01.網(wǎng)絡(luò)中路由的性能和安全問(wèn)題

1、,,BSCI v3.0—2-1,部署IPv4路由重發(fā)布,網(wǎng)絡(luò)中路由的性能和安全問(wèn)題,,,影響網(wǎng)絡(luò)性能的常見(jiàn)因素,? 影響CPU的路由因素包括：,– 路由信息更新量的大小– 路由信息更新的頻率– 設(shè)計(jì)的缺陷,– 存在route-map或過(guò)濾器? 不正確地配置路由過(guò)濾,? 在同一個(gè)自治系統(tǒng)不同范圍中運(yùn)行不同的協(xié)議,– 接收路由更新的路由協(xié)議進(jìn)程數(shù)量,,,路由更新,? 影響CPU使用率的路由更新的因素包括：,– 路由信息更新

2、量的大小– 路由更新的頻率– 差的設(shè)計(jì),,,過(guò)濾路由更新,? 路由更新過(guò)濾將影響網(wǎng)絡(luò)性能? 確保路由過(guò)濾配置正確,,,運(yùn)行多種路由協(xié)議,? 你可以在同一個(gè)自治系統(tǒng)不同范圍中運(yùn)行不同路由協(xié)議– 若同一時(shí)刻收到多個(gè)路由協(xié)議進(jìn)程的更新，性能將受到影響,,,控制路由更新,? 設(shè)計(jì)變更,– 限制使用的路由協(xié)議數(shù)量,? 被動(dòng)接口,? 結(jié)合過(guò)濾進(jìn)行路由重分發(fā)– Access list（訪問(wèn)列表）– Prefix list

3、（前綴列表）,– Distribute list（分發(fā)列表）,– Route map,,,使用路由過(guò)濾,? 路由器建立鄰居關(guān)系,? 鄰居路由器間交換路由更新信息,– 使用路由過(guò)濾來(lái)控制路由信息的發(fā)布和接收,,,使用分發(fā)列表控制路由更新,,,配置分發(fā)列表進(jìn)行過(guò)濾的步驟,? 使用以下2種方式定義過(guò)濾需求（允許或拒絕路由信息）：,– 配置訪問(wèn)列表（ACL）– 配置route map,? 配置分發(fā)列表（使用ACL或route map）

4、,– 應(yīng)用到入口或出口更新,,,配置分發(fā)列表進(jìn)行過(guò)濾,? 分發(fā)列表過(guò)程能夠用于發(fā)送、接收或重發(fā)布路由信息時(shí)。,? 從OSPF重發(fā)布到RIP的路由信息根據(jù)ACL 10進(jìn)行過(guò)濾,? EIGRP 100從S0接口學(xué)習(xí)的路由更新信息根據(jù)ACL 7進(jìn)行過(guò)濾,,,使用分發(fā)列表過(guò)濾路由更新,? 路由器R2從S0接口通告的EIGRP路由不包括10.0.0.0。,,,使用分發(fā)列表控制重發(fā)布,,,IP前綴過(guò)濾器,? 傳統(tǒng)IP前綴過(guò)濾器使用dist

5、ribute-list結(jié)合IP訪問(wèn)列表來(lái)實(shí)現(xiàn)。? 前綴列表：,– 與ACL對(duì)比具有更好的性能– 更友好的命令行界面,,,使用前綴列表控制重發(fā)布,,,前綴列表匹配規(guī)則? 匹配某個(gè)特定前綴長(zhǎng)度? 匹配一個(gè)范圍– 使用ge– 使用le– 使用ge和le? 匹配過(guò)程考慮子網(wǎng)掩碼? 示例：,– 192.168.1.0/24– 192.168.1.0/24 ge 28–

6、 192.168.1.0/24 le 28,匹配路由192.168.1.0/24匹配前24比特為192.168.1，且子網(wǎng)掩碼大于等于28、小于等于32的所有路由匹配前24比特為192.168.1，且子網(wǎng)掩碼,大于等于24、小于等于28的所有路由– 192.168.1.0/24 ge 26 le 28 匹配前24比特為192.168.1，且子網(wǎng)掩碼大于等于26、小于等于28的所有路由,,,不使用le或ge時(shí)前綴列表的匹配

7、? 以下哪些前綴(即路由)能夠匹配？,– 192.168.0.0/16– 192.168.0.0/20– 192.168.2.0/24,匹配不匹配不匹配,,,使用le或ge時(shí)前綴列表的匹配? 以下哪些前綴(即路由)能夠匹配？,– 192.168.0.0/16– 192.168.0.0/17– 192.168.0.0/20– 192.168.0.0/2

8、5,匹配List1，不匹配List2匹配List1，不匹配List2匹配List1，匹配List2不匹配List1，匹配List2,,,示例：前綴列表,哪些路由能夠匹配以下前綴列表？,1、ip prefix-list A permit 0.0.0.0/0 ge 322、ip prefix-list B permit 128.0.0.0/2 ge 173、ip prefix-list C permit 0.0.0.0/0 le

9、324、ip prefix-list D permit 0.0.0.0/0,5、ip prefix-list E permit 0.0.0.0/1 le 24,注：,1）前綴列表A匹配所有的主機(jī)路由（即掩碼為32的所有路由）,2）前綴列表B匹配所有掩碼大于等于17且小于等于32的B類地址段路由3）前綴列表C匹配所有路由4）前綴列表D匹配缺省路由,5）前綴列表E匹配所有掩碼大于等于1且小于等于24的A類地址段路由,,,Route M

10、ap,? Route map類似于一種腳本語(yǔ)言：,– 與ACL工作類似，但是能夠?qū)崿F(xiàn)更復(fù)雜的功能。? 按照從上到下(根據(jù)規(guī)則號(hào)從小到大)的順序處理? 一旦在某個(gè)規(guī)則中匹配，則不再繼續(xù)檢查后續(xù)規(guī)則,– 每個(gè)規(guī)則有不同的序號(hào)，便于修改,? 新規(guī)則的插入? 舊規(guī)則的刪除,– Route map是命名的，而不是采用編號(hào)，便于文檔化,– 在每個(gè)規(guī)則中可以使用match(匹配)和set(設(shè)置)語(yǔ)句；與腳本語(yǔ),言中的if-the

11、n邏輯類似,,,Route Map的應(yīng)用,Route map的應(yīng)用包括：,? 路由重發(fā)布時(shí)進(jìn)行路由過(guò)濾,– 是一種比distribute-list功能更復(fù)雜的過(guò)濾工具? 基于策略的路由(Policy-Based Routing，PBR),– 能夠讓路由器根據(jù)? 實(shí)施BGP路由策略,– 定義BGP路由策略的主要工具,,,Route Map的運(yùn)作,? Route map由一些規(guī)則列表構(gòu)成,? 這些規(guī)則列表按照從上至下的順序處理

12、，與ACL類似? 查找到第一個(gè)匹配的規(guī)則就不再繼續(xù)查找,? Route map的規(guī)則使用序號(hào)來(lái)區(qū)分，便于規(guī)則的插入或刪除,,,Route Map的運(yùn)作(續(xù)),? match語(yǔ)句可以包含多個(gè)應(yīng)用,? 同一行match語(yǔ)句中存在多條條件：“或”的關(guān)系,– 只要匹配其中一個(gè)條件即可,? 不同行match語(yǔ)句：“與”的關(guān)系,– 必須匹配所有的條件,,,配置Route Map的步驟,? 定義route map的條件,– 定義匹配的

13、條件,– 定義匹配后的動(dòng)作,? 應(yīng)用route-map到正確的位置,– 實(shí)現(xiàn)PBR：應(yīng)用到接口,– 結(jié)合路由重發(fā)布來(lái)過(guò)濾路由：應(yīng)用在路由協(xié)議下的路由重發(fā)布,,,配置Route Map,? 定義名為MyRouteMap的route map,? 使用前綴列表MyList來(lái)進(jìn)行匹配,? 定義相應(yīng)的動(dòng)作為通過(guò)Ethernet0接口轉(zhuǎn)發(fā)報(bào)文,,,在接口上應(yīng)用Route map,? 在接口上應(yīng)用名為MyRouteMap的route map

14、，用來(lái)實(shí)現(xiàn)基于策略,的路由,– 從該接口收到的IP報(bào)文，可以不根據(jù)目的IP地址查找IP路由表，,而是根據(jù)MyRouteMap定義的規(guī)則來(lái)確定如何轉(zhuǎn)發(fā),,,使用Route Map控制路由重發(fā)布的配置步驟,? 定義route map– 定義匹配的條件,– 定義匹配后的動(dòng)作,? 在路由重發(fā)布時(shí)使用route-map,,,路由重發(fā)布中使用Route map,? 定義route map，用于路由重發(fā)布,? 配置將RIP路由重發(fā)布到E

15、IGRP時(shí)使用route map進(jìn)行過(guò)濾,,,示例：Route map和路由重發(fā)布,? 匹配ACL 23或29的路由重發(fā)布到OSPF時(shí)，設(shè)置cost為500，設(shè)置,為第一類外部路由(E1),? 匹配ACL 37的路由不會(huì)被重發(fā)布到OSPF中,? 所有其他路由重發(fā)布到OSPF時(shí)，設(shè)置cost為5000，設(shè)置為第二類,外部路由(E2),,,過(guò)濾路由更新,,,被動(dòng)接口(Passive Interface),? 路由器可能有很多接口,–

16、 并非所有接口都允許發(fā)送或接收路由更新? 可以在某些接口上啟用抑制路由更新的功能? 被動(dòng)接口應(yīng)用于：,– 抑制某個(gè)接口的路由更新– 抑制所有接口的路由更新,? 不同路由協(xié)議有不同的規(guī)則：,– OSPF：該接口無(wú)法建立鄰居，既發(fā)送但不接收hello– EIGRP：該接口無(wú)法建立鄰居，既不發(fā)送也不接收hello– RIP：該接口不能發(fā)送路由更新信息，但是可以接收,,,使用passive-interface命令,,,總結(jié),?

17、 網(wǎng)絡(luò)性能問(wèn)題的常見(jiàn)原因包括：發(fā)送大量的路由更新、在同一個(gè)自,治系統(tǒng)不同范圍中運(yùn)行多種路由協(xié)議、路由過(guò)濾配置錯(cuò)誤等。,? 分發(fā)列表使用ACL或route map來(lái)定義哪些路由時(shí)被允許或拒絕。? distribute-list命令允許基于入接口、出接口來(lái)過(guò)濾路由信息，也,可以在路由重發(fā)布時(shí)進(jìn)行過(guò)濾。,? 與傳統(tǒng)使用ACL來(lái)過(guò)濾路由相比，IP前綴列表能夠?qū)崿F(xiàn)更復(fù)雜的過(guò),濾，并且效率更高。,? 前綴列表匹配過(guò)程考慮了路由的

18、子網(wǎng)掩碼。過(guò)濾器可以精確匹配前,綴長(zhǎng)度、也可以使用ge和le來(lái)匹配某個(gè)范圍的前綴長(zhǎng)度。,,,總結(jié)(續(xù)),? Route map是一種復(fù)雜的ACL，它能夠使用match命令來(lái)匹配報(bào)文或路由。若條件匹配，則根據(jù)指定的set命令來(lái)更改報(bào)文或路由的屬性。,? 在進(jìn)行路由重發(fā)布過(guò)濾時(shí)，route-map命令在路由協(xié)議下的,redistribute命令后添加。,? 使用route map過(guò)濾路由更新信息時(shí)，能夠針對(duì)入、出的路由信