《网络中路由的性能和安全问题PPT课件》由会员分享,可在线阅读,更多相关《网络中路由的性能和安全问题PPT课件(32页珍藏版)》请在装配图网上搜索。
1、路由更新 影响CPU使用率的路由更新的因素包括: 路由信息更新量的大小 路由更新的频率 差的设计第1页/共32页过滤路由更新 路由更新过滤将影响网络性能 确保路由过滤配置正确第2页/共32页运行多种路由协议 你可以在同一个自治系统不同范围中运行不同路由协议 若同一时刻收到多个路由协议进程的更新,性能将受到影响第3页/共32页控制路由更新 设计变更 限制使用的路由协议数量 被动接口 结合过滤进行路由重分发 Access list(访问列表) Prefix list(前缀列表) Distribute list(分发列表) Route map第4页/共32页使用路由过滤 路由器建立邻居关系 邻居路由
2、器间交换路由更新信息 使用路由过滤来控制路由信息的发布和接收第5页/共32页使用分发列表控制路由更新第6页/共32页配置分发列表进行过滤的步骤 使用以下2种方式定义过滤需求(允许或拒绝路由信息): 配置访问列表(ACL) 配置route map 配置分发列表(使用ACL或route map) 应用到入口或出口更新第7页/共32页配置分发列表进行过滤 分发列表过程能够用于发送、接收或重发布路由信息时。 从OSPF重发布到RIP的路由信息根据ACL 10进行过滤 EIGRP 100从S0接口学习的路由更新信息根据ACL 7进行过滤第8页/共32页使用分发列表过滤路由更新 路由器R2从S0接口通告的
3、EIGRP路由不包括。第9页/共32页使用分发列表控制重发布第10页/共32页IP前缀过滤器 传统IP前缀过滤器使用distribute-list结合IP访问列表来实现。 前缀列表: 与ACL对比具有更好的性能 更友好的命令行界面第11页/共32页使用前缀列表控制重发布第12页/共32页前缀列表匹配规则 匹配某个特定前缀长度 匹配一个范围 使用ge 使用le 使用ge和le 匹配过程考虑子网掩码 示例: 匹配路由匹配前24比特为,且子网掩码大于等于28、小于等于32的所有路由匹配前24比特为,且子网掩码大于等于24、小于等于28的所有路由 匹配前24比特为,且子网掩码大于等于26、小于等于28
4、的所有路由第13页/共32页不使用le或ge时前缀列表的匹配 以下哪些前缀(即路由)能够匹配? 匹配不匹配不匹配第14页/共32页使用le或ge时前缀列表的匹配 以下哪些前缀(即路由)能够匹配? 匹配List1,不匹配List2匹配List1,不匹配List2匹配List1,匹配List2不匹配List1,匹配List2第15页/共32页示例:前缀列表哪些路由能够匹配以下前缀列表?1、2、3、4、5、注:1)前缀列表A匹配所有的主机路由(即掩码为32的所有路由)2)前缀列表B匹配所有掩码大于等于17且小于等于32的B类地址段路由3)前缀列表C匹配所有路由4)前缀列表D匹配缺省路由5)前缀列表E
5、匹配所有掩码大于等于1且小于等于24的A类地址段路由第16页/共32页Route Map Route map类似于一种脚本语言: 与ACL工作类似,但是能够实现更复杂的功能。 按照从上到下(根据规则号从小到大)的顺序处理 一旦在某个规则中匹配,则不再继续检查后续规则 每个规则有不同的序号,便于修改 新规则的插入 旧规则的删除 Route map是命名的,而不是采用编号,便于文档化 在每个规则中可以使用match(匹配)和set(设置)语句;与脚本语言中的if-then逻辑类似第17页/共32页Route Map的应用Route map的应用包括: 路由重发布时进行路由过滤 是一种比distri
6、bute-list功能更复杂的过滤工具 基于策略的路由(Policy-Based Routing,PBR) 能够让路由器根据 实施BGP路由策略 定义BGP路由策略的主要工具第18页/共32页Route Map的运作 Route map由一些规则列表构成 这些规则列表按照从上至下的顺序处理,与ACL类似 查找到第一个匹配的规则就不再继续查找 Route map的规则使用序号来区分,便于规则的插入或删除第19页/共32页Route Map的运作(续) match语句可以包含多个应用 同一行match语句中存在多条条件:“或”的关系 只要匹配其中一个条件即可 不同行match语句:“与”的关系 必
7、须匹配所有的条件第20页/共32页配置Route Map的步骤 定义route map的条件 定义匹配的条件 定义匹配后的动作 应用route-map到正确的位置 实现PBR:应用到接口 结合路由重发布来过滤路由:应用在路由协议下的路由重发布第21页/共32页配置Route Map 定义名为MyRouteMap的route map 使用前缀列表MyList来进行匹配 定义相应的动作为通过Ethernet0接口转发报文第22页/共32页在接口上应用Route map 在接口上应用名为MyRouteMap的route map,用来实现基于策略的路由 从该接口收到的IP报文,可以不根据目的IP地址查
8、找IP路由表,而是根据MyRouteMap定义的规则来确定如何转发第23页/共32页使用Route Map控制路由重发布的配置步骤 定义route map 定义匹配的条件 定义匹配后的动作 在路由重发布时使用route-map第24页/共32页路由重发布中使用Route map 定义route map,用于路由重发布 配置将RIP路由重发布到EIGRP时使用route map进行过滤第25页/共32页示例:Route map和路由重发布 匹配ACL 23或29的路由重发布到OSPF时,设置cost为500,设置为第一类外部路由(E1) 匹配ACL 37的路由不会被重发布到OSPF中 所有其他路
9、由重发布到OSPF时,设置cost为5000,设置为第二类外部路由(E2)第26页/共32页过滤路由更新第27页/共32页被动接口(Passive Interface) 路由器可能有很多接口 并非所有接口都允许发送或接收路由更新 可以在某些接口上启用抑制路由更新的功能 被动接口应用于: 抑制某个接口的路由更新 抑制所有接口的路由更新 不同路由协议有不同的规则: OSPF:该接口无法建立邻居,既发送但不接收hello EIGRP:该接口无法建立邻居,既不发送也不接收hello RIP:该接口不能发送路由更新信息,但是可以接收第28页/共32页使用passive-interface命令第29页/共
10、32页总结 网络性能问题的常见原因包括:发送大量的路由更新、在同一个自治系统不同范围中运行多种路由协议、路由过滤配置错误等。 分发列表使用ACL或route map来定义哪些路由时被允许或拒绝。 distribute-list命令允许基于入接口、出接口来过滤路由信息,也可以在路由重发布时进行过滤。 与传统使用ACL来过滤路由相比,IP前缀列表能够实现更复杂的过滤,并且效率更高。 前缀列表匹配过程考虑了路由的子网掩码。过滤器可以精确匹配前缀长度、也可以使用ge和le来匹配某个范围的前缀长度。第30页/共32页总结(续) Route map是一种复杂的ACL,它能够使用match命令来匹配报文或路由。若条件匹配,则根据指定的set命令来更改报文或路由的属性。 在进行路由重发布过滤时,route-map命令在路由协议下的redistribute命令后添加。 使用route map过滤路由更新信息时,能够针对入、出的路由信息进行过滤。对于匹配的路由能通过set命令更改或设置相关属性。 配置被动接口能够抑制某个指定接口或所有接口的路由更新。第31页/共32页感谢您的观看。第32页/共32页
网络中路由的性能和安全问题PPT课件
