華為交換機巡檢指導書

1、交換機巡檢指導書華為技術華為技術有限公司綜合業(yè)務技術支持部資料編碼產(chǎn)品名稱綜合業(yè)務技術持部使用對象產(chǎn)品版本編寫部門資料版本擬制：日期：2011-07-10審核：日期：審核：日期：批準：日期：修 訂 記 錄日期修訂版本作者描述目 錄1 說明.42 外部環(huán)境檢查.4 2.1 杋房環(huán)境檢查4 2.2 硬件安裝檢查.4 2.3 電源檢查4 2.4 連接線檢查53 基本工作狀態(tài)檢查.5 3.1 狀態(tài)燈檢查5 3.2 內(nèi)部工作環(huán)境檢查5 3.3 工作日志檢查.6 3.4 交換機運行時間檢查7 3.5 硬件配置的檢查8 3.6 端口工作狀態(tài)檢查.84基本配置檢查.9 4.1 機器名檢查.9 4.2 時間檢查

2、.9 4.3 NTP時間設置檢查.9 4.4 口令檢查10 4.5 遠程登錄檢查10 4.6 日志配置檢查.10 4.7 SNMP配置檢查.11 4.8 端口配置檢查.11 4.9 VLAN配置檢查.11 4.10 TRUNK配置檢查.125 性能檢查.13 5.1 端口流量檢查13 5.2 CPU使用情況檢查.136 附錄：交換機巡檢清單.131說明 因產(chǎn)品線在線交換機多為Cisco公司的交換機，本清單的配置命令以Cisco交換機參考。詳細命令參看隨機配置手冊，華為公司交換機的命令不同時，可參考相應配置手冊。2 外部環(huán)境檢查2.1 機房環(huán)境檢查 交換機是數(shù)據(jù)網(wǎng)絡中的關鍵設備，應放置在專門的計

3、算機機房中。機房的濕度、濕度、清潔、衛(wèi)生等環(huán)境因素應符合計算機機房的要求。 檢查目的： 保證交換機的工作環(huán)境符合要求。 檢查方法： 觀察機房的濕度、濕度、清潔等環(huán)境情況。2.2 硬件安裝檢查 交換機應放置在機柜中，而且固定良好，所有螺絲全部擰緊，但不要扭傷螺紋和螺帽。 機柜內(nèi)無殘留雜物，沒有板卡的插槽都裝有相應的擋板或擋片，保持設備內(nèi)的通風、散熱，避免灰塵進入設備，造成設備運行異常。 檢查目的： 保持交換面運行時不會松動，且設備通風、散熱良好，不會因為環(huán)境原因?qū)е庐惓＿\行。 檢查方法： 觀察交換機的安裝情況，必要時可以人為晃動設備。2.3 電源檢查 電源線固定應牢固，避免被碰掉導致斷電情況發(fā)生

4、。 直流電源線、地線應使用整段物料，保證電源線、地線的阻值符合要求。電源線與銅鼻子的連接應焊接（或壓接）牢固，不將裸線和線銅柄露出。 電源線兩端帖有標簽，便于以后維護。 檢查目的： 保證電源線固定、接觸良好。 檢查方法： 觀察電源線的連接情況。2.4 連接線檢查 柜內(nèi)電源應綁扎在電纜固定橫梁上，且布放電纜時，不能交叉，不允許機柜間直接走線，應層次分明、走線平滑。電纜兩端標志應清晰。 光纖布放在拐彎處不應過緊，成對的光纖要理順綁扎。光纖出機柜布放時，一定要使用塑料紋保護套管，且保護套管兩端一定要綁扎固定。 信號線一定要與電源線分開綁扎。 檢查目的： 使用柜內(nèi)布線美觀，便于日后維護，保證數(shù)據(jù)正常傳

5、輸，不受異常一無干擾。 檢查方法： 觀察線纜的布投是否符合要求。3 基本工作狀態(tài)檢查3.1 狀態(tài)燈檢查 檢查交換機的面板指示燈、板卡指示燈、接口指示燈。指示燈的要作狀態(tài)應正常。指示燈的狀態(tài)表示請參考不同型號的產(chǎn)品的說明書。 檢查目的: 檢查交換機的工作狀態(tài)、板卡的工作狀態(tài)、接口工作狀態(tài)、交換機電源及風扇是否正常。、 檢查方法： 觀察交換機的面板指示燈、板卡指示燈、接口指示燈。3.2 內(nèi)部工作環(huán)境檢查通過命令檢查交換機的內(nèi)部工作環(huán)境情況。可以用命令show envir 、 show power 、show led 、 show system(CatOS)等命令檢查交換機內(nèi)部的工作溫度、電源供電情

6、況、指示燈工作情況。（注：不同的型號產(chǎn)品不一定支持所有的命令，不同廠家的產(chǎn)品命令不一定相同，請參考相應的產(chǎn)品手冊）。Shou environment的輸出例子：Switch#sh environment allPower Supply: Redmdan power system is not presentBoard Temperature NormalCatOS下的show systemShow system*PS1-Status PS2-Stutus PS3-Status PEM Installed PEM Poweredok ok ok no noFan Status Temp-Alar

7、m Sye-Status Uptime d.h:m:s logout Ok off ok 295,16:54:44 20minPS1-Type PS2-Type PS3-Type WS-C4008 WS-C4008 WS-4008Modem Baud Traffic Peak Peak-Time Disable 9600 0% 0% Sat Aug 31 2002, 15:53:26檢查目的： 檢查交換機的內(nèi)部工作環(huán)境是否正常。檢查方法： 在交換機上用前述命令檢查。3.3工作日志檢查 通過命令檢查交換機的工作日志，用show logging或show logging buffer 命令檢查交換

8、機日志中是否有異常信息發(fā)生。 日志消息格式： 消息日志格式以百分號開始，最多達80個字符。消息如下格式顯示： Mm/dd/yyy:hh/mm/ss:facility-severity-MNEMONIC:description 其中： Mm/dd/yyy:hh/mm/ss消息的時間和日期。時間看交換機的配置命令不同可以顯示為人交換機啟動以來的相對時間或是絕結時間。 Fcacility指示消息設施 Severity指示消息的嚴重性 MNEMONIC錯誤消息描述 Description事件詳細信息 日志的嚴重性有8個等級，分別從0到7編號，編號越小，表明在消息中報告的狀況越嚴重，通常根據(jù)名字對這8個

9、級別進行配置：等級數(shù)字描述emergency0緊急：系統(tǒng)不可用alert1告警：需要立即行動Critical2關鍵：關鍵狀態(tài)Error3錯誤：錯誤狀態(tài)Warning4警告：警告狀態(tài)notification5通知：正常但重要狀態(tài)informational6信息：僅是信息消息debug7調(diào)試：調(diào)試消息以下為一交換機的日志信息：Switc#show loggingSyslog logging:enabled （0 messages dropped,15 flushes,0 overrums）Console logging:level debugging,1630 messages loggedMon

10、itor logging:level debugging,0 messages loggedBuffer logging:level debugging,832 messages loggedFile logging:disabledTrap logging:level informational,836 message lines loggedJan 18 19:47:32:%LINK-3-UPDOWN:Iinterface FastEtherntet0/10,changed state to downJan18 19:47:32:%LIKEPOTO-5-UPDOWM:Line protoc

11、ll on Interface FadtEthernet0/10,changed state to downJan 18 19:47:56:%LINK-3-UPDOWN:Interface FastEthernet0/9,changed state to down 檢查目的： 查看交換機的是否有異常的信息發(fā)生、 檢查方法： 在交換機上用show logging 、show logging buffer 命令查看日志信息。3.4 交換機運行時間檢查 通過命令檢查交換機在線運行時間狀態(tài)，檢查交換機在運行過程中有沒有異常新啟動。用命令show version檢查。 Show version 的例子：

12、Cisco Internetwork Operating System SoftwareIOSCatalyst 4000 L3 Switch Softwate (cat4000-IS-M),version 12.1(8a)EW1,EARLY DEPLOYMENT RELEASE SOFTWARE(fcl)Copyright（c）1986-2002 by cisco Aystems,Ins.Compiled Wed 20-Feh-02 18:02 by caarmasImage text-base:0x00000000,data-base:0x00AA30DCROM:12.1(12r)EWHNS

13、W4006Main uptime is 22 weeks,4days,10hours,32minutesCatOS的show version例子：WS-C4006 Software,Version NmpST:6.1(le)Copyringt(c)1995-2002 by Cisco Systems,IneNMP S/W compiled on Feb 8 2002,13:27:21GSP S/W compiled on Feb 08 2002,12:54:46System Bootstrap Version:5.4(1)Hardware Version:3.2 Madel:WS-C4006

14、Serial #：LAE061203P4Mod Port Model Serial # Versions 1 2 WS-S4013 JAE061203P4 Hw:3.2 Gsp:6.1(1.0) Nmp:6.1(le)2 48 WS-X4148-RJ JAE06220UP Hw:3.1 DRAM FLASH NYRAMModul Total Usde Free Used Free Total Used Free65536K 30483K 65053K 16384K 4775K 11609K 480K 175K 305KUptime is 295 days,16 hours, 54 minute

15、s檢查目的： 查看交換機的是否有異常的重啟現(xiàn)象檢查方法： 在交換機上用show version 命令查看。3.5 硬件配置的檢查 通過命令檢查交換機板卡在交換機操作系統(tǒng)中被識別的情況。有些廠商的交換機不同版本的操作系統(tǒng)支持不同的板卡，可以愛用show module、show config等命令查看交換機所配置的板卡是否都被交換機操作系統(tǒng)所識別。Show module例子：4006# show module Mod Porls Card Type Model Serial No. 1 2 1000BaseX(GBIC)Supervisor module WS-X4014 JAB064207P5

16、2 48 10/10BaseTX(RJ45) WS-X4148-RJ JAE063807R4 3 48 10/100BaseTX(RJ45) WS-X4148-RJ JAE063804FV M MAC addresses Hw Fw Sw Stat 1000a,8ad4.5200 to 000a.8ad4.55ff 2.1(12r)EW 12.1(8a)EW1,EA Ok 2000a,f454.72e0 to 000a.730f 3.1 Ok 3000a,f454.7880 to 000a.f454.78af 3.1 Configuration register is 0x2102 檢查目的：

17、 查看交換機的板卡是否都被交換機操作系統(tǒng)所識別 檢查方法： 在交換面上用show module,show config等命令查看3.6 端口工作狀態(tài)檢查 通過命令檢查交換機的名個端口的工作狀態(tài)是否正常。正常情況下，工作的端口都應是up狀態(tài)。采用show interface 或show port 命令來查看端口的工作狀態(tài)。 Show interface的例子：Switch#show interfacesFasiEthernet0/0 is up, line protocol is up Hardware is AmdFE。Address is 0007.ebf3.dlel(bia 0007.eb

18、f3.dlcl) MTU 1500 bytes,BW 100000 Kbit,DLY 100 usec. Reliahility 255/255,txload 1/255,rxlsad 1/255 Encapsulation ARPA.loopback not set.CatOS:show portShow port *Port Name Status Vlan Level Duplex Speed Tyme 2/27 connected 10 normal a-full a-100 10/10BaseTX2/28 connected 10 normal a-full a-100 10/10B

19、aseTX2/29 connected 10 normal a-full a-100 10/10BaseTX2/30 connected 10 normal a-full a-100 10/10BaseTX2/31 notconnect 10 normal auto auto 10/10BaseTX 2/32 notconnect 10 normal auto auto 10/10BaseTX 2/33 notconnect 10 normal auto auto 10/10BaseTX 檢查目的： 查看交換機的端口工作狀態(tài) 檢查方法： 在交換機上用show interface或show po

20、rt命令查看。4 基本配置檢查4.1 機器名檢查檢查交換機沒有作用缺省的機器名，而且名字不與在線的其他網(wǎng)絡設備同名。機器名設置應合理，直觀明了。檢查目的： 查看交換機的機器名是否合理，便于管理。檢查方法： 登錄交換機上查看，一般交換機以交換機名字作為提示符。4.2 時間檢查 檢查交換機上的當前時間是否與實際時間一致，便于管理。在交換機上用show clock、show time命令查看交換機的當前時間。檢查目的： 查看交換機的當前時間是否正確。檢查方法： 登錄交換機上，用show clock、show time命令查看。4.3 NTP 時間設置檢查NTP（網(wǎng)絡時間協(xié)議）是保證全網(wǎng)設備時間統(tǒng)一的

21、協(xié)議。在2900、3500等中低端交換機中，交換機本身沒有日歷協(xié)能，每交換機重新啟動后，交換機的時間會從某一個時間（不同廠這個時間不一樣，cisco交換機是從1993年開始）重新開始。在交換機重啟后，如果沒有設置NTP，而且沒有手工修改交換機的時間，則交換機的時間與當前的正解時間是不一致的?？梢杂胹how run命令來查看交換機有沒有NTP的配置，show ntp status等命令校驗NTP的配置。CatOS交換機NTP的顯示例子：Console>show ntpCurrent time: Tue Mar 28 2000.11:19:03 pstTi mezone:pst,orrset

22、 from UTC is -8 hoursSummertime:pst.enabledLast NTP update:Broadcast client mode:enabledBroadcast delay:3000 microsecondsClient mode:disahledNTP-Server T檢查目的：查看交換機的是否配置NTP協(xié)議。檢查方法： 登錄交換機上用show run、show ntp status等命令查看。4.4 口令檢查檢查交換機有沒有設置enable、vty、console、aux等口令，而且所有登陸接口（vty、console、aux等）都配置了驗證：login

23、local、login,并確保有沒有同時使用nopassword選項：在交換機中激活password encryption功能，否則password為明文；口令不采用通用字符，口令強度符合要求?？梢杂胹how run命令查看交換機上有沒有對前述口令配置時行了設置。注意是CatOS交換機只有登錄密碼和enable密碼。檢查目的： 查看交換機的口令和登錄設置。檢查方法： 登錄交換機上用show run命令查看。4.5 遠程登錄檢查檢查交換可否通過telnet進行遠程登錄，并對交換機進行配置。檢查目的： 查看交換機可否通過遠程登錄進行管理和配置。檢查方法： 通過telnet遠程登錄交換機進行驗證。4

24、.6 日志配置檢查檢查交換機的日志功能是否打開。在綜合業(yè)務產(chǎn)品線中，現(xiàn)在基本沒有配置日志服務器，交換機的日志只能輸出到交換機的buffer中，在一些交換機中，logging buffer功能缺省是關閉。要的是還要設置日志打上時間戳。打開交換機的logg buffer功能，用以下命令：Switch(config)#logging bufferSyslog logging: enabled(0 messages dropped,15 flushes,0 overruns)Console logging: level debugging,1630 messages loggedMonitor log

25、ging: level debugging,0 messages loggedBuffer logging: level debugging,832 messages logged (沒打開時顯示：buffer logging: disabled)File logging: disabled 設置所有日志記錄都上時間戳，用以下命令： Service timestamp log date local show-timezome 檢驗：show loggingJan 18 19:17:56:%LINK-3UPDOWN:Interface FastEthernet0/9,changer state

26、to down(日志上打上了時間戳) 檢查目的： 查看交換機正確配置了日志功能。 檢查方法： 用show logging、show logging buffer命令檢查。4.7 SNMP 配置檢查檢查SNMP的配置。如果網(wǎng)上沒有SNMP網(wǎng)管設備，應當把SNMP關掉。需要啟用SNMP時，應確保RO和RW的community(SNMP)或party(SNMPv2)字符串不容易猜測?？梢詓how run 和show snmp 命令檢查SNMP的配置。檢查目的： 查看交換機的SNMP設置正確。檢查方法： 用show snmp、show run命令檢查。4.8 端口配置檢查檢查端口的配置情況，保證交換機

27、與相連的設備工作參數(shù)一致。請按照設備配置手冊進行檢查，特別要注意以太口工作模式（全雙工、半雙工、自適應），以太網(wǎng)幀格式，NTU等。檢查看個端口都配置了合理、直觀 的Description,便于進行縱和管理。檢查目的： 端口參數(shù)與相連設備端口參數(shù)一致。檢查方法： 用show run、show interface、show port等命令查看端口配置，4.9 VLAN配置檢查檢查交換機的VLAN的配置和交換機端口劃分所屬VLAN情況。CatOS Show vlan 的例子Console> show vlan trunkVLAN Name Status IfIndex Mod/Ports. V

28、lans 1 default active 5 2/1-2 6/4-810 VLAN0010 active 18 6/1.6/311 VLAN0011 active 19 6/220 VLAN0020 active 2021 VLAN0021 active 2130 VLAN0030 active 2231 VLAN0031 active 231002 fddi-derfaul active 61003 token-ring-default active 91004fddinet-default active 71005 trent-default active 8 8檢查目的： VLAN的配置及端口所屬VLAN的情況。檢查方法： 用show vlan、show run port等命令查看。4.10 Trunk配置檢查檢查交換機的Trunk的配置情況是否正常