1、一級分行路由管理和二層廣播風暴抑制的建議一級分行路由管理和二層廣播風暴抑制的建議信息技術部網絡管理室信息技術部安全內控室目 錄一、路由管理與控制建議 41.1 措施一 41.2 措施二51.3 措施三51.4 措施四61.5 措施五71.6 措施六71.7 措施七7二、二層廣播風暴抑制管理與控制建議 82.1 核心區交換機配置 82.1.1全局配置命令 82.1.2核心交換機光纖互聯端口配置 92.2 業務后臺區匯聚交換機配置 92.2.1全局配置命令92.2.2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命令 92.2.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互

2、聯端口命令 92.3 業務后臺區接入交換機配置 92.3.1全局配置命令92.3.2業務后臺區接入交換機服務器接入端口配置命令 102.3.3業務后臺區接入交換機服務器接入端口配置命令 102.3.4業務后臺區接入交換機上連區域匯聚交換機的端口配置命令 102.3.5業務后臺區接入交換機上連區域匯聚交換機的端口配置命令 102.4 業務前臺區匯聚交換機配置 112.4.1全局配置命令 112.4.2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命令112.4.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命令112.5 業務前臺區接入交換機配置 112.5.1

3、全局配置命令 112.5.2業務前臺區接入交換機終端接入端口或hub接入端口配置命令 122.5.3業務前臺區接入交換機終端接入端口或hub接入端口配置命令 122.5.4業務前臺區接入交換機上聯區域匯聚交換機端口配置命令 122.5.5業務前臺區接入交換機上聯區域匯聚交換機端口配置命令 122.6 辦公區匯聚交換機配置 132.6.1全局配置命令 132.6.2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命令132.6.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命令132.7 辦公區接入交換機配置 142.7.1全局配置命令 142.7.2辦公區接入交

4、換機終端接入端口配置命令 142.7.3辦公區接入交換機終端接入端口配置命令 142.7.4辦公區接入交換機服務器接入端口配置命令 142.7.5辦公區接入交換機服務器接入端口配置命令 152.7.6辦公區接入交換機上連匯聚交換機端口，辦公區接入交換機互聯端口配置命令152.7.7辦公區接入交換機上連匯聚交換機端口，辦公區接入交換機互聯端口配置命令1510、路由管理與控制建議一級分行路由管理和控制主要目的，是針對一級分行所轄網絡中因非規范化 配置或人為誤操作，可能對分行網絡系統安全生產造成重要影響的路由控制與管 理策略進行強化。通過對一級分行網絡的現狀和過往故障進行分析， 計劃采用技術手段對一

5、級 分行所轄網絡進行過濾和分發控制，具體技術控制措施以下圖為模型進行闡述：埋切敖晶中心災備機房£城，異地宣廳、二at分 行、ATMflRtflHj槌II路巾過涯一乖志路南曲I】路山匯恩 噗|:美頊 刷忐胳山侍促E閉如上圖所示，路由控制與管理相關措施如下所列:1.1措施一一級分行所轄分支機構（含二級分行、支行、網點等）上聯路由器做路由過 濾，僅向一級分行匯聚路由器發布該機構所屆網段的路由前綴。參考配置（應用丁 ZHRT-28-01）:定義路由過濾控制列表（配置參考）：ip prefix-list Route-into-YJFH seq 10 permit 10.XX.XX.0/2424

6、ip prefix-list Route-into-YJFH seq 20 permit 99.XX.XX.0/注：此控制列表只允許此網點的一個 C類地址路由轉發，如果該網點分配有多個 C類地址， 可以擴大允許路由轉發的地址范圍定義EIGRP路由協議：router eigrp XXdistribute-list prefix Route-into-YJFH outFastEthernet0/0 / 路由過濾應用在上聯接口network 10.0.0.0 0.0.0.255no auto-summary1.2措施二一級分行下聯各分支機構的匯聚路由器上對所轄各分支機構做路由過濾，僅接受該分支機構所

7、屆網段的路由前綴。參考配置（應用丁 DWRT-76-01）:定義路由過濾控制列表（配置參考）：ip prefix-list Route-from-XXZH seq 10 permit10.XX.XX.0/ 24ip prefix-list Route-from-XXZH seq 20 permit99.XX.XX.0/ 24注：此控制列表只允許接受此網點的一個 C類地址路由，如果該網點分配有多個 C類地址，可以擴大允許路由轉發的地址范圍定義EIGRP路由協議（配置參考）：router eigrp XXdistribute-list prefix Route-from-XXZH inGigabi

8、tEthernet1/24.100 / 路由過濾應用在下聯該網點的（子）接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X/ 定義 eigrp router-idno auto-summary1.3措施三一級分行下聯各分支機構的匯聚路由器向核心交換機做路由過濾，嚴禁向核心交換機發布該一級分行所分配IP地址段以外各類路由前綴。參考配置（應用丁 DWRT-76-01）:定義路由過濾控制歹0表（配置參考）：ip access-list standard route-filterpermit 10.XX.0.0 0.0.255.255注：此控

9、制列表只允許此一級分行下聯路由器向分行核心交換機轉發匹配一級分行B類IP地址的路由，如果該一級分配有多個 B類地址，可以擴大允許路由轉發的地址范圍定義路由過濾 route-map：route-map Route-into-CORE permit 10match ip address route-filter定義EIGRP路由協議（配置參考）：router eigrp XXdistribute-list prefix Route-into-CORE outGigabitEthernet1/23 / 路由過濾應用在與核心交換機的互聯接口network 10.0.0.0 0.0.0.255eigrp

10、 router-id 10.XX.255.X/ 定義 eigrp router-idno auto-summary1.4措施四一級分行災備機房指向總行的匯總路由，子網掩碼必須大丁10.0.0.0/9,且該匯總路由平時不得進行配置，僅在需要啟用災備機房時進行配置。參考配置（應用丁 ZBRT-38-02）:定義指向總行的匯總路由（配置參考）：ip route 10.0.0.0 255.0.0.0 10.XX.XX.XX / 定義 10.0.0.0/8 的靜態路由指向 ZBRT-38-01定義前綴列表配置（配置參考）：ip prefix-list static-to-eigrp seq 10 per

11、mit 10.0.0.0/8定義靜態路由重分發route-map配置（配置參考）：route-map static-to-eigrp permit 10match ip address prefix-list static-to-eigrp定義EIGRP路由協議（以下EIGRP配置只有在啟用災備機房時才進行配置寫入， 正常情況下此設備EIGRP協議應關閉）（配置參考）：router eigrp XXredistribute static route-map static-to-eigrp/ 只重分發匹配 route-map 的靜態路由network 10.0.0.0 0.0.0.255no a

12、uto-summary1.5措施五尚未完成一級分行同城雙活實施分行，主機房與備份機房之間必須關閉路由 鄰居關系，備份機房與一級分行所轄各分支機構之間的路由鄰居關系也必須關 閉。參考配置（應用丁 ZBRT-38-02）no router eigrp XX/ 關閉 EIGRF®態路由協議interface fastEthernet0/1 /關閉連接網點備份線路的接口shutdown參考配置（應用丁 ZBRT-38-01）interface fastEthernet0/0 /關閉連接深圳數據中心災備線路的接口shutdown1.6措施六所有運行EIGRP路由協議的路由器，必須關閉路由自動匯

13、總；參考配置：router eigrp XXno auto-summary1.7措施七采用運營商進行線路傳輸參數切換實現通訊線路災備切換的分行必須和運營商就線路切換流程達成科學、合理、可靠的切換流程，必要時應將災備機房 下聯匯聚路由器廣域網端口物理關閉。、二層廣播風暴抑制管理與控制建議一級分行二層廣播風暴抑制管理和控制主要目的，是針對一級分行所轄網絡中因非規范化配置或人為誤操作，可能對分行網絡系統安全生產造成重要影響 的廣播控制與管理策略進行強化，主要是對一級分行內部的局域網安全配置全面 部署，預防廣播風暴、光纖線路單通、VLAN database混亂等災難性故障的發 生。通過對一級分行網絡的

14、現狀和過往故障進行分析，計劃采用技術手段對一 級分行所轄網絡進行過濾和分發控制，具體技術控制措施以下圖為模型進行闡 述：匯橐交換機或 核心交換機udldLoop guarduplimkfat.bpdugardStoriTtcontrol,accessVtp transparerit2.1 核心區交換機配置2.1.1全局配置命令vtp mode transparent udld aggressiveudld message time 72.1.2核心交換機光纖互聯端口配置int gigabitEthernet X/Yudld port aggressive2.2業務后臺區匯聚交換機配置2.2.1

15、全局配置命令vtp mode transparentudld aggressiveudld message time 72.2.2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命 令Catalyst37系歹U交換機int gigabitEthernet X/0/Yswitchport mode trunkudld port aggressive光口才需要配置，電口不需要配置，下同2.2.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口命令Catalyst43 45、65系列交換機int gigabitEthernet X/Yswitchport mode trunk

16、udld port aggressive2.3業務后臺區接入交換機配置2.3.1全局配置命令vtp mode transparentspanning-tree uplinkfastudld aggressiveudld message time 72.3.2業務后臺區接入交換機服務器接入端口配置命令Catalyst37系歹U交換機int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 s

17、torm-control action trap spanning-tree bpduguard enable2.3.3業務后臺區接入交換機服務器接入端口配置命令Catalyst49系歹U交換機int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.3.4業務后臺區接入交換機上連區域匯聚交換機的端口配置命

18、令Catalyst37系歹U交換機int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive2.3.5業務后臺區接入交換機上連區域匯聚交換機的端口配置命令Catalyst49系歹U交換機int gigabitEthernet 1/X一級分行路由管理和二層廣播風暴抑制的建議switchport mode trunkudld port aggressive2.4業務前臺區匯聚交換機配置2.4.1全局配置命令vtp mode transparentudld aggressiveudld message time 72.4.

19、2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命 令Catalyst37系歹U交換機int gigabitEthernet X/0/Yswitchport mode trunkudld port aggressive光口才需要配置，電口不需要配置，下同2.4.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命 令Catalyst43 45、65系列交換機int gigabitEthernet X/Yswitchport mode trunkudld port aggressive2.5業務前臺區接入交換機配置2.5.1全局配置命令vtp mode transp

20、arent udld aggressiveudld message time 72.5.2業務前臺區接入交換機終端接入端口或hub接入端口配置命令Catalyst37系歹U交換機int gigabitEthernet X/0/Yswitchport mode accessstorm-control broadcast level pps 500 250storm-control multicast level pps 500 250storm-control action trapspanning-tree bpduguard enable2.5.3業務前臺區接入交換機終端接入端口或hub接入

21、端口配置命令Catalyst49系歹U交換機int gigabitEthernet 1/Xswitchport mode accessstorm-control broadcast level 1.50storm-control multicast level 1.50storm-control action trapspanning-tree bpduguard enable2.5.4業務前臺區接入交換機上聯區域匯聚交換機端口配置命令Catalyst37系歹U交換機int gigabitEthernet X/0/Yswitchport mode trunkudld port aggress2

22、.5.5業務前臺區接入交換機上聯區域匯聚交換機端口配置命令Catalyst49系歹U交換機int gigabitEthernet 1/Xswitchport mode trunkudld port aggress2.6辦公區匯聚交換機配置2.6.1全局配置命令vtp mode transparentudld aggressiveudld message time 72.6.2區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命 令Catalyst37系歹U交換機int gigabitEthernet X/0/Yswitchport mode trunkudld port aggre

23、ssive/光口才需要配置，電口不需要配置，下同2.6.3區域匯聚交換機與接入交換機互聯端口，匯聚交換機之間互聯端口配置命 令Catalyst43 45、65系列交換機int gigabitEthernet X/Yswitchport mode trunkudld port aggressive152.7辦公區接入交換機配置2.7.1全局配置命令vtp mode transparent udld aggressive udld message time 72.7.2辦公區接入交換機終端接入端口配置命令Catalyst37系歹U交換機int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.7.3辦公區接入交換機終端接入端口配置命令Catalyst49系歹U交換機int gigabitEthernet 1/X switchport mode access s