路由管理和二層廣播風(fēng)暴抑制的方法.doc

一級(jí)分行路由管理和二層廣播風(fēng)暴抑制的建議一級(jí)分行路由管理和二層廣播風(fēng)暴抑制的建議信息技術(shù)部網(wǎng)絡(luò)管理室信息技術(shù)部安全內(nèi)控室目 錄一、路由管理與控制建議31.1措施一31.2措施二41.3措施三41.4措施四51.5措施五61.6措施六61.7措施七6二、二層廣播風(fēng)暴抑制管理與控制建議62.1核心區(qū)交換機(jī)配置72.1.1 全局配置命令72.1.2 核心交換機(jī)光纖互聯(lián)端口配置72.2業(yè)務(wù)后臺(tái)區(qū)匯聚交換機(jī)配置82.2.1 全局配置命令82.2.2 區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令82.2.3 區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口命令82.3業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)配置82.3.1 全局配置命令82.3.2 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)服務(wù)器接入端口配置命令82.3.3 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)服務(wù)器接入端口配置命令92.3.4 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)上連區(qū)域匯聚交換機(jī)的端口配置命令92.3.5 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)上連區(qū)域匯聚交換機(jī)的端口配置命令92.4業(yè)務(wù)前臺(tái)區(qū)匯聚交換機(jī)配置102.4.1全局配置命令102.4.2區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令102.4.3區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令102.5業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)配置102.5.1全局配置命令102.5.2業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)終端接入端口或hub接入端口配置命令102.5.3業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)終端接入端口或hub接入端口配置命令112.5.4業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)上聯(lián)區(qū)域匯聚交換機(jī)端口配置命令112.5.5業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)上聯(lián)區(qū)域匯聚交換機(jī)端口配置命令112.6辦公區(qū)匯聚交換機(jī)配置122.6.1全局配置命令122.6.2區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令122.6.3區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令122.7辦公區(qū)接入交換機(jī)配置122.7.1全局配置命令122.7.2辦公區(qū)接入交換機(jī)終端接入端口配置命令132.7.3辦公區(qū)接入交換機(jī)終端接入端口配置命令132.7.4辦公區(qū)接入交換機(jī)服務(wù)器接入端口配置命令132.7.5辦公區(qū)接入交換機(jī)服務(wù)器接入端口配置命令142.7.6辦公區(qū)接入交換機(jī)上連匯聚交換機(jī)端口，辦公區(qū)接入交換機(jī)互聯(lián)端口配置命令142.7.7辦公區(qū)接入交換機(jī)上連匯聚交換機(jī)端口，辦公區(qū)接入交換機(jī)互聯(lián)端口配置命令14一、路由管理與控制建議一級(jí)分行路由管理和控制主要目的，是針對(duì)一級(jí)分行所轄網(wǎng)絡(luò)中因非規(guī)范化配置或人為誤操作，可能對(duì)分行網(wǎng)絡(luò)系統(tǒng)安全生產(chǎn)造成重要影響的路由控制與管理策略進(jìn)行強(qiáng)化。通過(guò)對(duì)一級(jí)分行網(wǎng)絡(luò)的現(xiàn)狀和過(guò)往故障進(jìn)行分析，計(jì)劃采用技術(shù)手段對(duì)一級(jí)分行所轄網(wǎng)絡(luò)進(jìn)行過(guò)濾和分發(fā)控制，具體技術(shù)控制措施以下圖為模型進(jìn)行闡述：如上圖所示，路由控制與管理相關(guān)措施如下所列：1.1 措施一一級(jí)分行所轄分支機(jī)構(gòu)（含二級(jí)分行、支行、網(wǎng)點(diǎn)等）上聯(lián)路由器做路由過(guò)濾，僅向一級(jí)分行匯聚路由器發(fā)布該機(jī)構(gòu)所屬網(wǎng)段的路由前綴。參考配置（應(yīng)用于ZHRT-28-01）：定義路由過(guò)濾控制列表（配置參考）：ip prefix-list Route-into-YJFH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-into-YJFH seq 20 permit 99.XX.XX.0/24注：此控制列表只允許此網(wǎng)點(diǎn)的一個(gè)C類地址路由轉(zhuǎn)發(fā)，如果該網(wǎng)點(diǎn)分配有多個(gè)C類地址，可以擴(kuò)大允許路由轉(zhuǎn)發(fā)的地址范圍定義EIGRP路由協(xié)議：router eigrp XXdistribute-list prefix Route-into-YJFH out FastEthernet0/0/路由過(guò)濾應(yīng)用在上聯(lián)接口network 10.0.0.0 0.0.0.255no auto-summary1.2 措施二一級(jí)分行下聯(lián)各分支機(jī)構(gòu)的匯聚路由器上對(duì)所轄各分支機(jī)構(gòu)做路由過(guò)濾，僅接受該分支機(jī)構(gòu)所屬網(wǎng)段的路由前綴。參考配置（應(yīng)用于DWRT-76-01）：定義路由過(guò)濾控制列表（配置參考）：ip prefix-list Route-from-XXZH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-from-XXZH seq 20 permit 99.XX.XX.0/24注：此控制列表只允許接受此網(wǎng)點(diǎn)的一個(gè)C類地址路由，如果該網(wǎng)點(diǎn)分配有多個(gè)C類地址，可以擴(kuò)大允許路由轉(zhuǎn)發(fā)的地址范圍定義EIGRP路由協(xié)議（配置參考）：router eigrp XXdistribute-list prefix Route-from-XXZH in GigabitEthernet1/24.100/路由過(guò)濾應(yīng)用在下聯(lián)該網(wǎng)點(diǎn)的（子）接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X /定義eigrp router-idno auto-summary1.3 措施三一級(jí)分行下聯(lián)各分支機(jī)構(gòu)的匯聚路由器向核心交換機(jī)做路由過(guò)濾，嚴(yán)禁向核心交換機(jī)發(fā)布該一級(jí)分行所分配IP地址段以外各類路由前綴。參考配置（應(yīng)用于DWRT-76-01）：定義路由過(guò)濾控制列表（配置參考）：ip access-list standard route-filter permit 10.XX.0.0 0.0.255.255注：此控制列表只允許此一級(jí)分行下聯(lián)路由器向分行核心交換機(jī)轉(zhuǎn)發(fā)匹配一級(jí)分行B類IP地址的路由，如果該一級(jí)分配有多個(gè)B類地址，可以擴(kuò)大允許路由轉(zhuǎn)發(fā)的地址范圍定義路由過(guò)濾route-map：route-map Route-into-CORE permit 10 match ip address route-filter定義EIGRP路由協(xié)議（配置參考）：router eigrp XXdistribute-list prefix Route-into-CORE out GigabitEthernet1/23/路由過(guò)濾應(yīng)用在與核心交換機(jī)的互聯(lián)接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X /定義eigrp router-idno auto-summary1.4 措施四一級(jí)分行災(zāi)備機(jī)房指向總行的匯總路由，子網(wǎng)掩碼必須大于10.0.0.0/9，且該匯總路由平時(shí)不得進(jìn)行配置，僅在需要啟用災(zāi)備機(jī)房時(shí)進(jìn)行配置。參考配置（應(yīng)用于ZBRT-38-02）：定義指向總行的匯總路由（配置參考）：ip route 10.0.0.0 255.0.0.0 10.XX.XX.XX /定義10.0.0.0/8的靜態(tài)路由指向ZBRT-38-01定義前綴列表配置（配置參考）：ip prefix-list static-to-eigrp seq 10 permit 10.0.0.0/8定義靜態(tài)路由重分發(fā)route-map配置（配置參考）：route-map static-to-eigrp permit 10 match ip address prefix-list static-to-eigrp 定義EIGRP路由協(xié)議（以下EIGRP配置只有在啟用災(zāi)備機(jī)房時(shí)才進(jìn)行配置寫(xiě)入，正常情況下此設(shè)備EIGRP協(xié)議應(yīng)關(guān)閉）（配置參考）：router eigrp XXredistribute static route-map static-to-eigrp /只重分發(fā)匹配route-map的靜態(tài)路由network 10.0.0.0 0.0.0.255no auto-summary1.5 措施五尚未完成一級(jí)分行同城雙活實(shí)施分行，主機(jī)房與備份機(jī)房之間必須關(guān)閉路由鄰居關(guān)系，備份機(jī)房與一級(jí)分行所轄各分支機(jī)構(gòu)之間的路由鄰居關(guān)系也必須關(guān)閉。參考配置（應(yīng)用于ZBRT-38-02）no router eigrp XX /關(guān)閉EIGRP動(dòng)態(tài)路由協(xié)議interface fastEthernet0/1 /關(guān)閉連接網(wǎng)點(diǎn)備份線路的接口shutdown參考配置（應(yīng)用于ZBRT-38-01）interface fastEthernet0/0 /關(guān)閉連接深圳數(shù)據(jù)中心災(zāi)備線路的接口shutdown1.6 措施六所有運(yùn)行EIGRP路由協(xié)議的路由器，必須關(guān)閉路由自動(dòng)匯總；參考配置：router eigrp XXno auto-summary1.7 措施七采用運(yùn)營(yíng)商進(jìn)行線路傳輸參數(shù)切換實(shí)現(xiàn)通訊線路災(zāi)備切換的分行必須和運(yùn)營(yíng)商就線路切換流程達(dá)成科學(xué)、合理、可靠的切換流程，必要時(shí)應(yīng)將災(zāi)備機(jī)房下聯(lián)匯聚路由器廣域網(wǎng)端口物理關(guān)閉。二、二層廣播風(fēng)暴抑制管理與控制建議一級(jí)分行二層廣播風(fēng)暴抑制管理和控制主要目的，是針對(duì)一級(jí)分行所轄網(wǎng)絡(luò)中因非規(guī)范化配置或人為誤操作，可能對(duì)分行網(wǎng)絡(luò)系統(tǒng)安全生產(chǎn)造成重要影響的廣播控制與管理策略進(jìn)行強(qiáng)化，主要是對(duì)一級(jí)分行內(nèi)部的局域網(wǎng)安全配置全面部署，預(yù)防廣播風(fēng)暴、光纖線路單通、VLAN database混亂等災(zāi)難性故障的發(fā)生。通過(guò)對(duì)一級(jí)分行網(wǎng)絡(luò)的現(xiàn)狀和過(guò)往故障進(jìn)行分析，計(jì)劃采用技術(shù)手段對(duì)一級(jí)分行所轄網(wǎng)絡(luò)進(jìn)行過(guò)濾和分發(fā)控制，具體技術(shù)控制措施以下圖為模型進(jìn)行闡述：2.1 核心區(qū)交換機(jī)配置2.1.1 全局配置命令 vtp mode transparent udld aggressive udld message time 72.1.2 核心交換機(jī)光纖互聯(lián)端口配置 int gigabitEthernet X/Y udld port aggressive2.2 業(yè)務(wù)后臺(tái)區(qū)匯聚交換機(jī)配置2.2.1 全局配置命令 vtp mode transparent udld aggressive udld message time 72.2.2 區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令 Catalyst37系列交換機(jī) int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置，電口不需要配置,下同2.2.3 區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口命令Catalyst49、45、65系列交換機(jī) int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.3 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)配置2.3.1 全局配置命令 vtp mode transparent spanning-tree uplinkfast udld aggressive udld message time 72.3.2 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)服務(wù)器接入端口配置命令Catalyst37系列交換機(jī) int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.3.3 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)服務(wù)器接入端口配置命令Catalyst49系列交換機(jī)int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.3.4 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)上連區(qū)域匯聚交換機(jī)的端口配置命令Catalyst37系列交換機(jī) int gigabitEthernet X/0/Yswitchport mode trunk udld port aggressive2.3.5 業(yè)務(wù)后臺(tái)區(qū)接入交換機(jī)上連區(qū)域匯聚交換機(jī)的端口配置命令Catalyst49系列交換機(jī) int gigabitEthernet 1/Xswitchport mode trunk udld port aggressive2.4 業(yè)務(wù)前臺(tái)區(qū)匯聚交換機(jī)配置2.4.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.4.2區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令 Catalyst37系列交換機(jī) int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置，電口不需要配置,下同2.4.3區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令Catalyst49、45、65系列交換機(jī) int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.5 業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)配置2.5.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.5.2業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)終端接入端口或hub接入端口配置命令 Catalyst37系列交換機(jī)int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.5.3業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)終端接入端口或hub接入端口配置命令Catalyst49系列交換機(jī) int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.5.4業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)上聯(lián)區(qū)域匯聚交換機(jī)端口配置命令 Catalyst37系列交換機(jī) int gigabitEthernet X/0/Y switchport mode trunk udld port aggress2.5.5業(yè)務(wù)前臺(tái)區(qū)接入交換機(jī)上聯(lián)區(qū)域匯聚交換機(jī)端口配置命令 Catalyst49系列交換機(jī) int gigabitEthernet 1/X switchport mode trunk udld port aggress2.6 辦公區(qū)匯聚交換機(jī)配置2.6.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.6.2區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令 Catalyst37系列交換機(jī) int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置，電口不需要配置,下同2.6.3區(qū)域匯聚交換機(jī)與接入交換機(jī)互聯(lián)端口，匯聚交換機(jī)之間互聯(lián)端口配置命令Catalyst49、45、65系列交換機(jī) int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.7 辦公區(qū)接入交換機(jī)配置2.7.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.7.2辦公區(qū)接入交換機(jī)終端接入端口配置命令Catalyst37系列交換機(jī) int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.7.3辦公區(qū)接入交換機(jī)終端接入端口配置命令Catalyst49系列交換機(jī)int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1