网络设备故障风险及其应急处理方案

网络设备故障风险及其应急处理方案
绎如金骷越J=垂InRhNCIALCOMPUTERO'AUAN.
网络与安全技术
2006年1月10日第1期
囡
网络设备故障风险及其应急处理方案
◆中国人民银行新乡市中心支行徐洪健
一
,问题的提出
目前,大额支付,信贷登记咨询,同城清算等重
要系统已在内联网上正式运行,它们对业务要求
细,对技术要求精,而且风险责任大,都是建立在网
络通信平台上的工作,对网络各方面要求极高,任
何一个节点出现问题都将影响到全局工作的开展,
这给科技部门的网络保障工作提出了很高的要
求.考虑到目前许多关键网络设备没有备份,一旦
设备发生故障或维修周期过长,势必会直接影响到
大额支付和其它的重要业务.我们经过摸索和反复
试验,将网络设备发生故障时的应急处理方法介绍
给大家,由于各地市的网络拓扑图并不完全一样,
此方案仅供大家参考.
二,网络结构拓扑图
中国人民银行新乡市中心支行网络结构拓扑
图如下所示:
郑州SDH县行SDH
线路线路
专业行
SDH线路
网络结构拓扑图
注:中支有淘汰下的Cisco4550,Cisco2509路
由器各一台.
嗣
兰,设备故障处理方案
(一),路由器故障
1.Cisco3640路由器故障
当CiSCO3640路由器发生故障时,中心支行内
部与广域网通信中断,内部数据无法上行至郑州和下行至县行.
此时可以采用以下两个方案进行解决.
方案一:
在BD2641路由器上添加一个NM一4T模块
(可提前购置一个NM一4T模块做备份或使用郑州中心支行备机上的模块).如果路由器上端口不够, 可采用方法二.
配置方法:
(1),将网通公司线路接入新增NM一4T模块.
(2),将博达路由器局口地址改为原3640路由
器局口地址.
(3),将博达路由器局口与4006核心交换机连
接.
(4),在博达路由器配置到4006核心交换机各
Vlan的静态路由.
(5),将博达路由器与郑州通信的广口地址改为
原3640路由器广口地址,应用QoS.
(6),重新设置博达路由器的ospf动态路由.
方案二:
使用闲置路由器如Cisco4500或Cisco2501, Cisco2509等作为替代产品,对其局域网口和广域网口进行配置后,可以保持与上级行的通信,配置
方法和命令与Cisco3640相似.因这几种型号的路由器只有一个局域网口并且不支持E1模块,故只能将与县行进行通讯的博达2641路由器挂接在核心交换机4006的网关Vlan的端口上,使2641路由器的局域网口和4500等路由器的局域网口在同一个网段内,这样,通过设定静态路由,县行的数据包可以通过2M的SDH线路到4006交换机上,最终JAN.10,2006NO.1
圈网络与安全技术2006年1月10日第l期
实现县支行与上级行的通讯.
配置方法:
(1),BD2641路由器直接连在核心交换机4006
的网关Vlan的端口上.
(2),将BD2641路由器局口地址改为与网关V1一an同网段的一个地址.
(3),在BD2641路由器上设置默认路由,其下
一
跳地址为4500等路由器的局域网口地址. (4),在BD2641路由器上分别设置到各个子网
网段的静态路由,其下一跳地址为4006核心交换机网关Vlan的地址.
(5),在4006交换机上设置到8个县行的静态
路由,其下一跳地址为BD2641路由器局口地址. 2.BDCOM2641路由器故障
当博达设备发生故障时,县行DDN备份线路
自动工作,业务能够正常运行.此时可到郑州中心支行科技处领取2641备用设备并尽快联系维修.
(二),交换机故障
1.核心交换机Catalyst4006故障
在4006交换机上划分着中心支行的全部Valan,内部数据都是通过4006交换机进行中转,当4006交换机发生故障时,全部业务将无法运行.
解决方法:可使用3550三层交换机替代4006
交换机,外网业务按3550交换机故障处理.为安全起见,我市中支购买了一台3550三层交换机作为全辖交换机的备份设备.
Catalyst3550交换机配置方法:
(1),将Valanl的地址设置成原4006交换机的
网关Vlan地址,作为网关网段.
(2),分别划分各个子网网段的Vlan.
(3),设置默认路由,其下一跳地址为3640路
由器局域网口地址.
(4),将相应的访问控制加在子网网段的Vlan
上.
2.Catalyst5500故障
因为工作站网段的端口划在5500交换机上,
当5500交换机发生故障时,各业务科室工作站
能正常办公.
解决方法:将5500上的工作站接在两到三台
交换机或HUB上,在4006上划分两到二个l作站子网网段端口,将交换机或HUB接上,作为级联设备使用.
3.Catalyst3550交换机故障
3550交换机和商业银行的网络连接,当其发
生故障时,与商业银行的网络连接中断,影响的业
务有:同城清算系统,信贷登记咨询系统,外汇管理
系统.
当3550交换机发生故障时,可以将商业银行
的SDH转RJ45线全部接到一台普通交换机上,然后将这台交换机和防火墙的非安全区端口相连.人民银行需要重新为商业银行分配与人行互连端口的地址,设为外网网段地址,以保证和防火墙非安
全区端口地址在同一网段.然后,人行方面更改防
火墙的路由,设置八条静态路由,将其指向新分配
的商业银行与人行互连的端口地址.商业银行方面重新设置与人行互连端口地址后,更改路由指向防火墙的非安全区端口地址.
(三),防火墙故障
防火墙是内联网与商业银行互连的屏障,当防
火墙发生故障时,影响的业务有:同城清算系统,信
贷髓记咨询系统,外汇管理系统.
解决力'法:
1.考虑到网络安全方面的因素,最好用一台
防火墙备用设备替代故障设备.
2.下面的方法一般情况下不建议采用.
若同城清算业务急需且所用时间较短,可将清
算服务器的网线(DMZ区)从DMZ区的小交换机上拔除,直接连接到3550交换机的1口上,更改服务器的IP及网关地址为外网地址,人行内部清算用机(营业部,国库科)网线需接入3550交换机,地址改
为外网网段地址,更改HOSTS文件中清算服务器的地址清算服务器需更改HOSTS巾人行内部清算用机(营业部,国库科)地址.专业行机器无需改动.
(四),光端机或线路故障
与郑州已实现网通与联通线路热备份,与县行
已寅现SDH与DDN热备份,发生光端机故障或线路故障时,在此仅考虑与商业银行的连接线路.
影响的业务有:同城清算系统,信贷登记咨询
系统,外汇管理系统.
同城清算,信贷,外汇业务使用备用电活拨号
线路.
四,结束语
网络设备故障虽不可避免,但通过制订科学的
应急预案,把应急预案制订到光端机,路由器,交换机,防火墒等每台网络设备上,当某台设备发生故障时.口r立即启动预案,及时排除故障,保征人民银行重要业务系统的正常运行.
(责任编辑:童叶敏1
JAN.10,2006NO.1
肛一
越…
触一一
南一
年。