dmesg 中的 nf_conntrack 投诉

在调查有关 HTTP 服务器性能不佳的投诉时，我发现我的 Xen XCP 主机的 dmesg 中有这样几行，该主机包含一个带有该服务器的客户操作系统：

[11458852.811070] net_ratelimit：抑制了 321 个回调
[11458852.811075] nf_conntrack：表已满，丢弃数据包。
[11458852.819957] nf_conntrack：表已满，丢弃数据包。
[11458852.821083] nf_conntrack：表已满，丢弃数据包。
[11458852.822195] nf_conntrack：表已满，丢弃数据包。
[11458852.824987] nf_conntrack：表已满，丢弃数据包。
[11458852.825298] nf_conntrack：表已满，丢弃数据包。
[11458852.825891] nf_conntrack：表已满，丢弃数据包。
[11458852.826225] nf_conntrack：表已满，丢弃数据包。
[11458852.826234] nf_conntrack：表已满，丢弃数据包。
[11458852.826814] nf_conntrack：表已满，丢弃数据包。

每五秒重复一次投诉（每次抑制的回调次数不同）。

这些症状意味着什么？这很严重吗？有什么提示吗？

（请注意，这个问题比“如何解决 HTTP 服务器性能不佳的具体情况”更窄，因此我不会提供更多细节。）

附加信息：

$ uname -a
Linux MYHOST 3.2.0-24-generic #37-Ubuntu SMP 2012 年 4 月 25 日星期三 08:43:22 UTC x86_64 x86_64 x86_64 GNU/Linux

$ lsb_release-a
无可用的 LSB 模块。
分销商 ID：Ubuntu
描述：Ubuntu 12.04 LTS
发行：12.04
代号：精确

$ cat /proc/sys/net/netfilter/nf_conntrack_max
1548576

该服务器的日点击量约为1000万次。

更新：

Dom0 上的 iptables：

$ iptables -L -t nat -v
链 PREROUTING（策略接受 23155 个数据包，1390K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输入（策略接受9个数据包，720字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输出（策略接受 27 个数据包，1780 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链 POSTROUTING（策略接受 23173 个数据包，1392K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标

$ iptables -L -v
链输入（策略接受13976个数据包，1015K字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链转发（策略接受 241K 数据包，24M 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输出（策略接受 13946 个数据包，1119K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标

其中一个 DomU 上的 iptables：

$ iptables -L -t nat -v
链 PREROUTING（策略接受 53465 个数据包，2825K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输入（策略接受 53466 个数据包，2825K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输出（策略接受 51527 个数据包，3091K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链 POSTROUTING（策略接受 51527 个数据包，3091K 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标

$ iptables -L -v
链输入（策略接受539K数据包，108M字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链转发（策略接受 0 个数据包，0 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输出（策略接受 459K 数据包，116M 字节）
 pkts 字节数 目标 协议 选择加入 退出 源 目标