一 背景
同事说告警报文没办法接收了, 程序同时向本机发送UDP告警和另外一台机器发送UDP报文,结果显示,本机UDP是正常收到的,远程的机器收不到UDP报文的.
二 问题分析
2.1 基本分析
程序同时发送到本地应用和远程应用的,虽然是不同的IP和端口,但是是同一个逻辑,所以程序的本身的问题可能性比较小,先测试下是否为网络问题:
- 先用ping测试下,由于ping被禁止了,所以没有测试出什么来.
- 利用
nc -ul xxx在远程机器新建一个udp监听端口,应用程序所在机器,通过nc -u x.x.x.x xxx连接后,通过输入一些字符,来看看远程机器是否有屏显,结果本次测试正常,说明网络是通的. - 继续在远程的机器抓包,发现不是没有收到,而是收到的包相对来说比较小,大小为400多个字节左右,均是这种小于1千个字节的.
- 在发送告警的机器通过tcpdump抓包:
tcpdump -i eth1 udp port xxxx -A -nn发现有类似于以下内容的告警:
21:01:39.000550 IP (tos 0x0, ttl 64, id 63736, offset 0, flags [+], proto UDP (17), length 1500)
xxx.xxx.xxx.xxx.59019 > xxx.xxx.xxx.xxx.documentum: UDP, bad length 6902 > 1472
首先,我们来看下这个1472是怎么来的,在以太网环境中,以太网的帧的body大小为46字节到1500字节之间,本次是处于IPV4的环境,IP包头大小为20个字节,所以还剩下1480字节;UDP的协议的报文头长度为8个字节,所以剩下的udp的包体长度为1480-8 = 1472个字节,具体展示如下图:
格式如下:
上述告警意思是因为我们环境下网卡的MTU设置为1500个字节,如下:
[root@localhost ~]# ifconfig
em1: flags=4163 mtu 1500
因为发送的UDP报文长度大于可以传输的安全长度1472个字节,这不代表不能发送,只是因为大于了帧的最大传输长度,所以在IP层需要进行分包,一旦网络环境不好,分包产生了丢失问题,会造成IP的组包失败,从而导致UDP的报文丢失.
不过鉴于Internet上的标准MTU值为576字节,所以建议在进行Internet的UDP编程时,最好将UDP的数据长度控制在 (576-8-20)548字节以内
还可以通过netstat -su进行监控:
[root@localhost ~]# netstat -su
IcmpMsg:
InType0: 141039
InType3: 72945
InType8: 1616
InType13: 1
OutType0: 1616
OutType3: 777474
OutType8: 141039
OutType14: 1
Udp:
4039279 packets received
123325 packets to unknown port received.
67020 packet receive errors
4229636 packets sent
67020 receive buffer errors
0 send buffer errors
UdpLite:
IpExt:
InNoRoutes: 2
InMcastPkts: 26
InBcastPkts: 723113
InOctets: 27500413848629
OutOctets: 27491308862298
InMcastOctets: 832
InBcastOctets: 287040162
InNoECTPkts: 126755848707
InECT0Pkts: 16
2.2 尝试解决
既然MTU太小了,那么尝试修改下两端的MTU最大值,MTU是取整个路由的MTU最小值,我们尝试把两端的MTU增大下:
ifconfig eth1 mtu 9000 up
两端MTU增加后,仍然会报错,那么可能的原因是中间路由设备设置的MTU比较小,查看下,由于主机上没有traceroute命令来跟踪,尝试使用另外一个命令:
tracepath xxx.xxx.xx.xx.xx
类似于traceroute,可以追踪路由,结束后打印MTU值.
还可以带个端口,测试这个UDP端口.
[root@localhost ~]# tracepath 1xx.xx.xx.2xx/10001
1?: [LOCALHOST] pmtu 1500
1: xx.xx.xx.xx 0.502ms reached
1: xx.xx.xx.xx 0.323ms reached
Resume: pmtu 1500 hops 1 back 1
在实际环境中,由于中间很多路由都看不到,而且让中间的所有路由都改MTU值不是太现实.
在MTU为1500字节的情况下,如果发送的UDP报文大于MTU,比如发送8000个字节,如果包缓存足够,且分包按照正确的顺序到来,通过recvfrom(9000) 还是可以收到一个完整的UDP包的. 如果IP分片丢失,校验失败,包就会丢弃.recvfrom(9000)将阻塞.
2.3 更改socket缓冲区大小
为防止socket缓冲区溢出造成的问题,特意增加了socket的缓冲区.
cat /proc/sys/net/core/rmem_default和cat /proc/sys/net/core/rmem_max可以查看socket缓冲区的缺省值和最大值。
可以通过echo xxx >/proc/sys/net/core/rmem_default的方法来临时修改,也通过更改/etc/sysctl.conf文件添加以下配置来修改:
net.core.rmem_default=262144
net.core.wmem_default=262144
net.core.rmem_max=262144
net.core.wmem_max=262144
修改完成后记得运行以下命令来生效:
sysctl -p
但是在本次仍然没起到效果.
2.4 最终解决方法
最终解决方法是绕过了这个问题,直接改了接口,不采用UDP发送了,而是采用文件采集形式.
这是一次不成功的经验,有这方面经验的朋友,可以留言交流下还有什么原因造成这种问题.
三 诗词欣赏
阵雨
夏令欣逢细雨濛,花轩廊下看斜风。
天光忽觉流云散,忙向东边盼彩虹。
夏
雨后偷闲竹椅横,葡萄架下梦初成。
荷风偏扰昏昏睡,偶送鸣蛙四五声。