CVK偶现丢包或网络不通,重启后恢复
1、查看主机messages日志,故障时间点明确打印防火墙连接跟踪表nf_contrack表已打满,开始丢包
2、查看contrack表,最大条目数为262144条:cat /proc/sys/net/netfilter/nf_conntrack_max
查看当前contrack条目数为262142,条目数仍在浮动,表已打满:cat /proc/sys/net/netfilter/nf_conntrack_count
3、netstat -antp |wc -l查看网络连接总数并不高:
4、ps -ef |grep sec发现故障主机上存在安全相关进程,正常主机上不存在,最终确认安装了不兼容的杀毒软件
防火墙连接跟踪表溢出是指防火墙在维护网络连接状态时,连接跟踪表(conntrack表)达到容量上限,导致无法记录新的网络连接状态。 这种情况会影响网络通信,可能导致新连接无法建立或现有连接异常中断。
防火墙条目表一般不会溢出,如出现此问题需要检查网络环境是否存在环路检测或者泛洪之类的问题,以及主机上是否安装不兼容的杀毒软件等。
临时解决办法:通过加大防火墙跟踪表的大小为50000后网络恢复(加大表条目上限,可能会导致资源占用增多,需谨慎)
echo 50000 > /proc/sys/net/netfilter/nf_conntrack_max