zabbix-agent TIME_WAIT 过多（转）

civilvar

一、系统环境
　　操作系统： Centos 6.4 64bit
　　
zabbix-agent 版本： Zabbix agent v2.2.7 (revision 50148) (24 October 2014)

二、出现的问题
　　zabbix-agent机器上，发现TIME_WAIT过多
　　

　　


三、为什么会出现这么多TIME_WAIT
　　下表说明了zabbix是如何通信的， 它会教给你基本的tcp协议的知识。如果你看不懂这个表的内容，我建议你可以读下<TCP/IP 详解1>！
　　
表格中的state是TCP连接在agent和server不同阶段时的状态。我们假设每个阶段，agent和server都会得到正确的状态！
　　
如果你用tcpdump捕获通信数据，你可以转储到文件，下载桌面，然后通过Wireshark 来查看！
　　passive agent通信的过程如下：

NumberConnection state agent Connection state serverDirectionTCP flagsPurpose of TCP segment    1
LISTEN
SYN_SENT
Agent<-Server
SYN
初始化TCP连接，第一次tcp握手    2
SYN_RECVD
SYN_SENT
Agent->Server
SYN, ACK
接受连接    3
SYN_RECVD
ESTABLISHED
Agent<-Server
ACK
连接已经建立    4
ESTABLISHED
ESTABLISHED
Agent<-Server
PSH, ACK
zabbix server发送item key 给agent     5
ESTABLISHED
ESTABLISHED
Agent->Server
ACK
Agent 确认收到    6
ESTABLISHED
ESTABLISHED
Agent->Server
PSH, ACK
agent发送对应item key的数据    7
FIN_WAIT_1
ESTABLISHED
Agent->Server
FIN, PSH, ACK
当没有其它数据要发送的时候， agent 关闭连接8
FIN_WAIT_1
CLOSE_WAIT
Agent<-Server
ACK
9
FIN_WAIT_2
LAST_ACK
Agent<-Server
FIN, ACK
10
TIME_WAIT
LAST_ACK
Agent->Server
ACK
连接已经完全关闭    11
CLOSED
CLOSED
-
-
最终，两边的状态都为CLOSED   

• 1: tcp连接是通过socket通信的，每个socket都是为唯一的，address:port--address:port
  
• 2: 第二行的SYN/ACK如果没有发送，那么第一步的SYN会重新发送。在缺省的timeout设置中，如果丢了这个SYN/ACK过程，连接将会被重置(RST),并且这个获取数据的过程将会失败！
  
• 3: 当前的连接是全双工的工作模式
  
• 4: PUSH标志表明当前正在传送数据！
  
• 7: 没有其它事要做，关闭连接。在接下来的关闭过程中，agent会保留TIME_WAIT状态！请去看下TCP连接的3次握手，和TCP关闭的4次挥手过程。 这里并不是正确的连接关闭过程。
  
• 8: 带有FIN标志的数据报会被立刻确认，然后zabbix server 立刻知道这个连接已经关闭。
  
• 9: zabbix server确认连接关闭的时候，它也会立刻发送一个带FIN的数据包
  
• 10: 立刻确认第九步的FIN，到此为止，这个连接就关闭了！
  
• 11：passive zabbix agent的连接过程，并没有第十一步的数据报！当第十步中，server端确认连接关闭，并转变状态为closed之后， agent会把TIME_WAIT挂起两分钟。 这意味着这个连接在两分钟内是不可重用的。
  

　　注意：
　　
使用TCP协议，是为了在不可靠的网络环境中创建可靠的连接！
　　
zabbix并不支持UDP和长连接的方式(persistent connection)

四、解决方式
　　设置TIME_WAIT的重用
　　linux服务器，配置内核参数中的 net.ipv4.tcp_tw_recycle
　　

/etc/sysctl.conf 添加下面的3行，然后执行sysctl -p　　
[iyunv@ns_xxx.xx..161.182 ~]$ tail -4 /etc/sysctl.conf
　　
# tcp连接保持时间为1800秒
　　
net.ipv4.tcp_keepalive_time = 1800
　　
# 回收TIME_WAIT占用的连接
　　
net.ipv4.tcp_tw_recycle = 1
　　
[iyunv@ns_xxx.xx..161.182 ~]$ sysctl -p
　　
net.ipv4.ip_forward = 0
　　
net.ipv4.conf.default.rp_filter = 1
　　
net.ipv4.conf.default.accept_source_route = 0
　　
kernel.sysrq = 0
　　
kernel.core_uses_pid = 1
　　
net.ipv4.tcp_syncookies = 1
　　
kernel.msgmnb = 65536
　　
kernel.msgmax = 65536
　　
kernel.shmmax = 17179869184
　　
kernel.shmall = 4194304
　　
kernel.shmmni = 4096
　　
fs.file-max = 655350
　　
kernel.sem = 250 32000 128 1024
　　
net.ipv4.tcp_keepalive_time = 1800
　　
net.ipv4.tcp_tw_recycle = 1
　　
[iyunv@ns_xxx.xx..161.182 ~]$ netstat  -an |grep -i time|grep 10050|grep -v 5432|wc -l
　　
0
　　
# 现在TIME_WAIT为0个，原先有89个
　　

　　注意：
　　
关于tcp_tw_recycle:
　　
如果是tcp_tw_recycle被打开了话，会假设对端开启了tcp_timestamps，然后会去比较时间戳，如果时间戳变大了，就可以重用。但是，如果对端是一个NAT网络的话（如：一个公司只用一个IP出公网）或是对端的IP被另一台重用了，这个事就复杂了。建链接的SYN可能就被直接丢掉了（你可能会看到connectiontime out的错误