网络安全态势感知手册（执行版）.docxVIP

网络安全态势感知手册（执行版）

第1章网络基础架构与资产梳理

1.1网络拓扑图绘制与标识规范

拓扑图绘制需遵循“一张图、全覆盖”原则，利用Visio或Camtasia等工具构建包含核心交换机、汇聚层、接入层及无线AP的全链路拓扑，确保物理连接与逻辑路由路径清晰可辨，并标注VLANID、子网掩码及默认网关IP地址。在拓扑图节点旁统一采用IEEE802.1D定义的DDE标识符，如SW-Core-01、SW-Hub-02等，并明确区分物理网段与逻辑网段，避免不同部门使用非标准IP前缀导致的路由环路风险。

关键节点需标注运行状态指示灯颜色，例如核心交换机采用绿色表示运行正常，黄色表示拥塞，红色表示故障，并实时记录最近一次重启时间、内存占用率及CPU负载百分比。所有接入层设备需明确划分至不同的安全VLAN，例如办公网段划入VLAN100，访客网划入VLAN200，通过端口安全协议限制单端口接入设备数量，防止非法设备接入核心层。拓扑图必须包含链路聚合（LACP）的绑定关系图，展示如GigabitEthernet0/0/1与0/0/2绑定为F0/0:1的逻辑接口，以便在发生单点故障时自动切换至备用链路，保障业务连续性。

绘制完成后需进行逻辑校验，检查是否存在跨VLAN的直连链路，若存在需配置三层路由或三层交换