廣播風(fēng)暴處理

1、高偉達(dá)武漢分公司第 1 頁(yè)，共 16 頁(yè)目目 錄錄1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) .41.1.客戶端區(qū)網(wǎng)絡(luò)邏輯分層結(jié)構(gòu).41.2.節(jié)點(diǎn)網(wǎng)絡(luò)物理結(jié)構(gòu).51.2.1.兩層結(jié)構(gòu).51.2.2.單層結(jié)構(gòu).51.3.客戶端網(wǎng)絡(luò)邏輯結(jié)構(gòu)及擴(kuò)展方式.61.3.1.三層連接模式及擴(kuò)展.61.3.2.二層連接模式及擴(kuò)展.71.3.3.二層、三層相結(jié)合 .92.IP 地址規(guī)劃 .102.1.客戶端 IP 地址規(guī)劃原則.102.2.網(wǎng)絡(luò)設(shè)備地址規(guī)劃.102.2.1.匯聚設(shè)備.102.2.2.接入設(shè)備.103.安全.103.1.安全設(shè)計(jì)指導(dǎo)原則.103.2.安全措施.113.2.1.安全控制措施 .113.2.2.設(shè)備自身安全加固

2、 .113.2.3.客戶端安全措施.124.網(wǎng)絡(luò)管理.124.1.網(wǎng)絡(luò)管理的內(nèi)容.124.2.網(wǎng)管協(xié)議選型.134.3.網(wǎng)管配置要求.145.實(shí)施指導(dǎo).145.1.客戶端接入設(shè)計(jì).145.1.1.客戶端分類接入.145.1.2.客戶端區(qū)二層、三層連接模式的選擇 .155.1.3.網(wǎng)卡工作模式 .155.2.CCI 系統(tǒng)部署.165.3.分支機(jī)構(gòu)接入.165.3.1.分支機(jī)構(gòu)接入客戶端區(qū)匯聚交換機(jī).175.3.2.分支機(jī)構(gòu)接入 RTP 區(qū)匯聚交換機(jī).175.4.二層交換網(wǎng)絡(luò)實(shí)施指導(dǎo) .185.4.1.設(shè)定生成樹(shù)的主根、次根 .185.4.2.生成樹(shù)優(yōu)化.185.4.3.VLAN 及 Trunk

3、設(shè)置.185.5.網(wǎng)關(guān)備份協(xié)議.186.附錄.196.1.生成樹(shù)協(xié)議 .196.1.1.生成樹(shù)協(xié)議（STP）類型選擇 .196.1.2.Cisco 生成樹(shù)協(xié)議增強(qiáng)特性指南.20高偉達(dá)武漢分公司第 2 頁(yè)，共 16 頁(yè)6.1.3.H3C 生成樹(shù)協(xié)議特性.216.1.4.銳捷生成樹(shù)協(xié)議特性.22高偉達(dá)武漢分公司第 3 頁(yè)，共 16 頁(yè) 1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)客戶端區(qū)通常包括一個(gè)或多個(gè)建筑，每個(gè)建筑定義為一個(gè)節(jié)點(diǎn)，主節(jié)點(diǎn)與分行服務(wù)器區(qū)在同一建筑內(nèi)，其它建筑為分支節(jié)點(diǎn)。1.1.客戶端區(qū)網(wǎng)絡(luò)邏輯分層結(jié)構(gòu)客戶端區(qū)網(wǎng)絡(luò)邏輯分層結(jié)構(gòu)客戶端區(qū)網(wǎng)絡(luò)遵循分層模塊化結(jié)構(gòu)設(shè)計(jì)原則，其網(wǎng)絡(luò)層次結(jié)構(gòu)分為以下幾個(gè)邏輯模

4、塊： 局域網(wǎng)核心交換區(qū)邊界安全隔離層匯聚層接入層終端安全控制層圖表 1 客戶端區(qū)網(wǎng)絡(luò)邏輯結(jié)構(gòu)圖局域網(wǎng)核心交換區(qū)局域網(wǎng)核心交換區(qū)為一級(jí)分行局域網(wǎng)的核心，用于連接一級(jí)分行各個(gè)網(wǎng)絡(luò)分區(qū)，客戶端區(qū)也通過(guò)局域網(wǎng)核心交換機(jī)與其他分區(qū)通信。二級(jí)分行參考上圖。邊界安全隔離層邊界安全隔離層作為客戶端區(qū)與核心交換區(qū)之間的邊界和接口，與局域網(wǎng)核心安全隔離。匯聚層匯聚層作為接入交換機(jī)的匯聚點(diǎn)，提供匯聚功能、策略控制和隔離。終端安全控制層終端安全控制層用于實(shí)施終端安全準(zhǔn)入控制以及客戶端間的安全訪問(wèn)控制。接入層接入層高偉達(dá)武漢分公司第 4 頁(yè)，共 16 頁(yè)用于終端接入，是客戶端網(wǎng)絡(luò)的最外層。1.2.節(jié)點(diǎn)網(wǎng)絡(luò)物理結(jié)構(gòu)節(jié)點(diǎn)網(wǎng)

5、絡(luò)物理結(jié)構(gòu)1.2.1.兩層結(jié)構(gòu)兩層結(jié)構(gòu)兩層結(jié)構(gòu)為終端用戶通過(guò)兩層交換設(shè)備接入網(wǎng)絡(luò)，其結(jié)構(gòu)如下圖所示：匯聚設(shè)備樓層接入設(shè)備圖表 2 節(jié)點(diǎn)兩層結(jié)構(gòu)如上圖所示，兩層網(wǎng)絡(luò)結(jié)構(gòu)分為匯聚設(shè)備和樓層接入設(shè)備組成。樓層接入設(shè)備通常部署在各個(gè)樓層的配線間，用于各樓層的終端用戶直接接入，樓層接入設(shè)備通過(guò)光纖連接至匯聚設(shè)備，匯聚設(shè)備作為本節(jié)點(diǎn)客戶端網(wǎng)絡(luò)的統(tǒng)一出口。1.2.2.單層結(jié)構(gòu)單層結(jié)構(gòu)單層結(jié)構(gòu)為終端用戶通過(guò)單層交換設(shè)備接入網(wǎng)絡(luò)，其結(jié)構(gòu)如下圖所示： 圖表 3 節(jié)點(diǎn)單層結(jié)構(gòu)終端用戶通過(guò)綜合布線，直接從信息接入點(diǎn)接入兩臺(tái)交換機(jī)，這兩臺(tái)交換機(jī)也作為本節(jié)點(diǎn)客戶端網(wǎng)絡(luò)的出口。高偉達(dá)武漢分公司第 5 頁(yè)，共 16 頁(yè)1.3

6、.客戶端網(wǎng)絡(luò)邏輯結(jié)構(gòu)及擴(kuò)展方式客戶端網(wǎng)絡(luò)邏輯結(jié)構(gòu)及擴(kuò)展方式客戶端區(qū)接入層交換機(jī)與匯聚交換機(jī)之間有多種連接模式，分別有二層連接模式、三層連接模式以及二、三層相結(jié)合的連接模式。1.3.1.三層連接模式及擴(kuò)展三層連接模式及擴(kuò)展接入交換機(jī)通過(guò)三層方式連接至匯聚交換機(jī)，如下圖所示：三層連接三層連接VLAN AVLAN BVLAN CVLAN D網(wǎng)網(wǎng)關(guān)關(guān)圖表 4 三層連接模式兩臺(tái)匯聚交換機(jī)之間通過(guò)兩個(gè)千兆光纖互聯(lián)，采用 EtherChannel 技術(shù)捆綁成邏輯的通道，兩交換機(jī)互聯(lián)接口運(yùn)行于路由模式或交換模式，使用三層互聯(lián)。接入交換機(jī)通過(guò)三層方式連接至兩臺(tái)匯聚交換機(jī)。每個(gè) VLAN 對(duì)應(yīng)一段連續(xù)的地址段，V

7、LAN 內(nèi)的網(wǎng)關(guān)由接入交換機(jī) SVI 接口承擔(dān)。采用該組網(wǎng)模式，可有效的分割二層廣播域，隔離客戶端與匯聚交換機(jī)，避免不同網(wǎng)段客戶端之間的相互影響。擴(kuò)展方式擴(kuò)展方式高偉達(dá)武漢分公司第 6 頁(yè)，共 16 頁(yè)三層連接三層連接VLAN AVLAN BVLAN CVLAN D網(wǎng)網(wǎng)關(guān)關(guān)橫向擴(kuò)展（A）TrunkTrunk（C）縱向擴(kuò)展堆疊擴(kuò)展（B）圖表 5 三層連接模式擴(kuò)展（A）橫向擴(kuò)展：在信息點(diǎn)足夠時(shí)，保持兩層接入結(jié)構(gòu)，新增接入交換機(jī)，與同層大樓所在接入交換機(jī)使用 Trunk 互聯(lián)，運(yùn)行 HSRP 或 VRRP 提供網(wǎng)關(guān)冗余性，并使用三層方式連接至兩臺(tái)匯聚交換機(jī)；（B）堆疊擴(kuò)展：在信息點(diǎn)足夠時(shí)，且接入交換

8、機(jī)支持堆疊功能，保持兩層接入結(jié)構(gòu)，使用堆疊方式進(jìn)行擴(kuò)展；（B）縱向擴(kuò)展：在信息點(diǎn)不足時(shí)，通過(guò)在接入交換機(jī)單線下聯(lián)交換機(jī)使用Trunk 方式擴(kuò)展，Trunk 鏈路僅允許下聯(lián)交換機(jī)劃分的 VLAN；1.3.2.二層連接模式及擴(kuò)展二層連接模式及擴(kuò)展接入層交換機(jī)使用二層方式連接至匯聚交換機(jī)，如下圖所示：高偉達(dá)武漢分公司第 7 頁(yè)，共 16 頁(yè) 二層連接TrunkVLAN AVLAN BVLAN CVLAN D網(wǎng)網(wǎng)關(guān)關(guān)圖表 6 二層連接模式兩臺(tái)匯聚交換機(jī)之間通過(guò)兩個(gè)千兆光纖互聯(lián)，采用 EtherChannel 技術(shù)捆綁成邏輯的通道，兩交換機(jī)互聯(lián)接口運(yùn)行于 Trunk 模式，封裝 802.1Q 協(xié)議，并允

9、許客戶端已劃分的所有 VLAN，未劃分的 VLAN 不在允許的范圍內(nèi)。兩臺(tái)匯聚交換機(jī)分別作為生成樹(shù)的主根和次根。各接入交換機(jī)根據(jù)樓層及用戶所在部門，按需劃分 VLAN，接入交換機(jī)使用 Trunk 連接至兩臺(tái)匯聚交換機(jī)，在 Trunk 鏈路上僅允許該交換機(jī)劃分過(guò)的 VLAN。接入交換機(jī)之間無(wú)連接，不同接入交換機(jī)之間的數(shù)據(jù)通信通過(guò)匯聚交換機(jī)轉(zhuǎn)發(fā)。每個(gè) VLAN 對(duì)應(yīng)一段連續(xù)的地址段，VLAN 內(nèi)的網(wǎng)關(guān)由匯聚交換機(jī)的 SVI 接口承擔(dān)，匯聚交換機(jī)啟用 HSRP 或 VRRP，以提供網(wǎng)關(guān)的冗余性。采用該模式進(jìn)行組網(wǎng)，方便用戶進(jìn)行搬遷，無(wú)需更改 IP 地址，管理員只需修改信息點(diǎn)對(duì)應(yīng)的 VLAN 即可。但

10、由于通過(guò)二層方式接入至匯聚交換機(jī)，二層廣播域較大，需要注意防范廣播風(fēng)暴的沖擊和二層環(huán)路風(fēng)險(xiǎn)，避免不同客戶端間的相互影響。擴(kuò)展方式擴(kuò)展方式高偉達(dá)武漢分公司第 8 頁(yè)，共 16 頁(yè)二層連接TrunkVLAN AVLAN BVLAN CVLAN D網(wǎng)網(wǎng)關(guān)關(guān)橫向擴(kuò)展（A）（C）縱向擴(kuò)展Trunk堆疊擴(kuò)展（B）圖表 7 二層連接模式擴(kuò)展（A）橫向擴(kuò)展：在信息點(diǎn)足夠時(shí)，保持兩層接入結(jié)構(gòu)，新增接入交換機(jī)使用Trunk 連接至匯聚交換機(jī)；（B）堆疊擴(kuò)展：在信息點(diǎn)足夠時(shí)，且接入交換機(jī)支持堆疊功能，保持兩層接入結(jié)構(gòu)，使用堆疊方式進(jìn)行擴(kuò)展；（C）縱向擴(kuò)展：在信息點(diǎn)不足時(shí)，通過(guò)在接入交換機(jī)單線下聯(lián)交換機(jī)使用Trunk

11、 方式擴(kuò)展，Trunk 鏈路僅允許下聯(lián)交換機(jī)劃分的 VLAN；1.3.3.二層、三層相結(jié)合二層、三層相結(jié)合二層、三層相結(jié)合的連接模式如下圖所示：二二層層連連接接TrunkVLAN AVLAN BVLAN CVLAN DVLAN A 、B網(wǎng)網(wǎng)關(guān)關(guān)三三層層連連接接VLAN C、D網(wǎng)網(wǎng)關(guān)關(guān)圖表 8 二層、三層相結(jié)合連接模式該模式物理結(jié)構(gòu)仍然為兩層接入結(jié)構(gòu)，部分接入交換機(jī)采用二層接入模式連接匯聚高偉達(dá)武漢分公司第 9 頁(yè)，共 16 頁(yè)交換機(jī)，部分接入交換機(jī)采用三層接入模式接入?yún)R聚交換機(jī)。該模式結(jié)合了二層和三層連接方式，擴(kuò)展方式與二者無(wú)異。2.安全安全2.1.安全設(shè)計(jì)指導(dǎo)原則安全設(shè)計(jì)指導(dǎo)原則客戶端區(qū)網(wǎng)絡(luò)

12、安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)；保護(hù)在二級(jí)分行行大樓（或同城其他機(jī)關(guān)大樓）內(nèi)的 CCI 座席和業(yè)務(wù) 1 類客戶端網(wǎng)絡(luò)資源可用，保障服務(wù)品質(zhì)。實(shí)現(xiàn)業(yè)務(wù) 1 類客戶端與 OA 類客戶端的安全隔離。為客戶端桌面安全準(zhǔn)入控制提供網(wǎng)絡(luò)環(huán)境。2.2.安全措施安全措施2.2.1.安全控制措施安全控制措施控制異常流量、防止病毒擴(kuò)散控制異常流量、防止病毒擴(kuò)散在客戶端區(qū)交換機(jī)網(wǎng)關(guān)接口配置防病毒 ACL，防止常見(jiàn)病毒擴(kuò)散，具體 ACL內(nèi)防止地址欺騙防止地址欺騙在客戶端區(qū)交換機(jī)網(wǎng)關(guān)接口配置 ACL（與防病毒 ACL 合并） ，僅允許分行客戶端所在地址范圍內(nèi)的地址接入網(wǎng)絡(luò)；業(yè)務(wù)業(yè)

13、務(wù) 1 類、類、OA 類、類、CCI 類、網(wǎng)管客戶端相互隔離類、網(wǎng)管客戶端相互隔離要求不同類別的客戶端之間實(shí)現(xiàn)二層及三層的隔離，禁止相互訪問(wèn)。業(yè)務(wù)業(yè)務(wù) 1 類客戶端、網(wǎng)管客戶端綁定類客戶端、網(wǎng)管客戶端綁定 IP、MAC 地址和交換機(jī)端口地址和交換機(jī)端口在業(yè)務(wù) 1 類客戶端網(wǎng)關(guān)所在交換機(jī)配置客戶端 IP 地址與 MAC 地址靜態(tài)映射；在業(yè)務(wù) 1 類客戶端接入交換機(jī)上配置客戶端 MAC 地址與交換機(jī)端口靜態(tài)邦定。僅允許該端口下聯(lián)的客戶端 MAC 地址，當(dāng)超過(guò)設(shè)定 MAC 地址數(shù)量的最大值，或訪問(wèn)該端口的設(shè)備 MAC 地址不是這個(gè) MAC 地址表中該端口的MAC 地址，或同一個(gè) VLAN 中一個(gè) M

14、AC 地址被配置在幾個(gè)端口上時(shí)，就會(huì)引發(fā)違反 MAC 地址安全。在違反 MAC 地址安全時(shí)，應(yīng)丟棄數(shù)據(jù)包，發(fā)警告，發(fā)出 SNMP trap，同時(shí)被記錄在 syslog 日志里。ARP 病毒防護(hù)病毒防護(hù)開(kāi)啟交換機(jī)對(duì) ARP 的檢測(cè)功能。通過(guò) ARP 檢查保證接入交換機(jī)只傳遞“合法的”的 ARP 請(qǐng)求和應(yīng)答信息，而將“虛假的”ARP 條目在網(wǎng)絡(luò)端口上丟棄，避免網(wǎng)絡(luò)遭受 ARP 病毒的破壞。高偉達(dá)武漢分公司第 10 頁(yè)，共 16 頁(yè)目前，未統(tǒng)一部署 DHCP 服務(wù)，故采取手工添加靜態(tài)綁定條目?？刂茝V播風(fēng)暴控制廣播風(fēng)暴在接入交換機(jī)各個(gè)端口進(jìn)行廣播風(fēng)暴控制，控制在 1%以下；2.2.2.設(shè)備自身安全加固

15、設(shè)備自身安全加固啟用安全認(rèn)證啟用安全認(rèn)證分級(jí)設(shè)置登陸權(quán)限，啟用用戶名和密碼認(rèn)證，配置 8 位以上，包含數(shù)字、大小寫字母和符號(hào)的密碼，定期修改密碼，并禁止明文顯示密碼；對(duì)對(duì) VTY Telnet 進(jìn)行嚴(yán)格控制進(jìn)行嚴(yán)格控制對(duì) VTY Telnet 使用 ACL 進(jìn)行限制，僅管理員指定的客戶端能進(jìn)行 Telnet，并配置超時(shí)時(shí)間，推薦為 5 分鐘；關(guān)閉設(shè)備上不必要的服務(wù)關(guān)閉設(shè)備上不必要的服務(wù)關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù)，如 HTTP Server、DHCP 服務(wù)、VTP、CDP、DNS 查找關(guān)閉接口上不必要的服務(wù)關(guān)閉接口上不必要的服務(wù)關(guān)閉 ARP 代理、ICMP 不可達(dá)服務(wù)；關(guān)閉客戶端區(qū)匯聚交換機(jī)、接入

16、交換機(jī)不使用的端口關(guān)閉客戶端區(qū)匯聚交換機(jī)、接入交換機(jī)不使用的端口關(guān)閉客戶端區(qū)匯聚交換機(jī)、接入交換機(jī)不使用的端口，按需使用端口資源；啟用系統(tǒng)日志啟用系統(tǒng)日志開(kāi)啟時(shí)間戳服務(wù)：為系統(tǒng)日志和 Debug 信息記錄提供詳細(xì)的時(shí)間點(diǎn)；關(guān)閉到 Console 端口的日志輸出：防止日志信息沖擊 Console 導(dǎo)致無(wú)法使用；增加日志緩沖區(qū)空間或日志緩沖條目數(shù)量；網(wǎng)絡(luò)管理系統(tǒng)中設(shè)置日志服務(wù)器：將網(wǎng)絡(luò)設(shè)備的日志信息及時(shí)備份到日志服務(wù)器以備查看。日志服務(wù)器需做好安全保護(hù)，防止重要的日志信息被盜，服務(wù)器的安全不在本文范疇之內(nèi)；啟用控制平面保護(hù)啟用控制平面保護(hù)啟用交換機(jī)設(shè)備控制平面保護(hù)，防止主控引擎受到 DoS 攻擊的

17、影響，避免可能中斷正常業(yè)務(wù)的斷網(wǎng)故障。SNMP Community 串必須配置串必須配置 ACL僅允許網(wǎng)管服務(wù)器、網(wǎng)管客戶端訪問(wèn)網(wǎng)絡(luò)設(shè)備的 SNMP 讀寫操作。2.2.3.客戶端安全措施客戶端安全措施接入客戶端區(qū)網(wǎng)絡(luò)的客戶端必須按照總行安全管理處下發(fā)的有關(guān)防病毒系統(tǒng)、桌面辦公安全管理系統(tǒng)等相關(guān)規(guī)定，及時(shí)安裝 Service Pack、防病毒軟件以及桌面辦公安全管理軟件(LANDESK)，并做到及時(shí)升級(jí)。高偉達(dá)武漢分公司第 11 頁(yè)，共 16 頁(yè)3.實(shí)施指導(dǎo)實(shí)施指導(dǎo)3.1.客戶端接入設(shè)計(jì)客戶端接入設(shè)計(jì)3.1.1.客戶端分類接入客戶端分類接入按照客戶端的服務(wù)等級(jí)要求（SLA）和安全要求將客戶端計(jì)算

18、機(jī)分為以下三類：（1） 業(yè)務(wù) 1 類客戶端，CCI 客戶端，簡(jiǎn)稱 CLT1（2） OA 類客戶端，簡(jiǎn)稱 CLT2（3） 網(wǎng)管客戶端，簡(jiǎn)稱 CLT3CLT1 和 CLT2，分別采用不同的接入交換機(jī)接入，在 CLT2 發(fā)生病毒和攻擊時(shí)，容易實(shí)現(xiàn) CLT2 的隔離。CLT3 部署在機(jī)房監(jiān)控區(qū)，通過(guò)獨(dú)立的交換機(jī)接入，然后再接入到客戶端匯聚交換機(jī)中?？蛻舳朔诸惤尤朐O(shè)計(jì)示意圖如下所示：TrunkVLAN AVLAN BVLAN CVLAN D網(wǎng)網(wǎng)關(guān)關(guān)業(yè)務(wù)1類及CCI客戶端接入OA類客戶端接入VLAN E網(wǎng)管客戶端機(jī)機(jī)房房監(jiān)監(jiān)控控區(qū)區(qū)圖表 9 客戶端分類接入為保障業(yè)務(wù) 1 類客戶端和 CCI 客戶端的服務(wù)等

19、級(jí)，需做好二層網(wǎng)絡(luò)安全加固以及故障應(yīng)急方案，保證在故障出現(xiàn)后半小時(shí)內(nèi)恢復(fù)。3.1.2.客戶端區(qū)二層、三層連接模式的選擇客戶端區(qū)二層、三層連接模式的選擇由于三層連接模式可有效的分割二層廣播域，隔離客戶端與匯聚交換機(jī)，避免不同網(wǎng)段客戶端之間的相互影響，因此，該模式作為首選組網(wǎng)模式。二層連接模式作為第二選擇，二層、三層相結(jié)合的連接模式作為過(guò)渡模式，均為符高偉達(dá)武漢分公司第 12 頁(yè)，共 16 頁(yè)合規(guī)范的組網(wǎng)模式，分行根據(jù)自身實(shí)際情況選擇組網(wǎng)模式。3.1.3.網(wǎng)卡工作模式網(wǎng)卡工作模式目前局域網(wǎng)端口工作模式主要包括 10BaseT、100BaseTX 和1000BaseT、1000Base SX 等，這

20、些技術(shù)工作在不同的速率和雙工模式下，在不同的技術(shù)互連中可能存在互操作的問(wèn)題，并引發(fā)潛在的網(wǎng)絡(luò)故障，為此需要對(duì)交換機(jī)端口采用的工作模式進(jìn)行規(guī)范。各種端口模式比較如下表：自動(dòng)協(xié)商強(qiáng)制指定優(yōu)點(diǎn)線纜單通時(shí)可以通過(guò)協(xié)商關(guān)閉兩端的端口各種網(wǎng)絡(luò)設(shè)備及 NIC 默認(rèn)為自動(dòng)協(xié)商，不需要手動(dòng)指定，可以降低維護(hù)成本通過(guò)更主動(dòng)的方式使互連端口初始能夠工作在最佳方式不依賴自動(dòng)協(xié)商技術(shù)及平行檢測(cè)技術(shù)不依賴與產(chǎn)品是否具備自動(dòng)協(xié)商技術(shù)缺點(diǎn)依賴于自動(dòng)協(xié)商及平行檢測(cè)技術(shù)的互操作性依賴于產(chǎn)品對(duì)自動(dòng)協(xié)商技術(shù)的支持協(xié)商結(jié)果可能不是互連最佳的工作模式線纜單通時(shí)無(wú)法通過(guò)協(xié)商關(guān)閉發(fā)送端的端口需要手動(dòng)修改網(wǎng)絡(luò)設(shè)備及 NIC 的默認(rèn)配置，維護(hù)成

21、本高趨勢(shì)隨著標(biāo)準(zhǔn)的改進(jìn)及各廠家技術(shù)的成熟，業(yè)界傾向于使用這種方式例外情況NIC 或網(wǎng)絡(luò)設(shè)備不支持自動(dòng)協(xié)商N(yùn)IC 或網(wǎng)絡(luò)設(shè)備協(xié)商不能很好的兼容NIC 驅(qū)動(dòng)缺陷，雖然設(shè)置了 auto，但仍然使用某一指定工作方式NIC 驅(qū)動(dòng)缺陷，雖然設(shè)置了某一指定工作方式，但網(wǎng)卡仍然使用 auto 和對(duì)端協(xié)商圖表 10 各種端口模式比較端口工作模式設(shè)置配置原則端口工作模式設(shè)置配置原則互連設(shè)備兩端的配置方式必須相同，即兩端都設(shè)置為 auto 或指定為相同的speed，duplex 工作方式。1000M 光口及電口互連使用 auto 模式。3.2.分支機(jī)構(gòu)接入分支機(jī)構(gòu)接入分支機(jī)構(gòu)分為分行營(yíng)業(yè)部、分行機(jī)關(guān)等。分支結(jié)構(gòu)屬于

22、分支節(jié)點(diǎn)。高偉達(dá)武漢分公司第 13 頁(yè)，共 16 頁(yè)3.2.1.分支機(jī)構(gòu)接入客戶端區(qū)匯聚交換機(jī)分支機(jī)構(gòu)接入客戶端區(qū)匯聚交換機(jī)客戶端區(qū)匯聚交換機(jī)機(jī)構(gòu)1核心交換機(jī)機(jī)構(gòu)2機(jī)構(gòu)3圖表 11 分支機(jī)構(gòu)接入客戶端區(qū)匯聚交換機(jī)分支機(jī)構(gòu)采用裸光纖互聯(lián)，直接連接至匯聚交換機(jī)。為提高接入冗余度，增強(qiáng)網(wǎng)絡(luò)可靠性，分支節(jié)點(diǎn)租用不同運(yùn)營(yíng)商的線路連接至匯聚交換機(jī)。每個(gè)機(jī)構(gòu)作為一個(gè)分支節(jié)點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)參加“4.2 節(jié)點(diǎn)網(wǎng)絡(luò)物理結(jié)構(gòu)”。3.2.2.分支機(jī)構(gòu)接入分支機(jī)構(gòu)接入 RTP 區(qū)匯聚交換機(jī)區(qū)匯聚交換機(jī)RTP區(qū)匯聚交換機(jī)機(jī)構(gòu)1核心交換機(jī)機(jī)構(gòu)2廣域網(wǎng)線路機(jī)構(gòu)3同同城城接接入入路路由由器器圖表 12 分支機(jī)構(gòu)接入 RTP 區(qū)匯聚

23、交換機(jī)分支機(jī)構(gòu)通過(guò)裸光纖接入?yún)R聚交換機(jī)或通過(guò)廣域網(wǎng)線路接入同城接入路由器。為提高接入冗余度，增強(qiáng)網(wǎng)絡(luò)可靠性，分支節(jié)點(diǎn)租用不同運(yùn)營(yíng)商的線路連接至匯聚交換機(jī)。高偉達(dá)武漢分公司第 14 頁(yè)，共 16 頁(yè)3.3.二層交換網(wǎng)絡(luò)實(shí)施指導(dǎo)二層交換網(wǎng)絡(luò)實(shí)施指導(dǎo)3.3.1.設(shè)定生成樹(shù)的主根、次根設(shè)定生成樹(shù)的主根、次根通過(guò) STP 協(xié)議進(jìn)行競(jìng)選 STP 根，排障時(shí)難以及時(shí)找出 STP 根的位置。因此，應(yīng)人為指定核心交換機(jī)作為局域網(wǎng)的 STP 根網(wǎng)橋/次根網(wǎng)橋。對(duì)二層根不在核心交換機(jī)上的 Vlan 重新調(diào)整其根設(shè)定，將根統(tǒng)一設(shè)置到核心交換機(jī)上。對(duì)于使用多生成樹(shù)協(xié)議的交換機(jī)網(wǎng)絡(luò)，生成樹(shù)根位置的配置的原則如下：匯聚交換

24、機(jī) HB_TT_SW_1 設(shè)置為所有 VLAN 的生成樹(shù)的主根；匯聚交換機(jī) HB_TT_SW_2 設(shè)置為所有 VLAN 的生成樹(shù)的次根；3.3.2.生成樹(shù)優(yōu)化生成樹(shù)優(yōu)化Spanning Tree 的計(jì)算由四步組成：Blocking、Listening、Learning、Forwarding。通常一個(gè)端口從 Blocking 到Forwarding 的時(shí)間大致為 3050 秒。為提高局域網(wǎng) Spanning Tree 的收斂速度，對(duì)于支持標(biāo)準(zhǔn)協(xié)議的交換機(jī)網(wǎng)可使用RSTP 協(xié)議加速 Spanning Tree 的收斂速度。RSTP 配置原則如下：1)將交換機(jī)和客戶端連接的端口配置為邊緣接口。2)邊

25、緣端口不直接或間接與任何交換機(jī)連接，則可以不用經(jīng)過(guò)中間狀態(tài)而直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。為防止邊緣接口接收 BPDU 信息，需要在邊緣接口配置BPDUGuard。3)交換機(jī)和交換機(jī)連接的端口需配置為點(diǎn)到點(diǎn)接口。當(dāng)交換機(jī)上根端口停止轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，且上游指定端口已經(jīng)開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，能夠自動(dòng)實(shí)現(xiàn)根端口的快速遷移。關(guān)于生成樹(shù)高級(jí)特性的介紹，請(qǐng)對(duì)于不鏈接設(shè)備的交換機(jī)端口（鏈接 PC 或終端的）設(shè)置為邊緣端口：命令例：stp enable 開(kāi)啟 STP 功能stp root primary 設(shè)置為主根stp root secondary 設(shè)置為次根stp edged-port enable 在端口模式下設(shè)置本端口為邊

26、緣端口對(duì)于容易產(chǎn)生廣播風(fēng)暴的交換機(jī)可設(shè)置風(fēng)暴抑制broadcast-suppression 本命令解析 （最好不要用全降低網(wǎng)速）參考附錄。高偉達(dá)武漢分公司第 15 頁(yè)，共 16 頁(yè)3.3.3.VLAN 及及 Trunk 設(shè)置設(shè)置交換機(jī)網(wǎng)內(nèi)部二層交換機(jī)之間配置 Vlan Trunk 實(shí)現(xiàn) Vlan 的互通，Vlan Trunk 采用IEEE 802.1Q Trunk 協(xié)議格式。對(duì)于思科交換機(jī)之間以及思科交換機(jī)與其它品牌交換機(jī)之間互連時(shí)需關(guān)閉 DTP 協(xié)議。交換機(jī)間 Trunk 互聯(lián)接口需明確配置為 Trunk 模式，并封裝 802.1Q。交換機(jī)之間可通過(guò) Vlan 管理協(xié)議維護(hù)交換機(jī)中的 Vla

27、n 動(dòng)態(tài)注冊(cè)信息，并傳播該信息到其它的交換機(jī)中。Vlan 管理協(xié)議便于在較大規(guī)模的網(wǎng)絡(luò)中管理 Vlan 配置，對(duì)于較小規(guī)模的網(wǎng)絡(luò)建議由每臺(tái)交換機(jī)獨(dú)立管理 Vlan 信息。連接客戶端 PC 的接入端口，需明確配置為訪問(wèn)模式，關(guān)閉 Trunk。3.4.網(wǎng)關(guān)備份協(xié)議網(wǎng)關(guān)備份協(xié)議標(biāo)準(zhǔn)交換機(jī)網(wǎng)采用 VRRP 協(xié)議實(shí)現(xiàn)網(wǎng)關(guān)的冗余備份。內(nèi)部服務(wù)器通過(guò) VRRP 虛擬IP 地址與外部網(wǎng)絡(luò)實(shí)現(xiàn) IP 層通信，VRRP 通過(guò)優(yōu)先級(jí)和接口 IP 地址選舉主虛擬網(wǎng)關(guān)，主虛擬網(wǎng)關(guān)提供實(shí)際的路由轉(zhuǎn)發(fā)服務(wù)。當(dāng)虛擬網(wǎng)關(guān)故障時(shí), 備份虛擬網(wǎng)關(guān)取代主虛擬網(wǎng)關(guān)狀態(tài)保持局域網(wǎng)正常通信。為了提高數(shù)據(jù)轉(zhuǎn)發(fā)效率，VRRP 部署時(shí)應(yīng)將 Vl

28、an 二層生成樹(shù)根和三層 MASTER地址設(shè)置在同一臺(tái)交換機(jī)。思科交換機(jī)采用私有的 HSRP 技術(shù)實(shí)現(xiàn)網(wǎng)關(guān)的冗余備份，H3C 交換機(jī) VRRP 建議設(shè)置為 virtual-mac 模式。4.附錄附錄4.1.生成樹(shù)協(xié)議生成樹(shù)協(xié)議交換機(jī)網(wǎng)通過(guò) Spanning Tree 算法建立節(jié)點(diǎn)間的生成樹(shù)，防止交換機(jī)網(wǎng)的冗余連接產(chǎn)生二層環(huán)路。Spanning Tree 協(xié)議通過(guò)交換 BPDU（橋協(xié)議數(shù)據(jù)單元）自動(dòng)學(xué)習(xí)生成樹(shù)路徑。STP 環(huán)路問(wèn)題是最常見(jiàn)的局域網(wǎng)故障，并且環(huán)路發(fā)生將影響整個(gè)局域網(wǎng)的工作，危害較大。通過(guò)配置必要的預(yù)防措施可以有效的消除 STP 形成環(huán)路的可能，并且也有利于 STP 環(huán)路的排障。4.

29、1.1.生成樹(shù)協(xié)議（生成樹(shù)協(xié)議（STP）類型選擇）類型選擇STP 有多種標(biāo)準(zhǔn)，常用的類型有：CST，RSTP 和 MSTP，以及我行使用較多的思科私有 PVST、PVST+協(xié)議。1）Common Spanning Tree（CST）協(xié)議：）協(xié)議：高偉達(dá)武漢分公司第 16 頁(yè)，共 16 頁(yè)所有 BPDU 信息都通過(guò)管理 Vlan 傳送到其他交換機(jī)，所有 Vlan 都共享此信息。CST 協(xié)議配置、管理簡(jiǎn)單，消耗交換機(jī) CPU 小，但 Spanning Tree 的收斂時(shí)間較長(zhǎng)。2）RSTP(IEEE 802.1w) RSTP(IEEE 802.1w)又稱為“快速生成樹(shù)協(xié)議”，是在 IEEE 802

30、.1d 協(xié)議（STP）基礎(chǔ)上發(fā)展而來(lái)的，它和 CST 協(xié)議一樣，所有 Vlan 共享一個(gè)生成樹(shù)。它最大的改進(jìn)之處是加快了 Spanning Tree 的收斂速度。3）MSTP(IEEE 802.1s)MSTP 定義了“實(shí)例”（Instance）的概念，所謂實(shí)例就是多個(gè) Vlan 的一個(gè)集合，每個(gè)“實(shí)例”內(nèi)的 Vlan 共享一個(gè)生成樹(shù)域。通過(guò)多個(gè) Vlan 捆綁到一個(gè)實(shí)例中去的方法可以節(jié)省通信開(kāi)銷和資源占用率。MSTP 可兼容 STP/RSTP 協(xié)議，但配置較復(fù)雜。4）PVST 和和 PVST+協(xié)議協(xié)議Per-Vlan Spanning Tree （PVST）協(xié)議和 Per-Vlan Spann

31、ing Tree Plus（PVST+）是思科發(fā)展的 STP 協(xié)議。使用 PVST協(xié)議，每個(gè) Vlan 各自按照各自獨(dú)立的 STP 信息維持生成樹(shù)。交換機(jī)網(wǎng) STP 協(xié)議配置需遵循以下原則：1）對(duì)于采用標(biāo)準(zhǔn)協(xié)議的交換機(jī)網(wǎng)絡(luò)或異種品牌混合使用的交換機(jī)網(wǎng)絡(luò)使用 MSTP協(xié)議。2）對(duì)于思科交換機(jī)組成的網(wǎng)絡(luò)使用 Rapid-PVST 協(xié)議。3）對(duì)于兩個(gè)采用三層 VLAN 互連的交換機(jī)網(wǎng)，如果兩側(cè)交換機(jī)運(yùn)行的 STP 協(xié)議不同，應(yīng)采用關(guān)閉 STP 協(xié)議的方式避免連接問(wèn)題。4.1.2.Cisco 生成樹(shù)協(xié)議增強(qiáng)特性指南生成樹(shù)協(xié)議增強(qiáng)特性指南Cisco 交換機(jī)間互聯(lián)采用交換機(jī)間互聯(lián)采用 Rapid-PVST

32、 模式。模式。將將 XX_CLT_SW_1 指定為所有指定為所有 VLAN 的根交換機(jī)，的根交換機(jī)，XX_CLT_SW_2 指定為所有指定為所有VLAN 的次根交換機(jī)。的次根交換機(jī)。啟用 Portfast、BPDU Guard、RootGuard、LoopGuard 等生成樹(shù)增強(qiáng)功能，用于進(jìn)一步保護(hù)生成樹(shù)，下圖展示了如何使用這些增強(qiáng)特性。高偉達(dá)武漢分公司第 17 頁(yè)，共 16 頁(yè)圖表 13 Cisco 生成樹(shù)協(xié)議特性指南PortFast 在匯聚交換機(jī)和擴(kuò)展交換機(jī)連接主機(jī)的接口上啟用。在匯聚交換機(jī)和擴(kuò)展交換機(jī)連接主機(jī)的接口上啟用。BPDU Guard 在匯聚交換機(jī)和擴(kuò)展交換機(jī)全局啟用。在匯聚交換

33、機(jī)和擴(kuò)展交換機(jī)全局啟用。RootGuard 特性在匯聚交換機(jī)連接擴(kuò)展交換機(jī)的接口上啟用。特性在匯聚交換機(jī)連接擴(kuò)展交換機(jī)的接口上啟用。LoopGuard 使用在根接口或阻塞接口上。使用在根接口或阻塞接口上。UDLD 特性在匯聚交換機(jī)和擴(kuò)展交換機(jī)上全局啟用。特性在匯聚交換機(jī)和擴(kuò)展交換機(jī)上全局啟用。Portfast 特性使得連接主機(jī)的接口可以跳過(guò)偵聽(tīng)和學(xué)習(xí)狀態(tài)，直接由阻塞狀態(tài)轉(zhuǎn)為轉(zhuǎn)發(fā)狀態(tài)。BPDU Guard 特性啟用在接口模式時(shí)，在該接口接收到 BPDU 報(bào)文時(shí)將該接口設(shè)置為 errdisable 狀態(tài)，接口不可用，一般需要手工恢復(fù)；當(dāng)全局啟用時(shí)，僅對(duì) Portfast接口生效。RootGuard

34、 特性用于防止指定接口變?yōu)楦涌诨蛘咦枞涌冢?dāng)該接口接收到更優(yōu)的 BPDU 報(bào)文，則被置于 Root-Inconsistent，不可用，若停止接收更優(yōu)的 BPDU 報(bào)文，接口便自動(dòng)恢復(fù)為轉(zhuǎn)發(fā)狀態(tài)。LoopGuard 特性用于根接口和阻塞接口，用于保證它們不斷的接收 BPDU 報(bào)文，如果停止接收，則將接口置于 Loop-Inconsistent 狀態(tài)，不可用，當(dāng)再次接收到 BPDU報(bào)文后，接口自動(dòng)收斂。LoopGuard 和 RootGuard 是相互矛盾的，不能同時(shí)使用在同一接口。UDLD 即單向鏈路檢測(cè)，用于防止鏈路發(fā)生單向通信終端而導(dǎo)致 STP 環(huán)路。4.1.3.H3C 生成樹(shù)協(xié)議特性生

35、成樹(shù)協(xié)議特性H3C 交換機(jī)間互聯(lián)采用交換機(jī)間互聯(lián)采用 802.1S（MSTP)，僅配置一個(gè)生成樹(shù)實(shí)例，并將，僅配置一個(gè)生成樹(shù)實(shí)例，并將高偉達(dá)武漢分公司第 18 頁(yè)，共 16 頁(yè)XX_CLT_SW_1 指定為所有指定為所有 VLAN 的根交換機(jī)，的根交換機(jī)，XX_CLT_SW_2 指定為所有指定為所有 VLAN的次根交換機(jī)。的次根交換機(jī)。圖表 14 H3C 生成樹(shù)特性指南在連接主機(jī)的端口配置邊緣端口，啟用在連接主機(jī)的端口配置邊緣端口，啟用 BPDU 保護(hù)。保護(hù)。環(huán)路保護(hù)特性在接入交換機(jī)連接匯聚交換機(jī)的端口上啟用。環(huán)路保護(hù)特性在接入交換機(jī)連接匯聚交換機(jī)的端口上啟用。根保護(hù)特性在匯聚交換機(jī)連接接入交

36、換機(jī)的端口上啟用。根保護(hù)特性在匯聚交換機(jī)連接接入交換機(jī)的端口上啟用。在匯聚交換機(jī)和接入交換機(jī)全局啟用在匯聚交換機(jī)和接入交換機(jī)全局啟用 TC 保護(hù)，維持超時(shí)因子缺省配置。保護(hù)，維持超時(shí)因子缺省配置。配置邊緣端口配置邊緣端口將交換機(jī)連接客戶端或者服務(wù)器(包括其他不會(huì)發(fā)出 BPDU 報(bào)文的網(wǎng)絡(luò)終端或者網(wǎng)絡(luò)設(shè)備)的端口，配置成為邊緣端口，同時(shí)開(kāi)啟交換機(jī)的 BPDU 保護(hù)功能；或者直接關(guān)閉該端口的生成樹(shù)協(xié)議。配置環(huán)路保護(hù)配置環(huán)路保護(hù)為了避免端口由于各種錯(cuò)誤而發(fā)生了端口角色改變，導(dǎo)致網(wǎng)絡(luò)中產(chǎn)生環(huán)路，在交換機(jī)上參與生成樹(shù)協(xié)議計(jì)算的端口上可以增加環(huán)路保護(hù)功能。配置根保護(hù)配置根保護(hù)如果網(wǎng)絡(luò)規(guī)劃中已經(jīng)指定 H3C 設(shè)備為根橋，則 H3C 設(shè)備網(wǎng)絡(luò)和其他廠商設(shè)備網(wǎng)絡(luò)（H3C 設(shè)備的下游網(wǎng)絡(luò)）邊界上，在 H3C 設(shè)備上和其他廠商設(shè)備互連的端口上，可以配置 Root 保護(hù)功能。當(dāng)收到來(lái)自其他廠商設(shè)備網(wǎng)絡(luò)的優(yōu)先級(jí)更高的 BPDU 報(bào)文時(shí)，H3C 設(shè)備會(huì)丟棄該報(bào)文，并將端口臨時(shí)阻塞，防止網(wǎng)絡(luò)拓?fù)湔袷?。配置配?TC 保護(hù)保護(hù)為了避免交換機(jī)由于收到頻繁的 TC/TCN 報(bào)文，而按照協(xié)議規(guī)定對(duì) MAC 地址表項(xiàng)及 ARP 地址表項(xiàng)進(jìn)行頻繁刪除操作，繼而出現(xiàn)設(shè)備 CPU 占用率增高、業(yè)務(wù)中斷的故障，可以在交換機(jī)上增加 TC 報(bào)文保護(hù)功能的配置。TC 保護(hù)配置保持缺省值。高偉達(dá)武漢分公司第 1