08-IP性能配置

IP性能目录
目录
第1章 IP性能配置..................................................................................................................1-1
1.1 IP性能配置.........................................................................................................................1-1
1.1.1 配置TCP属性...........................................................................................................1-1
1.1.2 配置交换机是否发送“time exceeded”的ICMP报错报文......................................1-2
1.2 IP性能显示和调试..............................................................................................................1-2
1.3 IP性能配置排错..................................................................................................................1-4
第1章 IP性能配置
下表列出了本章所包含的内容。

如果您需要……请阅读……
了解IP性能配置的基本原理和概念以及配置过程IP性能配置
显示配置IP性能后的运行情况、清除I除IP、TCP和UDP的流量统
IP性能显示和调试计信息等
VRRP的常见故障的诊断以及排除方法IP性能配置排错
1.1 IP性能配置
IP性能配置的基本配置任务如下：
z配置TCP属性
z配置交换机是否发送“time exceeded”的ICMP报错报文
1.1.1 配置TCP属性
IP性能的主要配置为配置TCP属性，可以配置的TCP属性包括：
z synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait 超时前未收到回应报文，则TCP连接将被终止。

synwait定时器的超时时间取
值范围为2～600秒，缺省值为75秒。

z finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动finwait定时器，如果finwait定时器超时前仍未收到FIN报文，则TCP连接被
终止。

finwait定时器的超时时间取值范围为76～3600秒，缺省值为675秒。

z面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为8K字节。

请在系统视图下进行下列配置。

表1-1配置TCP属性
操作命令
配置TCP的synwait定时器超时时间tcp timer syn-timeout time-value
恢复TCP的synwait定时器超时时间为缺省值undo tcp timer syn-timeout
配置TCP的FIN_WAIT_2定时器超时时间tcp timer fin-timeout time-value
操作命令
恢复TCP的FIN_WAIT_2定时器超时时间为缺省值undo tcp timer fin-timeout
配置TCP的Socket接收和发送缓冲区的大小tcp window window-size
恢复TCP的Socket接收和发送缓冲区的大小为缺省值undo tcp window
1.1.2 配置交换机是否发送“time exceeded”的ICMP报错报文
当交换机收到一个TTL为1的IP报文后，交换机就会回复给发送端“time exceeded”
的ICMP报错报文。

但是，如果攻击者连续发送给交换机TTL等于1的IP报文，交
换机就会不停地向其发送“time exceeded”的ICMP报错报文，从而造成交换机
CPU资源的耗损。

表1-2配置交换机是否发送“time exceeded”的ICMP报错报文
操作命令说明
进入系统视图system-view -
配置当交换机收到TTL等于1的IP报文时，不向报文发送端发送“time exceeded”的ICMP报错报文ip icmp-time-exceed
enable
缺省情况下，交换机向发
送端发送“time
exceeded”的ICMP报错
报文
配置当交换机收到TTL等于1的IP报文时，向交换机向发送端回复“time exceeded”的ICMP报错报文undo ip
icmp-time-exceed
enable
-
1.2 IP性能显示和调试
在完成上述配置后，在任意视图下执行display命令可以显示配置后IP性能的运行
情况，通过查看显示信息验证配置的效果。

表1-3IP性能配置显示
操作命令
查看全部TCP连接状态display tcp status
查看TCP连接统计数据display tcp statistics
查看UDP流量统计信息display udp statistics
查看IP流量统计信息display ip statistics
查看ICMP流量统计信息display icmp statistics
查看系统当前套接字信息display ip socket [ socktype sock-type ] [task-id socket-id]
操作命令查看FIB转发信息表项display fib [ all ]
查看与指定目的IP地址匹配的FIB转发信息表项display fib [ all ] [ ip-address [ mask | mask-length ] [ longer ] ]
看与指定目的IP地址范围匹配的转发信息表表项display fib [ all ] ip-address1 { mask1 | mask-length1 } ip-address2 { mask2 | mask-length2 }
查看通过指定标准访问控制列
表过滤的FIB转发信息表项
display fib [ all ] acl { number | name }
根据正则表达式输出缓冲区中
与指定字符串相关的FIB表项
display fib [ all ] | { { begin | include | exclude } text }
查看通过指定前缀列表过滤的
FIB转发信息表项
display fib [ all ] ip-prefix listname
查看FIB表项的总数目display fib [ all ] statistics
在用户视图下，用户可以执行reset命令清除IP、TCP和UDP的流量统计信息；执行debugging命令对IP性能进行调试。

表1-4IP性能配置调试
操作命令
清除IP流量统计信息reset ip statistics
清除TCP流量统计信息reset tcp statistics
清除UDP流量统计信息reset udp statistics
打开IP调试信息开关debugging ip packet [ acl acl-number ]
关闭IP调试信息开关undo debugging ip packet
打开ICMP调试信息开关debugging ip icmp
关闭ICMP调试信息开关undo debugging ip icmp
打开UDP连接的调试信息debugging udp packet [task-id socket-id ]
关闭UDP连接的调试信息undo debugging udp packet [ task-id socket-id ]
打开TCP调试信息开关debugging tcp packet [ task-id socket-id ]
关闭TCP连接的调试开关undo debugging tcp packet [ task-id socket-id ]
打开TCP事件的调试开关debugging tcp event [ task-id socket-id ]
关闭TCP事件的调试开关undo debugging tcp event [task-id socket-id]
打开Md5验证数据开关debugging tcp md5
关闭Md5验证数据开关undo debugging md5
1.3 IP性能配置排错
故障现象：IP数据报文转发正常，但TCP和UDP协议不能正常工作。

故障排除：可以打开相应的调试开关，查看调试信息。

z通过display命令先查看IP性能的运行情况，并确认用户使用的电脑运行正常。

z使用命令terminal debugging将调试信息输出到控制台上。

z用debugging udp packet命令打开UDP调试开关，跟踪UDP的数据包。

以下为UDP数据报的格式：
UDP output packet:
Source IP address:202.38.160.1
Source port:1024
Destination IP Address 202.38.160.1
Destination port: 4296
task = ROUT(15),
socketid = 6,
src = 192.168.1.1:520,
dst = 255.255.255.255:520,
datalen = 24
z用debugging tcp packet命令打开TCP调试开关，跟踪TCP的数据包。

操作如下：
<H3C> terminal debugging
<H3C> debugging tcp packet
即可实时查看接收或发送的TCP报文，其具体报文格式如下：
TCP output packet:
Source IP address:202.38.160.1
Source port:1024
Destination IP Address 202.38.160.1
Destination port: 4296
Sequence number :4195089
Ack number: 0
Flag :SYN
Packet length :60
Data offset: 10
task = ROUT(15)
socketid = 5
state = Established
src = 172.16.1.2
Source port:1025
dst = 172.16.1.1 Destination port: 4296 seq = 1921836502
ack = 4192768493
flag = ACK
window = 16079。