- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
20-IP性能优化命令
本章节下载: 20-IP性能优化命令 (321.56 KB)
目 录
1.1.8 display udp socket-loadbalance
1.1.9 display udp socket-loadbalance verbose
1.1.19 ip virtual-reassembly aging
1.1.20 ip virtual-reassembly enable
display icmp statistics命令用来显示ICMP流量统计信息。
【命令】
display icmp statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display icmp statistics命令用来显示设备接收和发送的各类ICMP流量的统计信息。
【举例】
# 显示ICMP流量统计信息。
<Sysname> display icmp statistics
Input: bad formats 0 bad checksum 0
echo 175 destination unreachable 0
source quench 0 redirects 0
echo replies 201 parameter problem 0
timestamp 0 information requests 0
mask requests 0 mask replies 0
time exceeded 0 invalid type 0
router advert 0 router solicit 0
broadcast/multicast echo requests ignored 0
broadcast/multicast timestamp requests ignored 0
Output: echo 0 destination unreachable 0
source quench 0 redirects 0
echo replies 175 parameter problem 0
timestamp 0 information replies 0
mask requests 0 mask replies 0
time exceeded 0 bad address 0
packet error 1442 router advert 3
表1-1 display icmp statistics命令显示信息描述表
|
字段 |
描述 |
|
bad formats |
输入的格式错误报文数 |
|
bad checksum |
输入的校验和错误报文数 |
|
echo |
输入/输出的响应请求报文数 |
|
destination unreachable |
输入/输出的目的不可达报文数 |
|
source quench |
输入/输出的源站抑制报文数 |
|
redirects |
输入/输出的重定向报文数 |
|
echo replies |
输入/输出的响应应答报文数 |
|
parameter problem |
输入/输出的参数错误报文数 |
|
timestamp |
输入的时间戳请求报文数/输出的时间戳应答报文数 |
|
information requests |
输入的信息请求报文数 |
|
mask requests |
输入/输出的掩码请求报文数 |
|
mask replies |
输入/输出的掩码应答报文数 |
|
invalid type |
输入的非法类型报文数 |
|
router solicit |
输入的路由器请求报文数 |
|
broadcast/multicast echo requests ignored |
输入的广播/组播响应请求丢弃报文数 |
|
broadcast/multicast timestamp requests ignored |
输入的广播/组播时戳请求丢弃报文数 |
|
information replies |
输出的信息应答报文数 |
|
time exceeded |
输入/输出的超时报文数 |
|
bad address |
输出的目的地址非法报文数 |
|
packet error |
输出的错误报文数 |
|
router advert |
输入/输出的路由器公告报文数 |
display ip statistics命令用来显示IP报文统计信息。
【命令】
display ip statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display ip statistics命令用来显示IP报文统计信息,包括接收报文、发送报文、分片、重组的统计信息。
【举例】
# 显示IP报文统计信息(普通转发模式)。
<Sysname> display ip statistics
Input: sum 7120 local 112
bad protocol 0 bad format 0
bad checksum 0 bad options 0
Output: forwarding 0 local 27
dropped 0 no route 2
compress fails 0
Reassembling: fragments 0 reassembled 0
dropped 0 timeouts 0
Fragment: fragmented 0 couldn't fragment 0
output frags 0
Forwarded Frags: sum 0
表1-2 display ip statistics命令显示信息描述表
|
字段 |
描述 |
|
|
Input: |
sum |
接收报文总数 |
|
local |
接收的目的地址是本地的报文数 |
|
|
bad protocol |
未知协议的报文数 |
|
|
bad format |
格式错误的报文数 |
|
|
bad checksum |
校验和错误的报文数 |
|
|
bad options |
选项错误的报文数 |
|
|
Output: |
forwarding |
转发的报文数 |
|
local |
本地发送报文数 |
|
|
dropped |
发送时丢弃的报文数 |
|
|
no route |
查不到路由的报文数 |
|
|
compress fails |
压缩失败的报文数 |
|
|
Reassembling: |
fragments |
收到需要重组的分片报文数 |
|
reassembled |
重组成功的报文数 |
|
|
dropped |
重组失败后丢弃的分片报文数 |
|
|
timeouts |
重组超时的次数 |
|
|
Fragment: |
fragmented |
分片成功的报文数 |
|
couldn't fragment |
分片失败的报文数 |
|
|
output frags |
分片成功并发送的分片报文数 |
|
|
small packet |
分片的报文长度太小的报文数 |
|
|
Forwarded Frags: |
sum |
直接转发的分片报文数 |
【相关命令】
· display ip interface(网络互通命令参考/IP地址)
· reset ip statistics
display rawip命令用来显示RawIP连接摘要信息。
【命令】
display rawip
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display rawip命令用来显示RawIP连接摘要信息,包括本端IP地址、对端IP地址、使用RawIP socket的协议号等信息。
【举例】
# 显示RawIP连接摘要信息。
<Sysname> display rawip
#: Kernel RawIP connection
Local Addr Foreign Addr Protocol PCB
0.0.0.0 0.0.0.0 1 0x0000000000000009
0.0.0.0 0.0.0.0 1 0x0000000000000008
0.0.0.0 0.0.0.0 1 0x0000000000000002
#0.0.0.0 0.0.0.0 1 N/A
表1-3 display rawip命令显示信息描述表
|
字段 |
描述 |
|
# |
如果某个连接前有此标识,则表示该RawIP连接是Comware内核使用的连接 |
|
Local Addr |
本端IP地址 |
|
Foreign Addr |
对端IP地址 |
|
Protocol |
使用RawIP socket的协议号 |
|
PCB |
协议控制块索引 |
display rawip verbose命令用来显示RawIP连接详细信息。
【命令】
display rawip verbose [ pcb pcb-index ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display rawip verbose命令用来显示RawIP连接详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及RawIP连接的源IP地址和目的IP地址等信息。
【举例】
# 显示RawIP连接详细信息。
<Sysname> display rawip verbose
Total RawIP socket number: 1
Connection info: src = 0.0.0.0, dst = 0.0.0.0
Creator: ping[320]
State: N/A
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/drop/state): 0 / 9216 / 1 / 0 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
Type: 3
Protocol: 1
Inpcb flags: N/A
Inpcb extflag: INP_EXTRCVICMPERR INP_EXTFILTER
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Sending VRF: 0x0
Receiving VRF: 0x0
表1-4 display rawip verbose命令显示信息描述表
|
字段 |
描述 |
|
Total RawIP socket number |
RawIP socket总数 |
|
Connection info |
连接信息,分别为源IP地址、目的IP地址 |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,包括: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ISDISCONNECTED:连接已经断开 · ISPCBSYNCING:正在同步internet协议控制块 · ISSMOOTHING:正在平滑 · N/A:不处于上述状态 |
|
Options |
socket的选项,包括: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR:允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表(用于目的地址是直连网络的情况) · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:记录入报文时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_FILTER:设置报文过滤条件,对接收报文有效 · SO_TIMESTAMPNS:和时间戳选项功能类似,时间可以精确到纳秒 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer (cc/hiwat/lowat/drop/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间、丢包数和状态,包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Sending buffer (cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,包括: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
Protocol |
使用socket的协议号 |
|
Inpcb flags |
Internet协议控制块中的标记,包括: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · INP_USEICMPSRC:使用配置的ICMP地址作为源地址 · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,包括: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · INP_EXTRCVICMPERR:接收ICMP差错报文 · INP_EXTFILTER:接收报文时对报文内容进行过滤 · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,包括: · INP_IPV4:运用与IPv4通信 · N/A:不是上述标记 |
|
TTL(minimum TTL) |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Sending VRF |
(暂不支持)发送实例 |
|
Receiving VRF |
(暂不支持)接收实例 |
display tcp命令用来显示TCP连接摘要信息。
【命令】
display tcp
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display tcp命令用来显示TCP连接摘要信息,包括本端IP地址及端口号、对端IP地址及端口号、TCP连接的状态等信息。
【举例】
# 显示TCP连接摘要信息。
<Sysname> display tcp
*: TCP connection with authentication
#: Kernel TCP connection
Local Addr:port Foreign Addr:port State PCB
*0.0.0.0:21 0.0.0.0:0 LISTEN 0x000000000000c387
#1.0.0.1:179 1.0.0.2:29376 ESTABLISHED N/A
192.168.20.200:23 192.168.20.14:1284 ESTABLISHED 0x0000000000000009
192.168.20.200:23 192.168.20.14:1283 ESTABLISHED 0x0000000000000002
表1-5 display tcp命令显示信息描述表
|
字段 |
描述 |
|
* |
如果某个连接前有此标识,则表示该TCP连接是采用加密算法认证的连接 |
|
# |
如果某个连接前有此标识,则表示该TCP连接是Comware内核使用的连接 |
|
Local Addr:port |
本端IP地址及端口号 |
|
Foreign Addr:port |
对端IP地址及端口号 |
|
State |
TCP连接状态,包括: · CLOSED:服务器收到客户端的关闭连接请求回应后所处的状态 · LISTEN:服务器在等待连接请求时所处的状态 · SYN_SENT:客户端发出连接请求等待服务器回应时所处的状态 · SYN_RCVD:服务器收到客户端连接请求时所处的状态 · ESTABLISHED:服务器和客户端双方建立连接并能进行双向数据传递的状态 · CLOSE_WAIT:服务器收到客户端关闭连接请求时所处的状态 · FIN_WAIT_1:客户端发出关闭连接请求等待服务器回应时所处的状态 · CLOSING:连接双方在向对端发出关闭连接请求后等待对端回应过程中收到对端发出的关闭连接请求时所处的状态 · LAST_ACK:服务器向客户端发出关闭连接请求等待回应时所处的状态 · FIN_WAIT_2:客户端收到服务器关闭连接回应后所处的状态 · TIME_WAIT:客户端收到服务器的关闭连接请求后所处的状态 |
|
PCB |
协议控制块索引 |
display tcp verbose命令用来显示TCP连接详细信息。
【命令】
display tcp verbose [ pcb pcb-index ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display tcp verbose命令用来显示TCP连接的详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及TCP连接的源IP地址及端口号、目的IP地址及端口号、状态等信息。
【举例】
# 显示TCP连接详细信息。
<Sysname> display tcp verbose
TCP inpcb number: 1(tcpcb number: 1)
Connection info: src = 192.168.20.200:179, dst = 192.168.20.14:4181
Creator: bgpd[199]
State: ISCONNECTED
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/drop/state): 0 / 65700 / 1 / 0 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 65700 / 512 / N/A
Type: 1
Protocol: 6
NAT kernel port: 0
Inpcb flags: N/A
Inpcb extflag: N/A
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Connection state: ESTABLISHED
TCP options: TF_REQ_SCALE TF_REQ_TSTMP TF_SACK_PERMIT TF_NSR
NSR state: READY(M)
Sending VRF: 0x0
Receiving VRF: 0x0
表1-6 display tcp verbose命令显示信息描述表
|
字段 |
描述 |
|
TCP inpcb number |
TCP类型internet协议控制块个数 |
|
tcpcb number |
TCP控制块个数(处于TIME_WAIT状态的TCP则没有此计数) |
|
Connection info |
连接信息,分别为源IP地址及端口号、目的IP地址及端口号 |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,包括: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ISDISCONNECTED:连接已经断开 · ISPCBSYNCING:正在同步internet协议控制块 · ISSMOOTHING:正在平滑 · N/A:不处于上述状态 |
|
Options |
socket的选项,包括: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR: 允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表,由于目的地址是直连网络的情况 · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:入报文记录时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_TIMESTAMPNS:和时间戳选项功能类似,时间可以精确到纳秒 · SO_KEEPALIVETIME:设置空闲探测时间 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer(cc/hiwat/lowat/drop/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间、丢包数和状态,状态的取值包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Sending buffer(cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,状态的取值包括: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,类型的取值包括: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
Protocol |
使用socket的协议号 |
|
NAT kernel port |
NAT模块的TCP内核态端口,如果为0,表示未开启NAT功能 |
|
Inpcb flags |
Internet协议控制块中的标记,标记的取值包括: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,标记的取值包括: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · INP_EXTDONTDROP:接收报文时设置报文不要丢弃 · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,标记的取值包括: · INP_IPV4:运用与IPv4通信 · N/A:不是上述标记 |
|
TTL |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Connection state |
TCP连接状态,包括: · CLOSED:服务器收到客户端的关闭连接请求回应后所处的状态 · LISTEN:服务器在等待连接请求时所处的状态 · SYN_SENT:客户端发出连接请求等待服务器回应时所处的状态 · SYN_RCVD:服务器收到客户端连接请求时所处的状态 · ESTABLISHED:服务器和客户端双方建立连接并能进行双向数据传递的状态 · CLOSE_WAIT:服务器收到客户端关闭连接请求时所处的状态 · FIN_WAIT_1:客户端发出关闭连接请求等待服务器回应时所处的状态 · CLOSING:连接双方在向对端发出关闭连接请求后等待对端回应过程中收到对端发出的关闭连接请求时所处的状态 · LAST_ACK:服务器向客户端发出关闭连接请求等待回应时所处的状态 · FIN_WAIT_2:客户端收到服务器关闭连接回应后所处的状态 · TIME_WAIT:客户端收到服务器的关闭连接请求后所处的状态 |
|
TCP options |
TCP的选项类型,包括: · TF_SIGNATURE:使能密钥 · TF_NODELAY:关闭延时ACK · TF_BINDFOREIGNADDR:绑定对端IP地址 · TF_NSR:使能TCP NSR · TF_REQ_SCALE:使能窗口缩放因子选项 · TF_REQ_TSTMP:使能时间戳选项 · TF_SACK_PERMIT:使能选择性ACK选项 · TF_ENHANCED_AUTH:使能增强认证选项 · TF_PMTU:使能Path MTU探测 |
|
NSR state |
TCP连接NSR状态,可能的状态如下: · CLOSED:关闭(初始)状态 · CLOSING:连接待关闭状态 · ENABLED:使能备份功能状态 · OPEN:连接开始同步状态 · PENDING: 连接判定状态 · READY:连接备份就绪状态 · SMOOTH:连接平滑状态 角色:M表示主连接、S表示备份连接 |
|
Sending VRF |
(暂不支持)发送实例 |
|
Receiving VRF |
(暂不支持)接收实例 |
display udp命令用来显示UDP连接摘要信息。
【命令】
display udp
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display udp命令用来显示UDP连接摘要信息,包括本端IP地址及端口号、对端IP地址及端口号等信息。
【举例】
# 显示UDP连接摘要信息。
<Sysname> display udp
#: Kernel UDP connection
Local Addr:port Foreign Addr:port PCB
0.0.0.0:69 0.0.0.0:0 0x0000000000000003
#1.0.0.1:179 0.0.0.0:0 N/A
192.168.20.200:1024 192.168.20.14:69 0x0000000000000002
表1-7 display udp命令显示信息描述表
|
字段 |
描述 |
|
# |
如果某个连接前有此标识,则表示该UDP连接是Comware内核使用的连接 |
|
Local Addr:port |
本端IP地址及端口号 |
|
Foreign Addr:port |
对端IP地址及端口号 |
|
PCB |
协议控制块索引 |
display udp socket-loadbalance该命令用来显示UDP连接负载分担的概要信息。
【命令】
display udp socket-loadbalance
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
【使用指导】
业务模块在需要提高UDP连接处理报文的性能时,会在一个业务端口上创建多个UDP连接(即socket),这些UDP连接之间按照一定的算法进行负载均衡,使得相同IP地址的相同端口上接收到的报文可以分担到多个UDP连接上处理。
【举例】
# 显示UDP连接负载分担的概要信息。
<Sysname> display udp socket-loadbalance
LocalAddr:port VrfIndex LBCount
192.168.5.1:4568 0 10
10::1:457 0 10
表1-8 display udp socket-loadbalance命令显示信息描述表
|
字段 |
描述 |
|
LocalAddr:port |
UDP连接的本端IP地址和端口号 |
|
VrfIndex |
VPN实例索引 |
|
LBCount |
负载分担的UDP连接数 |
|
Slot |
单板槽位号 |
【相关命令】
· display udp socket-loadbalance verbose
display udp socket-loadbalance verbose该命令用来显示UDP连接负载分担的详细信息。
【命令】
display udp socket-loadbalance verbose [ port port-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
port port-number:指定端口。port-number表示端口号,取值范围为1025~65535。如果不指定本参数,则表示所有创建UDP连接负载分担的端口。
【使用指导】
业务模块在需要提高UDP连接处理报文的性能时,会在一个业务端口上创建多个UDP连接(即socket),这些UDP连接之间按照一定的算法进行负载均衡,使得相同IP地址的相同端口上接收到的报文可以分担到多个UDP连接上处理。
【举例】
# 显示所有UDP连接负载分担的详细信息。
<Sysname> display udp socket-loadbalance verbose
LocalAddr:port: 192.168.5.1:4568
VrfIndex: 0
LBCount: 10
LBConnectionlist:
NO Cc Drops Failures RvdPkts PCB
1 4294967296 4294967296 4294967296 4294967296 000000000000000C
2 9600 429 429 111111111 000000000000000D
3 960 4 4 11111111 000000000000000E
4 42 42 42 1111 000000000000000F
5 4 4 4 111 0000000000000010
6 4294 42949 42949 1111111 0000000000000011
7 429496 429496 429496 1111111 0000000000000012
8 429 42 42 1111 0000000000000013
9 429 429 429 11911 0000000000000014
10 42949 429496 429496 111111111 0000000000000015
# 显示指定端口的UDP连接负载分担详细信息。
<Sysname> display udp socket-loadbalance verbose port 4568
Local Addr:port: 192.168.5.1:4568
VrfIndex: 0
Index: 00000001
LBCount: 10
LBConnectionlist:
NO Cc Drops Failures RvdPkts PCB
1 4294967296 4294967296 4294967296 4294967296 000000000000000C
2 9600 429 429 111111111 000000000000000D
3 960 4 4 11111111 000000000000000E
4 42 42 42 1111 000000000000000F
5 4 4 4 111 0000000000000010
6 4294 42949 42949 1111111 0000000000000011
7 429496 429496 429496 1111111 0000000000000012
8 429 42 42 1111 0000000000000013
9 429 429 429 11911 0000000000000014
10 42949 429496 429496 111111111 0000000000000015
图1-1 display udp socket-loadbalance verbose命令显示信息描述表
|
字段 |
描述 |
|
Local Addr:port |
UDP连接的本端IP地址和端口号 |
|
VrfIndex |
VPN实例索引 |
|
Location |
Socket所在位置,在集中式设备执行此命令时不显示此字段 |
|
LBCount |
负载分担的UDP连接数 |
|
LBConnectionlist |
UDP连接列表 |
|
No |
表项编号 |
|
Cc |
已使用的接收缓存区空间的字节个数 |
|
Drops |
因接收缓冲区溢出丢弃的报文数 |
|
Failures |
下发到内核失败的报文数 |
|
RvdPkts |
接收报文数 |
|
PCB |
协议控制块索引 |
【相关命令】
· display udp verbose
display udp statistics命令用来显示UDP流量统计信息。
【命令】
display udp statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display udp statistics命令用来显示UDP流量统计信息,包括接收和发送的各类UDP报文信息。
【举例】
# 显示UDP流量统计信息。
<Sysname> display udp statistics
Received packets:
Total: 240
checksum error: 0, no checksum: 0
shorter than header: 0, data length larger than packet: 0
no socket on port(unicast): 0
no socket on port(broadcast/multicast): 240
not delivered, input socket full: 0 ;kenerl buff full: 0
Sent packets:
Total: 0
表1-9 display udp statistics命令显示信息描述表
|
字段 |
描述 |
|
Received packets: |
收到报文的信息,包括: · Total:接收的UDP报文总数 · checksum error:校验和出错的报文数 · no checksum:没有校验和的报文数 · shorter than header:报文长度比报文头部短的报文数 · data length larger than packet:报文数据长度超过报文长度的报文数 · no socket on port(unicast):端口上无socket的单播报文数 · no socket on port(broadcast/multicast):端口上无socket的广播和组播报文数 · not delivered, input socket full: xxx ;kenerl buff full: yyy:因为socket缓冲区已满而未向上层传送的报文数为xxx,因为内核发送缓冲区满而丢弃的报文数为yyy |
|
Sent packets: |
发送报文的信息,包括Total,表示发送的UDP报文总数 |
【相关命令】
· reset udp statistics
display udp verbose命令用来显示UDP连接详细信息。
【命令】
display udp verbose [ pcb pcb-index ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
display udp verbose命令用来显示UDP连接的详细信息,包括socket的创建者、状态、选项、类型、使用的协议号、以及UDP连接的源IP地址及端口号、目的IP地址及端口号等信息。
【举例】
# 显示UDP连接详细信息。
<Sysname> display udp verbose
Total UDP socket number: 1
Connection info: src = 0.0.0.0:69, dst = 0.0.0.0:0
Creator: sock_test_mips[250]
State: N/A
Options: N/A
Error: 0
Receiving buffer(cc/hiwat/lowat/drop/full/state): 0 / 41600 / 1 / 0 / 0 / N/A
Sending buffer(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
Type: 2
Protocol: 17
Inpcb flags: N/A
Inpcb extflag: N/A
Inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
Sending VRF: 0
Receiving VRF: 0xffff
表1-10 display udp verbose命令显示信息描述表
|
字段 |
描述 |
|
Total UDP socket number |
UDP socket总数 |
|
Connection info |
连接信息,分别为源IP地址及端口号、目的IP地址及端口号 |
|
Creator |
创建socket的任务名称,括号中为创建者的进程号 |
|
State |
socket的状态,可能的状态如下: · NOFDREF:用户已经关闭 · ISCONNECTED:连接已经建立 · ISCONNECTING:正在建立连接 · ISDISCONNECTING:正在断开连接 · ISDISCONNECTED:连接已经断开 · ISPCBSYNCING:正在同步internet协议控制块 · ISSMOOTHING:正在平滑 · N/A:不处于上述状态 |
|
Options |
socket的选项,有以下几种: · SO_DEBUG:记录套接字的调试信息 · SO_ACCEPTCONN:server端监听连接请求 · SO_REUSEADDR: 允许本地地址重复使用 · SO_KEEPALIVE:协议需要查询空闲的连接 · SO_DONTROUTE:设置不查路由表,由于目的地址是直连网络的情况 · SO_BROADCAST:套接字支持广播报文 · SO_LINGER:套接字关闭但仍发送剩余数据 · SO_OOBINLINE:带外数据采用内联方式存储 · SO_REUSEPORT:允许本地端口重复使用 · SO_TIMESTAMP:入报文记录时间戳,只对非连接的协议有效,时间精确到毫秒 · SO_TIMESTAMPNS:和时戳选项功能类似,时间可以精确到纳秒 · N/A:未设置选项 |
|
Error |
影响socket连接的错误码 |
|
Receiving buffer(cc/hiwat/lowat/drop/full/state) |
接收缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间、丢包数、内核发送缓冲区满的丢包数和状态,状态的取值有: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Sending buffer(cc/hiwat/lowat/state) |
发送缓冲区信息,括号中分别为:当前使用空间、最大空间、最小空间和状态,状态的取值有: · CANTSENDMORE:不能发送数据到对端 · CANTRCVMORE:不能从对端接收数据 · N/A:不处于上述状态 |
|
Type |
使用的socket类型,类型的取值有: · 1:SOCK_STREAM,流模式,提供可靠的字节流。TCP协议使用此类型 · 2:SOCK_DGRAM,数据报模式的通信。UDP协议使用此类型 · 3:SOCK_RAW,RAW模式的通信方式 · N/A:不是上述类型 |
|
Protocol |
使用socket的协议号 |
|
Inpcb flags |
Internet协议控制块中的标记,标记的取值有: · INP_RECVOPTS:接收传入的IP选项 · INP_RECVRETOPTS:接收回应的IP选项 · INP_RECVDSTADDR:接收目的IP地址 · INP_HDRINCL:用户提供整个IP头 · INP_REUSEADDR:重复使用地址 · INP_REUSEPORT:重复使用端口号 · INP_ANONPORT:用户未指定端口 · INP_RECVIF:接收报文时记录报文的入接口 · INP_RECVTTL:携带报文的TTL,仅UDP和RawIP支持 · INP_DONTFRAG:设置不可分片标志 · INP_ROUTER_ALERT:接收携带路由器告警选项的报文,仅RawIP支持 · INP_PROTOCOL_PACKET:标识报文为协议报文 · INP_RCVVLANID:接收报文的VLAN ID,仅UDP和RawIP支持 · INP_RCVMACADDR:接收报文的MAC · INP_RECVTOS:携带报文的TOS,仅UDP和RawIP支持 · N/A:不是上述标记 |
|
Inpcb extflag |
Internet协议控制块中的扩展标记,标记的取值有: · INP_EXTRCVPVCIDX:接收报文时记录报文的PVC索引 · INP_RCVPWID:接收报文时记录报文的PW ID · N/A:不是上述标记 |
|
Inpcb vflag |
Internet协议控制块中的IP版本标记,标记的取值有: · INP_IPV4:运用与IPv4通信 · N/A:不是上述标记 |
|
TTL |
Internet协议控制块中的生存周期,括号中为最小生存周期 |
|
Sending VRF |
(暂不支持)发送实例 |
|
Receiving VRF |
(暂不支持)接收实例 |
ip forward-broadcast命令用来配置允许接口转发直连网段的定向广播报文。
undo ip forward-broadcast命令用来禁止接口转发直连网段的定向广播报文。
【命令】
ip forward-broadcast
undo ip forward-broadcast
【缺省情况】
设备禁止转发直连网段的定向广播报文。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。
在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文。
【举例】
# 配置允许VLAN接口2转发面向直连网段的定向广播报文。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] ip forward-broadcast
ip icmp error-interval用来配置发送ICMP差错报文对应的令牌刷新周期和令牌桶容量。
undo ip icmp error-interval用来恢复缺省情况
【命令】
ip icmp error-interval interval [ bucketsize ]
undo ip icmp error-interval
【缺省情况】
令牌刷新周期为100毫秒,令牌桶容量为10。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:令牌刷新周期,取值范围0~2147483647,单位为毫秒。取值为0时,表示不限制ICMP差错报文的发送。
bucketsize:令牌桶中容纳的令牌数,取值范围1~200。
【使用指导】
如果网络中短时间内发送的ICMP差错报文过多,将可能导致网络拥塞。为了避免这种情况,用户可以控制设备在指定时间内发送ICMP差错报文的最大数目,目前采用令牌桶算法来实现。
用户可以设置令牌桶的容量,即令牌桶中可以同时容纳的令牌数;同时可以设置令牌桶的刷新周期,即每隔多长时间发放一个令牌到令牌桶中,直到令牌桶中的令牌数达到配置的容量。一个令牌表示允许发送一个ICMP差错报文,每当发送一个ICMP差错报文,则令牌桶中减少一个令牌。如果连续发送的ICMP差错报文超过了令牌桶的容量,则后续的ICMP差错报文将不能被发送出去,直到按照所设置的刷新频率将新的令牌放入令牌桶中。
【举例】
# 配置设备发送ICMP差错报文对应的令牌刷新周期为200毫秒,令牌桶容量为40。
<Sysname> system-view
[Sysname] ip icmp error-interval 200 40
ip icmp source命令用来指定ICMP报文源地址。
undo ip icmp source命令用来删除指定的ICMP报文源地址。
【命令】
ip icmp source ip-address
undo ip icmp source
【缺省情况】
未指定ICMP报文源地址。
发送ICMP差错报文(TTL超时、端口不可达和参数错误等)时,设备使用触发ICMP差错报文的原始报文的入接口IP地址作为ICMP报文源地址。
发送ICMP echo request报文时,设备使用出接口IP地址作为ICMP报文源地址。
发送ICMP echo reply报文时,设备使用ICMP echo request报文的目的地址作为ICMP报文源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示设备发送ICMP报文时指定的源地址。
【使用指导】
在网络中IP地址配置较多的情况下,收到ICMP报文时,用户很难根据报文的源IP地址判断报文来自哪台设备。为了简化这一判断过程,可以配置ICMP报文指定源地址功能。用户配置特定地址(如环回口地址)为ICMP报文的源地址,可以简化判断。
设备发送ICMP差错报文(TTL超时、端口不可达和参数错误等)和ping echo request报文时,都可以通过上述命令指定报文的源地址。
【举例】
# 配置设备发送ICMP报文时指定的源地址为1.1.1.1。
<Sysname> system-view
[Sysname] ip icmp source 1.1.1.1
ip mtu命令用来配置接口上发送IPv4报文的MTU。
undo ip mtu命令用来恢复缺省情况。
【命令】
ip mtu mtu-size
undo ip mtu
【缺省情况】
未配置接口上发送IPv4报文的MTU。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
mtu-size:MTU的大小,单位为字节,取值范围为128~1748。
【使用指导】
当设备收到一个报文后,如果发现报文长度比转发接口的发送IPv4报文的MTU值大,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口发送IPv4报文的MTU值,以减少分片的发生。
如果当前接口同时支持mtu和ip mtu命令,则设备会以ip mtu命令配置的接口发送IPv4报文的MTU值对报文进行分片,不会再按照mtu命令配置的MTU值对报文进行分片。
【举例】
# 配置VLAN接口100上发送IPv4报文的MTU值为1280字节。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip mtu 1280
ip redirects enable命令用来开启设备的ICMP重定向报文的发送功能。
undo ip redirects enable命令用来关闭设备的ICMP重定向报文的发送功能。
【命令】
ip redirects enable
undo ip redirects enable
【缺省情况】
ICMP重定向报文发送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送。
同时满足下列条件时,设备会发送ICMP重定向报文:
· 接收和转发数据报文的接口是同一接口;
· 报文的源IP地址和报文接收接口的IP地址在同一个网段;
· 数据报文中没有源路由选项。
【举例】
# 开启设备的ICMP重定向报文发送功能。
<Sysname> system-view
[Sysname] ip redirects enable
ip ttl-expires enable命令用来开启设备的ICMP超时报文的发送功能。
undo ip ttl-expires enable命令用来关闭设备的ICMP超时报文的发送功能。
【命令】
ip ttl-expires enable
undo ip ttl-expires enable
【缺省情况】
ICMP超时报文发送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
· 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
· 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
需要注意的是,关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
【举例】
# 开启设备的ICMP超时报文发送功能。
<Sysname> system-view
[Sysname] ip ttl-expires enable
ip unreachables enable命令用来开启设备的ICMP目的不可达报文的发送功能。
undo ip unreachables enable命令用来关闭设备的ICMP目的不可达报文的发送功能。
【命令】
ip unreachables enable
undo ip unreachables enable
【缺省情况】
ICMP目的不可达报文发送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
设备在满足下列条件时会发送目的不可达报文:
· 设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
· 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
· 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
· 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
· 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”ICMP差错报文。
【举例】
# 开启设备的ICMP目的不可达报文发送功能。
<Sysname> system-view
[Sysname] ip unreachables enable
ip virtual-reassembly aging命令用来配置IP虚拟分片重组功能缓存报文的老化时间。
undo ip virtual-reassembly aging命令用来恢复缺省情况。
【命令】
ip virtual-reassembly aging aging-milliseconds
undo ip virtual-reassembly aging
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3500X系列 |
WX3510X WX3520X WX3540X |
EWP-WX3510X EWP-WX3520X EWP-WX3540X |
支持 |
|
WCG380系列 |
WCG382 |
EWP-WCG382 |
不支持 |
【缺省情况】
缓存报文的老化时间为3000毫秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-milliseconds:虚拟分片重组缓存报文的老化时间,取值范围为100~5000,单位为毫秒。
【使用指导】
每个需要进行虚拟分片重组的分片报文均有一个老化时间,该老化时间到达后,报文将直接被丢弃,而不会进入后续的报文重组处理过程。
当某个业务在缓存中积压大量分片报文时,缓存队列中报文的ID字段可能会重复。先进入缓存队列的报文,如果某个分片丢包,则会将后进入缓存队列的、ID相同的报文的分片补充进自己的分片队列,导致分片重组错误。在某个业务缓存的分片报文过多,同时存在丢包的场景下,建议通过本命令减小缓存报文的老化时间,减少缓存报文的积压,继而降低由丢包和ID重复引起的报文分片重组错误的概率。设备开启虚拟分片重组功能后,缓存报文的老化时间配置才能生效。
【举例】
# 配置IP虚拟分片重组功能中缓存报文的老化时间为300毫秒。
<Sysname> system-view
[Sysname] ip virtual-reassembly aging 300
【相关命令】
· ip virtual-reassembly enable
ip virtual-reassembly enable命令用来开启IP虚拟分片重组功能。
undo ip virtual-reassembly enable命令用来关闭IP虚拟分片重组功能。
【命令】
ip virtual-reassembly enable
undo ip virtual-reassembly enable
【缺省情况】
IP虚拟分片重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了避免由于后片先到(报文分片后)的情况而导致设备重组分片报文复杂度过高的问题,设备需要对收到的分片报文先进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续的报文重组功能处理的都是顺序正确的分片报文。
同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测。如果检测到分片攻击,则设备会丢弃收到的分片报文,从而提高了设备的安全性。
· Tiny Fragment攻击:如果设备收到分片报文的首片长度非常小,并且传输层协议(如:TCP、UDP)头字段放在第二个分片中,则认为是受到了Tiny Fragment攻击;
· Overlapping Fragment攻击:如果设备收到了完全相同的分片报文,或者收到的分片报文与其前一分片或后一分片出现重叠时,则认为是受到了Overlapping Fragment攻击;
· Fragment-flood攻击:如果设备收到的分片报文个数超过了指定的队列允许的最大分片报文个数或者设备上创建的分片队列个数超过了指定的最大分片队列个数,则认为是受到了Fragment-flood攻击。
IP虚拟分片重组功能的开启或关闭支持业务调用和命令行控制两种方式,命令行控制方式主要适用于不存在可调用IP虚拟分片重组功能的业务但需要进行报文重组的组网环境中。这两种方式的结果不会互相影响,即只要有任意一个业务调用本功能或执行ip virtual-reassembly enable命令开启本功能后,功能就处于开启状态。
【举例】
# 开启IP虚拟分片重组功能。
<Sysname> system-view
[Sysname] ip virtual-reassembly enable
reset ip statistics命令用来清除IP报文统计信息。
【命令】
reset ip statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
在某些情况下,需要统计一定时间内接口的IP报文统计信息,这时必须在统计开始前清除原有的统计信息,重新进行统计。
【举例】
# 清除IP报文统计信息。
<Sysname> reset ip statistics
【相关命令】
· display ip interface(网络互通命令参考/IP地址)
· display ip statistics
reset udp statistics命令用来清除UDP流量统计信息。
【命令】
reset udp statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除UDP流量统计信息。
<Sysname> reset udp statistics
【相关命令】
· display udp statistics
tcp mss命令用来配置接口的TCP最大报文段长度。
undo tcp mss命令用来恢复缺省情况。
【命令】
tcp mss value
undo tcp mss
【缺省情况】
未配置接口的TCP最大报文段长度。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
value:TCP最大报文段长度,取值范围为128~(接口的最大MTU值-40),单位为字节。
【使用指导】
TCP最大报文段长度(Max Segment Size,MSS)表示TCP连接的对端发往本端的最大TCP报文段的长度,目前作为TCP连接建立时的一个选项来协商:当一个TCP连接建立时,连接的双方要将MSS作为TCP报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值。当对端发送的TCP报文的长度小于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端。
该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效。
该配置仅对IP报文生效。
【举例】
# 配置VLAN接口100上TCP最大报文段长度为300字节。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] tcp mss 300
tcp path-mtu-discovery命令用来开启TCP连接的Path MTU探测功能。
undo tcp path-mtu-discovery命令用来关闭TCP连接的Path MTU探测功能。
【命令】
tcp path-mtu-discovery [ aging age-time | no-aging ]
undo tcp path-mtu-discovery
【缺省情况】
TCP连接的Path MTU探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging age-time:Path MTU的老化时间,age-time的取值范围为10~30,单位为分钟,缺省值为10。
no-aging:Path MTU不老化。
【使用指导】
开启TCP连接的Path MTU探测功能后,新建的TCP连接均会携带Path MTU探测属性,可以通过探测机制确定Path MTU,按照数据路径上的最小MTU组织TCP分段长度,最大限度利用网络资源,避免IP分片的发生。
关闭TCP连接的Path MTU探测功能后,系统将停止所有正在运行的Path MTU定时器,此后创建的TCP连接均无Path MTU探测功能,但是对于此前已经建立的TCP连接,其Path MTU探测功能不会被关闭。
【举例】
# 开启TCP连接的Path MTU探测功能,Path MTU的老化时间为20分钟。
<Sysname> system-view
[Sysname] tcp path-mtu-discovery aging 20
tcp syn-cookie enable命令用来开启SYN Cookie功能,防止设备受到SYN Flood攻击。
undo tcp syn-cookie enble命令用来关闭SYN Cookie功能。
【命令】
tcp syn-cookie enable
undo tcp syn-cookie enable
【缺省情况】
SYN Cookie功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
一般情况下,TCP连接的建立需要经过三次握手,一些恶意的攻击者利用TCP连接的建立过程进行SYN Flood攻击:攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而,达到耗费服务器资源,使服务器无法处理正常业务的目的。
SYN Cookie功能用来防止SYN Flood攻击。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接。通过这种方式,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击。
【举例】
# 开启SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
tcp timer fin-timeout命令用来配置TCP的finwait定时器超时时间。
undo tcp timer fin-timeout命令用来恢复缺省情况。
【命令】
tcp timer fin-timeout time-value
undo tcp timer fin-timeout
【缺省情况】
TCP finwait定时器的超时时间为675秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:TCP finwait定时器的超时时间,取值范围为76~3600,单位为秒。
【使用指导】
当TCP的连接状态为FIN_WAIT_2时,启动finwait定时器,如果在定时器超时前未收到报文,则TCP连接终止;如果收到FIN报文,则TCP连接状态变为TIME_WAIT状态;如果收到非FIN报文,则从收到的最后一个非FIN报文开始重新计时,在超时后中止连接。
【举例】
# 配置TCP finwait定时器的超时时间为800秒。
<Sysname> system-view
[Sysname] tcp timer fin-timeout 800
tcp timer syn-timeout命令用来配置TCP的synwait定时器超时时间。
undo tcp timer syn-timeout命令用来恢复缺省情况。
【命令】
tcp timer syn-timeout time-value
undo tcp timer syn-timeout
【缺省情况】
TCP synwait定时器的超时时间为75秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:TCP synwait定时器的超时时间,取值范围为2~600,单位为秒。
【使用指导】
当发送SYN报文时,TCP启动synwait定时器和重传SYN报文定时器,当synwait定时器超时且SYN报文重传未达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功;当synwait定时器未超时但是SYN报文重传达到最大次数时,如果设备未收到回应报文,则TCP连接建立不成功。
【举例】
# 配置TCP synwait定时器的超时时间为80秒。
<Sysname> system-view
[Sysname] tcp timer syn-timeout 80
tcp window命令用来设置TCP连接的收发缓冲区大小。
undo tcp window命令用来恢复缺省情况。
【命令】
tcp window window-size
undo tcp window
【缺省情况】
TCP连接的收发缓冲区大小为63KB。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
window-size:TCP连接的收发缓冲区大小,取值范围为5~64,单位为KB(千字节)。
【举例】
# 设置TCP连接的收发缓冲区大小为6KB。
<Sysname> system-view
[Sysname] tcp window 6
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
