1、 XXXXXXXX 分公司生产网络系统分公司生产网络系统实战演练方案模版实战演练方案模版第 0.07 版XXXX 技术管理部XXXX 信息总中心二二一二年二月一二年二月 版本控制信息版本版本日期日期拟拟稿和修改稿和修改说说明明本文档中的所有内容为 XXXX 股份有限公司的机密和专属所有。未经 XXXX 股份有限公司的明确书面许可,任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。目目录录1.演演练场练场景景说说明明12.演演练练准准备备工作工作23.演演练风险评练风险评估估24.演演练场练场景一:上景一:上联线联线路主路主备备切切换换与路由器宕机演与路由器宕机演练
2、练24.1演练思路 .24.2演练步骤 .34.2.1.演练细则34.3演练的应急处理步骤 .64.3.1.操作步骤64.3.2.操作细则65.演演练场练场景二:内外网核心交景二:内外网核心交换换机宕机演机宕机演练练65.1演练思路 .65.2演练步骤 .75.2.1.演练细则75.3演练的应急处理步骤 .105.3.1.操作步骤105.3.2.操作细则116.演演练场练场景三:主景三:主备备防火防火墙墙宕机演宕机演练练116.1演练思路 .116.2演练步骤 .116.2.1.演练细则116.3演练的应急处理步骤 .126.3.1.操作步骤126.3.2.操作细则137.演演练场练场景四:机
3、构接入景四:机构接入线线路主路主备备切切换换与与设备设备演演练练137.1演练思路 .137.2演练步骤 .137.2.1.演练细则137.3演练的应急处理步骤 .157.3.1.操作步骤167.3.2.操作细则168.演演练场练场景五景五: 网控器演网控器演练练168.1演练思路 .168.2演练步骤 .168.2.1.演练细则168.3演练的应急处理步骤 .188.3.1.操作步骤188.3.2.操作细则189.演演练场练场景六景六: 线线路运路运营营商商传输设备传输设备演演练练189.1演练思路 .189.2演练步骤 .189.2.1.演练细则189.3演练的应急处理步骤 .199.3.
4、1.操作步骤199.3.2.操作细则201演演练场练场景景说说明明 依据分公司生产网络系统架构现况,本演练方案模版设计了六个演练场景,各演练场景的演练内容、演练目标与预期结果如下表所示:演演练练内容内容演演练练目目标标适用范适用范围围预预期期结结果果场景一:上联路由器宕机及断线演练验证分公司连接信息总中心、北京信息中心的二条广域网专线主备机制的有效性。所有分公司有效。场景二:内外网交换机宕机演练验证内、外网任何一台核心交换机宕机对机构CUPS 系统 ZNAP 服务器之间网络连接冗余机制的有效性。采用五层网络架构的分公司有效。场景三:防火墙宕机演练验证主备防火墙之间 Failover 切换机制的
5、有效性。所有分公司有效。场景四:机构接入网络宕机及断线演练验证机构主备线路接入主备切换机制的有效性。所有分公司(主备引擎切换演练步骤只适用于部署双引擎如思科 7600 系列路由器的分公司)有效。场景五网控器PRA 线路异地灾备切换验证当分公司网控器拨号下联卡故障时,通过当地运营商将本地 POS机主叫号码映射至总中心 400 号码后,由中心进行远程统一灾备,以此来确认分公司拨号下联卡高可用机制的有效性所有分公司有效。场景六3G 灾备切换演练验证当分公司生产网络出现突发故障导致本地网络彻底瘫痪,或机构上联分公司的两根专线彻底中断,交易数据无法上送时,使用分公司与机构间部署的 3G 无线网络进行通讯
6、,实现当地的机构与商户联机交易的快速恢复。已经部署了3G 灾备线路的分公司有效。演练场景七:传输设备演练验证线路运营商传输设备电源主备切换有效性、双上联光路切换的有效性。所有分公司(关闭传输设备主光路演练与有效。关闭传输设备主电源演练仅在运营商传输设备支持时适用)设定的场景为可能出现的故障,通过演练验证网络的冗余性或应急方案可行;1、演练设备为银联运营生产相关的网络设备,包括防火墙、路由器、交换机、网控器及其它网络设备;2、所有必须的演练场景应在一个演练计划内完成,但可安排在一个或连续的多个窗口内实施。3、各分公司应依据附件 5:2013 年分公司演练场景建议表选择演练场景,除上述演练场景之外
7、,分公司可依据本单位生产网络实际情况,进行演练场景的补充。2演演练练准准备备工作工作1、对所有演练相关的网络设备(模块)准备好现场应急备件;2、生产网络系统所有网络设备的配置文件须在设备本地存盘,并备份至TFTP 服务器。3、 在演练之前,向信息总中心提供网络系统的相关信息,主要有路由信息、设备连接信息、机构线路信息和设备配置信息等,同时进行生产网络系统健康检查,参见附件 3:分公司生产网络系统演练准备检查项目表。 3演演练风险评练风险评估估演演练练场场景景演演练练内容内容影响影响风险评风险评估估场景一上联线路主备切换与路由器宕机演练导致总中心交易服务器和分公司机构之间丢包,但TCP 连接不中
8、断或中断后自行恢复。1、宕机后无法正常重启2、宕机重启后,部分模块无法工作3、宕机后线路主、备机制无法生效场景二内外网核心交换机宕机演练导致总中心交易服务器和分公司机构之间丢包,但TCP 连接不中断或中断后自行恢复; 导致网控器上联TCP 主备卡切换,交易自动恢复、网控器下联 TCP 卡交易受影响。1、宕机后无法正常重启2、宕机重启后,部分模块无法工作3、宕机后交换机/防火墙主备机制与路由系统冗余机制无法生效4、机构连接中断后无法自行恢复5、网控器上联 TCP 卡主备须手工回切场景三主备防火墙宕机演练导致总中心交易服务器和分公司机构之间丢包,但TCP 连接不中断或中断后自行恢复。1、宕机后无法
9、正常重启2、宕机重启后,部分模块无法工作3、宕机后防火墙主备机制无法生效4、机构连接中断后无法自行恢复场景四机构接入线路主备切换与设备演练导致总中心交易服务器和分公司机构之间丢包,但TCP 连接不中断或中断后自行恢复。1、宕机后无法正常重启2、宕机重启后,部分模块无法工作3、宕机后线路主备机制无法生效4、机构连接中断后无法自行恢复场景五网控器 PRA线路异地灾备切换本次演练将分公司拨号交易切换至总中心灾备环境,影响范围为分公司网控器拨号交易1、运营商实施号码映射时短暂影响拨号 POS 交易场景六3G 灾备切换演练导致总中心交易服务器和分公司演练机构之间丢包,但 TCP 连接不中断或中断后自行恢
10、复。1、机构连接中断后无法自行恢复场景七:演练场景七:传输设备演练导致总中心交易服务器和分公司机构之间丢包,但TCP 连接不中断或中断后自行恢复2、宕机后无法正常重启3、宕机重启后,部分模块无法工作4、宕机后防火墙主备机制无法生效5、机构连接中断后无法自行恢复4演演练场练场景一:上景一:上联线联线路主路主备备切切换换与路由器宕机演与路由器宕机演练练4.1演演练练思路思路1、先后关闭上联信息总中心、北京信息中心二台路由器上的广域网接口,观察路由能否自动切换,并通过长 ping 机构地址来记录路由切换时间。2、先后关闭上联信息总中心、北京信息中心二台路由器的电源,观察路由能否自动切换,并通过长 p
11、ing 机构地址来记录路由切换时间。要点:设备宕机演练前,须确认广域网线路、网络路由、相关交易均已恢复至正常。4.2演演练练步步骤骤步步骤骤演演练练内容内容、上联北京信息中心线路断线演练、上联信息总中心线路断线演练、上联北京信息中心路由器宕机演练、上联信息总中心路由器宕机演练4.2.1演演练细则练细则第一步:上第一步:上联联北京信息中心北京信息中心线线路断路断线线演演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知成员机构、信息总中心即将进行上联线路的断线演练分公司总中心2登录二台内网核心交换机执行如下命令: Show ip route 144.0.0.0Show ip route
12、144.8.0.0确认 144.8.0.0/13、145.0.0.0/13、10.195.80.0/24 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器。分公司总中心3通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对分公司辖内机构主机地址的长 Ping分公司总中心4通知信息总中心网络值班岗登录收单系统 PNAP 服务器,开启对分公司辖内网控器上联卡地址的长 Ping分公司总中心5断开分公司上联北京信息中心广域网线路(拔出对应网线)分公司总中心6信息总中心网络值班岗观察 Ping 包丢包情况分公司总中心7观察网管平台应有 X
13、X 分公司至北京信息中心线路中断、RPING 不通的告警分公司总中心8信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心9恢复分公司上联北京信息中心广域网线路(插回网线)分公司总中心10线路恢复后执行如下命令:Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司11登录分公司二台内网核心交换机,执行如下命令: Sh ip route 144.0.0.0 Show ip route 144.8.0.0 确认 144.8.0.0/13 网段路由源自上联北京信息中心路由器、 144.0.0
14、.0/13 网段路由源自上联信息总中心路由器分公司总中心第二步:上第二步:上联联信息信息总总中心中心线线路断路断线线演演练练序序号号操作内容操作内容操操作人作人复复核人核人1登录二台内网核心交换机执行如下命令: Sh ip route 144.0.0.0Show ip route 144.8.0.0确认 144.8.0.0/13、145.0.0.0/13、10.195.80.0/24 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器。分公司总中心2通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对分公司辖内机构主机地址的长 P
15、ing分公司总中心3通知信息总中心网络值班岗登录收单系统 PNAP 服务器,开启对分公司辖内网控器上联卡地址的长 Ping分公司总中心4断开分公司上联信息总中心广域网线路(拔出对应网线)分公司总中心5信息总中心网络值班岗观察 Ping 包丢包情况分公司总中心6观察网管平台应有 XX 分公司至信息总中心线路中断、RPING不通的告警分公司总中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心8恢复分公司上联信息总中心广域网线路(插回网线)分公司总中心9线路恢复后执行如下命令:Show ip ospf nei Show ip bgp summary确认该设备
16、和相邻设备的动态路由邻居关系已经正常建立分公司10登录分公司二台内网核心交换机,执行如下命令: Sh ip route 144.0.0.0 Show ip route 144.8.0.0 分公司总中心 确认 144.8.0.0/13 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器第三步:上第三步:上联联北京信息路由器宕机演北京信息路由器宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知信息总中心、辖内各成员机构,演练开始分公司总中心2登录二台内网核心交换机执行如下命令: Sh ip route 144.0.0.0Show ip r
17、oute 144.8.0.0确认 144.8.0.0/13、145.0.0.0/13、10.195.80.0/24 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器。分公司总中心3通知信息总中心网络岗,在 CUPS 系统 ZNAP 服务器上开启到五家机构主机的长 ping分公司总中心4关闭上联北京信息中心路由器电源(如双电源设备,两路电源都要关闭)分公司总中心5登录内网核心交换机执行如下命令:Show ip route 144.0.0.0 Show ip route 144.8.0.0确认上述二条路由均源自上联信息总中心路由器分公司总中心6观察长
18、 ping 的丢包情况分公司总中心7观察网管平台应有内网核心交换机报到该路由器 RPING 不通、OSPF NEIGHBOR DOWN 的报警分公司总中心三层网络结构的分公司,需检查场景二/步骤一的第 8 步7打开上联北京信息中心路由器的电源(如双电源设备,则两个电源都打开)分公司总中心8通过 Console 口监测、记录路由器重启情况,观察路由器重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心9路由器重启完成后,执行如下命令:Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司总中心观察长 ping 的丢包
19、情况三层网络结构的分公司,需检查场景二/步骤一的第 12、13 步10登录分公司二台内网核心交换机,执行如下命令: Sh ip route 144.0.0.0 Show ip route 144.8.0.0 分公司总中心 确认 144.8.0.0/13 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器第四步:上第四步:上联联信息信息总总中心路由器宕机演中心路由器宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人通知信息总中心网络岗,在 CUPS 系统 ZNAP 服务器上开启到五家机构主机的长 ping1关闭上联信息总中心路由器电源(如双电
20、源设备,两路电源都要关闭)分公司总中心2登录二台内网核心交换机执行如下步骤:Sh ip route 144.0.0.0 确认 144.0.0.0/13 网段的路由源自上联北京信息中心路由器分公司总中心3信息总中心网络值班岗记录长 ping 丢包数据,正常应在五分钟内恢复分公司总中心4观察网管平台应有内网核心交换机报到该路由器 RPING 不通、OSPF NEIGHBOR DOWN 的报警,记录 UMP 平台的其它告警信息分公司总中心三层网络结构的分公司,需检查场景二/步骤二的第 8 步4信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心5交易完全恢复正常后,
21、打开上联信息总中心路由器的电源(如双电源设备,则两个电源都打开)分公司总中心6通过 Console 口监测、记录路由器重启情况,观察路由器重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心7路由器重启完成后,执行如下命令:Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司总中心观察长 ping 的丢包情况三层网络结构的分公司,需检查场景二/步骤二的第 12、13 步8登录分公司二台内网核心交换机,执行如下命令: Sh ip route 144.0.0.0 Show ip route 144.8.0.0 确认
22、144.8.0.0/13 网段路由源自上联北京信息中心路由器、 144.0.0.0/13 网段路由源自上联信息总中心路由器分公司总中心9信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心1确认分公司交易完全正常后,本演练场景结束分总0公司中心4.3演演练练的的应应急急处处理步理步骤骤在演练过程中,如网络设备关机后,交易(CUPS 系统 ZNAP 上的长 ping 或收单系统 PNAP上的长 ping 或相关监控岗位发现告警)受影响,且在 5 分钟内无法恢复,则应立即恢复系统。如系统重启异常或无法重启则执行以下应急处理步骤:4.3.1操作步操作步骤骤步步骤骤操
23、作内容操作内容、分公司使用预先准备的备件进行紧急更换、将原先保存的故障设备配置文件导入备件、将备件接入网络,替换故障设备、检查网络是否恢复正常、协调集成商更换故障设备4.3.2操作操作细则细则序序号号操作内容操作内容操操作人作人复复核人核人1与信息总中心网络岗协商后,使用预先准备的设备备件进行紧急更换分公司总中心2将原先 TFTP 服务器上保存的故障设备配置文件导入备件分公司总中心3将备件接入生产网络,替换故障设备分公司总中心4检查网络是否恢复正常,执行如下命令: Sh cdp nei /*检查 CDP neighbor 是否正常建立Sh ip ospf nei /*检查路由邻居关系是否建立S
24、h ip bgp sum /*检查与总中心的 BGP 邻居是否建立Sh ip bgp /*检查是否已经学习到 BGP 路由分公司总中心5根据维保合同,协调集成商更换故障设备分公司总中心5演演练场练场景二:内外网核心交景二:内外网核心交换换机宕机演机宕机演练练5.1演演练练思路思路依次对内网主用核心交换机、内网备用核心交换机、外网主用核心交换机、外网备用核心交换机进行关机演练;通过长 Ping 机构地址和内网网控器 TCP 卡地址,确认路由系统、防火墙系统冗余机制的有效性。注:1、关闭下一台交换机前,需确认前一台交换机已重启完毕并恢复正常(包括路由等),同时 Primary 防火墙为 Activ
25、e 状态。2、交换模块内嵌的分公司无须进行相应交换机的宕机演练。5.2演演练练步步骤骤步步骤骤操作内容操作内容、内网主用核心交换机宕机演练、内网备用核心交换机宕机演练、外网主用核心交换机宕机演练、外网备用核心交换机宕机演练5.2.1演演练细则练细则第一步:内网主用核心交第一步:内网主用核心交换换机宕机机宕机序序号号操作内容操作内容操操作人作人复复核人核人1通知信息总中心网络值班岗,开始关闭内网主用核心交换机分公司总中心2登录上联信息总中心路由器,执行如下命令: Sh ip route 144.x.x.x(辖内机构地址) 确认存在四条路由,且分别源自两台内网核心交换机分公司总中心3通知信息总中心
26、登录 CUPS 系统 ZNAP 服务器,开启对机构地址的长 Ping;通知信息总中心在二代收单 PNAP 上开启对分公司 NAC 所有上联卡地址的长 Ping分公司总中心4关闭内网主用交换机电源(如双电源设备,则双路电源均须关闭)分公司总中心5登录分公司上联信息总中心路由器,执行如下命令: Sh ip route 144.x.x.x(辖内机构地址)确认机构路由源自内网备用交换机分公司总中心6信息总中心网络值班岗记录对机构端服务器的长 Ping 的丢包情况分公司总中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心8观察网管平台应有内网备用核心交换机报到该
27、主用交换机RPING 不通、OSPF NEIGHBOR DOWN 的告警,同时有防火墙报FAILOVER 异常的告警分公司总中心9通知信息总中心网络值班岗,同时开启内网主用交换机电源分公司总中心10设备正常启动后,确认路由邻居关系已正常建立:Sh ip ospf nei分公司总中心11登录上联信息总中心路由器,检查确认路由是否恢复正常: Sh ip route 144.x.x.x(辖内机构地址) 确认存在四条路由,且分别源自二台内网核心交换机分公司总中心观察长 ping 的丢包情况12登录防火墙系统检查 Failover 状态(此时防火墙系统应已发生主备切换) Sh failover Sh c
28、onn 确认防火墙系统 Failover 工作状态正常,TCP 链接信息已同步分公司总中心13如果 Secondary 防火墙为 Active 状态,则执行如下命令进行回切:登录 Primary 防火墙(Standby 状态)telnet 144.x.9.xConfig tFailover active分公司总中心14信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况;分公司总中心第二步:内网第二步:内网备备用核心交用核心交换换机宕机演机宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知信息总中心网络值班岗,开始关闭内网备用核心交换机分公司总中心2登录上联
29、信息总中心路由器,执行如下命令Sh ip route 144.x.x.x(辖内机构地址)确认存在四条路由,且分别源自两台内网核心交换机分公司总中心3通知信息总中心 CUPS 系统 ZNAP 服务器,开启对机构地址分总的长 Ping;通知信息总中心在二代收单 PNAP 上开启对分公司NAC 所有上联卡地址的长 Ping公司中心4关闭内网备用交换机电源(如双电源设备,则双路电源均须关闭)分公司总中心5登录分公司上联信息总中心路由器,执行如下命令: Sh ip route 144.x.x.x(辖内机构地址)确认机构路由源自内网主用核心交换机分公司总中心6信息总中心网络值班岗记录对机构端地址长 Pin
30、g 的丢包情况分公司总中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心8观察网管平台应有内网主用核心交换机报到该备用交换机RPING 不通、OSPF NEIGHBOR DOWN 的告警分公司总中心8通知信息总中心网络值班岗,同时开启内网备用交换机电源分公司总中心9通过 Console 口监测、记录交换机重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心10设备正常启动后,确认路由邻居关系已正常建立:Sh ip ospf nei分公司总中心11登录上联信息总中心路由器,检查确认路由是否恢复正常: Sh ip route 144.x
31、.x.x(辖内机构地址) 确认存在四条路由,且分别源自二台内网核心交换机分公司总中心观察长 ping 的丢包情况12登录防火墙系统检查 Failover 状态 Sh failover Sh conn确认防火墙系统 Failover 工作状态正常,主备防火墙 TCP 链接信息已同步分公司总中心13通知信息总中心外围监控岗,二台内网核心交换机宕机演练完成,请其检查分公司网控器上联卡与二代收单 PNAP、二代多渠道NASA 的连接情况,如发生主备切换,则手工回切分公司总中心14信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心第三步:外网主用核心交第三步:外网主用
32、核心交换换机宕机演机宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知总中心及辖内机构,开始关闭外网主用核心交换机分公司总中心2登录外网机构线路接入主要网络设备,执行如下命令: Sh ip route 9.234.x.21(总 CUPS 系统 ZNAP 服务器映射后地址) 确认存在四条路由,分别源自二台外网核心交换机分公司总中心3通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对机构地址的长 Ping分公司总中心4关闭外网主用核心交换机电源(如双电源设备,则双路电源均须关闭)分公司总中心5登录外网机构线路接入主要网络设备,执行如下命令: Sh ip route
33、 9.234.x.21(总中心 CUPS 系统 ZNAP 服务器映射后地址)确认存在二条路由,源自外网备用核心交换机分公司总中心6信息总中心网络值班岗记录对机构端地址长 Ping 的丢包情况;分公司总中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心8观察网管平台应有外网备用核心交换机报到该主用交换机RPING 不通、OSPF NEIGHBOR DOWN 的告警,同时有防火墙报FAILOVER 异常的告警分公司总中心8通知信息总中心网络值班岗,同时开启外网主用核心交换机电源分公司总中心9通过 Console 口监测、记录交换机重启情况,观察重启有无异常
34、,如有异常,则通知信息总中心网络岗分公司总中心10设备正常启动后,确认动态路由邻居关系已正常建立:Sh ip ospf nei 或Sh ip eigrp nei分公司总中心观察长 ping 的丢包情况11登录外网机构线路接入主要网络设备,执行如下命令: Sh ip route 9.234.x.21(总中心 CUPS 系统 ZNAP 服务器映射后地址) 确认存在四条路由,分别源自二台外网核心交换机分公司总中心12登录防火墙系统检查 Failover 状态(此时防火墙系统应已发生主备切换),执行以下命令: Sh failover Sh conn 确认防火墙系统 Failover 工作状态正常,主备
35、防分公司总中心火墙 TCP 链接信息已同步13如果 Secondary 防火墙为 Active 状态,则执行如下命令进行回切:登录 Primary 防火墙(Standby 状态),telnet 144.x.9.xConfig tFailover active分公司总中心14信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心第四步:外网第四步:外网备备用核心交用核心交换换机宕机演机宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知总中心及辖内机构,开始关闭外网备用核心交换机分公司总中心2登录外网机构线路接入主要网络设备,执行如下命令: Sh ip
36、 route 9.234.x.21(总中心 CUPS 系统 ZNAP 服务器映射后地址) 确认存在四条路由,分别源自二台外网核心交换机分公司总中心3通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对机构地址的长 Ping分公司总中心4关闭外网备用核心交换机电源(如双电源设备,则双路电源均须关闭)分公司总中心5登录外网机构线路接入主要网络设备,执行如下命令: Sh ip route 9.234.x.21(总中心 CUPS 系统 ZNAP 服务器映射后地址)确认存在二条路由,源自外网主用核心交换机分公司总中心6信息总中心网络值班岗记录对机构端地址长 Ping 的丢包情况分公司总
37、中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心观察网管平台应有内网主用核心交换机报到该备用交换机RPING 不通、OSPF NEIGHBOR DOWN 的告警分公司总中心8通知信息总中心网络值班岗,同时开启外网备用核心交换机电源分公司总中心9通过 Console 口监测、记录交换机重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心观察长 ping 的丢包情况10设备正常启动后,确认动态路由邻居关系已正常建立:Sh ip ospf nei 或Sh ip eigrp nei分公司总中心11登录外网机构线路接入主要网络设备,执行如下
38、命令: Sh ip route 9.234.x.21(总中心 CUPS 系统 ZNAP 服务器映射后地址) 确认存在四条路由,分别源自二台外网核心交换机分公司总中心12登录防火墙系统检查 Failover 状态,执行以下命令: Sh failover Sh conn 确认防火墙系统 Failover 工作状态正常,主备防火墙 TCP链接信息已同步分公司总中心13信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心14确认分公司交易完全正常后,本演练场景结束分公司总中心5.3演演练练的的应应急急处处理步理步骤骤在演练过程中,如网络设备关机后,交易(CUPS 系统
39、 ZNAP 上的长 ping 或收单系统 PNAP上的长 ping 或相关监控岗位发现告警)受影响,且在 5 分钟内无法恢复,则应立即恢复系统。如系统重启异常或无法重启则执行以下应急处理步骤:5.3.1操作步操作步骤骤步步骤骤操作内容操作内容第一步分公司使用预先准备的备件进行紧急更换第二步将原先保存的故障设备配置文件导入备件第三步将备件接入网络,替换故障设备第四步检查网络是否恢复正常第五步协调集成商更换故障设备5.3.2操作操作细则细则序序号号操作内容操作内容操操作人作人复复核人核人1与信息总中心网络岗协商后,使用预先准备的设备备件进行紧急更换分公司总中心2将原先 TFTP 服务器上保存的故障
40、设备配置文件导入备件分公司总中心3将备件接入生产网络,替换故障设备分公司总中心4检查网络是否恢复正常,执行如下命令: Sh cdp nei /*检查 CDP neighbor 是否正常建立Sh ip ospf nei /*检查路由邻居关系是否建立Sh ip bgp sum /*检查与总中心的 BGP 邻居是否建立Sh ip bgp /*检查是否已经学习到 BGP 路由分公司总中心5根据维保合同,协调集成商更换故障设备分公司总中心6演演练场练场景三:主景三:主备备防火防火墙墙宕机演宕机演练练6.1演演练练思路思路1、先后关闭分公司生产主用防火墙电源,验证防火墙系统 Failover 热切换机制的
41、有效性。2、待主用防火墙正常启动、手动回切为 ACTIVE 状态,并检查 TCP Session 已经全部同步完成后,再关闭备用防火墙。6.2演演练练步步骤骤步步骤骤操作内容操作内容第一步生产主用防火墙宕机演练6.2.1演演练细则练细则序序号号操作内容操作内容操操作人作人复复核人核人1通知信息总中心开始实施防火墙系统宕机演练分公司总中心2先后登陆分公司二台防火墙(144.x.9.x),检查防火墙系统分总Failover 状态,执行如下命令: Sh failoverSh conn确认防火墙系统 Failover 状态正常,Primary 防火墙为主用防火墙公司中心3通知信息总中心网络值班岗登录
42、CUPS 系统 ZNAP 服务器,开启对机构地址的长 Ping分公司总中心4关闭主用 Priamry 防火墙电源分公司总中心5信息总中心网络值班岗记录长 Ping 丢包情况分公司总中心观察网管平台应有内网主用核心交换机报到 standby 防火墙RPING 不通的告警,同时有防火墙报 FAILOVER 异常的告警分公司总中心6开启防火墙电源分公司总中心7通过 Console 口监测、记录防火墙重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心观察长 ping 的丢包情况8先后登陆分公司二台防火墙(144.x.9.x),检查防火墙系统Failover 状态,执行如下命令:
43、Sh failoverSh conn确认防火墙系统 Failover 状态正常,此时 Secondary 防火墙为主用防火墙分公司总中心9登陆 priamry 防火墙,此时为 standby 状态,进行手工回切Config tFailover active退出防火墙分公司总中心10再次登陆 primary 防火墙,确认防火墙的在用 TCP Session 是否已经全部同步,确认防火墙已经回切,primary 防火墙为 active 状态。 Sh conn Sh failover 分公司总中心11关闭主用 Secondary 防火墙电源分公司总中心12信息总中心网络值班岗记录长 Ping 丢包情
44、况分公司总中心1观察网管平台应有内网主用核心交换机报到 standby 防火墙分总3RPING 不通的告警,同时有防火墙报 FAILOVER 异常的告警公司中心14开启防火墙电源分公司总中心15通过 Console 口监测、记录防火墙重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心16观察长 ping 的丢包情况17先后登陆分公司二台防火墙(144.x.9.x),检查防火墙系统Failover 状态,执行如下命令: Sh failoverSh conn确认防火墙系统 Failover 状态正常,此时 Primary 防火墙为主用防火墙分公司总中心18信息总中心网络岗通知
45、交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心19确认分公司交易完全正常后,本演练场景结束分公司总中心6.3演演练练的的应应急急处处理步理步骤骤在演练过程中,如网络设备关机后,交易(CUPS 系统 ZNAP 上的长 ping 或收单系统 PNAP上的长 ping 或相关监控岗位发现告警)受影响,且在 5 分钟内无法恢复,则应立即恢复系统。如系统重启异常或无法重启则执行以下应急处理步骤:6.3.1操作步操作步骤骤步步骤骤操作内容操作内容第一步分公司使用预先准备的备件进行紧急更换第二步将原先保存的故障设备配置文件导入备件第三步将备件接入网络,替换故障设备第四步检查网络是否恢复正
46、常第五步协调集成商更换故障设备6.3.2操作操作细则细则序序号号操作内容操作内容操操作人作人复复核人核人1与信息总中心网络岗协商后,使用预先准备的设备备件进行紧急更换分公司总中心2将原先 TFTP 服务器上保存的故障设备配置文件导入备件分公司总中心3将备件接入生产网络,替换故障设备分公司总中心4检查网络是否恢复正常,执行如下命令: Sh cdp nei /*检查 CDP neighbor 是否正常建立Sh ip ospf nei /*检查路由邻居关系是否建立Sh ip bgp sum /*检查与总中心的 BGP 邻居是否建立Sh ip bgp /*检查是否已经学习到 BGP 路由分公司总中心5
47、根据维保合同,协调集成商更换故障设备分公司总中心7演演练场练场景四:机构接入景四:机构接入线线路主路主备备切切换换与与设备设备演演练练7.1演演练练思路思路3、关闭分公司所有双线路机构接入主线路接口进行演练,验证机构接入双线路切换机制的有效性,观察并记录丢包情况。4、关闭分公司机构接入主路由器,进行宕机演练,验证机构接入双线路切换机制的有效性, 观察并记录丢包情况。5、针对分公司提供双引擎的网络设备,进行主备引擎切换演练,验证设备双引擎切换机制的有效性。7.2演演练练步步骤骤步步骤骤操作内容操作内容第一步机构接入线路切换演练第二步机构接入路由器宕机演练第三机构接入路由器主备引擎切换(仅针对提供
48、双引擎的网络设备)步7.2.1演演练细则练细则第一步:机构接入第一步:机构接入线线路的断路的断线线演演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知成员机构、信息总中心即将进行机构接入网络的宕机演练分公司总中心2通知成员机构检查银联通信 ZNAP 路由应源自机构主线接入网络设备分公司3通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对分公司辖内银行机构地址的长 Ping分公司总中心4关闭机构接入网络连接机构主线路端口分公司总中心5信息总中心网络值班岗观察 Ping 包丢包情况分公司总中心6观察网管平台应有外网主用核心交换机报到该路由器 RPING不通的告警分公司
49、总中心7信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况分公司总中心8恢复机构接入网络连接机构主线路端口分公司总中心9通知成员机构检查银联通信 ZNAP 路由应源自机构主线接入网络设备分公司10执行 1-9 步,演练其他机构接入线路分公司总中心第二步:机构接入路由器的宕机演第二步:机构接入路由器的宕机演练练序序号号操作内容操作内容操操作人作人复复核人核人1通知成员机构、信息总中心即将进行机构接入路由器的宕机演练分公司总中心3通知信息总中心网络值班岗登录 CUPS 系统 ZNAP 服务器,开启对分公司辖内银行机构地址的长 Ping;分公司总中心4逐一关闭机构备线路接入网
50、络设备、机构单线路接入网络设备电源(双电源设备则关闭两路电源)分公司总中心5信息总中心网络值班岗观察 Ping 包丢包情况(应无丢包)分公司总中心观察网管平台应有外网主用核心交换机报到该路由器 RPING不通的告警6逐一开启上述网络设备电源(双电源设备则开启两路电源)分公司总中心7通过 Console 口监测、记录上述网络设备重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗分公司总中心8信息总中心网络值班岗观察 Ping 包丢包情况(应无丢包)分公司总中心9登陆分公司二台外网核心交换机,确认机构网段路由源自机构主线路接入网络设备,执行如下命令: sh ip route 144.x.
