整理路由管理和二层广播风暴抑制的方法.docx

整理路由管理和二层广播风暴抑制的方法.docx

《整理路由管理和二层广播风暴抑制的方法.docx》由会员分享，可在线阅读，更多相关《整理路由管理和二层广播风暴抑制的方法.docx（13页珍藏版）》请在冰豆网上搜索。

整理路由管理和二层广播风暴抑制的方法

一级分行路由管理和二层广播风暴抑制的建议

信息技术部网络管理室

信息技术部安全内控室

一、路由管理与控制建议

一级分行路由管理和控制主要目的，是针对一级分行所辖网络中因非规范化配置或人为误操作，可能对分行网络系统安全生产造成重要影响的路由控制与管理策略进行强化。

通过对一级分行网络的现状和过往故障进行分析，计划采用技术手段对一级分行所辖网络进行过滤和分发控制，具体技术控制措施以下图为模型进行阐述：

如上图所示，路由控制与管理相关措施如下所列：

1.1措施一

一级分行所辖分支机构（含二级分行、支行、网点等）上联路由器做路由过滤，仅向一级分行汇聚路由器发布该机构所属网段的路由前缀。

参考配置（应用于ZHRT-28-01）：

定义路由过滤控制列表（配置参考）：

ipprefix-listRoute-into-YJFHseq10permit10.XX.XX.0/24

ipprefix-listRoute-into-YJFHseq20permit99.XX.XX.0/24

注：

此控制列表只允许此网点的一个C类地址路由转发，如果该网点分配有多个C类地址，可以扩大允许路由转发的地址范围

定义EIGRP路由协议：

routereigrpXX

distribute-listprefixRoute-into-YJFHoutFastEthernet0/0//路由过滤应用在上联接口

network10.0.0.00.0.0.255

noauto-summary

1.2措施二

一级分行下联各分支机构的汇聚路由器上对所辖各分支机构做路由过滤，仅接受该分支机构所属网段的路由前缀。

参考配置（应用于DWRT-76-01）：

定义路由过滤控制列表（配置参考）：

ipprefix-listRoute-from-XXZHseq10permit10.XX.XX.0/24

ipprefix-listRoute-from-XXZHseq20permit99.XX.XX.0/24

注：

此控制列表只允许接受此网点的一个C类地址路由，如果该网点分配有多个C类地址，可以扩大允许路由转发的地址范围

定义EIGRP路由协议（配置参考）：

routereigrpXX

distribute-listprefixRoute-from-XXZHinGigabitEthernet1/24.100//路由过滤应用在下联该网点的（子）接口

network10.0.0.00.0.0.255

eigrprouter-id10.XX.255.X//定义eigrprouter-id

noauto-summary

1.3措施三

一级分行下联各分支机构的汇聚路由器向核心交换机做路由过滤，严禁向核心交换机发布该一级分行所分配IP地址段以外各类路由前缀。

参考配置（应用于DWRT-76-01）：

定义路由过滤控制列表（配置参考）：

ipaccess-liststandardroute-filter

permit10.XX.0.00.0.255.255

注：

此控制列表只允许此一级分行下联路由器向分行核心交换机转发匹配一级分行B类IP地址的路由，如果该一级分配有多个B类地址，可以扩大允许路由转发的地址范围

定义路由过滤route-map：

route-mapRoute-into-COREpermit10

matchipaddressroute-filter

定义EIGRP路由协议（配置参考）：

routereigrpXX

distribute-listprefixRoute-into-COREoutGigabitEthernet1/23//路由过滤应用在与核心交换机的互联接口

network10.0.0.00.0.0.255

eigrprouter-id10.XX.255.X//定义eigrprouter-id

noauto-summary

1.4措施四

一级分行灾备机房指向总行的汇总路由，子网掩码必须大于10.0.0.0/9，且该汇总路由平时不得进行配置，仅在需要启用灾备机房时进行配置。

参考配置（应用于ZBRT-38-02）：

定义指向总行的汇总路由（配置参考）：

iproute10.0.0.0255.0.0.010.XX.XX.XX//定义10.0.0.0/8的静态路由指向ZBRT-38-01

定义前缀列表配置（配置参考）：

ipprefix-liststatic-to-eigrpseq10permit10.0.0.0/8

定义静态路由重分发route-map配置（配置参考）：

route-mapstatic-to-eigrppermit10

matchipaddressprefix-liststatic-to-eigrp

定义EIGRP路由协议（以下EIGRP配置只有在启用灾备机房时才进行配置写入，正常情况下此设备EIGRP协议应关闭）（配置参考）：

routereigrpXX

redistributestaticroute-mapstatic-to-eigrp//只重分发匹配route-map的静态路由

network10.0.0.00.0.0.255

noauto-summary

1.5措施五

尚未完成一级分行同城双活实施分行，主机房与备份机房之间必须关闭路由邻居关系，备份机房与一级分行所辖各分支机构之间的路由邻居关系也必须关闭。

参考配置（应用于ZBRT-38-02）

noroutereigrpXX//关闭EIGRP动态路由协议

interfacefastEthernet0/1//关闭连接网点备份线路的接口

shutdown

参考配置（应用于ZBRT-38-01）

interfacefastEthernet0/0//关闭连接深圳数据中心灾备线路的接口

shutdown

1.6措施六

所有运行EIGRP路由协议的路由器，必须关闭路由自动汇总；

参考配置：

routereigrpXX

noauto-summary

1.7措施七

采用运营商进行线路传输参数切换实现通讯线路灾备切换的分行必须和运营商就线路切换流程达成科学、合理、可靠的切换流程，必要时应将灾备机房下联汇聚路由器广域网端口物理关闭。

二、二层广播风暴抑制管理与控制建议

一级分行二层广播风暴抑制管理和控制主要目的，是针对一级分行所辖网络中因非规范化配置或人为误操作，可能对分行网络系统安全生产造成重要影响的广播控制与管理策略进行强化，主要是对一级分行内部的局域网安全配置全面部署，预防广播风暴、光纤线路单通、VLANdatabase混乱等灾难性故障的发生。

通过对一级分行网络的现状和过往故障进行分析，计划采用技术手段对一级分行所辖网络进行过滤和分发控制，具体技术控制措施以下图为模型进行阐述：

2.1核心区交换机配置

2.1.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.1.2核心交换机光纤互联端口配置

intgigabitEthernetX/Y

udldportaggressive

2.2业务后台区汇聚交换机配置

2.2.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.2.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggressive//光口才需要配置，电口不需要配置,下同

2.2.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口命令

Catalyst49、45、65系列交换机

intgigabitEthernetX/Y

switchportmodetrunk

udldportaggressive

2.3业务后台区接入交换机配置

2.3.1全局配置命令

vtpmodetransparent

spanning-treeuplinkfast

udldaggressive

udldmessagetime7

2.3.2业务后台区接入交换机服务器接入端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodeaccess

storm-controlbroadcastlevelpps500250

storm-controlmulticastlevelpps500250

storm-controlactiontrap

spanning-treebpduguardenable

2.3.3业务后台区接入交换机服务器接入端口配置命令

Catalyst49系列交换机

intgigabitEthernet1/X

switchportmodeaccess

storm-controlbroadcastlevel1.50

storm-controlmulticastlevel1.50

storm-controlactiontrap

spanning-treebpduguardenable

2.3.4业务后台区接入交换机上连区域汇聚交换机的端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggressive

2.3.5业务后台区接入交换机上连区域汇聚交换机的端口配置命令

Catalyst49系列交换机

intgigabitEthernet1/X

switchportmodetrunk

udldportaggressive

2.4业务前台区汇聚交换机配置

2.4.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.4.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggressive//光口才需要配置，电口不需要配置,下同

2.4.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令

Catalyst49、45、65系列交换机

intgigabitEthernetX/Y

switchportmodetrunk

udldportaggressive

2.5业务前台区接入交换机配置

2.5.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.5.2业务前台区接入交换机终端接入端口或hub接入端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodeaccess

storm-controlbroadcastlevelpps500250

storm-controlmulticastlevelpps500250

storm-controlactiontrap

spanning-treebpduguardenable

2.5.3业务前台区接入交换机终端接入端口或hub接入端口配置命令

Catalyst49系列交换机

intgigabitEthernet1/X

switchportmodeaccess

storm-controlbroadcastlevel1.50

storm-controlmulticastlevel1.50

storm-controlactiontrap

spanning-treebpduguardenable

2.5.4业务前台区接入交换机上联区域汇聚交换机端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggress

2.5.5业务前台区接入交换机上联区域汇聚交换机端口配置命令

Catalyst49系列交换机

intgigabitEthernet1/X

switchportmodetrunk

udldportaggress

2.6办公区汇聚交换机配置

2.6.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.6.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令

Catalyst37系列交换机

intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggressive//光口才需要配置，电口不需要配置,下同

2.6.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令

Catalyst49、45、65系列交换机

intgigabitEthernetX/Y

switchportmodetrunk

udldportaggressive

2.7办公区接入交换机配置

2.7.1全局配置命令

vtpmodetransparent

udldaggressive

udldmessagetime7

2.7.2办公区接入交换机终端接入端口配置命令

Catalyst37系列交换机

intgigabitEthernet1/0/X

switchportmodeaccess

storm-controlbroadcastlevelpps500250

storm-controlmulticastlevelpps500250

storm-controlactiontrap

spanning-treebpduguardenable

2.7.3办公区接入交换机终端接入端口配置命令

Catalyst49系列交换机

intgigabitEthernet1/X

switchportmodeaccess

storm-controlbroadcastlevel1.50

storm-controlmulticastlevel1.50

storm-controlactiontrap

spanning-treebpduguardenable

2.7.4办公区接入交换机服务器接入端口配置命令

Catalyst37系列交换机

intgigabitEthernet1/0/X

switchportmodeaccess

storm-controlbroadcastlevelpps500250

storm-controlmulticastlevelpps500250

storm-controlactiontrap

spanning-treebpduguardenable

（3）环境影响评价中应用环境标准的原则。

2.7.5办公区接入交换机服务器接入端口配置命令

（五）规划环境影响评价的跟踪评价Catalyst49系列交换机

表四：

项目排污情况及环境措施简述。

intgigabitEthernet1/X

switchportmodeaccess

4.环境保护地方性法规和地方性规章storm-controlbroadcastlevel1.50

（4）跟踪评价的结论。

storm-controlmulticastlevel1.50

（3）建设项目对环境可能造成影响的分析、预测和评估。

storm-controlactiontrap

spanning-treebpduguardenable

2.7.6办公区接入交换机上连汇聚交换机端口，办公区接入交换机互联端口配置命令

（五）建设项目环境影响评价文件的审批Catalyst37系列交换机

（1）基础资料、数据的真实性；intgigabitEthernetX/0/Y

switchportmodetrunk

udldportaggress

2.7.7办公区接入交换机上连汇聚交换机端口，办公区接入交换机互联端口配置命令

（二）安全评价的基本原则Catalyst49系列交换机

（2）防护支出法intgigabitEthernet1/X

switchportmodetrunk

udldportaggress