《网络设备巡检报告(第一稿).docx》由会员分享,可在线阅读,更多相关《网络设备巡检报告(第一稿).docx(44页珍藏版)》请在三一办公上搜索。
1、山西宇轩伟业科技贸易有限公司运城市烟草公司网络巡检报告 巡检人员: 巡检日期: 山西宇轩伟业科技贸易有限公司网络巡检项目一、 网络拓扑、拓扑分析、拓扑建议二、 网络带宽、链路类型、链路信息三、 网络设备信息、设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度四、 网络设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类型、设备运行机箱温度五、 设备连通性、冗余协议运行状
2、态、VLAN信息、以太网通道信息、路由协议、邻居关系、交换协议、生成树STP协议、NAT连接数状态、FLASH信息、设备配置信息分析、多余配置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ区检查、防火墙Xlate状态、应用业务、IP地址使用状况六、 配置LOG服务器查看LOG日志七、 简单机房环境检查网络拓扑巡检报告单网络拓扑图此处粘贴网络拓扑图网络拓扑分析:网络拓扑建议网络链路状况巡检单服务项目服务内容专线类型DDN E1 光纤 ADSL广域网连接网络带宽2M 4M 10M 20M 其它网络链路联通性状态:巡检提示:网络设备巡检单设备基本信息设备信息设备品牌序列
3、号设备名称防火墙设备型号购买年限保修状态固定资产编号标签完善程度设备作用描述性能参数管理地址备件状况软件版本放置位置IOS版本信息最新IOS版本持续运行时间设备作用描述端口数量端口类别光 电端口数量端口类别光 电安全区DMZ有 无并发连接数量CPU利用率内存利用率模块运行状态设备风扇及电源状况日志信息连通性正常 故障配置备份有 无 最近备份时间:故障描述巡检信息巡检建议设备基本信息设备信息设备品牌序列号设备名称路由器设备型号购买年限保修状态固定资产编号标签完善程度设备作用描述性能参数管理地址备件状况软件版本放置位置IOS版本信息最新IOS版本持续运行时间设备作用描述端口数量端口类别光 电端口数
4、量端口类别光 电端口状态正常 故障基本配置NAT路由协议其他槽口数并发连接数量CPU利用率内存利用率模块运行状态设备风扇及电源状况日志信息连通性正常 故障配置备份有 无 最近备份时间:故障描述巡检信息冗余协议运行状态、端口信息、路由协议、邻居关系、交换协议、NAT连接数状态、FLASH信息、设备配置信息分析、多余配置信息分析巡检建议设备基本信息设备信息设备品牌序列号设备名称交换机设备型号购买年限保修状态固定资产编号标签完善程度设备作用描述性能参数管理地址备件状况软件版本放置位置IOS版本信息最新IOS版本持续运行时间设备作用描述端口数量端口类别光 电端口数量端口类别光 电端口状态正常 故障基本
5、配置VLAN Trunk STP槽口数并发连接数量CPU利用率内存利用率模块运行状态设备风扇及电源状况日志信息连通性正常 故障配置备份有 无 最近备份时间:故障描述巡检信息Vlan信息、端口状态、交换协议、生成树状态、FLASH信息、TRUNK信息巡检建议机房环境巡检单机房环境机房温度约_20_ 不符合要求符合要求机房湿度40%-50%不符合要求符合要求机房灰尘无灰尘 轻度 重度设备电源线稳定松动防雷措施 有 无UPS状况有UPS 无UPS良好 没有使用UPS品牌: UPS功率: UPS电池数量:输入电压: 输出电压:空调状况:设备连线有标签 无标签 布线整齐 布线较乱线缆类型:光纤 超五类
6、六类 其他机房环境监控系统有 无巡检建议设备IOS信息汇总表设备序列号设备名称软件版本寄存器值问题表现问题原因设备运行环境汇总表设备序列号设备名称测试结果问题表现问题原因设备资源利用率设备序列号设备名称测试结果CPUMEMORY5秒USED1分钟FREE5分钟TOTAL5秒USED1分钟FREE5分钟TOTAL问题表现问题原因设备端口状态汇总表设备序列号设备名称测试结果接口类型接口数量接口状态问题表现问题原因连通性测试汇总表一、PING测试设备序列号设备名称源IP目的IPP-SS-RAvg-TMax-T二、TELNET测试设备序列号设备名称登陆地址是否成功问题表现问题原因最终巡检报告一:机房和
7、配套设施二:设备运行状态三:网络拓扑结构状态(合理与不合理并提供详细说明)四:局域网病毒的防治五:建议增加其他设备六、总体建议检查指导(仅限宇轩伟业内部使用)一、 检查设备IOS软件版本编号:YX-TY-01检查项目:设备IOS软件版本检查命令:CISCO#show version H3C#display version检查期待结果: 备注:主要显示IOS的版本、路由器持续运行的时间约、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名,以及路由器IOS从何处启动等信息。show version命令显示了路由器的许多非常有用的信息检查信息: 检查结果:正常
8、 不正常二、 检查设备持续运行时间编号:YX-TY-02检查项目:设备持续运行时间检查命令:CISCO#show version H3Cdis version检查期待结果:一般情况下网络设备在网络上线后不会中断。备注:如果设备uptime时间比较短,一定在利用show version命令查看设备最近一次重启动的时间和原因,便于分析各种潜在风险。检查信息:检查结果:正常 不正常三、 设备CPU利用率情况检查编号:YX-TY-03检查项目:设备CPU利用率情况检查 检查命令:CISCO#show processes cpuCISCO#show processes cpuhistoryH3Cdisp
9、lay cpuH3Cdis cpu history检查期待结果:CPU利用率平均值50%;最大值2M ,Free memory 2*largest(b), i/o free memory 2M H3C设备使用的百分比小于 80%备注:show memory显示了存储器的一般信息,它表明系统可用的内存。同时它还显示内存中有没有碎片,内存碎片表明内存被划分为了许多不连续的块。它将导致内存的利用率降低,严重时可能产生内存错误从而也严重影响路由器的性能。检查信息:检查结果:正常 不正常五、 设备系统模块运行状况检查编号:YX-TY-05检查项目:设备模块运行状况检查 检查命令:CISCO#show m
10、odule H3Cdis device检查期待结果:思科所有模块运行OK H3C所有模块运行 normal备注:思科还可以看到设备各个模块的SN号及各个设备模块的型号。H3C此命令能看到电源及风扇状态检查信息:检查结果:正常 不正常六、 设备电源及风扇检查编号:YX-TY-06检查项目:设备系统电源及风扇检查 检查命令:CISCO#show environment statusCisco#show power Cisco#show power status fan-trayCisco#show environment allH3Cdis device检查期待结果:电源及风扇运行正常备注:对于思
11、科的交换机与路由器命令可能会不大相同,此外命令show power还能看到电源的冗余状态(对于有两个或两个以上电源的设备),电源冗余状态有两种模式: redundant(冗余)与combined(组合)。根据用户实际网络环境与设备负载模块的数量决定电源模式。检查信息:检查结果:正常 不正常七、 设备运行温度检查编号:YX-TY-07检查项目:设备运行检查 检查命令:CISCO#show environment status H3Cdis environment检查期待结果:思科设备内部各部分工作温度小于45摄氏度,H3C小于80摄氏度检查信息:检查结果:正常 不正常八、 设备系统LOG日志检查
12、编号:YX-TY-08检查项目:设备系统LOG日志检查 检查命令:CISCO#show logging H3Cdis log备注:如果有SYSLOG日志服务器可以更好的分析日志的时间及错误级别。检查信息:有无异常日志:有 没有九、 设备冗余协议检查编号:YX-RT-01检查项目:HSRP、VRRP、GLBP热备协议检查检查命令:CISCO#show standby brief Cisco#showstandby all Cisco#show standby (以HSRP协议为例) H3Cdis vrrp H3Cdis vrrp statistics检查期待结果:主备用状态正常备注: 与期望配置
13、相符检查信息:检查结果:正常 不正常十、 VLAN状态检查编号:YX-SW-01检查项目:VLAN状态检查检查命令:CISCO#showvlan H3Cdis vlanH3Cdis vlan all检查期待结果:Vlan名称、标示符合设计要求,vlan里所含端口符合设计检查信息:检查结果:正常 不正常十一、 EtherChannel检查(思科)编号:YX-SW-02检查项目:EtherChannel检查检查命令:CISCO#showetherchannel port-channel检查期待结果:显示正确的etherchannel数量及每个etherchannel 包含应有的端口备注: show
14、 etherchannel port-channel 显示本交换机中含有的portchannl的情况,具体查看每个portchannel的状态使用show int port-channel n检查信息: 检查结果:正常 不正常链路聚合检查(H3C)编号:YX-SW-02检查项目:链路聚合检查检查命令:H3C display link-aggregation interface H3C display link-aggregation summary检查期待结果: 显示正确的链路聚合数量及每个链路聚合组包含应有的端口与期望相符。备注: 检查信息:检查结果:正常 不正常十二、 trunk检查编号:
15、YX-SW-03检查项目:trunk检查检查命令:CISCO#showinterface trunkH3Cdis port trunk检查期待结果:trunk正常备注:命令显示trunk信息,其中port是指参与trunk的端口,应与设计相符,mode应为on模式,status 状态为trunking, 同时对于每个trunk端口,正在trunking的vlan应与设计相符检查信息:检查结果:正常 不正常十三、 路由状况检查编号:YX-RT-02检查项目:路由状况检查检查命令:CISCO#showip route CISCO #show ip route summaryH3Cdis ip ro
16、ute检查期待结果:路由表应包含正确的路由信息备注: 对于企业一般都是交换网,一条默认路由指出,只是注意VLAN信息与此直连路由是否相符。检查信息:检查结果:正常 不正常十四、 生成树STP检查编号:YX-SW-04检查项目:生成树STP检查检查命令:CISCO#show spanning-tree briefCISCO #show span sumCISCO#show spanning-tree inte (看具体VLAN或端口号)H3Cdis stp briefH3Cdis stp检查期待结果:跟节点,端口forwarding和blocking状态符合设计备注: 注意根网桥的位置及优先级,
17、最好采用命令spanning-tree vlanX rootprimary 设置根网桥,并相应设定备份根网桥,维护STP树的稳定。检查信息:检查结果:正常 不正常十五、 接口状态检查编号:YX-TY-09检查项目:接口状态检查检查命令:CISCO#showinterface (可加具体端口号或VLAN)CISCO#showinterface sumH3Cdis interface 可加具体端口检查期待结果:接口运行正常,无过多的错误,广播及冲突包, 显示工作的端口为UP状态;端口冲突、错误等非信息小于1/10000。端口名称正确;端口双工状态正常。 备注: 检查信息:检查结果:正常 不正常十六
18、、 NAT检查编号:YX-RT-03检查项目: NAT配置及NAT连接数状态检查命令:CISCO #showrunning-config (看NAT具体配置)CISCO #showipnattranslations(看NAT转换情况)CISCO #showipnat statistics(看NAT连接数情况)H3Cdis cur(看 NAT 具体配置)H3Cdis nat statisticsH3Cdis nat all检查期待结果:NAT配置正常,连接装换情况正常,连接数没有太多丢失情况。备注: 由于P2P等并发连接特别多,如果网络环境中发现NAT连接数丢失情况比较大,而又没有流量控制设备,
19、建议在NAT设备上做NAT连接数限制,每个用户限制100个连接,防止网络中连接数过多,超出路由器承载能力。检查信息: 检查结果:正常 不正常十七、 防火墙检查编号:YX-FW-01检查项目:防火墙摆放位置、防火墙策略应用、防火墙failover状态(如果有)、xlate状态、防火墙硬件性能参数、DMZ区是否正常、地址映射是否正常检查命令:通过登录 WEB 界面查看检查期待结果:防火墙策略符合设计、NAT正常、failover功能正常备注:一般情况下,防火墙应放置在网络企业目前PIX防火墙的安全访问策略主要是通过ACL控制列表来实现,管道应用很少。注意思科PIX设备默认允许高优先级区域访问低优先
20、级区域,特别注意网络中ACL应用permit ip any any这样允许所有的语句,禁止使用这种语句。检查结果:正常 不正常十八、 连通性测试编号:YX-TY-10检查项目:设备连通性测试 检查命令:通过PING命令 TELNET命令检查期待结果: 局域网中,Success rate不低于100%,平均时长 (Avg-T)小于10ms,最大时长(Max-T)小于25ms; 广域网中,Success rate不低于100%,平均时长 (Avg-T)小于100ms,最大时长(Max-T)小于150ms通过各设备的LOOPBACK地址或者设备端口地址 能登录到相应的设备上,并能进入特权模式备注:桌
21、面到交换、交换到路由、路由到运行商网管、各县公司连通测试检查结果:正常 不正常十九、 其他维护信息检查编号:YX-TY-10检查项目:CDP、NTP协议、其他维护信息检查命令:CISCO#showcdpneiCISCO#showntpstaCISCO #show clock检查期待结果:1. 网络设备IOS软件与及配置文件要定期备份。2. 网络工程文档能实时更新与当前运行的网络相符合3. 网络设备采用SSH登陆取代Telent;并采用ACL列表控制访问范围4. 所有交换机及路由器密码需字母与数字结合备注:一般情况下,为了网络安全,在有些网络环境中要把NTP、CDP等协议关闭,要结合客户性质及网
22、络环境来决定是否打开这些服务。如果客户网络环境应用了网管软件或日志服务器,应该设置NTP时钟,使整个网络环境网络设备时间保持一致。检查信息:检查结果:正常 不正常网络设备配置Log记录功能一、开启设备日志功能配置目的:查看网络设备产生的日志配置条件:网络设备特权EXEC模式权限配置方法(思科设备):以思科路由器C3825为例:C3825#configure terminalEnter configuration commands, one per line. End with CNTL/Z.C3825(config)#logging onC3825(config)#logging buffer
23、ed informationalC3825(config)#exit以思科交换机C3650为例:C3560#configure terminalEnter configuration commands, one per line. End with CNTL/Z.C3825(config)#logging onC3560 (config)#logging buffered informationalC3560 (config)#exit以思科防火墙ASA5520为例:ASA5520#configure terminalASA5520(config)# logging enableASA5520
24、(config)# logging buffered informationalASA5520 (config)#exit注:目前华为设备默认是开启这个log功能的。日志等级设置informational(等级六)就可以,如果设的级别太低日志缓冲区空间很快就被占满了,不容易查看更久的日志信息。二、日志查看方法查看日志方法思科设备:在特权模式下执行:show logging华为设备:在特权模式下执行:display logbuffer这个命令在设备排障和巡检中很重要。三、日志服务器配置在一台windows操作系统服务器上装上kiwi syslog日志服务器软件,可以将网络设备的日志信息上传到日志
25、服务器的指定文件夹下面,这是日志输出的另一种方法。当设备出现问题自动重启或断电的情况下,由于启动后设备上不能保存重启前的日志信息,所以用这种方法是很有效的。配置log日志服务器服务器需求:windows 操作系统软件:Kiwi_Syslogd_Service配置log日志服务器步骤1、 双击.exe文件,点击Next2、 点击Next3、 选择一个安装软件目录,点击Next4、 点击“否”,软件安装完毕;双击桌面软件图标5、 点击FileProperties6、 在Log archiving下面选择日志保存周期和地点7、如果系统内有Cisco PIX防火墙需要上传日志文件,请将下 面的方口打上
26、对勾,点击OK结束基本设置7、 开启Syslogd服务,软件安装完毕思科设备日志导入日志服务器命令:以C3560交换机为例:C3560G(config)#logging host IP address of the syslog server以ASA5520防火墙为例:ASA5520-01(config)# logging host Name of interface IP addressof the syslog serverASA5520-01(config)# logging trap informational华为设备日志导入日志服务器命令:以S3928-P交换机为例: system-viewS3928info-center enableS3928info-center loghost Logging host ip address日志存在位置:44
