- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-IP性能優化命令
本章節下載: 06-IP性能優化命令 (211.08 KB)
display icmp statistics命令用來顯示ICMP流量統計信息。
【命令】
display icmp statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的ICMP流量統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display icmp statistics命令用來顯示設備接收和發送的各類ICMP流量的統計信息。
【舉例】
# 顯示ICMP流量統計信息。
<Sysname> display icmp statistics
Input: bad formats 0 bad checksum 0
echo 175 destination unreachable 0
source quench 0 redirects 0
echo replies 201 parameter problem 0
timestamp 0 information requests 0
mask requests 0 mask replies 0
time exceeded 0 invalid type 0
router advert 0 router solicit 0
broadcast/multicast echo requests ignored 0
broadcast/multicast timestamp requests ignored 0
Output: echo 0 destination unreachable 0
source quench 0 redirects 0
echo replies 175 parameter problem 0
timestamp 0 information replies 0
mask requests 0 mask replies 0
time exceeded 0 bad address 0
packet error 1442
表1-1 display icmp statistics命令顯示信息描述表
|
字段 |
描述 |
|
bad formats |
輸入的格式錯誤報文數 |
|
bad checksum |
輸入的校驗和錯誤報文數 |
|
echo |
輸入/輸出的響應請求報文數 |
|
destination unreachable |
輸入/輸出的目的不可達報文數 |
|
source quench |
輸入/輸出的源站抑製報文數 |
|
redirects |
輸入/輸出的重定向報文數 |
|
echo replies |
輸入/輸出的響應應答報文數 |
|
parameter problem |
輸入/輸出的參數錯誤報文數 |
|
timestamp |
輸入/輸出的時間戳報文數 |
|
information requests |
輸入的信息請求報文數 |
|
mask requests |
輸入/輸出的掩碼請求報文數 |
|
mask replies |
輸入/輸出的掩碼應答報文數 |
|
invalid type |
輸入的非法類型報文數 |
|
router advert |
輸入的路由器公告報文數 |
|
router solicit |
輸入的路由器請求報文數 |
|
broadcast/multicast echo requests ignored |
輸入的廣播/組播響應請求丟棄報文數 |
|
broadcast/multicast timestamp requests ignored |
輸入的廣播/組播時戳請求丟棄報文數 |
|
information replies |
輸出的信息應答報文數 |
|
time exceeded |
輸入/輸出的超時報文數 |
|
bad address |
輸出的目的地址非法報文數 |
|
packet error |
輸出的錯誤報文數 |
display ip statistics命令用來顯示IP報文統計信息。
【命令】
display ip statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的IP報文統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display ip statistics命令用來顯示IP報文統計信息,包括接收報文、發送報文、分片、重組的統計信息。
【舉例】
# 顯示IP報文統計信息。
<Sysname> display ip statistics
Input: sum 7120 local 112
bad protocol 0 bad format 0
bad checksum 0 bad options 0
Output: forwarding 0 local 27
dropped 0 no route 2
compress fails 0
Fragment:input 0 output 0
dropped 0
fragmented 0 couldn't fragment 0
Reassembling:sum 0 timeouts 0
表1-2 display ip statistics命令顯示信息描述表
|
字段 |
描述 |
|
|
Input |
sum |
接收報文總數 |
|
local |
接收的目的地址是本地的報文數 |
|
|
bad protocol |
未知協議的報文數 |
|
|
bad format |
格式錯誤的報文數 |
|
|
bad checksum |
校驗和錯誤的報文數 |
|
|
bad options |
選項錯誤的報文數 |
|
|
Output |
forwarding |
轉發的報文數 |
|
local |
本地發送報文數 |
|
|
dropped |
發送時丟棄的報文數 |
|
|
no route |
查不到路由的報文數 |
|
|
compress fails |
壓縮失敗的報文數 |
|
|
Fragment |
input |
接收的分片報文數 |
|
output |
發送的分片報文數 |
|
|
dropped |
丟棄的分片報文數 |
|
|
fragmented |
分片成功的報文數 |
|
|
couldn't fragment |
分片失敗的報文數 |
|
|
Reassembling |
sum |
重組的報文總數 |
|
timeouts |
重組超時的分片報文數 |
|
【相關命令】
· display ip interface(三層技術-IP業務命令參考/IP地址)
· reset ip statistics
display rawip命令用來顯示RawIP連接摘要信息。
【命令】
display rawip [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的RawIP連接摘要信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display rawip命令用來顯示RawIP連接摘要信息,包括本端IP地址、對端IP地址、使用RawIP socket的協議號等信息。
【舉例】
# 顯示RawIP連接摘要信息。
<Sysname> display rawip
Local Addr Foreign Addr Protocol Slot PCB
0.0.0.0 0.0.0.0 1 1 0x0000000000000009
0.0.0.0 0.0.0.0 1 1 0x0000000000000008
0.0.0.0 0.0.0.0 1 5 0x0000000000000002
表1-3 display rawip命令顯示信息描述表
|
字段 |
描述 |
|
Local Addr |
本端IP地址 |
|
Foreign Addr |
對端IP地址 |
|
Protocol |
使用RawIP socket的協議號 |
|
Slot |
設備在IRF中的成員編號 |
|
PCB |
協議控製塊索引 |
display rawip verbose命令用來顯示RawIP連接詳細信息。
【命令】
display rawip verbose [ slot slot-number [ pcb pcb-index ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
pcb pcb-index:顯示指定協議控製塊索引的RawIP連接詳細信息。pcb-index表示協議控製塊索引,取值範圍為1~16。
slot slot-number:顯示指定成員設備的RawIP連接詳細信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display rawip verbose命令用來顯示RawIP連接詳細信息,包括socket的創建者、狀態、選項、類型、使用的協議號等,以及RawIP連接的源IP地址和目的IP地址等信息。
【舉例】
# 顯示RawIP連接詳細信息。
<Sysname> display rawip verbose
Total RawIP Socket Number: 1
slot: 1
creator: ping[320]
state: N/A
options: N/A
error: 0
rcvbuf(cc/hiwat/lowat/state): 0 / 9216 / 1 / N/A
sndbuf(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
type: 3
protocol: 1
connection info: src = 0.0.0.0, dst = 0.0.0.0
inpcb flags: N/A
inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
send VRF: 0xffff
receive VRF: 0xffff
表1-4 display rawip verbose命令顯示信息描述表
|
字段 |
描述 |
|
Total RawIP Socket Number |
RawIP socket總數 |
|
slot |
設備在IRF中的成員編號 |
|
creator |
創建socket的任務名稱,括號中為創建者的進程號 |
|
state |
socket的狀態,可能的狀態如下: · NOFDREF:用戶已經關閉 · ISCONNECTED:連接已經建立 · ISCONNECTING:正在建立連接 · ISDISCONNECTING:正在斷開連接 · ASYNC:異步方式 · ISDISCONNECTED:連接已經斷開 · PROTOREF:協議強關聯 · N/A:不處於上述狀態 |
|
options |
socket的選項,有以下幾種: · SO_DEBUG:記錄套接字的調試信息 · SO_ACCEPTCONN:server端監聽連接請求 · SO_REUSEADDR:允許本地地址重複使用 · SO_KEEPALIVE:協議需要查詢空閑的連接 · SO_DONTROUTE:設置不查路由表(用於目的地址是直連網絡的情況) · SO_BROADCAST:套接字支持廣播報文 · SO_LINGER:套接字關閉但仍發送剩餘數據 · SO_OOBINLINE:帶外數據采用內聯方式存儲 · SO_REUSEPORT:允許本地端口重複使用 · SO_TIMESTAMP:記錄入報文時間戳,隻對非連接的協議有效,時間精確到毫秒 · SO_NOSIGPIPE:socket不能發送數據導致返回失敗時不創建SIGPIPE · SO_TIMESTAMPNS:和時戳選項功能類似,時間可以精確到納秒 · N/A:沒有設置選項 |
|
error |
影響socket連接的錯誤 |
|
rcvbuf(cc/hiwat/lowat/state) |
接收緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
sndbuf(cc/hiwat/lowat/state) |
發送緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
type |
使用的socket類型 |
|
protocol |
使用socket的協議號 |
|
connection info |
連接信息,分別為源IP地址、目的IP地址 |
|
inpcb flags |
Internet協議控製塊中的標記 |
|
inpcb vflag |
Internet協議控製塊中的IP版本標記 |
|
TTL(minimum TTL) |
Internet協議控製塊中的生存周期,括號中為最小生存周期 |
|
send VRF |
發送實例 |
|
receive VRF |
接收實例 |
display tcp命令用來顯示TCP連接摘要信息。
【命令】
display tcp [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的TCP連接摘要信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display tcp命令用來顯示TCP連接摘要信息,包括本端IP地址及端口號、對端IP地址及端口號、TCP連接的狀態等信息。
【舉例】
# 顯示TCP連接摘要信息。
<Sysname> display tcp
*: TCP MD5 Connection
Local Addr:port Foreign Addr:port State Slot PCB
*0.0.0.0:21 0.0.0.0:0 LISTEN 1 0x000000000000c387
192.168.20.200:23 192.168.20.14:1284 ESTABLISHED 1 0x0000000000000009
192.168.20.200:23 192.168.20.14:1283 ESTABLISHED 1 0x0000000000000002
表1-5 display tcp命令顯示信息描述表
|
字段 |
描述 |
|
* |
如果某個連接前有此標識,則表示該TCP連接是采用MD5加密算法認證的連接 |
|
Local Addr:port |
本端IP地址及端口號 |
|
Foreign Addr:port |
對端IP地址及端口號 |
|
State |
TCP連接狀態,可能的狀態如下: · CLOSED:服務器收到客戶端的關閉連接請求回應後所處的狀態 · LISTEN:服務器在等待連接請求時所處的狀態 · SYN_SENT:客戶端發出連接請求等待服務器回應時所處的狀態 · SYN_RCVD:服務器收到客戶端連接請求時所處的狀態 · ESTABLISHED:服務器和客戶端雙方建立連接並能進行雙向數據傳遞的狀態 · CLOSE_WAIT:服務器收到客戶端關閉連接請求時所處的狀態 · FIN_WAIT_1:客戶端發出關閉連接請求等待服務器回應時所處的狀態 · CLOSING:連接雙方在向對端發出關閉連接請求後等待對端回應過程中收到對端發出的關閉連接請求時所處的狀態 · LAST_ACK:服務器向客戶端發出關閉連接請求等待回應時所處的狀態 · FIN_WAIT_2:客戶端收到服務器關閉連接回應後所處的狀態 · TIME_WAIT:客戶端收到服務器的關閉連接請求後所處的狀態 |
|
Slot |
設備在IRF中的成員編號 |
|
PCB |
協議控製塊索引 |
display tcp statistics命令用來顯示TCP連接的流量統計信息。
【命令】
display tcp statistics [ slot slot-number ]
【視圖】
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的TCP連接流量統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display tcp statistics命令用來顯示TCP連接的流量統計信息,包括接收報文、發送報文以及Syncache/syncookie等相關統計信息。
【舉例】
# 顯示TCP連接的流量統計信息。
<Sysname> display tcp statistics
Received packets:
Total: 4150
packets in sequence: 1366 (134675 bytes)
window probe packets: 0, window update packets: 0
checksum error: 0, offset error: 0, short error: 0
packets dropped for lack of memory: 0
packets dropped due to PAWS: 0
duplicate packets: 12 (36 bytes), partially duplicate packets: 0 (0 bytes)
out-of-order packets: 0 (0 bytes)
packets with data after window: 0 (0 bytes)
packets after close: 0
ACK packets: 3531 (795048 bytes)
duplicate ACK packets: 33, ACK packets for unsent data: 0
Sent packets:
Total: 4058
urgent packets: 0
control packets: 50
window probe packets: 3, window update packets: 11
data packets: 3862 (795012 bytes), data packets retransmitted: 0 (0 bytes)
ACK-only packets: 150 (52 delayed)
unnecessary packet retransmissions: 0
Syncache/syncookie related statistics:
entries added to syncache: 12
syncache entries retransmitted: 0
duplicate SYN packets: 0
reply failures: 0
successfully build new socket: 12
bucket overflows: 0
zone failures: 0
syncache entries removed due to RST: 0
syncache entries removed due to timed out: 0
ACK checked by syncache or syncookie failures: 0
syncache entries aborted: 0
syncache entries removed due to bad ACK: 0
syncache entries removed due to ICMP unreachable: 0
SYN cookies sent: 0
SYN cookies received: 0
SACK related statistics:
SACK recoveries: 1
SACK retransmitted segments: 0 (0 bytes)
SACK blocks (options) received: 0
SACK blocks (options) sent: 0
SACK scoreboard overflows: 0
Other statistics:
retransmitted timeout: 0, connections dropped in retransmitted timeout: 0
persist timeout: 0
keepalive timeout: 21, keepalive probe: 0
keepalive timeout, so connections disconnected: 0
fin_wait_2 timeout, so connections disconnected: 0
initiated connections: 29, accepted connections: 12, established connections:
23
closed connections: 50051 (dropped: 0, initiated dropped: 0)
bad connection attempt: 0
ignored RSTs in the window: 0
listen queue overflows: 0
RTT updates: 3518(attempt segment: 3537)
correct ACK header predictions: 0
correct data packet header predictions: 568
resends due to MTU discovery: 0
packets dropped with MD5 authentication: 0
packets permitted with MD5 authentication: 0
表1-6 display tcp statistics命令顯示信息描述表
|
字段 |
描述 |
|
|
Received packets |
Total |
接收的報文總數 |
|
packets in sequence |
按順序到達的報文數,括號中為字節數 |
|
|
window probe packets |
接收的窗口探測報文數 |
|
|
window update packets |
接收的窗口更新報文數 |
|
|
checksum error |
接收的校驗和錯誤報文數 |
|
|
offset error |
接收的偏移量錯誤報文數 |
|
|
short error |
接收的報文長度太短的報文數 |
|
|
packets dropped for lack of memory |
由於內存不足而被丟棄的報文數 |
|
|
packets dropped due to PAWS |
由於PAWS(防止序號回繞)而被丟棄的報文數 |
|
|
duplicate packets |
接收的完全重複報文數,括號中為字節數 |
|
|
partially duplicate packets |
接收的部分重複報文數,括號中為字節數 |
|
|
out-of-order packets |
接收的順序錯亂的報文數,括號中為字節數 |
|
|
packets with data after window |
落在接收窗口外的報文數,括號中為字節數 |
|
|
packets after close |
在連接關閉後到達的報文數 |
|
|
ACK packets |
接收的ACK確認報文數,括號中為字節數 |
|
|
duplicate ACK packets |
接收的重複的ACK確認報文數 |
|
|
ACK packets for unsent data |
接收的確認未發送數據的ACK報文數 |
|
|
Sent packets |
Total |
發送的報文總數 |
|
urgent packets |
發送的緊急數據報文數 |
|
|
control packets |
發送的控製報文數,括號中為包含的重傳數據報文數 |
|
|
window probe packets |
發送的窗口探測報文數 |
|
|
window update packets |
發送的窗口更新報文數 |
|
|
data packets |
發送的數據報文數,括號中為字節數 |
|
|
data packets retransmitted |
重發的數據報文數,括號中為字節數 |
|
|
ACK-only packets |
發送的ACK報文數,括號中為延遲ACK報文數 |
|
|
unnecessary packet retransmissions |
報文非必要重傳次數 |
|
|
Syncache/syncookie related statistics |
entries added to syncache |
添加的syncache對象數 |
|
syncache entries retransmitted |
重傳的syncache對象數 |
|
|
duplicate SYN packets |
重複的SYN報文數 |
|
|
reply failures |
回複失敗的報文數 |
|
|
successfully build new socket |
創建子socket成功數 |
|
|
bucket overflows |
bucket溢出次數 |
|
|
zone failures |
內存分配失敗次數 |
|
|
syncache entries removed due to RST |
由於收到RST(複位連接)報文段而刪除的syncache對象個數 |
|
|
syncache entries removed due to timed out |
定時器超時且重傳次數超過限製時syncache對象刪除數 |
|
|
ACK checked by syncache or syncookie failures |
接收到ACK報文時查找syncache處理失敗數 |
|
|
syncache entries aborted |
創建子socket失敗數 |
|
|
syncache entries removed due to bad ACK |
由於bad ACK而刪除的syncache對象數 |
|
|
syncache entries removed due to ICMP unreachable |
由於接收到ICMP差錯報文導致刪除的syncache對象數 |
|
|
SYN cookies sent |
SYN cookie發送數 |
|
|
SYN cookies received |
SYN cookie接收數 |
|
|
SACK related statistics |
SACK recoveries |
通過SACK進行恢複的次數 |
|
SACK retransmitted segments |
通過SACK進行重傳的報文段個數,括號中為字節數 |
|
|
SACK blocks (options) received |
接收到的帶選擇性ACK選項的報文數 |
|
|
SACK blocks (options) sent |
發送的帶選擇性ACK選項的報文數 |
|
|
SACK scoreboard overflows |
本地維護的對端缺失報文段記錄隊列溢出次數 |
|
|
Other statistics |
retransmitted timeout |
重傳定時器超時次數 |
|
connections dropped in retransmitted timeout |
重傳次數超過限製而丟棄的連接數 |
|
|
persist timeout |
持續定時器超時次數 |
|
|
keepalive timeout |
存活定時器超時次數 |
|
|
keepalive probe |
發送的存活探測報文數 |
|
|
keepalive timeout, so connections disconnected |
存活定時器超時而中斷的連接數 |
|
|
fin_wait_2 timeout, so connections disconnected |
Fin wait 2定時器超時而中斷的連接數 |
|
|
initiated connections |
發起連接次數 |
|
|
accepted connections |
接受連接次數 |
|
|
established connections |
已建立連接數 |
|
|
closed connections(dropped: 0, initiated dropped: 0) |
已關閉連接數目,括號中為意外丟棄連接數(收到對端SYN之後)、主動連接失敗數(收到對端SYN之前) |
|
|
bad connection attempt |
接收到的錯誤連接報文數 |
|
|
ignored RSTs in the window |
窗口中忽略的RST報文數 |
|
|
listen queue overflows |
監聽隊列溢出次數 |
|
|
RTT updates(attempt segment) |
RTT更新次數,括號中為發送的報文數 |
|
|
correct ACK header predictions |
ACK通過首部預測算法的次數 |
|
|
correct data packet header predictions |
數據報文通過首部預測算法的次數 |
|
|
resends due to MTU discovery |
由於MTU發現而重傳的報文數 |
|
|
packets dropped with MD5 authentication |
MD5驗證丟棄報文數 |
|
|
packets permitted with MD5 authentication |
MD5驗證通過報文數 |
|
【相關命令】
· reset tcp statistics
display tcp verbose命令用來顯示TCP連接詳細信息。
【命令】
display tcp verbose [ slot slot-number [ pcb pcb-index ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
pcb pcb-index:顯示指定協議控製塊索引的TCP連接詳細信息。pcb-index表示協議控製塊索引,取值範圍為1~16。
slot slot-number:顯示指定成員設備的TCP連接詳細信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display tcp verbose命令用來顯示TCP連接的詳細信息,包括socket的創建者、狀態、選項、類型、使用的協議號等,以及TCP連接的源IP地址及端口號、目的IP地址及端口號、狀態等信息。
【舉例】
# 顯示TCP連接詳細信息。
<Sysname> display tcp verbose
TCP inpcb number: 1(tcpcb number: 1)
slot: 1
creator: telnetd_mips[199]
state: ISCONNECTED
options: N/A
error: 0
rcvbuf(cc/hiwat/lowat/state): 0 / 65700 / 1 / N/A
sndbuf(cc/hiwat/lowat/state): 0 / 65700 / 512 / N/A
type: 1
protocol: 6
connection info: src = 192.168.20.200:23 , dst = 192.168.20.14:4181
inpcb flags: N/A
inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
connection state: ESTABLISHED
send VRF: 0x0
receive VRF: 0x0
表1-7 display tcp verbose命令顯示信息描述表
|
字段 |
描述 |
|
TCP inpcb number |
TCP類型internet協議控製塊個數 |
|
tcpcb number |
TCP控製塊個數(處於TIME_WAIT狀態的TCP則沒有此計數) |
|
slot |
設備在IRF中的成員編號 |
|
creator |
創建socket的任務名稱,括號中為創建者的進程號 |
|
state |
socket的狀態,可能的狀態如下: · NOFDREF:用戶已經關閉 · ISCONNECTED:連接已經建立 · ISCONNECTING:正在建立連接 · ISDISCONNECTING:正在斷開連接 · ASYNC:異步方式 · ISDISCONNECTED:連接已經斷開 · PROTOREF:協議強關聯 · N/A:不處於上述狀態 |
|
options |
socket的選項,有以下幾種: · SO_DEBUG:記錄套接字的調試信息 · SO_ACCEPTCONN:server端監聽連接請求 · SO_REUSEADDR: 允許本地地址重複使用 · SO_KEEPALIVE:協議需要查詢空閑的連接 · SO_DONTROUTE:設置不查路由表,由於目的地址是直連網絡的情況 · SO_BROADCAST:套接字支持廣播報文 · SO_LINGER:套接字關閉但仍發送剩餘數據 · SO_OOBINLINE:帶外數據采用內聯方式存儲 · SO_REUSEPORT:允許本地端口重複使用 · SO_TIMESTAMP:入報文記錄時間戳,隻對非連接的協議有效,時間精確到毫秒 · SO_NOSIGPIPE:socket不能發送數據導致返回失敗時不創建SIGPIPE · SO_TIMESTAMPNS:和時戳選項功能類似,時間可以精確到納秒 · N/A:沒有設置選項 |
|
error |
影響socket連接的錯誤 |
|
rcvbuf(cc/hiwat/lowat/state) |
接收緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
sndbuf(cc/hiwat/lowat/state) |
發送緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
type |
使用的socket類型 |
|
protocol |
使用socket的協議號 |
|
connection info |
連接信息,分別為源IP地址及端口號、目的IP地址及端口號 |
|
inpcb flags |
Internet協議控製塊中的標記 |
|
inpcb vflag |
Internet協議控製塊中的IP版本標記 |
|
TTL |
Internet協議控製塊中的生存周期,括號中為最小生存周期 |
|
connection state |
TCP連接狀態,可能的狀態如下: · CLOSED:服務器收到客戶端的關閉連接請求回應後所處的狀態 · LISTEN:服務器在等待連接請求時所處的狀態 · SYN_SENT:客戶端發出連接請求等待服務器回應時所處的狀態 · SYN_RCVD:服務器收到客戶端連接請求時所處的狀態 · ESTABLISHED:服務器和客戶端雙方建立連接並能進行雙向數據傳遞的狀態 · CLOSE_WAIT:服務器收到客戶端關閉連接請求時所處的狀態 · FIN_WAIT_1:客戶端發出關閉連接請求等待服務器回應時所處的狀態 · CLOSING:連接雙方在向對端發出關閉連接請求後等待對端回應過程中收到對端發出的關閉連接請求時所處的狀態 · LAST_ACK:服務器向客戶端發出關閉連接請求等待回應時所處的狀態 · FIN_WAIT_2:客戶端收到服務器關閉連接回應後所處的狀態 · TIME_WAIT:客戶端收到服務器的關閉連接請求後所處的狀態 |
|
send VRF |
發送實例 |
|
receive VRF |
接收實例 |
display udp命令用來顯示UDP連接摘要信息。
【命令】
display udp [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的UDP連接摘要信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display udp命令用來顯示UDP連接摘要信息,包括本端IP地址及端口號、對端IP地址及端口號等信息。
【舉例】
# 顯示UDP連接摘要信息。
<Sysname> display udp
Local Addr:port Foreign Addr:port Slot PCB
0.0.0.0:69 0.0.0.0:0 1 0x0000000000000003
192.168.20.200:1024 192.168.20.14:69 5 0x0000000000000002
表1-8 display udp命令顯示信息描述表
|
字段 |
描述 |
|
Local Addr:port |
本端IP地址及端口號 |
|
Foreign Addr:port |
對端IP地址及端口號 |
|
Slot |
設備在IRF中的成員編號 |
|
PCB |
協議控製塊索引 |
display udp statistics命令用來顯示UDP流量統計信息。
【命令】
display udp statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的UDP流量統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display udp statistics命令用來顯示UDP流量統計信息,包括接收和發送的各類UDP報文信息。
【舉例】
# 顯示UDP流量統計信息。
<Sysname> display udp statistics
Received packets:
Total: 240
checksum error: 0, no checksum: 0
shorter than header: 0, data length larger than packet: 0
no socket on port(unicast): 0
no socket on port(broadcast/multicast): 240
not delivered, input socket full: 0
Sent packets:
Total: 0
表1-9 display udp statistics命令顯示信息描述表
|
字段 |
描述 |
|
|
Received packets |
Total |
接收的UDP報文總數 |
|
checksum error |
校驗和出錯的報文數 |
|
|
no checksum |
沒有校驗和的報文數 |
|
|
shorter than header |
報文長度比報文頭部短的報文數 |
|
|
data length larger than packet |
報文數據長度超過報文長度的報文數 |
|
|
no socket on port(unicast) |
端口上無socket的單播報文數 |
|
|
no socket on port(broadcast/multicast) |
端口上無socket的廣播和組播報文數 |
|
|
not delivered, input socket full |
因為socket緩衝區已滿而沒有向上層傳送的報文數 |
|
|
Sent packets |
Total |
發送的UDP報文總數 |
【相關命令】
· reset udp statistics
display udp verbose命令用來顯示UDP連接詳細信息。
【命令】
display udp verbose [ slot slot-number [ pcb pcb-index ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
pcb pcb-index:顯示指定協議控製塊索引的UDP連接詳細信息。pcb-index表示協議控製塊索引,取值範圍為1~16。
slot slot-number:顯示指定成員設備的UDP連接詳細信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
display udp verbose命令用來顯示UDP連接的詳細信息,包括socket的創建者、狀態、選項、類型、使用的協議號等,以及UDP連接的源IP地址及端口號、目的IP地址及端口號等信息。
【舉例】
# 顯示UDP連接詳細信息。
<Sysname> display udp verbose
Total UDP Socket Number: 1
slot: 1
creator: sock_test_mips[250]
state: N/A
options: N/A
error: 0
rcvbuf(cc/hiwat/lowat/state): 0 / 41600 / 1 / N/A
sndbuf(cc/hiwat/lowat/state): 0 / 9216 / 512 / N/A
type: 2
protocol: 17
connection info: src = 0.0.0.0:69, dst = 0.0.0.0:0
inpcb flags: N/A
inpcb vflag: INP_IPV4
TTL: 255(minimum TTL: 0)
send VRF: 0xffff
receive VRF: 0xffff
表1-10 display udp verbose命令顯示信息描述表
|
字段 |
描述 |
|
Total UDP Socket Number |
UDP socket總數 |
|
slot |
設備在IRF中的成員編號 |
|
creator |
創建socket的任務名稱,括號中為創建者的進程號 |
|
state |
socket的狀態,可能的狀態如下: · NOFDREF:用戶已經關閉 · ISCONNECTED:連接已經建立 · ISCONNECTING:正在建立連接 · ISDISCONNECTING:正在斷開連接 · ASYNC:異步方式 · ISDISCONNECTED:連接已經斷開 · PROTOREF:協議強關聯 · N/A:不處於上述狀態 |
|
options |
socket的選項,有以下幾種: · SO_DEBUG:記錄套接字的調試信息 · SO_ACCEPTCONN:server端監聽連接請求 · SO_REUSEADDR: 允許本地地址重複使用 · SO_KEEPALIVE:協議需要查詢空閑的連接 · SO_DONTROUTE:設置不查路由表,由於目的地址是直連網絡的情況 · SO_BROADCAST:套接字支持廣播報文 · SO_LINGER:套接字關閉但仍發送剩餘數據 · SO_OOBINLINE:帶外數據采用內聯方式存儲 · SO_REUSEPORT:允許本地端口重複使用 · SO_TIMESTAMP:入報文記錄時間戳,隻對非連接的協議有效,時間精確到毫秒 · SO_NOSIGPIPE:socket不能發送數據導致返回失敗時不創建SIGPIPE · SO_TIMESTAMPNS:和時戳選項功能類似,時間可以精確到納秒 · N/A:沒有設置選項 |
|
error |
影響socket連接的錯誤 |
|
rcvbuf(cc/hiwat/lowat/state) |
接收緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
sndbuf(cc/hiwat/lowat/state) |
發送緩衝區信息,括號中分別為:當前使用空間、最大空間、最小空間、狀態 |
|
type |
使用的socket類型 |
|
protocol |
使用socket的協議號 |
|
connection info |
連接信息,分別為源IP地址及端口號、目的IP地址及端口號 |
|
inpcb flags |
Internet協議控製塊中的標記 |
|
inpcb vflag |
Internet協議控製塊中的IP版本標記 |
|
TTL |
Internet協議控製塊中的生存周期,括號中為最小生存周期 |
|
send VRF |
發送實例 |
|
receive VRF |
接收實例 |
ip forward-broadcast命令用來配置允許接口接收和轉發直連網段的定向廣播報文。
undo ip forward-broadcast命令用來禁止接口接收和轉發直連網段的定向廣播報文。
【命令】
ip forward-broadcast
undo ip forward-broadcast
【缺省情況】
設備禁止接口接收和轉發麵向直連網段的定向廣播報文。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
定向廣播報文是指發送給特定網絡的廣播報文。該報文的目的IP地址中網絡號碼字段為特定網絡的網絡號,主機號碼字段為全1。
接口接收和轉發直連網段的定向廣播報文包括以下幾種情況:
· 在接收定向廣播報文的情況下,如果在接口上配置了此命令,設備允許接收此接口直連網段的定向廣播報文。
· 在轉發定向廣播報文的情況下,如果在接口上配置了此命令,設備從其他接口接收到目的地址為此接口直連網段的定向廣播報文時,會從此接口轉發此類報文。
黑客可以利用定向廣播報文來攻擊網絡係統,給網絡的安全帶來了很大的隱患。但在某些應用環境下,設備接口需要接收或轉發這類定向廣播報文,例如使用UDP Helper功能,將廣播報文轉換為單播報文發送給指定的服務器。
在上述情況下,用戶可以通過命令配置接口允許接收和轉發直連網段的定向廣播報文。
【舉例】
# 配置允許VLAN接口2接收和轉發麵向直連網段的定向廣播報文。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] ip forward-broadcast
ip icmp fragment discarding命令用來關閉ICMP分片報文轉發功能。
undo ip icmp fragment discarding命令用來開啟ICMP分片報文轉發功能。
【命令】
ip icmp fragment discarding
undo ip icmp fragment discarding
【缺省情況】
ICMP分片報文轉發功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
為了防止ICMP分片報文攻擊,用戶可以關閉設備的ICMP分片報文轉發功能,對於收到的ICMP分片報文不進行轉發。
【舉例】
# 關閉ICMP分片報文轉發功能。
<Sysname> system-view
[Sysname] ip icmp fragment discarding
ip mtu命令用來配置接口上發送IPv4報文的MTU。
undo ip mtu命令用來恢複缺省情況。
【命令】
ip mtu mtu-size
undo ip mtu
【缺省情況】
沒有配置接口MTU。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
mtu-size:接口MTU的大小,取值範圍為128~2000,單位為字節。
【使用指導】
當設備收到一個報文後,如果發現報文長度比轉發接口的MTU值大,則進行下列處理:
· 如果報文不允許分片,則將報文丟棄;
· 如果報文允許分片,則將報文進行分片轉發。
為了減輕轉發設備在傳輸過程中的分片和重組數據包的壓力,更高效的利用網絡資源,請根據實際組網環境設置合適的接口MTU值,以減少分片的發生。
如果當前接口同時支持mtu和ip mtu命令,則設備會以ip mtu命令配置的接口MTU值對報文進行分片,不會再按照mtu命令配置的MTU值對報文進行分片。
在當前接口配置的MTU值僅對接口上報CPU進行軟件轉發的報文生效(如以本接口為源端或目的端的報文),請合理配置網絡中的MTU值,盡量避免報文分片。
【舉例】
# 配置VLAN接口100上發送IPv4報文的MTU為1280字節。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip mtu 1280
ip redirects enable命令用來開啟設備的ICMP重定向報文的發送功能。
undo ip redirects enable命令用來關閉設備的ICMP重定向報文的發送功能。
【命令】
ip redirects enable
undo ip redirects enable
【缺省情況】
ICMP重定向報文發送功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
主機啟動時,它的路由表中可能隻有一條到缺省網關的缺省路由。當滿足一定的條件時,缺省網關會向源主機發送ICMP重定向報文,通知主機重新選擇正確的下一跳進行後續報文的發送。
滿足下列條件時,設備會發送ICMP重定向報文:
· 接收和轉發數據報文的接口是同一接口;
· 被選擇的路由本身沒有被ICMP重定向報文創建或修改過;
· 被選擇的路由不是設備的默認路由;
· 數據報文中沒有源路由選項。
ICMP重定向報文發送功能可以簡化主機的管理,使具有很少選路信息的主機逐漸建立較完善的路由表,從而找到最佳路由。
【舉例】
# 開啟設備的ICMP重定向報文發送功能。
<Sysname> system-view
[Sysname] ip redirects enable
ip ttl-expires enable命令用來開啟設備的ICMP超時報文的發送功能。
undo ip ttl-expires enable命令用來關閉設備的ICMP超時報文的發送功能。
【命令】
ip ttl-expires enable
undo ip ttl-expires enable
【缺省情況】
ICMP超時報文發送功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ICMP超時報文發送功能是在設備收到IP數據報文後,如果發生超時差錯,則將報文丟棄並給源端發送ICMP超時差錯報文。
設備在滿足下列條件時會發送ICMP超時報文:
· 設備收到IP數據報文後,如果報文的目的地不是本地且報文的TTL字段是1,則發送“TTL超時”ICMP差錯報文;
· 設備收到目的地址為本地的IP數據報文的第一個分片後,啟動定時器,如果所有分片報文到達之前定時器超時,則會發送“重組超時”ICMP差錯報文。
需要注意的是,關閉ICMP超時報文發送功能後,設備不會再發送“TTL超時”ICMP差錯報文,但“重組超時”ICMP差錯報文仍會正常發送。
【舉例】
# 開啟設備的ICMP超時報文發送功能。
<Sysname> system-view
[Sysname] ip ttl-expires enable
ip unreachables enable命令用來開啟設備的ICMP目的不可達報文的發送功能。
undo ip unreachables enable命令用來關閉設備的ICMP目的不可達報文的發送功能。
【命令】
ip unreachables enable
undo ip unreachables enable
【缺省情況】
ICMP目的不可達報文發送功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ICMP目的不可達報文發送功能是在設備收到IP數據報文後,如果發生目的不可達的差錯,則將報文丟棄並給源端發送ICMP目的不可達差錯報文。
設備在滿足下列條件時會發送目的不可達報文:
· 設備在轉發報文時,如果在路由表中沒有找到對應的轉發路由,且路由表中沒有缺省路由,則給源端發送“網絡不可達”ICMP差錯報文;
· 設備收到目的地址為本地的數據報文時,如果設備不支持數據報文采用的傳輸層協議,則給源端發送“協議不可達”ICMP差錯報文;
· 設備收到目的地址為本地、傳輸層協議為UDP的數據報文時,如果報文的端口號與正在使用的進程不匹配,則給源端發送“端口不可達”ICMP差錯報文;
· 源端如果采用“嚴格的源路由選擇”發送報文,當中間設備發現源路由所指定的下一個設備不在其直接連接的網絡上,則給源端發送“源站路由失敗”的ICMP差錯報文;
· 設備在轉發報文時,如果轉發接口的MTU小於報文的長度,但報文被設置了不可分片,則給源端發送“需要進行分片但設置了不分片比特”ICMP差錯報文。
【舉例】
# 開啟設備的ICMP目的不可達報文發送功能。
<Sysname> system-view
[Sysname] ip unreachables enable
reset ip statistics命令用來清除IP報文統計信息。
【命令】
reset ip statistics [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
slot slot-number:清除指定成員設備的IP報文統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
在某些情況下,需要統計一定時間內接口的IP報文統計信息,這時必須在統計開始前清除原有的統計信息,重新進行統計。
【舉例】
# 清除IP報文統計信息。
<Sysname> reset ip statistics
【相關命令】
· display ip interface(三層技術-IP業務命令參考/IP地址)
· display ip statistics
reset tcp statistics命令用來清除TCP連接的流量統計信息。
【命令】
reset tcp statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除TCP連接的流量統計信息。
<Sysname> reset tcp statistics
【相關命令】
· display tcp statistics
reset udp statistics命令用來清除UDP流量統計信息。
【命令】
reset udp statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除UDP流量統計信息。
<Sysname> reset udp statistics
【相關命令】
· display udp statistics
tcp mss命令用來配置接口的TCP最大報文段長度。
undo tcp mss命令用來恢複缺省情況。
【命令】
tcp mss value
undo tcp mss
【缺省情況】
未配置接口的TCP最大報文段長度。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
value:TCP最大報文段長度,取值範圍為128~2048,單位為字節。
【使用指導】
TCP最大報文段長度(Max Segment Size,MSS)表示TCP連接的對端發往本端的最大TCP報文段的長度,目前作為TCP連接建立時的一個選項來協商:當一個TCP連接建立時,連接的雙方要將MSS作為TCP報文的一個選項通告給對端,對端會記錄下這個MSS值,後續在發送TCP報文時,會限製TCP報文的大小不超過該MSS值。當對端發送的TCP報文的長度小於本端的TCP最大報文段長度時,TCP報文不需要分段;否則,對端需要對TCP報文按照最大報文段長度進行分段處理後再發給本端。
需要注意的是:
· 該配置僅對新建的TCP連接生效,對於配置前已建立的TCP連接不生效。
· 該配置僅對IP報文生效,當接口上配置了MPLS功能後,不建議再配置本功能。
【舉例】
# 配置VLAN接口100上TCP最大報文段長度為300字節。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] tcp mss 300
tcp path-mtu-discovery命令用來開啟TCP連接的Path MTU探測功能。
undo tcp path-mtu-discovery命令用來關閉TCP連接的Path MTU探測功能。
【命令】
tcp path-mtu-discovery [ aging age-time | no-aging ]
undo tcp path-mtu-discovery
【缺省情況】
TCP連接的Path MTU探測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
aging age-time:Path MTU的老化時間,age-time的取值範圍為10~30,單位為分鍾,缺省值為10分鍾。
no-aging:Path MTU不老化。
【使用指導】
開啟TCP連接的Path MTU探測功能後,新建的TCP連接均會攜帶Path MTU探測屬性,可以通過探測機製確定Path MTU,按照數據路徑上的最小MTU組織TCP分段長度,最大限度利用網絡資源,避免IP分片的發生。
關閉TCP連接的Path MTU探測功能後,係統將停止所有正在運行的Path MTU定時器,此後創建的TCP連接均無Path MTU探測功能,但是對於此前已經建立的TCP連接,其Path MTU探測功能不會被關閉。
【舉例】
# 開啟TCP連接的Path MTU探測功能,Path MTU的老化時間為20分鍾。
<Sysname> system-view
[Sysname] tcp path-mtu-discovery aging 20
tcp syn-cookie enable命令用來使能SYN Cookie功能,防止設備受到SYN Flood攻擊。
undo tcp syn-cookie enble命令用來關閉SYN Cookie功能。
【命令】
tcp syn-cookie enable
undo tcp syn-cookie enable
【缺省情況】
SYN Cookie功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
一般情況下,TCP連接的建立需要經過三次握手,一些惡意的攻擊者利用TCP連接的建立過程進行SYN Flood攻擊:攻擊者向服務器發送大量請求建立TCP連接的SYN報文,而不回應服務器的SYN ACK報文,導致服務器上建立了大量的TCP半連接。從而,達到耗費服務器資源,使服務器無法處理正常業務的目的。
SYN Cookie功能用來防止SYN Flood攻擊。當服務器收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文。服務器接收到發起者回應的ACK報文後,才建立連接。通過這種方式,可以避免在服務器上建立大量的TCP半連接,防止服務器受到SYN Flood攻擊。
【舉例】
# 使能SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
tcp timer fin-timeout命令用來配置TCP的finwait定時器超時時間。
undo tcp timer fin-timeout命令用來恢複缺省情況。
【命令】
tcp timer fin-timeout time-value
undo tcp timer fin-timeout
【缺省情況】
TCP finwait定時器的超時時間為675秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:TCP finwait定時器的超時時間,取值範圍為76~3600,單位為秒。
【使用指導】
當TCP的連接狀態為FIN_WAIT_2時,啟動finwait定時器,如果在定時器超時前沒有收到報文,則TCP連接終止;如果收到FIN報文,則TCP連接狀態變為TIME_WAIT狀態;如果收到非FIN報文,則從收到的最後一個非FIN報文開始重新計時,在超時後中止連接。
【舉例】
# 配置TCP finwait定時器的超時時間為800秒。
<Sysname> system-view
[Sysname] tcp timer fin-timeout 800
tcp timer syn-timeout命令用來配置TCP的synwait定時器超時時間。
undo tcp timer syn-timeout命令用來恢複缺省情況。
【命令】
tcp timer syn-timeout time-value
undo tcp timer syn-timeout
【缺省情況】
TCP synwait定時器的超時時間為75秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:TCP synwait定時器的超時時間,取值範圍為2~600,單位為秒。
【使用指導】
當發送SYN報文時,TCP啟動synwait定時器,如果synwait超時前未收到回應報文,則TCP連接建立不成功。
【舉例】
# 配置TCP synwait定時器的超時時間為80秒。
<Sysname> system-view
[Sysname] tcp timer syn-timeout 80
tcp window命令用來設置TCP連接的收發緩衝區大小。
undo tcp window命令用來恢複缺省情況。
【命令】
tcp window window-size
undo tcp window
【缺省情況】
TCP連接的收發緩衝區大小為64KB。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
window-size:TCP連接的收發緩衝區大小,取值範圍為1~64,單位為KB(千字節)。
【舉例】
# 設置TCP連接的收發緩衝區大小為3KB。
<Sysname> system-view
[Sysname] tcp window 3
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
