10-IP性能优化配置
本章节下载: 10-IP性能优化配置 (311.17 KB)
如下所有配置均为可选,请根据实际情况选择配置。
· 配置IP报文功能
本功能适用于IRF组网环境。
· 配置ICMP报文功能
· 配置TCP报文功能
¡ 配置TCP定时器
定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。
接口接收和转发直连网段的定向广播报文包括以下几种情况:
· 在接收定向广播报文的情况下,如果在接口上配置了此命令,设备允许接收此接口直连网段的定向广播报文。
· 在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文。
黑客可以利用定向广播报文来攻击网络系统,给网络的安全带来了很大的隐患。但在某些应用环境下,设备接口需要接收或转发这类定向广播报文,例如:
· 使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。
· 使用Wake on LAN(网络唤醒)功能,发送定向广播报文唤醒远程网络中的计算机。
在上述情况下,用户可以通过命令配置接口允许接收和转发直连网段的定向广播报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置允许接口接收和转发面向直连网段的定向广播报文。
ip forward-broadcast
缺省情况下,设备禁止转发直连网段的定向广播报文;设备允许接收直连网段的定向广播报文。
当设备使用某个接口发送报文时,发现报文长度大于该接口的发送IPv4报文的MTU值,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置发送IPv4报文的MTU。
ip mtu mtu-size
缺省情况下,未配置接口发送IPv4报文的MTU。
当某单板收到目的为本设备的IP分片报文时,需要把分片报文送到主用主控板进行重组,这样会导致报文重组性能较低的问题。当开启IP分片报文本地重组功能后,分片报文会在该单板直接进行报文重组,这样就能提高报文的重组性能。开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的单板进入的,会导致IP分片报文本地无法重组成功。
多台设备组成的IRF环境下,当某成员设备收到目的为本IRF设备的IP分片报文时,需要把分片报文送到主设备进行重组,这样会导致报文重组性能较低的问题。当开启IP分片报文本地重组功能后,分片报文会在该成员设备上直接进行报文重组,这样就能提高分片报文的重组性能。开启IP分片报文本地重组功能后,如果分片报文是从设备上不同的成员设备进入的,会导致IP分片报文本地无法重组成功。
(1) 进入系统视图。
system-view
(2) 开启IP分片报文本地重组功能。
ip reassemble local enable
缺省情况下,IP分片报文本地重组功能处于关闭状态。
为了避免由于后片先到(报文分片后)的情况而导致设备重组分片报文复杂度过高的问题,设备需要对收到的分片报文先进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续的报文重组功能处理的都是顺序正确的分片报文。
同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测。如果检测到分片攻击,则设备会丢弃收到的分片报文,从而提高了设备的安全性。
· Tiny Fragment攻击:如果设备收到分片报文的首片长度非常小,并且传输层协议(如:TCP、UDP)头字段放在第二个分片中,则认为是受到了Tiny Fragment攻击;
· Overlapping Fragment攻击:如果设备收到了完全相同的分片报文,或者收到的分片报文与其前一分片或后一分片出现重叠时,则认为是受到了Overlapping Fragment攻击;
· Fragment-flood攻击:如果设备收到的分片报文个数超过了指定的队列允许的最大分片报文个数或者设备上创建的分片队列个数超过了指定的最大分片队列个数,则认为是受到了Fragment-flood攻击。
IP虚拟分片重组功能的开启或关闭支持业务调用和命令行控制两种方式,命令行控制方式主要适用于不存在可调用IP虚拟分片重组功能的业务,但需要进行报文重组的组网环境中。这两种方式的结果不会互相影响,即只要有任意一个业务调用本功能或执行ip virtual-reassembly enable命令开启本功能后,功能就处于开启状态。执行ip virtual-reassembly suppress命令强制关闭IP虚拟分片重组功能后,通过以上两种方式开启的功能均会被强制关闭。
(1) 进入系统视图。
system-view
(2) 开启IP虚拟分片重组功能。
ip virtual-reassembly enable
缺省情况下,IP虚拟分片重组功能处于关闭状态。
IPv4虚拟分片重组功能可以提前对到达设备的分片报文进行检验、排序和缓存。开启IPv4虚拟分片重组功能,可以保证后续的报文重组功能处理的都是顺序正确的分片报文。
在高可靠性组网环境中,如果出现同一条流的分片报文分别到达了两个设备的情况,则每个设备上收到的分片报文都不完整,此时设备的IPv4虚拟分片重组功能无法对不完整的分片报文进行重组,因此会对其进行丢弃。
如果需要设备对接收到不完整的分片报文进行放行,则可以强行关闭设备的IPv4虚拟分片重组功能,此时通过业务调用和执行ip virtual-reassembly enable命令行控制方式开启的IPv4虚拟分片重组功能均会被关闭。
对于已配置ASPF、连接数限制业务的设备,配置本功能后,ASPF、连接数限制业务将不会对分片报文进行校验,而是直接放行。
本命令仅对三层转发的安全策略业务生效,关于安全策略的详请请参见“安全配置指导”中的“安全策略”。请明确实际组网对分片报文重组功能的需求后,谨慎配置本功能。
有关高可靠性组网,请参见“可靠性配置指导”中的“双机热备(RBM)”。
(1) 进入系统视图。
system-view
(2) 强制关闭IPv4虚拟分片重组功能。
ip virtual-reassembly suppress
缺省情况下,强制关闭IP虚拟分片重组功能处于关闭状态。
IPv6虚拟分片重组功能可以提前对到达设备的分片报文进行检验、排序和缓存。开启IPv6虚拟分片重组功能,可以保证后续的报文重组功能处理的都是顺序正确的分片报文。
在高可靠性组网环境中,如果出现同一条流的分片报文分别到达了两个设备的情况,则每个设备上收到的IPv6分片报文都不完整,此时设备的IPv6虚拟分片重组功能无法对不完整的分片报文进行重组,因此会对其进行丢弃。
如果需要设备对接收到不完整的分片报文进行放行,则可以强行关闭设备的IPv6虚拟分片重组功能。
对于已配置ASPF、连接数限制业务的设备,配置本命令后,ASPF、连接数限制业务将不会对分片报文进行校验,而是直接放行。
请明确实际组网对分片报文重组功能的需求后,谨慎配置本功能。
有关高可靠性组网,请参见“可靠性配置指导”中的“双机热备(RBM)”。
(1) 进入系统视图。
system-view
(2) 强制关闭IPv6虚拟分片重组功能。
ipv6 virtual-reassembly suppress
缺省情况下,强制关闭IPv6虚拟分片重组功能处于关闭状态。
ICMP报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,从而便于进行控制管理。ICMP差错报文的发送虽然方便了网络的控制管理,但是也存在缺陷:发送大量的ICMP报文,增大网络流量;如果有用户发送ICMP差错报文进行恶意攻击,会导致设备性能下降或影响正常工作。为了避免上述现象发生,缺省情况下,ICMP差错报文发送功能处于关闭状态,用户可以根据需要开启ICMP差错报文发送功能。
ICMP差错报文包括重定向报文、超时报文和目的不可达报文。
ICMP重定向报文发送功能可以简化主机的管理,使具有很少选路信息的主机逐渐建立较完善的路由表,从而找到最佳路由。
主机启动时,它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时,缺省网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送。
同时满足下列条件时,设备会发送ICMP重定向报文:
· 接收和转发数据报文的接口是同一接口;
· 报文的源IP地址和报文接收接口的IP地址在同一个网段;
· 数据报文中没有源路由选项。
(1) 进入系统视图。
system-view
(2) 开启ICMP重定向报文发送功能。
ip redirects enable
缺省情况下,ICMP重定向报文发送功能处于关闭状态。
ICMP超时报文发送功能是在设备收到IP数据报文后,如果发生超时差错,则将报文丢弃并给源端发送ICMP超时差错报文。
设备在满足下列条件时会发送ICMP超时报文:
· 设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1,则发送“TTL超时”ICMP差错报文;
· 设备收到目的地址为本地的IP数据报文的第一个分片后,启动定时器,如果所有分片报文到达之前定时器超时,则会发送“重组超时”ICMP差错报文。
关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送。
(1) 进入系统视图。
system-view
(2) 开启ICMP超时报文发送功能。
ip ttl-expires enable
缺省情况下,ICMP超时报文发送功能处于关闭状态。
ICMP目的不可达报文发送功能是在设备收到IP数据报文后,如果发生目的不可达的差错,则将报文丢弃并给源端发送ICMP目的不可达差错报文。
设备在满足下列条件时会发送目的不可达报文:
· 设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
· 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送“协议不可达”ICMP差错报文;
· 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送“端口不可达”ICMP差错报文;
· 源端如果采用“严格的源路由选择”发送报文,当中间设备发现源路由所指定的下一个设备不在其直接连接的网络上,则给源端发送“源站路由失败”的ICMP差错报文;
· 设备在转发报文时,如果转发接口的MTU小于报文的长度,但报文被设置了不可分片,则给源端发送“需要进行分片但设置了不分片比特”I
支持