網絡設備巡檢服務工作規(guī)范.doc

.XX信息中心網絡設備巡檢服務工作規(guī)范（H3C設備網絡）V1.0信息中心目錄1概述52巡檢工作流程52.1巡檢前期準備62.2數(shù)據采集階段72.3數(shù)據分析和報告生成階段72.4匯報和滿意度調查階段73網絡巡檢數(shù)據采集方法73.1手工數(shù)據采集方法83.2網絡管理平臺數(shù)據收集方法83.3巡檢工具數(shù)據采集方法84網絡巡檢服務基準數(shù)據庫的建立85網絡巡檢工作內容951巡檢工作的主要內容952網絡巡檢工作技術涵蓋106網絡系統(tǒng)巡檢基本判斷標準107設備相關信息收集127.1軟件版本及硬件信息分析127.1.1當前設備硬件信息137.1.2當前設備運行軟件信息147.2設備板卡硬件配置信息分析147.3設備運行狀況檢查157.3.1設備CPU工作狀態(tài)檢查167.3.2設備CPU利用率分析167.3.3設備MEMORY使用狀態(tài)檢查177.3.4設備MEMORY利用率分析表187.4設備運行狀態(tài)檢查187.4.1電源的工作狀態(tài)187.4.2風扇的工作狀態(tài)197.4.3設備工作溫度198端口的可用性、準確性檢查198.1端口狀態(tài)檢查198.1.1基本網絡接口狀態(tài)分析228.1.2接口半/全雙工模式和鏈路類型238.1.3接口穩(wěn)定性統(tǒng)計信息238.2端口狀態(tài)檢查表239設備端口負載及流量檢查249.1設備緩存信息檢查2410 網絡架構、配置信息分析2410.1網絡結構檢查2410.1.1檢查內容2410.1.2檢查方式2410.2網絡配置信息檢查2710.2.1檢查內容2710.2.2檢查方式2711LOG信息檢查3011.1標準的LOG格式3011.2LOG日志等級3011.3日志信息分析表30關于文檔為保障XX信息中心網絡的平穩(wěn)運行，將在每月進行網絡巡檢，并根據巡檢結果給出相應的網絡系統(tǒng)改進和優(yōu)化建議。本文檔面向XX的技術人員和外部支持公司網絡工程師，通過參考本文檔，共同完成對XX信息中心網絡運行狀況的檢查與分析。通過本文檔使XX技術人員和外部支持公司網絡工程師充公了解XX信息中心對網絡巡檢的基本要求，以該規(guī)范為參考，使得網絡系統(tǒng)巡檢工作更加標準化、規(guī)范化。由于網絡技術的不斷發(fā)展和設備的更新?lián)Q代，本規(guī)范需要逐步地更新、完善，增加網絡設備硬件、軟件、固件的新版本和新硬件的內容。同時，隨著網絡健康服務的不斷深入，對網絡系統(tǒng)檢查的深度和范圍也將發(fā)生變化，本規(guī)范也會逐步地完善。文檔適用對象本文檔僅適用參與XX網絡項目相關技術人員和外部支持公司的網絡工程師。1 概述為確保XX信息中心網絡安全生產，提升網絡服務質量，確保設備的正常運行，將每月對XX信息中心網絡設備進行巡檢，巡檢范圍根據巡檢工作需要而確定，通過對網絡設備的數(shù)據采集和分析，能夠對XX信息中心網絡設備的狀態(tài)具有更加深入地了解。網絡巡檢是指通過標準的方法和流程定期地對客戶一定范圍內的網絡進行網元級的系統(tǒng)檢查，內容包括現(xiàn)場數(shù)據采集、分析、客戶報告生成等。通過對關鍵網元設備的關鍵檢查點參數(shù)進行數(shù)據采集、并將采集到的數(shù)據與有關標準進行比較，從而確定關鍵網元設備所處的運行狀態(tài)。通過定期網絡巡檢，可以及時發(fā)現(xiàn)網絡中可能存在的隱患，并消滅在萌芽狀態(tài)。2 巡檢工作流程網絡巡檢工作分為前期準備、現(xiàn)場數(shù)據采集、數(shù)據分析、報告生成和匯報、滿意度調查和問題整改追蹤等五個階段。服務流程如下：2.1巡檢前期準備在網絡巡檢的前期準備階段，工程師需要在與客戶進行充分溝通的情況下，確定要巡檢的設備范圍及巡檢重點，形成網絡巡檢方案書。網絡巡檢書至少包括：l 巡檢設備范圍和巡檢工作重點l 巡檢各個工作環(huán)節(jié)的方式l 數(shù)據采集的命令集l 協(xié)商具體的巡檢時間安排l 巡檢報告輸出樣表和圖形在得到客戶認可的情況下，進入下一階段的工作。2.2數(shù)據采集階段在網絡巡檢的數(shù)據采集階段，對于網絡數(shù)據采集的手段和工具需要得到用戶的授權，遵守用戶運行管理的相關規(guī)定，在指定時間和網絡設備范圍內進行數(shù)據采集工作。在用戶的協(xié)助下收集相關網元的技術數(shù)據，并記錄輸出結果。2.3數(shù)據分析和報告生成階段巡檢工程師對現(xiàn)場采集到的數(shù)據進行分析，形成XX信息中心XX中心網絡巡檢報告。經過南天公司的網絡專家審核通過后，由工程師負責以紙質文檔或電子文檔的方式提交給客戶。2.4匯報和滿意度調查階段通過定期交流的方式，討論巡檢工作中發(fā)現(xiàn)的問題及隱患，給出網絡運行狀況的檢查、評估及建議，并進行問題跟蹤。同時進行客戶滿意度調查，以便發(fā)現(xiàn)和糾正工作中的問題，改進網絡系統(tǒng)巡檢工作。3 網絡巡檢數(shù)據采集方法網絡巡檢服務的數(shù)據采集方法有兩種，一是手工命令采集，并配合網管平臺進行輔助性數(shù)據采集的方法；一是巡檢工具數(shù)據采集的方法。3.1手工數(shù)據采集方法手工采集就是登錄到網絡設備上，通過手工輸入命令并記錄輸出結果的方式進行數(shù)據采集。為加強手工數(shù)據采集的準確性和合理性，需要對數(shù)據進行多次，重復性數(shù)據收集。如考量CPU的利用率和MEM的利用率等信息，可以采用日起、日中、日結等三個階段，分時段收集并進行匯總比。對于網絡設備運行狀態(tài)、數(shù)據流量等信息的趨勢性數(shù)據采集需要結合一定時間段數(shù)據的采集工作，需要利用網絡管理系統(tǒng)進行相關數(shù)據的采集工作。3.2網絡管理平臺數(shù)據收集方法通過網絡管理系統(tǒng)收集相關的數(shù)據，可以進行一個階段的趨勢分析，以便更加準確地了解網絡系統(tǒng)的整體運行情況，并可以與手工數(shù)據采集的結果進行對比，確保數(shù)據采集和分析的合理性和可靠性。3.3巡檢工具數(shù)據采集方法通過H3C提供的專用巡檢工具進行數(shù)據采集。該工具集合了常用的設備狀態(tài)檢查的命令，可以自動化收集輸出結果，并在后期導出巡檢報告。但是需要H3C提供軟件及其授權。在沒巡檢工具軟件的情況下，可以由第一巡檢方法來替代。4網絡巡檢服務基準數(shù)據庫的建立由于網絡系統(tǒng)的巡檢服務是一個長期的、持續(xù)性的工作，首先需要對網絡系統(tǒng)具有一定的了解，建立一個基本信息庫。主要包括： 設備清單：設備名稱、IP地址、位置、功用、序列號等 設備模塊硬件配置：模塊種類、型號等 設備軟件版本 設備使用、維修記錄 設備性能基準，包括CPU、Memory利用率、設備端口流量的初始數(shù)據等 設備端口信息：相關計數(shù)器初始狀態(tài)通過第一次巡檢完成基本信息庫的建立，作為以后巡檢工作的數(shù)據對比性分析的基礎和依據，并保持數(shù)據更新，動態(tài)調整基本信息庫的參考點。5網絡巡檢工作內容51巡檢工作的主要內容本項目中，網絡巡檢工作中涉及的相關內容如下:1) 設備基本信息收集采集設備的基本信息，包括用戶定義的設備名稱、設備序列號、設備型號、運行的軟件版本、內存大小、CF卡的大小等2) 設備運行狀態(tài)檢查主要采集和分析網絡設備的CPU、Memory利用率，并在可能是的情況下，觀察其變化趨勢。3) 設備管理運行環(huán)境檢查主要通過設備的相關命令收集網絡設備的運行環(huán)境，主要包括機框內部各個檢測點的溫度及其變化，電源工作狀態(tài)和工作輸出電壓等相關信息。4) 場地環(huán)境檢查檢查設備的運行環(huán)境，如機房溫度、濕度、設備供電、網絡線纜走線等5) 網絡設備硬件檢查檢查設備狀態(tài)、設備連線狀態(tài)等6) 網絡設備日志檢查使用display命令，收集設備運行日志，并做分析7) 核心設備的端口可用性、準確性檢查使用display命令查看設備各端口的工作情況，包括端口的輸出、輸入錯誤丟包信息等，buffer占用情況和緩沖器溢出現(xiàn)象等8) 核心設備端口負載及流量檢查通過網管及其他手段，對設備端口的帶寬占用、負載和流量進行統(tǒng)計分析，便于掌握網絡設備及其連接線路的情況。9) 網絡系統(tǒng)總體性能評估針對巡檢的內容及分析結果，對網絡運行的整體情況做評估。52網絡巡檢工作技術涵蓋網絡系統(tǒng)巡檢工作主要涵蓋以下技術內容：項目分類參數(shù)數(shù)據來源設備基本信息軟件Comware Version命令采集Bootstrap Version命令采集啟動與運行Boot-loader命令采集uptime命令采集硬件Device命令采集Flash命令采集NVRAM命令采集Total Memory命令采集SDRAM命令采集設備運行環(huán)境環(huán)境溫度命令采集電源命令采集風扇命令采集性能CPU利用率Peak Util命令采集AvgUtil命令采集內在利用率Peak Used Memory命令采集Avg Used Memory命令采集線路穩(wěn)定性網絡端口In DropsOut Drops命令采集網絡事件LOG6網絡系統(tǒng)巡檢基本判斷標準我們將依照依據華三公司的技術指標和業(yè)界遵循的閾值、慣例和相關技術標準，將采集的數(shù)據結果與其對照分析，以判斷當前網絡運轉情況是否良好，根據具體發(fā)現(xiàn)的問題提出合理改進意見。1) 設備運行記錄設備運行時間少于7天的（即運行時間過短的設備）需要關注，有可能發(fā)生意外重啟，同樣對于設備啟動時間過長的設備建議維護性重啟。2) 設備報警溫度3) 電源風扇狀態(tài)電源正常標準Normal（指示燈為綠色）非正常標準Fail（指示燈為紅色）風扇正常標準Normal（指示燈為綠色）非正常標準Fail（指示燈為紅色）4) CPU內存狀態(tài)電源（重點關注后兩列）H3C建議值巡檢建議值變化值關注65%<X<74%>35%差值大于10%告警>75%>50%差值大于20%風扇（重點關注后兩列）H3C建議值巡檢建議值變化值關注75%<X<90%>40%差值大于5%告警>90%>50%差值大于10%5) 接口丟包錯包率（增量）Input dropOutput dropInput errorOutput error關注>0.5%>0.5%>1%>1%告警>5%>5%>5%>5%6) 接口負載率7) 防火墻狀態(tài)檢查項目正常值運行時間>7 DaysCPU使用率<35%內存使用率<40%Failover狀態(tài)Active、Standby會話連接<+30%地址轉換<+30%7設備相關信息收集7.1軟件版本及硬件信息分析使用命令display version，查看路由器信息，在巡檢過程中用此命令收集來的數(shù)據主要作用是： 查看當前設備型號，及當前啟動軟件版本 查看當前設備已運行時間 查看當前設備引擎內存大小 查看當前設備Flash大小具體關注方法如下：7.1.1 當前設備硬件信息設備硬件信息主要包括如下參數(shù)：H3C S7500 with 1 MPC8245 Processor256M bytes SDRAM32768K bytes Flash Memory512K bytes NVRAM Memory（如圖第7-10行）當前設備引擎號、內在與Flash大小H3C S7500 LPU with 1 MPC8241 Processor128M bytes SDRAM0K bytes Flash Memory0K bytes NVRAM Memory（如圖第18-21行）如果設備有冗余引擎，此處顯示7.1.2 當前設備運行軟件信息設備軟件信息主要包括如下參數(shù)：BootROM Version（如圖第23行）自啟動文件的版本，可用于路由器啟動前配置，修改超級管理密碼。中低端設備亦稱之為Bootstrap。Comware softwareVersion （如圖第3行）系統(tǒng)文件的版本，不同的版本支持的功能不盡相同。一般情況下向下兼容。前期設備稱之為VRP software Uptime(如圖第6行)Uptime列出了該設備已運轉的時間，這些信息可以幫助客戶判斷機器是否發(fā)生過意外的重啟等7.2設備板卡硬件配置信息分析設備板卡硬件數(shù)據采集分析的主要任務是通過檢查網絡設備的板卡和模塊配置，對網絡設備的負載、容量和擴展能力進行分析。查看基本信息檢查的命令主要有：display device display diagnostic等命令設備硬件統(tǒng)計信息主要包括以下參數(shù)：Slot所在位置的槽號Status顯示板卡狀態(tài)SftVer顯示板卡上軟件的版本設備硬件分析的參考標準Status：當設備啟動正常后，所有板卡狀態(tài)就為Normal，如果有雙引擎進行冗余狀態(tài)配置時狀態(tài)為一個Master，另一個是Normal。當板卡有故障時此板卡狀態(tài)有可能顯示FAULT或顯示不出裝載的板卡。7.3設備運行狀況檢查運行狀況檢查包括：l CPU的工作狀態(tài)l 內存的工作狀態(tài)l Buffer的情況7.3.1設備CPU工作狀態(tài)檢查使用命令display cpu可以檢查cpu的利用率，可以得到5秒、1分鐘和5分鐘的統(tǒng)計結果。內容內容說明CPU busy status交換機CPU的占用率狀態(tài)18% in last 5 seconds19% in last 1 minute19% in last 5 minutes最近5秒CPU占用率為18%最近一分鐘CPU占用率為19%最近五分鐘CPU占用率為19%處理器利用率分析的參考建議：這個數(shù)值在80%-90%之間時需要引起注意，大于90%時則影響網絡穩(wěn)定性和設備的正常處理。此數(shù)值可通過命令行窗口或網管軟件采集連續(xù)值得出。當CPU使用率偏高時排查各個進程CPU使用情況。7.3.2設備CPU利用率分析通過display cpu命令采集相關設備一天當中三次數(shù)據，并對數(shù)據進行整理分析得到：序號設備名稱一天三個時間段CPU利用率變化范圍日起日中日結平均10.00%0.00%0.00%0.00%0.00%23.00%4.00%4.00%3.67%1.00%3【注】：日起數(shù)據為08：30-09：00的5分鐘CPU的平均利用率日起數(shù)據為11：00-12：00的5分鐘CPU的平均利用率日起數(shù)據為16：30-17：30的5分鐘CPU的平均利用率7.3.3設備MEMORY使用狀態(tài)檢查在任意視圖下使用display memory或display memory-usage命令可采集相關設備MEM利用率的數(shù)據。<H3C> display memory slot 0System Total Memory(bytes): 197932416Total Used Memory(bytes): 65234704Used Rate: 32%H3Cdisplay memory-usage Memory utilization statistics at 2011-08-12 15:52:09 200 ms System Total Memory Is: 171774608 bytes Total Memory Used Is: 128234928 bytes Memory Using Percentage Is: 74%內容內容說明System Total Memory(bytes)系統(tǒng)的內存總大小，以字節(jié)為單位Total Used Memory(bytes)已經使用的內存大小，以字節(jié)為單位Used Rate已經使用的內存所占的比例另外，可以用display memory limit顯示內存配置消息<H3C> display memory limitCurrent memory limit configuration information:system memory safety: 40 (MBytes)system memory limit: 30 (MBytes)auto-establish enabledFree Memory: 108120672 (Bytes)The state information about connection:The times of disconnect: 0The times of reconnect: 0The current state: Normal7.3.4設備MEMORY利用率分析表使用display memory 命令采集相關設備一天三次MEM利用率的數(shù)據，并進行數(shù)據比較，從表中看到內存占用是否穩(wěn)定，并關注其變化范圍。序號設備名稱內存（KB）日起日中日結平均變化范圍127.4設備運行狀態(tài)檢查7.4.1電源的工作狀態(tài)使用display power 命令查看電源狀態(tài)是否正常，電源是否冗余。<H3C> display powerPower 1 State: AbsentPower 2 State: NormalPower 3 State: Absent7.4.2風扇的工作狀態(tài)使用display fan命令查看風扇狀態(tài)是否正常。<H3C> display fanFan 1 State: Normal7.4.3設備工作溫度使用display environment命令，查看設備內部板卡、機框的工作溫度是否正常。<H3C> display environmentSystem temperature information (degree centigrade):- Board Temperature Lower limit Upper limit 1 30 10 70 3 43 10 80 5 33 10 70 8端口的可用性、準確性檢查8.1端口狀態(tài)檢查使用display interface 查看設備端口運行狀況。在巡檢過程中用此命令收集來的數(shù)據的主要作用是：<H3C> display interface Ethernet2/0/1Ethernet2/0/1 current state : DOWNIP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 000f-e20f-3f11The Maximum Transmit Unit is 1500Media type is twisted pair, loopback not setPort hardware type is 100_BASE_TXUnknown-speed mode, unknown-duplex modeLink speed type is autonegotiation, link duplex type is autonegotiationFlow-control is not enabledThe Maximum Frame Length is 1536Broadcast-suppression ratio: 20%Allow jumbo frame to passPVID: 1Mdi type: autoPort link-type: accessTagged VLAN ID : noneUntagged VLAN ID : 1Last 300 seconds input: 0 packets/sec 0 bytes/secLast 300 seconds output: 0 packets/sec 0 bytes/secInput(total): 0 packets, 0 bytes- broadcasts, - multicastsInput(normal): 0 packets, 0 bytes0 broadcasts, 0 multicastsInput: 0 input errors, 0 runts, 0 giants, 0 throttles, 0 CRC0 frame, - overruns, - aborts, - ignored, - parity errorsOutput(total): 0 packets, 0 bytes- broadcasts, - multicasts, - pausesOutput(normal): 0 packets, 0 bytes0 broadcasts, 0 multicasts, 0 pausesOutput: 0 output errors, - underruns, - buffer failures- aborts, 0 deferred, 0 collisions, 0 late collisions- lost carrier, - no carrier參數(shù)指標如下：字段描述Ethernet2/0/1 current state以太網端口當前開啟或關閉狀態(tài)IP Sending Frames Format以太網幀格式Hardware address端口硬件地址The Maximum Transmit Unit最大傳輸單元Media type介質類型Port hardware type端口硬件類型Flow-control is not enabled端口流控狀態(tài)The Maximum Frame Length端口允許通過的最大以太網幀長度Broadcast-suppression ratio端口廣播風暴抑制比Allow jumbo frame to pass端口允許長幀通過PVID端口缺省VLAN IDMdi type網線類型Port link-type端口鏈路類型Tagged VLAN ID標識在該端口有哪些VLAN的報文需要打Tag標記Untagged VLAN ID標識在該端口有哪些VLAN的報文不需要打Tag標記Last 300 seconds input: 0 packets/sec 0 bytes/secLast 300 seconds output: 0 packets/sec 0 bytes/sec端口最近300秒輸入和輸出速率和報文數(shù)Input(total): 0 packets, 0 bytes- broadcasts, - multicastsInput(normal): 0 packets, 0 bytes0 broadcasts, 0 multicastsInput: 0 input errors, 0 runts, 0 giants, 0 throttles, 0 CRC0 frame, - overruns, - aborts, - ignored, - parity errorsOutput(total): 0 packets, 0 bytes- broadcasts, - multicasts, - pausesOutput(normal): 0 packets, 0 bytes0 broadcasts, 0 multicasts, 0 pausesOutput: 0 output errors, - underruns, - buffer failures- aborts, 0 deferred, 0 collisions, 0 late collisions- lost carrier, - no carrier端口輸入/輸出報文和錯誤信息統(tǒng)計，其中“-”表示不支持該統(tǒng)計項。8.1.1基本網絡接口狀態(tài)分析接口的狀態(tài)有兩個方面的組件構成：物理層狀態(tài)和數(shù)據鏈路層狀態(tài)。第一個組件是“物理層狀態(tài)”，亦即接口是否有物理連接，是否收到正確的傳信。對于串口來說，正確的傳信應該是載波檢測“Carrier Detect，CD”信號或者是來自WAN的一個計時信號。而對Ethernet接口來說，正確的傳信應當是來自交換機或HUB的鏈路傳信。第二個組件是：“數(shù)據鏈路層狀態(tài)”，就是通常我們所說的線路協(xié)議狀態(tài)，它指出接口是否收到了“存活”信號（如果允許的話）。所謂“存活”（keep alive）信號，是指一條小的第二層消息，該消息由網絡設備發(fā)出，使那些與它直連的網絡設備知識它：“仍然存在”。8.1.2接口半/全雙工模式和鏈路類型接口的雙工模式和鏈路類型一般為AUTO模式，需要鏈路兩端進行自協(xié)商，如果對兩端的雙工模式和鏈路類型進行配置，那么必須保證兩端的配置一定要一致，否則鏈路進行匹配時可能出現(xiàn)丟包或者鏈路協(xié)議DOWN的問題。8.1.3接口穩(wěn)定性統(tǒng)計信息網絡端口統(tǒng)計信息主要包括的以下參數(shù)：Interface 顯示接口或子接口的名字。Input列出了所有進入接口的幀的數(shù)量和種類。Output列出了所以離開接口的幀的數(shù)量和種類。8.2端口狀態(tài)檢查表設備名稱端口號SpeedDuplexInputOutput9設備端口負載及流量檢查9.1設備緩存信息檢查使用命令查看設備緩存信息，在巡檢過程中用此命令收集的數(shù)據的主要作用是查看各種緩存的使用情況。9.2流量信息檢查查看設備端口的吞吐、錯誤信息和丟棄信息，使用display interface 命令實現(xiàn)。由于網絡系統(tǒng)的流量信息需要經過長期的觀測和分析，建議采用網絡管理系統(tǒng)進行數(shù)據采集，并對網絡管理系統(tǒng)的數(shù)據進行分析，手工采集數(shù)據僅供參考。輸出表格如下：10 網絡架構、配置信息分析10.1網絡結構檢查10.1.1檢查內容 網絡拓撲圖n 網絡物理連接示意圖，包括節(jié)點或位置名稱、網絡設備名、端口名稱與帶寬、管理IP地址n 網絡邏輯連接示意圖，包括路由、STP、端口信息等 網絡路由結構示意圖，包括的路由協(xié)議的鄰居關系、認證、路由器的ID、缺省與靜態(tài)路由等。 網絡協(xié)議書策略檢查10.1.2檢查方式查看設備使用何種路由協(xié)議和路由表信息，檢查網絡設備連接關系，使用以下命令：l Displayip routing-table用于查看網絡中路由協(xié)議及路由條目信息l Display ospf peer 如果網絡中使用ospf協(xié)議，此命令用于顯示ospf的鄰居信息。l Display ospf interface如果網絡中使用ospf協(xié)議，此命令用來顯示ospf的接口信息。l Display ip interface brief 用于查看端口的連接狀態(tài)l Display VLAN用于查看網絡配置中的VLAN信息l Display port trunk 用于查看網絡配置啟用TRUNK協(xié)議的端口信息l Display stp用于查看生成樹的狀態(tài)和統(tǒng)計信息。網絡結構信息主要參考指標：路由部分：暫時空缺二層鏈路部分：TRUNK禁用定義連接非交換設備的端口是否關閉了trunk功能參考標準與端設備相連的端口必須設置成access模式VLAN部分：對應的IP網段定義每一個VLAN是否對應一個IP網段參考標準每一個VLAN最好對應一個IP網段Management VLAN定義是否有獨立的Management VLAN參考標準應該配置統(tǒng)一的專用管理VLANDefault VLAN定義Default VLAN當中是否承載用戶數(shù)據流參考標準Default VALN 應該專用，不應該有端口劃分到該VLANSTP部分：根交換機定義生成樹的根是否在核心交換機上參考標準生成樹的根應該在核心交換機上（核心交換機的優(yōu)先級最好配置為0）根端口定義非根交換機的根端口是否為距離根交換機費用最低的端口參考標準非根交換機的根端口應當為距離根交換機費用最低的端口指定端口定義一個網段的指定端口是否為距離根交換機費用最低的端口參考標準一個網段的指定端口是否為距離根交換機費用最低的端口10.2網絡配置信息檢查10.2.1檢查內容 網絡設備配置檢查包括網絡設備最佳實踐模板與設備實際配置的差異性檢查，網絡系統(tǒng)安全增強性配置檢查。 主要內容包括： 網絡系統(tǒng)最佳實踐配置模版的建立 模版與實際配置的差異性檢查 網絡系統(tǒng)冗余策略檢查：目的在于保持網絡系統(tǒng)的健壯性、提高網絡系統(tǒng)的可用性。 網絡設備接入認證檢查，包括：l Local user及其權限設置l 口令的安全設置檢查，包括SNMP、VTY和Console等l 設備TACACS or RADIUS認證設置及管理等 網絡設備訪問控制列表的設置檢查，包括：l 訪問控制的有效性l 對常見網絡攻擊的保護l 對病毒攻擊的保護10.2.2 檢查方式l 與用戶溝通制定檢查內容策略和具體要求l 編制和建立最佳實踐模版l 采集網絡設備的相關配置l 驗證配置的合理性和完整性l 對于不滿足條件的設備提出整改建議網絡配置信息主要參考標準：Portfast定義相關的連接端設備的端口是否被設置為Portfast判斷標準所有且僅有連接端設備的端口被設置為PortfastBpduguard定義設置了protfast功能的交接機上是否在全局或接口模式下設置了bpduguard功能判斷標準設置了Portfast功能的交換機必須在全局或接口模式下設置bpduguard功能Rootguard定義交換機是否正確啟用了根保護功能判斷標準在所有交換機上，有可能連接非端設備的端口應該設置Rootguard功能Super口令強度定義Super口令加密系統(tǒng)是采用明文還是密文判斷標準Super口令加密系統(tǒng)應采用MD5加密Console定義是否有Console口登陸控制判斷標準應該配置控制臺登陸控制Telnet定義是否有Telnet口登陸控制判斷標準應該配置Telnet登陸控制Password定義是否有口令加密機制判斷標準應該有口令加密機制，保證密碼采用密文安全認證定義是否配置安全認證配置判斷標準應該配置安全認證功能對登錄用戶的身份加以識別以提高管理安全性安全授權定義是否配置安全授權配置判斷標準應該配置安全認證功能對登錄用戶的權限加以控制以提高管理安全性安全審計定義是否配置安全審計配置判斷標準應該配置安全審計功能記錄用戶的操作信息以提高管理安全性電源數(shù)量定義設備配備的電源數(shù)量判斷標準核心網絡設備應該配備冗余電源以保證設備運行的可靠性引擎數(shù)定義設備配備的引擎數(shù)量判斷標準核心網絡設備應該配備雙引擎以保證設備運行的可靠性11LOG信息檢查巡檢中對LOG日志進行全面的分析和檢查，通過分析員LOG日志，找出網絡中可能存在的隱患和問題，并給出建設性建議。11.1標準的LOG格式11.2LOG日志等級根據嚴重等級可以分為8級，如下表所示：嚴重等級取值描述emergencies1極其緊急的錯誤alerts2需立即糾正的錯誤critical3關鍵錯誤errors4需關注但不關鍵的錯誤warnings5警告，可能存在某種差錯notifications6需注意的信息informational7一般提示信息debugging8調試信息精選word范本！