思科设备巡检是保障网络稳定运行的关键环节,通过系统化的命令检查可及时发现潜在故障,巡检内容需覆盖设备基本信息、硬件状态、接口流量、路由协议、安全配置及日志等核心模块,以下是具体巡检命令及操作要点。
设备基本信息与硬件状态巡检
首先确认设备基本运行状态,通过show version命令查看设备型号、操作系统版本、运行时间、重启原因及UPTIME(系统已运行时间),重点检查UPTIME是否异常短,频繁重启可能暗示硬件故障或软件问题,硬件状态检查使用show inventory,该命令能列出所有硬件组件(如模块、电源、风扇)的序列号和型号,确认硬件是否与配置匹配且在维保期内,对于支持环境监控的设备,需执行show environment,查看温度、电压、风扇转速等参数,例如核心交换机温度应保持在70℃以下,风扇转速需在正常范围(如6000-12000 RPM),避免因过热导致宕机。
接口与流量巡检
接口是网络数据转发的基础,需重点检查端口状态、流量及错误,使用show ip interface brief可快速查看所有三层接口的IP地址、状态(up/down)及协议状态(up/down),若接口显示"down",需结合show interface [接口名]检查物理连接(如是否插光纤、收发器故障)或错误计数(如CRC错误、丢包率),流量分析通过show interface [接口名] | include rate,查看输入输出速率(单位bps),对比历史数据判断是否存在流量异常突增或带宽瓶颈,某核心端口流量长期保持90%以上利用率,需考虑扩容或优化流量路径,对于二层接口,可使用show mac address-table查看MAC地址表项数量,避免MAC地址表溢出导致广播风暴。
路由协议与转发状态巡检
路由协议的稳定性直接影响网络连通性,OSPF网络需执行show ip ospf neighbor检查邻居状态,邻居应全为"FULL"状态,若出现"DOWN"或"EXSTART/EXCHANGE",需排查链路质量或Hello/Dead定时器配置;通过show ip ospf database查看LSA数量,确认路由数据库同步正常,BGP网络则使用show ip bgp summary检查BGP邻居状态(应显示"Established"),重点关注前缀数量(Received/Sent)和路由通告时间,若邻居频繁断开,需检查AS号配置或BGP Keepalive定时器。show ip route [目标网段]可验证特定路由是否存在及下一跳是否正确,例如核心路由器到分支机构的路由应指向正确的BGP或OSPF下一跳。
安全与策略巡检
安全配置是巡检中不可忽视的一环,ACL策略检查通过show ip access-lists [列表名],查看规则匹配次数(通过/拒绝),确认未使用的冗余规则及时清理;防火墙策略执行show run | include access-list,检查ACL是否正确绑定到接口(inbound/outbound),NAT配置使用show ip nat translations,查看当前NAT会话数量,若接近最大会话数(如show ip nat statistics中的max limits),需调整NAT池大小,VPN状态检查需根据类型执行不同命令:IPSec VPN使用show crypto isakmp sa查看SA状态(应显示"QM_IDLE"),GRE隧道通过show interface tunnel [编号]检查隧道源/目地址及状态(up/down)。
日志与资源巡检
日志是排查故障的重要依据,执行show logging | include [关键词](如"Error""%LINK-3-UPDOWN")过滤关键错误日志,定期将日志导出至Syslog服务器进行分析,资源监控方面,CPU使用率通过show processes cpu sorted查看,若持续超过80%,需定位高进程(如路由协议进程或ACL匹配)并优化;内存使用率执行show memory statistics,检查Free内存是否充足(建议保留20%以上),避免内存耗尽导致设备卡顿。
巡检结果记录与优化建议
巡检过程中需记录关键指标,如下表所示,对比历史数据趋势,对异常项制定处理方案:
| 检查项 | 正常范围 | 异常处理建议 |
|---|---|---|
| CPU使用率 | <80%(持续) | 检查高CPU进程,优化路由/ACL策略 |
| 接口流量 | <带宽利用率90% | 评估扩容或QoS限速 |
| OSPF邻居 | 全部FULL状态 | 检查链路及Hello定时器配置 |
| NAT会话数 | <最大会话数的80% | 扩大NAT池或调整超时时间 |
| 设备温度 | <70℃(核心设备) | 清理灰尘或检查机房空调 |
相关问答FAQs
Q1: 巡检中发现OSPF邻居频繁变为DOWN状态,如何排查?
A1: 首先执行show ip ospf neighbor记录邻居断开时间,结合show logging查看是否有链路层错误(如"%LINK-3-UPDOWN");然后检查接口配置,确认OSPF Hello/Dead定时器两端一致(默认Hello 10s,Dead 40s);最后使用show interface [接口名]检查物理层状态(如光功率是否正常),若问题持续,需更换硬件或调整网络拓扑。
Q2: 如何判断设备CPU使用率过高是否由ACL规则引起?
A2: 执行show processes cpu sorted查看高CPU进程,若发现"IP Input"或"Router ACL"进程占用率高,可使用show ip access-lists [列表名]检查ACL规则匹配次数(通过show access-lists [列表名]查看匹配包数),确认是否有规则频繁匹配但未及时更新;优化ACL规则顺序(将常用规则置顶)或简化复杂条件,必要时将ACL迁移至硬件转发层面(如Cisco Express Forwarding)。
