编号 密级 规范性文档 湖北省建行二级分行 局域网络安全设计规范 Version 1.0 中国建设银行 湖北省分行 2013年3月 文档修订记录
序号 1 修订内容简述 文档建立 修订日期 2013-2-1 2013-6-1 目前版本号 1.0 1.1 作者 中国建设银行 湖北省分行信息技术部 第 1 页,共 14 页
目 录
1. 网络结构设计 ........................................................................................................ 3
1.1. 1.2. 1.3. 1.4. 1.5.
两层结构 ............................................................................................................................ 3 单层结构 ............................................................................................................................ 3 二层连接模式扩展 ............................................................................................................. 4 总行IP规划总表以144为例:...................................................................................... 5 楼层设备管理地址 ............................................................................................................. 7
1.5.1.
2.
楼层汇聚设备管理IP规划 ........................................................................................ 7
安全 ...................................................................................................................... 7
安全设计指导原则 ............................................................................................................. 7 安全措施 ............................................................................................................................ 7 设备自身安全加固 ............................................................................................................. 7 客户端安全措施 ................................................................................................................. 8 网卡工作模式 .................................................................................................................... 8 二层交换网络实施指导 ...................................................................................................... 9
2.1. 2.2. 2.3. 2.4. 3.1. 3.2.
3. 实施指导 ............................................................................................................... 8
3.2.1. 设定生成树STP的主根、次根 ................................................................................. 9 3.2.2. 生成树优化 ................................................................................................................ 9 BPDU GUARD(BPDU保护) ............................................................................................................ 9 3.3. 3.4. 4.1. 4.2. 4.3. 4.4. 4.5.
VLAN及TRUNK设置 ........................................................................................................ 11 网关备份协议 .................................................................................................................. 12 生成树协议 ...................................................................................................................... 12 生成树协议(STP)类型选择 ......................................................................................... 13 CISCO生成树协议增强特性指南...................................................................................... 13 H3C生成树协议特性....................................................................................................... 15 锐捷生成树协议特性 ....................................................................................................... 16
4. 附录 .................................................................................................................... 12
中国建设银行 湖北省分行信息技术部 第 2 页,共 14 页
1. 网络结构设计
客户端区通常包括一个或多个建筑,每个建筑定义为一个节点,主节点与服务器区在同一建筑内,其它建筑为分支节点。这样对于数据的传输和安全给最大保障。
1.1. 两层结构
两层结构为终端用户通过两层交换设备接入网络,其结构如下图所示:
汇聚设备楼层接入设备
图表 1 节点两层结构
两层网络结构分为汇聚设备和楼层接入设备。楼层接入设备通常部署在各个楼层,用于各楼层的终端用户直接接入,楼层接入设备通过光纤双绞线连接至汇聚设备,汇聚设备作为这个节点客户端网络的统一出口。
1.2. 单层结构
单层结构为终端用户通过单层交换设备接入网络,其结构如下图所示:
中国建设银行 湖北省分行信息技术部 第 3 页,共 14 页
图表 2 节点单层结构
终端用户通过综合布线,直接从信息接入点接入两台汇聚交换机,这两台交换机也作为本节点客户端网络的唯一出口。
1.3. 二层连接模式扩展
扩展方式
Trunk网关二层连接Trunk(B)堆叠扩展(A)横向扩展(C)纵向扩展VLAN AVLAN BVLAN CVLAN D
二层连接模式扩展
A、接入层交换机使用二层方式连接至汇聚交换机,两台汇聚交换机之间通过两个千兆光纤互联采用EtherChannel技术捆绑成逻辑的通道,两交换机互联接口运行于Trunk模式,封装802.1Q协议,允许客户端已划分的所有VLAN,未划分的VLAN不在允许的范围内。
B、两台汇聚交换机分别作为生成树的主根和次根。各接入交换机根据楼层及用户所在部门,按需划分VLAN,接入交换机使用Trunk连接至两台汇聚交换机,在Trunk
中国建设银行 湖北省分行信息技术部
第 4 页,共 14 页
