- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-IP性能优化命令
本章节下载: 06-IP性能优化命令 (607.00 KB)
目 录
1.1.3 display packet-follow configuration
1.1.4 display packet-follow statistics
1.1.15 ip icmp fragment discarding
1.1.19 ip reassemble local enable
1.1.24 packet-follow receive interface
1.1.25 packet-follow receive match-rule
1.1.26 packet-follow receive match-rule acl
1.1.27 packet-follow send match-rule
1.1.28 packet-follow send match-rule acl
1.1.30 reset packet-follow statistics
1.1.33 snmp-agent trap enable tcp
1.1.34 statistics l3-packet enable
display icmp statistics命令用来显示ICMP流量统计信息。
【命令】
display icmp statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display icmp statistics命令用来显示设备接收和发送的各类ICMP流量的统计信息。
【举例】
# 显示ICMP流量统计信息。
<Sysname> display icmp statistics
Input: bad formats 0 bad checksum 0
echo 175 destination unreachable 0
source quench 0 redirects 0
echo replies 201 parameter problem 0
timestamp 0 information requests 0
mask requests 0 mask replies 0
time exceeded 0 invalid type 0
router advert 0 router solicit 0
broadcast/multicast echo requests ignored 0
broadcast/multicast timestamp requests ignored 0
Output: echo 0 destination unreachable 0
source quench 0 redirects 0
echo replies 175 parameter problem 0
timestamp 0 information replies 0
mask requests 0 mask replies 0
time exceeded 0 bad address 0
packet error 1442 router advert 3
表1-1 display icmp statistics命令显示信息描述表
|
字段 |
描述 |
|
bad formats |
输入的格式错误报文数 |
|
bad checksum |
输入的校验和错误报文数 |
|
echo |
输入/输出的响应请求报文数 |
|
destination unreachable |
输入/输出的目的不可达报文数 |
|
source quench |
输入/输出的源站抑制报文数 |
|
redirects |
输入/输出的重定向报文数 |
|
echo replies |
输入/输出的响应应答报文数 |
|
parameter problem |
输入/输出的参数错误报文数 |
|
timestamp |
输入的时间戳请求报文数/输出的时间戳应答报文数 |
|
information requests |
输入的信息请求报文数 |
|
mask requests |
输入/输出的掩码请求报文数 |
|
mask replies |
输入/输出的掩码应答报文数 |
|
invalid type |
输入的非法类型报文数 |
|
router solicit |
输入的路由器请求报文数 |
|
broadcast/multicast echo requests ignored |
输入的广播/组播响应请求丢弃报文数 |
|
broadcast/multicast timestamp requests ignored |
输入的广播/组播时戳请求丢弃报文数 |
|
information replies |
输出的信息应答报文数 |
|
time exceeded |
输入/输出的超时报文数 |
|
bad address |
输出的目的地址非法报文数 |
|
packet error |
输出的错误报文数 |
|
router advert |
输入/输出的路由器公告报文数 |
display ip statistics命令用来显示IP报文统计信息。
【命令】
display ip statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display ip statistics命令用来显示IP报文统计信息,包括接收报文、发送报文、分片、重组的统计信息。
如需统计本命令显示信息中Input和Output的值,请配置statistics l3-packet enable命令;如果不需要统计这些参数,则不需要配置,以免影响设备性能。
【举例】
# 显示IP报文统计信息。
<Sysname> display ip statistics
Input: sum 7120 local 112
bad protocol 0 bad format 0
bad checksum 0 bad options 0
Output: forwarding 0 local 27
dropped 0 no route 2
compress fails 0
Fragment:input 0 output 0
dropped 0
fragmented 0 couldn't fragment 0
Reassembling:sum 0 timeouts 0
表1-2 display ip statistics命令显示信息描述表
|
字段 |
描述 |
|
Input: |
接收报文的统计信息,包括: · sum:接收报文总数 · local:接收的目的地址是本地的报文数 · bad protocol:未知协议的报文数 · bad format:格式错误的报文数 · bad checksum:校验和错误的报文数 · bad options:选项错误的报文数 |
|
Output: |
发送报文的统计信息,包括: · forwarding:转发的报文数 · local:本地发送报文数 · dropped:发送时丢弃的报文数 · no route:查不到路由的报文数 · compress fails:压缩失败的报文数 |
|
Fragment: |
分片报文的统计信息,包括: · input:接收的分片报文数 · output:发送的分片报文数 · dropped:丢弃的分片报文数 · fragmented:分片成功的报文数 · couldn't fragment:分片失败的报文数 |
|
Reassembling: |
重组报文的统计信息,包括: · sum:重组的报文总数 · timeouts:重组超时的分片报文数 |
【相关命令】
· display ip interface(三层技术-IP业务命令参考/IP地址)
· reset ip statistics
· statistics l3-packet enable
display packet-follow configuration命令用来显示报文追踪功能的配置。
【命令】
display packet-follow configuration [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【举例】
#显示Slot 1报文追踪功能的配置。
<Sysname> display packet-follow configuration slot 1
Follow configuration on Slot 1
Send Match Rule:
Rule count:2
ID Rule
1 (ipv4:4,1234,ffff ipv4:8,5678,ffff)
2 (app:1,22,33)
Receive Match Rule:
Rule count:2
ID Rule
1 (ipv4:4,1234,ffff ipv4:8,5678,ffff)
2 (app:1,22,33)
Match If:
If count:2
Gigabitethernet 2/0/1
Gigabitethernet 2/0/2
Statistics:
packet-follow counting 50
max count: 50 current-count: 48
Debug:
Packet-follow debugging switch is on for slot 0 (max-packet-number:10)
max count: 10 current-count: 8
Care:
Phase ID
TCP 1
表1-3 display packet-follow statistics命令显示信息描述表
|
字段 |
描述 |
|
Follow configuration on Slot x |
Slot x的配置信息 |
|
Match Rule |
当前配置的规则信息 |
|
Rule count |
当前配置的规则个数 |
|
ID |
下发的报文匹配规则的编号 |
|
Rule |
下发的报文匹配规则的具体信息 |
|
Match If |
当前配置的报文接收接口信息 |
|
If count |
当前配置的报文接收接口数量 |
|
Statistics |
当前关于报文跟踪统计的配置情况 |
|
max count |
设置报文统计数量的最大值 |
|
current-count |
当前已经统计的报文数量 |
|
Debug |
报文跟踪Debug开关的开启情况 |
|
max count |
设置最多打印的报文调试信息数量 |
|
current-count |
当前已经打印的报文调试信息数量 |
|
Care |
设置的指定跟踪点的情况 |
|
Phase |
跟踪点所属阶段 |
|
ID |
跟踪点阶段内的唯一编号 |
【相关命令】
· display packet-follow statistics
· packet-follow receive interface
· packet-follow receive match-rule
· packet-follow receive match-rule acl
· packet-follow send match-rule
· packet-follow send match-rule acl
· reset packet-follow statistics
display packet-follow statistics命令用来显示报文追踪功能的统计信息。
【命令】
display packet-follow statistics [ receive | send ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
send:显示追踪的发送方向上的报文的统计信息。
receive:显示追踪的接收方向上的报文的统计信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
报文丢包时,可以通过本命令显示报文追踪功能所有规则的匹配次数,以及报文处理路径上每个节点的统计信息,从而定位问题。
当配置了关心的报文跟踪点时,将只显示关心的报文跟踪点的统计信息。
开启报文追踪功能,且报文成功匹配到追踪报文的匹配规则时,本功能才生效。如果没有配置追踪报文的匹配规则或没有报文成功匹配规则,则不进行统计。
【举例】
# 显示Slot 1报文追踪功能的统计信息。
<Sysname> display packet-follow statistics send slot 1
Packet Follow Statistics on Slot 1:
Send:
Rule Match Times Statistics:
ID Rule Matched Succeeded Match Failed
1 (ipv4:4,1234,ffff ipv4:8,5678,ffff 2 1000
app: 1,1,3)
2 (app:1,2,3) 0 1000
Packet Follow Statistics:
SrcSlot Phase Tag Description Statistics
0 eth 1 l2 output 100
表1-4 display packet-follow statistics命令显示信息描述表
|
字段 |
描述 |
|
Packet Follow Statistics on Slot x |
Slot x报文追踪功能的统计信息 |
|
Receive |
发送报文的统计信息 |
|
Send |
接收报文的统计信息 |
|
Rule Match Times Statistics |
报文追踪规则的匹配情况 |
|
ID |
报文追踪规则的编号 |
|
Rule |
报文追踪规则的具体信息 |
|
Matched Succeeded |
报文追踪规则匹配成功的次数 |
|
Match Failed |
报文追踪规则匹配失败的次数 |
|
Packet Follow Statistics |
根据报文追踪规则生成的各匹配报文处理节点的信息 |
|
SrcSlot |
显示匹配报文的来源Slot |
|
Phase |
报文处理的阶段 |
|
Tag |
各模块内部的报文处理节点标记,在各模块内唯一 |
|
Description |
报文处理节点的描述信息 |
|
Statistics |
报文处理节点的匹配次数 |
【相关命令】
· reset packet-follow statistics
display rawip命令用来显示RawIP连接摘要信息。
【命令】
display rawip [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display rawip命令用来显示RawIP连接摘要信息,包括本端IP地址、对端IP地址、使用RawIP socket的协议号等信息。
【举例】
# 显示RawIP连接摘要信息。
<Sysname> display rawip
Local Addr Foreign Addr Protocol Slot Cpu PCB
0.0.0.0 0.0.0.0 1 1 0 0x0000000000000009
0.0.0.0 0.0.0.0 1 1 0 0x0000000000000008
0.0.0.0 0.0.0.0 1 5 0 0x0000000000000002
表1-5 display rawip命令显示信息描述表
|
字段 |
描述 |
|
Local Addr |
本端IP地址 |
|
Foreign Addr |
对端IP地址 |
|
Protocol |
使用RawIP socket的协议号 |
|
PCB |
协议控制块索引 |
display rawip verbose命令用来显示RawIP连接详细信息。
【命令】
display rawip verbose [ slot slot-number [ pcb pcb-index ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pcb pcb-index:显示指定协议控制块索引的RawIP连接详细信息。pcb-index表示协议控制块索引,取值范围请为1~16。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display rawip verbose命令用来显示RawIP连接详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及RawIP连接的源IP地址和目的IP地址等信息。
【举例】
# 显示RawIP连接详细信息。
<Sysname> display rawip verbose
Total RawIP socket number: 1
Connection info: src = 0.0.0.0, dst = 0.0.0.0
Location: slot 6
Creator: ping[320]
State: N/A
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/drop/state): 0 / 9216 / 1 / 0 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
Type: 3
Protocol: 1
Inpcb flags: N/A
Inpcb extflag: INP_EXTRCVICMPERR INP_EXTFILTER
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Send VRF: 0xffff
Receive VRF: 0xffff
表1-6 display rawip verbose命令显示信息描述表
|
字段 |
描述 |
|
Total RawIP socket number |
RawIP socket总数 |
|
Connection info |
连接信息,分别为源IP地址、目的IP地址 |
|
Location |
socket所在位置 |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,包括: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ASYNC:异步方式 · ISDISCONNECTED:连接已经断开 · PROTOREF:协议强关联 · N/A:不处于上述状态 |
|
Options |
socket的选项,包括: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR:允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表(用于目的地址是直连网络的情况) · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:记录入报文时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_NOSIGPIPE:socket不能发送数据导致返回失败时不创建SIGPIPE · SO_FILTER:设置报文过滤条件,对接收报文有效 · SO_TIMESTAMPNS:和时间戳选项功能类似,时间可以精确到纳秒 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer (cc/hiwat/lowat/drop/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间、丢包数和状态,包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Sending buffer (cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,包括: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
Protocol |
使用socket的协议号 |
|
Inpcb flags |
Internet协议控制块中的标记,包括: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_SNDBYLSPV:通过MPLS发送 · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · INP_USEICMPSRC:使用配置的ICMP地址作为源地址 · INP_SYNCPCB:阻塞等待inpcb同步 · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,包括: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · INP_EXTRCVICMPERR:接收ICMP差错报文 · INP_EXTFILTER:接收报文时对报文内容进行过滤 · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,包括: · INP_IPV4:运用与IPv4通信 · INP_TIMEWAIT:处于等待状态 · INP_ONESBCAST:发送广播报文 · INP_DROPPED:协议丢弃标志 · INP_SOCKREF:socket强关联 · INP_DONTBLOCK:inpcb同步时不能被阻塞 · N/A:不是上述标记 |
|
TTL(minimum TTL) |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Send VRF |
发送实例 |
|
Receive VRF |
接收实例 |
display tcp命令用来显示TCP连接摘要信息。
【命令】
display tcp [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display tcp命令用来显示TCP连接摘要信息,包括本端IP地址及端口号、对端IP地址及端口号、TCP连接的状态等信息。
【举例】
# 显示TCP连接摘要信息。
<Sysname> display tcp
*: TCP connection with authentication
Local Addr:port Foreign Addr:port State Slot Cpu PCB
*0.0.0.0:21 0.0.0.0:0 LISTEN 1 0 0x000000000000c387
192.168.20.200:23 192.168.20.14:1284 ESTABLISHED 1 0 0x0000000000000009
192.168.20.200:23 192.168.20.14:1283 ESTABLISHED 1 0 0x0000000000000002
表1-7 display tcp命令显示信息描述表
|
字段 |
描述 |
|
* |
如果某个连接前有此标识,则表示该TCP连接是采用加密算法认证的连接 |
|
Local Addr:port |
本端IP地址及端口号 |
|
Foreign Addr:port |
对端IP地址及端口号 |
|
State |
TCP连接状态,包括: · CLOSED:服务器收到客户端的关闭连接请求回应后所处的状态 · LISTEN:服务器在等待连接请求时所处的状态 · SYN_SENT:客户端发出连接请求等待服务器回应时所处的状态 · SYN_RCVD:服务器收到客户端连接请求时所处的状态 · ESTABLISHED:服务器和客户端双方建立连接并能进行双向数据传递的状态 · CLOSE_WAIT:服务器收到客户端关闭连接请求时所处的状态 · FIN_WAIT_1:客户端发出关闭连接请求等待服务器回应时所处的状态 · CLOSING:连接双方在向对端发出关闭连接请求后等待对端回应过程中收到对端发出的关闭连接请求时所处的状态 · LAST_ACK:服务器向客户端发出关闭连接请求等待回应时所处的状态 · FIN_WAIT_2:客户端收到服务器关闭连接回应后所处的状态 · TIME_WAIT:客户端收到服务器的关闭连接请求后所处的状态 |
|
PCB |
协议控制块索引 |
display tcp statistics命令用来显示TCP连接的流量统计信息。
【命令】
display tcp statistics [ slot slot-number ]
【视图】
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display tcp statistics命令用来显示TCP连接的流量统计信息,包括接收报文、发送报文以及Syncache/syncookie等相关统计信息。
【举例】
# 显示TCP连接的流量统计信息。
<Sysname> display tcp statistics
Received packets:
Total: 4150
packets in sequence: 1366 (134675 bytes)
window probe packets: 0, window update packets: 0
checksum error: 0, offset error: 0, short error: 0
packets dropped for lack of memory: 0
packets dropped due to PAWS: 0
duplicate packets: 12 (36 bytes), partially duplicate packets: 0 (0 bytes)
out-of-order packets: 0 (0 bytes)
packets with data after window: 0 (0 bytes)
packets after close: 0
ACK packets: 3531 (795048 bytes)
duplicate ACK packets: 33, ACK packets for unsent data: 0
keepalive packets: 0, keepalive ack packets: 64
previous segment not captured packets: 0 (0 bytes)
spurious retransmission packets: 0 (0 bytes)
zero window packets: 0, window probe ack packets: 0
Sent packets:
Total: 4058
urgent packets: 0
control packets: 50
window probe packets: 3, window update packets: 11
data packets: 3862 (795012 bytes), data packets retransmitted: 0 (0 bytes)
ACK-only packets: 150 (52 delayed)
unnecessary packet retransmissions: 0 windowfull packets: 0
zero window packets: 0
Syncache/syncookie related statistics:
entries added to syncache: 12
syncache entries retransmitted: 0
duplicate SYN packets: 0
reply failures: 0
successfully build new socket: 12
bucket overflows: 0
zone failures: 0
syncache entries removed due to RST: 0
syncache entries removed due to timed out: 0
ACK checked by syncache or syncookie failures: 0
syncache entries aborted: 0
syncache entries removed due to bad ACK: 0
syncache entries removed due to ICMP unreachable: 0
SYN cookies sent: 0
SYN cookies received: 0
SACK related statistics:
SACK recoveries: 1
SACK retransmitted segments: 0 (0 bytes)
SACK blocks (options) received: 0
SACK blocks (options) sent: 0
SACK scoreboard overflows: 0
Other statistics:
retransmitted timeout: 0, connections dropped in retransmitted timeout: 0
persist timeout: 0
keepalive timeout: 21, keepalive probe: 0
keepalive timeout, so connections disconnected: 0
fin_wait_2 timeout, so connections disconnected: 0
initiated connections: 29, accepted connections: 12, established connections:
23
closed connections: 50051 (dropped: 0, initiated dropped: 0)
bad connection attempt: 0
ignored RSTs in the window: 0
listen queue overflows: 0
RTT updates: 3518(attempt segment: 3537)
correct ACK header predictions: 0
correct data packet header predictions: 568
resends due to MTU discovery: 0
packets dropped due to MD5 authentication failure: 0
packets that passed MD5 authentication: 0
user send data to tcp(times/bytes): 0 / 0
user receive data from tcp(times/bytes): 0 / 0
表1-8 display tcp statistics命令显示信息描述表
|
字段 |
描述 |
|
Received packets: |
收到报文的统计信息,包括: · Total:接收的报文总数 · packets in sequence:按顺序到达的报文数,括号中为字节数 · window probe packets:接收的窗口探测报文数 · window update packets:接收的窗口更新报文数 · checksum error:接收的校验和错误报文数 · offset error:接收的偏移量错误报文数 · short error:接收的报文长度太短的报文数 · packets dropped for lack of memory:由于内存不足而被丢弃的报文数 · packets dropped due to PAWS:由于PAWS(防止序号回绕)而被丢弃的报文数 · duplicate packets:接收的完全重复报文数,括号中为字节数 · partially duplicate packets:接收的部分重复报文数,括号中为字节数 · out-of-order packets:接收的顺序错乱的报文数,括号中为字节数 · packets with data after window:落在接收窗口外的报文数,括号中为字节数 · packets after close:在连接关闭后到达的报文数 · ACK packets:接收的ACK确认报文数,括号中为字节数 · duplicate ACK packets:接收的重复的ACK确认报文数 · ACK packets for unsent data:接收的确认未发送数据的ACK报文数 · keepalive packets:保活报文个数 · keepalive ack packets:保活应答报文个数 · previous segment not captured packets:连接接收的乱序到达的报文个数及字节数,该报文到达说明在该报文之前有丢包 · spurious retransmission packets:可疑的重传报文个数及字节数 · zero window packets:零窗口通告报文个数 · window probe ack packets:窗口探测应答报文个数 |
|
Sent packets: |
发送报文的统计信息,包括: · Total:发送的报文总数 · urgent packets:发送的紧急数据报文数 · control packets:发送的控制报文数,括号中为包含的重传数据报文数 · window probe packets:发送的窗口探测报文数 · window update packets:发送的窗口更新报文数 · data packets:发送的数据报文数,括号中为字节数 · data packets retransmitted:重发的数据报文数,括号中为字节数 · ACK-only packets:发送的ACK报文数,括号中为延迟ACK报文数 · unnecessary packet retransmissions:报文非必要重传次数 · window full packets:连接发送的会导致对方接收窗口填满的报文个数 · zero window packets:零窗口通告报文个数 |
|
syncache/syncookie有关的统计,包括: · entries added to syncache:添加的syncache对象数 · syncache entries retransmitted:重传的syncache对象数 · duplicate SYN packets:重复的SYN报文数 · reply failures:回复失败的报文数 · successfully build new socket:创建子socket成功数 · bucket overflows:bucket溢出次数 · zone failures:内存分配失败次数 · syncache entries removed due to RST:由于收到RST(复位连接)报文段而删除的syncache对象个数 · syncache entries removed due to timed out:定时器超时且重传次数超过限制时syncache对象删除数 · ACK checked by syncache or syncookie failures:接收到ACK报文时查找syncache处理失败数 · syncache entries aborted:创建子socket失败数 · syncache entries removed due to bad ACK:由于bad ACK而删除的syncache对象数 · syncache entries removed due to ICMP unreachable:由于接收到ICMP差错报文导致删除的syncache对象数 · SYN cookies sent:SYN cookie发送数 · SYN cookies received:SYN cookie接收数 |
|
|
SACK related statistics |
SACK有关的统计,包括: · SACK recoveries:通过SACK进行恢复的次数 · SACK retransmitted segments:通过SACK进行重传的报文段个数,括号中为字节数 · SACK blocks (options) received:接收到的带选择性ACK选项的报文数 · SACK blocks (options) sent:发送的带选择性ACK选项的报文数 · SACK scoreboard overflows:本地维护的对端缺失报文段记录队列溢出次数 |
|
Other statistics |
其他统计,包括: · retransmitted timeout:重传定时器超时次数 · connections dropped in retransmitted timeout:重传次数超过限制而丢弃的连接数 · persist timeout:持续定时器超时次数 · keepalive timeout:存活定时器超时次数 · keepalive probe:发送的存活探测报文数 · keepalive timeout, so connections disconnected:存活定时器超时而中断的连接数 · fin_wait_2 timeout, so connections disconnected:Fin wait 2定时器超时而中断的连接数 · initiated connections:发起连接次数 · accepted connections:接受连接次数 · established connections:已建立连接数 · closed connections(dropped: 0, initiated dropped: 0):已关闭连接数目,括号中为意外丢弃连接数(收到对端SYN之后)、主动连接失败数(收到对端SYN之前) · bad connection attempt:接收到的错误连接报文数 · ignored RSTs in the window:窗口中忽略的RST报文数 · listen queue overflows:监听队列溢出次数 · RTT updates(attempt segment):RTT更新次数,括号中为发送的报文数 · correct ACK header predictions:ACK通过首部预测算法的次数 · correct data packet header predictions:数据报文通过首部预测算法的次数 · resends due to MTU discovery:由于MTU发现而重传的报文数 · packets dropped due to MD5 authentication failure:MD5验证丢弃报文数 · packets that passed MD5 authentication:MD5验证通过报文数 · user send data to tcp(times/bytes):业务发送给tcp数据的次数及数据字节数 · user receive data from tcp(times/bytes):业务从tcp接收数据的次数及数据字节数 |
【相关命令】
· reset tcp statistics
display tcp verbose命令用来显示TCP连接详细信息。
【命令】
display tcp verbose [ slot slot-number [ pcb pcb-index ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pcb pcb-index:显示指定协议控制块索引的TCP连接详细信息。pcb-index表示协议控制块索引,取值范围为1~16。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display tcp verbose命令用来显示TCP连接的详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及TCP连接的源IP地址及端口号、目的IP地址及端口号、状态等信息。
【举例】
# 显示TCP连接详细信息。
<Sysname> display tcp verbose
TCP inpcb number: 1(tcpcb number: 1)
Connection info: src = 192.168.20.200:179 , dst = 192.168.20.14:4181
Location: slot 6
NSR standby: N/A
Creator: bgpd[199]
State: ISCONNECTED
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/state): 0 / 65700 / 1 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 65700 / 512 / N/A
Type: 1
SocketFd:74
Reference count:1
so_file:0xd939db40
so_inode:0x0
Protocol: 6
Inpcb flags: N/A
Inpcb extflag: N/A
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Connection state: ESTABLISHED
TCP options: TF_REQ_SCALE TF_REQ_TSTMP TF_SACK_PERMIT TF_NSR
NSR state: READY(M)
Send VRF: 0x0
Receive VRF: 0x0
Error count in abnormal-packet-defend period: 0
Packet Statistics:
Checksum errors: 0
Duplicate packets: 0
Part-Duplicate packets: 0
Out-of-order packets: 0
Duplicate ACK packets: 0
Out-of-order ACK packets: 0
Packets with data out of window: 0
MD5 authentication errors: 0
Timestamp errors: 0
Total receive/send packets: 99 / 99
Receive/send packets in sequence: 47 (927 bytes) / 52 (1022 bytes)
Receive/send keepalive packets: 0 / 0
Receive keepalive ack packets: 0
Receive previous segment not captured packets: 0 (0 bytes)
send retransmission packets: 0 (0 bytes)
Send fast retransmission packets: 0 (0 bytes)
Receive spurious retransmission packets: 0 (0 bytes)
Receive/send window update packets: 0 / 0
Receive/send zero window packets: 0 / 0
Receive/send window probe packets: 0 / 0
Receive window probe ack packets: 0
Send window full packets: 0
User send data to tcp(counts/bytes): 52 / 1022
User receive data from tcp(counts/bytes): 94 / 1786
Transmission status data:
Maximum Segment Size (MSS): 512
Window Scale (wscale): 0
Retransmission Timeout (rto): 3000000.0ms
Retransmission Count/Total: 0/0
Round-trip Time (rtt/rtvar): 0.0ms/12000000.0ms
Delayed Ack Timeout (ato): 100000.0ms
Congestion Window (cwnd): 1073725440
TCP Throughput: 0.00 Mbps
sendpps/sendkbps/recvpps/recvkbps/: 0/0.000/0/0.000
iss/unack/next/max/wnd: 0/0/0/0/0
irs/undeliver/next/adv/wnd: 0/0/0/0/0
Receiving window(scale/lastadvertise/max/min): 3 / 8301 / 66432 / 66432
Sending window(scale/lastadvertise/max/min): 3 / 8304 / 66432 / 66376
NSR Info:
Total Recv/Send Count(history Recv/history Send): 41/43(41/43)
EnableMsg Recv/Send Count(history Recv/history Send): 1/2(1/2)
DisableMsg Recv/Send Count(history Recv/history Send): 0/1(0/1)
SlotchangeMsg Recv/Send Count(history Recv/history Send): 0/1(0/1)
ReadyMsg Recv/Send Count(history Recv/history Send): 2/1(2/1)
PullMsg Recv/Send Count(history Recv/history Send): 2/1(2/1)
BriefdataMsg Recv/Send Count(history Recv/history Send): 1/2(1/2)
PktMsg Recv/Send Count(history Recv/history Send): 35/35(35/35)
CmdMsg Recv/Send Count(history Recv/history Send): 0/0(0/0)
Recent Recv/Send Seq: 41/43
Recent Recv/Send Time: 11:14:44:469624 May 23 2022/11:14:44:467624 May 23 2022
Option Value:
rcvsb_timeo/sndsb_timeo/pd_type/pd_len: 0/0/0/0
so_linger: 1
ka_idle/ka_intval/ka_count: 0/0/0
so_accept_filter_str: filter1
Md5 Password:123
Out Interface/NextHop/Local Address: 0/0.0.0.0/0.0.0.0
Filter Offset/Length/Value/Mask: 0/0/00 00 00 00 00 00 00 00 /00 00 0 00 00 00 00 00
Ip Tos/McastTTL/McastLoop/ Mcast Interface Index: 192/0/0/0
Acl Index/MacIndex: 4294967295/4294967295
Mpls Flag/Label: 0/4294967295
Kernel Event ID: 0
Send Mac: 0000-0000-0000
Ip Option Hdr: 0x01 02 03
Time info:
Tcp connect establish: 19:42:36:858 Apr 19 2023
Usr send/datalen: 20:19:51:794 Apr 19 2023 / 19
Tcp send/datalen: 20:19:51:794 Apr 19 2023 / 19
Usr recv/datalen: 20:20:01:851 Apr 19 2023 / 19
Tcp recv/datalen: 20:20:01:850 Apr 19 2023 / 19
Retrans(datalen): - / 0
Usr connect: -
Usr shutdown: -
Usr close: -
Usr first recv epollout: 19:42:36:859 Apr 19 2023
Last info usr read: 20:20:01:850 Apr 19 2023
Usr Last recv epollevent/event: 20:20:01:850 Apr 19 2023 / 325
TimerType StarTime StopTime TimeOut
DELAY_ACK - - 0
REXMT 20:19:51:794 Apr 19 2023 20:19:51:796 Apr 19 2023 230
PERSIST - - 0
KEEP 20:20:01:850 Apr 19 2023 - 7200000
2MSL - - 0
PMTU - - 0
NSR - - 0
TimeOut Count: retransmit 0, persist: 0, keepalive: 0
表1-9 display tcp verbose命令显示信息描述表
|
字段 |
描述 |
|
TCP inpcb number |
TCP类型internet协议控制块个数 |
|
tcpcb number |
TCP控制块个数(处于TIME_WAIT状态的TCP则没有此计数) |
|
Connection info |
连接信息,分别为源IP地址及端口号、目的IP地址及端口号 |
|
Location |
socket所在位置 |
|
NSR standby |
NSR备所在IRF中的成员编号和槽位号,如果不存在NSR备,则显示“N/A” |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,包括: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ASYNC:异步方式 · ISDISCONNECTED:连接已经断开 · ISSMOOTHING:板间数据平滑标志 · CANBIND:套接字可执行bind操作标志 · PROTOREF:协议强关联 · ISPCBSYNCING:PCB板间同步标志 · N/A:不处于上述状态 |
|
Options |
socket的选项,包括: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR: 允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表,由于目的地址是直连网络的情况 · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:入报文记录时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_NOSIGPIPE:socket不能发送数据导致返回失败时不创建SIGPIPE · SO_KEEPALIVETIME:设置空闲探测时间,TCP支持此选项 · SO_TIMESTAMPNS:和时间戳选项功能类似,时间可以精确到纳秒 · SO_FILTER:设置报文过滤条件,对接收报文有效 · SO_SEQPACKET:发送数据包到套接字缓存区的边界确认标记 · SO_USCBINDEX:获取接收报文里的User Profile索引 · SO_FILLTWAMPTIME:设置TWAMP(双向主动测量协议)时间戳标志 · SO_LOCAL:本地Socket选项 · SO_NBMAADDR:获得ADVPN索道的远程NBMA(非广播多路访问)地址 · SO_DONTDELIVER:不上送标志 · SO_UCM:设置是否开启IPoE · SO_RAWSLOT:Raw Slot标志 · SO_LEASEDUSERID:获得可租用的租约 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer(cc/hiwat/lowat/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,状态的取值包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Sending buffer(cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,状态的取值包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,类型的取值包括: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
SocketFd |
使用的socket套接字信息 |
|
Reference count |
socket引用计数 |
|
so_file |
so_file指针 |
|
so_inode |
so_inode指针 |
|
Protocol |
使用socket的协议号 |
|
Inpcb flags |
Internet协议控制块中的标记,标记的取值包括: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_SNDBYLSPV:通过MPLS发送 · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · INP_SYNCPCB:阻塞等待inpcb同步 · INP_LOCAL:匹配INPCB时优先匹配带此标记的本板INPCB · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,标记的取值包括: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · INP_EXTDONTDROP:接收报文时设置报文不要丢弃 · INP_EXTRCVICMPERR:接收ICMP差错报文 · INP_EXTFILTER:接收报文时对报文内容进行过滤 · INP_EXLISTEN:当INPCB携带此标记时,将INPCB加入到listen hash表中 · INP_SELECTMATCHSRCBYFIB:通过FIB表选择匹配的源 · INP_EXTPRIVATESOCKET:与NSR私有套接字进行关联标记 · INP_EXTNOCACHEPKT:不缓存报文 · INP_EXTRCVVLANDOT1P:获取接收报文的VLAN dot1p值 · INP_EXTSNDDATAIF:设置发送数据接口标志 · INP_EXTFREEBIND:套接字未绑定地址端口标志 · INP_EXTRCVUPID:获取接收报文时的UCM转控分离UP ID · INP_EXTINNERPROXY:接收经过代理转换的报文 · INP_EXLISTENNET:当连接信息加入网段链表时,设置此标志 · INP_EXTWHITELISTEXCLUDE:TCP连接不下白名单 · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,标记的取值包括: · INP_IPV4:运用与IPv4通信 · INP_TIMEWAIT:处于等待状态 · INP_ONESBCAST:发送广播报文 · INP_DROPPED:协议丢弃标志 · INP_SOCKREF:socket强关联 · INP_DONTBLOCK:inpcb同步时不能被阻塞 · N/A:不是上述标记 |
|
TTL |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Connection state |
TCP连接状态,包括: · CLOSED:服务器收到客户端的关闭连接请求回应后所处的状态 · LISTEN:服务器在等待连接请求时所处的状态 · SYN_SENT:客户端发出连接请求等待服务器回应时所处的状态 · SYN_RCVD:服务器收到客户端连接请求时所处的状态 · ESTABLISHED:服务器和客户端双方建立连接并能进行双向数据传递的状态 · CLOSE_WAIT:服务器收到客户端关闭连接请求时所处的状态 · FIN_WAIT_1:客户端发出关闭连接请求等待服务器回应时所处的状态 · CLOSING:连接双方在向对端发出关闭连接请求后等待对端回应过程中收到对端发出的关闭连接请求时所处的状态 · LAST_ACK:服务器向客户端发出关闭连接请求等待回应时所处的状态 · FIN_WAIT_2:客户端收到服务器关闭连接回应后所处的状态 · TIME_WAIT:客户端收到服务器的关闭连接请求后所处的状态 |
|
TCP options |
TCP的选项类型,包括: · TF_ACKNOW:立即回复ACK报文 · TF_DELACK:延时ACK · TF_SENTFIN:已经发送FIN · TF_RCVD_SCALE:请求接受窗口因子 · TF_RCVD_TSTMP:接收了SYN报文里时间戳 · TF_NEEDSYN:发送SYN标志 · TF_NEEDFIN:发送FIN标志 · TF_MORETOCOME:更多的数据加入连接 · TF_LQ_OVERFLOW:监听队列溢出 · TF_LASTIDLE:连接空闲标志 · TF_RXWIN0SENT:发送了接收窗口为0的回复 · TF_FASTRECOVERY:进入NewReno Fast Recovery模式 · TF_WASFRECOVERY:处于NewReno Fast Recovery模式 · TF_SIGNATURE:MD5校验标志 · TF_FORCEDATA:强制发送1字节数据标志 · TF_TSO:开启TSO(协议栈推迟分段) · TF_PASSIVE_CONN:被动连接标志 · TF_APP_SEND:应用程序发送数据标志 · TF_ABNORMAL_CLOSE:应用异常关闭 · TF_NODELAY:关闭延时ACK · TF_NOOPT:TCP不使用选项 · TF_NOPUSH:对写入的最后部分不进行PUSH操作 · TF_NSR:使能TCP NSR · TF_REQ_SCALE:使能窗口缩放因子选项 · TF_REQ_TSTMP:使能时间戳选项 · TF_SACK_PERMIT:使能选择性ACK选项 · TF_ENHANCED_AUTH:使能增强认证选项 |
|
NSR state |
TCP连接NSR状态,可能的状态如下: · CLOSED:关闭(初始)状态 · CLOSING:连接待关闭状态 · ENABLED:使能备份功能状态 · OPEN:连接开始同步状态 · PENDING:备份连接未就绪状态 · READY:备份连接就绪状态 · SMOOTH:连接平滑状态 角色:M表示主连接、S表示备份连接 |
|
Send VRF |
发送实例 |
|
Receive VRF |
接收实例 |
|
Error count in abnormal-packet-defend period |
开启TCP连接的防攻击功能后,一个周期内接收到的错误报文数量 |
|
Packet Statistics |
报文统计信息 |
|
Checksum errors |
接收的校验和错误报文数 |
|
Duplicate packets |
接收的重复报文数 |
|
Part-Duplicate packets |
接收的部分重复报文数 |
|
Out-of-order packets |
接收的发送序号乱序报文数 |
|
Duplicate ACK packets |
接收的重复ACK报文数 |
|
Out-of-order ACK packets |
接收的确认序号错误报文数 |
|
Packets with data out of window |
接收的序号不在滑动窗口范围内报文数 |
|
MD5 authentication errors |
MD5认证失败报文数 |
|
Timestamp errors |
时间戳错误报文数 |
|
Total receive/send packets |
连接建立后收发的报文个数 |
|
Receive/send packets in sequence |
连接收发的数据报文个数及字节数 |
|
Receive/send keepalive packets |
连接收发的保活报文个数 |
|
Receive keepalive ack packets |
连接收发的保活确认报文个数 |
|
Receive previous segment not captured packets |
连接接收的表明在该报文之前有丢包的报文的个数及字节数 |
|
Send retransmission packets |
连接发送的重传的报文个数及字节数 |
|
Send fast retransmission packets |
连接发送的快速重传的报文个数及字节数 |
|
Receive spurious retransmission packets |
连接接收的伪重传报文数及字节数 |
|
Receive/send window update packets |
连接收发的窗口更新报文数 |
|
Receive/send zero window packets |
连接收发的零窗口通告报文数 |
|
Receive/send window probe packets |
连接收发的窗口探测报文数 |
|
Receive window probe ack packets |
连接接收的窗口探测ACK报文数 |
|
Send window full packets |
连接发送的会填满对方接收窗口的报文数 |
|
User send data to tcp(times/bytes) |
业务发送给tcp数据的次数及数据字节数 |
|
User receive data from tcp(times/bytes) |
业务从tcp接收数据的次数及数据字节数 |
|
Maximum Segment Size (MSS) |
最大报文段大小 |
|
Window Scale (wscale) |
窗口缩放因子 |
|
Retransmission Timeout (rto) |
超时重传时间,单位为毫秒 |
|
Retransmission Count/Total |
本次重传次数/总重传次数 |
|
Round-trip Time (rtt/rtvar) |
平均往返时间,单位为毫秒 |
|
Delayed Ack Timeout (ato) |
延迟确认时间,单位为毫秒 |
|
Congestion Window (cwnd) |
拥塞窗口的报文序号 |
|
TCP Throughput |
TCP吞吐量,单位为Mbps |
|
sendpps/sendbps/recvpps/recvbps |
每秒发送报文数/每秒发送比特数/每秒接收报文数/每秒接收比特数 |
|
Iss/unack/next/max/wnd |
本端初始序号/发送的未被确认的报文序号/下次发送序号/发送的最大序号/发送窗口的报文序号 |
|
Irs/undeliver/next/adv/wnd |
对端初始序号/未上送报文序号/下次发送序号/接收缓冲区大小/通告接收窗口的报文序号 |
|
Receiving window(scale/lastadvertise/max/min) |
接收窗口信息: · scale:窗口扩大因子(rcv_scale) · lastadvertise:最近一次报文中通告的window值 · max:滑动窗口历史最大值 · min:滑动窗口历史最小值 |
|
Sending window(scale/lastadvertise/max/min) |
发送窗口信息: · scale:窗口扩大因子(snd_scale) · lastadvertise:最近一次报文中通告的window值 · max:滑动窗口历史最大值 · min:滑动窗口历史最小值 |
|
Total Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的消息数量 |
|
EnableMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的使能消息数量 |
|
DisableMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的去使能消息数量 |
|
SlotchangeMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的通道切换消息数量 |
|
ReadyMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的ready消息数量 |
|
PullMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收Pull消息数量 |
|
BriefdataMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的简要数据消息数量 |
|
PktMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的报文消息数量 |
|
CmdMsg Recv/Send Count |
TCP NSR主备连接间通过lipc通道发送/接收的命令消息数量 |
|
history Recv/history Send |
TCP NSR主备连接间通过lipc通道发送/接收的各项消息的历史消息数量 |
|
Recent Recv/Send Seq |
TCP NSR主备连接间最近一次发送/接收的消息序号 |
|
Recent Recv/Send Time |
TCP NSR主备连接间最近一次发送/接收消息的时间(采用绝对时间) |
|
rcvsb_timeo/sndsb_timeo/pd_type/pd_len |
Socket接收缓冲区超时值/Socket发送缓冲区超时值,单位为jiffies/Socket私有数据类型/Socket私有数据长度,单位为字节 |
|
so_linger |
Socket linger选项值 |
|
ka_idle/ka_interval/ka_cout |
Socket keepalive idle选项值/Socket keepalive interval选项值/Socket keepalive count选项值 |
|
so_accept_filter_str |
Socket报文接收过滤器名称 |
|
Md5 Password |
TCP MD5校验字 |
|
Out Interface/NextHop/Local Address |
指定出接口/指定下一跳/指定本机地址选项值 |
|
Filter Offset/Length/Value/Mask |
Pcb过滤器的偏移/长度/值/掩码 |
|
Ip Tos/McastTTL/McastLoop/Mcast Interface Index: |
IP TOS选项/组播TTL/组播循环次数/组播接口索引 |
|
Acl Index/MacIndex |
ACL过滤参数/二层ACL参数 |
|
Mpls Flag/Label |
MPLS Flag标记/MPLS Label标签值 |
|
Kernel Event ID |
内核事件ID |
|
Send Mac |
上层应用发送报文时指定的对端MAC地址 |
|
Ip Option Hdr |
TCP报文所需携带的IP选项 |
|
Tcp connect establish |
连接建立时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Tcp send/datalen |
TCP连接最近一次发送数据时间/数据长度(字节),时间格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Tcp recv/datalen |
TCP连接最近一次接收数据时间/数据长度(字节),时间格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Retrans(datalen) |
TCP连接最近一次重传数据时间/数据长度(字节),时间格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr connect |
业务调用Connect时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr shutdown |
业务调用ShutDown时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr close |
业务调用Close时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr send/datalen |
业务最近一次发送数据时间/数据长度(字节),时间格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr recv/datalen |
业务最近一次接收数据时间/数据长度(字节),时间格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr first recv epollout |
业务第一次收到Epollout事件时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Last info usr read |
最近一次通知业务读数据的时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
Usr Last recv epollevent/event |
业务最近一次收到Epoll事件时间及事件值 |
|
TimerType |
定时器种类统计信息 |
|
StarTime |
定时器开始时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
StopTime |
定时器删除时间,格式为:hh:mm:ss:jiffies MMM:DD:YYYY |
|
TimeOut |
定时器超时时长,单位为秒 |
|
TimeOut Count |
定时器超时次数统计 |
|
retransmit |
重传定时器 |
|
persist |
坚持定时器 |
|
keepalive |
保活定时器 |
display udp命令用来显示UDP连接摘要信息。
【命令】
display udp [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display udp命令用来显示UDP连接摘要信息,包括本端IP地址及端口号、对端IP地址及端口号等信息。
【举例】
# 显示UDP连接摘要信息。
<Sysname> display udp
Local Addr:port Foreign Addr:port Slot Cpu PCB
0.0.0.0:69 0.0.0.0:0 1 0 0x0000000000000003
192.168.20.200:1024 192.168.20.14:69 5 0 0x0000000000000002
表1-10 display udp命令显示信息描述表
|
字段 |
描述 |
|
Local Addr:port |
本端IP地址及端口号 |
|
Foreign Addr:port |
对端IP地址及端口号 |
|
PCB |
协议控制块索引 |
display udp statistics命令用来显示UDP流量统计信息。
【命令】
display udp statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display udp statistics命令用来显示UDP流量统计信息,包括接收和发送的各类UDP报文信息。
【举例】
# 显示UDP流量统计信息。
<Sysname> display udp statistics
Received packets:
Total: 240
checksum error: 0, no checksum: 0
shorter than header: 0, data length larger than packet: 0
no socket on port(unicast): 0
no socket on port(broadcast/multicast): 240
not delivered, input socket full: 0
Sent packets:
Total: 0
表1-11 display udp statistics命令显示信息描述表
|
字段 |
描述 |
|
Received packets: |
收到报文的信息,包括: · Total:接收的UDP报文总数 · checksum error:校验和出错的报文数 · no checksum:没有校验和的报文数 · shorter than header:报文长度比报文头部短的报文数 · data length larger than packet:报文数据长度超过报文长度的报文数 · no socket on port(unicast):端口上无socket的单播报文数 · no socket on port(broadcast/multicast):端口上无socket的广播和组播报文数 · not delivered, input socket full:因为socket缓冲区已满而未向上层传送的报文数 |
|
Sent packets: |
发送报文的信息,包括Total,表示发送的UDP报文总数 |
【相关命令】
· reset udp statistics
display udp verbose命令用来显示UDP连接详细信息。
【命令】
display udp verbose [ slot slot-number [ pcb pcb-index ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pcb pcb-index:显示指定协议控制块索引的UDP连接详细信息。pcb-index表示协议控制块索引,取值范围为1~16。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
display udp verbose命令用来显示UDP连接的详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及UDP连接的源IP地址及端口号、目的IP地址及端口号等信息。
【举例】
# 显示UDP连接详细信息。
<Sysname> display udp verbose
Total UDP socket number: 1
Connection info: src = 0.0.0.0:69, dst = 0.0.0.0:0
Location: slot 6 cpu 0
Creator: sock_test_mips[250]
State: N/A
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/drop/state): 0 / 41600 / 1 / 0 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
Type: 2
Protocol: 17
Inpcb flags: N/A
Inpcb extflag: N/A
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Send VRF: 0xffff
Receive VRF: 0xffff
表1-12 display udp verbose命令显示信息描述表
|
字段 |
描述 |
|
Total UDP socket number |
UDP socket总数 |
|
Connection info |
连接信息,分别为源IP地址及端口号、目的IP地址及端口号 |
|
Location |
socket所在位置 |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,可能的状态如下: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ASYNC:异步方式 · ISDISCONNECTED:连接已经断开 · ISSMOOTHING:板间数据平滑标志 · CANBIND:套接字可执行bind操作标志 · PROTOREF:协议强关联 · ISPCBSYNCING:PCB板间同步标志 · N/A:不处于上述状态 |
|
Options |
socket的选项,有以下几种: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR: 允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表,由于目的地址是直连网络的情况 · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:入报文记录时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_NOSIGPIPE:socket不能发送数据导致返回失败时不创建SIGPIPE · SO_KEEPALIVETIME:设置空闲探测时间,TCP支持此选项 · SO_TIMESTAMPNS:和时戳选项功能类似,时间可以精确到纳秒 · SO_FILTER:设置报文过滤条件,对接收报文有效 · SO_SEQPACKET:发送数据包到套接字缓存区的边界确认标记 · SO_USCBINDEX:获取接收报文里的User Profile索引 · SO_FILLTWAMPTIME:设置TWAMP(双向主动测量协议)时间戳标志 · SO_LOCAL:本地socket选项,支持此选项后,当板号有效是,匹配协议控制块是要优先匹配带此标记的且板号相同的控制块。 · SO_NBMAADDR:获得ADVPN索道的远程NBMA(非广播多路访问)地址 · SO_DONTDELIVER:不上送标志 · SO_UCM:设置是否开启IPoE · SO_RAWSLOT:接口Raw Slot标志 · SO_LEASEDUSERID:获得可租用的租约 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer(cc/hiwat/lowat/drop/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间、丢包数和状态,状态的取值有: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Sending buffer(cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,状态的取值有: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · RCVATMARK:接收标记 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,类型的取值有: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
Protocol |
使用socket的协议号 |
|
Inpcb flags |
Internet协议控制块中的标记,标记的取值有: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_SNDBYLSPV:通过MPLS发送 · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · INP_SYNCPCB:阻塞等待inpcb同步 · INP_LOCAL:匹配INPCB时优先匹配带此标记的本板INPCB · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,标记的取值有: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · INP_EXTRCVICMPERR:接收ICMP差错报文 · INP_EXTFILTER:接收报文时对报文内容进行过滤 · INP_EXTDONTDROP:接收报文时设置报文不要丢弃 · INP_EXLISTEN:当INPCB携带此标记时,将INPCB加入到listen hash表中 · INP_SELECTMATCHSRCBYFIB:通过FIB选择匹配的源 · INP_EXTPRIVATESOCKET:与NSR私有套接字进行关联标记 · INP_EXTNOCACHEPKT:报文不缓存选项到mbuf · INP_EXTRCVVLANDOT1P:接受VLAN dot1p标志 · INP_EXTSNDDATAIF:设置发送数据接口标志 · INP_EXTFREEBIND:套接字未绑定地址端口标志 · INP_EXTRCVUPID:接收报文时的UCM转控分离UP ID · INP_EXTINNERPROXY:接收经过代理转换的报文 · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,标记的取值有: · INP_IPV4:运用与IPv4通信 · INP_TIMEWAIT:处于等待状态 · INP_ONESBCAST:发送广播报文 · INP_DROPPED:协议丢弃标志 · INP_SOCKREF:socket强关联 · INP_DONTBLOCK:inpcb同步时不能被阻塞 · N/A:不是上述标记 |
|
TTL |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Send VRF |
发送实例 |
|
Receive VRF |
接收实例 |
ip forward-broadcast命令用来配置允许接口转发直连网段的定向广播报文。
undo ip forward-broadcast命令用来恢复缺省情况。
【命令】
ip forward-broadcast [ acl acl-number ]
undo ip forward-broadcast
【缺省情况】
设备禁止转发直连网段的定向广播报文。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
acl acl-number:对定向广播报文应用该ACL规则号对应的过滤条件,根据过滤结果决定是否转发该定向广播报文。acl-number取值范围为2000~3999,其中2000到2999是基本ACL规则,3000到3999是高级ACL规则。
【使用指导】
定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。
在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文。
黑客可以利用定向广播报文来攻击网络系统,给网络的安全带来了很大的隐患。但在某些应用环境下,设备接口需要转发这类定向广播报文,例如:
· 开启Wake on LAN(网络唤醒)功能,发送定向广播报文唤醒远程网络中的计算机。
在上述情况下,用户可以通过命令配置接口允许转发直连网段的定向广播报文。
【举例】
# 配置允许接口Ten-GigabitEthernet2/0/0转发直连网段的定向广播报文。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 2/0/0
[Sysname-Ten-GigabitEthernet2/0/0] ip forward-broadcast
ip icmp error-interval用来配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量。
undo ip icmp error-interval用来恢复缺省情况
【命令】
ip icmp error-interval interval [ bucketsize ]
undo ip icmp error-interval
【缺省情况】
令牌刷新周期为100毫秒,令牌桶容量为10。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:令牌刷新周期,取值范围0~2147483647,单位为毫秒。取值为0时,表示不限制ICMP差错报文的发送。
bucketsize:令牌桶中容纳的令牌数,取值范围1~200。
【使用指导】
如果网络中短时间内发送的ICMP差错报文过多,将可能导致网络拥塞。为了避免这种情况,用户可以控制设备在指定时间内发送ICMP差错报文的最大数目,目前采用令牌桶算法来实现。
用户可以设置令牌桶的容量,即令牌桶中可以同时容纳的令牌数;同时可以设置令牌桶的刷新周期,即每隔多长时间发放一个令牌到令牌桶中,直到令牌桶中的令牌数达到配置的容量。一个令牌表示允许发送一个ICMP差错报文,每当发送一个ICMP差错报文,则令牌桶中减少一个令牌。如果连续发送的ICMP差错报文超过了令牌桶的容量,则后续的ICMP差错报文将不能被发送出去,直到按照所设置的刷新频率将新的令牌放入令牌桶中。
【举例】
# 配置设备发送ICMP差错报文对应的令牌刷新周期为200毫秒,令牌桶容量为40。
<Sysname> system-view
[Sysname] ip icmp error-interval 200 40
ip icmp fragment discarding命令用来关闭ICMP分片报文转发功能。
undo ip icmp fragment discarding命令用来开启ICMP分片报文转发功能。
【命令】
ip icmp fragment discarding
undo ip icmp fragment discarding
【缺省情况】
ICMP分片报文转发功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMP分片报文攻击,用户可以关闭设备的ICMP分片报文转发功能,对于收到的ICMP分片报文不进行转发。
【举例】
# 关闭ICMP分片报文转发功能。
<Sysname> system-view
[Sysname] ip icmp fragment discarding
ip icmp receive enable命令用来开启接收指定类型的ICMP报文的功能。
undo ip icmp receive enable命令用来关闭接收指定类型的ICMP报文的功能。
【命令】
ip icmp { name icmp-name | type icmp-type code icmp-code } receive enable
undo ip icmp { name icmp-name | type icmp-type code icmp-code } receive enable
【缺省情况】
设备会接收所有类型的ICMP报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name icmp-name:ICMP报文的名称。icmp-name为1~20个字符长度的字符串,不区分大小写,取值和含义如表1-13所示。
type icmp-type:ICMP报文的type字段,icmp-type的取值范围为0~255。
code icmp-code:ICMP报文的code字段,icmp-code的取值范围为0~255。
【使用指导】
缺省情况下,设备会接收所有类型的ICMP报文,这会产生安全隐患。例如设备短时间内收到大量的回送请求报文时,会影响设备性能,导致设备无法正常运行。为了提高安全性,可以关闭设备接收指定类型的ICMP报文的功能。
常用的ICMP报文的名称和含义如表1-13所示。
请根据网络实际情况执行本命令,随意关闭接收指定类型的ICMP报文的功能,可能会影响网络的正常运行。
表1-13 ICMP报文名称及其含义表
|
名称 |
含义 |
|
echo |
回送请求报文(Type=8,Code=0)。回送请求报文用于发送到目标节点,以触发目标节点立即发回一个回送应答报文 |
|
echo-reply |
回送应答报文(Type=0,Code=0)。当收到一个回送请求报文时,ICMP会用回送应答报文来响应 |
|
fragmentneed-dfset |
需要分片但却设置了不分片标志的报文(Type=3,Code=4) |
|
host-redirect |
主机重定向报文(Type=5,Code=1) |
|
host-tos-redirect |
主机ToS重定向报文(Type=5,Code=3) |
|
host-unreachable |
主机不可达报文(Type=3,Code=1) |
|
information-reply |
信息应答报文(Type=16,Code=0) |
|
information-request |
信息请求报文(Type=15,Code=0) |
|
net-redirect |
网络重定向报文(Type=5,Code=0) |
|
net-tos-redirect |
网络ToS重定向报文(Type=5,Code=2) |
|
net-unreachable |
网络不可达报文(Type=3,Code=0) |
|
parameter-problem |
参数错误报文(Type=12,Code=0) |
|
port-unreachable |
端口不可达报文(Type=3,Code=3) |
|
protocol-unreachable |
协议不可达报文(Type=3,Code=2) |
|
reassembly-timeout |
分片重组超时报文(Type=11,Code=1) |
|
source-quench |
源站抑制报文(Type=4,Code=0) |
|
source-route-failed |
源路由失败报文(Type=3,Code=5) |
|
timestamp-reply |
时间戳应答报文(Type=14,Code=0) |
|
timestamp-request |
时间戳请求报文(Type=13,Code=0) |
|
ttl-exceeded |
TTL超时报文(Type=11,Code=0) |
【举例】
# 开启接收ICMP echo-reply报文的功能。
<Sysname> system-view
[Sysname] ip icmp name echo-reply receive enable
ip icmp send enable命令用来开启发送指定类型的ICMP报文的功能。
undo ip icmp send enable命令用来关闭发送指定类型的ICMP报文的功能。
【命令】
ip icmp { name icmp-name | type icmp-type code icmp-code } send enable
undo ip icmp { name icmp-name | type icmp-type code icmp-code } send enable
【缺省情况】
发送ICMP目的不可达报文、ICMP超时报文和ICMP重定向报文功能处于关闭状态;发送其它ICMP报文功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name icmp-name:ICMP报文的名称。icmp-name为1~20个字符长度的字符串,不区分大小写,取值和含义如表1-14所示。
type icmp-type:ICMP报文的type字段,icmp-type的取值范围为0~255。
code icmp-code:ICMP报文的code字段,icmp-code的取值范围为0~255。
【使用指导】
缺省情况下,设备支持发送大多数类型的ICMP报文,这样可能会存在安全隐患。例如设备发出的时间戳请求应答、掩码请求应答、网络重定向和网络不可达等报文,其携带的设备相关信息可能给被攻击者获取并发起攻击。为了提高安全性,可以关闭设备对指定类型的ICMP报文的发送功能。
ICMP目的不可达报文发送功能同时受本命令和ip unreachables enable命令的控制。只要一方开启,ICMP目的不可达报文发送功能就处于开启状态。
ICMP超时报文发送功能同时受本命令和ip ttl-expires enable命令的控制。只要一方开启,ICMP超时报文发送功能就处于开启状态。
常用的ICMP报文的名称和含义如表1-14所示。
请根据网络实际情况执行本命令,随意关闭发送指定类型的ICMP报文的功能,可能会影响网络的正常运行。
表1-14 ICMP报文名称及其含义表
|
名称 |
含义 |
|
echo |
回送请求报文(Type=8,Code=0)。回送请求报文用于发送到目标节点,以触发目标节点立即发回一个回送应答报文 |
|
echo-reply |
回送应答报文(Type=0,Code=0)。当收到一个回送请求报文时,ICMP会用回送应答报文来响应 |
|
fragmentneed-dfset |
需要分片但却设置了不分片标志的报文(Type=3,Code=4) |
|
host-redirect |
主机重定向报文(Type=5,Code=1) |
|
host-tos-redirect |
主机ToS重定向报文(Type=5,Code=3) |
|
host-unreachable |
主机不可达报文(Type=3,Code=1) |
|
information-reply |
信息应答报文(Type=16,Code=0) |
|
information-request |
信息请求报文(Type=15,Code=0) |
|
net-redirect |
网络重定向报文(Type=5,Code=0) |
|
net-tos-redirect |
网络ToS重定向报文(Type=5,Code=2) |
|
net-unreachable |
网络不可达报文(Type=3,Code=0) |
|
parameter-problem |
参数错误报文(Type=12,Code=0) |
|
port-unreachable |
端口不可达报文(Type=3,Code=3) |
|
protocol-unreachable |
协议不可达报文(Type=3,Code=2) |
|
reassembly-timeout |
分片重组超时报文(Type=11,Code=1) |
|
source-quench |
源站抑制报文(Type=4,Code=0) |
|
source-route-failed |
源路由失败报文(Type=3,Code=5) |
|
timestamp-reply |
时间戳应答报文(Type=14,Code=0) |
|
timestamp-request |
时间戳请求报文(Type=13,Code=0) |
|
ttl-exceeded |
TTL超时报文(Type=11,Code=0) |
【举例】
# 开启发送ICMP echo-reply报文的功能。
<Sysname> system-view
[Sysname] ip icmp name echo-reply send enable
【相关命令】
· ip icmp fragment discarding
· ip ttl-expires enable
· ip unreachables enable
ip icmp source命令用来指定ICMP报文源地址。
undo ip icmp source命令用来删除指定的ICMP报文源地址。
【命令】
ip icmp source [ vpn-instance vpn-instance-name ] ip-address
undo ip icmp source [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定ICMP报文源地址。
发送ICMP差错报文(TTL超时、端口不可达和参数错误等)时,设备使用触发ICMP差错报文的原始报文的入接口IP地址作为ICMP报文源地址。
发送ICMP echo request报文时,设备使用出接口IP地址作为ICMP报文源地址。
发送ICMP echo reply报文时,设备使用ICMP echo request报文的目的地址作为ICMP报文源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。
ip-address:表示设备发送ICMP报文时指定的源地址。
【使用指导】
在网络中IP地址配置较多的情况下,收到ICMP报文时,网络管理员很难根据报文的源IP地址判断报文来自哪台设备。为了简化这一判断过程,可以配置ICMP报文指定源地址功能。配置环回口地址为ICMP报文的源地址,可以简化判断。
设备发送ICMP差错报文(TTL超时、端口不可达和参数错误等)和ping echo request报文时,都可以通过上述命令指定报文的源地址。
【举例】
# 配置设备发送ICMP报文时指定的源地址为1.1.1.1。
<Sysname> system-view
[Sysname] ip icmp source 1.1.1.1
ip reassemble local enable命令用来开启IP分片报文本地重组功能。
undo ip reassemble local enable命令用来关闭IP分片报文本地重组功能。
【命令】
ip reassemble local enable
undo ip reassemble local enable
【缺省情况】
IP分片报文本地重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当某单板收到目的为本设备的IP分片报文时,需要把分片报文送到主用主控板进行重组,这样会导致报文重组性能较低的问题。当开启IP分片报文本地重组功能后,分片报文会在该单板直接进行报文重组,这样就能提高报文的重组性能。开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的单板进入的,会导致IP分片报文本地无法重组成功。
多台设备组成的IRF环境下,当某成员设备收到目的为本IRF设备的IP分片报文时,需要把分片报文送到主设备进行重组,这样会导致报文重组性能较低的问题。当开启IP分片报文本地重组功能后,分片报文会在该成员设备上直接进行报文重组,这样就能提高分片报文的重组性能。开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的成员设备进入的,会导致IP分片报文本地无法重组成功。
【举例】
# 开启IP分片报文本地重组功能。
<Sysname> system-view
[Sysname] ip reassemble local enable
ip ttl-expires enable命令用来开启设备的ICMP超时报文的发送功能。
undo ip ttl-expires enable命令用来关闭设备的ICMP超时报文的发送功能。
【命令】
ip ttl-expires enable
undo ip ttl-expires enable
【缺省情况】
ICMP超时报文发送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
· 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
· 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
需要注意的是,关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
【举例】
# 开启设备的ICMP超时报文发送功能。
<Sysname> system-view
[Sysname] ip ttl-expires enable
ip unreachables enable命令用来开启设备的ICMP目的不可达报文的发送功能。
undo ip unreachables enable命令用来关闭设备的ICMP目的不可达报文的发送功能。
【命令】
ip unreachables enable
undo ip unreachables enable
【缺省情况】
ICMP目的不可达报文发送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
设备在满足下列条件时会发送目的不可达报文:
· 设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
· 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
· 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
· 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
· 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。
【举例】
# 开启设备的ICMP目的不可达报文发送功能。
<Sysname> system-view
[Sysname] ip unreachables enable
packet-follow care命令用来指定报文追踪功能关心的报文跟踪点。
undo packet-follow care命令用来删除报文追踪功能关心的报文跟踪点。
【命令】
packet-follow care phase [ tag-id ]
undo packet-follow care phase [ tag-id ]
【缺省情况】
未指定关心的报文跟踪点。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
phase:报文的处理阶段。
tag-id:各报文处理阶段内部处理节点的标识,取值范围为0~511。
【使用指导】
设备在处理报文时会经过多个处理阶段,每个处理阶段又分为多个处理节点,报文追踪功能在缺省情况下会追踪报文的全部处理阶段和处理节点,此时可能导致统计的信息和调试信息过多,不便于定位问题,通过本功能配置关心的报文跟踪点后,报文追踪功能将只显示关心的报文跟踪点的统计信息和调试信息,过滤掉其他的处理阶段和处理节点的信息。
不指定tag-id参数时表明指定所有处理节点。
【举例】
# 设置关心TCP处理阶段中编号为1的处理节点。
<Sysname> packet-follow care tcp 1
【相关命令】
· debugging packet-follow
· display packet-follow statistics
packet-follow counting命令用来开启报文跟踪的统计功能。
undo packet-follow counting用来恢复缺省情况。
【命令】
packet-follow counting [ max-packet-number | no-limit ]
undo packet-follow counting
【缺省情况】
报文跟踪的统计功能处于关闭状态。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
max-packet-number:跟踪报文的最大数量,包括接收和发送方向。
no-limit:不限制跟踪报文的数量。
【使用指导】
报文丢包时,可以通过报文跟踪功能定位问题。开启本功能后,在报文成功匹配到追踪报文的匹配规则时,才可以通过display packet-follow statistics命令查看报文跟踪功能的统计信息,如果没有配置追踪报文的匹配规则或没有报文成功匹配规则,则不进行统计。
不选择任何参数的情况下,缺省跟踪统计10个报文。统计的报文数量达到上限时,统计功能自动关闭。
恢复缺省情况或者重新下发配置时,将删除当前全部的报文跟踪功能的统计信息。
【举例】
# 使能报文跟踪统计功能
<Sysname> packet-follow counting
【相关命令】
· display packet-follow statistics
· packet-follow receive interface
· packet-follow receive match-rule
· packet-follow receive match-rule acl
· packet-follow send match-rule
· packet-follow send match-rule acl
· reset packet-follow statistics
packet-follow receive interface命令用来设置以入接口为条件追踪报文。
undo packet-follow receive命令用来恢复缺省情况。
【命令】
packet-follow receive interface interface-type interface-number
undo packet-follow receive [ interface interface-type interface-number ]
【缺省情况】
追踪报文时不以入接口为过滤条件。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定追踪报文的入接口,必须为物理口或VLAN接口,支持配置最多128个入接口。interface-type interface-number表示接口类型和接口编号。
【使用指导】
当通过报文追踪功能追踪的报文过多时,可以通过本命令追踪特定入接口进入的报文。
【举例】
# 设置追踪从Gigabitethernet 2/0/1接口进入的报文
<Sysname> packet-follow receive interface Gigabitethernet 2/0/1
【相关命令】
· debugging packet-follow
· display packet-follow statistics
packet-follow receive match-rule命令用来设置要追踪的入方向报文的匹配规则。
undo packet-follow receive match-rule用来删除要追踪的入方向报文的匹配规则。
【命令】
packet-follow receive match-rule rule-id [ { { ipv4 | ipv6 | l2 | l4 | application } rule-string rule-mask offset } &<1-8> ]
undo packet-follow receive match-rule [ rule-id ]
【缺省情况】
不存在入方向报文的匹配规则。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule-id:用户自定义入方向报文匹配规则的编号,表示优先级,值越小,优先级越高。范围0~127。
ipv4:表示从IPv4报文头开始偏移。
ipv6:表示从IPv6报文头开始偏移。
l2:表示从L2帧头开始偏移。
l4:表示从L4报文头开始偏移。
application:表示从应用层头开始偏移。对于RAWIP报文,IPv4/IPv6报文头之后就是应用头。
rule-string:指定用户自定义的规则字符串,必须是16进制数组成,字符长度必须是偶数,最大长度40个字节。
rule-mask:指定规则字符串的掩码,用于和报文作“与”操作,必须是16进制数组成,字符长度必须是偶数,且必须与rule-string的长度相同。最大长度40个字节
offset:指定偏移量,它以用户指定的报文头部为基准,指定从第几个字节开始进行比较。取值范围0~65535。
&<1-8>:表示前面的参数可以重复输入1~8次。
【使用指导】
报文丢包时,可以通过报文跟踪功能定位问题。通过设置报文追踪规则去追踪特定类型的报文,可以对进入设备的报文在OSI网络模型中的第二层到第四层进行跟踪,通过display packet-follow statistics命令和debugging packet-follow命令查看报文跟踪功能的统计和调试信息。
工作机制
· 不指定ipv4、ipv6、l2、l4和application参数时,表示不指定具体过滤条件,所有报文都视为成功匹配规则。
· 同一条报文匹配规则里的所有条件同时满足,才视为匹配成功;配置以入接口为条件追踪报文时,接口和本功能配置的规则需要同时匹配才视为匹配成功。
· 支持配置128条规则,报文只要匹配上其中任意一条就算匹配成功。
· 通过undo packet-follow receive match-rule命令删除规则时,若不指定rule-id则表示删除所有的匹配规则。
【举例】
# 设置一条入方向报文跟踪条件如下:跟踪接收到的从L2帧头的0字节开始算起第12、13两字节的内容为0x0806的报文(即ARP报文)。
<Sysname> packet-follow receive match-rule 1 l2 0806 ffff 12
【相关命令】
· debugging packet-follow
· display packet-follow statistics
· packet-follow counting
packet-follow receive match-rule acl命令用来设置要追踪的入方向报文的规则匹配ACL。
undo packet-follow receive match-rule用来删除要追踪的入方向报文的匹配规则。
【命令】
packet-follow receive match-rule rule-id acl { [ ipv6 ] { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
undo packet-follow receive match-rule [ rule-id ]
【缺省情况】
入方向报文的规则不匹配ACL。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule-id:用户自定义入方向报文匹配规则的编号,表示优先级,值越小,优先级越高。范围0~127。
acl:表示对以太网报文进行过滤,仅跟踪符合ACL规则的以太网报文。
ipv6:表示对以太网报文进行过滤,仅跟踪符合IPv6 ACL规则的以太网报文。指定本参数时,只能指定高级ACL和基本ACL。
mac:表示对以太网报文进行过滤,仅跟踪符合二层ACL规则的以太网报文。
advanced-acl-number:指定高级ACL,取值范围为3000~3999。
basic-acl-number:指定基本ACL,取值范围为2000~2999。
mac-acl-number:指定二层ACL,取值范围为4000~4999。
【使用指导】
报文丢包时,可以通过报文跟踪功能定位问题。通过设置报文追踪规则去追踪符合特定ACL规则的报文,可以对进入设备的报文在OSI网络模型中的第二层到第四层进行跟踪,通过display packet-follow statistics命令和debugging packet-follow命令查看报文跟踪功能的统计和调试信息。
工作机制
· 同一条报文匹配规则里的所有条件同时满足,才算匹配成功;配置以入接口为条件追踪报文时,接口和本功能配置的规则需要同时匹配才算匹配成功。
· 支持配置128条规则,报文只要匹配上这些规则中的任意一条就算匹配成功。
· 通过undo packet-follow receive match-rule命令删除规则时,不指定rule-id表示删除所有的规则。
【举例】
# 设置一条入方向报文跟踪条件如下:跟踪接收到的从L2帧头的0字节开始算起第12、13两字节的内容为0x0806的报文(即ARP报文)。
<Sysname> packet-follow receive match-rule 1 l2 0806 ffff 12
【相关命令】
· debugging packet-follow
· display packet-follow statistics
· packet-follow counting
packet-follow send match-rule命令用来设置要追踪的出方向报文的匹配规则。
【命令】
packet-follow send match-rule rule-id [ { { ipv4 | ipv6 | l4 | application } rule-string rule-mask offset } &<1-8> ]
undo packet-follow send match-rule [ rule-id ]
【缺省情况】
不存在任何规则
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule-id:用户自定义出方向报文匹配规则的编号,表示优先级,取值越小,优先级越高。范围0~127。
ipv4:表示从IPv4报文头开始偏移。
ipv6:表示从IPv6报文头开始偏移。
l4:表示从L4报文头开始偏移。
application:表示从应用层头开始偏移。对于RAWIP报文,IPv4/IPv6报文头之后就是应用头。
rule-string:指定用户自定义的规则字符串,必须是16进制数组成,字符长度必须是偶数,最大长度40个字节。
rule-mask:指定规则字符串的掩码,用于和报文作“与”操作,必须是16进制数组成,字符长度必须是偶数,且必须与rule-string的长度相同。最大长度40个字节
offset:指定偏移量,它以用户指定的报文头部为基准,指定从第几个字节开始进行比较。取值范围0~65535。
&<1-8>:表示前面的参数可以重复输入1~8次。
【使用指导】
报文丢包时,可以通过报文跟踪功能定位问题。通过设置报文追踪规则去追踪特定类型的报文,可以对设备出方向的报文在OSI网络模型中的第二层到第四层进行跟踪,通过display packet-follow statistics命令和debugging packet-follow命令查看报文跟踪功能的统计和调试信息。
工作机制
· 不指定ipv4、ipv6、l4和application参数时,表示不指定具体过滤条件,所有报文都匹配成功。
· 同一条报文匹配规则里的所有条件同时满足,才算匹配成功;配置以入接口为条件追踪报文时,接口和本功能配置的规则需要同时匹配才算匹配成功。
· 支持配置128条规则,报文只要匹配上这些规则中的任意一条就算匹配成功。
· 通过undo packet-follow receive match-rule命令删除规则时,不指定rule-id表示删除所有的规则。
【举例】
# 设置一条出方向报文跟踪条件如下:跟踪接发送的从application帧头的0字节开始算起第12、13两字节的内容为0x1111的报文。
<Sysname> packet-follow send match-rule 1 application 1111 ffff 12
【相关命令】
· debugging packet-follow
· display packet-follow statistics
· packet-follow counting
packet-follow send match-rule acl命令用来设置要追踪的出方向报文的匹配规则。
【命令】
packet-follow send match-rule rule-id acl [ ipv6 ] { advanced-acl-number | basic-acl-number }
undo packet-follow send match-rule [ rule-id ]
【缺省情况】
出方向报文的规则不匹配ACL。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule-id:用户自定义出方向报文匹配规则的编号,表示优先级,值越小,优先级越高。范围0~127。
acl:表示对以太网报文进行过滤,仅跟踪符合ACL规则的以太网报文。
ipv6:表示对以太网报文进行过滤,仅跟踪符合IPv6 ACL规则的以太网报文。指定本参数时,只能指定高级ACL和基本ACL。
advanced-acl-number:指定高级ACL,取值范围为3000~3999。
basic-acl-number:指定基本ACL,取值范围为2000~2999。
【使用指导】
报文丢包时,可以通过报文跟踪功能定位问题。通过设置报文追踪规则去追踪符合特定ACL规则的报文,可以对设备出方向的报文在OSI网络模型中的第二层到第四层进行跟踪,通过display packet-follow statistics命令和debugging packet-follow命令查看报文跟踪功能的统计和调试信息。
工作机制
· 同一条报文匹配规则里的所有条件同时满足,才算匹配成功;配置以入接口为条件追踪报文时,接口和本功能配置的规则需要同时匹配才算匹配成功。
· 支持配置128条规则,报文只要匹配上这些规则中的任意一条就算匹配成功。
· 通过undo packet-follow receive match-rule命令删除规则时,不指定rule-id表示删除所有的规则。
【举例】
# 设置一条出方向报文跟踪条件如下:跟踪接发送的从application帧头的0字节开始算起第12、13两字节的内容为0x1111的报文。
<Sysname> packet-follow send match-rule 1 application 1111 ffff 12
【相关命令】
· debugging packet-follow
· display packet-follow statistics
· packet-follow counting
reset ip statistics命令用来清除IP报文统计信息。
【命令】
reset ip statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
在某些情况下,需要统计一定时间内接口的IP报文统计信息,这时必须在统计开始前清除原有的统计信息,重新进行统计。
【举例】
# 清除IP报文统计信息。
<Sysname> reset ip statistics
【相关命令】
· display ip interface(三层技术-IP业务命令参考/IP地址)
· display ip statistics
reset packet-follow statistics命令用来清除报文追踪的统计信息。
【命令】
reset packet-follow statistics [ receive | send ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
send:清除追踪的发送方向上的报文的统计信息。
receive:清除追踪的接收方向上的报文的统计信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
【使用指导】
不指定单板/成员设备时清除所有单板/成员设备的统计信息。
【举例】
# 清除Slot 1所有报文跟踪过程的统计信息。
<Sysname> reset packet-follow statistics slot 1
【相关命令】
· display packet-follow statistics
reset tcp statistics命令用来清除TCP连接的流量统计信息。
【命令】
reset tcp statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除TCP连接的流量统计信息。
<Sysname> reset tcp statistics
【相关命令】
· display tcp statistics
reset udp statistics命令用来清除UDP流量统计信息。
【命令】
reset udp statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除UDP流量统计信息。
<Sysname> reset udp statistics
【相关命令】
· display udp statistics
snmp-agent trap enable tcp命令用来开启TCP告警功能。
undo snmp-agent trap enable tcp命令用来关闭TCP告警功能
【命令】
snmp-agent trap enable tcp [ md5fail | syn-flood ] *
undo snmp-agent trap enable tcp [ md5fail | syn-flood ] *
【缺省情况】
TCP的告警功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
md5fail:开启TCP连接MD5认证失败告警功能,缺省处于开启状态。
syn-flood:开启TCP SYN Flood攻击防范告警功能,缺省处于开启状态。
【使用指导】
用户可根据业务需求开启指定功能的TCP模块的告警:
· 当开启了TCP连接的MD5认证失败的告警功能后,设备上的MD5认证失败时,设备会生成告警信息。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
· 当开启了TCP SYN Flood攻击防范告警功能后,设备上检测到基于流/接口的TCP SYN Flood攻击时,会生成告警信息。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。需要首先在设备上配置tcp anti-syn-flood flow-based enable或tcp anti-syn-flood interface-based enable命令后,本功能才生效。有关TCP SYN Flood攻击防范的详细介绍,请参见“安全配置指导”中的“基于IP的攻击防御”。
当不选择任何参数时,代表同时开启TCP连接MD5认证失败告警功能和TCP SYN Flood攻击防范告警功能。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 关闭TCP的告警功能。
<Sysname> system-view
[Sysname] undo snmp-agent trap enable tcp
statistics l3-packet enable命令用来开启三层报文统计功能。
undo statistics l3-packet enable命令用来关闭三层报文统计功能。
【命令】
statistics l3-packet enable { inbound | outbound } [ broadcast | multicast | unicast ] *
undo statistics l3-packet enable { inbound | outbound } [ broadcast | multicast | unicast ] *
【缺省情况】
三层报文统计功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
inbound:表示入方向上的三层报文统计功能。
outbound:表示出方向上的三层报文统计功能。
broadcast:表示广播类型的三层报文统计功能。
multicast:表示组播类型的三层报文统计功能。
unicast:表示单播类型的三层报文统计功能。
【使用指导】
开启本功能后,设备会统计接口接收的IP报文的数量,该统计信息可通过display ip statistics命令查看。接口报文流量过大时,开启本功能会造成设备CPU占用率高,影响转发性能。因此,当用户不需要统计接口接收的IP报文数量时,建议关闭本功能。
如果未指定任何参数,则表示同时开启/关闭三层报文统计功能。
【举例】
# 开启接口Ten-GigabitEthernet2/0/0下的三层单播报文统计功能。
<Sysname> system
[Sysname] interface ten-gigabitethernet 2/0/0
[Sysname-Ten-GigabitEthernet2/0/0] statistics l3-packet enable inbound
【相关命令】
· display ip interface(三层技术-IP业务命令参考/IP地址)
· display ip statistics
· display ipv6 interface(三层技术-IP业务命令参考/IPv6基础)
· display ipv6 statistics(三层技术-IP业务命令参考/IPv6基础)
tcp log enable命令用来开启TCP日志功能。
undo tcp log enable命令用来关闭TCP日志功能。
【命令】
tcp log enable
undo tcp log enable
【缺省情况】
TCP日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
TCP日志可以满足管理员对TCP连接的审计需求,例如审计MD5认证是否失败。设备生成的TCP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
记录日志信息会消耗一定的内存,如果要避免此类内存消耗,可通过undo tcp log enable命令关闭TCP日志信息功能。
【举例】
# 开启TCP日志功能。
<Sysname> system-view
[Sysname] tcp log enable
tcp mss命令用来配置接口的TCP最大报文段长度。
undo tcp mss命令用来恢复缺省情况。
【命令】
tcp mss value
undo tcp mss
【缺省情况】
未配置接口的TCP最大报文段长度。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
value:TCP最大报文段长度,取值范围为128~(接口的最大MTU值-40),单位为字节。
【使用指导】
TCP MSS(Max Segment Size)表示TCP数据包每次传输的最大数据分段,即图1-1所示的Payload字段的最大长度。
TCP最大报文段长度(Max Segment Size,MSS)表示TCP连接的对端发往本端的最大TCP报文段的长度,目前作为TCP连接建立时的一个选项来协商:当一个TCP连接建立时,连接的双方要将MSS作为TCP报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值。当对端发送的TCP报文的长度小于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端。
该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效。
该配置仅对IP报文生效,当接口上配置了MPLS功能后,不建议再配置本功能。
【举例】
# 配置接口Ten-GigabitEthernet2/0/0上TCP最大报文段长度为300字节。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 2/0/0
[Sysname-Ten-GigabitEthernet2/0/0] tcp mss 300
【相关命令】
· tcp modify-mss
tcp path-mtu-discovery命令用来开启TCP连接的Path MTU探测功能。
undo tcp path-mtu-discovery命令用来关闭TCP连接的Path MTU探测功能。
【命令】
tcp path-mtu-discovery [ aging age-time | no-aging ]
undo tcp path-mtu-discovery
【缺省情况】
TCP连接的Path MTU探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging age-time:Path MTU的老化时间,age-time的取值范围为10~30,单位为分钟,缺省值为10。
no-aging:Path MTU不老化。
【使用指导】
开启TCP连接的Path MTU探测功能后,新建的TCP连接均会携带Path MTU探测属性,可以通过探测机制确定Path MTU,按照数据路径上的最小MTU组织TCP分段长度,最大限度利用网络资源,避免IP分片的发生。
关闭TCP连接的Path MTU探测功能后,系统将停止所有正在运行的Path MTU定时器,此后创建的TCP连接均无Path MTU探测功能,但是对于此前已经建立的TCP连接,其Path MTU探测功能不会被关闭。
【举例】
# 开启TCP连接的Path MTU探测功能,Path MTU的老化时间为20分钟。
<Sysname> system-view
[Sysname] tcp path-mtu-discovery aging 20
tcp syn-cookie enable命令用来开启SYN Cookie功能,防止设备受到SYN Flood攻击。
undo tcp syn-cookie enble命令用来关闭SYN Cookie功能。
【命令】
tcp syn-cookie enable
undo tcp syn-cookie enable
【缺省情况】
SYN Cookie功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
一般情况下,TCP连接的建立需要经过三次握手,一些恶意的攻击者利用TCP连接的建立过程进行SYN Flood攻击:攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而,达到耗费服务器资源,使服务器无法处理正常业务的目的。
SYN Cookie功能用来防止SYN Flood攻击。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接。通过这种方式,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击。
【举例】
# 开启SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
tcp timer fin-timeout命令用来配置TCP的finwait定时器超时时间。
undo tcp timer fin-timeout命令用来恢复缺省情况。
【命令】
tcp timer fin-timeout time-value
undo tcp timer fin-timeout
【缺省情况】
TCP finwait定时器的超时时间为675秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:TCP finwait定时器的超时时间,取值范围为76~3600,单位为秒。
【使用指导】
当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前未收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
【举例】
# 配置TCP finwait定时器的超时时间为800秒。
<Sysname> system-view
[Sysname] tcp timer fin-timeout 800
tcp timer syn-timeout命令用来配置TCP的synwait定时器超时时间。
undo tcp timer syn-timeout命令用来恢复缺省情况。
【命令】
tcp timer syn-timeout time-value
undo tcp timer syn-timeout
【缺省情况】
TCP synwait定时器的超时时间为75秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:TCP synwait定时器的超时时间,取值范围为2~600,单位为秒。
【使用指导】
当发送SYN报文时,TCP启动synwait定时器和重传SYN报文定时器,当synwait定时器超时且SYN报文重传未达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功;当synwait定时器未超时但是SYN报文重传达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功。
【举例】
# 配置TCP synwait定时器的超时时间为80秒。
<Sysname> system-view
[Sysname] tcp timer syn-timeout 80
tcp timestamps enable命令用来配置发送TCP报文时添加TCP时间戳选项信息。
undo tcp timestamps enable命令用来配置发送TCP报文时不添加TCP时间戳选项信息。
【命令】
tcp timestamps enable
undo tcp timestamps enable
【缺省情况】
发送TCP报文时会添加TCP时间戳选项信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
TCP报文中携带TCP时间戳选项信息时,建立TCP连接的两台设备通过TCP报文中的时间戳字段就可计算出RTT(Round Trip Time,往返时间)值。在某些组网中,由于安全隐患,需要防止TCP连接上的中间设备获取到TCP时间戳信息,可以在建立TCP连接任意一端关闭发送TCP报文时添加时间戳选项信息功能。
该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效。
【举例】
# 配置发送TCP报文时不添加TCP时间戳选项信息。
<Sysname> system-view
[Sysname] undo tcp timestamps enable
tcp window命令用来设置TCP连接的收发缓冲区大小。
undo tcp window命令用来恢复缺省情况。
【命令】
tcp window window-size
undo tcp window
【缺省情况】
TCP连接的收发缓冲区大小为63KB。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
window-size:TCP连接的收发缓冲区大小,取值范围为1~64,单位为KB(千字节)。
【举例】
# 设置TCP连接的收发缓冲区大小为3KB。
<Sysname> system-view
[Sysname] tcp window 3
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
