中国移动网络设备健康检查指导手册

《中国移动网络设备健康检查指导手册》由会员分享，可在线阅读，更多相关《中国移动网络设备健康检查指导手册（12页珍藏版）》请在装配图网上搜索。

1、。网络设备健康检查指导手册CISCO 76/65系列路由 / 交换机。1。CISCO健康检查 CHECKLIST说明：1、对设备的命令操作都需要有记录；2、建议登陆系统后先备份操作日志、告警日志、系统的版本信息和当前配置一 版本和设备基本配置要求检查内容检查方法检查结果说明软件版本：show version完善取信息版本是否是正式版本，是否符合软件规范。不完善未涉及设备启动设定：Show bootvar或检查设备的启动设定，符合各厂家建议和要求者Show versionShow boot日志信息：1、 show logging正常情况下，日志中不应该有大量重复的信息。2 下载当月日志设备当前端

2、口使用情况核实统计：IOS设备 : Show核实每台设备端口使用情况是否符合设计，如果ip interface出现与设计不符合的端口使用情况，进行相应的brief纠正。CatOS设备 :showport日志中心是否关闭：Show logging调试信息开关：show debugging正常工作情况下，所有Debug开关关闭。系统时间：show clock时区设置应与当地一致，时钟正常show ntp status一般config-register为完善0x102 或0x2102 ，低端交换机缺省为不完善0xF。如有不同需要未涉及引起注意。检查相对应的启动文件是否存在下载当月日志分析。完善重点检

3、查是否有以不完善下异常信息：未涉及assert ；大量 vcup/down ； CPU 100%对于不使用的端口，完善建议通过命令关闭不完善端口。未涉及完善正常情况下应该打不完善开未涉及完善正常运行时应该全不完善部关闭未涉及完善不完善未涉及。2。设备命名：Show run查看 sysname配置是完善设备命名应符合 中国移动数据网资源命名规范否符合中国移动数（ 050309）不完善据网资源命名规范未涉及（050309）配置文件是否保存：（简单办法直接保存Show用文件比较工具比或者 输入 reload ，没有保存会提醒，保存也会running-config完善较需要你确认是否 reload ）

4、Show不完善未涉及startup-config二接口配置检查内容检查方法检查结果接口配置：未用端口置为 shutdown 状态。IOS设备:show完善ip不完善interfacebrief未涉及CatOS设备 : showport接口描述：接口描述配置应符合中国移动数据网资源命名show规范（ 050309）running-configinterface 完善不完善或者未涉及show interfacesdescriptionPOS/ATM口配置： ( 建议作为发现端口丢包等异常Showrun interface后 trouble shooting的处理 )如果是两台路由器背对背直连，要求

5、对接双方的时钟都配置主时钟，或者一端配置主时钟，另一完善端配置从时钟；不完善如果是两台路由器中间经过波分传输系统，要求未涉及对接双方的时钟都配置主时钟；只有在中间传输为有源SDH或SONET时，对接双方路由设备的接口时钟才配置为从时钟（跟踪 SDH或SONET有源传输系统的时钟）。FE/GE口配置： ( 建议作为发现端口丢包等异常后Show完善。说明系统中没有使用的接口状态为 shutdown 状态，避免出现链路振荡所有使用的端口都必须按照命名规范配置描述并保证与对端事实符合3。trouble shooting的处理 )running-config不完善端口模式（包括速率、双工模式）配置对接双

6、方interface Show interface 三设备运行情况检查内容端口统计数据：查看各个使用的端口收发统计数据是否正常，异常报文是否有增长。接口的业务流量：查看接口的流量是否超过带宽的80%单板状态查看：板卡状态检查，通过命令检查每个板卡的运行情况，现场核实各个板卡运行指示，确认每个板卡都被系统识别，正常工作。检查方法CatOS 设备 ： showport/show macIOS设备： showinterface /showbufferCatOS 设备 ： showport/show macIOS设备： showinterface /showbufferIOS设备:show modul

7、e检查结果说明检查当前路由器接口参数情况，是否端口出现过端口重启（ Totalresets 参数值不为零）完善和缓存不足（ No buffers不完善参数不为零）的现象。未涉及以及部分端口有inputerror 和output error的记录。分别是由什么计数器引起的，如CRC等。对于流量异常的调查。对于广域网链路，建议广域网流量不要超过带宽的 80%，考虑到链路冗余和负载分担的情况，在重要链路如数据中心完善互联链路，带宽的利用不完善率不应该超过 40%，如果未涉及超过带宽阀值，应该通知应用部门和网络部门，尽快升级带宽。对于以太网，带宽利用率推荐不要超过 40%。上行流量超大需要考虑扩容检查

8、输出是否有报错，和实际机器对照，是否完善每个板卡全部被系统识不完善别，正常工作。引擎和未涉及板卡的状态直接影响网络连接的有效性和连通4。CatOS 设备 : showmodule接口板是否重启过：IOS设备 : show检查各单板是否重启moduleShow version完善Show logging不完善CatOS设备 : show未涉及module电源状态查看：Showenvironment /检查电源是否都已开启，是否工作在正常状态；show power完善不完善未涉及风扇状态查看：Showenvironment /现场核实风扇指示灯，通过命令检查风扇运行情况show power完善不完

9、善未涉及查看各单板的温度信息：Show environment通过命令进行检查设备的环境参数（如果是可能，完善检查每个槽位的板卡供电电压情况和每个板卡的不完善温度检查）sh environment未涉及temperature allCPU占有率：CPU占有率应正常， 与当前开展的业务类型和转发show processescpu流量相符。完善查看板卡不完善CPU:execute-on未涉及all-mwams/。性。为当前主用主控板的槽位号。除了以下几种情况正常，其它情况属于异常。Reason is:1 power-on2 cold-restart3 reset by commandPWR Nor

10、mal通过命令进行检查总数目，并且与现场检查的实际电源总数核实，每个电源输入输出电压和功率（如果需要，现场检查输入电压），现场核实电源指示灯。FAN Normal设备风扇的不稳定性将影响温度和流入设备机体的空气，使设备无法很好的进行散热处理，长时间工作在这种环境下的设备会产生运行状况的不稳定。设备的温度很多程度上影响了设备运行的稳定性。当设备运行时的温度过高时，将出现因热量不能及时的散发所导致的运行状况的不稳定超过 70%应该属于异常情况5。all-samisshowprocess cpu业务板 CPU占有率：CPU占有率应正常， 与当前开展的业务类型和转发流量相符。内存占有率：内存占有率不应

11、过高。6500/7600 查看 2 层sp 引擎 cpushow process cpuexecute-onall-mwams/all-samisprocess cpuShowmemorysummary 查看 板卡内存使用 :execute-on all-mwams/ all-samis show memory summary6500/7600 查看 2 层sp 引擎 cpu超过 50%应该属于异常完善情况不完善未涉及超过 80%应该属于异常完善不完善未涉及showmemorysummary路由稳定性：BGP、OSPF、 ISIS 等路由协议的邻居状态正常；Ospf: show ipospf

12、neighbor完善Isis: show clns不完善未涉及neighbour /show isis。6。neighbourBgp: show ip bgpneighborshow ip bgpsummarympls: sh mplsldp neighbor系统当前正在发生的告警信息：Show logging从近来的 Syslog 中优先有告警及时处理。级和重要性较高的04完善级LOG信息进行整理、 分不完善类后进行了分析，发现未涉及设备硬件和软件的故障隐患。检查系统重启信息：Show version确认系统最近 1次启动属于正常启动， 保证无未知检查输出中设备的的 Crash 情况出现完善

13、不完善Restarted by 和系统的未涉及uptime四局域网运行情况检查内容检查方法检查结果说 明VTP：VTP域设置口令主要思科设备是否配置 VTP，是否出在CatOS 交换机： show用来防止新加入网transparent 模式。有没有 VTP口令。络的交换机， 错误地vtp domain/show vtp改变原系统 VLAN设statistics置。但如果运行在IOS交换机： show vtp完善VTP transparent 模不完善式下， VTP信息不会status/show vtp未涉及在交换机之间相互password构成影响。建议对于运营商，VTP配置在transpare

14、nt 模式下。TRUNK：完善设备之间的 Trunk 最好用静态建立并且采用CatOS 交换机： show802.1q 协议封装，配置Vlan 过滤控制。不完善重要 Trunk 设置为 ON或。7VLAN 设置：VLAN配置是否正确并符合业务需要。局域网连接两端 VLAN是否匹配。生成树 spnning tree 协议：检查交换机的 STP根桥设置是否与设计相符，通过设备 log 查看是否存在根交换机的漂移情况。是否有部分交换机的 spanning-treepriority 设置为相同的，这不是推荐的做法；而且 priority 级别较多，不利于维护，交换机连接服务器的端口要配置 spanni

15、ng-tree Portfast 功能，同时全局是否启用Spanning-tree portfast bpduguard功能，其它交换机的相关功能正常。trunk detailIOS交换机： show interface trunkShow vlanIOS交换机检查命令： showspanning-treesummary/showspanning-treedetailCatOS交换机检查命令： showspantreesummary/showspantree /show spantreeblockedports/sh未涉及完善不完善未涉及完善不完善未涉及nonegotiate模式比较好 . T

16、runk协议，在设备支持 IEEE 802.1q 的前提下最好采用IEEE802.1q ，IEEE802.1q 是国际标准，可以增强网络的兼容性。缺省 vlan（ Vlan1 ）的使用一般只限于两种情况：要么保留不用， 要么只用于管理； 最好不要用于实际业务。Spanning-treepriority是人为指定各个VLAN的根交换机和备份根交换机的推荐做法； priority相同的交换机， priority的指定作用就失效了，需要进一步比对交换机 MAC地址决定根交换机和备份根交换。 portfastpduguard 的功能是用于检测端口一旦收到BPDU帧，则马上将端口关掉。以此来判断这个端口

17、连接的是一台主机而不是交换机。只有端口所连接的是主机的时候才可以起用 portfast功能。因为接口连接主机不会引起环路。 开启本功能，8。ow spantreestatistics五网络设备基本安全检查可以切实保证本应该连接主机的不做 STP计算的端口没有连接需要做STP计算的设备， 以最大程度防止二层环路的产生。端口设置了portfast功能的交换机一般要设置 bpduguard功能。检查内容Console/AUX 登录控制：确认所有设备均已配置Console/AUX登录控制。远程访问登录控制核查统计：核实所有设备配置了的远程登录控制手段，确保设备的访问控制得到保护。确保对于远程登录都采用

18、了ACL限制允许登录的源网段。检查方法showrunning-config |begin line con或者showrunning-configShow run | beginline vty或者Showrunning-config检查结果说明1、linecon 0/lineaux 0 随后的配置里面没有完善“exec-timeout 0不完善0”。未涉及2、linecon0 配置了“ login ”或者”local local”或者全局配置了 AAA认证。不要使用 ACS远程认证。建议采用 AAA认证，尽量采用 ACS中央认证控制对设备的远程登录手段进行中央统一认证 /授权 /完善记帐。建

19、议全部远程不完善登录都配置 ACL作为未涉及安全防护手段。对于一般网络设备，尽量由 SSH取代Telnet 成为远程登录管理的手段， 关闭9。http/https登录。对于使用 web管理的网络设备，尽量使用https 代替 http 。本地账户管理( 启用 AAA情况下核实 ) ：启用 AAA的所有设备均应该配置了一个本地账户作为 ACS认证的本地备份。口令强度检查：配置口令加密，设备上配置的口令均以密文显示，这将使账户的安全使用得到增强。Snmp community RO & RW：检查运行 snmp协议的设备和系统，包括操作系统、路由器、switch 、 ISDN/DSL Modem等，

20、其缺省设置存在重大的安全隐患。要求所有设备都不是缺省配置的community字符串。网络管理口令的私密性得到保证，减小了未授权管理的风险。确认所有的 SNMP口令都配置了 ACL安全保护。SNMP trap ：检查运行 snmp协议的设备是否配置了trap路由协议认证：检查运行的路由协议是否配置了MD5认证showrunning-config完善不完善未涉及sh running-config|incl servicepassword-encryption完善不完善未涉及或者sh running-configshowrunning-config完善show snmp 不完善未涉及show完善ru

21、nning-config不完善show snmp未涉及show完善不完善设备只配置一个本地账户，可以减少设备账户的管理负担，降低本地账户管理风险。对 于能够使用 md5等不可逆方式加密的密码，建议采用md5加密。使用enable secret代替enable password（除了 snmp口令外，其他口令应该显示5或者 7 密文）所有的 snmp管理都需要配置 ACL安全防护，只有相应 ip 的设备才能使用这些SNMP口令管理设备。对于不需要 SNMP RW权限的设备， 建议关闭SNMP RW功能。通过实施协议更新。10。running-config未涉及MD5认证，保证接入设备的合法性六网

22、络备份机制检查检查内容检查方法检查结果电源：sh environment完善检查所配置电源是否双电源，双电源供电是否来不完善自不同的电源 UPS。未涉及传输线路：完善检查所有重要传输线路是否有冗余备份，是否为show cdp neighbors不完善双路由引入。未涉及设备冗余配置：设备引擎是否配置了HA功能思科 IOS 设备命令：show redundancyHA是否工作正常思科 CatOS交换机命令： show完善highavilability不完善未涉及软件备份：dir完善是否存在设备软件备份的机制，或建立软件库储all-filesystems不完善存所有生产网所使用的软件。未涉及配置备份：dir是否存在设备配置管理和定期备份的机制all-filesystems完善不完善未涉及。说明所有配置了双引擎的设备，配置了恰当的引擎切换模式。 冗余工作状态正常。 比如： Catalyst6500系列交换机 Hybrid模式，是否实施了二层的 HA和三层的Single-Router-Mode模式。对比上次配置备份，核实当前配置的变更是否符合实际情况。检查网管工作站对于设备配置的定义情况。11。欢迎您的下载，资料仅供参考！致力为企业和个人提供合同协议，策划案计划书， 学习资料等等打造全网一站式需求。12