• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04 三层技术-IP业务配置指导

目录

05-IP性能优化配置

本章节下载 05-IP性能优化配置  (206.01 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Operation_Manual/H3C_CE3000-32F-EI_CG-Release_1211-6W100/04/201107/721370_30005_0.htm

05-IP性能优化配置


1 IP性能优化配置

本文中所指的“接口”,代表了一般意义下的三层接口以及配置为三层模式的以太网端口,有关以太网端口模式切换的操作,请参见“二层技术-以太网交换配置指导”中的“以太网端口配置”。

 

1.1  IP性能优化简介

在一些特定的网络环境里,可以通过调整IP的参数,以使网络性能达到最佳。IP性能的优化配置包括:

l              配置允许接收和发送定向广播报文

l              配置TCP连接的接收和发送缓冲区的大小

l              配置TCP定时器

l              配置ICMP差错报文发送功能

l              配置ICMP携带扩展信息功能

1.2  配置允许接收和发送定向广播报文

定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。

如果允许设备接收并转发目的地址为接口所在网络的定向广播报文,黑客就可以利用这样的报文来攻击网络系统,给网络的安全带来了很大的隐患。但在某些应用环境下,设备又需要转发定向广播报文,例如:使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。

在上述情况下,用户可以通过命令配置设备允许接收和转发定向广播报文。

1.2.1  配置允许接收定向广播报文

如果允许设备接收定向广播报文,则由接口上的配置决定是否转发该报文;否则,直接丢弃定向广播报文。

表1-1 配置允许接收定向广播报文

操作

命令

说明

进入系统视图

system-view

-

配置允许设备接收定向广播报文

ip forward-broadcast

必选

缺省情况下,不允许设备接收定向广播报文

 

1.2.2  配置允许转发定向广播报文

表1-2 配置允许转发定向广播报文

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置允许接口转发定向广播报文

ip forward-broadcast [ acl acl-number ]

必选

缺省情况下,禁止接口转发定向广播报文

 

l          允许接口转发定向的广播报文时,如果配置了ACL规则,则在转发广播报文的同时还需要对报文进行过滤,不符合ACL规则的报文将被丢弃,只转发符合ACL规则的报文。

l          如果在同一接口下重复执行ip forward-broadcast acl命令,则后面配置的ACL会覆盖以前配置的ACL;如果后配置的命令不带acl acl-number,则以前配置中的ACL规则将被取消。

 

1.2.3  允许接收和发送定向广播报文配置举例

1. 组网需求

图1-1所示,Host的接口和Switch的VLAN接口3处于同一个网段(1.1.1.0/24),Switch的VLAN接口2和Server的接口处于另外一个网段(2.2.2.0/24)。Host上配置默认网关为Switch的VLAN接口3的地址(1.1.1.2/24)。

要求通过配置使得Server可以收到Host发送的定向广播报文。

2. 组网图

图1-1 配置收发定向广播报文组网图

 

3. 配置步骤

# 配置允许Switch接收定向的广播报文。

<Switch> system-view

[Switch] ip forward-broadcast

# 配置VLAN接口3和VLAN接口2的IP地址。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 1.1.1.2 24

[Switch-Vlan-interface3] quit

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 2.2.2.2 24

# 配置允许VLAN接口2转发定向广播报文。

[Switch-Vlan-interface2] ip forward-broadcast

1.3  配置TCP属性

1.3.1  配置TCP连接的接收和发送缓冲区大小

表1-3 配置TCP连接的接收和发送缓冲区大小

操作

命令

说明

进入系统视图

system-view

-

配置TCP连接的接收和发送缓冲区的大小

tcp window window-size

可选

缺省情况下,TCP连接的接收和发送缓冲区大小为8KB

 

1.3.2  配置TCP定时器

可以配置的TCP定时器包括:

l              synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接建立不成功。

l              finwait定时器:当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前没有收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。

表1-4 配置TCP定时器

操作

命令

说明

进入系统视图

system-view

-

配置TCP的synwait定时器超时时间

tcp timer syn-timeout time-value

可选

缺省情况下,synwait定时器超时时间为75秒

配置TCP的finwait定时器超时时间

tcp timer fin-timeout time-value

可选

缺省情况下,finwait定时器超时时间为675秒

 

finwait定时器的实际超时时间由如下公式决定:finwait定时器的实际超时时间=(配置的finwait定时器超时时间-75)+配置的synwait定时器超时时间。

 

1.4  配置ICMP差错报文发送功能

1.4.1  ICMP差错报文发送功能简介

发送差错报文是ICMP(Internet Control Message Protocol,互联网控制报文协议)的主要功能之一。差错报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。

1. ICMP差错报文发送功能的作用

重定向报文、超时报文、目的不可达报文是ICMP差错报文中的三种。下面分别介绍这三种差错报文发送的条件及作用。

(1)        ICMP重定向报文发送功能

主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送。

满足下列条件时,设备会发送ICMP重定向报文:

l              接收和转发数据报文的接口是同一接口;

l              被选择的路由本身没有被ICMP重定向报文创建或修改过;

l              被选择的路由不是设备的默认路由;

l              数据报文中没有源路由选项。

ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。

(2)        ICMP超时报文发送功能

ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。

设备在满足下列条件时会发送ICMP超时报文:

l              设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;

l              设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。

(3)        ICMP目的不可达报文发送功能

ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。

设备在满足下列条件时会发送目的不可达报文:

l              设备在转发报文时,如果在路由表中没有找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;

l              设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;

l              设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;

l              源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;

l              设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。

2. ICMP差错报文发送功能的弊端

ICMP差错报文的发送虽然方便了网络的控制管理,但也存在一定的弊端:

l              由于发送大量的ICMP报文,增大了网络流量。

l              如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备会因为处理大量该类报文而导致性能降低。

l              由于重定向功能会在主机的路由表中增加主机路由,当增加的主机路由很多时,会降低主机性能。

l              由于ICMP目的不可达报文传递给用户进程的信息为不可达信息,如果有用户恶意攻击,可能会影响终端用户的正常使用。

为了避免上述现象发生,可以关闭设备的ICMP差错报文发送功能,从而减少网络流量、防止遭到恶意攻击。

1.4.2  配置ICMP差错报文发送功能

表1-5 配置ICMP差错报文发送功能

操作

命令

说明

进入系统视图

system-view

-

开启ICMP重定向报文发送功能

ip redirects enable

必选

缺省情况下,ICMP重定向报文发送功能处于关闭状态

开启ICMP超时报文发送功能

ip ttl-expires enable

必选

缺省情况下,ICMP超时报文发送功能处于关闭状态

开启ICMP目的不可达报文发送功能

ip unreachables enable

必选

缺省情况下,ICMP目的不可达报文发送功能处于关闭状态

 

关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。

 

1.5  配置ICMP携带扩展信息功能

1.5.1  ICMP携带扩展信息功能简介

传统的ICMP报文格式是固定的,不能携带扩展信息。在使能ICMP携带扩展信息功能后,设备可以在需要的时候在ICMP报文的后面加上扩展信息字段。目前,设备仅支持在ICMP报文中扩展携带MPLS标签信息。

1. ICMP携带扩展信息的作用

在MPLS网络中,当报文在转发过程中出现TTL超时后,MPLS会剥离掉MPLS头,构造一个ICMP TTL超时报文,送到MPLS隧道出口,隧道出口再重新把报文回送给隧道的源端。传统ICMP报文里面不能携带标签等信息,而这些信息对于源端来说却非常重要。使能ICMP携带扩展信息功能后,设备可以在TTL超时后,把当时的标签附加到TTL超时报文的后面,回送给源端。

ICMP携带扩展信息功能通常在MPLS网络中进行Tracert时使用,通过在ICMP报文中携带标签,就可以打印出MPLS转发过程每一跳的标签信息。

2. ICMP携带扩展信息功能原理

ICMP报文可以分为三类:

l              传统ICMP报文:报文中不携带扩展信息。

l              携带长度字段的扩展ICMP报文:报文中携带扩展信息,并且携带长度字段,长度字段的值为ICMP头后面的原始数据长度(不包含扩展信息的长度)。此类报文符合RFC 4884的要求。

l              不携带长度字段的扩展ICMP报文:报文中携带扩展信息,但是不携带长度字段。此类报文不符合RFC 4884的要求。

根据设备对三类ICMP报文的处理机制,可将设备分为三种模式:传统模式、兼容模式和非兼容模式。三种模式设备对三类ICMP报文的处理机制如表1-6所示。

表1-6 三种模式设备对三类ICMP报文的处理机制

设备模式

可以发送的ICMP报文

可以正确接收的ICMP报文

备注

传统模式

传统ICMP报文

传统ICMP报文

如果收到扩展ICMP报文,不会处理报文中的扩展信息

兼容模式

传统ICMP报文

携带长度字段的扩展ICMP报文

传统ICMP报文

携带长度字段的扩展ICMP报文

如果收到不携带长度字段的扩展ICMP报文,则认为报文不携带扩展信息,按传统ICMP报文进行处理

非兼容模式

传统ICMP报文

不携带长度字段的扩展ICMP报文

传统ICMP报文

携带长度字段的扩展ICMP报文

不携带长度字段的扩展ICMP报文

-

 

IPv4的重定向报文、超时报文、目的不可达报文,以及IPv6的目的不可达、超时报文可以携带扩展信息,其余类型的ICMP/ICMPv6报文不能携带扩展信息。

 

1.5.2  配置ICMP携带扩展信息功能

表1-7 配置ICMP携带扩展信息功能

操作

命令

说明

进入系统视图

system-view

-

使能ICMP携带扩展信息功能,采用兼容模式

ip icmp-extensions compliant

可选

缺省情况下,ICMP不携带扩展信息

使能ICMP携带扩展信息功能,采用非兼容模式

ip icmp-extensions non-compliant

可选

缺省情况下,ICMP不携带扩展信息

 

关闭ICMP携带扩展信息功能后,设备发送的ICMP报文都不携带扩展信息。

 

1.6  IP性能优化显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置IP性能后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令清除IP、TCP和UDP的流量统计信息。

表1-8 IP性能优化显示和维护

操作

命令

显示TCP连接的流量统计信息

display tcp statistics [ | { begin | include | exclude } regular-expression ]

显示UDP流量统计信息

display udp statistics [ | { begin | include | exclude } regular-expression ]

显示IP报文统计信息

display ip statistics [ slot slot-number ] [ | { begin | include | exclude } regular-expression ]

显示ICMP流量统计信息

display icmp statistics [ slot slot-number ] [ | { begin | include | exclude } regular-expression ]

显示套接口信息

display ip socket [ socktype sock-type ] [ task-id socket-id ] [ slot slot-number ] [ | { begin | include | exclude } regular-expression ]

显示FIB信息

display fib [ vpn-instance vpn-instance-name ] [ acl acl-number | ip-prefix ip-prefix-name ] [ | { begin | include | exclude } regular-expression ]

显示与指定目的IP地址匹配的FIB信息

display fib [ vpn-instance vpn-instance-name ] ip-address [ mask | mask-length ] [ | { begin | include | exclude } regular-expression ]

清除IP报文统计信息

reset ip statistics [ slot slot-number ]

清除TCP连接的流量统计信息

reset tcp statistics

清除UDP流量统计信息

reset udp statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们