网络性能优化及安全保障

本文涉及的产品
应用型负载均衡 ALB,每月750个小时 15LCU
传统型负载均衡 CLB,每月750个小时 15LCU
访问控制,不限时长
简介:
                                      性能优化:
一,QoS(Quality  of Service):服务质量
1,网络在性能方面存在的问题:
1)delay
2) variation
3) loss
2,特定环境对网络性能:
1)
3,保证QoS的措施:保证QoS是以网络的“可用性”为前提
4,网络的可用性:
1)冗余:核心设备、主要链路的冗余
1> 链路冗余:
a. 浮动路由:(config)#ip  route   目的网网络号/子网号   目的网掩码   下一跳IP  管理距离
b. 备份端口:实现链路的冗余;提供了负载分担
c. 以太通道:
特性:一条以太通道内,最多可以聚合8条物理链路,带宽达到10M---160G
目的:提供链路冗余;负载分担;避免环路;提高链路带宽
应用场合:核心交换机之间的链路
原则:
负载均衡策略:基于源(MAC,IP,端口)进行负载分担
              基于目的(MAC,IP,端口)进行负载分担
              同时基于源和目的
协议:PAgP(端口聚合协议)是Cisco私有协议,将“近似配置”的端口放入以太通道
      PAgP的模式:on把端口强制放入以太通道;off阻止端口进入以太通道;auto 把端口设为被动协商端口;
                  desirable把端口设为主动协商端口
      LACP(链路聚合控制协议)是通用协议,将“近似配置”的端口放入以太通道
      LACP的模式: on把端口强制放入以太通道;off阻止端口进入以太通道;passive 把端口设为被动协商端口;
                   active把端口设为主动协商端口
配置:
     建立以太通道:(config)#interface  port-channel  通道号(1--6)
                   (config-if)#ip  address  IP地址   掩码              //三层以太通道配置该命令
     向以太通道添加成员(端口):(config)#interface  物理端口
                                 (config-if)#port-channel  protocol  pagp/lacp  (或channel-protocol  pagp/lacp)
                                 (config-if)#port-channel  group  通道号  mode  on/off/desirable/auto/active/passive
                                                    channel-group 
(config-if)#port-channel  load-balance 
2>设备冗余:
a.路由器的冗余:通过HSRP(热备份路由协议)技术实现路由器的冗余
i)配置虚拟路由器,把虚拟路由器的IP地址作为客户端的网关,而虚拟路由器的成员是“多台物理路由器”
   虚拟路由器的MAC地址是:
   热备份路由协议组就是“虚拟路由器”
ii)虚拟路由器中的主、备份路由器,是通过HELLO包中的优先级选举的,优先级越大越好
// HELLO包的封装:发送者的IP地址;HSRP组的组号;优先级;HELLO包发送时间(默认3S);保持时间(默认10S);虚拟路由器的IP地址;HSRP的状态
iii)HSRP的状态:
initial state(初始状态):HSRP未运行
learn  state(学习状态):路由器未收到HELLO包,不知道虚拟路由器的IP地址
listen  state(侦听状态): ...................,知道虚拟路由器的IP地址
speak  state(发言状态):选举主、备份路由器
standby state(备份状态):选出备份路由器
active state(活动状态):选出主路由器,正常转发数据
iv)配置:(config)#int  端口   //路由器收发HELLO包的端口
          (config-if)#standby   组号  ip  虚拟路由器的IP地址      //指定虚拟路由器IP 
          (config-if)#standby   组号  priority   优先级       //指定优先级
          (config-if)#standby   组号  preempt       //指定抢占
          (config-if)#standby   组号  timer   HELLO包发送时间    保持时间
          (config-if)#standby   组号  track  s0/0   70
b. 服务器冗余:配置虚拟服务器
i)在交换机上配置虚拟服务器,其成员是“物理服务器”,给虚拟服务器配置IP地址,对其进行发布
ii)配置:
建立物理服务器群:
(config)#ip  slb  serverfarm  名
(config-slb-sfarm)#real   物理服务器IP
(config-slb-real)#inservice          //启用物理服务器
建立虚拟服务器:
(config)#ip  slb  vserver  虚拟服务器名
(config-slb-vserver)#virtual  IP地址   掩码
(config-slb-vserver)#serverfarm   名
(config-slb-vserver)#inservice          //启用虚拟服务器
c. 交换机冗余:
i)引擎的冗余:
特性:
当主引擎工作时,备份引擎处于完全启动状态;
无负载均衡;
VLAN数据库模式,不支持;
引擎上运行的IOS版本相同;
引擎的型号相同;
引擎要放在交换机的第一个和第二个插槽上;
不能使用叉线缆配置引擎;
使用RPR+实现引擎通信
配置:
(config)#redundancy    //启用冗余
(config-red)#mode  rpr-plus    //指定RPR+协议
ii)交换模块的冗余
iii)电源的冗余
配置:(config)#power  redundancy-mode  combined/redundant
iv)风扇的冗余
v)使用“HSRP”技术,实现三层交换机的冗余,配置等同“路由器”

3>动态路由协议实现“路由冗余”
4>生成树协议实现“交换网络中,链路的冗余”
5, QoS的实现:
1)流量整形:
1>应用场合:帧中继环境
2>机理:通过设置“平均速率”或“BECN(后向拥塞管理机制)”,实现拥塞管理
3>配置:
建立map-class,并指明数据处理策略:
(config)#map-class  frame-relay   名
(config-map-class)#frame-relay  traffic-rate  56000    64000
//速率的单位为b
(config-map-class)#frame-relay  adaptive-shaping  becn

封装帧中继,并应用数据处理策略
(config-if)#encap  frame-relay
(config-if)#frame-relay  class  名
启用流量整形:
(config-if)#frame-relay  traffic-shaping
2)帧中继的子接口:
1>点对点子接口:
(config-if)#no  ip addr 
(config-if)#no  shutdown
(config-if)#encap  frame-relay
(config-if)#interface  物理接口.子接口号  point-to-point
(config-subif)#ip  address  IP地址   掩码
(config-subif)#frame-relay  interface-dlci  DLCI值
(config-subif)#bandwidth   速率
2>多点子接口:具有与“物理端口”相同的特性,仍然解决不了“水平分割”带来的问题
应用场合:帧中继的“混合拓扑”
建立多点子接口:(config-if)#interface  物理接口.子接口号  multipoint
 
 
考虑冗余:
一,保证服务质量的前提:网络的可靠性
二,保证网络可靠性的具体手段:
1,冗余:
1)链路冗余:
1> 浮动路由
2> 备份端口:
功能:提供冗余;提供负载分担
配置:进入主端口
(config)#interface  端口
(config-if)#backup  interface  备份端口
(config-if)#backup  delay  值1  值2
//值1:当主链路断开后,多少秒启用备份链路
  值2:当主链路恢复后,多少秒断开备份链路
(config-if)#backup  load  值1   值2
//值1:当主链路传输的数据量所占带宽达到主链路总带宽的“值1%”时,启用备用链路 
  值2:当主链路使用带宽y,加上备用链路使用带宽z,二者之和除以主链路总带宽x, 所的结果低于“值2%”时,断开备用链路
2)设备冗余:
1> 交换机冗余:
i)引擎的冗余:
特性:
ii) 模块的冗余:
iii)电源的冗余:
iv)风扇冗余
2> 服务器的冗余:使用“虚拟服务器”技术
具体配置:
3>路由器冗余/三层交换机冗余:
如果网络中提供三层交换机的冗余,或路由器的冗余,客户端的网关如何设置?
解决办法:设置“虚拟路由器”,给虚拟路由器设置IP地址,该地址作为客户端的网关
虚拟路由器:
a) 虚拟路由器又称为“热备份路由协议组”
b) 为了使设备和带宽得到合理利用,在一个网络环境下,可以配置多个热备份路由协议组,在不同的组里,
由不同的设备充当主设备
c) 数据通信时,客户端对数据的封装中,目的MAC应封装成“虚拟路由器的MAC”
虚拟路由器的MAC地址的格式:
d) 虚拟路由器中,主从设备的选举,通过“优先级”实现!
e) 主从设备收发的HELLO包的封装:
HSRP的组号;
发送者的IP地址;
状态;
优先级;
HELLO包的发送时间(默认3秒)
保持时间(默认10秒)
虚拟路由器的IP地址
f)HSRP的状态:
初始状态(init state): HSRP协议未运行;
学习状态(learn  state): 路由器未收到HELLO包,路由器不知道虚拟路由器的IP;
监听状态(listen  state): 路由器未收到HELLO包,路由器知道虚拟路由器的IP;
发言状态(speak state):路由器收到HELLO包,知道虚拟路由器IP;
备份状态(standby  state): 选举从设备,为选举主设备奠定基础;
活动状态(active state):选举主设备,由主设备正常转发数据包;

g)HSRP(Hot Standby  Routing  Protocol):热备份路由协议,用于在虚拟路由器内的主从设备间传输信息
h) HSRP的配置:
(config)#interface  端口(fa0/0)
(config-if)#standby  组号  ip   虚拟路由器IP地址     //指定虚拟路由器,并设置IP地址 
(config-if)#standby  组号  priority   优先级        //指定优先级
(config-if)#standby  组号  preempt    //设置抢占
(config-if)#standby  组号  timers    HELLO包发送时间    保持时间

如果A的S0/0端口对应的链路故障,A自动降低优先级,从而实现主从设备的切换;如A的S0/0端口对应的链路
恢复后,A自动恢复原优先级,从而抢占“主设备”的角色。该技术称为“HSRP的端口跟踪”
HSRP端口跟踪的配置:
(config)#interface  端口(fa0/0)
(config-if)#standby  组号  track  端口1(s0/0)  优先级
//优先级:当端口链路故障时,在设备原优先级基础上降低多少!不是降低到多少!
调试HSRP:
#show  standby     //查看HSRP信息
#debug  standby    //调试HSRP信息
2,路由协议
3,热备份路由协议
4,生成树协议
三,网络中,与网络性能有关的问题:
1,延时:
2,抖动:
3,丢失:
四,特殊环境,对网络性能的要求:
1,语音环境:
2,视频环境
3,视频会议
五,保证网络性能的手段:
1,提高带宽
2,流量整形:
1)应用场合: 用于帧中继环境
2)机理:通过“指定速率”或提供“后向拥塞管理”机制,来整理流量,以避免拥塞
3)配置:
1>配置类映射:
(config)#map-class  frame-relay  名
2>指定整理流量的机制:
(config-map-class)#frame-relay  traffice-rate  56000   64000
//速率:单位是b
 尖峰值:最大速率
(config-map-class)#frame-relay  adaptive-shaping  becn
//通过“后向拥塞管理”机制,来整理流量
3>封装帧中继协议
(config-if)#encap  frame-relay
4>应用类映射
(config-if)#frame-relay  class   名
5>启用流量整形功能:
(config-if)#frame-relay  traffic-shaping
4)帧中继子接口:
点对点子接口:
为了解决“物理端口上启用水平分割,而使分支设备无法相互通信”的问题,提出了点对点子接口
点对点子接口的配置:
1>物理端口上不需要配置IP地址和掩码
(config-if)#no  ip address
2>激活物理端口
(config-if)#no shutdown
3>子物理端口上封装帧中继
(config-if)#encap  frame-relay
4>在物理端口上建立子接口,并指定类型
(config-if)#interface   子接口  point-to-point
5>给子接口配置IP地址和掩码
(config-subif)#ip  addr   IP地址   掩码
6>给子接口配置DLCI
(config-subif)#frame-relay  interface-dlci  DLCI值
7>给子接口配置速率
(config-subif)#bandwidth   速率

多点子接口:具有“与物理端口”相同的特性
配置:
(config-if)#interface  子接口  multipoint
“其他配置命令”等同“点对点子接口”的配置
多点子接口用于“帧中继的混合拓扑环境”

5)子接口环境下,流量整形的配置:
map-class应用到子接口,其他配置等同物理端口下的配置
3,拥塞管理:通过“队列”实现(队列也可以实现“流量优先化”)
1)队列的选择:
网络无拥塞:不需要使用队列
网络有拥塞,但不需要严格控制:使用“加权公平队列”
网络有拥塞,且需要严格控制,对延时要求不高:使用“优先级队列”
网络有拥塞,且需要严格控制,对延时要求高:使用“基于类的加权公平队列”
设备端口的默认队列策略是:先进先出
2)加权公平队列:
1>机制:按照数据“最后一比特”到达设备的先后顺序,转发数据
2>配置:(config-if)#fair-queue  128
3)优先级队列:
1>机制:通过配置“优先级列表”,把不同数据放入不同队列,根据队列的优先顺序,决定数据的传输顺序
2>队列的分类:
高优先级队列:该队列上的数据最先传输
中优先级队列:该队列上的数据第二传输
普通优先级队列:该队列上的数据第三传输
低优先级队列:该队列上的数据最后传输
3>特性:路由器正传输某队列的数据,当更高优先级的队列有数据到达时,设备立即中止当前的传输,
        转而去传输高优先级队列里的数据
4>配置:
建立优先级列表:
格式一:
(config)#priority-list  表号   protocol   协议   high/medium/normal/low
//表号:1---16
格式二:
(config)#priority-list  表号  protocol  协议  high/medium/normal/low  list  访问控制列表表号
//基于访问控制列表指定优先级
priority-list 1 protocol  ip  high  list  3
priority-list 1 protocol  ip  medium  list 4
access-list 3 permit  192.168.10.0  0.0.0.255
access-list 4 permit  192.168.20.0  0.0.0.255
access-list 103 permit tcp  192.168.10.0  0.0.0.255  any  eq  80
access-list 104 permit tcp  any  any  eq  ftp
格式三:
(config)#priority-list  表号   interface  端口   high/medium/normal/low
//基于数据包的“接收端口”指定优先级
priority-list 1 interface  fa0/0  high
priority-list 1 interface  fa0/1  normal
格式四:
(config)#priority-list  表号  protocol  协议   high/medium/normal/low  tcp/udp   服务端口号
//基于TCP/UDP端口指定优先级

priority-list 1 protocol  ip  high  tcp  25
priority-list 1 protocol  ip  low  udp  69
格式五:
(config)#priority-list  表号  default   high/medium/normal/low
//为“与优先级列表中的定义不匹配”的数据,配置默认队列
 
priority-list 1 protocol  ip  high  tcp  25
priority-list 1  default  normal

调整队列的容量:
(config)#priority-list  表号   queue-limit  值1   值2  值3  值4
//上述4个值,依次表示高、中、普通、低优先级队列的容量
 
把优先级列表应用到端口:
4)基于类的加权公平队列:
1>机制:先对数据进行分类,然后把不同类的数据放入不同队列,之后定义队列的属性,根据队列属性传输数据
2>配置:
步骤:
第一步:定义class-map,对数据进行分类
(config)#class-map  名
(config-cmap)#match  条件
//条件: access-group   访问控制列表           //基于访问控制列表,对数据进行分类
         input-interface   端口                //基于数据的接收端口,对数据进行分类
         protocol   协议                       //基于协议,对数据进行分类
第二步:定义队列属性,并指明不同类数据所对应的队列:
(config)#policy-map  名1
(config-pmap)#class  名
(config-pmap-c)#bandwidth  带宽(单位是Kbps)       //指定带宽
(config-pmap-c)#priority   值     //指定优先级
第三步:应用队列属性:
(config)#int  端口(数据的流出端口)
(config-if)#service-policy  output  名1
举例:
第一步:
class-map  aa
match  access-group  2
class-map  bb
match  access-group  3
第二步:
policy-map  cc
class aa
bandwidth  64
priority  16
class bb
bandwidth  32
priority  8
第三步:
int  s1/0
service-policy  output  cc

access-list 2 permit  192.168.10.0  0.0.0.255
access-list 3 permit  192.168.20.0  0.0.0.255
 
4,流量优先化:(交换机上的配置)
1)机制:通过查看二层封装中的CoS或三层封装中的ToS,决定数据的传输顺序
2)CoS(服务分类):
1>CoS是数据封装中的一个字段,该字段可以决定数据的传输顺序
2>CoS封装中,各值的含义:
  0:尽力传输
  1:中优先级数据
  2:高优先级数据
  3:呼叫信号
  4:视频信号
  5:语音信号
  6:保留
  7:保留 
值越大,优先级越高
3)ToS(服务类型):
DSCP:差分服务代码点
1>ToS是三层数据封装中的一个字段,该字段可以决定数据的传输顺序
2>封装值越大,越优先
4)具体配置:
1>对流量进行分类:
(config)#class-map  [match-any / match-all]  名
//match-any:符合任一条件
  match-all:符合所有条件
(config-cmap)#match  条件
//条件:
  access-group  name  访问列表表名    //符合访问控制列表 
  ip  dscp  值      //符合差分服务代码点
  ip  precedence  值    //符合IP优先权
  destination-address  IP地址   //符合目的IP地址
  source-address  IP地址    //符合源IP地址
  vlan   VLAN号     //符合指定VLAN
  input-interface  端口   //符合数据的流入端口
  protocol   协议    //符合协议
2>定义策略,对分类的数据进行处理  
(config)#policy-map  名1
(config-pmap)#class  名
(config-pmap-c)#动作
//动作:
  bandwidth  带宽    //指定带宽
  set  ip  dscp  值   //指定查分服务代码点
  set  ip  pricedence  值    //指定IP优先权
  trust  cos    //信任Cos
  trust  dscp   //信任差分服务代码点
  ip-precedence  //信任IP优先权
3>把策略应用到端口:
(config-if)#service-policy  input/output  名1
举例:
第一步:
class-map  match-any aa
match destination-address  192.168.20.1
match input-interface  fa0/0
class-map  match-any dd
match source-address  192.168.10.1
第二步:
policy-map  bb
class aa
set ip dscp 4
trust  dscp
class dd
set ip dscp 3
trust dscp
第三步:
(config-if)#service-policy output bb

5, 以太通道:把多条物理链路聚合成一条逻辑链路,以实现链路的冗余和负载均衡
1)应用场合:核心交换机之间
2)逻辑链路中最多放8条物理链路,可以提供10M--160G的速率
3)以太通道设计原则:
4)以太通道协议:
1>PAgP(端口聚合协议):Cisco私有协议;把“近似配置”的端口放入以太通道
PAgP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
auto(被动协商端口,默认设置) 
desirable(主动协商端口)
2>LACP(链路聚合控制协议):通用协议;把“近似配置”的端口放入以太通道
LACP的模式:
on(强制端口进入以太通道)
off(阻止端口进入以太通道)
passive(被动协商端口,默认设置) 
active(主动协商端口)
5)负载均衡策略:
基于源地址做负载均衡
基于目的地址做负载均衡
基于源和目的地址做负载均衡
6)配置:
1>建立以太通道:
(config)#interface  port-channel  通道号
(config-if)#ip address  IP地址  掩码
2>向以太通道中放入物理端口
(config)#interface  物理端口
(config-if)#channel-protocol  pagp/lacp
(config-if)#channel-group  通道号  mode  on/off/desirable/auto/active/passive
3>定义负载均衡策略:
(config)#port-channel load balance  src-mac/dst-mac/src-dst-mac/src-ip/dst-ip/src-dst-ip/src-port
/dst-port/src-dst-port
提示:两台二层交换机之间的以太通道,不需要配置IP地址和掩码
      两台三......................, 需要配置IP地址和掩码,做法是:
      (config)#interface  port-channel  通道号
      (config-if)#no switchport
      (config-if)#ip address  IP地址  掩码
 
安全措施:
安全:通过“验证、过滤、密码”等手段保证设备及网络的安全
一、密码:
二、验证:
三,过滤:访问控制列表(ACL)
1,基于“表号”的ACL:
1)基本表:通过“源地址”处理包
配置:
(config)#access-list  表号   deny/permit  源IP  源匹配码
//表号:  1--99或 1300---1999
(config-if)#ip  access-group  表号  in/out
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#access-list  表号   deny/permit  协议  源IP  源匹配码  目的IP  目的匹配码  参数  服务名/端口号
//表号:100---199 或 2000---2699
(config-if)#ip  access-group  表号  in/out
提示:以“表号”为主的ACL,只能建立、删除,不能修改
2,基于“表名”的ACL:
1)基本表:通过“源地址”处理包
配置
(config)#ip  access-list  standard  表名
(config-std-nacl)# deny/permit  源IP  源匹配码
删除表中语句:
(config)#ip  access-list  standard  表名
(config-std-nacl)# no deny/permit  源IP  源匹配码
向表中添加语句:
(config)#ip  access-list  standard  表名
(config-std-nacl)#序列号  deny/permit  源IP  源匹配码
应用表:
(config-if)#ip  access-group  表名  in/out

access-list 1 deny   192.168.10.0  0.0.0.255
access-list 1 permit  192.168.10.0  0.0.0.255

access-list 2 permit  192.168.10.0  0.0.0.255
access-list 2 deny  192.168.10.0  0.0.0.255
2)扩展表:通过“源地址”、“目的地址”、“协议”、“服务”处理包
配置:
(config)#ip access-list extended 表名
(config-ext-nacl)#deny/permit  协议  源IP  源匹配码  目的IP  目的匹配码  参数  服务名/端口号
应用表:
(config-if)#ip  access-group  表名  in/out

提示:以“表名”为主的ACL,可以建立、删除、修改
3,ACL的"注释"
1)以表号为主的ACL:
(config)#access-list  表号  remark  注释文字
2)以表名为主的ACL:
1>基本表:
(config)#ip access-list standard 表名
(config-std-nacl)#remark 注释文字
2>扩展表
(config)#ip access-list extended 表名
(config-ext-nacl)#remark 注释文字
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
      本文转自shenleigang 51CTO博客,原文链接:http://blog.51cto.com/shenleigang/167599,如需转载请自行联系原作者
 
 

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
3月前
|
存储 监控 安全
服务器维护是确保服务器稳定运行、数据安全和性能优化的重要过程
【10月更文挑战第4天】服务器维护是确保服务器稳定运行、数据安全和性能优化的重要过程
154 65
|
2月前
|
存储 大数据 数据处理
大数据环境下的性能优化策略
大数据环境下的性能优化策略
62 2
|
2月前
|
缓存 负载均衡 算法
性能优化:提升系统效率的关键
性能优化:提升系统效率的关键
82 1
|
3月前
|
存储 缓存 监控
性能优化技术:提升系统效率的关键策略
【10月更文挑战第19天】性能优化技术:提升系统效率的关键策略
|
5月前
|
运维 监控 安全
如何保障网络运行的高效性
【8月更文挑战第21天】如何保障网络运行的高效性
60 1
|
6月前
|
SQL 缓存 Java
系统性能优化总结
系统性能优化总结
88 10
|
7月前
|
存储 JSON 数据格式
如何提升写入效率?Schemaless 写入性能优化实践分享
TDengine 是一款时序数据库,其Schemaless模式适应物联网数据动态变化。通过分析火焰图,发现parser和insert操作是性能瓶颈。优化措施包括减少标签解析、排序和子表生成的重复执行,提前判断schema变更,改进数据插入方法,减少内存分配和拷贝。通过这些优化,如在3.0版本中,line协议性能提升了2.5倍,telnet提升2倍,json提升近5倍。使用工具如火焰图和perf进行性能分析,以识别和解决瓶颈,实现性能提升。
44 0
|
缓存 监控 NoSQL
Redis性能监测与故障排除:保障稳定性与优化性能
本篇深入探讨了如何监测Redis性能、使用性能分析工具优化性能,以及排除常见故障的方法。我们首先介绍了通过Redis的INFO命令获取服务器状态和性能信息,为实时监测提供了手段。进一步地,我们探讨了使用--latency选项的redis-cli工具来检测Redis命令延迟,帮助用户了解性能瓶颈。
718 0
|
8月前
|
SQL 缓存 数据库
后端开发中的数据库优化策略——提高性能和可靠性
在后端开发中,数据库是至关重要的一环。如何优化数据库,提高系统性能和可靠性,一直是后端开发者需要面对的问题。本文将介绍几个常用的数据库优化策略,包括数据结构设计、索引优化、SQL语句优化、缓存优化等方面,希望对后端开发者有所帮助。
87 2
|
消息中间件 监控 Java
系统稳定性保障设计总结和思考
系统稳定性保障设计总结和思考
561 0