43

2.配置实现三层 IP 业务承载的裸光缆通道最大传输单元为 1700Bytes，满

足后续集团双 DC VXLAN、EVPN 等新技术应用。

3.目前设计实现二层业务承载的只有一条裸光缆通道，随着集团 1DC服务

器数量快速扩容，预计未来 2-3 年集团 1DC与 2DC间服务器大二层流量会呈

现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份，编号为 1。

4.配置核心交换机 SW-1、SW-2、SW-3 采用源、目的 IP 进行实现流量负载分

担。

5.核心交换机 SW-3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令，

模拟接口 UP，方便后续业务验证与测试。

(三)核心交换机 SW-1 和核心交换机 SW-2 针对营销业务网段的每个物理接口限制收、发数据占用的带宽分别为 100Mbps、90Mbps；针对产品业务网段的每

个物理接口限制所有报文最大收包速率为 100packets/s，如果超过了设置交换

机端口的报文最大收包速率则关闭此端口，10 分钟后再恢复此端口，来保证交

换机对其他业务的正常处理。

(四)要求禁止配置访问控制列表，实现核心交换机 SW-3 法务业务对应的物

理端口间二层流量无法互通；针对 SW-3 人力业务配置相关特性，每个端口只允

许的最大安全 MAC 地址数为 1，当超过设定 MAC 地址数量的最大值，不学习新的

MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时

器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留；配

置相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦截，开启日

志记录功能，采样周期 10s 一次，恢复周期为 2 分钟，从而保障 CPU 稳定运行。

(五)核心交换机 SW-1、SW-2、SW-3 分别配置简单网络管理协议，计划启用

V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、

62003；创建认证用户为DCN2021，采用3des算法进行加密，密钥为：Dcn20212021，

哈希算法为 SHA，密钥为：Dcn20212021；加入组 DCN，采用最高安全级别；配置

组的读、写视图分别为：Dcn2021_R、Dcn2021_W；当设备有异常时，需要使用本

地的环回地址 Loopback2 发送 Trap 消息至集团网管服务器 10.50.15.120、

2001:10:50:15::120，采用最高安全级别；当人力部门对应的用户接口发生

UP/DOWN 事件时禁止发送 trap 消息至上述集团网管服务器。

(六)使用相关技术将核心交换机 SW-1、核心交换机 SW-3 模拟为 Internet

交换机，实现与集团其它业务网段路由表隔离，Internet 路由表位于 VPN 实例

名称 Internet 内。