安防行业网安部安全工程师网络安全防护手册.docxVIP

安防行业网安部安全工程师网络安全防护手册

第1章

1.1核心网络拓扑设计与冗余部署

核心交换机作为网络架构的“心脏”，必须采用多层冗余设计以防止单点故障导致全网瘫痪。在物理层，建议采用双路供电冗余（DUPS）或双电源模块（UPS）供电，确保在60秒内完成市电切换，避免设备重启。在逻辑层，应部署链路聚合（LACP）技术，将两台核心交换机之间的4根千兆/万兆光纤捆绑为逻辑链路，将16个端口配置为8个端口组，实现链路聚合，确保单根光纤中断时流量仍可正常转发，平均恢复时间（MTTR）控制在30秒以内。在背板带宽设计上，核心交换机背板需支持100Gbps以上的线速转发能力，避免CPU因处理过多包而拥塞。在存储背板方面，必须配置RD10阵列，将16个4盘位的硬盘组成16个2盘位的热备组，当发生硬盘故障时，系统可在1分钟内自动重建镜像，确保业务零中断。同时，需启用双路存储控制器（DualController）和双路电源模块（DualPowerSupply），实现硬件级的双活状态。

网络链路需严格划分VLAN并实施基于MAC地址的端口安全策略。在接入层与核心层之间，部署三层交换机，其CPU性能应达到16核以上，内存不低于32GB，以支持复杂的路由计算和深度包检测。在配置上，必须关闭默认的管理接口（如VTY0