- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-IP性能优化配置
本章节下载: 06-IP性能优化配置 (167.21 KB)
目 录
在一些特定的网络环境里,可以通过调整IP的参数,以使网络性能达到最佳。IP性能的优化配置包括:
· 配置TCP连接的缓冲区大小
· 配置TCP定时器
· 配置ICMP差错报文发送功能
定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。
· 在接收定向广播报文的情况下,如果在接口上配置了此命令,设备允许接收此接口直连网段的定向广播报文。
· 在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文。
黑客可以利用定向广播报文来攻击网络系统,给网络的安全带来了很大的隐患。但在某些应用环境下,设备接口需要接收或转发这类定向广播报文,例如使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。.
在上述情况下,用户可以通过命令配置接口允许接收和转发直连网段的定向广播报文。
如图1-1所示,Host的接口和Switch的VLAN接口3处于同一个网段(1.1.1.0/24),Switch的VLAN接口2和Server处于另外一个网段(2.2.2.0/24)。Host上配置默认网关为Switch的VLAN接口3的地址(1.1.1.2/24)。
要求通过配置使得Server可以收到Host发送的定向广播报文。
# 配置VLAN接口3的IP地址。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 1.1.1.2 24
[Switch-Vlan-interface3] quit
# 配置VLAN接口2的IP地址,并允许VLAN接口2转发面向直连网段的定向广播报文。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 2.2.2.2 24
[Switch-Vlan-interface2] ip forward-broadcast
表1-2 配置TCP连接的缓冲区大小
|
配置TCP连接的接收和发送缓冲区的大小 |
缺省情况下,TCP连接的接收和发送缓冲区大小为64KB |
可以配置的TCP定时器包括:
· synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接建立不成功。
· finwait定时器:当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前没有收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
表1-3 配置TCP定时器
|
配置TCP的synwait定时器超时时间 |
缺省情况下,synwait定时器超时时间为75秒 |
|
|
配置TCP的finwait定时器超时时间 |
缺省情况下,finwait定时器超时时间为675秒 |
发送差错报文是ICMP(Internet Control Message Protocol,互联网控制报文协议)的主要功能之一。ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。
重定向报文、超时报文、目的不可达报文是ICMP差错报文中的三种。下面分别介绍这三种差错报文发送的条件及作用。
(1) ICMP重定向报文发送功能
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送。
满足下列条件时,设备会发送ICMP重定向报文:
· 被选择的路由本身没有被ICMP重定向报文创建或修改过;
· 被选择的路由不是到默认目的地(0.0.0.0)的路由;
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。
(2) ICMP超时报文发送功能
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
· 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
· 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
(3) ICMP目的不可达报文发送功能
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
· 设备在转发报文时,如果在路由表中没有找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
· 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
· 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
· 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
· 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。
ICMP差错报文的发送虽然方便了网络的控制管理,但是也存在缺限:发送大量的ICMP报文,增大网络流量;如果有用户发送ICMP差错报文进行恶意攻击,会导致设备性能下降或影响正常工作。
为了避免上述现象发生,可以关闭设备的ICMP差错报文发送功能,从而减少网络流量、防止遭到恶意攻击。
表1-4 配置ICMP差错报文发送功能
|
开启ICMP重定向报文发送功能 |
缺省情况下,ICMP重定向报文发送功能处于关闭状态 |
|
|
开启ICMP超时报文发送功能 |
缺省情况下,ICMP超时报文发送功能处于关闭状态 |
|
|
开启ICMP目的不可达报文发送功能 |
缺省情况下,ICMP目的不可达报文发送功能处于关闭状态 |
· 关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
· 设备开启DHCP服务后,在未发送ICMP回显请求(ECHO-REQUEST)报文情况下,收到非法ICMP回显应答(ECHO-REPLY)报文,此时设备不会回应“协议不可达”ICMP差错报文报文。关于DHCP的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。
报文分片后,可能会存在后片先到的情况,导致一些业务模块的报文处理复杂度过高,需要在收到IP报文后就对分片报文进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文。
同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测与防范。如果设备检测到分片攻击,则会丢弃收到的分片报文,从而提高了设备的安全性。
· Tiny Fragment攻击:如果设备收到首片分片报文的数据长度小于四层协议(如:TCP、UDP)头长度,并且四层协议头字段放在第二个分片中,则认为是受到了Tiny Fragment攻击。
· Overlapping Fragment攻击:如果设备收到了完全相同的分片报文,或者收到的分片报文与其前一分片或后一分片出现重叠时,则认为是受到了Overlapping Fragment攻击。
· Buffer Overflow攻击:如果设备收到的分片报文个数超过了指定的队列允许的最大分片报文个数或者设备上创建的分片队列个数超过了指定的最大分片队列个数,则认为是受到了Buffer Overflow攻击。
配置IP虚拟分片重组功能时,需要注意的是:
· 只能在报文的入接口配置IP虚拟分片重组功能。
· 不支持与负载分担功能同时使用,即不支持同一个IP报文的不同分片从不同的接口到达。
表1-5 配置IP虚拟分片重组功能
|
配置IP虚拟分片重组功能 |
缺省情况下,IP虚拟分片重组功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置IP性能优化功能后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除IP、TCP和UDP的流量统计信息。
表1-6 IP性能优化显示和维护
|
显示RawIP连接摘要信息 |
|
|
显示RawIP连接详细信息 |
display rawip verbose [ slot slot-number [ pcb pcb-index ] ] |
|
显示TCP连接摘要信息 |
|
|
显示TCP连接详细信息 |
|
|
显示UDP连接摘要信息 |
|
|
显示UDP连接详细信息 |
|
|
显示IP报文统计信息 |
|
|
display ip virtual-reassembly [ interface interface-type interface-number ] |
|
|
显示TCP连接的流量统计信息 |
|
|
显示UDP流量统计信息 |
|
|
显示ICMP流量统计信息 |
|
|
清除IP报文统计信息 |
|
|
清除TCP连接的流量统计信息 |
|
|
清除UDP流量统计信息 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
