- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-快速转发命令
本章节下载: 15-快速转发命令 (335.21 KB)
目 录
1.1.1 display hardware fast-forwarding packet statistics
1.1.2 display hardware fast-forwarding session statistics
1.1.3 display ip fast-forwarding aging-time
1.1.4 display ip fast-forwarding cache
1.1.5 display ip fast-forwarding fragcache
1.1.6 hardware buffer-mode per-cpu
1.1.7 hardware fast-forwarding checksum encap incremental
1.1.8 hardware fast-forwarding checksum inspect action
1.1.9 hardware fast-forwarding checksum inspect enable
1.1.10 hardware fast-forwarding enable
1.1.11 hardware fast-forwarding ifsn match enable
1.1.12 hardware fast-forwarding ip-id enable
1.1.13 hardware fast-forwarding ipcar enable
1.1.14 hardware fast-forwarding link-aggregation hash-mode crc
1.1.15 hardware fast-forwarding link-aggregation hash-mode crc ip-offset
1.1.16 hardware fast-forwarding malpkt-filter enable
1.1.17 hardware fast-forwarding malpkt-filter sip_dip discard
1.1.18 hardware fast-forwarding session-lock disable
1.1.19 hardware fast-forwarding session-state enable
1.1.20 hardware fast-forwarding statistics enable
1.1.21 hardware per-flow hash-mode
1.1.22 hardware per-flow pcie-diversion
1.1.23 ip fast-forwarding aging-time
1.1.24 ip fast-forwarding dscp
1.1.25 ip fast-forwarding fragcache threshold
1.1.26 ip fast-forwarding load-sharing
1.1.27 ip fast-forwarding vxlan-port
1.1.28 reset ip fast-forwarding cache
display hardware fast-forwarding packet statistics命令用来显示快速业务引擎报文速率统计信息。
【命令】
display hardware fast-forwarding packet statistics [ slot slot-number cpu cpu-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:用来显示指定单板的快速业务引擎速率统计信息,slot-number表示单板所在槽位号。如果未指定本参数,将显示所有单板的快速业务引擎速率统计信息。
cpu cpu-number:显示指定CPU上的快速业务引擎速率统计信息。cpu-number表示CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
此命令仅在带有快速业务引擎的Blade IV安全业务板上支持。显示包括快速业务引擎收发包速率、本快速业务引擎与同板另一个快速业务引擎的收发包速率、快速业务引擎与CPU的收发包速率。
【举例】
# 显示所有单板的快速业务引擎速率统计信息。
<Sysname> display hardware fast-forwarding packet statistics
The unit of measure for the following rates is packets per second (pps).
Slot Ch. Input Output From ch. To ch. From CPU To CPU
2/0/1 0 14881000 14881000 14881000 14881000 4881000 14881000
3/0/1 0 14881000 14881000 14881000 14881000 4881000 14881000
表1-1 display hardware fast-forwarding packet statistics命令显示信息描述表
|
字段 |
描述 |
|
Slot |
· 快速业务引擎所在槽位信息,格式为: · Slot/CPU |
|
Ch. |
快速业务引擎id,取值包括0和1 |
|
Input |
快速业务引擎接收包速率,单位PPS |
|
Output |
快速业务引擎发送包速率,单位PPS |
|
From ch. |
接收同板另一个快速业务引擎报文速率,单位PPS |
|
To ch. |
发送至同板另一个快速业务引擎报文速率,单位PPS |
|
From CPU |
快速业务引擎从CPU收到报文速率,单位PPS |
|
To CPU |
快速业务员引擎发送至CPU报文速率,单位PPS |
display hardware fast-forwarding session statistic命令用来显示快速业务引擎会话统计信息。
【命令】
display hardware fast-forwarding session statistics [ slot slot-number cpu cpu-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:用来显示指定单板的快速业务引擎会话统计信息,slot-number表示单板所在槽位号。如果未指定本参数,将显示所有单板的快速业务引擎会话统计信息。
cpu cpu-number:显示指定CPU上的快速业务引擎会话统计信息。cpu-number表示CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
此命令仅在带有快速业务引擎的Blade IV安全业务板上支持。显示包括快速业务引擎会话数量、会话新建速率和会话老化速率。
【举例】
# 显示所有单板的快速业务引擎会话统计信息。
<Sysname> display hardware fast-forwarding session statistic
Slot CPU Ch. Sessions Creating Aging
2/0 1 0 0 0/s 0/s
2/0 1 1 0 0/s 0/s
2/3 1 0 0 0/s 0/s
2/4 1 0 0 0/s 0/s
表1-2 display hardware fast-forwarding session statistic命令显示信息描述表
|
字段 |
描述 |
|
Slot |
快速业务引擎所在槽位信息,格式为: · Slot |
|
CPU |
CPU号 |
|
Ch |
快速业务引擎id,取值包括0和1 |
|
Sessions |
快速业务引擎会话数量,单位:条 |
|
Creating |
快速业务引擎会话新建速率,单位为:条/秒 |
|
Aging |
快速业务引擎会话老化速率,单位为:条/秒 |
display ip fast-forwarding aging-time命令用来显示快速转发表项的老化时间。
【命令】
display ip fast-forwarding aging-time
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示快速转发表项的老化时间。
<Sysname> display ip fast-forwarding aging-time
Aging time: 30s
表1-3 display ip fast-forwarding aging-time命令显示信息描述表
|
字段 |
描述 |
|
Aging time |
快转表项的老化时间 |
【相关命令】
· ip fast-forwarding aging-time
display ip fast-forwarding cache命令用来显示快速转发表信息。
【命令】
display ip fast-forwarding cache [ ip-address ] [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IP地址的快速转发表信息。如果不指定ip-address,将显示所有快速转发表信息。
slot slot-number:显示指定单板的快速转发表信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的快速转发表信息。
cpu cpu-number:显示指定CPU上的快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有快速转发表的信息。
<Sysname> display ip fast-forwarding cache
Total number of fast-forwarding entries: 1
SIP SPort DIP DPort Pro Input_If Output_If Flg
7.0.0.13 68 8.0.0.1 67 17 XGE2/3/3 XGE2/3/1 5
表1-4 display ip fast-forwarding cache命令显示信息描述表
|
字段 |
描述 |
|
Total number of fast-forwarding entries |
快速转发表项数目 |
|
SIP |
源IP地址 |
|
SPort |
源端口号 |
|
DIP |
目的IP地址 |
|
DPort |
目的端口号 |
|
Pro |
协议号 |
|
Input_If |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
|
Output_If |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在) |
|
Flg |
内部标记,主要是标记分片等内部操作信息 |
【相关命令】
· reset ip fast-forwarding cache
display ip fast-forwarding fragcache命令用来显示分片报文快速转发表信息。
【命令】
display ip fast-forwarding fragcache [ ip-address ] [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IP地址的分片报文快速转发表信息。如果不指定ip-address,将显示所有分片报文快速转发表信息。
slot slot-number:显示指定单板的分片报文快速转发表信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的分片报文快速转发表信息。
cpu cpu-number:显示指定CPU上的分片报文快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有分片报文快速转发表信息。
<Sysname> display ip fast-forwarding fragcache
Total number of fragment fast-forwarding entries: 1
SIP SPort DIP DPort Pro Input_If ID Relay_flag
7.0.0.13 68 8.0.0.1 67 17 GE1/0/3 2 1
表1-5 display ip fast-forwarding fragcache命令显示信息描述表
|
字段 |
描述 |
|
Total number of fragment fast-forwarding entries |
分片报文快速转发表项数目 |
|
SIP |
源IP地址 |
|
SPort |
源端口号 |
|
DIP |
目的IP地址 |
|
DPort |
目的端口号 |
|
Pro |
协议号 |
|
Input_If |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
|
ID |
分片IP报文ID |
|
Relay_flag |
是否横向透传(“0”表示“不透传”,“1”表示“透传”) |
【相关命令】
· reset ip fast-forwarding cache
hardware buffer-mode per-cpu命令用来配置业务板上行硬件缓存方式为靠近cpu处理核。
undo hardware buffer-mode per-cpu命令用来恢复缺省情况。
【命令】
hardware buffer-mode per-cpu
undo hardware buffer-mode per-cpu
【缺省情况】
业务板上行硬件缓存方式为靠近引擎口。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对于拥有两个收包通道的引擎业务板,每个通道对应一个CPU NUMA节点的情况,为了加速报文的收发速率,需要提前申请缓存队列。例如,当存在一个通道收的报文上了另一个CPU NUMA节点的核心时,可以基于通道所在的NUMA节点申请缓存,也可以基于接收报文的CPU核心所在的NUMA节点申请缓存。
执行本命令后,只有手动重启相应业务板,硬件缓存方式切换才能生效。如果安全引擎组内有多个安全引擎(即多业务板),需要针对安全引擎组内所有业务板执行本命令进行模式切换(即保证安全引擎组内所有业务板都处于同一硬件缓存方式模式下)并手动重启安全引擎组内所有业务板后,硬件缓存方式切换才能生效。有关安全引擎组的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 配置业务板上行硬件缓存方式为靠近cpu处理核。
<Sysname> system-view
[Sysname] hardware buffer-mode per-cpu
hardware fast-forwarding checksum encap incremental命令用来配置硬件快速转发芯片出口将增量校验和封装到报文中。
undo hardware fast-forwarding checksum encap incremental命令用来恢复缺省情况。
【命令】
hardware fast-forwarding checksum encap incremental [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding checksum encap incremental [ slot slot-number cpu cpu-number ]
【缺省情况】
硬件快速转发芯片出口将增量校验和封装到报文中。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:表示配置指定单板上的硬件快速转发芯片出口将指定模式的校验和封装到报文中,slot-number表示单板所在槽位号。不指定该参数时,则表示配置所有单板上的硬件快速转发芯片出口将指定模式的校验和封装到报文中。。
cpu cpu-number:表示配置指定CPU上的硬件快速转发芯片出口将指定模式的校验和封装到报文中,cpu-number表示CPU的编号。
【使用指导】
此命令仅在带有硬件快速转发功能的业务板上支持。
此命令仅缺省Context支持,非缺省Context不支持。
【举例】
# 配置slot 1 cpu 1上的硬件快速转发芯片出口将指定模式的校验和封装到报文中。
<Sysname> system-view
[Sysname] hardware fast-forwarding checksum encap incremental slot 1 cpu 1
hardware fast-forwarding checksum inspect action { drop-err | log }命令用来配置设备检测到报文被篡改时执行的动作。
undo hardware fast-forwarding checksum inspect action { drop-err | log }命令行用来取消指定的动作。
【命令】
hardware fast-forwarding checksum inspect action { drop-err | log } [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding checksum inspect action { drop-err | log } [ slot slot-number cpu cpu-number ]
【缺省情况】
设备检测到报文被篡改时执行的动作为转发报文和生成日志。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
drop-err:表示设备检测到报文被篡改时丢弃此报文。
log:表示设备检测到报文被篡改时生成日志信息。
slot slot-number:表示配置指定单板检测到报文被篡改时执行的动作,slot-number表示单板所在槽位号。不指定该参数时,则表示配置所有单板检测到报文被篡改时执行的动作。
cpu cpu-number:表示配置指定CPU检测到报文被篡改时执行的动作,cpu-number表示CPU的编号。
【使用指导】
此命令仅在带有硬件快速转发功能的业务板上支持。
此命令仅缺省Context支持,非缺省Context不支持。
多次支持此命令可以配置多个动作。
【举例】
# 取消slot 1 cpu 1检测到报文被篡改时生成日志功能。
<Sysname> system-view
[Sysname] undo hardware fast-forwarding checksum inspect action log slot 1 cpu 1
【相关命令】
· hardware fast-forwarding checksum inspect enable
hardware fast-forwarding checksum inspect enable命令用来开启硬件快速转发芯片出口对报文的篡改检测功能。
undo hardware fast-forwarding checksum inspect enable命令用来关闭硬件快速转发芯片出口对报文的篡改检测功能。
【命令】
hardware fast-forwarding checksum inspect [ l3 | l4 [ tcp | udp ] ] enable [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding checksum inspect [ l3 | l4 [ tcp | udp ] ] enable [ slot slot-number cpu cpu-number ]
【缺省情况】
硬件快速转发芯片出口对报文的各种篡改检测功能均处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
l3:表示开启对报文三层信息的篡改检测功能。
l4:表示开启对报文四层信息的篡改检测功能。
tcp:表示开启对TCP报文的篡改检测功能。
udp:表示开启对UDP报文的篡改检测功能。
slot slot-number:表示开启指定单板上的硬件快速转发芯片出口对报文的篡改检测功能,slot-number表示单板所在槽位号。不指定该参数时,则表示开启所有单板上的硬件快速转发芯片出口对报文的篡改检测功能。
cpu cpu-number:表示开启指定CPU上的硬件快速转发芯片出口对报文的篡改检测功能,cpu-number表示CPU的编号。
【使用指导】
此命令仅在带有硬件快速转发功能的业务板上支持。
多次执行本命令,可以开启硬件快速转发芯片出口对多种类型报文的篡改检测功能。
仅开启对报文四层信息的篡改检测功能后,配置的对TCP或UDP报文进行篡改检测功能才能生效。
若不指定任何参数,则表示开启或关闭对报文三层和四层信息的篡改检测功能。
若不指定TCP或UDP参数,则表示开启或关闭对整个报文四层信息的篡改检测功能。
此命令仅缺省Context支持,非缺省Context不支持。
【举例】
# 关闭slot 1 cpu 1上的硬件快速转发芯片出口对TCP报文的篡改检测功能。
<Sysname> system-view
[Sysname] undo hardware fast-forwarding checksum inspect l4 tcp enable slot 1 cpu 1
hardware fast-forwarding enable命令用来开启硬件快速转发功能。
undo hardware fast-forwarding enable命令用来关闭硬件快速转发功能。
【命令】
hardware fast-forwarding enable [ slot slot-number [ cpu cpu-number ] ]
undo hardware fast-forwarding enable [ slot slot-number [ cpu cpu-number ] ]
【缺省情况】
硬件快速转发功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示所有单板。
cpu cpu-number:cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数
【使用指导】
硬件快速转发功能可以在系统建立快转的时候存储会话信息,以便后续流量可以通过匹配会话表项加速报文的转发。当需要定位转发芯片是否存在故障时,可以关闭硬件转发功能。
非缺省Context不支持本命令。
【举例】
# 在Slot1上关闭硬件快速转发功能。
<Sysname> system-view
[Sysname] undo hardware fast-forwarding enable slot 1
hardware fast-forwarding ifsn match enable命令用来开启硬件快速转发忽略接口序列号匹配功能。
undo hardware fast-forwarding ifsn match enable命令用来关闭硬件快速转发忽略接口序列号匹配功能。
【命令】
hardware fast-forwarding ifsn match enable [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding ifsn match enable [ slot slot-number cpu cpu-number ]
【缺省情况】
硬件快速转发忽略接口序列号匹配功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板所在的槽位号。slot-number表示单板所在的槽位号。
cpu cpu-number:指定CPU编号,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
在等价双出口组网环境中,一条流量的回程报文可能经由不同的入接口送至设备。这样会导致设备将这些入接口不同的报文视作不同的流量,进而无法对其进行硬件快速转发。
开启本功能后,硬件快速转发功能将不再要求报文的入接口序列号相同,同一条流量的后续报文可以正常进行硬件快速转发。
如发现转发异常情况,可关闭本功能进行调试。
只有在开启硬件快速转发功能的情况下,本功能才能生效。
【举例】
# 对指定成员设备上指定单板的CPU开启硬件快速转发忽略接口序列号匹配功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding ifsn match enable chassis 1 slot 7 cpu 1
hardware fast-forwarding ip-id enable命令用来开启硬件快速转发的IPv4报文头部ID字段的修改功能。
undo hardware fast-forwarding ip-id enable命令用来关闭硬件快速转发的IPv4报文头部ID字段的修改功能。
【命令】
hardware fast-forwarding ip-id enable
undo hardware fast-forwarding ip-id enable
【缺省情况】
对硬件快速转发的IPv4报文头部ID字段的修改功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本命令后,设备将对所有走硬件快速转发的IPv4报文头部中的标识符字段进行修改。
此命令仅对带有硬件快速转发芯片的Blade IV和Blade V安全业务板生效。
【举例】
# 关闭对硬件快速转发的IPv4报文头部ID字段的修改功能。
<Sysname> system-view
[Sysname] undo hardware fast-forwarding ip-id enable
hardware fast-forwarding ipcar enable命令用来开启IP限速功能。
undo hardware fast-forwarding ipcar enable命令用来恢复缺省情况。
【命令】
hardware fast-forwarding ipcar enable
undo hardware fast-forwarding ipcar enable
【缺省情况】
IP限速功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当遇到网络流量过大的情况时,可启用IP限速功能,该功能基于硬件快速转发机制,能够对IP流量实施限速控制。
此命令仅在支持硬件转发芯片的安全业务板上配置生效。
【举例】
# 开启IP限速功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding ipcar enable
hardware fast-forwarding link-aggregation hash-mode crc命令用来配置逻辑聚合选路模式为CRC Hash模式。
undo hardware fast-forwarding link-aggregation hash-mode crc命令用来恢复缺省情况。
【命令】
hardware fast-forwarding link-aggregation hash-mode crc
undo hardware fast-forwarding link-aggregation hash-mode crc
【缺省情况】
逻辑聚合选路模式为异或模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 设置业务板上的逻辑聚合选路模式为CRC Hash模式。
<Sysname> system-view
[Sysname] hardware fast-forwarding link-aggregation hash-mode crc
hardware fast-forwarding link-aggregation hash-mode crc ip-offset命令用来配置参与逻辑聚合选路CRC运算的IPv6地址的偏移量。
undo hardware fast-forwarding link-aggregation hash-mode crc ip-offset命令用来恢复缺省情况。
【命令】
hardware fast-forwarding link-aggregation hash-mode crc ip-offset offset-vlaue
undo hardware fast-forwarding link-aggregation hash-mode crc ip-offset [ offset-vlaue ]
【缺省情况】
参与逻辑聚合选路CRC运算的IPv6地址的偏移量为0。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offset-vlaue:地址偏移量,取值范围为0~31,单位为比特。
【使用指导】
当逻辑聚合选路模式为CRC HASH模式时,执行本命令可以配置参与逻辑聚合选路CRC运算的IPv6地址的偏移量。从offset-vlaue参数所示位置开始(包含此比特),选取32比特进行逻辑聚合选路CRC运算。
【举例】
# 配置参与逻辑聚合选路CRC运算的IPv6地址的偏移量为10。
<Sysname> system-view
[Sysname] hardware fast-forwarding link-aggregation hash-mode crc ip-offset 10
hardware fast-forwarding malpkt-filter enable命令用来开启逻辑畸形报文检测功能。
undo hardware fast-forwarding malpkt-filter enable命令用来关闭逻辑畸形报文检测功能。
【命令】
hardware fast-forwarding malpkt-filter enable [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding malpkt-filter enable [ slot slot-number cpu cpu-number ]
【缺省情况】
逻辑畸形报文检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板所在的槽位号。slot-number表示单板所在的槽位号。
cpu cpu-number:指定CPU编号,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【参数】
# 在Slot1上开启逻辑畸形报文检测功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding malpkt-filter enable slot 1
hardware fast-forwarding malpkt-filter sip_dip discard命令用来配置SIP=DIP畸形报文的丢弃功能。
undo hardware fast-forwarding malpkt-filter sip_dip discard命令用来恢复缺省情况。
【命令】
hardware fast-forwarding malpkt-filter sip_dip discard [ slot slot-number cpu cpu-number ]
undo hardware fast-forwarding malpkt-filter sip_dip discard [ slot slot-number cpu cpu-number ]
【缺省情况】
硬件转发芯片对检测到的SIP=DIP畸形报文不进行丢弃,直接上送到CPU处理。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板所在的槽位号。slot-number表示单板所在的槽位号。
cpu cpu-number:指定CPU编号,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
通过开启本命令,当检测到源IP地址等于目的IP地址的畸形报文时,硬件转发芯片直接对报文进行丢弃处理,以增强网络的安全性。
配置本命令前,请先执行hardware fast-forwarding malpkt-filter enable命令开启设备对畸形报文的检测功能。
此命令仅在Blade IV安全业务板上配置生效。
【举例】
# 开启逻辑畸形报文检测功能,并配置设备在检测到SIP=DIP畸形报文时进行丢弃。
<Sysname> system
[Sysname] hardware fast-forwarding malpkt-filter enable
[Sysname] hardware fast-forwarding malpkt-filter sip_dip discard slot 1 cpu 1
hardware fast-forwarding session-lock disable命令用来关闭会话申请锁功能。
undo hardware fast-forwarding session-lock disable命令用来开启会话申请锁功能。
【命令】
hardware fast-forwarding session-lock disable slot slot-number cpu cpu-number
undo hardware fast-forwarding session-lock disable slot slot-number cpu cpu-number
【缺省情况】
会话申请锁功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:表示关闭指定单板上的会话申请锁功能,slot-number表示单板所在槽位号。
cpu cpu-number:表示关闭指定CPU上的会话申请锁功能,cpu-number表示CPU的编号。
【使用指导】
此命令仅在Blade IV安全业务板和Blade V安全业务板上支持。
【举例】
# 关闭指定成员设备的指定单板上的会话申请锁功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding session-lock disable chassis 1 slot 1 cpu 1
hardware fast-forwarding session-state enable命令用来开启获取硬件快速转发会话状态功能。
undo hardware fast-forwarding session-state enable命令用来关闭获取硬件快速转发会话状态功能。
【命令】
hardware fast-forwarding session-state enable
undo hardware fast-forwarding session-state enable
【缺省情况】
获取硬件快速转发会话状态功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启本命令后,通过执行display session table ipv4 verbose/display session table ipv6命令可以查看到获取的硬件快速转发会话的状态。
目前仅Blade4、Blade5板卡支持配置本命令。
【举例】
# 开启获取硬件快速转发会话状态功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding session-state enable
【相关命令】
· display session table ipv4(安全命令参考/会话管理)
· display session table ipv6(安全命令参考/会话管理)
hardware fast-forwarding statistics enable命令用来开启硬件快速转发流量统计功能。
【命令】
hardware fast-forwarding statistics enable [ slot slot-number [ cpu cpu-number ]]
undo hardware fast-forwarding statistics enable [ slot slot-number [ cpu cpu-number ]]
【缺省情况】
硬件快速转发流量统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有成员单板。
cpu cpu-number:指定CPU编号,cpu-number表示单板上的CPU编号。
【使用指导】
此命令仅对带有硬件快速转发芯片的安全业务板有效。
开启本功能后,可以通过display interface blade或者display interface blade-aggregation查看到对应Blade接口通过软件快速转发和硬件快速转发的全部流量统计信息。不开启本功能时,通过这两条命令仅可以查看到对应Blade接口通过软件快速转发的流量统计信息。
此命令仅缺省Context支持,非缺省Context不支持。
【举例】
# 在指定Slot的指定CPU上开启硬件快速转发流量统计功能。
<Sysname> system-view
[Sysname] hardware fast-forwarding statistics enable slot 3 cpu 1
【相关命令】
· display interface(二层技术-以太网交换命令参考/以太网链路聚合)
· display interface blade(接口管理命令参考/Blade接口)
hardware per-flow hash-mode命令用来配置逻辑网卡上行报文的逐流hash方式。
undo hardware per-flow hash-mode命令用来恢复缺省情况。
【命令】
hardware per-flow hash-mode { crc | symmetrichash | xor }
undo hardware per-flow hash-mode
【缺省情况】
逻辑网卡上行报文的逐流hash方式为CRC。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数解释】
crc:表示使用循环冗余校验(Cyclic Redundancy Check,循环冗余校验)算法进行哈希计算。
symmetrichash:表示使用对称哈希(Symmetric Hash)算法进行哈希计算。
xor:表示使用异或(XOR)算法进行哈希计算。
【使用指导】
通过配置逻辑网卡上行报文的逐流hash方式,可以实现对每个流量的哈希计算,从而实现流量的均衡分配到不同的物理端口上,提高网络的负载均衡能力。通过配置不同的逐流hash方式,可以根据实际网络环境和需求,灵活选择适合的哈希计算方式,从而优化网络性能和流量分发效果。
【举例】
# 配置逻辑网卡上行报文的逐流hash方式为XOR。
<Sysname> system-view
[Sysname]hardware per-flow hash-mode xor
hardware per-flow pcie-diversion命令用来配置每个引擎口使用独立逐流表。
undo hardware per-flow pcie-diversion命令用来恢复缺省情况
【命令】
hardware per-flow pcie-diversion
undo hardware per-flow pcie-diversion
【缺省情况】
安全引擎业务板数据通道共用一个逐流表
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于根据不同的流量需求,为每个引擎口配置逐流表。当数据包到达时,根据每个数据流的特征,将数据包分配到不同的引擎口进行处理,实现了对每个数据流的单独监控和处理。
【举例】
# 配置每个引擎口使用独立逐流表。
<Sysname> system-view
[Sysname]hardware per-flow pcie-diversion
ip fast-forwarding aging-time命令用来配置快速转发表项的老化时间。
undo ip fast-forwarding aging-time命令用来恢复缺省情况。
【命令】
ip fast-forwarding aging-time aging-time
undo ip fast-forwarding aging-time
【缺省情况】
快速转发表项的老化时间为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
aging-time:快速转发表项的老化时间,取值范围为10~300,单位为秒。
【举例】
# 配置快速转发表项的老化时间为20秒。
<Sysname> system-view
[Sysname] ip fast-forwarding aging-time 20
【相关命令】
· display ip fast-forwarding aging-time
ip fast-forwarding dscp命令用来配置对于VXLAN报文支持基于DSCP进行快速转发。
undo ip fast-forwarding dscp命令用来恢复缺省情况。
【命令】
ip fast-forwarding dscp
undo ip fast-forwarding dscp
【缺省情况】
对于VXLAN报文不支持基于DSCP进行快速转发。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令只针对上送软件处理的VXLAN报文有效。
对于VXLAN报文,使用外层报文的DSCP替代源端口号标识数据流。
本命令不能与NAT或负载均衡特性同时使用。
【举例】
# 配置对于VXLAN报文支持基于DSCP进行快速转发。
<Sysname> system-view
[Sysname] ip fast-forwarding dscp
ip fast-forwarding fragcache threshold命令用来配置IPv4分片报文快速转发表的表项资源使用率告警阈值。
undo ip fast-forwarding fragcache threshold命令用来恢复缺省情况。
【命令】
ip fast-forwarding fragcache threshold threshold
undo ip fast-forwarding fragcache threshold
【缺省情况】
IPv4分片报文快速转发表的表项资源使用率告警阈值为100%。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold:IPv4分片快速转发表的表项资源使用率的告警阈值,取值范围为1~100,单位为百分比。
【使用指导】
IPv4分片报文快速转发表的表项资源使用率=(当前IPv4分片报文快速转发表记录的表项数/IPv4分片报文快速转发表支持记录的最大表项数)*100%。
当IPv4分片报文快速转发表的表项资源使用率达到本命令配置的告警阈值,或者从高于阈值重新恢复到阈值以下时,系统触发日志告警。
当IPv4分片报文快速转发表的表项资源使用率低于100%时,即使触发告警,设备仍会继续记录新数据包的分片报文快速转发表项。当表项资源使用率达到100%时,如果收到新数据包的分片报文,设备将删除最老的分片报文快速转发表项,并记录新数据包的分片报文快速转发表项。
【举例】
# 配置IPv4分片报文快速转发表的表项资源使用率的告警阈值为10%。
<Sysname> system-view
[Sysname] ip fast-forwarding fragcache threshold 10
【相关命令】
· display ip fast-forwarding fragcache
ip fast-forwarding load-sharing命令用来开启快转负载分担功能。
undo ip fast-forwardingload-sharing命令用来关闭快转负载分担功能。
【命令】
ip fast-forwarding load-sharing
undo ip fast-forwarding load-sharing
【缺省情况】
快转负载分担功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
关闭快速转发负载分担功能后,现有会话表项可能因入接口变化而失效,从而引发业务中断,请谨慎操作。
开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,根据报文中的信息标识一条数据流。
关闭快速转发负载分担功能后,将会根据入接口的不同对已标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。
【举例】
# 开启快转负载分担功能。
<Sysname> system-view
[Sysname] ip fast-forwarding load-sharing
# 关闭快转负载分担功能。
<Sysname> system-view
[Sysname] undo ip fast-forwarding load-sharing
This configuration might disrupt services because changes to the input interface might invalidate session entries. Continue? [Y/N]:
ip fast-forwarding vxlan-port命令用来配置用于识别VXLAN报文的目的UDP端口号。
undo ip fast-forwarding vxlan-port命令用来恢复缺省情况。
【命令】
ip fast-forwarding vxlan-port port-number
undo ip fast-forwarding vxlan-port
【缺省情况】
用于识别VXLAN报文的目的UDP端口号为4789。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:端口号,取值范围为1~65535。
【使用指导】
本命令只能针对上送软件处理的UDP报文,根据目的端口号判断是否为VXLAN报文。
在VXLAN组网中,对于中间转发设备需要通过本命令配置目的端口号,来判断是否为VXLAN报文。
【举例】
# 配置用于识别VXLAN报文的目的UDP端口号为4900。
<Sysname> system-view
[Sysname] ip fast-forwarding vxlan-port 4900
reset ip fast-forwarding cache命令用来清除快速转发表中的信息。
【命令】
reset ip fast-forwarding cache [ slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:清除指定单板的快速转发表信息。slot-number表示单板的槽位号。如果未指定本参数,则清除所有单板的快速转发表信息。
cpu cpu-number:清除指定CPU上的快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除快速转发表信息。
<Sysname> reset ip fast-forwarding cache
【相关命令】
· display ip fast-forwarding cache
· display ip fast-forwarding fragcache
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
