福建电信IP城域网网络评估模板－设备层

1、福建城域网设备评估模板编写单位：中国电信股份有限公司广州研究院目 录1设备层评估42路由器/交换机42.1系统数据配置42.1.1系统时间42.1.2主机名42.1.3系统配置备份42.1.4系统日志备份52.2接口和路由数据配置52.2.1端口模式52.2.2端口/lan描述52.2.3端口安全配置62.2.4ip地址使用62.2.5路由配置62.2.6vlan配置72.2.7vlan透传72.2.8vtp配置72.2.9stp配置82.3安全配置82.3.1路由引擎保护82.3.2接入访问控制82.3.3口令82.3.4关闭网络层服务92.3.5关闭不必要服务92.3.6病毒防范92.3.

2、7snmp设置102.3.8cdp102.4设备运行情况102.4.1软硬件版本102.4.2运行环境参数112.4.3系统日志112.4.4设备/模块冗余性112.4.5控制板主/备情况122.4.6cpu利用率122.4.7内存利用率122.4.8cam表资源122.4.9物理端口运行状态132.4.10端口流量状况132.4.11路由信息132.4.12其他系统资源143宽带接入服务器143.1系统数据配置143.1.1系统时间143.1.2主机名143.1.3系统备份153.2用户数据配置153.2.1闲置在线门限153.2.2最长在线时间153.3用户模板153.3.1用户pppoe

3、数据模板153.3.2静态用户数据模板163.3.3l2tp数据模板163.3.4用户端口数据限制163.3.5端口配置163.4安全配置173.4.1业务引擎保护173.4.2接入访问控制173.4.3口令173.4.4snmpserver配置173.4.5防范ddos攻击安全配置183.4.6其他安全配置183.5设备性能评估183.5.1软件版本183.5.2cpu占用率193.5.3内存占用率193.5.4端口运行状态193.5.5忙时地址池占用率193.5.6在线用户数203.5.7业务情况203.5.8其他情况203.6数据合理性203.6.1ip规划203.6.2vlan规划21

4、3.6.3atm-vc设置214211 设备层评估2 路由器/交换机2.1 系统数据配置2.1.1 系统时间一级类别设备层评估项目名称系统时间详细说明检查设备系统时间是否正常，建议采用ntp提取时钟评估方法检查系统配置文件，检查系统时钟。对cisco6509supervisor下检查：show time show ntpmsfc下检查：show clock show ntp associations评估结果结果说明2.1.2 主机名一级类别设备层评估项目名称主机名详细说明主机名是否规范评估方法检查主机名评估结果结果说明2.1.3 系统配置备份一级类别设备层评估项目名称系统配置备份详细说明系统配

5、置是否定期备份评估方法检查是否定期备份评估结果结果说明2.1.4 系统日志备份一级类别设备层评估项目名称系统日志备份详细说明系统日志等备份，建议建立log服务器或定期备份。评估方法交换机配置采用log日志服务器记录（对cisco6509）supervisor配置：set logging server enableset logging server x.x.x.xmsfc配置：logging onlogging source-interface loopback 0logging x.x.x.xlogging trap debugginglogging facility local7评估结果结

6、果说明2.2 接口和路由数据配置2.2.1 端口模式一级类别设备层评估项目名称端口模式详细说明查看以太网百兆口或千兆口端口协商方面设置是否一致。避免两遍协商出不同的速率或双工状态影响设备性能和端口稳定性。对于同种设备建议两边同时设置为自协商或100m/1000m全双工，对于异种设备且如果有一种不支持自协商，建议两边同时手工设置为共同支持的模式，如100m/1000m全双工。评估方法对cisco6509supervisorsh port status半双工端口统计评估结果结果说明2.2.2 端口/lan描述一级类别设备层评估项目名称端口/vlan描述详细说明查看端口/vlan是否做descrip

7、tion配置评估方法（对cisco6509）supervisor上查看show vlansh port statemsfc上查看show interface description评估结果结果说明2.2.3 端口安全配置一级类别设备层评估项目名称端口安全配置详细说明查看配置广播风暴抑制（braodcast-limt）配置，建议启用braodcast-limt；参看port security保护cam配置，建议启用port security配置；用户侧端口是否启用rrpf配置，建议在连接用户侧端口启用rrpf配置；参看用户侧端口是否配置arp-inspect配置，建议在连接用户侧端口启用arp-

8、inspect配置；评估方法对cisco6509sh run查看配置评估结果结果说明2.2.4 ip地址使用一级类别设备层评估项目名称ip地址使用详细说明检查互连段ip地址及用户段ip地址分配是否符合规划；汇聚层以上设备是否设置loopback地址。评估方法对cisco6509sh run 或 sh ip int bri查看配置评估结果结果说明2.2.5 路由配置一级类别设备层评估项目名称路由配置详细说明检查ospf 配置。用户地址段不做network；ospf引入直连和静态路由；用户网段做路由聚合；建议做路由黑洞；建议配置路由认证；建议设置cost值参数，改变其默认值；建议在起动态路由的设备

9、上使用loopback地址建立邻居。评估方法sh run查看ospf配置。评估结果结果说明2.2.6 vlan配置一级类别设备层评估项目名称vlan配置（仅对交换机）详细说明查看交换机中所有的vlan配置评估方法评估结果结果说明2.2.7 vlan透传一级类别设备层评估项目名称vlan透传（仅对交换机）详细说明查看是否大量存在透传的vlan。建议尽量不在整个城域网中做透传vlan；不使用vlan1；trunk上应尽可能清除不需要的vlan。评估方法supervisorshow trunk查看配置评估结果结果说明2.2.8 vtp配置一级类别设备层评估项目名称vtp配置（仅对交换机）详细说明检查

10、是否设置vtp评估方法supervisorshow vtp domain查看配置，vtp local mode应为tranparent评估结果结果说明2.2.9 stp配置一级类别设备评估项目名称stp配置（仅对交换机）详细说明检查交换机是否运行stp协议。存在环路的二层网络中需运行stp，并备有stp拓扑资料；评估方法对cisco6509show spanning 检查当前spanning tree情况，通过查看root-bridge的mac地址找到每个vlan的spanning-tree的root，root设置是否合理show config 检查有无配置 set spantree root

11、 命令评估结果结果说明2.3 安全配置2.3.1 路由引擎保护一级类别设备层评估项目名称路由引擎保护详细说明禁止用户侧访问业务引擎，仅允许合法的业务流量进入业务引擎评估方法show config ；show access-list ；评估结果结果说明2.3.2 接入访问控制一级类别设备层评估项目名称用户访问控制详细说明对于vty访问，建议设置：源ip访问限制、闲置超时切断、权限分级保护；用户密码禁止使用明文设置；建议尽量采用ssh替代telnet方式；评估方法对cisco6509show run查看配置评估结果结果说明2.3.3 口令一级类别设备层评估项目名称口令详细说明密码具备一定的复杂性，

12、密文显示评估方法对cisco6509show run查看配置评估结果结果说明2.3.4 关闭网络层服务一级类别设备层评估项目名称关闭网络层服务详细说明检查端口是否配置了no ip proxy-arp, no ip rediect,no ip direct-broadcast命令。ip proxy-arp 、ip redirect、direct-broadcast具有一定安全隐患，一般情况下建议关闭。评估方法在6509上show run检查no ip redirect评估结果结果说明2.3.5 关闭不必要服务一级类别设备层评估项目名称关闭不必要服务详细说明http、finger等服务端口具有一定

13、安全隐患，建议关闭。评估方法supervisorsh ip http查看msfcshow run检查no ip http server和no service finger或no ip finger评估结果结果说明2.3.6 病毒防范一级类别设备层评估项目名称病毒防范详细说明根据模板配置数据，对一些常见的蠕虫病毒攻击端口做限制，acl表应尽可能过滤所有已知的蠕虫病毒；检查各端口上访问控制列表的设置是否统一。评估方法（对cisco6509）show run检查配置sh access-list查看acl配置评估结果结果说明2.3.7 snmp设置一级类别设备层评估项目名称snmp设置详细说明密钥设置

14、不取默认值，建议做acl限制评估方法（对cisco6509）supervisorsh snmp查看msfcsh run | in snmp查看评估结果结果说明2.3.8 cdp一级类别设备层评估项目名称cisco discovery protocol（仅对cisco设备）详细说明cdp服务端口会告诉对端设备一些系统信息，建议关闭。评估方法对cisco6509supervisorsh cdp查看评估结果结果说明2.4 设备运行情况2.4.1 软硬件版本一级类别设备层评估项目名称软硬件版本详细说明查看系统的硬件和软件版本信息评估方法对cisco6509supervisorshow version，

15、show modulemsfcshow version命令查看评估结果结果说明2.4.2 运行环境参数一级类别设备层评估项目名称运行环境参数检查详细说明观察交换机机框、风扇和电源的工作状态是否正常；评估方法对cisco6509show env all检查设备运行环境参数评估结果结果说明2.4.3 系统日志一级类别设备层评估项目名称系统日志详细说明查看系统日志是否有告警或者错误信息；查看系统重启日志信息，检查系统和板卡是否有异常重启现象；如果有异常记录请将crashinfo和log信息发给厂家分析。评估方法对cisco6509show logging 显示log记录查看是否有告警或错误信息dir

16、 或show bootflash: all查看 bootflash中是否有crashinfo（记录格式一般为crashinfo_20040318-170428）show system检查设备历史出现的峰值时间评估结果结果说明2.4.4 设备/模块冗余性一级类别设备层评估项目名称设备/模块冗余性详细说明检查系统的物理上是否具备冗余性：是否具备双电源、双交换引擎（包括双路由模块）检查系统配置是否满足冗余性：查看系统双交换引擎（包括双路由模块）状态是否正常。评估方法对cisco6509show module 显示系统各模块。show environment power 显示系统电源模块工作是否正常。

17、评估结果结果说明2.4.5 控制板主/备情况一级类别设备层评估项目名称控制板主/备情况详细说明检查系统的物理上是否具备冗余性检查系统配置是否满足冗余性测试系统配置的冗余性评估方法对cisco6509supervisor上show system highavailablity，查看控制板是否配置主备切换msfc上，show redundancy 查看控制板是否配置主备切换评估结果结果说明2.4.6 cpu利用率一级类别设备层评估项目名称cpu利用率详细说明查看设备cpu利用率情况；查看各进程cpu占用情况；如果cpu利用率过高，查看是哪个进程引进的，是否正常。评估方法对cisco6509设备sh

18、ow process cpu 显示系统当前cpu利用率评估结果结果说明2.4.7 内存利用率一级类别设备层评估项目名称内存利用率详细说明查看设备内存利用率情况；查看各进程内存占用情况；如果内存利用率过高，查看是哪个进程引进的；是否正常。评估方法对cisco6509设备show process mem 显示系统当前内存利用率评估结果结果说明2.4.8 cam表资源一级类别设备层评估项目名称cam表资源详细说明查看设备cam表资源使用情况（哪个模块使用，使用了多少？）评估方法评估结果结果说明2.4.9 物理端口运行状态一级类别设备层评估项目名称端口运行状态详细说明查看设备各端口物理流量情况（二层流

19、量）：检查交换机各物理端口的数据包发送、接收、碰撞、错误（crc）等情况；错包过多可能由于链路质量或者端口老化造成。评估方法对cisco6509设备使用命令show top 发现流量/丢包/错误等最大的前n个端口。评估结果结果说明2.4.10 端口流量状况一级类别设备层评估项目名称端口流量状况详细说明查看设备各端口流量情况（三层流量）：检查端口流量、丢包率、错包率、广播包数量。检查交换机中经cpu处理的数据包信息，会占用多少cpu处理时间；检查是否存在异常广播包（包括arp广播包）。评估方法对cisco6509设备show interface vlan vlan# 分别在网络忙时和闲时统计主要

20、链路的带宽利用情况（input/output 流量及带宽利用率）；如有条件可以利用mrtg输出流量情况报表；使用命令show top 发现流量/丢包/错误等最大的前n个端口。评估结果结果说明2.4.11 路由信息一级类别设备层评估项目名称路由信息详细说明查看路由summary情况，路由表项是否过多；查看ospf的area设置情况；查看ospf邻居信息，检查ospf邻居是否优化；查看ospf接口信息，检查是否有多余端口在ospf area中；查看ospf是否配置了log-adjacency-changes（cisco设备, 记录ospf邻居状态的改变）。评估方法对cisco6509设备show

21、ip route summaryshow ip ospf areashow ip os nei show ip os interfaceshow run | in log-adjacency查看是否有该配置评估结果结果说明2.4.12 其他系统资源一级类别设备层评估项目名称其他系统资源详细说明由于各厂家的设备结构不完全一致，针对不同厂家型号的设备，可能具有其他的一些重要的系统资源，本项目检查这些资源。评估方法评估结果结果说明3 宽带接入服务器3.1 系统数据配置3.1.1 系统时间一级类别设备层评估项目名称系统时间详细说明检查设备系统时间是否正常，建议采用ntp提取时钟评估方法评估结果结果说明

22、3.1.2 主机名一级类别设备层评估项目名称主机名详细说明主机名是否规范，采用地名局名编号评估方法查看主机名是否规范评估结果结果说明3.1.3 系统备份一级类别设备层评估项目名称系统备份详细说明包括配置备份，系统日志等备份，建议建立log服务器或定期备份。评估方法查看是否定期备份或者自动备份配置和系统日志评估结果结果说明3.2 用户数据配置3.2.1 闲置在线门限一级类别设备层评估项目名称用户闲置数据设置详细说明用户闲置超过1小时，切断用户。评估方法show config ； show aaa timeout 评估结果结果说明3.2.2 最长在线时间一级类别设备评估项目名称用户长时间上网掉线设

23、置详细说明建议用户48小时连续上网，切断用户评估方法show config ； show aaa timeout评估结果结果说明3.3 用户模板3.3.1 用户pppoe数据模板一级类别设备评估项目名称pppoe模板的配置详细说明pppoe模板是否统一、正确，参考配置模板评估方法show config；show ip pool评估结果结果说明3.3.2 静态用户数据模板一级类别设备层评估项目名称静态用户模板的配置详细说明静态用户模板是否统一、正确，参考配置模板评估方法show config 评估结果结果说明3.3.3 l2tp数据模板一级类别设备层评估项目名称l2tp业务评估详细说明l2tp的

24、配置是否正确、符合模板。参考配置模板评估方法show l2tp评估结果结果说明3.3.4 用户端口数据限制一级类别设备层评估项目名称polic限制详细说明主要对用户流量和安全限制。参考配置模板评估方法show classifier-list ；show policy-list ；show ip interface atm评估结果结果说明3.3.5 端口配置一级类别设备层评估项目名称端口配置详细说明包括端口描述，端口工作模式，端口时钟是否准确。评估方法show config评估结果结果说明3.4 安全配置3.4.1 业务引擎保护一级类别设备层评估项目名称业务引擎保护详细说明禁止用户侧访问业务业务

25、引擎，仅允许合法的业务流量进入业务引擎评估方法show config ；show access-list ；评估结果结果说明3.4.2 接入访问控制一级类别设备层评估项目名称用户访问控制详细说明对于vty访问，建议设置：源ip访问限制、闲置超时切断、权限分级保护；用户密码禁止使用明文设置；建议尽量采用ssh替代telnet方式；评估方法show config查看配置评估结果结果说明3.4.3 口令一级类别设备层评估项目名称口令详细说明密码具备一定的复杂性，密文显示评估方法对cisco6509show run查看配置评估结果结果说明3.4.4 snmpserver配置一级类别设备层评估项目名称网

26、管配置详细说明snmp配置，不要使用默认的snmp community和snmp user；建议设置snmp访问acl评估方法show snmp community ；show snmp user ；show config评估结果结果说明3.4.5 防范ddos攻击安全配置一级类别设备层评估项目名称防范ddos攻击安全配置详细说明查看闭源路由转发配置：no ip source-route在端口查看是否关闭以下服务：icmp unreachablesicmp redirect proxy-arp评估方法sh config评估结果结果说明3.4.6 其他安全配置一级类别设备层评估项目名称其他安全配

27、置详细说明关闭httpserver，ftpserver功能，并作黑洞路由；检查ip pool是否都指向了null0检查loopback地址掩码是否都设置为55检查ip端口是否设置了no ip redirects检查专线ip地址段是否指向了null0评估方法show hosts ；show ip route ；sh ip route static；show config评估结果结果说明3.5 设备性能评估3.5.1 软件版本一级类别设备层评估项目名称版本统一性详细说明查看设备版本，建议升级到最新的稳定版本评估方法show version评估结果结果说明3.5.2 硬件配

28、置一级类别设备层评估项目名称硬件配置详细说明检查系统硬件配置情况评估方法评估结果结果说明3.5.3 运行环境参数一级类别设备层评估项目名称运行环境参数检查详细说明观察板卡、风扇和电源的工作状态是否正常；评估方法评估结果结果说明3.5.4 cpu占用率一级类别设备层评估项目名称cpu占用率详细说明查看cpu利用率，如果cpu利用率过高，查看是哪个进程引进的，或者是否由于用户过多引起。根据设备厂家型号的不同，可能需要检查每个板卡的cpu利用率。评估方法show processes cpu ；show utilization评估结果结果说明3.5.5 内存占用率一级类别设备层评估项目名称内存占用率详细说明查看内存利用率，主要检查内存分配项，并监控它的增长值，如果某进程持续申请内存而不释放，则此进程受到攻击，或是系统有bug存在，采取进一步的安全措施或系统升级解决。评估方法show processes memory评估结果结果说明3.5.6 端口运行状态一级类别设备层评估项目名称端口运行状态详细说明检查各端口的运