网络设备巡检服务工作要求规范

 X XX 信息中心

 网络设备巡检服务工作规范

 (C H3C 设备网络)

 V1.0

 信息中心

  目录

 1 概述 .......................................................... 6

 2 巡检工作流程 .................................................. 6

 2.1 巡检前期准备 ............................................ 7

 2.2 数据采集阶段 ............................................ 8

 2.3 数据分析和报告生成阶段 .................................. 8

 2.4 汇报和满意度调查阶段 .................................... 8

 3 网络巡检数据采集方法 .......................................... 9

 3.1 手工数据采集方法 ........................................ 9

 3.2 网络管理平台数据收集方法 ................................ 9

 3.3 巡检工具数据采集方法 .................................... 9

 4 网络巡检服务基准数据库的建立 ................................. 10

 5 网络巡检工作内容 ............................................. 10

 5.1 巡检工作的主要内容 .................................... 10

 5.2 网络巡检工作技术涵盖 .................................. 11

 6 网络系统巡检基本判断标准 ..................................... 12

 7 设备相关信息收集 ............................................. 14

 7.1 软件版本及硬件信息分析 ................................. 14

 7.1.1 当前设备硬件信息 ................................. 15

 7.1.2 当前设备运行软件信息 ............................. 16

 7.2 设备板卡硬件配置信息分析 ............................... 16

 7.3 设备运行状况检查 ....................................... 18

 7.3.1 设备 CPU 工作状态检查 ............................. 18

 7.3.2 设备 CPU 利用率分析 ............................... 19

 7.3.3 设备 MEMORY 使用状态检查 .......................... 19

 7.3.4 设备 MEMORY 利用率分析表 .......................... 20

 7.4 设备运行状态检查 ....................................... 21

 7.4.1 电源的工作状态 ................................... 21

 7.4.2 风扇的工作状态 ................................... 21

 7.4.3 设备工作温度 ..................................... 21

 8 端口的可用性、准确性检查 ..................................... 22

 8.1 端口状态检查 ........................................... 22

 8.1.1 基本网络接口状态分析 ............................. 25

 8.1.2 接口半/全双工模式和链路类型 ...................... 26

 8.1.3 接口稳定性统计信息 ............................... 26

 8.2 端口状态检查表 ......................................... 27

 9 设备端口负载及流量检查 ....................................... 27

 9.1 设备缓存信息检查 ....................................... 27

 10 网络架构、配置信息分析...................................... 28

 10.1 网络结构检查 .......................................... 28

 10.1.1 检查内容 ........................................ 28

 10.1.2 检查方式 ........................................ 28

 10.2 网络配置信息检查 ...................................... 31

 10.2.1 检查内容 ........................................ 31

 10.2.2 检查方式 ........................................ 32

 11LOG 信息检查 ................................................. 35

 11.1 标准的 LOG 格式 ........................................ 35

 11.2LOG 日志等级 ........................................... 35

 11.3 日志信息分析表 ......................... 错误! ! 未定义书签。

  关于文档

 为保障 XX 信息中心网络的平稳运行,将在每月进行网络巡检,并根据巡检结果给出相应的网络系统改进和优化建议。

 本文档面向 XX 的技术人员和外部支持公司网络工程师,通过参考本文档,共同完成对 XX 信息中心网络运行状况的检查与分析。

 通过本文档使XX技术人员和外部支持公司网络工程师充公了解XX信息中心对网络巡检的基本要求,以该规范为参考,使得网络系统巡检工作更加标准化、规范化。

 由于网络技术的不断发展和设备的更新换代,本规范需要逐步地更新、完善,增加网络设备硬件、软件、固件的新版本和新硬件的内容。

 同时,随着网络健康服务的不断深入,对网络系统检查的深度和范围也将发生变化,本规范也会逐步地完善。

 文档适用对象

 本文档仅适用参与 XX 网络项目相关技术人员和外部支持公司的网络工程师。

  1 概述

 为确保 XX 信息中心网络安全生产,提升网络服务质量,确保设备的正常运行,将每月对 XX 信息中心网络设备进行巡检,巡检范围根据巡检工作需要而确定,通过对网络设备的数据采集和分析,能够对 XX 信息中心网络设备的状态具有更加深入地了解。

 网络巡检是指通过标准的方法和流程定期地对客户一定范围内的网络进行网元级的系统检查,内容包括现场数据采集、分析、客户报告生成等。通过对关键网元设备的关键检查点参数进行数据采集、并将采集到的数据与有关标准进行比较,从而确定关键网元设备所处的运行状态。通过定期网络巡检,可以及时发现网络中可能存在的隐患,并消灭在萌芽状态。

 2 巡检工作流程

  网络巡检工作分为前期准备、现场数据采集、数据分析、报告生成和汇报、满意度调查和问题整改追踪等五个阶段。

 服务流程如下:

  1 2.1 巡检前期准备

 在网络巡检的前期准备阶段,工程师需要在与客户进行充分沟通的情况下,确定要巡检的设备范围及巡检重点,形成《网络巡检方案书》。

 网络巡检书至少包括:

 ? 巡检设备范围和巡检工作重点

 ? 巡检各个工作环节的方式 ? 数据采集的命令集 ? 协商具体的巡检时间安排 ? 巡检报告输出样表和图形 在得到客户认可的情况下,进入下一阶段的工作。

 2 2.2 数据采集阶段

 在网络巡检的数据采集阶段,对于网络数据采集的手段和工具需要得到用户的授权,遵守用户运行管理的相关规定,在指定时间和网络设备范围内进行数据采集工作。

 在用户的协助下收集相关网元的技术数据,并记录输出结果。

 3 2.3 数据分析和报告生成阶段

 巡检工程师对现场采集到的数据进行分析,形成《XX 信息中心 XX 中心网络巡检报告》。

 经过南天公司的网络专家审核通过后,由工程师负责以纸质文档或电子文档的方式提交给客户。

 4 2.4 汇报和满意度调查阶段

 通过定期交流的方式,讨论巡检工作中发现的问题及隐患,给出网络运行状况的检查、评估及建议,并进行问题跟踪。

 同时进行客户满意度调查,以便发现和纠正工作中的问题,改进网络系统巡检工作。

 3 网络巡检数据采集方法

 网络巡检服务的数据采集方法有两种,一是手工命令采集,并配合网管平台进行辅助性数据采集的方法;一是巡检工具数据采集的方法。

 1 3.1 手工数据采集方法

 手工采集就是登录到网络设备上,通过手工输入命令并记录输出结果的方式进行数据采集。

 为加强手工数据采集的准确性和合理性,需要对数据进行多次,重复性数据收集。如考量 CPU 的利用率和 MEM 的利用率等信息,可以采用日起、日中、日结等三个阶段,分时段收集并进行汇总比。

 对于网络设备运行状态、数据流量等信息的趋势性数据采集需要结合一定时间段数据的采集工作,需要利用网络管理系统进行相关数据的采集工作。

 3.2 2 网络管理平台数据收集方法

 通过网络管理系统收集相关的数据,可以进行一个阶段的趋势分析,以便更加准确地了解网络系统的整体运行情况,并可以与手工数据采集的结果进行对比,确保数据采集和分析的合理性和可靠性。

 3 3.3 巡检工具数据采集方法

 通过 H3C 提供的专用巡检工具进行数据采集。该工具集合了常用的设备状态检查的命令,可以自动化收集输出结果,并在后期导出巡检报告。但是需要 H3C提供软件及其授权。在没巡检工具软件的情况下,可以由第一巡检方法来替代。

 4 4 网络巡检服务基准数据库的建立

 由于网络系统的巡检服务是一个长期的、持续性的工作,首先需要对网络系统具有一定的了解,建立一个基本信息库。主要包括:

 ? 设备清单:设备名称、IP 地址、位置、功用、序列号等 ? 设备模块硬件配置:模块种类、型号等 ? 设备软件版本 ? 设备使用、维修记录 ? 设备性能基准,包括 CPU、Memory 利用率、设备端口流量的初始数据等 ? 设备端口信息:相关计数器初始状态 通过第一次巡检完成基本信息库的建立,作为以后巡检工作的数据对比性分析的基础和依据,并保持数据更新,动态调整基本信息库的参考点。

 5 5 网络巡检工作内容

 5 5 .1 1 巡检工作的主要内容

 本项目中,网络巡检工作中涉及的相关内容如下: 1) 设备基本信息收集 采集设备的基本信息,包括用户定义的设备名称、设备序列号、设备型号、运行的软件版本、内存大小、CF 卡的大小等 2) 设备运行状态检查 主要采集和分析网络设备的 CPU、Memory 利用率,并在可能是的情况下,观察其变化趋势。

 3) 设备管理运行环境检查 主要通过设备的相关命令收集网络设备的运行环境,主要包括机框内部各个检测点的温度及其变化,电源工作状态和工作输出电压等相关信息。

 4) 场地环境检查 检查设备的运行环境,如机房温度、湿度、设备供电、网络线缆走线等 5) 网络设备硬件检查 检查设备状态、设备连线状态等 6) 网络设备日志检查 使用 display 命令,收集设备运行日志,并做分析 7) 核心设备的端口可用性、准确性检查 使用 display 命令查看设备各端口的工作情况,包括端口的输出、输入错误丢包信息等,buffer 占用情况和缓冲器溢出现象等 8) 核心设备端口负载及流量检查 通过网管及其他手段,对设备端口的带宽占用、负载和流量进行统计分析,便于掌握网络设备及其连接线路的情况。

 9) 网络系统总体性能评估 针对巡检的内容及分析结果,对网络运行的整体情况做评估。

 5 5 .2 2 网络巡检工作技术涵盖

 网络系统巡检工作主要涵盖以下技术内容:

 项目

 分类

 参数

 数据来源

 设备基本信息 软件 Comware Version 命令采集

  Bootstrap Version 命令采集 启动与运行 Boot-loader 命令采集

 uptime 命令采集 硬件 Device 命令采集

 Flash 命令采集

 NVRAM 命令采集

 Total Memory 命令采集

 SDRAM 命令采集 设备运行环境 环境 温度 命令采集

 电源 命令采集

 风扇 命令采集 性能 CPU 利用率 Peak Util 命令采集

  AvgUtil 命令采集

 内在利用率 Peak Used Memory 命令采集

  Avg Used Memory 命令采集 线路稳定性 网络端口 In Drops

 Out Drops 命令采集 网络事件 LOG

  6 6 网络系统巡检基本判断标准

 我们将依照依据华三公司的技术指标和业界遵循的阈值、惯例和相关技术标准,将采集的数据结果与其对照分析,以判断当前网络运转情况是否良好,根据具体发现的问题提出合理改进意见。

 1) 设备运行记录 设备运行时间

 少于 7 天的(即运行时间过短的设备)需要关注,有可能发生意外重启,同样对于设备启动时间过长的设备建议维护性重启。

 2) 设备报警温度 3) 电源风扇状态

 电源

 正常标准 Normal(指示灯为绿色)

 非正常标准 Fail(指示灯为红色)

 风扇

 正常标准 Normal(指示灯为绿色)

 非正常标准 Fail(指示灯为红色)

 4) CPU 内存状态 电源(重点关注后两列)

  H3C 建议值 巡检建议值 变化值 关注 65%<X<74% >35% 差值大于 10% 告警 >75% >50% 差值大于 20% 风扇(重点关注后两列)

  H3C 建议值 巡检建议值 变化值 关注 75%<X<90% >40% 差值大于 5% 告警 >90% >50% 差值大于 10%

 5) 接口丢包错包率(增量)

  Input drop

 Output drop

 Input error

 Output error

 关注 >0.5% >0.5% >1% >1%

 告警 >5% >5% >5% >5%

 6) 接口负载率 7) 防火墙状态 检查项目

 正常值

 运行时间 >7 Days CPU 使用率 <35% 内存使用率 <40% Failover 状态 Active、Standby 会话连接 <+30% 地址转换 <+30%

 7 7 设备相关信息收集

 1 7.1 软件版本及硬件信息分析

 使用命令 display version,查看路由器信息,在巡检过程中用此命令收集来的数据主要作用是:

 ? 查看当前设备型号,及当前启动软件版本 ? 查看当前设备已运行时间 ? 查看当前设备引擎内存大小

 ? 查看当前设备 Flash 大小 具体关注方法如下:

 7.1.1 当前设备硬件信息

 设备硬件信息主要包括如下参数:

 H3C S7500 with 1 MPC8245 Processor

 256M bytes SDRAM

 32768K bytes Flash Memory

 512K bytes NVRAM Memory (如图第 7 7- -0 10 行)

 当前设备引擎号、内在与 Flash 大小 H3C S7500 LPU with 1 MPC8241 Processor

 128M bytes SDRAM

 0K bytes Flash Memory

 0K bytes NVRAM Memory (如图第 18- -1 21 行)

 如果设备有冗余引擎,此处显示 7.1.2 当前设备运行软件信息

 设备软件信息主要包括如下参数:

 BootROM Version (如 图第 3 23 行)

 自启动文件的版本,可用于路由器启动前配置,修改超级管理密码。中低端设备亦称之为 Bootstrap。

 Comware software

 Version (如图第 3 3 行)

 系统文件的版本,不同的版本支持的功能不尽相同。一般情况下向下兼容。前期设备称之为 VRP software

 Uptime( 如图第 6 6 行) )

 Uptime 列出了该设备已运转的时间,这些信息可以帮助客户判断机器是否发生过意外的重启等 2 7.2 设备板卡硬件配置信息分析

 设备板卡硬件数据采集分析的主要任务是通过检查网络设备的板卡和模块

 配置,对网络设备的负载、容量和扩展能力进行分析。

 查看基本信息检查的命令主要有:display device display diagnostic 等命令

 设备硬件统计信息主要包括以下参数:

 Slot

 所在位置的槽号 Status

 显示板卡状态 SftVer

 显示板卡上软件的版本 设备硬件分析的参考标准

 Status :

 当设备启动正常后,所有板卡状态就为 Normal,如果有双引擎进行冗余状态配置时状态为一个 Master,另一个是 Normal。当板卡有故障时此板卡状态有可能显示 FAULT 或显示不出装载的板卡。

 7.3 3 设备运行状况检查

 运行状况检查包括:

 ? CPU 的工作状态 ? 内存的工作状态 ? Buffer 的情况 1 7.3.1 设备 U CPU 工作状态检查

 使用命令 display cpu 可以检查 cpu 的利用率,可以得到 5 秒、1 分钟和 5分钟的统计结果。

  内容 内容说明 CPU busy status 交换机 CPU 的占用率状态 18% in last 5 seconds 19% in last 1 minute 19% in last 5 minutes 最近 5 秒 CPU 占用率为 18% 最近一分钟 CPU 占用率为 19% 最近五分钟 CPU 占用率为 19% 处理器利用率分析的参考建议:

 这个数值在 80%-90%之间时需要引起注意,大于 90%时则影响网络稳定性和设备的正常处理。此数值可通过命令行窗口或网管软件采集连续值得出。当 CPU

 使用率偏高时排查各个进程 CPU 使用情况。

 2 7.3.2 设备 U CPU 利用率分析

 通过 display cpu 命令采集相关设备一天当中三次数据,并对数据进行整理分析得到:

 序号 设备名称 一天三个时间段 CPU 利用率 变化范围 日起 日中 日结 平均 1

 0.00% 0.00% 0.00% 0.00% 0.00% 2

 3.00% 4.00% 4.00% 3.67% 1.00% 3

  【注】:日起数据为 08:30-09:00 的 5 分钟 CPU 的平均利用率 日起数据为 11:00-12:00 的 5 分钟 CPU 的平均利用率 日起数据为 16:30-17:30 的 5 分钟 CPU 的平均利用率 3 7.3.3 设备 Y MEMORY 使用状态检查

 在任意视图下使用 display memory 或 display memory-usage 命令可采集相关设备 MEM 利用率的数据。

 <H3C> display memory slot 0 System Total Memory(bytes): 197932416 Total Used Memory(bytes): 65234704 Used Rate: 32% [H3C]display memory-usage

  Memory utilization statistics at 2011-08-12 15:52:09 200 ms

  System Total Memory Is: 171774608 bytes

 Total Memory Used Is: 128234928 bytes

 Memory Using Percentage Is: 74%

 内容 内容说明 System Total Memory(bytes) 系统的内存总大小,以字节为单位 Total Used Memory(bytes) 已经使用的内存大小,以字节为单位 Used Rate 已经使用的内存所占的比例 另外,可以用 display memory limit 显示内存配置消息 <H3C> display memory limit Current memory limit configuration information: system memory safety: 40 (MBytes) system memory limit: 30 (MBytes) auto-establish enabled Free Memory: 108120672 (Bytes) The state information about connection: The times of disconnect: 0 The times of reconnect: 0 The current state: Normal 4 7.3.4 设备 Y MEMORY 利 用率分析表

 使用 display memory 命令采集相关设备一天三次 MEM 利用率的数据,并进行数据比较,从表中看到内存占用是否稳定,并关注其变化范围。

 序号 设备名称 内存(KB)

 日起 日中 日结 平均 变化范围

 1

 2

  4 7.4 设备运行状态检查

 1 7.4.1 电源的工作状态

 使用 display power 命令查看电源状态是否正常,电源是否冗余。

 <H3C> display power Power 1 State: Absent Power 2 State: Normal Power 3 State: Absent 2 7.4.2 风扇的工作状态

 使用 display fan 命令查看风扇状态是否正常。

 <H3C> display fan Fan 1 State: Normal

 3 7.4.3 设备工作温度

 使用 display environment 命令,查看设备内部板卡、机框的工作温度是否正常。

 <H3C> display environment

 System temperature information (degree centigrade):

 ----------------------------------------------------

  Board

 Temperature

  Lower limit

 Upper limit

  1

 30

 10

  70

  3

 43

 10

  80

  5

 33

 10

  70

 8 8 端口的可用性、准确性检查

 1 8.1 端口状态检查

 使用 display interface 查看设备端口运行状况。在巡检过程中用此命令收集来的数据的主要作用是:

 <H3C> display interface Ethernet2/0/1 Ethernet2/0/1 current state : DOWN IP Sending Frames" Format is PKTFMT_ETHNT_2, Hardware address is 000f-e20f-3f11 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX

 Unknown-speed mode, unknown-duplex mode Link speed type is autonegotiation,

 link duplex type is autonegotiation Flow-control is not enabled The Maximum Frame Length is 1536 Broadcast-suppression ratio: 20% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1 Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes - broadcasts, - multicasts Input(normal): 0 packets, 0 bytes 0 broadcasts, 0 multicasts Input: 0 input errors, 0 runts, 0 giants, 0 throttles, 0 CRC 0 frame, - overruns, - aborts, - ignored, - parity errors Output(total): 0 packets, 0 bytes - broadcasts, - multicasts, - pauses Output(normal): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output: 0 output errors, - underruns, - buffer failures - aborts, 0 deferred, 0 collisions, 0 late collisions - lost carrier, - no carrier

 参数指标如下:

 字段 描述 Ethernet2/0/1 current state 以太网端口当前开启或关闭状态 IP Sending Frames" Format 以太网帧格式 Hardware address 端口硬件地址 The Maximum Transmit Unit 最大传输单元 Media type 介质类型 Port hardware type 端口硬件类型 Flow-control is not enabled 端口流控状态 The Maximum Frame Length 端口允许通过的最大以太网帧长度 Broadcast-suppression ratio 端口广播风暴抑制比 Allow jumbo frame to pass 端口允许长帧通过 PVID 端口缺省 VLAN ID Mdi type 网线类型 Port link-type 端口链路类型 Tagged VLAN ID 标识在该端口有哪些 VLAN 的报文需要打 Tag 标记 Untagged VLAN ID 标识在该端口有哪些 VLAN 的报文不需要打 Tag 标记 Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec 端口最近300秒输入和输出速率和报文数

 字段 描述 Input(total): 0 packets, 0 bytes - broadcasts, - multicasts Input(normal): 0 packets, 0 bytes 0 broadcasts, 0 multicasts Input: 0 input errors, 0 runts, 0 giants, 0 throttles, 0 CRC 0 frame, - overruns, - aborts, - ignored, - parity errors Output(total): 0 packets, 0 bytes - broadcasts, - multicasts, - pauses Output(normal): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output: 0 output errors, - underruns, - buffer failures - aborts, 0 deferred, 0 collisions, 0 late collisions - lost carrier, - no carrier 端口输入/输出报文和错误信息统计,其中“-”表示不支持该统计项。

 1 8.1.1 基本网络接口状态分析

 接口的状态有两个方面的组件构成:物理层状态和数据链路层状态。

 第一个组件是“物理层状态”,亦即接口是否有物理连接,是否收到正确的传信。对于串口来说,正确的传信应该是载波检测“Carrier Detect,CD”信

 号或者是来自 WAN 的一个计时信号。而对 Ethernet 接口来说,正确的传信应当是来自交换机或 HUB 的链路传信。

 第二个组件是:“数据链路层状态”,就是通常我们所说的线路协议状态,它指出接口是否收到了“存活”信号(如果允许的话)。所谓“存活”(keep alive)信号,是指一条小的第二层消息,该消息由网络设备发出,使那些与它直连的网络设备知识它:“仍然存在”。

 2 8.1.2 接口半/ / 全双工模式和链路类型

 接口的双工模式和链路类型一般为 AUTO 模式,需要链路两端进行自协商,如果对两端的双工模式和链路类型进行配置,那么必须保证两端的配置一定要一致,否则链路进行匹配时可能出现丢包或者链路协议 DOWN 的问题。

 3 8.1.3 接口稳定性统计信息

 网络端口统计信息主要包括的以下参数:

 Interface

 显示接口或子接口的名字。

 Input 列出了所有进入接口的帧的数量和种类。

 Output 列出了所以离开接口的帧的数量和种类。

 2 8.2 端口状态检查表

 设备名称 端口号 Speed Duplex Input Output

 9 9 设备端口负载及流量检查

 1 9.1 设备缓存信息检查

 使用命令查看设备缓存信息,在巡检过程中用此命令收集的数据的主要作用是查看各种缓存的使用情况。

 9.2 流量信息检查 查看设备端口的吞吐、错误信息和丢弃信息,使用 display interface 命令实现。

 由于网络系统的流量信息需要经过长期的观测和分析,建议采用网络管理系统进行数据采集,并对网络管理系统的数据进行分析,手工采集数据仅供参考。

 输出表格如下:

 10 网络架构、配置信息分析

 1 10.1 网络结构检查

 1 10.1.1 检查内容

 ? 网络拓扑图

 ? 网络物理连接示意图,包括节点或位置名称、网络设备名、端口名称与带宽、管理 IP 地址 ? 网络逻辑连接示意图,包括路由、STP、端口信息等 ? 网络路由结构示意图,包括的路由协议的邻居关系、认证、路由器的 ID、缺省与静态路由等。

 ? 网络协议书策略检查 2 10.1.2 检查 方式

 查看设备使用何种路由协议和路由表信息,检查网络设备连接关系,使用以下命令:

 ? Displayip routing-table 用于查看网络中路由协议及路由条目信息 ? Display ospf peer

 如果网络中使用 ospf 协议,此命令用于显示 ospf 的邻居信息。

 ? Display ospf interface 如果网络中使用 ospf 协议,此命令用来显示 ospf 的接口信息。

 ? Display ip interface brief

 用于查看端口的连接状态 ? Display VLAN 用于查看网络配置中的 VLAN 信息 ? Display port trunk

 用于查看网络配置启用 TRUNK 协议的端口信息 ? Display stp 用于查看生成树的状态和统计信息。

 网络结构信息主要参考指标:

 路由部分:

 暂时空缺 二层链路部分:

 K TRUNK 禁用

 定义 连接非交换设备的端口是否关闭了 trunk 功能 参考标准 与端设备相连的端口必须设置成 access 模式 N VLAN 部分:

 对应的 P IP 网段

 定义 每一个 VLAN 是否对应一个 IP 网段

 参考标准 每一个 VLAN 最好对应一个 IP 网段 Management

  VLAN 定义 是否有独立的 Management VLAN 参考标准 应该配置统一的专用管理 VLAN Default VLAN 定义 Default VLAN 当中是否承载用户数据流 参考标准 Default VALN 应该专用,不应该有端口划分到该 VLAN P STP 部分:

 根交 换机

 定义 生成树的根是否在核心交换机上 参考标准 生成树的根应该在核心交换机上(核心交换机的优先级最好配置为 0)

 根端口

 定义

 非根交换机的根端口是否为距离根交换机费用最低的端口 参考标准 非根交换机的根端口应当为距离根交换机费用最低的端口 指定端口

 定义 一个网段的指定端口是否为距离根交换机费用最低的端口 参考标准 一个网段的指定端口是否为距离根交换机费用最低的端口 2 10.2 网络配置信息检查

 1 10.2.1 检查内容

 ? 网络设备配置检查包括网络设备最佳实践模板与设备实际配置的差异性检查,网络系统安全增强性配置检查。

 ? 主要内容包括:

 ? 网络系统最佳实践配置模版的建立 ? 模版与实际配置的差异性检查 ? 网络系统冗余策略检查:目的在于保持网络系统的健壮性、提高网络系统的可用性。

 ? 网络设备接入认证检查,包括:

 ? Local user 及其权限设置 ? 口令的安全设置检查,包括 SNMP、VTY 和 Console 等

 ? 设备 TACACS or RADIUS 认证设置及管理等 ? 网络设备访问控制列表的设置检查,包括:

 ? 访问控制的有效性 ? 对常见网络攻击的保护 ? 对病毒攻击的保护 10.2.2 检查方式

 ? 与用户沟通制定检查内容策略和具体要求 ? 编制和建立最佳实践模版 ? 采集网络设备的相关配置 ? 验证配置的合理性和完整性 ? 对于不满足条件的设备提出整改建议 网络配置信息主要参考标准:

 Portfast 定义 相关的连接端设备的端口是否被设置为 Portfast 判断标准 所有且仅有连接端设备的端口被设置为 Portfast Bpduguard 定义 设置了 protfast 功能的交接机上是否在全局或接口模式下设置了

 bpduguard 功能 判断标准 设置了 Portfast 功能的交换机必须在全局或接口模式下设置bpduguard 功能 Rootguard 定义 交换机是否正确启用了根保护功能 判断标准 在所有交换机上,有可能连接非端设备的端口应该设置 Rootguard 功能 Super 口令强度 定义 Super 口令加密系统是采用明文还是密文 判断标准 Super 口令加密系统应采用 MD5 加密 Console 定义 是否有 Console 口登陆控制 判断标准 应该配置控制台登陆控制 Telnet 定义

 是否有 Telnet 口登陆控制 判断标准 应该配置 Telnet 登陆控制 Password 定义 是否有口令加密机制 判断标准 应该有口令加密机制,保证密码采用密文 安全认证

 定义 是否配置安全认证配置 判断标准 应该配置安全认证功能对登录用户的身份加以识别以提高管理安全性 安全授权

 定义 是否配置安全授权配置 判断标准 应该配置安全认证功能对登录用户的权限加以控制以提高管理安全性 安全审计

 定义

 是否配置安全审计配置 判断标准 应该配置安全审计功能记录用户的操作信息以提高管理安全性 电源数量

 定义 设备配备的电源数量 判断标准 核心网络设备应该配备冗余电源以保证设备运行的可靠性 引擎数

 定义 设备配备的引擎数量 判断标准 核心网络设备应该配备双引擎以保证设备运行的可靠性 G 11LOG 信息检查

 巡检中对 LOG 日志进行全面的分析和检查,通过分析员 LOG 日志,找出网络中可能存在的隐患和问题,并给出建设性建议。

 1 11.1 标准的 G LOG 格式

 G 11.2LOG 日志等级

 根据严重等级可以分为 8 级,如下表所示:

 严重等级 取值 描述 emergencies 1 极其紧急的错误 alerts 2 需立即纠正的错误 critical 3 关键错误 errors 4 需关注但不关键的错误 warnings 5 警告,可能存在某种差错 notifications 6 需注意的信息 informational 7 一般提示信息 debugging 8 调试信息