- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-IP性能優化配置
本章節下載: 08-IP性能優化配置 (218.16 KB)
目 錄
設備支持兩種運行模式:獨立運行模式和IRF模式,缺省情況為獨立運行模式。有關IRF模式的介紹,請參見“IRF配置指導”中的“IRF”。
在一些特定的網絡環境裏,可以通過調整IP的參數,以使網絡性能達到最佳。IP性能的優化配置包括:
· 配置允許轉發定向廣播報文
· 配置TCP定時器
· 配置TCP連接的接收和發送緩衝區的大小
· 配置ICMP差錯報文發送功能
· 配置ICMP攜帶擴展信息功能
· 配置ICMP流量控製功能
定向廣播報文是指發送給特定網絡的廣播報文。該報文的目的IP地址中網絡號碼字段為特定網絡的網絡號,主機號碼字段為全1。
如果允許設備轉發目的地址為接口所在網絡的定向廣播報文,黑客就可以利用這樣的報文來攻擊網絡係統,給網絡的安全帶來了很大的隱患。但在某些應用環境下,設備又需要轉發定向廣播報文,例如:
· 使用UDP Helper功能,將廣播報文轉換為單播報文發送給指定的服務器。
· 使用Wake on LAN(網絡喚醒)功能,發送定向廣播報文喚醒遠程網絡中的計算機。
在上述情況下,用戶可以通過命令配置設備允許轉發定向廣播報文。
表1-1 配置允許轉發定向廣播報文
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置允許接口轉發定向廣播報文 |
ip forward-broadcast |
必選 缺省情況下,禁止接口轉發定向廣播報文,允許接口接收定向廣播報文。 |
· 目前,隻能在VLAN接口配置允許轉發定向廣播報文,其它接口類型不支持,另外在SuperVlan接口下可以配置,但是設備無法轉發對應的定向廣播報文。
· 命令配置後,設備會自動下發和接口網段對應的網絡廣播轉發表項,因此不建議配置對應的靜態ARP或靜態路由(例如10.0.0.1/24的接口網段會下發10.0.0.255/32的轉發表項,此時不應該配置10.0.0.255的靜態ARP),否則會產生配置衝突。衝突過程中可能會產生日誌,產生衝突後必須刪除靜態ARP配置和定向廣播後重新配置定向廣播或者靜態ARP,業務可以恢複。
· 設備要轉發定向廣播報文,接口鏈路狀態和協議狀態必須為Up。
如圖1-1所示,HostA的接口和Switch A的VLAN接口3處於同一個網段(1.1.1.0/24),Switch A的VLAN接口2和Switch B的VLAN接口3處於一個網段(1.1.2.0/24),Switch B的VLAN接口2和HostB、HostC處於一個網段(1.1.3.0/24)。HostA上配置默認網關為Switch A的VLAN接口3的地址(1.1.1.1/24),HostB、HostC上配置默認網關為Switch B的VLAN接口2的地址(1.1.3.1/24)。Switch A、Switch B上配置靜態路由使得HostA與HostB、HostC之間路由可達。
要求通過配置使得HostB、HostC可以接收到HostA發送的定向廣播報文。
(1) 配置Switch A
# 配置SwitchA的靜態路由。
<SwitchA> system-view
[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2
# 配置VLAN接口3和VLAN接口2的IP地址。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ip address 1.1.1.1 24
[SwitchA-Vlan-interface3] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 1.1.2.1 24
(2) 配置Switch B
# 配置SwitchB的靜態路由。
<SwitchB> system-view
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1
# 配置VLAN接口3和VLAN接口2的IP地址。
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] ip address 1.1.2.2 24
[SwitchB-Vlan-interface3] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 1.1.3.1 24
# 配置允許VLAN接口2轉發定向廣播報文。
[SwitchB-Vlan-interface2] ip forward-broadcast
配置完成以後,在HostA上ping Switch B的VLAN接口2所在子網網段的廣播地址(1.1.3.255)時,HostB、HostC可以收到該報文。
表1-2 配置TCP連接的接收和發送緩衝區大小
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置TCP連接的接收和發送緩衝區的大小 |
tcp window window-size |
可選 缺省情況下,TCP連接的接收和發送緩衝區大小為8KB |
可以配置的TCP定時器包括:
· synwait定時器:當發送SYN報文時,TCP啟動synwait定時器,如果synwait超時前未收到回應報文,則TCP連接建立不成功。
· finwait定時器:當TCP的連接狀態為FIN_WAIT_2時,啟動finwait定時器,如果在定時器超時前沒有收到報文,則TCP連接終止;如果收到FIN報文,則TCP連接狀態變為TIME_WAIT狀態;如果收到非FIN報文,則從收到的最後一個非FIN報文開始重新計時,在超時後中止連接。
表1-3 配置TCP定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置TCP的synwait定時器超時時間 |
tcp timer syn-timeout time-value |
可選 缺省情況下,synwait定時器超時時間為75秒 |
|
配置TCP的finwait定時器超時時間 |
tcp timer fin-timeout time-value |
可選 缺省情況下,finwait定時器超時時間為675秒 |
finwait定時器的實際超時時間由如下公式決定:finwait定時器的實際超時時間=(配置的finwait定時器超時時間-75)+配置的synwait定時器超時時間。
發送差錯報文是ICMP(Internet Control Message Protocol,互聯網控製報文協議)的主要功能之一。差錯報文通常被網絡層或傳輸層協議用來在異常情況發生時通知相應設備,從而便於進行控製管理。
重定向報文、超時報文、目的不可達報文是ICMP差錯報文中的三種。下麵分別介紹這三種差錯報文發送的條件及作用。
(1) ICMP重定向報文發送功能
主機啟動時,它的路由表中可能隻有一條到缺省網關的缺省路由。當滿足一定的條件時,缺省網關會向源主機發送ICMP重定向報文,通知主機重新選擇正確的下一跳進行後續報文的發送。
滿足下列條件時,設備會發送ICMP重定向報文:
· 接收和轉發數據報文的接口是同一接口;
· 被選擇的路由本身沒有被ICMP重定向報文創建或修改過;
· 被選擇的路由不是設備的默認路由;
· 數據報文中沒有源路由選項。
ICMP重定向報文發送功能可以簡化主機的管理,使具有很少選路信息的主機逐漸建立較完善的路由表,從而找到最佳路由。
(2) ICMP超時報文發送功能
ICMP超時報文發送功能是在設備收到IP數據報文後,如果發生超時差錯,則將報文丟棄並給源端發送ICMP超時差錯報文。
設備在滿足下列條件時會發送ICMP超時報文:
· 設備收到IP數據報文後,如果報文的目的地不是本地且報文的TTL字段是1,則發送“TTL超時”ICMP差錯報文;
· 設備收到目的地址為本地的IP數據報文的第一個分片後,啟動定時器,如果所有分片報文到達之前定時器超時,則會發送“重組超時”ICMP差錯報文。
(3) ICMP目的不可達報文發送功能
ICMP目的不可達報文發送功能是在設備收到IP數據報文後,如果發生目的不可達的差錯,則將報文丟棄並給源端發送ICMP目的不可達差錯報文。
設備在滿足下列條件時會發送目的不可達報文:
· 設備收到目的地址為本地的數據報文時,如果設備不支持數據報文采用的傳輸層協議,則給源端發送“協議不可達”ICMP差錯報文;
· 設備收到目的地址為本地、傳輸層協議為UDP的數據報文時,如果報文的端口號與正在使用的進程不匹配,則給源端發送“端口不可達”ICMP差錯報文;
· 源端如果采用“嚴格的源路由選擇”發送報文,當中間設備發現源路由所指定的下一個設備不在其直接連接的網絡上,則給源端發送“源站路由失敗”的ICMP差錯報文(設備目前不支持此功能);
· 設備在轉發報文時,如果轉發接口的MTU小於報文的長度,但報文被設置了不可分片,則給源端發送“需要進行分片但設置了不可分片比特”ICMP差錯報文(設備目前不支持此功能);
· 設備在轉發報文時,如果在路由表中沒有找到對應的轉發路由,且路由表中沒有缺省路由,則給源端發送“網絡不可達”ICMP差錯報文(設備目前不支持此功能)。
ICMP差錯報文的發送雖然方便了網絡的控製管理,但也存在一定的弊端:
· 由於發送大量的ICMP報文,增大了網絡流量。
· 如果設備接收到大量需要發送ICMP差錯報文的惡意攻擊報文,設備會因為處理大量該類報文而導致性能降低。
· 由於重定向功能會在主機的路由表中增加主機路由,當增加的主機路由很多時,會降低主機性能。
· 由於ICMP目的不可達報文傳遞給用戶進程的信息為不可達信息,如果有用戶惡意攻擊,可能會影響終端用戶的正常使用。
為了避免上述現象發生,可以關閉設備的ICMP差錯報文發送功能,從而減少網絡流量、防止遭到惡意攻擊。
表1-4 配置ICMP差錯報文發送功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟ICMP重定向報文發送功能 |
ip redirects enable |
必選 缺省情況下,ICMP重定向報文發送功能處於關閉狀態 |
|
開啟ICMP超時報文發送功能 |
ip ttl-expires enable |
必選 缺省情況下,ICMP超時報文發送功能處於關閉狀態 |
|
開啟ICMP目的不可達報文發送功能 |
ip unreachables enable |
必選 缺省情況下,ICMP目的不可達報文發送功能處於關閉狀態 |
· 在以太網接口板上,ICMP重定向報文發送功能隻在VLAN接口上生效。
· 關閉ICMP超時報文發送功能後,設備不會再發送“TTL超時”ICMP差錯報文,但“重組超時”ICMP差錯報文仍會正常發送。
傳統的ICMP報文格式是固定的,不能攜帶擴展信息。在使能ICMP攜帶擴展信息功能後,設備可以在需要的時候在ICMP報文的後麵加上擴展信息字段。目前,設備僅支持在ICMP報文中擴展攜帶MPLS標簽信息。
在MPLS網絡中,當報文在轉發過程中出現TTL超時後,MPLS會剝離掉MPLS頭,構造一個ICMP TTL超時報文,送到MPLS隧道出口,隧道出口再重新把報文回送給隧道的源端。傳統ICMP報文裏麵不能攜帶標簽等信息,而這些信息對於源端來說卻非常重要。使能ICMP攜帶擴展信息功能後,設備可以在TTL超時後,把當時的標簽附加到TTL超時報文的後麵,回送給源端。
ICMP攜帶擴展信息功能通常在MPLS網絡中進行Tracert時使用,通過在ICMP報文中攜帶標簽,就可以打印出MPLS轉發過程每一跳的標簽信息。
ICMP報文可以分為三類:
· 傳統ICMP報文:報文中不攜帶擴展信息。
· 攜帶長度字段的擴展ICMP報文:報文中攜帶擴展信息,並且攜帶長度字段,長度字段的值為ICMP頭後麵的原始數據長度(不包含擴展信息的長度)。此類報文符合RFC 4884的要求。
· 不攜帶長度字段的擴展ICMP報文:報文中攜帶擴展信息,但是不攜帶長度字段。此類報文不符合RFC 4884的要求。
根據設備對三類ICMP報文的處理機製,可將設備分為三種模式:傳統模式、兼容模式和非兼容模式。三種模式設備對三類ICMP報文的處理機製如表1-5所示。
表1-5 三種模式設備對三類ICMP報文的處理機製
|
設備模式 |
可以發送的ICMP報文 |
可以正確接收的ICMP報文 |
備注 |
|
傳統模式 |
傳統ICMP報文 |
傳統ICMP報文 |
如果收到擴展ICMP報文,不會處理報文中的擴展信息 |
|
兼容模式 |
傳統ICMP報文 攜帶長度字段的擴展ICMP報文 |
傳統ICMP報文 攜帶長度字段的擴展ICMP報文 |
如果收到不攜帶長度字段的擴展ICMP報文,則認為報文不攜帶擴展信息,按傳統ICMP報文進行處理 |
|
非兼容模式 |
傳統ICMP報文 不攜帶長度字段的擴展ICMP報文 |
傳統ICMP報文 攜帶長度字段的擴展ICMP報文 不攜帶長度字段的擴展ICMP報文 |
- |
IPv4的重定向報文、超時報文、目的不可達報文,以及IPv6的目的不可達、超時報文可以攜帶擴展信息,其餘類型的ICMP/ICMPv6報文不能攜帶擴展信息。
表1-6 配置ICMP攜帶擴展信息功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ICMP攜帶擴展信息功能,采用兼容模式 |
ip icmp-extensions compliant |
可選 缺省情況下,ICMP不攜帶擴展信息 |
|
使能ICMP攜帶擴展信息功能,采用非兼容模式 |
ip icmp-extensions non-compliant |
可選 缺省情況下,ICMP不攜帶擴展信息 |
關閉ICMP攜帶擴展信息功能後,設備發送的ICMP報文都不攜帶擴展信息。
大量ICMP報文上送給CPU,會使CPU消耗大量時間來處理ICMP報文,影響到其他業務的性能。為了防止這種情況的發生,可以對上送CPU的ICMP流量進行控製。
表1-7 配置ICMP流量控製功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟ICMP流量控製功能 |
ip icmp flow-control |
必選 缺省情況下,ICMP流量控製功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置IP性能後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除IP、TCP和UDP的流量統計信息。
表1-8 IP性能優化顯示和維護
|
操作 |
命令 |
|
顯示TCP連接的流量統計信息 |
display tcp statistics [ | { begin | exclude | include } regular-expression ] |
|
顯示UDP流量統計信息 |
display udp statistics [ | { begin | exclude | include } regular-expression ] |
|
顯示IP報文統計信息(獨立運行模式) |
display ip statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IP報文統計信息(IRF模式) |
display ip statistics [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示ICMP流量統計信息(獨立運行模式) |
display icmp statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示ICMP流量統計信息(IRF模式) |
display icmp statistics [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示套接口信息(獨立運行模式) |
display ip socket [ socktype sock-type ] [ task-id socket-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示套接口信息(IRF模式) |
display ip socket [ socktype sock-type ] [ task-id socket-id ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
清除IP報文統計信息(獨立運行模式) |
reset ip statistics [ slot slot-number ] |
|
清除IP報文統計信息(IRF模式) |
reset ip statistics [ chassis chassis-number slot slot-number ] |
|
清除TCP連接的流量統計信息 |
reset tcp statistics |
|
清除UDP流量統計信息 |
reset udp statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
