16
input flow-control is off, output flow-control is on Output queue: 0/40 (size/max) 5 minute input rate 15000 bits/sec, 20 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2333773918 packets input, 227488494191 bytes, 0 no buffer Received 2321784115 broadcasts (1793469168 multicasts) 0 runts, 0 giants, 0 throttles 1 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 3133137472 packets output, 306700001183 bytes, 0 underruns 0 output errors, 0 collisions, 6 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out 检查结果:□正常 □不正常
十六、 NAT检查
编号:C-B-08 检查项目: NAT配置及NAT连接数状态 检查命令:router#show running-config (看NAT具体配置) router#show ip nat translations(看NAT转换情况) router#show ip nat statistics(看NAT连接数情况) 检查期待结果:NAT配置正常,连接装换情况正常,连接数没有太多丢失情况。 备注: 由于P2P等并发连接特别多,如果网络环境中发现NAT连接数丢失情况比较大,而又没有流量控制设备,建议在NAT设备上做NAT连接数限制,每个用户限制100个连接,防止网络中连接数过多,超出路由器承载能力。 检查范例:(由于现实内容过多,这里只截取部分) router#show ip nat statistics Total active translations: 3540 (19 static, 3521 dynamic; 3532 extended) Outside interfaces: GigabitEthernet0/1 Inside interfaces: GigabitEthernet0/0 Hits: 3708991098 Misses: 325753312 CEF Translated packets: 3926956344, CEF Punted packets: 228979536 Expired translations: 351641902 Dynamic mappings: -- Inside Source
16
17
[Id: 1] access-list nat11 pool 11 refcount 0 pool 11: netmask 255.255.255.0 start 123.127.241.11 end 123.127.241.11 type generic, total addresses 1, allocated 0 (0%), misses 4398 [Id: 2] access-list natlist pool 1 refcount 3529 pool 1: netmask 255.255.255.0 start 123.127.241.1 end 123.127.241.2 type generic, total addresses 2, allocated 2 (100%), misses 123322 [Id: 3] access-list vlanother pool 3 refcount 0 pool 3: netmask 255.255.255.0 start 123.127.241.3 end 123.127.241.3 type generic, total addresses 1, allocated 0 (0%), misses 178876 Queued Packets: 196 检查结果:□正常 □不正常
十七、 防火墙检查
编号:C-B-09 检查项目:防火墙摆放位置、防火墙策略应用、防火墙failover状态(如果有)、xlate状态、防火墙硬件性能参数、DMZ区是否正常、地址映射是否正常 检查命令:PIX#show failover PIX#show run PIX#show xlate(查看NTA连接数情况) 检查期待结果: 防火墙策略符合设计、NAT正常、failover功能正常 备注:一般情况下,防火墙应放置在网络企业目前PIX防火墙的安全访问策略主要是通过ACL控制列表来实现,管道应用很少。注意思科PIX设备默认允许高优先级区域访问低优先级区域,特别注意网络中ACL应用permit ip any any这样允许所有的语句,禁止使用这种语句。 检查结果:□正常 □不正常
17
18
十八、 其他维护信息检查
编号:C-B-10 检查项目:CDP、NTP协议、其他维护信息 检查命令:CISCO#show cdp nei CISCO#show ntp sta 6509_1#show clock 检查期待结果: 1. 网络设备IOS软件与及配置文件要定期备份。 2. 网络工程文档能实时更新与当前运行的网络相符合 3. 网络设备采用SSH登陆取代Telent;并采用ACL列表控制访问范围 4. 所有交换机及路由器密码需字母与数字结合 备注:一般情况下,为了网络安全,在有些网络环境中要把NTP、CDP等协议关闭,要结合客户性质及网络环境来决定是否打开这些服务。如果客户网络环境应用了网管软件或日志服务器,应该设置NTP时钟,使整个网络环境网络设备时间保持一致。 检查范例:(由于现实内容过多,这里只截取部分) WS-C6509-1#show cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID C4506-29F Ten 2/4 134 R S I WS-C4506 Ten 1/1 C4506-25F Ten 3/3 126 R S I WS-C4506 Ten 1/1 C4506-27F Ten 2/2 123 R S I WS-C4506 Ten 1/2 C4506-26F Ten 2/3 152 R S I WS-C4506 Ten 1/1 C4506-31F Ten 2/1 145 R S I WS-C4506 Ten 1/1
18
19
C4506-23F Ten 3/1 127 R S I WS-C4506 Ten 1/1 C4506-22F Ten 3/2 147 R S I WS-C4506 Ten 1/1 WS-C6509-2 Gig 4/48 130 R S I WS-C6509-EGig 4/48 检查结果:□正常 □不正常
网络拓扑巡检报告单
巡检记录 网络拓扑图 此处粘贴网络拓扑图 网 络 巡 检 报 告 网络拓扑分析:
19
20
网络拓扑分析建议: 此处可写对网络环境拓扑的建议
网络链路状况巡检单
巡检记录 服务项目 专线类型 服务内容 网 络 巡 检 报 告 □DDN □E1 ■光纤 □ADSL □公司广域网连接 (以太网连至机房) □2M □4M □10M ■20M □其它 网络带宽 网络链路联通性状态:
20
网络设备巡检报告



