ROS断流的问题，大家有没有见过？急呀！

power6

CPU用的是1.1G内存是256的，原来一直很好，这几天突然出现这个问题，时间一般不是很确定，有时在早上就打不开网页，有时在晚上9点以后出现，主要表现是能玩游戏，QQ也不掉线但聊天有点卡，网页打不开。有时十几分钟就好，有时一夜也不行，如果重启设备正常了，打开内网的电影一切正常。关键是时间不确定，现在最高在线是60台用的是PPPOE方式。我找了一些文章，但有的地方看不明白，本人水平不行请教大家指点，我如何设置!谢谢！
  网上写的1：我仔细看了论坛里各位网友的帖子，认为断流问题是可以解决的。
　　
　　所谓断流： 在这里我定义断流为打网络游戏不断，但是看网页断断续续，甚至根本打不开的现象。
　　
　　问题分析：nat的原理即为将源地址转换为公网IP地址出去，对于TCP应用来说，在转换源IP地址的同时还将转换PORT.即一条TCP连接的地址转换关系为ip+port.router一般会建立一张NAT连接对应关系表。以便于数据报文回来的时候及时的将这条报文转换给当初发出TCP请求的机器……但是一般router在实现nat的时候会隐含两个条件，1）NAT很消耗资源，所以一般会对nat连接数进行限制。否则碰到有用户带病毒的胡乱建连接两下路由器就瘫痪了。2） nat对tcp udp icmp这类协议的nat转换对应关系表有一定的老化时间，时间一到对方没有数据回来该条连接就从对应关系表中删除。
　　
　　接着对问题进行分析，网络游戏不断说明接口没问题。而网页断断续续则是因为没有多余的连接条数了。为什么网络游戏能不断呢？因为网络游戏就那几条TCP连接。数据报文一直在发送，能保持NAT转换表项一直被刷新，把有限的连接条数占的很稳，当然不会断了。同理如果用FTP下载应该也是不会断的。
　　
　　问题解决：在做nat配置的时候，多做一条对于tcp协议的规则，在Extra中定义connection-limit的连接数更大一些。默认应该只是100条而已。 在这里我不确定connection-limit是针对一个IP地址100条NAT连接还是所有的IP地址最多只能建立100条NAT连接。这个需要机器多的朋友做下实验。但是我认为更改这个值，断流问题会得到解决。
　　
　　ps：connection-limit不建议配置过大，因为如果有病毒攻击可能会搞瘫痪router.建议针对每个client的ip地址配置nat的connection-limit数量为100.这样的解决方案比较完美一些。

power6

网上找的2：配置ros2.97成功解决网页无故断流问题


首先申明：所说的网页无故断流现象是说：内网内偶尔有个别电脑突然所有网页均无法打开，但qq，游戏正常，甚至ping网站也完全正常。重启电脑或等待几分钟后自动恢复上网。下面说说经过：
       第一次使用ros，装的是ghost版的2.97。由于初次接触，按照网上相关帖子做好配置（费了不少心思，三wan接入，下接bas收费服务器、三层交换，4VLan，做掉线自动切换代码依靠网上提供的方法皆不成功，可能是版本原因吧，熟悉了之后自己写的代码才实现。三层下面机器始终无法ping通ros，还好最终摸索成功），大功告成后，立即启用ros，情况良好，但运行不到两天，接到少许电话报告所有网页无法打开，自己上网也同样遇到次问题，不是全体电脑网页掉线，只是偶尔几台。没办法又撤下来，继续网上搜集相关帮助未果。差点死心了，但硬件路由太次了，每天必死一次，还不清楚什么原因，无赖继续上马ros，准备使用据说稳定的2826，装了一下感觉功能没有2.97的好，放弃！
       重新配置ros2.97，同样使用了网上现成的firewall，通过单机联网上网发现在firewall中的connecting的tcp状态比本机延迟很多（本机使用netstat观看当前tcp连接状态，跟ros上实事显示的不是很吻合，ros反映较慢，已经关闭的连接ros要一会才会消失。于是试着更改tracting设置，一直调到connecting与本机tcp连接状态几乎吻合为止。
       次日，硬路由无缘无故再次当掉，便立即换上ros，整天担心再次发生以前网页掉线状况，等了几天依然不见动静，哈哈，高兴死了，现在已经稳定运行了一个星期多了，没有打不开网页的时候，看来次问题已经解决。虽然不敢保证问题原因所在，但用的同样的ros，只是配置不同就解决问题，看来不说是配置的问题都不行了。我把我的tracking设置贴出来，大家有此问题也可以试试。。感觉最主要的是将
tcp-close-timeout设置为0s 。


# dec/01/2006 19:51:21 by RouterOS 2.9.7
# software id = B755-TNN
#
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=2m tcp-syn-received-timeout=1m \
     tcp-established-timeout=10h tcp-fin-wait-timeout=2m30s \
     tcp-close-wait-timeout=30s tcp-last-ack-timeout=30s \
     tcp-time-wait-timeout=5s tcp-close-timeout=0s udp-timeout=3m \
     udp-stream-timeout=30s icmp-timeout=30s generic-timeout=10m

power6

这些如何设置，我用的是网通的30M光纤网卡用的是INTER的.

psit

这个太精彩了，我现在也碰到这样的问题，回去一定要好好试验！

oops

我以前也是这样， 不过去掉防火墙就在没出现这个情况

psit

ip firewall nat>
chain=srcnat src-address=192.168.20.0/24 protocol=tcp connection-limit=3000,32 action=masquerade加了这么一句所有问题解决了！谢谢楼主的指点，第二点的tracking在加上面的规则之前没起到作用。
connection-limit=3000可能太大了点。
:victory: :victory: :victory: :victory:

power6

楼主的问题现在又出现了！不知是怎么 搞的！