中国工商银行局域网络技术规范.docx
《中国工商银行局域网络技术规范.docx》由会员分享,可在线阅读,更多相关《中国工商银行局域网络技术规范.docx(27页珍藏版)》请在冰豆网上搜索。
中国工商银行局域网络技术规范
中国工商银行技术审查委员会办公室
2009-1-16实施
2009-1-16发布
中国工商银行局域网络技术规范
Q/ICBCWL02.101-2009
中国工商银行行内技术规范
目次
目次I
前言3
引言4
中国工商银行局域网络技术规范5
1、范围5
2、规范性引用文件5
3、术语和定义5
3.1、交换机网5
3.2、局域网5
4、交换机网的结构设计5
4.1、交换机网结构设计分类5
4.1.1、三层结构交换机网5
4.1.2、两层结构交换机网6
4.1.3、单层结构交换机网6
4.2、交换机网架构选择原则7
5、常规交换机网设计7
5.1、交换机网二层设计7
5.1.1、VlanTrunk及Vlan注册协议7
5.1.2、生成树协议8
5.1.2.1、生成树协议(STP)类型选择8
5.1.2.2、SpanningTree配置优化8
5.1.2.3、SpanningTree环路避免9
5.2、交换机网三层设计10
5.2.1、网关备份协议10
5.2.2、区域路由设计10
5.3、交换机和网络设备连接规范10
5.3.1、交换机之间的连接10
5.3.1.1、核心交换机之间的连接11
5.3.1.2、楼层交换机与核心交换机之间的连接11
5.3.1.3、交换机之间的三层互连11
5.3.2、交换机与路由器间的连接11
5.3.3、交换机和防火墙的连接11
5.3.4、交换机与负载均衡设备的连接13
5.4、交换机和服务器连接规范13
6、交换机端口模式配置规范13
6.1、各种端口模式优缺点比较13
6.2、端口工作模式设置配置原则14
6.3、各种端口模式配置规范14
6.3.1、1000BASE-SX14
6.3.2、1000BASE-T14
6.3.3、100BASE-TX14
6.3.4、10BASE-T15
6.4、故障处理注意事项15
6.5、交换机和服务器网卡工作模式验证15
7、局域网管理15
7.1、设立网管网区域15
7.2、带内管理15
7.3、带外管理15
7.4、安全认证16
7.5、NTP时钟同步16
7.6、SNMP网管和日志管理16
7.7、端口镜像16
7.8、网络流信息获取16
7.9、DHCP服务16
7.10、局域网ARP病毒防护16
7.11、局域网安全防范17
8、附则17
附 录 A思科交换机私有协议配置规范17
附 录 BH3C交换机私有功能配置规范18
附 录 C常用标准协议-私有协议对照表19
附 录 D常用服务器网卡、主机HA连接技术说明19
附 录 E中国工商银行局域网环路故障防范及应急操作手册19
附 录 FARP病毒防护网络标准配置方案及ARP病毒防护网络应急方案19
参考文献20
1前言
2本标准由中国工商银行提出。
3本标准由中国工商银行技术审查委员会归口。
4本标准负责起草单位:
数据中心(北京)。
5本标准参与起草单位:
无。
6本标准主要起草人:
是煊。
7本标准替代2007年8月发布的《(ICBC/C-NET-003-002)中国工商银行局域网络设计规范》。
8
9引言
10为适应各类应用系统组网需求,贯彻我行“基于IP网络整合思路,构建一体化、承载全行各种业务应用的网络系统的设计思想”,统一全行各类局域网建设模式和相关要求,特制定和下发本规范。
11
中国工商银行局域网络技术规范
1、范围
我行各级机构局域网总体架构设计主要取决于网络承载业务的安全级别、面临的攻击风险、运维风险及局域网内部连接的复杂度等因素。
局域网总体架构需要根据各机构安全区域技术规范的要求部署。
本规范主要内容为物理交换机网内部的结构设计,包括二层、三层设计,交换机和交换机、交换机和路由器、交换机和防火墙、交换机与负载均衡设备间的连接方式,交换机和交换机、交换机和路由器、交换机和防火墙间的冗余及负载均衡技术,服务器和主机网络接入和连接方式,局域网网络监控手段、网络管理方式以及设备性能等内容。
本规范适用于中国工商银行各下属单位:
总行信息科技部、各一级分行及直属分行信息科技部、数据中心(北京)、数据中心(上海)、海外数据中心、软件开发中心。
2、规范性引用文件
无。
3、术语和定义
13.1、交换机网
指机构内部由一组交换机组成的物理交换机网,网络中各交换机之间通过二层Trunk互连,同一个交换机网内的服务器之间通过核心交换机的三层功能实现IP互连。
13.2、局域网
指机构内部交换机、防火墙和接入路由器等网络设备组成的内部网络。
局域网可以由一个或多个交换机网及其连接的其他网络设备组成。
4、交换机网的结构设计
14.1、交换机网结构设计分类
14.1.1、三层结构交换机网
三层交换机网自下而上分为接入层、分布层、核心层。
模型如下:
接入层交换机通常部署在楼层布线间,提供终端用户的接入。
接入层交换机主要提供局域网二层交换,一般具有高密度的接入端口。
分布层交换机提供接入层和核心层交换机的互连。
分布层交换机向下连接接入层交换机,向上连接核心层交换机。
为保障分布层交换机连接的冗余备份,分布层交换机和不同的核心层交换机建立Trunk连接,以实现冗余备份。
分布层交换机通常需要有较高的背板带宽。
核心层交换机提供所有分布层交换机的汇结,提供Vlan间的三层互访。
核心层交换机是交换机网的核心,一般采用双机冗余设计,并具有较高的背板带宽和较高的转发能力。
14.1.2、两层结构交换机网
两层结构的交换机网是将接入层交换机和分布层交换机的功能集中在分布层交换机上,使得该物理网内只存在核心交换机和分布层交换机两层结构。
模型如下:
该结构的主要特点是网络结构只有两层,减少了设备数量,网络结构稳定便于管理;利于使用中、高性能交换机设备,可避免使用单电源和单处理低端交换机设备。
14.1.3、单层结构交换机网
单层结构交换机网是将接入层,分布层,核心层的功能集中到一台交换机,服务器直接连接到两台骨干交换机上。
对于冗余度要求不高的网络也可使用单台交换机承载一个物理网的全部功能。
模型如下:
该结构的主要特点是网络结构只有一层,易于维护和管理。
减少了交换机之间的冗余二层连接,能够有效地避免交换机网二层环路问题。
14.2、交换机网架构选择原则
影响交换机网架构选择的主要因素有承载业务类型、用户分布、和数量、交换机性能等因素。
我行各级机构内部交换机网从功能上大体分为三大类:
生产业务网、测试网、办公网。
生产业务网是指数据中心、一级分行、二级分行承载生产业务的交换机网,包括各级机构接入网、隔离网、业务内网。
生产业务网承载各机构核心生产业务,网络稳定性要求最高,一般部署性能较高的交换机设备。
数据中心生产业务服务器数量较多,通常分散在多个机房部署,这类交换机网宜选择两层结构的交换机网。
一、二级分行生产业务服务器通常在同一机房内部署,这类交换机网应尽量减少交换机网层次机构,对于中等规模(服务器数量196台以内)的物理交换机网,内部服务器应尽量集中摆放,使用单层结构的物理交换机网。
对于较大规模(服务器数量196台以上)的物理交换机网可采用双层结构的物理交换机网,或对交换机网进行横向拆分。
测试网主要包括数据中心测试隔离网、测试业务网、一级分行测试网。
数据中心测试网承载全行各类业务测试,其网络稳定性要求很高,可参照生产网结构部署。
一级分行测试网服务范围较小、服务器数量也较少,通常采用单层结构,对于跨楼层分布的情况可采用两层交换机结构通过二层方式接入少量楼层交换机。
办公网主要包括总行、数据中心、一二级分行连接办公用户计算机的办公交换机网。
办公网用户一般分布在不同楼层,需要在各楼层部署接入层交换机,一般采用两层交换机结构。
5、常规交换机网设计
常规交换机网是指交换机网内部各交换机之间通过二层Trunk互连,同一个交换机网内的服务器之间通过核心交换机的三层功能实现IP互连。
该结构的优点是服务器部署较为灵活,扩展性较好,缺点是这种网络架构下,两台核心交换机之间的trunk连接中断将导致整个交换机网瘫痪。
目前我行数据中心所有交换机网,一级分行除核心生产网之外均采用该架构。
15.1、交换机网二层设计
15.1.1、VlanTrunk及Vlan注册协议
交换机网内部二层交换机之间配置VlanTrunk实现Vlan的互通,VlanTrunk采用IEEE802.1QTrunk协议格式。
对于思科交换机之间以及思科交换机与其它品牌交换机之间互连时需关闭DTP协议。
交换机之间可通过Vlan管理协议维护交换机中的Vlan动态注册信息,并传播该信息到其它的交换机中。
GVRP(GARPVlanRegistrationProtocol)是标准交换机网Vlan管理协议。
GVRP使用GVRP桥接协议数据单元(GVRPBPDU)将Vlan信息公布给网络中的其它交换机。
Vlan注册协议配置需遵循以下原则:
1、Vlan管理协议便于在较大规模的网络中管理Vlan配置,对于较小规模的网络可由每台交换机独立管理Vlan信息。
2、对于采用标准协议的交换机网络可使用GVRP协议。
3、对于思科交换机组成的网络可使用VTP协议,部署规范参见附录A。
4、对于异种品牌混合使用的交换机网络,Vlan信息由每台交换机独立管理。
15.1.2、生成树协议
交换机网通过生成树(SpanningTree)协议(STP)确定节点间的传输路径,防止交换机网的冗余连接产生二层环路,协议通过交换BPDU(桥协议数据单元)自动学习生成树路径。
SpanningTree环路问题是最常见的局域网故障,并且环路发生将影响整个局域网的工作,危害较大。
通过配置必要的预防措施可以有效的消除SpanningTree形成环路的可能。
15.1.2.1、生成树协议(STP)类型选择
STP有多种标准,常用的类型有:
CST,RSTP和MSTP,以及我行使用较多的PVST、PVST+协议。
1、CommonSpanningTree(CST)协议:
所有BPDU信息都通过管理Vlan传送到其他交换机,所有Vlan都共享此信息。
CST协议配置、管理简单,消耗交换机CPU小,但SpanningTree的收敛时间较长。
2、RSTP(IEEE802.1w)
RSTP(IEEE802.1w)又称为“快速生成树协议”,是在IEEE802.1d协议(STP)基础上发展而来的,它和CST协议一样,所有Vlan共享一个生成树。
它最大的改进之处是加快了SpanningTree的收敛速度。
3、MSTP(IEEE802.1s)
MSTP定义了“实例”(Instance)的概念,所谓实例就是多个Vlan的一个集合,每个“实例”内的Vlan共享一个生成树域。
通过多个Vlan捆绑到一个实例中去的方法可以节省通信开销和资源占用率。
MSTP可兼容STP/RSTP协议,但配置较复杂。
4、PVST和PVST+协议
Per-VlanSpanningTree(PVST)协议和Per-VlanSpanningTreePlus(PVST+)是思科私有的STP协议。
使用PVST+协议,每个Vlan各自按照各自独立的STP信息维持生成树。
交换机网STP协议配置需遵循以下原则:
1、对于采用标准协议的交换机网络或异种品牌混合使用的交换机网络使用MSTP/RSTP协议,通常情况下推荐使用RSTP协议,当局域网规模较大(超过6台楼层交换机)的情况下可考虑使用MSTP协议。
对于产品不支持情况可酌情采用CST协议。
2、对于思科交换机组成的网络使用PVST+协议。
3、对于两个采用三层VLAN互连的交换机网,如果两侧交换机运行的STP协议不同(如一级分行骨干思科交换机和测试H3C交换机之间),应采用关闭STP协议的方式避免连接问题。
15.1.2.2、SpanningTree配置优化
为提高局域网SpanningTree的收敛速度,对于支持标准协议的交换机网可使用RSTP协议加速SpanningTree的收敛速度。
RSTP配置原则如下:
1、将交换机和路由器、服务器、防火墙、HUB连接的端口配置为边缘接口。
边缘端口不直接或间接与任何交换机连接,则可以不用经过中间状态而直接进入转发状态。
为防止边缘接口接收BPDU信息,需要在边缘接口配置BPDUGuard。
2、交换机和交换机连接的端口需配置为点到点接口。
当交换机上根端口停止转发数据时,且上游指定端口已经开始转发数据时,能够自动实现根端口的快速迁移。
思科交换机组成的交换机网应通过portfast、uplinkfast等方式加快SpanningTree的收敛速度,部署规范见附录A。
15.1.2.3、SpanningTree环路避免
1、强制根、备份根的位置
通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。
因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。
对二层根不在核心交换机上的Vlan重新调整其根设定,把根统一设置到核心交换机上。
对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下:
每一VLAN生成树的根应与其VRRP/HSRP三层主活地址部署在同一交换机上。
对于规模较大的生产局域网,为提高整体性能可将各VLAN生成树的根均匀分布在两台核心交换机上。
对于办公局域网或小规模生产局域网,为便于SpanningTree的维护管理,可将全部生成树的主根应建立在第一台核心交换机上,全部备份根建立在第二台核心交换机上。
2、设置LoopGuard
LoopGuard是一种阻止STP环路形成的功能,可在以下情况下防止环路的发生。
情况一:
当备份的blocking端口因某些原因没有收到BPDU,超过MAXAGE时间,端口从blocking状态进入FORWARDING状态,于是STP环路形成。
但是如果端口上配置了LoopGuard功能,当blocking端口不再收到BPDU,端口将会进入到loop-inconsistent状态,而不是FORWARDING。
情况二:
当forwarding的端口因某些原因没有收到BPDU,超过MAXAGE时间,端口虽然还是FORWARDING状态,但另外的冗余线路连接的端口,将因为失去ROOTPORT而试图从alternativePORT成为ROOTPORT,这样从BLOCKING状态进入到FORWARDING状态,因此产生环路。
如果端口上配置了LoopGuard功能,当forwarding端口不再收到BPDU,端口将会进入到loop-inconsistent状态,而不是FORWARDING,BLOCKING的冗余端口会根据最新的STP结果进入到FORWARDING状态。
当端口再次收到BPDU后,端口就会从loop-inconsistent状态进入到FORWARDING或BLOCKING状态,这要根据当时的STP计算情况而定。
虽然LoopGuard是在端口级配置的,但是如果该端口是Trunk,那么当没有收到其中一个Vlan的BPDU,只有该Vlan被移入到loop-inconsistent状态,其他Vlan还维持原有状态。
对于采用STP环路结构的局域网,LoopGuard只在交换机网的rootport和alternateport端口上使用,在两台核心交换机之间不使用。
在我行采用STP环路设计的局域网内,核心交换机是根交换机,所以LoopGuard只需配置在接入交换机上联核心交换机的端口上,严禁配置在核心交换机之间互连的端口上。
3、设置RootGuard
RootGuard可以锁定生成树拓扑的根交换机,配置RootGuard后即使接入一个具有较低的桥接优先级的交换机时,根交换机并不会改变,生成树拓扑也不会改变。
对于设置了RootGuard功能的端口,端口角色只能保持为designate端口。
一旦这种端口上收到了优先级高的配置消息,即其将被选择为非designate端口时,这些端口的状态将被设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。
当在一段时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
通常RootGuard配置在根交换机的Designate端口上,防止下联设备抢占根。
但配置RootGuard也是有一定的危害性。
假如在核心交换机连接接入交换机的端口配置RootGuard,如果接入交换机上接入了一台优先级低的交换机,该交换机会发送bpdu声称自己是根,导致的结果是核心交换机的RootGuard机制会把楼层交换机隔离,整个楼层会中断。
由于我行生产局域网维护级别较高,设备接入管理遵循规范的操作步骤,因此可不配置RootGuard。
对于办公交换机网,需要在核心交换机下联端口配置RootGuard,防止由于误接入桥接优先级低的交换机抢占根。
4、配置STP事件LOG
STP环路发生前,通常会有LOG信息发生,因此,要求对数据中心生产网交换机、一级分行Intranet内网交换机配置LOGSERVER,并且打开相应的debug命令,以便能够通过LOG信息及时发现STP的变化。
5、Vlan裁减
在接入交换机与核心交换机之间配置Vlan裁减,缩小STP域并减少接入交换机与核心交换机之间不必要的广播流量。
VLAN裁减时禁止裁减Vlan1,对于有环结构的交换机网,不能裁减交换机网与防火墙连接的网间网VLAN。
对于采用VLAN注册协议的交换机网,Vlan裁减应通过手工配置的方式完成,不能使用自动裁减(如VTPpruning)方式。
对于采用独立管理VLAN(如transparent)方式的交换机,只在接入交换机上启动必要的VLAN。
6、关闭无用端口
生产网络应关闭未使用的交换机端口,需要使用时再进行分配或启用,以避免非法接入或误操作。
7、避免使用VLAN1传输数据
交换机VLAN1通常用来传输STP协议等控制信息,因此需避免使用VLAN1作为数据传输VLAN。
8、运维管理
通过规范化运维管理可有效规避STP环路风险,有关内容参见附录E。
15.2、交换机网三层设计
交换机网三层设计主要考虑Vlan间的互访及控制,Vlan和其他网络区域的通讯。
15.2.1、网关备份协议
标准交换机网采用VRRP协议实现网关的冗余备份。
内部服务器通过VRRP虚拟IP地址与外部网络实现IP层通信,VRRP通过优先级和接口IP地址选举主虚拟网关,主虚拟网关提供实际的路由转发服务。
当虚拟网关故障时,备份虚拟网关取代主虚拟网关状态保持局域网正常通信。
为了提高数据转发效率,VRRP部署时应将Vlan二层生成树根和三层MASTER地址设置在同一台交换机(一级分行Intranet内部网除外)。
思科交换机采用私有的HSRP技术实现网关的冗余备份,其特点与VRRP类似,HSRP工作原理及部署方式参见附录A。
15.2.2、区域路由设计
按照网络安全技术规范要求,数据中心、各分行的局域网分为几个独立的物理网区域,不同的区域利用防火墙隔离,或通过三层Interface连接。
通过防火墙的访问通过静态路由实现,其他区域之间路由协议的详细部署参见《中国工商银行网络路由技术规范》。
15.3、交换机和网络设备连接规范
15.3.1、交换机之间的连接
15.3.1.1、核心交换机之间的连接
局域网两台核心之间应保持LOOPfree结构,即保持两台核心交换机之间只有一条直连的STP路径。
两台核心交换机之间应将两条不同板卡的线缆捆绑为一条channel(如无性能方面的特殊需求,只将2条线捆绑成一个channel),两台核心交换机之间的channel采用trunk方式连接。
对于不支持跨板卡捆绑channel的产品,可在另外的一块板卡上在设置一条Trunk链路,捆绑为channel,但是不进行连线,作为冷备链路,当正常链路发生故障时,手工进行切换。
思科交换机之间的channel配置启动PAgP(思科私有)协议,并且优选的模式为‘desirablemode’(避免使用on模式)。
思科交换机与其它品牌交换机之间或其它品牌交换机之间的channel配置采用强制方式,不启动LACP协议。
应确保核心交换机之间连接的高峰期平均流量不超过连接带宽的40%。
15.3.1.2、楼层交换机与核心交换机之间的连接
通常情况下,楼层交换机可分别通过两条链路连接两台核心交换机,通过STP协议保证二层连接不产生环路。
重要的生产交换机网应通过捆绑channel方式互连,非重要的交换机网(如办公网)在端口不足的情况下也可采用单条线路连接。
一级分行核心交换机网全网采用LOOPfree结构,具体实现方式参见《中国工商银行一级分行辖内网络技术规范》。
楼层交换机与核心交换机之间应将两条不同板卡的线缆捆绑为一条channel(如无性能方面的特殊需求,只将2条千兆线捆绑成一个channel)。
对于不支持跨板卡捆绑channel的产品,方可使用同一板卡上的端口进行捆绑。
通常情况下,channel应采用trunk方式连接。
思科交换机之间的channel配置启动PAgP(思科私有)协议,并且优选的模式为‘desirablemode’(避免使用on模式)。
思科交换机与其它品牌交换机之间或其它品牌交换机之间的channel配置不启动LACP协议。
应确保楼层交换机与核心交换机之间连接的高峰期平均流量不超过连接带宽的40%。
15.3.1.3、交换机之间的三层互连
不同交换机网之间的互连需采用三层互连模式。
如城域网不同机构间的互连、一级分行骨干交换机与办公交换机之间的互连。
对于支持三层端口的交换机尽量采用三层端口的互连方式。
对于不支持三层端口的交换机可采用Vlan方式互连,如果两侧交换机运行的STP协议不同,应采用关闭STP协议的方式避免连接问题。
交换机之间的互连根据情况可采用两条线路的口字形连接或4条线路Fullmash连接,每条连接采用单独的三层IP地址段。
15.3.2、交换机与路由器间的连接
在交换机支持的情况下,优先使用三层interface方式与路由器进行互联。
如果交换机不支持三层interface方式,通常通过三层Vlan连接,此时要求连接路由器的端口设置为边缘快速接入端口(portfast),加快SpanningTree的收敛速度。
15.3.3、交换机和防火墙的连接
局域网中防火墙担负着各个安全区域的互联作用,为了最大限度的减少和交换机连接的风险,也要特别考虑冗余设计。
交换机与防火墙的连接按照连接方式可分为以下三种,具体根据实际网络设计需求选择。
1、三层VlanFull-Mesh连接
交换机和防火墙之间采用Full-Mesh,防火墙与同组交换机连接的端口配置在一个Vlan中。
连接方式如下图:
主要特点:
提供很强的冗余备份能力
适用范围:
防火墙的端口较多,且经过防火墙的流量大。
例如生产网防火墙。
注意事项:
为了提高数据的转发效率,宜将防火墙Active端口连接在RootBridge及VRRP/HSRPActive所在的核心交换机上。
2、三层Vlan口字型连接
交换机和防火墙之间采用口字型连接,防火墙与同组交换机连接的端口配置在一个Vlan中。
连接方式如下图:
主要特点:
提供较强的冗余备份能力。