思科网络设备巡检报告.docx

思科网络设备巡检报告.docx

《思科网络设备巡检报告.docx》由会员分享，可在线阅读，更多相关《思科网络设备巡检报告.docx（23页珍藏版）》请在冰豆网上搜索。

思科网络设备巡检报告

Cisco网络巡检报告

网络巡检项目

一、网络拓扑、拓扑分析、拓扑建议

二、网络带宽、链路类型、链路信息

三、网络设备信息、设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度

四、网络设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机箱温度

五、设备连通性、冗余协议运行状态、VLAN信息、以太通道信息、路由协议、邻居关系、交换协议、生成树STP协议、NAT连接数状态、FLASH信息、设备配置信息分析、多余配置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ区检查、防火墙Xlate状态、使用业务、IP地址使用状况

六、简单机房环境检查

检查指导

一、检查设备IOS软件版本

编号：

C-A-01

检查项目：

cisco设备IOS软件版本

检查命令：

CISCO#showversion

检查期待结果：

同合同

备注：

主要显示IOS的版本、路由器持续运行的时间约、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名，以及路由器IOS从何处启动等信息。

showversion命令显示了路由器的许多非常有用的信息

检查范例：

（由于现实内容过多，这里只截取部分）可把实际配置贴此处

CiscoInternetworkOperatingSystemSoftware

IOS（tm）s72033_rpSoftware（s72033_rp-IPSERVICESK9_WAN-M）,Version12.2（18）SXF15,RELEASESOFTWARE（fc1）

TechnicalSupport:

Copyright（c）1986-2008byciscoSystems,Inc.

CompiledSat30-Aug-0800:

00bykellythw

Imagetext-base:

0x40101040,data-base:

0x42DD04B0

检查结果：

□正常□不正常

二、检查设备持续运行时间

编号：

C-A-02

检查项目：

cisco设备持续运行时间

检查命令：

CISCO#showversion

检查期待结果：

一般情况下网络设备在网络上线后不会中断。

备注：

如果设备uptime时间比较短，一定在利用showversion命令查看设备最近一次重启动的时间和原因，便于分析各种潜在风险。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_1uptimeis1year,22weeks,4days,17hours,2minutes

Timesinceksy_c6509_1switchedtoactiveis1year,22weeks,4days,17hours,1minute

SystemreturnedtoROMbyreloadat08:

57:

57PSTTueFeb52008（SPbyreload）

Systemrestartedat12:

19:

06UTCWedOct152008

Systemimage"sup-bootdisk:

/s72033-ipservicesk9_wan-mz.122-18.SXF15.bin

检查结果：

□正常□不正常

三、设备CPU利用率情况检查

编号：

C-A-03

检查项目：

cisco设备CPU利用率情况检查

检查命令：

CISCO#showprocessescpu

CISCO#showprocessescpuhistory

检查期待结果：

CPU利用率平均值<50%；最大值<70%

备注：

使用showprocesscpu命令检查路由器短时间内（5分钟内）的CPU利用率。

该命令将以百分比的形式给出路由器CPU的利用率，同时显示路由器中不同进程的CPU占用率。

在通常情况下，在5分钟内CPU的平均利用率小于50%是可以接受的。

如果CPU利用率出现了问题，则需要不断地监视这一参数，因为它可能在短时间内发生变化。

最好每10秒钟使用一次该命令。

通过这种方法，可以清楚地了解CPU利用率的波动情况。

如果CPU的平均利用率超过了70%，则表明路由器过载。

下一步需要检查那一些进程导致了CPU利用率过高。

而命令showprocessescpuhistory可以通过图表看到最长72小时的最大CPU利用率和平均CPU利用率。

检查范例：

（由于现实内容过多，这里只截取部分）

CPUutilizationforfiveseconds:

5%/2%;oneminute:

3%;fiveminutes:

2%

PIDRuntime（ms）InvokeduSecs5Sec1Min5MinTTYProcess

144822530.00%0.00%0.00%0ChunkManager

217428905005210.00%0.00%0.00%0LoadMeter

40

30*****

20****************

10**********************************************************************

0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.

0505050505050

CPU%perhour（last72hours）

*=maximumCPU%#=averageCPU%

检查结果：

□正常□不正常

四、设备memory利用状况检查

编号：

C-A-04

检查项目：

cisco设备memory利用状况检查

检查命令：

CISCO#showmemory

CISCO#showmemorysum

检查期待结果：

Freememory>2M,Freememory>2*largest（b）,i/ofreememory>2M

备注：

showmemory显示了存储器的一般信息，它表明系统可用的内存。

同时它还显示内存中有没有碎片,内存碎片表明内存被划分为了许多不连续的块。

它将导致内存的利用率降低，严重时可能产生内存错误从而也严重影响路由器的性能。

如下例,此时我们有足够多的可用内存（317.2兆），但是其中最大的块为226.5兆。

说明连续内存中还有足够大的可用块。

路由器中存在一定数量的内存碎片是正常的。

虽然并没有一个很严格的界限来划分内存碎片的可接受程度，但是可用块的大小至少应该不小于可用内存的一半。

否则,有可能导致严重的内存分配问题。

这些问题有时表现为一个或多个接口间歇性的丢失报文,此例中可用块226.5大于可用内存312兆字节的一半156兆，内存处于正常状态。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_1#showmemorysummary

HeadTotal（b）Used（b）Free（b）Lowest（b）Largest（b）

Processor44B0B83039103892873832336317206592305248408226509608

I/O80000006710886410418792566900724561331256614072

检查结果：

□正常□不正常

五、设备系统模块运行状况检查

编号：

C-A-05

检查项目：

cisco设备模块运行状况检查

检查命令：

CISCO#showmodule

检查期待结果:

所有模块运行OK

备注：

此命令还可以看到设备各个模块的SN号及各个设备模块的型号。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_1#showmodule

ModPortsCardTypeModelSerialNo.

---------------------------------------------------------------------------

148CEF72048port10/100/1000mbEthernetWS-X6748-GE-TXSAL1213KCUP

224CEF72024port1000mbSFPWS-X6724-SFPSLA11509Y03

36FirewallModuleWS-SVC-FWM-1SAD121703WP

52SupervisorEngine720（Active）WS-SUP720-3BJAF1201AHHR

ModMACaddressesHwFwSwStatus

--------------------------------------------------------------------------

1001e.4a9f.e320to001e.4a9f.e34f2.712.2（14r）S512.2（18）SXF1Ok

2001d.a27d.7eb8to001d.a27d.7ecf3.112.2（18r）S112.2（18）SXF1Ok

3001f.9e53.4076to001f.9e53.407d4.27.2

（1）4.0

（2）Ok

5001b.d50d.aa34to001b.d50d.aa375.68.5

（2）12.2（18）SXF1Ok

ModSub-ModuleModelSerialHwStatus

--------------------------------------------------------------------------

1CentralizedForwardingCardWS-F6700-CFCSAL1213K3XH4.0Ok

2CentralizedForwardingCardWS-F6700-CFCSAL11455X9M4.0Ok

5PolicyFeatureCard3WS-F6K-PFC3BJAF1202AKTB2.3Ok

5MSFC3DaughterboardWS-SUP720JAF1202ACCD3.1Ok

检查结果：

□正常□不正常

六、设备电源及风扇检查

编号：

C-A-06

检查项目：

cisco设备系统电源及风扇检查

检查命令：

CISCO#showenvironmentstatus

Cisco#showpower

Cisco#showpowerstatusfan-tray

Cisco#showenvironmentall

检查期待结果:

电源及风扇运行正常

备注:

对于思科的交换机和路由器命令可能会不大相同，此外命令showpower还能看到电源的冗余状态（对于有两个或两个以上电源的设备），电源冗余状态有两种模式：

redundant（冗余）和combined（组合）。

根据用户实际网络环境和设备负载模块的数量决定电源模式。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showenvironmentstatus

fan-tray1:

fan-tray1type:

WS-C6509-E-FAN

fan-tray1mode:

Restricted-power

fan-tray1fan-fail:

OK

power-supply1:

power-supply1fan-fail:

OK

power-supply1power-input:

AChigh

power-supply1power-output-mode:

high

power-supply1power-output-fail:

OK

检查结果：

□正常□不正常

七、设备运行温度检查

编号：

C-A-07

检查项目：

cisco设备运行检查

检查命令：

CISCO#showenvironmentstatus

检查期待结果:

设备内部各部分工作温度小于45摄氏度

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showenvironmenttemperatureall

VTT1outlettemperature:

28C

VTT2outlettemperature:

30C

VTT3outlettemperature:

26C

检查结果：

□正常□不正常

八、设备系统LOG日志检查

编号：

C-A-08

检查项目：

cisco设备系统LOG日志检查

检查命令：

CISCO#showlogging

备注:

如果有SYSLOG日志服务器可以更好的分析日志的时间及错误级别。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showlogging

LogBuffer（8192bytes）:

NDBY-6-STATECHANGE:

Vlan140Group140stateActive->Init

2w6d:

%STANDBY-6-STATECHANGE:

Vlan150Group150stateActive->Init

2w6d:

%STANDBY-6-STATECHANGE:

Vlan251Group210stateActive->Init

2w6d:

%STANDBY-6-STATECHANGE:

Vlan100Group100stateStandby->Active

有无异常日志：

□有□没有

九、设备冗余协议检查

编号：

C-B-01

检查项目：

HSRP、VRRP、GLBP热备协议检查

检查命令：

CISCO#showstandbybriefCisco#showstandbyallCisco#showstandby（以HSRP协议为例，其他协议原理基本上差不多）

检查期待结果:

主备用状态正常

备注:

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showstandbybrief

Pindicatesconfiguredtopreempt.

|

InterfaceGrpPrioPStateActiveaddrStandbyaddrGroupaddr

Vl11100PStandby192.168.200.252local192.168.200.254

Vl22100PStandby192.168.160.252local192.168.160.254

Vl33100PStandby192.168.20.252local192.168.20.254

ksy_c6509_2#showstandby

Vlan1-Group1

LocalstateisStandby,priority100,maypreempt

Hellotime3sec,holdtime10sec

Nexthellosentin1.695

VirtualIPaddressis192.168.200.254configured

Activerouteris192.168.200.252,priority120expiresin8.104

Standbyrouterislocal

63statechanges,laststatechange1w3d

IPredundancynameis"hsrp-Vl1-1"（default）

检查结果：

□正常□不正常

一十、VLAN状态检查

编号：

C-B-02

检查项目：

VLAN状态检查

检查命令：

CISCO#showvlan

检查期待结果:

Vlan名称、标示符合设计要求，vlan里所含端口符合设计

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showvlan

VLANNameStatusPorts

----------------------------------------------------------------------------

1defaultactiveGi1/7,Gi1/8,Gi1/34,Gi1/42,Gi1/46,Gi2/8

Gi2/9,Gi2/10,Gi2/11,Gi2/12,Gi2/13

Gi2/14,Gi2/15,Gi2/16,Gi2/17,Gi2/18

Gi2/19,Gi2/20,Gi2/21,Gi2/22

2VLAN0002activeGi1/1,Gi1/2,Gi1/19,Gi1/20,Gi1/23

Gi1/24,Gi1/25,Gi1/26,Gi1/27,Gi1/28

Gi1/40

3VLAN0003activeGi1/3,Gi1/4

4VLAN0004activeGi1/5,Gi1/6

检查结果：

□正常□不正常

一十一、EtherChannel检查

编号：

C-B-03

检查项目：

EtherChannel检查

检查命令：

CISCO#showetherchannelport-channel

检查期待结果:

显示正确的etherchannel数量及每个etherchannel包含应有的端口

备注:

showetherchannelport-channel显示本交换机中含有的portchannl的情况,具体查看每个portchannel的状态使用showintport-channeln

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showetherchannelport-channel

Channel-grouplisting:

-----------------------

Group:

1

----------

Port-channelsinthegroup:

----------------------

Port-channel:

Po1

PortsinthePort-channel:

IndexLoadPortECstateNoofbits

------+------+------+------------------+-----------

155Gi5/1On4

0AAGi5/2On4

检查结果：

□正常□不正常

一十二、trunk检查

编号：

C-B-04

检查项目：

trunk检查

检查命令：

CISCO#showinterfacetrunk

检查期待结果:

trunk正常

备注:

命令显示trunk信息,其中port是指参和trunk的端口,应和设计相符,mode应为on模式,status状态为trunking,同时对于每个trunk端口,正在trunking的vlan应和设计相符

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showinterfacestrunk

PortModeEncapsulationStatusNativevlan

Gi2/1on802.1qtrunking1

Gi2/2on802.1qtrunking1

Gi2/3on802.1qtrunking1

Gi2/4on802.1qtrunking1

Gi2/5on802.1qtrunking1

Gi2/6on802.1qtrunking1

Gi2/7on802.1qtrunking1

Po1on802.1qtrunking1

PortVlansallowedontrunk

Gi2/11-4094

Gi2/21-4094

Gi2/31-4094

Gi2/41-4094

Gi2/51-4094

Gi2/61-4094

Gi2/71-4094

Po11-4094

PortVlansallowedandactiveinmanagementdomain

Gi2/11-15,20,100-112,120,130-132,140,150,251,253-254,430

Gi2/21-15,20,100-112,120,130-132,140,150,251,253-254,430

Po11-15,20,100-112,120,130-132,140,150,251,253-254,430

检查结果：

□正常□不正常

一十三、路由状况检查

编号：

C-B-05

检查项目：

路由状况检查

检查命令：

CISCO#showiproute6509_1#showiproutesummary

检查期待结果:

路由表应包含正确的路由信息

备注:

对于企业一般都是交换网，一条默认路由指出，只是注意VLAN信息和此直连路由是否相符。

检查范例：

（由于现实内容过多，这里只截取部分）

ksy_c6509_2#showiproute

Codes:

C-connected,S-static,R-RIP,M-mobile,B-BGP

D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute

o-ODR,P-periodicdownloadedstaticroute

Gatewayoflastresortis192.168.254.1tonetwork0.0.0.0

C192.168.106.0/24isdirectlyconnected,Vlan106

C192.168.107.0/24isdirectlyconnected,Vlan107

C192.168.105.0/24isdirectlyconnected,Vlan105

C192.168.70.0/24isdirectlyconnecte