- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-IP性能優化配置
本章節下載: 11-IP性能優化配置 (381.87 KB)
在一些特定的網絡環境裏,可以通過調整IP的參數,以使網絡性能達到最佳。IP性能的優化配置包括:
· 配置允許接收和發送定向廣播報文;
· 配置接口發送IPv4報文的MTU;
· 開啟三層報文統計功能;
· 配置接口的TCP最大報文段長度;
· 配置TCP連接的Path MTU探測功能;
· 開啟SYN Cookie功能;
· 配置TCP連接的緩衝區大小;
· 配置TCP定時器;
· 配置設備處理IP報文中的選項信息;
· 配置ICMP差錯報文發送功能;
· 配置ICMP分片報文轉發功能;
· 配置發送ICMP差錯報文對應的牌刷新周期和令牌桶容量;
· 指定ICMP報文源地址;
· 開啟響應ICMP廣播報文功能;
· 關閉發送指定類型的ICMP報文的功能;
· 關閉接收指定類型的ICMP報文的功能;
· 開啟IP分片報文本地重組功能;
· 配置端口攻擊的告警功能;
· 配置TCP模塊告警功能;
· 配置發送TCP報文時添加TCP時間戳選項信息
定向廣播報文是指發送給特定網絡的廣播報文。該報文的目的IP地址中網絡號碼字段為特定網絡的網絡號,主機號碼字段為全1。
在轉發定向廣播報文的情況下,如果在接口上配置了此命令,設備從其他接口接收到目的地址為此接口直連網段的定向廣播報文時,會從此接口轉發此類報文。
黑客可以利用定向廣播報文來攻擊網絡係統,給網絡的安全帶來了很大的隱患。但在某些應用環境下,設備接口需要接收或轉發這類定向廣播報文,例如:
· 使用UDP Helper功能,將廣播報文轉換為單播報文發送給指定的服務器。
· 使用Wake on LAN(網絡喚醒)功能,發送定向廣播報文喚醒遠程網絡中的計算機。
在上述情況下,用戶可以通過命令配置接口允許轉發直連網段的定向廣播報文。
表1-1 配置允許接口轉發直連網段的定向廣播報文
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置允許接口轉發麵向直連網段的定向廣播報文 |
ip forward-broadcast |
缺省情況下,設備禁止轉發直連網段的定向廣播報文 |
如圖1-1所示,Host的接口和Switch的VLAN接口3處於同一個網段(1.1.1.0/24),Switch的VLAN接口2和PC的接口處於另外一個網段(2.2.2.0/24)。Host上配置默認網關為Switch的VLAN接口3的地址(1.1.1.2/24)。
要求通過配置使得PC可以收到Host發送的定向廣播報文。
# 配置VLAN接口3和VLAN接口2的IP地址。
<Switch> system-view
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 1.1.1.2 24
[Switch-Vlan-interface3] quit
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 2.2.2.2 24
# 配置允許VLAN接口2轉發麵向直連網段的定向廣播報文。
[Switch-Vlan-interface2] ip forward-broadcast
配置完成以後,在Host上ping PC的接口所在子網網段的廣播地址(2.2.2.255)時,PC上的抓包工具顯示可以收到該報文。取消掉ip forward-broadcast的配置,PC上的抓包工具沒有顯示就不能收到該報文。
當設備收到一個報文後,如果發現報文長度比轉發接口發送IPv4報文的MTU值大,則進行下列處理:
· 如果報文不允許分片,則將報文丟棄;
· 如果報文允許分片,則將報文進行分片轉發。
為了減輕轉發設備在傳輸過程中的分片和重組數據包的壓力,更高效的利用網絡資源,請根據實際組網環境設置合適的接口MTU值,以減少分片的發生。
表1-2 配置接口發送IPv4報文的MTU
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置發送IPv4報文的MTU |
ip mtu mtu-size |
缺省情況下,未配置接口發送IPv4報文的MTU |
開啟本功能後,設備會統計接口接收或發送的IP報文的數量,該統計信息可通過display interface命令查看。接口報文流量過大時,開啟本功能會造成設備CPU占用率高,影響轉發性能。因此,當用戶不需要統計接口接收或發送的IP報文數量時,建議關閉本功能。
表1-3 開啟三層報文統計功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟三層報文統計功能 |
statistics l3-packet enable { inbound | outbound } |
缺省情況下,三層報文統計功能處於關閉狀態 |
TCP最大報文段長度(Maximum Segment Size,MSS)表示TCP連接的對端發往本端的最大TCP報文段的長度,目前作為TCP連接建立時的一個選項來協商:當一個TCP連接建立時,連接的雙方要將MSS作為TCP報文的一個選項通告給對端,對端會記錄下這個MSS值,後續在發送TCP報文時,會限製TCP報文的大小不超過該MSS值。當對端發送的TCP報文的長度小於本端的TCP最大報文段長度時,TCP報文不需要分段;否則,對端需要對TCP報文按照最大報文段長度進行分段處理後再發給本端。
用戶可以通過下麵的命令配置接口的TCP最大報文段長度,配置後該接口接收和發送的TCP報文的大小都不能超過該值。
該配置僅對新建的TCP連接生效,對於配置前已建立的TCP連接不生效。
該配置僅對IP報文生效,當接口上配置了MPLS功能後,不建議再配置本功能。
表1-4 配置接口的TCP最大報文段長度
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口的TCP最大報文段長度 |
tcp mss value |
缺省情況下,未配置接口的TCP最大報文段長度 |
RFC 1191中規定的TCP連接的Path MTU探測功能,可以探測TCP路徑上從源端到目的端的最小MTU,其探測機製如下:
(1) TCP源端將發送的TCP數據段的外層IP報文設置DF(不可分片)標記。
(2) 如果TCP路徑上某路由器的出接口MTU值小於該IP報文長度,則會丟棄報文,並給TCP源端發送ICMP差錯報文,報文中會攜帶該出接口MTU值。
(3) TCP源端通過解析該ICMP差錯報文,可知TCP路徑上當前最小的單向MTU值。
(4) 後續TCP源端發送數據段的長度不超過MSS。其中,MSS=最小MTU值-IP頭部長度-TCP頭部長度。
當MSS已經達到係統規定的最小的32字節後,如果再次收到減少MSS的ICMP差錯報文,係統將允許該TCP連接發送的報文進行分片。
產生ICMP差錯報文的路由器可能不支持RFC 1191,其產生的ICMP差錯報文中的出接口MTU字段值為0,對於這種報文,TCP源端將按照RFC 1191中規定的MTU表獲取比當前路徑MTU更小的值作為計算TCP MSS的基礎。MTU表的內容為(單位為字節):68、296、508、1006、1280、1492、2002、4352、8166、17914、32000、65535(由於係統規定的TCP最小MSS為32,所以對應最小的MTU實際為72字節)。
用戶通過命令行開啟TCP連接的Path MTU探測功能後,新建的TCP連接均會攜帶Path MTU探測屬性,可以通過上述探測機製確定Path MTU,按照數據路徑上的最小MTU組織TCP分段長度,最大限度利用網絡資源,避免IP分片的發生。
Path MTU值可以老化,這樣當Path MTU增大時可以充分利用網絡資源,盡量按照轉發路徑可以容忍的最大報文長度發送數據。Path MTU的老化機製如下:
· 當TCP源端收到ICMP差錯報文後,除了減小Path MTU值,同時會為該Path MTU值啟動老化定時器。
· 當該定時器超時後,係統將按照RFC 1191規定的MTU表依次遞增TCP的MSS值。
· 如果增加一次MSS之後的2分鍾內未收到ICMP差錯報文,則繼續遞增,直到MSS增長到對端在TCP三次握手階段通告的MSS值。
表1-5 配置TCP連接的Path MTU探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟TCP連接的Path MTU探測功能 |
tcp path-mtu-discovery [ aging age-time | no-aging ] |
缺省情況下,TCP連接的Path MTU探測功能處於關閉狀態 |
TCP連接的Path MTU探測功能依賴IP報文的DF標記位設置後觸發ICMP差錯報文,因此需要TCP路徑上的所有設備打開ICMP差錯報文發送功能(ip unreachables enable),以確保ICMP差錯報文可以發送到TCP源端。
一般情況下,TCP連接的建立需要經過三次握手,即:
(1) TCP連接請求的發起者向目標服務器發送SYN報文;
(2) 目標服務器收到SYN報文後,建立處於SYN_RECEIVED狀態的TCP半連接,並向發起者回複SYN ACK報文,等待發起者的回應;
(3) 發起者收到SYN ACK報文後,回應ACK報文,這樣TCP連接就建立起來了。
利用TCP連接的建立過程,一些惡意的攻擊者可以進行SYN Flood攻擊。攻擊者向服務器發送大量請求建立TCP連接的SYN報文,而不回應服務器的SYN ACK報文,導致服務器上建立了大量的TCP半連接。從而,達到耗費服務器資源,使服務器無法處理正常業務的目的。
SYN Cookie功能用來防止SYN Flood攻擊。在服務器上配置此功能後,當服務器收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文。服務器接收到發起者回應的ACK報文後,建立連接,並進入ESTABLISHED狀態。通過這種方式,可以避免在服務器上建立大量的TCP半連接,防止服務器受到SYN Flood攻擊。
表1-6 開啟SYN Cookie功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SYN Cookie功能 |
tcp syn-cookie enable |
缺省情況下,SYN Cookie功能處於關閉狀態 |
表1-7 配置TCP連接的緩衝區大小
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置TCP連接的接收和發送緩衝區的大小 |
tcp window window-size |
缺省情況下,TCP連接的發送緩衝區大小為63KB |
可以配置的TCP定時器包括:
· synwait定時器:當發送SYN報文時,TCP啟動synwait定時器和重傳SYN報文定時器,當synwait定時器超時且SYN報文重傳未達到最大次數時,如果設備未收到回應報文,則TCP連接建立不成功;當synwait定時器未超時但是SYN報文重傳達到最大次數時,如果設備未收到回應報文,則TCP連接建立不成功。
· finwait定時器:當TCP的連接狀態為FIN_WAIT_2時,啟動finwait定時器,如果在定時器超時前未收到報文,則TCP連接終止;如果收到FIN報文,則TCP連接狀態變為TIME_WAIT狀態;如果收到非FIN報文,則從收到的最後一個非FIN報文開始重新計時,在超時後中止連接。
表1-8 配置TCP定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置TCP的synwait定時器超時時間 |
tcp timer syn-timeout time-value |
缺省情況下,synwait定時器超時時間為75秒 |
|
配置TCP的finwait定時器超時時間 |
tcp timer fin-timeout time-value |
缺省情況下,finwait定時器超時時間為675秒 |
設備收到的目的IP地址非本機且攜帶IP選項的IP報文後,會將報文上送CPU處理。CPU解析或處理報文中的IP選項信息後,再根據報文的目的地址進行轉發。某些組網環境報文交互量大,設備需要處理或轉發的報文數量過多。處理IP報文中的選項信息會導致設備無法及時處理所有報文和丟包等問題。配置undo ip option enable命令後,設備收到目的IP地址非本機且攜帶IP選項的IP報文後,不會處理報文中的IP選項,直接進行硬件轉發,保證報文能被及時轉發,不會丟包。
IP報文中的選項信息主要用於網絡路徑的故障診斷和特殊業務的臨時發送,配置undo ip option enable命令後,報文中的選項信息不會被處理。因此,隻有不需要使用選項信息的組網環境中,才能配置undo ip option enable命令。
本功能僅FD係列單板支持。
表1-9 配置設備處理IP報文中的選項信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置設備處理IP報文中的選項信息 |
ip option enable |
缺省情況下,設備處理IP報文中的選項信息 |
發送差錯報文是ICMP(Internet Control Message Protocol,互聯網控製消息協議)的主要功能之一。ICMP報文通常被網絡層或傳輸層協議用來在異常情況發生時通知相應設備,從而便於進行控製管理。
重定向報文、超時報文、目的不可達報文是ICMP差錯報文中的三種。下麵分別介紹這三種差錯報文發送的條件及作用。
(1) ICMP重定向報文發送功能
主機啟動時,它的路由表中可能隻有一條到缺省網關的缺省路由。當滿足一定的條件時,缺省網關會向源主機發送ICMP重定向報文,通知主機重新選擇正確的下一跳進行後續報文的發送。
同時滿足下列條件時,設備會發送ICMP重定向報文:
· 接收和轉發數據報文的接口是同一接口;
· 報文的源IP地址和報文接收接口的IP地址在同一個網段;
· 數據報文中沒有源路由選項。
ICMP重定向報文發送功能可以簡化主機的管理,使具有很少選路信息的主機逐漸建立較完善的路由表,從而找到最佳路由。
(2) ICMP超時報文發送功能
ICMP超時報文發送功能是在設備收到IP數據報文後,如果發生超時差錯,則將報文丟棄並給源端發送ICMP超時差錯報文。
設備在滿足下列條件時會發送ICMP超時報文:
· 設備收到IP數據報文後,如果報文的目的地不是本地且報文的TTL字段是1,則發送“TTL超時”ICMP差錯報文;
· 設備收到目的地址為本地的IP數據報文的第一個分片後,啟動定時器,如果所有分片報文到達之前定時器超時,則會發送“重組超時”ICMP差錯報文。
(3) ICMP目的不可達報文發送功能
ICMP目的不可達報文發送功能是在設備收到IP數據報文後,如果發生目的不可達的差錯,則將報文丟棄並給源端發送ICMP目的不可達差錯報文。
設備在滿足下列條件時會發送目的不可達報文:
· 設備在轉發報文時,如果在路由表中未找到對應的轉發路由,且路由表中沒有缺省路由,則給源端發送“網絡不可達”ICMP差錯報文;
· 設備收到目的地址為本地的數據報文時,如果設備不支持數據報文采用的傳輸層協議,則給源端發送“協議不可達”ICMP差錯報文;
· 設備收到目的地址為本地、傳輸層協議為UDP的數據報文時,如果報文的端口號與正在使用的進程不匹配,則給源端發送“端口不可達”ICMP差錯報文;
· 源端如果采用“嚴格的源路由選擇”發送報文,當中間設備發現源路由所指定的下一個設備不在其直接連接的網絡上,則給源端發送“源站路由失敗”的ICMP差錯報文;
· 設備在轉發報文時,如果轉發接口的MTU小於報文的長度,但報文被設置了不可分片,則給源端發送“需要進行分片但設置了不分片比特”ICMP差錯報文。
ICMP差錯報文的發送雖然方便了網絡的控製管理,但是也存在缺限:發送大量的ICMP報文,增大網絡流量;如果有用戶發送ICMP差錯報文進行惡意攻擊,會導致設備性能下降或影響正常工作。
為了避免上述現象發生,可以關閉設備的ICMP差錯報文發送功能,從而減少網絡流量、防止遭到惡意攻擊。
表1-10 配置ICMP差錯報文發送功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟ICMP重定向報文發送功能 |
ip redirects enable |
缺省情況下,ICMP重定向報文發送功能處於關閉狀態 |
|
開啟ICMP超時報文發送功能 |
ip ttl-expires enable |
缺省情況下,ICMP超時報文發送功能處於關閉狀態 |
|
開啟ICMP目的不可達報文發送功能 |
ip unreachables enable |
缺省情況下,ICMP目的不可達報文發送功能處於關閉狀態 |
· 關閉ICMP超時報文發送功能後,設備不會再發送“TTL超時”ICMP差錯報文,但“重組超時”ICMP差錯報文仍會正常發送。
· 設備開啟DHCP服務後,在未發送ICMP回顯請求(ECHO-REQUEST)報文情況下,收到非法ICMP回顯應答(ECHO-REPLY)報文,此時設備不會回應“協議不可達”ICMP差錯報文。執行dhcp enable命令可以啟動DHCP服務,關於dhcp enable命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“DHCP”。
為了防止ICMP分片報文攻擊,用戶可以關閉設備的ICMP分片報文轉發功能,對於收到的ICMP分片報文不進行轉發。
表1-11 配置ICMP分片報文轉發功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉ICMP分片報文轉發功能 |
ip icmp fragment discarding |
缺省情況下,ICMP分片報文轉發功能處於開啟狀態 |
如果網絡中短時間內發送的ICMP差錯報文過多,將可能導致網絡擁塞。為了避免這種情況,用戶可以控製設備在指定時間內發送ICMP差錯報文的最大數目,目前采用令牌桶算法來實現。
用戶可以設置令牌桶的容量,即令牌桶中可以同時容納的令牌數;同時可以設置令牌桶的刷新周期,即每隔多長時間發放一個令牌到令牌桶中,直到令牌桶中的令牌數達到配置的容量。一個令牌表示允許發送一個ICMP差錯報文,每當發送一個ICMP差錯報文,則令牌桶中減少一個令牌。如果連續發送的ICMP差錯報文超過了令牌桶的容量,則後續的ICMP差錯報文將不能被發送出去,直到按照所設置的刷新頻率將新的令牌放入令牌桶中。
表1-12 配置發送ICMP差錯報文對應的令牌刷新周期和令牌桶容量
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送ICMP差錯報文對應的令牌刷新周期和令牌桶容量 |
ip icmp error-interval interval [ bucketsize ] |
缺省情況下,令牌刷新周期為100毫秒,令牌桶容量為10 刷新周期為0時,表示不限製ICMP差錯報文的發送 |
在網絡中IP地址配置較多的情況下,收到ICMP報文時,用戶很難根據報文的源IP地址判斷報文來自哪台設備。為了簡化這一判斷過程,可以指定ICMP報文源地址。用戶配置特定地址(如環回口地址)為ICMP報文的源地址,可以簡化判斷。
設備發送ICMP差錯報文(TTL超時、端口不可達和參數錯誤等)和ping echo request報文時,都可以通過上述命令指定報文的源地址。
表1-13 指定ICMP報文源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定ICMP報文源地址 |
ip icmp source [ vpn-instance vpn-instance-name ] ip-address |
缺省情況下,未指定ICMP報文源地址。 發送ICMP差錯報文(TTL超時、端口不可達和參數錯誤等)時,設備使用觸發ICMP差錯報文的原始報文的入接口IP地址作為ICMP報文源地址。 發送ICMP echo request報文時,設備使用出接口IP地址作為ICMP報文源地址。 發送ICMP echo reply報文時,設備使用ICMP echo request報文的目的地址作為ICMP報文源地址。 |
用戶發送ping echo request報文時,如果ping命令中已經指定源地址,則使用該源地址,否則使用ip icmp source配置的源地址。
使用ping命令進行網絡連通性檢測時,如果檢測的目的地址是廣播地址,則在該廣播範圍內所有收到ICMP Echo Request報文的設備都要對該報文進行處理。如果攻擊者利用這一原理發起網絡攻擊,則設備需要不停地處理此類報文,致使設備CPU資源大量占用而影響轉發性能。
在收到大量廣播報文或CPU占用率過高的場景下,建議關閉響應ICMP廣播報文功能,使得設備不再處理和回應目的地址為廣播地址的ICMP Echo Request報文,避免受到上述ICMP Echo Request攻擊。
表1-14 開啟響應ICMP廣播報文功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟響應ICMP廣播報文功能 |
ip icmp broadcast-echo-reply enable |
缺省情況下,響應ICMP廣播報文功能處於開啟狀態 |
本功能用來關閉發送指定類型的ICMP報文的功能。缺省情況下,設備支持發送大多數類型的ICMP報文,這樣可能會存在安全隱患。例如設備發出的時間戳請求應答、掩碼請求應答、網絡重定向和網絡不可達等報文,其攜帶的設備相關信息可能給被攻擊者獲取並發起攻擊。為了提高安全性,可以關閉設備對指定類型的ICMP報文的發送功能。
請根據網絡實際情況執行本功能,隨意關閉發送指定類型的ICMP報文的功能,可能會影響網絡的正常運行。
ICMP目的不可達報文發送功能同時受本功能和ip unreachables enable命令的控製。隻要一方開啟,ICMP目的不可達報文發送功能就處於開啟狀態。
ICMP超時報文發送功能同時受本功能和ip ttl-expires enable命令的控製。隻要一方開啟,ICMP超時報文發送功能就處於開啟狀態。
ICMP重定向報文發送功能同時受本功能和ip redirects enable命令的控製。隻要一方開啟,ICMP重定向報文發送功能就處於開啟狀態。
表1-15 關閉發送指定類型的ICMP報文的功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉發送指定類型的ICMP報文的功能 |
undo ip icmp { name icmp-name | type icmp-type code icmp-code } send enable |
缺省情況下,發送ICMP目的不可達報文、ICMP超時報文和ICMP重定向報文功能處於關閉狀態;發送其它ICMP報文功能處於開啟狀態 |
本功能用於關閉接收指定類型的ICMP報文的功能。缺省情況下,設備會接收所有類型的ICMP報文,這會產生安全隱患。例如設備短時間內收到大量的回送請求報文時,會影響設備性能,導致設備無法正常運行。為了提高安全性,可以關閉設備接收指定類型的ICMP報文的功能。
請根據網絡實際情況執行本功能,隨意關閉接收指定類型的ICMP報文的功能,可能會影響網絡的正常運行。
表1-16 關閉接收指定類型的ICMP報文的功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉接收指定類型的ICMP報文的功能 |
undo ip icmp { name icmp-name | type icmp-type code icmp-code } receive enable |
缺省情況下,設備會接收所有類型的ICMP報文 |
當某單板收到目的為本設備的IP分片報文時,需要把分片報文送到主用主控板進行重組,這樣會導致報文重組性能較低的問題。當開啟IP分片報文本地重組功能後,分片報文會在該單板直接進行報文重組,這樣就能提高報文的重組性能。開啟IP分片報文本地重組功能後,如果分片報文是從設備上不同的單板進入的,會導致IP分片報文本地無法重組成功。
多台設備組成的IRF環境下,當某成員設備收到目的為本IRF設備的IP分片報文時,需要把分片報文送到主設備進行重組,這樣會導致報文重組性能較低的問題。當開啟IP分片報文本地重組功能後,分片報文會在該成員設備上直接進行報文重組,這樣就能提高分片報文的重組性能。開啟IP分片報文本地重組功能後,如果分片報文是從設備上不同的成員設備進入的,會導致IP分片報文本地無法重組成功。
表1-17 開啟IP分片報文本地重組功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IP分片報文本地重組功能 |
ip reassemble local enable |
缺省情況下,IP分片報文本地重組功能處於關閉狀態 |
開啟端口攻擊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件,例如端口在收到ICMP報文超速的情況下,該模塊會產生告警信息,生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
表1-18 配置端口攻擊的告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟端口攻擊的告警功能 |
snmp-agent trap enable port-attack |
缺省情況下,端口攻擊的告警功能處於關閉狀態 |
開啟TCP模塊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件,例如在LDP會話使用的TCP連接上的MD5認證失敗時,設備將此信息記錄在告警信息中,生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
表1-19 配置TCP模塊告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟TCP告警功能 |
snmp-agent trap enable tcp |
缺省情況下,TCP的告警功能處於開啟狀態 |
TCP報文中攜帶TCP時間戳選項信息時,建立TCP連接的兩台設備通過TCP報文中的時間戳字段就可計算出RTT(Round Trip Time,往返時間)值。在某些組網中,由於安全隱患,需要防止TCP連接上的中間設備獲取到TCP時間戳信息,可以在建立TCP連接任意一端關閉發送TCP報文時添加時間戳選項信息功能。
表1-20 配置發送TCP報文時添加TCP時間戳選項信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送TCP報文時添加TCP時間戳選項信息 |
tcp timestamps enable |
缺省情況下,發送TCP報文時會添加TCP時間戳選項信息 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置IP性能優化功能後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除IP、TCP和UDP的流量統計信息。
表1-21 IP性能優化顯示和維護
|
操作 |
命令 |
|
顯示RawIP連接摘要信息(獨立運行模式) |
display rawip [ slot slot-number ] |
|
顯示RawIP連接摘要信息(IRF模式) |
display rawip [ chassis chassis-number slot slot-number ] |
|
顯示RawIP連接詳細信息(獨立運行模式) |
display rawip verbose [ slot slot-number [ pcb pcb-index ] ] |
|
顯示RawIP連接詳細信息(IRF模式) |
display rawip verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示TCP連接摘要信息(獨立運行模式) |
display tcp [ slot slot-number ] |
|
顯示TCP連接摘要信息(IRF模式) |
display tcp [ chassis chassis-number slot slot-number ] |
|
顯示TCP連接詳細信息(獨立運行模式) |
display tcp verbose [ slot slot-number [ pcb pcb-index ] ] |
|
顯示TCP連接詳細信息(IRF模式) |
display tcp verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示UDP連接摘要信息(獨立運行模式) |
display udp [ slot slot-number ] |
|
顯示UDP連接摘要信息(IRF模式) |
display udp [ chassis chassis-number slot slot-number ] |
|
顯示UDP連接詳細信息(獨立運行模式) |
display udp verbose [ slot slot-number [ pcb pcb-index ] ] |
|
顯示UDP連接詳細信息(IRF模式) |
display udp verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示IP報文統計信息(獨立運行模式) |
display ip statistics [ slot slot-number ] |
|
顯示IP報文統計信息(IRF模式) |
display ip statistics [ chassis chassis-number slot slot-number ] |
|
顯示TCP連接的流量統計信息(獨立運行模式) |
display tcp statistics [ slot slot-number ] |
|
顯示TCP連接的流量統計信息(IRF模式) |
display tcp statistics [ chassis chassis-number slot slot-number ] |
|
顯示UDP流量統計信息(獨立運行模式) |
display udp statistics [ slot slot-number ] |
|
顯示UDP流量統計信息(IRF模式) |
display udp statistics [ chassis chassis-number slot slot-number ] |
|
顯示ICMP流量統計信息(獨立運行模式) |
display icmp statistics [ slot slot-number ] |
|
顯示ICMP流量統計信息(IRF模式) |
display icmp statistics [ chassis chassis-number slot slot-number ] |
|
清除IP報文統計信息(獨立運行模式) |
reset ip statistics [ slot slot-number ] |
|
清除IP報文統計信息(IRF模式) |
reset ip statistics [ chassis chassis-number slot slot-number ] |
|
清除TCP連接的流量統計信息 |
reset tcp statistics |
|
清除UDP流量統計信息 |
reset udp statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
