交换机设备网络巡检.docx

1、交换机设备网络巡检编号： C-A-01检查项目： H3C设备软件版本检查命令： H3C#display version检查期待结果：备注：主要显示 VRP的版本、路由器持续运行的时间约、 最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、 VRP映像的文件名，以及路由器 VRP从何处启动等信息。 Dis version 命令显示了路由器的许多非常有用的信息检查范例：（由于现实内容过多，这里只截取部分）H3C dis versionHuawei Versatile Routing Platform SoftwareVRP software, Version 3.40, Rel

2、ease 0109P18Copyright (c) 1998-2006 Huawei Technologies Co., Ltd. All rights reserved.Without the owners prior written consent, no decompilingnor reverse-engineering shall be allowed.Quidway AR46-20 uptime is 44 weeks, 5 days, 3 hours, 12 minutes Last reboot 2019/06/06 08:28:07System returned to ROM

3、 By Power-on.检查结果： 正常不正常一、 检查设备 IOS 软件版本二、 检查设备持续运行时间编号： C-A-02检查项目： 设备持续运行时间检查命令： H3Cdis version检查期待结果：一般情况下网络设备运行时间为上线时的日期到目前日期的时间备注：如果设备 uptime 时间比较短，一定在利用这个命令查看设备最近一次重启动的时间，便于分析各种潜在风险。检查范例：（由于现实内容过多，这里只截取部分）H3C dis versionHuawei Versatile Routing Platform SoftwareVRP software, Version 3.40, Rele

4、ase 0109P18Copyright (c) 1998-2006 Huawei Technologies Co., Ltd. All rights reserved.Without the owners prior written consent, no decompilingnor reverse-engineering shall be allowed.Quidway AR46-20 uptime is 44 weeks, 5 days, 3 hours, 12 minutes检查结果： 正常不正常三、 设备 CPU利用率情况检查编号： C-A-03检查项目： 设备 CPU利用率情况检

5、查检查命令： H3Cdisplay cpu H3Cdis cpu history检查期待结果：CPU利用率平均值 50%；最大值 70%备注：使用 dis cpu 命令检查设备短时间内（ 60 秒）的 CPU利用率。该命令将以百分比的形式给出路由器 CPU的利用率，同时显示路由器中不同进程的 CPU 占用率。在通常情况下，看 VIDL 这个进程，这个进程是空闲进程，用 100%减去这个进程所占的百分比即为设备目前 CPU所占比率。通过 dis cpu history 可以看60 分钟内的平均 CPU占用率，一般情况下平均值小于 50%是可以接受的，当然要根据这个设备所处位置和所跑协议。检查范例

6、：（由于现实内容过多，这里只截取部分）= Current CPU usage info =CPU Usage Stat. Cycle: 60 (Second)CPU Usage : 2%CPU Usage Stat. Time : 2010-04-15 11:29:05CPU Usage Stat. Tick : 0x300ec(CPU Tick High) 0xb98d99de(CPU Tick Low)Actual Stat. Cycle : 0x0(CPU Tick High) 0x6fc3abbf(CPU Tick Low)TaskName CPU Runtime(CPU Tick H

7、igh/CPU Tick Low)VIDL 98% 0/6e50da6fTICK 0% 0/ 694a7FTPS 0% 0/ 132b79SRM 0% 0/ 7b37检查结果： 正常不正常四、 设备 memory利用状况检查编号： C-A-04检查项目： H3C设备 memory利用状况检查检查命令： H3C#dis memory检查期待结果：使用的百分比小于 80%备注：dis memory 显示了存储器的一般信息，它表明系统可用的内存和使用内存，注意使用的百分比数。检查范例：（由于现实内容过多，这里只截取部分）H3Cdis memorySystem Available Memory(byt

8、es): 161335680System Used Memory(bytes): 35783276Used Rate: 22%检查结果： 正常不正常五、 设备系统模块运行状况检查编号： C-A-05检查项目：H3C设备模块运行状况检查检查命令： H3Cdis device检查期待结果：所有模块运行 normal备注：此命令能看到电源及风扇状态。检查范例：（由于现实内容过多，这里只截取部分）NE20-4dis deviceNE20-4Device statusSlot # Type Online Status-0 RPU Present Normal1 2GE Present Normal2 4

9、SA Present Normal4 2FE Present Normal5 NPU Present Normal6 PWR Present Normal7 PWR Present Normal8 FAN Present Normal检查结果： 正常不正常六、 设备运行温度检查编号： C-A-06检查项目：H3C设备运行环境检查检查命令： H3Cdis environment检查期待结果：设备内部各部分工作温度小于最高限制 80 摄氏度备注：此命令能看到电源及风扇状态。检查范例：（由于现实内容过多，这里只截取部分）H3Cdis environmentGET 3 TEMPERATUREPOINT

10、 VALUE SUCCESSFULLYenvironment information:Temperature information:local CurrentTemperature LowLimit HighLimit(deg c ) (deg c) (deg c )RPU 34 0 80VENT 32 0 80检查结果： 正常不正常七、 设备系统 LOG日志检查编号： C-A-07检查项目：H3C设备系统 LOG日志检查检查命令： H3C dis log检查期待结果：最好使用 dis clock 看下设备时间，正常情况下设备日期时间与实际日期时间小于 10 分钟。日期正确的话，可以更好的分

11、析日志。备注：此命令能看到电源及风扇状态。检查范例：（由于现实内容过多，这里只截取部分）H3C dis logbufferLogging buffer configuration and contents:enabledAllowed max buffer size : 1024Actual buffer size : 512Channel number : 4 , Channel name : logbufferDropped messages : 0Overwritten messages : 0Current messages : 5%Apr 15 13:44:34:4402010H3C

12、 SHELL/5/CMD:task:vt0ip: *.*.*.*user:admin command:reset logbuffer%Apr *.*.*.*H3C SHELL/5/CMD:task:vt0ip:*.*.*.*user:admin command:sys检查结果： 正常不正常八、 设备冗余协议检查编号： C-A-08检查项目：VRRP热备协议检查检查命令： H3Cdis vrrp H3Cdis vrrp statistics检查期待结果：主备用状态正常备注：与自己期望配置相符检查范例：（由于现实内容过多，这里只截取部分）H3Cdis vrrpVirtual Ip Ping : D

13、isableEthernet1/0 | Virtual Router 10state : MasterVirtual IP : 10.11.0.3Config Priority : 120Run Priority : 120Preempt : YES Delay Time : 0Timer : 1Auth Type : NONETrack IF : Atm2/0 Priority reduced : 50检查结果： 正常不正常九、 VLAN状态检查编号： C-A-09检查项目：VLAN状态检查检查命令： H3Cdis vlan H3Cdis vlan all检查期待结果：结合 dis cur

14、命令检查 Vlan ID、 VLAN数量符合设计要求， vlan 里所含端口符合设计备注： 检查范例：（由于现实内容过多，这里只截取部分）H3Cdis vlanNow, the following VLAN exist(s):1(default), 100, 107-112, 114, 116, 118, 4000, 4094检查结果： 正常不正常十、 链路聚合检查编号： C-A-10检查项目：链路聚合组检查检查命令： H3Cdisplay link-aggregation interfaceH3Cdisplay link-aggregation summary检查期待结果：显示正确的链路聚合

15、数量及每个链路聚合组包含应有的端口与期望相符。备注： 检查范例：（由于现实内容过多，这里只截取部分）H3Cdis link-aggre summaryAL AL Partner ID Select Unselect Share MasterID Type Ports Ports Type Port-1 M none 1 0 Shar Ethernet1/0/2检查结果： 正常不正常十一、 trunk 检查编号： C-A-11检查项目：trunk 检查检查命令： H3Cdis port trunk检查期待结果：。备注：命令显示 trunk 信息 , 其中 port 是指参与 trunk 的端口

16、, 应与设计相符,VLAN passing 为允许通过的 VLAN，应该按照实际需求尽可能的减少通过的检查范例：（由于现实内容过多，这里只截取部分）Interface PVID VLAN passingGE1/0/20 1 1-8, 11, 14-15, 109, 140检查结果： 正常不正常十二、 路由状况检查编号： C-A-12检查项目：路由状况检查检查命令： H3Cdis ip route检查期待结果：路由表应包含正确的路由信息备注：对于企业一般都是交换网，一条默认路由指出，只是注意 VLAN信息与此直连路由是否相符。检查范例：（由于现实内容过多，这里只截取部分）RT1-GigabitE

17、thernet0/0/1display ip routing-tableRouting Tables: PublicDestinations : 6 Routes : 6Destination/Mask Proto Pre Cost NextHop Interface127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0*.*.1.0/24 Direct 0 0 *.*.1.1 GE0/0/0*.*.1.1/32 Direct 0 0 127.0.0.1 InLoop0*.*.2.0/2

18、4 Direct 0 0 *.*.2.1 GE0/0/1*.*.2.1/32 Direct 0 0 127.0.0.1 InLoop0检查结果： 正常不正常十三、 生成树 STP检查编号： C-A-13检查项目：生成树 STP检查检查命令： H3Cdis stp brief H3Cdis stp检查期待结果：STP 协议与状态符合设计备注：注意根网桥的位置及优先级， 建议不要全部采用默认优先级， 尤其是根网桥的优先级一定要低，以确保 STP树的稳定。检查范例：（由于现实内容过多，这里只截取部分）Protocol Status :disabledProtocol Std. :IEEE 802.1

19、sVersion :3CIST Bridge-Prio. :32768MAC address :000f-e227-0fdaMax age(s) :20Forward delay(s) :15Hello time(s) :2Max hops :20Time-out factor :3检查结果： 正常不正常十四、 接口状态检查编号： C-A-14检查项目：接口状态检查检查命令： H3Cdis interface 可加具体端口检查期待结果：接口运行正常 , 无过多的错误 , 广播及冲突包 , 显示工作的端口为UP状态；端口冲突、错误等非信息小于 1/10000 。端口名称正确；端口双工状态正常。备

20、注： 检查范例：（由于现实内容过多，这里只截取部分）Ethernet0/0/0 current state :DOWNLine protocol current state :DOWNDescription : Ethernet0/0/0 InterfaceThe Maximum Transmit Unit is 1500, Hold timer is 10(sec)Internet protocol processing : disabledIP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 000f-e22c-9a

21、48 Media type is twisted pair, loopback not set, promiscuous mode not set 10Mb/s-speed mode, Half-duplex mode, link type is auto negotiationOutput flow-control is unsupported, input flow-control is unsupportedOutput queue : (Urgent queuing : Size/Length/Discards) 0/50/0Output queue : (Protocol queui

22、ng : Size/Length/Discards) 0/500/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0Last clearing of counters: NeverLast 300 seconds input: 0.00 bytes/sec, 0 bits/sec, 0.00 packets/secLast 300 seconds output: 0.00 bytes/sec, 0 bits/sec, 0.00 packets/secInput: 0 packets, 0 bytes, 0 buffers0

23、broadcasts, 0 multicasts, 0 pauses0 errors, 0 runts, 0 giants0 crc, 0 align errors, 0 overruns0 jabbers, 0 drops, 0 no buffers0 collisions, 0 late collisions, 0 resource errors0 other errorsOutput:0 packets, 0 bytes, 0 buffers0 broadcasts, 0 multicasts, 0 pauses0 errors, 0 underruns, 0 collisions0 l

24、ate collisions, 0 retransmit limits检查结果： 正常不正常十五、 NAT 检查编号： C-A-15检查项目：NAT 配置及 NAT连接数状态检查命令： H3Cdis cur( 看 NAT具体配置 )H3Cdis nat statisticsH3Cdis nat all检查期待结果：NAT 配置正常，连接装换情况正常，连接数没有太多丢失情况。备注：由于 P2P等并发连接特别多，如果网络环境中发现 NAT连接数丢失情况比较大，而又没有流量控制设备， 建议在 NAT设备上做 NAT连接数限制， 每个用户限制 100 个连接，防止网络中连接数过多，超出路由器承载能力。

25、检查范例：（由于现实内容过多，这里只截取部分）H3Cdis nat allNAT address-group information:No address-groups have been configuredNAT outbound information:No interfaces have been configured for NATServer in private network information:No internal servers have been configuredNAT aging-time value information:tcp - aging-time

26、value is 86400 (seconds)udp - aging-time value is 300 (seconds)icmp - aging-time value is 60 (seconds)pptp - aging-time value is 86400 (seconds)dns - aging-time value is 60 (seconds)tcp-fin - aging-time value is 60 (seconds)tcp-syn - aging-time value is 60 (seconds)ftp-ctrl - aging-time value is 720

27、0 (seconds)ftp-data - aging-time value is 300 (seconds)检查结果： 正常不正常十六、 防火墙检查编号： C-A-16检查项目：防火墙摆放位置、 防火墙策略应用、 防火墙 failover 状态（如果有）、 xlate 状态、防火墙硬件性能参数、 DMZ区是否正常、地址映射是否正常检查命令：通过登录 WEB界面查看检查期待结果：防火墙策略符合设计、 NAT正常、 failover 功能正常备注： 检查范例：（由于现实内容过多，这里只截取部分）一般情况下，防火墙应放置在网络企业目前 PIX 防火墙的安全访问策略主要是通过 ACL控制列表来实现，

28、 管道应用很少。 注意思科 PIX 设备默认允许高优先级区域访问低优先级区域，特别注意网络中 ACL应用 permit ip any any 这样允许所有的语句，禁止使用这种语句。检查结果： 正常不正常一、 网络拓扑、拓扑分析、拓扑建议二、 网络带宽、链路类型、链路信息三、 网络设备信息、设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度四、 网络设备软件版本信息、 当前 IOS 版本信息、最新 IOS 版本信息、 设备持续运行时间、设备 IOS 备份情况、设备 CPU利用率、设备内存利用率、设备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机箱温度五、 设备连通性、冗余协议运行状态、 VLAN信息、以太通道信息、路由协议、邻居关系、交换协议、生成树 STP协议、 NAT连接数状态、 FLASH信息、设备配置信息分析、多余配置信息分析、配置精简建议、 IOS 安全建议、防火墙信息、防火墙策略、防火墙 DMZ区检查、防火墙 Xlate 状态、应用业务、 IP 地址使用状况六、 简单机房环境检查