bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )"
bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )"
Vorbemerkungen
- Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 7 verwendet, die Konfiguration erfolgt mittels GUI und Telnet-Konsole.
- Andere Geräte der bintec Router-Serie und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Bei sehr starker Nutzung des Routers kann es sein, das die Anzahl der aktiven Firewall-Sitzungen (SIF-Sessions) nahe an den dafür zuständigen Maximalwert herankommt
oder ihn sogar erreicht. Bei zusätzlichen Session-Anforderungen über diesen Maximalwert hinaus werden dann natürlich Sessions zwangsläufig verloren gehen.
Um diesen Überlasteffekt etwas abzumildern, kann man den zuständigen Maximalwert in einem gewissen Rahmen erhöhen. Dabei ist natürlich auf Seiteneffekte
wie zum Beispiel eine steigende CPU-Belastung zu achten und der Maximalwert gegebenenfalls geeignet anzupassen.
Anzeige von aktueller und maximal zulässiger Sessionanzahl der SIF-Firewall
Bei aktiver Firewall (SIF) wird auf der Statusseite der GUI der Wert für "Aktive Sitzungen (SIF, RTP, etc... )" angezeigt.
Beispiel für das GUI-Menü unter "Systemverwaltung", "Status" mit Anzeige von "Aktive Sitzungen (SIF, RTP, etc... )":
Bild 1: GUI-Menü "Status" mit Anzeige von "Aktive Sitzungen (SIF, RTP, etc... )"
Das Handbuch beschreibt diesen Wert folgendermaßen: "Aktive Sitzungen (SIF, RTP, etc... ): Zeigt die Summe aller SIF-, TDRC- und IP-Lastverteilung-Sessions an."
Zuständig für die aktuelle Anzahl der SIF-Firewall-Sessions ist die Variable "ipSifStatCurrSessions" in der Tabelle "ipSifStat".
Die HTML MIB-Reference beschreibt diese Variable folgendermaßen: "CurrSessions: Current number of all monitored sessions".
Beispielausgabe auf der Kommmandozeile der Telnet-Konsole:
rs353jw_ks:> ipSifStatCurrSessions ipSifStatCurrSessions( ro): 54 rs353jw_ks:ipSifStat>
Zuständig für die maximal zulässige Anzahl an SIF-Sessions ist die Variable "ipSifMaxSessions" in der Tabelle "ipSif".
Die HTML MIB-Reference beschreibt diese Variable folgendermaßen: "MaxSessions: Maximum number of monitored sessions. Range: 0 to 1000000".
Bei der bintec RSxx3-Serie und der be.IP-Serie ist hierfür standardmäig der Wert auf "4000" gesetzt.
Beispielausgabe auf der Kommmandozeile der Telnet-Konsole:
rs353jw_ks:> ipSifMaxSessions ipSifMaxSessions( rw): 4000 rs353jw_ks:ipSif>
Alternative Anzeige in der SNMP-Browser-Ansicht der GUI:
In der GUI-Ansicht "SNMP-Browser" in der Hauptmenüspalte unter "ip", in der Tabelle "ipSif", Anzeige der Variablen "ipSifMaxSessions":
Bild 2: GUI-SNMP-Browser: Anzeige der "ipSifMaxSessions"
Vorgehensweise zur Erhöhung der maximalen Sessionanzahl der SIF-Firewall
Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole:
Ausgabe der Variablen "ipSifMaxSessions" mit Beispielwert und anschließender Änderung:
rs353jw_ks:> ipSifMaxSessions ipSifMaxSessions( rw): 4000 rs353jw_ks:ipSif> ipSifMaxSessions=8000 ipSifMaxSessions( rw): 8000 rs353jw_ks:ipSif>
Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI:
In der GUI-Ansicht "SNMP-Browser" in der Hauptmenüspalte unter "ip" in der Zeile "ipSif", Editieren der Variablen "ipSifMaxSessions":
Bild 3: GUI-SNMP-Browser, "ipSif": Änderung der "ipSifMaxSessions" von "4000" auf "8000" (hier den abschließenden Klick auf "OK" nicht vergessen!)
Kontrolle der Auswirkung des neu konfigurierten Maximalwertes
Auf der Kommmandozeile (von Telnet-, SSH- oder serieller Konsole) kann man in der Tabelle "ipSifstat" neben dem stets aktuellen
Stand des Firewall-Sessionzählers auch sehen, wie sich die derzeitigen Firewall-Sessions aufteilen auf die Protokolle TCP, UDP und Sonstige.
Anzeige der Tabelle "ipSifstat" mit Beispielwerten:
rs353jw_ks:ipSifStat> ipSifstat ipSifStatCurrSessions( ro): 36 ipSifStatCurrUdpSessions( ro): 33 ipSifStatCurrTcpSessions( ro): 2 ipSifStatCurrOtherSessions( ro): 1 ...
Abschlußbemerkung:
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis:
Erstellt: 19.6.2017
Produkt: bintec Router-Serie und be.IP-Serie
Release: 10.1.21.107
KW: 27/2017
kst