- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-IP性能優化配置
本章節下載: 12-IP性能優化配置 (389.91 KB)
如下所有配置均為可選,請根據實際情況選擇配置。
· 配置IP報文功能
本功能適用於IRF組網環境。
· 配置ICMP報文功能
· 配置TCP報文功能
¡ 配置TCP定時器
定向廣播報文是指發送給特定網絡的廣播報文。該報文的目的IP地址中網絡號碼字段為特定網絡的網絡號,主機號碼字段為全1。
接口接收和轉發直連網段的定向廣播報文包括以下幾種情況:
· 在接收定向廣播報文的情況下,如果在接口上配置了此命令,設備允許接收此接口直連網段的定向廣播報文。
· 在轉發定向廣播報文的情況下,如果在接口上配置了此命令,設備從其他接口接收到目的地址為此接口直連網段的定向廣播報文時,會從此接口轉發此類報文。
黑客可以利用定向廣播報文來攻擊網絡係統,給網絡的安全帶來了很大的隱患。但在某些應用環境下,設備接口需要接收或轉發這類定向廣播報文,例如:
· 使用UDP Helper功能,將廣播報文轉換為單播報文發送給指定的服務器。
· 使用Wake on LAN(網絡喚醒)功能,發送定向廣播報文喚醒遠程網絡中的計算機。
在上述情況下,用戶可以通過命令配置接口允許接收和轉發直連網段的定向廣播報文。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置允許接口接收和轉發麵向直連網段的定向廣播報文。
ip forward-broadcast
缺省情況下,設備禁止轉發直連網段的定向廣播報文,設備允許接收直連網段的定向廣播報文。
如圖1-1所示,Host的接口和Router A的接口GigabitEthernet1/0/1處於同一個網段(1.1.1.0/24),Router A的接口GigabitEthernet1/0/2和Router B的接口GigabitEthernet1/0/2處於另外一個網段(2.2.2.0/24)。Host上配置默認網關為Router A的接口GigabitEthernet1/0/1的地址(1.1.1.2/24),Router B上配置靜態路由使得Host與Router B之間路由可達。
要求通過配置使得Router B可以收到Host發送的定向廣播報文。
(1) 配置Router A
# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 1.1.1.2 24
[RouterA-GigabitEthernet1/0/1] quit
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 2.2.2.2 24
# 配置允許接口GigabitEthernet1/0/2轉發直連網段的定向廣播報文。
[RouterA-GigabitEthernet1/0/2] ip forward-broadcast
(2) 配置Router B
# 配置Router B到Host的靜態路由。
<RouterB> system-view
[RouterB] ip route-static 1.1.1.1 24 2.2.2.2
# 配置接口GigabitEthernet1/0/2的IP地址。
[RouterB] interface gigabitethernet 1/0/2
[RouterB-GigabitEthernet1/0/2] ip address 2.2.2.1 24
# 配置允許接口GigabitEthernet1/0/2接收直連網段的定向廣播報文。
[RouterB-GigabitEthernet1/0/2] ip forward-broadcast
配置完成以後,在Host上ping Router A的接口GigabitEthernet1/0/2所在子網網段的廣播地址(2.2.2.255)時,Router B的接口GigabitEthernet1/0/2可以收到該報文。取消掉ip forward-broadcast的配置,Router B的接口GigabitEthernet1/0/2就不能收到該報文。
當設備使用某個接口發送報文時,發現報文長度大於該接口的發送IPv4報文的MTU值,則進行下列處理:
· 如果報文不允許分片,則將報文丟棄;
· 如果報文允許分片,則將報文進行分片轉發。
為了減輕轉發設備在傳輸過程中的分片和重組數據包的壓力,更高效的利用網絡資源,請根據實際組網環境設置合適的接口MTU值,以減少分片的發生。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置發送IPv4報文的MTU。
ip mtu mtu-size
缺省情況下,未配置接口發送IPv4報文的MTU。
開啟本功能後,設備會統計接口接收或發送的IP報文的數量,該統計信息可通過display ip intreface命令查看;也會統計接口的IP報文統計速率,統計速率可通過命令行display interface查看。接口報文流量過大時,開啟本功能會造成設備CPU占用率高,影響轉發性能。因此,當用戶不需要統計接口接收的IP報文數量時,建議關閉本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟三層報文統計功能。
statistics l3-packet enable [ inbound | outbound ]
缺省情況下,三層報文統計功能處於關閉狀態。
當某單板收到目的為本設備的IP分片報文時,需要把分片報文送到主用主控板進行重組,這樣會導致報文重組性能較低的問題。當開啟IP分片報文本地重組功能後,分片報文會在該單板直接進行報文重組,這樣就能提高報文的重組性能。開啟IP分片報文本地重組功能後,如果分片報文是從設備上不同的單板進入的,會導致IP分片報文本地無法重組成功。
多台設備組成的IRF環境下,當某成員設備收到目的為本IRF設備的IP分片報文時,需要把分片報文送到主設備進行重組,這樣會導致報文重組性能較低的問題。當開啟IP分片報文本地重組功能後,分片報文會在該成員設備上直接進行報文重組,這樣就能提高分片報文的重組性能。開啟IP分片報文本地重組功能後,如果分片報文是從設備上不同的成員設備進入的,會導致IP分片報文本地無法重組成功。
(1) 進入係統視圖。
system-view
(2) 開啟IP分片報文本地重組功能。
ip reassemble local enable
缺省情況下,IP分片報文本地重組功能處於關閉狀態。
為了避免由於後片先到(報文分片後)的情況而導致設備重組分片報文複雜度過高的問題,設備需要對收到的分片報文先進行虛擬分片重組。IP虛擬分片重組功能可以對分片報文進行檢驗、排序和緩存,保證後續的報文重組功能處理的都是順序正確的分片報文。
同時,IP虛擬分片重組功能還可以對下麵幾種分片攻擊進行檢測。如果檢測到分片攻擊,則設備會丟棄收到的分片報文,從而提高了設備的安全性。
· Tiny Fragment攻擊:如果設備收到分片報文的首片長度非常小,並且傳輸層協議(如:TCP、UDP)頭字段放在第二個分片中,則認為是受到了Tiny Fragment攻擊;
· Overlapping Fragment攻擊:如果設備收到了完全相同的分片報文,或者收到的分片報文與其前一分片或後一分片出現重疊時,則認為是受到了Overlapping Fragment攻擊;
· Fragment-flood攻擊:如果設備收到的分片報文個數超過了指定的隊列允許的最大分片報文個數或者設備上創建的分片隊列個數超過了指定的最大分片隊列個數,則認為是受到了Fragment-flood攻擊。
IP虛擬分片重組功能的開啟或關閉支持業務調用和命令行控製兩種方式,命令行控製方式主要適用於不存在可調用IP虛擬分片重組功能的業務,但需要進行報文重組的組網環境中。這兩種方式的結果不會互相影響,即隻要有任意一個業務調用本功能或執行ip virtual-reassembly enable命令開啟本功能後,功能就處於開啟狀態。執行ip virtual-reassembly suppress命令強製關閉IP虛擬分片重組功能後,通過以上兩種方式開啟的功能均會被強製關閉。
(1) 進入係統視圖。
system-view
(2) 開啟IP虛擬分片重組功能。
ip virtual-reassembly enable
缺省情況下,IP虛擬分片重組功能處於關閉狀態。
在高可靠性組網環境下,如果設備上開啟了IPv4虛擬分片重組功能,當出現同一條流的分片報文分別到達了兩個設備的情況時,每個設備上收到的分片報文都不完整,IPv4虛擬分片重組功能無法對不完整的分片報文進行重組,因此會對分片報文進行丟棄。配置本命令後,未收到首個分片的設備,會將接收到的分片報文全部透傳給收到同一條流首片報文所在的設備,實現同一條流的分片報文在一個設備上集中處理,即IPv4虛擬分片重組。
在非高可靠性組網環境中,或者設備上未開啟IPv4虛擬分片重組功能,不建議配置本功能。
有關高可靠性組網,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
(1) 進入係統視圖。
system-view
(2) 開啟IPv4虛擬分片透傳功能。
ip virtual-reassembly centralize
缺省情況下,IPv4虛擬分片透傳功能處於關閉狀態。
IPv4虛擬分片重組功能可以提前對到達設備的分片報文進行檢驗、排序和緩存。開啟IPv4虛擬分片重組功能,可以保證後續的報文重組功能處理的都是順序正確的分片報文。
在高可靠性組網環境中,如果出現同一條流的分片報文分別到達了兩個設備的情況,則每個設備上收到的分片報文都不完整,此時設備的IPv4虛擬分片重組功能無法對不完整的分片報文進行重組,因此會對其進行丟棄。
如果需要設備對接收到不完整的分片報文進行放行,則可以強行關閉設備的IPv4虛擬分片重組功能,此時通過業務調用和執行ip virtual-reassembly enable命令行控製兩種方式開啟的IPv4虛擬分片重組功能均會被關閉。
對於已配置ASPF、連接數限製業務的設備,配置本功能後,ASPF、連接數限製業務將不會對分片報文進行校驗,而是直接放行。
請明確實際組網對分片報文重組功能的需求後,謹慎配置本功能。
有關高可靠性組網,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
(1) 進入係統視圖。
system-view
(2) 強製關閉IPv4虛擬分片重組功能。
ip virtual-reassembly suppress
缺省情況下,強製關閉IP虛擬分片重組功能處於關閉狀態。
在高可靠性組網環境下,如果設備上開啟了IPv6虛擬分片重組功能,當出現同一條流的分片報文分別到達了兩個設備的情況時,每個設備上收到的分片報文都不完整,IPv6虛擬分片重組功能無法對不完整的分片報文進行重組,因此會對分片報文進行丟棄。配置本命令後,未收到首個分片的設備,會將接收到的分片報文全部透傳給收到同一條流首片報文所在的設備,實現同一條流的分片報文在一個設備上集中處理,即IPv6虛擬分片重組。
在非高可靠性組網環境中,或者設備上未開啟IPv6虛擬分片重組功能,不建議配置本功能。
有關高可靠性組網,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
(1) 進入係統視圖。
system-view
(2) 開啟IPv6虛擬分片透傳功能。
ipv6 virtual-reassembly centralize
缺省情況下,IPv6虛擬分片透傳功能處於關閉狀態。
IPv6虛擬分片重組功能可以提前對到達設備的分片報文進行檢驗、排序和緩存。開啟IPv6虛擬分片重組功能,可以保證後續的報文重組功能處理的都是順序正確的分片報文。
在高可靠性組網環境中,如果出現同一條流的分片報文分別到達了兩個設備的情況,則每個設備上收到的IPv6分片報文都不完整,此時設備的IPv6虛擬分片重組功能無法對不完整的分片報文進行重組,因此會對其進行丟棄。
如果需要設備對接收到不完整的分片報文進行放行,則可以強行關閉設備的IPv6虛擬分片重組功能。
對於已配置ASPF、連接數限製業務的設備,配置本命令後,ASPF、連接數限製業務將不會對分片報文進行校驗,而是直接放行。
請明確實際組網對分片報文重組功能的需求後,謹慎配置本功能。
有關高可靠性組網,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
(1) 進入係統視圖。
system-view
(2) 強製關閉IPv6虛擬分片重組功能。
ipv6 virtual-reassembly suppress
缺省情況下,強製關閉IPv6虛擬分片重組功能處於關閉狀態。
設備轉發IP報文時,由於鏈路MTU值可能會對IP報文進行分片。如果設備收到攜帶DF(Don’t Fragment,不分片)標記的IP報文,設備不會轉發該IP報文,但會向報文發送端發送ICMP差錯報文,這樣會導致通信中斷。
當用戶在設備上配置IP報文DF標誌位後,設備會直接修改IP報文中的DF標誌位,使得該IP報文可以被分片轉發。
配置本功能後,設備會修改所有轉發IP報文的DF標誌位,不會修改本設備生成的IP報文的DF標誌位。
(1) 進入係統視圖。
system-view
(2) 配置DF標記位處理方式。
ip df-bit { clear | set }
缺省情況下,保留當前IP報文DF標誌位取值。
ICMP報文通常被網絡層或傳輸層協議用來在異常情況發生時通知相應設備,從而便於進行控製管理。ICMP差錯報文的發送雖然方便了網絡的控製管理,但是也存在缺陷:發送大量的ICMP報文,增大網絡流量;如果有用戶發送ICMP差錯報文進行惡意攻擊,會導致設備性能下降或影響正常工作。為了避免上述現象發生,缺省情況下,ICMP差錯報文發送功能處於關閉狀態,用戶可以根據需要開啟ICMP差錯報文發送功能。
ICMP差錯報文包括重定向報文、超時報文和目的不可達報文。
ICMP重定向報文發送功能可以簡化主機的管理,使具有很少選路信息的主機逐漸建立較完善的路由表,從而找到最佳路由。
主機啟動時,它的路由表中可能隻有一條到缺省網關的缺省路由。當滿足一定的條件時,缺省網關會向源主機發送ICMP重定向報文,通知主機重新選擇正確的下一跳進行後續報文的發送。
同時滿足下列條件時,設備會發送ICMP重定向報文:
· 接收和轉發數據報文的接口是同一接口;
· 報文的源IP地址和報文接收接口的IP地址在同一個網段;
· 數據報文中沒有源路由選項。
(1) 進入係統視圖。
system-view
(2) 開啟ICMP重定向報文發送功能。
ip redirects enable
缺省情況下,ICMP重定向報文發送功能處於關閉狀態。
ICMP超時報文發送功能是在設備收到IP數據報文後,如果發生超時差錯,則將報文丟棄並給源端發送ICMP超時差錯報文。
設備在滿足下列條件時會發送ICMP超時報文:
· 設備收到IP數據報文後,如果報文的目的地不是本地且報文的TTL字段是1,則發送“TTL超時”ICMP差錯報文;
· 設備收到目的地址為本地的IP數據報文的第一個分片後,啟動定時器,如果所有分片報文到達之前定時器超時,則會發送“重組超時”ICMP差錯報文。
關閉ICMP超時報文發送功能後,設備不會再發送“TTL超時”ICMP差錯報文,但“重組超時”ICMP差錯報文仍會正常發送。
(1) 進入係統視圖。
system-view
(2) 開啟ICMP超時報文發送功能。
ip ttl-expires enable
缺省情況下,ICMP超時報文發送功能處於關閉狀態。
ICMP目的不可達報文發送功能是在設備收到IP數據報文後,如果發生目的不可達的差錯,則將報文丟棄並給源端發送ICMP目的不可達差錯報文。
設備在滿足下列條件時會發送目的不可達報文:
· 設備在轉發報文時,如果在路由表中未找到對應的轉發路由,且路由表中沒有缺省路由,則給源端發送“網絡不可達”ICMP差錯報文;
· 設備收到目的地址為本地的數據報文時,如果設備不支持數據報文采用的傳輸層協議,則給源端發送“協議不可達”ICMP差錯報文;
· 設備收到目的地址為本地、傳輸層協議為UDP的數據報文時,如果報文的端口號與正在使用的進程不匹配,則給源端發送“端口不可達”ICMP差錯報文;
· 源端如果采用“嚴格的源路由選擇”發送報文,當中間設備發現源路由所指定的下一個設備不在其直接連接的網絡上,則給源端發送“源站路由失敗”的ICMP差錯報文;
· 設備在轉發報文時,如果轉發接口的MTU小於報文的長度,但報文被設置了不可分片,則給源端發送“需要進行分片但設置了不分片比特”ICMP差錯報文。
設備開啟DHCP服務後,在未發送ICMP回顯請求(ECHO-REQUEST)報文情況下,收到非法ICMP回顯應答(ECHO-REPLY)報文,此時設備不會回應“協議不可達”ICMP差錯報文。執行dhcp enable命令可以開啟DHCP服務,關於dhcp enable的詳細介紹,請參見“三層技術-IP業務命令參考”中的“DHCP”。
(1) 進入係統視圖。
system-view
(2) 開啟ICMP目的不可達報文發送功能。
ip unreachables enable
缺省情況下,ICMP目的不可達報文發送功能處於關閉狀態。
如果網絡中短時間內發送的ICMP差錯報文過多,將可能導致網絡擁塞。為了避免這種情況,用戶可以控製設備在指定時間內發送ICMP差錯報文的最大數目,目前采用令牌桶算法來實現。
用戶可以設置令牌桶的容量,即令牌桶中可以同時容納的令牌數;同時可以設置令牌桶的刷新周期,即每隔多長時間發放一個令牌到令牌桶中,直到令牌桶中的令牌數達到配置的容量。一個令牌表示允許發送一個ICMP差錯報文,每當發送一個ICMP差錯報文,則令牌桶中減少一個令牌。如果連續發送的ICMP差錯報文超過了令牌桶的容量,則後續的ICMP差錯報文將不能被發送出去,直到按照所設置的刷新頻率將新的令牌放入令牌桶中。
(1) 進入係統視圖。
system-view
(2) 配置發送ICMP差錯報文對應的令牌刷新周期和令牌桶容量。
ip icmp error-interval interval [ bucketsize ]
缺省情況下,令牌刷新周期為100毫秒,令牌桶容量為10。
刷新周期為0時,表示不限製ICMP差錯報文的發送。
在網絡中IP地址配置較多的情況下,收到ICMP報文時,用戶很難根據報文的源IP地址判斷報文來自哪台設備。為了簡化這一判斷過程,可以指定ICMP報文源地址。用戶配置特定地址(如環回口地址)為ICMP報文的源地址,可以簡化判斷。
設備發送ICMP差錯報文(TTL超時、端口不可達和參數錯誤等)和ping echo request報文時,都可以通過上述命令指定報文的源地址。
用戶發送ping echo request報文時,如果ping命令中已經指定源地址,則使用該源地址,否則使用ip icmp source配置的源地址。
(1) 進入係統視圖。
system-view
(2) 指定ICMP報文源地址。
ip icmp source [ vpn-instance vpn-instance-name ] ip-address
缺省情況下,未指定ICMP報文源地址。
發送ICMP差錯報文(TTL超時、端口不可達和參數錯誤等)時,設備使用觸發ICMP差錯報文的原始報文的入接口IP地址作為ICMP報文源地址。
發送ICMP echo request報文時,設備使用出接口IP地址作為ICMP報文源地址。
發送ICMP echo reply報文時,設備使用ICMP echo request報文的目的地址作為ICMP報文源地址。
本功能用來開啟發送指定類型的ICMP報文的功能。缺省情況下,設備支持發送大多數類型的ICMP報文,這樣可能會存在安全隱患。例如設備發出的時間戳請求應答、掩碼請求應答、網絡重定向和網絡不可達等報文,其攜帶的設備相關信息可能給被攻擊者獲取並發起攻擊。為了提高安全性,可以關閉設備對指定類型的ICMP報文的發送功能。
請根據網絡實際情況執行本功能,隨意關閉發送指定類型的ICMP報文的功能,可能會影響網絡的正常運行。
ICMP目的不可達報文發送功能同時受本功能和ip unreachables enable命令的控製。隻要一方開啟,ICMP目的不可達報文發送功能就處於開啟狀態。
ICMP超時報文發送功能同時受本功能和ip ttl-expires enable命令的控製。隻要一方開啟,ICMP超時報文發送功能就處於開啟狀態。
ICMP重定向報文發送功能同時受本功能和ip redirects enable命令的控製。隻要一方開啟,ICMP重定向報文發送功能就處於開啟狀態。
(1) 進入係統視圖。
system-view
(2) 關閉發送指定類型的ICMP報文的功能。
undo ip icmp { name icmp-name | type icmp-type code icmp-code } send enable
缺省情況下,ICMPv6目的不可達報文、ICMPv6超時報文和ICMPv6重定向報文的發送功能處於關閉狀態,其他類型ICMPv6報文的發送功能處於開啟狀態。
本功能用於開啟接收指定類型的ICMP報文的功能。缺省情況下,設備會接收所有類型的ICMP報文,這會產生安全隱患。例如設備短時間內收到大量的回送請求報文時,會影響設備性能,導致設備無法正常運行。為了提高安全性,可以關閉設備接收指定類型的ICMP報文的功能。
請根據網絡實際情況執行本功能,隨意關閉接收指定類型的ICMP報文的功能,可能會影響網絡的正常運行。
(1) 進入係統視圖。
system-view
(2) 關閉接收指定類型的ICMP報文的功能。
undo ip icmp { name icmp-name | type icmp-type code icmp-code } receive enable
缺省情況下,設備會接收所有類型的ICMP報文。
TCP最大報文段長度(Maximum Segment Size,MSS)表示TCP連接的對端發往本端的最大TCP報文段的長度,目前作為TCP連接建立時的一個選項來協商:當一個TCP連接建立時,連接的雙方要將MSS作為TCP報文的一個選項通告給對端,對端會記錄下這個MSS值,後續在發送TCP報文時,會限製TCP報文的大小不超過該MSS值。當對端發送的TCP報文的長度小於本端的TCP最大報文段長度時,TCP報文不需要分段;否則,對端需要對TCP報文按照最大報文段長度進行分段處理後再發給本端。
· 用戶可以通過下麵的命令配置接口的TCP最大報文段長度,配置後該接口接收和發送的TCP報文的大小都不能超過該值。
· 該配置僅對新建的TCP連接生效,對於配置前已建立的TCP連接不生效。
· 該配置僅對IP報文生效,當接口上配置了MPLS功能後,不建議再配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口的TCP最大報文段長度。
tcp mss value
缺省情況下,未配置接口的TCP最大報文段長度。
TCP建立連接後,TCP連接會根據TCP最大報文段長度對報文進行分片後再傳輸。當報文的出接口所在的接口板和連接發起方不是同一塊板,或報文的出接口所在的成員設備和連接發起方不是同一台設備,TCP連接發起方無法獲取出接口的IP MTU值時,也就無法推算出準確的TCP最大報文段長度。這時,TCP連接發起方會使用缺省TCP最大報文段長度對報文進行分片。目前,缺省TCP最大報文段長度較小,這會導致報文分片過多,且會存在接收連接方應答的TCP SYN報文的TCP校驗和錯誤等問題。為了解決這個問題,管理員可以通過本命令手工指定缺省TCP最大報文段長度。
(1) 進入係統視圖。
system-view
(2) 配置缺省TCP最大報文段長度。
tcp default-mss mss-value
缺省情況下,缺省TCP最大報文段長度為512。
在GRE、SSL VPN和IPsec VPN場景下,VPN相關業務會使TCP報文新增封裝字段(即APPENDLEN),使TCP報文長度可能超出TCP連接協商的MSS值,從而導致TCP報文在經過VPN業務的中間設備時分片,降低了傳輸效率。
不同VPN業務的APPENDLEN不同,難以手動配置滿足所有VPN業務的TCP MSS值。在VPN業務的中間設備上使能本功能,設備可以根據VPN業務種類的不同,自動調整TCP MSS值,避免TCP報文經過中間設備時分片。
TCP MSS自動調整功能會基於接口上發送IPv4報文的MTU值(由ip mtu命令配置)和VPN業務類型,自動計算MSS值,計算方法為:MSS=MTU值-IP頭部長度-TCP頭部長度-APPENDLEN。
· 使能TCP MSS自動調整功能後,設備建立TCP連接時,接口上可以發送的TCP最大報文段長度為以下值中的最小值:
¡ 報文自身的MSS值。
¡ 基於接口上發送IPv4報文的MTU值和VPN業務類型,自動計算得到的MSS值。
¡ 接口的TCP MSS值(由tcp mss命令配置)。
¡ 全局的TCP MSS值(由tcp auto-adjust-mss命令配置)。
· 關閉本功能後,無法根據業務類型自動調整TCP MSS值。此時設備建立TCP連接時,接口上可以發送的最大TCP報文字段長度為以下值中的最小值:
¡ 報文自身的MSS值。
¡ 接口的TCP MSS值(由tcp mss命令配置)。
· 開啟本功能後,設備轉發報文的過程中需要額外進行一次MSS取值的處理,因此會影響會話新建和轉發性能,在追求轉發性能的場景下,建議關閉本功能。
· 本功能的配置僅對新建的TCP連接生效,對於已建立的TCP連接不生效。
(1) 進入係統視圖。
system-view
(2) 開啟TCP MSS自動調整功能。
tcp auto-adjust-mss enable
缺省情況下,TCP MSS自動調整功能處於關閉狀態。
(3) (可選)配置全局的TCP最大報文段長度。
tcp auto-adjust-mss value
缺省情況下,全局的TCP最大報文段長度為1460。
通過開啟TCP連接的Path MTU探測功能,用戶可確定TCP路徑上從源端到目的端的最小MTU(Path MTU),按照Path MTU組織TCP分段長度,避免IP分片的發生。為了在Path MTU增大時,減少資源浪費,可以開啟Path MTU老化定時器,保證設備盡量按照TCP路徑允許的最大報文長度發送數據。
RFC 1191中規定的TCP連接的Path MTU探測機製如下:
(1) TCP源端將發送的TCP數據段的外層IP報文設置DF(不可分片)標記。
(2) 如果TCP路徑上某路由器的出接口MTU值小於該IP報文長度,則會丟棄報文,並給TCP源端發送ICMP差錯報文,報文中會攜帶該出接口MTU值。
(3) TCP源端通過解析該ICMP差錯報文,可知TCP路徑上當前最小的單向MTU值。
(4) 後續TCP源端發送數據段的長度不超過MSS。其中,MSS=最小MTU值-IP頭部長度-TCP頭部長度。
當MSS已經達到係統規定的最小的32字節後,如果再次收到減少MSS的ICMP差錯報文,係統將允許該TCP連接發送的報文進行分片。
產生ICMP差錯報文的路由器可能不支持RFC 1191,其產生的ICMP差錯報文中的出接口MTU字段值為0,對於這種報文,TCP源端將按照RFC 1191中規定的MTU表獲取比當前路徑MTU更小的值作為計算TCP MSS的基礎。MTU表的內容為(單位為字節):68、296、508、1006、1280、1492、2002、4352、8166、17914、32000、65535(由於係統規定的TCP最小MSS為32,所以對應最小的MTU實際為72字節)。
Path MTU的老化機製如下:
· 當TCP源端收到ICMP差錯報文後,除了減小Path MTU值,同時會為該Path MTU值啟動老化定時器。
· 當該定時器超時後,係統將按照RFC 1191規定的MTU表依次遞增TCP的MSS值。
· 如果增加一次MSS之後的2分鍾內未收到ICMP差錯報文,則繼續遞增,直到MSS增長到對端在TCP三次握手階段通告的MSS值。
TCP連接的Path MTU探測功能依賴IP報文的DF標記位設置後觸發ICMP差錯報文,因此需要TCP路徑上的所有設備打開ICMP差錯報文發送功能(ip unreachables enable),以確保ICMP差錯報文可以發送到TCP源端。
(1) 進入係統視圖。
system-view
(2) 開啟TCP連接的Path MTU探測功能。
tcp path-mtu-discovery [ aging age-time | no-aging ]
缺省情況下,TCP連接的Path MTU探測功能處於關閉狀態。
SYN Cookie功能用來防止SYN Flood攻擊。SYN Flood攻擊中,攻擊者向設備發送大量請求建立TCP連接的SYN報文,而不回應設備的SYN ACK報文,導致設備上建立了大量的TCP半連接。從而,達到耗費設備資源,使設備無法處理正常業務的目的。配置SYN Cookie功能後,當設備收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文。設備接收到發起者回應的ACK報文後,建立連接,並進入ESTABLISHED狀態。通過這種方式,可以避免在設備上建立大量的TCP半連接,防止設備受到SYN Flood攻擊。
(1) 進入係統視圖。
system-view
(2) 開啟SYN Cookie功能。
tcp syn-cookie enable
缺省情況下,SYN Cookie功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置TCP連接的接收和發送緩衝區的大小。
tcp window window-size
缺省情況下,TCP連接的接收和發送緩衝區大小為63KB。
可以配置的TCP定時器包括:
· synwait定時器:當發送SYN報文時,TCP啟動synwait定時器和重傳SYN報文定時器,當synwait定時器超時且SYN報文重傳未達到最大次數時,如果設備未收到回應報文,則TCP連接建立不成功;當synwait定時器未超時但是SYN報文重傳達到最大次數時,如果設備未收到回應報文,則TCP連接建立不成功。
· finwait定時器:當TCP的連接狀態為FIN_WAIT_2時,啟動finwait定時器,如果在定時器超時前未收到報文,則TCP連接終止;如果收到FIN報文,則TCP連接狀態變為TIME_WAIT狀態;如果收到非FIN報文,則從收到的最後一個非FIN報文開始重新計時,在超時後中止連接。
(1) 進入係統視圖。
system-view
(2) 配置TCP的synwait定時器超時時間。
tcp timer syn-timeout time-value
缺省情況下,synwait定時器超時時間為75秒。
(3) 配置TCP的finwait定時器超時時間。
tcp timer fin-timeout time-value
缺省情況下,finwait定時器超時時間為675秒。
TCP報文中攜帶TCP時間戳選項信息時,建立TCP連接的兩台設備通過TCP報文中的時間戳字段就可計算出RTT(Round Trip Time,往返時間)值。在某些組網中,由於安全隱患,需要防止TCP連接上的中間設備獲取到TCP時間戳信息,可以在建立TCP連接任意一端關閉發送TCP報文時添加時間戳選項信息功能。
(1) 進入係統視圖。
system-view
(2) 配置發送TCP報文時添加TCP時間戳選項信息。
tcp timestamps enable
缺省情況下,發送TCP報文時會添加TCP時間戳選項信息。
可以配置的TCP擁塞控製算法如下:
· Reno:推薦用於低延時、低帶寬的場景,因為在高延時、高帶寬的場景中,傳輸速度往往要經過很長時間才能達到最大,會降低帶寬的利用率。Reno將收到ACK作為擁塞窗口增長的依據,是一種早期的TCP擁塞控製算法。
· BIC:推薦用於高帶寬、低丟包率的場景。BIC將丟包作為擁塞信號,優點是隻要沒有出現丟包,就不會主動降低發送速度,可以最大程度的利用網絡剩餘帶寬,提高吞吐量;缺點是傳輸時延較高,而且會將傳輸錯誤丟包認為是擁塞丟包,從而減小擁塞窗口,降低發送速率。
· BBR:推薦用於高帶寬、高時延、存在一定丟包率的場景。BBR不將丟包作為擁塞信號,所以在丟包率較高的場景下,BBR可以有效降低傳輸時延,並保證較高的吞吐量。BBRv2降低了搶占性,提高了不同算法共存時的公平性。
對於支持配置TCP擁塞控製算法的模塊,以支持模塊配置的TCP擁塞控製算法為準,本功能不生效。例如WAAS模塊,可以通過執行waas tfo congestion-method命令來配置WAAS WAN側鏈路的TCP擁塞控製算法;對於不支持配置TCP擁塞控製算法的模塊,將采用與TCP代理模塊相同的TCP擁塞控製算法。
(1) 進入係統視圖。
system-view
(2) 配置TCP代理所使用的TCP擁塞控製算法。
tcp-proxy congestion-method { bbrv1 | bbrv2 | bic | reno }
缺省情況下,TCP代理所使用的TCP擁塞控製算法為Reno算法。
開啟防止對TCP連接的攻擊功能後,設備將對每個已建立的TCP連接收到的錯誤報文進行數量統計,若一個統計周期(固定為1s)內收到的錯誤報文數量超過TCP連接防攻擊的監控閾值,則判斷當前連接遭到攻擊,此時設備會斷開該TCP連接。開啟TCP連接防攻擊的日誌功能後,斷開TCP連接時,設備會打印斷開TCP連接的提示信息。
(1) 進入係統視圖。
system-view
(2) 開啟防止對TCP連接的攻擊功能。
tcp abnormal-packet-defend [ log | threshold threshold-value ]*
缺省情況下,防止對TCP連接的攻擊功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置IP性能優化功能後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除IP、TCP和UDP的流量統計信息。
表1-1 IP性能優化顯示和維護
|
操作 |
命令 |
|
顯示ICMP流量統計信息 |
(獨立運行模式) display icmp statistics [ slot slot-number ] (IRF模式) display icmp statistics [ chassis chassis-number slot slot-number ] |
|
顯示IP報文統計信息 |
(獨立運行模式) display ip statistics [ slot slot-number ] (IRF模式) display ip statistics [ chassis chassis-number slot slot-number ] |
|
顯示RawIP連接摘要信息 |
(獨立運行模式) display rawip [ slot slot-number ] (IRF模式) display rawip [ chassis chassis-number slot slot-number ] |
|
顯示RawIP連接詳細信息 |
(獨立運行模式) display rawip verbose [ slot slot-number [ pcb pcb-index ] ] (IRF模式) display rawip verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示TCP連接摘要信息 |
(獨立運行模式) display tcp [ slot slot-number ] (IRF模式) display tcp [ chassis chassis-number slot slot-number ] |
|
顯示TCP連接的流量統計信息 |
(獨立運行模式) display tcp statistics [ slot slot-number ] (IRF模式) display tcp statistics [ chassis chassis-number slot slot-number ] |
|
顯示TCP連接詳細信息 |
(獨立運行模式) display tcp verbose [ slot slot-number [ pcb pcb-index ] ] (IRF模式) display tcp verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示TCP代理連接的簡要信息 |
(獨立運行模式) display tcp-proxy slot slot-number (IRF模式) display tcp-proxy chassis chassis-number slot slot-number |
|
顯示TCP代理非保留端口的使用信息 |
(獨立運行模式) display tcp-proxy port-info slot slot-number (IRF模式) display tcp-proxy port-info chassis chassis-number slot slot-number |
|
顯示UDP連接摘要信息 |
(獨立運行模式) display udp [ slot slot-number ] (IRF模式) display udp [ chassis chassis-number slot slot-number ] |
|
顯示UDP流量統計信息 |
(獨立運行模式) display udp statistics [ slot slot-number ] (IRF模式) display udp statistics [ chassis chassis-number slot slot-number ] |
|
顯示UDP連接詳細信息 |
(獨立運行模式) display udp verbose [ slot slot-number [ pcb pcb-index ] ] (IRF模式) display udp verbose [ chassis chassis-number slot slot-number [ pcb pcb-index ] ] |
|
顯示當前開啟的INET業務的信息 |
(獨立運行模式) display inet open-service [ slot slot-number ] (IRF模式) display inet open-service [ chassis chassis-number slot slot-number ] |
|
清除IP報文統計信息 |
(獨立運行模式) reset ip statistics [ slot slot-number ] (IRF模式) reset ip statistics [ chassis chassis-number slot slot-number ] |
|
清除TCP連接的流量統計信息 |
reset tcp statistics |
|
清除UDP流量統計信息 |
reset udp statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
