bintec RS353jw - Hinweise zur Aktivierung des IP-Accountings am LAN-Interface en1-0: Unterschied zwischen den Versionen
Aus bintec elmeg Support-Wiki / FAQ
(Die Seite wurde neu angelegt: „==bintec RS353jw - Hinweise zur Aktivierung des IP-Accountings am LAN-Interface en1-0== __NOTOC__ ===Vorbemerkungen:=== * Im Beispiel wird ein bintec RS353j…“) |
(kein Unterschied)
|
Version vom 6. April 2017, 12:34 Uhr
bintec RS353jw - Hinweise zur Aktivierung des IP-Accountings am LAN-Interface en1-0
Vorbemerkungen:
- Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 1 verwendet, die Konfiguration erfolgt mittels GUI und Telnet-Konsole.
- Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Hinweise zur Aktivierung des IP-Accountings:
Die Aktivierung des IP-Accountings erfolgt grundsätzlich erst einmal im GUI-Menü "Externe Berichterstellung" unter "IP-Accounting" auf dem Tab "Schnittstellen".
Online-Hilfe und Manual beschreiben die Aktivierung des IP-Accountings folgendermaßen:
"In diesem Menü können Sie die Funktion IP-Accounting für jede Schnittstelle einzeln konfigurieren. Im Menü Externe Berichterstellung->IP-Accounting->Schnittstellen
wird eine Liste aller auf Ihrem Gerät konfigurierten Schnittstellen angezeigt. Für jeden Eintrag kann durch Setzen eines Hakens die Funktion IP-Accounting aktiviert werden."
Beispiel für das GUI-Menü zur Aktivierung des IP-Accountings am LAN-Interface en1-0:
Bild 1: GUI-Menü mit Aktivierung des IP-Accountings am LAN-Interface en1-0 (den abschließenden Klick auf "OK" nicht vergessen!)
Bei ausgeschaltetem IPSec wäre diese einfache Aktivierung am LAN-Interface en1-0 schon ausreichend gewesen um IP-Accounting-Meldungen zu generieren.
Falls das üblicherweise eingeschaltete IPSec aber eingeschaltet bleiben soll, ist ein Eingriff in die MIB-Tabelle "ipExtIfTable" erforderlich, in der die beiden
Variablen "Accounting" und "IpsecAccounting" gemeinsam für das IP-Accounting zuständig sind.
Beispielausgabe auf der Telnet-Konsole mit "Accounting" und "IpsecAccounting" nach GUI-Aktivierung des IP-Accountings für en1-0 (Index = 1000000):
rs353jw_ks:> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting inx Index(*ro) Accounting(rw) IpsecAccounting(rw) 0 1000000 on ipsec ... rs353jw_ks:ipExtIfTable>
Die HTML MIB-Reference beschreibt die Variablen "Accounting" und "IpsecAccounting" dieser "ipExtIfTable" folgendermaßen:
"Accounting:
Switch for accounting on the specified interface. An IP packet is being accounted, when this object is set to on for either
the source or the destination interface. Enumerations: off (1) on (2)."
"IpsecAccounting:
This object determines, whether packets which are en- or decapsulated by IPSec should be accounted with encapsulation
header(ipsec) or without the encapsulation header (clear), or even twice (both). Enumerations: ipsec (1) clear (2) both (3)."
Demzufolge lassen sich die IP-Accountingmeldungen auch bei eingeschaltetem IPSec generieren und zwar durch Änderung
der Variablen "IpsecAccounting" von "ipsec" auf den Wert "clear" oder "both". Beispiel auf der Telnet-Konsole zur Änderung
von "IpsecAccounting" auf den Wert "both" im Datensatz "0" von Interface en1-0 (mit Index = 1000000):
rs353jw_ks:ipExtIfTable> IpsecAccounting:0=both 0: ipExtIfIpsecAccounting.1000000( rw): both rs353jw_ks:ipExtIfTable>
Alternatives Vorgehen in der SNMP-Browser-Ansicht der GUI im Menü "ip" unter "ipExtIfTable", edit (Ausschnitt):
Bild 2: GUI-SNMP-Browser, Änderung von "IpsecAccounting" auf den Wert "both" für das LAN-Interface en1-0 (hier den abschließenden Klick auf "OK" nicht vergessen!)
Daraus resultierendes Ergebnis in der "ipExtIfTable" auf der Telnet-Konsole:
rs353jw_ks:ipExtIfTable> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting inx Index(*ro) Accounting(rw) IpsecAccounting(rw) 0 1000000 on both ... rs353jw_ks:ipExtIfTable>
Kontrolle der Funktion des aktivierten IP-Accountings:
- Bei aktiviertem IP-Accounting können die erfaßten IP-Sessions in der ipSessionTable kontrolliert werden. Als Beispiel ein
Datensatz in der ipSessionTable für eine erfaßte und noch aktive Telnet-Session über das Interface en1-0 (DstIfIndex = 1000000):
rs353jw_ks:> ipSessionTable inx SrcAddr(*ro) SrcPort(*ro) DstAddr(*ro) DstPort(*ro) OutPkts(ro) OutOctets(ro) InPkts(ro) InOctets(ro) Protocol(*ro) Age(ro) Idle(ro) SrcIfIndex(ro) DstIfIndex(ro) 0 192.168.0.15 23 192.168.0.16 53715 92 4781 0 0 tcp 0 00:01:08.58 0 00:00:01.74 0 1000000 rs353jw_ks:ipSessionTable>
- Resultierende IP-Accounting-Meldung am Prompt der Router-Konsole (Telnet, SSH oder seriell) mittels Kommando "debug acct&"
nach Beendigung der oben erfaßten Telnet-Session:
rs353jw_ks:> debug acct& 23:55:20 INFO/ACCT: INET: 05.04.2017 23:53:54 66 6 192.168.0.15:23/0 -> 192.168.0.16:53715/1000000 92 4781 0 0 [16]
Abschlußbemerkung:
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis:
Erstellt: 6.7.2017
Produkt: RS353jw
Release: 10.1.21.101
KW: 16/2017
kst