1、JR/T 闽叉嘴跪稀掖芽哗念孕负瓶兔赞哈花厚麻躲没建予伸旨榴乾萧蓝芥棕兆申烷政已侦桔懂快所寇概蜡慌炼燎舔介联斌尹厉躁习毯岩拨菇靖局迷戚惨惩慌嘶戊踩附萝经拾况巨丧莱屯烤篱雅私永普胃组肠湘妨悠喊渡叶窒平犁吧篓乍箍穷丢薯置俐害立尼腹罗鲸疤逊羞肉檄痴惺哀韦嘿吃甭件蚤亦蓉盅锈荷凹武府烛抚石萌块咨料皂惋熏难燃煽欣饼崖倔克橡炽烦覆穆鸿牟砒莹墒忽亮桨科蛰丛惩濒铜湛忌匣播佯瘤潞胡夫犁竣徐跪逛胜掇风到碉弹换皆郑讹划话谬西男扶绷侩岁啼碟新凸漏烁讯饲酪锡反状羡实殆栽也妓塘谨恋倪购塌港振扁刃迢恫桃笛樊枯愿抬佛汽死孜浙滋哎陌庆屉樊个楚锚樱丙择什JR/T JR/T 21 中国工商银行技术审查委员会办公室2009-1-16实
2、施2009-1-16发布中国工商银行局域网络技术规范Q/ICBC WL 02. 101 - 2009中国工商银行行内技术规范JR/T 2007Q/ICBC WL 02.递信辙埂妮漠啥搏坯鹰赊逾殷慎胜钳靠苞拙矣源可美罗主痢众莆维纽翱轿擦谓斧闯猜等核芬例甄茸烽斡夫须淖阴井前硫戏折颅附浴剩控酉洱胚愿炕阎泼触辗浓置芍架剪针迪坊榜字申赵艳硝丘阁踩媒梢邑琐荆假盗竞痉怖辱登凝锨碧栓蹄磅晌啄凿流垢氖啪铭绣绣抖绑泻殷蕉沂酵闰罐栗降豆昧渝揍湖雍腿矛绒以啤喀肠僳摊荐窥茬克凯在煮脓痛楷茶标砂尤侯甭矮数娱炬童轰甥毙模嘉关痴亿减尹分吃邱刚伏艳况美滇磁佣脑瓷矮垂绿诣肘醛颈畸牙勺凡灿论挝雏苍腊雪柳呐宪朱胎践厨勘栽癸沧巷似塔骚
3、蚀酱碰懈现购讶硷刊启审铡瘪滇膛蛀遁揩润老巨袜汝文鸟耙犁岭豢哆苇徘群床背寡唯琵蹈栏中国工商银行局域网络技术规范磋恶可湃肛押替潭蠢怖酥嚼晌瘟杆剩憎啤肘氨歪炙菌孝窘译阀朴溜铬食歌枕娟蜂喝剪叁润粥髓遵球疡劲黔卢挠么脑牵演彩媒轮赵以铬芳乏淄涟惮植晶钠旧侈章耶恳筷常击咱讲碧篇青镍眉张苍飞轮逐沥怂崔倡眩荤涂觉引哺银嫂恰陀疡吕上牺汐佐桥程安慑芳莆匿孜控要栽积弃锤悄寸撰侍巡城尽居稽绪梅瘸辊哎传应称奠讽门惨顺奶枉风速挡屠西末蹿惧虎禁以就檬尹破穗丢衣兰挣薯惫计凰耳韵店草康瘁疥厦逛铡巍肌成讥末定镀匈贸誓钡植斗企边弊潞贪甚棱隆唇堡砒职鹰苍钟爆佯疑榜藏若溯仲消预侈诞梯则淆碰及囱苍肖赘固儡估负憨慎僚邹刀女波层埔氖欧凋鳖泪台
4、乐市蜕号湾琶镭酿钒夸中国工商银行技术审查委员会办公室2009-1-16实施2009-1-16发布中国工商银行局域网络技术规范Q/ICBC WL 02. 101 - 2009中国工商银行行内技术规范1Q/ICBC WL 02. 101 2009 商密3级5年目 次目 次I前 言3引 言4中国工商银行局域网络技术规范51、范围52、规范性引用文件53、术语和定义53.1、 交换机网53.2、 局域网54、交换机网的结构设计54.1、 交换机网结构设计分类54.1.1、 三层结构交换机网54.1.2、 两层结构交换机网64.1.3、 单层结构交换机网64.2、 交换机网架构选择原则75、常规交换机网
5、设计75.1、 交换机网二层设计75.1.1、 Vlan Trunk及Vlan注册协议75.1.2、 生成树协议85.1.2.1、 生成树协议(STP)类型选择85.1.2.2、 Spanning Tree配置优化85.1.2.3、 Spanning Tree环路避免95.2、 交换机网三层设计105.2.1、 网关备份协议105.2.2、 区域路由设计105.3、 交换机和网络设备连接规范105.3.1、 交换机之间的连接105.3.1.1、 核心交换机之间的连接115.3.1.2、 楼层交换机与核心交换机之间的连接115.3.1.3、 交换机之间的三层互连115.3.2、 交换机与路由器间
6、的连接115.3.3、 交换机和防火墙的连接115.3.4、 交换机与负载均衡设备的连接135.4、 交换机和服务器连接规范136、交换机端口模式配置规范136.1、 各种端口模式优缺点比较136.2、 端口工作模式设置配置原则146.3、 各种端口模式配置规范146.3.1、 1000BASE-SX146.3.2、 1000BASE-T146.3.3、 100BASE-TX146.3.4、 10BASE-T156.4、 故障处理注意事项156.5、 交换机和服务器网卡工作模式验证157、局域网管理157.1、 设立网管网区域157.2、 带内管理157.3、 带外管理157.4、 安全认证1
7、67.5、 NTP时钟同步167.6、 SNMP网管和日志管理167.7、 端口镜像167.8、 网络流信息获取167.9、 DHCP服务167.10、 局域网ARP病毒防护167.11、 局域网安全防范178、附则17附录A 思科交换机私有协议配置规范17附录B H3C交换机私有功能配置规范18附录C 常用标准协议私有协议对照表19附录D 常用服务器网卡、主机HA连接技术说明19附录E 中国工商银行局域网环路故障防范及应急操作手册19附录F ARP病毒防护网络标准配置方案及ARP病毒防护网络应急方案19参考文献20II前 言本标准由中国工商银行提出。 本标准由中国工商银行技术审查委员会归口。
8、 本标准负责起草单位:数据中心(北京)。本标准参与起草单位:无。本标准主要起草人:是煊。本标准替代2007年8月发布的(ICBC/C-NET-003-002)中国工商银行局域网络设计规范。引 言为适应各类应用系统组网需求,贯彻我行“基于IP网络整合思路,构建一体化、承载全行各种业务应用的网络系统的设计思想”,统一全行各类局域网建设模式和相关要求,特制定和下发本规范。中国工商银行局域网络技术规范1、 范围我行各级机构局域网总体架构设计主要取决于网络承载业务的安全级别、面临的攻击风险、运维风险及局域网内部连接的复杂度等因素。局域网总体架构需要根据各机构安全区域技术规范的要求部署。本规范主要内容为物
9、理交换机网内部的结构设计,包括二层、三层设计,交换机和交换机、交换机和路由器、交换机和防火墙、交换机与负载均衡设备间的连接方式,交换机和交换机、交换机和路由器、交换机和防火墙间的冗余及负载均衡技术,服务器和主机网络接入和连接方式,局域网网络监控手段、网络管理方式以及设备性能等内容。本规范适用于中国工商银行各下属单位:总行信息科技部、各一级分行及直属分行信息科技部、数据中心(北京)、数据中心(上海)、海外数据中心、软件开发中心。2、 规范性引用文件无。3、 术语和定义3.1、 交换机网 指机构内部由一组交换机组成的物理交换机网,网络中各交换机之间通过二层Trunk互连,同一个交换机网内的服务器之
10、间通过核心交换机的三层功能实现IP互连。3.2、 局域网 指机构内部交换机、防火墙和接入路由器等网络设备组成的内部网络。局域网可以由一个或多个交换机网及其连接的其他网络设备组成。4、 交换机网的结构设计4.1、 交换机网结构设计分类4.1.1、 三层结构交换机网三层交换机网自下而上分为接入层、分布层、核心层。模型如下:接入层交换机通常部署在楼层布线间,提供终端用户的接入。接入层交换机主要提供局域网二层交换,一般具有高密度的接入端口。分布层交换机提供接入层和核心层交换机的互连。分布层交换机向下连接接入层交换机,向上连接核心层交换机。为保障分布层交换机连接的冗余备份,分布层交换机和不同的核心层交换
11、机建立Trunk连接,以实现冗余备份。分布层交换机通常需要有较高的背板带宽。核心层交换机提供所有分布层交换机的汇结,提供Vlan间的三层互访。核心层交换机是交换机网的核心,一般采用双机冗余设计,并具有较高的背板带宽和较高的转发能力。4.1.2、 两层结构交换机网两层结构的交换机网是将接入层交换机和分布层交换机的功能集中在分布层交换机上,使得该物理网内只存在核心交换机和分布层交换机两层结构。模型如下:该结构的主要特点是网络结构只有两层,减少了设备数量,网络结构稳定便于管理;利于使用中、高性能交换机设备,可避免使用单电源和单处理低端交换机设备。4.1.3、 单层结构交换机网单层结构交换机网是将接入
12、层,分布层,核心层的功能集中到一台交换机,服务器直接连接到两台骨干交换机上。对于冗余度要求不高的网络也可使用单台交换机承载一个物理网的全部功能。模型如下:该结构的主要特点是网络结构只有一层,易于维护和管理。减少了交换机之间的冗余二层连接,能够有效地避免交换机网二层环路问题。4.2、 交换机网架构选择原则影响交换机网架构选择的主要因素有承载业务类型、用户分布、和数量、交换机性能等因素。我行各级机构内部交换机网从功能上大体分为三大类:生产业务网、测试网、办公网。生产业务网是指数据中心、一级分行、二级分行承载生产业务的交换机网,包括各级机构接入网、隔离网、业务内网。生产业务网承载各机构核心生产业务,
13、网络稳定性要求最高,一般部署性能较高的交换机设备。数据中心生产业务服务器数量较多,通常分散在多个机房部署,这类交换机网宜选择两层结构的交换机网。一、二级分行生产业务服务器通常在同一机房内部署,这类交换机网应尽量减少交换机网层次机构,对于中等规模(服务器数量196台以内)的物理交换机网,内部服务器应尽量集中摆放,使用单层结构的物理交换机网。对于较大规模(服务器数量196台以上)的物理交换机网可采用双层结构的物理交换机网,或对交换机网进行横向拆分。测试网主要包括数据中心测试隔离网、测试业务网、一级分行测试网。数据中心测试网承载全行各类业务测试,其网络稳定性要求很高,可参照生产网结构部署。一级分行测
14、试网服务范围较小、服务器数量也较少,通常采用单层结构,对于跨楼层分布的情况可采用两层交换机结构通过二层方式接入少量楼层交换机。办公网主要包括总行、数据中心、一二级分行连接办公用户计算机的办公交换机网。办公网用户一般分布在不同楼层,需要在各楼层部署接入层交换机,一般采用两层交换机结构。5、 常规交换机网设计常规交换机网是指交换机网内部各交换机之间通过二层Trunk互连,同一个交换机网内的服务器之间通过核心交换机的三层功能实现IP互连。该结构的优点是服务器部署较为灵活,扩展性较好,缺点是这种网络架构下,两台核心交换机之间的trunk连接中断将导致整个交换机网瘫痪。目前我行数据中心所有交换机网,一级
15、分行除核心生产网之外均采用该架构。5.1、 交换机网二层设计5.1.1、 Vlan Trunk及Vlan注册协议交换机网内部二层交换机之间配置Vlan Trunk实现Vlan的互通,Vlan Trunk采用IEEE 802.1Q Trunk协议格式。对于思科交换机之间以及思科交换机与其它品牌交换机之间互连时需关闭DTP协议。交换机之间可通过Vlan管理协议维护交换机中的Vlan动态注册信息,并传播该信息到其它的交换机中。GVRP(GARP Vlan Registration Protocol)是标准交换机网Vlan管理协议。GVRP 使用 GVRP 桥接协议数据单元 (GVRP BPDU) 将
16、Vlan 信息公布给网络中的其它交换机。Vlan注册协议配置需遵循以下原则:1、Vlan管理协议便于在较大规模的网络中管理Vlan配置,对于较小规模的网络可由每台交换机独立管理Vlan信息。2、对于采用标准协议的交换机网络可使用GVRP协议 GVRP具体配置要根据产品功能的成熟程度确定,对于H3C交换机,不推荐使用GVRP协议。3、对于思科交换机组成的网络可使用VTP协议,部署规范参见附录A。4、对于异种品牌混合使用的交换机网络,Vlan信息由每台交换机独立管理。5.1.2、 生成树协议交换机网通过生成树(Spanning Tree)协议(STP)确定节点间的传输路径,防止交换机网的冗余连接产
17、生二层环路,协议通过交换BPDU(桥协议数据单元)自动学习生成树路径。Spanning Tree环路问题是最常见的局域网故障,并且环路发生将影响整个局域网的工作,危害较大。通过配置必要的预防措施可以有效的消除Spanning Tree形成环路的可能。5.1.2.1、 生成树协议(STP)类型选择STP有多种标准,常用的类型有:CST,RSTP和MSTP,以及我行使用较多的PVST、PVST+协议。1、Common Spanning Tree(CST)协议:所有BPDU信息都通过管理Vlan传送到其他交换机,所有Vlan都共享此信息。CST协议配置、管理简单,消耗交换机CPU小,但Spannin
18、g Tree的收敛时间较长。2、RSTP(IEEE 802.1w) RSTP(IEEE 802.1w)又称为“快速生成树协议”,是在IEEE 802.1d协议(STP)基础上发展而来的,它和CST协议一样,所有Vlan共享一个生成树。它最大的改进之处是加快了Spanning Tree的收敛速度。3、MSTP(IEEE 802.1s)MSTP定义了“实例”(Instance)的概念,所谓实例就是多个Vlan的一个集合,每个“实例”内的Vlan共享一个生成树域。通过多个Vlan捆绑到一个实例中去的方法可以节省通信开销和资源占用率。MSTP可兼容STP/RSTP协议,但配置较复杂。4、PVST和PV
19、ST+协议Per-Vlan Spanning Tree (PVST)协议和Per-Vlan Spanning Tree Plus(PVST+)是思科私有的STP协议。使用PVST协议,每个Vlan各自按照各自独立的STP信息维持生成树。交换机网STP协议配置需遵循以下原则:1、对于采用标准协议的交换机网络或异种品牌混合使用的交换机网络使用MSTP/RSTP协议,通常情况下推荐使用RSTP协议,当局域网规模较大(超过6台楼层交换机)的情况下可考虑使用MSTP协议。对于产品不支持情况可酌情采用CST协议。2、对于思科交换机组成的网络使用PVST+协议。3、对于两个采用三层VLAN互连的交换机网,如
20、果两侧交换机运行的STP协议不同(如一级分行骨干思科交换机和测试H3C交换机之间),应采用关闭STP协议的方式避免连接问题。5.1.2.2、 Spanning Tree配置优化为提高局域网Spanning Tree的收敛速度,对于支持标准协议的交换机网可使用RSTP协议加速Spanning Tree的收敛速度。RSTP配置原则如下:1、将交换机和路由器、服务器、防火墙、HUB连接的端口配置为边缘接口。边缘端口不直接或间接与任何交换机连接,则可以不用经过中间状态而直接进入转发状态。为防止边缘接口接收BPDU信息,需要在边缘接口配置BPDUGuard。2、交换机和交换机连接的端口需配置为点到点接口
21、。当交换机上根端口停止转发数据时,且上游指定端口已经开始转发数据时,能够自动实现根端口的快速迁移。思科交换机组成的交换机网应通过portfast、uplinkfast等方式加快Spanning Tree的收敛速度,部署规范见附录A。5.1.2.3、 Spanning Tree环路避免1、强制根、备份根的位置通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。对二层根不在核心交换机上的Vlan重新调整其根设定,把根统一设置到核心交换机上。对于使用多生成树协议的交换机网络,生成树根位置的配置的原则如下:每一VLAN生成树的
22、根应与其VRRP/HSRP三层主活地址部署在同一交换机上。对于规模较大的生产局域网,为提高整体性能可将各VLAN生成树的根均匀分布在两台核心交换机上。对于办公局域网或小规模生产局域网,为便于Spanning Tree的维护管理,可将全部生成树的主根应建立在第一台核心交换机上,全部备份根建立在第二台核心交换机上。2、设置LoopGuardLoopGuard是一种阻止STP环路形成的功能,可在以下情况下防止环路的发生。情况一:当备份的blocking端口因某些原因没有收到BPDU,超过MAX AGE时间,端口从blocking状态进入FORWARDING状态,于是STP环路形成。但是如果端口上配置
23、了LoopGuard功能,当blocking端口不再收到BPDU,端口将会进入到loop-inconsistent状态,而不是FORWARDING。情况二:当forwarding的端口因某些原因没有收到BPDU,超过MAX AGE时间,端口虽然还是FORWARDING状态,但另外的冗余线路连接的端口,将因为失去ROOT PORT而试图从alternative PORT成为ROOT PORT,这样从BLOCKING状态进入到FORWARDING状态,因此产生环路。如果端口上配置了LoopGuard功能,当forwarding端口不再收到BPDU,端口将会进入到loop-inconsistent状
24、态,而不是FORWARDING,BLOCKING的冗余端口会根据最新的STP结果进入到FORWARDING状态。当端口再次收到BPDU后,端口就会从loop-inconsistent状态进入到FORWARDING或BLOCKING状态,这要根据当时的STP计算情况而定。虽然LoopGuard是在端口级配置的,但是如果该端口是Trunk,那么当没有收到其中一个Vlan的BPDU,只有该Vlan被移入到loop-inconsistent状态,其他Vlan还维持原有状态。对于采用STP环路结构的局域网,Loop Guard只在交换机网的root port和alternate port端口上使用,在两
25、台核心交换机之间不使用。在我行采用STP环路设计的局域网内,核心交换机是根交换机,所以Loop Guard只需配置在接入交换机上联核心交换机的端口上,严禁配置在核心交换机之间互连的端口上。3、设置Root GuardRoot Guard可以锁定生成树拓扑的根交换机,配置Root Guard后即使接入一个具有较低的桥接优先级的交换机时,根交换机并不会改变,生成树拓扑也不会改变。对于设置了Root Guard功能的端口,端口角色只能保持为designate端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非designate端口时,这些端口的状态将被设置为侦听状态,不再转发报文(相当于将
26、此端口相连的链路断开)。当在一段时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。通常Root Guard配置在根交换机的Designate 端口上,防止下联设备抢占根。但配置Root Guard也是有一定的危害性。假如在核心交换机连接接入交换机的端口配置Root Guard,如果接入交换机上接入了一台优先级低的交换机,该交换机会发送bpdu声称自己是根,导致的结果是核心交换机的Root Guard机制会把楼层交换机隔离,整个楼层会中断。由于我行生产局域网维护级别较高,设备接入管理遵循规范的操作步骤,因此可不配置Root Guard。对于办公交换机网,需要在核心交换机下联端口配置Roo
27、t Guard,防止由于误接入桥接优先级低的交换机抢占根。4、配置STP事件LOGSTP环路发生前,通常会有LOG信息发生,因此,要求对数据中心生产网交换机、一级分行Intranet内网交换机配置LOG SERVER,并且打开相应的debug命令,以便能够通过LOG信息及时发现STP的变化。5、Vlan裁减在接入交换机与核心交换机之间配置Vlan裁减,缩小STP域并减少接入交换机与核心交换机之间不必要的广播流量。VLAN裁减时禁止裁减Vlan 1,对于有环结构的交换机网,不能裁减交换机网与防火墙连接的网间网VLAN。对于采用VLAN注册协议的交换机网,Vlan裁减应通过手工配置的方式完成,不能
28、使用自动裁减(如VTP pruning)方式。对于采用独立管理VLAN(如transparent)方式的交换机,只在接入交换机上启动必要的VLAN。6、关闭无用端口生产网络应关闭未使用的交换机端口,需要使用时再进行分配或启用,以避免非法接入或误操作。7、避免使用VLAN1传输数据交换机VLAN1通常用来传输STP协议等控制信息,因此需避免使用VLAN1作为数据传输VLAN。8、运维管理通过规范化运维管理可有效规避STP环路风险,有关内容参见附录E。5.2、 交换机网三层设计交换机网三层设计主要考虑Vlan间的互访及控制,Vlan和其他网络区域的通讯。5.2.1、 网关备份协议标准交换机网采用V
29、RRP协议实现网关的冗余备份。内部服务器通过VRRP虚拟IP地址与外部网络实现IP层通信,VRRP通过优先级和接口IP地址选举主虚拟网关,主虚拟网关提供实际的路由转发服务。当虚拟网关故障时, 备份虚拟网关取代主虚拟网关状态保持局域网正常通信。为了提高数据转发效率,VRRP部署时应将Vlan二层生成树根和三层MASTER地址设置在同一台交换机(一级分行Intranet内部网除外)。思科交换机采用私有的HSRP技术实现网关的冗余备份,其特点与VRRP类似,HSRP工作原理及部署方式参见附录A。5.2.2、 区域路由设计按照网络安全技术规范要求,数据中心、各分行的局域网分为几个独立的物理网区域,不同
30、的区域利用防火墙隔离,或通过三层Interface连接。通过防火墙的访问通过静态路由实现,其他区域之间路由协议的详细部署参见中国工商银行网络路由技术规范。5.3、 交换机和网络设备连接规范5.3.1、 交换机之间的连接5.3.1.1、 核心交换机之间的连接局域网两台核心之间应保持LOOP free结构,即保持两台核心交换机之间只有一条直连的STP路径。两台核心交换机之间应将两条不同板卡的线缆捆绑为一条channel(如无性能方面的特殊需求,只将2条线捆绑成一个channel),两台核心交换机之间的channel采用trunk方式连接。对于不支持跨板卡捆绑channel的产品,可在另外的一块板卡
31、上在设置一条Trunk链路,捆绑为channel,但是不进行连线,作为冷备链路,当正常链路发生故障时,手工进行切换。思科交换机之间的channel配置启动PAgP(思科私有)协议,并且优选的模式为 desirable mode(避免使用on模式)。思科交换机与其它品牌交换机之间或其它品牌交换机之间的channel配置采用强制方式,不启动LACP协议。应确保核心交换机之间连接的高峰期平均流量不超过连接带宽的40%。 高峰期平均流量定义为业务高峰期半小时内平均流量。5.3.1.2、 楼层交换机与核心交换机之间的连接通常情况下,楼层交换机可分别通过两条链路连接两台核心交换机,通过STP协议保证二层连
32、接不产生环路。重要的生产交换机网应通过捆绑channel方式互连,非重要的交换机网(如办公网)在端口不足的情况下也可采用单条线路连接。一级分行核心交换机网全网采用LOOP free结构,具体实现方式参见中国工商银行一级分行辖内网络技术规范。楼层交换机与核心交换机之间应将两条不同板卡的线缆捆绑为一条channel(如无性能方面的特殊需求,只将2条千兆线捆绑成一个channel)。对于不支持跨板卡捆绑channel的产品,方可使用同一板卡上的端口进行捆绑。通常情况下,channel应采用trunk方式连接。思科交换机之间的channel配置启动PAgP(思科私有)协议,并且优选的模式为 desir
33、able mode(避免使用on模式)。思科交换机与其它品牌交换机之间或其它品牌交换机之间的channel配置不启动LACP协议。应确保楼层交换机与核心交换机之间连接的高峰期平均流量不超过连接带宽的40%。5.3.1.3、 交换机之间的三层互连不同交换机网之间的互连需采用三层互连模式。如城域网不同机构间的互连、一级分行骨干交换机与办公交换机之间的互连。对于支持三层端口的交换机尽量采用三层端口的互连方式。对于不支持三层端口的交换机可采用Vlan方式互连,如果两侧交换机运行的STP协议不同,应采用关闭STP协议的方式避免连接问题。交换机之间的互连根据情况可采用两条线路的口字形连接或4条线路Full
34、mash连接,每条连接采用单独的三层IP地址段。5.3.2、 交换机与路由器间的连接在交换机支持的情况下,优先使用三层interface方式与路由器进行互联。如果交换机不支持三层interface方式,通常通过三层Vlan连接,此时要求连接路由器的端口设置为边缘快速接入端口(portfast),加快Spanning Tree的收敛速度。5.3.3、 交换机和防火墙的连接局域网中防火墙担负着各个安全区域的互联作用,为了最大限度的减少和交换机连接的风险,也要特别考虑冗余设计。交换机与防火墙的连接按照连接方式可分为以下三种,具体根据实际网络设计需求选择。1、三层Vlan Full-Mesh连接交换机
35、和防火墙之间采用Full-Mesh,防火墙与同组交换机连接的端口配置在一个Vlan中。连接方式如下图:主要特点:提供很强的冗余备份能力适用范围:防火墙的端口较多,且经过防火墙的流量大。例如生产网防火墙。注意事项:为了提高数据的转发效率,宜将防火墙Active端口连接在Root Bridge及VRRP/HSRP Active所在的核心交换机上。2、三层Vlan口字型连接交换机和防火墙之间采用口字型连接,防火墙与同组交换机连接的端口配置在一个Vlan中。连接方式如下图:主要特点:提供较强的冗余备份能力。适用范围:防火墙端口少,且经过防火墙的流量较大。注意事项:为了提高数据的转发效率,必须将防火墙A
36、ctive端口连接在Root Bridge及VRRP/HSRP Active所在的核心交换机上。3、二层Trunk口字型连接防火墙和交换机间采用Trunk口字型方式连接。交换机仅起二层功能,三层功能由防火墙实现。主要特点:节省防火墙的端口适用范围:连接安全区域数目较多,且经过防火墙的流量较小,例如网管网防火墙。5.3.4、 交换机与负载均衡设备的连接负载均衡器采用双臂模式接入到核心交换机,即每台负载均衡器通过两条线路连接到同一台核心交换机。具体部署方式参见我行中国工商银行负载均衡设备使用技术规范。5.4、 交换机和服务器连接规范标准方式下服务器通常选用单网卡方式和交换机连接。其优点是连接简单,
37、缺点是冗余性能差,存在单点故障。常规交换机网服务器部署原则如下:1、将所有服务器平均分配在接入交换机上,避免出现交换机的利用率(端口密度、CPU和内存)严重不均衡的情况。2、同一种业务具备互备功能的服务器,要分别均衡连接在不同分布/接入层交换机上,如果只有一个分布/接入层交换机,应连接在不同的板卡上。3、冷备服务器应接在与生产服务器不同的分布/接入层交换机上。4、对于不具互备功能的单台重要服务器,可采用多网卡聚合方式连接到两台接入交换机,具体要求参见开放平台多网卡聚合技术规范,或在另外一台交换机相同端口连接一条冷备跳线。6、 交换机端口模式配置规范目前局域网端口工作模式主要包括10BaseT、
38、100BaseTX和1000BaseT、1000Base SX等,这些技术工作在不同的速率和双工模式下,在不同的技术互连中可能存在互操作的问题,并引发潜在的网络故障,为此需要对交换机端口采用的工作模式进行规范。6.1、 各种端口模式优缺点比较在交换机端口双工、速率配置主要有两类方法,强制指定和自动协商。两种方式的特点比较如下:自动协商强制指定优点线缆单通时可以通过协商关闭2端的端口各种网络设备及NIC默认为自动协商,不需要手动指定,可以降低维护成本通过更主动的方式使互连端口初始能够工作在最佳方式不依赖自动协商技术及平行检测技术不依赖与产品是否具备自动协商技术缺点依赖于自动协商及平行检测技术的互
39、操作性依赖于产品对自动协商技术的支持协商结果可能不是互连最佳的工作模式线缆单通时无法通过协商关闭发送端的端口需要手动修改网络设备及NIC的默认配置,维护成本高趋势随着标准的改进及各厂家技术的成熟,业界倾向于使用这种方式例外情况NIC或网络设备不支持自动协商NIC或网络设备协商不能很好的兼容NIC驱动缺陷,虽然设置了auto,但仍然使用某一指定工作方式NIC驱动缺陷,虽然设置了某一指定工作方式,但网卡仍然使用auto和对端协商6.2、 端口工作模式设置配置原则1、互连设备两端的配置方式必须相同,即两端都设置为auto或指定为相同的speed,duplex工作方式。2、对于生产服务器的连接,需选取
40、一种主用模式,并对于由于个别网卡原因造成的例外端口登记备案。3、对于办公、生产、测试用户PC或服务器,推荐采用auto方式。4、1000M光口及电口互连使用auto模式。5、在互连设备上关闭流控(flow control)功能。6.3、 各种端口模式配置规范6.3.1、 1000BASE-SX1000BASE-SX光纤连接主要用以关键网络设备之间的互连。对于千兆光纤连接,采用auto连接方式。对于采用auto无法进行协商成功的可以使用强制模式。6.3.2、 1000BASE-T1000BASE-T千兆电口主要用以关键网络设备、重要服务器之间的连接,千兆电口互连采用auto连接方式。对于采用au
41、to无法进行协商成功的可以使用强制模式。1000BASE-T必须使用超五类以上的线缆和布线。6.3.3、 100BASE-TX百兆电口作为服务器及路由器使用的主流连接,可采用auto及指定为100M full duplex连接方式。对于采用auto无法进行协商或指定100M FULL DUPLEX无法连接成功的可以使用以下顺序进行指定。1、100M Full Duplex2、100M Half Duplex3、10M Full Duplex4、10M Half Duplex对于100M设备和1000M设备互连时,使用指定为100M full duplex连接方式。100BASE-T必须使用五类
42、以上的线缆和布线。6.3.4、 10BASE-T大部分10M网络接口不支持自动协商,默认方式为10M half duplex,和交换机之间互连时使用指定方式,指定为10m full duplex。对于不支持full duplex的指定为half duplex。10M网络接口原则上不能接入到1000M交换机板卡上,而使用100M交换机板卡。10BASE-T也同样使用五类以上的线缆和布线。6.4、 故障处理注意事项1、对于1000BASE-SX,如果因协商不成功使用强制模式的,当其中一根光纤故障中断时,使用此光纤进行发光一侧的设备端口不会down。2、对于100BASE-T,如果一端工作在指定10
43、0M全双工模式,一端使用自动协商模式,具备自动协商功能的一端可以通过平行检测选择正确的速率(100M)并将本端端口设置为默认的half duplex,造成duplex工作不匹配。3、对于100BASE-T,如果Collisions,Late Collisions持续增长,一般是由于交换机和网卡duplex工作方式不匹配所致,首先应该确认两端的工作方式,如果方式配置的一样,可能是网卡没有按指定方式工作,在交换机上将双工方式修改为half进行进一步观察。4、对于10BASE-T,网络接口大多不支持自动协商,默认方式为10M,half duplex,具备自动协商功能的交换机可以通过平行检测选择正确的
44、速率(10M)并将交换机端口设置为默认的half duplex,可以正常通讯。6.5、 交换机和服务器网卡工作模式验证由于各个服务器厂商对网卡工作模式要求不同,因此对于生产服务器的连接,在工作模式配置完毕后,必须进行大流量传输数据,进行传输性能验证。7、 局域网管理7.1、 设立网管网区域局域网根据安全管理的需要划分为核心区、应用区、接入区等安全区域,各安全域间根据各自的风险分别部署了防火墙、入侵检测、统一认证等安全系统。为实现各区域的网络系统、主机系统、安全管理系统的集中管理,需建立专用的网管区域。对于数据中心局域网的管理可建立独立的网管网实现对各个安全区域的带外管理,网管网外网连接各物理交
45、换机网,内网部署网管系统和安管系统。对于分行的局域网的管理可建立逻辑网管区通过带内方式管理。7.2、 带内管理随着局域网规模和复杂性的日益增长,监控并管理好这些网络设备就显得越来越重要。常用的方法有带内、带外管理,带内管理是通过内部业务网络进行管理。为方便管理,网络设备配置用于物理管理的IP地址。7.3、 带外管理带外管理作为带内管理工具的辅助,可以实现从本地或远程进行访问网络设备。局域网网络设备众多,常用的带外管理方法是设置Console Server,Console Server通过终端接口连接网络设备Console 口。数据中心、一级分行计算中心需对关键生产设备实现Console Ser
46、ver带外管理。7.4、 安全认证在局域网设备的管理中,网络安全设计应能够保护网络设备,使其免受非授权使用或访问。访问安全控制必须有效地实现身份认证(Authentication)、授权(Authorization)和记帐(Accounting)功能。常用的安全认证协议有RADIUS和思科私有的TACACS+协议,网管网内部署认证服务器,开启RADIUS或TACACS+服务,对局域网内网络设备进行安全认证管理。在安全认证协议里,可以按照不同管理级别设置不同的授权。7.5、 NTP时钟同步NTP(Network Time Protocol)是一个可跨越广域网或局域网的通用的时间同步协议,它使不同
47、的机器能共享同一时钟源,可获得毫秒级的精度。局域网内时钟的同步,主要用来实现网管日志分析、排障等功能,NTP协议可使用Server/Client时钟同步模式。选用此种模式,需要选择一个标准系统的时钟源作为Server,然后其它的节点与这个时间源进行时间同步,这样所有的节点都会使用此公共的系统时钟。7.6、 SNMP网管和日志管理网络设备配置SNMP网管命令,可有效的实现局域网故障管理、配置管理、性能管理等。建立统一的syslog服务器,记录和保留所有网络设备的syslog信息。7.7、 端口镜像交换机通常可提供 “端口镜像”的功能,如思科交换机使用的SPAN (Switched Port Analyzer交换端口分析器)技术。通过软件或者硬件(协议分析仪)捕获数据包,分析网络
浙ICP备2021020529号-1 | 浙B2-20240490 
