01.网络中路由的性能和安全问题.ppt

总结 ? 网络性能问题的常见原因包括：发送大量的路由更新、在同一个自 治系统不同范围中运行多种路由协议、路由过滤配置错误等。 ? 分发列表使用ACL或route map来定义哪些路由时被允许或拒绝。 ? distribute-list命令允许基于入接口、出接口来过滤路由信息，也 可以在路由重发布时进行过滤。 ? 与传统使用ACL来过滤路由相比，IP前缀列表能够实现更复杂的过 滤，并且效率更高。 ? 前缀列表匹配过程考虑了路由的子网掩码。过滤器可以精确匹配前 缀长度、也可以使用ge和le来匹配某个范围的前缀长度。 总结(续) ? Route map是一种复杂的ACL，它能够使用match命令来匹配报文 或路由。若条件匹配，则根据指定的set命令来更改报文或路由的 属性。 ? 在进行路由重发布过滤时，route-map命令在路由协议下的 redistribute命令后添加。 ? 使用route map过滤路由更新信息时，能够针对入、出的路由信息 进行过滤。对于匹配的路由能通过set命令更改或设置相关属性。 ? 配置被动接口能够抑制某个指定接口或所有接口的路由更新。 BSCI v3.0—2-1 部署IPv4路由重发布 网络中路由的性能和安全问题 影响网络性能的常见因素 ? 影响CPU的路由因素包括： – 路由信息更新量的大小 – 路由信息更新的频率 – 设计的缺陷 – 存在route-map或过滤器 ? 不正确地配置路由过滤 ? 在同一个自治系统不同范围中运行不同的协议 – 接收路由更新的路由协议进程数量 路由更新 ? 影响CPU使用率的路由更新的因素包括： – 路由信息更新量的大小 – 路由更新的频率 – 差的设计 过滤路由更新 ? 路由更新过滤将影响网络性能 ? 确保路由过滤配置正确 运行多种路由协议 ? 你可以在同一个自治系统不同范围中运行不同路由协议 – 若同一时刻收到多个路由协议进程的更新，性能将受到影响 控制路由更新 ? 设计变更 – 限制使用的路由协议数量 ? 被动接口 ? 结合过滤进行路由重分发 – Access list（访问列表） – Prefix list（前缀列表） – Distribute list（分发列表） – Route map 使用路由过滤 ? 路由器建立邻居关系 ? 邻居路由器间交换路由更新信息 – 使用路由过滤来控制路由信息的发布和接收 使用分发列表控制路由更新 配置分发列表进行过滤的步骤 ? 使用以下2种方式定义过滤需求（允许或拒绝路由信息）： – 配置访问列表（ACL） – 配置route map ? 配置分发列表（使用ACL或route map） – 应用到入口或出口更新 配置分发列表进行过滤 ? 分发列表过程能够用于发送、接收或重发布路由信息时。 ? 从OSPF重发布到RIP的路由信息根据ACL 10进行过滤 ? EIGRP 100从S0接口学习的路由更新信息根据ACL 7进行过滤 使用分发列表过滤路由更新 ? 路由器R2从S0接口通告的EIGRP路由不包括10.0.0.0。 使用分发列表控制重发布 IP前缀过滤器 ? 传统IP前缀过滤器使用distribute-list结合IP访问列表来实现。 ? 前缀列表： – 与ACL对比具有更好的性能 – 更友好的命令行界面 使用前缀列表控制重发布 前缀列表匹配规则 ? 匹配某个特定前缀长度 ? 匹配一个范围 – 使用ge – 使用le – 使用ge和le ? 匹配过程考虑子网掩码 ? 示例： – 192.168.1.0/24 – 192.168.1.0/24 ge 28 – 192.168.1.0/24 le 28 匹配路由192.168.1.0/24 匹配前24比特为192.168.1，且子网掩码 大于等于28、小于等于32的所有路由 匹配前24比特为192.168.1，且子网掩码 大于等于24、小于等于28的所有路由 – 192.168.1.0/24 ge 26 le 28 匹配前24比特为192.168.1，且子网掩码 大于等于26、小于等于28的所有路由 不使用le或ge时前缀列表的匹配 ? 以下哪些前缀(即路由)能够匹配？ – 192.168.0.0/16 – 192.168.0.0/20 – 192.168.2.0/24 匹配 不匹配 不匹配 使用le或ge时前缀列表的匹配 ? 以下哪些前缀(即路由)能够匹配？ – 192.168.0.0/16 – 192.168.0.0/17 – 192.168.0.0/20