网络性能优化及安全保障
2009-06-17 14:20
567 查看
性能优化:
一,QoS(Quality of Service):服务质量
1,网络在性能方面存在的问题:
1)delay
2) variation
3) loss
2,特定环境对网络性能:
1)
3,保证QoS的措施:保证QoS是以网络的“可用性”为前提
4,网络的可用性:
1)冗余:核心设备、主要链路的冗余
1> 链路冗余:
a. 浮动路由:(config)#ip route 目的网网络号/子网号 目的网掩码 下一跳IP 管理距离
b. 备份端口:实现链路的冗余;提供了负载分担
c. 以太通道:
特性:一条以太通道内,最多可以聚合8条物理链路,带宽达到10M---160G
目的:提供链路冗余;负载分担;避免环路;提高链路带宽
应用场合:核心交换机之间的链路
原则:
负载均衡策略:基于源(MAC,IP,端口)进行负载分担
基于目的(MAC,IP,端口)进行负载分担
同时基于源和目的
协议:PAgP(端口聚合协议)是Cisco私有协议,将“近似配置”的端口放入以太通道
PAgP的模式:on把端口强制放入以太通道;off阻止端口进入以太通道;auto 把端口设为被动协商端口;
desirable把端口设为主动协商端口
LACP(链路聚合控制协议)是通用协议,将“近似配置”的端口放入以太通道
LACP的模式: on把端口强制放入以太通道;off阻止端口进入以太通道;passive 把端口设为被动协商端口;
active把端口设为主动协商端口
配置:
建立以太通道:(config)#interface port-channel 通道号(1--6)
(config-if)#ip address IP地址 掩码 //三层以太通道配置该命令
向以太通道添加成员(端口):(config)#interface 物理端口
(config-if)#port-channel protocol pagp/lacp (或channel-protocol pagp/lacp)
(config-if)#port-channel group 通道号 mode on/off/desirable/auto/active/passive
channel-group
(config-if)#port-channel load-balance
2>设备冗余:
a.路由器的冗余:通过HSRP(热备份路由协议)技术实现路由器的冗余
i)配置虚拟路由器,把虚拟路由器的IP地址作为客户端的网关,而虚拟路由器的成员是“多台物理路由器”
虚拟路由器的MAC地址是:
热备份路由协议组就是“虚拟路由器”
ii)虚拟路由器中的主、备份路由器,是通过HELLO包中的优先级选举的,优先级越大越好
// HELLO包的封装:发送者的IP地址;HSRP组的组号;优先级;HELLO包发送时间(默认3S);保持时间(默认10S);虚拟路由器的IP地址;HSRP的状态
iii)HSRP的状态:
initial state(初始状态):HSRP未运行
learn state(学习状态):路由器未收到HELLO包,不知道虚拟路由器的IP地址
listen state(侦听状态): ...................,知道虚拟路由器的IP地址
speak state(发言状态):选举主、备份路由器
standby state(备份状态):选出备份路由器
active state(活动状态):选出主路由器,正常转发数据
iv)配置:(config)#int 端口 //路由器收发HELLO包的端口
(config-if)#standby 组号 ip 虚拟路由器的IP地址 //指定虚拟路由器IP
(config-if)#standby 组号 priority 优先级 //指定优先级
(config-if)#standby 组号 preempt //指定抢占
(config-if)#standby 组号 timer HELLO包发送时间 保持时间
(config-if)#standby 组号 track s0/0 70
b. 服务器冗余:配置虚拟服务器
i)在交换机上配置虚拟服务器,其成员是“物理服务器”,给虚拟服务器配置IP地址,对其进行发布
ii)配置:
建立物理服务器群:
(config)#ip slb serverfarm 名
(config-slb-sfarm)#real 物理服务器IP
(config-slb-real)#inservice //启用物理服务器
建立虚拟服务器:
(config)#ip slb vserver 虚拟服务器名
(config-slb-vserver)#virtual IP地址 掩码
(config-slb-vserver)#serverfarm 名
(config-slb-vserver)#inservice //启用虚拟服务器
c. 交换机冗余:
i)引擎的冗余:
特性:
当主引擎工作时,备份引擎处于完全启动状态;
无负载均衡;
VLAN数据库模式,不支持;
引擎上运行的IOS版本相同;
引擎的型号相同;
引擎要放在交换机的第一个和第二个插槽上;
不能使用叉线缆配置引擎;
使用RPR+实现引擎通信
配置:
(config)#redundancy //启用冗余
(config-red)#mode rpr-plus //指定RPR+协议
ii)交换模块的冗余
iii)电源的冗余
配置:(config)#power redundancy-mode combined/redundant
iv)风扇的冗余
v)使用“HSRP”技术,实现三层交换机的冗余,配置等同“路由器”
3>动态路由协议实现“路由冗余”
4>生成树协议实现“交换网络中,链路的冗余”
5, QoS的实现:
1)流量整形:
1>应用场合:帧中继环境
2>机理:通过设置“平均速率”或“BECN(后向拥塞管理机制)”,实现拥塞管理
3>配置:
建立map-class,并指明数据处理策略:
(config)#map-class frame-relay 名
(config-map-class)#frame-relay traffic-rate 56000 64000
//速率的单位为b
或
(config-map-class)#frame-relay adaptive-shaping becn
封装帧中继,并应用数据处理策略
(config-if)#encap frame-relay
(config-if)#frame-relay class 名
启用流量整形:
(config-if)#frame-relay traffic-shaping
2)帧中继的子接口:
1>点对点子接口:
(config-if)#no ip addr
(config-if)#no shutdown
(config-if)#encap frame-relay
(config-if)#interface 物理接口.子接口号 point-to-point
(config-subif)#ip address IP地址 掩码
(config-subif)#frame-relay interface-dlci DLCI值
(config-subif)#bandwidth 速率
2>多点子接口:具有与“物理端口”相同的特性,仍然解决不了“水平分割”带来的问题
应用场合:帧中继的“混合拓扑”
建立多点子接口:(config-if)#interface 物理接口.子接口号 multipoint
考虑冗余:
一,保证服务质量的前提:网络的可靠性
二,保证网络可靠性的具体手段:
1,冗余:
1)链路冗余:
1> 浮动路由
2> 备份端口:
功能:提供冗余;提供负载分担
配置:进入主端口
(config)#interface 端口
(config-if)#backup interface 备份端口
(config-if)#backup delay 值1 值2
//值1:当主链路断开后,多少秒启用备份链路
值2:当主链路恢复后,多少秒断开备份链路
(config-if)#backup load 值1 值2
//值1:当主链路传输的数据量所占带宽达到主链路总带宽的“值1%”时,启用备用链路
值2:当主链路使用带宽y,加上备用链路使用带宽z,二者之和除以主链路总带宽x, 所的结果低于“值2%”时,断开备用链路
2)设备冗余:
1> 交换机冗余:
i)引擎的冗余:
特性:
ii) 模块的冗余:
iii)电源的冗余:
iv)风扇冗余
2> 服务器的冗余:使用“虚拟服务器”技术
具体配置:
3>路由器冗余/三层交换机冗余:
如果网络中提供三层交换机的冗余,或路由器的冗余,客户端的网关如何设置?
解决办法:设置“虚拟路由器”,给虚拟路由器设置IP地址,该地址作为客户端的网关
虚拟路由器:
a) 虚拟路由器又称为“热备份路由协议组”
b) 为了使设备和带宽得到合理利用,在一个网络环境下,可以配置多个热备份路由协议组,在不同的组里,
由不同的设备充当主设备
c) 数据通信时,客户端对数据的封装中,目的MAC应封装成“虚拟路由器的MAC”
虚拟路由器的MAC地址的格式:
d) 虚拟路由器中,主从设备的选举,通过“优先级”实现!
e) 主从设备收发的HELLO包的封装:
HSRP的组号;
发送者的IP地址;
状态;
优先级;
HELLO包的发送时间(默认3秒)
保持时间(默认10秒)
虚拟路由器的IP地址
f)HSRP的状态:
初始状态(init state): HSRP协议未运行;
学习状态(learn state): 路由器未收到HELLO包,路由器不知道虚拟路由器的IP;
监听状态(listen state): 路由器未收到HELLO包,路由器知道虚拟路由器的IP;
发言状态(speak state):路由器收到HELLO包,知道虚拟路由器IP;
备份状态(standby state): 选举从设备,为选举主设备奠定基础;
活动状态(active state):选举主设备,由主设备正常转发数据包;
g)HSRP(Hot Standby Routing Protocol):热备份路由协议,用于在虚拟路由器内的主从设备间传输信息
h) HSRP的配置:
(config)#interface 端口(fa0/0)
(config-if)#standby 组号 ip 虚拟路由器IP地址 //指定虚拟路由器,并设置IP地址
(config-if)#standby 组号 priority 优先级 //指定优先级
(config-if)#standby 组号 preempt //设置抢占
(config-if)#standby 组号 timers HELLO包发送时间 保持时间
如果A的S0/0端口对应的链路故障,A自动降低优先级,从而实现主从设备的切换;如A的S0/0端口对应的链路
恢复后,A自动恢复原优先级,从而抢占“主设备”的角色。该技术称为“HSRP的端口跟踪”
HSRP端口跟踪的配置:
(config)#interface 端口(fa0/0)
(config-if)#standby 组号 track 端口1(s0/0) 优先级
//优先级:当端口链路故障时,在设备原优先级基础上降低多少!不是降低到多少!
调试HSRP:
#show standby //查看HSRP信息
#debug standby //调试HSRP信息
2,路由协议
3,热备份路由协议
4,生成树协议
三,网络中,与网络性能有关的问题:
1,延时:
2,抖动:
3,丢失:
四,特殊环境,对网络性能的要求:
1,语音环境:
2,视频环境
3,视频会议
五,保证网络性能的手段:
1,提高带宽
2,流量整形:
1)应用场合: 用于帧中继环境
2)机理:通过“指定速率”或提供“后向拥塞管理”机制,来整理流量,以避免拥塞
3)配置:
1>配置类映射:
(config)#map-class frame-relay 名
2>指定整理流量的机制:
(config-map-class)#frame-relay traffice-rate 56000 64000
//速率:单位是b
尖峰值:最大速率
或
(config-map-class)#frame-relay adaptive-shaping becn
//通过“后向拥塞管理”机制,来整理流量
3>封装帧中继协议
(config-if)#encap frame-relay
4>应用类映射
(config-if)#frame-relay class 名
5>启用流量整形功能:
(config-if)#frame-relay traffic-shaping
4)帧中继子接口:
点对点子接口:
为了解决“物理端口上启用水平分割,而使分支设备无法相互通信”的问题,提出了点对点子接口
点对点子接口的配置:
1>物理端口上不需要配置IP地址和掩码
(config-if)#no ip address
2>激活物理端口
(config-if)#no shutdown
3>子物理端口上封装帧中继
(config-if)#encap frame-relay
4>在物理端口上建立子接口,并指定类型
(config-if)#interface 子接口 point-to-point
5>给子接口配置IP地址和掩码
(config-subif)#ip addr IP地址 掩码
6>给子接口配置DLCI
(config-subif)#frame-relay interface-dlci DLCI值
7>给子接口配置速率
(config-subif)#bandwidth 速率
多点子接口:具有“与物理端口”相同的特性
配置:
(config-if)#interface 子接口 multipoint
“其他配置命令”等同“点对点子接口”的配置
多点子接口用于“帧中继的混合拓扑环境”
5)子接口环境下,流量整形的配置:
map-class应用到子接口,其他配置等同物理端口下的配置
3,拥塞管理:通过“队列”实现(队列也可以实现“流量优先化”)
1)队列的选择:
网络无拥塞:不需要使用队列
网络有拥塞,但不需要严格控制:使用“加权公平队列”
网络有拥塞,且需要严格控制,对延时要求不高:使用“优先级队列”
网络有拥塞,且需要严格控制,对延时要求高:使用“基于类的加权公平队列”
设备端口的默认队列策略是:先进先出
2)加权公平队列:
1>机制:按照数据“最后一比特”到达设备的先后顺序,转发数据
2>配置:(config-if)#fair-queue 128
3)优先级队列:
1>机制:通过配置“优先级列表”,把不同数据放入不同队列,根据队列的优先顺序,决定数据的传输顺序
2>队列的分类:
高优先级队列:该队列上的数据最先传输
中优先级队列:该队列上的数据第二传输
普通优先级队列:该队列上的数据第三传输
低优先级队列:该队列上的数据最后传输
3>特性:路由器正传输某队列的数据,当更高优先级的队列有数据到达时,设备立即中止当前的传输,
转而去传输高优先级队列里的数据
4>配置:
建立优先级列表:
格式一:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low
//表号:1---16
格式二:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low list 访问控制列表表号
//基于访问控制列表指定优先级
priority-list 1 protocol ip high list 3
priority-list 1 protocol ip medium list 4
access-list 3 permit 192.168.10.0 0.0.0.255
access-list 4 permit 192.168.20.0 0.0.0.255
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 104 permit tcp any any eq ftp
格式三:
(config)#priority-list 表号 interface 端口 high/medium/normal/low
//基于数据包的“接收端口”指定优先级
priority-list 1 interface fa0/0 high
priority-list 1 interface fa0/1 normal
格式四:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low tcp/udp 服务端口号
//基于TCP/UDP端口指定优先级
priority-list 1 protocol ip high tcp 25
priority-list 1 protocol ip low udp 69
格式五:
(config)#priority-list 表号 default high/medium/normal/low
//为“与优先级列表中的定义不匹配”的数据,配置默认队列
priority-list 1 protocol ip high tcp 25
priority-list 1 default normal
调整队列的容量:
(config)#priority-list 表号 queue-limit 值1 值2 值3 值4
//上述4个值,依次表示高、中、普通、低优先级队列的容量
把优先级列表应用到端口:
4)基于类的加权公平队列:
1>机制:先对数据进行分类,然后把不同类的数据放入不同队列,之后定义队列的属性,根据队列属性传输数据
2>配置:
步骤:
第一步:定义class-map,对数据进行分类
(config)#class-map 名
(config-cmap)#match 条件
//条件: access-group 访问控制列表 //基于访问控制列表,对数据进行分类
input-interface 端口 //基于数据的接收端口,对数据进行分类
protocol 协议 //基于协议,对数据进行分类
第二步:定义队列属性,并指明不同类数据所对应的队列:
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#bandwidth 带宽(单位是Kbps) //指定带宽
(config-pmap-c)#priority 值 //指定优先级
第三步:应用队列属性:
(config)#int 端口(数据的流出端口)
(config-if)#service-policy output 名1
举例:
第一步:
class-map aa
match access-group 2
class-map bb
match access-group 3
第二步:
policy-map cc
class aa
bandwidth 64
priority 16
class bb
bandwidth 32
priority 8
第三步:
int s1/0
service-policy output cc
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 3 permit 192.168.20.0 0.0.0.255
4,流量优先化:(交换机上的配置)
1)机制:通过查看二层封装中的CoS或三层封装中的ToS,决定数据的传输顺序
2)CoS(服务分类):
1>CoS是数据封装中的一个字段,该字段可以决定数据的传输顺序
2>CoS封装中,各值的含义:
0:尽力传输
1:中优先级数据
2:高优先级数据
3:呼叫信号
4:视频信号
5:语音信号
6:保留
7:保留
值越大,优先级越高
3)ToS(服务类型):
DSCP:差分服务代码点
1>ToS是三层数据封装中的一个字段,该字段可以决定数据的传输顺序
2>封装值越大,越优先
4)具体配置:
1>对流量进行分类:
(config)#class-map [match-any / match-all] 名
//match-any:符合任一条件
match-all:符合所有条件
(config-cmap)#match 条件
//条件:
access-group name 访问列表表名 //符合访问控制列表
ip dscp 值 //符合差分服务代码点
ip precedence 值 //符合IP优先权
destination-address IP地址 //符合目的IP地址
source-address IP地址 //符合源IP地址
vlan VLAN号 //符合指定VLAN
input-interface 端口 //符合数据的流入端口
protocol 协议 //符合协议
2>定义策略,对分类的数据进行处理
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#动作
//动作:
bandwidth 带宽 //指定带宽
set ip dscp 值 //指定查分服务代码点
set ip pricedence 值 //指定IP优先权
trust cos //信任Cos
trust dscp //信任差分服务代码点
ip-precedence //信任IP优先权
3>把策略应用到端口:
(config-if)#service-policy input/output 名1
举例:
第一步:
class-map match-any aa
match destination-address 192.168.20.1
match input-interface fa0/0
class-map match-any dd
match source-address 192.168.10.1
第二步:
policy-map bb
class aa
set ip dscp 4
trust dscp
class dd
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb
5, 以太通道:把多条物理链路聚合成一条逻辑链路,以实现链路的冗余和负载均衡
1)应用场合:核心交换机之间
2)逻辑链路中最多放8条物理链路,可以提供10M--160G的速率
3)以太通道设计原则:
4)以太通道协议:
1>PAgP(端口聚合协议):Cisco私有协议;把“近似配置”的端口放入以太通道
PAgP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
auto(被动协商端口,默认设置)
desirable(主动协商端口)
2>LACP(链路聚合控制协议):通用协议;把“近似配置”的端口放入以太通道
LACP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
passive(被动协商端口,默认设置)
active(主动协商端口)
5)负载均衡策略:
基于源地址做负载均衡
基于目的地址做负载均衡
基于源和目的地址做负载均衡
6)配置:
1>建立以太通道:
(config)#interface port-channel 通道号
(config-if)#ip address IP地址 掩码
2>向以太通道中放入物理端口
(config)#interface 物理端口
(config-if)#channel-protocol pagp/lacp
(config-if)#channel-group 通道号 mode on/off/desirable/auto/active/passive
3>定义负载均衡策略:
(config)#port-channel load balance src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
提示:两台二层交换机之间的以太通道,不需要配置IP地址和掩码
两台三......................, 需要配置IP地址和掩码,做法是:
(config)#interface port-channel 通道号
(config-if)#no switchport
(config-if)#ip address IP地址 掩码
安全措施:
安全:通过“验证、过滤、密码”等手段保证设备及网络的安全
一、密码:
二、验证:
三,过滤:访问控制列表(ACL)
1,基于“表号”的ACL:
1)基本表:通过“源地址”处理包
配置:
(config)#access-list 表号 deny/permit 源IP 源匹配码
//表号: 1--99或 1300---1999
(config-if)#ip access-group 表号 in/out
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#access-list 表号 deny/permit 协议 源IP 源匹配码 目的IP 目的匹配码 参数 服务名/端口号
//表号:100---199 或 2000---2699
(config-if)#ip access-group 表号 in/out
提示:以“表号”为主的ACL,只能建立、删除,不能修改
2,基于“表名”的ACL:
1)基本表:通过“源地址”处理包
配置
(config)#ip access-list standard 表名
(config-std-nacl)# deny/permit 源IP 源匹配码
删除表中语句:
(config)#ip access-list standard 表名
(config-std-nacl)# no deny/permit 源IP 源匹配码
向表中添加语句:
(config)#ip access-list standard 表名
(config-std-nacl)#序列号 deny/permit 源IP 源匹配码
应用表:
(config-if)#ip access-group 表名 in/out
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.10.0 0.0.0.255
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit 协议 源IP 源匹配码 目的IP 目的匹配码 参数 服务名/端口号
应用表:
(config-if)#ip access-group 表名 in/out
提示:以“表名”为主的ACL,可以建立、删除、修改
3,ACL的"注释"
1)以表号为主的ACL:
(config)#access-list 表号 remark 注释文字
2)以表名为主的ACL:
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 注释文字
2>扩展表
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 注释文字
本文出自 “申雷岗 鸿鹄驰骋 欢迎您” 博客,请务必保留此出处http://shenleigang.blog.51cto.com/639523/167599
一,QoS(Quality of Service):服务质量
1,网络在性能方面存在的问题:
1)delay
2) variation
3) loss
2,特定环境对网络性能:
1)
3,保证QoS的措施:保证QoS是以网络的“可用性”为前提
4,网络的可用性:
1)冗余:核心设备、主要链路的冗余
1> 链路冗余:
a. 浮动路由:(config)#ip route 目的网网络号/子网号 目的网掩码 下一跳IP 管理距离
b. 备份端口:实现链路的冗余;提供了负载分担
c. 以太通道:
特性:一条以太通道内,最多可以聚合8条物理链路,带宽达到10M---160G
目的:提供链路冗余;负载分担;避免环路;提高链路带宽
应用场合:核心交换机之间的链路
原则:
负载均衡策略:基于源(MAC,IP,端口)进行负载分担
基于目的(MAC,IP,端口)进行负载分担
同时基于源和目的
协议:PAgP(端口聚合协议)是Cisco私有协议,将“近似配置”的端口放入以太通道
PAgP的模式:on把端口强制放入以太通道;off阻止端口进入以太通道;auto 把端口设为被动协商端口;
desirable把端口设为主动协商端口
LACP(链路聚合控制协议)是通用协议,将“近似配置”的端口放入以太通道
LACP的模式: on把端口强制放入以太通道;off阻止端口进入以太通道;passive 把端口设为被动协商端口;
active把端口设为主动协商端口
配置:
建立以太通道:(config)#interface port-channel 通道号(1--6)
(config-if)#ip address IP地址 掩码 //三层以太通道配置该命令
向以太通道添加成员(端口):(config)#interface 物理端口
(config-if)#port-channel protocol pagp/lacp (或channel-protocol pagp/lacp)
(config-if)#port-channel group 通道号 mode on/off/desirable/auto/active/passive
channel-group
(config-if)#port-channel load-balance
2>设备冗余:
a.路由器的冗余:通过HSRP(热备份路由协议)技术实现路由器的冗余
i)配置虚拟路由器,把虚拟路由器的IP地址作为客户端的网关,而虚拟路由器的成员是“多台物理路由器”
虚拟路由器的MAC地址是:
热备份路由协议组就是“虚拟路由器”
ii)虚拟路由器中的主、备份路由器,是通过HELLO包中的优先级选举的,优先级越大越好
// HELLO包的封装:发送者的IP地址;HSRP组的组号;优先级;HELLO包发送时间(默认3S);保持时间(默认10S);虚拟路由器的IP地址;HSRP的状态
iii)HSRP的状态:
initial state(初始状态):HSRP未运行
learn state(学习状态):路由器未收到HELLO包,不知道虚拟路由器的IP地址
listen state(侦听状态): ...................,知道虚拟路由器的IP地址
speak state(发言状态):选举主、备份路由器
standby state(备份状态):选出备份路由器
active state(活动状态):选出主路由器,正常转发数据
iv)配置:(config)#int 端口 //路由器收发HELLO包的端口
(config-if)#standby 组号 ip 虚拟路由器的IP地址 //指定虚拟路由器IP
(config-if)#standby 组号 priority 优先级 //指定优先级
(config-if)#standby 组号 preempt //指定抢占
(config-if)#standby 组号 timer HELLO包发送时间 保持时间
(config-if)#standby 组号 track s0/0 70
b. 服务器冗余:配置虚拟服务器
i)在交换机上配置虚拟服务器,其成员是“物理服务器”,给虚拟服务器配置IP地址,对其进行发布
ii)配置:
建立物理服务器群:
(config)#ip slb serverfarm 名
(config-slb-sfarm)#real 物理服务器IP
(config-slb-real)#inservice //启用物理服务器
建立虚拟服务器:
(config)#ip slb vserver 虚拟服务器名
(config-slb-vserver)#virtual IP地址 掩码
(config-slb-vserver)#serverfarm 名
(config-slb-vserver)#inservice //启用虚拟服务器
c. 交换机冗余:
i)引擎的冗余:
特性:
当主引擎工作时,备份引擎处于完全启动状态;
无负载均衡;
VLAN数据库模式,不支持;
引擎上运行的IOS版本相同;
引擎的型号相同;
引擎要放在交换机的第一个和第二个插槽上;
不能使用叉线缆配置引擎;
使用RPR+实现引擎通信
配置:
(config)#redundancy //启用冗余
(config-red)#mode rpr-plus //指定RPR+协议
ii)交换模块的冗余
iii)电源的冗余
配置:(config)#power redundancy-mode combined/redundant
iv)风扇的冗余
v)使用“HSRP”技术,实现三层交换机的冗余,配置等同“路由器”
3>动态路由协议实现“路由冗余”
4>生成树协议实现“交换网络中,链路的冗余”
5, QoS的实现:
1)流量整形:
1>应用场合:帧中继环境
2>机理:通过设置“平均速率”或“BECN(后向拥塞管理机制)”,实现拥塞管理
3>配置:
建立map-class,并指明数据处理策略:
(config)#map-class frame-relay 名
(config-map-class)#frame-relay traffic-rate 56000 64000
//速率的单位为b
或
(config-map-class)#frame-relay adaptive-shaping becn
封装帧中继,并应用数据处理策略
(config-if)#encap frame-relay
(config-if)#frame-relay class 名
启用流量整形:
(config-if)#frame-relay traffic-shaping
2)帧中继的子接口:
1>点对点子接口:
(config-if)#no ip addr
(config-if)#no shutdown
(config-if)#encap frame-relay
(config-if)#interface 物理接口.子接口号 point-to-point
(config-subif)#ip address IP地址 掩码
(config-subif)#frame-relay interface-dlci DLCI值
(config-subif)#bandwidth 速率
2>多点子接口:具有与“物理端口”相同的特性,仍然解决不了“水平分割”带来的问题
应用场合:帧中继的“混合拓扑”
建立多点子接口:(config-if)#interface 物理接口.子接口号 multipoint
考虑冗余:
一,保证服务质量的前提:网络的可靠性
二,保证网络可靠性的具体手段:
1,冗余:
1)链路冗余:
1> 浮动路由
2> 备份端口:
功能:提供冗余;提供负载分担
配置:进入主端口
(config)#interface 端口
(config-if)#backup interface 备份端口
(config-if)#backup delay 值1 值2
//值1:当主链路断开后,多少秒启用备份链路
值2:当主链路恢复后,多少秒断开备份链路
(config-if)#backup load 值1 值2
//值1:当主链路传输的数据量所占带宽达到主链路总带宽的“值1%”时,启用备用链路
值2:当主链路使用带宽y,加上备用链路使用带宽z,二者之和除以主链路总带宽x, 所的结果低于“值2%”时,断开备用链路
2)设备冗余:
1> 交换机冗余:
i)引擎的冗余:
特性:
ii) 模块的冗余:
iii)电源的冗余:
iv)风扇冗余
2> 服务器的冗余:使用“虚拟服务器”技术
具体配置:
3>路由器冗余/三层交换机冗余:
如果网络中提供三层交换机的冗余,或路由器的冗余,客户端的网关如何设置?
解决办法:设置“虚拟路由器”,给虚拟路由器设置IP地址,该地址作为客户端的网关
虚拟路由器:
a) 虚拟路由器又称为“热备份路由协议组”
b) 为了使设备和带宽得到合理利用,在一个网络环境下,可以配置多个热备份路由协议组,在不同的组里,
由不同的设备充当主设备
c) 数据通信时,客户端对数据的封装中,目的MAC应封装成“虚拟路由器的MAC”
虚拟路由器的MAC地址的格式:
d) 虚拟路由器中,主从设备的选举,通过“优先级”实现!
e) 主从设备收发的HELLO包的封装:
HSRP的组号;
发送者的IP地址;
状态;
优先级;
HELLO包的发送时间(默认3秒)
保持时间(默认10秒)
虚拟路由器的IP地址
f)HSRP的状态:
初始状态(init state): HSRP协议未运行;
学习状态(learn state): 路由器未收到HELLO包,路由器不知道虚拟路由器的IP;
监听状态(listen state): 路由器未收到HELLO包,路由器知道虚拟路由器的IP;
发言状态(speak state):路由器收到HELLO包,知道虚拟路由器IP;
备份状态(standby state): 选举从设备,为选举主设备奠定基础;
活动状态(active state):选举主设备,由主设备正常转发数据包;
g)HSRP(Hot Standby Routing Protocol):热备份路由协议,用于在虚拟路由器内的主从设备间传输信息
h) HSRP的配置:
(config)#interface 端口(fa0/0)
(config-if)#standby 组号 ip 虚拟路由器IP地址 //指定虚拟路由器,并设置IP地址
(config-if)#standby 组号 priority 优先级 //指定优先级
(config-if)#standby 组号 preempt //设置抢占
(config-if)#standby 组号 timers HELLO包发送时间 保持时间
如果A的S0/0端口对应的链路故障,A自动降低优先级,从而实现主从设备的切换;如A的S0/0端口对应的链路
恢复后,A自动恢复原优先级,从而抢占“主设备”的角色。该技术称为“HSRP的端口跟踪”
HSRP端口跟踪的配置:
(config)#interface 端口(fa0/0)
(config-if)#standby 组号 track 端口1(s0/0) 优先级
//优先级:当端口链路故障时,在设备原优先级基础上降低多少!不是降低到多少!
调试HSRP:
#show standby //查看HSRP信息
#debug standby //调试HSRP信息
2,路由协议
3,热备份路由协议
4,生成树协议
三,网络中,与网络性能有关的问题:
1,延时:
2,抖动:
3,丢失:
四,特殊环境,对网络性能的要求:
1,语音环境:
2,视频环境
3,视频会议
五,保证网络性能的手段:
1,提高带宽
2,流量整形:
1)应用场合: 用于帧中继环境
2)机理:通过“指定速率”或提供“后向拥塞管理”机制,来整理流量,以避免拥塞
3)配置:
1>配置类映射:
(config)#map-class frame-relay 名
2>指定整理流量的机制:
(config-map-class)#frame-relay traffice-rate 56000 64000
//速率:单位是b
尖峰值:最大速率
或
(config-map-class)#frame-relay adaptive-shaping becn
//通过“后向拥塞管理”机制,来整理流量
3>封装帧中继协议
(config-if)#encap frame-relay
4>应用类映射
(config-if)#frame-relay class 名
5>启用流量整形功能:
(config-if)#frame-relay traffic-shaping
4)帧中继子接口:
点对点子接口:
为了解决“物理端口上启用水平分割,而使分支设备无法相互通信”的问题,提出了点对点子接口
点对点子接口的配置:
1>物理端口上不需要配置IP地址和掩码
(config-if)#no ip address
2>激活物理端口
(config-if)#no shutdown
3>子物理端口上封装帧中继
(config-if)#encap frame-relay
4>在物理端口上建立子接口,并指定类型
(config-if)#interface 子接口 point-to-point
5>给子接口配置IP地址和掩码
(config-subif)#ip addr IP地址 掩码
6>给子接口配置DLCI
(config-subif)#frame-relay interface-dlci DLCI值
7>给子接口配置速率
(config-subif)#bandwidth 速率
多点子接口:具有“与物理端口”相同的特性
配置:
(config-if)#interface 子接口 multipoint
“其他配置命令”等同“点对点子接口”的配置
多点子接口用于“帧中继的混合拓扑环境”
5)子接口环境下,流量整形的配置:
map-class应用到子接口,其他配置等同物理端口下的配置
3,拥塞管理:通过“队列”实现(队列也可以实现“流量优先化”)
1)队列的选择:
网络无拥塞:不需要使用队列
网络有拥塞,但不需要严格控制:使用“加权公平队列”
网络有拥塞,且需要严格控制,对延时要求不高:使用“优先级队列”
网络有拥塞,且需要严格控制,对延时要求高:使用“基于类的加权公平队列”
设备端口的默认队列策略是:先进先出
2)加权公平队列:
1>机制:按照数据“最后一比特”到达设备的先后顺序,转发数据
2>配置:(config-if)#fair-queue 128
3)优先级队列:
1>机制:通过配置“优先级列表”,把不同数据放入不同队列,根据队列的优先顺序,决定数据的传输顺序
2>队列的分类:
高优先级队列:该队列上的数据最先传输
中优先级队列:该队列上的数据第二传输
普通优先级队列:该队列上的数据第三传输
低优先级队列:该队列上的数据最后传输
3>特性:路由器正传输某队列的数据,当更高优先级的队列有数据到达时,设备立即中止当前的传输,
转而去传输高优先级队列里的数据
4>配置:
建立优先级列表:
格式一:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low
//表号:1---16
格式二:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low list 访问控制列表表号
//基于访问控制列表指定优先级
priority-list 1 protocol ip high list 3
priority-list 1 protocol ip medium list 4
access-list 3 permit 192.168.10.0 0.0.0.255
access-list 4 permit 192.168.20.0 0.0.0.255
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 104 permit tcp any any eq ftp
格式三:
(config)#priority-list 表号 interface 端口 high/medium/normal/low
//基于数据包的“接收端口”指定优先级
priority-list 1 interface fa0/0 high
priority-list 1 interface fa0/1 normal
格式四:
(config)#priority-list 表号 protocol 协议 high/medium/normal/low tcp/udp 服务端口号
//基于TCP/UDP端口指定优先级
priority-list 1 protocol ip high tcp 25
priority-list 1 protocol ip low udp 69
格式五:
(config)#priority-list 表号 default high/medium/normal/low
//为“与优先级列表中的定义不匹配”的数据,配置默认队列
priority-list 1 protocol ip high tcp 25
priority-list 1 default normal
调整队列的容量:
(config)#priority-list 表号 queue-limit 值1 值2 值3 值4
//上述4个值,依次表示高、中、普通、低优先级队列的容量
把优先级列表应用到端口:
4)基于类的加权公平队列:
1>机制:先对数据进行分类,然后把不同类的数据放入不同队列,之后定义队列的属性,根据队列属性传输数据
2>配置:
步骤:
第一步:定义class-map,对数据进行分类
(config)#class-map 名
(config-cmap)#match 条件
//条件: access-group 访问控制列表 //基于访问控制列表,对数据进行分类
input-interface 端口 //基于数据的接收端口,对数据进行分类
protocol 协议 //基于协议,对数据进行分类
第二步:定义队列属性,并指明不同类数据所对应的队列:
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#bandwidth 带宽(单位是Kbps) //指定带宽
(config-pmap-c)#priority 值 //指定优先级
第三步:应用队列属性:
(config)#int 端口(数据的流出端口)
(config-if)#service-policy output 名1
举例:
第一步:
class-map aa
match access-group 2
class-map bb
match access-group 3
第二步:
policy-map cc
class aa
bandwidth 64
priority 16
class bb
bandwidth 32
priority 8
第三步:
int s1/0
service-policy output cc
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 3 permit 192.168.20.0 0.0.0.255
4,流量优先化:(交换机上的配置)
1)机制:通过查看二层封装中的CoS或三层封装中的ToS,决定数据的传输顺序
2)CoS(服务分类):
1>CoS是数据封装中的一个字段,该字段可以决定数据的传输顺序
2>CoS封装中,各值的含义:
0:尽力传输
1:中优先级数据
2:高优先级数据
3:呼叫信号
4:视频信号
5:语音信号
6:保留
7:保留
值越大,优先级越高
3)ToS(服务类型):
DSCP:差分服务代码点
1>ToS是三层数据封装中的一个字段,该字段可以决定数据的传输顺序
2>封装值越大,越优先
4)具体配置:
1>对流量进行分类:
(config)#class-map [match-any / match-all] 名
//match-any:符合任一条件
match-all:符合所有条件
(config-cmap)#match 条件
//条件:
access-group name 访问列表表名 //符合访问控制列表
ip dscp 值 //符合差分服务代码点
ip precedence 值 //符合IP优先权
destination-address IP地址 //符合目的IP地址
source-address IP地址 //符合源IP地址
vlan VLAN号 //符合指定VLAN
input-interface 端口 //符合数据的流入端口
protocol 协议 //符合协议
2>定义策略,对分类的数据进行处理
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#动作
//动作:
bandwidth 带宽 //指定带宽
set ip dscp 值 //指定查分服务代码点
set ip pricedence 值 //指定IP优先权
trust cos //信任Cos
trust dscp //信任差分服务代码点
ip-precedence //信任IP优先权
3>把策略应用到端口:
(config-if)#service-policy input/output 名1
举例:
第一步:
class-map match-any aa
match destination-address 192.168.20.1
match input-interface fa0/0
class-map match-any dd
match source-address 192.168.10.1
第二步:
policy-map bb
class aa
set ip dscp 4
trust dscp
class dd
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb
5, 以太通道:把多条物理链路聚合成一条逻辑链路,以实现链路的冗余和负载均衡
1)应用场合:核心交换机之间
2)逻辑链路中最多放8条物理链路,可以提供10M--160G的速率
3)以太通道设计原则:
4)以太通道协议:
1>PAgP(端口聚合协议):Cisco私有协议;把“近似配置”的端口放入以太通道
PAgP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
auto(被动协商端口,默认设置)
desirable(主动协商端口)
2>LACP(链路聚合控制协议):通用协议;把“近似配置”的端口放入以太通道
LACP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
passive(被动协商端口,默认设置)
active(主动协商端口)
5)负载均衡策略:
基于源地址做负载均衡
基于目的地址做负载均衡
基于源和目的地址做负载均衡
6)配置:
1>建立以太通道:
(config)#interface port-channel 通道号
(config-if)#ip address IP地址 掩码
2>向以太通道中放入物理端口
(config)#interface 物理端口
(config-if)#channel-protocol pagp/lacp
(config-if)#channel-group 通道号 mode on/off/desirable/auto/active/passive
3>定义负载均衡策略:
(config)#port-channel load balance src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
提示:两台二层交换机之间的以太通道,不需要配置IP地址和掩码
两台三......................, 需要配置IP地址和掩码,做法是:
(config)#interface port-channel 通道号
(config-if)#no switchport
(config-if)#ip address IP地址 掩码
安全措施:
安全:通过“验证、过滤、密码”等手段保证设备及网络的安全
一、密码:
二、验证:
三,过滤:访问控制列表(ACL)
1,基于“表号”的ACL:
1)基本表:通过“源地址”处理包
配置:
(config)#access-list 表号 deny/permit 源IP 源匹配码
//表号: 1--99或 1300---1999
(config-if)#ip access-group 表号 in/out
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#access-list 表号 deny/permit 协议 源IP 源匹配码 目的IP 目的匹配码 参数 服务名/端口号
//表号:100---199 或 2000---2699
(config-if)#ip access-group 表号 in/out
提示:以“表号”为主的ACL,只能建立、删除,不能修改
2,基于“表名”的ACL:
1)基本表:通过“源地址”处理包
配置
(config)#ip access-list standard 表名
(config-std-nacl)# deny/permit 源IP 源匹配码
删除表中语句:
(config)#ip access-list standard 表名
(config-std-nacl)# no deny/permit 源IP 源匹配码
向表中添加语句:
(config)#ip access-list standard 表名
(config-std-nacl)#序列号 deny/permit 源IP 源匹配码
应用表:
(config-if)#ip access-group 表名 in/out
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.10.0 0.0.0.255
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit 协议 源IP 源匹配码 目的IP 目的匹配码 参数 服务名/端口号
应用表:
(config-if)#ip access-group 表名 in/out
提示:以“表名”为主的ACL,可以建立、删除、修改
3,ACL的"注释"
1)以表号为主的ACL:
(config)#access-list 表号 remark 注释文字
2)以表名为主的ACL:
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 注释文字
2>扩展表
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 注释文字
本文出自 “申雷岗 鸿鹄驰骋 欢迎您” 博客,请务必保留此出处http://shenleigang.blog.51cto.com/639523/167599
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 现代移动端网络短连接的优化手段总结:请求速度、弱网适应、安全保障
- 负载均衡 性能优化,网络安全,https,分布式系统,日志分析,离线数据分析视频教程
- 正确配置思科路由器口令从而保障网络安全
- 携程App的网络性能优化实践
- 支付宝App无线网络性能该何如保障
- Oracle数据库性能优化技术开发者网络Oracle
- 大网站是如何保障网络安全的
- Tomcat 安全配置与性能优化
- Tomcat8安装, 安全配置与性能优化
- 携程App的网络性能优化实践
- CentOS 6.5安全加固及性能优化
- VMware和VirtualBox中的网络适配器类型及虚拟网络性能优化
- 优化网络和应用性能必知的三个经典响应时间点
- 看Linux网管员如何进行网络性能优化
- Linux 网络安全和优化 (第一部分)--- Jephe Wu 翻译整理
- Tomcat 安全配置与性能优化