灾难恢复规划文档格式.docx

灾难恢复规划文档格式.docx

《灾难恢复规划文档格式.docx》由会员分享，可在线阅读，更多相关《灾难恢复规划文档格式.docx（13页珍藏版）》请在冰点文库上搜索。

在发生这样一个灾难之后，莱曼兄弟公司第二天就重新开始营业，这主要归功于：

∙分散的数据中心和同步的数据文件，通过一个城域网相连

∙通过基于互联网的虚拟专用网（VPN）连接重新建立与分支机构的连接

∙设在宾馆房间里的临时办公室可以通过VPN技术连接到企业网络

∙语音流量通过IP重新路由到位于其他城市的备用公共网关

什么会导致灾难？

在了解灾难恢复规划的主要组成部分之前，我们首先应当确定灾难的定义。

表1列出了公认的灾难的一些最常见原因：

表1公认灾难的最常见原因

1

火灾

2

风暴（龙卷风、飓风等）

3

洪水或者其他与水有关的灾难

4

极高或者极低的温度、湿度等

5

地震、泥石流或者其他地表运动

6

汽车或者飞机碰撞

火灾是最常见的灾难。

美国消防协会报告说，在所有经历过一次大规模火灾的企业中，43%的企业没有能继续营业，而78%的企业在三年内宣告破产。

其他原因导致的灾难也会给企业带来巨大的损失。

在1992年，芝加哥地区的一场洪灾导致该市Loop地区的两百多栋建筑物停电一周以上，影响到了一千多家企业。

在1998年，加拿大魁北克省的一场猛烈的冰暴导致当地企业遭受了超过10亿美元的损失。

幸运的是，《InformationWeek》杂志在2002年对读者开展的一项调查显示，55%的受访者都打算在2002年增加信息安全开支，大约30%的受访者计划增加在业务连续性规划或者准备方面的开支。

一项全面的计划

在发生任何一种灾难时，都需要考虑各种形式的损失：

∙物理设施（受损的建筑物、工作场所、计算机、库存）

∙对设施的访问（报废的建筑物）

∙信息（受损的磁盘和计算机）

∙对信息的访问（没有远程数据库访问）

∙人员（生产人员、支持人员、管理人员）

一个全面的灾难恢复规划必须采取所有必要的措施来确保业务的长期顺利运行。

这意味着必须研究和分析每个物理组件、每个软件组件、每个人力资源组件和每个业务流程，以及每个元素可以接受的风险程度。

必须考虑财务和管理问题。

有效的规划应当考虑到所有潜在的灾难，这其中包括自然灾害、恐怖袭击、网络灾难等。

（请参阅附录A中的关于如何准备和管理网络灾难的信息）此外，必须考虑到向规划的"

备份"

模式的转变。

"

供应链"

分析是一种有用的技术，可以用于恢复企业的物理资产。

规划的这个部分应当阐明怎样处理不可用的生产或者存储设施、订单输入系统、发货、应收账款和支付系统、备用部件和客户服务。

时间也是一个非常重要的因素。

GartnerGroup最近建议企业将关键流程和应用的恢复时间缩短到24小时以内，并将非关键性应用的恢复时间缩短到四天以内。

应当将三种解决方案视为规划流程的组成部分。

一个企业可以

（1）构建它自己的冗余系统（例如，拥有两个独立的工厂，每个负责部分工作）；

（2）提前为需要在紧急情况下使用的设施签约（例如由某个灾难恢复服务公司拥有和管理的热点数据中心）；

或者（3）购买可以抵消由于灾难会导致的损失的保险（例如抵消为了满足紧急需要而租用设施或者购买产品、部件的成本）。

对于大多数企业来说，没有哪一种单一的方式是最好的；

最有效的方法就是综合使用上面这三种广泛的战略。

主要设备的供应商是所有规划的重要组成部分。

确保供应商拥有足够的部件、人员和资金资源，以便在发生大规模灾难的情况下迅速地帮助您摆脱困境。

灾难恢复规划的关键是如何有效地传达和执行这些计划。

在灾难发生之间与员工进行有效的交流非常重要，这可以让他们知道如何采取紧急措施。

Citigroup的一位领导人在《InformationWeek》于2001年晚些时候发表的一篇文章中指出：

如果您不能正确地做到这一点，在灾难降临时您的公司将会陷入一片混乱。

如果不为灾难做好充分的准备，您的公司可能会破产。

如果您觉得制定一项有效的灾难恢复/业务连续性规划似乎超出了您的能力范围，尤其是在内部专业经验十分有限的情况下，您可以从商用市场上选择各种表格和软件工具和模板。

附录A列出了多种可以为您提供帮助的工具。

IT视角

从IT的角度来说，一项全面的灾难恢复规划应当包含网络弹性、通信弹性和业务应用弹性。

一个富有弹性的网络首先应当具有有效的设计和架构，可以提供移动性和安全性，并以专门针对高可用性而设计的平台为基础。

在设计中，冗余有助于消除单点故障，而快速、自动的故障切换可以确保迅速的恢复。

对于流量设计、负载均衡和服务质量（QoS）的关注将能够处理性能低下或者不符合预期的流量负载，这些负载可能会在没有故障时阻塞用户对于业务应用的访问。

通信方面需要考虑的是语音和PBX流量，以及数据流量。

IP电话可以作为语音通信的主要或者备用方式，而IP联络中心则可以提高企业与主要客户和供应商保持联络的能力。

最近的一些媒体报道介绍了一些将IP语音连接作为通信的唯一方式，而放弃采用PBX系统和电话交换机的例子。

基于IP的语音通信网络有助于提高移动性，实现员工的迅速调配--无论是到预先规划的备份地点还是到会议中心和宾馆房间中的"

临时办公室"

，都能迅速开展工作。

在应用方面，重要的业务应用必须保持可用性，而关键的企业和客户信息必须能够迅速恢复。

因此必须使用备用数据中心和异地数据备份和存储功能。

（本文稍后将介绍如何通过WAN连接中心和终端用户）

要获得成功，灾难恢复规划在IT方面需要阐述的内容并不仅限于企业的数据中心。

一个有效的计划至少应当涉及到：

∙数据中心环境，包括服务器、存储、供电和HVAC

∙用户环境（PC、LAN、应用和客户端软件）

∙企业内部通信设施（建筑物内部、园区内部）

∙外部通信设施（电信运营商服务和线路）

∙管理（管理中心、帮助台、专业技能）

灾难恢复公司Comdisco在纽约市发生911事件之后发表了一篇关于灾难恢复的报告，中指出：

恢复工作的效果绝大部分体现在业务终端用户身上--即计算的终端。

通常这些业务终端用户环境并不享有像数据中心那样的连续性规划。

除了上面介绍的IT因素以外，规划还应当考虑到，在灾难发生后的很短时间内，电子邮件、网站、电话、专用线路的使用率可能会大大超过平时。

此外，由于网络中可能需要加入新的地点，网络流量的使用模式也会发生变化。

规划还应当阐明，除了更换所损失的物理资产以外，企业在一次灾难之后很可能立即需要的多种不同类型服务的来源。

这些服务可能包括：

∙保护和安全服务

∙残骸清理服务

∙抽水和相关的清洁服务

∙清理HVAC系统、管道等

∙从受损的介质中恢复数据

∙为员工提供后勤服务

网络的复杂性使得企业很难实现业务的弹性。

在制定针对业务连续性、保护和灵活性的计划的过程中，复杂程度越低越好。

最大限度地减少提供设备的供应商的数量和去除无用的旧设备是实现这种网络简便性的关键步骤。

WAN考虑因素

现代企业需要依靠网络通信来开展重要的业务，而LAN和WAN环境都必须准备就绪，以便员工履行他们的职责。

灾难恢复规划在工作场所方面的组成部分一定要纳入LAN和WAN访问所需要的设备。

要保持WAN的可用性，以支持业务的发展，就意味着利用目前最可靠、最富有弹性的软件，利用谨慎的网络设计，遵循从设计到日常操作的最佳实践，建立高度可用、容错的系统和平台。

成功的WAN设计并不仅仅关注于连接性。

确保业务弹性的原则之一就是尽量分散人员和信息资产，以降低风险的理念。

呼叫中心并不需要集中，数据也可以复制，同时需要为所有员工提供对关键性业务应用（例如订单输入和客户服务）的访问。

一个富有弹性的WAN设计需要集成冗余，以消除单点故障；

需要采用流量负载均衡技术，以确保连续的服务和可以接受的响应；

需要具有快速的故障切换能力，以实现快速的恢复，此外还应当为每种情况制定相应的安全措施。

这些都构成了很多挑战。

LAN或者园区环境中实际可用的带宽和电信运营商所提供的带宽之间存在着明显的差异。

尽管T1线路的价格比较合理，而且应用非常广泛，但是需要大幅度增加预算，例如对于T3和OC3服务而言。

目前在城区提供的一些基于光纤传输技术的新型服务可以在很大程度上解决这个问题，最近的一些产品的价格非常低--100Mbps快速以太网服务的价格只有每月1000美元。

当然利用QoS技术将WAN设计为一个可以同时传输语音/数据/视频流量的网络也是降低成本的重要手段。

WAN需求规划应当包括怎样连接现有的数据中心和现有的员工工作地点，怎样连接现有的数据中心和备用的员工工作地点，以及怎样连接备份数据中心和现有的员工数据中心。

如果在不同的地点提供了异地数据存储，例如在某个电信运营商的设施中，那么WAN需求规划中还必须加入这种连接。

所有情况都应当包括对互联网连接的配置，这可以用于一般性应用，以及帮助主要供应商和重要客户管理外联网。

无论采用怎样的网络设计和技术，都必须为设施和线路提供不同的物理路由。

大多数被认为是冗余网络的系统发生故障的原因都是光纤或者电路都需要经过同一个管道、出入孔或者中央机构。

创建WAN的方法通常分为三类。

每种方法都有一定的优点和缺点，需要企业用户投入的工作量（和设备）也各不相同。

这些方法（如图1所示）分别是：

∙自行建设，即利用由电信运营商或者其他网络服务供应商提供的租用线路（或者"

通道"

），例如T1、T3、SONET或者光纤波长，建立点对点的通道

∙采用帧中继（FR）或者ATM服务，它们可以在两点之间建立面向电路的"

虚拟通道"

∙采用高级的无连接光传输网络服务，例如城域以太网或者城域IP

图1WAN建设方案

在第一种方法中，最常见的方式是购买SONET/SDH（同步光网/同步数字结构）通道。

常用的SONET传输等级是OC-3（每秒155Mb－Mb/s）、OC-12（622Mb/s）和OC-48（2488Mb/s，但是通常被称为2.4Gb/s）。

下面的表2列出了SONET/SDH的构成。

这种方法的另外一种做法是租用"

暗"

光纤，或者在电信运营商的光纤网络上购买一个或者两个波长，并在每个地点安装下一代SONET/SDH设备（例如CiscoONS15454）。

暗光纤有时又被称为未点亮光纤，它指的是两端没有连接电子设备的光纤。

如果在某些城区，光纤的价格非常具有吸引力，而企业的IT人员又拥有必要的专业能力，那么这种做法就能发挥作用。

波长服务也是基于光纤的，但是包括了电信运营商对于波分复用（WDM）设备的设置。

表2SONET/SDH构成

光纤信号OC等级

同步传输速率信号STS

SONET/SDH线路的传输速率（Mbps）

相同通道数

DS-3

DS1

DS0

OC-3

STS-3

155.52

84

2016

OC-12

STS-12

622.08

12

336

8064

OC-48

STS-48

2488.32

48

1344

32256

OC-192

STS-96

4976.64

96

2688

64512

注意：

51.84Mbps的STS-1（即OC-1）只能在设备（例如多路复用器）内部使用。

在一个灾难恢复系统中，多个数据中心可以方便地连接到一起。

所使用的设备和服务将取决于特定的应用需求（例如同步镜像、远程磁带镜像等）。

思科的15530/15540非常适用于这些类型的应用，因为它们可以支持领先的存储系统供应商（例如IBM和EMC）提供的解决方案中所需要的协议，例如企业系统连接（ESCON）、系统复用外部时钟基准、光纤通道、光纤连接（FICON）、光纤分布式数据接口（FDDI）和千兆位以太网。

图2显示了这个应用，其中包括了一个部署由思科解决方案合作伙伴提供的存储阵列的例子。

在这些情况下，最大限度地降低延时和复杂性是主要的目标，而这个解决方案可以提供足够的支持。

图2数据中心备份部署

作为面向电路的方式的替代方案，通过在每个地点使用像Cisco10720系列互联网路由器这样的产品，企业可以在多个地点之间的暗光纤上建设一个城域IP网络。

这种部署通常需要用两条光纤环路连接所有地点，但是也可以采用电信运营商提供的、基于SONET的租用线路和波长服务。

这种方式针对IP组播等应用进行了优化，适用于内部员工培训应用等场合。

尽管SONET一直以它的故障检测和流量重新路由功能而闻名，但是Cisco10720系列的动态分组传输（DPT）技术也可以提供类似的功能，且效率要高得多。

（注意：

DPT是思科针对新兴的IEEE弹性分组环路（RPR）标准开发的一项技术。

）例如，SONET和RPR都可以提供不到50毫秒的故障检测时间，而RPR在每个环路上最多可以支持254个节点，而SONET最多只能支持16个节点。

RPR可以提供自动的拓扑发现功能，而SONET需要手动操作。

带宽设置在RPR中是自动完成的，但是在SONET需要手动完成。

RPR可以提供最多8种不同级别的服务，而SONET不支持任何服务级别，因而只能提供一种等级的服务（如图3所示）。

图3使用DPT/RPR的城域以太网

最佳的WAN设计可以在所有地点之间提供一种逻辑网格，可通过物理环路或通过点对点通路实现。

在很多城区，光纤可以通过一个物理环网连接很多地点，但是WAN仍然可以设计为一个逻辑网格式网络。

基于SONET的物理环路的保护通常是通过一种名为双向线路交换环（BLSR）的技术提供的。

这可以通过两条环绕物理环路的光纤实现，但是使用四根光纤可以通过逻辑网格式设计，提供最高的耐久性。

如需了解关于这种设计如何工作的细节信息，请参阅本文的"

资源"

部分提供的思科应用说明。

虚拟"

有时被称为第二层VPN服务的传统WAN服务（例如帧中继和ATM）都是分组交换的、面向连接的服务，可以通过一个永久虚拟电路（PVC）在两个终端之间提供"

逻辑的"

、类似于专线的服务。

它们适用于集中星型两点间架构。

帧中继服务（FR）采用了能够传输可变长度的帧（每帧最多4096个字节）的PVC。

FR可以为建筑物专用网络提供多协议LAN互联。

它可以设置性能（例如带宽）的等级，而PVC的安全性也被普遍视为具有足够的强度。

ATM只传输固定长度（53字节）的信元，可以支持多种流量，包括固有ATM、FR、交换式兆位数据服务（SMDS）和电路模拟。

它可以经济地按照需要提供大量的带宽。

ATM的异步性和多媒体特性使得它可以传输电路和分组类型的流量，并且对应用完全透明。

FR和ATM都是面向连接的服务，具有简单的分界点，相对比较容易诊断。

图4传统的WAN服务

帧中继ATM对于企业来说，这是一个功能透明的多地点连接。

目前市场上出现了越多越多的MAN服务，其中包括由思科在"

思科支持网络"

计划中推荐的很多电信运营商提供的城域以太网或者城域IP服务。

IPVPN，也被称为第三层VPN，可以在一个共享的基础设施上部署企业级的连接。

IPVPN让终端用户可以实现共享网络的成本优势，同时获得与他们自己的专用网络相同的安全性、QoS、可靠性和可管理性。

IPVPN可以利用互联网和IP安全（IPSec）技术构建，或者利用多协议标签交换（MPLS）技术在电信运营商的IP基础设施上构建。

在决定购买某种城域以太网或者城域IP服务之后，还需要考虑很多其他的选择。

网络可以配置为一种集中星型设计，由不同的虚拟LAN（VLAN）将各个远程分支机构或者工作地点连接到某个中央地点。

（如图5所示）企业可以使用一种基于以太网的透明LAN服务，从而让城域中的整个企业位于一个单一共享以太网网段上。

（如图6所示）因为可扩展性是选择这些方案的一个重要因素，所以必须了解您对企业的发展规划。

图5点对点城域以太网设计

对于企业来说，这种网络是一个点对点的千兆位以太网连接

图6城域透明LAN服务

对于企业来说，这种网络看起来像是一个共享、扁平的802.1Q以太网域

做出决定

正如我们在本文中所指出的，在灾难恢复规划的WAN方面，没有一种"

一劳永逸"

的解决方案。

但是，最佳实践包括避免覆盖整个园区的VLAN、将第三层作为所选方案的分界点，尽量灵活地增加冗余，以及尽量使用点对点连接（或者虚拟电路）。

由于企业日益难以聘请和挽留高水平的IT人员，越来越多的企业开始倾向于外包业务，而企业IT人员的专业能力和工作地点，以及可供使用的预算，都是非常重要的标准。

在任何一种情况下，企业都必须了解电信运营商所采用的技术。

如果企业网络采用了思科产品，符合CiscoAVVID标准，并且使用了具有"

称号的WAN服务时，整个计划的WAN方面的工作将会变得更加简单和省力。

这样做的最终结果是，企业可以获得一个更加富有弹性、经济有效、覆盖整个企业的网络。