金融行业科技部运维员防火墙配置手册.docx

金融行业科技部运维员防火墙配置手册

第1章基础架构与网络拓扑设计

1.1核心交换机端口规划与VLAN划分

在金融核心网段中，首先需划分802.1QVLAN以隔离不同业务，例如将交易业务（VLAN100）与核心管理业务（VLAN200）完全分离，确保攻击无法跨VLAN横向移动。针对金融级高可用性要求，核心交换机应至少配置4个冗余上行链路，采用双机热备或链路聚合（LACP）模式，确保单点故障时业务零中断。

物理端口规划需遵循“动静分离”原则，将高频交易端口（如千兆电口）置于核心层，而低频日志采集端口（如万兆光口）置于接入层并做物理上隔离。每个核心交换机端口必须