天涯论坛

 找回密码
 立即注册
搜索
查看: 29|回复: 4

企业网络建设之二层网络技术优化办法

[复制链接]

2995

主题

220

回帖

9909万

积分

论坛元老

Rank: 8Rank: 8

积分
99099158
发表于 2024-8-31 10:51:50 | 显示全部楼层 |阅读模式

1、概述

日前绝大部分大型网络的网络设备数量较多,网络结构较为繁杂,然而大部分网络显现问题时,都数因为二层协议导致的网络中断,影响规模很强引起用户没法正常业务及上网办公等问题,其实日前的二层网络技术已有必定累积,能够处理绝大部分的二层网络问题,为此结合大型二层网络架构供给技术优化手段,保准企业网络的稳定性靠谱性。

2、网络优化目的

综合以上的问题,在现有的基本上,从设备、配置、守护等层面进行改造,采用先进稳定的技术和管理模式,为了保准基本网络的安全性、稳定性,建设一个快速、有效、通畅、安全的办公网络,优化后的网络架构必须具备以下几点:

安全靠谱性:经过二层网络的调节和优化,实现网络的安全稳定运行,即使网络中出现单条链路中断,或攻击包时,能稳定运行并即时实现日志告警,从而加强企业网络的靠谱性。方便运维:经过技术手段隔离各个二级公司或二层广播报文,成立个节点独立守护模式,以便缩小影响范围,防止大面积网络瘫痪,有效的加强运维工作,实现当问题显现时能够快速的定位到问题源即时处理

3、优化方法

3.1 网络优化

大型网络中的二层设备众多,其汇聚设备分布在各个区域,分别负责该区域的数据转发,针对二层环境供给如下两种常规优化办法

接入交换机与汇聚交换机之间经过trunk模式互联,所有终端的网关位置都在汇聚交换机上。虽然开启了stp功能,然则误操作很容易显现环路,引起全部网络的故障。因此将下接二级机构的互联接口调节为三层路由模式,缩小影响范围,方便快速定位问题。在楼层汇聚层交换机上关闭汇聚交换机空闲端口,加强网络安全性,防止外来人员随意接入骨干设备。

3.2 STP生成树优化

网络中互联交换机之间虽然启用了生成树协议,然则并不完善,非常多优化策略并运用例如边缘端口和bpduguard等。边缘端口(portfast)指的是不直接与任何交换机连接,经过端口所连接的网络间接与任何交换机相连的端口。用户倘若将某个端口指定为边缘端口,那样当该端口由堵塞状态向转发状态迁移时,这个端口能够实现快速迁移,而无需等待延迟时间。

图1 配置STP功能图

配置STP功能

配置环网中的设备生成树协议工作在STP模式

[SwitchA] stp mode stp # 配置交换设备SwitchA的STP工作模式。

[SwitchB] stp mode stp # 配置交换设备SwitchB的STP工作模式。

[SwitchC] stp mode stp # 配置交换设备SwitchC的STP工作模式。

[SwitchD] stp mode stp # 配置交换设备SwitchD的STP工作模式。

所有交换机配置STP域名

[Switch]stp region-configuration

[Switch]region-name XXX

配置根桥和备份根桥设备

[SwitchA] stp root primary # 配置SwitchA为根桥。

[SwitchD] stp root secondary # 配置SwitchD为备份根桥。

配置端口的路径开销值,实现将该端口阻塞

[SwitchA] stp pathcost-standard legacy # 配置SwitchA的端口路径开销计算办法为华为计算办法

[SwitchB] stp pathcost-standard legacy # 配置SwitchB的端口路径开销计算办法为华为计算办法

[SwitchC] stp pathcost-standard legacy # 配置SwitchC端口GigabitEthernet0/0/1端口路径开销值为20000。

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] stp cost 20000

[SwitchC-GigabitEthernet0/0/1] quit

[SwitchD] stp pathcost-standard legacy # 配置SwitchD的端口路径开销计算办法为华为计算办法

与终端相连的交换端口开启BPDU守护与过滤功能

将与PC机相连的端口设置为边缘端口并使能端口的BPDU报文过滤功能

[SwitchB] interface gigabitethernet 0/0/2

[SwitchB-GigabitEthernet0/0/2] stp edged-port enable

[SwitchB-GigabitEthernet0/0/2] stp bpdu-filter enable

在全局视图:stp bpdu-protection

3.2 MSTP生成树优化

在一个繁杂的网络中,因为冗余备份的需要,规划者一般都倾向于在设备之间安排多条理学链路,其中一条做为主用链路,其他做为备份链路。这般就难免会形成环路,若网络中存在环路,可能会导致广播风暴和MAC表项被破坏。为此,能够在网络中安排MSTP协议预防环路。MSTP可阻塞二层网络中的冗余链路,将网络修剪成树状,达到消除环路的目的。

图2 配置MSTP功能图

配置MSTP功能

配置MST域

[~SwitchA] stp region-configuration

[~SwitchA-mst-region] region-name RG1

[*SwitchA-mst-region] instance 1 vlan 2 to 10

[*SwitchA-mst-region] instance 2 vlan 11 to 20

[*SwitchA-mst-region] commit

配置SwitchB的MST域

[~SwitchB] stp region-configuration

[~SwitchB-mst-region] region-name RG1

[*SwitchB-mst-region] instance 1 vlan 2 to 10

[*SwitchB-mst-region] instance 2 vlan 11 to 20

[*SwitchB-mst-region] commit

配置SwitchC的MST域。

[~SwitchC] stp region-configuration

[~SwitchC-mst-region] region-name RG1

[*SwitchC-mst-region] instance 1 vlan 2 to 10

[*SwitchC-mst-region] instance 2 vlan 11 to 20

[*SwitchC-mst-region] commit

配置SwitchD的MST域。

[~SwitchD] stp region-configuration

[~SwitchD-mst-region] region-name RG1

[*SwitchD-mst-region] instance 1 vlan 2 to 10

[*SwitchD-mst-region] instance 2 vlan 11 to 20

[*SwitchD-mst-region] commit

配置MSTI1的根桥与备份根桥

[~SwitchA] stp instance 1 root primary //配置SwitchA为MSTI1的根桥

[~SwitchB] stp instance 1 root secondary //配置SwitchB为MSTI1的备份根桥

配置MSTI2的根桥与备份根桥

[~SwitchB] stp instance 2 root primary //配置SwitchB为MSTI2的根桥

[~SwitchA] stp instance 2 root secondary //配置SwitchA为MSTI2的备份根桥

配置SwitchA的端口路径开销值的计算办法为华为计算办法

[~SwitchA] stp pathcost-standard legacy

配置SwitchB的端口路径开销计算办法为华为计算办法

[~SwitchB] stp pathcost-standard legacy

配置SwitchC的端口路径开销计算办法为华为计算办法,将端口10GE1/0/2在实例MSTI2中的路径开销值配置为20000。

[~SwitchC] stp pathcost-standard legacy

[*SwitchC] interface 10ge 1/0/2

[*SwitchC-10GE1/0/2] stp instance 2 cost 20000

[*SwitchC-10GE1/0/2] commit

配置SwitchD的端口路径开销计算办法为华为计算办法,将端口10GE1/0/2在实例MSTI1中的路径开销值配置为20000。

[~SwitchD] stp pathcost-standard legacy

[*SwitchD] interface 10ge 1/0/2

[*SwitchD-10GE1/0/2] stp instance 1 cost 20000

[*SwitchD-10GE1/0/2] commit

设备全局开启MSTP

[~SwitchA] stp enable //在SwitchA上起步MSTP

[~SwitchB] stp enable //在SwitchB上起步MSTP

[~SwitchC] stp enable //在SwitchC上起步MSTP

[~SwitchD] stp enable //在SwitchD上起步MSTP

将与终端相连的所有端口都关闭MSTP

# 配置SwitchC端口10GE1/0/1的STP去使能。

[~SwitchC] interface 10ge 1/0/1

[~SwitchC-10GE1/0/1] stp disable

[*SwitchC-10GE1/0/1] commit

# 配置SwitchD端口10GE1/0/1的STP去使能。

[~SwitchD] interface 10ge 1/0/1

[~SwitchD-10GE1/0/1] stp disable

[*SwitchD-10GE1/0/1] commit

配置守护功能

如在各实例的根桥设备的指定端口配置根守护功能

[~SwitchA] interface 10ge 1/0/1 //在SwitchA端口10GE1/0/1上起步守护

[~SwitchA-10GE1/0/1] stp root-protection

[*SwitchA-10GE1/0/1] commit

[~SwitchB] interface 10ge 1/0/1 //在SwitchB端口10GE1/0/1上起步守护

[~SwitchB-10GE1/0/1] stp root-protection

[*SwitchB-10GE1/0/1] commit

3.3 安排环路检测功能

网络中的环路会引起设备对广播、组播以及未知单播等报文进行重复发送,导致网络资源浪费乃至网络瘫痪。为了能够即时发掘二层网络中的环路,Loop Detection正是这般的检测技术。它经过从接口周期性发送检测报文,检测该报文是不是返回本设备(不需求收、发接口为同一接口),从而判断该接口、设备所在网络或设备下挂网络是不是存在环路。

图3配置STP功能图

开启全局的Loop Detection功能

[HUAWEI] sysname Switch

[Switch] loop-detection enable //使能全局的Loop Detection功能

开启VLAN的Loop Detection功能

[Switch] vlan batch 10 to 20

[Switch] loop-detection enable vlan 10 to 20 //配置设备对VLAN10到VLAN20下的所有接口进行环路检测

配置Loop Detection检测报文的发送周期

[Switch] loop-detection interval-time 10 //配置Loop Detection检测报文的发送周期为10s

配置Loop Detection处理动作

打开Loop Detection告警开关。

[Switch] snmp-agent trap enable feature-name ldttrap //打开Loop Detection的告警开关,使设备拥有发送Loop Detection Trap报文的功能

配置Loop Detection处理动做为Shutdown。

[Switch] interface gigabitethernet 1/0/1

[

Switch-GigabitEthernet1/0/1] stp disable //去使能接口的STP功能

[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 10 to 20

[

Switch-GigabitEthernet1/0/1] loop-detection mode port-shutdown //配置Loop Detection检测到环路时对接口GE1/0/1的处理动做为Shutdown

3.4 广播域控制

广播域掌控反常流量的办法有两种,分别是流量控制和风暴掌控,两种用于掌控广播、未知组播以及未知单播报文,防止这三类报文导致广播风暴的安全技术。

流量控制重点经过配置阈值来限制流量,而风暴掌控重点经过关闭端口来阻断流量

图4配置组网图

流量控制配置

[SwitchA] interface gigabitethernet 0/0/1 //进入接口视图

配置广播流量控制,按百分比控制,百分比值为20%。

[SwitchA-GigabitEthernet0/0/1] broadcast-suppression 20

配置未知组播流量控制,按百分比控制,百分比值为20%。

[SwitchA-GigabitEthernet0/0/1] multicast-suppression 20

配置未知单播流量控制,按百分比控制,百分比值为20%。

[SwitchA-GigabitEthernet0/0/1] unicast-suppression 20

验证配置结果

执行命令display flow-suppression interface查看GE0/0/1接口下的流量控制配置状况

[SwitchA] display flow-suppression interface gigabitethernet 0/0/1

风暴掌控配置

[SwitchA] interface gigabitethernet0/0/1 //进入接口视图

配置广播风暴掌控最小1000个包,最大2000个包

[SwitchA-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000

配置未知组播风暴掌控最小1000个包,最大2000个包

[SwitchA-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000

配置未知单播风暴掌控最小1000个包,最大2000个包

[SwitchA-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000

配置风暴掌控的动做为阻塞报文

[SwitchA-GigabitEthernet0/0/1] storm-control action block

配置打开风暴掌控时记录日志的功能

[SwitchA-GigabitEthernet0/0/1] storm-control enable log

配置风暴掌控的检测时间间隔

[SwitchA-GigabitEthernet0/0/1] storm-control interval 90

验证配置结果

执行命令display storm-control interface查看GE0/0/1接口下的风暴控制配置状况

[SwitchA] display storm-control interface gigabitethernet 0/0/1

3.5 DHCP防护

DHCP Server仿冒者攻击:在网络上随意添加一台DHCP服务器,它能够为客户端分配IP位置以及其他网络参数。倘若该DHCP服务器为用户分配错误的IP位置和其他网络参数,将会对网络导致非常大的害处

为了为DHCP用户供给优秀的服务,网络管理员能够经过配置DHCP Snooping功能,实现DHCP攻击防范。

图5配置组网图

图5

开启DHCP Snooping基本功能

使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文

[SwitchC] dhcp snooping enable ipv4

使能用户侧接口的DHCP Snooping功能。以GE1/0/1接口为例,GE1/0/2的配置与GE1/0/1接口相同,再也不赘述。

[SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] dhcp snooping enable

使能ARP与DHCP Snooping的联动功能。

[SwitchC] arp dhcp-snooping-detect enable

检测DHCP Request报文中GIADDR字段是不是非零的功能。以GE1/0/1接口为例,GE1/0/2的配置与GE1/0/1接口相同,再也不赘述。

[SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] dhcp snooping check dhcp-giaddr enable

配置DHCP报文上送DHCP报文处理单元的最大准许速率并丢弃报文告警功能

配置DHCP报文上送DHCP报文处理单元的最大准许速率为90pps。

[SwitchC] dhcp snooping check dhcp-rate enable

[SwitchC] dhcp snooping check dhcp-rate 90

使能丢弃报文告警功能,并配置报文限速告警阈值。

[SwitchC] dhcp snooping alarm dhcp-rate enable

[SwitchC] dhcp snooping alarm dhcp-rate threshold 500

在用户侧接口进行配置。以GE1/0/1接口为例,GE1/0/2的配置与GE1/0/1接口相同,再也不赘述。

[SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] dhcp snooping check dhcp-request enable

[SwitchC-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-request enable

[SwitchC-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-request threshold 120

配置接口准许接入的最大用户数并使能对CHADDR字段检测功能,同期使能数据帧头MAC位置与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时产生告警信息功能。

在用户侧接口进行配置。以GE1/0/1接口为例,GE1/0/2的配置与GE1/0/1接口相同,再也不赘述。

[SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] dhcp snooping max-user-number 20

[SwitchC-GigabitEthernet1/0/1] dhcp snooping check dhcp-chaddr enable

[SwitchC-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-chaddr enable

[SwitchC-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-chaddr threshold 120

[SwitchC-GigabitEthernet1/0/1] quit





上一篇:苹果电脑怎么优化开机快:让你的Mac闪电般起步!
下一篇:网站SEO优化办法要怎么写?
回复

使用道具 举报

3123

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99108623
发表于 2024-9-27 17:38:47 | 显示全部楼层
认真阅读了楼主的帖子,非常有益。
回复

使用道具 举报

3123

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99108623
发表于 2024-9-29 16:40:25 | 显示全部楼层
你的留言真是温暖如春,让我感受到了无尽的支持与鼓励。
回复

使用道具 举报

3089

主题

3万

回帖

9909万

积分

论坛元老

Rank: 8Rank: 8

积分
99098770
发表于 2024-10-4 20:17:07 | 显示全部楼层
你的见解真是独到,让我受益良多。
回复

使用道具 举报

2946

主题

3万

回帖

9997万

积分

论坛元老

Rank: 8Rank: 8

积分
99979427
发表于 2024-11-7 17:54:47 | 显示全部楼层
楼主的文章非常有意义,提升了我的知识水平。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 06:02 , Processed in 0.117482 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.