上海鹏越惊虹技术有限公司网络实验室项目
5 设备配置整体规范
5.1 VTP protocol
生产网里,所有Cisco交换机的VTP 模式设置为Transparent模式,在每台启用VLAN的交换机上手工建立VLAN信息。
5.2 Spanning Tree
生成树启用协议: Pvst
在隔离层中,汇聚交换机(6506和3750)作为网间网VLAN生成树的根,其中编号是1的交换机作为Primary ROOT,编号是2的交换机作为Secondary ROOT。
启用Pvst后,不连接交换机的端口的PortFast功能默认打开。
5.3 HSRP
在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active,优先级为110;编号是2的交换机作为默认状态为Standby,优先级为90。在设备上配置HSRP 抢占。
5.4 路由协议
在目前已知的条件下,网络实验室的专线接入区(A2)使用OSPF动态路由协议,其他区域都使用静态路由。
上海鹏越惊虹技术有限公司网络实验室项目
5.5 设备安全配置
5.5.1 设备访问控制
? 访问超时
line con 0
exec-timeout 5 0 line vty 0 4
exec-timeout 5 0
? 访问源限制
ip access-list standard TelnetAuth permit 172.1.1.0 0.0.0.255 line vty 0 4
access-class TelnetAuth in
? SNMP
为设备安全起见,SNMP被使用在只读模式,不在设备上配置RW字串。并且配置ACL,限制访问源。
access-list 99 permit 172.1.1.0 0.0.0.255 snmp-server community sfit RO 99
5.5.2 网络设备服务
? 关闭全局不需要的服务
no service finger no service pad
no service udp-small-servers no service tcp-small-servers no ip bootp server no ip http server no ip finger
no ip source-route no ip gratuitous-arps no ip domain-lookup
上海鹏越惊虹技术有限公司网络实验室项目
no ip http secure-server
? 关闭接口不需要的服务
no ip redirects
no ip directed-broadcast no ip proxy-arp no ip unreachables
? 开启提高设备安全性的服务
service password-encryption
5.5.3 设备端口安全配置
? 通用配置 1. 2.
不使用的端口配置为Shutdown 光纤端口上开启UDLD
? 广域网/互联网接入路由器
在连接外联设备的接口上关闭cdp(no cdp enable) ? 服务器接入交换机 1. 2.
连接服务器的端口配置为Access模式
连接服务器的端口配置portfast和bpduguard、bpdufilter
5.6 设备互联规范
鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。
5.6.1 冗余3750交换机连接冗余6506交换机
这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接
上海鹏越惊虹技术有限公司网络实验室项目
入层的汇聚3750交换机。如下图所示。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机;两台6506交换机使用引擎上的两个光纤口组成EtherChannel进行互联。每台3750交换机上各拿出一个端口,使用LACP协议组成EtherChannel连接到6506上。6506和3750之间使用虚拟网间网Vlan端口进行互联,并在6506的互联端口上允许这些Vlan通过。这样当某一台3750发生故障时,不会引起网间网Vlan的Spanning-Tree(生成树)的状态变化。
在6506上的网间网Vlan端口(Interface Vlan)开启HSRP协议,3750的静态路由的下一条地址就是HSRP的虚拟地址。
5.6.2 冗余3750交换机连接非冗余NetScreen防火墙
这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。如下图所示。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到两台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份。默认情况下,所有
上海鹏越惊虹技术有限公司网络实验室项目
的数据应当通过左侧的交换机,当端口或线路发生故障时,备用端口将自动进行切换,数据流向右侧的交换机。
5.6.3 冗余3750交换机连接冗余防火墙
这种情况主要指接入层专线接入区(A2)中的NetScreen ISG 1000防火墙连接内外两侧的3750交换机。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到同一台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份;只有在交换机发生故障或交换机与防火墙之间的两根线都断开时,防火墙才进行切换。