路由管理和二層廣播風暴抑制的方法

1、一級分行路由管理和二層廣播風暴抑制的建議信息技術部網(wǎng)絡管理室信息技術部安全內控室目 錄一、路由管理與控制建議31.1措施一31.2措施二41.3措施三41.4措施四51.5措施五61.6措施六61.7措施七6二、二層廣播風暴抑制管理與控制建議62.1核心區(qū)交換機配置72.1.1 全局配置命令72.1.2 核心交換機光纖互聯(lián)端口配置72.2業(yè)務后臺區(qū)匯聚交換機配置82.2.1 全局配置命令82.2.2 區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令82.2.3 區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口命令82.3業(yè)務后臺區(qū)接入交換機配置82.3.1 全局配置

2、命令82.3.2 業(yè)務后臺區(qū)接入交換機服務器接入端口配置命令82.3.3 業(yè)務后臺區(qū)接入交換機服務器接入端口配置命令92.3.4 業(yè)務后臺區(qū)接入交換機上連區(qū)域匯聚交換機的端口配置命令92.3.5 業(yè)務后臺區(qū)接入交換機上連區(qū)域匯聚交換機的端口配置命令92.4業(yè)務前臺區(qū)匯聚交換機配置10全局配置命令10區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令10區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令102.5業(yè)務前臺區(qū)接入交換機配置10全局配置命令10業(yè)務前臺區(qū)接入交換機終端接入端口或hub接入端口配置命令10業(yè)務前臺區(qū)接入交換機終端接入端口或hub接入端口配

3、置命令11業(yè)務前臺區(qū)接入交換機上聯(lián)區(qū)域匯聚交換機端口配置命令11業(yè)務前臺區(qū)接入交換機上聯(lián)區(qū)域匯聚交換機端口配置命令112.6辦公區(qū)匯聚交換機配置12全局配置命令12區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令12區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令122.7辦公區(qū)接入交換機配置12全局配置命令12辦公區(qū)接入交換機終端接入端口配置命令13辦公區(qū)接入交換機終端接入端口配置命令13辦公區(qū)接入交換機服務器接入端口配置命令13辦公區(qū)接入交換機服務器接入端口配置命令14辦公區(qū)接入交換機上連匯聚交換機端口，辦公區(qū)接入交換機互聯(lián)端口配置命令14辦公區(qū)接入交換

4、機上連匯聚交換機端口，辦公區(qū)接入交換機互聯(lián)端口配置命令14一、路由管理與控制建議一級分行路由管理和控制主要目的，是針對一級分行所轄網(wǎng)絡中因非規(guī)范化配置或人為誤操作，可能對分行網(wǎng)絡系統(tǒng)安全生產(chǎn)造成重要影響的路由控制與管理策略進行強化。通過對一級分行網(wǎng)絡的現(xiàn)狀和過往故障進行分析，計劃采用技術手段對一級分行所轄網(wǎng)絡進行過濾和分發(fā)控制，具體技術控制措施以下圖為模型進行闡述：如上圖所示，路由控制與管理相關措施如下所列：1.1 措施一一級分行所轄分支機構（含二級分行、支行、網(wǎng)點等）上聯(lián)路由器做路由過濾，僅向一級分行匯聚路由器發(fā)布該機構所屬網(wǎng)段的路由前綴。參考配置（應用于ZHRT-28-01）：定義路由過濾

5、控制列表（配置參考）：ip prefix-list Route-into-YJFH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-into-YJFH seq 20 permit 99.XX.XX.0/24注：此控制列表只允許此網(wǎng)點的一個C類地址路由轉發(fā)，如果該網(wǎng)點分配有多個C類地址，可以擴大允許路由轉發(fā)的地址范圍定義EIGRP路由協(xié)議：router eigrp XXdistribute-list prefix Route-into-YJFH out FastEthernet0/0/路由過濾應用在上聯(lián)接口network 10.0.0no auto

6、-summary1.2 措施二一級分行下聯(lián)各分支機構的匯聚路由器上對所轄各分支機構做路由過濾，僅接受該分支機構所屬網(wǎng)段的路由前綴。參考配置（應用于DWRT-76-01）：定義路由過濾控制列表（配置參考）：ip prefix-list Route-from-XXZH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-from-XXZH seq 20 permit 99.XX.XX.0/24注：此控制列表只允許接受此網(wǎng)點的一個C類地址路由，如果該網(wǎng)點分配有多個C類地址，可以擴大允許路由轉發(fā)的地址范圍定義EIGRP路由協(xié)議（配置參考）：router ei

7、grp XXdistribute-list prefix Route-from-XXZH in GigabitEthernet1/24.100/路由過濾應用在下聯(lián)該網(wǎng)點的（子）接口network 10.0.0eigrp router-id 10.XX.255.X /定義eigrp router-idno auto-summary1.3 措施三一級分行下聯(lián)各分支機構的匯聚路由器向核心交換機做路由過濾，嚴禁向核心交換機發(fā)布該一級分行所分配IP地址段以外各類路由前綴。參考配置（應用于DWRT-76-01）：定義路由過濾控制列表（配置參考）：ip access-list standard route-

8、filter permit 10.XX注：此控制列表只允許此一級分行下聯(lián)路由器向分行核心交換機轉發(fā)匹配一級分行B類IP地址的路由，如果該一級分配有多個B類地址，可以擴大允許路由轉發(fā)的地址范圍定義路由過濾route-map：route-map Route-into-CORE permit 10 match ip address route-filter定義EIGRP路由協(xié)議（配置參考）：router eigrp XXdistribute-list prefix Route-into-CORE out GigabitEthernet1/23/路由過濾應用在與核心交換機的互聯(lián)接口network 10

9、.0.0eigrp router-id 10.XX.255.X /定義eigrp router-idno auto-summary1.4 措施四一級分行災備機房指向總行的匯總路由，子網(wǎng)掩碼必須大于.0/9，且該匯總路由平時不得進行配置，僅在需要啟用災備機房時進行配置。參考配置（應用于ZBRT-38-02）：定義指向總行的匯總路由（配置參考）：ip route 10.0.0.0 255.0.0.0 10.XX.XX.XX /定義10.0.0.0/8的靜態(tài)路由指向ZBRT-38-01定義前綴列表配置（配置參考）：ip prefix-list static-to-eigrp seq 10 permi

10、t .0/8定義靜態(tài)路由重分發(fā)route-map配置（配置參考）：route-map static-to-eigrp permit 10 match ip address prefix-list static-to-eigrp 定義EIGRP路由協(xié)議（以下EIGRP配置只有在啟用災備機房時才進行配置寫入，正常情況下此設備EIGRP協(xié)議應關閉）（配置參考）：router eigrp XXredistribute static route-map static-to-eigrp /只重分發(fā)匹配route-map的靜態(tài)路由network 10.0.0no auto-summary1.5 措施五尚未完

11、成一級分行同城雙活實施分行，主機房與備份機房之間必須關閉路由鄰居關系，備份機房與一級分行所轄各分支機構之間的路由鄰居關系也必須關閉。參考配置（應用于ZBRT-38-02）no router eigrp XX /關閉EIGRP動態(tài)路由協(xié)議interface fastEthernet0/1 /關閉連接網(wǎng)點備份線路的接口shutdown參考配置（應用于ZBRT-38-01）interface fastEthernet0/0 /關閉連接深圳數(shù)據(jù)中心災備線路的接口shutdown1.6 措施六所有運行EIGRP路由協(xié)議的路由器，必須關閉路由自動匯總；參考配置：router eigrp XXno auto

12、-summary1.7 措施七采用運營商進行線路傳輸參數(shù)切換實現(xiàn)通訊線路災備切換的分行必須和運營商就線路切換流程達成科學、合理、可靠的切換流程，必要時應將災備機房下聯(lián)匯聚路由器廣域網(wǎng)端口物理關閉。二、二層廣播風暴抑制管理與控制建議一級分行二層廣播風暴抑制管理和控制主要目的，是針對一級分行所轄網(wǎng)絡中因非規(guī)范化配置或人為誤操作，可能對分行網(wǎng)絡系統(tǒng)安全生產(chǎn)造成重要影響的廣播控制與管理策略進行強化，主要是對一級分行內部的局域網(wǎng)安全配置全面部署，預防廣播風暴、光纖線路單通、VLAN database混亂等災難性故障的發(fā)生。通過對一級分行網(wǎng)絡的現(xiàn)狀和過往故障進行分析，計劃采用技術手段對一級分行所轄網(wǎng)絡進行

13、過濾和分發(fā)控制，具體技術控制措施以下圖為模型進行闡述：2.1 核心區(qū)交換機配置2.1.1 全局配置命令 vtp mode transparent udld aggressive udld message time 72.1.2 核心交換機光纖互聯(lián)端口配置 int gigabitEthernet X/Y udld port aggressive2.2 業(yè)務后臺區(qū)匯聚交換機配置2.2.1 全局配置命令 vtp mode transparent udld aggressive udld message time 72.2.2 區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令 Cat

14、alyst37系列交換機 int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置，電口不需要配置,下同 區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口命令Catalyst49、45、65系列交換機 int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.3 業(yè)務后臺區(qū)接入交換機配置 全局配置命令 vtp mode transparent spanning-tree uplinkfast udld agg

15、ressive udld message time 72.3.2 業(yè)務后臺區(qū)接入交換機服務器接入端口配置命令Catalyst37系列交換機 int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.3.3 業(yè)務后臺區(qū)接入交換機服務器接入端口配置命令Catalyst49系列交換

16、機int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.3.4 業(yè)務后臺區(qū)接入交換機上連區(qū)域匯聚交換機的端口配置命令Catalyst37系列交換機 int gigabitEthernet X/0/Yswitchport mode trunk udld port aggressive2.3.5 業(yè)務后臺區(qū)

17、接入交換機上連區(qū)域匯聚交換機的端口配置命令Catalyst49系列交換機 int gigabitEthernet 1/Xswitchport mode trunk udld port aggressive2.4 業(yè)務前臺區(qū)匯聚交換機配置2.4.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.4.2區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令 Catalyst37系列交換機 int gigabitEthernet X/0/Y switchport mode trunk udld port a

18、ggressive /光口才需要配置，電口不需要配置,下同2.4.3區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令Catalyst49、45、65系列交換機 int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.5 業(yè)務前臺區(qū)接入交換機配置2.5.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.5.2業(yè)務前臺區(qū)接入交換機終端接入端口或hub接入端口配置命令 Catalyst37系列交換機int gigabit

19、Ethernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.5.3業(yè)務前臺區(qū)接入交換機終端接入端口或hub接入端口配置命令Catalyst49系列交換機 int gigabitEthernet 1/X switchport mode access storm-control broadcast le

20、vel 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.5.4業(yè)務前臺區(qū)接入交換機上聯(lián)區(qū)域匯聚交換機端口配置命令 Catalyst37系列交換機 int gigabitEthernet X/0/Y switchport mode trunk udld port aggress2.5.5業(yè)務前臺區(qū)接入交換機上聯(lián)區(qū)域匯聚交換機端口配置命令 Catalyst49系列交換機 int gigabitEthernet 1/X switchport mode t

21、runk udld port aggress2.6 辦公區(qū)匯聚交換機配置2.6.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.6.2區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令 Catalyst37系列交換機 int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置，電口不需要配置,下同2.6.3區(qū)域匯聚交換機與接入交換機互聯(lián)端口，匯聚交換機之間互聯(lián)端口配置命令Catalyst49、45、6

22、5系列交換機 int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.7 辦公區(qū)接入交換機配置2.7.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.7.2辦公區(qū)接入交換機終端接入端口配置命令Catalyst37系列交換機 int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.7.3辦公區(qū)接入交換機終端接入端口配置命令Catalyst49系列交換機int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control