网络实战演练方案模版.docx

1、网络实战演练方案模版XXXX分公司生产网络系统实战演练方案模版第0.07版XXXX技术管理部XXXX信息总中心二一二年二月 版本控制信息版本日期拟稿和修改说明本文档中的所有容为XXXX股份有限公司的机密和专属所有。未经XXXX股份有限公司的明确书面许可，任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部容。1 演练场景说明 依据分公司生产网络系统架构现况，本演练方案模版设计了六个演练场景，各演练场景的演练容、演练目标与预期结果如下表所示：演练容演练目标适用围预期结果场景一：上联路由器宕机及断线演练验证分公司连接信息总中心、北京信息中心的二条广域网专线主备机制的有效性。所

2、有分公司有效。场景二：外网交换机宕机演练验证、外网任何一台核心交换机宕机对机构CUPS系统ZNAP服务器之间网络连接冗余机制的有效性。采用五层网络架构的分公司有效。场景三：防火墙宕机演练验证主备防火墙之间Failover切换机制的有效性。所有分公司有效。场景四：机构接入网络宕机及断线演练验证机构主备线路接入主备切换机制的有效性。所有分公司(主备引擎切换演练步骤只适用于部署双引擎如思科7600系列路由器的分公司)有效。场景五网控器PRA线路异地灾备切换验证当分公司网控器拨号下联卡故障时，通过当地运营商将本地POS机主叫映射至总中心400后，由中心进行远程统一灾备，以此来确认分公司拨号下联卡高可用

3、机制的有效性所有分公司有效。场景六3G灾备切换演练验证当分公司生产网络出现突发故障导致本地网络彻底瘫痪，或机构上联分公司的两根专线彻底中断，交易数据无法上送时，使用分公司与机构间部署的3G无线网络进行通讯，实现当地的机构与商户联机交易的快速恢复。已经部署了3G灾备线路的分公司有效。演练场景七：传输设备演练验证线路运营商传输设备电源主备切换有效性、双上联光路切换的有效性。所有分公司(关闭传输设备主光路演练与关闭传输设备主电源演练仅在运营商传输设备支持时适用)有效。设定的场景为可能出现的故障，通过演练验证网络的冗余性或应急方案可行；1、 演练设备为银联运营生产相关的网络设备，包括防火墙、路由器、交

4、换机、网控器及其它网络设备；2、 所有必须的演练场景应在一个演练计划完成，但可安排在一个或连续的多个窗口实施。3、 各分公司应依据附件5：2013年分公司演练场景建议表选择演练场景，除上述演练场景之外，分公司可依据本单位生产网络实际情况，进行演练场景的补充。2 演练准备工作1、 对所有演练相关的网络设备(模块)准备好现场应急备件；2、 生产网络系统所有网络设备的配置文件须在设备本地存盘，并备份至TFTP服务器。3、 在演练之前，向信息总中心提供网络系统的相关信息，主要有路由信息、设备连接信息、机构线路信息和设备配置信息等，同时进行生产网络系统健康检查，参见附件3：分公司生产网络系统演练准备检查

5、项目表。 3 演练风险评估演练场景演练容影响风险评估场景一上联线路主备切换与路由器宕机演练导致总中心交易服务器和分公司机构之间丢包，但TCP连接不中断或中断后自行恢复。1、 宕机后无常重启2、 宕机重启后，部分模块无法工作3、 宕机后线路主、备机制无法生效场景二外网核心交换机宕机演练导致总中心交易服务器和分公司机构之间丢包，但TCP连接不中断或中断后自行恢复; 导致网控器上联TCP主备卡切换,交易自动恢复、网控器下联TCP卡交易受影响。1、 宕机后无常重启2、 宕机重启后，部分模块无法工作3、 宕机后交换机/防火墙主备机制与路由系统冗余机制无法生效4、 机构连接中断后无法自行恢复5、 网控器上

6、联TCP卡主备须手工回切场景三主备防火墙宕机演练导致总中心交易服务器和分公司机构之间丢包，但TCP连接不中断或中断后自行恢复。1、 宕机后无常重启2、 宕机重启后，部分模块无法工作3、 宕机后防火墙主备机制无法生效4、 机构连接中断后无法自行恢复场景四机构接入线路主备切换与设备演练导致总中心交易服务器和分公司机构之间丢包，但TCP连接不中断或中断后自行恢复。1、 宕机后无常重启2、 宕机重启后，部分模块无法工作3、 宕机后线路主备机制无法生效4、 机构连接中断后无法自行恢复场景五网控器PRA线路异地灾备切换本次演练将分公司拨号交易切换至总中心灾备环境，影响围为分公司网控器拨号交易1、 运营商实

7、施映射时短暂影响拨号POS交易场景六3G灾备切换演练导致总中心交易服务器和分公司演练机构之间丢包，但TCP连接不中断或中断后自行恢复。1、 机构连接中断后无法自行恢复场景七:演练场景七：传输设备演练导致总中心交易服务器和分公司机构之间丢包，但TCP连接不中断或中断后自行恢复2、 宕机后无常重启3、 宕机重启后，部分模块无法工作4、 宕机后防火墙主备机制无法生效5、 机构连接中断后无法自行恢复4 演练场景一：上联线路主备切换与路由器宕机演练4.1 演练思路1、先后关闭上联信息总中心、北京信息中心二台路由器上的广域网接口，观察路由能否自动切换，并通过长ping机构地址来记录路由切换时间。2、先后关

8、闭上联信息总中心、北京信息中心二台路由器的电源，观察路由能否自动切换，并通过长ping机构地址来记录路由切换时间。要点：设备宕机演练前，须确认广域网线路、网络路由、相关交易均已恢复至正常。4.2 演练步骤步骤演练容第一步 上联北京信息中心线路断线演练第二步 上联信息总中心线路断线演练第三步 上联北京信息中心路由器宕机演练第四步 上联信息总中心路由器宕机演练4.2.1 演练细则第一步：上联北京信息中心线路断线演练序号操作容操作人复核人1通知成员机构、信息总中心即将进行上联线路的断线演练分公司总中心2登录二台网核心交换机执行如下命令： Show ip route 144.0.0.0Show ip

9、route 144.8.0.0确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路由器。分公司总中心3通知信息总中心网络值班岗登录CUPS系统ZNAP服务器，开启对分公司辖机构主机地址的长Ping分公司总中心4通知信息总中心网络值班岗登录收单系统PNAP服务器，开启对分公司辖网控器上联卡地址的长Ping分公司总中心5断开分公司上联北京信息中心广域网线路（拔出对应网线）分公司总中心6信息总中心网络值班岗观察Ping包丢包情况分公司总中心7观察网管平台应有XX分公司至北京信息中

10、心线路中断、RPING不通的告警分公司总中心8信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心9恢复分公司上联北京信息中心广域网线路（插回网线）分公司总中心10线路恢复后执行如下命令：Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司11登录分公司二台网核心交换机，执行如下命令： Sh ip route 144.0.0.0 Show ip route 144.8.0.0 确认144.8.0.0/13网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息

11、总中心路由器分公司总中心第二步：上联信息总中心线路断线演练序号操作容操作人复核人1登录二台网核心交换机执行如下命令： Sh ip route 144.0.0.0Show ip route 144.8.0.0确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路由器。分公司总中心2通知信息总中心网络值班岗登录CUPS系统ZNAP服务器，开启对分公司辖机构主机地址的长Ping分公司总中心3通知信息总中心网络值班岗登录收单系统PNAP服务器，开启对分公司辖网控器上联卡地址的长Pin

12、g分公司总中心4断开分公司上联信息总中心广域网线路（拔出对应网线）分公司总中心5信息总中心网络值班岗观察Ping包丢包情况分公司总中心6观察网管平台应有XX分公司至信息总中心线路中断、RPING不通的告警分公司总中心7信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心8恢复分公司上联信息总中心广域网线路（插回网线）分公司总中心9线路恢复后执行如下命令：Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司10登录分公司二台网核心交换机，执行如下命令： Sh ip route 144.0

13、.0.0 Show ip route 144.8.0.0 确认144.8.0.0/13网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路由器分公司总中心第三步：上联北京信息路由器宕机演练序号操作容操作人复核人1通知信息总中心、辖各成员机构，演练开始分公司总中心2登录二台网核心交换机执行如下命令： Sh ip route 144.0.0.0Show ip route 144.8.0.0确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路

14、由器。分公司总中心3通知信息总中心网络岗，在CUPS系统ZNAP服务器上开启到五家机构主机的长ping分公司总中心4关闭上联北京信息中心路由器电源（如双电源设备，两路电源都要关闭）分公司总中心5登录网核心交换机执行如下命令：Show ip route 144.0.0.0 Show ip route 144.8.0.0确认上述二条路由均源自上联信息总中心路由器分公司总中心6观察长ping的丢包情况分公司总中心7观察网管平台应有网核心交换机报到该路由器RPING不通、OSPF NEIGHBOR DOWN的报警分公司总中心三层网络结构的分公司，需检查场景二/步骤一的第8步7打开上联北京信息中心路由器

15、的电源（如双电源设备，则两个电源都打开）分公司总中心8通过Console口监测、记录路由器重启情况，观察路由器重启有无异常，如有异常，则通知信息总中心网络岗分公司总中心9路由器重启完成后，执行如下命令：Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司总中心观察长ping的丢包情况三层网络结构的分公司，需检查场景二/步骤一的第12、13步10登录分公司二台网核心交换机，执行如下命令： Sh ip route 144.0.0.0 Show ip route 144.8.0.0 确认144.8.0.0/13网段路由源自上

16、联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路由器分公司总中心第四步：上联信息总中心路由器宕机演练序号操作容操作人复核人通知信息总中心网络岗，在CUPS系统ZNAP服务器上开启到五家机构主机的长ping1关闭上联信息总中心路由器电源（如双电源设备，两路电源都要关闭）分公司总中心2登录二台网核心交换机执行如下步骤：Sh ip route 144.0.0.0 确认144.0.0.0/13网段的路由源自上联北京信息中心路由器分公司总中心3信息总中心网络值班岗记录长ping丢包数据，正常应在五分钟恢复分公司总中心4观察网管平台应有网核心交换机报到该路由器RPING不通、O

17、SPF NEIGHBOR DOWN的报警，记录UMP平台的其它告警信息分公司总中心三层网络结构的分公司，需检查场景二/步骤二的第8步4信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心5交易完全恢复正常后，打开上联信息总中心路由器的电源（如双电源设备，则两个电源都打开）分公司总中心6通过Console口监测、记录路由器重启情况，观察路由器重启有无异常，如有异常，则通知信息总中心网络岗分公司总中心7路由器重启完成后，执行如下命令：Show ip ospf nei Show ip bgp summary确认该设备和相邻设备的动态路由邻居关系已经正常建立分公司总中

18、心观察长ping的丢包情况三层网络结构的分公司，需检查场景二/步骤二的第12、13步8登录分公司二台网核心交换机，执行如下命令： Sh ip route 144.0.0.0 Show ip route 144.8.0.0 确认144.8.0.0/13网段路由源自上联北京信息中心路由器、 144.0.0.0/13网段路由源自上联信息总中心路由器分公司总中心9信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心10确认分公司交易完全正常后，本演练场景结束分公司总中心4.3 演练的应急处理步骤在演练过程中，如网络设备关机后，交易（CUPS系统ZNAP上的长ping或

19、收单系统PNAP上的长ping或相关监控岗位发现告警）受影响，且在5分钟无法恢复，则应立即恢复系统。如系统重启异常或无法重启则执行以下应急处理步骤：4.3.1 操作步骤步骤操作容第一步 分公司使用预先准备的备件进行紧急更换第二步 将原先保存的故障设备配置文件导入备件第三步 将备件接入网络，替换故障设备第四步 检查网络是否恢复正常第五步 协调集成商更换故障设备4.3.2 操作细则序号操作容操作人复核人1与信息总中心网络岗协商后，使用预先准备的设备备件进行紧急更换分公司总中心2将原先TFTP服务器上保存的故障设备配置文件导入备件分公司总中心3将备件接入生产网络，替换故障设备分公司总中心4检查网络是

20、否恢复正常，执行如下命令： Sh cdp nei /*检查CDP neighbor是否正常建立Sh ip ospf nei /*检查路由邻居关系是否建立Sh ip bgp sum /*检查与总中心的BGP邻居是否建立Sh ip bgp /*检查是否已经学习到BGP路由分公司总中心5根据维保合同，协调集成商更换故障设备分公司总中心5 演练场景二：外网核心交换机宕机演练5.1 演练思路依次对网主用核心交换机、网备用核心交换机、外网主用核心交换机、外网备用核心交换机进行关机演练；通过长Ping机构地址和网网控器TCP卡地址，确认路由系统、防火墙系统冗余机制的有效性。注：1、关闭下一台交换机前，需确认

21、前一台交换机已重启完毕并恢复正常（包括路由等），同时Primary防火墙为Active状态。2、交换模块嵌的分公司无须进行相应交换机的宕机演练。5.2 演练步骤步骤操作容第一步 网主用核心交换机宕机演练第二步 网备用核心交换机宕机演练第三步 外网主用核心交换机宕机演练第四步 外网备用核心交换机宕机演练5.2.1 演练细则第一步：网主用核心交换机宕机序号操作容操作人复核人1通知信息总中心网络值班岗，开始关闭网主用核心交换机分公司总中心2登录上联信息总中心路由器，执行如下命令： Sh ip route 144.x.x.x(辖机构地址) 确认存在四条路由，且分别源自两台网核心交换机分公司总中心3通知

22、信息总中心登录CUPS系统ZNAP服务器，开启对机构地址的长Ping；通知信息总中心在二代收单PNAP上开启对分公司NAC所有上联卡地址的长Ping分公司总中心4关闭网主用交换机电源（如双电源设备，则双路电源均须关闭）分公司总中心5登录分公司上联信息总中心路由器，执行如下命令： Sh ip route 144.x.x.x（辖机构地址）确认机构路由源自网备用交换机分公司总中心6信息总中心网络值班岗记录对机构端服务器的长Ping的丢包情况分公司总中心7信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心8观察网管平台应有网备用核心交换机报到该主用交换机RPING不

23、通、OSPF NEIGHBOR DOWN的告警，同时有防火墙报FAILOVER异常的告警分公司总中心9通知信息总中心网络值班岗，同时开启网主用交换机电源分公司总中心10设备正常启动后，确认路由邻居关系已正常建立：Sh ip ospf nei分公司总中心11登录上联信息总中心路由器，检查确认路由是否恢复正常： Sh ip route 144.x.x.x(辖机构地址) 确认存在四条路由，且分别源自二台网核心交换机分公司总中心观察长ping的丢包情况12登录防火墙系统检查Failover状态（此时防火墙系统应已发生主备切换） Sh failover Sh conn 确认防火墙系统Failover工作

24、状态正常，TCP信息已同步分公司总中心13如果Secondary防火墙为Active状态，则执行如下命令进行回切：登录Primary防火墙（Standby状态）telnet 144.x.9.xConfig tFailover active分公司总中心14信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况；分公司总中心第二步：网备用核心交换机宕机演练序号操作容操作人复核人1通知信息总中心网络值班岗，开始关闭网备用核心交换机分公司总中心2登录上联信息总中心路由器，执行如下命令Sh ip route 144.x.x.x(辖机构地址)确认存在四条路由，且分别源自两台网核心交换机

25、分公司总中心3通知信息总中心CUPS系统ZNAP服务器，开启对机构地址的长Ping；通知信息总中心在二代收单PNAP上开启对分公司NAC所有上联卡地址的长Ping分公司总中心4关闭网备用交换机电源（如双电源设备，则双路电源均须关闭）分公司总中心5登录分公司上联信息总中心路由器，执行如下命令： Sh ip route 144.x.x.x（辖机构地址）确认机构路由源自网主用核心交换机分公司总中心6信息总中心网络值班岗记录对机构端地址长Ping的丢包情况分公司总中心7信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心8观察网管平台应有网主用核心交换机报到该备用交换

26、机RPING不通、OSPF NEIGHBOR DOWN的告警分公司总中心8通知信息总中心网络值班岗，同时开启网备用交换机电源分公司总中心9通过Console口监测、记录交换机重启情况，观察重启有无异常，如有异常，则通知信息总中心网络岗分公司总中心10设备正常启动后，确认路由邻居关系已正常建立：Sh ip ospf nei分公司总中心11登录上联信息总中心路由器，检查确认路由是否恢复正常： Sh ip route 144.x.x.x(辖机构地址) 确认存在四条路由，且分别源自二台网核心交换机分公司总中心观察长ping的丢包情况12登录防火墙系统检查Failover状态 Sh failover S

27、h conn确认防火墙系统Failover工作状态正常，主备防火墙TCP信息已同步分公司总中心13通知信息总中心外围监控岗，二台网核心交换机宕机演练完成，请其检查分公司网控器上联卡与二代收单PNAP、二代多渠道NASA的连接情况，如发生主备切换，则手工回切分公司总中心14信息总中心网络岗通知交易监控岗，检查分公司交易情况；同时分公司自查交易情况分公司总中心第三步：外网主用核心交换机宕机演练序号操作容操作人复核人1通知总中心及辖机构，开始关闭外网主用核心交换机分公司总中心2登录外网机构线路接入主要网络设备，执行如下命令： Sh ip route 9.234.x.21(总CUPS系统ZNAP服务器映射后地址) 确认存在四条路由，分别源自二台外网核心交换机分公司总中心3通知信息总中心网络值班岗登录CUPS系统ZNAP服务器，开启对机构地址的长Ping分公司总中心4关闭外网主用核心交换机电源（如双电源设备，则双路电源均须关闭）分公司总中心5登录外网机构线路接入主要网络设备，执行如下命令： Sh ip route 9.234.x.21（总中心CUPS系统ZNAP服务器映射后地址）确认存在二条路由，源自外网备用核心交换机分公司总中心6信息总中心网络值班岗记录对机构端地址