广播风暴处理讲解.docx
《广播风暴处理讲解.docx》由会员分享,可在线阅读,更多相关《广播风暴处理讲解.docx(22页珍藏版)》请在冰豆网上搜索。
广播风暴处理讲解
1.网络结构设计
客户端区通常包括一个或多个建筑,每个建筑定义为一个节点,主节点与分行服务器区在同一建筑内,其它建筑为分支节点。
1.1.客户端区网络逻辑分层结构
客户端区网络遵循分层模块化结构设计原则,其网络层次结构分为以下几个逻辑模块:
图表1客户端区网络逻辑结构图
局域网核心交换区
为一级分行局域网的核心,用于连接一级分行各个网络分区,客户端区也通过局域网核心交换机与其他分区通信。
二级分行参考上图。
边界安全隔离层
作为客户端区与核心交换区之间的边界和接口,与局域网核心安全隔离。
汇聚层
作为接入交换机的汇聚点,提供汇聚功能、策略控制和隔离。
终端安全控制层
用于实施终端安全准入控制以及客户端间的安全访问控制。
接入层
用于终端接入,是客户端网络的最外层。
1.2.节点网络物理结构
1.2.1.两层结构
两层结构为终端用户通过两层交换设备接入网络,其结构如下图所示:
图表2节点两层结构
如上图所示,两层网络结构分为汇聚设备和楼层接入设备组成。
楼层接入设备通常部署在各个楼层的配线间,用于各楼层的终端用户直接接入,楼层接入设备通过光纤连接至汇聚设备,汇聚设备作为本节点客户端网络的统一出口。
1.2.2.单层结构
单层结构为终端用户通过单层交换设备接入网络,其结构如下图所示:
图表3节点单层结构
终端用户通过综合布线,直接从信息接入点接入两台交换机,这两台交换机也作为本节点客户端网络的出口。
1.3.客户端网络逻辑结构及扩展方式
客户端区接入层交换机与汇聚交换机之间有多种连接模式,分别有二层连接模式、三层连接模式以及二、三层相结合的连接模式。
1.3.1.三层连接模式及扩展
接入交换机通过三层方式连接至汇聚交换机,如下图所示:
图表4三层连接模式
两台汇聚交换机之间通过两个千兆光纤互联,采用EtherChannel技术捆绑成逻辑的通道,两交换机互联接口运行于路由模式或交换模式,使用三层互联。
接入交换机通过三层方式连接至两台汇聚交换机。
每个VLAN对应一段连续的地址段,VLAN内的网关由接入交换机SVI接口承担。
采用该组网模式,可有效的分割二层广播域,隔离客户端与汇聚交换机,避免不同网段客户端之间的相互影响。
扩展方式
图表5三层连接模式扩展
(A)横向扩展:
在信息点足够时,保持两层接入结构,新增接入交换机,与同层大楼所在接入交换机使用Trunk互联,运行HSRP或VRRP提供网关冗余性,并使用三层方式连接至两台汇聚交换机;
(B)堆叠扩展:
在信息点足够时,且接入交换机支持堆叠功能,保持两层接入结构,使用堆叠方式进行扩展;
(B)纵向扩展:
在信息点不足时,通过在接入交换机单线下联交换机使用Trunk方式扩展,Trunk链路仅允许下联交换机划分的VLAN;
1.3.2.二层连接模式及扩展
接入层交换机使用二层方式连接至汇聚交换机,如下图所示:
图表6二层连接模式
两台汇聚交换机之间通过两个千兆光纤互联,采用EtherChannel技术捆绑成逻辑的通道,两交换机互联接口运行于Trunk模式,封装802.1Q协议,并允许客户端已划分的所有VLAN,未划分的VLAN不在允许的范围内。
两台汇聚交换机分别作为生成树的主根和次根。
各接入交换机根据楼层及用户所在部门,按需划分VLAN,接入交换机使用Trunk连接至两台汇聚交换机,在Trunk链路上仅允许该交换机划分过的VLAN。
接入交换机之间无连接,不同接入交换机之间的数据通信通过汇聚交换机转发。
每个VLAN对应一段连续的地址段,VLAN内的网关由汇聚交换机的SVI接口承担,汇聚交换机启用HSRP或VRRP,以提供网关的冗余性。
采用该模式进行组网,方便用户进行搬迁,无需更改IP地址,管理员只需修改信息点对应的VLAN即可。
但由于通过二层方式接入至汇聚交换机,二层广播域较大,需要注意防范广播风暴的冲击和二层环路风险,避免不同客户端间的相互影响。
扩展方式
图表7二层连接模式扩展
(A)横向扩展:
在信息点足够时,保持两层接入结构,新增接入交换机使用Trunk连接至汇聚交换机;
(B)堆叠扩展:
在信息点足够时,且接入交换机支持堆叠功能,保持两层接入结构,使用堆叠方式进行扩展;
(C)纵向扩展:
在信息点不足时,通过在接入交换机单线下联交换机使用Trunk方式扩展,Trunk链路仅允许下联交换机划分的VLAN;
1.3.3.二层、三层相结合
二层、三层相结合的连接模式如下图所示:
图表8二层、三层相结合连接模式
该模式物理结构仍然为两层接入结构,部分接入交换机采用二层接入模式连接汇聚交换机,部分接入交换机采用三层接入模式接入汇聚交换机。
该模式结合了二层和三层连接方式,扩展方式与二者无异。
2.安全
2.1.安全设计指导原则
客户端区网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发;
保护在二级分行行大楼(或同城其他机关大楼)内的CCI座席和业务1类客户端网络资源可用,保障服务品质。
实现业务1类客户端与OA类客户端的安全隔离。
为客户端桌面安全准入控制提供网络环境。
2.2.安全措施
2.2.1.安全控制措施
控制异常流量、防止病毒扩散
在客户端区交换机网关接口配置防病毒ACL,防止常见病毒扩散,具体ACL内
防止地址欺骗
在客户端区交换机网关接口配置ACL(与防病毒ACL合并),仅允许分行客户端所在地址范围内的地址接入网络;
业务1类、OA类、CCI类、网管客户端相互隔离
要求不同类别的客户端之间实现二层及三层的隔离,禁止相互访问。
业务1类客户端、网管客户端绑定IP、MAC地址和交换机端口
在业务1类客户端网关所在交换机配置客户端IP地址与MAC地址静态映射;
在业务1类客户端接入交换机上配置客户端MAC地址与交换机端口静态邦定。
仅允许该端口下联的客户端MAC地址,当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全。
在违反MAC地址安全时,应丢弃数据包,发警告,发出SNMPtrap,同时被记录在syslog日志里。
ARP病毒防护
开启交换机对ARP的检测功能。
通过ARP检查保证接入交换机只传递“合法的”的ARP请求和应答信息,而将“虚假的”ARP条目在网络端口上丢弃,避免网络遭受ARP病毒的破坏。
目前,未统一部署DHCP服务,故采取手工添加静态绑定条目。
控制广播风暴
在接入交换机各个端口进行广播风暴控制,控制在1%以下;
2.2.2.设备自身安全加固
启用安全认证
分级设置登陆权限,启用用户名和密码认证,配置8位以上,包含数字、大小写字母和符号的密码,定期修改密码,并禁止明文显示密码;
对VTYTelnet进行严格控制
对VTYTelnet使用ACL进行限制,仅管理员指定的客户端能进行Telnet,并配置超时时间,推荐为5分钟;
关闭设备上不必要的服务
关闭网络设备不必要的服务,如HTTPServer、DHCP服务、VTP、CDP、DNS查找
关闭接口上不必要的服务
关闭ARP代理、ICMP不可达服务;
关闭客户端区汇聚交换机、接入交换机不使用的端口
关闭客户端区汇聚交换机、接入交换机不使用的端口,按需使用端口资源;
启用系统日志
开启时间戳服务:
为系统日志和Debug信息记录提供详细的时间点;
关闭到Console端口的日志输出:
防止日志信息冲击Console导致无法使用;
增加日志缓冲区空间或日志缓冲条目数量;
网络管理系统中设置日志服务器:
将网络设备的日志信息及时备份到日志服务器以备查看。
日志服务器需做好安全保护,防止重要的日志信息被盗,服务器的安全不在本文范畴之内;
启用控制平面保护
启用交换机设备控制平面保护,防止主控引擎受到DoS攻击的影响,避免可能中断正常业务的断网故障。
SNMPCommunity串必须配置ACL
仅允许网管服务器、网管客户端访问网络设备的SNMP读写操作。
2.2.3.客户端安全措施
接入客户端区网络的客户端必须按照总行安全管理处下发的有关防病毒系统、桌面办公安全管理系统等相关规定,及时安装ServicePack、防病毒软件以及桌面办公安全管理软件(LANDESK),并做到及时升级。
3.实施指导
3.1.客户端接入设计
3.1.1.客户端分类接入
按照客户端的服务等级要求(SLA)和安全要求将客户端计算机分为以下三类:
(1)业务1类客户端,CCI客户端,简称CLT1
(2)OA类客户端,简称CLT2
(3)网管客户端,简称CLT3
CLT1和CLT2,分别采用不同的接入交换机接入,在CLT2发生病毒和攻击时,容易实现CLT2的隔离。
CLT3部署在机房监控区,通过独立的交换机接入,然后再接入到客户端汇聚交换机中。
客户端分类接入设计示意图如下所示:
图表13客户端分类接入
为保障业务1类客户端和CCI客户端的服务等级,需做好二层网络安全加固以及故障应急方案,保证在故障出现后半小时内恢复。
3.1.2.客户端区二层、三层连接模式的选择
由于三层连接模式可有效的分割二层广播域,隔离客户端与汇聚交换机,避免不同网段客户端之间的相互影响,因此,该模式作为首选组网模式。
二层连接模式作为第二选择,二层、三层相结合的连接模式作为过渡模式,均为符合规范的组网模式,分行根据自身实际情况选择组网模式。
3.1.3.网卡工作模式
目前局域网端口工作模式主要包括10BaseT、100BaseTX和1000BaseT、1000BaseSX等,这些技术工作在不同的速率和双工模式下,在不同的技术互连中可能存在互操作的问题,并引发潜在的网络故障,为此需要对交换机端口采用的工作模式进行规范。
各种端口模式比较如下表:
自动协商
强制指定
优点
线缆单通时可以通过协商关闭两端的端口
各种网络设备及NIC默认为自动协商,不需要手动指定,可以降低维护成本
通过更主动的方式使互连端口初始能够工作在最佳方式
不依赖自动协商技术及平行检测技术
不依赖与产品是否具备自动协商技术
缺点
依赖于自动协商及平行检测技术的互操作性
依赖于产品对自动协商技术的支持
协商结果可能不是互连最佳的工作模式
线缆单通时无法通过协商关闭发送端的端口
需要手动修改网络设备及NIC的默认配置,维护成本高
趋势
随着标准的改进及各厂家技术的成熟,业界倾向于使用这种方式
例外情况
NIC或网络设备不支持自动协商
NIC或网络设备协商不能很好的兼容
NIC驱动缺陷,虽然设置了auto,但仍然使用某一指定工作方式
NIC驱动缺陷,虽然设置了某一指定工作方式,但网卡仍然使用auto和对端协商
图表14各种端口模式比较
端口工作模式设置配置原则
互连设备两端的配置方式必须相同,即两端都设置为auto或指定为相同的speed,duplex工作方式。
1000M光口及电口互连使用auto模式。
3.2.分支机构接入
分支机构分为分行营业部、分行机关等。
分支结构属于分支节点。
3.2.1.分支机构接入客户端区汇聚交换机
图表15分支机构接入客户端区汇聚交换机
分支机构采用裸光纤互联,直接连接至汇聚交换机。
为提高接入冗余度,增强网络可靠性,分支节点租用不同运营商的线路连接至汇聚交换机。
每个机构作为一个分支节点,网络结构参加“4.2节点网络物理结构”。
3.2.2.分支机构接入RTP区汇聚交换机
图表16分支机构接入RTP区汇聚交换机
分支机构通过裸光纤接入汇聚交换机或通过广域网线路接入同城接入路由器。
为提高接入冗余度,增强网络可靠性,分支节点租用不同运营商的线路连接至汇聚交换机。
3.3.二层交换网络实施指导
3.3.1.设定生成树的主根、次根
通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。
因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。
对二层根不在核心交换机上的Vlan重新调整其根设定,将根统一设置到核心交换机上。
对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下:
汇聚交换机HB_TT_SW_1设置为所有VLAN的生成树的主根;
汇聚交换机HB_TT_SW_2设置为所有VLAN的生成树的次根;
3.3.2.生成树优化
SpanningTree的计算由四步组成:
Blocking、Listening、Learning、Forwarding。
通常一个端口从Blocking到Forwarding的时间大致为30-50秒。
为提高局域网SpanningTree的收敛速度,对于支持标准协议的交换机网可使用RSTP协议加速SpanningTree的收敛速度。
RSTP配置原则如下:
1)将交换机和客户端连接的端口配置为边缘接口。
2)边缘端口不直接或间接与任何交换机连接,则可以不用经过中间状态而直接进入转发状态。
为防止边缘接口接收BPDU信息,需要在边缘接口配置BPDUGuard。
3)交换机和交换机连接的端口需配置为点到点接口。
当交换机上根端口停止转发数据时,且上游指定端口已经开始转发数据时,能够自动实现根端口的快速迁移。
关于生成树高级特性的介绍,请对于不链接设备的交换机端口(链接PC或终端的)设置为边缘端口:
命令例:
stpenable开启STP功能
stprootprimary设置为主根
stprootsecondary设置为次根
stpedged-portenable在端口模式下设置本端口为边缘端口
对于容易产生广播风暴的交换机可设置风暴抑制
broadcast-suppression本命令解析(最好不要用全降低网速)参考附录。
3.3.3.VLAN及Trunk设置
交换机网内部二层交换机之间配置VlanTrunk实现Vlan的互通,VlanTrunk采用IEEE802.1QTrunk协议格式。
对于思科交换机之间以及思科交换机与其它品牌交换机之间互连时需关闭DTP协议。
交换机间Trunk互联接口需明确配置为Trunk模式,并封装802.1Q。
交换机之间可通过Vlan管理协议维护交换机中的Vlan动态注册信息,并传播该信息到其它的交换机中。
Vlan管理协议便于在较大规模的网络中管理Vlan配置,对于较小规模的网络建议由每台交换机独立管理Vlan信息。
连接客户端PC的接入端口,需明确配置为访问模式,关闭Trunk。
3.4.网关备份协议
标准交换机网采用VRRP协议实现网关的冗余备份。
内部服务器通过VRRP虚拟IP地址与外部网络实现IP层通信,VRRP通过优先级和接口IP地址选举主虚拟网关,主虚拟网关提供实际的路由转发服务。
当虚拟网关故障时,备份虚拟网关取代主虚拟网关状态保持局域网正常通信。
为了提高数据转发效率,VRRP部署时应将Vlan二层生成树根和三层MASTER地址设置在同一台交换机。
思科交换机采用私有的HSRP技术实现网关的冗余备份,,H3C交换机VRRP建议设置为virtual-mac模式。
4.附录
4.1.生成树协议
交换机网通过SpanningTree算法建立节点间的生成树,防止交换机网的冗余连接产生二层环路。
SpanningTree协议通过交换BPDU(桥协议数据单元)自动学习生成树路径。
STP环路问题是最常见的局域网故障,并且环路发生将影响整个局域网的工作,危害较大。
通过配置必要的预防措施可以有效的消除STP形成环路的可能,并且也有利于STP环路的排障。
4.1.1.生成树协议(STP)类型选择
STP有多种标准,常用的类型有:
CST,RSTP和MSTP,以及我行使用较多的思科私有PVST、PVST+协议。
1)CommonSpanningTree(CST)协议:
所有BPDU信息都通过管理Vlan传送到其他交换机,所有Vlan都共享此信息。
CST协议配置、管理简单,消耗交换机CPU小,但SpanningTree的收敛时间较长。
2)RSTP(IEEE802.1w)
RSTP(IEEE802.1w)又称为“快速生成树协议”,是在IEEE802.1d协议(STP)基础上发展而来的,它和CST协议一样,所有Vlan共享一个生成树。
它最大的改进之处是加快了SpanningTree的收敛速度。
3)MSTP(IEEE802.1s)
MSTP定义了“实例”(Instance)的概念,所谓实例就是多个Vlan的一个集合,每个“实例”内的Vlan共享一个生成树域。
通过多个Vlan捆绑到一个实例中去的方法可以节省通信开销和资源占用率。
MSTP可兼容STP/RSTP协议,但配置较复杂。
4)PVST和PVST+协议
Per-VlanSpanningTree(PVST)协议和Per-VlanSpanningTreePlus(PVST+)是思科发展的STP协议。
使用PVST+协议,每个Vlan各自按照各自独立的STP信息维持生成树。
交换机网STP协议配置需遵循以下原则:
1)对于采用标准协议的交换机网络或异种品牌混合使用的交换机网络使用MSTP协议。
2)对于思科交换机组成的网络使用Rapid-PVST协议。
3)对于两个采用三层VLAN互连的交换机网,如果两侧交换机运行的STP协议不同,应采用关闭STP协议的方式避免连接问题。
4.1.2.Cisco生成树协议增强特性指南
Cisco交换机间互联采用Rapid-PVST模式。
将XX_CLT_SW_1指定为所有VLAN的根交换机,XX_CLT_SW_2指定为所有VLAN的次根交换机。
启用Portfast、BPDUGuard、RootGuard、LoopGuard等生成树增强功能,用于进一步保护生成树,下图展示了如何使用这些增强特性。
图表17Cisco生成树协议特性指南
PortFast在汇聚交换机和扩展交换机连接主机的接口上启用。
BPDUGuard在汇聚交换机和扩展交换机全局启用。
RootGuard特性在汇聚交换机连接扩展交换机的接口上启用。
LoopGuard使用在根接口或阻塞接口上。
UDLD特性在汇聚交换机和扩展交换机上全局启用。
Portfast特性使得连接主机的接口可以跳过侦听和学习状态,直接由阻塞状态转为转发状态。
BPDUGuard特性启用在接口模式时,在该接口接收到BPDU报文时将该接口设置为errdisable状态,接口不可用,一般需要手工恢复;当全局启用时,仅对Portfast接口生效。
RootGuard特性用于防止指定接口变为根接口或者阻塞接口,当该接口接收到更优的BPDU报文,则被置于Root-Inconsistent,不可用,若停止接收更优的BPDU报文,接口便自动恢复为转发状态。
LoopGuard特性用于根接口和阻塞接口,用于保证它们不断的接收BPDU报文,如果停止接收,则将接口置于Loop-Inconsistent状态,不可用,当再次接收到BPDU报文后,接口自动收敛。
LoopGuard和RootGuard是相互矛盾的,不能同时使用在同一接口。
UDLD即单向链路检测,用于防止链路发生单向通信终端而导致STP环路。
4.1.3.H3C生成树协议特性
H3C交换机间互联采用802.1S(MSTP),仅配置一个生成树实例,并将XX_CLT_SW_1指定为所有VLAN的根交换机,XX_CLT_SW_2指定为所有VLAN的次根交换机。
图表18H3C生成树特性指南
在连接主机的端口配置边缘端口,启用BPDU保护。
环路保护特性在接入交换机连接汇聚交换机的端口上启用。
根保护特性在汇聚交换机连接接入交换机的端口上启用。
在汇聚交换机和接入交换机全局启用TC保护,维持超时因子缺省配置。
配置边缘端口
将交换机连接客户端或者服务器(包括其他不会发出BPDU报文的网络终端或者网络设备)的端口,配置成为边缘端口,同时开启交换机的BPDU保护功能;或者直接关闭该端口的生成树协议。
配置环路保护
为了避免端口由于各种错误而发生了端口角色改变,导致网络中产生环路,在交换机上参与生成树协议计算的端口上可以增加环路保护功能。
配置根保护
如果网络规划中已经指定H3C设备为根桥,则H3C设备网络和其他厂商设备网络(H3C设备的下游网络)边界上,在H3C设备上和其他厂商设备互连的端口上,可以配置Root保护功能。
当收到来自其他厂商设备网络的优先级更高的BPDU报文时,H3C设备会丢弃该报文,并将端口临时阻塞,防止网络拓扑振荡。
配置TC保护
为了避免交换机由于收到频繁的TC/TCN报文,而按照协议规定对MAC地址表项及ARP地址表项进行频繁删除操作,继而出现设备CPU占用率增高、业务中断的故障,可以在交换机上增加TC报文保护功能的配置。
TC保护配置保持缺省值。
4.1.4.锐捷生成树协议特性
锐捷交换机间互联采用MSTP。
将XX_CLT_SW_1指定为所有VLAN的根交换机,XX_CLT_SW_2指定为所有VLAN的次根交换机。
图表19锐捷生成树
图表锐捷交换机生成树特性指南
Portfast:
在直接连接主机的端口上启用。
BPDUGuard:
在汇聚交换机和扩展交换机上启用。
BPDUFilter:
在单链路上联的接入交换机上联端口启用。
RootGuard:
在汇聚交换机的下联接口上启用。
LoopGuard:
在根端口或者阻塞端口上启用。
TP-Guard:
在接入层交换机或者扩展交换机上开启。
Portfast特性使得连接主机的接口可以跳过侦听和学习状态,直接由阻塞状态转为转发状态。
BPDUGuard特性全局在某个接口(与该接口是否配置portfast接口无关)下,在该接口接收到B启用时,如果某个端口配置了portfast,则该接口收到BPDU报文时,会进入Error-disabled状态,端口不可用,需要手工恢复或者配置一定时间后自动恢复;当BPDUGuard启用PDU报文时将该接口将进入Error-disabled状态,同样接口不可用,需要手工恢复或者配置一定时间后自动恢复。
BPDUFilter特性在单链路上联的接入交换机上联接口启用时,该接口既不发送也不接收BPDU报文,避免接入交换机下面的其他设备错误启用生成树后,向上发送BPDU报文,导致生成树计算异常。
RootGuard特性强制制定端口角色为指定端口,当该接口接收到优先级更高的BPDU报文时,则该接口被置为root-Inconsistent,进入block状态;如果在一定时间内没有继续收到优先级更高的BPDU报文,接口便自动恢复原有正常状态。
LoopGuard特性启用在根端口和阻塞接口上,避免它们由于其他原因收不到BPDU报文时,进入转发状态,造成环路。
当接口启用了LoopGuard时,如果收不到BPDU报文,接口会进入discarding状态,直到重新收到BPDU时,接口重新进行生成树计算。
RootGuard与LoopGuard功能互斥,不能同时启用。
TP-Guard特性启用在接入交换机或者扩展交换机上,可以避免交换机由于收到频繁的TC/TCN报文,对MAC地址表项及ARP地址表项进行频繁删除操作,继而出现设备CPU占用率增高、业务中断的情况。
升级会员 