网络性能优化及安全保障

                                         性能优化：

一，QoS(Quality  of Service):服务质量

1，网络在性能方面存在的问题：

1）delay

2) variation

3) loss

2,特定环境对网络性能：

1）

3，保证QoS的措施：保证QoS是以网络的“可用性”为前提

4，网络的可用性：

1）冗余：核心设备、主要链路的冗余

1> 链路冗余：

a. 浮动路由：(config)#ip  route   目的网网络号/子网号   目的网掩码   下一跳IP  管理距离

b. 备份端口：实现链路的冗余；提供了负载分担

c. 以太通道：

特性：一条以太通道内，最多可以聚合8条物理链路，带宽达到10M---160G

目的：提供链路冗余；负载分担；避免环路；提高链路带宽

应用场合：核心交换机之间的链路

原则：

负载均衡策略：基于源（MAC,IP,端口）进行负载分担

              基于目的（MAC,IP,端口）进行负载分担

              同时基于源和目的

协议：PAgP(端口聚合协议)是Cisco私有协议，将“近似配置”的端口放入以太通道

      PAgP的模式：on把端口强制放入以太通道；off阻止端口进入以太通道；auto 把端口设为被动协商端口；

                  desirable把端口设为主动协商端口

      LACP（链路聚合控制协议）是通用协议，将“近似配置”的端口放入以太通道

      LACP的模式： on把端口强制放入以太通道；off阻止端口进入以太通道；passive 把端口设为被动协商端口；

                   active把端口设为主动协商端口

配置：

     建立以太通道：(config)#interface  port-channel  通道号（1--6）

                   (config-if)#ip  address  IP地址   掩码              //三层以太通道配置该命令

     向以太通道添加成员（端口）：(config)#interface  物理端口

                                 (config-if)#port-channel  protocol  pagp/lacp  (或channel-protocol  pagp/lacp)

                                 (config-if)#port-channel  group  通道号  mode  on/off/desirable/auto/active/passive

                                                    channel-group 

(config-if)#port-channel  load-balance 

2>设备冗余：

a.路由器的冗余：通过HSRP（热备份路由协议）技术实现路由器的冗余

i）配置虚拟路由器，把虚拟路由器的IP地址作为客户端的网关，而虚拟路由器的成员是“多台物理路由器”

   虚拟路由器的MAC地址是：

   热备份路由协议组就是“虚拟路由器”

ii）虚拟路由器中的主、备份路由器，是通过HELLO包中的优先级选举的，优先级越大越好

// HELLO包的封装：发送者的IP地址；HSRP组的组号；优先级；HELLO包发送时间（默认3S）；保持时间（默认10S）；虚拟路由器的IP地址；HSRP的状态

iii)HSRP的状态：

initial state(初始状态)：HSRP未运行

learn  state（学习状态）：路由器未收到HELLO包，不知道虚拟路由器的IP地址

listen  state(侦听状态)： ...................,知道虚拟路由器的IP地址

speak  state（发言状态）：选举主、备份路由器

standby state(备份状态)：选出备份路由器

active state(活动状态)：选出主路由器，正常转发数据

iv）配置：(config)#int  端口   //路由器收发HELLO包的端口

          (config-if)#standby   组号  ip  虚拟路由器的IP地址      //指定虚拟路由器IP 

          (config-if)#standby   组号  priority   优先级       //指定优先级

          (config-if)#standby   组号  preempt       //指定抢占

          (config-if)#standby   组号  timer   HELLO包发送时间    保持时间

          (config-if)#standby   组号  track  s0/0   70

b. 服务器冗余：配置虚拟服务器

i)在交换机上配置虚拟服务器，其成员是“物理服务器”，给虚拟服务器配置IP地址，对其进行发布

ii)配置：

建立物理服务器群：

(config)#ip  slb  serverfarm  名

(config-slb-sfarm)#real   物理服务器IP

(config-slb-real)#inservice          //启用物理服务器

建立虚拟服务器：

(config)#ip  slb  vserver  虚拟服务器名

(config-slb-vserver)#virtual  IP地址   掩码

(config-slb-vserver)#serverfarm   名

(config-slb-vserver)#inservice          //启用虚拟服务器

c. 交换机冗余：

i)引擎的冗余：

特性：

当主引擎工作时，备份引擎处于完全启动状态；

无负载均衡；

VLAN数据库模式，不支持；

引擎上运行的IOS版本相同；

引擎的型号相同；

引擎要放在交换机的第一个和第二个插槽上；

不能使用叉线缆配置引擎；

使用RPR+实现引擎通信

(config)#redundancy    //启用冗余

(config-red)#mode  rpr-plus    //指定RPR+协议

ii)交换模块的冗余

iii）电源的冗余

配置：（config）#power  redundancy-mode  combined/redundant

iv)风扇的冗余

v)使用“HSRP”技术，实现三层交换机的冗余，配置等同“路由器”

3>动态路由协议实现“路由冗余”

4>生成树协议实现“交换网络中，链路的冗余”

5, QoS的实现：

1）流量整形：

1>应用场合：帧中继环境

2>机理：通过设置“平均速率”或“BECN（后向拥塞管理机制）”，实现拥塞管理

3>配置：

建立map-class,并指明数据处理策略：

(config)#map-class  frame-relay   名

(config-map-class)#frame-relay  traffic-rate  56000    64000

//速率的单位为b

或

(config-map-class)#frame-relay  adaptive-shaping  becn

封装帧中继，并应用数据处理策略

(config-if)#encap  frame-relay

(config-if)#frame-relay  class  名

启用流量整形：

(config-if)#frame-relay  traffic-shaping

2)帧中继的子接口：

1>点对点子接口：

(config-if)#no  ip addr 

(config-if)#no  shutdown

(config-if)#interface  物理接口.子接口号  point-to-point

(config-subif)#ip  address  IP地址   掩码

(config-subif)#frame-relay  interface-dlci  DLCI值

(config-subif)#bandwidth   速率

2>多点子接口：具有与“物理端口”相同的特性，仍然解决不了“水平分割”带来的问题

应用场合：帧中继的“混合拓扑”

建立多点子接口：(config-if)#interface  物理接口.子接口号  multipoint

考虑冗余：

一，保证服务质量的前提：网络的可靠性

二，保证网络可靠性的具体手段：

1，冗余：

1）链路冗余：

1> 浮动路由

2> 备份端口：

功能：提供冗余；提供负载分担

配置：进入主端口

(config)#interface  端口

(config-if)#backup  interface  备份端口

(config-if)#backup  delay  值1  值2

//值1：当主链路断开后，多少秒启用备份链路

  值2：当主链路恢复后，多少秒断开备份链路

(config-if)#backup  load  值1   值2

//值1：当主链路传输的数据量所占带宽达到主链路总带宽的“值1%”时，启用备用链路 

  值2：当主链路使用带宽y,加上备用链路使用带宽z,二者之和除以主链路总带宽x, 所的结果低于“值2%”时，断开备用链路

2)设备冗余：

1> 交换机冗余：

ii) 模块的冗余：

iii)电源的冗余：

iv)风扇冗余

2> 服务器的冗余：使用“虚拟服务器”技术

具体配置：

3>路由器冗余/三层交换机冗余：

如果网络中提供三层交换机的冗余，或路由器的冗余，客户端的网关如何设置？

解决办法：设置“虚拟路由器”，给虚拟路由器设置IP地址，该地址作为客户端的网关

虚拟路由器：

a) 虚拟路由器又称为“热备份路由协议组”

b) 为了使设备和带宽得到合理利用，在一个网络环境下，可以配置多个热备份路由协议组，在不同的组里，

由不同的设备充当主设备

c) 数据通信时，客户端对数据的封装中，目的MAC应封装成“虚拟路由器的MAC”

虚拟路由器的MAC地址的格式：

d) 虚拟路由器中，主从设备的选举，通过“优先级”实现！

e) 主从设备收发的HELLO包的封装：

HSRP的组号；

发送者的IP地址；

状态；

优先级；

HELLO包的发送时间（默认3秒）

保持时间（默认10秒）

虚拟路由器的IP地址

f)HSRP的状态：

初始状态（init state）: HSRP协议未运行；

学习状态(learn  state): 路由器未收到HELLO包，路由器不知道虚拟路由器的IP;

监听状态（listen  state）: 路由器未收到HELLO包，路由器知道虚拟路由器的IP；

发言状态(speak state):路由器收到HELLO包，知道虚拟路由器IP；

备份状态(standby  state): 选举从设备，为选举主设备奠定基础；

活动状态(active state):选举主设备，由主设备正常转发数据包；

g）HSRP(Hot Standby  Routing  Protocol):热备份路由协议，用于在虚拟路由器内的主从设备间传输信息

h) HSRP的配置：

(config)#interface  端口(fa0/0)

(config-if)#standby  组号  ip   虚拟路由器IP地址     //指定虚拟路由器，并设置IP地址 

(config-if)#standby  组号  priority   优先级        //指定优先级

(config-if)#standby  组号  preempt    //设置抢占

(config-if)#standby  组号  timers    HELLO包发送时间    保持时间

如果A的S0/0端口对应的链路故障，A自动降低优先级，从而实现主从设备的切换；如A的S0/0端口对应的链路

恢复后，A自动恢复原优先级，从而抢占“主设备”的角色。该技术称为“HSRP的端口跟踪”

HSRP端口跟踪的配置：

(config-if)#standby  组号  track  端口1(s0/0)  优先级

//优先级：当端口链路故障时，在设备原优先级基础上降低多少！不是降低到多少！

调试HSRP：

#show  standby     //查看HSRP信息

#debug  standby    //调试HSRP信息

2,路由协议

3,热备份路由协议

4,生成树协议

三，网络中，与网络性能有关的问题：

1，延时：

2，抖动：

3，丢失：

四，特殊环境，对网络性能的要求：

1，语音环境：

2，视频环境

3，视频会议

五，保证网络性能的手段：

1，提高带宽

2，流量整形：

1）应用场合： 用于帧中继环境

2）机理：通过“指定速率”或提供“后向拥塞管理”机制，来整理流量，以避免拥塞

3）配置：

1>配置类映射：

(config)#map-class  frame-relay  名

2>指定整理流量的机制：

(config-map-class)#frame-relay  traffice-rate  56000   64000

//速率：单位是b

 尖峰值：最大速率

//通过“后向拥塞管理”机制，来整理流量

3>封装帧中继协议

4>应用类映射

(config-if)#frame-relay  class   名

5>启用流量整形功能：

4)帧中继子接口：

点对点子接口：

为了解决“物理端口上启用水平分割，而使分支设备无法相互通信”的问题，提出了点对点子接口

点对点子接口的配置：

1>物理端口上不需要配置IP地址和掩码

(config-if)#no  ip address

2>激活物理端口

(config-if)#no shutdown

3>子物理端口上封装帧中继

4>在物理端口上建立子接口，并指定类型

(config-if)#interface   子接口  point-to-point

5>给子接口配置IP地址和掩码

(config-subif)#ip  addr   IP地址   掩码

6>给子接口配置DLCI

7>给子接口配置速率

多点子接口：具有“与物理端口”相同的特性

(config-if)#interface  子接口  multipoint

“其他配置命令”等同“点对点子接口”的配置

多点子接口用于“帧中继的混合拓扑环境”

5)子接口环境下，流量整形的配置：

map-class应用到子接口，其他配置等同物理端口下的配置

3，拥塞管理：通过“队列”实现（队列也可以实现“流量优先化”）

1）队列的选择：

网络无拥塞：不需要使用队列

网络有拥塞，但不需要严格控制：使用“加权公平队列”

网络有拥塞，且需要严格控制，对延时要求不高：使用“优先级队列”

网络有拥塞，且需要严格控制，对延时要求高：使用“基于类的加权公平队列”

设备端口的默认队列策略是：先进先出

2）加权公平队列：

1>机制：按照数据“最后一比特”到达设备的先后顺序，转发数据

2>配置：(config-if)#fair-queue  128

3）优先级队列：

1>机制：通过配置“优先级列表”，把不同数据放入不同队列，根据队列的优先顺序，决定数据的传输顺序

2>队列的分类：

高优先级队列：该队列上的数据最先传输

中优先级队列：该队列上的数据第二传输

普通优先级队列：该队列上的数据第三传输

低优先级队列：该队列上的数据最后传输

3>特性：路由器正传输某队列的数据，当更高优先级的队列有数据到达时，设备立即中止当前的传输，

        转而去传输高优先级队列里的数据

4>配置：

建立优先级列表：

格式一：

(config)#priority-list  表号   protocol   协议   high/medium/normal/low

//表号：1---16

格式二：

(config)#priority-list  表号  protocol  协议  high/medium/normal/low  list  访问控制列表表号

//基于访问控制列表指定优先级

priority-list 1 protocol  ip  high  list  3

priority-list 1 protocol  ip  medium  list 4

access-list 3 permit  192.168.10.0  0.0.0.255

access-list 4 permit  192.168.20.0  0.0.0.255

access-list 103 permit tcp  192.168.10.0  0.0.0.255  any  eq  80

access-list 104 permit tcp  any  any  eq  ftp

格式三：

(config)#priority-list  表号   interface  端口   high/medium/normal/low

//基于数据包的“接收端口”指定优先级

priority-list 1 interface  fa0/0  high

priority-list 1 interface  fa0/1  normal

格式四：

(config)#priority-list  表号  protocol  协议   high/medium/normal/low  tcp/udp   服务端口号

//基于TCP/UDP端口指定优先级

priority-list 1 protocol  ip  high  tcp  25

priority-list 1 protocol  ip  low  udp  69

格式五：

(config)#priority-list  表号  default   high/medium/normal/low

//为“与优先级列表中的定义不匹配”的数据，配置默认队列

priority-list 1  default  normal

调整队列的容量：

(config)#priority-list  表号   queue-limit  值1   值2  值3  值4

//上述4个值，依次表示高、中、普通、低优先级队列的容量

把优先级列表应用到端口：

4）基于类的加权公平队列：

1>机制：先对数据进行分类，然后把不同类的数据放入不同队列，之后定义队列的属性，根据队列属性传输数据

2>配置：

步骤：

第一步：定义class-map，对数据进行分类

(config)#class-map  名

(config-cmap)#match  条件

//条件： access-group   访问控制列表           //基于访问控制列表，对数据进行分类

         input-interface   端口                //基于数据的接收端口，对数据进行分类

         protocol   协议                       //基于协议，对数据进行分类

第二步：定义队列属性，并指明不同类数据所对应的队列：

(config)#policy-map  名1

(config-pmap)#class  名

(config-pmap-c)#bandwidth  带宽(单位是Kbps)       //指定带宽

(config-pmap-c)#priority   值     //指定优先级

第三步：应用队列属性：

(config)#int  端口(数据的流出端口)

(config-if)#service-policy  output  名1

举例：

第一步：

class-map  aa

match  access-group  2

class-map  bb

match  access-group  3

第二步：

policy-map  cc

class aa

bandwidth  64

priority  16

class bb

bandwidth  32

priority  8

第三步：

int  s1/0

service-policy  output  cc

access-list 2 permit  192.168.10.0  0.0.0.255

access-list 3 permit  192.168.20.0  0.0.0.255

4,流量优先化：（交换机上的配置）

1）机制：通过查看二层封装中的CoS或三层封装中的ToS,决定数据的传输顺序

2）CoS（服务分类）：

1>CoS是数据封装中的一个字段，该字段可以决定数据的传输顺序

2>CoS封装中，各值的含义：

  0：尽力传输

  1：中优先级数据

  2：高优先级数据

  3：呼叫信号

  4：视频信号

  5：语音信号

  6：保留

  7：保留 

值越大，优先级越高

3）ToS(服务类型)：

DSCP:差分服务代码点

1>ToS是三层数据封装中的一个字段，该字段可以决定数据的传输顺序

2>封装值越大，越优先

4）具体配置：

1>对流量进行分类：

(config)#class-map  [match-any / match-all]  名

//match-any:符合任一条件

  match-all:符合所有条件

//条件：

  access-group  name  访问列表表名    //符合访问控制列表 

  ip  dscp  值      //符合差分服务代码点

  ip  precedence  值    //符合IP优先权

  destination-address  IP地址   //符合目的IP地址

  source-address  IP地址    //符合源IP地址

  vlan   VLAN号     //符合指定VLAN

  input-interface  端口   //符合数据的流入端口

  protocol   协议    //符合协议

2>定义策略，对分类的数据进行处理  

(config-pmap-c)#动作

//动作：

  bandwidth  带宽    //指定带宽

  set  ip  dscp  值   //指定查分服务代码点

  set  ip  pricedence  值    //指定IP优先权

  trust  cos    //信任Cos

  trust  dscp   //信任差分服务代码点

  ip-precedence  //信任IP优先权

3>把策略应用到端口：

(config-if)#service-policy  input/output  名1

class-map  match-any aa

match destination-address  192.168.20.1

match input-interface  fa0/0

class-map  match-any dd

match source-address  192.168.10.1

policy-map  bb

set ip dscp 4

trust  dscp

class dd

set ip dscp 3

trust dscp

(config-if)#service-policy output bb

5, 以太通道：把多条物理链路聚合成一条逻辑链路，以实现链路的冗余和负载均衡

1）应用场合：核心交换机之间

2）逻辑链路中最多放8条物理链路，可以提供10M--160G的速率

3）以太通道设计原则：

4）以太通道协议：

1>PAgP(端口聚合协议)：Cisco私有协议；把“近似配置”的端口放入以太通道

PAgP的模式：

on(强制端口进入以太通道)

off(阻止端口进入以太通道)

auto(被动协商端口，默认设置) 

desirable(主动协商端口)

2>LACP(链路聚合控制协议)：通用协议；把“近似配置”的端口放入以太通道

LACP的模式：

passive(被动协商端口，默认设置) 

active(主动协商端口)

5)负载均衡策略：

基于源地址做负载均衡

基于目的地址做负载均衡

基于源和目的地址做负载均衡

6)配置：

1>建立以太通道：

(config)#interface  port-channel  通道号

(config-if)#ip address  IP地址  掩码

2>向以太通道中放入物理端口

(config)#interface  物理端口

(config-if)#channel-protocol  pagp/lacp

(config-if)#channel-group  通道号  mode  on/off/desirable/auto/active/passive

3>定义负载均衡策略：

(config)#port-channel load balance  src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port

/dst-port/src-dst-port

提示：两台二层交换机之间的以太通道，不需要配置IP地址和掩码

      两台三......................, 需要配置IP地址和掩码，做法是：

      (config)#interface  port-channel  通道号

      (config-if)#no switchport

      (config-if)#ip address  IP地址  掩码

安全措施：

安全：通过“验证、过滤、密码”等手段保证设备及网络的安全

一、密码：

二、验证：

三，过滤：访问控制列表（ACL）

1，基于“表号”的ACL：

1）基本表：通过“源地址”处理包

(config)#access-list  表号   deny/permit  源IP  源匹配码

//表号：  1--99或 1300---1999

(config-if)#ip  access-group  表号  in/out

2)扩展表：通过“源地址”、“目的地址”、“协议”、“服务”处理包

(config)#access-list  表号   deny/permit  协议  源IP  源匹配码  目的IP  目的匹配码  参数  服务名/端口号

//表号：100---199 或 2000---2699

提示：以“表号”为主的ACL，只能建立、删除，不能修改

2，基于“表名”的ACL：

配置

(config)#ip  access-list  standard  表名

(config-std-nacl)# deny/permit  源IP  源匹配码

删除表中语句：

(config-std-nacl)# no deny/permit  源IP  源匹配码

向表中添加语句：

(config-std-nacl)#序列号  deny/permit  源IP  源匹配码

应用表：

(config-if)#ip  access-group  表名  in/out

access-list 1 deny   192.168.10.0  0.0.0.255

access-list 1 permit  192.168.10.0  0.0.0.255

access-list 2 deny  192.168.10.0  0.0.0.255

2）扩展表：通过“源地址”、“目的地址”、“协议”、“服务”处理包

(config)#ip access-list extended 表名

(config-ext-nacl)#deny/permit  协议  源IP  源匹配码  目的IP  目的匹配码  参数  服务名/端口号

提示：以“表名”为主的ACL，可以建立、删除、修改

3，ACL的"注释"

1）以表号为主的ACL：

(config)#access-list  表号  remark  注释文字

2）以表名为主的ACL：

1>基本表：

(config)#ip access-list standard 表名

(config-std-nacl)#remark 注释文字

2>扩展表

(config-ext-nacl)#remark 注释文字

      本文转自shenleigang 51CTO博客，原文链接：http://blog.51cto.com/shenleigang/167599，如需转载请自行联系原作者