网络设备巡检报告模板

PAGE.PAGE.XXXXXXXXX公司网络巡检报告NetworkHealthCheckServiceVersion1.XXX巡检人员日期20XXX月X日网络巡检项目网络拓扑、拓扑分析、拓扑建议网络带宽、链路类型、链路信息网络设备信息、设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度网络设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机箱温度设备连通性、冗余协议运行状态、VLAN信息、以太通道信息、路由协议、邻居关系、交换协议、生成树STP协议、NAT连接数状态、FLASH信息、设备配置信息分析、多余配置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ区检查、防火墙Xlate状态、应用业务、IP地址使用状况简单机房环境检查检查指导检查设备IOS软件版本编号：C-A-01检查项目：cisco设备IOS软件版本检查命令：CISCO#showversion检查期待结果：同合同备注：主要显示IOS的版本、路由器持续运行的时间约、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名,以及路由器IOS从何处启动等信息。showversion命令显示了路由器的许多非常有用的信息检查范例：〔由于现实内容过多,这里只截取部分可把实际配置贴此处CiscoInternetworkOperatingSystemSoftwareIOS<tm>s72033_rpSoftware<s72033_rp-IPSERVICESK9_WAN-M>,Version12.2<18>SXF15,RELEASESOFTWARE<fc1>Copyright<c>1986-2008byciscoSystems,Inc.CompiledSat30-Aug-0800:00bykellythwImagetext-base:0x40101040,data-base:0x42DD04B0检查结果：□正常□不正常检查设备持续运行时间编号：C-A-02检查项目：cisco设备持续运行时间检查命令：CISCO#showversion检查期待结果：一般情况下网络设备在网络上线后不会中断。备注：如果设备uptime时间比较短,一定在利用showversion命令查看设备最近一次重启动的时间和原因,便于分析各种潜在风险。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_1uptimeis1year,22weeks,4days,17hours,2minutesTimesinceksy_c6509_1switchedtoactiveis1year,22weeks,4days,17hours,1minuteSystemreturnedtoROMbyreloadat08:57:57PSTTueFeb52008<SPbyreload>Systemrestartedat12:19:06UTCWedOct152008检查结果：□正常□不正常设备CPU利用率情况检查编号：C-A-03检查项目：cisco设备CPU利用率情况检查检查命令：CISCO#showprocessescpuCISCO#showprocessescpuhistory检查期待结果：CPU利用率平均值<50%；最大值<70%备注：使用showprocesscpu命令检查路由器短时间内〔5分钟内的CPU利用率。该命令将以百分比的形式给出路由器CPU的利用率,同时显示路由器中不同进程的CPU占用率。在通常情况下,在5分钟内CPU的平均利用率小于50%是可以接受的。如果CPU利用率出现了问题,则需要不断地监视这一参数,因为它可能在短时间内发生变化。最好每10秒钟使用一次该命令。通过这种方法,可以清楚地了解CPU利用率的波动情况。如果CPU的平均利用率超过了70%,则表明路由器过载。下一步需要检查那一些进程导致了CPU利用率过高。而命令showprocessescpuhistory可以通过图表看到最长72小时的最大CPU利用率和平均CPU利用率。检查范例：〔由于现实内容过多,这里只截取部分CPUutilizationforfiveseconds:5%/2%;oneminute:3%;fiveminutes:2%PIDRuntime<ms>InvokeduSecs5Sec1Min5MinTTYProcess144822530.00%0.00%0.00%0ChunkManager217428905005210.00%0.00%0.00%0LoadMeter4030*****20****************10**********************************************************************051122334455667.0505050505050CPU%perhour<last72hours>*=maximumCPU%#=averageCPU%检查结果：□正常□不正常设备memory利用状况检查编号：C-A-04检查项目：cisco设备memory利用状况检查检查命令：CISCO#showmemoryCISCO#showmemorysum检查期待结果：Freememory>2M,Freememory>2*largest<b>,i/ofreememory>2M备注：showmemory显示了存储器的一般信息,它表明系统可用的内存。同时它还显示内存中有没有碎片,内存碎片表明内存被划分为了许多不连续的块。它将导致内存的利用率降低,严重时可能产生内存错误从而也严重影响路由器的性能。如下例,此时我们有足够多的可用内存〔317.2兆,但是其中最大的块为226.5兆。说明连续内存中还有足够大的可用块。路由器中存在一定数量的内存碎片是正常的。虽然并没有一个很严格的界限来划分内存碎片的可接受程度,但是可用块的大小至少应该不小于可用内存的一半。否则,有可能导致严重的内存分配问题。这些问题有时表现为一个或多个接口间歇性的丢失报文,此例中可用块226.5大于可用内存312兆字节的一半156兆,内存处于正常状态。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_1#showmemorysummaryHeadTotal<b>Used<b>Free<b>Lowest<b>Largest<b>Processor44B0B83039103892873832336317206592305248408226509608I/O80000006710886410418792566900724561331256614072检查结果：□正常□不正常设备系统模块运行状况检查编号：C-A-05检查项目：cisco设备模块运行状况检查检查命令：CISCO#showmodule检查期待结果:所有模块运行OK备注：此命令还可以看到设备各个模块的SN号及各个设备模块的型号。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_1#showmoduleModPortsCardTypeModelSerialNo.148CEF72048port10/100/1000mbEthernetWS-X6748-GE-TXSAL1213KCUP224CEF72024port1000mbSFPWS-X6724-SFPSLA11509Y0336FirewallModuleWS-SVC-FWM-1SAD121703WP52SupervisorEngine720<Active>WS-SUP720-3BJAF1201AHHRModMACaddressesHwFwSwStatus1001e.4a9f.e320to001e.4a9f.e34f2.712.2<14r>S512.2<18>SXF1Ok2001d.a27d.7eb8to001d.a27d.7ecf3.112.2<18r>S112.2<18>SXF1Ok3001f.9e53.4076to001f.9e53.407d4.27.2<1>4.0<2>Ok5001b.d50d.aa34to001b.d50d.aa375.68.5<2>12.2<18>SXF1OkModSub-ModuleModelSerialHwStatus1CentralizedForwardingCardWS-F6700-CFCSAL1213K3XH4.0Ok2CentralizedForwardingCardWS-F6700-CFCSAL11455X9M4.0Ok5PolicyFeatureCard3WS-F6K-PFC3BJAF1202AKTB2.3Ok5MSFC3DaughterboardWS-SUP720JAF1202ACCD3.1Ok检查结果：□正常□不正常设备电源及风扇检查编号：C-A-06检查项目：cisco设备系统电源及风扇检查检查命令：CISCO#showenvironmentstatusCisco#showpowerCisco#showpowerstatusfan-trayCisco#showenvironmentall检查期待结果:电源及风扇运行正常备注:对于思科的交换机与路由器命令可能会不大相同,此外命令showpower还能看到电源的冗余状态〔对于有两个或两个以上电源的设备,电源冗余状态有两种模式：redundant〔冗余与combined〔组合。根据用户实际网络环境与设备负载模块的数量决定电源模式。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showenvironmentstatusfan-tray1:fan-tray1type:WS-C6509-E-FANfan-tray1mode:Restricted-powerfan-tray1fan-fail:OKpower-supply1:power-supply1fan-fail:OKpower-supply1power-input:AChighpower-supply1power-output-mode:highpower-supply1power-output-fail:OK检查结果：□正常□不正常设备运行温度检查编号：C-A-07检查项目：cisco设备运行检查检查命令：CISCO#showenvironmentstatus检查期待结果:设备内部各部分工作温度小于45摄氏度检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showenvironmenttemperatureallVTT1outlettemperature:28CVTT2outlettemperature:30CVTT3outlettemperature:26C检查结果：□正常□不正常设备系统LOG日志检查编号：C-A-08检查项目：cisco设备系统LOG日志检查检查命令：CISCO#showlogging备注:如果有SYSLOG日志服务器可以更好的分析日志的时间及错误级别。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showloggingLogBuffer<8192bytes>:NDBY-6-STATECHANGE:Vlan140Group140stateActive->Init2w6d:%STANDBY-6-STATECHANGE:Vlan150Group150stateActive->Init2w6d:%STANDBY-6-STATECHANGE:Vlan251Group210stateActive->Init2w6d:%STANDBY-6-STATECHANGE:Vlan100Group100stateStandby->Active有无异常日志：□有□没有设备冗余协议检查编号：C-B-01检查项目：HSRP、VRRP、GLBP热备协议检查检查命令：CISCO#showstandbybriefCisco#showstandbyallCisco#showstandby<以HSRP协议为例,其他协议原理基本上差不多>检查期待结果:主备用状态正常备注:检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showstandbybriefPindicatesconfiguredtopreempt.|InterfaceGrpPrioPStateActiveaddrStandbyaddrGroupaddrksy_c6509_2#showstandbyVlan1-Group1LocalstateisStandby,priority100,maypreemptHellotime3sec,holdtime10secNexthellosentin1.695VirtualIPaddressis54configuredActiverouteris52,priority120expiresin8.104Standbyrouterislocal63statechanges,laststatechange1w3dIPredundancynameis"hsrp-Vl1-1"<default>检查结果：□正常□不正常VLAN状态检查编号：C-B-02检查项目：VLAN状态检查检查命令：CISCO#showvlan检查期待结果:Vlan名称、标示符合设计要求,vlan里所含端口符合设计检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showvlanVLANNameStatusPorts1defaultactiveGi1/7,Gi1/8,Gi1/34,Gi1/42,Gi1/46,Gi2/8Gi2/9,Gi2/10,Gi2/11,Gi2/12,Gi2/13Gi2/14,Gi2/15,Gi2/16,Gi2/17,Gi2/18Gi2/19,Gi2/20,Gi2/21,Gi2/222VLAN0002activeGi1/1,Gi1/2,Gi1/19,Gi1/20,Gi1/23Gi1/24,Gi1/25,Gi1/26,Gi1/27,Gi1/28Gi1/403VLAN0003activeGi1/3,Gi1/44VLAN0004activeGi1/5,Gi1/6检查结果：□正常□不正常EtherChannel检查编号：C-B-03检查项目：EtherChannel检查检查命令：CISCO#showetherchannelport-channel检查期待结果:显示正确的etherchannel数量及每个etherchannel包含应有的端口备注:showetherchannelport-channel显示本交换机中含有的portchannl的情况,具体查看每个portchannel的状态使用showintport-channeln检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showetherchannelport-channelChannel-grouplisting:Group:1Port-channelsinthegroup:Port-channel:Po1PortsinthePort-channel:IndexLoadPortECstateNoofbits++++155Gi5/1On40AAGi5/2On4检查结果：□正常□不正常trunk检查编号：C-B-04检查项目：trunk检查检查命令：CISCO#showinterfacetrunk检查期待结果:trunk正常备注:命令显示trunk信息,其中port是指参与trunk的端口,应与设计相符,mode应为on模式,status状态为trunking,同时对于每个trunk端口,正在trunking的vlan应与设计相符检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showinterfacestrunkPortModeEncapsulationStatusNativevlanGi2/1on802.1qtrunking1Gi2/2on802.1qtrunking1Gi2/3on802.1qtrunking1Gi2/4on802.1qtrunking1Gi2/5on802.1qtrunking1Gi2/6on802.1qtrunking1Gi2/7on802.1qtrunking1Po1on802.1qtrunking1PortVlansallowedontrunkGi2/11-4094Gi2/21-4094Gi2/31-4094Gi2/41-4094Gi2/51-4094Gi2/61-4094Gi2/71-4094Po11-4094PortVlansallowedandactiveinmanagementdomainGi2/11-15,20,100-112,120,130-132,140,150,251,253-254,430Gi2/21-15,20,100-112,120,130-132,140,150,251,253-254,430Po11-15,20,100-112,120,130-132,140,150,251,253-254,430检查结果：□正常□不正常路由状况检查编号：C-B-05检查项目：路由状况检查检查命令：CISCO#showiproute6509_1#showiproutesummary检查期待结果:路由表应包含正确的路由信息备注:对于企业一般都是交换网,一条默认路由指出,只是注意VLAN信息与此直连路由是否相符。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteC/24isdirectlyconnected,Vlan106C/24isdirectlyconnected,Vlan107nnected,Vlan105C/24isdirectlyconnected,Vlan11C/24isdirectlyconnected,Vlan100C/24isdirectlyconnected,Vlan101ksy_c6509_2#showiproutesummaryIProutingtablenameisDefault-IP-Routing-Table<0>RouteSourceNetworksSubnetsOverheadMemory<bytes>connected30019204800static1064160rip0000Total31019844960RemovingQueueSize0检查结果：□正常□不正常生成树STP检查编号：C-B-06检查项目：生成树STP检查检查命令：CISCO#showspanning-treebrief6509_1#showspansumCISCO#showspanning-treeinte<可看具体VLAN或端口号>检查期待结果:跟节点,端口forwarding和blocking状态符合设计备注:注意根网桥的位置及优先级,最好采用命令spanning-treevlanXrootprimary设置根网桥,并相应设定备份根网桥,维护STP树的稳定。检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showspanning-treebriefMST0SpanningtreeenabledprotocolmstpRootIDPriority32768Cost20001Port1665<Port-channel1>HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32768<priority32768sys-id-ext0>HelloTime2secMaxAge20secForwardDelay15secInterfaceRoleStsCostPrio.NbrTypeGi1/2DesgFWD20000128.2P2pGi1/19DesgFWD2000000128.19P2pGi1/20DesgFWD200000128.20P2pGi1/21DesgFWD20000128.21P2pBound<STP>Gi1/23DesgFWD20000128.23P2pGi1/24DesgFWD200000128.24P2pGi1/27DesgFWD20000128.27P2p检查结果：□正常□不正常接口状态检查编号：C-B-07检查项目：接口状态检查检查命令：CISCO#showinterface<可加具体端口号或VLAN>CISCO#showinterfacesum检查期待结果:接口运行正常,无过多的错误,广播及冲突包,显示工作的端口为UP状态；端口冲突、错误等非信息小于1/10000。端口名称正确；端口双工状态正常。备注:检查范例：〔由于现实内容过多,这里只截取部分ksy_c6509_2#showinterfacesGigabitEthernet2/1isup,lineprotocolisup<connected>HardwareisC6k1000Mb802.3,addressis001e.1357.a3f4<bia001e.1357.a3f4>Description:connectjiulouhexin8612#10#<1,2>-12#5#<11,12>MTU1500bytes,BW1000000Kbit,DLY10usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetKeepaliveset<10sec>Full-duplex,1000Mb/s,mediatypeisLHinputflow-controlisoff,outputflow-controlisonOutputqueue:0/40<size/max>5minuteinputrate15000bits/sec,20packets/sec5minuteoutputrate0bits/sec,0packets/sec2333773918packetsinput,227488494191bytes,0nobufferReceived2321784115broadcasts<1793469168multicasts>0runts,0giants,0throttles1inputerrors,0CRC,0frame,0overrun,0ignored0watchdog,0multicast,0pauseinput0inputpacketswithdribbleconditiondetected3133137472packetsoutput,306700001183bytes,0underruns0outputerrors,0collisions,6interfaceresets0babbles,0latecollision,0deferred0lostcarrier,0nocarrier,0PAUSEoutput0outputbufferfailures,0outputbuffersswappedout检查结果：□正常□不正常NAT检查编号：C-B-08检查项目：NAT配置及NAT连接数状态检查命令：router#showrunning-config<看NAT具体配置>router#showipnattranslations〔看NAT转换情况router#showipnatstatistics<看NAT连接数情况>检查期待结果:NAT配置正常,连接装换情况正常,连接数没有太多丢失情况。备注:由于P2P等并发连接特别多,如果网络环境中发现NAT连接数丢失情况比较大,而又没有流量控制设备,建议在NAT设备上做NAT连接数限制,每个用户限制100个连接,防止网络中连接数过多,超出路由器承载能力。检查范例：〔由于现实内容过多,这里只截取部分router#showipnatstatisticsTotalactivetranslations:3540<19static,3521dynamic;3532extended>Outsideinterfaces:GigabitEthernet0/1Insideinterfaces:GigabitEthernet0/0Hits:3708991098Misses:325753312CEFTranslatedpackets:3926956344,CEFPuntedpackets:228979536Expiredtranslations:351641902Dynamicmappings:--InsideSource[Id:1]access-listnat11pool11refcount0typegeneric,totaladdresses1,allocated0<0%>,misses4398[Id:2]access-listnatlistpool1refcount3529typegeneric,totaladdresses2,allocated2<100%>,misses123322[Id:3]access-listvlanotherpool3refcount0typegeneric,totaladdresses1,allocated0<0%>,misses178876QueuedPackets:196检查结果：□正常□不正常防火墙检查编号：C-B-09检查项目：防火墙摆放位置、防火墙策略应用、防火墙failover状态〔如果有、xlate状态、防火墙硬件性能参数、DMZ区是否正常、地址映射是否正常检查命令：PIX#showfailoverPIX#showrunPIX#showxlate<查看NTA连接数情况>检查期待结果:防火墙策略符合设计、NAT正常、failover功能正常备注:一般情况下,防火墙应放置在网络企业目前PIX防火墙的安全访问策略主要是通过ACL控制列表来实现,管道应用很少。注意思科PIX设备默认允许高优先级区域访问低优先级区域,特别注意网络中ACL应用permitipanyany这样允许所有的语句,禁止使用这种语句。检查结果：□正常□不正常其他维护信息检查编号：C-B-10检查项目：CDP、NTP协议、其他维护信息检查命令：CISCO#showcdpneiCISCO#showntpsta6509_1#showclock检查期待结果:1.网络设备IOS软件与及配置文件要定期备份。2.网络工程文档能实时更新与当前运行的网络相符合3.网络设备采用SSH登陆取代Telent;并采用ACL列表控制访问范围4.所有交换机及路由器密码需字母与数字结合备注:一般情况下,为了网络安全,在有些网络环境中要把NTP、CDP等协议关闭,要结合客户性质及网络环境来决定是否打开这些服务。如果客户网络环境应用了网管软件或日志服务器,应该设置NTP时钟,使整个网络环境网络设备时间保持一致。检查范例：〔由于现实内容过多,这里只截取部分WS-C6509-1#showcdpneiCapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDC4506-29FTen2/4134RSIWS-C4506Ten1/1C4506-25FTen3/3126RSIWS-C4506Ten1/1C4506-27FTen2/