$ /proc/sys/net/core/wmem_max
最大socket写buffer,可参考的优化值:873200

$ /proc/sys/net/core/rmem_max
最大socket读buffer,可参考的优化值:873200

$ /proc/sys/net/ipv4/tcp_wmem
TCP写buffer,可参考的优化值: 8192 436600 873200

$ /proc/sys/net/ipv4/tcp_rmem
TCP读buffer,可参考的优化值: 32768 436600 873200

$ /proc/sys/net/ipv4/tcp_mem
同样有3个值,意思是:
net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力.
net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段.
net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket.
上述内存单位是页,而不是字节.
可参考的优化值是:786432 1048576 1572864

$ /proc/sys/net/core/netdev_max_backlog
进入包的最大设备队列.默认是300,对重负载服务器而言,该值太低,可调整到1000.

$ /proc/sys/net/core/somaxconn
listen()的默认参数,挂起请求的最大数量.默认是128.对繁忙的服务器,增加该值有助于网络性能.
可调整到256.

$ /proc/sys/net/core/optmem_max
socket buffer的最大初始化值,默认10K.

$ /proc/sys/net/ipv4/tcp_max_syn_backlog
进入SYN包的最大请求队列.默认1024.对重负载服务器,增加该值显然有好处.
可调整到2048.

$ /proc/sys/net/ipv4/tcp_retries2
TCP失败重传次数,默认值15,意味着重传15次才彻底放弃.可减少到5,以尽早释放内核资源.

$ /proc/sys/net/ipv4/tcp_keepalive_time
$ /proc/sys/net/ipv4/tcp_keepalive_intvl
$ /proc/sys/net/ipv4/tcp_keepalive_probes
这3个参数与TCP KeepAlive有关.默认值是:

tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds

意思是如果某个TCP连接在idle 2个小时后,内核才发起probe.如果probe 9次(每次75秒)不成功,内核才彻底放弃,认为该连接已失效.对服务器而言,显然上述值太大. 可调整到:

/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3

$ proc/sys/net/ipv4/ip_local_port_range
指定端口范围的一个配置,默认是32768 61000,已够大.

Share This

数据库操作类基本特点：
1. 支持一台Master，多台Slave的情况，所有SQL能够强制调用Master来处理
2. 能够自动识别是写入还是读取操作，然后自动连接到需要的Master/Slave服务器。 操作过程中能够自动识别，如果没有Slave，则所有操作都是指向Master的，如果当前连接的Slave无法工作则自动连接其他Slave。对于Slave读取数据采用随机挑选Slave服务器的方式来读取数据
3. 在同一个PHP程序中能够重用连接，不会重复去连接数据库，减少因为反复连接带来的资源消耗

缺点：
1. 对于Slave是采取随机选择Slave来进行读取数据，所以不是真正意义上的负载均衡
2. 每次初始化都是连接好所有的数据库，比较浪费连接资源和时间。 在多个PHP程序中无法保持数据库连接，每次启动都需要连接到远程数据库，浪费了很多连接处理的时间，但是这个跟PHP是脚本程序有关。
3. 无法支持多个Master的情况，同时可定制性比较差，很多东西都是固定的，必须按照固有模式来执行查询

相关：
代码中注释不是很全，部分注释而且不一定正确，所以如果自己使用，最好进行二次修改。
本数据库类参考了我之前写的《简单快速有趣的MySQL数据库操作类：SimpleDB》，可以对照着看。
（类库中的接口我大部分都经过了测试，都正常使用，如果发现不正常或者有更好的想法，请留言）

文件：db_common.class.php

//----------------------------------------------------
// Master/Slave数据库读写分开操作类
//
// 作者: heiyeluren
// 时间: 2007-7-30
// 描述：支持所有写操作在一台Master执行，所有读操作在
// Slave执行，并且能够支持多台Slave主机
//—————————————————-

测试代码文件：

?>


测试输出结果：

DBCommon Object
(
[wdbConf] => Array
(
[host] => localhost
[user] => root
[pwd] =>
[db] => db
)

)128.com


【其他数据操作方法使用代码】


/**
* 示例代码
*/

//关闭所有连接
$db->disconnect(null, true);


Share This

1.命名子域

2.将子域委派给一个或者多个域名服务器

3.提供“域名服务器黏结记录”（nameserver glue records）和子域的命名空间（namespace）内部的主机名给任意一个委派的域名服务器，以便子域外部的机器可以解析这个域名服务器。

事实上，第一和第二步已经实现了每个子域名服务器的单一记录，当你将子域名委派给在DNS子域里面有主机名的服务器时，需要第三步，但并不是必需的。

创建子域

为了创建子域，你需要以root进入到父域名的主DNS服务器，编辑父域名的zone文件，完成编辑之后重新加载zone（reload zone）。

在BIND的配置文件/etc/named.conf中zone声明了你的父域，定义了zone文件名和你想要修改的域。

记住，zone文件将会存放在/etc/named.conf中全局选项所声明的directory下（默认是/var/named）。

这里是named.conf文件zone生命的一个例子，zone文件名是testdomain.bogus.zone:

zone “testdomain.bogus” {
type master;
file “testdomain.bogus.zone”;
allow-update { none; };
};

在修改zone文件之前先做个备份，然后用你喜欢的文本编辑器打开zone文件：

# cd /var/named

# cp testdomain.bogus.zone testdomain.bogus.zone.backup

# vim testdomain.bogus.zone

下面是域名testdomain.bogus的zone文件的一个例子，在那里，我们将创建子域subdomain1.testdomain.bogus。

假设已存在的testdomain.bogus的zone文件已经包含所有下面显示的记录，到”EXISTING RECORDS STOP HERE”这行。

下面黑体的记录（”EXISTING RECORDS STOP HERE”行之后）是我们要创建DNS子域的新记录，委派给三个域名服务器，并且添加了一条NS glue记录给子域里的一个域名服务器。

$TTL 3D
@ IN SOA ns1.testdomain.bogus. root.testdomain.bogus. (
2004080203 ; zone file serial #
8H ; refresh
2H ; retry
1W ; expire
1D ) ; SOA minimum
; NS’S AUTHORITATIVE FOR PARENT DOMAIN:
testdomain.bogus. NS ns1.testdomain.bogus.
testdomain.bogus. NS ns2.testdomain.bogus.
;
; A RECORDS FOR THE PARENT DOMAIN’S AUTHORITATIVE NS’S:
ns1.testdomain.bogus. A 10.1.2.3
ns2.testdomain.bogus. A 10.1.2.4
;
; ORDINARY HOSTS IN TESTDOMAIN.BOGUS:
host01 A 10.1.2.11
host02 A 10.2.2.12
;
; EXISTING RECORDS STOP HERE
;
; HERE WE CREATE OUR DNS SUBDOMAIN BY ADDING THESE RECORDS:
; Name the subdomain: Now delegate it to these nameservers (MUST be an FQDN hostname, NOT AN IP):
subdomain1.testdomain.bogus. NS ns1.subdomain1.testdomain.bogus. ; inside the subdomain - needs NS glue record
subdomain1.testdomain.bogus. NS ns1.testdomain.bogus. ; not in subdomain - no glue required
subdomain1.testdomain.bogus. NS ns.myisp.bogus. ; not in subdomain - no glue required
;
; GLUE RECORD FOR ns1.subdomain1.testdomain.bogus -
; NEEDED SINCE IT IS INSIDE THE SUBDOMAIN
ns1.subdomain1.testdomain.bogus. A 10.4.5.6

注意：在保存文件，重新加载（reloading）之前，别忘了增加zone文件的序号（serial number）！

上面例子中，子域委派权威给其中一个父域名服务器ns1.testdoamin.bogus。并不需要父域名的NS也是子域名的NS，是DNS管理员有权限管理的任意一个就行。

你需要创建子域的zone文件，将子域添加到将成为子域的权威的服务器的/etc/named.conf配置文件。以下是主服务器上基本的子域的zone声明部分：

zone “subdomain1.testdomain.bogus” {
type master;
file “subdomain1.testdomain.bogus.zone”;
allow-update { none; };
};

子域zone文件的基本部分：

$TTL 3D
@ IN SOA ns1.subdomain1.testdomain.bogus. root.subdomain1.testdomain.bogus. (
2004080203 ; zone file serial#
8H ; refresh
2H ; retry
1W ; expire
1D ) ; SOA minimum
;
subdomain1.testdomain.bogus. NS ns1.subdomain1.testdomain.bogus.
;
; A RECORDS FOR THIS SUBDOMAIN
ns1.subdomain1.testdomain.bogus. A 10.4.5.6
host01 A 10.4.5.6

在父域名服务器reload父域的zone文件之前，建议你正确配置了子域的域名服务器，并且能正确提供子域的记录。

当你觉得子域名服务器已经正常工作，以root身份执行下面命令，reload父域的zone文件：

# rndc reload

现在，你就拥有了子域DNS。

关于BIND DNS服务器配置的文档，DNS原理，请参考下面资源：

＊BIND Administrator’s Reference Manual, HTML格式（在安装了bind RPM包的红帽企业版Linux 系统上可以得到）

/usr/share/doc/bind-[version]/arm/Bv9ARM.html

＊Linux Documentation Project Website中的DNS HOW-TO

http://www.tldp.org/HOWTO/DNS-HOWTO.html

simple sample:
abc.com 如何委任 tmp.abc.com
linux 下很簡單：
在 abc.com 的 db file 中加兩行(或多行，若有多個 ns 的話)：
tmp IN NS ns1.tmp.abc.com.
ns1.tmp IN A 1.2.3.4

問題二：
在 ns1.tmp.abc.com 的 named.conf 中設一個 forward zone ：

zone “abc.com” IN {
type forward;
forwarders { 4.3.2.1; };
};
4.3.2.1 是 abc.com 的 ns 所用 IP 。

Share This

=VLOOKUP(A1,’完整表’!$A$2:$C$3931,2,FALSE)
完整表中的2为姓名列，A1为部分表中的身份证列，$A$2:$C$3931为完整表中的查找范围

Share This

net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#############################
通过源路由，攻击者可以尝试到达内部IP地址 –包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的内部网络被探测。
#################################

net.inet.tcp.drop_synfin=1
###################################
安全参数，编译内核的时候加了options TCP_DROP_SYNFIN才可以用，可以阻止某些OS探测。
##################################

kern.maxvnodes=8446
#################http://www.bsdlover.cn#########
vnode 是对文件或目录的一种内部表达。 因此， 增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。
一般而言， 这是由操作系统自行完成的，也不需要加以修改。但在某些时候磁盘 I/O 会成为瓶颈，
而系统的 vnode 不足， 则这一配置应被增加。此时需要考虑是非活跃和空闲内存的数量。
要查看当前在用的 vnode 数量：
# sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 数量：
# sysctl kern.maxvnodes
kern.maxvnodes: 100000
如果当前的 vnode 用量接近最大值，则将 kern.maxvnodes 值增大 1,000 可能是个好主意。
您应继续查看 vfs.numvnodes 的数值， 如果它再次攀升到接近最大值的程度，
仍需继续提高 kern.maxvnodes。 在 top(1) 中显示的内存用量应有显著变化，
更多内存会处于活跃 (active) 状态。
####################################

kern.maxproc: 964
#################http://www.bsdlover.cn#########
Maximum number of processes
####################################
kern.maxprocperuid: 867
#################http://www.bsdlover.cn#########
Maximum processes allowed per userid
####################################
因为我的maxusers设置的是256，20+16*maxusers＝4116。
maxprocperuid至少要比maxproc少1，因为init(8) 这个系统程序绝对要保持在运作状态。
我给它设置的2068。

kern.maxfiles: 1928
#################http://www.bsdlover.cn#########
系统中支持最多同时开启的文件数量，如果你在运行数据库或大的很吃描述符的进程，那么应该设置在20000以上，
比如kde这样的桌面环境，它同时要用的文件非常多。
一般推荐设置为32768或者65536。
####################################

kern.argmax: 262144
#################http://www.bsdlover.cn#########
maximum number of bytes (or characters) in an argument list.
命令行下最多支持的参数，比如你在用find命令来批量删除一些文件的时候
find . -name “*.old” -delete，如果文件数超过了这个数字，那么会提示你数字太多的。
可以利用find . -name “*.old” -ok rm {} \;来删除。
默认的参数已经足够多了，因此不建议再做修改。
####################################

kern.securelevel: -1
#################http://www.bsdlover.cn#########
-1：这是系统默认级别，没有提供任何内核的保护错误；
0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。
1：在这个级别上，有如下几个限制：
　　a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；
　　b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；
　　c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；
　　d. 不能启动X-windows，同时不能使用chflags来修改文件属性；
2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；
3：在 2 级别的级别上不允许修改IPFW防火墙的规则。
　　如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。
我们这里推荐使用 2 级别，能够避免比较多对内核攻击。
####################################

kern.maxfilesperproc: 1735
#################http://www.bsdlover.cn#########
每个进程能够同时打开的最大文件数量，网上很多资料写的是32768
除非用异步I/O或大量线程，打开这么多的文件恐怕是不太正常的。
我个人建议不做修改，保留默认。
####################################

kern.ipc.maxsockbuf: 262144
#################http://www.bsdlover.cn#########
最大的套接字缓冲区，网上有建议设置为2097152（2M）、8388608（8M）的。
我个人倒是建议不做修改，保持默认的256K即可，缓冲区大了可能造成碎片、阻塞或者丢包。
####################################

kern.ipc.somaxconn: 128
#################http://www.bsdlover.cn#########
最大的等待连接完成的套接字队列大小，即并发连接数。
高负载服务器和受到Dos攻击的系统也许会因为这个队列被塞满而不能提供正常服务。
默认为128，推荐在1024-4096之间，根据机器和实际情况需要改动，数字越大占用内存也越大。
####################################

kern.ipc.nmbclusters: 4800
#################http://www.bsdlover.cn#########
这个值用来调整系统在开机后所要分配给网络 mbufs 的 cluster 数量，
由于每个 cluster 大小为 2K，所以当这个值为 1024 时，也是会用到 2MB 的核心内存空间。
假设我们的网页同时约有 1000 个联机，而 TCP 传送及接收的暂存区大小都是 16K，
则最糟的情况下，我们会需要 (16K+16K) * 1024，也就是 32MB 的空间，
然而所需的 mbufs 大概是这个空间的二倍，也就是 64MB，所以所需的 cluster 数量为 64MB/2K，也就是 32768。
对于内存有限的机器，建议值是 1024 到 4096 之间，而当拥有海量存储器空间时，我们可以将它设定为 4096 到 32768 之间。
我们可以使用 netstat 这个指令并加上参数 -m 来查看目前所使用的 mbufs 数量。
要修改这个值必须在一开机就修改，所以只能在 /boot/loader.conf 中加入修改的设定
kern.ipc.nmbclusters=32768
####################################

kern.ipc.shmmax: 33554432
#################http://www.bsdlover.cn#########
共享内存和信号灯(”System VIPC”)如果这些过小的话，有些大型的软件将无法启动
安装xine和mplayer提示的设置为67108864，即64M，
如果内存多的话，可以设置为134217728，即128M
####################################

kern.ipc.shmall: 8192
#################http://www.bsdlover.cn#########
共享内存和信号灯(”System VIPC”)如果这些过小的话，有些大型的软件将无法启动
安装xine和mplayer提示的设置为32768
####################################

kern.ipc.shm_use_phys: 0
#################http://www.bsdlover.cn#########
如果我们将它设成 1，则所有 System V 共享内存 (share memory，一种程序间沟通的方式)部份都会被留在实体的内存 (physical memory) 中，
而不会被放到硬盘上的 swap 空间。我们知道物理内存的存取速度比硬盘快许多，而当物理内存空间不足时，
部份数据会被放到虚拟的内存上，从物理内存和虚拟内存之间移转的动作就叫作 swap。如果时常做 swap 的动作，
则需要一直对硬盘作 I/O，速度会很慢。因此，如果我们有大量的程序 (数百个) 需要共同分享一个小的共享内存空间，
或者是共享内存空间很大时，我们可以将这个值打开。
这一项，我个人建议不做修改，除非你的内存非常大。
####################################

kern.ipc.shm_allow_removed: 0
#################http://www.bsdlover.cn#########
共享内存是否允许移除？这项似乎是在fb下装vmware需要设置为1的，否则会有加载SVGA出错的提示
作为服务器，这项不动也罢。
####################################

kern.ipc.numopensockets: 12
#################http://www.bsdlover.cn#########
已经开启的socket数目，可以在最繁忙的时候看看它是多少，然后就可以知道maxsockets应该设置成多少了。
####################################

kern.ipc.maxsockets: 1928
#################http://www.bsdlover.cn#########
这是用来设定系统最大可以开启的 socket 数目。如果您的服务器会提供大量的 FTP 服务，
而且常快速的传输一些小档案，您也许会发现常传输到一半就中断。因为 FTP 在传输档案时，
每一个档案都必须开启一个 socket 来传输，但关闭 socket 需要一段时间，如果传输速度很快，
而档案又多，则同一时间所开启的 socket 会超过原本系统所许可的值，这时我们就必须把这个值调大一点。
除了 FTP 外，也许有其它网络程序也会有这种问题。
然而，这个值必须在系统一开机就设定好，所以如果要修改这项设定，我们必须修改 /boot/loader.conf 才行
kern.ipc.maxsockets=”16424″
####################################

kern.ipc.nsfbufs: 1456
#################http://www.bsdlover.cn#########
经常使用 sendfile(2) 系统调用的繁忙的服务器，
有必要通过 NSFBUFS 内核选项或者在 /boot/loader.conf (查看 loader(8) 以获得更多细节) 中设置它的值来调节 sendfile(2) 缓存数量。
这个参数需要调节的普通原因是在进程中看到 sfbufa 状态。sysctl kern.ipc.nsfbufs 变量在内核配置变量中是只读的。
这个参数是由 kern.maxusers 决定的，然而它可能有必要因此而调整。
在/boot/loader.conf里加入
kern.ipc.nsfbufs=”2496″
####################################

kern.maxusers: 59
#################http://www.bsdlover.cn#########
maxusers 的值决定了处理程序所容许的最大值，20+16*maxusers 就是你将得到的所容许处理程序。
系统一开机就必须要有 18 个处理程序 (process)，即便是简单的执行指令 man 又会产生 9 个 process，
所以将这个值设为 64 应该是一个合理的数目。
如果你的系统会出现 proc table full 的讯息的话，可以就把它设大一点，例如 128。
除非您的系统会需要同时开启很多档案，否则请不要设定超过 256。

可以在 /boot/loader.conf 中加入该选项的设定，
kern.maxusers=256
####################################

kern.coredump: 1
#################http://www.bsdlover.cn#########
如果设置为0，则程序异常退出时不会生成core文件，作为服务器，不建议这样。
####################################

kern.corefile: %N.core
#################http://www.bsdlover.cn#########
可设置为kern.corefile=”/data/coredump/%U-%P-%N.core”
其中 %U是UID，%P是进程ID，%N是进程名，当然/data/coredump必须是一个实际存在的目录
####################################

vm.swap_idle_enabled: 0
vm.swap_idle_threshold1: 2
vm.swap_idle_threshold2: 10
#########################
在有很多用户进入、离开系统和有很多空闲进程的大的多用户系统中很有用。
可以让进程更快地进入内存，但它会吃掉更多的交换和磁盘带宽。
系统默认的页面调度算法已经很好了，最好不要更改。
########################

vfs.ufs.dirhash_maxmem: 2097152
#########################
默认的dirhash最大内存,默认2M
增加它有助于改善单目录超过100K个文件时的反复读目录时的性能
建议修改为33554432（32M）
#############################

vfs.vmiodirenable: 1
#################
这个变量控制目录是否被系统缓存。大多数目录是小的，在系统中只使用单个片断(典型的是1K)并且在缓存中使用的更小 (典型的是512字节)。
当这个变量设置为关闭 (0) 时，缓存器仅仅缓存固定数量的目录，即使您有很大的内存。
而将其开启 (设置为1) 时，则允许缓存器用 VM 页面缓存来缓存这些目录，让所有可用内存来缓存目录。
不利的是最小的用来缓存目录的核心内存是大于 512 字节的物理页面大小(通常是 4k)。
我们建议如果您在运行任何操作大量文件的程序时保持这个选项打开的默认值。
这些服务包括 web 缓存，大容量邮件系统和新闻系统。
尽管可能会浪费一些内存，但打开这个选项通常不会降低性能。但还是应该检验一下。
####################

vfs.hirunningspace: 1048576
############################
这个值决定了系统可以将多少数据放在写入储存设备的等候区。通常使用默认值即可，
但当我们有多颗硬盘时，我们可以将它调大为 4MB 或 5MB。
注意这个设置成很高的值(超过缓存器的写极限)会导致坏的性能。
不要盲目的把它设置太高！高的数值会导致同时发生的读操作的迟延。
#############################

vfs.write_behind: 1
#########################
这个选项预设为 1，也就是打开的状态。在打开时，在系统需要写入数据在硬盘或其它储存设备上时，
它会等到收集了一个 cluster 单位的数据后再一次写入，否则会在一个暂存区空间有写入需求时就立即写到硬盘上。
这个选项打开时，对于一个大的连续的文件写入速度非常有帮助。但如果您遇到有很多行程延滞在等待写入动作时，您可能必须关闭这个功能。
############################

net.local.stream.sendspace: 8192
##################################
本地套接字连接的数据发送空间
建议设置为65536
###################################
net.local.stream.recvspace: 8192
##################################
本地套接字连接的数据接收空间
建议设置为65536
###################################

net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
###################
以上六项是用来控制TCP及UDP所使用的port范围，这个范围被分成三个部份，低范围、预设范围、及高范围。
这些是你的服务器主动发起连接时的临时端口的范围，预设的已经1万多了，一般的应用就足够了。
如果是比较忙碌的FTP server，一般也不会同时提供给1万多人访问的，
当然如果很不幸，你的服务器就要提供很多，那么可以修改first的值，比如直接用1024开始
#########################

net.inet.ip.redirect: 1
#########################
设置为0，屏蔽ip重定向功能
###########################

net.inet.ip.rtexpire: 3600
net.inet.ip.rtminexpire: 10
########################
很多apache产生的CLOSE_WAIT状态，这种状态是等待客户端关闭，但是客户端那边并没有正常的关闭，于是留下很多这样的东东。
建议都修改为2
#########################

net.inet.ip.intr_queue_maxlen: 50
########################
Maximum size of the IP input queue，如果下面的net.inet.ip.intr_queue_drops一直在增加，
那就说明你的队列空间不足了，那么可以考虑增加该值。
##########################
net.inet.ip.intr_queue_drops: 0
####################
Number of packets dropped from the IP input queue,如果你sysctl它一直在增加，
那么增加net.inet.ip.intr_queue_maxlen的值。
#######################

net.inet.ip.fastforwarding: 0
#############################
如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表，节约路由的计算时间
但会需要大量的内核内存空间来保存路由表。
如果内存够大，打开吧，呵呵
#############################

net.inet.ip.random_id: 0
#####################
默认情况下，ip包的id号是连续的，而这些可能会被攻击者利用，比如可以知道你nat后面带了多少主机。
如果设置成1，则这个id号是随机的，嘿嘿。
#####################

net.inet.icmp.maskrepl: 0
############################
防止广播风暴，关闭其他广播探测的响应。默认即是，无须修改。
###############################

net.inet.icmp.icmplim: 200
##############################
限制系统发送ICMP速率，改为100吧，或者保留也可，并不会给系统带来太大的压力。
###########################
net.inet.icmp.icmplim_output: 1
###################################
如果设置成0，就不会看到提示说Limiting icmp unreach response from 214 to 200 packets per second 等等了
不过禁止输出容易让我们忽视攻击的存在。这个自己看着办吧。
######################################

net.inet.icmp.drop_redirect: 0
net.inet.icmp.log_redirect: 0
###################################
设置为1，屏蔽ICMP重定向功能
###################################
net.inet.icmp.bmcastecho: 0
############################
防止广播风暴，关闭广播ECHO响应，默认即是，无须修改。
###############################

net.inet.tcp.mssdflt: 512
net.inet.tcp.minmss: 216
###############################
数据包数据段最小值，以上两个选项最好不动！或者只修改mssdflt为1460，minmss不动。
原因详见http://www.bsdlover.cn/security/2007/1211/article_4.html
#############################

net.inet.tcp.keepidle: 7200000
######################
TCP的套接字的空闲时间，默认时间太长，可以改为600000（10分钟）。
##########################

net.inet.tcp.sendspace: 32768
#################http://www.bsdlover.cn#########
最大的待发送TCP数据缓冲区空间，应用程序将数据放到这里就认为发送成功了，系统TCP堆栈保证数据的正常发送。
####################################
net.inet.tcp.recvspace: 65536
###################################
最大的接受TCP缓冲区空间，系统从这里将数据分发给不同的套接字，增大该空间可提高系统瞬间接受数据的能力以提高性能。
###################################
这二个选项分别控制了网络 TCP 联机所使用的传送及接收暂存区的大小。预设的传送暂存区为 32K，而接收暂存区为 64K。
如果需要加速 TCP 的传输，可以将这二个值调大一点，但缺点是太大的值会造成系统核心占用太多的内存。
如果我们的机器会同时服务数百或数千个网络联机，那么这二个选项最好维持默认值，否则会造成系统核心内存不足。
但如果我们使用的是 gigabite 的网络，将这二个值调大会有明显效能的提升。
传送及接收的暂存区大小可以分开调整，
例如，假设我们的系统主要做为网页服务器，我们可以将接收的暂存区调小一点，并将传送的暂存区调大，如此一来，我们就可以避免占去太多的核心内存空间。

net.inet.udp.maxdgram: 9216
#########################
最大的发送UDP数据缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，
如果要调整，可以试试24576。
##############################
net.inet.udp.recvspace: 42080
##################
最大的接受UDP缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，
如果要调整，可以试试49152。
#######################
以上四项配置通常不会导致问题，一般说来网络流量是不对称的，因此应该根据实际情况调整，并观察其效果。
如果我们将传送或接收的暂存区设为大于 65535，除非服务器本身及客户端所使用的操作系统都支持 TCP 协议的 windows scaling extension (请参考 RFC 1323 文件)。
FreeBSD默认已支持 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 选项)。
###################################################

net.inet.tcp.log_in_vain: 0
##################
记录下任何TCP连接，这个一般情况下不应该更改。
####################

net.inet.tcp.blackhole: 0
##################################
建议设置为2，接收到一个已经关闭的端口发来的所有包，直接drop，如果设置为1则是只针对TCP包
#####################################

net.inet.tcp.delayed_ack: 1
###########################
当一台计算机发起TCP连接请求时，系统会回应ACK应答数据包。
该选项设置是否延迟ACK应答数据包，把它和包含数据的数据包一起发送。
在高速网络和低负载的情况下会略微提高性能，但在网络连接较差的时候，
对方计算机得不到应答会持续发起连接请求，反而会让网络更加拥堵，降低性能。
因此这个值我建议您看情况而定，如果您的网速不是问题，可以将封包数量减少一半
如果网络不是特别好，那么就设置为0，有请求就先回应，这样其实浪费的网通、电信的带宽速率而不是你的处理时间:)
############################

net.inet.tcp.inflight.enable: 1
net.inet.tcp.inflight.debug: 0
net.inet.tcp.inflight.rttthresh: 10
net.inet.tcp.inflight.min: 6144
net.inet.tcp.inflight.max: 1073725440
net.inet.tcp.inflight.stab: 20
###########################
限制 TCP 带宽延迟积和 NetBSD 的 TCP/Vegas 类似。
它可以通过将 sysctl 变量 net.inet.tcp.inflight.enable 设置成 1 来启用。
系统将尝试计算每一个连接的带宽延迟积，并将排队的数据量限制在恰好能保持最优吞吐量的水平上。
这一特性在您的服务器同时向使用普通调制解调器，千兆以太网，乃至更高速度的光与网络连接 (或其他带宽延迟积很大的连接) 的时候尤为重要，
特别是当您同时使用滑动窗缩放，或使用了大的发送窗口的时候。
如果启用了这个选项，您还应该把 net.inet.tcp.inflight.debug 设置为 0 (禁用调试)，
对于生产环境而言， 将 net.inet.tcp.inflight.min 设置成至少 6144 会很有好处。
然而， 需要注意的是，这个值设置过大事实上相当于禁用了连接带宽延迟积限制功能。
这个限制特性减少了在路由和交换包队列的堵塞数据数量，也减少了在本地主机接口队列阻塞的数据的数量。
在少数的等候队列中、交互式连接，尤其是通过慢速的调制解调器，也能用低的 往返时间操作。
但是，注意这只影响到数据发送 (上载/服务端)。对数据接收(下载)没有效果。
调整 net.inet.tcp.inflight.stab 是 不 推荐的。
这个参数的默认值是 20，表示把 2 个最大包加入到带宽延迟积窗口的计算中。
额外的窗口似的算法更为稳定，并改善对于多变网络环境的相应能力，
但也会导致慢速连接下的 ping 时间增长 (尽管还是会比没有使用 inflight 算法低许多)。
对于这些情形， 您可能会希望把这个参数减少到 15， 10， 或 5；
并可能因此而不得不减少 net.inet.tcp.inflight.min (比如说， 3500) 来得到希望的效果。
减少这些参数的值， 只应作为最后不得已时的手段来使用。
############################

net.inet.tcp.syncookies: 1
#########################
SYN cookies是一种用于通过选择加密的初始化TCP序列号，可以对回应的包做验证来降低SYN’洪水’攻击的影响的技术。
默认即是，不需修改
########################

net.inet.tcp.msl: 30000
#######################
这个值网上很多文章都推荐的7500，
还可以改的更小一些(如2000或2500)，这样可以加快不正常连接的释放过程(三次握手2秒、FIN_WAIT4秒)。
#########################
net.inet.tcp.always_keepalive: 1
###########################
帮助系统清除没有正常断开的TCP连接，这增加了一些网络带宽的使用，但是一些死掉的连接最终能被识别并清除。
死的TCP连接是被拨号用户存取的系统的一个特别的问题，因为用户经常断开modem而不正确的关闭活动的连接。
#############################

net.inet.udp.checksum: 1
#########################
防止不正确的udp包的攻击，默认即是，不需修改
##############################

net.inet.udp.log_in_vain: 0
#######################
记录下任何UDP连接,这个一般情况下不应该修改。
#######################

net.inet.udp.blackhole: 0
####################
建议设置为1，接收到一个已经关闭的端口发来的所有UDP包直接drop
#######################

net.inet.raw.maxdgram: 8192
#########################
Maximum outgoing raw IP datagram size
很多文章建议设置为65536，好像没多大必要。
######################################
net.inet.raw.recvspace: 8192
######################
Maximum incoming raw IP datagram size
很多文章建议设置为65536，好像没多大必要。
#######################

net.link.ether.inet.max_age: 1200
####################
调整ARP清理的时间，通过向IP路由缓冲填充伪造的ARP条目可以让恶意用户产生资源耗竭和性能减低攻击。
这项似乎大家都未做改动，我建议不动或者稍微减少，比如300（HP-UX默认的5分钟）
#######################

net.inet6.ip6.redirect: 1
###############################
设置为0，屏蔽ipv6重定向功能
###########################

net.isr.direct: 0
#################http://www.bsdlover.cn#########
所有MPSAFE的网络ISR对包做立即响应,提高网卡性能，设置为1。
####################################

hw.ata.wc: 1
#####################
这个选项用来打开 IDE 硬盘快取。当打开时，如果有数据要写入硬盘时，硬盘会假装已完成写入，并将数据快取起来。
这种作法会加速硬盘的存取速度，但当系统异常关机时，比较容易造成数据遗失。
不过由于关闭这个功能所带来的速度差异实在太大，建议还是保留原本打开的状态吧，不做修改。
###################

security.bsd.see_other_uids: 1
security.bsd.see_other_gids: 1
#####################
不允许用户看到其他用户的进程,因此应该改成0，
#######################

Share This

　　通知同时规定，职工及其配偶均缴存市住房公积金的，具体可贷额度按人分别计算，合计最高贷款额度为50万元。相关部门透露，具体实施细则近期将出台。

　　缴存额标准提至438元

　　该通知表明：“自2008年6月1日起，月缴存额标准为438元。同时，根据有关规定，职工最低月缴存额不低于182元。”

　　而在此前的旧标准中，月缴存额标准为393元，最低月缴存额为182元。也就是说，以后公积金的月缴存额标准将由393元提至438元，最低月缴存额则保持182元不变。

　　个人最高可贷降至30万

　　该通知明确：“职工实际月缴存额(连续12个月正常缴存)高于月缴存额标准的，最高可贷额度为30万元；低于的(但不低于最低月缴存额)，最高可贷额度为20万元。”

　　而在此前的旧标准中，申请人每月缴交的住房公积金≥182元(个人合计缴交)同时≤393元(个人合计缴交)的，贷款的最高额度为30万元；申请人每月缴纳的住房公积金≥393元(个人合计缴交)的，贷款最高额度为50万元。

　　这项新规定预示着，个人最高可贷额度由旧标准的50万元降为30万元，同时如果申请人每月缴纳公积金≥182元并且≤393元，那么也会受到影响，其可贷最高额度由旧标准的30万元降为20万元。

　　夫妻合贷标准有所变化

　　通知还明确：“职工及其配偶均缴存住房公积金的，具体可贷额度按人分别计算，且合计最高可贷额度为50万元。”

　　而在此前的旧标准中，若夫妻双方每月的公积金缴交额均在182元和393元之间(不含393元)，但是双方公积金缴交额合计数在393元以上，贷款的额度也可以达到50万元。

　　因此根据新规定可知，如果夫妻双方公积金缴交额均在182元和393元之间，那么可贷额度按人分别计算最高均为20万元，也就是说在这种情况下，两人的合贷最高额度由50万元降为40万元。

　　90平方米为界区别首付

　　通知表示：“经济适用房和套型建筑面积在90平方米以下的商品房贷款，可贷额度按贷款成数不高于总房价的80%确定；套型建筑面积在90平方米以上的商品房贷款，可贷额度按贷款成数不高于70%确定。”

　　也就是说，以建筑面积90平方米为界，首付有区别。经济适用房和套型建筑面积90平方米以下的商品房贷款，最低首付可达到两成；而建筑面积90平方米以上的，最低首付要三成。

　　二次申请可贷成数减少

　　该通知明确，“二次住房公积金贷款的可贷额度按贷款成数不高于总价的60%确定。”

　　旧标准中，“职工首次住房公积金贷款建筑面积在140平方米或者其他规定标准以下，在贷款还清后因改善住房条件重新购、建房、且符合贷款基本条件的，可申请二次住房公积金贷款”。也就是说，此前二次购房可按普通住房标准按揭七成，新规定明确，按揭为六成，可按揭房款少了一成。

　　二手房龄要求更苛刻

　　该通知还明确，“房屋建成年份2000年(含)之后的二手房贷款，可贷额度按贷款成数不高于总房价的70%确定；2000年之前的，按贷款成数不高于60%确定。”即2000年(含)之后的二手房贷款，最低首付三成；2000年以前的最低首付四成。

　　旧标准以“1995年”为界，1995年(含)以前最低首付四成，1995年以后最低首付三成。新旧标准相比，公积金放贷对房龄要求更苛刻。

　　借款人信用有了量化标准

　　通知中明确：“信用状况应重点审查借款人及其配偶的信用卡和个人贷款近24个月的每月还款记录。贷款还款状态出现逾期91天及以上或当前逾期，或者信用卡还款状态为当前透支180天以上，且未提供银行出具的贷款结清证明或信用卡还款证明的，一般不予贷款。”

　　旧标准中，对借款人信用审核比较模糊，没有如此明确的标准。通知同时还规定，职工月还款额不得高于家庭月收入乘以还款能力系数(55%)扣除家庭其他贷款月还款额的余额。其中，家庭月收入是指职工或与其房产共有权人的收入总和。

　　作者：余丽

Share This

Share This

VMware ESX Server

VMware GSX Server

VMware Server

VMware Workstation

Details

Why does the clock in my Linux guest consistently run more slowly or more quickly than real world time?

Solution

Linux guest operating systems keep time by counting timer interrupts. Unpatched 2.4 and earlier kernels program the virtual system timer to request clock interrupts at 100Hz (100 interrupts per second). 2.6 kernels, on the other hand, request interrupts at 1000Hz — ten times as often. Some 2.4 kernels modified by distribution vendors to contain 2.6 features also request 1000Hz interrupts, or in some cases, interrupts at other rates, such as 512Hz.
Furthermore, an SMP-capable Linux kernel requests additional timer interrupts from the virtual local APIC timer. An SMP-capable kernel running on a one-CPU system generates twice as many total timer interrupts as the corresponding UP kernel, while such a kernel running on a two-CPU system requests three times as many. In general, an SMP-capable kernel running on CPUs requests times as many interrupts per second as a UP kernel. For example, an unmodified 2.6 Linux kernel running on a two-CPU virtual machine requests a total of 3000 clock interrupts per second.
When a guest asks for more than 1000 clock interrupts per second, it can be difficult for the virtual machine to keep up, especially if other applications are running on the host at the same time. This can cause the clock in the guest operating system to fall so far behind real time that it is unable to catch up. The overhead of delivering so many virtual clock interrupts can also hurt guest performance and increase host CPU consumption.
It can also be difficult for the guest operating system to field 1000 clock interrupts per second. Even on real hardware, clock interrupts are sometimes lost because the operating system is busy for more than 1 millisecond and another clock interrupt comes in before the previous one was handled. Linux 2.6 contains code to detect such “lost ticks” and correct for them. Unfortunately, this code can trigger the correction spuriously in some cases, resulting in the Linux clock running more quickly than real time. This problem happens more often in a virtual machine than on real hardware, and can cause noticeable time gains. In some cases, the guest clock has been observed to run more than 10% more quickly than real time.

Workarounds
If your Linux 2.6 guest’s clock is running too quickly, it indicates a problem with lost tick correction. Apply one of the workarounds in the section “Preventing the Clock from Running Too Quickly.”

Note: The overcorrection for lost ticks has been fixed in Linux kernel 2.6.18. Upgrading to 2.6.18 or later also solves this problem.
If your guest’s clock is running too slowly, it indicates that the host’s real timer interrupt rate can’t keep up with the guest’s virtual timer interrupt rate. There are two approaches to dealing with the problem: either decrease the guest’s rate or increase the host’s rate. Apply one of the workarounds in the section “Preventing the Clock from Running Too Slowly.” Also apply one of the workarounds for running too quickly, because correcting the first problem often reveals the second one.
In both cases, also make sure that VMware Tools is installed in your guest, that time synchronization is enabled and that you are not running any other clock synchronization software in the guest at the same time (such as ntpd).
If your host uses power management features (such as Intel SpeedStep, or AMD PowerNow or Cool’n'Quiet) that vary the processor speed, see http://kb.vmware.com/kb/1591.
Preventing the Clock from Running Too Quickly
32-bit Systems
For 32-bit systems, there are two kernel options that help with the guest kernel’s over-correction for lost ticks:
Add the clock=pit boot option to your guest’s kernel command line in the /etc/lilo.conf or /boot/grub/grub.conf file.
The following example shows the syntax for LILO:
image=/boot/vmlinuz
label=”linux”
root=/dev/hda1
initrd=/boot/initrd.img
append=”resume=/dev/hda6 splash=silent clock=pit”
read-only

(Remember to run /sbin/lilo after editing lilo.conf, so that your edits take effect.)
Here is an example of the syntax for GRUB:
title Fedora Core (2.6.9-1.667)
root (hd0,0)
kernel /vmlinuz-2.6.9-1.667 ro root=/dev/hda2 clock=pit
Adding this boot option disables the kernel’s correction for lost ticks, so be sure to also install VMware Tools and turn on time synchronization. The latter prevents the guest clock from losing time over the long term due to lost ticks.
For additional information about working with boot loaders, see your Linux distribution’s documentation.
As an alternative, especially if you are unable to use VMware Tools, you can instead give the kernel command line option
clock=pmtmr

With this option, the kernel corrects more properly for lost ticks, but occasionally overcorrects and ends up gaining time slowly. This option is the default for most 2.6 kernels, but some distributions may patch their kernels to change the default. In SuSE SLES 9 kernels, the default is clock=tsc. The code enabled by the tsc setting severely overcorrects for lost ticks when used in a virtual machine and tends to gain time rapidly.
64-bit Systems
In the x86_64 Linux kernel, use the boot option notsc instead of clock=pit.
LILO example:
image=/boot/vmlinuz
label=”linux”
root=/dev/hda1
initrd=/boot/initrd.img
append=”resume=/dev/hda6 splash=silent notsc”
read-only
GRUB example:
title Fedora Core (2.6.9-1.667)
root (hd0,0)
kernel /vmlinuz-2.6.9-1.667 ro root=/dev/hda2 notsc
Preventing the Clock from Running Too Slowly
One approach to a slow guest clock is to reduce the guest timer interrupt rate.
In a one-CPU virtual machine, add the following kernel command line parameters to the guest:
nosmp noapic nolapic

Kernel command line parameters are specified in the /etc/lilo.conf or /boot/grub/grub.conf file, depending on your choice of boot loader.
Here is an example for LILO:
image=/boot/vmlinuz
label=”linux”
root=/dev/hda1
initrd=/boot/initrd.img
append=”resume=/dev/hda6 splash=silent nosmp noapic nolapic”
read-only

(Remember to run /sbin/lilo after editing lilo.conf, so that your edits take effect.)

And for GRUB:

title Red Hat Linux (2.4.20-28.9)
root (hd0,0)
kernel /vmlinuz-2.4.20-28.9 ro root=/dev/hda2 nosmp noapic nolapic

You can even specify the entries to keep the clock from running too slowly and too quickly together. The entries together for LILO look like this:

image=/boot/vmlinuz label=”linux”
root=/dev/hda1 initrd=/boot/initrd.img
append=”resume=/dev/hda6 splash=silent clock=pit nosmp noapic nolapic”
read-only

And for GRUB:

title Red Hat Linux (2.4.20-28.9)
root (hd0,0)
kernel /vmlinuz-2.4.20-28.9 ro root=/dev/hda2 clock=pit nosmp noapic nolapic

For additional information about working with boot loaders, see your Linux distribution’s documentation.
SUSE LINUX 9.0 Professional Edition, although its kernel is 2.4-based, includes a patch that raises the clock rate to 1000Hz. This patch is enabled by the kernel parameter desktop. SUSE installations pass this parameter to the kernel by default. To remove the parameter from your guest operating system, follow these steps:

Edit your /etc/lilo.conf or /boot/grub/grub.conf file.
Delete all instances of the word desktop.
Exit the editor, saving your changes.
If you are using LILO, run /sbin/lilo.
Reboot the guest.

In standard 2.6 kernels, the timer interrupt rate is fixed at kernel compile time and cannot be changed by command line parameters. You can, however, recompile your kernel with a lower timer interrupt rate. 100Hz is adequate for most applications in a Linux guest. See the documentation for your Linux distribution for detailed instructions on how to build and run a custom kernel. Before recompiling the guest kernel, locate the following line in /usr/src/linux-2.6/include/asm-i386/param.h:
#define HZ 1000

Change the value of HZ to 100:
#define HZ 100

A different way to deal with a slow guest clock is to increase the host timer interrupt rate. Current versions of VMware products automatically increase the host’s timer interrupt rate if needed, up to the maximum permitted by the host operating system. In some cases, though, you can increase this maximum.
On Windows hosts, 1000Hz is an absolute maximum.

On most Linux hosts, VMware is able to increase the timer interrupt rate to 8192Hz by requesting additional interrupts from the /dev/rtc device. However, on a few systems this device may not be configured. On 64-bit systems running Linux 2.4 kernels, the device cannot provide interrupts; on some outdated versions of VMware products, only one virtual machine can use /dev/rtc at a time. To deal with such issues, see http://kb.vmware.com/kb/892.

For ESX Server, 1000Hz is the default maximum, but you can increase the rate using the technique described at http://kb.vmware.com/kb/1518.

Share This

[root@esx02 root]# vi /etc/ntp.conf
# Prohibit general access to this service.
restrict default ignore

# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict 127.0.0.1
restrict default kod nomodify notrap
server 0.vmware.pool.ntp.org
server 1.vmware.pool.ntp.org
server 2.vmware.pool.ntp.org
driftfile /var/lib/ntp/drift

# — CLIENT NETWORK ——-
# Permit systems on this network to synchronize with this
# time service. Do not permit those systems to modify the
# configuration of this service. Also, do not use those
# systems as peers for synchronization.
# restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap

“/etc/ntp.conf” 83L, 2970C written
[root@esx02 root]# vi /etc/ntp/step-tickers
re.pool.ntp.org
1.vmware.pool.ntp.org
2.vmware.pool.ntp.org
~

~

“/etc/ntp/step-tickers” 4L, 61C written
[root@esx02 root]# vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
172.16.1.130 esx02.vmware.cn
0.vmware.pool.ntp.org
1.vmware.pool.ntp.org
2.vmware.pool.ntp.org

~
~
~
~
~
~
~
~
~
“/etc/hosts” 8L, 244C written
[root@esx02 root]# service ntpd restart
Shutting down ntpd: [ OK ]
ntpd: Synchronizing with time server: [ OK ]
Starting ntpd: [ OK ]
[root@esx02 root]#
设置ESX开机, NTP服务自启动:

chkconfig –level 345 ntpd on

指定ESX关机时, 硬件时钟与系统时钟同步:

hwclock –systohc

关于vmware 客户机的配置
VM时间同步十分重要. 普通计算机一般都可以通过硬件所提供的时钟中断(CLOCK INTERRUPT)或时钟标记(CLOCK TICK), 来计算出系统时间. 对于运行在ESX上的VM来说, 它们并不直接使用ESX硬件, 时钟中断或时钟标记是由ESX的虚拟提供的. 在ESX繁忙的时候, 常常无法准时准确的为所有VM提供时钟中断和.时钟标记. 这样VM就很根据这些信号计算出准确的时间. 所以需要与时间源同步.

VM可以选择与ESX服务器做时间同步, 或是采用惯常的同步方式与其他时间源同步.

VM与ESX时间同步. 是由ESX直接提供时间给VM(而不是上述的时钟中断, 标记, 由VM自己计算出时间). VM必需安装VMWARE TOOLS. 然后在VMWARE TOOLS的配置中选择: 与ESX HOST同步. 如果是WINDOWS VM, 必需关闭WINDOWS TIME SERVICE, 否则WINDOWS TIME SERVICE将霸占UDP 123口, 使与ESX的时间同步无法正常进行.

VM与ESX时间同步, 只有当VM的时间>>落后<<于ESX时才能起到校正的作用!

如果不采用VM与ESX进行时间同步. VM可以与其他NTP时间源同步. 加入了WINDOWS AD的WINDOWS PC/服务器, 一般莫认与PD同步. 其他的需要手动设置.

1、windows os关闭时钟同步功能，安装vmware-tools,设置同步为开。
2、linux os 关闭ntpd服务，安装vmware-tools ,设置同步为开，或者直接编辑vmx文件，并加入：
tools.syncTime = “TRUE”。

Share This

[root@idc ~]# rpm -qa |grep snmp

net-snmp-libs-5.1.2-11.EL4.7

net-snmp-5.1.2-11.EL4.7

如果没有，那么放入linux安装盘找到snmp的rpm包进行安装，或者到网上搜索适合自己linux发行版本的rpm包进行安装
在新版本的centos及redhat es版本中可能在安装时会提示依赖性错误，这时需要安装lm_sensors-2.8.7-2.40.3.i386.rpm，再安装netsnmp软件。

2、snmpd.conf文件配置

按照如下方式修改snmpd.conf文件

A、修改默认的community string

com2sec notConfigUser default public

将public修改为你才知道的字符串

B、把下面的#号去掉

#view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc

C、把下面的语句

access notConfigGroup “” any noauth exact systemview none none

改成：

access notConfigGroup “” any noauth exact mib2 none none

3、重启snmpd服务

#/etc/rc.d/init.d/snmpd restart

完成snmpd的配置

4、确保linux的iptables防火墙对我们的流量监控服务器开放了udp 161端口的访问权限

可使用iptables –L –n 查看当前iptables规则

可编辑/etc/sysconfig/iptables文件来修改iptables规则。

把snmpd服务添加为自启动

chkconfig snmpd on

可以用chkconfig –list |grep on 来查看是否已经是自启组

如果chkconfig –list |grep snmpd 没有的话可以先用以下命令增加

chkconfig –add snmpd

Share This