所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IP性能配置命令

IP性能配置命令

说明:

CE6810LI设备不支持IPv4、IPv6的三层转发,接口使能了IPv4、IPv6功能后,配置的IPv4、IPv6地址只能用来管理设备。

assign forward layer-3 hash

命令功能

assign forward layer-3 hash命令用来配置三层转发表的hash模式。

undo assign forward layer-3 hash命令用来恢复三层转发表的hash模式为缺省值。

缺省情况下,三层转发表的hash模式为crc32-lower。

说明:

CE6870EI、CE6880EI不支持此命令。

命令格式

CE8800、CE7800和CE6800系列交换机命令格式如下:

assign forward layer-3 hash { crc32-upper | crc32-lower | lsb | crc16-upper | crc16-lower }

undo assign forward layer-3 hash [ crc32-upper | crc32-lower | lsb | crc16-upper | crc16-lower ]

CE5800系列交换机命令格式如下:

assign forward layer-3 hash { crc32-upper | crc32-lower | crc16 }

undo assign forward layer-3 hash [ crc32-upper | crc32-lower | crc16 ]

参数说明

参数 参数说明 取值
crc32-upper

指定hash算法的模式为32位高比特循环冗余校验。

-

crc32-lower

指定hash算法的模式为32位低比特循环冗余校验。

-

lsb

指定hash算法的模式为IP地址最低位。

-

crc16-upper

指定hash算法的模式为16位高比特循环冗余校验。

-

crc16-lower

指定hash算法的模式为16位低比特循环冗余校验。

-

crc16

指定hash算法的模式为16位循环冗余校验。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当用户规划的组播地址导致组播hash冲突时,用户可以执行命令assign forward layer-3 hash修改设备三层转发表的hash模式,减少hash冲突。

注意事项

一般情况下,三层转发表的hash模式推荐使用缺省值。

执行命令assign forward layer-3 hash配置设备三层转发表的hash模式后,必须重启设备使配置生效。

使用实例

# 配置三层转发表的hash模式为32位高比特循环冗余校验(crc32–upper)。
<HUAWEI> system-view
[~HUAWEI] assign forward layer-3 hash crc32-upper

assign forward mode

命令功能

assign forward mode命令用来配置设备转发报文的模式。

undo assign forward mode命令用来恢复设备转发报文的模式为缺省值。

缺省情况下,设备转发报文的模式为存储转发模式。

说明:

CE6870EI、CE5800系列交换机不支持该命令。

命令格式

assign forward mode { store-and-forward | cut-through }

undo assign forward mode [ store-and-forward | cut-through ]

参数说明

参数

参数说明

取值

store-and-forward

指定设备转发报文的模式为存储转发模式。

-

cut-through

指定设备转发报文的模式为直通模式。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当用户对报文的传输时延要求很敏感时,执行本命令设置转发报文的模式为直通模式,可以提高报文转发速度。

注意事项

  • 设备转发报文的模式为直通模式时,对CRC错误报文也会进行转发而不是直接丢弃。

  • 执行命令assign forward mode配置设备转发报文的模式或恢复设备转发报文的模式为缺省值,需要重启设备后才能生效。
  • 设备转发报文的模式为直通模式时:如果出现网络拥塞,则自动改为存储转发模式转发报文;网络拥塞消除后,自动恢复为直通模式转发报文。
  • 对于CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HICE6860EI、CE7850EI、CE7855EI、CE8850EI、CE8860EI交换机,当转发报文的模式配置为直通(Cut Through)模式时,设备不支持PFC、ETS、出方向的接口限速、队列流量整形、流行为为car的流策略、入方向的接口限速、流量控制功能。
  • 对于CE7850EI、CE7855EI交换机,拆分后的接口不支持转发报文的模式为直通模式。
  • 对于CE6810LI、CE6810EI、CE6850EI交换机,当转发报文的模式配置为直通(Cut Through)模式时,不能将包含car的流策略应用在出方向上。
  • 对于CE6880EI交换机,当转发报文的模式配置为直通(Cut Through)模式时,设备不支持QoS、ACL、VLAN流量统计、NetStream功能。
  • 对于CE8860EI、CE8850EI、CE6860EI,配置assign forward mode cut-through后,不能同时配置出方向和入方向的端口镜像/VLAN镜像到同一个观察端口。
  • CE8850EI的10GE接口不支持直通(Cut Through)模式。

使用实例

# 配置设备转发报文模式为直通模式(cut-through)。

<HUAWEI> system-view
[~HUAWEI] assign forward mode cut-through

clear ip df

命令功能

clear ip df命令用来设置在接口的出方向启用IP报文强制分片功能。

undo clear ip df命令用来取消接口出方向的IP报文强制分片功能。

缺省情况下,接口不对出方向的IP报文进行强制分片。

命令格式

clear ip df

undo clear ip df

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

IP报文头中包含一个用于指示是否允许对报文分片的标志位DF(Don’t Fragment)。通常情况下,如果DF被置为1,则设备不能再对该报文分片。当IP报文长度大于接口的MTU时,例如由于协议封装导致长度增加,该报文将被丢弃并发送ICMP差错报文,从而引起数据丢失。这种情况下可以配置clear ip df命令,启动IP报文的强制分片功能,避免数据丢失。

配置影响

启用IP报文强制分片功能后,对于同时满足下列条件的IP报文,系统将把DF标志清0,并进行分片处理。
  • IP报文头中DF位是1

  • 报文长度大于出接口MTU

注意事项

该命令仅对CPU软转发的IP报文生效,经过芯片转发的报文不支持清除DF的功能。

使用实例

# 在接口VLANIF 100上启用出方向的IP报文强制分片。
<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[~HUAWEI-Vlanif100] clear ip df

display forward layer-3

命令功能

display forward layer-3命令用来查看设备当前使用的三层转发表的hash模式和已配置的三层转发表的hash模式。

说明:

CE6870EI、CE6880EI不支持此命令。

命令格式

display forward layer-3

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户可以执行命令display forward layer-3查看设备当前三层转发表的hash模式和设备已配置的三层转发表的hash模式。设备已配置的三层转发表的hash模式在设备重启后生效。

使用实例

# 查看三层转发表的hash模式。

<HUAWEI> system-view
[~HUAWEI] display forward layer-3
Current system hash mode    :crc32-lower 
Configured system hash mode :NULL 
表8-35  display forward layer-3命令输出信息描述

项目

描述

Current system hash mode

当前三层转发表的hash模式。

CE8800、CE7800和CE6800系列交换机取值如下:
  • crc16-lower
  • crc16-upper
  • crc32-lower
  • crc32-upper
  • least significant bit
CE5800系列交换机取值如下:
  • crc16
  • crc32-lower
  • crc32-upper

Configured system hash mode

当前已配置的三层转发表的hash模式,设备重启后生效。

该参数可以通过命令assign forward layer-3 hash配置。

display forward mode

命令功能

display forward mode命令用来查看设备上配置的转发报文模式和当前实际使用的转发报文模式。

说明:

CE6870EI、CE5800系列交换机不支持该命令。

命令格式

display forward mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

执行本命令可以查看设备上配置的转发报文模式和当前实际使用的转发报文模式。

使用实例

# 查看设备上配置的转发报文模式和当前实际使用的转发报文模式。

<HUAWEI> display forward mode
------------------------------------------------------                                                                              
Slot ID    Configure forward mode Current forward mode                                                                              
------------------------------------------------------                                                                              
1          cut-through            store-and-forward                                                                                 
------------------------------------------------------                                                                              
表8-36  display forward mode命令输出信息描述

项目

描述

Slot ID

设备堆叠ID。

Configure forward mode

配置的转发报文模式。该参数可以通过命令assign forward mode { store-and-forward | cut-through }配置。

说明:

设备重启后,配置的转发报文模式才会生效。

Current forward mode

当前实际使用的转发报文模式。

display icmp fast-reply statistics

命令功能

display icmp fast-reply statistics命令用来查看ICMP快回的统计信息。
说明:
CE6810LI不支持本功能。

命令格式

display icmp fast-reply statistics slot slot-id

参数说明

参数 参数说明 取值
slot slot-id 显示指定槽位号的ICMP快回的统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 显示ICMP快回的统计信息。(除CE6880EI外)

<HUAWEI> display icmp fast-reply statistics slot 1 
------------------------ Display ICMP Statistics -------------------------------                                                    
Received packets:                                                                                                                   
     request packets:                             9                                                                                 
     invalid request packets:                     0                                                                                 
     failed to get vrf:                           0                                                                                 
     destination is not host ip:                  0                                                                                 
     failed to get ctrl word:                     0                                                                                 
Send packets:                                                                                                                       
     successful reply packets:                    9                                                                                 
     failed reply packets:                        0                                                                                 
-------------------------------------------------------------------------------- 
# 显示ICMP快回的统计信息。(CE6880EI设备)
<HUAWEI> display icmp fast-reply statistics slot 1 
------------------------ Display ICMP Statistics -------------------------------
Received packets:                                                               
     request packets:                             5                             
Send packets:                                                                   
     successful reply packets:                    5                             
--------------------------------------------------------------------------------
表8-37  display icmp fast-reply statistics命令输出信息描述

项目

描述

Received packets

接收报文统计。

request packets

收到的ICMP快回请求报文个数。

invalid request packets

对收到的ICMP快回请求报文进行检查显示无效的报文个数。

failed to get vrf

ICMP快回请求报文中获取VPN失败的报文个数。

destination is not host ip

ICMP快回请求报文中判断不是本机IP地址的报文个数。

failed to get ctrl word

获取ICMP快回请求报文的控制字段,获取失败的报文个数。

Send packets

发送报文统计。

successful reply packets

回应成功的ICMP快回报文个数。

failed reply packets

回应失败的ICMP快回报文个数。

display icmp statistics

命令功能

display icmp statistics命令用来查看ICMP流量统计信息。

命令格式

display icmp statistics [ interface interface-type interface-num ]

参数说明

参数 参数说明 取值
interface interface-type interface-num 查看指定接口下的ICMP流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

ICMP(Internet Control Message Protocol)是一个差错报告机制,通常被IP层或更高层协议(TCP或UDP)使用。ICMP报文被封装在IP数据报内部,作为IP数据报的数据部分通过互联网传递。

当数据报产生差错时,ICMP只向数据报的源端报告这个差错,即不会去纠正这个差错也不会通知中间的网络设备。

通过查看display icmp statistics命令的显示信息,可以查看到接收和发送的ICMP错误报文、echo报文和echo reply报文的统计信息。

例如在进行Ping和Traceroute操作时,可以通过在路由设备上查看display icmp statistics命令的显示信息,判断本设备发送和接收的报文总数是否正确。

注意事项

网络攻击者有时会利用ICMP报文获得网络信息,进而对网络进行攻击。所以如果显示信息中的destination unreachable、redirects、echo reply、time exceeded统计项出现了大量的统计信息时,请确认网络设备是否受到安全攻击。

使用实例

# 显示ICMP流量统计信息。

<HUAWEI> display icmp statistics
------------------------ Display ICMP Statistics ----------------------
Received packets:
        bad formats:         0          bad checksum:             0
        echo:                2          destination unreachable:  0
        source quench:       0          redirects:                0
        echo reply:          0          parameter problem:        0
        timestamp request:   0          information request:      0
        mask requests:       0          mask replies:             0
        time exceeded:       0          timestamp reply:          0
        Mping request:       0          Mping reply:              0
Sent packets:
        echo:                0          destination unreachable:  0
        source quench:       0          redirects:                0
        echo reply:          2          parameter problem:        0
        timestamp request:   0          information reply:        0
        mask requests:       0          mask replies:             0
        time exceeded:       0          timestamp reply:          0
        Mping request:       0          Mping reply:              0
-----------------------------------------------------------------------   
表8-38  display icmp statistics命令输出信息描述

项目

描述

Received packets

接收的报文

Sent packets

发送的报文

bad formats

格式错误的报文数量

bad checksum

校验错误的报文数量

echo

Echo请求报文数量

destination unreachable

目的不可达报文数量

source quench

源站抑制报文数量

redirects

重定向报文数量

echo reply

Echo应答报文数量

parameter problem

参数报错报文数量

timestamp request

时间戳请求报文数量

information request

信息请求报文数量

mask requests

掩码请求报文数量

mask replies

掩码应答报文数量

time exceeded

超时报文数量

timestamp reply

时间戳应答报文数量

Mping request

组播ping request报文数量

Mping reply

组播Ping reply报文数量

display ip fragment statistics

命令功能

display ip fragment statistics命令用来查看IPv4报文分片重组的统计信息。

说明:

仅CE6880EI支持该命令。

命令格式

display ip fragment statistics slot slot-id

参数说明

参数 参数说明 取值
slot slot-id 显示指定槽位的IPv4报文分片重组的统计信息。 根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

当用户希望了解使能IPv4报文分片功能后设备对报文分片重组的处理情况时,可以执行该命令。

使用实例

# 查看1号槽位IPv4报文分片重组的统计信息。

<HUAWEI> display ip fragment statistics slot 1
------------------------------------------------------------------------------- 
Total Reassembled Failed Packets:                                               
Slot     Reason               Packets                                           
------------------------------------------------------------------------------- 
         Ageing drop          0                                                 
         Fragment too much    0                                                 
------------------------------------------------------------------------------- 
Send Ip Fragment Packets:                                                       
Slot     Type                 Fragment Packets                                  
------------------------------------------------------------------------------- 
         IPV4                 0                                                 
         IP TUNNEL            0                                                 
------------------------------------------------------------------------------- 
Receive Ip Fragment Packets:                                                    
Interface             Type        Fragment Packets     Reassembling Packets     
------------------------------------------------------------------------------- 
10GE1/0/1             IP TUNNEL   0                    0                        
10GE1/0/2             IP TUNNEL   0                    0                        
10GE1/0/3             IP TUNNEL   0                    0                        
表8-39  display ip fragment statistics命令输出信息描述

项目

描述

Total Reassembled Failed Packets

重组失败的IPv4分片报文。

Slot

堆叠ID

Reason

重组失败原因。

Packets

重组失败的Ipv4分片报文计数。

Send Ip Fragment Packets

发送的IPv4分片报文。

Type

业务类型。

Fragment Packets

IPv4报文分片计数。

Receive Ip Fragment Packets

接收的IPv4分片报文。

Interface

接口名称。

Reassembling Packets

IPv4报文重组计数。

display ip socket

命令功能

display ip socket命令用来显示已创建的IPv4 Socket信息。如果不指定可选参数,该命令显示所有类型的Socket信息。

命令格式

display ip socket [ socket-type socket-type ] [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
socket-type socket-type 指定Socket类型,显示该类型的Socket信息。 整数形式,取值范围如下表所示。
cid cid 指定App组件Cid,显示此Cid的Socket信息。 整数形式,取值范围是0~4294967295。
socket-id socket-id 指定Socket ID号,显示此Socket ID的Socket信息。 整数形式,取值范围是0~2147418111。
表8-40  参数 socket-type socket-type的取值

取值

含义

1

TCP流式性质的Socket

2

UDP报文性质的Socket

3

RAWIP性质的Socket

4

RAWLINK性质的Socket

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过设置过滤条件(PID、Socket ID、Socket的类型),只有满足过滤条件的信息会被显示出来。这样可以减少显示信息输出的数量,提高信息的有用性,提高问题定位的精确度和效率。

使用实例

# 显示IP Socket的状态信息。
<HUAWEI> display ip socket

Total: 2


Cid = 0x80262711, socketid = 0, Proto = 17,
LA=0.0.0.0:123, FA=0.0.0.0:0,
sndbuf = 0, rcvbuf = 0, sb_cc = 0, rb_cc = 0,
socket option = SO_REUSEADDR ,
socket state = SS_NBIO SS_ASYNC
 
Cid = 0x8035272E, socketid = 0, Proto = 17,
LA=0.0.0.0:1024, FA=0.0.0.0:0,
sndbuf = 0, rcvbuf = 0, sb_cc = 0, rb_cc = 0,
socket option = SO_REUSEADDR ,
socket state = SS_NBIO SS_ASYNC
表8-41  display ip socket命令输出信息描述

项目

描述

Total

所有Socket实例的个数

Cid

APP组件CID

socketid

Socket ID

Proto

协议号

LA

本地IP地址(Local Address)

FA

远端IP地址(Foreign Address)

sndbuf

发送缓存的上限

rcvbuf

接收缓存的上限

sb_cc

实际发送的数据量,只有TCP会缓存数据,这个值才有用

rb_cc

实际接收的数据量

socket option

显示当前已被置位的Socket选项:
  • SO_DEBUG:debugging开关

  • SO_ACCEPTON:当前置位该标志的Socket为服务器端,负责侦听

  • SO_REUSEADDR:地址重用,设置了该标志后,可以在本端绑定多个相同的地址

  • SO_KEEPALIVE:TCP连接的保活选项,如设置,TCP连接成功后将启动保活定时器

  • SO_DONTROUTE:置位后,Socket在连接时不可以选择非直连的路由到达目的地

  • SO_BROADCAST:置位后,可以在接口发送广播报文

  • SO_REUSEPORT:端口重用,置位后,可以在本端绑定多个相同地端口,大多对服务端适用

  • SO_UDPCHECKSUM:置位后,Socket将计算UDP报文地校验和

  • SO_SENDVPNID:Socket专门对VPN设置的选项

  • SO_USELOOPBACK:Socket可以利用Loopback接口进行收发数据

  • SO_LINGER:该表示设置后,TCP在关闭的时候将视设置的时间而进行相应的处理,如果设置的时间非0,则它在关闭前等待一段时间(设置的时间),如果设置的时间为0,则TCP会迅速断掉连接,而不会按照次序走完TCP的状态机

  • SO_OOBINLINE:对应于带外数据的标志,设置后,Socket在接收数据中,将优先处理带外数据

  • SO_SENDDATAIF:设置该标志后,Socket允许通过指定的接口进行收发数据的处理

  • SO_SENDDATAIF_DONTSETTTL:设置该标志后,Socket允许通过指定的接口进行收发数据的处理,但是不设置TTL(报文最大生存时间)

  • SO_SETSRCADDR:设置该标志后,Socket将设置发送报文的源端地址

  • SO_SENDBY_IF_NEXTHOP:设置该标志后,Socket将设置发送报文的出接口以及下一跳地址

socket state

Socket的状态:
  • SS_NOFDREF:socketid结构体已经被删除

  • SS_ISCONNECTED:TCP连接已经成功

  • SS_ISCONNECTING:TCP正在连接中

  • SS_ISDISCONNECTING:TCP正在断连中

  • SS_CANTSENDMORE:Socket无法再发送数据

  • SS_CANTRCVMORE:Socket无法再接收数据

  • SS_RCVMARK:Socket在接收报文中设置了接收标志

  • SS_NBIO:Socket当前的类型是非阻塞性质的

  • SS_ISCONFIRMING:上层即将处理已经完成的连接

  • SS_BLOCKING:当前在报文收发过程中存在阻塞

  • SS_RECALL属于异步socket设置的消息通知方式

  • SS_PRIV:Unix中移植过来的标志位,在当前的Socket层中无意义

  • SS_ASYNC:异步Socket的状态标志

display ip statistics

命令功能

display ip statistics命令用来查看IP流量统计信息。

命令格式

display ip statistics [ interface interface-type interface-number ]

display ip statistics verbose [ protocol { protocol-id | gre | icmp | igmp | ospf | pim | rsvp | tcp | udp | vrrp } ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 查看指定接口类型和接口编号的IP流量统计信息。 -
verbose 按ICMP、OSPF、TCP、UDP、IGMP、PIM、VRRP、Others协议分类显示IP统计的详细信息。 -
protocol 显示指定协议类型的IP统计信息。 -
protocol-id 指定协议ID。

整数形式,取值范围是1~255。

取值可以为:
  • 1(ICMP)
  • 2(IGMP)
  • 6(TCP)
  • 17(UDP)
  • 46(RSVP)
  • 89(OSPF)
  • 103(PIM)
  • 112(VRRP)
如果指定数值不属于上述列举值,则以Others协议显示。
gre 查看GRE协议类型的IP流量统计信息。
说明:
CE6880EI不支持该参数。
-
icmp 查看ICMP协议类型的IP流量统计信息。 -
igmp 查看IGMP协议类型的IP流量统计信息。 -
tcp 查看TCP协议类型的IP流量统计信息。 -
udp 查看UDP协议类型的IP流量统计信息。 -
rsvp 查看RSVP协议类型的IP流量统计信息。 -
ospf 查看OSPF协议类型的IP流量统计信息。 -
pim 查看PIM协议类型的IP流量统计信息。 -
vrrp 查看VRRP协议类型的IP流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过该命令的显示信息可以查看包括接收报文(其中包括丢弃的带源路由选项报文的统计信息)、发送报文、分片报文、重组报文的统计信息。

在传输报文的过程中,当源端对报文进行了分片,可以通过该命令查看分片成功的IP报文总数和发送的分片报文总数,然后再在目的端查看接收到的分片报文数是否正确。

通过display ip statistics verbose命令可以用来查看IP流量统计详细信息,从而帮助用户定位到具体应用在报文收发过程中的丢包问题。例如,当BGP无法正常建立情况下,可以观察bad checksum字段统计计数是否增加。

注意事项

如果在显示信息的bad protocol和no route字段中出现了大量的统计计数,表示本设备收到了大量未知协议类型和无法查到正确路由的IP报文。在这种情况下,请确认本设备是否受到了下挂设备的安全攻击。

使用实例

# 显示IP流量统计信息。

<HUAWEI> display ip statistics
------------------------ Display IP Statistics ----------------------
Received packets:
        Sum:                    886920     Local:                 415133
        Bad protocol:           157        Bad format:            0
        Bad checksum:           7576       Bad options:           0
        Discard SRR:            0          Discard RR:            0
        Discard RA:             0          Discard TS:            0
        TTL Exceeded:           0          Fragment input:        0
        Fragment Dropped:       0          Couldn't Fragment:     0
        Reassembling:           0          Reassembling Timeouts: 0
Sent packets:
        Forwarding:             0          Local:                 14238
        Dropped:                0          No Route:              0
        Fragment output:        0          Fragmented:            0
-----------------------------------------------------------------------
表8-42  display ip statistics命令输出信息描述

项目

描述

Received packets

接收到的报文

Sum

接收的报文总数

Local

被送给上层协议的报文数量

Bad Protocol

接收到的未知协议类型的IP报文数量,表示该IP报文头部的协议字段不能被上层协议识别。

Bad Format

格式错误的报文数量

Bad Checksum

校验错误的报文数量

Bad Options

选项错误的报文数量

Discard SRR

丢弃的带源路由选项的报文数量

Discard RR

丢弃的带记录路由选项的报文数量

Discard RA

丢弃的带路由告警选项的报文数量

Discard TS

丢弃的带源记录时间戳选项的报文数量

TTL Exceeded

由于TTL超时被丢弃的报文数量

Fragment Input

收到分片报文的数量

Fragment Dropped

被丢弃的分片数量

Couldn't Fragment

不能被分片的报文数量

Reassembling

分片报文重组的统计数量

Reassembling Timeouts

分片报文重组超时的统计数量

Sent packets

发送的报文

Forwarding

被转发的报文数量

Local

产生的报文数量

Dropped

丢弃的报文数量

No Route

发送的报文中无法查到正确路由的报文数量,包括本设备转发的报文和本设备发送的报文

Fragment output

发送的分片报文的数量

Fragmented

分片成功的报文数量

display rawip statistics

命令功能

display rawip statistics命令用来查看RawIP报文的流量统计信息。

命令格式

display rawip statistics [ verbose ]

参数说明

参数 参数说明 取值
verbose 查看ICMP、OSPF、RSVP、Others应用的RAWIP流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

RawIP报文的流量统计信息主要分为发送和接收两大部分。

RSVP、OSPF、ICMP报文封装在RawIP报文中进行发送。因此,例如当进行ping操作时,可以通过查看本机收发RawIP报文的数量,判断是否由于RawIP报文收发不正常而导致网络异常。

当用户需要针对具体应用进行精细化的问题诊断和信息监测时,可通过verbose选项显示按应用分类的RawIP流量统计信息,支持的应用类型包括ICMP、OSPF、RSVP、Others应用。

注意事项

路由设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

说明:

对RAWIP应用按知名协议号进行统计(协议号取值为IP报文首部的协议字段),ICMP统计协议号为1、OSPF统计协议号为89、RSVP统计协议号为46,其他协议号统计到Others字段中。

使用实例

# 查看RawIP流量统计信息。

<HUAWEI> display rawip statistics
------------------------ Display Rawip Statistics ---------------------  
Received packets:
    Total: 6
    Input packets missing pcb cache: 0
Sent packets:
    Total: 3
-----------------------------------------------------------------------
表8-43  display rawip statistics命令输出信息描述
项目 描述

Received packets

接收报文统计

Total

总计收到的报文数

Input packets missing pcb cache

因没有对应的协议控制块(PCB)而丢失的分组数

Sent packets

发送报文统计

Total

总计发送的报文数

# 显示按应用分类的RAWIP流量统计信息。

<HUAWEI> display rawip statistics verbose
Received packets:
------------------------------------------------------------------
Application    Overflow         No Matching
------------------------------------------------------------------
ICMP                  0                  0
OSPF                  0                  0
RSVP                  0                  0
Others                0                  0
------------------------------------------------------------------
 
Sent packets:
------------------------------------------------------------------
Application    Dropped Packets
------------------------------------------------------------------        
ICMP                         0
OSPF                         0
RSVP                         0
Others                       0
------------------------------------------------------------------
表8-44  display rawip statistics verbose命令输出信息描述

项目

描述

Received packets:

接收报文统计

Application

应用分类

Overflow

由于Socket缓存已满导致RAWIP报文丢弃的数目

No Matching

由于接收方Socket不匹配导致RAWIP报文丢弃的数目

ICMP

ICMP报文

OSPF

OSPF报文

RSVP

RSVP报文

Others

其他类型报文

Sent packets

发送报文统计

Dropped packets

丢弃报文数

display rawip status

命令功能

display rawip status命令用来查看基于IPv4的RawIP连接状态信息。

命令格式

display rawip status [ cid cid ] [ socket-id socket-id ] [ local-ip local-ip ] [ remote-ip remote-ip ]

参数说明

参数 参数说明 取值
cid cid 显示指定APP组件CID的RawIP连接状态信息。 整数形式,取值范围是0~4294967295。
socket-id socket-id 显示指定Socket ID的RawIP连接状态信息。 整数形式,取值范围是0~2147418111。
local-ip local-ip 显示指定本地IP地址的RawIP连接状态信息。 点分十进制格式。
remote-ip remote-ip 显示指定远端IP地址的RawIP连接状态信息。 点分十进制格式。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

需要查看设备有效的IPv4 RawIP连接状态信息时,请执行该命令查看每个有效IPv4 RawIP控制块的如下信息:
  • IPv4 TCP Socket编号

  • APP组件CID

  • 本地IPv4地址

  • 远端IPv4地址

使用实例

# 查看IPv4的RawIP连接状态。
<HUAWEI> display rawip status
---------------------------------------------------
Cid        SocketId Local Addr      Foreign Addr   
---------------------------------------------------
0x80692723        1 0.0.0.0         0.0.0.0        
---------------------------------------------------
表8-45  display rawip status命令输出信息描述

项目

描述

Cid

APP组件CID。

SocketId

IPv4 RawIP Socket编号。

Local Addr

本地IP地址。

Foreign Addr

远端IP地址。

display snmp-agent trap feature-name tcp all

命令功能

display snmp-agent trap feature-name tcp all命令用来查看TCP模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name tcp all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

简单网络管理协议SNMP(Simple Network Management Protocol)是广泛用于TCP/IP网络的网络管理标准协议。SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理工作站)来管理网元的方法。网元上运行的管理代理可以主动上报告警给管理工作站,可使管理工作站及时获取网络状态,从而使网络管理员能够及时采取相应措施。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name tcp all可以查看TCP特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name tcp命令打开TCP特性告警开关。

使用实例

# 查看TCP模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name tcp all
------------------------------------------------------------------------------
Feature name: TCP
Trap number : 1
------------------------------------------------------------------------------
Trap name                       Default switch status   Current switch status
hwTCPMD5AuthenFail              off                     off
表8-48  display snmp-agent trap feature-name tcp all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,TCP模块的告警包括:

  • hwTCPMD5AuthenFail:TCP MD5认证失败告警,属于海量告警。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

display tcp statistics

命令功能

display tcp statistics命令用来查看TCP连接流量统计信息。

命令格式

display tcp statistics [ verbose ]

参数说明

参数 参数说明 取值
verbose 查看BGP、FTP、LDP、MSDP、TELNET、SSH、Others应用的TCP流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

TCP连接的流量统计信息主要分为发送和接收两大部分。

可以通过显示信息中以下几项判断网络的连接状态:

  • 通过查看Established connections项信息, 判断是否超过设备所允许的连接数上限,进而决定是否在本设备继续部署业务(例如BGP),或者进行负载调整。
  • 通过查看Duplicate ACK packets项信息,简单判断是否受到针对ACK报文的网络攻击。即如果收到大量未知ACK报文时,此时有可能受到了网络攻击。
  • 通过查看Out-of-order packets项信息,可以作为参考,判断网络的质量。因为网络质量不好时,会产生大量的乱序报文。

当用户需要针对具体应用进行精细化的问题诊断和信息监测时,可通过verbose选项显示按应用分类的TCP流量统计信息,支持的应用类型包括BGP、FTP、LDP、MSDP、TELNET、SSH、Others应用。

注意事项

路由设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

说明:

对应用按知名端口号进行统计,BGP统计端口号为179、FTP统计端口号为20和21、LDP统计端口号为646、MSDP统计端口号为639、TELNET统计端口号为23、SSH统计端口号为22;其他端口号应用统计到Others字段中。

使用实例

# 显示TCP流量统计信息。

<HUAWEI> display tcp statistics
Received packets:
    Total: 11316
    SYN:2386
    FIN:0
    Packets in sequence: 303 (bytes)
    Window probe packets: 0
    Window update packets: 0
    Checksum error: 0
    Offset error: 0
    Short error: 0
    Duplicate packets: 10951 (bytes)
    Partially duplicate packets: 0 (bytes)
    Out-of-order packets: 0 (bytes)
    Packets with data after window: 0
    Packet after close: 0
    ACK packets: 217 (bytes)
    Duplicate ACK packets: 0
Sent packets:
    Total: 317
    Urgent packets: 0
    Control packets: 0 (RST)
    Window probe packets: 0
    Window update packets: 0
    Data packets: 2705
    Data packets retransmitted: 0
    ACK only packets: 4

Retransmitted timeout: 0
Connection dropped in retransmitted timeout: 0
Keepalive timeout: 10926
Keepalive probe: 10926
Keepalive timeout, so connections disconnected: 0
Initiated connections: 0
Accepted connections: 2
Established connections: 4
Closed connections: 1
Packets dropped with MD5 authentication: 0
Packets permitted with MD5 authentication: 0
Send Packets permitted with Keychain authentication: 0
Receive Packets permitted with Keychain authentication: 0
Receive Packets Dropped with Keychain authentication: 0
Receive Packets permitted with TCP-AO authentication: 0
Receive Packets Dropped with TCP-AO authentication: 0
表8-49  display tcp statistics命令输出信息描述

项目

描述

Received packets

接收报文统计

Total

总计收到的报文数

SYN

总计收到的SYN报文数

FIN

总计收到的FIN报文数

Packets in sequence

按顺序到达的报文数(共计字节数)

Window probe packets

窗口探测报文数

Window update packets

窗口更新报文数

Checksum error

校验出错报文数

Offset error

长度出错报文数

Short error

太短报文数

Duplicate packets

完全重复报文数(共计字节数)

Partially duplicate packets

部分重复报文数(共计字节数)

Out-of-order packets

乱序报文数(共计字节数)

Packets with data after window

落在接收窗口外的报文数

Packet after close

在连接关闭后到达的报文数

ACK packets

确认报文数(共计字节数)

Duplicate ACK packets

重复的确认报文数

Sent packets

发送数据统计

Total

总计发送报文数

Urgent packets

紧急数据报文数

Control packets

控制报文数(RST报文数)

Window probe packets

窗口探测报文数

Window update packets

窗口更新报文数

Data packets

数据报文数

Data packets retransmitted

报文重发数(共计字节数)

ACK only packets

ACK报文数

Retransmitted timeout

重传定时器超时次数

Connection dropped in retransmitted timeout

重传次数超过限制而丢弃的连接数

Keepalive timeout

保活定时器超时次数

Keepalive probe

发送保活探测报文数

Keepalive timeout,so connections disconnected

保活探测失败丢弃连接数

Initiated connections

发起连接次数

Accepted connections

接受连接数

Established connections

已建立连接数

Closed connections

已关闭连接数目

Packets dropped with MD5 authentication

MD5验证丢弃报文数

Packets permitted with MD5 authentication

MD5验证通过报文数

Send Packets permitted with Keychain authentication

携带Keychain信息的发送报文数

Receive Packets permitted with Keychain authentication

携带Keychain信息的接收报文数

Receive Packets Dropped with Keychain authentication

携带Keychain信息的,校验失败丢弃的接收报文数

Receive Packets permitted with TCP-AO authentication

携带TCP-AO选项信息的接收报文数

Receive Packets Dropped with TCP-AO authentication

携带TCP-AO选项信息的,校验失败丢弃的接收报文数

# 显示按应用分类的TCP流量统计信息。

<HUAWEI> display tcp statistics verbose
Received packets:
--------------------------------------------------------------------------------
Application   Checksum Errors   Format Errors   No Port   Auth Errors
                                                          (MD5/Keychain)     
------------------------------------------------------------------------------
BGP                        0               0          0         0/0
FTP                        0               0          0         0/0
LDP                        0               0          0         0/0 
MSDP                       0               0          0         0/0
TELNET                     0               0          0         0/0
SSH                        0               0          0         0/0
Others                     0               0          0         0/0
--------------------------------------------------------------------------------
 
Sent packets:
--------------------------------------------------------------------------------
Application   Dropped packets 
--------------------------------------------------------------------------------
BGP                         0  
FTP                         0 
LDP                         0       
MSDP                        0 
TELNET                      0
SSH                         0 
Others                      0

--------------------------------------------------------------------------------
表8-50  display tcp statistics verbose命令输出信息描述

项目

描述

Received packets

接收报文统计

Application

应用分类

Checksum Errors

校验错误的报文数

Format Errors

格式错误的报文数

No Port

查找不到socket的报文数

Auth Errors (MD5/Keychain)

验证错误(MD5/Keychain)的报文数

BGP

BGP报文

FTP

FTP报文

LDP

LDP报文

MSDP

MSDP报文

TELNET

TELNET报文

SSH

SSH报文

Others

其他类型报文

Sent packets

发送报文统计

Dropped packets

丢弃报文数

display tcp status

命令功能

display tcp status命令用来查看当前TCP连接状态。

命令格式

display tcp status [ local-ip ipv4-address | local-port local-port-number | remote-ip ipv4-address | remote-port remote-port-number ] * [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
local-ip ipv4-address

显示本端指定IP地址的TCP连接状态。

点分十进制格式。

local-port local-port-number

显示本端指定端口号的TCP连接状态。

整数形式,取值范围是0~65535。

remote-ip ipv4-address

显示远端指定IP地址的TCP连接状态。

点分十进制格式。

remote-port remote-port-number

显示远端指定端口号的TCP连接状态。

整数形式,取值范围是0~65535。

cid cid

显示本端指定App组件Cid的TCP连接状态。

整数形式,取值范围是0~4294967295。

socket-id socket-id

显示指定Socket ID号的TCP连接状态。

整数形式,取值范围是0~2147418111。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

传输控制协议TCP(Transmission Control Protocol)由标准协议定义,用于在主机间实现面向连接的可靠性服务。TCP协议为用户进程定义了一个可靠的、面向连接的、全双工的服务。当需要监控TCP连接状态时,可以执行display tcp status命令查看如下内容:
  • IPv4 TCP Socket编号
  • App组件Cid
  • 本地IPv4地址及端口号
  • 远端IPv4地址及端口号
  • VPN ID
  • IPv4 TCP连接状态

通过设置参数(Socket ID、本端地址、本端端口号、远端地址、远端端口号),还可以只显示满足参数条件的信息,减少显示信息的输出数量,方便查看,提高问题定位的精确度和效率。

注意事项

如果当前没有TCP连接,则显示信息为空。

使用实例

# 查看本机上的TCP连接状态信息。

<HUAWEI> display tcp status
* - MD5 Authentication is enabled.
# - Keychain Authentication is enabled.
@ - TCP-AO Authentication is enabled.
-----------------------------------------------------------------------------------------------------
Cid        SocketID Local-Addr:Port       Foreign-Addr:Port     State       VPNName

-------------------------------------------------------------
0x80C82720        1 0.0.0.0:23            0.0.0.0:0             LISTEN*      --     
0x8013048B 3     0.0.0.0:179           2.2.2.2:0             4294967295 LISTEN# 
0x80932727 6     0.0.0.0:22            0.0.0.0:0             4294967295 LISTEN@
-----------------------------------------------------------------------------------
表8-51  display tcp status命令显示信息中各字段的说明

字段

说明

MD5 Authentication is enabled

MD5认证方式使能。

Keychain Authentication is enabled

Keychain认证方式使能。

TCP-AO Authentication is enabled

TCP-AO认证方式使能。

Cid

组件ID。

SocketID

Socket ID。

Local-Addr:Port

TCP连接的本端IP地址和本端端口号。当Local Add为0.0.0.0时表示侦听所有地址,port为0表示侦听所有端口号。

Foreign-Addr

TCP连接的远端IP地址和远端端口号。当Foreign Add为0.0.0.0时表示侦听所有地址,port为0表示侦听所有端口号。

State

TCP的连接状态。具体情况如下:
  • Closed:关闭状态。

  • Listening:侦听状态。

  • Syn_Rcvd:接收到SYN同步报文状态。

  • Established:连接建立状态。

  • Close_Wait:在Established状态下,用户向服务器发送FIN报文请求终止连接。服务器接收到用户发送的FIN报文后,向用户发送ACK报文,然后进入该状态。

  • Fin_Wait1:用户向服务器发送FIN报文请求终止本方向连接,然后进入该状态。

  • Fin_Wait2:用户在收到服务器对自己发出的FIN报文的相应ACK报文后,进入该状态。

  • Time_Wait:TCP在关闭一个连接之后就进入超时等待状态。它在这个状态中停留时间达到最长报文段寿命的两倍时,就删去该连接的记录。

  • Closing:同时关闭。

VPNName

本端VPN名称。

display udp statistics

命令功能

display udp statistics命令用来查看UDP连接的流量统计信息。

命令格式

display udp statistics [ verbose ]

参数说明

参数 参数说明 取值
verbose 查看LDP、DHCP、BFD、RIP、SNMP、Others应用的UDP流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

UDP连接的流量统计信息主要分为发送和接收两大部分。BFD、LDP、VRRP、TracerRoute等报文封装在UDP报文中进行发送。因此,例如当以上报文的发送出现异常时,可以通过查看本机收发UDP报文的数量,判断是否由于UDP报文收发不正常而导致网络异常。

当用户需要针对具体应用进行精细化的问题诊断和信息监测时,可通过verbose选项显示按应用分类的UDP流量统计信息,支持的应用类型包括LDP、DHCP、BFD、RIP、SNMP、Others应用。

注意事项

路由设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

说明:

UDP流量统计的详细信息统计的是一些常用的知名端口号应用,包括LDP(646)、DHCP(67/68)、BFD(3784/4784/3785/4785)、RIP(520)、SNMP(161/162),其它端口号应用统计在Others项中。

使用实例

# 显示UDP流量统计信息。

<HUAWEI> display udp statistics
------------------------ Display UDP Statistics -----------------------
Received packets:
    Total: 0
    Checksum error: 0
    Shorter than header: 0
    Data length larger than packet: 0
    No socket on port: 0
    Broadcast: 0
    Not delivered, input socket full: 0
    Input packets missing pcb cache: 0
Sent packets:
    Total: 0
-----------------------------------------------------------------------   
表8-52  display udp statistics命令输出信息描述

项目

描述

Received packets

接收报文的统计。

Total

总计收到的UDP报文的数量。

Checksum error

校验和出错的报文的数量。

Shorter than header

报文长度比报文头短的报文的数量。

Data length larger than packet

报文数据长度超过了报文长的报文的数量。

No socket on port

没有SOCKET使用这个端口号的报文数量。

Broadcast

广播/组播报文的数量。

Not delivered, input socket full

因为SOCKET缓冲已经满而没有发送出去的报文的数量。

Input packets missing pcb cache

没有找到PCB的报文的数量。

Sent packets

发送报文的统计。

Total

总计发送UDP报文的数量。

# 显示按应用分类的UDP流量统计信息。

<HUAWEI> display udp statistics verbose
Received packets:                                                               
--------------------------------------------------------------------------------
Application       Format Errors     Checksum Errors   No Port 
--------------------------------------------------------------------------------
LDP                           0                   0         0        
DHCP                          0                   0         0         
BFD                           0                   0         0         
RIP                           0                   0         0         
SNMP                          0                   0         0         
Others                        0                   0         0
--------------------------------------------------------------------------------

Sent packets:                                                                   
--------------------------------------------------------------------------------
Application       Dropped Packets                                               
--------------------------------------------------------------------------------
LDP                             0                                                            
DHCP                            0                                                             
BFD                             0                                                             
RIP                             0                                                            
SNMP                            0                                                             
Others                          0          
--------------------------------------------------------------------------------
表8-53  display udp statistics verbose命令输出信息描述

项目

描述

Received packets:

接收报文统计

Application

应用分类

Checksum Errors

校验错误的报文数

Format Errors

格式错误的报文数

No Port

查找不到socket的报文数

Auth Errors (MD5/Keychain)

验证错误(MD5/Keychain)的报文数

LDP

LDP报文

DHCP

DHCP报文

BFD

BFD报文

RIP

RIP报文

SNMP

SNMP报文

Others

其他类型报文

Sent packets

发送报文统计

Dropped packets

丢弃报文数

display udp status

命令功能

display udp status命令用来查看基于IPv4的当前UDP连接状态。

命令格式

display udp status [ local-ip ipv4-address ] [ local-port local-port-number ] [ remote-ip ipv4-address ] [ remote-port remote-port-number ] [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
local-ip ipv4-address

显示本端指定IP地址的UDP连接状态。

-

local-port local-port-number

显示本端指定端口号的UDP连接状态。

整数形式,取值范围是0~65535。

remote-ip ipv4-address

显示远端指定IP地址的UDP连接状态。

-

remote-port remote-port-number

显示远端指定端口号的UDP连接状态。

整数形式,取值范围是0~65535。

cid cid

显示本端指定App组件Cid的UDP连接状态。

整数形式,取值范围是0~4294967295。

socket-id socket-id

显示指定Socket ID号的UDP连接状态。

整数形式,取值范围是0~2147418111。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

UDP(User Datagram Protocol)协议是用来在互连网络环境中提供包交换的计算机通信协议,提供了向另一用户程序发送信息的最简便的协议机制。当需要监控UDP连接状态时,可以执行display udp status命令查看如下内容:
  • IPv4 UDP Socket编号
  • App组件Cid
  • 本地IPv4地址及端口号
  • 远端IPv4地址及端口号

通过设置参数(Task ID、Socket ID、本端地址、本端端口号、远端地址、远端端口号),还可以只显示满足参数条件的信息,减少显示信息的输出数量,方便查看,提高问题定位的精确度和效率。

注意事项

如果当前没有UDP连接,则显示信息为空。

使用实例

# 查看本机上的UDP连接状态信息。

<HUAWEI> display udp status
----------------------------------------------------------------------
Cid        SocketId Local Addr:Port       Foreign Addr:Port     FeNode
----------------------------------------------------------------------
0x80FE03F0        1 0.0.0.0:62241         0.0.0.0:0                  0
0x8053272D        1 0.0.0.0:67            0.0.0.0:0                257
----------------------------------------------------------------------
表8-54  display udp status命令显示信息中各字段的说明

字段

说明

Cid

APP组件Pid

SockId

IPv4 UDP Socket编号

Local Addr:Port

UDP连接的本端IP地址及本端端口号

Foreign Addr:Port

UDP连接的远端IP地址及远端端口号

FeNode

单板节点号

icmp broadcast-address echo disable

命令功能

icmp broadcast-address echo disable命令用来去使能对目的地址为广播地址的ICMP探测报文响应功能。

undo icmp broadcast-address echo disable命令用来使能对目的地址为广播地址的ICMP探测报文响应功能。

缺省情况下,设备支持所有ICMP请求报文响应。

命令格式

icmp broadcast-address echo disable

undo icmp broadcast-address echo disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络攻击者经常利用目的地址为广播地址的ICMP报文对系统进行攻击,这样会增加网络的负担,明显降低设备的性能。因此为了提高网络的性能和增强网络的安全,可以使用icmp broadcast-address echo disable命令关闭对目的地址为广播地址的ICMP探测报文响应功能,防止针对目的地址为广播地址的ICMP报文的安全攻击。

注意事项

  • 不能针对本机发起的广播Ping报文进行丢弃。
  • 在网络状态良好的情况下,当需要恢复系统对目的地址为广播地址的ICMP探测报文响应功能时,执行undo icmp broadcast-address echo disable命令。

使用实例

# 去使能系统接收ICMP广播探测报文功能。

<HUAWEI> system-view
[~HUAWEI] icmp broadcast-address echo disable

icmp name redirect receive disable

命令功能

icmp name redirect receive disable命令用来去使能接口接收重定向ICMP报文功能。

undo icmp name redirect receive disable命令用来恢复接口接收重定向ICMP报文功能与全局接收重定向报文功能保持一致。

缺省情况下,接口接收重定向报文功能是否使能与系统接收重定向报文是否使能保持一致。

命令格式

icmp name redirect receive disable

undo icmp name redirect receive disable

参数说明

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当交换机检测到一台主机使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。交换机也会把初始ICMP重定向报文向它的目的地转发。当网络繁忙的时候,接收大量的ICMP重定向报文会增大网络的流量负担,明显降低设备的性能。

因此为了提高网络的性能和增强网络的安全,可以使用icmp name redirect receive disable命令去使能接收ICMP重定向报文功能,减轻网络流量负担提高设备的性能。

使用实例

# 去使能接口VLANIF100的ICMP重定向报文接收功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] icmp name redirect receive disable

icmp name redirect receive enable

命令功能

icmp name redirect receive enable命令用来使能接口接收重定向ICMP报文功能。

undo icmp name redirect receive enable命令用来恢复接口接收重定向ICMP报文功能与全局接收重定向报文功能保持一致。

缺省情况下,接口接收重定向报文功能是否使能与系统接收重定向报文是否使能保持一致。

命令格式

icmp name redirect receive enable

undo icmp name redirect receive enable

参数说明

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当交换机检测到一台主机使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。交换机也会把初始ICMP重定向报文向它的目的地转发。当网络繁忙的时候,接收大量的ICMP重定向报文会增大网络的流量负担,明显降低设备的性能。因此用户为了提高网络性能和增强网络安全,通常会使用icmp name redirect receive disable命令去使能接口接收ICMP重定向报文功能。

当用户需要接口重新使能接收ICMP重定向功能时,可以通过icmp name redirect receive disable命令使能该功能。

使用实例

# 使能接口VLANIF100的ICMP重定向报文接收功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] icmp name redirect receive enable

icmp name unreachable receive disable

命令功能

icmp name unreachable receive disable命令用来使能丢弃目的不可达ICMP报文功能。

undo icmp name unreachable receive disable命令用来去使能丢弃目的不可达ICMP报文功能。

缺省情况下,未使能丢弃目的不可达ICMP报文功能。

命令格式

icmp name unreachable receive disable

undo icmp name unreachable receive disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

在网络正常的情况下,可以正确发送ICMP报文。但是,在网络流量较大时,如果频繁出现目的不可达ICMP报文现象,则路由设备会接收大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。因此,为了减轻设备处理ICMP不可达报文的压力,可以通过icmp name unreachable receive disable命令丢弃掉ICMP目的不可达报文。

使用实例

# 使能丢弃ICMP不可达报文功能。

<HUAWEI> system-view
[~HUAWEI] icmp name unreachable receive disable

icmp receive disable(接口视图)

命令功能

icmp receive disable命令用来去使能系统接收ICMP报文的功能。

undo icmp receive disable命令用来恢复接口接收ICMP报文的功能与系统接收ICMP报文的功能保持一致。

缺省情况下,接口接收ICMP报文功能是否使能与系统接收ICMP报文功能是否使能保持一致。

命令格式

icmp { all | name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | port-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive disable

undo icmp { all | name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive disable

参数说明

参数 参数说明 取值
all 使能系统接收所有类型ICMP报文的功能。 -
name 使能系统接收指定名称的ICMP报文的功能。 -
echo 使能系统接收ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能系统接收ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能系统接收需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
host-redirect 使能系统接收主机重定向报文(host-redirect)的功能。 -
host-tos-redirect 使能系统接收主机ToS重定向报文(host-tos-redirect)的功能。 -
host-unreachable 使能系统接收ICMP主机不可达报文(host-unreachable)的功能。 -
information-reply 使能系统接收信息应答报文(information-reply)的功能。 -
information-request 使能系统接收信息请求报文(information-request)的功能。 -
net-redirect 使能系统接收网络重定向报文(net-redirect)的功能。 -
net-tos-redirect 使能系统接收网络ToS重定向报文(net-tos-redirect)的功能。 -
net-unreachable 使能系统接收网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能系统接收参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能系统接收ICMP端口不可达报文(port-unreachable)的功能。 -
protocol-unreachable 使能系统接收协议不可达报文(protocol-unreachable)的功能。 -
reassembly-timeout 使能系统接收分片重组超时报文(reassembly-timeout)的功能。 -
source-quench 使能系统接收源站抑制报文(source-quench)的功能。 -
source-route-failed 使能系统接收源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能系统接收时间戳请求报文(timestamp-request)的功能。 -
timestamp-request 使能系统接收时间戳应答报文(timestamp-reply)的功能。 -
ttl-exceeded 使能系统接收ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能系统接收指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-55

表8-55  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确接收ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会接收大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。

因此为了提高网络的性能和增强网络的安全,可以使用icmp receive disable命令去使能系统接收ICMP报文的功能,防止针对这些ICMP报文的安全攻击。

注意事项

在网络状态良好的情况下,当需要恢复系统接收ICMP报文的功能时,执行icmp receive enable命令。

使用实例

# 去使能接口接收ICMP主机不可达报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI] icmp name host-unreachable receive disable

icmp receive enable(接口视图)

命令功能

icmp receive enable命令用来使能系统接收ICMP报文的功能。

undo icmp receive enable命令用来恢复接口接收ICMP报文的功能与系统发送ICMP报文的功能保持一致。

缺省情况下,接口接收ICMP报文功能是否使能与系统接收ICMP报文功能是否使能保持一致。

命令格式

icmp { all | name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive enable

undo icmp { all | name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive enable

参数说明

参数 参数说明 取值
all 使能系统接收所有类型ICMP报文的功能。 -
name 使能系统接收指定名称的ICMP报文的功能。 -
echo 使能系统接收ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能系统接收ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能系统接收需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
host-redirect 使能系统接收主机重定向报文(host-redirect)的功能。 -
host-tos-redirect 使能系统接收主机ToS重定向报文(host-tos-redirect)的功能。 -
host-unreachable 使能系统接收ICMP主机不可达报文(host-unreachable)的功能。 -
information-reply 使能系统接收信息应答报文(information-reply)的功能。 -
information-request 使能系统接收信息请求报文(information-request)的功能。 -
net-redirect 使能系统接收网络重定向报文(net-redirect)的功能。 -
net-tos-redirect 使能系统接收网络ToS重定向报文(net-tos-redirect)的功能。 -
net-unreachable 使能系统接收网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能系统接收参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能系统接收ICMP端口不可达报文(port-unreachable)的功能。 -
protocol-unreachable 使能系统接收协议不可达报文(protocol-unreachable)的功能。 -
reassembly-timeout 使能系统接收分片重组超时报文(reassembly-timeout)的功能。 -
source-quench 使能系统接收源站抑制报文(source-quench)的功能。 -
source-route-failed 使能系统接收源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能系统接收时间戳请求报文(timestamp-request)的功能。 -
timestamp-request 使能系统接收时间戳应答报文(timestamp-reply)的功能。 -
ttl-exceeded 使能系统接收ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能系统接收指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-56

表8-56  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

接口视图

缺省级别

2:配置级

使用指南

在网络正常的情况下,可以正确接收ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会接收大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。因此为了提高网络的性能和增强网络的安全,可以使用icmp receive disable命令去使能系统接收ICMP报文的功能。

当用户需要接口重新使能接收ICMP报文功能时,可以通过icmp receive enable命令使能该功能。

使用实例

# 使能接口接收ICMP主机不可达报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI] icmp name host-unreachable receive enable

icmp receive disable(系统视图)

命令功能

icmp receive disable命令用来去使能设备接收ICMP报文的功能。

undo icmp receive disable命令用来使能设备接收ICMP报文的功能。

缺省情况下,设备接收ICMP报文的功能处于使能状态。

命令格式

icmp { name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive disable

undo icmp { name { echo | echo-reply | fragmentneed-dfset | host-redirect | host-tos-redirect | host-unreachable | port-unreachable | information-reply | information-request | net-redirect | net-tos-redirect | net-unreachable | parameter-problem | port-unreachable | protocol-unreachable | reassembly-timeout | source-quench | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } receive disable

参数说明

参数 参数说明 取值
name 使能设备接收指定名称的ICMP报文的功能。 -
echo 使能设备接收ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能设备接收ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能设备接收需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
host-redirect 使能设备接收主机重定向报文(host-redirect)的功能。 -
host-tos-redirect 使能设备接收主机TOS重定向报文(host-tos-redirect)的功能。 -
host-unreachable 使能设备接收ICMP主机不可达报文(host-unreachable)的功能。 -
information-reply 使能设备接收信息应答报文(information-reply)的功能。 -
information-request 使能设备接收信息请求报文(information-request)的功能。 -
net-redirect 使能设备接收网络重定向报文(net-redirect)的功能。 -
net-tos-redirect 使能设备接收网络TOS重定向报文(net-tos-redirect)的功能。 -
net-unreachable 使能设备接收网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能设备接收参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能设备接收ICMP端口不可达报文(port-unreachable)的功能。 -
protocol-unreachable 使能设备接收协议不可达报文(protocol-unreachable)的功能。 -
reassembly-timeout 使能设备接收分片重组超时报文(reassembly-timeout)的功能。 -
source-quench 使能设备接收源站抑制报文(source-quench)的功能。 -
source-route-failed 使能设备接收源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能设备接收时间戳请求报文(timestamp-request)的功能。 -
timestamp-request 使能设备接收时间戳应答报文(timestamp-reply)的功能。 -
ttl-exceeded 使能设备接收ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能设备接收指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-57

表8-57  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确接收ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会接收大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。

因此为了提高网络的性能和增强网络的安全,可以使用icmp receive disable命令去使能系统接收ICMP报文的功能,防止针对这些ICMP报文的安全攻击。

注意事项

去使能系统接收ICMP报文的功能后,系统只会统计被丢弃的报文总数。

在网络状态良好的情况下,当需要恢复系统接收ICMP报文的功能时,执行undo icmp receive disable命令。

使用实例

# 使能设备接收ICMP主机不可达报文的功能。

<HUAWEI> system-view
[~HUAWEI] undo icmp name host-unreachable receive disable

icmp send disable(接口视图)

命令功能

icmp send disable命令用来去使能系统发送ICMP报文的功能。

undo icmp send disable命令用来恢复接口发送ICMP报文功能与全局发送ICMP报文功能保持一致。

缺省情况下,接口发送ICMP报文功能是否使能与系统发送ICMP报文功能是否使能保持一致。

命令格式

icmp { all | name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send disable

undo icmp { all | name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send disable

参数说明

参数 参数说明 取值
all 使能系统发送所有类型ICMP报文的功能。 -
name 使能系统发送指定名称的ICMP报文的功能。 -
echo 使能系统发送ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能系统发送ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能系统发送需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
net-unreachable 使能系统发送网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能系统发送参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能系统发送ICMP端口不可达报文(port-unreachable)的功能。 -
reassembly-timeout 使能系统发送分片重组超时报文(reassembly-timeout)的功能。 -
source-route-failed 使能系统发送源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能系统发送时间戳应答报文(timestamp-reply)的功能。 -
timestamp-request 使能系统发送时间戳请求报文(timestamp-request)的功能。 -
ttl-exceeded 使能系统发送ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能系统发送指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-58

表8-58  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

reassembly-timeout

11

1

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确发送ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会发送大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。因此为了提高网络的性能和增强网络的安全,可以使用icmp send disable命令去使能系统发送ICMP报文的功能。

注意事项

在网络状态良好的情况下,当需要恢复接口发送ICMP报文的功能时,执行icmp send enable命令。

使用实例

# 去使能接口发送时间戳请求报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI] icmp name timestamp-request send disable

icmp send enable(接口视图)

命令功能

icmp send enable命令用来使能接口发送ICMP报文的功能。

undo icmp send enable命令用来恢复接口发送ICMP报文的功能与系统发送ICMP报文的功能保持一致。

缺省情况下,接口发送ICMP报文功能是否使能与系统发送ICMP报文功能是否使能保持一致。

命令格式

icmp{ all | name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send enable

undo icmp{ all | name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send enable

参数说明

参数 参数说明 取值
all 使能系统发送所有类型ICMP报文的功能。 -
name 使能系统发送指定名称的ICMP报文的功能。 -
echo 使能系统发送ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能系统发送ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能系统发送需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
net-unreachable 使能系统发送网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能系统发送参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能系统发送ICMP端口不可达报文(port-unreachable)的功能。 -
reassembly-timeout 使能系统发送分片重组超时报文(reassembly-timeout)的功能。 -
source-route-failed 使能系统发送源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能系统发送时间戳应答报文(timestamp-reply)的功能。 -
timestamp-request 使能系统发送时间戳请求报文(timestamp-request)的功能。 -
ttl-exceeded 使能系统发送ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能系统发送指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-59

表8-59  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

reassembly-timeout

11

1

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

接口视图

缺省级别

2:配置级

使用指南

在网络正常的情况下,可以正确发送ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则接口会发送大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。为了提高网络的性能和增强网络的安全,可以通过icmp send disable命令去使能接口发送ICMP报文的功能,防止针对这些ICMP报文的安全攻击。

当用户需要接口重新使能发送ICMP报文功能时,可以通过icmp send enable命令使能该功能。

使用实例

# 使能接口发送时间戳请求报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI] icmp name timestamp-request send enable

icmp send disable(系统视图)

命令功能

icmp send disable命令用来去使能设备发送ICMP报文的功能。

undo icmp send disable命令用来使能设备发送ICMP报文的功能。

缺省情况下,设备发送ICMP报文的功能处于使能状态。

命令格式

icmp { name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send disable

undo icmp { name { echo | echo-reply | fragmentneed-dfset | net-unreachable | parameter-problem | port-unreachable | reassembly-timeout | source-route-failed | timestamp-reply | timestamp-request | ttl-exceeded } | type type code code } send disable

参数说明

参数 参数说明 取值
name 使能设备发送指定名称的ICMP报文的功能。 -
echo 使能设备发送ICMP回显请求报文(echo)的功能。在进行ping操作的时候,向目的主机发送该报文。目的主机回复回显应答报文(echo-reply),通告请求方目的可达。 -
echo-reply 使能设备发送ICMP应答报文(echo-reply)的功能。 -
fragmentneed-dfset 使能设备发送需要分片但却设置了不分片标志报文(fragmentneed-dfset)的功能。 -
net-unreachable 使能设备发送网络不可达报文(net-unreachable)的功能。 -
parameter-problem 使能设备发送参数错误报文(parameter-problem)的功能。 -
port-unreachable 使能设备发送ICMP端口不可达报文(port-unreachable)的功能。 -
reassembly-timeout 使能设备发送分片重组超时报文(reassembly-timeout)的功能。 -
source-route-failed 使能设备发送源路由失败报文(source-route-failed)的功能。 -
timestamp-reply 使能设备发送时间戳请求报文(timestamp-request)的功能。 -
timestamp-request 使能设备发送时间戳应答报文(timestamp-reply)的功能。 -
ttl-exceeded 使能设备发送ICMP TTL超时报文(ttl-exceeded)的功能。 -
type type code code 使能设备发送指定类型与消息码的ICMP报文的功能。

type:整数形式,取值范围是0~255。

code:整数形式,取值范围是0~255。

ICMP报文的名称与typecode取值的对应关系,请参考表8-60

表8-60  ICMP报文的名称与typecode取值的对应关系
name type code

echo

8

0

echo-reply

0

0

fragmentneed-dfset

3

4

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

reassembly-timeout

11

1

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确发送ICMP报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会发送大量的ICMP报文,这样会增大网络的流量负担,明显降低路由设备的性能。同时,网络攻击者经常利用ICMP差错报文非法刺探网络内部结构。

因此为了提高网络的性能和增强网络的安全,可以使用icmp send disable命令去使能系统发送ICMP报文的功能,防止针对这些ICMP报文的安全攻击。

注意事项

去使能系统发送ICMP报文的功能后,系统只会统计被丢弃的报文总数。

在网络状态良好的情况下,当需要恢复系统发送ICMP报文的功能时,执行undo icmp send disable命令。

针对网络不可达和主机不可达的情况,标准协议未要求路由设备必须支持回应主机不可达报文,目前交换机支持在接收到报文并且查询不到路由表的情况下,回应网络不可达报文。

对于FIB Miss的场景,设备默认会回复网络不可达报文;对于ARP Miss的场景,设备默认不回应,并触发ARP学习。

使用实例

# 使能设备发送ICMP回显请求报文(echo)的功能。

<HUAWEI> system-view
[~HUAWEI] undo icmp name echo send disable

icmp ttl-exceeded drop

命令功能

icmp ttl-exceeded drop命令用来使能接口板丢弃TTL=1或TTL=0的ICMP报文功能。

undo icmp ttl-exceeded drop命令用来去使能接口板丢弃TTL=1或TTL=0的ICMP报文功能。

缺省情况下,未使能丢弃TTL=1或TTL=0的ICMP报文功能。

命令格式

icmp ttl-exceeded drop { all | slot slot-id }

undo icmp ttl-exceeded drop { all | slot slot-id }

参数说明

参数 参数说明 取值
all 所有接口板。 -
slot slot-id 指定接口板槽位号。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备收到IP数据报文后,如果报文的目的地不是本地且报文的TTL字段是1或0,则会发送TTL超时ICMP差错报文。攻击者通常会利用这一点发送TTL=1或TTL=0的报文攻击设备,设备接收到大量需要发送ICMP差错报文的恶意攻击报文,会因为处理大量该类报文而导致性能降低。此时可以通过icmp ttl-exceeded drop命令丢弃TTL=1或TTL=0的ICMP报文,减轻设备处理ICMP报文的压力,提高网络的性能和增强网络的安全。

使用实例

# 使能丢弃TTL=1或TTL=0的ICMP报文功能。

<HUAWEI> system-view
[~HUAWEI] icmp ttl-exceeded drop all

icmp with-options drop

命令功能

icmp with-options drop命令用来使能丢弃带选项的ICMP报文功能。

undo icmp with-options drop命令用来去使能丢弃带选项的ICMP报文功能。

缺省情况下,未使能丢弃带选项的ICMP报文功能。

命令格式

icmp with-options drop { all | slot slot-id }

undo icmp with-options drop { all | slot slot-id }

参数说明

参数 参数说明 取值
all 所有接口板。 -
slot slot-id 指定接口板槽位号。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当设备收到大量带选项的ICMP报文攻击设备时,会增大网络的流量负担,明显降低路由设备的性能。此时可以通过icmp with-options drop命令丢弃掉带选项ICMP报文,减轻设备处理带选项ICMP报文的压力,提高网络的性能和增强网络的安全。

使用实例

# 使能丢弃带选项的ICMP报文功能。

<HUAWEI> system-view
[~HUAWEI] icmp with-options drop all

icmp echo-reply fast disable

命令功能

icmp echo-reply fast disable命令用来去使能设备的ping快回功能。

undo icmp echo-reply fast disable命令用来使能设备的ping快回功能。

缺省情况下,设备ping快回功能处于使能状态。

命令格式

icmp echo-reply fast disable

undo icmp echo-reply fast disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下设备上的ping快回功能处于使能状态,即设备对收到的目的地址是自己的ICMP Echo Request报文进行快速应答。在某些维护或调试场景,用户可以执行命令icmp echo-reply fast disable,去使能ping快回功能。

注意事项

  • 对于管理网口收到的ICMP报文,不支持Ping快回。
  • CE6810LI:不支持Ping快回功能。
  • 当系统资源模式为以下模式时,设备不支持Ping快回功能:
    • CE5855EI:系统资源模式为standard、large-arp或super-arp模式。
    • 除CE5855EI外:系统资源模式为large-arp模式。
  • 设备使能ICMP报文的攻击溯源功能后,Ping快回功能不生效。

  • 设备的ping快回功能开启的情况下,ICMP流量抑制功能不生效。
  • 设备仅对如下报文支持Ping快回功能:
    • 普通的ICMP报文。
    • 除CE6855HI、CE6856HI、CE6870EI、CE6880EI、CE7855EI以外的设备接收的带有VXLAN封装的ICMP报文。

使用实例

# 去使能设备的ping快回功能。

<HUAWEI> system-view
[~HUAWEI] icmp echo-reply fast disable

ip forward-broadcast

命令功能

ip forward-broadcast命令用来使能设备接收和转发直连网段的定向广播报文。

undo ip forward-broadcast命令用来去使能设备接收或转发直连网段的定向广播报文。

缺省情况下,设备不支持接收或转发直连网段的定向广播报文。

命令格式

ip forward-broadcast [ acl { acl-number | name acl-name } ]

undo ip forward-broadcast [ acl { acl-number | name acl-name } ]

参数说明

参数 参数说明 取值
acl-number

指定绑定的ACL编号。

整数形式,取值范围是2000~3999。其中:

  • 2000~2999表示基本ACL的编号

  • 3000~3999表示高级ACL的编号

acl-name

指定绑定的ACL名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32。以英文字母或数字开始,但不能是纯数字。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

定向广播报文是指发送给特定网络的广播报文。该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。

接口接收和转发直连网段的定向广播报文包括以下几种情况:
  • 在接收定向广播报文的情况下,如果在接口上配置了此命令,设备允许接收此接口直连网段的定向广播报文。
  • 在转发定向广播报文的情况下,如果在接口上配置了此命令,设备从其他接口接收到目的地址为此接口直连网段的定向广播报文时,会从此接口转发此类报文。

黑客可以利用定向广播报文来攻击网络系统,给网络的安全带来了很大的隐患。但在某些应用环境下,设备接口需要接收或转发这类定向广播报文,例如,使用UDP Helper功能,将广播报文转换为单播报文发送给指定的服务器。在上述情况下,用户可以通过命令配置接口允许接收和转发直连网段的定向广播报文。

该命令支持基于ACL对某一类广播报文使能接收和转发,以基本ACL规则为例,用户可以先执行acl(系统视图)rule(ACL视图)命令将需要接收和转发的定向广播报文定义为permit,然后再执行ip forward-broadcast命令绑定该ACL规则。

注意事项

使能设备接收和转发直连网段的定向广播报文功能后,定向广播报文有可能会被设备认为是攻击报文(例如UDP目的端口号为7(echo)的定向广播报文),从而被设备的攻击防范功能丢弃。此时,如果需要转发这些报文,请关闭对应的攻击防范功能。

使用实例

# 去使能设备接收并转发目的地址为接口所在网络的定向广播报文。

<HUAWEI> system-view
[~HUAWEI] interface 10ge1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] undo ip forward-broadcast acl 2001

ip fragment enable

命令功能

ip fragment enable命令用来使能IPv4报文分片功能。

undo ip fragment enable命令用来去使能IPv4报文分片功能。

缺省情况下,IPv4报文分片功能处于未使能状态。

说明:
仅CE6880EI设备支持此命令。

命令格式

ip fragment enable

undo ip fragment enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果IPv4报文长度超过接口的MTU值,报文在网络中转发时会被丢弃。对于经CPU软转发的IPv4报文,可以配置clear ip df命令在接口的出方向使能IPv4报文强制分片功能。对于经芯片转发的IPv4报文,可以配置ip fragment enable命令使能IPv4报文分片功能。

注意事项

  • 配置ip fragment enable命令前,应合理设置接口的MTU值。如果MTU值过小,IPv4报文分片会比较多(设备支持4个分片报文的重组),这将导致IPv4报文三层转发性能下降。
  • 配置ip fragment enable命令后,设备收到DF置位且超过MTU的IP报文后,会将该报文上送CPU,并向源端发送MTU差错报文。

使用实例

# 使能报文分片功能。

<HUAWEI> system-view
[~HUAWEI] ip fragment enable

ip option disable

命令功能

ip option disable命令用来去使能系统处理带路由选项的IP报文的功能。

undo ip option disable命令用来使能系统处理带路由选项的IP报文的功能。

缺省情况下,使能系统处理带路由选项的IP报文的功能。

命令格式

ip option { route-alert | route-record | source-route | time-stamp } disable

undo ip option { route-alert | route-record | source-route | time-stamp } disable

ip option { route-alert | route-record | source-route | time-stamp } inherent-global

参数说明

参数 参数说明 取值
route-alert 使能系统处理带路由告警选项IP报文的功能。 -
route-record 使能系统处理带记录路由选项IP报文的功能。 -
source-route 使能系统处理带源路由选项IP报文的功能。该选项控制报文传输路径。 -
time-stamp 使能系统处理带记录时间戳选项IP报文的功能。该选项用于计算报文传输/处理时消耗的时间。 -
inherent-global 继承全局配置。该参数仅在接口视图下可配置。 -

视图

系统视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

IP报文可以携带路由选项:

  • 路由告警选项
  • 路由记录选项
  • 源路由选项
  • 时间戳选项

通常情况下这些选项用于网络路径的故障诊断和特殊业务的临时传送。但是这些选项可能被网络攻击者利用,探测网络结构并发动攻击。所以需要利用命令行控制系统是否处理这些带路由选项的IP报文。

缺省情况下,设备处理带路由选项的IP报文。当为了防止针对这种报文的攻击时,可以去使能系统处理带路由选项IP报文的功能。

配置影响

去使能系统处理带路由选项的IP报文的功能后,系统只会统计被丢弃的报文总数。

注意事项

在网络状态良好的情况下,当需要恢复系统处理带路由选项的IP报文的功能时,执行undo ip option disable命令。

使用实例

# 去使能系统路由告警选项处理功能。

<HUAWEI> system-view
[*HUAWEI] ip option route-alert disable

ip option inherent-global

命令功能

ip option inherent-global命令用来清除接口下路由选项的配置记录。

缺省情况下,未清除接口下路由选项配置记录。

命令格式

ip option { route-alert | route-record | source-route | time-stamp } inherent-global

参数说明

参数 参数说明 取值
route-alert 清除接口下路由告警选项的配置记录。 -
route-record 清除接口下记录路由选项的配置记录。 -
source-route 清除接口下源路由选项的配置记录。 -
time-stamp 清除接口下记录时间戳选项的配置记录。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

接口下执行ip option { route-alert | route-record | source-route | time-stamp } inherent-global命令可以清除接口下路由选项的配置记录。

使用实例

# 清除接口10GE1/0/1下路由告警选项的配置记录。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1 
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ip option route-alert inherent-global
相关主题

ip ttl decrement disable

命令功能

ip ttl decrement disable命令用来去使能设备转发IP报文时TTL减1功能。

undo ip ttl decrement disable命令用来使能设备转发IP报文时TTL减1功能。

缺省情况下,设备转发IP报文时TTL减1功能处于使能状态。

说明:

仅CE6870EI支持该命令。

命令格式

ip ttl decrement disable

undo ip ttl decrement disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

分流的报文通过设备进行三层转发时,报文的TTL值减1,这就改变了报文的内容。为了保证分流后的报文与原报文内容一致,在设备上执行命令ip ttl decrement disable,使分流报文经过设备进行三层转发时TTL值不改变。

使用实例

# 去使能设备转发报文时TTL减1功能。

<HUAWEI> system-view
[~HUAWEI] ip ttl decrement disable

ip verify source-address

命令功能

ip verify source-address命令用来设置接口对接收到的报文进行源地址合法性检查,非法源地址的报文将被丢弃。

undo ip verify source-address命令用来取消接口对接收到的报文进行源地址合法性检查。

缺省情况下,接口不对接收的报文进行源地址合法性检查。

命令格式

ip verify source-address

undo ip verify source-address

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

标准协议中对于IP源地址的范围有如下规定:
  • A、B、C类地址中的广播地址不可作为源地址
  • D类地址,即组播地址不可作为源地址
  • E类地址是保留地址,不可作为源地址
  • 全F地址不可作为源地址
  • 127段地址不可在主机外的网络中作为源地址使用

但是在实际业务场景中,存在使用这些地址作为源地址的情况,比如A、B、C类地址存在掩码为32位的可能,此时A、B、C类广播地址为可用地址,所以在默认情况下,设备对源地址的检查过滤功能是去使能的。

该命令主要用于安全防范攻击的场景下,如果用户发现设备受到了来自网络的源地址为广播地址或组播地址的恶意报文攻击,则可以配置该命令,将此类报文过滤掉,从而保证设备的安全性。

使用实例

# 使能以太网接口10GE1/0/1对接收报文的源地址检测。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*-10GE1/0/1] ip verify source-address

ipv4 forwarding reassembling timeout

命令功能

ipv4 forwarding reassembling timeout命令用来设置IPv4分片报文的重组超时时间。

undo ipv4 reassembling timeout命令用来恢复IPv4分片报文的重组超时时间为缺省值。

缺省情况下,IPv4分片报文的重组超时时间是100毫秒。

说明:
仅CE6880EI设备支持此命令。

命令格式

ipv4 forwarding reassembling timeout time

undo ipv4 forwarding reassembling timeout

参数说明

参数 参数说明 取值
time 指定IPv4分片报文重组超时的时间。 整数形式,取值范围是50~3600,单位是毫秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提高设备的性能,防止攻击,适当设置重组超时时间,可以使长时间等待重组完成的重组队列及时被老化。

注意事项

使用该命令会改变IPv4分片报文的重组超时时间,太长的超时时间,可能会造成有大量分片报文存储在设备中等待重组完成,会造成资源的持续占用,降低设备的性能,同时可能会遭受网络攻击。所以不建议将超时时间设置的过大。

使用实例

# 在系统视图下设置IPv4分片报文的重组超时时间为150毫秒。

<HUAWEI> system-view
[~HUAWEI] ipv4 forwarding reassembling timeout 150

ipv4 reassembling timeout

命令功能

ipv4 reassembling timeout命令用来设置IPv4分片报文的重组超时时间。

undo ipv4 reassembling timeout命令用来恢复IPv4分片报文的重组超时时间为缺省值。

缺省情况下,IPv4分片报文的重组超时时间是30秒。

命令格式

ipv4 reassembling timeout time

undo ipv4 reassembling timeout

参数说明

参数 参数说明 取值
time 指定IPv4分片报文重组超时的时间。 整数形式,取值范围是5~120,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提高路由设备的性能,防止攻击,适当设置重组超时时间,可以使长时间等待重组完成的重组队列及时被老化。

配置影响

使用该命令会改变IPv4分片报文的重组超时时间,太长的超时时间,可能会造成有大量分片报文存储在路由设备中等待重组完成,会造成资源的持续占用,降低交换机的性能,同时可能会遭受网络攻击。所以不建议将超时时间设置的过大。

注意事项

报文分片在出接口上进行,入接口是不会对报文做分片处理的。

使用实例

# 在系统视图下设置IPv4分片报文的重组超时时间为20秒。

<HUAWEI> system-view
[~HUAWEI] ipv4 reassembling timeout 20

reset icmp fast-reply statistics

命令功能

reset icmp fast-reply statistics命令用来清除ICMP快回的统计信息。

说明:
CE6810LI不支持本功能。

命令格式

reset icmp fast-reply statistics slot slot-id

参数说明

参数 参数说明 取值
slot slot-id 指定需要清除的设备堆叠成员ID

根据设备实际配置选取。

视图

所有视图

缺省级别

2:配置级

使用指南

在某些情况下,需要统计一定时间内ICMP快回的统计信息,这时必须在统计开始前清除原有的统计信息,重新进行统计。

使用实例

# 清除设备槽位1上的单板的ICMP快回的统计信息。

<HUAWEI> reset icmp fast-reply statistics slot 1

reset ip fragment statistics

命令功能

reset ip fragment statistics命令用来清除IPv4报文分片重组的统计信息。

命令格式

reset ip fragment statistics { slot slot-id | interface interface-type interface-number }

说明:

仅CE6880EI支持该命令。

参数说明

参数 参数说明 取值
slot slot-id 指定需要清除的设备堆叠成员ID 根据设备实际配置选取。
interface interface-type interface-number 指定需要清除的接口类型和接口编号。如果不指定,将清除该槽位上所有接口IPv4报文分片重组的统计信息。 -

视图

所有视图

缺省级别

2:配置级

使用指南

在某些情况下,需要统计一定时间内IPv4报文分片重组的统计信息,这时必须在统计开始前清除原有的统计信息,重新进行统计。

使用实例

# 清除设备1号槽位所有接口IPv4报文分片重组的统计信息。

<HUAWEI> reset ip fragment statistics slot 1

reset ip statistics

命令功能

reset ip statistics命令用来清除IP流量统计信息。

命令格式

reset ip statistics [ interface interface-type interface-number ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 清除指定接口的IP流量统计信息。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的IP流量统计信息,这时必须在统计开始前清除原有的IP流量统计信息后,使用display ip statistics命令查看IP流量统计信息。

配置影响

执行reset ip statistics命令会清除指定的IP流量统计信息。请执行该命令前确认是否要清除IP流量统计信息。

使用实例

# 清除所有接口的IP统计信息。

<HUAWEI> reset ip statistics

reset rawip statistics

命令功能

reset rawip statistics命令用来清除RawIP报文流量统计信息。

命令格式

reset rawip statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的RawIP报文流量统计信息,这时必须在统计开始前清除原有的RawIP报文流量统计信息后,使用display rawip statistics命令查看RawIP报文流量统计信息。

配置影响

执行reset rawip statistics命令会清除RawIP报文流量统计信息。请执行该命令前确认是否要清除RawIP报文流量统计信息。

使用实例

# 清除RawIP报文流量统计信息。

<HUAWEI> reset rawip statistics

reset tcp statistics

命令功能

reset tcp statistics命令用来清除TCP报文流量统计信息。

命令格式

reset tcp statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的TCP报文流量统计信息,这时必须在统计开始前清除原有的TCP报文流量统计信息后,使用display tcp statistics命令查看TCP报文流量统计信息。

配置影响

执行reset tcp statistics命令会清除TCP报文流量统计信息。请执行该命令前确认是否要清除TCP报文流量统计信息。

使用实例

# 清除TCP报文流量统计信息。

<HUAWEI> reset tcp statistics

reset udp statistics

命令功能

reset udp statistics命令用来清除UDP报文流量统计信息。

命令格式

reset udp statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的UDP报文流量统计信息,这时必须在统计开始前清除原有的UDP报文流量统计信息后,使用display udp statistics命令查看UDP报文流量统计信息。

配置影响

执行reset udp statistics命令会清除UDP报文流量统计信息。请执行该命令前确认是否要清除UDP报文流量统计信息。

使用实例

# 清除UDP报文流量统计信息。

<HUAWEI> reset udp statistics

set priority 8021p

命令功能

set priority 8021p命令用来配置8021p报文的优先级值。

undo set priority 8021p命令用来取消配置8021p报文的优先级值。

缺省情况下,未配置8021p报文的优先级。

命令格式

set priority 8021p 8021p-value

undo set priority 8021p

参数说明

参数 参数说明 取值
8021p-value 指定8021p报文的优先级。 整数形式,取值范围为0~7。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

通过该命令可以设置CPU下发的8021p报文的优先级。

使用实例

# 配置8021p报文的优先级别值为7。

<HUAWEI> system-view
[~HUAWEI] set priority 8021p 7

set priority dscp

命令功能

set priority dscp命令用来配置本设备发送的协议报文的优先级。

undo set priority dscp命令用来取消本设备发送的协议报文的DSCP优先级。

缺省情况下,未配置本设备发送的协议报文的DSCP优先级。

命令格式

set priority dscp dscp-value

undo set priority dscp

参数说明

参数 参数说明 取值
dscp-value 指定协议报文的优先级值。DSCP值越大优先级越高。 整数形式,取值范围是0~63。

视图

系统视图

缺省级别

2:配置级

使用指南

用户可以根据网络规划部署,确定路由设备的优先级,并通过配置该命令为路由设备所发送的协议报文统一打上指定的优先级,这样下游设备在接收到报文时,就能够通过报文携带的优先级划分不同的报文队列,优先级高的路由设备发送的报文得到优先处理。

使用实例

# 配置设备上所有协议报文的优先级值为10。

<HUAWEI> system-view
[~HUAWEI] set priority dscp 10

snmp-agent trap enable feature-name tcp

命令功能

snmp-agent trap enable feature-name tcp命令用来打开TCP模块的告警开关。

undo snmp-agent trap enable feature-name tcp命令用来关闭TCP模块的告警开关。

缺省情况下,TCP模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name tcp [ trap-name hwtcpmd5authenfail ]

undo snmp-agent trap enable feature-name tcp [ trap-name hwtcpmd5authenfail ]

参数说明

参数 参数说明 取值
trap-name TCP模块的指定类型事件的告警开关。 -
hwtcpmd5authenfail 使能TCP MD5认证失败告警功能,属于海量告警。 -

视图

系统视图

缺省级别

3:管理级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。如果不指定trap-name,则打开所有的TCP事件告警开关。

使用实例

# 打开TCP MD5认证失败告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name tcp trap-name hwtcpmd5authenfail

tcp max-mss

命令功能

tcp max-mss命令用来配置TCP连接的MSS(maximum segment size)最大值。

undo tcp max-mss命令用来删除TCP连接的MSS最大值。

缺省情况下,设备没有配置TCP连接的MSS最大值。

命令格式

tcp max-mss mss-value

undo tcp max-mss [ mss-value ]

参数说明

参数 参数说明 取值
mss-value 指定TCP连接的MSS最大值大小。 整数形式,单位是字节,取值范围是32~9600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

TCP在建立连接时,会协商MSS值(Maximum Segment Size),它表示本端所能接收报文(TCP报文的静荷,不包含TCP头)的最大长度。如果TCP连接的两端有其中一端Path MTU功能不可用,则该端无法根据MTU值调整TCP报文的大小,可能出现该端的TCP报文长度超出中间设备的MTU限制导致报文被丢弃的情况,为了避免这种情况的发生,可以在TCP连接的任意一端上配置tcp max-mss命令设置TCP报文的MSS最大值,则双方协商的MSS值不会超过该数值,从而对两端发送的TCP报文的长度都进行了有效的控制,使得报文能够顺利的通过中间网络。

注意事项

tcp max-mss命令配置的MSS最大值必须大于系统最小MSS 值216, 当配置小于216时,以216值生效。使用undo tcp max-mss max-mss value 时,只有当max-mss value等于之前配置过的max-mss value值时才能去使能,也可以通过undo tcp max-ms命令不加max-mss vale来去使能。

使用实例

# 配置TCP连接的MSS最大值为1024。

<HUAWEI> system-view
[~HUAWEI] tcp max-mss 1024

tcp timer fin-timeout

命令功能

tcp timer fin-timeout命令用来配置TCP FIN-Wait定时器。

undo tcp timer fin-timeout命令用来恢复TCP FIN-Wait定时器的缺省值。

缺省情况下,TCP FIN-Wait定时器值为675秒。

命令格式

tcp timer fin-timeout interval

undo tcp timer fin-timeout

参数说明

参数 参数说明 取值
interval 指定TCP FIN-Wait定时器值。 整数形式,单位是秒,取值范围是76~3600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动FIN-Wait定时器。若FIN-Wait定时器超时前仍未收到FIN报文,则TCP连接被终止。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置需要在技术支持人员的指导下进行。

使用实例

# 配置TCP FIN-Wait定时器的值为600秒。

<HUAWEI> system-view
[~HUAWEI] tcp timer fin-timeout 600

tcp timer syn-timeout

命令功能

tcp timer syn-timeout命令用来配置TCP SYN-Wait定时器。

undo tcp timer syn-timeout命令用来恢复TCP SYN-Wait定时器的缺省值。

缺省情况下,TCP SYN-Wait定时器值为75秒。

命令格式

tcp timer syn-timeout interval

undo tcp timer syn-timeout

参数说明

参数 参数说明 取值
interval 指定TCP SYN-Wait定时器值。 整数形式,单位是秒,取值范围2~600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当发送SYN报文时,TCP启动SYN-Wait定时器,若SYN-Wait超时前未收到回应报文,则TCP连接将被终止。

配置影响

该配置会变更SYN-Wait定时器超时时间,当发送SYN报文时,TCP启动SYN-Wait定时器,若SYN-Wait超时前未收到回应报文,则TCP连接将被终止。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置最好在技术支持人员的指导下进行。

使用实例

# 配置TCP SYN-Wait定时器为100秒。

<HUAWEI> system-view
[~HUAWEI] tcp timer syn-timeout 100

tcp window

命令功能

tcp window命令用来配置面向连接Socket的收发缓冲区大小。

undo tcp window命令用来恢复面向连接Socket的收发缓冲区大小的缺省值。

缺省情况下,面向连接Socket的收发缓冲区大小为8K字节。

命令格式

tcp window window-size

undo tcp window

参数说明

参数 参数说明 取值
window-size 指定面向连接Socket的收发缓冲区大小。 整数形式,单位是K字节,取值范围是1~32。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

该配置会变更TCP默认缓冲区窗口大小,当TCP连接建立时会使用这个默认窗口值协商建立TCP会话。

配置影响

该配置会变更TCP默认缓冲区窗口大小,当TCP连接建立时会使用这个默认窗口值协商建立TCP会话。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置最好在技术支持人员的指导下进行。

使用实例

# 配置面向连接Socket的收发缓冲区大小为3K字节。

<HUAWEI> system-view
[~HUAWEI] tcp window 3
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16097

下载量:404

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页