路由管理和二层广播风暴抑制的方法

1、一级分行路由管理和二层广播风暴抑制的建议一级分行路由管理和二层广播风暴抑制的建议信息技术部网络管理室信息技术部安全内控室目 录一、路由管理与控制建议 41.1 措施一 41.2 措施二51.3 措施三51.4 措施四61.5 措施五71.6 措施六71.7 措施七7二、二层广播风暴抑制管理与控制建议 82.1 核心区交换机配置 82.1.1全局配置命令 82.1.2核心交换机光纤互联端口配置 92.2 业务后台区汇聚交换机配置 92.2.1全局配置命令92.2.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令 92.2.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互

2、联端口命令 92.3 业务后台区接入交换机配置 92.3.1全局配置命令92.3.2业务后台区接入交换机服务器接入端口配置命令 102.3.3业务后台区接入交换机服务器接入端口配置命令 102.3.4业务后台区接入交换机上连区域汇聚交换机的端口配置命令 102.3.5业务后台区接入交换机上连区域汇聚交换机的端口配置命令 102.4 业务前台区汇聚交换机配置 112.4.1全局配置命令 112.4.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令112.4.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令112.5 业务前台区接入交换机配置 112.5.1

3、全局配置命令 112.5.2业务前台区接入交换机终端接入端口或hub接入端口配置命令 122.5.3业务前台区接入交换机终端接入端口或hub接入端口配置命令 122.5.4业务前台区接入交换机上联区域汇聚交换机端口配置命令 122.5.5业务前台区接入交换机上联区域汇聚交换机端口配置命令 122.6 办公区汇聚交换机配置 132.6.1全局配置命令 132.6.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令132.6.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命令132.7 办公区接入交换机配置 142.7.1全局配置命令 142.7.2办公区接入交

4、换机终端接入端口配置命令 142.7.3办公区接入交换机终端接入端口配置命令 142.7.4办公区接入交换机服务器接入端口配置命令 142.7.5办公区接入交换机服务器接入端口配置命令 152.7.6办公区接入交换机上连汇聚交换机端口，办公区接入交换机互联端口配置命令152.7.7办公区接入交换机上连汇聚交换机端口，办公区接入交换机互联端口配置命令1510、路由管理与控制建议一级分行路由管理和控制主要目的，是针对一级分行所辖网络中因非规范化 配置或人为误操作，可能对分行网络系统安全生产造成重要影响的路由控制与管 理策略进行强化。通过对一级分行网络的现状和过往故障进行分析， 计划采用技术手段对一

5、级 分行所辖网络进行过滤和分发控制，具体技术控制措施以下图为模型进行阐述：埋切敖晶中心灾备机房£城，异地宣厅、二at分 行、ATMflRtflHj槌II路巾过涯一乖志路南曲I】路山汇恩 噗|:美顼 刷忐胳山侍促E闭如上图所示，路由控制与管理相关措施如下所列:1.1措施一一级分行所辖分支机构（含二级分行、支行、网点等）上联路由器做路由过 滤，仅向一级分行汇聚路由器发布该机构所届网段的路由前缀。参考配置（应用丁 ZHRT-28-01）:定义路由过滤控制列表（配置参考）：ip prefix-list Route-into-YJFH seq 10 permit 10.XX.XX.0/2424

6、ip prefix-list Route-into-YJFH seq 20 permit 99.XX.XX.0/注：此控制列表只允许此网点的一个 C类地址路由转发，如果该网点分配有多个 C类地址， 可以扩大允许路由转发的地址范围定义EIGRP路由协议：router eigrp XXdistribute-list prefix Route-into-YJFH outFastEthernet0/0 / 路由过滤应用在上联接口network 10.0.0.0 0.0.0.255no auto-summary1.2措施二一级分行下联各分支机构的汇聚路由器上对所辖各分支机构做路由过滤，仅接受该分支机构所

7、届网段的路由前缀。参考配置（应用丁 DWRT-76-01）:定义路由过滤控制列表（配置参考）：ip prefix-list Route-from-XXZH seq 10 permit10.XX.XX.0/ 24ip prefix-list Route-from-XXZH seq 20 permit99.XX.XX.0/ 24注：此控制列表只允许接受此网点的一个 C类地址路由，如果该网点分配有多个 C类地址，可以扩大允许路由转发的地址范围定义EIGRP路由协议（配置参考）：router eigrp XXdistribute-list prefix Route-from-XXZH inGigabi

8、tEthernet1/24.100 / 路由过滤应用在下联该网点的（子）接口network 10.0.0.0 0.0.0.255eigrp router-id 10.XX.255.X/ 定义 eigrp router-idno auto-summary1.3措施三一级分行下联各分支机构的汇聚路由器向核心交换机做路由过滤，严禁向核心交换机发布该一级分行所分配IP地址段以外各类路由前缀。参考配置（应用丁 DWRT-76-01）:定义路由过滤控制歹0表（配置参考）：ip access-list standard route-filterpermit 10.XX.0.0 0.0.255.255注：此控

9、制列表只允许此一级分行下联路由器向分行核心交换机转发匹配一级分行B类IP地址的路由，如果该一级分配有多个 B类地址，可以扩大允许路由转发的地址范围定义路由过滤 route-map：route-map Route-into-CORE permit 10match ip address route-filter定义EIGRP路由协议（配置参考）：router eigrp XXdistribute-list prefix Route-into-CORE outGigabitEthernet1/23 / 路由过滤应用在与核心交换机的互联接口network 10.0.0.0 0.0.0.255eigrp

10、 router-id 10.XX.255.X/ 定义 eigrp router-idno auto-summary1.4措施四一级分行灾备机房指向总行的汇总路由，子网掩码必须大丁10.0.0.0/9,且该汇总路由平时不得进行配置，仅在需要启用灾备机房时进行配置。参考配置（应用丁 ZBRT-38-02）:定义指向总行的汇总路由（配置参考）：ip route 10.0.0.0 255.0.0.0 10.XX.XX.XX / 定义 10.0.0.0/8 的静态路由指向 ZBRT-38-01定义前缀列表配置（配置参考）：ip prefix-list static-to-eigrp seq 10 per

11、mit 10.0.0.0/8定义静态路由重分发route-map配置（配置参考）：route-map static-to-eigrp permit 10match ip address prefix-list static-to-eigrp定义EIGRP路由协议（以下EIGRP配置只有在启用灾备机房时才进行配置写入， 正常情况下此设备EIGRP协议应关闭）（配置参考）：router eigrp XXredistribute static route-map static-to-eigrp/ 只重分发匹配 route-map 的静态路由network 10.0.0.0 0.0.0.255no a

12、uto-summary1.5措施五尚未完成一级分行同城双活实施分行，主机房与备份机房之间必须关闭路由 邻居关系，备份机房与一级分行所辖各分支机构之间的路由邻居关系也必须关 闭。参考配置（应用丁 ZBRT-38-02）no router eigrp XX/ 关闭 EIGRF®态路由协议interface fastEthernet0/1 /关闭连接网点备份线路的接口shutdown参考配置（应用丁 ZBRT-38-01）interface fastEthernet0/0 /关闭连接深圳数据中心灾备线路的接口shutdown1.6措施六所有运行EIGRP路由协议的路由器，必须关闭路由自动汇

13、总；参考配置：router eigrp XXno auto-summary1.7措施七采用运营商进行线路传输参数切换实现通讯线路灾备切换的分行必须和运营商就线路切换流程达成科学、合理、可靠的切换流程，必要时应将灾备机房 下联汇聚路由器广域网端口物理关闭。、二层广播风暴抑制管理与控制建议一级分行二层广播风暴抑制管理和控制主要目的，是针对一级分行所辖网络中因非规范化配置或人为误操作，可能对分行网络系统安全生产造成重要影响 的广播控制与管理策略进行强化，主要是对一级分行内部的局域网安全配置全面 部署，预防广播风暴、光纤线路单通、VLAN database混乱等灾难性故障的发 生。通过对一级分行网络的

14、现状和过往故障进行分析，计划采用技术手段对一 级分行所辖网络进行过滤和分发控制，具体技术控制措施以下图为模型进行阐 述：汇橐交换机或 核心交换机udldLoop guarduplimkfat.bpdugardStoriTtcontrol,accessVtp transparerit2.1 核心区交换机配置2.1.1全局配置命令vtp mode transparent udld aggressiveudld message time 72.1.2核心交换机光纤互联端口配置int gigabitEthernet X/Yudld port aggressive2.2业务后台区汇聚交换机配置2.2.1

15、全局配置命令vtp mode transparentudld aggressiveudld message time 72.2.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命 令Catalyst37系歹U交换机int gigabitEthernet X/0/Yswitchport mode trunkudld port aggressive光口才需要配置，电口不需要配置，下同2.2.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口命令Catalyst43 45、65系列交换机int gigabitEthernet X/Yswitchport mode trunk

16、udld port aggressive2.3业务后台区接入交换机配置2.3.1全局配置命令vtp mode transparentspanning-tree uplinkfastudld aggressiveudld message time 72.3.2业务后台区接入交换机服务器接入端口配置命令Catalyst37系歹U交换机int gigabitEthernet X/0/Y switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 s

17、torm-control action trap spanning-tree bpduguard enable2.3.3业务后台区接入交换机服务器接入端口配置命令Catalyst49系歹U交换机int gigabitEthernet 1/X switchport mode access storm-control broadcast level 1.50 storm-control multicast level 1.50 storm-control action trap spanning-tree bpduguard enable2.3.4业务后台区接入交换机上连区域汇聚交换机的端口配置命

18、令Catalyst37系歹U交换机int gigabitEthernet X/0/Y switchport mode trunk udld port aggressive2.3.5业务后台区接入交换机上连区域汇聚交换机的端口配置命令Catalyst49系歹U交换机int gigabitEthernet 1/X一级分行路由管理和二层广播风暴抑制的建议switchport mode trunkudld port aggressive2.4业务前台区汇聚交换机配置2.4.1全局配置命令vtp mode transparentudld aggressiveudld message time 72.4.

19、2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命 令Catalyst37系歹U交换机int gigabitEthernet X/0/Yswitchport mode trunkudld port aggressive光口才需要配置，电口不需要配置，下同2.4.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命 令Catalyst43 45、65系列交换机int gigabitEthernet X/Yswitchport mode trunkudld port aggressive2.5业务前台区接入交换机配置2.5.1全局配置命令vtp mode transp

20、arent udld aggressiveudld message time 72.5.2业务前台区接入交换机终端接入端口或hub接入端口配置命令Catalyst37系歹U交换机int gigabitEthernet X/0/Yswitchport mode accessstorm-control broadcast level pps 500 250storm-control multicast level pps 500 250storm-control action trapspanning-tree bpduguard enable2.5.3业务前台区接入交换机终端接入端口或hub接入

21、端口配置命令Catalyst49系歹U交换机int gigabitEthernet 1/Xswitchport mode accessstorm-control broadcast level 1.50storm-control multicast level 1.50storm-control action trapspanning-tree bpduguard enable2.5.4业务前台区接入交换机上联区域汇聚交换机端口配置命令Catalyst37系歹U交换机int gigabitEthernet X/0/Yswitchport mode trunkudld port aggress2

22、.5.5业务前台区接入交换机上联区域汇聚交换机端口配置命令Catalyst49系歹U交换机int gigabitEthernet 1/Xswitchport mode trunkudld port aggress2.6办公区汇聚交换机配置2.6.1全局配置命令vtp mode transparentudld aggressiveudld message time 72.6.2区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命 令Catalyst37系歹U交换机int gigabitEthernet X/0/Yswitchport mode trunkudld port aggre

23、ssive/光口才需要配置，电口不需要配置，下同2.6.3区域汇聚交换机与接入交换机互联端口，汇聚交换机之间互联端口配置命 令Catalyst43 45、65系列交换机int gigabitEthernet X/Yswitchport mode trunkudld port aggressive152.7办公区接入交换机配置2.7.1全局配置命令vtp mode transparent udld aggressive udld message time 72.7.2办公区接入交换机终端接入端口配置命令Catalyst37系歹U交换机int gigabitEthernet 1/0/X switchport mode access storm-control broadcast level pps 500 250 storm-control multicast level pps 500 250 storm-control action trap spanning-tree bpduguard enable2.7.3办公区接入交换机终端接入端口配置命令Catalyst49系歹U交换机int gigabitEthernet 1/X switchport mode access s