网络巡检报告.docx
- 文档编号:2733022
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:16
- 大小:139.60KB
网络巡检报告.docx
《网络巡检报告.docx》由会员分享,可在线阅读,更多相关《网络巡检报告.docx(16页珍藏版)》请在冰点文库上搜索。
网络巡检报告
XXX有限公司
网络系统服务/巡检报告
XX信息技术服务有限公司
200X-XX-XX
文件批准单
文件编号:
-Service-PMOl
保密等级:
内部秘密
文件名称:
XXX网络系统服务报告
文件类别:
编制:
编制时间:
校对:
校对时间:
审核:
审核时间:
签发:
签发时间:
文件接收单位:
XXX有限公司
文件发送单位:
信息技术服务有限公司
1系统维护巡检概述
系统维护巡检主要分为三个方面的内容:
>现状描述对现有的环境进行系统的描述,记录在该巡检服务周期内(一个月)的服务项目及故障处理情况的汇总(RMA、备件、故障相应处理等);
>现状分析根据现有的网络架构和网络运行情况,分析所有维护设备的运行log信息,提出具有针对性的分析;
>改造建议针对巡检服务过程中发现的问题,提醒客户予以重视,同时提出我们具有针对性的处理意见:
2网络巡检服务
2.1客户信息
客户剑称:
XXX有限公司
办公地点:
客户联系人:
联系电话:
电子邮件:
2.2巡检服务信息
窖户名称
XXX有限公司
巡检服务周期
2008.01.0h2008.12.31
现场巡检日期
2008.01.31
服务报吿提交日期
2008.02.03
巡检服务负责工程师
李超
vu^nai.?
j
2.3最新网络拓扑
3.
<.SS^K RM I m? Ai uni ・e、・* MmtKviwt^iunnz: ii、i“g、)■: *! 19: mi viuF>.n.2mGiisirnuR; 2.4维护设备清单 设备型号 设备名称 管理IP地址 设备序列号 设备安装楼 层/机房 WS-C4506 CiscoL-4506 10.1.7.1 F7 WS-C4003 Cisco-4003 10.1.7.2 F7 WS・C2950G-24・EI S2950G-7-1 10.1.7.3 F7 WS-C2950G-24・EI S2950G-7-2 10.1.7.4 F7 WS-C2950G-24-EI S2950G-8-6 10.1.8.6 F8 WS-C2950G・48・EI S2950G-8-5 10.1.8.5 F8 WS-C2950G-48・EI S2950G-9-5 10.1.9.5 F9 WS-C2960-XL-EN S2960-8-1 10.1.8.1 F8 WS-C3524-XL-EN S3524・8・2 10.1.8.2 F8 WS-C3524-XL-EN S3524-8-3 10.1.8.3 F8 WS-C3524-XL-EN S3524-8-4 10.1.8.4 F8 WS-C3524-XL-EN S3524-9-1 10.1.9.1 F9 WS-C3524-XL-EN S3524-9-2 10.1.9.2 F9 WS-C3524-XL-EN S3524-9-3 10.1.9.3 F9 WS-C3524-XL-EN S3524-9-4 10.1.9.4 F9 2.5阶段服务内容 记录在该服务阶段/周期(一个月)内发生的服务项目,包括现场故障处理、RMA记录、电话支持、log记录提醒等内容。 现场故障处理的服务内容,在故障处理完毕,以统一的故障处理报告的方式提交用户。 日期 服务内容 服务方式 RMA/备件 故障申报 工程师 处理完成日期 迁润工程师 故障设备SN 更换设备SN 注: 服务内容: 故障处理、技术咨询、RMA/备件更换、Log告警 服务方式: 现场服务、电话支持、邮件通知 3网络/设备运行状态分析 针对设备的log及现场勘测的信息,以月为一个分析单位/阶段,对所有的维护设备、逐一进行分析和建议。 3.1核心层交换机 3.1.1WS-C4506(CISCO-4506) 设备型号 WS-4506交换机 设备名称 Cisco-4506 设备分析阶段周期 2008.01.01-01.31 设备运行状态 正常,异常■ 客户关注程度 紧急■一般口 无需关注口 *Dec25OS: 15: 16.271: 為SYSS-CPUHOG: Taskisrunningfor(2000)msecsfmore than (2000)msecs(0/0),process=VTSP. ^Traceback^60ADA330 60ACBB0160AD529060BBF6CC60BC013S60BC1AC0 阶段周期主要log记 60BC395C 录 *Dec25OS: 17: 25.319: %SYS-3-L0GGER^FLUSHING: Systempausingtoensure consoledebuggingoutput. )msecs(0/0),process= VTSP. 1. CPU占用率过础甘樓是由设备木豺进行的诊惭再加上-哄路由汇聚过程和 一些广播适成的.需婆注意规察。 2 交换引翠的CPU朿启.根据分析是因为路由引宰的CPU的并當鱼新启动导 致的.主要是因为CPU的占用率过冉。 3. 设备'密码不够安全, 我们建议用AAA腹务•器. 如果没有就使用木地验证. 使用用户名和密码的方式: LOG分析与建议 aaanew-^odel aaaauthenticationlogin username…password… •1・ 建议停掉筝余的}散务,确保安全性=例如,noipfinger,noipbootpserver 等。 5. 如没有持殊用途,建议关闭CDP° 6.1/71/82/1-4S端口都有汁数器不正常的表现.可以使用命令clear counter來淸除汁数器的值,然后在观察•或者检査线路状态.如果全部都正常有可能锁件故障(根据经验.鞭件故障可能性很小) 4.1.2WS-C4003(Cisco-4003) 设备型号 WS-4003交换机 设备名称Cisco-4003 设备分析阶段周期 2008.01.01-01.31 设备运行状态 正常』异常■ 客户关注程度 紧急■一般口无需关注口 阶段周期主要log记 录 *Dec25OS: 15: 16.271: 第SYSS-CPUHOG: Taskisrunningfor(2000)msecsfmorethan(2000)msecs(0/0),process-VTSP. -Traceback=60ADA33060ACBB0160AD529060BBF6CC60BC013S60BC1AC060BC395C *Dec25OS: 17: 25.319: %SYS^3~LOGGER_FLUSHING: Systempausingtoensureconsoledebuggingoutput. )msecs(0/0),process=VTSP. LOG分析与建议 7.CPU占用率过纵主耍是由设备木身进行的诊断再加上-些路由汇聚过程和 一些广播造成的.需耍注总;规察。 S.交换引擎的CPU垂息根撫分析是因为路由引翠的CPU的斤常亜斯启动导致的,主要是因为CPU的占用率过商。 9・设备密码不够安全,我们建议用AAA腹务器•如果没有就使用木地验证. 使用用户名和密码的方式: aaanew^model aaaauthenticationlogin username…password… 10.建议停掉多余的版务,确保安全性。 例如,noipfinger,noipbootpserver等。 11.如没有特殊用途,建议关闭CDP「 12.1/71/82/1-48端口都有计数器不正常的表现.歹以使用命令clearcounter來淸除讣数器的值,然后在观察•或者检查线路状态•如果全部都正'常有可能做件故障(根据经验.换件故障可能性很小) 3.2接入层交换机 3.2.1WS-C2950(S2960G-7-1) 设备型号 WS-2960交换机 设备名称S2960G71 设备分析阶段周期 2008.01.01-01.31 设备运行状态 正常團异常■ 客户关注程度 紧急|]一般口无需关注口 阶段周期主要log记 录 *Dec25OS: 15: 16.271: %SYS^3^CPUH0G: Taskisrunningfor(2000)msecsfmorethan(2000)msecs(0/0),process=VTSP. -Traceback=60ADA33060ACBB0160AD529060BBF6CC60BC013S60BC1AC060BC395C *Dec25OS>17: 25.319: %SYSS-LOGGER^FLUSHING: Systempausingtoensureconsoledebuggingoutput. )msecs(0/0),process-VTSP. LOG分析与建议 13.CPU占用率过高.主婆是由设备木身进行的诊断再加卜•一些路由汇聚过程和一些广播造成的.需契注意观察。 1L交换引华的CPU巫启・根据分析是因为路由引擎的CPU的并常筮新启动导致的.主要是因为CPU的占用率过高。 15.设备密码不够安全,找们建议用AAA照务器•如果没有就使用木地验证. 使用用户名和密码的方式: aaane^model aaaauthenticationlogin username…password… 16.建议停掉筝余的服务,确保安全性*例如,noipfinger,noipbootpserver等。 17.如没有持殊用途,建议关闭CDP「 18.1/71/S2/1-4S端口都有计数器不正常的表现.可以使用命令clearcounter來淸除汁数器的值,然后在观察•或者检查线路状态.如果全部都正常有可能製件故障(根据经验.鮫件故障可能性很小) 3.2.2WS-C2950(S2960G-8-l) 设备型号 WS-2960交换机 设备名称S2960G-8J 设备分析阶段周期 2008.01.01-01.31 设备运行状态 正常厘异常■ 客户关注程度 紧急■一般口无需关注口 阶段周期主要log记 录 *Dec25OS: 15: 16.271: 為SYSS-CPUHOG: Taskisrunningfor(2000)msecsfmorethan(2000)msecs(0/0),process-VTSP. -Traceback=60ADA33060ACBB0160AD529060BBF6CC60BC013S60BC1AC060BC395C *Dec25OS: 17: 25.319: %SYS^3~LOGGER_FLUSHING: Systempausingtoensureconsoledebuggingoutput. )msecs(0/0),process=VTSP, 19.CPU占用率过础主婆是由设备木身进行的诊断再加i: 一些路由汇聚过程和一些广播造成的.需耍注意观察。 20.交换引擎的CPU重启.恨据分析是因为路由引擎的CPV的汗常重新启动导致的.主要是因为CPU的占用率过岛, 21.设备密码不够安全.我们建议用AAA册务器•如果没有就使用木地验证.使用用户名和密码的方式: aaanew~model username…password… 22.建议停掉筝余的版务,确保安全性©例如,noipfinger,noipbootpserver等。 23.如没有特殊用途,建议关闭CDP「 24.1/71/82/1-4S端口都有计数器不正常的表现.可以使用命令clearcounter來清除汁数器的值,然后在观察•或者检查线路状态.如果全部都正常有可能腴件故障(根据经验.呗件故障可能性很小) 3.3设备运行环境巡检 机房/机柜名称 温度/湿度 防尘需求 电源/安全 综合布姣 F7中心机房 F8楼层机房 F9楼层机房 F15楼层机房 设备运行环境处理建议 4网络/设备巡检总体分析及建议 4.1设备运行状态统计 设备运行状态统计 第一级 第二级 第三级 数量 备注 说明: 我们把设备的运行状态级別分为三个级别。 通过现场査看设备运行状态的方式进 行检查; 第一级: 设备正常运行。 没有报错信息,或者只有较低级别的错误信息,在设备的具 体分析中用标准的黑色表示; 第二级: 设备主要功能正常实现。 有级别较低的警告信息或者错误配這,暂时没有影响设备正常运行,有些信息需要用戸进一步操作或者确认,在设备的具体分析中用桔黄色表示: 第三级: 设备发生重大故障。 设备模块故障或者有重大报警信息,在设备的具体分析 中用红色表示: 4.2巡检总结报告及建议 根据巡检数据及汇总的CASE信息.巡检总结报告及建议如下: 客户意见: 工程师签字: 客户负责人签字: 日期: 日期: 附件一: cisco故障处理报告 项目劣称 CISCO网络系统运行维护服务 客户名称 XXXX 项目经理 客户联系 服务合同 2008-011 故障处理工程师 服务周期 故障处理时间 故障现象 故障处理 过程 维护处理 建议 附件二: 网络系统/设备巡检分析参考 我们从下而几个方而,结合客户网络系统的数据,分析并提供维护、更改建议: 网络连通性 网络边界 网络协议 网络流量 网络QoS 网络建设的规范性 网络设备安全 网络管理 网络设备状态 网络连通性 1.检测、查看主要网络设备端口/设备级联端口的状态: 可用性、数据流量、带宽等。 2.冗余链路的功能测试与检测: 网络冗余部分发生故障时不会对网络连通性产生影响,所以不易被用户发现,通过巡检,及时发现系统中冗余部分故障。 网络边界分析 1.内网中的安全区域划分和访问控制要合理,齐VLAN之间的访问控制要严格,不严 格就会越权访问。 2.可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等 策略配宜的安全性;防止非法数据的流入;对内防止敏感数据(涉密或重要网段数据)的流出。 3.防火墙是否划分DMZ区域;是否配置登录配置的安全参数。 例如: 最大鉴别失败次数、最大审计存储容量等数据。 4.对于应用层过滤,.应设宜禁止访问JavaApplet、ActiveX等以降低威胁。 网络协议分析 深入分析组织整个网络系统的协议设计是否合理,是否存在协议设讣混乱、不规范的情况,是否采用安全协议,协议的区域之间是否采用安全防护措施。 协议是网络系统运行的神经,协议规划不合理就会影响整个网络系统的运行效率,甚至带来高度隐患和风险。 应考虑的安全点主要有: 1.应合理设汁网络路由协议和路由策略,保证网络的连通性、可达性,以及网络业务流向分布的均衡性。 2.对使用动态路由协议的路由设备设置稳左的逻辑地址,如Loopback地址,以减少路由振荡的可能性。 3.应禁止路由器上IP直接广播、ICMP重泄向.Loopback数据包和多目地址数据包, 保证网络路径的正确性,防止IP源地址欺骗。 如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络,同时禁I匕非内部网络中的地址访问外部网络。 4.应限制SYN包流疑带宽,控制ICMP、TCP、UDP的连接数。 5.SNMP协议的CommunityString字串长度应大于12位,并由数字、大小写字母和特殊字符共同组成。 网络流量分析 流量分析系统主要从带宽的网络流量分析、网络协议流疑分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流疑分析等五个方面对网络系统进行综合流疑分析。 应考虑的安全点主要有: 1.带宽的网络流量分析。 复杂的网络系统中不同的应用需占用不同的带宽,重要的应用是否得到了最佳的带宽? 所占比例是多少? 队列设置和网络优化是否生效? 通过基于带宽的网络流量分析会使其更加明确。 采用监控网络链路流量负载的工具软件,通过SNMP协议从设备得到设备的流虽: 信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。 2.网络协议流量分析。 对网络流虽进行协议划分,针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流疑暴涨,就有可能是攻击流量或有蠕虫病毒出现。 例如: CiscoNetFlowV5可以根据不同的协议对网络流疑进行划分,对不同协议流量进行分别汇总。 3.网络异常流量分析。 异常流量分析系统支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的宜信度区间作为流量异常监测的基础。 通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务,从而为组织节约成本。 网络QoS 合理的QoS配置会增加网络的可用性,保证数据的完整性和安全性,因此应对网络系统的带宽、时延、时延抖动和分组丢失率等方而进行深入分析,进行QoS配宜来优化网络系统。 应考虑的安全点主要有: 1.采用队列技术和流量工程。 队列技术主要有队列管理机制、队列调度机制、CAR和流量工程。 2.应保证正常应用的连通性。 保证网络和应用系统的性能不因网络设备上的策略配置而有明显下降,特别是一些重要应用系统。 3.通过对不同服务类型数据流的带宽管理,保证正常服务有充足的带宽,有效抵御各种拒绝服务类型的攻击。 网络的规范性 应考虑的安全点主要有: 1.网络设备命名是否规范,是否有统一的命名原则,并且很容易区分各个设备的。 2.网络系统建设是否规范,包括机房、线缆、配电等物理安全方面,是否采用标准材料和进行规范设汁,设备和线缆是否贴有标签。 3.网络设备名称应具有合理的命乞体系和名称标识,便于网管人员迅速准确识别,所有网络端口应进行充分描述和标记。 4.应对所有网络设备进行资产登记,登记记录上应该标明硬件型号、厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容。 5.所有网络设备旁都必须以淸晰可见的形式张贴类似声明: “严格禁止XX使用 此网络设备。 网络设备安全 对设备本身安全进行配置,并建设完备的安全保障体系,包括: 使用访问控制、身份验证配巻;关闭不必要的端口、服务、协议;用户剑口令安全、权限控制、验证;部署安全产品等。 应考虑的安全点主要有: 1.安全配置是否合理,路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭,网络设备的安全漏洞及其脆弱的安全配置方而的优化, 如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。 2.在网络建设完成、测试通过、投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化系统配苣。 3.在接入层交换机中,对于不需要用来进行第三层连接的端口,通过设置使其属于相应的VLAN,应将所有空闲交换机端口设置为Disable,防I匕空闲的交换机端口被非法使用。 4.设置网络登录连接超时,例如,超过60秒无操作应自动退岀。 5•安全存放路由器的配置文件,保护配宜文件的备份和不被非法获取。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 巡检 报告