Windows NAT网关高并发短连接易因临时端口耗尽导致连接失败,需扩展临时端口范围(如1025–65535)、缩短TIME_WAIT时间(设TCPTimedWaitDelay为30秒)、合理启用SO_REUSEADDR复用端口,并配合连接池与keep-alive优化。
windows 环境下 nat 网关(如 windows 自带的 internet 连接共享 ics、或基于 rras 配置的 nat)在高并发短连接场景中,容易因临时端口(ephemeral port)耗尽导致新连接失败,表现为 wsaenobufs、cannot assign requested address 或连接超时。核心问题不在“nat 设备本身”,而在于 windows 主机作为 nat 出口时,其 tcp/ip 栈为每个出站连接分配一个本地临时端口,且端口复用受限。
确认并扩大临时端口范围
Windows 默认临时端口范围是 49152–65535(共 16384 个),在每秒数百连接的场景下极易耗尽。需主动扩展:
- 以管理员身份运行命令提示符,执行:
netsh int ipv4 set dynamicport tcp start=1025 num=64511
(将 TCP 临时端口设为 1025–65535,共 64511 个;也可按需设为 32768–65535) - 同样设置 UDP(若 NAT 转发 UDP 流量):
netsh int ipv4 set dynamicport udp start=1025 num=64511 - 修改后需重启相关服务(如 RRAS)或重启系统生效
缩短 TIME_WAIT 状态持续时间
大量短连接关闭后进入 TIME_WAIT,占用端口约 4 分钟(2×MSL)。在高并发下堆积严重。可通过注册表降低:
- 打开注册表编辑器,定位:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters - 新建 DWORD(32 位)值:
MaxUserPort(已通过 netsh 设置可忽略)
TCPTimedWaitDelay,数值数据设为 30(单位秒,最小可设 30,不建议低于 30) - 重启系统使生效
启用端口复用(SO_REUSEADDR + SO_EXCLUSIVEADDRUSE 平衡)
仅靠调大端口和缩小时长仍可能不足。关键是在应用层或服务配置中合理启用地址复用:
- 对于自研代理或转发服务(如基于 Winsock 的 NAT 服务),创建 socket 时应设置:
setsockopt(..., SOL_SOCKET, SO_REUSEADDR, ...)
允许绑定处于 TIME_WAIT 的端口(需确保无连接冲突) - 避免滥用
SO_EXCLUSIVEADDRUSE,它会阻止复用,加剧耗尽 - 若使用 Windows RRAS NAT,其底层不暴露 socket 控制,此时更依赖前两项系统级调优
限制连接频次与启用连接池
运维层面需协同业务优化,不能只靠系统参数硬扛:
- 对内网客户端,强制使用 HTTP/1.1 keep-alive 或升级至 HTTP/2,减少短连接数量
- 在代理层(如 Nginx、Caddy 前置)启用 upstream 连接池,复用到后端的连接
- 监控指标:通过
netstat -an | find ":<port>" | find "TIME_WAIT" | wc -l</port>或性能计数器 IPv4\Datagrams/sec 和 TCPv4\Connections Established 判断压力趋势
