链路上仅允许该交换机划分过的VLAN。
C、VLAN内的网关由上路由器的子接口承担,汇聚路由器启用HSRP或VRRP,以提供网关的冗余性。
采用该模式进行组网,方便用户进行搬迁,无需更改IP地址,管理员只需修改信息点对应的VLAN即可。但由于通过二层方式接入至汇聚交换机,二层广播域较大,需要注意防范广播风暴的冲击和二层环路风险,避免不同客户端间的相互影响。
1.4. 总行IP规划总表以144为例:
52.144.0.1-52.144.3.254 被管理设备 52.144.4.1-52.144.7.254 自主分配 总行统一 总行统一 自主分配 总行统一 总行统一 总行统一 总行统一 自主分配 总行统一 自主网管主机 52.144.8.1-52.144.15.254 52.144.0.1--52.144.31.254 网管客户端 系统和业务管理主机 52.144.16.1-52.144.19.254 52.144.20.1-52.144.23.254 黄冈 144 备用 52.144.24.1-52.144.29.254 Loopback 52.144.30.1-52.144.31.254 52.144.32.1-52.144.43.254 52.144.32.1--52.144.63.254 业务一类 52.144.44.1-52.144.63.254 52.144.64.1--52.144.95.254 业务二类 52.144.64.1-52.144.87.254 52.144.88.1-52.144.95.254 中国建设银行 湖北省分行信息技术部 第 5 页,共 14 页
分配 52.144.96.1-52.144.127.254 基础设施类 52.144.96.1-52.144.127.254 总行统一 总行统一 自主分配 总行统一 自主分配 总行统一 DMZ52.144.192.1-52.144.207.254 前置区 52.144.192.1--52.144.223.254 外联网络系统 52.144.208.1-52.144.215.254 预留备用 互联网 总行统一 自主分配 总行统一 自主分配 52.144.128.1-52.144.151.254 52.144.128.1--52.144.159.254 视频语音 52.144.152.1-52.144.159.254 OA服务器 52.144.160.1-52.144.171.254 52.144.160.1--52.144.191.254 OA客户端 一级行OA服务器 52.144.172.1-52.144.189.254 52.144.190.1-52.144.191.254 52.144.216.1-52.144.223.254 局域网互联地址 52.144.224.1--52.144.254.254 广域网互联地址 52.144.240.1-52.144.244.254 52.144.229.1-52.144.239.254 52.144.224.1-52.144.228.254 52.144.245.1-52.144.254.254 中国建设银行 湖北省分行信息技术部 第 6 页,共 14 页
1.5. 楼层设备管理地址
1.5.1. 楼层汇聚设备管理IP规划
以荆门5楼和9楼交换机管理ip为例:
地址用途 管理地址Vlan-interface100 HB_JM_LC9_SW1 设备名例:JM HB_JM_LC5_SW1 IP地址/地址段 52.64.0.125(最后一位IP=100加楼层乘5) 52.64.0.145(最后一位IP=100加楼层乘5) 图表 3汇聚设备IP地址规划
2. 安全
2.1. 安全设计指导原则
客户端区网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络
高效数据转发;
保护在二级分行行大楼(或同城其他机关大楼)内的业务1类客户端网络资源
可用,保障服务品质。
实现业务1类客户端与OA类客户端的安全隔离。 为客户端桌面安全准入控制提供网络环境。
2.2. 安全措施
防止地址欺骗
在各网段所在的网关设备(核心路由器)子接口上配置ACL(与防病毒ACL合
并),仅允许分行客户端所在地址范围内的地址接入网络;
业务1类、OA类、网管客户端相互隔离
要求不同类别的客户端之间实现二层及三层的隔离,禁止相互访问。 ARP病毒防护
通过ARP检查保证接入交换机只传递“合法的”的ARP请求和应答信息,而
将“虚假的”ARP条目在网络端口上丢弃,避免网络遭受ARP病毒的破坏。
控制广播风暴
在接入交换机各个端口进行广播风暴控制,控制在1%以下;
2.3. 设备自身安全加固
启用安全认证
中国建设银行 湖北省分行信息技术部
第 7 页,共 14 页
设置登陆权限,启用用户名和密码认证,配置8位以上,包含数字、大小写字母和符号的密码,定期三个月内修改一次密码,并禁止明文显示密码;
对VTY Telnet进行严格控制
对VTY Telnet使用ACL进行限制,仅管理员指定的客户端能进行Telnet,并配置超时时间,推荐为5分钟;
关闭设备上不必要的服务
关闭网络设备不必要的服务,如HTTP Server、DHCP服务、VTP、CDP、DNS查找.WEB可适当开起。
关闭接口上不必要的服务
关闭ARP 代理、ICMP不可达服务;
关闭客户端区汇聚交换机、接入交换机不使用的端口
关闭客户端区汇聚交换机、接入交换机不使用的端口,按需使用端口资源; SNMP Community串必须配置ACL
仅允许网管服务器、网管客户端访问网络设备的SNMP读写操作。
2.4. 客户端安全措施
接入客户端区网络的客户端必须按照总行安全管理处下发的有关防病毒系统、桌面办公安全管理系统等相关规定,及时安装防病毒软件以及桌面办公安全管理软件(LANDESK),并做到及时升级。
3. 实施指导
3.1. 网卡工作模式
目前局域网端口工作模式主要包括10BaseT、100BaseTX和1000BaseT、1000Base SX等,这些技术工作在不同的速率和双工模式下,在不同的技术互连中可能存在互操作的问题,并引发潜在的网络故障,为此需要对交换机端口采用的工作模式进行规范。
各种端口模式比较如下表:
优点 自动协商 线缆单通时可以通过协商关闭两端的端口 各种网络设备及NIC默认为自动协商,不需要手动指定,可以降低维护成本 依赖于自动协商及平行检测技术的互操
缺点 强制指定 通过更主动的方式使互连端口初始能够工作在最佳方式 不依赖自动协商技术及平行检测技术 不依赖与产品是否具备自动协商技术 线缆单通时无法通过协商关闭发送端的端口 第 8 页,共 14 页
中国建设银行 湖北省分行信息技术部
趋势 例外情况 作性 依赖于产品对自动协商技术的支持 协商结果可能不是互连最佳的工作模式 随着标准的改进及各厂家技术的成熟,业界倾向于使用这种方式 NIC或网络设备不支持自动协商 NIC或网络设备协商不能很好的兼容 NIC驱动缺陷,虽然设置了auto,但仍然使用某一指定工作方式 需要手动修改网络设备及NIC的默认配置,维护成本高 NIC驱动缺陷,虽然设置了某一指定工作方式,但网卡仍然使用auto和对端协商 图表 4 各种端口模式比较
端口工作模式设置配置原则
互连设备两端的配置方式必须相同,即两端都设置为auto或指定为相同的speed,duplex工作方式。
建议1000M光口及电口互连使用auto模式。
3.2. 二层交换网络实施指导
3.2.1. 设定生成树STP的主根、次根
通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。对二层根不在核心交换机上的Vlan重新调整其根设定,将根统一设置到核心交换机上。 对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下: 汇聚交换机HB_TT_SW_1设置为所有VLAN的生成树的主根; 汇聚交换机HB_TT_SW_2设置为所有VLAN的生成树的次根;
3.2.2. 生成树优化
Spanning Tree的计算由四步组成:Blocking、Listening、Learning、Forwarding。通常一个端口从Blocking到Forwarding的时间大致为30-50秒。
1) 将交换机和客户端连接的端口配置为边缘接口。
2) 边缘端口不直接或间接与任何交换机连接,则可以不用经过中间状态而直接进入
转发状态。为防止边缘接口接收BPDU信息,需要在边缘接口配置BPDUGuard。
BPDU Guard(BPDU保护)
BPDU保护仅用在PortFast模式。它被网络设计者用来加强STP域边界,通常来对接入终端的边缘端口进入配置,从而保持交换网络的拓扑不受影响。在启用STP PortFast端口之后的设备被禁止影响STP拓扑。通过配置BPDU保护中国建设银行 湖北省分行信息技术部
第 9 页,共 14 页
