信息技术运维部工程师网络安全维护手册.docxVIP

信息技术运维部工程师网络安全维护手册

第1章网络基础架构与拓扑管理

1.1核心网络设备配置与维护

交换机端口物理连接检查：在接入层交换机上，使用`displayport-channel`命令查看端口通道状态，确保所有物理链路灯呈绿色，并确认端口类型（如GigabitEthernet）已正确绑定至对应的VLANID（如VLAN10或20），避免跨VLAN直连导致广播风暴。核心交换机路由协议配置：在核心交换机上启用OSPF协议并配置`routerospf1`，通过`network55area0`命令宣告骨干网段，确保网关IP地址（如）与路由表项匹配，防止路由环路。

核心交换机ACL策略下发：在核心层应用策略，通过`aclnumber10000`定义源IP为/8且目的IP为管理网段/24的流量，使用`rule10`匹配并执行`deny`动作，将非法访问丢弃，仅允许授权管理流量通过。接口安全加固与防攻击：在核心接口下关闭默认ACL并启用`ipospfpriority1`命令，确保该接口作为默认网关拥有最高优先级，防止外部攻击者通过伪造OSPF邻居关系绕过安全策略。设备日志审计与告警配置：在设备上开启`syslog`服务并配置`syslog-server`指向