1、網(wǎng)絡(luò)中路由的性能網(wǎng)絡(luò)中路由的性能(xngnng)和安全問(wèn)題和安全問(wèn)題第一頁(yè)，共32頁(yè)。路由更新(gngxn) 影響(yngxing)CPU使用率的路由更新的因素包括： 路由信息更新量的大小 路由更新的頻率(pnl) 差的設(shè)計(jì)第1頁(yè)/共32頁(yè)第二頁(yè)，共32頁(yè)。過(guò)濾(gul)路由更新 路由更新過(guò)濾(gul)將影響網(wǎng)絡(luò)性能 確保路由過(guò)濾(gul)配置正確第2頁(yè)/共32頁(yè)第三頁(yè)，共32頁(yè)。運(yùn)行(ynxng)多種路由協(xié)議 你可以在同一個(gè)自治系統(tǒng)不同范圍中運(yùn)行不同路由協(xié)議 若同一時(shí)刻收到多個(gè)(du )路由協(xié)議進(jìn)程的更新，性能將受到影響第3頁(yè)/共32頁(yè)第四頁(yè)，共32頁(yè)。控制(kngzh)路由更新 設(shè)計(jì)變更

2、限制使用(shyng)的路由協(xié)議數(shù)量 被動(dòng)(bidng)接口 結(jié)合過(guò)濾進(jìn)行路由重分發(fā) Access list（訪問(wèn)列表） Prefix list（前綴列表） Distribute list（分發(fā)列表） Route map第4頁(yè)/共32頁(yè)第五頁(yè)，共32頁(yè)。使用(shyng)路由過(guò)濾 路由器建立(jinl)鄰居關(guān)系 鄰居路由器間交換路由更新(gngxn)信息 使用路由過(guò)濾來(lái)控制路由信息的發(fā)布和接收第5頁(yè)/共32頁(yè)第六頁(yè)，共32頁(yè)。使用分發(fā)(fnf)列表控制路由更新第6頁(yè)/共32頁(yè)第七頁(yè)，共32頁(yè)。配置分發(fā)(fnf)列表進(jìn)行過(guò)濾的步驟 使用以下2種方式定義過(guò)濾需求(xqi)（允許或拒絕路由信息）：

3、配置(pizh)訪問(wèn)列表（ACL） 配置(pizh)route map 配置分發(fā)列表（使用ACL或route map） 應(yīng)用到入口或出口更新第7頁(yè)/共32頁(yè)第八頁(yè)，共32頁(yè)。配置分發(fā)(fnf)列表進(jìn)行過(guò)濾 分發(fā)列表過(guò)程能夠(nnggu)用于發(fā)送、接收或重發(fā)布路由信息時(shí)。 從OSPF重發(fā)布到RIP的路由信息(xnx)根據(jù)ACL 10進(jìn)行過(guò)濾 EIGRP 100從S0接口學(xué)習(xí)的路由更新信息根據(jù)ACL 7進(jìn)行過(guò)濾第8頁(yè)/共32頁(yè)第九頁(yè)，共32頁(yè)。使用(shyng)分發(fā)列表過(guò)濾路由更新 路由器R2從S0接口通告(tnggo)的EIGRP路由不包括。第9頁(yè)/共32頁(yè)第十頁(yè)，共32頁(yè)。使用分發(fā)列表控制(k

4、ngzh)重發(fā)布第10頁(yè)/共32頁(yè)第十一頁(yè)，共32頁(yè)。IP前綴前綴(qinzhu)過(guò)濾器過(guò)濾器 傳統(tǒng)IP前綴過(guò)濾器使用(shyng)distribute-list結(jié)合IP訪問(wèn)列表來(lái)實(shí)現(xiàn)。 前綴列表： 與ACL對(duì)比(dub)具有更好的性能 更友好的命令行界面第11頁(yè)/共32頁(yè)第十二頁(yè)，共32頁(yè)。使用前綴列表(li bio)控制重發(fā)布第12頁(yè)/共32頁(yè)第十三頁(yè)，共32頁(yè)。前綴列表匹配規(guī)則 匹配某個(gè)特定(tdng)前綴長(zhǎng)度 匹配一個(gè)范圍 使用ge 使用le 使用ge和le 匹配過(guò)程考慮子網(wǎng)掩碼 示例： 匹配路由匹配前24比特為，且子網(wǎng)掩碼大于等于(dngy)28、小于等于(dngy)32的所有路由匹

5、配前24比特為，且子網(wǎng)掩碼大于等于24、小于等于28的所有路由 匹配(ppi)前24比特為，且子網(wǎng)掩碼大于等于26、小于等于28的所有路由第13頁(yè)/共32頁(yè)第十四頁(yè)，共32頁(yè)。不使用le或ge時(shí)前綴列表的匹配 以下哪些(nxi)前綴(即路由)能夠匹配？ 匹配(ppi)不匹配(ppi)不匹配(ppi)第14頁(yè)/共32頁(yè)第十五頁(yè)，共32頁(yè)。使用le或ge時(shí)前綴列表的匹配 以下哪些(nxi)前綴(即路由)能夠匹配？ 匹配(ppi)List1，不匹配(ppi)List2匹配(ppi)List1，不匹配(ppi)List2匹配(ppi)List1，匹配(ppi)List2不匹配(ppi)List1，匹配

6、(ppi)List2第15頁(yè)/共32頁(yè)第十六頁(yè)，共32頁(yè)。示例：前綴(qinzhu)列表哪些路由能夠匹配(ppi)以下前綴列表？1、2、3、4、5、注：1）前綴）前綴(qinzhu)列表列表A匹配所有的主機(jī)路由（即掩碼為匹配所有的主機(jī)路由（即掩碼為32的所有路由）的所有路由）2）前綴列表B匹配所有掩碼大于等于17且小于等于32的B類(lèi)地址段路由3）前綴列表C匹配所有路由4）前綴列表D匹配缺省路由5）前綴列表E匹配所有掩碼大于等于1且小于等于24的A類(lèi)地址段路由第16頁(yè)/共32頁(yè)第十七頁(yè)，共32頁(yè)。Route Map Route map類(lèi)似(li s)于一種腳本語(yǔ)言： 與ACL工作類(lèi)似，但是能夠?qū)?/p>

7、現(xiàn)更復(fù)雜的功能。 按照從上到下(根據(jù)規(guī)則號(hào)從小到大)的順序處理 一旦在某個(gè)(mu )規(guī)則中匹配，則不再繼續(xù)檢查后續(xù)規(guī)則 每個(gè)規(guī)則有不同的序號(hào)，便于(biny)修改 新規(guī)則的插入 舊規(guī)則的刪除 Route map是命名的，而不是采用編號(hào)，便于文檔化 在每個(gè)規(guī)則中可以使用match(匹配)和set(設(shè)置)語(yǔ)句；與腳本語(yǔ)言中的if-then邏輯類(lèi)似第17頁(yè)/共32頁(yè)第十八頁(yè)，共32頁(yè)。Route Map的應(yīng)用的應(yīng)用(yngyng)Route map的應(yīng)用的應(yīng)用(yngyng)包括：包括： 路由重發(fā)布時(shí)進(jìn)行(jnxng)路由過(guò)濾 是一種比distribute-list功能更復(fù)雜的過(guò)濾工具 基于策略的路

8、由(Policy-Based Routing，PBR) 能夠讓路由器根據(jù) 實(shí)施BGP路由策略 定義BGP路由策略的主要工具第18頁(yè)/共32頁(yè)第十九頁(yè)，共32頁(yè)。Route Map的運(yùn)作 Route map由一些規(guī)則(guz)列表構(gòu)成 這些規(guī)則列表按照從上至下的順序處理，與ACL類(lèi)似 查找到第一個(gè)匹配的規(guī)則就不再(b zi)繼續(xù)查找 Route map的規(guī)則使用序號(hào)來(lái)區(qū)分(qfn)，便于規(guī)則的插入或刪除第19頁(yè)/共32頁(yè)第二十頁(yè)，共32頁(yè)。Route Map的運(yùn)作(續(xù)) match語(yǔ)句可以包含(bohn)多個(gè)應(yīng)用 同一行match語(yǔ)句(yj)中存在多條條件：“或”的關(guān)系 只要匹配(ppi)其中一

9、個(gè)條件即可 不同行match語(yǔ)句：“與”的關(guān)系 必須匹配所有的條件第20頁(yè)/共32頁(yè)第二十一頁(yè)，共32頁(yè)。配置(pizh)Route Map的步驟 定義(dngy)route map的條件 定義(dngy)匹配的條件 定義匹配后的動(dòng)作 應(yīng)用route-map到正確的位置 實(shí)現(xiàn)PBR：應(yīng)用到接口 結(jié)合路由重發(fā)布來(lái)過(guò)濾路由：應(yīng)用在路由協(xié)議下的路由重發(fā)布第21頁(yè)/共32頁(yè)第二十二頁(yè)，共32頁(yè)。配置(pizh)Route Map 定義(dngy)名為MyRouteMap的route map 使用前綴(qinzhu)列表MyList來(lái)進(jìn)行匹配 定義相應(yīng)的動(dòng)作為通過(guò)Ethernet0接口轉(zhuǎn)發(fā)報(bào)文第22頁(yè)/

10、共32頁(yè)第二十三頁(yè)，共32頁(yè)。在接口(ji ku)上應(yīng)用Route map 在接口上應(yīng)用(yngyng)名為MyRouteMap的route map，用來(lái)實(shí)現(xiàn)基于策略的路由 從該接口收到的IP報(bào)文，可以(ky)不根據(jù)目的IP地址查找IP路由表，而是根據(jù)MyRouteMap定義的規(guī)則來(lái)確定如何轉(zhuǎn)發(fā)第23頁(yè)/共32頁(yè)第二十四頁(yè)，共32頁(yè)。使用(shyng)Route Map控制路由重發(fā)布的配置步驟 定義(dngy)route map 定義(dngy)匹配的條件 定義(dngy)匹配后的動(dòng)作 在路由重發(fā)布時(shí)使用route-map第24頁(yè)/共32頁(yè)第二十五頁(yè)，共32頁(yè)。路由重發(fā)布(fb)中使用Rout

11、e map 定義(dngy)route map，用于路由重發(fā)布 配置將RIP路由重發(fā)布到EIGRP時(shí)使用(shyng)route map進(jìn)行過(guò)濾第25頁(yè)/共32頁(yè)第二十六頁(yè)，共32頁(yè)。示例(shl)：Route map和路由重發(fā)布 匹配(ppi)ACL 23或29的路由重發(fā)布到OSPF時(shí)，設(shè)置cost為500，設(shè)置為第一類(lèi)外部(wib)路由(E1) 匹配ACL 37的路由不會(huì)被重發(fā)布到OSPF中 所有其他路由重發(fā)布到OSPF時(shí)，設(shè)置cost為5000，設(shè)置為第二類(lèi)外部路由(E2)第26頁(yè)/共32頁(yè)第二十七頁(yè)，共32頁(yè)。過(guò)濾(gul)路由更新第27頁(yè)/共32頁(yè)第二十八頁(yè)，共32頁(yè)。被動(dòng)(bidn

12、g)接口(Passive Interface) 路由器可能(knng)有很多接口 并非所有接口都允許發(fā)送或接收路由更新 可以在某些(mu xi)接口上啟用抑制路由更新的功能 被動(dòng)接口應(yīng)用于： 抑制某個(gè)接口的路由更新 抑制所有接口的路由更新 不同路由協(xié)議有不同的規(guī)則： OSPF：該接口無(wú)法建立鄰居，既發(fā)送但不接收hello EIGRP：該接口無(wú)法建立鄰居，既不發(fā)送也不接收hello RIP：該接口不能發(fā)送路由更新信息，但是可以接收第28頁(yè)/共32頁(yè)第二十九頁(yè)，共32頁(yè)。使用(shyng)passive-interface命令第29頁(yè)/共32頁(yè)第三十頁(yè)，共32頁(yè)?？偨Y(jié)(zngji) 網(wǎng)絡(luò)性能問(wèn)題的

13、常見(jiàn)原因包括(boku)：發(fā)送大量的路由更新、在同一個(gè)自治系統(tǒng)不同范圍中運(yùn)行多種路由協(xié)議、路由過(guò)濾配置(pizh)錯(cuò)誤等。 分發(fā)列表使用ACL或route map來(lái)定義哪些路由時(shí)被允許或拒絕。 distribute-list命令允許基于入接口、出接口來(lái)過(guò)濾路由信息，也可以在路由重發(fā)布時(shí)進(jìn)行過(guò)濾。 與傳統(tǒng)使用ACL來(lái)過(guò)濾路由相比，IP前綴列表能夠?qū)崿F(xiàn)更復(fù)雜的過(guò)濾，并且效率更高。 前綴列表匹配過(guò)程考慮了路由的子網(wǎng)掩碼。過(guò)濾器可以精確匹配前綴長(zhǎng)度、也可以使用ge和le來(lái)匹配某個(gè)范圍的前綴長(zhǎng)度。第30頁(yè)/共32頁(yè)第三十一頁(yè)，共32頁(yè)?？偨Y(jié)(zngji)(續(xù)) Route map是一種復(fù)雜的ACL，它能夠使用match命令來(lái)匹配報(bào)