所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IP性能优化配置命令

IP性能优化配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

clear ip df

命令功能

clear ip df命令用来在接口上使能出方向控制平面IP报文的分片功能。

undo clear ip df命令用来在接口上去使能出方向控制平面IP报文的分片功能。

缺省情况下,接口上未使能出方向控制平面IP报文的分片功能。

命令格式

clear ip df

undo clear ip df

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

IP报文头中包含一个用于指示是否允许对报文分片的标志位DF(do not fragment)。通常情况下,如果一个报文的DF位被置为1,则设备不能再对该报文分片。如果对端设备或网络中间转发设备在接收报文时对报文长度进行检查并丢弃长度超过接口MTU值的报文,就会影响网络的正常通信。此时可以执行clear ip df命令使能出方向控制平面IP报文的分片功能,使控制平面DF位被置1的报文按照接口的MTU值进行分片。

在接口上使能控制平面IP报文分片功能后,对于同时满足下列条件的IP报文,系统将把DF标志设置为0,并进行分片处理:

  • IP报文头中DF(Don’t Fragment)位是1。

  • 报文长度大于出接口MTU。

注意事项

该命令仅对控制平面的IP报文生效,对转发平面的IP报文不生效。

使用实例

# 在接口VLANIF100上使能出方向控制平面IP报文的分片功能。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] clear ip df
# 在接口GE1/0/1上使能出方向控制平面IP报文的分片功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] clear ip df

discard { ra | rr | srr | ts }

命令功能

discard { ra | rr | srr | ts }命令用来配置接口丢弃带路由告警选项、路由记录选项、源路由选项或时间戳选项的报文。

undo discard { ra | rr | srr | ts }命令用来配置接口处理带路由告警选项、路由记录选项、源路由选项或时间戳选项的报文。

缺省情况下,对于上送到CPU的带路由选项的报文,设备按照路由选项信息进行处理。

命令格式

discard { ra | rr | srr | ts }

undo discard { ra | rr | srr | ts }

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

IP报文可以携带路由选项,例如:路由告警选项、路由记录选项、源路由选项和时间戳选项(分别对应命令关键字rarrsrrts)。

这些路由选项通常被用来诊断网络路径故障和临时传送特殊业务。但是,网络攻击者可能会利用这些路由选项,探测网络结构并发动攻击,导致网络安全性和设备性能降低。通过命令discard { ra | rr | srr | ts },配置设备丢弃带相应路由选项的IP报文,可以提高网络安全性和设备性能。

注意事项

该命令仅对入接口的报文起作用。

该命令仅对上送CPU的报文生效。非上送CPU的报文,无论是否配置discard { ra | rr | srr | ts }命令,设备都按照不带路由选项的报文处理并转发。

使用实例

# 在接口VLANIF100上配置丢弃带路由告警选项的报文。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] discard ra
# 在接口GE1/0/1上配置丢弃带路由告警选项的报文。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] discard ra

display icmp statistics

命令功能

display icmp statistics命令用来查看ICMP流量统计信息。

命令格式

display icmp statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当需要了解ICMP报文的发送和接收情况,可以通过display icmp statistics命令查看ICMP流量统计信息。

使用实例

# 显示ICMP流量统计信息。

<HUAWEI> display icmp statistics
  Input: bad formats         0          bad checksum            0   
         echo                10         destination unreachable 0   
         source quench       0          redirects               0   
         echo reply          25         parameter problem       0   
         timestamp request   0          information request     0   
         mask requests       0          mask replies            0   
         time exceeded       0          timestamp reply         0         
         Mping request       0          Mping reply             0   
  Output:echo                25         destination unreachable 0   
         source quench       0          redirects               0   
         echo reply          10         parameter problem       0   
         timestamp request   0          information reply       0   
         mask requests       0          mask replies            0   
         time exceeded       0          timestamp reply         0
         Mping request       0          Mping reply             0   
表6-46  display icmp statistics命令输出信息描述

项目

描述

Input

接收的报文。

Output

发送的报文。

bad formats

格式错误的报文数量。

bad checksum

校验错误的报文数量。

echo

请求报文数量。

destination unreachable

不可达报文数量。

source quench

源站抑制报文数量。

redirects

重定向报文数量。

echo reply

Echo应答报文数量。

parameter problem

参数报错报文数量。

timestamp request

时间戳请求报文数量。

information request

信息请求报文数量。

information reply

信息应答报文数量。

mask requests

掩码请求报文数量。

mask replies

掩码应答报文数量。

time exceeded

超时报文数量。

timestamp reply

时间戳应答报文数量。

Mping request

组播ping请求报文数量。

Mping reply

组播ping应答报文数量。

display ip interface

命令功能

display ip interface命令用来查看接口与IP相关的配置和统计信息,包括接口接收和发送的报文数、字节数和组播报文数,以及接口接收、发送、转发和丢弃的广播报文数。

display ip interface brief命令用来查看接口与IP相关的简要信息,包括IP地址、子网掩码、物理链路和协议的Up/Down状态以及处于不同状态的接口数目。

命令格式

display ip interface [ interface-type interface-number ]

display ip interface brief [ interface-type [ interface-number ] | slot slot-id [ card card-number ] ]

display ip interface brief [ interface-type ] &<1-8>

参数说明

参数 参数说明 取值
interface-type interface-number

指定接口类型和接口编号。如果不指定接口,将显示所有接口的IP相关信息。

-
brief 表示显示接口与IP相关摘要信息,包括IP地址、子网掩码、物理链路和协议的Up/Down状态以及处于不同状态的数目。 -
slot slot-id

显示指定槽位与IP相关的简要信息。

如果不指定槽位,将显示槽位中所有接口与IP地址相关的简要信息。

-
card card-number

显示指定子卡与IP相关的简要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

通过display ip interface brief命令可以查看:
  • 所有接口的IP相关信息
  • 指定接口类型或指定接口的IP相关信息
  • 配置了IP地址的接口的IP相关信息
不能通过该命令查看二层接口,也不能查看二层Eth-trunk的成员接口
说明:

使用实例

# 查看接口VLANIF15的IP相关信息。
<HUAWEI> display ip interface vlanif 15 
Vlanif15 current state : UP
Line protocol current state : UP
The Maximum Transmit Unit : 1500 bytes
input packets : 766390, bytes : 41540847, multicasts : 681817
output packets : 242239, bytes : 14679482, multicasts : 172333
Directed-broadcast packets:
 received packets:            0, sent packets:            0
 forwarded packets:           0, dropped packets:           0
Internet Address is 10.1.1.119/24
Broadcast address : 10.1.1.255
TTL being 1 packet number:    164035
TTL invalid packet number:         0
ICMP packet input number:          0
  Echo reply:                      0
  Unreachable:                     0
  Source quench:                   0
  Routing redirect:                0
  Echo request:                    0
  Router advert:                   0
  Router solicit:                  0
  Time exceed:                     0
  IP header bad:                   0
  Timestamp request:               0
  Timestamp reply:                 0
  Information request:             0
  Information reply:               0
  Netmask request:                 0
  Netmask reply:                   0
  Unknown type:                    0    
表6-47  display ip interface命令输出信息描述

项目

描述

Vlanif15 current state

UP:接口处于正常启动的状态。

DOWN:接口在物理上出现故障。

Administratively DOWN:如果网络管理员在该接口执行shutdown命令,将显示状态为Administratively DOWN。

Line protocol current state

显示该接口的链路协议状态。
  • UP:接口的链路协议处于正常的启动状态。
  • DOWN:接口的链路协议不正常,或者没有在此接口配置IP地址。

The Maximum Transmit Unit

接口的最大传输单元(MTU)。例如以太网接口或串口的默认值是1500字节。长度大于MTU的报文,将会被分片后再发送。如果设置了不准分片,会被丢弃。

input packets : 766390, bytes : 41540847, multicasts : 681817

接口接收的总报文数、总字节数和组播数。

output packets : 242239, bytes : 14679482, multicasts : 172333

接口发送的总报文数、总字节数和组播数。

Directed-broadcast packets

接口直接广播的报文数。

received packets

接收到的报文总数。

sent packets

发送的报文总数。

forwarded packets

转发的报文总数。

dropped packets

丢弃的报文总数。

Internet Address is

在接口上配置的IP地址和掩码长度。

Broadcast address

接口的广播地址。

TTL being 1 packet number

TTL值为1的报文数。

TTL invalid packet number

TTL无效报文数。

ICMP packet input number

接收到的ICMP报文数。

Echo reply

回送应答报文数。

Unreachable

目的不可达的报文数。

Source quench

源站抑制报文数。

Routing redirect

重定向报文数。

Echo request

回送请求报文数。

Router advert

设备通告报文数。

Router solicit

设备请求报文数。

Time exceed

超时报文数。

IP header bad

IP头坏了的报文数。

Timestamp request

时间戳请求报文数。

Timestamp reply

时间戳应答报文数。

Information request

信息请求报文数。

Information reply

信息应答报文数。

Netmask request

地址掩码请求报文数。

Netmask reply

地址掩码应答报文数。

Unknown type

未知类型的报文数。

# 查看接口VLANIF15的简略信息。
<HUAWEI> display ip interface brief vlanif 15
*down: administratively down
!down: FIB overload down 
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down 
Interface                         IP Address/Mask      Physical   Protocol
Vlanif15                          10.1.1.119/24        up         up        
表6-48  display ip interface brief命令输出信息描述

项目

描述

*down

显示vlanif接口的物理状态位DOWN的原因。Administratively down:如果网络管理员在该接口执行shutdown命令,将显示状态为Administratively down。

!down

由于接口板的FIB路由前缀容量超限,接口处于Down状态。

^down

表示该接口是备份接口。

(l): loopback

l代表环回。

(s): spoofing

s代表哄骗。

(d): Dampening Suppressed

表示该接口处于协议模块抑制状态。

(E): E-Trunk down

表示该Eth-Trunk接口由于E-Trunk协议协商,导致接口处于Down状态。

Interface

接口类型和接口编号。

IP Address/Mask

接口的IP地址和掩码。

Physical

接口的物理状态。

  • Up:接口处于正常启动的状态。其中(l)表示在接口上设置了环回功能。
  • Down:接口在物理上出现故障。
  • *down:网络管理员在该接口执行了shutdown命令。其中(l)表示在接口上设置了环回功能。

Protocol

接口的链路协议状态。

  • Up:接口的链路协议处于正常的启动状态。其中(s)表示接口创建时不用配置IP地址协议状态就显示为Up,是接口的固有属性,接口上配置了IP地址仍会被显示。
  • Down:接口的链路协议不正常,或者没有在此接口配置IP地址。

其中(l)表示在接口上设置了环回功能。

相关主题

display ip forwarding status

命令功能

display ip forwarding status命令用来查看交换机当前IPv4三层单播转发功能的状态。

命令格式

display ip forwarding status

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用本命令可以查看交换机当前IPv4三层单播转发功能的状态。

使用实例

# 查看交换机当前IPv4三层单播转发功能的状态。

<HUAWEI> display ip forwarding status
Current IP forwarding status: Open
表6-49  display ip forwarding status命令输出信息描述

项目

描述

Current IP forwarding status

当前IPv4三层单播转发功能的状态:

  • Open:当前IPv4三层单播转发功能已开启。

  • Closed:当前IPv4三层单播转发功能已关闭。

IPv4三层单播转发功能的状态可通过ip forwarding disable命令设置。

display ip socket

命令功能

display ip socket命令用来查看已创建的IPv4 Socket信息。

命令格式

display ip [ ha ] socket [ monitor ] [ task-id task-id socket-id socket-id | socket-type socket-type ]

参数说明

参数 参数说明 取值
ha 显示备用主控板的IPv4 Socket信息。 -
monitor 指定需要显示Socket Monitor中的信息,即在显示Socket信息的同时,还需要显示Socket Monitor中的信息。如果不指定可选参数,该命令显示所有类型的Socket信息。 -
task-id task-id 指定任务ID,显示此任务ID的Socket信息。 必须是已经存在的任务ID。
socket-id socket-id 指定Socket ID号,显示此Socket ID的Socket信息。 必须是已经存在的Socket ID。
socket-type socket-type 指定Socket类型,显示该类型的Socket信息。 整数形式,取值范围如表6-50所示。
表6-50  参数socket-type socket-type的取值

取值

含义

1

TCP报文性质的Socket

2

UDP报文性质的Socket

3

RAWIP性质的Socket

4

RAWLINK性质的Socket

视图

所有视图

缺省级别

1:监控级

使用指南

Socket Monitor是针对每一个连接的监控记录体(RAWLink还分出接口监控),Socket Monitor根据各协议的区别,在运行过程中,记录指定关注的事件,并在适当的时候,将其中的信息以log形式记录到磁盘空间。

Socket Monitor相当于系统的黑匣子,在系统运行期间记录指定关注的事件。在系统出现故障时,可以通过Socket Monitor中的信息来定位故障原因。

通过设置过滤条件(Task ID、Socket ID、Socket的类型),只有满足过滤条件的信息会被显示出来。这样可以减少显示信息输出的数量,提高信息的有用性,提高问题定位的精确度和效率。

使用实例

# 显示IP Socket的状态信息。
<HUAWEI> display ip socket monitor
SOCK_STREAM:
Task = VTYD(30), socketid = 1, Proto = 6, 
LA = 0.0.0.0:23, FA = 0.0.0.0:0, 
sndbuf = 8192, rcvbuf = 8192, sb_cc = 0, rb_cc = 0, 
socket option = SO_ACCEPTCONN SO_KEEPALIVE SO_LINGER SO_REUSEPORT SO_SENDVPNID(23553) SO_SETKEEPALIVE SO_SETACL,
socket state = SS_PRIV SS_ASYNC
                          Socket Monitor:
Asyn Que status:
 read = 0, write = 0, connect = 0, close = 0,
 peer close = 0, accept = 0, keep alive down = 0,
 cram time = 0000-00-00 00:00:00+08:00, lost msg= 0, msg type=0x00000000;
Nothing else has been captured!
SOCK_DGRAM: 
Task = DHCP(54), socketid = 2, Proto = 17,
LA = 0.0.0.0:67, FA = 0.0.0.0:0,
sndbuf = 9216, rcvbuf = 41600, sb_cc = 0, rb_cc = 0, 
socket option = SO_BROADCAST SO_REUSEPORT SO_UDPCHECKSUM SO_SENDVPNID(14849),
socket state = SS_PRIV
                          Socket Monitor:
Statistics:
 input packets = 6,recv packets = 6,output packets = 0;
Rcvbuf status: 
 cram time = 0000-00-00 00:00:00+00:00, full times = 0,dropped packets = 0;
Asyn Que status: 
 read = 0, write = 0, connect = 0, close = 0, 
 peer close = 0, accept = 0, keep alive down = 0, 
 smb input = 0, smb output = 0, smooth over = 0,
 cram time = 0000-00-00 00:00:00+00:00, lost msg = 0, msg type = 0x00000000;
# 显示Task ID为23,Sock ID为1的IP Socket的状态信息。
<HUAWEI> display ip socket monitor task-id 23 socket-id 1
Task = RSVP(23), socketid = 1, Proto = 46,
LA = 0.0.0.0, FA = 0.0.0.0,
sndbuf = 4194304, rcvbuf = 4194304, sb_cc = 0, rb_cc = 0,
socket option = 0,
socket state = SS_PRIV SS_NBIO SS_ASYNC
                          Socket Monitor:
Statistics:
 input packets = 0,recv packets = 0,output packets = 0;
Rcvbuf status:
 cram time = 00H00M00S: full times = 0,dropped packets = 0;
Asyn Que status:
 read = 0, write = 0, connect = 0, close = 0,
 peer close = 0, accept = 0, keep alive down = 0,
 smb input = 0, smb output = 0, smooth over = 0,
 cram time = 00H00M00S, lost msg = 0, msg type = 0x00000000;
# 显示Socket类型为TCP协议的IP Socket的状态信息。
<HUAWEI> display ip socket monitor socket-type 1
SOCK_STREAM:
Task = VTYD(30), socketid = 1, Proto = 6,
LA = 0.0.0.0:23, FA = 0.0.0.0:0,
sndbuf = 8192, rcvbuf = 8192, sb_cc = 0, rb_cc = 0,
socket option = SO_ACCEPTCONN SO_KEEPALIVE SO_REUSEPORT SO_SENDVPNID(14849) SO_SETKEEPALIVE,
socket state = SS_PRIV SS_ASYNC
                          Socket Monitor:
Asyn Que status:
 read = 0, write = 0, connect = 0, close = 0,
 peer close = 0, accept = 0, keep alive down = 0,
 cram time = 0000-00-00 00:00:00+00:00, lost msg= 0, msg type=0x00000000;
Nothing else has been captured!
表6-51  display ip socket命令输出信息描述

项目

描述

SOCK_STREAM

Socket类型。共有以下Socket类型:
  • SOCK_STREAM

  • SOCK_DGRAM

  • SOCK_RAWLINK

  • SOCK_RAWIP

Task

调用Socket的任务类型和任务ID。例如,Task = VTYD(30)表示任务VTYD调用了Socket,该任务的ID是30。

socketid

Socket ID。

Proto

协议号。

LA

本地IP端口(Local Address)。

FA

远端IP端口(Foreign Address)。

sndbuf

发送缓存的上限,单位是字节。

rcvbuf

接收缓存的上限,单位是字节。

sb_cc

实际发送的数据量,单位是字节。只有TCP会缓存数据,这个值才有用。

rb_cc

实际接收的数据量,单位是字节。

socket option

显示当前已被置位的Socket选项。共有以下Socket选项:
  • SO_DEBUG:debugging开关

  • SO_ACCEPTCONN:当前置位该标志的Socket为服务器端,负责侦听

  • SO_REUSEADDR:地址重用,设置了该标志后,可以在本端绑定多个相同的地址

  • SO_KEEPALIVE:TCP连接的保活选项,如设置,TCP连接成功后将启动保活定时器

  • SO_DONTROUTE:置位后,Socket在连接时不可以选择非直连的路由到达目的地

  • SO_BROADCAST:置位后,可以在接口发送广播报文

  • SO_REUSEPORT:端口重用,置位后,可以在本端绑定多个相同的端口,大多对服务端适用

  • SO_UDPCHECKSUM:置位后,Socket将计算UDP报文的校验和

  • SO_SENDVPNID:Socket专门对VPN设置的选项

  • SO_SETKEEPALIVE:置位后,TCP连接成功后将启动保活定时器

  • SO_SETACL:置位后,可以在接口配置ACL

  • SO_USELOOPBACK:Socket可以利用Loopback接口进行收发数据

  • SO_LINGER:该表示设置后,TCP在关闭的时候将视设置的时间而进行相应的处理,如果设置的时间非0,那么它在关闭前等待一段时间(设置的时间),如果设置的时间为0,那么TCP会迅速断掉连接,而不会按照次序走完TCP的状态机

  • SO_OOBINLINE:对应于带外数据的标志,设置后,Socket在接收数据中,将优先处理带外数据

  • SO_SENDDATAIF:设置该标志后,Socket允许通过指定的接口进行收发数据的处理

  • SO_SENDDATAIF_DONTSETTTL:设置该标志后,Socket允许通过指定的接口进行收发数据的处理,但是不设置TTL(报文最大生存时间)

  • SO_SETSRCADDR:设置该标志后,Socket将设置发送报文的源端地址

  • SO_SENDBY_IF_NEXTHOP:设置该标志后,Socket将设置发送报文的出接口以及下一跳地址

socket state

Socket的状态。共有以下Socket状态:
  • SS_NOFDREF:socketid结构体已经被删除

  • SS_ISCONNECTED:TCP连接已经成功

  • SS_ISCONNECTING:TCP正在连接中

  • SS_ISDISCONNECTING:TCP正在断连中

  • SS_CANTSENDMORE:Socket无法再发送数据

  • SS_CANTRCVMORE:Socket无法再接收数据

  • SS_RCVMARK:Socket在接收报文中设置了接收标志

  • SS_NBIO:Socket当前的类型是非阻塞性质的

  • SS_ISCONFIRMING:上层即将处理已经完成的连接

  • SS_BLOCKING:当前在报文收发过程中存在阻塞

  • SS_RECALL:属于异步Socket设置的消息通知方式

  • SS_PRIV:Unix中移植过来的标志位,在当前的Socket层中无意义

  • SS_ASYNC:异步Socket的状态标志

Asyn Que status

当前异步队列状态。

read

当前异步队列read消息的个数。

write0

当前异步队列write消息的个数。

connect

当前异步队列connect消息的个数。

close

当前异步队列close消息的个数。

peer close

当前异步队列peerclose消息的个数。

accept

当前异步队列accept消息的个数。

keep alive down

当前异步队列keepalivedown消息的个数。

cram time

当前异步队列被填满的时间。为0时0分0秒。

lost msg

当前异步队列丢失异步消息的个数。

msg type

当前异步消息的类型。

smb input

通知应用层读取备板接收方向报文的次数。

smb output

通知应用层读取备板发送方向报文的次数。

smooth over

通知应用层平滑结束的次数。

display ip socket register-port

命令功能

display ip socket register-port命令用来查看当前设备上非知名端口号信息。

命令格式

display ip socket register-port

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

RFC规定1024以上的端口号属于非知名端口号,NQA/FTP等协议可以指定1024以上的任意端口号,但是目前1024以上的很多端口号是被华为一些私有协议占用的,比如ETRUNK占用的端口号为1025等,如果这个端口号被NQA占用后,设备将无法启动ETRUNK服务。

为了解决上述端口冲突的问题,用户可以通过display ip socket register-port命令查看当前已注册的非知名端口号,保证新指定的端口号不会与已注册端口号发生冲突。

使用实例

# 查看当前设备上已经注册的非知名端口号。

<HUAWEI> display ip socket register-port
Port      Task        Type
5247      CWP_FWD     UDP4
31009     MPLSFW      UDP4
38514     INFO        UDP4
60000     EZOP        UDP4
65030     ipfpm       UDP4
65531     CWP_FWD     UDP4
65532     CWP_FWD     UDP4
65533     CWP_FWD     UDP4
65534     CWP_FWD     UDP4
3232      mdt         UDP6
3503      MPLSFW      UDP6
3784      BFD         UDP6
4784      BFD         UDP6
5246      CWP_FWD     UDP6
5247      CWP_FWD     UDP6
31009     MPLSFW      UDP6
38514     INFO        UDP6
60000     EZOP        UDP6
65531     CWP_FWD     UDP6
65532     CWP_FWD     UDP6
65533     CWP_FWD     UDP6
65534     CWP_FWD     UDP6
表6-52  display ip socket register-port命令输出信息描述

项目

描述

Port

注册的端口号。

Task

非知名端口号任务名。

Type

端口类型,包括TCP/UDP。

display ip statistics

命令功能

display ip statistics命令用来查看IP流量统计信息。

命令格式

display ip statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

IP流量统计信息包括接收报文(其中包括丢弃的带源路由选项报文的统计信息)、发送报文、分片、重组的统计信息。如果在显示信息的bad protocol和no route字段中出现了大量的统计计数,表示本设备收到了大量未知协议类型和无法查到正确路由的IP报文。在这种情况下,请确认本设备是否受到了下挂设备的安全攻击。

使用实例

# 显示IP流量统计信息。

<HUAWEI> display ip statistics
  Input:     sum                263482      local                263473         
             bad protocol            0      bad format                1         
             bad checksum            0      bad options               0         
             discard srr             0      discard rr                0         
             discard ra              0      discard ts                0         
             TTL exceeded            0                                          
  Output:    forwarding              0      local                303399         
             dropped             56479      no route                225         
  Fragment:  input                   0      output                    0         
             dropped                 0                                          
             fragmented              0      couldn't fragment         0         
  Reassembling:sum                   0      timeouts                  0  
表6-53  display ip statistics命令输出信息描述

项目

描述

Input

接收到的报文。

sum

报文总数。

local

被送给上层协议的报文数量。

bad protocol

接收到的未知协议类型的IP报文数量,表示该IP报文头部的协议字段不能被上层协议识别。

bad format

格式错误的报文数量。

bad checksum

校验错误的报文数量。

bad options

选项错误的报文数量。

discard srr

被丢弃的带源路由选项的报文数量。

discard rr

被丢弃的带记录路由选项的报文数量。

discard ra

被丢弃的带路由告警选项的报文数量。

discard ts

被丢弃的带时间戳选项的报文数量。

TTL exceeded

由于TTL超时被丢弃的报文数量。

Output

发送的报文。

forwarding

被转发的报文数量。

local

产生的报文数量。

dropped

丢弃的报文数量。

no route

发送的报文中无法查到正确路由的报文数量,包括本设备转发的报文和本设备发送的报文。

Fragment

分片数量。

input

收到的分片数量。

output

被创建发送的分片数量。

dropped

被丢弃的分片数量。

fragmented

分片成功的报文数量。

couldn't fragment

不能被分片的报文数量。

Reassembling:sum

重装成功的分片数量。

timeouts

超时的分片数量。

display load-balance mode

命令功能

display load-balance mode命令用来查看接口板的负载分担方式。

命令格式

display load-balance mode [ packet | flow | slot slot-number ]

参数说明

参数 参数说明 取值
packet 显示采用逐包负载分担的接口板信息。 -
flow 显示采用逐流负载分担的接口板信息。 -
slot slot-number 槽位号。查看指定接口板上的负载分担方式。

整数形式,具体取值以设备为准。

视图

所有视图

缺省级别

1:监控级

使用指南

使用display load-balance mode packet或者display load-balance mode flow时,查看采用指定的负载分担方式的接口板信息,可以了解指定的负载分担方式应用于哪些接口板

使用display load-balance mode slot slot-number命令查看指定接口板的负载分担方式。

使用display load-balance mode命令时,如果不指定槽位号或者负载分担方式,那么默认查看所有已注册接口板的负载分担方式,此时按照板号顺序显示已注册接口板的负载分担方式。

使用实例

# 查看所有接口板的负载分担方式。

<HUAWEI> display load-balance mode
load-balance packet slot 1
load-balance packet slot 2
load-balance flow slot 3
表6-54  display load-balance mode命令输出信息描述

项目

描述

load-balance

负载分担模式:

  • packet:逐包负载分担方式

  • flow:逐流负载分担方式

slot

槽位号

display network status

命令功能

display network status命令用来查看当前设备的网络状态。

命令格式

display network status { all | tcp | udp | port port-number }

参数说明

参数 参数说明 取值
all 查看设备所有网络信息。 -
tcp 查看TCP协议网络信息。 -
udp 查看UDP协议网络信息。 -
port port-number 查看指定端口号的网络信息。 整数形式,取值范围是1~65535。

视图

所有视图

缺省级别

1:监控级

使用指南

当用户需要查看当前设备的网络状态时,可以通过display network status命令来查看网络中启动了哪些端口和服务。例如:用户在安全扫描中发现某一端口号已经被使用,但是不知道被哪个模块使用,就可以通过这条命令查看这个端口被哪个模块使用。

使用实例

# 查看当前设备的所有网络状态。
<HUAWEI> display network status all
Proto Task/SockId Local Addr&Port          Foreign Addr&Port        State
TCP   VTYD/1      0.0.0.0:23               0.0.0.0:0                Listening
TCP   HTTP/2      0.0.0.0:80               0.0.0.0:0                Listening
TCP   HTTP/1      0.0.0.0:443              0.0.0.0:0                Listening
TCP   VTYD/59     192.168.50.166:23        10.135.19.141:60445      Established
TCP6  VTYD/2      ::->23                   ::->0                    Listening
UDP   AGNT/1      0.0.0.0:161              0.0.0.0:0
UDP   SLAG/1      0.0.0.0:1025             0.0.0.0:0
UDP   RDS /1      0.0.0.0:1812             0.0.0.0:0
UDP6  AGT6/1      ::->161                  ::->0
UDP6  RDS /2      ::->1812                 ::->0
表6-55  display network status命令输出信息描述

项目

描述

Proto

协议名称

Task/SockId

任务和Socket编号

  • VTYD:接收所有用户登录处理消息
  • HTTP:从WWW服务器传输超文本到本地浏览器
  • AGNT:实现IPv4 SNMP协议栈
  • SLAG:实现E-TRUNK功能
  • RDS:实现Radius协议栈处理,管理协议状态机,维护协议相关的数据库
  • AGT6:实现IPv6 SNMP协议栈

Local Addr&Port

本地IP地址和端口号

Foreign Addr&Port

远端IP地址和端口号

State

连接状态

display priority

命令功能

display priority命令用来查看配置的802.1p优先级和DSCP优先级。

命令格式

display priority { 8021p | dscp }

参数说明

参数

参数说明

取值

8021p

查看配置的802.1p优先级。

-

dscp

查看配置的DSCP优先级。

-

视图

所有视图

缺省级别

1:监控级

使用指南

命令用于显示配置的802.1p优先级和DSCP优先级。

首先使用set priority命令配置802.1p优先级或DSCP优先级之后,才可以在设备上显示此命令。

使用实例

# 配置DSCP优先级为10,并查看配置的DSCP优先级。

<HUAWEI> system-view
[HUAWEI] set priority dscp 10
[HUAWEI] quit
<HUAWEI> display priority dscp
 The dscp priority is 10
相关主题

display rawip statistics

命令功能

display rawip statistics命令用来查看RawIP流量统计信息。

命令格式

display rawip statistics [ verbose ]

参数说明

参数 参数说明 取值
verbose 指定按照ICMP、RSVP、OSPF、Others协议分类显示RawIP统计的详细信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

RawIP报文的流量统计信息主要分为发送和接收两大部分。

RSVP、OSPF、ICMP报文封装在RawIP报文中进行发送。因此,例如当进行ping操作时,可以通过查看本机收发RawIP报文的数量,判断是否由于RawIP报文收发不正常而导致网络异常。

当用户需要针对具体应用进行精细化的问题诊断和信息监测时,可通过verbose选项显示按应用分类的RawIP流量统计信息,支持的应用类型包括ICMP、RSVP、OSPF、Others应用。

注意事项

设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

对RAWIP流量按知名协议号进行统计(协议号取值为IP报文首部的协议字段):
  • ICMP统计协议号为1
  • OSPF统计协议号为89
  • RSVP统计协议号为46
  • 其他协议号统计到Others字段中

使用实例

# 显示RawIP统计信息。
<HUAWEI> display rawip statistics
Received packets:
  dropped packets because the socket buffer is full   : 0
  dropped packets because no matching socket is found : 0

Sent packets:
  dropped packets : 0  
表6-56  display rawip statistics命令输出信息描述

项目

描述

Received packets

接收报文统计。

dropped packets because the socket buffer is full

由于Socket缓存已满导致RAWIP报文丢弃的数目。

dropped packets because no matching socket is found

由于接收方Socket不匹配导致RAWIP报文丢弃的数目。

Sent packets

发送报文统计。

dropped packets

丢弃的报文数。

# 显示RawIP统计的详细信息。
<HUAWEI> display rawip statistics verbose
Received packets:
------------------------------------------------------------------
Application    Overflow         No Matching
------------------------------------------------------------------
ICMP           0                0
OSPF           0                0
RSVP           0                0
Others         0                1
------------------------------------------------------------------

Sent packets:
------------------------------------------------------------------
Application    Dropped Packets
------------------------------------------------------------------
ICMP           0
OSPF           0
RSVP           0
Others         0
------------------------------------------------------------------
表6-57  display rawip statistics verbose命令输出信息描述

项目

描述

Received packets

接收报文统计。

Application

应用分类。

Overflow

由于Socket缓存已满导致RAWIP报文丢弃的数目。

No Matching

由于接收方Socket不匹配导致RAWIP报文丢弃的数目。

ICMP

ICMP报文。

OSPF

OSPF报文。

RSVP

RSVP报文。

Others

其他类型报文。

Sent packets

发送的报文。

Dropped Packets

丢弃的报文数。

display snmp-agent trap feature-name ip all

命令功能

display snmp-agent trap feature-name ip all命令用来查看IP模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name ip all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

简单网络管理协议SNMP(Simple Network Management Protocol)是广泛用于TCP/IP网络的网络管理标准协议。SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理工作站)来管理网元的方法。网元上运行的管理代理可以主动上报告警给管理工作站,可使管理工作站及时获取网络状态,从而使网络管理员能够及时采取相应措施。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name ip all可以查看IP特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name ip命令打开IP特性告警开关。

使用实例

# 查看IP模块的所有告警信息。

<HUAWEI>display snmp-agent trap feature-name ip all
------------------------------------------------------------------------------  
Feature name: IP                                                                
Trap number : 1                                                                 
------------------------------------------------------------------------------  
Trap name                       Default switch status   Current switch status   
hwIfIpAddressChange             off                     off                     
表6-58  display snmp-agent trap feature-name ip all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,IP模块的告警包括:

  • hwIfIpAddressChange:接口地址变化。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

display tcp statistics

命令功能

display tcp statistics命令用来查看TCP流量统计信息。

命令格式

display tcp statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

显示系统当前所有TCP连接的流量统计信息。统计信息主要分为发送和接收两大部分,每部分再细分为不同类型报文,如:接收的有重复的报文、校验和错误报文等。最后还有一些与连接密切相关的统计信息,如:接受的连接数、重传报文数、保活探测报文数等。

以上信息大都是以包为单位,个别的将给出字节数。

使用实例

# 查看TCP流量统计信息。
<HUAWEI> display tcp statistics
Received packets:
     Total: 0
     Total(64bit high-capacity counter): 0
     packets in sequence: 0 (0 bytes)
     window probe packets: 0, window update packets: 0
     checksum error: 0, offset error: 0, short error: 0

     duplicate packets: 0 (0 bytes), partially duplicate packets: 0 (0 bytes)
     out-of-order packets: 0 (0 bytes)
     packets of data after window: 0 (0 bytes)
     packets received after close: 0

     ACK packets: 0 (0 bytes)
     duplicate ACK packets: 0, too much ACK packets: 0

Sent packets:
    Total: 0
     Total(64bit high-capacity counter): 0
     urgent packets: 0
     control packets: 0 (including 0 RST)
     window probe packets: 0, window update packets: 0

     data packets: 0 (0 bytes),    data packets retransmitted: 0 (0 bytes)
     ACK-only packets: 0 (0 delayed)

Other information:
    Retransmitted timeout: 0, connections dropped in retransmitted timeout: 0
    Keep alive timeout: 0, keep alive probe: 0,     Keep alive timeout, so connections disconnected : 0
    Initiated connections: 0,     accepted connections: 0, established connections: 0
    Closed connections: 0 (    dropped: 0, initiated dropped: 0)
    Packets dropped with MD5 authentication: 0
    Packets permitted with MD5 authentication: 0
    Send Packets permitted with Keychain authentication: 0
    Receive Packets permitted with Keychain authentication: 0
    Receive Packets Dropped with Keychain authentication: 0
表6-59  display tcp statistics命令输出信息描述

项目

描述

Received packets

接收报文统计。

Total

报文总数。

Total(64bit high-capacity counter)

报文总数(以64位计数器计数)。

packets in sequence ( bytes)

报文按顺序到达数(共计字节数)。

window probe packets

窗口探测报文数。

window update packets

窗口更新报文数。

checksum error

报文校验出错数。

offset error

报文长度出错数。

short error

报文太短数。

duplicate packets( bytes)

完全重复报文数(共计字节数)。

partially duplicate packets( bytes)

部分重复报文数(共计字节数)。

out-of-order packets( bytes)

乱序报文数(共计字节数)。

packets of data after window( bytes)

报文落在接收窗口外数(共计字节数)。

packets received after close

报文在连接关闭后到达数。

ACK packets( bytes)

确认报文数(确认数据字节数)。

duplicate ACK packets

重复的确认报文数。

too much ACK packets

经过确认但未发送数据的ACK报文数。

Sent packets

发送数据统计。

urgent packets

紧急数据报文数。

control packets (RST)

控制报文数(RST报文数)。

data packets

数据报文数。

data packets retransmitted (0 bytes)

报文重发数(共计字节数)。

ACK only packets (delayed)

ACK报文数(延迟ACK报文数)。

Other information

其他信息。

Retransmitted timeout

重传定时器超时次数。

connections dropped in retransmitted timeout

重传次数超过限制而丢弃的连接数。

Keep alive timeout

保活定时器超时次数。

keep alive probe

发送保活探测报文数。

Keep alive timeout, so connections disconnected

保活探测失败丢弃连接数。

Initiated connections

发起连接次数。

accepted connections

接受连接数。

established connections

已建立连接数。

Closed connections(dropped, initiated dropped)

已关闭连接数目(意外丢弃连接(收到SYN之后),主动连接失败到对端SYN之前的次数)。

Packets dropped with MD5 authentication

MD5验证丢弃报文数。

Packets permitted with MD5 authentication

MD5验证通过报文数。

Send Packets permitted with Keychain authentication

发送的带有Keychain选项的报文数目。

Receive Packets permitted with Keychain authentication

接收的通过Keychain选项验证的报文数目。

Receive Packets Dropped with Keychain authentication

接收的Keychain选项验证失败的报文数目。

相关主题

display tcp status

命令功能

display tcp status命令用来查看TCP状态信息。

命令格式

display tcp status [ [ task-id task-id ] [ socket-id socket-id ] | [ local-ip ip-address ] [ local-port local-port-number ] [ remote-ip ip-address ] [ remote-port remote-port-number ] ]

参数说明

参数 参数说明 取值
task-id task-id 指定任务ID,显示此任务ID的TCP连接状态。 必须是已经存在的任务ID。
socket-id socket-id 指定Socket ID号,显示此Socket ID的TCP连接状态。 必须是已经存在的Socket ID号。
local-ip ip-address 指定本端地址,即本台设备的IP地址。显示该IP地址的TCP连接状态。 点分十进制格式。
local-port local-port-number 指定本端端口号,即本台设备的端口号。显示该端口号的TCP连接状态。 必须是已经存在的本端端口号。
remote-ip ip-address 指定远端地址,即其它设备的IP地址。显示该IP地址的TCP连接状态。 点分十进制格式。
remote-port remote-port-number 指定远端端口号,即其它设备的端口号。显示该端口号的TCP连接状态。 必须是已经存在的远端端口号。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

传输控制协议TCP(Transmission Control Protocol)由RFC793定义,用于在主机间实现面向连接的可靠性服务。TCP协议为用户进程定义了一个可靠的、面向连接的、全双工的服务。当需要监控TCP连接状态时,可以执行display tcp status命令查看如下内容:
  • TCP任务控制块编号
  • IPv4 TCP Task编号和Socket编号
  • 本地IPv4地址及端口号
  • 远端IPv4地址及端口号
  • TCP连接所属的VPN实例号
  • IPv4 TCP连接的状态

通过设置参数(Task ID、Socket ID、本端地址、本端端口号、远端地址、远端端口号),只有满足参数条件的信息会被显示出来。这样可以减少显示信息的输出数量,方便查看,提高问题定位的精确度和效率。

注意事项

如果当前没有TCP连接,则显示信息为空。

使用实例

# 显示本机上的TCP连接状态信息。

<HUAWEI> display tcp status
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
0a5d560c 30 /1    0.0.0.0:23            0.0.0.0:0             14849 Listening

# 查看从本端地址0.0.0.0,端口号23发起的TCP连接的状态信息。

<HUAWEI> display tcp status local-ip 0.0.0.0 local-port 23
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
0a5d560c 30 /1    0.0.0.0:23            0.0.0.0:0             14849 Listening
表6-60  display tcp status命令显示信息中各字段的说明

字段

说明

TCPCB

TCP任务控制块编号。

Tid/Soid

Task ID和Socket ID。

Local Add: port

TCP连接的本端IP地址和本端端口号。当Local Add为0.0.0.0时表示侦听所有地址,port为0表示侦听所有端口号。

Foreign Add: port

TCP连接的远端IP地址和远端端口号。当Foreign Add为0.0.0.0时表示侦听所有地址,port为0表示侦听所有端口号。

VPNID

TCP连接所属的VPN实例号。
  • -1:表示所有VPN。
  • 0:表示公网VPN。
  • 其他:表示属于私网VPN,这个VPNID是由用户自定义的。

State

TCP的连接状态。具体情况如下:
  • Closed:关闭状态。

  • Listening:侦听状态。

  • Syn_Rcvd:接收到SYN同步报文状态。

  • Established:连接建立状态。

  • Close_Wait:在Established状态下,用户向服务器发送FIN报文请求终止连接。服务器接收到用户发送的FIN报文后,向用户发送ACK报文,然后进入该状态。

  • Fin_Wait1:用户向服务器发送FIN报文请求终止本方向连接,然后进入该状态。

  • Fin_Wait2:用户在收到服务器对自己发出的FIN报文的相应ACK报文后,进入该状态。

  • Time_Wait:TCP在关闭一个连接之后就进入超时等待状态。它在这个状态中停留时间达到最长报文段寿命的两倍时,就删去该连接的记录。

  • Closing:用户和服务器同时关闭连接。

display udp statistics

命令功能

display udp statistics命令用来查看UDP流量统计信息。

命令格式

display udp statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

显示系统当前所有UDP连接的流量统计信息。统计信息主要分为发送和接收两大部分,每部分再细分为不同类型报文,如校验和错误报文等。最后还有一些与连接密切相关的统计信息,如:广播包的报文的个数等。以上信息都是以包为单位。

使用实例

# 查看UDP流量统计信息。
<HUAWEI> display udp statistics
Received packets:
    Total: 0
    Total(64bit high-capacity counter): 0
    checksum error: 0
    shorter than header: 0
    data length larger than packet: 0
    unicast(no socket on port): 0
    broadcast/multicast(no socket on port): 0
    not delivered, input socket full: 0
    input packets missing pcb cache: 0

Sent packets:
    Total: 0
    Total(64bit high-capacity counter): 0
表6-61  display udp statistics命令输出信息描述

项目

描述

Received packet:

Total

Total(64bit high-capacity counter)

总计收到的UDP报文的数量。

总计收到的UDP报文的数量(64位大容量计数器)。

checksum error

校验和出错的报文的数量。

shorter than header

报文长度比报文头短的报文的数量。

data length larger than packet

报文数据长度超过了报文长的报文的数量。

unicast(no socket on port)

单播报文的数量。

broadcast/multicast(no socket on port)

广播报文和组播报文的数量。

not delivered, input socket full

因为SOCKET缓冲已经满而没有发送出去的报文的数量。

input packets missing pcb cache

没有找到PCB的报文的数量。

Sent packets:

Total

Total(64bit high-capacity counter)

总计发送的UDP报文的数量。

总计发送的UDP报文的数量(64位大容量计数器)。

drop illegal-ip disable

命令功能

drop illegal-ip disable命令用来去使能丢弃源IP地址为0.0.0.0的报文的功能。

undo drop illegal-ip disable命令用来使能丢弃源IP地址为0.0.0.0的报文的功能。

缺省情况下,使能丢弃源IP地址为0.0.0.0的报文的功能。

说明:

X系列单板支持本命令。其他单板默认丢弃源IP地址为0.0.0.0的报文,且该功能不可更改。

命令格式

drop illegal-ip disable

undo drop illegal-ip disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

一般情况下,源IP地址为0.0.0.0的报文为非法的攻击报文。用户可以通过命令undo drop illegal-ip disable,使设备丢弃源IP地址为0.0.0.0的报文。

使用实例

# 使能丢弃源IP地址为0.0.0.0的报文的功能。

<HUAWEI> system-view
[HUAWEI] undo drop illegal-ip disable

icmp blackhole unreachable send

命令功能

icmp blackhole unreachable send命令用来使能在匹配IPv4黑洞路由后回应ICMP目的不可达报文的功能。

undo icmp blackhole unreachable send命令用来禁用在匹配IPv4黑洞路由后回应ICMP目的不可达报文的功能。

缺省情况下,未使能在匹配IPv4黑洞路由后回应ICMP目的不可达报文的功能。

命令格式

icmp blackhole unreachable send

undo icmp blackhole unreachable send

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

在配置了用户接入与认证功能的设备上,如果配置了IPv4静态黑洞路由,当用户下线时,该设备上就只存在与用户地址相应网段对应的IPv4黑洞路由,而不存在UNR路由。此时,如果Tracert报文到达设备,匹配该IPv4黑洞路由,报文就会被丢弃,导致无法感知用户已经下线。

执行icmp blackhole unreachable send命令后,若用户下线,Tracert报文匹配IPv4黑洞路由,设备就会回复ICMP目的不可达报文给发送端,用于知会用户已下线。

使用实例

# 使能匹配IPv4黑洞路由后回应ICMP目的不可达报文功能。

<HUAWEI> system-view
[HUAWEI] icmp blackhole unreachable send

icmp broadcast-address echo enable

命令功能

icmp broadcast-address echo enable命令用来使能对目的地址为广播地址的ICMP Echo Request报文进行响应的功能。

undo icmp broadcast-address echo enable命令用来去使能对目的地址为广播地址的ICMP Echo Request报文进行响应的功能。

缺省情况下,已使能对目的地址为广播地址的ICMP Echo Request报文进行响应的功能。

命令格式

icmp broadcast-address echo enable

undo icmp broadcast-address echo enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

ping程序可以用来网络连通性。如果两台主机之间不能ping通,表明主机之间不能建立连接。ping使用的是ICMP协议,它发送ICMP Echo Request报文(封装在IP报文中)给目的主机。目的主机必须返回ICMP Echo Reply报文给源主机。如果源主机在一定时间内收到应答,则认为主机可达。

正常情况下,设备的某个接口收到ICMP Echo Request报文后,该报文由会被上送到协议栈由CPU进行处理。

使用ping命令进行网络连通性检测时,如果要检测的目的地址是广播地址,则在该广播范围内所有收到该ICMP Echo Request报文的设备都要对该报文进行处理。如果攻击者利用这一原理发起网络攻击,则设备需要不停地处理此类报文,导致CPU利用率高,设备转发性能收到影响。

在设备上执行undo icmp broadcast-address echo enable命令可以关闭对目的地址为广播地址的ICMP Echo Request报文进行响应的功能,从而提高设备的转发性能。

说明:
icmp broadcast-address echo enable命令只对ICMP Echo Request报文有效。

使用实例

# 关闭对目的地址为广播地址的ICMP Echo Request报文进行响应的功能。
<HUAWEI> system-view
[HUAWEI] undo icmp broadcast-address echo enable

icmp host-unreachable send

命令功能

icmp host-unreachable send命令用来使能ICMP主机不可达报文的发送功能。

undo icmp host-unreachable send命令用来去使能ICMP主机不可达报文的发送功能。

缺省情况下,已使能ICMP主机不可达报文的发送功能。

命令格式

icmp host-unreachable send

undo icmp host-unreachable send

参数说明

视图

接口视图、系统视图

缺省级别

2:配置级

使用指南

使用场景

ICMP差错报文描述的是网络是否连通、主机是否可达、路由是否可用等关于网络本身的一些信息。差错报文最终会返回到数据发送者,因为只有数据发送者才是差错报文的逻辑接收者。数据发送者通过ICMP差错报文获知发生错误的类型,并确定如何才能更好地重发失败的数据。

设备收到IP报文后,如果发现目的不可达,则设备将该报文丢弃,并给源端发送ICMP目的不可达报文。

端口不可达报文、协议不可达报文和主机不可达报文都属于ICMP目的不可达报文。
  • 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送端口不可达的ICMP报文。
  • 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送协议不可达的ICMP报文。
  • 设备收到数据报文但是无法转发时,则给源端发送主机不可达的ICMP报文。
设备发送ICMP目的不可达报文方便了网络的控制和管理,但是ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由设备和主机。因此设备发送ICMP目的不可达报文也有以下弊端:
  • 发送大量的ICMP报文,增大了网络流量,加重了网络设备的负担。
  • 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备忙于处理ICMP报文,导致设备性能降低。
  • ICMP目的不可达报文传递给用户进程的信息为不可达信息。如果有恶意攻击,可能会影响终端用户的正常使用。

执行命令undo icmp host-unreachable send后,设备不会往外发送ICMP主机不可达报文,从而减轻对端设备处理ICMP报文的压力。

注意事项

icmp host-unreachable send命令可以在系统视图下配置,也可以在接口视图下配置。
  • 当在系统视图下去使能ICMP主机不可达报文的发送功能后,所有接口上ICMP主机不可达报文的发送功能都被关闭。即使在接口视图下使能了该功能,该接口也不会向外发送ICMP主机不可达报文。
  • 当在系统视图下使能ICMP主机不可达报文的发送功能后,因为接口的ICMP主机不可达报文的发送功能默认是使能状态,所以所有接口都可以向外发送ICMP主机不可达报文。这时可以通过在接口视图下执行undo icmp host-unreachable send命令关闭指定接口的ICMP主机不可达报文的发送功能。

如果去使能ICMP主机不可达报文发送功能,则设备在任何情况下都不会再发出ICMP主机不可达报文。

接口视图下,该命令需要在ICMP报文的入接口配置。

使用实例

# 使能ICMP主机不可达报文的发送功能。

<HUAWEI> system-view
[HUAWEI] icmp host-unreachable send

# 在接口VLANIF100上使能ICMP主机不可达报文的发送功能。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] icmp host-unreachable send
# 在接口GE1/0/1上使能ICMP主机不可达报文的发送功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] icmp host-unreachable send

icmp port-unreachable send

命令功能

icmp port-unreachable send命令用来使能ICMP端口不可达报文的发送功能。

undo icmp port-unreachable send命令用来去使能ICMP端口不可达报文的发送功能。

缺省情况下,已使能ICMP端口不可达报文的发送功能。

命令格式

icmp port-unreachable send

undo icmp port-unreachable send

参数说明

视图

系统视图、接口视图

缺省级别

2:配置级

使用指南

使用场景

ICMP差错报文描述的是网络是否连通、主机是否可达、路由是否可用等关于网络本身的一些信息。差错报文最终会返回到数据发送者,因为只有数据发送者才是差错报文的逻辑接收者。数据发送者通过ICMP差错报文获知发生错误的类型,并确定如何才能更好地重发失败的数据。

设备收到IP报文后,如果发现目的不可达,则设备将该报文丢弃,并给源端发送ICMP目的不可达报文。

端口不可达报文、协议不可达报文和主机不可达报文都属于ICMP目的不可达报文。
  • 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送端口不可达的ICMP报文。
  • 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送协议不可达的ICMP报文。
  • 设备收到数据报文但是无法转发时,则给源端发送主机不可达的ICMP报文。
设备发送ICMP目的不可达报文方便了网络的控制和管理,但是ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由设备和主机。因此设备发送ICMP目的不可达报文也有以下弊端:
  • 发送大量的ICMP报文,增大了网络流量,加重了网络设备的负担。
  • 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备忙于处理ICMP报文,导致设备性能降低。
  • ICMP目的不可达报文传递给用户进程的信息为不可达信息。如果有恶意攻击,可能会影响终端用户的正常使用。

执行命令icmp port-unreachable send后,设备不会往外发送ICMP端口不可达报文,从而减轻对端设备处理ICMP报文的压力。

注意事项

icmp port-unreachable send命令可以在系统视图下配置,也可以在接口视图下配置。
  • 当在系统视图下去使能ICMP端口不可达报文的发送功能后,所有接口上ICMP端口不可达报文的发送功能都被关闭。即使在接口视图下使能了该功能,该接口也不会向外发送ICMP端口不可达报文。
  • 当在系统视图下使能ICMP端口不可达报文的发送功能后,因为接口的ICMP端口不可达报文的发送功能默认是使能状态,所以所有接口都可以向外发送ICMP端口不可达报文。这时可以通过在接口视图下执行undo icmp port-unreachable send命令关闭指定接口的ICMP端口不可达报文的发送功能。

如果去使能ICMP端口不可达报文发送功能,则设备在任何情况下都不会再发出ICMP端口不可达报文。

使用实例

# 使能ICMP端口不可达报文的发送功能。

<HUAWEI> system-view
[HUAWEI] icmp port-unreachable send

# 在接口VLANIF100上使能ICMP端口不可达报文的发送功能。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] icmp port-unreachable send
# 在接口GE1/0/1上使能ICMP端口不可达报文的发送功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] icmp port-unreachable send

icmp protocol-unreachable send

命令功能

icmp protocol-unreachable send命令用于使能ICMP协议不可达报文的发送功能。

undo icmp protocol-unreachable send命令用于去使能ICMP协议不可达报文的发送功能。

缺省情况下,已使能ICMP协议不可达报文的发送功能。

命令格式

icmp protocol-unreachable send

undo icmp protocol-unreachable send

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

ICMP差错报文描述的是网络是否连通、主机是否可达、路由是否可用等关于网络本身的一些信息。差错报文最终会返回到数据发送者,因为只有数据发送者才是差错报文的逻辑接收者。数据发送者通过ICMP差错报文获知发生错误的类型,并确定如何才能更好地重发失败的数据。

设备收到IP报文后,如果发现目的不可达,则设备将该报文丢弃,并给源端发送ICMP目的不可达报文。

端口不可达报文、协议不可达报文和主机不可达报文都属于ICMP目的不可达报文。
  • 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送端口不可达的ICMP报文。
  • 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送协议不可达的ICMP报文。
  • 设备收到数据报文但是无法转发时,则给源端发送主机不可达的ICMP报文。
设备发送ICMP目的不可达报文方便了网络的控制和管理,但是ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由设备和主机。因此设备发送ICMP目的不可达报文也有以下弊端:
  • 发送大量的ICMP报文,增大了网络流量,加重了网络设备的负担。
  • 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备忙于处理ICMP报文,导致设备性能降低。
  • ICMP目的不可达报文传递给用户进程的信息为不可达信息。如果有恶意攻击,可能会影响终端用户的正常使用。

执行命令icmp protocol-unreachable send后,设备不会往外发送ICMP协议不可达报文,从而减轻对端设备处理大量ICMP报文的压力。

使用实例

# 使能ICMP协议不可达报文的发送功能。

<HUAWEI> system-view
[HUAWEI] icmp protocol-unreachable send

icmp receive

命令功能

icmp receive命令用来使能接收ICMP报文的功能。

undo icmp receive命令用来去使能接收ICMP报文的功能。

缺省情况下,已使能接收ICMP报文的功能。

命令格式

icmp { type icmp-type code icmp-code | name icmp-name | all } receive

undo icmp { type icmp-type code icmp-code | name icmp-name | all } receive

参数说明

参数 参数说明 取值
type icmp-type 指定ICMP报文类型编号。 整数形式,取值范围是0~255。
code icmp-code 指定ICMP报文编码。 整数形式,取值范围是0~255。
name icmp-name 指定ICMP报文名称。 字符串形式,不支持空格,不区分大小写。目前,支持的ICMP报文名称有:
  • echo:ICMP请求报文。

  • echo-reply:ICMP应答报文。

  • fragmentneed-dfset:需要分片但却设置了不分片标志的报文。

  • host-redirect:主机重定向报文。

  • host-tos-redirect:主机ToS重定向报文。

  • host-unreachable:主机不可达报文。

  • information-reply:信息应答报文。

  • information-request:信息请求报文。

  • net-redirect:网络重定向报文。

  • net-tos-redirect:网络ToS重定向报文。

  • net-unreachable:网络不可达报文。

  • parameter-problem:参数错误报文。

  • port-unreachable:端口不可达报文。

  • protocol-unreachable:协议不可达报文。

  • reassembly-timeout:分片重组超时报文。

  • source-quench:源站抑制报文。

  • source-route-failed:源路由失败报文。

  • timestamp-reply:时间戳应答报文。

  • timestamp-request:时间戳请求报文。

  • ttl-exceeded:TTL超时报文。

all 指定所有ICMP报文。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

  • 在较安全的网络中,设备可以正常的接收ICMP报文。如果在网络流量较大时,例如,频繁的出现主机不可达、端口不可达的现象,则设备会接收大量的ICMP报文,这样会增加网络的负担,明显降低设备的性能。

  • 在不安全的网络中,网络攻击者经常利用ICMP差错报文非法探测网络内部结构。

为提高网络性能或者增强网络安全性,可以执行命令undo icmp receive关闭设备接收ICMP报文的功能。

在网络状态良好的情况下,当需要恢复设备接收ICMP报文功能时,执行icmp receive命令。

注意事项

执行undo icmp receive命令后,设备将不会处理某种类型的ICMP报文,这会导致主机无法ping通设备。

使用实例

# 配置设备不接收类型编号为3,编码为1的ICMP报文。

<HUAWEI> system-view
[HUAWEI] undo icmp type 3 code 1 receive

icmp redirect send

命令功能

icmp redirect send命令用来使能ICMP重定向报文的发送功能。

undo icmp redirect send命令用来去使能ICMP重定向报文的发送功能。

缺省情况下,已使能ICMP重定向报文的发送功能。

命令格式

icmp redirect send

undo icmp redirect send

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

使用场景

ICMP差错报文描述的是网络是否互通、主机是否可达、路由是否可用等关于网络本身的一些信息。差错报文最终会返回到数据发送者,因为只有数据发送者才是差错报文的逻辑接收者。数据发送者通过ICMP差错报文获知发生错误的类型,并确定如何才能更好地重发失败的数据。

ICMP重定向报文是其中一种差错报文。

主机启动时,它的路由表中可能只有一条到网关的缺省路由。在以下情况下,设备作为网关会向源主机发送ICMP重定向报文,通知主机重新选择正确的下一跳进行后续报文的发送:

  • 接收和转发数据报文的接口是同一接口。
  • 设备需要将接收到的数据报文发送出去,查询路由表后发现下一跳的IP地址和报文的目的IP地址在同一网段。

设备向主机发送ICMP重定向报文可以使具有很少路由信息的主机建立较完善的路由表,从而找到最佳路由。

设备发送ICMP差错报文方便了网络的控制和管理,但是ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由设备和主机。因此设备发送ICMP差错报文也有以下弊端:

  • 发送大量的ICMP报文,增大了网络流量,加重了网络设备的负担。
  • 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备忙于处理ICMP报文,导致设备性能降低。
  • ICMP重定向功能会在主机的路由表中增加主机路由。当增加的主机路由很多时,会降低主机性能。

用户可以根据实际网络的需要,决定是否使能系统的ICMP重定向报文的发送功能。

注意事项

该命令在ICMP报文的入接口配置。

使用实例

# 使能接口VLANIF100的ICMP重定向报文发送功能。
<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] icmp redirect send
# 使能接口GE1/0/1的ICMP重定向报文发送功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] icmp redirect send

icmp time-exceed

命令功能

icmp time-exceed命令用来配置ICMP Time Exceeded报文的格式。

undo icmp time-exceed命令用来恢复ICMP Time Exceeded报文的缺省格式。

缺省情况下,ICMP Time Exceeded报文以标准形式携带扩展头,原始报文长度可变。

命令格式

icmp time-exceed { extension { compliant | non-compliant } | classic }

undo icmp time-exceed

参数说明

参数 参数说明 取值
extension 指定ICMP Time Exceeded报文携带扩展头。 -
compliant 指定ICMP Time Exceeded报文以标准形式携带扩展头,原始报文长度可变。 -
non-compliant 指定ICMP Time Exceeded报文以非标准形式携带扩展头,原始报文长度为固定长度。 -
classic 指定ICMP Time Exceeded报文不携带扩展头。 -

视图

系统视图

缺省级别

2:配置级

使用指南

当使用tracert命令检查网络连接是否可达时,可以使用icmp time-exceed命令指定ICMP Time Exceeded报文的格式:
  • 当使用extension compliant参数时,表示指定ICMP Time Exceeded报文以标准形式携带扩展头。同时,原始报文的长度可变,ICMP Time Exceeded报文可以携带尽可能多的原始报文信息。携带的原始报文的长度记录在ICMP报文头中。
  • 当使用non-compliant参数时,表示指定ICMP Time Exceeded报文以非标准形式携带扩展头。同时,原始报文的长度不可变,如果原始报文的长度不足128字节,自动填充至128字节。
  • 当使用classic参数时,表示指定ICMP Time Exceeded报文不携带扩展头。

使用实例

# 配置ICMP Time Exceeded报文以标准形式携带扩展头。

<HUAWEI> system-view
[HUAWEI] icmp time-exceed extension compliant
相关主题

icmp ttl-exceeded drop

命令功能

icmp ttl-exceeded drop命令用来使能业务接口板丢弃TTL=1的ICMP报文的功能。

undo icmp ttl-exceeded drop命令用来去使能业务接口板丢弃TTL=1的ICMP报文的功能。

缺省情况下,未使能业务接口板丢弃TTL=1的ICMP报文的功能。

命令格式

icmp ttl-exceeded drop { slot slot-id | all }

undo icmp ttl-exceeded drop { slot slot-id | all }

参数说明

参数

参数说明

取值

slot slot-id

指定接口板槽位号。

根据设备实际配置选取。

all

指定所有接口板。当需要使能或去使能所有业务接口板的丢弃TTL = 1的ICMP报文功能时使用该参数。

-

视图

系统视图

缺省级别

2:配置级

使用指南

使用场景

TTL是IP报文中的一个字段,用于限制IP报文在网络中存在的时间。TTL值由IP报文的发送者设置,每经过一个转发设备,TTL值就会减1。如果转发设备收到一个IP报文其TTL值为0且该报文的目的IP地址不是本设备,则设备丢弃该报文,并发送一个ICMP报文给最初的发送方。

ICMP报文是封装在IP报文中的。在转发设备收到ICMP报文后,如果报文的目的地不是本地且报文的TTL值为1,设备将该报文丢弃,并给报文的发送者发送一个TTL超时的ICMP报文。

当收到TTL值为1的报文,交换机需要将报文上送到CPU处理。tracert功能就是利用TTL等于1的报文实现逐跳检测。攻击者可以利用该原理,发送大量TTL值为1的IP报文。被攻击设备收到这些IP报文后,CPU会进行处理并且发送ICMP目的不可达报文。CPU忙于处理这些报文,导致CPU利用率高。

当交换机收到大量的ICMP报文时,丢弃TTL=1的ICMP报文一方面可以减轻交换机处理这些报文的压力,另一方面也可以防止网络攻击。

注意事项

使能该功能后会导致对本设备的tracert命令无效。

使用实例

# 使能1号接口板丢弃TTL=1的ICMP报文的功能。

<HUAWEI> system-view
[HUAWEI] icmp ttl-exceeded drop slot 1

icmp ttl-exceeded send

命令功能

icmp ttl-exceeded send命令用来在接口上使能ICMP TTL超时报文的发送功能。

undo icmp ttl-exceeded send命令用来在接口上去使能ICMP TTL超时报文的发送功能。

缺省情况下,接口上已使能ICMP TTL超时报文的发送功能。

命令格式

icmp ttl-exceeded send

undo icmp ttl-exceeded send

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

在设备收到IP数据报文后,如果报文的目的地不是本地地址且报文的TTL字段值是1,则说明发生了超时差错。这种情况下,设备将该报文丢弃,并给源端发送TTL超时的ICMP报文。

设备从某个接口发送ICMP TTL超时报文时,会将本接口的IP地址作为ICMP差错报文的源IP地址。这样就会暴露出设备接口的IP地址,存在网络安全问题。同时当设备遇到报文泛洪攻击时,不断回应ICMP TTL超时报文,会导致CPU占用率过高,影响设备性能。通过undo icmp ttl-exceeded send命令在ICMP报文的入接口关闭系统ICMP TTL超时报文发送功能可以解决该问题。

使用实例

# 在接口VLANIF100上使能ICMP TTL超时报文的发送功能。
<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] icmp ttl-exceeded send
# 在接口GE1/0/1上使能ICMP TTL超时报文的发送功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] icmp ttl-exceeded send

icmp unreachable drop

命令功能

icmp unreachable drop命令用来使能丢弃ICMP目的不可达报文的功能。

undo icmp unreachable drop命令用来去使能丢弃ICMP目的不可达报文的功能。

缺省情况下,未使能丢弃ICMP目的不可达报文的功能。

命令格式

icmp unreachable drop

undo icmp unreachable drop

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

ICMP差错报文描述的是网络是否连通、主机是否可达、路由是否可用等关于网络本身的一些信息。差错报文最终会返回到数据发送者,因为只有数据发送者才是差错报文的逻辑接收者。数据发送者通过ICMP差错报文获知发生错误的类型,并确定如何才能更好地重发失败的数据。

设备收到IP报文后,如果发现目的不可达,则设备将该报文丢弃,并给源端发送ICMP目的不可达报文。

端口不可达报文、协议不可达报文和主机不可达报文都属于ICMP目的不可达报文。
  • 设备收到目的地址为本地、传输层协议为UDP的数据报文时,如果报文的端口号与正在使用的进程不匹配,则给源端发送端口不可达的ICMP报文。
  • 设备收到目的地址为本地的数据报文时,如果设备不支持数据报文采用的传输层协议,则给源端发送协议不可达的ICMP报文。
  • 设备收到数据报文但是无法转发时,则给源端发送主机不可达的ICMP报文。
设备发送ICMP目的不可达报文方便了网络的控制和管理,但是ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由设备和主机。因此设备发送ICMP目的不可达报文也有以下弊端:
  • 发送大量的ICMP报文,增大了网络流量,加重了网络设备的负担。
  • 如果设备接收到大量需要发送ICMP差错报文的恶意攻击报文,设备忙于处理ICMP报文,导致设备性能降低。
  • ICMP目的不可达报文传递给用户进程的信息为不可达信息。如果有恶意攻击,可能会影响终端用户的正常使用。

当设备收到大量ICMP目的不可达报文时,这些报文会上送到CPU进行处理。因此,可以在设备上使能丢弃ICMP目的不可达报文的功能,从而减少网络中的ICMP报文数量,减轻设备处理ICMP报文的压力,防止遭到恶意攻击。

使用实例

# 使能丢弃目的不可达ICMP报文功能。

<HUAWEI> system-view
[HUAWEI] icmp unreachable drop

icmp with-options drop

命令功能

icmp with-options drop命令用来使能业务接口板丢弃带选项的ICMP报文的功能。

undo icmp with-options drop命令用来去使能业务接口板丢弃带选项的ICMP报文的功能。

缺省情况下,未使能业务接口板丢弃带选项的ICMP报文的功能。

命令格式

icmp with-options drop { slot slot-id | all }

undo icmp with-options drop { slot slot-id | all }

参数说明

参数

参数说明

取值

slot slot-id

整数形式,取值范围为当前在位的槽位号。

根据设备实际配置选取。

all

指定所有接口板。当需要使能或去使能所有业务接口板的丢弃带选项的ICMP报文功能时使用该参数。

-

视图

系统视图

缺省级别

2:配置级

使用指南

当使用ping -r命令检测网络连通性时,IP报文到达三层路由设备后,经过的每一个三层设备都会把自己的IP地址放入IP报文的选项字段中。当IP报文到达目的端时,所经过设备的IP地址都应该复制到ICMP Echo Reply报文中,并且返回途中所经过的三层设备的IP地址也会被加入到回应的IP报文中。当ping程序收到回显应答时,它就可以显示出经过的三层设备的IP地址。

如果封装了ICMP报文的IP报文长度超过接口的MTU,则该IP报文会被分片。第一个分片报文的IP头中会携带选项信息,而后续分片报文则不会携带选项信息。携带选项信息的分片报文都会上送到协议栈由CPU进行处理。

当网络上存在利用ICMP发起的恶意攻击,设备收到大量携带选项信息的ICMP分片报文时,设备的转发性能会因处理这些分片报文而降低。使能业务接口板丢弃携带选项信息的ICMP分片报文,可以使设备避免转发性能受到影响,同时也可以防止针对ICMP报文的攻击。

使用实例

# 使能1号接口板丢弃带选项的ICMP报文的功能。

<HUAWEI> system-view
[HUAWEI] icmp with-options drop slot 1

icmp-reply fast

命令功能

icmp-reply fast命令用来使能ping快回(快ping)功能。

undo icmp-reply fast命令用来去使能ping快回功能。

缺省情况下,设备已使能ping快回功能。

命令格式

icmp-reply fast

undo icmp-reply fast

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

使用场景

ping程序可以用来测试网络连通性。如果两台主机之间不能ping通,表明主机之间不能建立连接。ping使用的是ICMP协议,它发送ICMP Echo Request报文(封装在IP报文中)给目的主机。目的主机返回ICMP Echo Reply报文给源主机。如果源主机在一定时间内收到应答,则认为目的主机可达。

正常情况下,设备的某个接口收到ICMP Echo Request报文后,该报文由会被上送到协议栈由CPU进行处理。

使能ping快回功能后,如果某个接口上收到了目的地址是设备自己的ICMP Echo Request报文,则该报文不再上送到协议栈交由CPU处理,而是由接口直接处理,从而提高设备的转发性能。

注意事项

V200R010C00版本开始,ping快回功能在子接口上生效。

ping快回功能在VBDIF接口上不生效。

使用实例

# 使能ping快回功能。

<HUAWEI> system-view
[HUAWEI] icmp-reply fast

ip forward-broadcast

命令功能

ip forward-broadcast命令用来使能接口转发定向广播报文。

undo ip forward-broadcast命令用来去使能接口转发定向广播报文。

缺省情况下,接口不转发定向广播报文。

命令格式

ip forward-broadcast [ acl acl-number ]

undo ip forward-broadcast

参数说明

参数

参数说明

取值

acl acl-number

表示访问控制列表的编号。

整数形式,取值范围是2000~3999。

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。

视图

VE子接口视图、VBDIF接口视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图

缺省级别

2:配置级

使用指南

应用场景

定向广播报文是指发送给特定网络的广播报文,该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。

黑客利用定向广播报文来攻击网络,给网络安全带来了很大隐患,因此,在正常情况下,定向广播报文会被三层交换机隔离。但在某些应用环境下,设备需要接收或转发这类定向广播报文,如对PC做网络唤醒Wake on LAN(Wake on LAN是指让已经进入休眠状态或关机状态的PC,透过网络另一端对其发令,使其从休眠状态唤醒、恢复成运作状态,或从关机状态转成开机状态)服务,这时可以通过配置该命令来使能接口转发定向广播报文。

设备同时也支持基于ACL对某一类定向广播报文使能接收和转发,以基本ACL规则为例,用户可以先执行acl(系统视图)rule(基本ACL视图)命令将需要接收和转发的定向广播报文定义为permit,然后再执行ip forward-broadcast命令绑定该ACL规则。

对ACL识别为permit的报文进行广播转发,识别为deny或者未匹配上ACL规则的报文不进行广播转发。

注意事项

缺省情况下,由于设备已使能畸形报文的攻击防范功能,设备会识别定向广播报文为畸形报文,并将该报文拦截丢弃,导致设备接口无法转发定向广播报文。

请在以下解决方法中任选一种:

  • 此时需要先配置anti-attack abnormal disable命令去使能畸形报文攻击防范功能,但是配置该命令后,其他畸形报文也不会被拦截丢弃,存在一定的安全风险,请用户谨慎使用。

  • 此时需要先配置anti-attack disable命令去使能所有攻击防范功能,但是配置该命令后,不仅畸形报文不会被拦截丢弃,分片攻击报文、tcp-syn攻击报文、udp-flood攻击报文、icmp-flood攻击报文也将不被拦截丢弃,存在一定的安全风险,请用户谨慎使用。

本命令不支持在VPN场景、地址借用场景和网段重叠导致主机路由与子网广播路由冲突场景下使用。

使用实例

# 使能接口VLANIF100转发定向广播报文。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip forward-broadcast
# 使能接口GE1/0/1转发定向广播报文。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ip forward-broadcast

ip forwarding converge normal

命令功能

ip forwarding converge normal命令用来去使能设备进行环网切换时,IP流量走二层转发流程。

undo ip forwarding converge命令用来使能设备进行环网切换时,IP流量走二层转发流程。

缺省情况下,设备进行环网切换时,IP流量走二层转发流程处于使能状态。

说明:

该命令仅在X系列单板上生效。

命令格式

ip forwarding converge normal

undo ip forwarding converge

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

使用指南

当设备上部署了环网协议(STP、RSTP、MSTP、SEP、ERPS、RRPP、VBST和Smart Link),链路故障进行链路切换时,由于需要重新学习ARP,会造成IP流量的三层收敛性能较差。通过使能环网切换时,IP流量走二层转发流程,可以提高IP业务流量的收敛性能。缺省情况下,设备进行环网切换时,IP流量走二层转发流程处于使能状态。

注意事项

使能IP流量走二层转发流程后,当环网切换时,会造成IP流量在设备上被广播转发,因此,会造成短时间内IP流量增加。

使用实例

# 去使能设备进行环网切换时IP流量走二层转发流程。

<HUAWEI> system-view
[HUAWEI] ip forwarding converge normal

ip forwarding disable

命令功能

ip forwarding disable命令用来关闭交换机的IPv4三层单播转发功能。

undo ip forwarding disable命令用来开启交换机的IPv4三层单播转发功能。

缺省情况下,交换机的IPv4三层单播转发功能为开启状态。

命令格式

ip forwarding disable

undo ip forwarding disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当需要关闭交换机的IPv4三层单播转发功能时,可以使用本命令。

关闭交换机的IPv4三层单播转发功能后,交换机的IPv4路由功能失效,交换机将无法根据IPv4路由表和FIB表完成三层报文的转发。

使用实例

# 关闭交换机的IPv4三层单播转发功能。

<HUAWEI> system-view
[HUAWEI] ip forwarding disable
Warning: This operation will close IPv4 forwarding function and affect IPv4 traffic forwarding. Continue? [Y/N]:y

ip verify source-address

命令功能

ip verify source-address命令用来使能接口对接收到的报文进行IP源地址校验。

undo ip verify source-address命令用来去使能接口对接收到的报文进行IP源地址校验。

缺省情况下,接口不对接收到的报文进行IP源地址校验。

命令格式

ip verify source-address

undo ip verify source-address

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

IP源地址校验是指接口对接收到的报文进行IP源地址合法性检查,IP源地址非法的报文将被丢弃,从而提高网络的安全性能。

如下几种IP地址均为非法源地址:

  • 全0或全1的地址
  • 组播地址(D类地址)
  • E类地址
  • 非本机产生的环回地址(形式为127.x.x.x)
  • A、B、C类广播地址
  • 与入接口地址在同一网段的子网广播地址

IP源地址校验功能只对需要上送到CPU进行处理的报文有效,对于直接按FIB表转发的报文无效。

若接收到的报文的IP源地址的掩码长度为31位,则接收端对源地址不作子网广播地址检查,即认为31位掩码的IP地址为合法源地址。

可以在接口视图下使用display this命令查看该接口的IP源地址合法性检查的配置情况。

使用实例

# 使能接口VLANIF100对接收到的报文进行IP源地址校验。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip verify source-address
# 使能接口GE1/0/1对接收到的报文进行IP源地址校验。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ip verify source-address
相关主题

ipv4 destination-unreachable drop

命令功能

ipv4 destination-unreachable drop命令用来使能丢弃不匹配路由表项的IP报文的功能。

undo ipv4 destination-unreachable drop命令去使能丢弃不匹配路由表项的IP报文的功能。

缺省情况下,已使能丢弃不匹配路由表项的IP报文的功能。

命令格式

ipv4 destination-unreachable drop

undo ipv4 destination-unreachable drop

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

一般情况下,如果设备接收到的报文不匹配本地路由表中的任何路由表项,设备会将报文上送到CPU进行处理。如果由于攻击或者组网不合理导致此类报文很多,会造成CPU忙于处理此类报文,从而影响CPU的处理能力。为了防止此情况的产生,可以使用ipv4 destination-unreachable drop命令丢弃此类报文。

注意事项

执行命令ipv4 destination-unreachable drop后会导致设备不回应匹配路由失败导致的ICMP差错报文。如需回应该类ICMP差错报文,需要执行命令undo ipv4 destination-unreachable drop

对于除X系列以外的单板,ipv4 destination-unreachable drop定义的动作与流策略里的重定向同时生效。但由于丢弃动作优先级高,重定向的ICMP报文会被丢弃,从而导致ICMP报文重定向失败。此时如需保证ICMP报文被重定向,需要执行undo ipv4 destination-unreachable drop命令取消丢弃功能。但是丢弃功能取消后会导致防该类报文攻击的功能丧失,网络维护人员需要根据组网合理配置,规避这个冲突。

对于ET1D2X48SEC0单板,当通过assign resource-mode命令配置设备的资源分配模式为enhanced-ipv4模式或者ipv4-ipv6 6:1模式时,ipv4 destination-unreachable drop命令功能不生效。

使用实例

# 使能丢弃不匹配路由表项的IP报文的功能。

<HUAWEI> system-view
[HUAWEI] ipv4 destination-unreachable drop

ipv4 fragment enable

命令功能

ipv4 fragment enable命令用来使能出方向转发平面IP报文的分片功能。

undo ipv4 fragment enable命令用来去使能出方向转发平面IP报文的分片功能。

缺省情况下,未使能出方向转发平面IP报文的分片功能。

说明:

该命令仅对X系列单板生效。

命令格式

ipv4 fragment enable

undo ipv4 fragment enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

默认情况下,只有控制平面的报文会按照接口的MTU值进行分片,而转发平面报文的长度不受接口MTU值的限制均可以正常转发。如果对端设备或网络中间转发设备在接收报文时对报文长度进行检查并丢弃长度超过接口MTU值的报文,就会影响网络的正常通信。此时,对于X系列单板,可以执行ipv4 fragment enable命令使能出方向转发平面IP报文的分片功能,使转发平面的报文按照接口的MTU值进行分片。

注意事项

配置ipv4 fragment enable命令前,应合理设置接口的MTU值。如果MTU值过小,IP报文分片会比较多,这将导致IP报文三层转发性能下降。

使用实例

# 使能出方向转发平面IP报文的分片功能。

<HUAWEI> system-view
[HUAWEI] ipv4 fragment enable

ipv6 destination-unreachable drop

命令功能

ipv6 destination-unreachable drop命令用来使能对不匹配路由表项的IPv6报文执行丢弃操作的功能。

undo ipv6 destination-unreachable drop命令用来去使能对不匹配路由表项的IPv6报文执行丢弃操作的功能。

缺省情况下,对不匹配路由表项的IPv6报文执行丢弃操作的功能处于使能状态。

命令格式

ipv6 destination-unreachable drop

undo ipv6 destination-unreachable drop

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备对其接收到的在其路由表项中找不到对应的路由的IPv6报文,一般会上送CPU处理,此时如果由于攻击或者组网不合理导致此类IPv6报文很多的话,势必造成CPU忙于处理此类IPv6报文,影响CPU的处理能力。为了防止此情况的产生,可以使用ipv6 destination-unreachable drop命令丢弃此类IPv6报文。

注意事项

ipv6 destination-unreachable drop定义的动作与流策略里的重定向同时生效,但丢弃动作优先级高,会导致重定向的ICMPv6报文被丢弃,导致重定向失败,此时需要执行undo ipv6 destination-unreachable drop命令取消丢弃功能。但是丢弃功能取消后会导致防该类报文攻击的功能丧失,网络维护人员需要根据组网合理配置,规避这个冲突。

使能该命令会导致设备不回应匹配路由失败导致的ICMPv6差错报文,需要去使能后才会回应。

对于ET1D2X48SEC0单板,当通过assign resource-mode命令配置设备的资源分配模式为enhanced-ipv4模式或者ipv4-ipv6 6:1模式时,ipv6 destination-unreachable drop命令功能不生效。

使用实例

# 去使能对不匹配路由表项的IPv6报文执行丢弃操作的功能。

<HUAWEI> system-view
[HUAWEI] undo ipv6 destination-unreachable drop

ipv6 with-options drop

命令功能

ipv6 with-options drop命令用来使能设备丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能。

undo ipv6 with-options drop命令用来去使能设备丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能。

缺省情况下,设备未使能丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能。

命令格式

ipv6 with-options drop

undo ipv6 with-options drop

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

IPv6报文中可能会包含以下扩展报头:

  • 路由报头:IPv6报文中的路由报头能够被IPv6源节点用来强制IPv6报文经过特定的设备。

  • 分段报头:IPv6报文的发送受到传送路径上各设备的接口MTU的限制,当报文长度超过接口MTU时就需要将报文分段发送。在IPv6中,分段发送使用的是分段报头。IPv6网络的中间节点不允许对数据报文进行分片,数据的分片由发送源节点来完成。

  • 目的选项报头:目的选项报头携带了一些只有目的节点才会处理的信息。

利用IPv6报文的这些扩展报头,攻击者可以在网络上发起恶意攻击。例如,利用路由报头指定报文必须经过某个节点,利用分段报头在发送源节点将接口MTU设置得很小导致大量的数据分片,或者利用目的选项报头指定处理IPv6报文的目的设备。如果攻击者发送大量这类IPv6报文到设备,则设备会因忙于处理这些报文而降低转发性能。使能设备丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能,可以避免网络中的恶意攻击,同时也可以避免设备的转发性能受到影响。

使用实例

# 使能设备丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能。

<HUAWEI> system-view
[HUAWEI] ipv6 with-options drop

load-balance(系统视图)

命令功能

load-balance命令用来配置IP报文转发的负载分担方式。

undo load-balance命令用来恢复IP报文转发的负载分担方式为缺省值。

缺省情况下,IP报文采用逐流方式进行负载分担。

命令格式

load-balance { flow | packet } [ all | slot slot-id ]

undo load-balance packet [ all | slot slot-id ]

参数说明

参数 参数说明 取值
flow 配置IP报文转发以逐流方式进行负载分担。 -
packet 配置IP报文转发以逐包方式进行负载分担。 -
all

将配置应用于所有的接口板。

-
slot slot-id

将配置应用于指定槽号的接口板。

整数形式,具体取值以设备为准。

视图

系统视图

缺省级别

2:配置级

使用指南

使用场景

当采用逐流方式进行负载分担时,设备会根据报文的协议类型、源IP地址、目的IP地址、源端口和目的端口等采用Hash算法计算出一个值,然后根据这个值选择一条链路进行转发。

当采用逐包方式进行负载分担时,转发的报文会从多条链路中按包选择不同链路进行转发。只有由CPU转发的报文(如协议报文)才能逐包进行负载分担。

注意事项

load-balance命令对于本机下发的报文和经过CPU处理的报文均生效。

load-balance命令对MPLS报文同样有效。

当接口板不在位时,不能通过undo load-balance packet [ all | slot slot-id ]命令行删除不在位接口板的配置。

使用实例

# 配置设备转发IP报文采用逐包负载分担方式。

<HUAWEI> system-view
[HUAWEI] load-balance packet

reset ip socket monitor

命令功能

reset ip socket monitor命令用来清空Socket Monitor中的信息。

命令格式

reset ip socket monitor [ task-id task-id socket-id socket-id ]

参数说明

参数 参数说明 取值
task-id task-id 指定任务ID,显示此任务ID的Socket信息。 必须是已经存在的任务ID。
socket-id socket-id 指定Socket ID号,清除此Socket ID的Socket Monitor信息。 必须是已经存在的Socket ID。

视图

用户视图

缺省级别

3:管理级

使用指南

Socket Monitor是针对每一个连接的监控记录体(RawLink还分出接口监控),Socket Monitor根据各协议的区别,在运行过程中,记录指定关注的事件,并在适当的时候,将其中的信息以log形式记录到磁盘空间。

通过设置过滤条件(Task ID和Socket ID),可以只清除满足过滤条件的Socket Monitor信息,恢复原始状态。

使用实例

# 清空Socket Monitor中的信息。

<HUAWEI> reset ip socket monitor
相关主题

reset ip socket pktsort

命令功能

reset ip socket pktsort命令用来清除socket的双接收缓存特性的统计信息。

命令格式

reset ip socket pktsort task-id task-id socket-id socket-id

参数说明

参数 参数说明 取值
task-id task-id 指定任务ID。 必须是已经存在的任务ID。
socket-id socket-id 指定套接口号。 必须是已经存在的套接口号。

视图

用户视图

缺省级别

3:管理级

使用指南

该命令会清除socket双接收缓存的统计信息,重新计数。使用该命令前请确认是否需要清除统计信息。

使用实例

# 清除task-id为2、socket-id为6的双接收缓存特性的统计信息。

<HUAWEI> reset ip socket pktsort task-id 2 socket-id 6

reset ip statistics

命令功能

reset ip statistics命令用来清除接口的IP流量统计信息。

命令格式

reset ip statistics [ interface interface-type interface-number ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定接口类型和接口编号。如果不指定任何可选参数,将清除所有IP统计信息。 -

视图

用户视图

缺省级别

3:管理级

使用指南

在某些情况下,需要统计一定时间内接口的IP统计信息,这时必须在统计开始前清除原有的统计信息,重新进行统计。对应的显示命令为display ip statistics

如果不指定接口,将清除所有接口的IP统计信息。

使用实例

# 清除所有接口的IP统计信息。

<HUAWEI> reset ip statistics
# 清除接口VLANIF10的IP统计信息。
<HUAWEI> reset ip statistics interface vlanif 10

reset rawip statistics

命令功能

reset rawip statistics命令用来清除RawIP报文流量统计信息。

命令格式

reset rawip statistics

参数说明

视图

用户视图

缺省级别

3:管理级

使用指南

如果需要统计在某一时间内的RawIP报文流量统计信息,这时必须在统计开始前清除原有的RawIP报文流量统计信息后,使用display rawip statistics命令查看RawIP报文流量统计信息。

执行reset rawip statistics命令会清除RawIP报文流量统计信息。请执行该命令前确认是否要清除RawIP报文流量统计信息。

使用实例

# 清除RawIP报文流量统计信息。

<HUAWEI> reset rawip statistics

reset tcp statistics

命令功能

reset tcp statistics命令用来清除TCP流量统计信息。

命令格式

reset tcp statistics

参数说明

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

reset tcp statistics命令用于清除display tcp statistics [ verbose ]命令中显示的TCP报文统计计数。其中display tcp statistics命令可以按照接收和发送分类查看TCP报文计数,加参数verbose则可以按照应用协议分类查看TCP报文计数。用户如果要查看某段时间内的TCP报文计数是否正常,或者进行故障定位需要获取统计数据时,可以先使用reset tcp statistics命令将原有计数清零,经过一段时间后,再使用display tcp statistics命令查看TCP报文统计计数。

注意事项

执行reset tcp statistics命令会清除TCP流量统计信息。请执行该命令前确认是否要清除TCP流量统计信息。

使用实例

# 清除TCP流量统计信息。

<HUAWEI> reset tcp statistics

reset udp statistics

命令功能

reset udp statistics命令用来清除UDP流量统计信息。

命令格式

reset udp statistics

参数说明

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

reset udp statistics命令用于清除display udp statistics [ verbose ]命令中显示的UDP报文统计计数。其中display udp statistics命令可以按照接收和发送分类查看UDP报文计数,指定参数verbose则可以按照应用协议分类查看UDP报文计数。用户如果要查看某段时间内的UDP报文计数是否正常,或者进行故障定位需要获取统计数据时,可以先使用reset udp statistics命令将原有计数清零,经过一段时间后,再使用display udp statistics命令查看UDP报文统计计数。

注意事项

执行reset udp statistics命令会清除UDP流量统计信息。请执行该命令前确认是否要清除UDP流量统计信息。

使用实例

# 清除UDP流量统计信息。

<HUAWEI> reset udp statistics

set priority

命令功能

set priority命令用来设置报文的802.1p优先级或DSCP优先级。

undo set priority命令用来删除设置的报文的802.1p优先级或DSCP优先级。

缺省情况下,不对报文的802.1p优先级或DSCP优先级进行设置。

命令格式

set priority 8021p 8021p-number

undo set priority 8021p

set priority dscp dscp-number [ if-match acl acl-number ]

undo set priority dscp [ if-match acl acl-number ]

参数说明

参数

参数说明

取值

8021p 8021p-number

指定报文的802.1p优先级。

整数形式,取值范围是0~7,值越大优先级越高。

dscp dscp-number

指定报文的DSCP优先级。该参数仅对IPv4报文生效。

整数形式,取值范围是0~63。

if-match acl acl-number

指定ACL的编号。

整数形式,取值范围是3000~3999。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要将交换机发送的协议报文中的802.1p或DSCP优先级字段修改为指定值时,可以使用set priority命令。

当需要将交换机发送的符合指定特征的协议报文中的DSCP优先级修改为指定值时,可以通过ACL来匹配需要修改的报文。

注意事项

如果协议指定其报文优先级,则set priority 8021p命令行不生效。

如果通过ACL来匹配需要修改DSCP优先级的报文,则最多可以指定8个ACL,每个ACL最多支持32条规则。支持匹配的字段如下:

  • ICMP报文:源IP、目的IP、协议号、icmp-type、icmp-code、fragment、precedence、tos、dscp、ttl-expired、vpn-instance、time-range

  • TCP报文:源IP、目的IP、协议号、源端口、目的端口、tcp-flag、fragment、precedence、tos、dscp、ttl-expired、vpn-instance、time-range

  • UDP报文:源IP、目的IP、协议号、源端口、目的端口、fragment、precedence、tos、dscp、ttl-expired、vpn-instance、time-range

  • 其他协议报文:源IP、目的IP、协议号、fragment、precedence、tos、dscp、ttl-expired、vpn-instance、time-range

交换机无法通过匹配ACL修改以下协议报文的DSCP优先级:

  • 不是通过协议栈发出的协议报文,如Ping快回报文、NetStream等协议报文

  • 可以通过特定命令设置其优先级的协议报文(如NQA,可以通过tos命令设置其协议报文的优先级)

使用实例

# 配置报文的DSCP优先级为10。

<HUAWEI> system-view
[HUAWEI] set priority dscp 10
相关主题

snmp-agent trap enable feature-name ip

命令功能

snmp-agent trap enable feature-name ip命令用来打开IP模块的告警开关。

undo snmp-agent trap enable feature-name ip命令用来关闭IP模块的告警开关。

缺省情况下,IP模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name ip [ trap-name hwifipaddresschange ]

undo snmp-agent trap enable feature-name ip [ trap-name hwifipaddresschange ]

参数说明

参数 参数说明 取值
trap-name IP模块的指定类型事件的告警开关。 -
hwifipaddresschange 打开接口地址变化告警开关。 -

视图

系统视图

缺省级别

2:配置级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。如果不指定trap-name,则打开所有的IP事件告警开关。

使用实例

# 打开接口地址变化告警开关。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name ip trap-name hwifipaddresschange

tcp min-mss

命令功能

tcp min-mss命令用来配置TCP连接的MSS最小值。

undo tcp min-mss命令用来恢复TCP连接的MSS最小值为缺省值。

缺省情况下,TCP连接的MSS最小值为216字节。

命令格式

tcp min-mss mss-value

undo tcp min-mss

参数说明

参数 参数说明 取值
mss-value 指定TCP连接的MSS最小值大小。 整数形式,单位是字节,取值范围是32~1500。缺省值是216字节。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

TCP在建立连接时,会协商MSS值(Maximum Segment Size),它表示本端所能接收报文的最大长度。如果网络上的TCP客户端在发起TCP建立连接的请求时,将MSS设置为一个很小的数值(例如1),而TCP服务器端接受了该MSS值,那么TCP连接建立后,客户端就可以通过一个应用向服务器提交大量的请求,从而引起服务器产生大量的应答报文,这可能导致TCP服务器或网络的负荷大大增加,造成拒绝服务攻击。为了避免接受MSS值过小的报文,可以通过tcp min-mss命令对TCP连接的MSS最小值进行设置。

注意事项

配置的MSS最小值与设备MTU、对端通告MSS、缓冲区大小等因素共同决定会话协商成功后的实际MSS值。实际的MSS值可能小于配置的MSS最小值。

该命令配置的MSS最小值不是MSS选项中携带的协商参数,本端发送的报文中MSS选项携带的协商参数是由MTU值计算得出。

该命令配置的MSS最小值必须小于tcp max-mss命令所配置的MSS最大值。

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置最好在技术支持人员的指导下进行。

使用实例

# 配置TCP连接的MSS最小值为512字节。

<HUAWEI> system-view
[HUAWEI] tcp min-mss 512
相关主题

tcp max-mss

命令功能

tcp max-mss命令用来配置TCP连接的MSS(Maximum Segment Size)最大值。

undo tcp max-mss命令用来删除TCP连接的MSS最大值。

缺省情况下,设备没有配置TCP连接的MSS最大值。

命令格式

tcp max-mss mss-value

undo tcp max-mss

参数说明

参数 参数说明 取值
mss-value 指定TCP连接的MSS最大值。 整数形式,取值范围是32~9600,单位是字节。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

TCP在建立连接时,会协商MSS值,它表示本端所能接收报文(TCP报文的净荷,不包含TCP头)的最大长度。如果TCP连接的两端有其中一端Path MTU功能不可用,则该端无法根据MTU值调整TCP报文的大小,可能出现该端的TCP报文长度超出中间设备的MTU限制导致报文被丢弃的情况,为了避免这种情况的发生,可以在TCP连接的任意一端上配置tcp max-mss命令设置TCP报文的MSS最大值,则双方协商的MSS值不会超过该数值,从而对两端发送的TCP报文的长度都进行了有效的控制,使得报文能够顺利的通过中间网络。

注意事项

tcp max-mss命令配置的MSS最大值必须大于tcp min-mss命令所配置的MSS最小值。

使用实例

# 配置TCP连接的MSS最大值为1024字节。

<HUAWEI> system-view
[HUAWEI] tcp max-mss 1024
相关主题

tcp timer fin-timeout

命令功能

tcp timer fin-timeout命令用来配置TCP FIN-Wait定时器。

undo tcp timer fin-timeout命令用来恢复TCP FIN-Wait定时器为缺省值。

缺省情况下,TCP FIN-Wait定时器值为675秒。

命令格式

tcp timer fin-timeout interval

undo tcp timer fin-timeout

参数说明

参数 参数说明 取值
interval 指定TCP FIN-Wait定时器值。 整数形式,单位是秒,取值范围是76~3600。缺省值是675秒。

视图

系统视图

缺省级别

2:配置级

使用指南

当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动FIN-Wait定时器。若FIN-Wait定时器超时前仍未收到FIN报文,则TCP连接被终止。

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置需要在技术支持人员的指导下进行。

使用实例

# 配置TCP FIN-Wait定时器的值为400秒。

<HUAWEI> system-view
[HUAWEI] tcp timer fin-timeout 400

tcp timer syn-timeout

命令功能

tcp timer syn-timeout命令用来配置TCP SYN-Wait定时器。

undo tcp timer syn-timeout命令用来恢复TCP SYN-Wait定时器的缺省值。

缺省情况下,TCP SYN-Wait定时器值为75秒。

命令格式

tcp timer syn-timeout interval

undo tcp timer syn-timeout

参数说明

参数 参数说明 取值
interval 指定TCP SYN-Wait定时器值。 整数形式,单位是秒,取值范围2~600。缺省值是75秒。

视图

系统视图

缺省级别

2:配置级

使用指南

当发送SYN报文时,TCP启动SYN-Wait定时器,若SYN-Wait超时前未收到回应报文,则TCP连接将被终止。

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置建议在技术支持人员的指导下进行。

使用实例

# 配置TCP SYN-Wait定时器为100秒。

<HUAWEI> system-view
[HUAWEI] tcp timer syn-timeout 100

tcp window

命令功能

tcp window命令用来配置面向连接Socket的收发缓冲区大小。

undo tcp window命令用来恢复面向连接Socket的收发缓冲区大小的缺省值。

缺省情况下,面向连接Socket的收发缓冲区大小为8k字节。

命令格式

tcp window window-size

undo tcp window

参数说明

参数 参数说明 取值
window-size 指定面向连接Socket的收发缓冲区大小。 整数形式,单位是k字节,取值范围是1~32。缺省值是8k字节。

视图

系统视图

缺省级别

2:配置级

使用指南

在同一视图下多次配置此命令,只有最后一次配置生效。

window-size参数的配置建议在技术支持人员的指导下进行。

使用实例

# 配置面向连接Socket的收发缓冲区大小为3k字节。

<HUAWEI> system-view
[HUAWEI] tcp window 3
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10041

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页