網絡性能優化及安全保障

                                      性能優化：

一，QoS(Quality  of Service):服務品質

1，網絡在性能方面存在的問題：

1）delay

2) variation

3) loss

2,特定環境對網絡性能：

1）

3，保證QoS的措施：保證QoS是以網絡的“可用性”為前提

4，網絡的可用性：

1）備援：核心裝置、主要鍊路的備援

1> 鍊路備援：

a. 浮動路由：(config)#ip  route   目的網網絡号/子網号   目的網掩碼   下一跳IP  管理距離

b. 備份端口：實作鍊路的備援；提供了負載分擔

c. 以太通道：

特性：一條以太通道内，最多可以聚合8條實體鍊路，帶寬達到10M---160G

目的：提供鍊路備援；負載分擔；避免環路；提高鍊路帶寬

應用場合：核心交換機之間的鍊路

原則：

負載均衡政策：基于源（MAC,IP,端口）進行負載分擔

              基于目的（MAC,IP,端口）進行負載分擔

              同時基于源和目的

協定：PAgP(端口聚合協定)是Cisco私有協定，将“近似配置”的端口放入以太通道

      PAgP的模式：on把端口強制放入以太通道；off阻止端口進入以太通道；auto 把端口設為被動協商端口；

                  desirable把端口設為主動協商端口

      LACP（鍊路聚合控制協定）是通用協定，将“近似配置”的端口放入以太通道

      LACP的模式： on把端口強制放入以太通道；off阻止端口進入以太通道；passive 把端口設為被動協商端口；

                   active把端口設為主動協商端口

配置：

     建立以太通道：(config)#interface  port-channel  通道号（1--6）

                   (config-if)#ip  address  IP位址   掩碼              //三層以太通道配置該指令

     向以太通道添加成員（端口）：(config)#interface  實體端口

                                 (config-if)#port-channel  protocol  pagp/lacp  (或channel-protocol  pagp/lacp)

                                 (config-if)#port-channel  group  通道号  mode  on/off/desirable/auto/active/passive

                                                    channel-group 

(config-if)#port-channel  load-balance 

2>裝置備援：

a.路由器的備援：通過HSRP（熱備份路由協定）技術實作路由器的備援

i）配置虛拟路由器，把虛拟路由器的IP位址作為用戶端的網關，而虛拟路由器的成員是“多台實體路由器”

   虛拟路由器的MAC位址是：

   熱備份路由協定組就是“虛拟路由器”

ii）虛拟路由器中的主、備份路由器，是通過HELLO包中的優先級選舉的，優先級越大越好

// HELLO包的封裝：發送者的IP位址；HSRP組的組号；優先級；HELLO包發送時間（預設3S）；保持時間（預設10S）；虛拟路由器的IP位址；HSRP的狀态

iii)HSRP的狀态：

initial state(初始狀态)：HSRP未運作

learn  state（學習狀态）：路由器未收到HELLO包，不知道虛拟路由器的IP位址

listen  state(偵聽狀态)： ...................,知道虛拟路由器的IP位址

speak  state（發言狀态）：選舉主、備份路由器

standby state(備份狀态)：選出備份路由器

active state(活動狀态)：選出主路由器，正常轉發資料

iv）配置：(config)#int  端口   //路由器收發HELLO包的端口

          (config-if)#standby   組号  ip  虛拟路由器的IP位址      //指定虛拟路由器IP 

          (config-if)#standby   組号  priority   優先級       //指定優先級

          (config-if)#standby   組号  preempt       //指定搶占

          (config-if)#standby   組号  timer   HELLO包發送時間    保持時間

          (config-if)#standby   組号  track  s0/0   70

b. 伺服器備援：配置虛拟伺服器

i)在交換機上配置虛拟伺服器，其成員是“實體伺服器”，給虛拟伺服器配置IP位址，對其進行釋出

ii)配置：

建立實體伺服器群：

(config)#ip  slb  serverfarm  名

(config-slb-sfarm)#real   實體伺服器IP

(config-slb-real)#inservice          //啟用實體伺服器

建立虛拟伺服器：

(config)#ip  slb  vserver  虛拟伺服器名

(config-slb-vserver)#virtual  IP位址   掩碼

(config-slb-vserver)#serverfarm   名

(config-slb-vserver)#inservice          //啟用虛拟伺服器

c. 交換機備援：

i)引擎的備援：

特性：

當主引擎工作時，備份引擎處于完全啟動狀态；

無負載均衡；

VLAN資料庫模式，不支援；

引擎上運作的IOS版本相同；

引擎的型号相同；

引擎要放在交換機的第一個和第二個插槽上；

不能使用叉線纜配置引擎；

使用RPR+實作引擎通信

(config)#redundancy    //啟用備援

(config-red)#mode  rpr-plus    //指定RPR+協定

ii)交換子產品的備援

iii）電源的備援

配置：（config）#power  redundancy-mode  combined/redundant

iv)風扇的備援

v)使用“HSRP”技術，實作三層交換機的備援，配置等同“路由器”

3>動态路由協定實作“路由備援”

4>生成樹協定實作“交換網絡中，鍊路的備援”

5, QoS的實作：

1）流量整形：

1>應用場合：幀中繼環境

2>機理：通過設定“平均速率”或“BECN（後向擁塞管理機制）”，實作擁塞管理

3>配置：

建立map-class,并指明資料處理政策：

(config)#map-class  frame-relay   名

(config-map-class)#frame-relay  traffic-rate  56000    64000

//速率的機關為b

或

(config-map-class)#frame-relay  adaptive-shaping  becn

封裝幀中繼，并應用資料處理政策

(config-if)#encap  frame-relay

(config-if)#frame-relay  class  名

啟用流量整形：

(config-if)#frame-relay  traffic-shaping

2)幀中繼的子接口：

1>點對點子接口：

(config-if)#no  ip addr 

(config-if)#no  shutdown

(config-if)#interface  實體接口.子接口号  point-to-point

(config-subif)#ip  address  IP位址   掩碼

(config-subif)#frame-relay  interface-dlci  DLCI值

(config-subif)#bandwidth   速率

2>多點子接口：具有與“實體端口”相同的特性，仍然解決不了“水準分割”帶來的問題

應用場合：幀中繼的“混合拓撲”

建立多點子接口：(config-if)#interface  實體接口.子接口号  multipoint

考慮備援：

一，保證服務品質的前提：網絡的可靠性

二，保證網絡可靠性的具體手段：

1，備援：

1）鍊路備援：

1> 浮動路由

2> 備份端口：

功能：提供備援；提供負載分擔

配置：進入主端口

(config)#interface  端口

(config-if)#backup  interface  備份端口

(config-if)#backup  delay  值1  值2

//值1：當主鍊路斷開後，多少秒啟用備份鍊路

  值2：當主鍊路恢複後，多少秒斷開備份鍊路

(config-if)#backup  load  值1   值2

//值1：當主鍊路傳輸的資料量所占帶寬達到主鍊路總帶寬的“值1%”時，啟用備用鍊路 

  值2：當主鍊路使用帶寬y,加上備用鍊路使用帶寬z,二者之和除以主鍊路總帶寬x, 所的結果低于“值2%”時，斷開備用鍊路

2)裝置備援：

1> 交換機備援：

ii) 子產品的備援：

iii)電源的備援：

iv)風扇備援

2> 伺服器的備援：使用“虛拟伺服器”技術

具體配置：

3>路由器備援/三層交換機備援：

如果網絡中提供三層交換機的備援，或路由器的備援，用戶端的網關如何設定？

解決辦法：設定“虛拟路由器”，給虛拟路由器設定IP位址，該位址作為用戶端的網關

虛拟路由器：

a) 虛拟路由器又稱為“熱備份路由協定組”

b) 為了使裝置和帶寬得到合理利用，在一個網絡環境下，可以配置多個熱備份路由協定組，在不同的組裡，

由不同的裝置充當主裝置

c) 資料通信時，用戶端對資料的封裝中，目的MAC應封裝成“虛拟路由器的MAC”

虛拟路由器的MAC位址的格式：

d) 虛拟路由器中，主從裝置的選舉，通過“優先級”實作！

e) 主從裝置收發的HELLO包的封裝：

HSRP的組号；

發送者的IP位址；

狀态；

優先級；

HELLO包的發送時間（預設3秒）

保持時間（預設10秒）

虛拟路由器的IP位址

f)HSRP的狀态：

初始狀态（init state）: HSRP協定未運作；

學習狀态(learn  state): 路由器未收到HELLO包，路由器不知道虛拟路由器的IP;

監聽狀态（listen  state）: 路由器未收到HELLO包，路由器知道虛拟路由器的IP；

發言狀态(speak state):路由器收到HELLO包，知道虛拟路由器IP；

備份狀态(standby  state): 選舉從裝置，為選舉主裝置奠定基礎；

活動狀态(active state):選舉主裝置，由主裝置正常轉發資料包；

g）HSRP(Hot Standby  Routing  Protocol):熱備份路由協定，用于在虛拟路由器内的主從裝置間傳輸資訊

h) HSRP的配置：

(config)#interface  端口(fa0/0)

(config-if)#standby  組号  ip   虛拟路由器IP位址     //指定虛拟路由器，并設定IP位址 

(config-if)#standby  組号  priority   優先級        //指定優先級

(config-if)#standby  組号  preempt    //設定搶占

(config-if)#standby  組号  timers    HELLO包發送時間    保持時間

如果A的S0/0端口對應的鍊路故障，A自動降低優先級，進而實作主從裝置的切換；如A的S0/0端口對應的鍊路

恢複後，A自動恢複原優先級，進而搶占“主裝置”的角色。該技術稱為“HSRP的端口跟蹤”

HSRP端口跟蹤的配置：

(config-if)#standby  組号  track  端口1(s0/0)  優先級

//優先級：當端口鍊路故障時，在裝置原優先級基礎上降低多少！不是降低到多少！

調試HSRP：

#show  standby     //檢視HSRP資訊

#debug  standby    //調試HSRP資訊

2,路由協定

3,熱備份路由協定

4,生成樹協定

三，網絡中，與網絡性能有關的問題：

1，延時：

2，抖動：

3，丢失：

四，特殊環境，對網絡性能的要求：

1，語音環境：

2，視訊環境

3，視訊會議

五，保證網絡性能的手段：

1，提高帶寬

2，流量整形：

1）應用場合： 用于幀中繼環境

2）機理：通過“指定速率”或提供“後向擁塞管理”機制，來整理流量，以避免擁塞

3）配置：

1>配置類映射：

(config)#map-class  frame-relay  名

2>指定整理流量的機制：

(config-map-class)#frame-relay  traffice-rate  56000   64000

//速率：機關是b

 尖峰值：最大速率

//通過“後向擁塞管理”機制，來整理流量

3>封裝幀中繼協定

4>應用類映射

(config-if)#frame-relay  class   名

5>啟用流量整形功能：

4)幀中繼子接口：

點對點子接口：

為了解決“實體端口上啟用水準分割，而使分支裝置無法互相通信”的問題，提出了點對點子接口

點對點子接口的配置：

1>實體端口上不需要配置IP位址和掩碼

(config-if)#no  ip address

2>激活實體端口

(config-if)#no shutdown

3>子實體端口上封裝幀中繼

4>在實體端口上建立子接口，并指定類型

(config-if)#interface   子接口  point-to-point

5>給子接口配置IP位址和掩碼

(config-subif)#ip  addr   IP位址   掩碼

6>給子接口配置DLCI

7>給子接口配置速率

多點子接口：具有“與實體端口”相同的特性

(config-if)#interface  子接口  multipoint

“其他配置指令”等同“點對點子接口”的配置

多點子接口用于“幀中繼的混合拓撲環境”

5)子接口環境下，流量整形的配置：

map-class應用到子接口，其他配置等同實體端口下的配置

3，擁塞管理：通過“隊列”實作（隊列也可以實作“流量優先化”）

1）隊列的選擇：

網絡無擁塞：不需要使用隊列

網絡有擁塞，但不需要嚴格控制：使用“權重公平隊列”

網絡有擁塞，且需要嚴格控制，對延時要求不高：使用“優先級隊列”

網絡有擁塞，且需要嚴格控制，對延時要求高：使用“基于類的權重公平隊列”

裝置端口的預設隊列政策是：先進先出

2）權重公平隊列：

1>機制：按照資料“最後一比特”到達裝置的先後順序，轉發資料

2>配置：(config-if)#fair-queue  128

3）優先級隊列：

1>機制：通過配置“優先級清單”，把不同資料放入不同隊列，根據隊列的優先順序，決定資料的傳輸順序

2>隊列的分類：

高優先級隊列：該隊列上的資料最先傳輸

中優先級隊列：該隊列上的資料第二傳輸

普通優先級隊列：該隊列上的資料第三傳輸

低優先級隊列：該隊列上的資料最後傳輸

3>特性：路由器正傳輸某隊列的資料，當更高優先級的隊列有資料到達時，裝置立即中止目前的傳輸，

        轉而去傳輸高優先級隊列裡的資料

4>配置：

建立優先級清單：

格式一：

(config)#priority-list  表号   protocol   協定   high/medium/normal/low

//表号：1---16

格式二：

(config)#priority-list  表号  protocol  協定  high/medium/normal/low  list  通路控制清單表号

//基于通路控制清單指定優先級

priority-list 1 protocol  ip  high  list  3

priority-list 1 protocol  ip  medium  list 4

access-list 3 permit  192.168.10.0  0.0.0.255

access-list 4 permit  192.168.20.0  0.0.0.255

access-list 103 permit tcp  192.168.10.0  0.0.0.255  any  eq  80

access-list 104 permit tcp  any  any  eq  ftp

格式三：

(config)#priority-list  表号   interface  端口   high/medium/normal/low

//基于資料包的“接收端口”指定優先級

priority-list 1 interface  fa0/0  high

priority-list 1 interface  fa0/1  normal

格式四：

(config)#priority-list  表号  protocol  協定   high/medium/normal/low  tcp/udp   服務端口号

//基于TCP/UDP端口指定優先級

priority-list 1 protocol  ip  high  tcp  25

priority-list 1 protocol  ip  low  udp  69

格式五：

(config)#priority-list  表号  default   high/medium/normal/low

//為“與優先級清單中的定義不比對”的資料，配置預設隊列

priority-list 1  default  normal

調整隊列的容量：

(config)#priority-list  表号   queue-limit  值1   值2  值3  值4

//上述4個值，依次表示高、中、普通、低優先級隊列的容量

把優先級清單應用到端口：

4）基于類的權重公平隊列：

1>機制：先對資料進行分類，然後把不同類的資料放入不同隊列，之後定義隊列的屬性，根據隊列屬性傳輸資料

2>配置：

步驟：

第一步：定義class-map，對資料進行分類

(config)#class-map  名

(config-cmap)#match  條件

//條件： access-group   通路控制清單           //基于通路控制清單，對資料進行分類

         input-interface   端口                //基于資料的接收端口，對資料進行分類

         protocol   協定                       //基于協定，對資料進行分類

第二步：定義隊列屬性，并指明不同類資料所對應的隊列：

(config)#policy-map  名1

(config-pmap)#class  名

(config-pmap-c)#bandwidth  帶寬(機關是Kbps)       //指定帶寬

(config-pmap-c)#priority   值     //指定優先級

第三步：應用隊列屬性：

(config)#int  端口(資料的流出端口)

(config-if)#service-policy  output  名1

舉例：

第一步：

class-map  aa

match  access-group  2

class-map  bb

match  access-group  3

第二步：

policy-map  cc

class aa

bandwidth  64

priority  16

class bb

bandwidth  32

priority  8

第三步：

int  s1/0

service-policy  output  cc

access-list 2 permit  192.168.10.0  0.0.0.255

access-list 3 permit  192.168.20.0  0.0.0.255

4,流量優先化：（交換機上的配置）

1）機制：通過檢視二層封裝中的CoS或三層封裝中的ToS,決定資料的傳輸順序

2）CoS（服務分類）：

1>CoS是資料封裝中的一個字段，該字段可以決定資料的傳輸順序

2>CoS封裝中，各值的含義：

  0：盡力傳輸

  1：中優先級資料

  2：高優先級資料

  3：呼叫信号

  4：視訊信号

  5：語音信号

  6：保留

  7：保留 

值越大，優先級越高

3）ToS(服務類型)：

DSCP:差分服務代碼點

1>ToS是三層資料封裝中的一個字段，該字段可以決定資料的傳輸順序

2>封裝值越大，越優先

4）具體配置：

1>對流量進行分類：

(config)#class-map  [match-any / match-all]  名

//match-any:符合任一條件

  match-all:符合所有條件

//條件：

  access-group  name  通路清單表名    //符合通路控制清單 

  ip  dscp  值      //符合差分服務代碼點

  ip  precedence  值    //符合IP優先權

  destination-address  IP位址   //符合目的IP位址

  source-address  IP位址    //符合源IP位址

  vlan   VLAN号     //符合指定VLAN

  input-interface  端口   //符合資料的流入端口

  protocol   協定    //符合協定

2>定義政策，對分類的資料進行處理  

(config-pmap-c)#動作

//動作：

  bandwidth  帶寬    //指定帶寬

  set  ip  dscp  值   //指定查分服務代碼點

  set  ip  pricedence  值    //指定IP優先權

  trust  cos    //信任Cos

  trust  dscp   //信任差分服務代碼點

  ip-precedence  //信任IP優先權

3>把政策應用到端口：

(config-if)#service-policy  input/output  名1

class-map  match-any aa

match destination-address  192.168.20.1

match input-interface  fa0/0

class-map  match-any dd

match source-address  192.168.10.1

policy-map  bb

set ip dscp 4

trust  dscp

class dd

set ip dscp 3

trust dscp

(config-if)#service-policy output bb

5, 以太通道：把多條實體鍊路聚合成一條邏輯鍊路，以實作鍊路的備援和負載均衡

1）應用場合：核心交換機之間

2）邏輯鍊路中最多放8條實體鍊路，可以提供10M--160G的速率

3）以太通道設計原則：

4）以太通道協定：

1>PAgP(端口聚合協定)：Cisco私有協定；把“近似配置”的端口放入以太通道

PAgP的模式：

on(強制端口進入以太通道)

off(阻止端口進入以太通道)

auto(被動協商端口，預設設定) 

desirable(主動協商端口)

2>LACP(鍊路聚合控制協定)：通用協定；把“近似配置”的端口放入以太通道

LACP的模式：

passive(被動協商端口，預設設定) 

active(主動協商端口)

5)負載均衡政策：

基于源位址做負載均衡

基于目的位址做負載均衡

基于源和目的位址做負載均衡

6)配置：

1>建立以太通道：

(config)#interface  port-channel  通道号

(config-if)#ip address  IP位址  掩碼

2>向以太通道中放入實體端口

(config)#interface  實體端口

(config-if)#channel-protocol  pagp/lacp

(config-if)#channel-group  通道号  mode  on/off/desirable/auto/active/passive

3>定義負載均衡政策：

(config)#port-channel load balance  src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port

/dst-port/src-dst-port

提示：兩台二層交換機之間的以太通道，不需要配置IP位址和掩碼

      兩台三......................, 需要配置IP位址和掩碼，做法是：

      (config)#interface  port-channel  通道号

      (config-if)#no switchport

      (config-if)#ip address  IP位址  掩碼

安全措施：

安全：通過“驗證、過濾、密碼”等手段保證裝置及網絡的安全

一、密碼：

二、驗證：

三，過濾：通路控制清單（ACL）

1，基于“表号”的ACL：

1）基本表：通過“源位址”處理包

(config)#access-list  表号   deny/permit  源IP  源比對碼

//表号：  1--99或 1300---1999

(config-if)#ip  access-group  表号  in/out

2)擴充表：通過“源位址”、“目的位址”、“協定”、“服務”處理包

(config)#access-list  表号   deny/permit  協定  源IP  源比對碼  目的IP  目的比對碼  參數  服務名/端口号

//表号：100---199 或 2000---2699

提示：以“表号”為主的ACL，隻能建立、删除，不能修改

2，基于“表名”的ACL：

配置

(config)#ip  access-list  standard  表名

(config-std-nacl)# deny/permit  源IP  源比對碼

删除表中語句：

(config-std-nacl)# no deny/permit  源IP  源比對碼

向表中添加語句：

(config-std-nacl)#序列号  deny/permit  源IP  源比對碼

應用表：

(config-if)#ip  access-group  表名  in/out

access-list 1 deny   192.168.10.0  0.0.0.255

access-list 1 permit  192.168.10.0  0.0.0.255

access-list 2 deny  192.168.10.0  0.0.0.255

2）擴充表：通過“源位址”、“目的位址”、“協定”、“服務”處理包

(config)#ip access-list extended 表名

(config-ext-nacl)#deny/permit  協定  源IP  源比對碼  目的IP  目的比對碼  參數  服務名/端口号

提示：以“表名”為主的ACL，可以建立、删除、修改

3，ACL的"注釋"

1）以表号為主的ACL：

(config)#access-list  表号  remark  注釋文字

2）以表名為主的ACL：

1>基本表：

(config)#ip access-list standard 表名

(config-std-nacl)#remark 注釋文字

2>擴充表

(config-ext-nacl)#remark 注釋文字

      本文轉自shenleigang 51CTO部落格，原文連結：http://blog.51cto.com/shenleigang/167599，如需轉載請自行聯系原作者