安防行业信息科运维员网络维护工作手册.docxVIP

安防行业信息科运维员网络维护工作手册

第1章

1.1核心交换机配置与VLAN划分策略

在部署前，需根据网络规划文件将物理端口划分为逻辑VLAN，例如将办公区、会议室及访客区分别定义为VLAN10、VLAN20和VLAN30，并配置对应的VLANID进入端口，确保不同业务流量在二层隔离。配置trunk端口时，必须明确指定允许通过的VLAN列表（如允许VLAN10,20,30），并设置VLAN间Trunk协商模式为PAgp或MSTP，防止不同厂商设备间的VLANID漂移导致广播风暴。

为所有接入层交换机划分静态VLAN映射，确保端口VLAN与端口号严格对应，避免使用动态VLAN协议因用户密码泄露导致的安全风险，同时配置端口安全特性限制MAC地址数量（默认2个）和违规学习行为。在核心交换机上启用端口隔离（PortIsolation）功能，禁止同一VLAN内不同端口间的二层通信，仅允许三层路由，从而在物理层面切断跨端口广播攻击路径。配置端口速率自适应与流控机制，根据业务流量特征自动调整端口速率（如100Mbps/1Gbps），并在链路层开启CRC校验和流量整形，防止单台设备突发流量导致链路拥塞。

定期执行交换机端口健康检查脚本，统计并上报“错误禁用”、“错误对等”及“错误流”等统计信息，一旦检