网络设备巡检报告模板

1、大地保险内蒙古分公司网络巡检报告Versio n 1.X呼和浩特智安科技有限责任公司巡检人员日期20 年 月曰网络巡检项目一、网络拓扑、拓扑分析、拓扑建议二、网络带宽、链路类型、链路信息二、 网络设备信息、设备品牌、设备型号、设备放置、设备性能参数、设备内 存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备 件状况、设备标签完善程度四、网络设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持 续运行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设 备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类别、 设备端口类型、设备运行机箱温度五、设备连通

2、性、冗余协议运行状态、VLAN言息、以太通道信息、路由协议、邻居关系、交换协议、生成树 STP协议、NAT连接数状态、FLASH言息、 设备配置信息分析、多余配置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙 DMZ区检查、防火墙Xlate状态、应用 业务、IP地址使用状况六、简单机房环境检查检查指导一、检查设备IOS软件版本编号：C-A-01检查项目：cisco设备IOS软件版本检查命令：CISCO#show version 检查期待结果：同合同 备注：主要显示IOS的版本、路由器持续运行的时间约、最近一次重启动的原因、 路由器主存的大小、共享存储器的大小、闪存的大小

3、、IOS映像的文件名，以及 路由器IOS从何处启动等信息。show version命令显示了路由器的许多非常有 用的信息检查范例：(由于现实内容过多，这里只截取部分)可把实际配置贴此处Cisco Intern etwork Operat ing System SoftwareIOS (tm) s72033_rp Software (s72033_rp-IPSERVICESK9_WAN-M Version 12.2(18)SXF15 , RELEASE SOFTWARE (fc1)Copyright (c) 1986-2008 by cisco Systems, I nc. Compiled S

4、at 30-Aug-08 00:00 by kellythw检查结果：正常 不正常二、检查设备持续运行时间编号：C-A-02检查项目：cisco设备持续运行时间检查命令：CISCO#show version 检查期待结果：一般情况下网络设备在网络上线后不会中断。备注：如果设备uptime时间比较短，一定在利用show version命令查看设备最 近一次重启动的时间和原因，便于分析各种潜在风险。检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_1 uptime is 1 year, 22 weeks, 4 days, 17 hours, 2 minu tesTime since

5、 ksy_c6509_1 switched to active is 1 year, 22 weeks, 4 days, 17 hours,1 mi nuteSystem returned to ROM by reload at 08:57:57 PST Tue Feb 5 2008 (SP by reload)System restarted at 12:19:06 UTC Wed Oct 15 2008检查结果：正常 不正常三、设备CPU利用率情况检查编号：C-A-03检查项目：cisco设备CPI利用率情况检查检查命令：CISCO#show processes cpuCISCO#show

6、 processes cpu history检查期待结果：CPU利用率平均值50%最大值70%备注：使用show process cpu命令检查路由器短时间内（5分钟内）的CPU利 用率。该命令将以百分比的形式给出路由器 CPU的利用率，同时显示路由器中不 同进程的CPU占用率。在通常情况下，在5分钟内CPU的平均利用率小于50%是 可以接受的。如果CPU利用率出现了问题，则需要不断地监视这一参数，因为它 可能在短时间内发生变化。最好每 10秒钟使用一次该命令。通过这种方法，可 以清楚地了解CPU利用率的波动情况。如果CPU的平均利用率超过了 70%则表 明路由器过载。下一步需要检查那一些进程

7、导致了 CPU利用率过高。而命令show processes cpu history可以通过图表看到最长 72小时的最大CPL利用率和平均CPU利用率。检查范例：（由于现实内容过多，这里只截取部分）CPU utilization for five seco nds: 5%/2%; one minute: 3%; five minu tes: 2%PID Run time（ms） In vokeduSecs 5Sec 1Min 5Min TTY Process14482253 0.00% 0.00% 0.00% 0 Chunk Man ager217428905005210.00% 0.00%0

8、.00% 0 Load Meter4030* *20* * * * * *10*0505050505050CPU% per hour (last 72 hours)* = maximum CPU% # = average CPU%检查结果：正常不正常四、设备memory利用状况检查编号：C-A-04检查项目：cisco设备memory利用状况检查检查命令：CISCO#show memory CISCO#show memory sumi/o free检查期待结果：Free memory >2M ,Free memory > 2*largest(b), memory > 2M备注

9、：show memory显示了存储器的一般信息，它表明系统可用的内存。同时它 还显示内存中有没有碎片，内存碎片表明内存被划分为了许多不连续的块。它将 导致内存的利用率降低，严重时可能产生内存错误从而也严重影响路由器的性 能。如下例，此时我们有足够多的可用内存(317.2 兆)，但是其中最大的块为 226.5兆。说明连续内存中还有足够大的可用块。路由器中存在一定数量的内存 碎片是正常的。虽然并没有一个很严格的界限来划分内存碎片的可接受程度，但是可用块的大小至少应该不小于可用内存的一半。否则，有可能导致严重的内存分配问题。这些问题有时表现为一个或多个接口间歇性的丢失报文，此例中可用块226.5大于

10、可用内存312兆字节的一半156兆，内存处于正常状态。检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_1#show memory summaryHead Total(b) Used(b) Free(b) Lowest(b) Largest(b)检查结果：正常不正常五、设备系统模块运行状况检查编号：C-A-05检查项目：cisco设备模块运行状况检查检查命令：CISCO#show module检查期待结果：所有模块运行0K备注：此命令还可以看到设备各个模块的SN号及各个设备模块的型号检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_1#show moduleMo

11、d Ports Card TypeModelSerial No.1 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1213KCUP2 24 CEF720 24 port 1000mb SFPWS-X6724-SFP SLA11509Y033 6 Firewall ModuleWS-SVC-FWM-1 SAD121703WP52 Supervisor Engine 720 (Active) WS-SUP720-3B JAF1201AHHRMod MAC addressesHw Fw Sw Status27d.7ecf 3.1

12、 12.2(18r)S1 12.2(18)SXF1 OkMod Sub-ModuleModelSerial Hw Status1 Cen tralized Forwardi ng Card WS-F6700-CFCSAL1213K3XH 4.0 Ok2 Cen tralized Forwardi ng Card WS-F6700-CFCSAL11455X9M 4.0 Ok5 Policy Feature Card 3 WS-F6K-PFC3B JAF1202AKTB 2.3 Ok5 MSFC3 Daughterboard WS-SUP720 JAF1202ACCD 3.1 Ok检查结果：正常

13、不正常六、设备电源及风扇检查编号：C-A-06检查项目：cisc。设备系统电源及风扇检查检查命令：CISCO#show en viro nment statusCisco#show powerCisco#show power status fan-trayCisco#show en vir onment all检查期待结果：电源及风扇运行正常备注：对于思科的交换机与路由器命令可能会不大相同，此外命令show power还能看到电源的冗余状态（对于有两个或两个以上电源的设备），电源冗余状态有两种模式：redundant （冗余）与combined （组合）。根据用户实际网络环境与 设备负载模块的

14、数量决定电源模式。检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2#show en vir onment statusfan-tray 1:fan-tray 1 type: WS-C6509-E-FANfan-tray 1 mode: Restricted-powerfan-tray 1 fan-fail: OKpower-supply 1:power-supply 1 fan-fail: OKpower-supply 1 power- in put: AC highpower-supply 1 power-output-mode: highpower-supply 1 p

15、ower-output-fail: OK检查结果：正常不正常七、设备运行温度检查编号：C-A-07检查项目：cisco设备运行检查检查命令：CISCO#show en viro nment status检查期待结果：设备内部各部分工作温度小于 45摄氏度 检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2#show en vir onment temperature allVTT 1 outlet temperature: 28CVTT 2 outlet temperature: 30CVTT 3 outlet temperature: 26C检查结果：正常 不正常八、设备系

16、统LOG日志检查编号：C-A-08检查项目：cisc。设备系统LOG日志检查检查命令：CISCO#show loggi ng备注：如果有SYSLO日志服务器可以更好的分析日志的时间及错误级别检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2# show loggi ngLog Buffer （8192 bytes）:NDBY-6-STATECHANGE: Vla n140 Group 140 state Active -> In it2w6d: %STANDBY-6-STATECHANGE: Via n150 Group 150 state Active -> I

17、n it2w6d: %STANDBY-6-STATECHANGE: Via n251 Group 210 state Active -> In it2w6d: %STANDBY-6-STATECHANGE: Via n100 Group 100 state Sta ndby -> Active有无异常日志：有 没有九、设备冗余协议检查编号：C-B-01检查项目：HSRP VRRP GLBF热备协议检查检查命令：CISCO#show standby brief Cisco#show standby all Cisco# show standby （以HSR助、议为例，其他协议原理基本

18、上差不多 ）检查期待结果：主备用状态正常备注：检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2#show standby briefP in dicates con figured to preempt.IIn terface Grp Prio P State Active addr Stan dby addr Group addrVl1ksy_c6509_2#show stan dbyVlan1 - Group 1Local state is Standby, priority 100, may preempt Hellotime 3 sec, holdtime 10 s

19、ecNext hello sent in 1.695Stan dby router is local63 state cha nges, last state cha nge 1w3dIP redundancy name is "hsrp-VI1-1" (default)检查结果：正常不正常十、 VLAN犬态检查编号：C-B-02检杳项目：VLAN犬态检杳检杳命令：CISCO#show vla n检杳期待结果：Vlan名称、标示符合设计要求，vlan里所含端口符合设计检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2#show vla nVLAN Name

20、Status Ports1 defaultactive Gi1/7, Gi1/8, Gi1/34, Gi1/42,Gi1/46, Gi2/8Gi2/9,Gi2/10,Gi2/11,Gi2/12,Gi2/13Gi2/14, Gi2/15, Gi2/16, Gi2/17,Gi2/18Gi2/19, Gi2/20, Gi2/21, Gi2/222 VLAN0002active Gi1/1, Gi1/2, Gi1/19, Gi1/20,Gi1/23Gi1/24, Gi1/25, Gi1/26, Gi1/27,Gi1/28Gi1/403 VLAN0003active Gi1/3, Gi1/44 VLAN

21、0004active Gi1/5, Gi1/6检查结果：正常不正常卜、EtherChannel 检查编号：C-B-03检查项目：EtherChannel检查检查命令：CISCO#show ethercha nnel port-cha nn el检查期待结果：显示正确的etherchannel数量及每个etherchannel包含应有的端口备注:show etherchannelport-channel显示本交换机中含有的 portchannl的情况,具体查看每个 portchannel的状态使用show int port-channel n检查范例：（由于现实内容过多，这里只截取部分） ksy

22、_c6509_2#show ethercha nnel port-cha nnelChann el-group listi ng:Group: 1Port-cha nn els in the group:Port-cha nn el: Po1Ports in the Port-cha nn el:In dex Load Port EC state No of bits155Gi5/1 On 40AAGi5/2 On 4检查结果：正常 不正常十二、 trunk检查编号：C-B-04检查项目：trunk检查检查命令：CISCO#show in terface trunk检查期待结果：trunk正常

23、备注:命令显示trunk信息，其中port是指参与trunk的端口 ,应与设计相 符,mode应为on模式,status 状态为trunking, 同时对于每个trunk端口 ,正 在trunking 的vlan应与设计相符检查范例：（由于现实内容过多，这里只截取部分）ksy_c6509_2#show interfaces trunkPortModeEncapsulation StatusNative vlanGi2/1on802.1qtrunking1Gi2/2on802.1qtrunking1Gi2/3on802.1qtrunking1Gi2/4on802.1qtrunking1Gi2/5

24、on802.1qtrunking1Gi2/6on802.1qtrunking1Gi2/7on802.1qtrunking1Po1on802.1qtrunking 1PortVlans allowed on trunkGi2/11-4094Gi2/21-4094Gi2/31-4094Gi2/41-4094Gi2/51-4094Gi2/61-4094Gi2/71-4094Po11-4094PortVlans allowed and active in management domainGi2/11-15,20,100-112,120,130-132,140,150,251,253-254,430G

25、i2/21-15,20,100-112,120,130-132,140,150,251,253-254,430Po11-15,20,100-112,120,130-132,140,150,251,253-254,430检查结果：正常不正常十三、路由状况检查编号：C-B-05检查项目：路由状况检查检查命令：CISCO#show ip route 6509_1#show ip route summary检查期待结果：路由表应包含正确的路由信息备注：对于企业一般都是交换网，一条默认路由指出，只是注意VLAN言息与此直连路由是否相符。检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_2

26、# show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downlo

27、aded static routed, Vlan1074.1ksy_c6509_2# show ip route summaryIP routing table name is Default-IP-Routing-Table(0)Route SourceNetworksSubnetsOverhead Memory (bytes)connected30019204800static1064160rip000 0Total31019844960Removing Queue Size 0检查结果：正常 不正常十四、 生成树STP检查编号：C-B-06检查项目：生成树STP检查检查命令：CISCO#

28、show spa nnin g-tree brief 6509_1#show spa n sum CISCO#show spanning-tree inte (可看具体 VLAN或端口号)检查期待结果：跟节点,端口 forwarding和blocking状态符合设计备注：注意根网桥的位置及优先级，最好采用命令spanning-tree vlan X rootprimary设置根网桥，并相应设定备份根网桥，维护STP树的稳定。检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_2#show spa nnin g-tree briefMST0Spanning tree en able

29、d protocol mstpRoot ID Priority 32768Cost 20001Port1665 (Port-cha nn ell)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32768 (priority 32768 sys-id-ext 0)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secIn terfaceRole Sts Cost Prio.Nbr TypeGi1/2Desg FWD 20000128.2 P2pGi1/

30、19Desg FWD 2000000128.19P2pGi1/20Desg FWD 200000128.20P2pGi1/21Desg FWD 20000128.21P2p Boun d(STP)Gi1/23Desg FWD 20000128.23P2pGi1/24Desg FWD 200000128.24P2pGi1/27Desg FWD 20000128.27P2p检查结果：正常 不正常十五、接口状态检查编号：C-B-07检查项目：接口状态检查检查命令：CISCO#show in terface （可加具体端口号或 VLAN）CISCO#show in terface sum检查期待结果：

31、接口运行正常，无过多的错误，广播及冲突包，显示工作的端口 为UP状态；端口冲突、错误等非信息小于1/10000。端口名称正确；端口双工状 态正常。备注：检查范例：(由于现实内容过多，这里只截取部分)ksy_c6509_2#show interfacesGigabitEthernet2/1 is up, line protocol is up (connected)Hardware is C6k 1000Mb 802.3, addresDescription: connect jiulouhexin86 12#10#(1,2)-12#5#(11,12)MTU 1500 bytes, BW 100

32、0000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Full-duplex, 1000Mb/s, media type is LHinput flow-control is off, output flow-control is onOutput queue: 0/40 (size/max)5 minute input rate 15000 bits/sec, 20 packets/sec5

33、minute output rate 0 bits/sec, 0 packets/sec0 runts, 0 giants, 0 throttles1 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected0 output errors, 0 collisions, 6 interface resets0 babbles, 0 late collision, 0 deferred0

34、 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out检查结果：正常 不正常十六、NAT检查编号：C-B-08检查项目:NAT配置及NAT连接数状态检查命令：router#show running-config （ 看 NAT具体配置） router#show ip nat translations（看 NAT转换情况）router#show ip nat statistics（看 NAT连接数情况）检查期待结果：NAT配置正常，连接装换情况正常，连接数没

35、有太多丢失情况。 备注：由于P2P等并发连接特别多，如果网络环境中发现NAT连接数丢失情况 比较大，而又没有流量控制设备，建议在NAT设备上做NAT连接数限制，每个用 户限制100个连接，防止网络中连接数过多，超出路由器承载能力。检查范例：（由于现实内容过多，这里只截取部分）router#show ip nat statisticsTotal active tran slatio ns: 3540 （19 static, 3521 dyn amic; 3532 exte nded）Outside in terfaces:GigabitEthernetO/1In side in terfaces

36、:GigabitEthernetO/ODyn amic mapp in gs:-In side SourceId: 1 access-list n at11 pool 11 refcou nt 0type gen eric, total addresses 1, allocated 0 (0%), misses 4398Id: 2 access-list natlist pool 1 refcou nt 3529ptype generic, total addresses 2, allocated 2 (100%), misses 123322Id: 3 access-list vla no

37、ther pool 3 refcount 0type generic, total addresses 1, allocated 0 (0%), misses 178876 Queued Packets: 196检查结果：正常不正常十七、防火墙检查编号：C-B-09检查项目：防火墙摆放位置、防火墙策略应用、防火墙failover状态（如果有）、 xlate_状态、防火墙硬件性能参数、_ DMZ区是否正常、地址映射是否正常检查命令：PIX#show failover PIX#show runPIX#show xlate（查看NTA连接数情况）检查期待结果：防火墙策略符合设计、NAT正常、fail

38、over 功能正常备注：一般情况下，防火墙应放置在网络企业目前PIX防火墙的安全访问策略主要是通过ACL控制列表来实现，管道应用很少。注意思科PIX设备默认允许高优 先级区域访问低优先级区域，特别注意网络中ACL应用permit ip any any这样允许所有的语句，禁止使用这种语句。检查结果：正常 不正常十八、其他维护信息检查编号：C-B-10 检查项目：CDP NTP协议、其他维护信息检查命令：CISCO#show cdp nei CISCO#show ntp sta 6509_1#show clock检查期待结果：一1. 网络设备IOS软件与及配置文件要定期备份。2. 网络工程文档能实

39、时更新与当前运行的网络相符合3. 网络设备采用SSH登陆取代Tele nt;并采用ACL列表控制访问范围4.所有交换机及路由器密码需字母与数字结合备注：一般情况下，为了网络安全，在有些网络环境中要把 NTRCDP等协议关闭, 要结合客户性质及网络环境来决定是否打开这些服务。如果客户网络环境应用了 网管软件或日志服务器，应该设置NTP时钟，使整个网络环境网络设备时间保持 一致。检查范例：（由于现实内容过多，这里只截取部分）WS-C6509-1#show cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source Route BridgeS - Switch, H - Host, I - IGMP, r - Repeater, P - PhoneDevice IDLocal In trfceHoldtmeCapability Platfo