如何处理局域网广播风暴 生成树协议介绍.doc

编号 密级 规范性文档 湖北省建行二级分行 局域网络安全设计规范 Version 1.0 中国建设银行 湖北省分行 2013年3月 文档修订记录 序号 修订内容简述 修订日期 目前版本号 作者 1 文档建立 2013-2-1 1.0 2013-6-1 1.1 目 录 1. 网络结构设计 3 1.1. 两层结构 3 1.2. 单层结构 3 1.3. 二层连接模式扩展 4 1.4. 总行IP规划总表以１４４为例： 5 1.5. 楼层设备管理地址 7 1.5.1. 楼层汇聚设备管理IP规划 7 2. 安全 7 2.1. 安全设计指导原则 7 2.2. 安全措施 7 2.3. 设备自身安全加固 7 2.4. 客户端安全措施 8 3. 实施指导 8 3.1. 网卡工作模式 8 3.2. 二层交换网络实施指导 9 3.2.1. 设定生成树STP的主根、次根 9 3.2.2. 生成树优化 9 BPDU Guard(BPDU保护) 9 3.3. VLAN及Trunk设置 11 3.4. 网关备份协议 12 4. 附录 12 4.1. 生成树协议 12 4.2. 生成树协议（STP）类型选择 13 4.3. Cisco生成树协议增强特性指南 13 4.4. H3C生成树协议特性 15 4.5. 锐捷生成树协议特性 16 1. 网络结构设计 客户端区通常包括一个或多个建筑，每个建筑定义为一个节点，主节点与服务器区在同一建筑内，其它建筑为分支节点。这样对于数据的传输和安全给最大保障。 1.1. 两层结构 两层结构为终端用户通过两层交换设备接入网络，其结构如下图所示： 图表 1 节点两层结构 两层网络结构分为汇聚设备和楼层接入设备。楼层接入设备通常部署在各个楼层，用于各楼层的终端用户直接接入，楼层接入设备通过光纤双绞线连接至汇聚设备，汇聚设备作为这个节点客户端网络的统一出口。 1.2. 单层结构 单层结构为终端用户通过单层交换设备接入网络，其结构如下图所示： 图表 2 节点单层结构 终端用户通过综合布线，直接从信息接入点接入两台汇聚交换机，这两台交换机也作为本节点客户端网络的唯一出口。 1.3. 二层连接模式扩展 扩展方式 二层连接模式扩展 A、接入层交换机使用二层方式连接至汇聚交换机，两台汇聚交换机之间通过两个千兆光纤互联采用EtherChannel技术捆绑成逻辑的通道，两交换机互联接口运行于Trunk模式，封装802.1Q协议，允许客户端已划分的所有VLAN，未划分的VLAN不在允许的范围内。 B、两台汇聚交换机分别作为生成树的主根和次根。各接入交换机根据楼层及用户所在部门，按需划分VLAN，接入交换机使用Trunk连接至两台汇聚交换机，在Trunk链路上仅允许该交换机划分过的VLAN。 C、VLAN内的网关由上路由器的子接口承担，汇聚路由器启用HSRP或VRRP，以提供网关的冗余性。 采用该模式进行组网，方便用户进行搬迁，无需更改IP地址，管理员只需修改信息点对应的VLAN即可。但由于通过二层方式接入至汇聚交换机，二层广播域较大，需要注意防范广播风暴的冲击和二层环路风险，避免不同客户端间的相互影响。 1.4. 总行IP规划总表以１４４为例： 黄冈 144 52.144.0.1--52.144.31.254 被管理设备 52.144.0.1-52.144.3.254 自主分配 52.144.4.1-52.144.7.254 总行统一 网管主机 52.144.8.1-52.144.15.254 总行统一 网管客户端 52.144.16.1-52.144.19.254 自主分配 系统和业务管理主机 52.144.20.1-52.144.23.254 总行统一 备用 52.144.24.1-52.144.29.254 总行统一 Loopback 52.144.30.1-52.144.31.254 总行统一 52.144.32.1--52.144.63.254 业务一类 52.144.32.1-52.144.43.254 总行统一 52.144.44.1-52.144.63.254 自主分配 52.144.64.1--52.144.95.254 业务二类 52.144.64.1-52.144.87.254 总行统一 52.144.88.1-52.144.95.254 自主分配 52.144.96.1-52.144.127.254 基础设施类 52.144.96.1-52.144.127.254 总行统一 52.144.128.1--52.144.159.254 视频语音 52.144.128.1-52.144.151.254 总行统一 52.144.152.1-52.144.159.254 自主分配 52.144.160.1--52.144.191.254 OA服务器 52.144.160.1-52.144.171.254 总行统一 OA客户端 52.144.172.1-52.144.189.254 自主分配 一级行OA服务器 52.144.190.1-52.144.191.254 总行统一 52.144.192.1--52.144.223.254 外联网络系统 52.144.192.1-52.144.207.254 DMZ前置区 52.144.208.1-52.144.215.254 预留备用 52.144.216.1-52.144.223.254 互联网 52.144.224.1--52.144.254.254 局域网互联地址 52.144.224.1-52.144.228.254 总行统一 52.144.229.1-52.144.239.254 自主分配 广域网互联地址 52.144.240.1-52.144.244.254 总行统一 52.144.245.1-52.144.254.254 自主分配 1.5. 楼层设备管理地址 1.5.1. 楼层汇聚设备管理IP规划 以荆门5楼和9楼交换机管理ip为例: 地址用途 设备名例：JM IP地址/地址段 管理地址Vlan-interface100 HB_JM_LC5_SW1 52.64.0.125(最后一位IP＝100加楼层乘5) HB_JM_LC9_SW1 52.64.0.145(最后一位IP＝100加楼层乘5) 图表 3汇聚设备IP地址规划 2. 安全 2.1. 安全设计指导原则 客户端区网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发； 保护在二级分行行大楼（或同城其他机关大楼）内的业务1类客户端网络资源可用，保障服务品质。 实现业务1类客户端与OA类客户端的安全隔离。 为客户端桌面安全准入控制提供网络环境。 2.2. 安全措施 防止地址欺骗 在各网段所在的网关设备（核心路由器）子接口上配置ACL（与防病毒ACL合并），仅允许分行客户端所在地址范围内的地址接入网络； 业务1类、OA类、网管客户端相互隔离 要求不同类别的客户端之间实现二层及三层的隔离，禁止相互访问。 ARP病毒防护 通过ARP检查保证接入交换机只传递“合法的”的ARP请求和应答信息，而将“虚假的”ARP条目在网络端口上丢弃，避免网络遭受ARP病毒的破坏。 控制广播风暴 在接入交换机各个端口进行广播风暴控制，控制在1%以下； 2.3. 设备自身安全加固 启用安全认证 设置登陆权限，启用用户名和密码认证，配置8位以上，包含数字、大小写字母和符号的密码，定期三个月内修改一次密码，并禁止明文显示密码； 对VTY Telnet进行严格控制 对VTY Telnet使用ACL进行限制，仅管理员指定的客户端能进行Telnet，并配置超时时间，推荐为5分钟； 关闭设备上不必要的服务 关闭网络设备不必要的服务，如HTTP Server、DHCP服务、VTP、CDP、DNS查找.WEB可适当开起。 关闭接口上不必要的服务 关闭ARP 代理、ICMP不可达服务； 关闭客户端区汇聚交换机、接入交换机不使用的端口 关闭客户端区汇聚交换机、接入交换机不使用的端口，按需使用端口资源； SNMP Community串必须配置ACL 仅允许网管服务器、网管客户端访问网络设备的SNMP读写操作。 2.4. 客户端安全措施 接入客户端区网络的客户端必须按照总行安全管理处下发的有关防病毒系统、桌面办公安全管理系统等相关规定，及时安装防病毒软件以及桌面办公安全管理软件(LANDESK)，并做到及时升级。 3. 实施指导 3.1. 网卡工作模式 目前局域网端口工作模式主要包括10BaseT、100BaseTX和1000BaseT、1000Base SX等，这些技术工作在不同的速率和双工模式下，在不同的技术互连中可能存在互操作的问题，并引发潜在的网络故障，为此需要对交换机端口采用的工作模式进行规范。 各种端口模式比较如下表： 自动协商 强制指定 优点 线缆单通时可以通过协商关闭两端的端口 各种网络设备及NIC默认为自动协商，不需要手动指定，可以降低维护成本 通过更主动的方式使互连端口初始能够工作在最佳方式 不依赖自动协商技术及平行检测技术 不依赖与产品是否具备自动协商技术 缺点 依赖于自动协商及平行检测技术的互操作性 依赖于产品对自动协商技术的支持 协商结果可能不是互连最佳的工作模式 线缆单通时无法通过协商关闭发送端的端口 需要手动修改网络设备及NIC的默认配置，维护成本高 趋势 随着标准的改进及各厂家技术的成熟，业界倾向于使用这种方式 例外情况 NIC或网络设备不支持自动协商 NIC或网络设备协商不能很好的兼容 NIC驱动缺陷，虽然设置了auto，但仍然使用某一指定工作方式 NIC驱动缺陷，虽然设置了某一指定工作方式，但网卡仍然使用auto和对端协商 图表 4 各种端口模式比较 端口工作模式设置配置原则 互连设备两端的配置方式必须相同，即两端都设置为auto或指定为相同的speed，duplex工作方式。 建议1000M光口及电口互连使用auto模式。 3.2. 二层交换网络实施指导 3.2.1. 设定生成树STP的主根、次根 通过STP协议进行竞选STP根，排障时难以及时找出STP根的位置。因此，应人为指定核心交换机作为局域网的STP根网桥/次根网桥。对二层根不在核心交换机上的Vlan重新调整其根设定，将根统一设置到核心交换机上。 对于使用多生成树协议的交换机网络，生成树根位置的配置的原则如下： 汇聚交换机HB_TT_SW_1设置为所有VLAN的生成树的主根； 汇聚交换机HB_TT_SW_2设置为所有VLAN的生成树的次根； 3.2.2. 生成树优化 Spanning Tree的计算由四步组成：Blocking、Listening、Learning、Forwarding。通常一个端口从Blocking到Forwarding的时间大致为30－50秒。 1) 将交换机和客户端连接的端口配置为边缘接口。 2) 边缘端口不直接或间接与任何交换机连接，则可以不用经过中间状态而直接进入转发状态。为防止边缘接口接收BPDU信息，需要在边缘接口配置BPDUGuard。 BPDU Guard(BPDU保护) BPDU保护仅用在PortFast模式。它被网络设计者用来加强STP域边界，通常来对接入终端的边缘端口进入配置，从而保持交换网络的拓扑不受影响。在启用STP PortFast端口之后的设备被禁止影响STP拓扑。通过配置BPDU保护后，端口如果收到BPDU，将会把端口状态调整到Err-Disable.如下是一个出错信息： 　　　　2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1  　　　　2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1 　　如图所示，A的优先级为10，为该vlan的根桥，B的优先级为20，为备份根桥，B和A之间的链路为Gbit/s链路，正确的BPDU流向，如下图 　    　如果D为一台基于Linux的软件网桥，可以发送BPDU报文，并将自身BID的优先级设置为0，此时，D将成为根桥，故BPDU流向变为右图， A，B间的Gbit/s链路被阻塞，通过C走100Mbit/s链路。此时会超负载出现丢包的情况， BPDU保护的目的就是基于这种情况，防止接入设备对整个网络拓扑的影响。 　    　配置方式：  　　　　在全局模式： 　　　　　　Switch(config)#spanning-tree portfast bpduguard default 　　　　接口模式：  　　　　　　Switch(config-if)#spanning-tree bpduguard enable 　　　　注意在全局模式配置了portfast默认打开BPDU保护，需要在相应的接口上打开portfast才能启用 关于生成树高级特性的介绍，请对于不链接设备的交换机端口（链接PC或终端的）设置为边缘端口： 命令例： stp enable 开启STP功能 stp root primary 设置为主根 stp root secondary 设置为次根 stp edged-port enable 在端口模式下设置本端口为边缘端口 对于容易产生广播风暴的交换机可设置风暴抑制 broadcast-suppression 3.3. VLAN及Trunk设置 交换机网内部二层交换机之间配置Vlan Trunk实现Vlan的互通，Vlan Trunk采用IEEE 802.1Q Trunk协议格式。对于思科交换机之间以及思科交换机与其它品牌交换机之间互连时需关闭DTP协议。交换机间Trunk互联接口需明确配置为Trunk模式，并封装802.1Q。 交换机之间可通过Vlan管理协议维护交换机中的Vlan动态注册信息，并传播该信息到其它的交换机中。 Vlan管理协议便于在较大规模的网络中管理Vlan配置，对于较小规模的网络建议由每台交换机独立管理Vlan信息。 连接客户端PC的接入端口，需明确配置为访问模式，关闭Trunk。 VLAN定义 VLAN ID 名称 说明 10 LAN_A R1互联R2 20 LAN_B R1互联R2 35 GuoJiKa 国际卡 172－189 OA 办公网段 130 SuoWei OA网在用 100 Network_Manage 网管 102 CIC-NMS-USER CIC-NMS-USER 110 GuanLi 企业管理 120 YeWu_ZH1 综合业务1 128 Video 视频 140 YeWu_HB1 综合业务2 150 Internet 互联网 151 NetManage_ZH 网管 159 IPCC IPCC 198 PeiXun 培训 LookBack x Network_Manage 网络管理口 3.4. 网关备份协议 标准交换机网采用VRRP协议实现网关的冗余备份。内部服务器通过VRRP虚拟IP地址与外部网络实现IP层通信，VRRP通过优先级和接口IP地址选举主虚拟网关，主虚拟网关提供实际的路由转发服务。当虚拟网关故障时, 备份虚拟网关取代主虚拟网关状态保持局域网正常通信。 为了提高数据转发效率，VRRP部署时应将Vlan二层生成树根和三层MASTER地址设置在同一台交换机。 思科交换机采用私有的HSRP技术实现网关的冗余备份，，H3C交换机VRRP建议设置为virtual-mac模式。 4. 附录 4.1. 生成树协议 STP的作用是通过阻断冗余链路，使一个有回路的桥接网络修剪成一个无回路的树形拓扑结构 交换机网通过Spanning Tree算法建立节点间的生成树，防止交换机网的冗余连接产生二层环路。Spanning Tree协议通过交换BPDU（桥协议数据单元）自动学习生成树路径。 STP环路问题是最常见的局域网故障，并且环路发生将影响整个局域网的工作，危害较大。通过配置必要的预防措施可以有效的消除STP形成环路的可能，并且也有利于STP环路的排障。 4.2. 生成树协议（STP）类型选择 STP有多种标准，常用的类型有：CST，RSTP和MSTP，以及我行使用较多的思科私有PVST、PVST+协议。 1） Common Spanning Tree（CST）协议：公共生成树  整个网络里的一棵“大”的树结构 每个域在CST中只是一个节点 是整个网络的宏观拓扑CST协议配置、管理简单，消耗交换机CPU小，但Spanning Tree的收敛时间较长。 2）RSTP(IEEE 802.1w) －快速生成树协议 RSTP(IEEE 802.1w)又称为“快速生成树协议”，是在IEEE 802.1d协议（STP）基础上发展而来的，所有Vlan共享一个生成树。这种协议在网络结构发生变化时，能更快的收敛网络。 3）MSTP(IEEE 802.1s)－多生成树协议 MSTP是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议，它既继承了RSTP端口快速迁移的优点，又解决了RSTP中不同vlan必须运行在同一棵生成树上的问题但配置较复杂。 4）PVST和PVST+协议－CISCO Per-Vlan Spanning Tree （PVST）协议和Per-Vlan Spanning Tree Plus（PVST+）是思科发展的STP协议。使用PVST＋协议，每个Vlan各自按照各自独立的STP信息维持生成树。 交换机网STP协议配置需遵循以下原则： 1）对于采用标准协议的交换机网络或异种品牌混合使用的交换机网络使用MSTP协议。 2）对于思科交换机组成的网络使用Rapid-PVST协议。 3）对于两个采用三层VLAN互连的交换机网，如果两侧交换机运行的STP协议不同，应采用关闭STP协议的方式避免连接问题。 4.3. Cisco生成树协议增强特性指南 Cisco交换机间互联采用Rapid-PVST模式。 将XX _SW_1指定为所有VLAN的根交换机，XX _SW_2指定为所有VLAN的次根交换机。 启用Portfast、BPDU Guard、RootGuard、LoopGuard等生成树增强功能，用于进一步保护生成树，下图展示了如何使用这些增强特性。 图表 5 Cisco生成树协议特性指南 PortFast在汇聚交换机和扩展交换机连接主机的接口上启用。 BPDU Guard在汇聚交换机和扩展交换机全局启用。 RootGuard特性在汇聚交换机连接扩展交换机的接口上启用。 LoopGuard使用在根接口或阻塞接口上。 UDLD特性在汇聚交换机和扩展交换机上全局启用。 Portfast特性使得连接主机的接口可以跳过侦听和学习状态，直接由阻塞状态转为转发状态。 BPDU Guard特性启用在接口模式时，在该接口接收到BPDU报文时将该接口设置为errdisable状态，接口不可用，一般需要手工恢复；当全局启用时，仅对Portfast接口生效。 RootGuard特性用于防止指定接口变为根接口或者阻塞接口，当该接口接收到更优的BPDU报文，则被置于Root-Inconsistent，不可用，若停止接收更优的BPDU报文，接口便自动恢复为转发状态。 LoopGuard特性用于根接口和阻塞接口，用于保证它们不断的接收BPDU报文，如果停止接收，则将接口置于Loop-Inconsistent状态，不可用，当再次接收到BPDU报文后，接口自动收敛。LoopGuard和RootGuard是相互矛盾的，不能同时使用在同一接口。 UDLD即单向链路检测，用于防止链路发生单向通信终端而导致STP环路。 4.4. H3C生成树协议特性 H3C交换机间互联采用802.1S（MSTP)，仅配置一个生成树实例，并将XX _SW_1指定为所有VLAN的根交换机，XX _SW_2指定为所有VLAN的次根交换机。 图表 6 H3C生成树特性指南 在连接主机的端口配置边缘端口，启用BPDU 保护。 环路保护特性在接入交换机连接汇聚交换机的端口上启用。 根保护特性在汇聚交换机连接接入交换机的端口上启用。 在汇聚交换机和接入交换机全局启用TC保护，维持超时因子缺省配置。 配置边缘端口 将交换机连接客户端或者服务器(包括其他不会发出BPDU 报文的网络终端或者网络设备)的端口，配置成为边缘端口，同时开启交换机的BPDU 保护功能；或者直接关闭该端口的生成树协议。 配置环路保护 为了避免端口由于各种错误而发生了端口角色改变，导致网络中产生环路，在交换机上参与生成树协议计算的端口上可以增加环路保护功能。 配置根保护 如果网络规划中已经指定H3C设备为根桥，则H3C设备网络和其他厂商设备网络（H3C设备的下游网络）边界上，在H3C设备上和其他厂商设备互连的端口上，可以配置Root 保护功能。当收到来自其他厂商设备网络的优先级更高的BPDU 报文时，H3C设备会丢弃该报文，并将端口临时阻塞，防止网络拓扑振荡。 配置TC保护 为了避免交换机由于收到频繁的TC/TCN 报文，而按照协议规定对MAC 地址表项及ARP 地址表项进行频繁删除操作，继而出现设备CPU 占用率增高、业务中断的故障，可以在交换机上增加TC 报文保护功能的配置。 TC保护配置保持缺省值。 4.5. 锐捷生成树协议特性 锐捷交换机间互联采用MSTP。 将XX_CLT_SW_1指定为所有VLAN的根交换机，XX_CLT_SW_2指定为所有VLAN的次根交换机。 图表 7 锐捷生成树 图表 锐捷交换机生成树特性指南 Portfast：在直接连接主机的端口上启用。 BPDU Guard：在汇聚交换机和扩展交换机上启用。 BPDU Filter：在单链路上联的接入交换机上联端口启用。 Root Guard：在汇聚交换机的下联接口上启用。 Loop Guard：在根端口或者阻塞端口上启用。 TP-Guard: 在接入层交换机或者扩展交换机上开启。 Portfast特性使得连接主机的接口可以跳过侦听和学习状态，直接由阻塞状态转为转发状态。 BPDU Guard特性全局在某个接口（与该接口是否配置port fast接口无关）下，在该接口接收到B启用时，如果某个端口配置了port fast，则该接口收到BPDU报文时，会进入Error-disabled状态，端口不可用，需要手工恢复或者配置一定时间后自动恢复；当BPDU Guard启用PDU报文时将该接口将进入Error-disabled状态，同样接口不可用，需要手工恢复或者配置一定时间后自动恢复。 BPDU Filter特性在单链路上联的接入交换机上联接口启用时，该接口既不发送也不接收BPDU报文，避免接入交换机下面的其他设备错误启用生成树后，向上发送BPDU报文，导致生成树计算异常。 Root Guard特性强制制定端口角色为指定端口，当该接口接收到优先级更高的BPDU报文时，则该接口被置为root-Inconsistent，进入block状态；如果在一定时间内没有继续收到优先级更高的BPDU报文，接口便自动恢复原有正常状态。 Loop Guard特性启用在根端口和阻塞接口上，避免它们由于其他原因收不到BPDU报文时，进入转发状态，造成环路。当接口启用了Loop Guard时，如果收不到BPDU报文，接口会进入discarding状态，直到重新收到BPDU时，接口重新进行生成树计算。Root Guard与Loop Guard功能互斥，不能同时启用。 TP-Guard特性启用在接入交换机或者扩展交换机上，可以避免交换机由于收到频繁的TC/TCN 报文，对MAC 地址表项及ARP 地址表项进行频繁删除操作，继而出现设备CPU 占用率增高、业务中断的情况。 中国建设银行 湖北省分行信息技术部 第 17 页，共 14 页