银行网络应急预案.docx
- 文档编号:23766011
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:52
- 大小:52.12KB
银行网络应急预案.docx
《银行网络应急预案.docx》由会员分享,可在线阅读,更多相关《银行网络应急预案.docx(52页珍藏版)》请在冰豆网上搜索。
银行网络应急预案
银行网络应急方案
XX股份有限公司
网络与安全服务部
2012年2月
目录
一、银行网络结构拓扑2
二、骨干网通信故障2
1.故障处理人员2
2.电信、联通网络通信故障2
3.通信故障恢复2
4.到总行路由器故障3
5.路由器故障处理3
三、核心交换机故障应急5
1.一台4506交换机故障应急5
2.当核心交换同时瘫痪在20分钟内保证业务正常运作8
四、第三方外联区网络应急30
1.第三方业务银联区网络应急30
五、联系方式:
96
一、银行网络结构拓扑
二、骨干网通信故障
1.故障处理人员
参与人:
XX、XX、XX
2.电信、联通网络通信故障
根据到总行的两台cisco7206路由器的日志以及实际登陆设备使用showintATM4/0.1、ping对端地址、showiproute、showlog,查看上述相关设备和线路是否有反复重起、误码率高、异常路由、错误连接等情况即可确认故障。
3.通信故障恢复
恢复步骤:
1)重启故障新路相连路由器,看是否能够自动恢复
2)断电重起无法解决故障的,停止使用故障设备和线路,防止其影响网络其他部分。
3)如系线路故障通知各有关方面(逐项对照处理):
•如为中国电信线路故障,向31000000报修,并通知分行办公室相关人员
•如为中国联通线路故障,向XXXX报修,并通知分行办公室相关人员。
4.到总行路由器故障
查看日志,检查设备故障前的异常日志信息;登陆路由器使用showlog,show
ipintbrie,showprocesscpuhis,showiproute,ping对端地址等命令
来确认故障。
5.路由器故障处理
一旦发现到总行7206路由器故障可按以下步骤来处理:
•联系XX公司,并启动原厂商保修服务备件更换程序。
•因为两台7206路由器是互为备份的,一台发生故障不影响实际业务,不调用库房备件和集成商备件更换,等待原厂商备件到达。
•对于能够在线插拔的接口模块、有standby的引擎和电源,优先使用在线更换方式。
在线更换的具体操作流程如下:
a)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
b)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
c)对故障模块上连接的线缆做好标记,小心拔下;
d)做好安全接地,拔下故障模块;
e)检查设备和模块状态,确认是否影响整个设备或其他模块正常运行,standby
模块是否正常接管;
f)做好安全接地,插上更换的备件模块;
g)检查设备和模块状态,确认是否能够正常识别新模块,是否影响其他模块运行;
h)按原样插上线缆;
i)检查线缆连接状态正常;
j)确认备件更换成功。
l对于机箱、不能在线插拔的接口模块、或者没有standby的引擎和电源,采用下电更换方式。
下电更换的具体操作流程如下:
a)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
b)准备好原先使用的系统软件,备用;
c)故障设备下电;
d)对需要拔除的线缆做好标记,小心拔下。
如果机箱或引擎更换,需拔除所有连接线缆;
e)更换备件;
f)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
g)设备上电;
h)检查系统自检情况,确认无硬件故障;
i)安装系统软件;
j)恢复系统配置;
k)冷启动,确认软硬件正常工作;
l)按原样插上其他线缆;
m)检查线缆连接状态正常;
n)确认备件更换成功。
三、核心交换机故障应急
1.一台4506交换机故障应急
查看日志,检查设备故障前的异常日志信息;登陆交换机使用showlog,show
ipintbrie,showprocesscpuhis,showiproute,ping对端地址,showvlanbrie,showvtpstat,showprocessmem,showmodul,showdiag,showipeigrpnei,showcdpnei等一系列命令来查找、确认故障。
因为两台4506核心交换机完全是热备的双机,所以一台发生故障并不影响业务运行。
对于配置问题要制定正确的更改配置脚本,备份当前配置以后实施更改;对于线路问题的要制作新网线,替换故障的网线;对于硬件问题要练习XX公司,申
请硬件故障维修。
对于能够在线插拔的接口模块、有standby的引擎和电源,优先使用在线更换方式。
在线更换的具体操作流程如下:
a)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
b)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
c)对故障模块上连接的线缆做好标记,小心拔下;
d)做好安全接地,拔下故障模块;
e)检查设备和模块状态,确认是否影响整个设备或其他模块正常运行,standby模块是否正常接管;
f)做好安全接地,插上更换的备件模块;
g)检查设备和模块状态,确认是否能够正常识别新模块,是否影响其他模块运行;
h)按原样插上线缆;
i)检查线缆连接状态正常;
j)确认备件更换成功。
l对于机箱、不能在线插拔的接口模块、或者没有standby的引擎和电源,采用下电更换方式。
下电更换的具体操作流程如下:
a)准备好存档的系统配置,备用。
如有可能,同时保存当前系统配置;
b)准备好原先使用的系统软件,备用;
c)故障设备下电;
d)对需要拔除的线缆做好标记,小心拔下。
如果机箱或引擎更换,需拔除所有连接线缆;
e)更换备件;
f)用笔记本电脑连接在网络设备的Console上,启动Console监控和记录;
g)设备上电;
h)检查系统自检情况,确认无硬件故障;
i)安装系统软件;
j)恢复系统配置;
k)冷启动,确认软硬件正常工作;
l)对于交换机要将VTP设置为Client模式,首先连接上行线缆,确认VTP复制正确;
m)按原样插上其他线缆;
n)检查线缆连接状态正常;
o)确认备件更换成功
2.当核心交换同时瘫痪在20分钟内保证业务正常运作
现有2台备用的cisco3550,在两台核心cisco4506同事瘫痪后,将其作为核心交换来保证业务的正常运作,同时保持原有的网络拓扑及网络核心的安全策略和qos。
3550核心交换配置定义
设备命名
hostnameproduction
使用支持动态路由协议的
设备软件版本
IOS:
c3550-i5k2l2q3-mz.121-13.EA1a.bin
Vlan定义
Fa0/38,
Fa0/42,
Fa0/36
Fa0/37,
Fa0/39,Fa0/40
Fa0/41,
Fa0/43,Fa0/44
Fa0/47,Fa0/48
2vlan0002
Fa0/25,Fa0/34
activeFa0/10,Fa0/21,
Gi0/1,Gi0/2
3vlan0003
activeFa0/5,
Fa0/8,
Fa0/11,
Fa0/19,
Fa0/12
Fa0/17,
Fa0/20,Fa0/22
Fa0/29,
Fa0/28,
Fa0/30,Fa0/32
4
vlan0004
active
Fa0/13,Fa0/18,
Fa0/27
5
vlan0005
active
Fa0/7
6
vlan0006
active
10
vlan0010
active
Fa0/4,Fa0/6,Fa0/14
20
vlan0020
active
30
vlan0030
active
40vlan0040active
50VLAN0050active
60VLAN0060active
63vlan0063active
Fa0/31
Fa0/33
196vlan196active
Ip地址分配及hsrp
interfaceVlan1
noipaddress
noipredirects
shutdown
standby10preempt
interfaceVlan2
ipaddress10.20.191.2255.255.255.0
ipaccess-group101in
noipredirects
standby20ip10.20.191.1
standby20priority150
standby20preempt
!
interfaceVlan3
ipaddress10.20.189.2255.255.255.0
ipaccess-group101in
noipredirects
standby30preempt
interfaceVlan4
ipaddress10.20.187.66255.255.255.192noipredirects
standby40ip10.20.187.65
standby40priority150
standby40preempt
!
interfaceVlan5
ipaddress10.20.187.2255.255.255.192noipredirects
standby50ip10.20.187.1
standby50priority150
interfaceVlan6
noipaddress
noipredirects
shutdown
standby60ip10.20.185.3
standby60priority150
standby60preempt
!
interfaceVlan10
ipaddress10.20.0.2255.255.255.0
ipaccess-group103in
noipredirects
standby100ip10.20.0.1
standby100timers515
standby100trackVlan1050
interfaceVlan20
noipaddress
noipredirects
standby110timers515
standby110priority150
standby110preempt
standby110trackVlan2050
interfaceVlan30
noipaddress
ipaccess-group101in
noipredirects
shutdown
standby120timers515
standby120priority200
standby120preempt
standby120trackVlan3050!
interfaceVlan40
noipaddress
ipaccess-group101in
noipredirects
shutdown
standby130ip10.20.197.100
standby130timers515
standby130priority150
standby130preempt
interfaceVlan50
ipaddress10.20.1.2255.255.255.0
iphelper-address10.20.0.10
noipredirects
standby150ip10.20.1.1
standby150timers515
standby150priority150
standby150preempt
standby150trackVlan150
!
interfaceVlan63
noipaddress
noipredirects
!
interfaceVlan128
ipaccess-group101in
noipredirects
standby160ip10.20.128.8
standby160timers515
standby160priority150
standby160preempt
standby160trackVlan12850
!
interfaceVlan150
noipaddress
shutdown
!
interfaceVlan195
ipaddress10.20.195.2255.255.255.0
noipredirects
standby195ip10.20.195.1
standby195priority150
standby195preempt
!
interfaceVlan196
noipaddress
noipredirects
shutdown
standby196ip10.20.196.1
standby196priority100
standby196preempt
!
interfaceVlan255
ipaddress10.20.255.2255.255.255.0
noipredirects
standby255ip10.20.255.1
standby255preempt
路由策略
routereigrp20
redistributestatic
network10.20.0.00.0.255.255
noauto-summary
noeigrplog-neighbor-changes
iproute0.0.0.00.0.0.010.20.191.18
iproute10.20.9.1255.255.255.25510.20.191.18
iproute10.20.9.111255.255.255.25510.20.191.18
iproute10.20.184.0255.255.255.010.20.191.18
iproute10.20.186.0255.255.255.010.20.191.18
iproute10.20.186.245255.255.255.25510.20.191.18
iproute10.20.210.3255.255.255.25510.20.255.15
iproute10.20.210.4255.255.255.25510.20.255.16
iproute10.20.210.11255.255.255.25510.20.191.18
iproute10.20.210.12255.255.255.25510.20.191.18
iproute10.20.210.13255.255.255.25510.20.191.18
iproute10.20.210.14255.255.255.25510.20.191.18interfaceVlan2
ipaddress10.20.191.2255.255.255.0
ipaccess-group101in
interfaceVlan3
ipaddress10.20.189.2255.255.255.0
ipaccess-group101in
interfaceVlan30
noipaddress
ipaccess-group101in
interfaceVlan40
noipaddress
interfaceVlan128
ipaddress10.20.128.4255.255.255.0
ipaccess-group101in
access-list101permitiphost10.20.0.240host10.20.186.246
access-list101permitiphost10.20.0.240host10.20.186.245
access-list
101
deny
ip
192.168.0.0
0.0.255.255
10.0.128.0
0.255.63.255
access-list
101
deny
ip
192.168.0.0
0.0.255.255
172.16.0.0
0.0.255.255
access-list
101
deny
ip
192.168.0.0
0.0.255.255
10.0.192.0
0.255.63.255
access-list
101denyip
10.0.0.0
0.255.63.255
10.0.128.0
0.255.63.255
access-list
101denyip
10.0.0.0
0.255.63.255
172.16.0.0
0.0.255.255
access-list
101denyip
10.0.0.0
0.255.63.255
10.0.192.0
0.255.63.255
access-list101permitipanyany
interfaceVlan10
ipaccess-group103in
access-list103permitiphost10.20.0.245host10.20.184.10access-list103permitiphost10.20.0.240host10.20.184.10access-list103permitiphost10.20.0.240host10.20.186.246access-list103permitiphost10.20.0.240host10.20.186.245access-list103permitiphost10.20.0.245host10.20.184.18access-list103permitiphost10.20.0.240host10.20.184.18access-list103permitiphost10.20.0.245host10.20.184.12access-list103permitiphost10.20.0.240host10.20.184.5access-list103permitiphost10.20.0.21host10.20.184.20access-list103permitip10.20.0.00.0.0.255host10.20.184.3access-list103permitip10.20.0.00.0.0.255host10.20.184.4access-list103permitip10.20.0.00.0.0.255host10.20.184.7access-list103permitip10.20.0.00.0.0.255host10.20.184.30access-list103permitip10.20.0.00.0.0.255host10.20.184.13
access-list103permitip10.20.0.00.0.0.255host10.20.184.16access-list103permitip10.20.0.00.0.0.255host10.20.184.20access-list103permitip10.20.2.00.0.0.255host10.20.184.13access-list103permitip10.20.3.00.0.0.255host10.20.184.13access-list103permitip10.20.0.00.0.0.255host10.20.184.17access-list103permitiphost10.20.0.245host10.20.184.19access-list103permitiphost10.20.0.240host10.20.184.19
access-list
103
deny
ip
192.168.0.0
0.0.255.255
10.0.128.0
0.255.63.255
access-list
103
deny
ip
192.168.0.0
0.0.255.255
172.16.0.0
0.0.255.255
access-list
103
deny
ip
192.168.0.0
0.0.255.255
10.0.192.0
0.255.63.255
access-list
103deny
ip
10.0.0.0
0.255.63.255
10.0.128.0
0.255.63.255
access-list
103deny
ip
10.0.0.0
0.255.63.255
172.16.0.0
0.0.255.255
access-list
103deny
ip
10.0.0.0
0.255.63.255
10.0.192.0
0.255.63.255
access-list103permitipanyany
Qos
作为核心交换机无需在此配置qos
安全策略
aaanew-model
aaaauthenticationloginspdb-acsgrouptacacs+enableaaaaccountingexecspdb-acsstart-stopgrouptacacs+aaaaccountingcommands0spdb-acsstart-stopgrouptacacs+aaaaccountingcommands1spdb-acsstart-stopgrouptacacs+aaaaccountingcommands2spdb-acsstart-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 网络 应急 预案