- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-快速转发配置
本章节下载: 15-快速转发配置 (282.43 KB)
报文转发效率是衡量设备性能的一项关键指标。按照常规流程,设备收到一个报文后,根据报文的目的地址寻找路由表中与之匹配的路由,然后确定一条最佳的路径,同时还将报文按照数据链路层上使用的协议进行封装,最后进行报文转发。
快速转发是采用高速缓存来处理报文,采用了基于数据流的技术。
快速转发根据报文中的信息(比如源IP地址、目的IP地址、源端口、目的端口、IP协议号等)来标识一条数据流。当一条数据流的第一个报文通过查找路由表转发后,在高速缓存中生成相应的转发信息,该数据流后续报文的转发就可以通过直接查找快速转发表进行转发。这样便大大缩减了IP报文的排队流程,减少报文的转发时间,提高IP报文的转发速率。
快速转发能处理已经分片的IP报文,但不支持对IP报文的再分片。
根据处理方式不同,快速转发分为软件快速转发和硬件快速转发。除非特别指明,否则下文中的快速转发均指软件快速转发。
快速转发表中的表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从快速转发表中删除,这个生存周期被称作老化时间。如果在到达老化时间前纪录被刷新,则重新计算老化时间。
(1) 进入系统视图。
system-view
(2) 配置快速转发表项的老化时间。
ip fast-forwarding aging-time aging-time
缺省情况下,快速转发表项的老化时间为30秒。
IPv4分片报文快速转发表的表项资源使用率=(当前IPv4分片报文快速转发表记录的表项数/IPv4分片报文快速转发表支持记录的最大表项数)*100%。
当IPv4分片报文快速转发表的表项资源使用率达到配置的告警阈值,或者从高于阈值重新恢复到阈值以下时,系统触发日志告警。
当IPv4分片报文快速转发表的表项资源使用率低于100%时,即使触发告警,设备仍会继续记录新数据包的分片报文快速转发表项。当表项资源使用率达到100%时,如果收到新数据包的分片报文,设备将删除最老的分片报文快速转发表项,并记录新数据包的分片报文快速转发表项。
(1) 进入系统视图。
system-view
(2) 配置IPv4分片报文快速转发表的表项资源使用率告警阈值。
ip fast-forwarding fragcache threshold threshold
缺省情况下,IPv4分片报文快速转发表的表项资源使用率告警阈值为100%。
缺省情况下,快速转发负载分担功能处于开启状态,快速转发根据报文中的信息来标识一条数据流;关闭快速转发负载分担功能后,快速转发根据报文中的信息和入接口来标识一条数据流。
(1) 进入系统视图。
system-view
(2) 配置快速转发负载分担功能。请选择其中一项进行配置。
¡ 开启快速转发负载分担功能。
ip fast-forwarding load-sharing
¡ 关闭快速转发负载分担功能。
undo ip fast-forwarding load-sharing
缺省情况下,快速转发负载分担功能处于开启状态。
硬件快速转发功能可以在系统建立快转的时候存储会话信息,以便后续流量可以通过匹配会话表项加速报文的转发。当需要定位转发芯片是否存在故障时,可以关闭硬件快速转发功能。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
款型 |
说明 |
|
L5000-AD920、M9000-AD6 |
不支持 |
|
L5000-AD920-G |
支持 |
(1) 进入系统视图。
system-view
(2) 关闭硬件快速转发功能。
undo hardware fast-forwarding enable [ slot slot-number [ cpu cpu-number ] ]
缺省情况下,硬件快速转发功能处于开启状态。
配置本功能后,对于VXLAN报文,使用外层报文的DSCP替代源端口号标识数据流。
(1) 进入系统视图。
system-view
(2) 配置对于VXLAN报文支持基于DSCP进行快速转发。
ip fast-forwarding dscp
缺省情况下,VXLAN报文不支持基于DSCP进行快速转发。
(3) (可选)配置用于识别VXLAN报文的目的UDP端口号。
ip fast-forwarding vxlan-port port-number
缺省情况下,用于识别VXLAN报文的目的UDP端口号为4789。
(1) 进入系统视图。
system-view
(2) 配置硬件快速转发芯片出口将增量校验和封装到报文中。
hardware fast-forwarding checksum encap incremental [ slot slot-number cpu cpu-number ]
缺省情况下,硬件快速转发芯片出口将增量校验和封装到报文中。
(1) 进入系统视图。
system-view
(2) 开启硬件快速转发芯片出口对报文的篡改检测功能。
hardware fast-forwarding checksum inspect [ l3 | l4 [ tcp | udp ] ] enable [ slot slot-number cpu cpu-number ]
缺省情况下,硬件快速转发芯片出口对报文的各种篡改检测功能均处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置设备检测到报文被篡改时执行的动作。
hardware fast-forwarding checksum inspect action { drop-err | log } [ slot slot-number cpu cpu-number ]
缺省情况下,设备检测到报文被篡改时执行的动作为转发报文和生成日志。
对于包含双硬件转发芯片的业务板,当只需要单个硬件转发芯片处理业务报文时,使用本命令将上行业务报文处理模式配置为单硬件芯片转发模式。模式切换后,上行报文由单硬件转发芯片处理,下行报文由双硬件转发芯片处理。
配置本功能后,只有重启相应业务板,模式切换才能生效。如果安全引擎组内有多个安全引擎(即多业务板),需要针对安全引擎组内所有业务板执行本命令进行模式切换(即保证安全引擎组内所有业务板都处于同一转发模式下)并重启安全引擎组内所有业务板后,模式切换才能生效。有关安全引擎组的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
对于仅包含单硬件转发芯片的业务板,本功能不生效。
(1) 进入系统视图。
system-view
(2) 配置上行业务报文的处理模式为单硬件芯片转发模式。
hardware fast-forwarding standalone [ slot slot-number [ cpu cpu-number ] ]
缺省情况下,上行业务报文的处理模式为双硬件芯片转发模式。
此命令仅在Blade IV安全业务板和Blade V安全业务板上支持。
(1) 进入系统视图。
system-view
(2) 配置会话申请锁功能。请选择其中一项进行配置。
¡ 关闭会话申请锁功能。
hardware fast-forwarding session-lock disable slot slot-number cpu cpu-number
¡ 开启会话申请锁功能。
undo hardware fast-forwarding session-lock disable slot slot-number cpu cpu-number
缺省情况下,会话申请锁功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置逻辑聚合选路模式为CRC Hash模式。
hardware fast-forwarding link-aggregation hash-mode crc
缺省情况下,逻辑聚合选路模式为异或模式
(3) (可选)配置参与逻辑聚合选路CRC运算的IPv6地址的偏移量。
hardware fast-forwarding link-aggregation hash-mode crc ip-offset offset-vlaue
缺省情况下,参与逻辑聚合选路CRC运算的IPv6地址的偏移量为0。
当逻辑聚合选路模式为CRC HASH模式时,执行本命令可以配置参与逻辑聚合选路CRC运算的IPv6地址的偏移量。从offset-vlaue参数所示位置开始(包含此比特),选取32比特进行逻辑聚合选路CRC运算。
开启本功能后,可以通过display interface blade或者display interface blade-aggregation查看到对应Blade接口通过软件快速转发和硬件快速转发的全部流量统计信息。不开启本功能时,通过这两条命令仅可以查看到对应Blade接口通过软件快速转发的流量统计信息。
本功能仅对带有硬件快速转发芯片的安全业务板有效。
此命令仅缺省Context支持,非缺省Context不支持。
(1) 进入系统视图。
system-view
(2) 开启硬件快速转发的负载分担功能。
hardware fast-forwarding statistics enable [ slot slot-number [ cpu cpu-number ]]
缺省情况下,硬件快速转发流量统计功能处于关闭状态。
当安全业务板上的CPU出现单核流量过大的情况时,可以将业务板的报文处理模式配置为抗攻击模式,以避免攻击流量影响其他CPU核心的正常处理。
本功能仅适用于Blade 4安全业务板。
(1) 进入系统视图。
system-view
(2) 将安全业务板的报文处理模式配置为抗攻击模式。
hardware processing-mode attack-resistance
缺省情况下,安全业务板的报文处理模式为CPU模式,该模式下业务板使用CPU进行报文处理。
抗攻击模式下,业务板优先使用硬件快速转发芯片进行报文处理。
开启本功能后,通过执行display session table ipv4 verbose/display session table ipv6命令可以查看到获取的硬件快速转发会话的状态。
目前仅Blade4、Blade5板卡支持配置本命令。
(1) 进入系统视图。
system-view
(2) 开启获取硬件快速转发会话状态功能。
hardware fast-forwarding session-state enable
缺省情况下,获取硬件快速转发会话状态功能处于开启状态。
在等价双出口组网环境中,一条流量的回程报文可能经由不同的入接口送至设备。这样会导致设备将这些入接口不同的报文视作不同的流量,进而无法对其进行硬件快速转发。
开启本功能后,硬件快速转发功能将不再要求报文的入接口序列号相同,同一条流量的后续报文可以正常进行硬件快速转发。
只有在开启硬件快速转发功能的情况下,本功能才能生效。
如发现转发异常情况,可关闭本功能进行调试。
(1) 进入系统视图。
system-view
(2) 开启硬件快速转发忽略接口序列号匹配功能。
hardware fast-forwarding ifsn match enable [ slot slot-number cpu cpu-number ]
(1) 进入系统视图。
system-view
(2) 开启逻辑畸形报文检测功能。
hardware fast-forwarding malpkt-filter enable [ slot slot-number cpu cpu-number ]
缺省情况下,逻辑畸形报文检测功能处于开启状态。
通过开启本命令,当检测到源IP地址等于目的IP地址的畸形报文时,硬件转发芯片直接对报文进行丢弃处理,以增强网络的安全性和稳健性。
配置本命令前,请先执行hardware fast-forwarding malpkt-filter enable命令开启设备对畸形报文的检测功能。
此命令仅在Blade IV安全业务板上配置生效。
(1) 进入系统视图。
system-view
(2) 配置SIP=DIP畸形报文的丢弃功能。
hardware fast-forwarding malpkt-filter sip_dip discard [ slot slot-number cpu cpu-number ]
缺省情况下,硬件转发芯片对检测到的SIP=DIP畸形报文不进行丢弃,直接上送到CPU处理。
开启本功能后,设备将对所有走硬件快速转发的IPv4报文头部中的标识符字段进行修改。
此命令仅对带有硬件快速转发芯片的Blade IV和Blade V安全业务板生效。
(1) 进入系统视图。
system-view
(2) 开启硬件快速转发的IPv4报文头部ID字段的修改功能。
hardware fast-forwarding ip-id enable
缺省情况下,对硬件快速转发的IPv4报文头部ID字段的修改功能处于关闭状态。
当遇到网络流量过大的情况时,可启用IP限速功能,该功能基于硬件快速转发机制,能够对IP流量实施限速控制。
本功能仅在支持硬件转发芯片的安全业务板上配置生效。
(1) 进入系统视图。
system-view
(2) 开启IP限速功能。
hardware fast-forwarding ipcar enable
缺省情况下,IP限速功能处于关闭状态。
对于拥有两个收包通道的引擎业务板,每个通道对应一个CPU NUMA节点的情况,为了加速报文的收发速率,需要提前申请缓存队列。例如,当存在一个通道收的报文上了另一个CPU NUMA节点的核心时,可以基于通道所在的NUMA节点申请缓存,也可以基于接收报文的CPU核心所在的NUMA节点申请缓存。
执行本特性后,只有手动重启相应业务板,硬件缓存方式切换才能生效。如果安全引擎组内有多个安全引擎(即多业务板),需要针对安全引擎组内所有业务板执行本命令进行模式切换(即保证安全引擎组内所有业务板都处于同一硬件缓存方式模式下)并手动重启安全引擎组内所有业务板后,硬件缓存方式切换才能生效。有关安全引擎组的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
(1) 进入系统视图。
system-view
(2) 配置业务板上行硬件缓存方式为靠近cpu处理核。
hardware buffer-mode per-cpu
缺省情况下,业务板上行硬件缓存方式为靠近引擎口。
通过配置逻辑网卡上行报文的逐流hash方式,可以实现对每个流量的哈希计算,从而实现流量的均衡分配到不同的物理端口上,提高网络的负载均衡能力。通过配置不同的逐流hash方式,可以根据实际网络环境和需求,灵活选择适合的哈希计算方式,从而优化网络性能和流量分发效果。
(1) 进入系统视图。
system-view
(2) 配置逻辑网卡上行报文的逐流hash方式。
hardware per-flow hash-mode { crc | symmetrichash | xor }
缺省情况下,逻辑网卡上行报文的逐流hash方式为CRC。
本功能用于根据不同的流量需求,为每个引擎口配置逐流表。当数据包到达时,根据每个数据流的特征,将数据包分配到不同的引擎口进行处理,实现了对每个数据流的单独监控和处理。
(1) 进入系统视图。
system-view
(2) 配置每个引擎口使用独立逐流表。
hardware per-flow pcie-diversion
缺省情况下,安全引擎业务板数据通道共用一个逐流表。
在完成上述配置后,在任意视图下执行display命令可以显示快速转发配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除快速转发表中的内容。
表1-1 快速业务引擎显示和维护
|
操作 |
命令 |
|
显示快速业务引擎报文速率统计信息 |
(独立运行模式) display hardware fast-forwarding packet statistics [ slot slot-number cpu cpu-number ] (IRF模式) display hardware fast-forwarding packet statistics [ chassis chassis-number slot slot-number cpu cpu-number ] |
|
用来显示快速业务引擎会话统计信息 |
(独立运行模式) display hardware fast-forwarding session statistics [ slot slot-number cpu cpu-number ] (IRF模式) display hardware fast-forwarding session statistics [ chassis chassis-number slot slot-number cpu cpu-number ] |
表1-2 快速转发显示和维护
|
操作 |
命令 |
|
显示快速转发表项的老化时间 |
display ip fast-forwarding aging-time |
|
显示快速转发表信息 |
display ip fast-forwarding cache [ ip-address ] [ slot slot-number [ cpu cpu-number ] ] |
|
显示虚拟分片报文快速转发表信息 |
display ip fast-forwarding fragcache [ ip-address ] [ slot slot-number [ cpu cpu-number ] ] |
|
清除快速转发表信息 |
reset ip fast-forwarding cache [ slot slot-number [ cpu cpu-number ] ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
