sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle : No such file or director

admin

sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle : No such file or directory
  V% ?1 T- Z1 e9 `0 ^/ [: e
2 b9 Y9 B+ D6 ?; e3 g
9 [) h( y9 D- m最近发现一个奇怪的问题，一台服务器上部署的网站，用外网访问是正常的，但是使用公司内网访问就访问不上，不仅网站访问不上，连服务器有时候都连接不上。
原因是在内核优化时启用了net.ipv4.tcp_tw_recycle参数
这个参数是默认关闭的，之所以打开是由于这个参数开启后，可以使TCP连接中TIME-WAIT sockets的快速回收，但是在NAT网络下，导致大量的TCP连接建立错误、
所以在公司内部有时候能访问，有时候访问不上
$ i' b1 N! o5 H! s9 a8 [5 o1.先确定参数
' y% E) V9 ]7 V' j+ s依次执行如下命令，查看当前内核配置，确认该参数值为“1”。
* N4 M  ^( g7 _/ `" {: s' T
cat /proc/sys/net/ipv4/tcp_tw_recycle
cat /proc/sys/net/ipv4/tcp_timestamps

2.在/etc/sysctl.conf配置文件添加如下内容。

% Z6 Y2 X: u# J2 \net.ipv4.tcp_tw_recycle=0
net.ipv4.tcp_timestamps=0
5 K" A  R& w* ^% z: t
( c9 T1 U2 D2 C! t# d6 F6 I7 |+ R3.执行如下命令，使配置生效。

sysctl -p
% c* [3 I2 l/ y* ~" F
修改完成后，在公司中访问就正常了
记录下，对于网上提供的调优参数还是要多注意
& n: X: K( T5 v3 ^. Z

admin

同事反馈从公司连接线上一台服务器有时候会失败，经过抓包发现，TCP握手过程失败。查了相关资料，发现是跟net.ipv4.tcp_tw_recycle和net.ipv4.tcp_timestamps两个参数有关，将net.ipv4.tcp_tw_recycle改为0，问题解决。
9 I# ^6 r8 P5 x
8 W: q0 }$ k1 z! Z: E1 e排查过程
在PC上通过wireshark抓包发现，失败的时候，TCP syn包是一直在重传的。在server端通过tcpdump抓包发现，PC侧发的syn包是已经到达，所以基本排除网络问题。tcpdump抓包中确实看不到server端响应的syn-ack，所以基本判定问题出在server段，接下来就是分析为啥server端不响应。
当net.ipv4.tcp_tw_recycle = 1和net.ipv4.tcp_timestamps = 1同时间开启，当多个PC经过NAT设备访问同一server的时候，受TCP PAWS(Protect Against Wrapped Sequence Numbers)影响，后发起连接的PC可能因为tcp options中的timestamp比前面PC的timestamp小，而导致syn不被响应。
linux服务器上可以通过netstat -s查看是否存在该问题。如果多次执行下面的命令，发现数字再增加，说明存在该问题，而且现在还在发生。

[root@anonymous ~]# netstat -s | grep "connections rejected because of time stamp"26 passive connections rejected because of time stamp
[root@anonymous ~]#
关于PAWS的检查机制，是对于处于TIME_WAIT状态的tcp连接的对端IP，为了防止来自同一IP的延迟数据的干扰，需要在60秒(#define TCP_PAWS_MSL 60)内新来的syn报文TCP options中的timestamp是递增的。详细解释可以参考RFC1323。

( a0 ?2 ^) V7 V; e, X: e$ T1 ?注意
* I% x+ W6 A% v; S1 z排查过程中发现，windows系统和linux系统TCP syn options中timestamp是单调递增的，所以刚才描述的问题通常在多个PC经过NAT访问同一server的时候才容易复现。而测试中发现Mac系统本身syn报文options中的timestamp波动比较大，所以此问题很容易用Mac复现，只需要对着开启recycle和tcp_timestamps的server连续发起几次请求就可以。
Mac上的timestamp变化

  c7 `3 H* z8 I, ^5 h总结
该问题将net.ipv4.tcp_tw_recycle或net.ipv4.tcp_timestamps改为0都可以解决，不建议将net.ipv4.tcp_timestamps改为0，因为它对精准计算RTT(Round-Trip Time))有用。此外，tcp_tw_recycle从4.12版本内核开始被移除了。我找了一个5.14版本的测试了下，确实不支持该配置了。

[root@test ~]# sysctl -p
! x; v( t8 C1 r! F) d5 fsysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle: No such file or directory
! Z8 W% C& J8 i  J5 b1 Q, l[root@test ~]#