《如何处理局域网广播风暴 生成树协议介绍(同名24430)》由会员分享,可在线阅读,更多相关《如何处理局域网广播风暴 生成树协议介绍(同名24430)(19页珍藏版)》请在金锄头文库上搜索。
1、规范性文档规范性文档 湖北省建行二级分行湖北省建行二级分行 局域网络安全设计规范局域网络安全设计规范 Version 1.0 中国建设银行中国建设银行 湖北省分行湖北省分行 2013 年年 3 月月 编号 密级 中国建设银行 湖北省分行信息技术部第 1 页,共 16 页 文档修订记录文档修订记录 序号序号修订内容简述修订内容简述修订日期修订日期目前版本号目前版本号作者作者 1文档建立2013-2-11.0 2013-6-11.1 目目 录录 1.网络结构设计 .3 1.1.两层结构.3 1.2.单层结构.3 1.3.二层连接模式扩展.4 1.4.总行 IP 规划总表以为例: .5 1.5.楼层
2、设备管理地址.7 1.5.1.楼层汇聚设备管理 IP 规划7 2.安全7 2.1.安全设计指导原则.7 2.2.安全措施.7 2.3.设备自身安全加固.7 2.4.客户端安全措施8 3.实施指导.8 3.1.网卡工作模式8 3.2.二层交换网络实施指导 .9 3.2.1.设定生成树 STP 的主根、次根.9 3.2.2.生成树优化.9 BPDU GUARD(BPDU 保护) .9 3.3.VLAN 及 TRUNK设置11 3.4.网关备份协议12 4.附录12 4.1.生成树协议 .12 4.2.生成树协议(STP)类型选择.13 4.3.CISCO生成树协议增强特性指南 .13 4.4.H3
3、C 生成树协议特性15 4.5.锐捷生成树协议特性.16 中国建设银行 湖北省分行信息技术部第 3 页,共 16 页 1.网络结构设计网络结构设计 客户端区通常包括一个或多个建筑,每个建筑定义为一个节点,主节点与服务器区 在同一建筑内,其它建筑为分支节点。这样对于数据的传输和安全给最大保障。 1.1.两层结构两层结构 两层结构为终端用户通过两层交换设备接入网络,其结构如下图所示: 汇聚设备 楼层接入设备 图表 1 节点两层结构 两层网络结构分为汇聚设备和楼层接入设备。楼层接入设备通常部署在各个楼层, 用于各楼层的终端用户直接接入,楼层接入设备通过光纤双绞线连接至汇聚设备,汇聚 设备作为这个节点
4、客户端网络的统一出口。 1.2.单层结构单层结构 单层结构为终端用户通过单层交换设备接入网络,其结构如下图所示: 图表 2 节点单层结构 终端用户通过综合布线,直接从信息接入点接入两台汇聚交换机,这两台交换机也 作为本节点客户端网络的唯一出口。 1.3.二层连接模式扩展二层连接模式扩展 扩展方式扩展方式 二层连接 Trunk VLAN AVLAN BVLAN CVLAN D 网网关关 横向扩展 (A) (C) 纵向扩展 Trunk 堆叠扩展 (B) 二层连接模式扩展 A、接入层交换机使用二层方式连接至汇聚交换机,两台汇聚交换机之间通过两个 千兆光纤互联采用 EtherChannel 技术捆绑成
5、逻辑的通道,两交换机互联接口运行于 Trunk 模式,封装 802.1Q 协议,允许客户端已划分的所有 VLAN,未划分的 VLAN 不 在允许的范围内。 B、两台汇聚交换机分别作为生成树的主根和次根。各接入交换机根据楼层及用户 所在部门,按需划分 VLAN,接入交换机使用 Trunk 连接至两台汇聚交换机,在 Trunk 中国建设银行 湖北省分行信息技术部第 5 页,共 16 页 链路上仅允许该交换机划分过的 VLAN。 C、VLAN 内的网关由上路由器的子接口承担,汇聚路由器启用 HSRP 或 VRRP, 以提供网关的冗余性。 采用该模式进行组网,方便用户进行搬迁,无需更改 IP 地址,管
6、理员只需修改信 息点对应的 VLAN 即可。但由于通过二层方式接入至汇聚交换机,二层广播域较大, 需要注意防范广播风暴的冲击和二层环路风险,避免不同客户端间的相互影响。 1.4.总行总行 IP 规划总表以为例:规划总表以为例: 52.144.0.1-52.144.3.254 自主 分配 被管理设备 52.144.4.1-52.144.7.254 总行 统一 网管主机 52.144.8.1-52.144.15.254 总行 统一 网管客户端 52.144.16.1-52.144.19.254 自主 分配 系统和业务 管理主机 52.144.20.1-52.144.23.254 总行 统一 备用
7、52.144.24.1-52.144.29.254 总行 统一 52.144.0.1-52.144.31.254 Loopback52.144.30.1-52.144.31.254 总行 统一 52.144.32.1-52.144.43.254 总行 统一 52.144.32.1-52.144.63.254 业务一类 52.144.44.1-52.144.63.254 自主 分配 52.144.64.1-52.144.87.254 总行 统一 黄冈黄冈 144 52.144.64.1-52.144.95.254 业务二类 52.144.88.1-52.144.95.254 自主 分配 52.1
8、44.96.1-52.144.127.254 基础设施类 52.144.96.1-52.144.127.254 总行 统一 52.144.128.1-52.144.151.254 总行 统一 52.144.128.1-52.144.159.254 视频语音 52.144.152.1-52.144.159.254 自主 分配 OA 服务器 52.144.160.1-52.144.171.254 总行 统一 OA 客户端 52.144.172.1-52.144.189.254 自主 分配 52.144.160.1-52.144.191.254 一级行 OA 服 务器 52.144.190.1-52
9、.144.191.254 总行 统一 52.144.192.1-52.144.207.254 DMZ 前置 区 52.144.208.1-52.144.215.254 预留 备用 52.144.192.1-52.144.223.254 外联网络系 统 52.144.216.1-52.144.223.254 互联 网 52.144.224.1-52.144.228.254 总行 统一局域网互联 地址 52.144.229.1-52.144.239.254 自主 分配 52.144.240.1-52.144.244.254 总行 统一 52.144.224.1-52.144.254.254 广域网
10、互联 地址 52.144.245.1-52.144.254.254 自主 分配 中国建设银行 湖北省分行信息技术部第 7 页,共 16 页 1.5.楼层设备管理地址楼层设备管理地址 1.5.1.楼层汇聚设备管理楼层汇聚设备管理 IP 规划规划 以荆门 5 楼和 9 楼交换机管理 ip 为例: 地址用途地址用途设备名例:设备名例:JMIP 地址地址/地址段地址段 HB_JM_LC5_SW1 52.64.0.125(最后一位 IP100 加楼层 乘 5) 管理地址 Vlan-interface100 HB_JM_LC9_SW1 52.64.0.145(最后一位 IP100 加楼层 乘 5) 图表
11、3 汇聚设备 IP 地址规划 2.安全安全 2.1.安全设计指导安全设计指导原则原则 客户端区网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网 络高效数据转发; 保护在二级分行行大楼(或同城其他机关大楼)内的业务 1 类客户端网络资源 可用,保障服务品质。 实现业务 1 类客户端与 OA 类客户端的安全隔离。 为客户端桌面安全准入控制提供网络环境。 2.2.安全安全措施措施 防止地址欺骗防止地址欺骗 在各网段所在的网关设备(核心路由器)子接口上配置 ACL(与防病毒 ACL 合并) ,仅允许分行客户端所在地址范围内的地址接入网络; 业务业务 1 类、类、OA 类、网管客户端相互隔离
12、类、网管客户端相互隔离 要求不同类别的客户端之间实现二层及三层的隔离,禁止相互访问。 ARP 病毒防护病毒防护 通过 ARP 检查保证接入交换机只传递“合法的”的 ARP 请求和应答信息,而 将“虚假的”ARP 条目在网络端口上丢弃,避免网络遭受 ARP 病毒的破 坏。 控制广播风暴控制广播风暴 在接入交换机各个端口进行广播风暴控制,控制在 1%以下; 2.3.设备自身安全加固设备自身安全加固 启用安全认证启用安全认证 设置登陆权限,启用用户名和密码认证,配置 8 位以上,包含数字、大小 写字母和符号的密码,定期三个月内修改一次密码,并禁止明文显示密码; 对对 VTY Telnet 进行严格控
13、制进行严格控制 对 VTY Telnet 使用 ACL 进行限制,仅管理员指定的客户端能进行 Telnet,并配置超时时间,推荐为 5 分钟; 关闭设备上不必要的服务关闭设备上不必要的服务 关闭网络设备不必要的服务,如 HTTP Server、DHCP 服务、 VTP、CDP、DNS 查找.WEB 可适当开起。 关闭接口上不必要的服务关闭接口上不必要的服务 关闭 ARP 代理、ICMP 不可达服务; 关闭客户端区汇聚交换机、接入交换机不使用的端口关闭客户端区汇聚交换机、接入交换机不使用的端口 关闭客户端区汇聚交换机、接入交换机不使用的端口,按需使用端口资源; SNMP Community 串必
14、须配置串必须配置 ACL 仅允许网管服务器、网管客户端访问网络设备的 SNMP 读写操作。 2.4.客户端安全措施客户端安全措施 接入客户端区网络的客户端必须按照总行安全管理处下发的有关防病毒系统、桌面 办公安全管理系统等相关规定,及时安装防病毒软件以及桌面办公安全管理软件 (LANDESK),并做到及时升级。 3.实施指导实施指导 3.1.网卡工作模式网卡工作模式 目前局域网端口工作模式主要包括 10BaseT、100BaseTX 和 1000BaseT、1000Base SX 等,这些技术工作在不同的速率和双工模式下,在不同的 技术互连中可能存在互操作的问题,并引发潜在的网络故障,为此需要
15、对交换机端口采 用的工作模式进行规范。 各种端口模式比较如下表: 中国建设银行 湖北省分行信息技术部第 9 页,共 16 页 自动协商强制指定 优点线缆单通时可以通过协商关闭两端的端 口 各种网络设备及 NIC 默认为自动协商, 不需要手动指定,可以降低维护成本 通过更主动的方式使互连端口初始能够工作 在最佳方式 不依赖自动协商技术及平行检测技术 不依赖与产品是否具备自动协商技术 缺点依赖于自动协商及平行检测技术的互操 作性 依赖于产品对自动协商技术的支持 协商结果可能不是互连最佳的工作模式 线缆单通时无法通过协商关闭发送端的端口 需要手动修改网络设备及 NIC 的默认配置, 维护成本高 趋势
16、随着标准的改进及各厂家技术的成熟, 业界倾向于使用这种方式 例外情况NIC 或网络设备不支持自动协商 NIC 或网络设备协商不能很好的兼容 NIC 驱动缺陷,虽然设置了 auto,但仍 然使用某一指定工作方式 NIC 驱动缺陷,虽然设置了某一指定工作方 式,但网卡仍然使用 auto 和对端协商 图表 4 各种端口模式比较 端口工作模式设置端口工作模式设置配置原则配置原则 互连设备两端的配置方式必须相同,即两端都设置为 auto 或指定为相同的 speed,duplex 工作方式。 建议 1000M 光口及电口互连使用 auto 模式。 3.2.二层交换网络实施指导二层交换网络实施指导 3.2.1.设定生成树设定生成树 STP 的主根、次根的主根、次根 通过 STP 协议进行竞选 STP 根,排障时难以及时找出 STP 根的位置。因此, 应人为指定核心交换机作为局域网的 STP 根网桥/次根网桥。对二层根不在核心交 换机上的 Vlan 重新调整其根设定,将根统一设置到核心交换机上。 对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下
