华为交换机巡检指导书.doc

1、交换机巡检指导书华为技术华为技术有限公司综合业务技术支持部资料编码 产品名称 综合业务技术持部使用对象 产品版本编写部门 资料版本拟制： 日期： 2011-07-10审核： 日期：审核： 日期：批准： 日期：修 订 记 录日期 修订版本 作者 描述目 录1 说明.42 外部环境检查.42.1 杋房环境检查42.2 硬件安装检查.42.3 电源检查42.4 连接线检查53 基本工作状态检查.53.1 状态灯检查53.2 内部工作环境检查53.3 工作日志检查.63.4 交换机运行时间检查73.5 硬件配置的检查83.6 端口工作状态检查.84 基本配置检查.94.1 机器名检查.94.2 时间检

2、查.94.3 NTP 时间设置检查.94.4 口令检查104.5 远程登录检查104.6 日志配置检查.104.7 SNMP 配置检查114.8 端口配置检查.114.9 VLAN 配置检查114.10 TRUNK 配置检查.125 性能检查.135.1 端口流量检查135.2 CPU 使用情况检查 .136 附录：交换机巡检清单131 说明因产品线在线交换机多为 Cisco 公司的交换机，本清单的配置命令以 Cisco 交换机参考。详细命令参看随机配置手册，华为公司交换机的命令不同时，可参考相应配置手册。2 外部环境检查2.1 机房环境检查交换机是数据网络中的关键设备，应放置在专门的计算机机

3、房中。机房的湿度、湿度、清洁、卫生等环境因素应符合计算机机房的要求。检查目的：保证交换机的工作环境符合要求。检查方法：观察机房的湿度、湿度、清洁等环境情况。2.2 硬件安装检查交换机应放置在机柜中，而且固定良好，所有螺丝全部拧紧，但不要扭伤螺纹和螺帽。机柜内无残留杂物，没有板卡的插槽都装有相应的挡板或挡片，保持设备内的通风、散热，避免灰尘进入设备，造成设备运行异常。检查目的：保持交换面运行时不会松动，且设备通风、散热良好，不会因为环境原因导致异常运行。检查方法：观察交换机的安装情况，必要时可以人为晃动设备。2.3 电源检查电源线固定应牢固，避免被碰掉导致断电情况发生。直流电源线、地线应使用整段

4、物料，保证电源线、地线的阻值符合要求。电源线与铜鼻子的连接应焊接（或压接）牢固，不将裸线和线铜柄露出。电源线两端帖有标签，便于以后维护。检查目的：保证电源线固定、接触良好。检查方法：观察电源线的连接情况。2.4 连接线检查柜内电源应绑扎在电缆固定横梁上，且布放电缆时，不能交叉，不允许机柜间直接走线，应层次分明、走线平滑。电缆两端标志应清晰。光纤布放在拐弯处不应过紧，成对的光纤要理顺绑扎。光纤出机柜布放时，一定要使用塑料纹保护套管，且保护套管两端一定要绑扎固定。信号线一定要与电源线分开绑扎。检查目的：使用柜内布线美观，便于日后维护，保证数据正常传输，不受异常一无干扰。检查方法：观察线缆的布投是否

5、符合要求。3 基本工作状态检查3.1 状态灯检查检查交换机的面板指示灯、板卡指示灯、接口指示灯。指示灯的要作状态应正常。指示灯的状态表示请参考不同型号的产品的说明书。检查目的:检查交换机的工作状态、板卡的工作状态、接口工作状态、交换机电源及风扇是否正常。 、检查方法：观察交换机的面板指示灯、板卡指示灯、接口指示灯。3.2 内部工作环境检查通过命令检查交换机的内部工作环境情况。可以用命令 show envir 、 show power 、show led 、 show system(CatOS)等命令检查交换机内部的工作温度、电源供电情况、指示灯工作情况。 （注：不同的型号产品不一定支持所有的命

6、令，不同厂家的产品命令不一定相同，请参考相应的产品手册） 。Shou environment 的输出例子：Switch#sh environment allPower Supply:Redmdan power system is not presentBoard TemperatureNormalCatOS 下的 show systemShow system*PS1-Status PS2-Stutus PS3-Status PEM Installed PEM Poweredok ok ok no noFan Status Temp-Alarm Sye-Status Uptime d.h:m:s

7、 logout Ok off ok 295,16:54:44 20minPS1-Type PS2-Type PS3-Type WS-C4008 WS-C4008 WS-4008Modem Baud Traffic Peak Peak-Time Disable 9600 0% 0% Sat Aug 31 2002, 15:53:26检查目的：检查交换机的内部工作环境是否正常。检查方法：在交换机上用前述命令检查。3.3 工作日志检查通过命令检查交换机的工作日志，用 show logging 或 show logging buffer 命令检查交换机日志中是否有异常信息发生。日志消息格式：消息日志格

8、式以百分号开始，最多达 80 个字符。消息如下格式显示：Mm/dd/yyy:hh/mm/ss:facility-severity-MNEMONIC:description其中：Mm/dd/yyy:hh/mm/ss 消息的时间和日期。时间看交换机的配置命令不同可以显示为人交换机启动以来的相对时间或是绝结时间。Fcacility 指示消息设施Severity 指示消息的严重性MNEMONIC 错误消息描述Description 事件详细信息日志的严重性有 8 个等级，分别从 0 到 7 编号，编号越小，表明在消息中报告的状况越严重，通常根据名字对这 8 个级别进行配置：等级 数字 描述emerge

9、ncy 0 紧急：系统不可用alert 1 告警：需要立即行动Critical 2 关键：关键状态Error 3 错误：错误状态Warning 4 警告：警告状态notification 5 通知：正常但重要状态informational 6 信息：仅是信息消息debug 7 调试：调试消息以下为一交换机的日志信息：Switc#show loggingSyslog logging:enabled （0 messages dropped,15 flushes,0 overrums）Console logging:level debugging,1630 messages loggedMonito

10、r logging:level debugging,0 messages loggedBuffer logging:level debugging,832 messages loggedFile logging:disabledTrap logging:level informational,836 message lines loggedJan 18 19:47:32:%LINK-3-UPDOWN:Iinterface FastEtherntet0/10,changed state to downJan18 19:47:32:%LIKEPOTO-5-UPDOWM:Line protocll

11、on Interface FadtEthernet0/10,changed state to downJan 18 19:47:56:%LINK-3-UPDOWN:Interface FastEthernet0/9,changed state to down检查目的：查看交换机的是否有异常的信息发生、检查方法：在交换机上用 show logging 、show logging buffer 命令查看日志信息。3.4 交换机运行时间检查通过命令检查交换机在线运行时间状态，检查交换机在运行过程中有没有异常新启动。用命令 show version 检查。Show version 的例子：Cisco

12、Internetwork Operating System SoftwareIOSCatalyst 4000 L3 Switch Softwate (cat4000-IS-M),version 12.1(8a)EW1,EARLY DEPLOYMENT RELEASE SOFTWARE(fcl)TAC Support:http:/ by cisco Aystems,Ins.Compiled Wed 20-Feh-02 18:02 by caarmasImage text-base:0x00000000,data-base:0x00AA30DCROM:12.1(12r)EWHNSW4006Main

13、 uptime is 22 weeks,4days,10hours,32minutesCatOS 的 show version 例子：WS-C4006 Software,Version NmpST:6.1(le)Copyringt(c)1995-2002 by Cisco Systems,IneNMP S/W compiled on Feb 8 2002,13:27:21GSP S/W compiled on Feb 08 2002,12:54:46System Bootstrap Version:5.4(1)Hardware Version:3.2 Madel:WS-C4006 Serial

14、 #：LAE061203P4Mod Port Model Serial # Versions 1 2 WS-S4013 JAE061203P4 Hw:3.2Gsp:6.1(1.0)Nmp:6.1(le)2 48 WS-X4148-RJ JAE06220UP Hw:3.1DRAM FLASH NYRAMModul Total Usde Free Used Free Total Used Free65536K 30483K 65053K 16384K 4775K 11609K 480K 175K 305KUptime is 295 days,16 hours, 54 minutes检查目的：查看交

15、换机的是否有异常的重启现象检查方法：在交换机上用 show version 命令查看。3.5 硬件配置的检查通过命令检查交换机板卡在交换机操作系统中被识别的情况。有些厂商的交换机不同版本的操作系统支持不同的板卡，可以爱用 show module、show config 等命令查看交换机所配置的板卡是否都被交换机操作系统所识别。Show module 例子：4006# show moduleMod Porls Card Type Model Serial No. 1 2 1000BaseX(GBIC)Supervisor module WS-X4014 JAB064207P52 48 10/10

16、BaseTX(RJ45) WS-X4148-RJ JAE063807R43 48 10/100BaseTX(RJ45) WS-X4148-RJ JAE063804FVM MAC addresses Hw Fw Sw Stat 1000a,8ad4.5200 to 000a.8ad4.55ff 2.1(12r)EW 12.1(8a)EW1,EA Ok2000a,f454.72e0 to 000a.730f 3.1 Ok3000a,f454.7880 to 000a.f454.78af 3.1 Configuration register is 0x2102检查目的：查看交换机的板卡是否都被交换机

17、操作系统所识别检查方法：在交换面上用 show module,show config 等命令查看3.6 端口工作状态检查通过命令检查交换机的名个端口的工作状态是否正常。正常情况下，工作的端口都应是up 状态。采用 show interface 或 show port 命令来查看端口的工作状态。Show interface 的例子：Switch#show interfacesFasiEthernet0/0 is up, line protocol is upHardware is AmdFE。Address is 0007.ebf3.dlel(bia 0007.ebf3.dlcl)Interne

18、t address is 139.118.12.70/22MTU 1500 bytes,BW 100000 Kbit,DLY 100 usec.Reliahility 255/255,txload 1/255,rxlsad 1/255Encapsulation ARPA.loopback not setCatOS:show portShow port *Port Name Status Vlan Level Duplex Speed Tyme 2/27 connected 10 normal a-full a-100 10/10BaseTX2/28 connected 10 normal a-

19、full a-100 10/10BaseTX2/29 connected 10 normal a-full a-100 10/10BaseTX2/30 connected 10 normal a-full a-100 10/10BaseTX2/31 notconnect 10 normal auto auto 10/10BaseTX 2/32 notconnect 10 normal auto auto 10/10BaseTX 2/33 notconnect 10 normal auto auto 10/10BaseTX 检查目的：查看交换机的端口工作状态检查方法：在交换机上用 show in

20、terface 或 show port 命令查看。4 基本配置检查4.1 机器名检查检查交换机没有作用缺省的机器名，而且名字不与在线的其他网络设备同名。机器名设置应合理，直观明了。检查目的：查看交换机的机器名是否合理，便于管理。检查方法：登录交换机上查看，一般交换机以交换机名字作为提示符。4.2 时间检查 检查交换机上的当前时间是否与实际时间一致，便于管理。在交换机上用 show clock、show time 命令查看交换机的当前时间。检查目的：查看交换机的当前时间是否正确。检查方法：登录交换机上，用 show clock、show time 命令查看。4.3 NTP 时间设置检查NTP（网

21、络时间协议）是保证全网设备时间统一的协议。在 2900、3500 等中低端交换机中，交换机本身没有日历协能，每交换机重新启动后，交换机的时间会从某一个时间（不同厂这个时间不一样，cisco 交换机是从 1993 年开始）重新开始。在交换机重启后，如果没有设置 NTP，而且没有手工修改交换机的时间，则交换机的时间与当前的正解时间是不一致的。可以用 show run 命令来查看交换机有没有 NTP 的配置，show ntp status 等命令校验 NTP 的配置。CatOS 交换机 NTP 的显示例子：Consoleshow ntpCurrent time: Tue Mar 28 2000.11

22、:19:03 pstTi mezone:pst,orrset from UTC is -8 hoursSummertime:pst.enabledLast NTP update:Broadcast client mode:enabledBroadcast delay:3000 microsecondsClient mode:disahledNTP-Server Time_检查目的：查看交换机的是否配置 NTP 协议。检查方法：登录交换机上用 show run、show ntp status 等命令查看。4.4 口令检查检查交换机有没有设置 enable、vty、console、aux 等口令，

23、而且所有登陆接口（vty、console、aux 等）都配置了验证：login local、login,并确保有没有同时使用nopassword 选项：在交换机中激活 password encryption 功能，否则 password 为明文；口令不采用通用字符，口令强度符合要求。可以用 show run 命令查看交换机上有没有对前述口令配置时行了设置。注意是 CatOS 交换机只有登录密码和 enable 密码。检查目的：查看交换机的口令和登录设置。检查方法：登录交换机上用 show run 命令查看。4.5 远程登录检查检查交换可否通过 telnet 进行远程登录，并对交换机进行配置。检

24、查目的：查看交换机可否通过远程登录进行管理和配置。检查方法：通过 telnet 远程登录交换机进行验证。4.6 日志配置检查检查交换机的日志功能是否打开。在综合业务产品线中，现在基本没有配置日志服务器，交换机的日志只能输出到交换机的 buffer 中，在一些交换机中，logging buffer 功能缺省是关闭。要的是还要设置日志打上时间戳。打开交换机的 logg buffer 功能，用以下命令：Switch(config)#logging bufferSyslog logging: enabled(0 messages dropped,15 flushes,0 overruns)Consol

25、e logging: level debugging,1630 messages loggedMonitor logging: level debugging,0 messages loggedBuffer logging: level debugging,832 messages logged (没打开时显示： buffer logging: disabled)File logging: disabled设置所有日志记录都上时间戳，用以下命令：Service timestamp log date local show-timezome检验：show loggingJan 18 19:17:5

26、6:%LINK-3UPDOWN:Interface FastEthernet0/9,changer state to down(日志上打上了时间戳)检查目的：查看交换机正确配置了日志功能。检查方法：用 show logging、show logging buffer 命令检查。4.7 SNMP 配置检查检查 SNMP 的配置。如果网上没有 SNMP 网管设备，应当把 SNMP 关掉。需要启用SNMP 时，应确保 RO 和 RW 的 community(SNMP)或 party(SNMPv2)字符串不容易猜测。可以 show run 和 show snmp 命令检查 SNMP 的配置。检查目的：

27、查看交换机的 SNMP 设置正确。检查方法：用 show snmp、show run 命令检查。4.8 端口配置检查检查端口的配置情况，保证交换机与相连的设备工作参数一致。请按照设备配置手册进行检查，特别要注意以太口工作模式（全双工、半双工、自适应） ，以太网帧格式，NTU 等。检查看个端口都配置了合理、直观 的 Description,便于进行纵和管理。检查目的：端口参数与相连设备端口参数一致。检查方法：用 show run、show interface 、show port 等命令查看端口配置，4.9 VLAN 配置检查检查交换机的 VLAN 的配置和交换机端口划分所属 VLAN 情况。C

28、atOS Show vlan 的例子Console show vlan trunkVLAN Name Status IfIndex Mod/Ports. Vlans 1 default active 5 2/1-26/4-810 VLAN0010 active 18 6/1.6/311 VLAN0011 active 19 6/220 VLAN0020 active 2021 VLAN0021 active 2130 VLAN0030 active 2231 VLAN0031 active 231002 fddi-derfaul active 61003 token-ring-default

29、active 91004fddinet-default active 71005 trent-default active 8 8检查目的：VLAN 的配置及端口所属 VLAN 的情况。检查方法：用 show vlan、show run port 等命令查看。4.10 Trunk 配置检查检查交换机的 Trunk 的配置情况是否正常。可以采用 show trunk 或是 show interface fx/x switchport 等命令来查看。CatOS Show trunk 的例子：Console(enable) show trunk - indicates vtp domain mism

30、atchPort Mode Encapsulation Status Native vlan 15/1 nonegotiate isl trunking 1Port Vlans allowed on trunk 15/1 1-1005,1025-4094Port Vlans allowed and active in management domain 15/1Port Vlans in spanning tree forwarding stare and not pruned 15/1检查目的：Trunk 的配置情况。检查方法：用 show run、show config、show trun

31、k、show interface switchport 等命令查看。5 性能检查5.1 端口流量检查检查关键网络端口的流量情况，查看端口的流量是否正常。要注意的是，以太网端口的流量达到端口的 40%则要注意跟踪观察。检查目的：交换机端口流量情况。检查方法：在交换机上用 show interface、show top report(CatOS) 命令查看。5.2 CPU 使用情况检查检查当前交换机的 cpu 使用情况，查看交换机负荷情况，一般交换机 CPU 负载达到50%则要关注，达到 70%以后则可能需要升级。检查目的：交换机 CPU 使用情况，检查方法：在交换机上用 show process cpu 命令查看。6 附录：交换机巡检清单检查项目 描述 是否满足要求（是/否/部分）不满足原因外部环境检查机房环境检查硬件安装检查电源检查连接线检查基本工作状态检查状态灯检查内部工作环境检查工作日志检查交换机运行时间检查硬件配置检查端口工作状态检查基本配置检查机器名检查时间检查NTP 时间设置检查口令检查远程登录检查日志配置检查SNMP 配置检查端口配置检查Vlan 配置检查Trunk 配置检查性能检查端口流量检查CPU 使用情况检查