ImageVerifierCode 换一换
格式:DOCX , 页数:13 ,大小:375.51KB ,
资源ID:10446992      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/10446992.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(整理路由管理和二层广播风暴抑制的方法.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

整理路由管理和二层广播风暴抑制的方法.docx

1、整理路由管理和二层广播风暴抑制的方法一级分行路由管理和二层广播风暴抑制的建议信息技术部网络管理室信息技术部安全内控室一、路由管理与控制建议一级分行路由管理和控制主要目的,是针对一级分行所辖网络中因非规范化配置或人为误操作,可能对分行网络系统安全生产造成重要影响的路由控制与管理策略进行强化。通过对一级分行网络的现状和过往故障进行分析,计划采用技术手段对一级分行所辖网络进行过滤和分发控制,具体技术控制措施以下图为模型进行阐述:如上图所示,路由控制与管理相关措施如下所列:1.1 措施一一级分行所辖分支机构(含二级分行、支行、网点等)上联路由器做路由过滤,仅向一级分行汇聚路由器发布该机构所属网段的路由

2、前缀。参考配置(应用于ZHRT-28-01):定义路由过滤控制列表(配置参考):ip prefix-list Route-into-YJFH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-into-YJFH seq 20 permit 99.XX.XX.0/24注:此控制列表只允许此网点的一个C类地址路由转发,如果该网点分配有多个C类地址,可以扩大允许路由转发的地址范围定义EIGRP路由协议:router eigrp XXdistribute-list prefix Route-into-YJFH out FastEthernet0/0/路由过

3、滤应用在上联接口network 10.0.0.0 0.0.0.255no auto-summary1.2 措施二一级分行下联各分支机构的汇聚路由器上对所辖各分支机构做路由过滤,仅接受该分支机构所属网段的路由前缀。参考配置(应用于DWRT-76-01):定义路由过滤控制列表(配置参考):ip prefix-list Route-from-XXZH seq 10 permit 10.XX.XX.0/24ip prefix-list Route-from-XXZH seq 20 permit 99.XX.XX.0/24注:此控制列表只允许接受此网点的一个C类地址路由,如果该网点分配有多个C类地址,可

4、以扩大允许路由转发的地址范围定义EIGRP路由协议(配置参考):router eigrp XXdistribute-list prefix Route-from-XXZH in GigabitEthernet1/24.100/路由过滤应用在下联该网点的(子)接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X /定义eigrp router-idno auto-summary1.3 措施三一级分行下联各分支机构的汇聚路由器向核心交换机做路由过滤,严禁向核心交换机发布该一级分行所分配IP地址段以外各类路由前缀。参考配置(应用于DWRT-7

5、6-01):定义路由过滤控制列表(配置参考):ip access-list standard route-filter permit 10.XX.0.0 0.0.255.255注:此控制列表只允许此一级分行下联路由器向分行核心交换机转发匹配一级分行B类IP地址的路由,如果该一级分配有多个B类地址,可以扩大允许路由转发的地址范围定义路由过滤route-map:route-map Route-into-CORE permit 10 match ip address route-filter定义EIGRP路由协议(配置参考):router eigrp XXdistribute-list prefix

6、 Route-into-CORE out GigabitEthernet1/23/路由过滤应用在与核心交换机的互联接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X /定义eigrp router-idno auto-summary1.4 措施四一级分行灾备机房指向总行的汇总路由,子网掩码必须大于10.0.0.0/9,且该汇总路由平时不得进行配置,仅在需要启用灾备机房时进行配置。参考配置(应用于ZBRT-38-02):定义指向总行的汇总路由(配置参考):ip route 10.0.0.0 255.0.0.0 10.XX.XX.XX /

7、定义10.0.0.0/8的静态路由指向ZBRT-38-01定义前缀列表配置(配置参考):ip prefix-list static-to-eigrp seq 10 permit 10.0.0.0/8定义静态路由重分发route-map配置(配置参考):route-map static-to-eigrp permit 10 match ip address prefix-list static-to-eigrp 定义EIGRP路由协议(以下EIGRP配置只有在启用灾备机房时才进行配置写入,正常情况下此设备EIGRP协议应关闭)(配置参考):router eigrp XXredistribute

8、static route-map static-to-eigrp /只重分发匹配route-map的静态路由network 10.0.0.0 0.0.0.255no auto-summary1.5 措施五尚未完成一级分行同城双活实施分行,主机房与备份机房之间必须关闭路由邻居关系,备份机房与一级分行所辖各分支机构之间的路由邻居关系也必须关闭。参考配置(应用于ZBRT-38-02)no router eigrp XX /关闭EIGRP动态路由协议interface fastEthernet0/1 /关闭连接网点备份线路的接口shutdown参考配置(应用于ZBRT-38-01)interface

9、fastEthernet0/0 /关闭连接深圳数据中心灾备线路的接口shutdown1.6 措施六所有运行EIGRP路由协议的路由器,必须关闭路由自动汇总;参考配置:router eigrp XXno auto-summary1.7 措施七采用运营商进行线路传输参数切换实现通讯线路灾备切换的分行必须和运营商就线路切换流程达成科学、合理、可靠的切换流程,必要时应将灾备机房下联汇聚路由器广域网端口物理关闭。二、二层广播风暴抑制管理与控制建议一级分行二层广播风暴抑制管理和控制主要目的,是针对一级分行所辖网络中因非规范化配置或人为误操作,可能对分行网络系统安全生产造成重要影响的广播控制与管理策略进行强

10、化,主要是对一级分行内部的局域网安全配置全面部署,预防广播风暴、光纤线路单通、VLAN database混乱等灾难性故障的发生。通过对一级分行网络的现状和过往故障进行分析,计划采用技术手段对一级分行所辖网络进行过滤和分发控制,具体技术控制措施以下图为模型进行阐述:2.1 核心区交换机配置2.1.1 全局配置命令 vtp mode transparent udld aggressive udld message time 72.1.2 核心交换机光纤互联端口配置 int gigabitEthernet X/Y udld port aggressive2.2 业务后台区汇聚交换机配置2.2.1 全

11、局配置命令 vtp mode transparent udld aggressive udld message time 72.2.2 区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口配置命令 Catalyst37系列交换机 int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置,电口不需要配置,下同2.2.3 区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口命令Catalyst49、45、65系列交换机 int gigabitEthernet X/Y switchport

12、mode trunk udld port aggressive 2.3 业务后台区接入交换机配置2.3.1 全局配置命令 vtp mode transparent spanning-tree uplinkfast udld aggressive udld message time 72.3.2 业务后台区接入交换机服务器接入端口配置命令Catalyst37系列交换机 int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast

13、level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.3.3 业务后台区接入交换机服务器接入端口配置命令Catalyst49系列交换机int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.3.4 业务后台区

14、接入交换机上连区域汇聚交换机的端口配置命令Catalyst37系列交换机 int gigabitEthernet X/0/Yswitchport mode trunk udld port aggressive2.3.5 业务后台区接入交换机上连区域汇聚交换机的端口配置命令Catalyst49系列交换机 int gigabitEthernet 1/Xswitchport mode trunk udld port aggressive2.4 业务前台区汇聚交换机配置2.4.1全局配置命令 vtp mode transparent udld aggressive udld message time

15、72.4.2区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口配置命令 Catalyst37系列交换机 int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive /光口才需要配置,电口不需要配置,下同2.4.3区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口配置命令Catalyst49、45、65系列交换机 int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.5 业务前台区接入交换机配置2.5.1全局配置命令 v

16、tp mode transparent udld aggressive udld message time 72.5.2业务前台区接入交换机终端接入端口或hub接入端口配置命令 Catalyst37系列交换机int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.5.3业务

17、前台区接入交换机终端接入端口或hub接入端口配置命令Catalyst49系列交换机 int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.5.4业务前台区接入交换机上联区域汇聚交换机端口配置命令 Catalyst37系列交换机 int gigabitEthernet X/0/Y switchport m

18、ode trunk udld port aggress2.5.5业务前台区接入交换机上联区域汇聚交换机端口配置命令 Catalyst49系列交换机 int gigabitEthernet 1/X switchport mode trunk udld port aggress2.6 办公区汇聚交换机配置2.6.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.6.2区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口配置命令 Catalyst37系列交换机 int gigabitEthernet X/0/Y

19、switchport mode trunk udld port aggressive /光口才需要配置,电口不需要配置,下同2.6.3区域汇聚交换机与接入交换机互联端口,汇聚交换机之间互联端口配置命令Catalyst49、45、65系列交换机 int gigabitEthernet X/Y switchport mode trunk udld port aggressive 2.7 办公区接入交换机配置2.7.1全局配置命令 vtp mode transparent udld aggressive udld message time 72.7.2办公区接入交换机终端接入端口配置命令Cataly

20、st37系列交换机 int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.7.3办公区接入交换机终端接入端口配置命令Catalyst49系列交换机int gigabitEthernet 1/X switchport mode access storm-control br

21、oadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.7.4办公区接入交换机服务器接入端口配置命令Catalyst37系列交换机 int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control act

22、ion trap spanning-tree bpduguard enable(3)环境影响评价中应用环境标准的原则。2.7.5办公区接入交换机服务器接入端口配置命令 (五)规划环境影响评价的跟踪评价Catalyst49系列交换机表四:项目排污情况及环境措施简述。int gigabitEthernet 1/X switchport mode access4.环境保护地方性法规和地方性规章 storm-control broadcast level 1.50(4)跟踪评价的结论。 storm-control multicast level 1.50(3)建设项目对环境可能造成影响的分析、预测和评

23、估。 storm-control action trap spanning-tree bpduguard enable2.7.6办公区接入交换机上连汇聚交换机端口,办公区接入交换机互联端口配置命令(五)建设项目环境影响评价文件的审批Catalyst37系列交换机(1)基础资料、数据的真实性; int gigabitEthernet X/0/Y switchport mode trunk udld port aggress2.7.7办公区接入交换机上连汇聚交换机端口,办公区接入交换机互联端口配置命令(二)安全评价的基本原则Catalyst49系列交换机(2)防护支出法 int gigabitEthernet 1/X switchport mode trunk udld port aggress

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1