网络设备故障风险及其应急处理方案
绎如金骷越J=垂InRhNCIALCOMPUTERO'AUAN. 网络与安全技术 2006年1月10日第1期 囡
网络设备故障风险及其应急处理方案 ◆中国人民银行新乡市中心支行徐洪健 一
,问题的提出
目前,大额支付,信贷登记咨询,同城清算等重 要系统已在内联网上正式运行,它们对业务要求 细,对技术要求精,而且风险责任大,都是建立在网 络通信平台上的工作,对网络各方面要求极高,任 何一个节点出现问题都将影响到全局工作的开展, 这给科技部门的网络保障工作提出了很高的要 求.考虑到目前许多关键网络设备没有备份,一旦 设备发生故障或维修周期过长,势必会直接影响到 大额支付和其它的重要业务.我们经过摸索和反复 试验,将网络设备发生故障时的应急处理方法介绍 给大家,由于各地市的网络拓扑图并不完全一样, 此方案仅供大家参考. 二,网络结构拓扑图
中国人民银行新乡市中心支行网络结构拓扑 图如下所示: 郑州SDH县行SDH 线路线路 专业行
SDH线路 网络结构拓扑图
注:中支有淘汰下的Cisco4550,Cisco2509路 由器各一台. 嗣
兰,设备故障处理方案 (一),路由器故障 1.Cisco30路由器故障
当CiSCO30路由器发生故障时,中心支行内 部与广域网通信中断,内部数据无法上行至郑州和 下行至县行.
此时可以采用以下两个方案进行解决. 方案一:
在BD21路由器上添加一个NM一4T模块 (可提前购置一个NM一4T模块做备份或使用郑州 中心支行备机上的模块).如果路由器上端口不够, 可采用方法二. 配置方法:
(1),将网通公司线路接入新增NM一4T模块. (2),将博达路由器局口地址改为原30路由 器局口地址.
(3),将博达路由器局口与4006核心交换机连 接.
(4),在博达路由器配置到4006核心交换机各 Vlan的静态路由.
(5),将博达路由器与郑州通信的广口地址改为 原30路由器广口地址,应用QoS. (6),重新设置博达路由器的ospf动态路由. 方案二:
使用闲置路由器如Cisco4500或Cisco2501, Cisco2509等作为替代产品,对其局域网口和广域 网口进行配置后,可以保持与上级行的通信,配置 方法和命令与Cisco30相似.因这几种型号的路 由器只有一个局域网口并且不支持E1模块,故只 能将与县行进行通讯的博达21路由器挂接在核 心交换机4006的网关Vlan的端口上,使21路由 器的局域网口和4500等路由器的局域网口在同一 个网段内,这样,通过设定静态路由,县行的数据包 可以通过2M的SDH线路到4006交换机上,最终 JAN.10,2006NO.1
圈网络与安全技术2006年1月10日第l期 实现县支行与上级行的通讯. 配置方法:
(1),BD21路由器直接连在核心交换机4006 的网关Vlan的端口上.
(2),将BD21路由器局口地址改为与网关V1一 an同网段的一个地址.
(3),在BD21路由器上设置默认路由,其下 一
跳地址为4500等路由器的局域网口地址. (4),在BD21路由器上分别设置到各个子网 网段的静态路由,其下一跳地址为4006核心交换 机网关Vlan的地址.
(5),在4006交换机上设置到8个县行的静态 路由,其下一跳地址为BD21路由器局口地址. 2.BDCOM21路由器故障
当博达设备发生故障时,县行DDN备份线路
自动工作,业务能够正常运行.此时可到郑州中心 支行科技处领取21备用设备并尽快联系维修. (二),交换机故障
1.核心交换机Catalyst4006故障 在4006交换机上划分着中心支行的全部 Valan,内部数据都是通过4006交换机进行中转,当 4006交换机发生故障时,全部业务将无法运行. 解决方法:可使用3550三层交换机替代4006 交换机,业务按3550交换机故障处理.为安全 起见,我市中支购买了一台3550三层交换机作为 全辖交换机的备份设备. Catalyst3550交换机配置方法:
(1),将Valanl的地址设置成原4006交换机的 网关Vlan地址,作为网关网段. (2),分别划分各个子网网段的Vlan. (3),设置默认路由,其下一跳地址为30路 由器局域网口地址.
(4),将相应的访问控制加在子网网段的Vlan 上.
2.Catalyst5500故障
因为工作站网段的端口划在5500交换机上, 当5500交换机发生故障时,各业务科室工作站 能正常办公.
解决方法:将5500上的工作站接在两到三台 交换机或HUB上,在4006上划分两到二个l作站 子网网段端口,将交换机或HUB接上,作为级联设 备使用.
3.Catalyst3550交换机故障
3550交换机和商业银行的网络连接,当其发
生故障时,与商业银行的网络连接中断,影响的业 务有:同城清算系统,信贷登记咨询系统,外汇管理 系统.
当3550交换机发生故障时,可以将商业银行 的SDH转RJ45线全部接到一台普通交换机上,然 后将这台交换机和防火墙的非安全区端口相连.人 民银行需要重新为商业银行分配与人行互连端口 的地址,设为网段地址,以保证和防火墙非安 全区端口地址在同一网段.然后,人行方面更改防 火墙的路由,设置静态路由,将其指向新分配 的商业银行与人行互连的端口地址.商业银行方面 重新设置与人行互连端口地址后,更改路由指向防 火墙的非安全区端口地址. (三),防火墙故障
防火墙是内联网与商业银行互连的屏障,当防 火墙发生故障时,影响的业务有:同城清算系统,信 贷髓记咨询系统,外汇管理系统. 解决力'法:
1.考虑到网络安全方面的因素,最好用一台 防火墙备用设备替代故障设备. 2.下面的方法一般情况下不建议采用. 若同城清算业务急需且所用时间较短,可将清 算服务器的网线(DMZ区)从DMZ区的小交换机上 拔除,直接连接到3550交换机的1口上,更改服务 器的IP及网关地址为地址,人行内部清算用机 (营业部,国库科)网线需接入3550交换机,地址改 为网段地址,更改HOSTS文件中清算服务器的 地址清算服务器需更改HOSTS巾人行内部清算用 机(营业部,国库科)地址.专业行机器无需改动.
(四),光端机或线路故障
与郑州已实现网通与联通线路热备份,与县行 已寅现SDH与DDN热备份,发生光端机故障或线 路故障时,在此仅考虑与商业银行的连接线路. 影响的业务有:同城清算系统,信贷登记咨询 系统,外汇管理系统.
同城清算,信贷,外汇业务使用备用电活拨号 线路. 四,结束语
网络设备故障虽不可避免,但通过制订科学的 应急预案,把应急预案制订到光端机,路由器,交换 机,防火墒等每台网络设备上,当某台设备发生故障 时.口r立即启动预案,及时排除故障,保征人民银行 重要业务系统的正常运行. (责任编辑:童叶敏1 JAN.10,2006NO.1 肛一 越… 触一一 南一 年
