一,QoS(Quality of Service):服務質量
1,網絡在性能方面存在的問題:
1)delay
2) variation
3) loss
1)
1)冗餘:核心設備、主要鏈路的冗餘
1> 鏈路冗餘:
a. 浮動路由:(config)#ip route 目的網網絡號/子網號 目的網掩碼 下一跳IP 管理距離
b. 備份端口:實現鏈路的冗餘;提供了負載分擔
c. 以太通道:
特性:一條以太通道內,最多可以聚合8條物理鏈路,帶寬達到10M---160G
目的:提供鏈路冗餘;負載分擔;避免環路;提高鏈路帶寬
應用場合:核心交換機之間的鏈路
原則:
負載均衡策略:基於源(MAC,IP,端口)進行負載分擔
基於目的(MAC,IP,端口)進行負載分擔
同時基於源和目的
協議:PAgP(端口聚合協議)是Cisco私有協議,將“近似配置”的端口放入以太通道
PAgP的模式:on把端口強制放入以太通道;off阻止端口進入以太通道;auto 把端口設爲被動協商端口;
desirable把端口設爲主動協商端口
LACP的模式: on把端口強制放入以太通道;off阻止端口進入以太通道;passive 把端口設爲被動協商端口;
active把端口設爲主動協商端口
配置:
建立以太通道:(config)#interface port-channel 通道號(1--6)
(config-if)#ip address IP地址 掩碼 //三層以太通道配置該命令
向以太通道添加成員(端口):(config)#interface 物理端口
(config-if)#port-channel protocol pagp/lacp (或channel-protocol pagp/lacp)
(config-if)#port-channel group 通道號 mode on/off/desirable/auto/active/passive
channel-group
(config-if)#port-channel load-balance
a.路由器的冗餘:通過HSRP(熱備份路由協議)技術實現路由器的冗餘
i)配置虛擬路由器,把虛擬路由器的IP地址作爲客戶端的網關,而虛擬路由器的成員是“多臺物理路由器”
虛擬路由器的MAC地址是:
熱備份路由協議組就是“虛擬路由器”
// HELLO包的封裝:發送者的IP地址;HSRP組的組號;優先級;HELLO包發送時間(默認3S);保持時間(默認10S);虛擬路由器的IP地址;HSRP的狀態
initial state(初始狀態):HSRP未運行
learn state(學習狀態):路由器未收到HELLO包,不知道虛擬路由器的IP地址
listen state(偵聽狀態): ...................,知道虛擬路由器的IP地址
speak state(發言狀態):選舉主、備份路由器
standby state(備份狀態):選出備份路由器
active state(活動狀態):選出主路由器,正常轉發數據
(config-if)#standby 組號 ip 虛擬路由器的IP地址 //指定虛擬路由器IP
(config-if)#standby 組號 priority 優先級 //指定優先級
(config-if)#standby 組號 preempt //指定搶佔
(config-if)#standby 組號 timer HELLO包發送時間 保持時間
(config-if)#standby 組號 track s0/0 70
i)在交換機上配置虛擬服務器,其成員是“物理服務器”,給虛擬服務器配置IP地址,對其進行發佈
ii)配置:
建立物理服務器羣:
(config)#ip slb serverfarm 名
(config-slb-sfarm)#real 物理服務器IP
(config-slb-real)#inservice //啓用物理服務器
(config)#ip slb vserver 虛擬服務器名
(config-slb-vserver)#virtual IP地址 掩碼
(config-slb-vserver)#serverfarm 名
(config-slb-vserver)#inservice //啓用虛擬服務器
i)引擎的冗餘:
特性:
當主引擎工作時,備份引擎處於完全啓動狀態;
無負載均衡;
VLAN數據庫模式,不支持;
引擎上運行的IOS版本相同;
引擎的型號相同;
引擎要放在交換機的第一個和第二個插槽上;
不能使用叉線纜配置引擎;
使用RPR+實現引擎通信
(config)#redundancy //啓用冗餘
(config-red)#mode rpr-plus //指定RPR+協議
iii)電源的冗餘
配置:(config)#power redundancy-mode combined/redundant
3>動態路由協議實現“路由冗餘”
4>生成樹協議實現“交換網絡中,鏈路的冗餘”
1)流量×××:
1>應用場合:幀中繼環境
2>機理:通過設置“平均速率”或“BECN(後向擁塞管理機制)”,實現擁塞管理
3>配置:
建立map-class,並指明數據處理策略:
(config)#map-class frame-relay 名
(config-map-class)#frame-relay traffic-rate 56000 64000
//速率的單位爲b
封裝幀中繼,並應用數據處理策略
(config-if)#encap frame-relay
(config-if)#frame-relay class 名
(config-if)#frame-relay traffic-shaping
1>點對點子接口:
(config-if)#no ip addr
(config-if)#no shutdown
(config-if)#encap frame-relay
(config-if)#interface 物理接口.子接口號 point-to-point
(config-subif)#ip address IP地址 掩碼
(config-subif)#frame-relay interface-dlci DLCI值
(config-subif)#bandwidth 速率
應用場合:幀中繼的“混合拓撲”
建立多點子接口:(config-if)#interface 物理接口.子接口號 multipoint
二,保證網絡可靠性的具體手段:
1,冗餘:
1)鏈路冗餘:
1> 浮動路由
2> 備份端口:
功能:提供冗餘;提供負載分擔
配置:進入主端口
(config)#interface 端口
(config-if)#backup interface 備份端口
(config-if)#backup delay 值1 值2
//值1:當主鏈路斷開後,多少秒啓用備份鏈路
值2:當主鏈路恢復後,多少秒斷開備份鏈路
(config-if)#backup load 值1 值2
//值1:當主鏈路傳輸的數據量所佔帶寬達到主鏈路總帶寬的“值1%”時,啓用備用鏈路
值2:當主鏈路使用帶寬y,加上備用鏈路使用帶寬z,二者之和除以主鏈路總帶寬x, 所的結果低於“值2%”時,斷開備用鏈路
1> 交換機冗餘:
i)引擎的冗餘:
特性:
iii)電源的冗餘:
iv)風扇冗餘
具體配置:
如果網絡中提供三層交換機的冗餘,或路由器的冗餘,客戶端的網關如何設置?
解決辦法:設置“虛擬路由器”,給虛擬路由器設置IP地址,該地址作爲客戶端的網關
虛擬路由器:
a) 虛擬路由器又稱爲“熱備份路由協議組”
b) 爲了使設備和帶寬得到合理利用,在一個網絡環境下,可以配置多個熱備份路由協議組,在不同的組裏,
由不同的設備充當主設備
c) 數據通信時,客戶端對數據的封裝中,目的MAC應封裝成“虛擬路由器的MAC”
虛擬路由器的MAC地址的格式:
d) 虛擬路由器中,主從設備的選舉,通過“優先級”實現!
e) 主從設備收發的HELLO包的封裝:
HSRP的組號;
發送者的IP地址;
狀態;
優先級;
HELLO包的發送時間(默認3秒)
保持時間(默認10秒)
虛擬路由器的IP地址
初始狀態(init state): HSRP協議未運行;
學習狀態(learn state): 路由器未收到HELLO包,路由器不知道虛擬路由器的IP;
監聽狀態(listen state): 路由器未收到HELLO包,路由器知道虛擬路由器的IP;
發言狀態(speak state):路由器收到HELLO包,知道虛擬路由器IP;
備份狀態(standby state): 選舉從設備,爲選舉主設備奠定基礎;
活動狀態(active state):選舉主設備,由主設備正常轉發數據包;
g)HSRP(Hot Standby Routing Protocol):熱備份路由協議,用於在虛擬路由器內的主從設備間傳輸信息
(config)#interface 端口(fa0/0)
(config-if)#standby 組號 ip 虛擬路由器IP地址 //指定虛擬路由器,並設置IP地址
(config-if)#standby 組號 priority 優先級 //指定優先級
(config-if)#standby 組號 preempt //設置搶佔
(config-if)#standby 組號 timers HELLO包發送時間 保持時間
如果A的S0/0端口對應的鏈路故障,A自動降低優先級,從而實現主從設備的切換;如A的S0/0端口對應的鏈路
恢復後,A自動恢復原優先級,從而搶佔“主設備”的角色。該技術稱爲“HSRP的端口跟蹤”
HSRP端口跟蹤的配置:
(config)#interface 端口(fa0/0)
(config-if)#standby 組號 track 端口1(s0/0) 優先級
//優先級:當端口鏈路故障時,在設備原優先級基礎上降低多少!不是降低到多少!
#show standby //查看HSRP信息
#debug standby //調試HSRP信息
3,熱備份路由協議
4,生成樹協議
1,延時:
2,抖動:
3,丟失:
1,語音環境:
2,視頻環境
3,視頻會議
1,提高帶寬
2,流量×××:
1)應用場合: 用於幀中繼環境
2)機理:通過“指定速率”或提供“後向擁塞管理”機制,來整理流量,以避免擁塞
3)配置:
1>配置類映射:
(config)#map-class frame-relay 名
2>指定整理流量的機制:
(config-map-class)#frame-relay traffice-rate 56000 64000
//速率:單位是b
尖峯值:最大速率
//通過“後向擁塞管理”機制,來整理流量
(config-if)#encap frame-relay
(config-if)#frame-relay class 名
(config-if)#frame-relay traffic-shaping
點對點子接口:
爲了解決“物理端口上啓用水平分割,而使分支設備無法相互通信”的問題,提出了點對點子接口
點對點子接口的配置:
1>物理端口上不需要配置IP地址和掩碼
(config-if)#no ip address
2>激活物理端口
(config-if)#no shutdown
3>子物理端口上封裝幀中繼
(config-if)#encap frame-relay
4>在物理端口上建立子接口,並指定類型
(config-if)#interface 子接口 point-to-point
5>給子接口配置IP地址和掩碼
(config-subif)#ip addr IP地址 掩碼
6>給子接口配置DLCI
(config-subif)#frame-relay interface-dlci DLCI值
7>給子接口配置速率
(config-subif)#bandwidth 速率
多點子接口:具有“與物理端口”相同的特性
配置:
(config-if)#interface 子接口 multipoint
“其他配置命令”等同“點對點子接口”的配置
5)子接口環境下,流量×××的配置:
map-class應用到子接口,其他配置等同物理端口下的配置
1)隊列的選擇:
網絡無擁塞:不需要使用隊列
網絡有擁塞,但不需要嚴格控制:使用“加權公平隊列”
網絡有擁塞,且需要嚴格控制,對延時要求不高:使用“優先級隊列”
網絡有擁塞,且需要嚴格控制,對延時要求高:使用“基於類的加權公平隊列”
1>機制:按照數據“最後一比特”到達設備的先後順序,轉發數據
2>配置:(config-if)#fair-queue 128
1>機制:通過配置“優先級列表”,把不同數據放入不同隊列,根據隊列的優先順序,決定數據的傳輸順序
2>隊列的分類:
高優先級隊列:該隊列上的數據最先傳輸
中優先級隊列:該隊列上的數據第二傳輸
普通優先級隊列:該隊列上的數據第三傳輸
低優先級隊列:該隊列上的數據最後傳輸
3>特性:路由器正傳輸某隊列的數據,當更高優先級的隊列有數據到達時,設備立即中止當前的傳輸,
轉而去傳輸高優先級隊列裏的數據
建立優先級列表:
格式一:
(config)#priority-list 表號 protocol 協議 high/medium/normal/low
//表號:1---16
(config)#priority-list 表號 protocol 協議 high/medium/normal/low list 訪問控制列表表號
//基於訪問控制列表指定優先級
priority-list 1 protocol ip medium list 4
access-list 4 permit 192.168.20.0 0.0.0.255
(config)#priority-list 表號 interface 端口 high/medium/normal/low
//基於數據包的“接收端口”指定優先級
priority-list 1 interface fa0/1 normal
(config)#priority-list 表號 protocol 協議 high/medium/normal/low tcp/udp 服務端口號
//基於TCP/UDP端口指定優先級
priority-list 1 protocol ip high tcp 25
priority-list 1 protocol ip low udp 69
(config)#priority-list 表號 default high/medium/normal/low
//爲“與優先級列表中的定義不匹配”的數據,配置默認隊列
priority-list 1 default normal
調整隊列的容量:
(config)#priority-list 表號 queue-limit 值1 值2 值3 值4
//上述4個值,依次表示高、中、普通、低優先級隊列的容量
1>機制:先對數據進行分類,然後把不同類的數據放入不同隊列,之後定義隊列的屬性,根據隊列屬性傳輸數據
2>配置:
步驟:
第一步:定義class-map,對數據進行分類
(config)#class-map 名
(config-cmap)#match 條件
//條件: access-group 訪問控制列表 //基於訪問控制列表,對數據進行分類
input-interface 端口 //基於數據的接收端口,對數據進行分類
protocol 協議 //基於協議,對數據進行分類
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#bandwidth 帶寬(單位是Kbps) //指定帶寬
(config-pmap-c)#priority 值 //指定優先級
(config)#int 端口(數據的流出端口)
(config-if)#service-policy output 名1
第一步:
class-map aa
match access-group 2
class-map bb
match access-group 3
policy-map cc
class aa
bandwidth 64
priority 16
bandwidth 32
priority 8
int s1/0
service-policy output cc
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 3 permit 192.168.20.0 0.0.0.255
1)機制:通過查看二層封裝中的CoS或三層封裝中的ToS,決定數據的傳輸順序
2)CoS(服務分類):
1>CoS是數據封裝中的一個字段,該字段可以決定數據的傳輸順序
2>CoS封裝中,各值的含義:
0:盡力傳輸
1:中優先級數據
2:高優先級數據
3:呼叫信號
4:視頻信號
5:語音信號
6:保留
7:保留
值越大,優先級越高
1>ToS是三層數據封裝中的一個字段,該字段可以決定數據的傳輸順序
2>封裝值越大,越優先
1>對流量進行分類:
(config)#class-map [match-any / match-all] 名
//match-any:符合任一條件
match-all:符合所有條件
(config-cmap)#match 條件
//條件:
access-group name 訪問列表表名 //符合訪問控制列表
ip dscp 值 //符合差分服務代碼點
ip precedence 值 //符合IP優先權
destination-address IP地址 //符合目的IP地址
source-address IP地址 //符合源IP地址
vlan VLAN號 //符合指定VLAN
input-interface 端口 //符合數據的流入端口
protocol 協議 //符合協議
2>定義策略,對分類的數據進行處理
(config)#policy-map 名1
(config-pmap)#class 名
(config-pmap-c)#動作
//動作:
bandwidth 帶寬 //指定帶寬
set ip dscp 值 //指定查分服務代碼點
set ip pricedence 值 //指定IP優先權
trust cos //信任Cos
trust dscp //信任差分服務代碼點
ip-precedence //信任IP優先權
(config-if)#service-policy input/output 名1
第一步:
class-map match-any aa
match destination-address 192.168.20.1
match input-interface fa0/0
match source-address 192.168.10.1
policy-map bb
class aa
set ip dscp 4
trust dscp
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb
5, 以太通道:把多條物理鏈路聚合成一條邏輯鏈路,以實現鏈路的冗餘和負載均衡
1)應用場合:核心交換機之間
2)邏輯鏈路中最多放8條物理鏈路,可以提供10M--160G的速率
3)以太通道設計原則:
4)以太通道協議:
1>PAgP(端口聚合協議):Cisco私有協議;把“近似配置”的端口放入以太通道
PAgP的模式:
on(強制端口進入以太通道)
off(阻止端口進入以太通道)
auto(被動協商端口,默認設置)
desirable(主動協商端口)
LACP的模式:
on(強制端口進入以太通道)
off(阻止端口進入以太通道)
passive(被動協商端口,默認設置)
active(主動協商端口)
基於源地址做負載均衡
基於目的地址做負載均衡
基於源和目的地址做負載均衡
1>建立以太通道:
(config)#interface port-channel 通道號
(config-if)#ip address IP地址 掩碼
2>向以太通道中放入物理端口
(config)#interface 物理端口
(config-if)#channel-protocol pagp/lacp
(config-if)#channel-group 通道號 mode on/off/desirable/auto/active/passive
3>定義負載均衡策略:
(config)#port-channel load balance src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
兩臺三......................, 需要配置IP地址和掩碼,做法是:
(config)#interface port-channel 通道號
(config-if)#no switchport
(config-if)#ip address IP地址 掩碼
一、密碼:
1,基於“表號”的ACL:
1)基本表:通過“源地址”處理包
配置:
(config)#access-list 表號 deny/permit 源IP 源匹配碼
//表號: 1--99或 1300---1999
(config-if)#ip access-group 表號 in/out
配置:
(config)#access-list 表號 deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 參數 服務名/端口號
//表號:100---199 或 2000---2699
(config-if)#ip access-group 表號 in/out
1)基本表:通過“源地址”處理包
配置
(config)#ip access-list standard 表名
(config-std-nacl)# deny/permit 源IP 源匹配碼
(config)#ip access-list standard 表名
(config-std-nacl)# no deny/permit 源IP 源匹配碼
(config-std-nacl)#序列號 deny/permit 源IP 源匹配碼
(config-if)#ip access-group 表名 in/out
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.10.0 0.0.0.255
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit 協議 源IP 源匹配碼 目的IP 目的匹配碼 參數 服務名/端口號
(config-if)#ip access-group 表名 in/out
提示:以“表名”爲主的ACL,可以建立、刪除、修改
1)以表號爲主的ACL:
(config)#access-list 表號 remark 註釋文字
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 註釋文字
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 註釋文字