- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-IP性能优化配置
本章节下载: 06-IP性能优化配置 (251.75 KB)
如下所有配置均为可选,请根据实际情况选择配置。
· 配置IP报文功能
· 配置ICMP报文功能
· 配置TCP报文功能
¡ 配置TCP定时器
当设备使用某个接口发送报文时,发现报文长度大于该接口的发送IPv4报文的MTU值,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置发送IPv4报文的MTU。
ip mtu mtu-size
缺省情况下,未配置接口发送IPv4报文的MTU。
当某单板收到目的为本设备的IP分片报文时,需要把分片报文送到主用主控板进行重组,这样会导致报文重组性能较低的问题。当开启IP分片报文本地重组功能后,分片报文会在该单板直接进行报文重组,这样就能提高报文的重组性能。开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的单板进入的,会导致IP分片报文本地无法重组成功。
(1) 进入系统视图。
system-view
(2) 开启IP分片报文本地重组功能。
ip reassemble local enable
缺省情况下,IP分片报文本地重组功能处于关闭状态。
开启本功能后,设备会统计接口接收的IP报文的数量,该统计信息可通过display ip interface命令查看。
当接口报文流量过大时,开启本功能会造成设备CPU占用率高,影响转发性能。如果用户不需要统计接口接收的IP报文数量,建议关闭本功能。
开启三层报文统计功能时,如果未指定broadcast、multicast、unicast参数,则表示同时开启广播,组播和单播三层报文的统计功能。
开启三层报文统计功能时,如果指定了broadcast、multicast、unicast中的部分参数,则表示开启指定类型的三层报文的统计功能。
关闭三层报文统计功能时,如果未指定broadcast、multicast、unicast参数,则表示同时关闭广播,组播和单播三层报文的统计功能。
关闭三层报文统计功能时,如果指定了broadcast、multicast、unicast中的部分参数,则表示关闭指定类型的三层报文的统计功能。
(1) 进入系统视图。
system-view
(2) 接入接口视图。
interface interface-type interface-number
(3) 开启三层报文统计功能。
statistics l3-packet enable { inbound | outbound } [ broadcast | multicast | unicast ] *
缺省情况下,三层报文统计功能处于关闭状态。
ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。ICMP差错报文的发送虽然方便了网络的控制管理,但是也存在缺陷:发送大量的ICMP报文,增大网络流量;如果有用户发送ICMP差错报文进行恶意攻击,会导致设备性能下降或影响正常工作。为了避免上述现象发生,缺省情况下,ICMP差错报文发送功能处于关闭状态,用户可以根据需要开启ICMP差错报文发送功能。
ICMP差错报文包括重定向报文、超时报文和目的不可达报文。
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送。
满足下列条件时,设备会发送ICMP重定向报文:
· 接收和转发数据报文的接口是同一接口;
· 被选择的路由本身没有被ICMP重定向报文创建或修改过;
· 被选择的路由不是到默认目的地(0.0.0.0)的路由;
· 数据报文中没有源路由选项。
(1) 进入系统视图。
system-view
(2) 开启ICMP重定向报文发送功能。
ip redirects enable
缺省情况下,ICMP重定向报文发送功能处于关闭状态。
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
· 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
· 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
(1) 进入系统视图。
system-view
(2) 开启ICMP超时报文发送功能。
ip ttl-expires enable
缺省情况下,ICMP超时报文发送功能处于关闭状态。
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
设备在满足下列条件时会发送目的不可达报文:
· 设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
· 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
· 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
· 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
· 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。
设备开启DHCP服务后,在未发送ICMP回显请求(ECHO-REQUEST)报文情况下,收到非法ICMP回显应答(ECHO-REPLY)报文,此时设备不会回应“协议不可达”ICMP差错报文。执行dhcp enable命令可以启动DHCP服务,关于dhcp enable命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”。
(1) 进入系统视图。
system-view
(2) 开启ICMP目的不可达报文发送功能。
ip unreachables enable
缺省情况下,ICMP目的不可达报文发送功能处于关闭状态。
如果网络中短时间内发送的ICMP差错报文过多,将可能导致网络拥塞。为了避免这种情况,用户可以控制设备在指定时间内发送ICMP差错报文的最大数目,目前采用令牌桶算法来实现。
用户可以设置令牌桶的容量,即令牌桶中可以同时容纳的令牌数;同时可以设置令牌桶的刷新周期,即每隔多长时间发放一个令牌到令牌桶中,直到令牌桶中的令牌数达到配置的容量。一个令牌表示允许发送一个ICMP差错报文,每当发送一个ICMP差错报文,则令牌桶中减少一个令牌。如果连续发送的ICMP差错报文超过了令牌桶的容量,则后续的ICMP差错报文将不能被发送出去,直到按照所设置的刷新频率将新的令牌放入令牌桶中。
(1) 进入系统视图。
system-view
(2) 配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量。
ip icmp error-interval interval [ bucketsize ]
缺省情况下,令牌刷新周期为100毫秒,令牌桶容量为10。
刷新周期为0时,表示不限制ICMP差错报文的发送。
为了防止ICMP分片报文攻击,用户可以关闭设备的ICMP分片报文转发功能,对于收到的ICMP分片报文不进行转发。
(1) 进入系统视图。
system-view
(2) 关闭ICMP分片报文转发功能。
ip icmp fragment discarding
缺省情况下,ICMP分片报文转发功能处于开启状态。
在网络中IP地址配置较多的情况下,收到ICMP报文时,用户很难根据报文的源IP地址判断报文来自哪台设备。为了简化这一判断过程,可以指定ICMP报文源地址。用户配置特定地址(如环回口地址)为ICMP报文的源地址,可以简化判断。
设备发送ICMP差错报文(TTL超时、端口不可达和参数错误等)和ping echo request报文时,都可以通过上述命令指定报文的源地址。
用户发送ping echo request报文时,如果ping命令中已经指定源地址,则使用该源地址,否则使用ip icmp source配置的源地址。
(1) 进入系统视图。
system-view
(2) 指定ICMP报文源地址。
ip icmp source [ vpn-instance vpn-instance-name ] ip-address
缺省情况下,未指定ICMP报文源地址。
发送ICMP差错报文(TTL超时、端口不可达和参数错误等)时,设备使用触发ICMP差错报文的原始报文的入接口IP地址作为ICMP报文源地址。
发送ICMP echo request报文时,设备使用出接口IP地址作为ICMP报文源地址。
发送ICMP echo reply报文时,设备使用ICMP echo request报文的目的地址作为ICMP报文源地址。
本功能用来开启发送指定类型的ICMP报文的功能。缺省情况下,设备支持发送大多数类型的ICMP报文,这样可能会存在安全隐患。例如设备发出的时间戳请求应答、掩码请求应答、网络重定向和网络不可达等报文,其携带的设备相关信息可能给被攻击者获取并发起攻击。为了提高安全性,可以关闭设备对指定类型的ICMP报文的发送功能。
请根据网络实际情况执行本功能,随意关闭发送指定类型的ICMP报文的功能,可能会影响网络的正常运行。
ICMP目的不可达报文发送功能同时受本功能和ip unreachables enable命令的控制。只要一方开启,ICMP目的不可达报文发送功能就处于开启状态。
ICMP超时报文发送功能同时受本功能和ip ttl-expires enable命令的控制。只要一方开启,ICMP超时报文发送功能就处于开启状态。
ICMP重定向报文发送功能同时受本功能和ip redirects enable命令的控制。只要一方开启,ICMP重定向报文发送功能就处于开启状态。
(1) 进入系统视图。
system-view
(2) 开启发送指定类型的ICMP报文的功能。
ip icmp { name icmp-name | type icmp-type code icmp-code } send enable
缺省情况下,发送ICMP目的不可达报文、ICMP超时报文和ICMP重定向报文功能处于关闭状态;发送其它ICMP报文功能处于开启状态。
本功能用于开启接收指定类型的ICMP报文的功能。缺省情况下,设备会接收所有类型的ICMP报文,这会产生安全隐患。例如设备短时间内收到大量的回送请求报文时,会影响设备性能,导致设备无法正常运行。为了提高安全性,可以关闭设备接收指定类型的ICMP报文的功能。
请根据网络实际情况执行本功能,随意关闭接收指定类型的ICMP报文的功能,可能会影响网络的正常运行。
(1) 进入系统视图。
system-view
(2) 开启接收指定类型的ICMP报文的功能。
ip icmp { name icmp-name | type icmp-type code icmp-code } receive enable
缺省情况下,设备会接收所有类型的ICMP报文。
SYN Cookie功能用来防止SYN Flood攻击。SYN Flood攻击中,攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接。从而,达到耗费设备资源,使设备无法处理正常业务的目的。配置SYN Cookie功能后,当设备收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。设备接收到发起者回应的ACK报文后,建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在设备上建立大量的TCP半连接,防止设备受到SYN Flood攻击。
(1) 进入系统视图。
system-view
(2) 开启SYN Cookie功能。
tcp syn-cookie enable
缺省情况下,SYN Cookie功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置TCP连接的接收和发送缓冲区的大小。
tcp window window-size
缺省情况下,TCP连接的接收和发送缓冲区大小为63KB。
可以配置的TCP定时器包括:
· synwait定时器:当发送SYN报文时,TCP启动synwait定时器和重传SYN报文定时器,当synwait定时器超时且SYN报文重传未达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功;当synwait定时器未超时但是SYN报文重传达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功。
· finwait定时器:当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前未收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
(1) 进入系统视图。
system-view
(2) 配置TCP的synwait定时器超时时间。
tcp timer syn-timeout time-value
缺省情况下,synwait定时器超时时间为75秒。
(3) 配置TCP的finwait定时器超时时间。
tcp timer fin-timeout time-value
缺省情况下,finwait定时器超时时间为675秒。
TCP报文中携带TCP时间戳选项信息时,建立TCP连接的两台设备通过TCP报文中的时间戳字段就可计算出RTT(Round Trip Time,往返时间)值。在某些组网中,由于安全隐患,需要防止TCP连接上的中间设备获取到TCP时间戳信息,可以在建立TCP连接任意一端关闭发送TCP报文时添加时间戳选项信息功能。
(1) 进入系统视图。
system-view
(2) 配置发送TCP报文时添加TCP时间戳选项信息。
tcp timestamps enable
缺省情况下,发送TCP报文时会添加TCP时间戳选项信息。
在完成上述配置后,在任意视图下执行display命令可以显示配置IP性能优化功能后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除IP、TCP和UDP的流量统计信息。
表1-1 IP性能优化显示和维护
|
操作 |
命令 |
|
显示RawIP连接摘要信息 |
display rawip [ slot slot-number ] |
|
显示RawIP连接详细信息 |
display rawip verbose [ slot slot-number [ pcb pcb-index ] ] |
|
显示TCP连接摘要信息 |
display tcp [ slot slot-number ] |
|
显示TCP连接详细信息 |
display tcp verbose [ slot slot-number [ pcb pcb-index ] ] |
|
显示UDP连接摘要信息 |
display udp [ slot slot-number ] |
|
显示UDP连接详细信息 |
display udp verbose [ slot slot-number [ pcb pcb-index ] ] |
|
显示IP报文统计信息 |
display ip statistics display ip statistics [ slot slot-number ] |
|
显示TCP连接的流量统计信息 |
display tcp statistics [ slot slot-number ] |
|
显示UDP流量统计信息 |
display udp statistics [ slot slot-number ] |
|
显示ICMP流量统计信息 |
display icmp statistics [ slot slot-number ] |
|
清除IP报文统计信息 |
reset ip statistics [ slot slot-number ] |
|
清除TCP连接的流量统计信息 |
reset tcp statistics |
|
清除UDP流量统计信息 |
reset udp statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
