银行网络应急预案.docx
《银行网络应急预案.docx》由会员分享,可在线阅读,更多相关《银行网络应急预案.docx(45页珍藏版)》请在冰豆网上搜索。
银行网络应急预案
银行网络应急方案
XX股份有限公司
网络与安全服务部
2012年2月
一、银行网络结构拓扑3
二、骨干网通信故障3
1.故障处理人员3
2.电信、联通网络通信故障3
3.通信故障恢复3
4.到总行路由器故障4
5.路由器故障处理4
三、核心交换机故障应急5
1.一台4506交换机故障应急5
2.当核心交换同时瘫痪在20分钟内保证业务正常运作7
四、第三方外联区网络应急19
1.第三方业务银联区网络应急19
2.其它第三方业务区网络应急46
五、联系方式:
56
一、银行网络结构拓扑
二、骨干网通信故障
1.故障处理人员
参与人:
XX、XX、XX
2.电信、联通网络通信故障
根据到总行的两台cisco7206路由器的日志以及实际登陆设备使用showintATM4/0.1、ping对端地址、showiproute、showlog,查看上述相关设备和线路是否有反复重起、误码率高、异常路由、错误连接等情况即可确认故障。
3.通信故障恢复
恢复步骤:
1)重启故障新路相连路由器,看是否能够自动恢复
2)断电重起无法解决故障的,停止使用故障设备和线路,防止其影响网络其他部分。
3)如系线路故障通知各有关方面(逐项对照处理):
●如为中国电信线路故障,向报修,并通知分行办公室相关人员。
●如为中国联通线路故障,向XXXX报修,并通知分行办公室相关人员。
4.到总行路由器故障
查看日志,检查设备故障前的异常日志信息;登陆路由器使用showlog,showipintbrie,showprocesscpuhis,showiproute,ping对端地址等命令来确认故障。
5.路由器故障处理
一旦发现到总行7206路由器故障可按以下步骤来处理:
●联系XX公司,并启动原厂商保修服务备件更换程序。
●因为两台7206路由器是互为备份的,一台发生故障不影响实际业务,不调用库房备件和集成商备件更换,等待原厂商备件到达。
●对于能够在线插拔的接口模块、有standby的引擎和电源,优先使用在线更换方式。
在线更换的具体操作流程如下:
a)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
b)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
c)对故障模块上连接的线缆做好标记,小心拔下;
d)做好安全接地,拔下故障模块;
e)检查设备和模块状态,确认是否影响整个设备或其他模块正常运行,standby模块是否正常接管;
f)做好安全接地,插上更换的备件模块;
g)检查设备和模块状态,确认是否能够正常识别新模块,是否影响其他模块运行;
h)按原样插上线缆;
i)检查线缆连接状态正常;
j)确认备件更换成功。
l对于机箱、不能在线插拔的接口模块、或者没有standby的引擎和电源,采用下电更换方式。
下电更换的具体操作流程如下:
a)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
b)准备好原先使用的系统软件,备用;
c)故障设备下电;
d)对需要拔除的线缆做好标记,小心拔下。
如果机箱或引擎更换,需拔除所有连接线缆;
e)更换备件;
f)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
g)设备上电;
h)检查系统自检情况,确认无硬件故障;
i)安装系统软件;
j)恢复系统配置;
k)冷启动,确认软硬件正常工作;
l)按原样插上其他线缆;
m)检查线缆连接状态正常;
n)确认备件更换成功。
三、核心交换机故障应急
1.一台4506交换机故障应急
查看日志,检查设备故障前的异常日志信息;登陆交换机使用showlog,showipintbrie,showprocesscpuhis,showiproute,ping对端地址,showvlanbrie,showvtpstat,showprocessmem,showmodul,showdiag,showipeigrpnei,showcdpnei等一系列命令来查找、确认故障。
因为两台4506核心交换机完全是热备的双机,所以一台发生故障并不影响业务运行。
对于配置问题要制定正确的更改配置脚本,备份当前配置以后实施更改;对于线路问题的要制作新网线,替换故障的网线;对于硬件问题要练习XX公司,申请硬件故障维修。
对于能够在线插拔的接口模块、有standby的引擎和电源,优先使用在线更换方式。
在线更换的具体操作流程如下:
a)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
b)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
c)对故障模块上连接的线缆做好标记,小心拔下;
d)做好安全接地,拔下故障模块;
e)检查设备和模块状态,确认是否影响整个设备或其他模块正常运行,standby模块是否正常接管;
f)做好安全接地,插上更换的备件模块;
g)检查设备和模块状态,确认是否能够正常识别新模块,是否影响其他模块运行;
h)按原样插上线缆;
i)检查线缆连接状态正常;
j)确认备件更换成功。
l对于机箱、不能在线插拔的接口模块、或者没有standby的引擎和电源,采用下电更换方式。
下电更换的具体操作流程如下:
a)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
b)准备好原先使用的系统软件,备用;
c)故障设备下电;
d)对需要拔除的线缆做好标记,小心拔下。
如果机箱或引擎更换,需拔除所有连接线缆;
e)更换备件;
f)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
g)设备上电;
h)检查系统自检情况,确认无硬件故障;
i)安装系统软件;
j)恢复系统配置;
k)冷启动,确认软硬件正常工作;
l)对于交换机要将VTP设置为Client模式,首先连接上行线缆,确认VTP复制正确;
m)按原样插上其他线缆;
n)检查线缆连接状态正常;
o)确认备件更换成功。
2.当核心交换同时瘫痪在20分钟内保证业务正常运作
现有2台备用的cisco3550,在两台核心cisco4506同事瘫痪后,将其作为核心交换来保证业务的正常运作,同时保持原有的网络拓扑及网络核心的安全策略和qos。
3550核心交换配置定义
设备命名
hostnameproduction
设备软件版本
使用支持动态路由协议的IOS:
c3550-i5k2l2q3-mz.121-13.EA1a.bin
Vlan定义
1defaultactiveFa0/1,Fa0/2,Fa0/35,Fa0/36
Fa0/37,Fa0/38,Fa0/39,Fa0/40
Fa0/41,Fa0/42,Fa0/43,Fa0/44
Fa0/45,Fa0/46,Fa0/47,Fa0/48
2vlan0002activeFa0/10,Fa0/21,Fa0/25,Fa0/34
Gi0/1,Gi0/2
3vlan0003activeFa0/5,Fa0/8,Fa0/11,Fa0/12
Fa0/17,Fa0/19,Fa0/20,Fa0/22
Fa0/28,Fa0/29,Fa0/30,Fa0/32
4vlan0004activeFa0/13,Fa0/18,Fa0/27
5vlan0005activeFa0/7
6vlan0006active
10vlan0010activeFa0/4,Fa0/6,Fa0/14
20vlan0020active
30vlan0030active
40vlan0040active
50VLAN0050active
60VLAN0060active
63vlan0063active
128vlan0128activeFa0/3,Fa0/24,Fa0/26,Fa0/31
Fa0/33
195vlan195activeFa0/16,Fa0/23
196vlan196active
255VLAN0255activeFa0/9,Fa0/15
Ip地址分配及hsrp
interfaceVlan1
noipaddress
noipredirects
shutdown
standby10priority100
standby10preempt
!
interfaceVlan2
ipaccess-group101in
noipredirects
standby20priority150
standby20preempt
!
interfaceVlan3
ipaccess-group101in
noipredirects
standby30priority150
standby30preempt
!
interfaceVlan4
noipredirects
standby40priority150
standby40preempt
!
interfaceVlan5
noipredirects
standby50priority150
standby50preempt
!
interfaceVlan6
noipaddress
noipredirects
shutdown
standby60priority150
standby60preempt
!
interfaceVlan10
ipaddress10.20.0
ipaccess-group103in
noipredirects
standby100ip10.20.0.1
standby100timers515
standby100priority200
standby100preempt
standby100trackVlan1050
!
interfaceVlan20
noipaddress
noipredirects
standby110timers515
standby110priority150
standby110preempt
standby110trackVlan2050
!
interfaceVlan30
noipaddress
ipaccess-group101in
noipredirects
shutdown
standby120timers515
standby120priority200
standby120preempt
standby120trackVlan3050
!
interfaceVlan40
noipaddress
ipaccess-group101in
noipredirects
shutdown
standby130timers515
standby130priority150
standby130preempt
standby130trackVlan4050
!
interfaceVlan50
ipaddress10.20.1
iphelper-address10.20.0.10
noipredirects
standby150ip10.20.1.1
standby150timers515
standby150priority150
standby150preempt
standby150trackVlan150
!
interfaceVlan63
noipaddress
noipredirects
!
interfaceVlan128
ipaccess-group101in
noipredirects
standby160timers515
standby160priority150
standby160preempt
standby160trackVlan12850
!
interfaceVlan150
noipaddress
shutdown
!
interfaceVlan195
noipredirects
standby195priority150
standby195preempt
!
interfaceVlan196
noipaddress
noipredirects
shutdown
standby196priority100
standby196preempt
!
interfaceVlan255
noipredirects
standby255priority200
standby255preempt
路由策略
routereigrp20
redistributestatic
network10.20.0
noauto-summary
noeigrplog-neighbor-changes
iproute0.0.0
iproute10.20.9
iproute10.20.9
interfaceVlan2
ipaccess-group101in
interfaceVlan3
ipaccess-group101in
interfaceVlan30
noipaddress
ipaccess-group101in
interfaceVlan40
noipaddress
ipaccess-group101in
interfaceVlan128
ipaccess-group101in
access-list101permitiphost10.20.0
access-list101permitiphost10.20.0
access-list101denyip10.0.0
access-list101denyip10.0.0
access-list101denyip10.0.0
access-list101permitipanyany
interfaceVlan10
ipaddress10.20.0
ipaccess-group103in
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.0
access-list103permitip10.20.2
access-list103permitip10.20.3
access-list103permitip10.20.0
access-list103permitiphost10.20.0
access-list103permitiphost10.20.0
access-list103denyip10.0.0
access-list103denyip10.0.0
access-list103denyip10.0.0
access-list103permitipanyany
Qos
作为核心交换机无需在此配置qos
安全策略
aaanew-model
aaaauthenticationloginspdb-acsgrouptacacs+enable
aaaaccountingexecspdb-acsstart-stopgrouptacacs+
aaaaccountingcommands0spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands1spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands2spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands3spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands4spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands5spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands6spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands7spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands8spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands9spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands10spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands11spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands12spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands13spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands14spdb-acsstart-stopgrouptacacs+
aaaaccountingcommands15spdb-acsstart-stopgrouptacacs+
iptacacssource-interfaceLoopback0
tacacs-serverkeys9y8
loggingtrapdebugging
loggingsource-interfaceLoopback0
linevty04
exec-timeout50
accountingcommands0spdb-acs
accountingcommands1spdb-acs
accountingcommands2spdb-acs
accountingcommands3spdb-acs
accountingcommands4spdb-acs
accountingcommands5spdb-acs
accountingcommands6spdb-acs
accountingcommands7spdb-acs
accountingcommands8spdb-acs
accountingcommands9spdb-acs
accountingcommands10spdb-acs
accountingcommands11spdb-acs
accountingcommands12spdb-acs
accountingcommands13spdb-acs
accountingcommands14spdb-acs
accountingcommands15spdb-acs
accountingexecspdb-acs
loginauthenticationspdb-acs
网管配置
snmp-servercommunitypublicRO
snmp-servercommunityreadRO10
snmp-servertrap-sourceLoopback0
snmp-serverenabletrapssnmpauthenticationwarmstart
snmp-serverenabletrapsconfig
snmp-serverenabletrapsentity
snmp-serverenabletrapsrtr
snmp-serverenabletrapsvtp
其他配置
servicetimestampsdebugdatetimelocaltimeshow-timezone
servicetimestampslogdatetimelocaltimeshow-timezone
servicepassword-encryption
noipdomain-lookup
ipcefload-sharingalgorithmoriginal
clocktimezoneBJT8
ntpsourceLoopback0
monitorsession1sourcevlan1,10,192rx
monitorsession1destinationi