網路效能優化及安全保障
效能優化:
一,QoS(Quality of Service):服務質量
1,網路在效能方面存在的問題:
1)delay
2) variation
3) loss
一,QoS(Quality of Service):服務質量
1,網路在效能方面存在的問題:
1)delay
2) variation
3) loss
2,特定環境對網路效能:
1)
1)
3,保證QoS的措施:保證QoS是以網路的“可用性”為前提
4,網路的可用性:
1)冗餘:核心裝置、主要鏈路的冗餘
1> 鏈路冗餘:
a. 浮動路由:(config)#ip route 目的網網路號/子網號 目的網掩碼 下一跳IP 管理距離
b. 備份埠:實現鏈路的冗餘;提供了負載分擔
c. 以太通道:
特性:一條以太通道內,最多可以聚合8條物理鏈路,頻寬達到10M—160G
目的:提供鏈路冗餘;負載分擔;避免環路;提高鏈路頻寬
應用場合:核心交換機之間的鏈路
原則:
負載均衡策略:基於源(MAC,IP,埠)進行負載分擔
基於目的(MAC,IP,埠)進行負載分擔
同時基於源和目的
協議:PAgP(埠聚合協議)是Cisco私有協議,將“近似配置”的埠放入以太通道
PAgP的模式:on把埠強制放入以太通道;off阻止埠進入以太通道;auto 把埠設為被動協商埠;
desirable把埠設為主動協商埠
1)冗餘:核心裝置、主要鏈路的冗餘
1> 鏈路冗餘:
a. 浮動路由:(config)#ip route 目的網網路號/子網號 目的網掩碼 下一跳IP 管理距離
b. 備份埠:實現鏈路的冗餘;提供了負載分擔
c. 以太通道:
特性:一條以太通道內,最多可以聚合8條物理鏈路,頻寬達到10M—160G
目的:提供鏈路冗餘;負載分擔;避免環路;提高鏈路頻寬
應用場合:核心交換機之間的鏈路
原則:
負載均衡策略:基於源(MAC,IP,埠)進行負載分擔
基於目的(MAC,IP,埠)進行負載分擔
同時基於源和目的
協議:PAgP(埠聚合協議)是Cisco私有協議,將“近似配置”的埠放入以太通道
PAgP的模式:on把埠強制放入以太通道;off阻止埠進入以太通道;auto 把埠設為被動協商埠;
desirable把埠設為主動協商埠
LACP(鏈路聚合控制協議)是通用協議,將“近似配置”的埠放入以太通道
LACP的模式: on把埠強制放入以太通道;off阻止埠進入以太通道;passive 把埠設為被動協商埠;
active把埠設為主動協商埠
配置:
建立以太通道:(config)#interface port-channel 通道號(1–6)
(config-if)#ip address IP地址 掩碼 //三層以太通道配置該命令
向以太通道新增成員(埠):(config)#interface 物理埠
(config-if)#port-channel protocol pagp/lacp (或channel-protocol pagp/lacp)
(config-if)#port-channel group 通道號 mode on/off/desirable/auto/active/passive
channel-group
(config-if)#port-channel load-balance
LACP的模式: on把埠強制放入以太通道;off阻止埠進入以太通道;passive 把埠設為被動協商埠;
active把埠設為主動協商埠
配置:
建立以太通道:(config)#interface port-channel 通道號(1–6)
(config-if)#ip address IP地址 掩碼 //三層以太通道配置該命令
向以太通道新增成員(埠):(config)#interface 物理埠
(config-if)#port-channel protocol pagp/lacp (或channel-protocol pagp/lacp)
(config-if)#port-channel group 通道號 mode on/off/desirable/auto/active/passive
channel-group
(config-if)#port-channel load-balance
2>裝置冗餘:
a.路由器的冗餘:通過HSRP(熱備份路由協議)技術實現路由器的冗餘
i)配置虛擬路由器,把虛擬路由器的IP地址作為客戶端的閘道器,而虛擬路由器的成員是“多臺物理路由器”
虛擬路由器的MAC地址是:
熱備份路由協議組就是“虛擬路由器”
a.路由器的冗餘:通過HSRP(熱備份路由協議)技術實現路由器的冗餘
i)配置虛擬路由器,把虛擬路由器的IP地址作為客戶端的閘道器,而虛擬路由器的成員是“多臺物理路由器”
虛擬路由器的MAC地址是:
熱備份路由協議組就是“虛擬路由器”
ii)虛擬路由器中的主、備份路由器,是通過HELLO包中的優先順序選舉的,優先順序越大越好
// HELLO包的封裝:傳送者的IP地址;HSRP組的組號;優先順序;HELLO包傳送時間(預設3S);保持時間(預設10S);虛擬路由器的IP地址;HSRP的狀態
// HELLO包的封裝:傳送者的IP地址;HSRP組的組號;優先順序;HELLO包傳送時間(預設3S);保持時間(預設10S);虛擬路由器的IP地址;HSRP的狀態
iii)HSRP的狀態:
initial state(初始狀態):HSRP未執行
learn state(學習狀態):路由器未收到HELLO包,不知道虛擬路由器的IP地址
listen state(偵聽狀態): ……………….,知道虛擬路由器的IP地址
speak state(發言狀態):選舉主、備份路由器
standby state(備份狀態):選出備份路由器
active state(活動狀態):選出主路由器,正常轉發資料
initial state(初始狀態):HSRP未執行
learn state(學習狀態):路由器未收到HELLO包,不知道虛擬路由器的IP地址
listen state(偵聽狀態): ……………….,知道虛擬路由器的IP地址
speak state(發言狀態):選舉主、備份路由器
standby state(備份狀態):選出備份路由器
active state(活動狀態):選出主路由器,正常轉發資料
iv)配置:(config)#int 埠 //路由器收發HELLO包的埠
(config-if)#standby 組號 ip 虛擬路由器的IP地址 //指定虛擬路由器IP
(config-if)#standby 組號 priority 優先順序 //指定優先順序
(config-if)#standby 組號 preempt //指定搶佔
(config-if)#standby 組號 timer HELLO包傳送時間 保持時間
(config-if)#standby 組號 track s0/0 70
(config-if)#standby 組號 ip 虛擬路由器的IP地址 //指定虛擬路由器IP
(config-if)#standby 組號 priority 優先順序 //指定優先順序
(config-if)#standby 組號 preempt //指定搶佔
(config-if)#standby 組號 timer HELLO包傳送時間 保持時間
(config-if)#standby 組號 track s0/0 70
b. 伺服器冗餘:配置虛擬伺服器
i)在交換機上配置虛擬伺服器,其成員是“物理伺服器”,給虛擬伺服器配置IP地址,對其進行釋出
ii)配置:
建立物理伺服器群:
(config)#ip slb serverfarm 名
(config-slb-sfarm)#real 物理伺服器IP
(config-slb-real)#inservice //啟用物理伺服器
i)在交換機上配置虛擬伺服器,其成員是“物理伺服器”,給虛擬伺服器配置IP地址,對其進行釋出
ii)配置:
建立物理伺服器群:
(config)#ip slb serverfarm 名
(config-slb-sfarm)#real 物理伺服器IP
(config-slb-real)#inservice //啟用物理伺服器
建立虛擬伺服器:
(config)#ip slb vserver 虛擬伺服器名
(config-slb-vserver)#virtual IP地址 掩碼
(config-slb-vserver)#serverfarm 名
(config-slb-vserver)#inservice //啟用虛擬伺服器
(config)#ip slb vserver 虛擬伺服器名
(config-slb-vserver)#virtual IP地址 掩碼
(config-slb-vserver)#serverfarm 名
(config-slb-vserver)#inservice //啟用虛擬伺服器
c. 交換機冗餘:
i)引擎的冗餘:
特性:
當主引擎工作時,備份引擎處於完全啟動狀態;
無負載均衡;
VLAN資料庫模式,不支援;
引擎上執行的IOS版本相同;
引擎的型號相同;
引擎要放在交換機的第一個和第二個插槽上;
不能使用叉線纜配置引擎;
使用RPR+實現引擎通訊
i)引擎的冗餘:
特性:
當主引擎工作時,備份引擎處於完全啟動狀態;
無負載均衡;
VLAN資料庫模式,不支援;
引擎上執行的IOS版本相同;
引擎的型號相同;
引擎要放在交換機的第一個和第二個插槽上;
不能使用叉線纜配置引擎;
使用RPR+實現引擎通訊
配置:
(config)#redundancy //啟用冗餘
(config-red)#mode rpr-plus //指定RPR+協議
(config)#redundancy //啟用冗餘
(config-red)#mode rpr-plus //指定RPR+協議
ii)交換模組的冗餘
iii)電源的冗餘
配置:(config)#power redundancy-mode combined/redundant
iii)電源的冗餘
配置:(config)#power redundancy-mode combined/redundant
iv)風扇的冗餘
v)使用“HSRP”技術,實現三層交換機的冗餘,配置等同“路由器”
3>動態路由協議實現“路由冗餘”
4>生成樹協議實現“交換網路中,鏈路的冗餘”
5, QoS的實現:
1)流量整形:
1>應用場合:幀中繼環境
2>機理:通過設定“平均速率”或“BECN(後向擁塞管理機制)”,實現擁塞管理
3>配置:
建立map-class,並指明資料處理策略:
(config)#map-class frame-relay 名
(config-map-class)#frame-relay traffic-rate 56000 64000
//速率的單位為b
1)流量整形:
1>應用場合:幀中繼環境
2>機理:通過設定“平均速率”或“BECN(後向擁塞管理機制)”,實現擁塞管理
3>配置:
建立map-class,並指明資料處理策略:
(config)#map-class frame-relay 名
(config-map-class)#frame-relay traffic-rate 56000 64000
//速率的單位為b
或
(config-map-class)#frame-relay adaptive-shaping becn
封裝幀中繼,並應用資料處理策略
(config-if)#encap frame-relay
(config-if)#frame-relay class 名
啟用流量整形:
(config-if)#frame-relay traffic-shaping
(config-if)#frame-relay traffic-shaping
2)幀中繼的子介面:
1>點對點子介面:
(config-if)#no ip addr
(config-if)#no shutdown
(config-if)#encap frame-relay
(config-if)#interface 物理介面.子介面號 point-to-point
(config-subif)#ip address IP地址 掩碼
(config-subif)#frame-relay interface-dlci DLCI值
(config-subif)#bandwidth 速率
1>點對點子介面:
(config-if)#no ip addr
(config-if)#no shutdown
(config-if)#encap frame-relay
(config-if)#interface 物理介面.子介面號 point-to-point
(config-subif)#ip address IP地址 掩碼
(config-subif)#frame-relay interface-dlci DLCI值
(config-subif)#bandwidth 速率
2>多點子介面:具有與“物理埠”相同的特性,仍然解決不了“水平分割”帶來的問題
應用場合:幀中繼的“混合拓撲”
建立多點子介面:(config-if)#interface 物理介面.子介面號 multipoint
應用場合:幀中繼的“混合拓撲”
建立多點子介面:(config-if)#interface 物理介面.子介面號 multipoint
考慮冗餘:
一,保證服務質量的前提:網路的可靠性
二,保證網路可靠性的具體手段:
1,冗餘:
1)鏈路冗餘:
1> 浮動路由
2> 備份埠:
功能:提供冗餘;提供負載分擔
配置:進入主埠
(config)#interface 埠
(config-if)#backup interface 備份埠
(config-if)#backup delay 值1 值2
//值1:當主鏈路斷開後,多少秒啟用備份鏈路
值2:當主鏈路恢復後,多少秒斷開備份鏈路
(config-if)#backup load 值1 值2
//值1:當主鏈路傳輸的資料量所佔頻寬達到主鏈路總頻寬的“值1%”時,啟用備用鏈路
值2:當主鏈路使用頻寬y,加上備用鏈路使用頻寬z,二者之和除以主鏈路總頻寬x, 所的結果低於“值2%”時,斷開備用鏈路
二,保證網路可靠性的具體手段:
1,冗餘:
1)鏈路冗餘:
1> 浮動路由
2> 備份埠:
功能:提供冗餘;提供負載分擔
配置:進入主埠
(config)#interface 埠
(config-if)#backup interface 備份埠
(config-if)#backup delay 值1 值2
//值1:當主鏈路斷開後,多少秒啟用備份鏈路
值2:當主鏈路恢復後,多少秒斷開備份鏈路
(config-if)#backup load 值1 值2
//值1:當主鏈路傳輸的資料量所佔頻寬達到主鏈路總頻寬的“值1%”時,啟用備用鏈路
值2:當主鏈路使用頻寬y,加上備用鏈路使用頻寬z,二者之和除以主鏈路總頻寬x, 所的結果低於“值2%”時,斷開備用鏈路
2)裝置冗餘:
1> 交換機冗餘:
i)引擎的冗餘:
特性:
1> 交換機冗餘:
i)引擎的冗餘:
特性:
ii) 模組的冗餘:
iii)電源的冗餘:
iv)風扇冗餘
iii)電源的冗餘:
iv)風扇冗餘
2> 伺服器的冗餘:使用“虛擬伺服器”技術
具體配置:
具體配置:
3>路由器冗餘/三層交換機冗餘:
如果網路中提供三層交換機的冗餘,或路由器的冗餘,客戶端的閘道器如何設定?
解決辦法:設定“虛擬路由器”,給虛擬路由器設定IP地址,該地址作為客戶端的閘道器
虛擬路由器:
a) 虛擬路由器又稱為“熱備份路由協議組”
b) 為了使裝置和頻寬得到合理利用,在一個網路環境下,可以配置多個熱備份路由協議組,在不同的組裡,
由不同的裝置充當主裝置
c) 資料通訊時,客戶端對資料的封裝中,目的MAC應封裝成“虛擬路由器的MAC”
虛擬路由器的MAC地址的格式:
d) 虛擬路由器中,主從裝置的選舉,通過“優先順序”實現!
e) 主從裝置收發的HELLO包的封裝:
HSRP的組號;
傳送者的IP地址;
狀態;
優先順序;
HELLO包的傳送時間(預設3秒)
保持時間(預設10秒)
虛擬路由器的IP地址
如果網路中提供三層交換機的冗餘,或路由器的冗餘,客戶端的閘道器如何設定?
解決辦法:設定“虛擬路由器”,給虛擬路由器設定IP地址,該地址作為客戶端的閘道器
虛擬路由器:
a) 虛擬路由器又稱為“熱備份路由協議組”
b) 為了使裝置和頻寬得到合理利用,在一個網路環境下,可以配置多個熱備份路由協議組,在不同的組裡,
由不同的裝置充當主裝置
c) 資料通訊時,客戶端對資料的封裝中,目的MAC應封裝成“虛擬路由器的MAC”
虛擬路由器的MAC地址的格式:
d) 虛擬路由器中,主從裝置的選舉,通過“優先順序”實現!
e) 主從裝置收發的HELLO包的封裝:
HSRP的組號;
傳送者的IP地址;
狀態;
優先順序;
HELLO包的傳送時間(預設3秒)
保持時間(預設10秒)
虛擬路由器的IP地址
f)HSRP的狀態:
初始狀態(init state): HSRP協議未執行;
學習狀態(learn state): 路由器未收到HELLO包,路由器不知道虛擬路由器的IP;
監聽狀態(listen state): 路由器未收到HELLO包,路由器知道虛擬路由器的IP;
發言狀態(speak state):路由器收到HELLO包,知道虛擬路由器IP;
備份狀態(standby state): 選舉從裝置,為選舉主裝置奠定基礎;
活動狀態(active state):選舉主裝置,由主裝置正常轉發資料包;
初始狀態(init state): HSRP協議未執行;
學習狀態(learn state): 路由器未收到HELLO包,路由器不知道虛擬路由器的IP;
監聽狀態(listen state): 路由器未收到HELLO包,路由器知道虛擬路由器的IP;
發言狀態(speak state):路由器收到HELLO包,知道虛擬路由器IP;
備份狀態(standby state): 選舉從裝置,為選舉主裝置奠定基礎;
活動狀態(active state):選舉主裝置,由主裝置正常轉發資料包;
g)HSRP(Hot Standby Routing Protocol):熱備份路由協議,用於在虛擬路由器內的主從裝置間傳輸資訊
h) HSRP的配置:
(config)#interface 埠(fa0/0)
(config-if)#standby 組號 ip 虛擬路由器IP地址 //指定虛擬路由器,並設定IP地址
(config-if)#standby 組號 priority 優先順序 //指定優先順序
(config-if)#standby 組號 preempt //設定搶佔
(config-if)#standby 組號 timers HELLO包傳送時間 保持時間
(config)#interface 埠(fa0/0)
(config-if)#standby 組號 ip 虛擬路由器IP地址 //指定虛擬路由器,並設定IP地址
(config-if)#standby 組號 priority 優先順序 //指定優先順序
(config-if)#standby 組號 preempt //設定搶佔
(config-if)#standby 組號 timers HELLO包傳送時間 保持時間
如果A的S0/0埠對應的鏈路故障,A自動降低優先順序,從而實現主從裝置的切換;如A的S0/0埠對應的鏈路
恢復後,A自動恢復原優先順序,從而搶佔“主裝置”的角色。該技術稱為“HSRP的埠跟蹤”
HSRP埠跟蹤的配置:
(config)#interface 埠(fa0/0)
(config-if)#standby 組號 track 埠1(s0/0) 優先順序
//優先順序:當埠鏈路故障時,在裝置原優先順序基礎上降低多少!不是降低到多少!
除錯HSRP:
#show standby //檢視HSRP資訊
#debug standby //除錯HSRP資訊
#show standby //檢視HSRP資訊
#debug standby //除錯HSRP資訊
2,路由協議
3,熱備份路由協議
4,生成樹協議
3,熱備份路由協議
4,生成樹協議
三,網路中,與網路效能有關的問題:
1,延時:
2,抖動:
3,丟失:
1,延時:
2,抖動:
3,丟失:
四,特殊環境,對網路效能的要求:
1,語音環境:
2,視訊環境
3,視訊會議
1,語音環境:
2,視訊環境
3,視訊會議
五,保證網路效能的手段:
1,提高頻寬
2,流量整形:
1)應用場合: 用於幀中繼環境
2)機理:通過“指定速率”或提供“後向擁塞管理”機制,來整理流量,以避免擁塞
3)配置:
1>配置類對映:
(config)#map-class frame-relay 名
2>指定整理流量的機制:
(config-map-class)#frame-relay traffice-rate 56000 64000
//速率:單位是b
尖峰值:最大速率
1,提高頻寬
2,流量整形:
1)應用場合: 用於幀中繼環境
2)機理:通過“指定速率”或提供“後向擁塞管理”機制,來整理流量,以避免擁塞
3)配置:
1>配置類對映:
(config)#map-class frame-relay 名
2>指定整理流量的機制:
(config-map-class)#frame-relay traffice-rate 56000 64000
//速率:單位是b
尖峰值:最大速率
或
(config-map-class)#frame-relay adaptive-shaping becn
//通過“後向擁塞管理”機制,來整理流量
//通過“後向擁塞管理”機制,來整理流量
3>封裝幀中繼協議
(config-if)#encap frame-relay
(config-if)#encap frame-relay
4>應用類對映
(config-if)#frame-relay class 名
(config-if)#frame-relay class 名
5>啟用流量整形功能:
(config-if)#frame-relay traffic-shaping
(config-if)#frame-relay traffic-shaping
4)幀中繼子介面:
點對點子介面:
為了解決“物理埠上啟用水平分割,而使分支裝置無法相互通訊”的問題,提出了點對點子介面
點對點子介面的配置:
1>物理埠上不需要配置IP地址和掩碼
(config-if)#no ip address
2>啟用物理埠
(config-if)#no shutdown
3>子物理埠上封裝幀中繼
(config-if)#encap frame-relay
4>在物理埠上建立子介面,並指定型別
(config-if)#interface 子介面 point-to-point
5>給子介面配置IP地址和掩碼
(config-subif)#ip addr IP地址 掩碼
6>給子介面配置DLCI
(config-subif)#frame-relay interface-dlci DLCI值
7>給子介面配置速率
(config-subif)#bandwidth 速率
點對點子介面:
為了解決“物理埠上啟用水平分割,而使分支裝置無法相互通訊”的問題,提出了點對點子介面
點對點子介面的配置:
1>物理埠上不需要配置IP地址和掩碼
(config-if)#no ip address
2>啟用物理埠
(config-if)#no shutdown
3>子物理埠上封裝幀中繼
(config-if)#encap frame-relay
4>在物理埠上建立子介面,並指定型別
(config-if)#interface 子介面 point-to-point
5>給子介面配置IP地址和掩碼
(config-subif)#ip addr IP地址 掩碼
6>給子介面配置DLCI
(config-subif)#frame-relay interface-dlci DLCI值
7>給子介面配置速率
(config-subif)#bandwidth 速率
多點子介面:具有“與物理埠”相同的特性
配置:
(config-if)#interface 子介面 multipoint
“其他配置命令”等同“點對點子介面”的配置
多點子介面用於“幀中繼的混合拓撲環境”
5)子介面環境下,流量整形的配置:
map-class應用到子介面,其他配置等同物理埠下的配置
3,擁塞管理:通過“佇列”實現(佇列也可以實現“流量優先化”)
1)佇列的選擇:
網路無擁塞:不需要使用佇列
網路有擁塞,但不需要嚴格控制:使用“加權公平佇列”
網路有擁塞,且需要嚴格控制,對延時要求不高:使用“優先順序佇列”
網路有擁塞,且需要嚴格控制,對延時要求高:使用“基於類的加權公平佇列”
1)佇列的選擇:
網路無擁塞:不需要使用佇列
網路有擁塞,但不需要嚴格控制:使用“加權公平佇列”
網路有擁塞,且需要嚴格控制,對延時要求不高:使用“優先順序佇列”
網路有擁塞,且需要嚴格控制,對延時要求高:使用“基於類的加權公平佇列”
裝置埠的預設佇列策略是:先進先出
2)加權公平佇列:
1>機制:按照資料“最後一位元”到達裝置的先後順序,轉發資料
2>配置:(config-if)#fair-queue 128
1>機制:按照資料“最後一位元”到達裝置的先後順序,轉發資料
2>配置:(config-if)#fair-queue 128
3)優先順序佇列:
1>機制:通過配置“優先順序列表”,把不同資料放入不同佇列,根據佇列的優先順序,決定資料的傳輸順序
2>佇列的分類:
高優先順序佇列:該佇列上的資料最先傳輸
中優先順序佇列:該佇列上的資料第二傳輸
普通優先順序佇列:該佇列上的資料第三傳輸
低優先順序佇列:該佇列上的資料最後傳輸
3>特性:路由器正傳輸某佇列的資料,當更高優先順序的佇列有資料到達時,裝置立即中止當前的傳輸,
轉而去傳輸高優先順序佇列裡的資料
1>機制:通過配置“優先順序列表”,把不同資料放入不同佇列,根據佇列的優先順序,決定資料的傳輸順序
2>佇列的分類:
高優先順序佇列:該佇列上的資料最先傳輸
中優先順序佇列:該佇列上的資料第二傳輸
普通優先順序佇列:該佇列上的資料第三傳輸
低優先順序佇列:該佇列上的資料最後傳輸
3>特性:路由器正傳輸某佇列的資料,當更高優先順序的佇列有資料到達時,裝置立即中止當前的傳輸,
轉而去傳輸高優先順序佇列裡的資料
4>配置:
建立優先順序列表:
格式一:
(config)#priority-list 表號 protocol 協議 high/medium/normal/low
//表號:1—16
建立優先順序列表:
格式一:
(config)#priority-list 表號 protocol 協議 high/medium/normal/low
//表號:1—16
格式二:
(config)#priority-list 表號 protocol 協議 high/medium/normal/low list 訪問控制列表表號
//基於訪問控制列表指定優先順序
(config)#priority-list 表號 protocol 協議 high/medium/normal/low list 訪問控制列表表號
//基於訪問控制列表指定優先順序
priority-list 1 protocol ip high list 3
priority-list 1 protocol ip medium list 4
priority-list 1 protocol ip medium list 4
access-list 3 permit 192.168.10.0 0.0.0.255
access-list 4 permit 192.168.20.0 0.0.0.255
access-list 4 permit 192.168.20.0 0.0.0.255
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 104 permit tcp any any eq ftp
格式三:
(config)#priority-list 表號 interface 埠 high/medium/normal/low
//基於資料包的“接收埠”指定優先順序
(config)#priority-list 表號 interface 埠 high/medium/normal/low
//基於資料包的“接收埠”指定優先順序
priority-list 1 interface fa0/0 high
priority-list 1 interface fa0/1 normal
priority-list 1 interface fa0/1 normal
格式四:
(config)#priority-list 表號 protocol 協議 high/medium/normal/low tcp/udp 服務埠號
//基於TCP/UDP埠指定優先順序
(config)#priority-list 表號 protocol 協議 high/medium/normal/low tcp/udp 服務埠號
//基於TCP/UDP埠指定優先順序
priority-list 1 protocol ip high tcp 25
priority-list 1 protocol ip low udp 69
格式五:
(config)#priority-list 表號 default high/medium/normal/low
//為“與優先順序列表中的定義不匹配”的資料,配置預設佇列
(config)#priority-list 表號 default high/medium/normal/low
//為“與優先順序列表中的定義不匹配”的資料,配置預設佇列
priority-list 1 protocol ip high tcp 25
priority-list 1 default normal
priority-list 1 default normal
調整佇列的容量:
(config)#priority-list 表號 queue-limit 值1 值2 值3 值4
//上述4個值,依次表示高、中、普通、低優先順序佇列的容量
把優先順序列表應用到埠:
4)基於類的加權公平佇列:
1>機制:先對資料進行分類,然後把不同類的資料放入不同佇列,之後定義佇列的屬性,根據佇列屬性傳輸資料
2>配置:
步驟:
第一步:定義class-map,對資料進行分類
(config)#class-map 名
(config-cmap)#match 條件
//條件: access-group 訪問控制列表 //基於訪問控制列表,對資料進行分類
input-interface 埠 //基於資料的接收埠,對資料進行分類
protocol 協議 //基於協議,對資料進行分類
1>機制:先對資料進行分類,然後把不同類的資料放入不同佇列,之後定義佇列的屬性,根據佇列屬性傳輸資料
2>配置:
步驟:
第一步:定義class-map,對資料進行分類
(config)#class-map 名
(config-cmap)#match 條件
//條件: access-group 訪問控制列表 //基於訪問控制列表,對資料進行分類
input-interface 埠 //基於資料的接收埠,對資料進行分類
protocol 協議 //基於協議,對資料進行分類
第二步:定義佇列屬性,並指明不同類資料所對應的佇列:
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#bandwidth 頻寬(單位是Kbps) //指定頻寬
(config-pmap-c)#priority 值 //指定優先順序
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#bandwidth 頻寬(單位是Kbps) //指定頻寬
(config-pmap-c)#priority 值 //指定優先順序
第三步:應用佇列屬性:
(config)#int 埠(資料的流出埠)
(config-if)#service-policy output 名1
(config)#int 埠(資料的流出埠)
(config-if)#service-policy output 名1
舉例:
第一步:
class-map aa
match access-group 2
class-map bb
match access-group 3
第一步:
class-map aa
match access-group 2
class-map bb
match access-group 3
第二步:
policy-map cc
class aa
bandwidth 64
priority 16
policy-map cc
class aa
bandwidth 64
priority 16
class bb
bandwidth 32
priority 8
bandwidth 32
priority 8
第三步:
int s1/0
service-policy output cc
int s1/0
service-policy output cc
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 3 permit 192.168.20.0 0.0.0.255
4,流量優先化:(交換機上的配置)
1)機制:通過檢視二層封裝中的CoS或三層封裝中的ToS,決定資料的傳輸順序
2)CoS(服務分類):
1>CoS是資料封裝中的一個欄位,該欄位可以決定資料的傳輸順序
2>CoS封裝中,各值的含義:
0:盡力傳輸
1:中優先順序資料
2:高優先順序資料
3:呼叫訊號
4:視訊訊號
5:語音訊號
6:保留
7:保留
值越大,優先順序越高
1)機制:通過檢視二層封裝中的CoS或三層封裝中的ToS,決定資料的傳輸順序
2)CoS(服務分類):
1>CoS是資料封裝中的一個欄位,該欄位可以決定資料的傳輸順序
2>CoS封裝中,各值的含義:
0:盡力傳輸
1:中優先順序資料
2:高優先順序資料
3:呼叫訊號
4:視訊訊號
5:語音訊號
6:保留
7:保留
值越大,優先順序越高
3)ToS(服務型別):
DSCP:差分服務程式碼點
1>ToS是三層資料封裝中的一個欄位,該欄位可以決定資料的傳輸順序
2>封裝值越大,越優先
1>ToS是三層資料封裝中的一個欄位,該欄位可以決定資料的傳輸順序
2>封裝值越大,越優先
4)具體配置:
1>對流量進行分類:
(config)#class-map [match-any / match-all] 名
//match-any:符合任一條件
match-all:符合所有條件
(config-cmap)#match 條件
//條件:
access-group name 訪問列表表名 //符合訪問控制列表
ip dscp 值 //符合差分服務程式碼點
ip precedence 值 //符合IP優先權
destination-address IP地址 //符合目的IP地址
source-address IP地址 //符合源IP地址
vlan VLAN號 //符合指定VLAN
input-interface 埠 //符合資料的流入埠
protocol 協議 //符合協議
2>定義策略,對分類的資料進行處理
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#動作
//動作:
bandwidth 頻寬 //指定頻寬
set ip dscp 值 //指定查分服務程式碼點
set ip pricedence 值 //指定IP優先權
trust cos //信任Cos
trust dscp //信任差分服務程式碼點
ip-precedence //信任IP優先權
1>對流量進行分類:
(config)#class-map [match-any / match-all] 名
//match-any:符合任一條件
match-all:符合所有條件
(config-cmap)#match 條件
//條件:
access-group name 訪問列表表名 //符合訪問控制列表
ip dscp 值 //符合差分服務程式碼點
ip precedence 值 //符合IP優先權
destination-address IP地址 //符合目的IP地址
source-address IP地址 //符合源IP地址
vlan VLAN號 //符合指定VLAN
input-interface 埠 //符合資料的流入埠
protocol 協議 //符合協議
2>定義策略,對分類的資料進行處理
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#動作
//動作:
bandwidth 頻寬 //指定頻寬
set ip dscp 值 //指定查分服務程式碼點
set ip pricedence 值 //指定IP優先權
trust cos //信任Cos
trust dscp //信任差分服務程式碼點
ip-precedence //信任IP優先權
3>把策略應用到埠:
(config-if)#service-policy input/output 名1
(config-if)#service-policy input/output 名1
舉例:
第一步:
class-map match-any aa
match destination-address 192.168.20.1
match input-interface fa0/0
第一步:
class-map match-any aa
match destination-address 192.168.20.1
match input-interface fa0/0
class-map match-any dd
match source-address 192.168.10.1
match source-address 192.168.10.1
第二步:
policy-map bb
class aa
set ip dscp 4
trust dscp
policy-map bb
class aa
set ip dscp 4
trust dscp
class dd
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb
5, 以太通道:把多條物理鏈路聚合成一條邏輯鏈路,以實現鏈路的冗餘和負載均衡
1)應用場合:核心交換機之間
2)邏輯鏈路中最多放8條物理鏈路,可以提供10M–160G的速率
3)以太通道設計原則:
4)以太通道協議:
1>PAgP(埠聚合協議):Cisco私有協議;把“近似配置”的埠放入以太通道
PAgP的模式:
on(強制埠進入以太通道)
off(阻止埠進入以太通道)
auto(被動協商埠,預設設定)
desirable(主動協商埠)
2>LACP(鏈路聚合控制協議):通用協議;把“近似配置”的埠放入以太通道
LACP的模式:
on(強制埠進入以太通道)
off(阻止埠進入以太通道)
passive(被動協商埠,預設設定)
active(主動協商埠)
LACP的模式:
on(強制埠進入以太通道)
off(阻止埠進入以太通道)
passive(被動協商埠,預設設定)
active(主動協商埠)
5)負載均衡策略:
基於源地址做負載均衡
基於目的地址做負載均衡
基於源和目的地址做負載均衡
基於源地址做負載均衡
基於目的地址做負載均衡
基於源和目的地址做負載均衡
6)配置:
1>建立以太通道:
(config)#interface port-channel 通道號
(config-if)#ip address IP地址 掩碼
2>向以太通道中放入物理埠
(config)#interface 物理埠
(config-if)#channel-protocol pagp/lacp
(config-if)#channel-group 通道號 mode on/off/desirable/auto/active/passive
3>定義負載均衡策略:
(config)#port-channel load balance src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
1>建立以太通道:
(config)#interface port-channel 通道號
(config-if)#ip address IP地址 掩碼
2>向以太通道中放入物理埠
(config)#interface 物理埠
(config-if)#channel-protocol pagp/lacp
(config-if)#channel-group 通道號 mode on/off/desirable/auto/active/passive
3>定義負載均衡策略:
(config)#port-channel load balance src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
提示:兩臺二層交換機之間的以太通道,不需要配置IP地址和掩碼
兩臺三…………………., 需要配置IP地址和掩碼,做法是:
(config)#interface port-channel 通道號
(config-if)#no switchport
(config-if)#ip address IP地址 掩碼
兩臺三…………………., 需要配置IP地址和掩碼,做法是:
(config)#interface port-channel 通道號
(config-if)#no switchport
(config-if)#ip address IP地址 掩碼
安全措施:
安全:通過“驗證、過濾、密碼”等手段保證裝置及網路的安全
一、密碼:
一、密碼:
二、驗證:
三,過濾:訪問控制列表(ACL)
1,基於“表號”的ACL:
1)基本表:通過“源地址”處理包
配置:
(config)#access-list 表號 deny/permit 源IP 源匹配碼
//表號: 1–99或 1300—1999
(config-if)#ip access-group 表號 in/out
1,基於“表號”的ACL:
1)基本表:通過“源地址”處理包
配置:
(config)#access-list 表號 deny/permit 源IP 源匹配碼
//表號: 1–99或 1300—1999
(config-if)#ip access-group 表號 in/out
2)擴充套件表:通過“源地址”、“目的地址”、“協議”、“服務”處理包
配置:
(config)#access-list 表號 deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 引數 服務名/埠號
//表號:100—199 或 2000—2699
(config-if)#ip access-group 表號 in/out
配置:
(config)#access-list 表號 deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 引數 服務名/埠號
//表號:100—199 或 2000—2699
(config-if)#ip access-group 表號 in/out
提示:以“表號”為主的ACL,只能建立、刪除,不能修改
2,基於“表名”的ACL:
1)基本表:通過“源地址”處理包
配置
(config)#ip access-list standard 表名
(config-std-nacl)# deny/permit 源IP 源匹配碼
1)基本表:通過“源地址”處理包
配置
(config)#ip access-list standard 表名
(config-std-nacl)# deny/permit 源IP 源匹配碼
刪除表中語句:
(config)#ip access-list standard 表名
(config-std-nacl)# no deny/permit 源IP 源匹配碼
(config)#ip access-list standard 表名
(config-std-nacl)# no deny/permit 源IP 源匹配碼
向表中新增語句:
(config)#ip access-list standard 表名
(config-std-nacl)#序列號 deny/permit 源IP 源匹配碼
(config-std-nacl)#序列號 deny/permit 源IP 源匹配碼
應用表:
(config-if)#ip access-group 表名 in/out
(config-if)#ip access-group 表名 in/out
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.10.0 0.0.0.255
2)擴充套件表:通過“源地址”、“目的地址”、“協議”、“服務”處理包
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 引數 服務名/埠號
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 引數 服務名/埠號
應用表:
(config-if)#ip access-group 表名 in/out
(config-if)#ip access-group 表名 in/out
提示:以“表名”為主的ACL,可以建立、刪除、修改
3,ACL的”註釋”
1)以表號為主的ACL:
(config)#access-list 表號 remark 註釋文字
1)以表號為主的ACL:
(config)#access-list 表號 remark 註釋文字
2)以表名為主的ACL:
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 註釋文字
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 註釋文字
2>擴充套件表
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 註釋文字
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 註釋文字
本文轉自shenleigang 51CTO部落格,原文連結:http://blog.51cto.com/shenleigang/167599,如需轉載請自行聯絡原作者
相關文章
- 網路效能優化常用方法優化
- 九、Android效能優化之網路優化Android優化
- Android 效能優化(八)之網路優化Android優化
- IM推送保障及網路優化詳解(三):如何在弱網環境下優化大資料傳輸優化大資料
- iOS效能優化 - 網路圖片載入優化iOS優化
- 如何保障“網際網路+”時代網路資料安全?
- 如何保障無線網路的安全
- 應對網路犯罪的最佳保障是視覺化、優化與控制視覺化優化
- [譯] JavaScript 是如何工作的:深入網路層 + 如何優化效能和安全JavaScript優化
- Nginx安全優化與效能調優Nginx優化
- web下的效能優化1(網路方向)Web優化
- 工信部將發網際網路域名管理辦法保障網路安全
- 智慧攝像機的網路安全如何保障?
- 網站效能優化網站優化
- 網頁效能優化網頁優化
- IM推送保障及網路優化詳解(二):如何做長連線加推送組合方案優化
- HTML5 網路拓撲圖效能優化HTML優化
- 現代移動端網路短連線的優化手段總結:請求速度、弱網適應、安全保障優化
- 千萬併發連線下,如何保障網路效能
- 智慧安全3.0助力高校網路安全保障體系建設
- iOS 網路最佳化:iOS 14 網路層效能和安全性iOS
- Apache網頁優化與安全優化Apache網頁優化
- 網路安全保障為何仍處尷尬期?
- 智慧安全3.0引領,構建工業網際網路安全保障體系
- 網際網路絡安全、資訊保安、計算機網路安全、資訊保障有什麼區別?計算機網路
- Java 效能優化技巧及實戰Java優化
- 自主可控是保障網路安全的關鍵基礎
- 幾個tips,教你如何保障自己的網路安全?
- 保障金融無線網路安全從“頭”開始
- 網路安全沒保障40%多英國人不敢網上購物
- 效能優化之關於畫素管道及優化(二)優化
- iOS 網路優化iOS優化
- HTML5 電信網路拓撲圖效能優化HTML優化
- 攜程App網路服務通道治理和效能優化APP優化
- 前端面試題(五)(安全、效能優化)前端面試題優化
- 【前端效能優化】vue效能優化前端優化Vue
- 綠盟科技獲2020年寧夏網路安全保障優秀支撐單位
- 淺談網站效能之前端效能優化網站前端優化