网络实战演练方案模版.docx
《网络实战演练方案模版.docx》由会员分享,可在线阅读,更多相关《网络实战演练方案模版.docx(68页珍藏版)》请在冰点文库上搜索。
网络实战演练方案模版
XXXX分公司生产网络系统
实战演练方案模版
第0.07版
XXXX技术管理部
XXXX信息总中心
二〇一二年二月
版本控制信息
版本
日期
拟稿和修改
说明
本文档中的所有容为XXXX股份有限公司的机密和专属所有。
未经XXXX股份有限公司的明确书面许可,任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部容。
1演练场景说明
依据分公司生产网络系统架构现况,本演练方案模版设计了六个演练场景,各演练场景的演练容、演练目标与预期结果如下表所示:
演练容
演练目标
适用围
预期结果
场景一:
上联路由器宕机及断线演练
验证分公司连接信息总中心、北京信息中心的二条广域网专线主备机制的有效性。
所有分公司
有效。
场景二:
外网交换机宕机演练
验证、外网任何一台核心交换机宕机对机构-CUPS系统ZNAP服务器之间网络连接冗余机制的有效性。
采用五层网络架构的分公司
有效。
场景三:
防火墙宕机演练
验证主备防火墙之间Failover切换机制的有效性。
所有分公司
有效。
场景四:
机构接入网络宕机及断线演练
验证机构主备线路接入主备切换机制的有效性。
所有分公司
(主备引擎切换演练步骤只适用于部署双引擎如思科7600系列路由器的分公司)
有效。
场景五
网控器PRA线路异地灾备切换
验证当分公司网控器拨号下联卡故障时,通过当地运营商将本地POS机主叫映射至总中心400后,由中心进行远程统一灾备,以此来确认分公司拨号下联卡高可用机制的有效性
所有分公司
有效。
场景六
3G灾备切换演练
验证当分公司生产网络出现突发故障导致本地网络彻底瘫痪,或机构上联分公司的两根专线彻底中断,交易数据无法上送时,使用分公司与机构间部署的3G无线网络进行通讯,实现当地的机构与商户联机交易的快速恢复。
已经部署了3G灾备线路的分公司
有效。
演练场景七:
传输设备演练
验证线路运营商传输设备电源主备切换有效性、双上联光路切换的有效性。
所有分公司
(关闭传输设备主光路演练与关闭传输设备主电源演练仅在运营商传输设备支持时适用)
有效。
设定的场景为可能出现的故障,通过演练验证网络的冗余性或应急方案可行;
1、演练设备为银联运营生产相关的网络设备,包括防火墙、路由器、交换机、网控器及其它网络设备;
2、所有必须的演练场景应在一个演练计划完成,但可安排在一个或连续的多个窗口实施。
3、各分公司应依据附件5:
《2013年分公司演练场景建议表》选择演练场景,除上述演练场景之外,分公司可依据本单位生产网络实际情况,进行演练场景的补充。
2演练准备工作
1、对所有演练相关的网络设备(模块)准备好现场应急备件;
2、生产网络系统所有网络设备的配置文件须在设备本地存盘,并备份至TFTP服务器。
3、在演练之前,向信息总中心提供网络系统的相关信息,主要有路由信息、设备连接信息、机构线路信息和设备配置信息等,同时进行生产网络系统健康检查,参见《附件3:
分公司生产网络系统演练准备检查项目表》。
3演练风险评估
演练场景
演练容
影响
风险评估
场景一
上联线路主备切换与路由器宕机演练
导致总中心交易服务器和分公司机构之间丢包,但TCP连接不中断或中断后自行恢复。
1、宕机后无常重启
2、宕机重启后,部分模块无法工作
3、宕机后线路主、备机制无法生效
场景二
外网核心交换机宕机演练
导致总中心交易服务器和分公司机构之间丢包,但TCP连接不中断或中断后自行恢复;导致网控器上联TCP主备卡切换,交易自动恢复、网控器下联TCP卡交易受影响。
1、宕机后无常重启
2、宕机重启后,部分模块无法工作
3、宕机后交换机/防火墙主备机制与路由系统冗余机制无法生效
4、机构连接中断后无法自行恢复
5、网控器上联TCP卡主备须手工回切
场景三
主备防火墙宕机演练
导致总中心交易服务器和分公司机构之间丢包,但TCP连接不中断或中断后自行恢复。
1、宕机后无常重启
2、宕机重启后,部分模块无法工作
3、宕机后防火墙主备机制无法生效
4、机构连接中断后无法自行恢复
场景四
机构接入线路主备切换与设备演练
导致总中心交易服务器和分公司机构之间丢包,但TCP连接不中断或中断后自行恢复。
1、宕机后无常重启
2、宕机重启后,部分模块无法工作
3、宕机后线路主备机制无法生效
4、机构连接中断后无法自行恢复
场景五
网控器PRA线路异地灾备切换
本次演练将分公司拨号交易切换至总中心灾备环境,影响围为分公司网控器拨号交易
1、运营商实施映射时短暂影响拨号POS交易
场景六
3G灾备切换演练
导致总中心交易服务器和分公司演练机构之间丢包,但TCP连接不中断或中断后自行恢复。
1、机构连接中断后无法自行恢复
场景七:
演练场景七:
传输设备演练
导致总中心交易服务器和分公司机构之间丢包,但TCP连接不中断或中断后自行恢复
2、宕机后无常重启
3、宕机重启后,部分模块无法工作
4、宕机后防火墙主备机制无法生效
5、机构连接中断后无法自行恢复
4演练场景一:
上联线路主备切换与路由器宕机演练
4.1演练思路
1、先后关闭上联信息总中心、北京信息中心二台路由器上的广域网接口,观察路由能否自动切换,并通过长ping机构地址来记录路由切换时间。
2、先后关闭上联信息总中心、北京信息中心二台路由器的电源,观察路由能否自动切换,并通过长ping机构地址来记录路由切换时间。
要点:
设备宕机演练前,须确认广域网线路、网络路由、相关交易均已恢复至正常。
4.2演练步骤
步骤
演练容
第一步
上联北京信息中心线路断线演练
第二步
上联信息总中心线路断线演练
第三步
上联北京信息中心路由器宕机演练
第四步
上联信息总中心路由器宕机演练
4.2.1演练细则
第一步:
上联北京信息中心线路断线演练
序号
操作容
操作人
复核人
1
通知成员机构、信息总中心即将进行上联线路的断线演练
分公司
总中心
2
登录二台网核心交换机执行如下命令:
Showiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器。
分公司
总中心
3
通知信息总中心网络值班岗登录CUPS系统ZNAP服务器,开启对分公司辖机构主机地址的长Ping
分公司
总中心
4
通知信息总中心网络值班岗登录收单系统PNAP服务器,开启对分公司辖网控器上联卡地址的长Ping
分公司
总中心
5
断开分公司上联北京信息中心广域网线路(拔出对应网线)
分公司
总中心
6
信息总中心网络值班岗观察Ping包丢包情况
分公司
总中心
7
观察网管平台应有XX分公司至北京信息中心线路中断、RPING不通的告警
分公司
总中心
8
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
9
恢复分公司上联北京信息中心广域网线路(插回网线)
分公司
总中心
10
线路恢复后执行如下命令:
Showipospfnei
Showipbgpsummary
确认该设备和相邻设备的动态路由邻居关系已经正常建立
分公司
11
登录分公司二台网核心交换机,执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器
分公司
总中心
第二步:
上联信息总中心线路断线演练
序号
操作容
操作人
复核人
1
登录二台网核心交换机执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器。
分公司
总中心
2
通知信息总中心网络值班岗登录CUPS系统ZNAP服务器,开启对分公司辖机构主机地址的长Ping
分公司
总中心
3
通知信息总中心网络值班岗登录收单系统PNAP服务器,开启对分公司辖网控器上联卡地址的长Ping
分公司
总中心
4
断开分公司上联信息总中心广域网线路(拔出对应网线)
分公司
总中心
5
信息总中心网络值班岗观察Ping包丢包情况
分公司
总中心
6
观察网管平台应有XX分公司至信息总中心线路中断、RPING不通的告警
分公司
总中心
7
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
8
恢复分公司上联信息总中心广域网线路(插回网线)
分公司
总中心
9
线路恢复后执行如下命令:
Showipospfnei
Showipbgpsummary
确认该设备和相邻设备的动态路由邻居关系已经正常建立
分公司
10
登录分公司二台网核心交换机,执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器
分公司
总中心
第三步:
上联北京信息路由器宕机演练
序号
操作容
操作人
复核人
1
通知信息总中心、辖各成员机构,演练开始
分公司
总中心
2
登录二台网核心交换机执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13、145.0.0.0/13、10.195.80.0/24网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器。
分公司
总中心
3
通知信息总中心网络岗,在CUPS系统ZNAP服务器上开启到五家机构主机的长ping
分公司
总中心
4
关闭上联北京信息中心路由器电源(如双电源设备,两路电源都要关闭)
分公司
总中心
5
登录网核心交换机执行如下命令:
Showiproute144.0.0.0
Showiproute144.8.0.0
确认上述二条路由均源自上联信息总中心路由器
分公司
总中心
6
观察长ping的丢包情况
分公司
总中心
7
观察网管平台应有网核心交换机报到该路由器RPING不通、OSPFNEIGHBORDOWN的报警
分公司
总中心
三层网络结构的分公司,需检查场景二/步骤一的第8步
7
打开上联北京信息中心路由器的电源(如双电源设备,则两个电源都打开)
分公司
总中心
8
通过Console口监测、记录路由器重启情况,观察路由器重启有无异常,如有异常,则通知信息总中心网络岗
分公司
总中心
9
路由器重启完成后,执行如下命令:
Showipospfnei
Showipbgpsummary
确认该设备和相邻设备的动态路由邻居关系已经正常建立
分公司
总中心
观察长ping的丢包情况
三层网络结构的分公司,需检查场景二/步骤一的第12、13步
10
登录分公司二台网核心交换机,执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器
分公司
总中心
第四步:
上联信息总中心路由器宕机演练
序号
操作容
操作人
复核人
通知信息总中心网络岗,在CUPS系统ZNAP服务器上开启到五家机构主机的长ping
1
关闭上联信息总中心路由器电源(如双电源设备,两路电源都要关闭)
分公司
总中心
2
登录二台网核心交换机执行如下步骤:
Shiproute144.0.0.0
确认144.0.0.0/13网段的路由源自上联北京信息中心路由器
分公司
总中心
3
信息总中心网络值班岗记录长ping丢包数据,正常应在五分钟恢复
分公司
总中心
4
观察网管平台应有网核心交换机报到该路由器RPING不通、OSPFNEIGHBORDOWN的报警,记录UMP平台的其它告警信息
分公司
总中心
三层网络结构的分公司,需检查场景二/步骤二的第8步
4
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
5
交易完全恢复正常后,打开上联信息总中心路由器的电源(如双电源设备,则两个电源都打开)
分公司
总中心
6
通过Console口监测、记录路由器重启情况,观察路由器重启有无异常,如有异常,则通知信息总中心网络岗
分公司
总中心
7
路由器重启完成后,执行如下命令:
Showipospfnei
Showipbgpsummary
确认该设备和相邻设备的动态路由邻居关系已经正常建立
分公司
总中心
观察长ping的丢包情况
三层网络结构的分公司,需检查场景二/步骤二的第12、13步
8
登录分公司二台网核心交换机,执行如下命令:
Shiproute144.0.0.0
Showiproute144.8.0.0
确认144.8.0.0/13网段路由源自上联北京信息中心路由器、144.0.0.0/13网段路由源自上联信息总中心路由器
分公司
总中心
9
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
10
确认分公司交易完全正常后,本演练场景结束
分公司
总中心
4.3演练的应急处理步骤
在演练过程中,如网络设备关机后,交易(CUPS系统ZNAP上的长ping或收单系统PNAP上的长ping或相关监控岗位发现告警)受影响,且在5分钟无法恢复,则应立即恢复系统。
如系统重启异常或无法重启则执行以下应急处理步骤:
4.3.1操作步骤
步骤
操作容
第一步
分公司使用预先准备的备件进行紧急更换
第二步
将原先保存的故障设备配置文件导入备件
第三步
将备件接入网络,替换故障设备
第四步
检查网络是否恢复正常
第五步
协调集成商更换故障设备
4.3.2操作细则
序号
操作容
操作人
复核人
1
与信息总中心网络岗协商后,使用预先准备的设备备件进行紧急更换
分公司
总中心
2
将原先TFTP服务器上保存的故障设备配置文件导入备件
分公司
总中心
3
将备件接入生产网络,替换故障设备
分公司
总中心
4
检查网络是否恢复正常,执行如下命令:
Shcdpnei/*检查CDPneighbor是否正常建立
Shipospfnei/*检查路由邻居关系是否建立
Shipbgpsum/*检查与总中心的BGP邻居是否建立
Shipbgp/*检查是否已经学习到BGP路由
分公司
总中心
5
根据维保合同,协调集成商更换故障设备
分公司
总中心
5演练场景二:
外网核心交换机宕机演练
5.1演练思路
依次对网主用核心交换机、网备用核心交换机、外网主用核心交换机、外网备用核心交换机进行关机演练;通过长Ping机构地址和网网控器TCP卡地址,确认路由系统、防火墙系统冗余机制的有效性。
注:
1、关闭下一台交换机前,需确认前一台交换机已重启完毕并恢复正常(包括路由等),同时Primary防火墙为Active状态。
2、交换模块嵌的分公司无须进行相应交换机的宕机演练。
5.2演练步骤
步骤
操作容
第一步
网主用核心交换机宕机演练
第二步
网备用核心交换机宕机演练
第三步
外网主用核心交换机宕机演练
第四步
外网备用核心交换机宕机演练
5.2.1演练细则
第一步:
网主用核心交换机宕机
序号
操作容
操作人
复核人
1
通知信息总中心网络值班岗,开始关闭网主用核心交换机
分公司
总中心
2
登录上联信息总中心路由器,执行如下命令:
Shiproute144.x.x.x(辖机构地址)
确认存在四条路由,且分别源自两台网核心交换机
分公司
总中心
3
通知信息总中心登录CUPS系统ZNAP服务器,开启对机构地址的长Ping;通知信息总中心在二代收单PNAP上开启对分公司NAC所有上联卡地址的长Ping
分公司
总中心
4
关闭网主用交换机电源(如双电源设备,则双路电源均须关闭)
分公司
总中心
5
登录分公司上联信息总中心路由器,执行如下命令:
Shiproute144.x.x.x(辖机构地址)
确认机构路由源自网备用交换机
分公司
总中心
6
信息总中心网络值班岗记录对机构端服务器的长Ping的丢包情况
分公司
总中心
7
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
8
观察网管平台应有网备用核心交换机报到该主用交换机RPING不通、OSPFNEIGHBORDOWN的告警,同时有防火墙报FAILOVER异常的告警
分公司
总中心
9
通知信息总中心网络值班岗,同时开启网主用交换机电源
分公司
总中心
10
设备正常启动后,确认路由邻居关系已正常建立:
Shipospfnei
分公司
总中心
11
登录上联信息总中心路由器,检查确认路由是否恢复正常:
Shiproute144.x.x.x(辖机构地址)
确认存在四条路由,且分别源自二台网核心交换机
分公司
总中心
观察长ping的丢包情况
12
登录防火墙系统检查Failover状态(此时防火墙系统应已发生主备切换)
Shfailover
Shconn
确认防火墙系统Failover工作状态正常,TCP信息已同步
分公司
总中心
13
如果Secondary防火墙为Active状态,则执行如下命令进行回切:
登录Primary防火墙(Standby状态)telnet144.x.9.x
Configt
Failoveractive
分公司
总中心
14
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况;
分公司
总中心
第二步:
网备用核心交换机宕机演练
序号
操作容
操作人
复核人
1
通知信息总中心网络值班岗,开始关闭网备用核心交换机
分公司
总中心
2
登录上联信息总中心路由器,执行如下命令
Shiproute144.x.x.x(辖机构地址)
确认存在四条路由,且分别源自两台网核心交换机
分公司
总中心
3
通知信息总中心CUPS系统ZNAP服务器,开启对机构地址的长Ping;通知信息总中心在二代收单PNAP上开启对分公司NAC所有上联卡地址的长Ping
分公司
总中心
4
关闭网备用交换机电源(如双电源设备,则双路电源均须关闭)
分公司
总中心
5
登录分公司上联信息总中心路由器,执行如下命令:
Shiproute144.x.x.x(辖机构地址)
确认机构路由源自网主用核心交换机
分公司
总中心
6
信息总中心网络值班岗记录对机构端地址长Ping的丢包情况
分公司
总中心
7
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
8
观察网管平台应有网主用核心交换机报到该备用交换机RPING不通、OSPFNEIGHBORDOWN的告警
分公司
总中心
8
通知信息总中心网络值班岗,同时开启网备用交换机电源
分公司
总中心
9
通过Console口监测、记录交换机重启情况,观察重启有无异常,如有异常,则通知信息总中心网络岗
分公司
总中心
10
设备正常启动后,确认路由邻居关系已正常建立:
Shipospfnei
分公司
总中心
11
登录上联信息总中心路由器,检查确认路由是否恢复正常:
Shiproute144.x.x.x(辖机构地址)
确认存在四条路由,且分别源自二台网核心交换机
分公司
总中心
观察长ping的丢包情况
12
登录防火墙系统检查Failover状态
Shfailover
Shconn
确认防火墙系统Failover工作状态正常,主备防火墙TCP信息已同步
分公司
总中心
13
通知信息总中心外围监控岗,二台网核心交换机宕机演练完成,请其检查分公司网控器上联卡与二代收单PNAP、二代多渠道NASA的连接情况,如发生主备切换,则手工回切
分公司
总中心
14
信息总中心网络岗通知交易监控岗,检查分公司交易情况;同时分公司自查交易情况
分公司
总中心
第三步:
外网主用核心交换机宕机演练
序号
操作容
操作人
复核人
1
通知总中心及辖机构,开始关闭外网主用核心交换机
分公司
总中心
2
登录外网机构线路接入主要网络设备,执行如下命令:
Shiproute9.234.x.21(总CUPS系统ZNAP服务器映射后地址)
确认存在四条路由,分别源自二台外网核心交换机
分公司
总中心
3
通知信息总中心网络值班岗登录CUPS系统ZNAP服务器,开启对机构地址的长Ping
分公司
总中心
4
关闭外网主用核心交换机电源(如双电源设备,则双路电源均须关闭)
分公司
总中心
5
登录外网机构线路接入主要网络设备,执行如下命令:
Shiproute9.234.x.21(总中心CUPS系统ZNAP服务器映射后地址)
确认存在二条路由,源自外网备用核心交换机
分公司
总中心
6
信息总中心网络值班岗记录对机构端地址
升级会员 