网络设备故障风险及其应急处理方案.doc

网络设备故障风险及其应急处理方案绎如金骷越J=垂InRhNCIALCOMPUTEROAUAN.网络与安全技术2006年1月10日第1期囡网络设备故障风险及其应急处理方案中国人民银行新乡市中心支行徐洪健一,问题的提出目前,大额支付,信贷登记咨询,同城清算等重要系统已在内联网上正式运行,它们对业务要求细,对技术要求精,而且风险责任大,都是建立在网络通信平台上的工作,对网络各方面要求极高,任何一个节点出现问题都将影响到全局工作的开展,这给科技部门的网络保障工作提出了很高的要求.考虑到目前许多关键网络设备没有备份,一旦设备发生故障或维修周期过长,势必会直接影响到大额支付和其它的重要业务.我们经过摸索和反复试验,将网络设备发生故障时的应急处理方法介绍给大家,由于各地市的网络拓扑图并不完全一样,此方案仅供大家参考.二,网络结构拓扑图中国人民银行新乡市中心支行网络结构拓扑图如下所示:郑州SDH县行SDH线路线路专业行SDH线路网络结构拓扑图注:中支有淘汰下的Cisco4550,Cisco2509路由器各一台.嗣兰,设备故障处理方案(一),路由器故障1.Cisco3640路由器故障当CiSCO3640路由器发生故障时,中心支行内部与广域网通信中断,内部数据无法上行至郑州和下行至县行.此时可以采用以下两个方案进行解决.方案一:在BD2641路由器上添加一个NM一4T模块(可提前购置一个NM一4T模块做备份或使用郑州中心支行备机上的模块).如果路由器上端口不够,可采用方法二.配置方法:(1),将网通公司线路接入新增NM一4T模块.(2),将博达路由器局口地址改为原3640路由器局口地址.(3),将博达路由器局口与4006核心交换机连接.(4),在博达路由器配置到4006核心交换机各Vlan的静态路由.(5),将博达路由器与郑州通信的广口地址改为原3640路由器广口地址,应用QoS.(6),重新设置博达路由器的ospf动态路由.方案二:使用闲置路由器如Cisco4500或Cisco2501,Cisco2509等作为替代产品,对其局域网口和广域网口进行配置后,可以保持与上级行的通信,配置方法和命令与Cisco3640相似.因这几种型号的路由器只有一个局域网口并且不支持E1模块,故只能将与县行进行通讯的博达2641路由器挂接在核心交换机4006的网关Vlan的端口上,使2641路由器的局域网口和4500等路由器的局域网口在同一个网段内,这样,通过设定静态路由,县行的数据包可以通过2M的SDH线路到4006交换机上,最终JAN.10,2006NO.1圈网络与安全技术2006年1月10日第l期实现县支行与上级行的通讯.配置方法:(1),BD2641路由器直接连在核心交换机4006的网关Vlan的端口上.(2),将BD2641路由器局口地址改为与网关V1一an同网段的一个地址.(3),在BD2641路由器上设置默认路由,其下一跳地址为4500等路由器的局域网口地址.(4),在BD2641路由器上分别设置到各个子网网段的静态路由,其下一跳地址为4006核心交换机网关Vlan的地址.(5),在4006交换机上设置到8个县行的静态路由,其下一跳地址为BD2641路由器局口地址.2.BDCOM2641路由器故障当博达设备发生故障时,县行DDN备份线路自动工作,业务能够正常运行.此时可到郑州中心支行科技处领取2641备用设备并尽快联系维修.(二),交换机故障1.核心交换机Catalyst4006故障在4006交换机上划分着中心支行的全部Valan,内部数据都是通过4006交换机进行中转,当4006交换机发生故障时,全部业务将无法运行.解决方法:可使用3550三层交换机替代4006交换机,外网业务按3550交换机故障处理.为安全起见,我市中支购买了一台3550三层交换机作为全辖交换机的备份设备.Catalyst3550交换机配置方法:(1),将Valanl的地址设置成原4006交换机的网关Vlan地址,作为网关网段.(2),分别划分各个子网网段的Vlan.(3),设置默认路由,其下一跳地址为3640路由器局域网口地址.(4),将相应的访问控制加在子网网段的Vlan上.2.Catalyst5500故障因为工作站网段的端口划在5500交换机上,当5500交换机发生故障时,各业务科室工作站能正常办公.解决方法:将5500上的工作站接在两到三台交换机或HUB上,在4006上划分两到二个l作站子网网段端口,将交换机或HUB接上,作为级联设备使用.3.Catalyst3550交换机故障3550交换机和商业银行的网络连接,当其发生故障时,与商业银行的网络连接中断,影响的业务有:同城清算系统,信贷登记咨询系统,外汇管理系统.当3550交换机发生故障时,可以将商业银行的SDH转RJ45线全部接到一台普通交换机上,然后将这台交换机和防火墙的非安全区端口相连.人民银行需要重新为商业银行分配与人行互连端口的地址,设为外网网段地址,以保证和防火墙非安全区端口地址在同一网段.然后,人行方面更改防火墙的路由,设置八条静态路由,将其指向新分配的商业银行与人行互连的端口地址.商业银行方面重新设置与人行互连端口地址后,更改路由指向防火墙的非安全区端口地址.(三),防火墙故障防火墙是内联网与商业银行互连的屏障,当防火墙发生故障时,影响的业务有:同城清算系统,信贷髓记咨询系统,外汇管理系统.解决力法:1.考虑到网络安全方面的因素,最好用一台防火墙备用设备替代故障设备.2.下面的方法一般情况下不建议采用.若同城清算业务急需且所用时间较短,可将清算服务器的网线(DMZ区)从DMZ区的小交换机上拔除,直接连接到3550交换机的1口上,更改服务器的IP及网关地址为外网地址,人行内部清算用机(营业部,国库科)网线需接入3550交换机,地址改为外网网段地址,更改HOSTS文件中清算服务器的地址清算服务器需更改HOSTS巾人行内部清算用机(营业部,国库科)地址.专业行机器无需改动.(四),光端机或线路故障与郑州已实现网通与联通线路热备份,与县行已寅现SDH与DDN热备份,发生光端机故障或线路故障时,在此仅考虑与商业银行的连接线路.影响的业务有:同城清算系统,信贷登记咨询系统,外汇管理系统.同城清算,信贷,外汇业务使用备用电活拨号线路.四,结束