网络设备巡检报告模板

1 大地保险内蒙古分公司网络巡检报告 VersionVersion 1 X1 X 呼和浩特智安科技有限责任公司呼和浩特智安科技有限责任公司 巡检人员 日期20 年 月 日 2 网络巡检项目网络巡检项目 一 网络拓扑 拓扑分析 拓扑建议 二 网络带宽 链路类型 链路信息 三 网络设备信息 设备品牌 设备型号 设备放置 设备性能参数 设备 内存大小 设备槽位 设备序列号 设备购买年限 设备保修状态 设 备备件状况 设备标签完善程度 四 网络设备软件版本信息 当前 IOS 版本信息 最新 IOS 版本信息 设备 持续运行时间 设备 IOS 备份情况 设备 CPU 利用率 设备内存利用率 设备模块运行状态 设备风扇及电源状况 设备端口数量 设备端口类 别 设备端口类型 设备运行机箱温度 五 设备连通性 冗余协议运行状态 VLAN 信息 以太通道信息 路由协议 邻居关系 交换协议 生成树 STP 协议 NAT 连接数状态 FLASH 信息 设备配置信息分析 多余配置信息分析 配置精简建议 IOS 安全建议 防火墙信息 防火墙策略 防火墙 DMZ 区检查 防火墙 Xlate 状态 应 用业务 IP 地址使用状况 六 简单机房环境检查 3 检查指导检查指导 一 检查设备 IOS 软件版本 编号 C A 01 检查项目 cisco 设备 IOS 软件版本 检查命令 CISCO show version 检查期待结果 同合同 备注 主要显示 IOS 的版本 路由器持续运行的时间约 最近一次重启动的原 因 路由器主存的大小 共享存储器的大小 闪存的大小 IOS 映像的文件名 以及路由器 IOS 从何处启动等信息 show version 命令显示了路由器的许多非 常有用的信息 检查范例 由于现实内容过多 这里只截取部分 可把实际配置贴此处 Cisco Internetwork Operating System Software IOS tm s72033 rp Software s72033 rp IPSERVICESK9 WAN M Version 12 2 18 SXF15 RELEASE SOFTWARE fc1 Technical Support Copyright c 1986 2008 by cisco Systems Inc Compiled Sat 30 Aug 08 00 00 by kellythw Image text base 0 x40101040 data base 0 x42DD04B0 检查结果 正常 不正常 4 二 检查设备持续运行时间 编号 C A 02 检查项目 cisco 设备持续运行时间 检查命令 CISCO show version 检查期待结果 一般情况下网络设备在网络上线后不会中断 备注 如果设备 uptime 时间比较短 一定在利用 show version 命令查看设备 最近一次重启动的时间和原因 便于分析各种潜在风险 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 1 uptime is 1 year 22 weeks 4 days 17 hours 2 minutes Time since ksy c6509 1 switched to active is 1 year 22 weeks 4 days 17 hours 1 minute System returned to ROM by reload at 08 57 57 PST Tue Feb 5 2008 SP by reload System restarted at 12 19 06 UTC Wed Oct 15 2008 System image file is sup bootdisk s72033 ipservicesk9 wan mz 122 18 SXF15 bin 检查结果 正常 不正常 5 三 设备 CPU 利用率情况检查 编号 C A 03 检查项目 cisco 设备 CPU 利用率情况检查 检查命令 CISCO show processes cpu CISCO show processes cpu history 检查期待结果 CPU 利用率平均值 50 最大值2M Free memory 2 largest b i o free memory 2M 备注 show memory 显示了存储器的一般信息 它表明系统可用的内存 同时 它还显示内存中有没有碎片 内存碎片表明内存被划分为了许多不连续的块 它 将导致内存的利用率降低 严重时可能产生内存错误从而也严重影响路由器的 性能 如下例 此时我们有足够多的可用内存 317 2 兆 但是其中最大的块 为 226 5 兆 说明连续内存中还有足够大的可用块 路由器中存在一定数量的 内存碎片是正常的 虽然并没有一个很严格的界限来划分内存碎片的可接受程 度 但是可用块的大小至少应该不小于可用内存的一半 否则 有可能导致严重 的内存分配问题 这些问题有时表现为一个或多个接口间歇性的丢失报文 此例 中可用块 226 5 大于可用内存 312 兆字节的一半 156 兆 内存处于正常状态 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 1 show memory summary Head Total b Used b Free b Lowest b Largest b Processor 44B0B830 391038928 73832336 317206592 305248408 226509608 I O 8000000 67108864 10418792 56690072 45613312 56614072 检查结果 正常 不正常 7 五 设备系统模块运行状况检查 编号 C A 05 检查项目 cisco 设备模块运行状况检查 检查命令 CISCO show module 检查期待结果 所有模块运行 OK 备注 此命令还可以看到设备各个模块的 SN 号及各个设备模块的型号 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 1 show module Mod Ports Card Type Model Serial No 1 48 CEF720 48 port 10 100 1000mb Ethernet WS X6748 GE TX SAL1213KCUP 2 24 CEF720 24 port 1000mb SFP WS X6724 SFP SLA11509Y03 3 6 Firewall Module WS SVC FWM 1 SAD121703WP 5 2 Supervisor Engine 720 Active WS SUP720 3B JAF1201AHHR Mod MAC addresses Hw Fw Sw Status 1 001e 4a9f e320 to 001e 4a9f e34f 2 7 12 2 14r S5 12 2 18 SXF1 Ok 2 001d a27d 7eb8 to 001d a27d 7ecf 3 1 12 2 18r S1 12 2 18 SXF1 Ok 3 001f 9e53 4076 to 001f 9e53 407d 4 2 7 2 1 4 0 2 Ok 5 001b d50d aa34 to 001b d50d aa37 5 6 8 5 2 12 2 18 SXF1 Ok Mod Sub Module Model Serial Hw Status 1 Centralized Forwarding Card WS F6700 CFC SAL1213K3XH 4 0 Ok 2 Centralized Forwarding Card WS F6700 CFC SAL11455X9M 4 0 Ok 5 Policy Feature Card 3 WS F6K PFC3B JAF1202AKTB 2 3 Ok 5 MSFC3 Daughterboard WS SUP720 JAF1202ACCD 3 1 Ok 检查结果 正常 不正常 8 六 设备电源及风扇检查 编号 C A 06 检查项目 cisco 设备系统电源及风扇检查 检查命令 CISCO show environment status Cisco show power Cisco show power status fan tray Cisco show environment all 检查期待结果 电源及风扇运行正常 备注 对于思科的交换机与路由器命令可能会不大相同 此外命令 show power 还能看到电源的冗余状态 对于有两个或两个以上电源的设备 电源冗余状态 有两种模式 redundant 冗余 与 combined 组合 根据用户实际网络环 境与设备负载模块的数量决定电源模式 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show environment status fan tray 1 fan tray 1 type WS C6509 E FAN fan tray 1 mode Restricted power fan tray 1 fan fail OK power supply 1 power supply 1 fan fail OK power supply 1 power input AC high power supply 1 power output mode high power supply 1 power output fail OK 检查结果 正常 不正常 9 七 设备运行温度检查 编号 C A 07 检查项目 cisco 设备运行检查 检查命令 CISCO show environment status 检查期待结果 设备内部各部分工作温度小于 45 摄氏度 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show environment temperature all VTT 1 outlet temperature 28C VTT 2 outlet temperature 30C VTT 3 outlet temperature 26C 检查结果 正常 不正常 八 设备系统 LOG 日志检查 编号 C A 08 检查项目 cisco 设备系统 LOG 日志检查 检查命令 CISCO show logging 备注 如果有 SYSLOG 日志服务器可以更好的分析日志的时间及错误级别 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show logging Log Buffer 8192 bytes NDBY 6 STATECHANGE Vlan140 Group 140 state Active Init 2w6d STANDBY 6 STATECHANGE Vlan150 Group 150 state Active Init 2w6d STANDBY 6 STATECHANGE Vlan251 Group 210 state Active Init 2w6d STANDBY 6 STATECHANGE Vlan100 Group 100 state Standby Active 有无异常日志 有 没有 10 九 设备冗余协议检查 编号 C B 01 检查项目 HSRP VRRP GLBP 热备协议检查 检查命令 CISCO show standby brief Cisco show standby all Cisco show standby 以 HSRP 协议为例 其他协议原理基本上差不多 检查期待结果 主备用状态正常 备注 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show standby brief P indicates configured to preempt Interface Grp Prio P State Active addr Standby addr Group addr Vl1 1 100 P Standby 192 168 200 252 local 192 168 200 254 Vl2 2 100 P Standby 192 168 160 252 local 192 168 160 254 Vl3 3 100 P Standby 192 168 20 252 local 192 168 20 254 ksy c6509 2 show standby Vlan1 Group 1 Local state is Standby priority 100 may preempt Hellotime 3 sec holdtime 10 sec Next hello sent in 1 695 Virtual IP address is 192 168 200 254 configured Active router is 192 168 200 252 priority 120 expires in 8 104 Standby router is local 63 state changes last state change 1w3d IP redundancy name is hsrp Vl1 1 default 检查结果 正常 不正常 11 十 VLAN 状态检查 编号 C B 02 检查项目 VLAN 状态检查 检查命令 CISCO show vlan 检查期待结果 Vlan 名称 标示符合设计要求 vlan 里所含端口符合设计 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show vlan VLAN Name Status Ports 1 default active Gi1 7 Gi1 8 Gi1 34 Gi1 42 Gi1 46 Gi2 8 Gi2 9 Gi2 10 Gi2 11 Gi2 12 Gi2 13 Gi2 14 Gi2 15 Gi2 16 Gi2 17 Gi2 18 Gi2 19 Gi2 20 Gi2 21 Gi2 22 2 VLAN0002 active Gi1 1 Gi1 2 Gi1 19 Gi1 20 Gi1 23 Gi1 24 Gi1 25 Gi1 26 Gi1 27 Gi1 28 Gi1 40 3 VLAN0003 active Gi1 3 Gi1 4 4 VLAN0004 active Gi1 5 Gi1 6 检查结果 正常 不正常 12 十一 EtherChannel检查 编号 C B 03 检查项目 EtherChannel 检查 检查命令 CISCO show etherchannel port channel 检查期待结果 显示正确的 etherchannel 数量及每个 etherchannel 包含应有 的端口 备注 show etherchannel port channel 显示本交换机中含有的 portchannl 的情况 具体查看每个 portchannel 的状态使用 show int port channel n 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show etherchannel port channel Channel group listing Group 1 Port channels in the group Port channel Po1 Ports in the Port channel Index Load Port EC state No of bits 1 55 Gi5 1 On 4 0 AA Gi5 2 On 4 检查结果 正常 不正常 13 十二 trunk检查 编号 C B 04 检查项目 trunk 检查 检查命令 CISCO show interface trunk 检查期待结果 trunk 正常 备注 命令显示 trunk 信息 其中 port 是指参与 trunk 的端口 应与设计相符 mode 应为 on 模式 status 状态为 trunking 同时对于每个 trunk 端口 正在 trunking 的 vlan 应与设计相符 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show interfaces trunk Port Mode Encapsulation Status Native vlan Gi2 1 on 802 1q trunking 1 Gi2 2 on 802 1q trunking 1 Gi2 3 on 802 1q trunking 1 Gi2 4 on 802 1q trunking 1 Gi2 5 on 802 1q trunking 1 Gi2 6 on 802 1q trunking 1 Gi2 7 on 802 1q trunking 1 Po1 on 802 1q trunking 1 Port Vlans allowed on trunk Gi2 1 1 4094 Gi2 2 1 4094 Gi2 3 1 4094 Gi2 4 1 4094 Gi2 5 1 4094 Gi2 6 1 4094 Gi2 7 1 4094 Po1 1 4094 Port Vlans allowed and active in management domain Gi2 1 1 15 20 100 112 120 130 132 140 150 251 253 254 430 Gi2 2 1 15 20 100 112 120 130 132 140 150 251 253 254 430 Po1 1 15 20 100 112 120 130 132 140 150 251 253 254 430 检查结果 正常 不正常 14 十三 路由状况检查 编号 C B 05 检查项目 路由状况检查 检查命令 CISCO show ip route 6509 1 show ip route summary 检查期待结果 路由表应包含正确的路由信息 备注 对于企业一般都是交换网 一条默认路由指出 只是注意 VLAN 信息与此 直连路由是否相符 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show ip route Codes C connected S static R RIP M mobile B BGP D EIGRP EX EIGRP external O OSPF IA OSPF inter area N1 OSPF NSSA external type 1 N2 OSPF NSSA external type 2 ia IS IS inter area candidate default U per user static route o ODR P periodic downloaded static route Gateway of last resort is 192 168 254 1 to network 0 0 0 0 C 192 168 106 0 24 is directly connected Vlan106 C 192 168 107 0 24 is directly connected Vlan107 C 192 168 105 0 24 is directly connected Vlan105 C 192 168 70 0 24 is directly connected Vlan11 C 192 168 100 0 24 is directly connected Vlan100 C 192 168 101 0 24 is directly connected Vlan101 S 0 0 0 0 0 1 0 via 192 168 254 1 ksy c6509 2 show ip route summary IP routing table name is Default IP Routing Table 0 Route Source Networks Subnets Overhead Memory bytes connected 30 0 1920 4800 static 1 0 64 160 rip 0 0 0 0 Total 31 0 1984 4960 Removing Queue Size 0 检查结果 正常 不正常 15 十四 生成树 STP 检查 编号 C B 06 检查项目 生成树 STP 检查 检查命令 CISCO show spanning tree brief 6509 1 show span sum CISCO show spanning tree inte 可看具体 VLAN 或端口号 检查期待结果 跟节点 端口 forwarding 和 blocking 状态符合设计 备注 注意根网桥的位置及优先级 最好采用命令 spanning tree vlan X root primary 设置根网桥 并相应设定备份根网桥 维护 STP 树的稳定 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show spanning tree brief MST0 Spanning tree enabled protocol mstp Root ID Priority 32768 Address 0004 dc04 1c9e Cost 20001 Port 1665 Port channel1 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32768 priority 32768 sys id ext 0 Address 001f 9d32 b000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Interface Role Sts Cost Prio Nbr Type Gi1 2 Desg FWD 20000 128 2 P2p Gi1 19 Desg FWD 2000000 128 19 P2p Gi1 20 Desg FWD 200000 128 20 P2p Gi1 21 Desg FWD 20000 128 21 P2p Bound STP Gi1 23 Desg FWD 20000 128 23 P2p Gi1 24 Desg FWD 200000 128 24 P2p Gi1 27 Desg FWD 20000 128 27 P2p 检查结果 正常 不正常 16 十五 接口状态检查 编号 C B 07 检查项目 接口状态检查 检查命令 CISCO show interface 可加具体端口号或 VLAN CISCO show interface sum 检查期待结果 接口运行正常 无过多的错误 广播及冲突包 显示工作的端口 为 UP 状态 端口冲突 错误等非信息小于 1 10000 端口名称正确 端口双工 状态正常 备注 检查范例 由于现实内容过多 这里只截取部分 ksy c6509 2 show interfaces GigabitEthernet2 1 is up line protocol is up connected Hardware is C6k 1000Mb 802 3 address is 001e 1357 a3f4 bia 001e 1357 a3f4 Description connect jiulouhexin86 12 10 1 2 12 5 11 12 MTU 1500 bytes BW 1000000 Kbit DLY 10 usec reliability 255 255 txload 1 255 rxload 1 255 Encapsulation ARPA loopback not set Keepalive set 10 sec Full duplex 1000Mb s media type is LH input flow control is off output flow control is on Output queue 0 40 size max 5 minute input rate 15000 bits sec 20 packets sec 5 minute output rate 0 bits sec 0 packets sec 2333773918 packets input 227488494191 bytes 0 no buffer Received 2321784115 broadcasts 1793469168 multicasts 0 runts 0 giants 0 throttles 1 input errors 0 CRC 0 frame 0 overrun 0 ignored 0 watchdog 0 multicast 0 pause input 0 input packets with dribble condition detected 3133137472 packets output 306700001183 bytes 0 underruns 0 output errors 0 collisions 6 interface resets 0 babbles 0 late collision 0 deferred 0 lost carrier 0 no carrier 0 PAUSE output 0 output buffer failures 0 output buffers swapped out 检查结果 正常 不正常 17 十六 NAT 检查 编号 C B 08 检查项目 NAT 配置及 NAT 连接数状态 检查命令 router show running config 看 NAT 具体配置 router show ip nat translations 看 NAT 转换情况 router show ip nat statistics 看 NAT 连接数情况 检查期待结果 NAT 配置正常 连接装换情况正常 连接数没有太多丢失情况 备注 由于 P2P 等并发连接特别多 如果网络环境中发现 NAT 连接数丢失情况 比较大 而又没有流量控制设备 建议在 NAT 设备上做 NAT 连接数限制 每个 用户限制 100 个连接 防止网络中连接数过多 超出路由器承载能力 检查范例 由于现实内容过多 这里只截取部分 router show ip nat statistics Total active translations 3540 19 static 3521 dynamic 3532 extended Outside interfaces GigabitEthernet0 1 Inside interfaces GigabitEthernet0 0 Hits 3708991098 Misses 325753312 CEF Translated packets 3926956344 CEF Punted packets 228979536 Expired translations 351641902 Dynamic mappings Inside Source Id 1 access list nat11 pool 11 refcount 0 pool 11 netmask 255 255 255 0 start 123 127 241 11 end 123 127 241 11 type generic total addresses 1 allocated 0 0 misses 4398 Id 2 access list natlist pool 1 refcount 3529 pool 1 netmask 255 255 255 0 start 123 127 241 1 end 123 127 241 2 type generic total addresses 2 allocated 2 100 misses 123322 Id 3 access list vlanother pool 3 refcount 0 pool 3 netmask 255 255 255 0 start 123 127 241 3 end 123 127 241 3 type generic total addresses 1 allocated 0 0 misses 178876 Queued Packets 196 检查结果 正常 不正常 18 十七 防火墙检查 编号 C B 09 检查项目 防火墙摆放位置 防火墙策略应用 防火墙 failover 状态 如果有 xlate 状态 防火墙硬件性能参数 DMZ 区是否正常 地址映射是否正常 检查命令 PIX show failover PIX show run PIX show xlate 查看 NTA 连接数情况 检查期待结果 防火墙策略符合设计 NAT 正常 failover 功能正常 备注 一般情况下 防火墙应放置在网络企业目前 PIX 防火墙的安全访问策略主 要是通过 ACL 控制列表来实现 管道应用很少 注意思科 PIX 设备默认允许高 优先级区域访问低优先级区域 特别注意网络中 ACL 应用 permit ip any any 这样允许所有的语句 禁止使用这种语句 检查结果 正常 不正常 19 十八 其他维护信息检查 编号 C B 10 检查项目 CDP NTP 协议 其他维护信息 检查命令 CISCO show cdp nei CISCO show ntp sta 6509 1 show clock 检查期待结果 1 网络设备 IOS 软件与及配置文件要定期备份 2 网络工程文档能实时更新与当前运行的网络相符合 3 网络设备采用 SSH 登陆取代 Telent 并采用 ACL 列表控制访问范围 4 所有交换机及路由器密码需字母与数字结合 备注 一般情况下 为了网络安全 在有些网络环境中要把 NTP CDP 等协议关 闭 要结合客户性质及网络环境来决定是否打开这些服务 如果客户网络环境 应用了网管软件或日志服务器 应该设置 NTP 时钟 使整个网络环境网络设备 时间保持一致 检查范例 由于现实内容过多 这里只截取部分 WS C6509 1 show cdp nei Capability Codes R Router T Trans Bridge B Source Route Bridge S Switch H Host I IGMP r Repeater P Phone Device ID Local Intrfce Holdtme Capability Platform Port ID C4506 29F Ten 2 4 134 R S I WS C4506 Ten 1 1 C4506 25F Ten 3 3 126 R S I WS C4506 Ten 1 1 C4506 27F Ten 2 2 123 R S I WS C4506 Ten 1 2 C4506 26F Ten 2 3 152 R S I WS C4506 Ten 1 1 C4506 31F Ten 2 1 145 R S I WS C4506 Ten 1 1 C4506 23F Ten 3 1 127 R S I WS C4506 Ten 1 1 C4506 22F Ten 3 2 147 R S I WS C4506 Ten 1 1 WS C6509 2 Gig 4 48 130 R S I WS C6509 EGig 4 48 检查结果 正常 不正常 20 网络拓扑巡检报告单网络拓扑巡检报告单 巡检记录巡检记录 网络拓扑图网络拓扑图 此处粘贴网络拓扑图此处粘贴网络拓扑图 网络拓扑分析 网络拓扑分析 网络拓扑分析建议 网络拓扑分析建议 此处可写对网络环境拓扑的建议 网网 络络 巡巡 检检 报报 告告 21 网络