數據 vlan

語音 vlan

GVRP（VLAN 動態註冊協議，保證所有交換機 VLAN 信息的統一性）

STP

防止環路冗余

配置 STP的工作模式為 MSTP,不同 vlan 映射不同或者相同的生成樹實例（單核心一般為一個實例，多核心建議多個實例）

為生成樹實例配置根橋或者修改優先級，達到指定根橋的目的

配置 BPDU 保護（防止針對 stp 的×××，導致網絡震蕩，配置於接入交換機上）

配置環路保護功能（防止網絡擁塞導致環路，配置於設備間的互聯接口）

DHCP

動態分配 IP 地址

DHCP Snoopping（防止非法 DHCP 服務器）

ARP detection（防止 ARP 欺騙）

基於 DHCP Snooping（附加效果---禁止配置固定 IP 地址）

定時發送免費ARP（網關設備配置、增加 ARP 的健壯性）

配置 ARP 的老化時間（默認20分鐘）

對於固定 IP 需要配置基於規則的 IP-mac 檢查

MAC 地址配置

限制每個端口可以學到的 MAC 地址數量（防止 MAC 泛洪，普通端口建議限制在5個以內）

限制 MAC 地址的老化時間

QOS 配置

對關鍵數據流做 SP 隊列

QOS 一般是在數據流量大的接口上配置

SYN Cookie

SYN Cookie 功能用來防止SYN Flood ×××。當服務器收到TCP 連接請求時，不建立TCP 半連接，

而直接向發起者回復SYN ACK 報文。服務器接收到發起者回應的ACK 報文後，才建立連接，並進

入ESTABLISHED 狀態。通過這種方式，可以避免在服務器上建立大量的TCP 半連接，防止服務

器受到SYN Flood ×××。

SSH2.0

安全管理

企業局域網必須開啟的基本安全交換功能