存時間為0時，正在處理該數(shù)據(jù)報(bào)的路由器就會丟棄該數(shù)據(jù)報(bào)，同時給源主機(jī)發(fā)送一個“”的包。該參數(shù)就是用來設(shè)置這種包的發(fā)送的速度。當(dāng)然，這通常用于充當(dāng)路由器的主機(jī)。相關(guān)內(nèi)核配置參數(shù)內(nèi)核網(wǎng)絡(luò)參數(shù)中關(guān)于的配置參數(shù)通常是用來定義或調(diào)整包的一些特定的參數(shù)，除此之外還定義了系統(tǒng)的一些網(wǎng)絡(luò)特性。設(shè)置從本機(jī)發(fā)出的包的生存時間，參數(shù)值為整數(shù)，范圍為0～128,缺省值為64。在系統(tǒng)中，包的生存時間通常為128。如果你的系統(tǒng)經(jīng)常得到“”的回應(yīng)，可以適當(dāng)增大該參數(shù)的值，但是也不能過大，因?yàn)槿绻愕穆酚傻沫h(huán)路的話，就會增加系統(tǒng)報(bào)錯的時間。該參數(shù)通常用于使用撥號連接的情況，可以使系統(tǒng)動能夠立即改變包的源地址為該地址，同時中斷原有的對話而用新地址重新發(fā)出一個請求包，開始新的對話。在使用欺騙時，該參數(shù)可以立即改變偽裝地址為新的地址。該參數(shù)的參數(shù)值可以是：1：啟用該功能2：使用冗余模式啟用該功能0：禁止該功能應(yīng)用實(shí)例：在使用配置欺騙帶動局域網(wǎng)共享一個連接上網(wǎng)時，有時會出現(xiàn)剛開時連接一個站點(diǎn)連不通，再次刷新又可以連接的情況，這時候就可以設(shè)置該參數(shù)的值為1，從而立即改變偽裝地址為新的地址，就可以解決這類問題。命令為："1">4可以通過該參數(shù)來啟用包轉(zhuǎn)發(fā)功能，從而使系統(tǒng)充當(dāng)路由器。參數(shù)值為1時啟用轉(zhuǎn)發(fā)，為0時禁止轉(zhuǎn)發(fā)。注意，我們可以在單網(wǎng)卡或雙網(wǎng)卡的主機(jī)上實(shí)現(xiàn)轉(zhuǎn)發(fā)。應(yīng)用實(shí)例：假設(shè)我們使用一部裝有雙網(wǎng)卡的主機(jī)充當(dāng)防火墻，這時候我們就必須執(zhí)行以下命令來打開轉(zhuǎn)發(fā)功能："1">4設(shè)置當(dāng)本地系統(tǒng)向外發(fā)起或連接請求時使用的端口范圍。設(shè)置值為兩個整數(shù)，缺省為“10244999”。應(yīng)用實(shí)例："14506000">4相關(guān)內(nèi)核配置參數(shù)通過配置參數(shù)可以控制會話過程中的各個方面。在一個會話過程中，在會話結(jié)束時，A首先向B發(fā)送一個包，在獲得B的確認(rèn)包后，A就進(jìn)入2狀態(tài)等待B的包然后給B發(fā)確認(rèn)包。這個參數(shù)就是用來設(shè)置A進(jìn)入2狀態(tài)等待對方包的超時時間。如果時間到了仍未收到對方的包就主動釋放該會話。參數(shù)值為整數(shù)，單位為秒，缺省為180秒。設(shè)置開始建立一個會話時，重試發(fā)送連接請求包的次數(shù)。參數(shù)值為小于255的整數(shù)，缺省值為10。假如你的連接速度很快，可以考慮降低該值來提高系統(tǒng)響應(yīng)時間，即便對連接速度很慢的用戶，缺省值的設(shè)定也足夠大了。設(shè)置會話的滑動窗口大小是否可變。參數(shù)值為布爾值，為1時表示可變，為0時表示不可變。通常使用的窗口最大可達(dá)到65535字節(jié)，對于高速網(wǎng)絡(luò)，該值可能太小，這時候如果啟用了該功能，可以使滑動窗口大小增大數(shù)個數(shù)量級，從而提高數(shù)據(jù)傳輸?shù)哪芰?。有關(guān)防止欺騙攻擊的內(nèi)核網(wǎng)絡(luò)參數(shù)假設(shè)有如下的情景：1.1.1.12.2.2.2在缺省狀態(tài)下，路由器根據(jù)包的目的地址進(jìn)行轉(zhuǎn)發(fā)，所以路由器缺省是對來自任何地方的包進(jìn)行轉(zhuǎn)發(fā)的。如上圖所示，假如路由器的2.2.2.2接口（也即廣域網(wǎng)接口）接收到一個包，該包的源地址為1.1.1.100（也即為地址），雖然這是不可能或者說是不合理的，但是由于路由器的特性，路由器還是會將這個不合法的包轉(zhuǎn)發(fā)到。從而讓黑客有了可乘之機(jī)，為其進(jìn)行欺騙攻擊打開了方便之門。幸好，我們可以通過的內(nèi)核系統(tǒng)參數(shù)“反向路徑過濾”來防止這種情況，該參數(shù)位于4下的各個子目錄中的文件。參數(shù)值為整數(shù)，可能的值有：2－進(jìn)行全