收藏
下载资源

如何处理局域网广播风暴 生成树协议介绍.doc

上传人:公**** 文档编号:550314577 上传时间:2023-05-10 格式:DOC 页数:18 大小:924.50KB
返回 下载 相关 举报
如何处理局域网广播风暴 生成树协议介绍.doc_第1页
第1页 / 共18页
如何处理局域网广播风暴 生成树协议介绍.doc_第2页
第2页 / 共18页
如何处理局域网广播风暴 生成树协议介绍.doc_第3页
第3页 / 共18页
如何处理局域网广播风暴 生成树协议介绍.doc_第4页
第4页 / 共18页
如何处理局域网广播风暴 生成树协议介绍.doc_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《如何处理局域网广播风暴 生成树协议介绍.doc》由会员分享,可在线阅读,更多相关《如何处理局域网广播风暴 生成树协议介绍.doc(18页珍藏版)》请在金锄头文库上搜索。

1、编号密级规范性文档湖北省建行二级分行局域网络安全设计规范Version 1.0中国建设银行 湖北省分行2013年3月文档修订记录序号修订内容简述修订日期目前版本号作者1文档建立2013-2-11.02013-6-11.1目录1.网络结构设计31.1.两层结构31.2.单层结构31.3.二层连接模式扩展41.4.总行IP规划总表以为例:51.5.楼层设备管理地址71.5.1.楼层汇聚设备管理IP规划72.安全72.1.安全设计指导原则72.2.安全措施72.3.设备自身安全加固72.4.客户端安全措施83.实施指导83.1.网卡工作模式83.2.二层交换网络实施指导93.2.1.设定生成树STP

2、的主根、次根93.2.2.生成树优化9BPDU Guard(BPDU保护)93.3.VLAN及Trunk设置113.4.网关备份协议124.附录124.1.生成树协议124.2.生成树协议(STP)类型选择134.3.Cisco生成树协议增强特性指南134.4.H3C生成树协议特性154.5.锐捷生成树协议特性16 1. 网络结构设计客户端区通常包括一个或多个建筑,每个建筑定义为一个节点,主节点与服务器区在同一建筑内,其它建筑为分支节点。这样对于数据的传输和安全给最大保障。1.1. 两层结构两层结构为终端用户通过两层交换设备接入网络,其结构如下图所示:图表 2 节点两层结构两层网络结构分为汇聚

3、设备和楼层接入设备。楼层接入设备通常部署在各个楼层,用于各楼层的终端用户直接接入,楼层接入设备通过光纤双绞线连接至汇聚设备,汇聚设备作为这个节点客户端网络的统一出口。1.2. 单层结构单层结构为终端用户通过单层交换设备接入网络,其结构如下图所示:图表 3 节点单层结构终端用户通过综合布线,直接从信息接入点接入两台汇聚交换机,这两台交换机也作为本节点客户端网络的唯一出口。1.3. 二层连接模式扩展扩展方式二层连接模式扩展A、接入层交换机使用二层方式连接至汇聚交换机,两台汇聚交换机之间通过两个千兆光纤互联采用EtherChannel技术捆绑成逻辑的通道,两交换机互联接口运行于Trunk模式,封装8

4、02.1Q协议,允许客户端已划分的所有VLAN,未划分的VLAN不在允许的范围内。B、两台汇聚交换机分别作为生成树的主根和次根。各接入交换机根据楼层及用户所在部门,按需划分VLAN,接入交换机使用Trunk连接至两台汇聚交换机,在Trunk链路上仅允许该交换机划分过的VLAN。C、VLAN内的网关由上路由器的子接口承担,汇聚路由器启用HSRP或VRRP,以提供网关的冗余性。采用该模式进行组网,方便用户进行搬迁,无需更改IP地址,管理员只需修改信息点对应的VLAN即可。但由于通过二层方式接入至汇聚交换机,二层广播域较大,需要注意防范广播风暴的冲击和二层环路风险,避免不同客户端间的相互影响。1.4

5、. 总行IP规划总表以为例:黄冈14452.144.0.1-52.144.31.254被管理设备52.144.0.1-52.144.3.254自主分配52.144.4.1-52.144.7.254总行统一网管主机52.144.8.1-52.144.15.254总行统一网管客户端52.144.16.1-52.144.19.254自主分配系统和业务管理主机52.144.20.1-52.144.23.254总行统一备用52.144.24.1-52.144.29.254总行统一Loopback52.144.30.1-52.144.31.254总行统一52.144.32.1-52.144.63.254业

6、务一类52.144.32.1-52.144.43.254总行统一52.144.44.1-52.144.63.254自主分配52.144.64.1-52.144.95.254业务二类52.144.64.1-52.144.87.254总行统一52.144.88.1-52.144.95.254自主分配52.144.96.1-52.144.127.254基础设施类52.144.96.1-52.144.127.254总行统一52.144.128.1-52.144.159.254视频语音52.144.128.1-52.144.151.254总行统一52.144.152.1-52.144.159.254自主

7、分配52.144.160.1-52.144.191.254OA服务器52.144.160.1-52.144.171.254总行统一OA客户端52.144.172.1-52.144.189.254自主分配一级行OA服务器52.144.190.1-52.144.191.254总行统一52.144.192.1-52.144.223.254外联网络系统52.144.192.1-52.144.207.254DMZ前置区52.144.208.1-52.144.215.254预留备用52.144.216.1-52.144.223.254互联网52.144.224.1-52.144.254.254局域网互联地

8、址52.144.224.1-52.144.228.254总行统一52.144.229.1-52.144.239.254自主分配广域网互联地址52.144.240.1-52.144.244.254总行统一52.144.245.1-52.144.254.254自主分配1.5. 楼层设备管理地址1.5.1. 楼层汇聚设备管理IP规划以荆门5楼和9楼交换机管理ip为例:地址用途设备名例:JMIP地址/地址段管理地址Vlan-interface100HB_JM_LC5_SW152.64.0.125(最后一位IP100加楼层乘5)HB_JM_LC9_SW152.64.0.145(最后一位IP100加楼层乘

9、5)图表 9汇聚设备IP地址规划2. 安全2.1. 安全设计指导原则客户端区网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发;保护在二级分行行大楼(或同城其他机关大楼)内的业务1类客户端网络资源可用,保障服务品质。实现业务1类客户端与OA类客户端的安全隔离。为客户端桌面安全准入控制提供网络环境。2.2. 安全措施防止地址欺骗在各网段所在的网关设备(核心路由器)子接口上配置ACL(与防病毒ACL合并),仅允许分行客户端所在地址范围内的地址接入网络;业务1类、OA类、网管客户端相互隔离要求不同类别的客户端之间实现二层及三层的隔离,禁止相互访问。ARP病毒防护通过ARP检查

10、保证接入交换机只传递“合法的”的ARP请求和应答信息,而将“虚假的”ARP条目在网络端口上丢弃,避免网络遭受ARP病毒的破坏。控制广播风暴在接入交换机各个端口进行广播风暴控制,控制在1%以下;2.3. 设备自身安全加固启用安全认证设置登陆权限,启用用户名和密码认证,配置8位以上,包含数字、大小写字母和符号的密码,定期三个月内修改一次密码,并禁止明文显示密码;对VTY Telnet进行严格控制对VTY Telnet使用ACL进行限制,仅管理员指定的客户端能进行Telnet,并配置超时时间,推荐为5分钟;关闭设备上不必要的服务关闭网络设备不必要的服务,如HTTP Server、DHCP服务、VTP

11、、CDP、DNS查找.WEB可适当开起。关闭接口上不必要的服务关闭ARP 代理、ICMP不可达服务;关闭客户端区汇聚交换机、接入交换机不使用的端口关闭客户端区汇聚交换机、接入交换机不使用的端口,按需使用端口资源;SNMP Community串必须配置ACL仅允许网管服务器、网管客户端访问网络设备的SNMP读写操作。2.4. 客户端安全措施接入客户端区网络的客户端必须按照总行安全管理处下发的有关防病毒系统、桌面办公安全管理系统等相关规定,及时安装防病毒软件以及桌面办公安全管理软件(LANDESK),并做到及时升级。3. 实施指导3.1. 网卡工作模式目前局域网端口工作模式主要包括10BaseT、

12、100BaseTX和1000BaseT、1000Base SX等,这些技术工作在不同的速率和双工模式下,在不同的技术互连中可能存在互操作的问题,并引发潜在的网络故障,为此需要对交换机端口采用的工作模式进行规范。各种端口模式比较如下表:自动协商强制指定优点线缆单通时可以通过协商关闭两端的端口各种网络设备及NIC默认为自动协商,不需要手动指定,可以降低维护成本通过更主动的方式使互连端口初始能够工作在最佳方式不依赖自动协商技术及平行检测技术不依赖与产品是否具备自动协商技术缺点依赖于自动协商及平行检测技术的互操作性依赖于产品对自动协商技术的支持协商结果可能不是互连最佳的工作模式线缆单通时无法通过协商关

13、闭发送端的端口需要手动修改网络设备及NIC的默认配置,维护成本高趋势随着标准的改进及各厂家技术的成熟,业界倾向于使用这种方式例外情况NIC或网络设备不支持自动协商NIC或网络设备协商不能很好的兼容NIC驱动缺陷,虽然设置了auto,但仍然使用某一指定工作方式NIC驱动缺陷,虽然设置了某一指定工作方式,但网卡仍然使用auto和对端协商图表 14 各种端口模式比较端口工作模式设置配置原则互连设备两端的配置方式必须相同,即两端都设置为auto或指定为相同的speed,duplex工作方式。建议1000M光口及电口互连使用auto模式。3.2. 二层交换网络实施指导3.2.1. 设定生成树STP的主根

14、、次根通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。对二层根不在核心交换机上的Vlan重新调整其根设定,将根统一设置到核心交换机上。对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下:汇聚交换机HB_TT_SW_1设置为所有VLAN的生成树的主根;汇聚交换机HB_TT_SW_2设置为所有VLAN的生成树的次根;3.2.2. 生成树优化Spanning Tree的计算由四步组成:Blocking、Listening、Learning、Forwarding。通常一个端口从Blocking到Forwarding的时间大致为3050秒。1) 将交换机和客户端连接的端口配置为边缘接口。2) 边缘端口不直接或间接与任何交换机连接,则可以不用经过中间状态而直接进入转发状态。为防止边缘接口接收BPDU信息,需要在边缘接口配置BPDUGuard。BPDU Guard(BPDU保护)BPDU保护仅用在PortF

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号