信息技术管理与信息安全手册（执行版）.docxVIP

信息技术管理与信息安全手册（执行版）

第1章信息技术基础设施管理

1.1网络架构设计与规划

在规划初期，需依据《网络架构设计规范》(GB/T50311-2016)明确核心交换机的冗余配置，确保在主链路故障时，核心交换机的背板带宽利用率不超过30%，同时配置双电源模块并配备UPS不间断电源，保证至少4小时以上的持续供电能力。设计时需遵循“核心-汇聚-接入”三层架构，将骨干网带宽分配给核心层，汇聚层带宽分配给汇聚层，接入层带宽分配给接入层，其中接入层端口速率应支持千兆或万兆以太网，并部署VLAN标记技术以隔离广播域，防止二层广播风暴影响业务。

规划阶段必须实施IP地址的静态分配策略，严禁使用DHCP动态分配公网IP，确保所有服务器、防火墙及网关设备拥有固定的公网IP地址，并配置静态ARP缓存表项，避免IP地址冲突和ARP欺骗攻击导致网络中断。在链路层设计上，需部署链路聚合技术（如LACP）将两台核心交换机链路捆绑，使总带宽达到100Gbps以上，并配置树协议（STP）的根桥选举机制，将根桥选举为边缘设备，防止单点故障导致网络环路。网络设备固件版本需严格控制在安全阈值内，所有网络设备固件版本应更新至厂商官方发布的最新版本，且固件升级前需进行全量备份，升级过程中需关闭非必要的网络接口以防止配置漂移。

网络拓扑图需