网络中路由的性能和安全问题学习教案

1、网络中路由的性能网络中路由的性能(xngnng)和安全问题和安全问题第一页，共32页。路由更新(gngxn) 影响(yngxing)CPU使用率的路由更新的因素包括： 路由信息更新量的大小 路由更新的频率(pnl) 差的设计第1页/共32页第二页，共32页。过滤(gul)路由更新 路由更新过滤(gul)将影响网络性能 确保路由过滤(gul)配置正确第2页/共32页第三页，共32页。运行(ynxng)多种路由协议 你可以在同一个自治系统不同范围中运行不同路由协议 若同一时刻收到多个(du )路由协议进程的更新，性能将受到影响第3页/共32页第四页，共32页。控制(kngzh)路由更新 设计变更

2、限制使用(shyng)的路由协议数量 被动(bidng)接口 结合过滤进行路由重分发 Access list（访问列表） Prefix list（前缀列表） Distribute list（分发列表） Route map第4页/共32页第五页，共32页。使用(shyng)路由过滤 路由器建立(jinl)邻居关系 邻居路由器间交换路由更新(gngxn)信息 使用路由过滤来控制路由信息的发布和接收第5页/共32页第六页，共32页。使用分发(fnf)列表控制路由更新第6页/共32页第七页，共32页。配置分发(fnf)列表进行过滤的步骤 使用以下2种方式定义过滤需求(xqi)（允许或拒绝路由信息）：

3、配置(pizh)访问列表（ACL） 配置(pizh)route map 配置分发列表（使用ACL或route map） 应用到入口或出口更新第7页/共32页第八页，共32页。配置分发(fnf)列表进行过滤 分发列表过程能够(nnggu)用于发送、接收或重发布路由信息时。 从OSPF重发布到RIP的路由信息(xnx)根据ACL 10进行过滤 EIGRP 100从S0接口学习的路由更新信息根据ACL 7进行过滤第8页/共32页第九页，共32页。使用(shyng)分发列表过滤路由更新 路由器R2从S0接口通告(tnggo)的EIGRP路由不包括。第9页/共32页第十页，共32页。使用分发列表控制(k

4、ngzh)重发布第10页/共32页第十一页，共32页。IP前缀前缀(qinzhu)过滤器过滤器 传统IP前缀过滤器使用(shyng)distribute-list结合IP访问列表来实现。 前缀列表： 与ACL对比(dub)具有更好的性能 更友好的命令行界面第11页/共32页第十二页，共32页。使用前缀列表(li bio)控制重发布第12页/共32页第十三页，共32页。前缀列表匹配规则 匹配某个特定(tdng)前缀长度 匹配一个范围 使用ge 使用le 使用ge和le 匹配过程考虑子网掩码 示例： 匹配路由匹配前24比特为，且子网掩码大于等于(dngy)28、小于等于(dngy)32的所有路由匹

5、配前24比特为，且子网掩码大于等于24、小于等于28的所有路由 匹配(ppi)前24比特为，且子网掩码大于等于26、小于等于28的所有路由第13页/共32页第十四页，共32页。不使用le或ge时前缀列表的匹配 以下哪些(nxi)前缀(即路由)能够匹配？ 匹配(ppi)不匹配(ppi)不匹配(ppi)第14页/共32页第十五页，共32页。使用le或ge时前缀列表的匹配 以下哪些(nxi)前缀(即路由)能够匹配？ 匹配(ppi)List1，不匹配(ppi)List2匹配(ppi)List1，不匹配(ppi)List2匹配(ppi)List1，匹配(ppi)List2不匹配(ppi)List1，匹配

6、(ppi)List2第15页/共32页第十六页，共32页。示例：前缀(qinzhu)列表哪些路由能够匹配(ppi)以下前缀列表？1、2、3、4、5、注：1）前缀）前缀(qinzhu)列表列表A匹配所有的主机路由（即掩码为匹配所有的主机路由（即掩码为32的所有路由）的所有路由）2）前缀列表B匹配所有掩码大于等于17且小于等于32的B类地址段路由3）前缀列表C匹配所有路由4）前缀列表D匹配缺省路由5）前缀列表E匹配所有掩码大于等于1且小于等于24的A类地址段路由第16页/共32页第十七页，共32页。Route Map Route map类似(li s)于一种脚本语言： 与ACL工作类似，但是能够实

7、现更复杂的功能。 按照从上到下(根据规则号从小到大)的顺序处理 一旦在某个(mu )规则中匹配，则不再继续检查后续规则 每个规则有不同的序号，便于(biny)修改 新规则的插入 旧规则的删除 Route map是命名的，而不是采用编号，便于文档化 在每个规则中可以使用match(匹配)和set(设置)语句；与脚本语言中的if-then逻辑类似第17页/共32页第十八页，共32页。Route Map的应用的应用(yngyng)Route map的应用的应用(yngyng)包括：包括： 路由重发布时进行(jnxng)路由过滤 是一种比distribute-list功能更复杂的过滤工具 基于策略的路

8、由(Policy-Based Routing，PBR) 能够让路由器根据 实施BGP路由策略 定义BGP路由策略的主要工具第18页/共32页第十九页，共32页。Route Map的运作 Route map由一些规则(guz)列表构成 这些规则列表按照从上至下的顺序处理，与ACL类似 查找到第一个匹配的规则就不再(b zi)继续查找 Route map的规则使用序号来区分(qfn)，便于规则的插入或删除第19页/共32页第二十页，共32页。Route Map的运作(续) match语句可以包含(bohn)多个应用 同一行match语句(yj)中存在多条条件：“或”的关系 只要匹配(ppi)其中一

9、个条件即可 不同行match语句：“与”的关系 必须匹配所有的条件第20页/共32页第二十一页，共32页。配置(pizh)Route Map的步骤 定义(dngy)route map的条件 定义(dngy)匹配的条件 定义匹配后的动作 应用route-map到正确的位置 实现PBR：应用到接口 结合路由重发布来过滤路由：应用在路由协议下的路由重发布第21页/共32页第二十二页，共32页。配置(pizh)Route Map 定义(dngy)名为MyRouteMap的route map 使用前缀(qinzhu)列表MyList来进行匹配 定义相应的动作为通过Ethernet0接口转发报文第22页/

10、共32页第二十三页，共32页。在接口(ji ku)上应用Route map 在接口上应用(yngyng)名为MyRouteMap的route map，用来实现基于策略的路由 从该接口收到的IP报文，可以(ky)不根据目的IP地址查找IP路由表，而是根据MyRouteMap定义的规则来确定如何转发第23页/共32页第二十四页，共32页。使用(shyng)Route Map控制路由重发布的配置步骤 定义(dngy)route map 定义(dngy)匹配的条件 定义(dngy)匹配后的动作 在路由重发布时使用route-map第24页/共32页第二十五页，共32页。路由重发布(fb)中使用Rout

11、e map 定义(dngy)route map，用于路由重发布 配置将RIP路由重发布到EIGRP时使用(shyng)route map进行过滤第25页/共32页第二十六页，共32页。示例(shl)：Route map和路由重发布 匹配(ppi)ACL 23或29的路由重发布到OSPF时，设置cost为500，设置为第一类外部(wib)路由(E1) 匹配ACL 37的路由不会被重发布到OSPF中 所有其他路由重发布到OSPF时，设置cost为5000，设置为第二类外部路由(E2)第26页/共32页第二十七页，共32页。过滤(gul)路由更新第27页/共32页第二十八页，共32页。被动(bidn

12、g)接口(Passive Interface) 路由器可能(knng)有很多接口 并非所有接口都允许发送或接收路由更新 可以在某些(mu xi)接口上启用抑制路由更新的功能 被动接口应用于： 抑制某个接口的路由更新 抑制所有接口的路由更新 不同路由协议有不同的规则： OSPF：该接口无法建立邻居，既发送但不接收hello EIGRP：该接口无法建立邻居，既不发送也不接收hello RIP：该接口不能发送路由更新信息，但是可以接收第28页/共32页第二十九页，共32页。使用(shyng)passive-interface命令第29页/共32页第三十页，共32页。总结(zngji) 网络性能问题的

13、常见原因包括(boku)：发送大量的路由更新、在同一个自治系统不同范围中运行多种路由协议、路由过滤配置(pizh)错误等。 分发列表使用ACL或route map来定义哪些路由时被允许或拒绝。 distribute-list命令允许基于入接口、出接口来过滤路由信息，也可以在路由重发布时进行过滤。 与传统使用ACL来过滤路由相比，IP前缀列表能够实现更复杂的过滤，并且效率更高。 前缀列表匹配过程考虑了路由的子网掩码。过滤器可以精确匹配前缀长度、也可以使用ge和le来匹配某个范围的前缀长度。第30页/共32页第三十一页，共32页。总结(zngji)(续) Route map是一种复杂的ACL，它能够使用match命令来匹配报