【正文】 個可跨越廣域網或局域網的通用的時間同步協議，它使不同的機器能共享同一時鐘源，可獲得毫秒 級的精度。 局域網內時鐘的同步，主要用來實現網管日志分析、排障等功能， NTP協議可使用 Server/Client時鐘同步模式。選用此種模式，需要選擇一個標準系統(tǒng)的時鐘源作為 Server，然后其它的節(jié)點與這個時間源進行時間同步 ,這樣所有的節(jié)點都會使用此公共的系統(tǒng)時鐘。 、 SNMP網管和日志管理 網絡設備配置 SNMP網管命令，可有效的實現局域網故障管理、配置管理、性能管理等。 建立統(tǒng)一的 syslog服務器，記錄和保留所有網絡設備的 syslog信息。 、 端口鏡像 交換機通常可提供 “端口鏡像”的功能，如思科交換機使用 的 SPAN （ Switched Port Analyzer交換端口分析器）技術。通過軟件或者硬件（協議分析儀）捕獲數據包，分析網絡性能，檢查網絡中的病毒等非法流量。 、 網絡流信息獲取 網絡流信息獲取技術是在緩存中將路由器或交換機的流量信息記錄下來，再將這些信息通過 IP網絡發(fā)送出去，從而捕獲信息，如思科 NetFlow技術。統(tǒng)計信息包括 IP分組大小的分布、 IP信息流交換的高速緩存信息，以及信息流信息，例如協議、總的信息流數量和每秒的信息流數量等。通過使用NetFlow和相應的分析軟件，可以用來為網絡管理與分析提 供依據，為診斷網絡入侵和查找網絡攻擊提供幫助。 、 DHCP服務 動態(tài)主機配置協議（ Dynamic Host Configuration Protocol， DHCP）從原有的 BootP協議發(fā)展而來，目的是對多個客戶計算機集中分配 IP地址并合理使用 IP。對于不需要固定 IP地址的辦公局域網可采用 DHCP方式為用戶動態(tài)分配 IP地址。 、 局域網 ARP病毒防護 局域網是廣播式網絡，易受到 ARP欺騙 、 ARP廣播攻擊的威脅，各類品牌的交換機通常提供一些 ARP防護措施，對于數據中心、一級分行等較大規(guī)模的辦公局域網 ， 在 具備 DHCP服務且交換機 設備 支持 的情況下應 采用相應的 ARP防護機制規(guī)避運行風險 ，在無 DHCP服務的環(huán)境下可使用靜態(tài)方式進行防護 。具體配置方式和應急防護措施參見附錄 F。 Q/ICBC WL 02. 101 – 2021 商密 3級 ▲ 5年 17 、 局域網安全防范 局域網安全防范要求參見《 中國工商銀行網絡安全技術規(guī)范 》。 附則 本規(guī)范自印發(fā)之日起開始執(zhí)行。我行 2021 年發(fā)布的《 （ ICBC/CNET003002）中國工商銀行局域網絡設計規(guī)范 》 同時廢止。 Q/ICBC WL 02. 101 – 2021 商密 3級 ▲ 5年 18 附 錄 A 思科交換機私有協議配置規(guī)范 思科交換機 Vlan Trunking 協議（ VTP）配置原則 VTP Domain 是指將多個交換機 組成一個管理域。通過 VTP Server可以統(tǒng)一對整個管理域內的 Vlan進行增加、刪除、命名等操作。局域網的 VTP Domain設計，需達到冗余熱備、快速收斂的目的，配置原則如下： （ 1） 推薦使用 VTP transparent 模式。采用 server、 client 模式的 交換機網應選擇兩個核心層交換機作為 VTP Server，接入 /分布層交換機應配置為 VTP Client。 （ 2） VTP版本選用版本 2（僅對 VTP server、 clicent模式要求） 。 （ 2） 交換機網 VTP應配置 VTP domain 密碼，密碼 設置應具有一定的復雜性。 思科交換機 Spanning Tree 優(yōu)化配置原則 （ 1） 在交換機和路由器、服務器、 HUB連接的端口配置 Portfast 和 Portfast bpduguard。 Portfast 的主要特點是可以縮短 listening 和 forwarding 的時間（各 15 秒）。使連接設備直接從 blocking 狀態(tài)進入到 forwarding 狀態(tài)。為防止此類端口誤接交換機， Portfast 和 Portfast bpduguard 必須同時使用。使用 Portfast 和 Portfast bpduguard 功能 ，可以大大加快生成樹的收斂和減少 TCN BPDU 的處理。 在連接路由器、主機、 HUB 的接入端口上設定 PortFast。對于交換機之間互聯的端口，不要配置PortFast。 PortFast 端口并不意味著不執(zhí)行了 STP 協議， BPDUs 數據仍然要通過該端口發(fā)出、接收和處理。而且 PortFast 絕對不能工作在 trunks 端口上。有些 Server 的支持 ISL 或 的終結，這些設備連接的端口，不是接入端口，而是 trunks 端口，不能啟動 PortFast。有些 Router與交換機連接，采用了 Trunks協議， 這些端口不能啟動 PortFast。 在交換機連接末端主機端口上啟用 portfast 的同時，必須啟動 portfast bpduguard 功能，阻止該端口接收 BPDU 信息。當收到 BPDU 信息，該端口自動進入 errordisable 狀態(tài)。啟用 portfast BPDUguard 功能的端口不可設置 errordisable recovery 自動恢復由 BPDU產生的 errordisable，管理員可以通過 syslog獲得 errordisable的信息，然后采取人工應急動作完成恢復。 （ 2） 在接入層交換機配置 Uplinkfast 接入層交換機通過兩個不同的鏈路到根上，其中一個端口的 STP狀態(tài)為 forwarding，另一個端口為 blocking。如果 forwarding 的端口出現問題， blocking 的端口進入到 forwarding 的狀態(tài)需要 50秒。利用 Uplinkfast，交換機可以同時監(jiān)控到達主根的兩條鏈路，當 fowarding 鏈路出現問題， blocking鏈路能夠立即進入 forwarding 狀態(tài)。配置 Uplinkfast 的交換機不會成為主根。 在雙連接的接入層交換機上啟動 Uplinkfast，不要在核心交換機上 使用。避免 UplinkFast 在核心層的交換機上使用。在非 STP環(huán)路設計的交換機網上，不能使用。 思科 UDLD技術 UDLD功能設計目的是解決如下的錯誤環(huán)境（打勾的圖示）。 Q/ICBC WL 02. 101 – 2021 商密 3級 ▲ 5年 19 UDLD 監(jiān)控物理線纜的配置，在端口配置了 UDLD 后，當單向連接的情況發(fā)生時，相應的端口會被‘ ErrDisabled’，并且產生相應的 Syslog 信息。 UDLD 避免單向連接的情況發(fā)生，可以應用在光纖端口或是銅纜端口上使用 UDLD。 為避免思科交換機之間的光纖、 RJ45電纜單向中斷引起 STP處理故障，需要在所有思科交換機互連的光 纖、 RJ45電纜端口上啟用單向鏈路檢測協議（ UDLD），并配置為 aggressive 模式，并且 UDLD 不要配置自動 errdisable recovery。 思科 HSRP熱備份路由協議 思科交換機 HSRP部署原則如下： （ 1） 在核心交換機上配置三層網關，并啟用 HSRP 網關的作用是提供 Vlan間的互訪，是 Vlan和其他網絡區(qū)域通訊的接口， HSRP在思科局域網三層設計中，提供一種很好的備份措施。在連接服務器的 Vlan需要通過 HSRP方式設置網關的備份。 （ 2） HSRP的分配原則 交換機網主用核心層交換機 是局域網的 Root Bridge，從接入層交換機到其他接入層交換機或備用核心層交換機的數據包必然通過 Root Bridge 交換機，即主用核心層交換機。為使服務器以最短的路徑訪問網關，局域網內各個 Vlan的網關應建立在主用核心層交換機上。為了減少二層數據到三層跨越 2 臺核心交換機，需要將 Vlan 二層 SPANNING TREE ROOT 和三層 ACTIVE 地址均設置在同一交換機上。 附 錄 B H3C交換機私有功能配置 規(guī)范 防止 TCBPDU報文攻擊的保護功能 交換機在接收到 TCBPDU報文后，會執(zhí)行 MAC地址 表項和 ARP表項的刪除操作。在有人偽造 TCBPDU報文惡意攻擊交換機時，交換機短時間內會收到很多的 TCBPDU 報文，頻繁的刪除操作給交換機帶來很大負擔，給網絡的穩(wěn)定帶來很大隱患。 防止 TCBPDU 報文攻擊的保護功能使能后，交換機在收到 TCBPDU 報文后的一定時間內（一般為10 秒），只進行一次刪除操作，同時監(jiān)控該時間段內是否收到 TCBPDU 報文。如果在該時間段內收到了 TCBPDU 報文，則交換機在該時間超時后再進行一次刪除操作。這樣可以避免頻繁的刪除 MAC 地址表項和 ARP表項。 H3C6506R交換機 默認啟動 TCBPDU的報文攻擊保護功能。 通過 trap告警及時檢測光纖端口單通的情況 當光纖相連的兩臺 H3C交換機端口發(fā)生單通情況的時候，兩個互聯端口中的一個會變?yōu)?DOWN的狀態(tài)，具體來講就是收不到光信號的那個端口會 Down，這時有端口 down的交換機將會發(fā)送 trap告警信息給網管中心，或者通過 Display interface 來查看端口是否處于 down異常狀態(tài)，網絡管理人員就可Q/ICBC WL 02. 101 – 2021 商密 3級 ▲ 5年 20 以及時進行技術處理，減小單通故障造成的影響。 附 錄 C 常用標準協議－私有協議對照表 標準協議 思科私有協議 H3C私有協議 STP、 MSTP、 RSTP（生成樹協議） PVST/PVST+ ISL VRRP（網關熱備份協議） HSRP（思科雙機熱備份協議） RADIUS（認證鑒權計費協議） TACACS+（思科認證鑒權計費協議） NETSTREAM（網絡流信息獲取方式） NETFLOW（思科網絡流信息獲取方式） OSPF、 ISIS、 RIP等（動態(tài)路由協議） EIGRP（思科動態(tài)路由協議） GVRP(Vlan注冊協議 ) VTP協議（思科 Vlan trunk 協議） CDP（思科發(fā)現協議 ） HDP(H3C發(fā)現協議） 附 錄 D 常用服務器網卡、主機 HA連接技術說明 常用服務器網卡、 附 錄 E 中國工商銀行局域網環(huán)路故障防范及應急操作手冊 中國工商銀行局域網環(huán)路故障防范及應急操作手冊（）（20210808）.doc 附 錄 F ARP病毒防護網絡標準配置方案 及 ARP病毒防護網絡應急方案 Q/ICBC WL 02. 101 – 2021 商密 3級 ▲ 5年 21 參考文獻 無。