NAT网络部分客户端无法连接Server的解决方法

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: timestamp&recycle同时开启,引发的nat客户端访问异常的问题

客户端通过NAT连接上网,有的客户端可以访问server端,有的不可以,通过访问固定请求的URL抓包排查和解决问题。

1、http contains "/frontend" 过滤出来客户端请求的这个URL。

nat11

2、跟踪一下流(follow stream),看请求是否正常。
nat2
nat12

3、打开客户端的包,发现请求失败的是重传包,过滤一下 tcp.analysis.retransmission
nat13

可以看到有四次请求重传
思考:
A、不是云盾问题,因为云盾是基于ip的;
B、检查系统内没有云锁之类的软件,iptables也没开;
C、检查系统参数 sysctl –p (-a打印所有)看到有timestamp;

4、对比timestamp
失败的截图
nat51

成功的截图
nat52

成功的timestamp都很大,修改/etc/sysctl.conf文件里面得net.ipv4.tcp_timestamps=0即可

timestamp扩展:
同时开启timestamp(时间戳)和tw_recycle(快速回收),会导致在一个MSL时间内只响应timestamp递增的请求,对于时间戳较小的请求都抛弃了(不响应ack)。

MSL扩展: RFC793中规定MSL为2分钟,也就是说2分钟内同一个ip的请求的时间戳要求递增,不是递增的话服务器不予响应。

快速甄别:使用netstat收集被拒的报文统计
SYNs to LISTEN sockets dropped 所有在syn阶段就拒绝的包
passive connections rejected because of time stamp 因为timestamp校验被拒绝的包

 # netstat -st | egrep -i "drop|reject|overflowed|listen|filter"
    671 ICMP packets dropped because they were out-of-window
    921102 passive connections rejected because of time stamp 注意这里
    14878 packets rejects in established connections because of timestamp
    89113 times the listen queue of a socket overflowed
    3470836 SYNs to LISTEN sockets dropped
    TCPBacklogDrop: 14
    TCPDeferAcceptDrop: 4533
    IPReversePathFilter: 10387
# netstat -st | egrep -i "drop|reject|overflowed|listen|filter"
    671 ICMP packets dropped because they were out-of-window
    921103 passive connections rejected because of time stamp  注意这里,
    14878 packets rejects in established connections because of timestamp
    89113 times the listen queue of a socket overflowed
    3470837 SYNs to LISTEN sockets dropped
    TCPBacklogDrop: 14
    TCPDeferAcceptDrop: 4533
    IPReversePathFilter: 10387
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
基于阿里云,构建一个企业web应用上云经典架构,让IT从业者体验企业级架构的实战训练。
目录
相关文章
|
8天前
|
机器学习/深度学习 PyTorch 算法框架/工具
【从零开始学习深度学习】32. 卷积神经网络之稠密连接网络(DenseNet)介绍及其Pytorch实现
【从零开始学习深度学习】32. 卷积神经网络之稠密连接网络(DenseNet)介绍及其Pytorch实现
|
2天前
|
Java Linux 测试技术
Java sdk连接fabric网络的谜之报错
Java sdk连接fabric网络的谜之报错
10 0
|
11天前
|
分布式计算 NoSQL 大数据
MaxCompute产品使用合集之自定义udf连接云上vpc网络的redis获取数据的步骤是什么
MaxCompute作为一款全面的大数据处理平台,广泛应用于各类大数据分析、数据挖掘、BI及机器学习场景。掌握其核心功能、熟练操作流程、遵循最佳实践,可以帮助用户高效、安全地管理和利用海量数据。以下是一个关于MaxCompute产品使用的合集,涵盖了其核心功能、应用场景、操作流程以及最佳实践等内容。
|
12天前
|
DataWorks 安全 API
DataWorks产品使用合集之遇到无法查看到VPC网络连接,是什么原因
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
10 1
|
17天前
|
存储 网络协议 安全
编程入门(四)【计算机网络基础(由一根网线连接两个电脑开始)】
编程入门(四)【计算机网络基础(由一根网线连接两个电脑开始)】
14 1
|
1月前
|
网络协议 Linux iOS开发
|
1月前
|
设计模式 数据中心 网络架构
|
14天前
|
安全 数据安全/隐私保护 Docker
Docker 容器连接:构建安全高效的容器化网络生态
Docker 容器连接:构建安全高效的容器化网络生态
|
1月前
“无任何网络提供程序接受指定的网络路径”问题的几个解决方法
“无任何网络提供程序接受指定的网络路径”问题的几个解决方法
17 1
|
29天前
|
监控 网络架构 Windows
第六十八章 使用 Web 服务监控 IRIS - 监控网络客户端
第六十八章 使用 Web 服务监控 IRIS - 监控网络客户端
8 0

热门文章

最新文章