bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )"

Version vom 29. November 2018, 15:22 Uhr von Klaus Stavemann (Diskussion | Beiträge) (bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )")

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Version vom 29. November 2018, 15:22 Uhr von Klaus Stavemann (Diskussion | Beiträge) (bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )")

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

bintec Router-Serien und be.IP-Serie - Hinweise zum Maximalwert der Firewall-Sessions und der GUI-Statusanzeige für "Aktive Sitzungen (SIF, RTP, etc... )"

Vorbemerkungen

  • Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 7 verwendet, die Konfiguration erfolgt mittels GUI und Telnet-Konsole.
  • Andere Geräte der bintec Router-Serie und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Bei sehr starker Nutzung des Routers kann es sein, das die Anzahl der aktiven Firewall-Sitzungen (SIF-Sessions) nahe an den dafür zuständigen Maximalwert herankommt
oder ihn sogar erreicht. Bei zusätzlichen Session-Anforderungen über diesen Maximalwert hinaus werden dann natürlich Sessions zwangsläufig verloren gehen.
Um diesen Überlasteffekt etwas abzumildern, kann man den zuständigen Maximalwert in einem gewissen Rahmen erhöhen. Dabei ist natürlich auf Seiteneffekte
wie zum Beispiel eine steigende CPU-Belastung zu achten und der Maximalwert gegebenenfalls geeignet anzupassen.

Anzeige von aktueller und maximal zulässiger Sessionanzahl der SIF-Firewall

Bei aktiver Firewall (SIF) wird auf der Statusseite der GUI der Wert für "Aktive Sitzungen (SIF, RTP, etc... )" angezeigt.

Beispiel für das GUI-Menü unter "Systemverwaltung", "Status" mit Anzeige von "Aktive Sitzungen (SIF, RTP, etc... )":

GUI-Menü "Status" mit Anzeige von "Aktive Sitzungen (SIF, RTP, etc... )"

Bild 1: GUI-Menü "Status" mit Anzeige von "Aktive Sitzungen (SIF, RTP, etc... )"

Das Handbuch beschreibt diesen Wert folgendermaßen: "Aktive Sitzungen (SIF, RTP, etc... ): Zeigt die Summe aller SIF-, TDRC- und IP-Lastverteilung-Sessions an."

Zuständig für die aktuelle Anzahl der SIF-Firewall-Sessions ist die Variable "ipSifStatCurrSessions" in der Tabelle "ipSifStat".
Die HTML MIB-Reference beschreibt diese Variable folgendermaßen: "CurrSessions: Current number of all monitored sessions".
Beispielausgabe auf der Kommmandozeile der Telnet-Konsole:

rs353jw_ks:> ipSifStatCurrSessions
ipSifStatCurrSessions( ro):        54
rs353jw_ks:ipSifStat>

Zuständig für die maximal zulässige Anzahl an SIF-Sessions ist die Variable "ipSifMaxSessions" in der Tabelle "ipSif".
Die HTML MIB-Reference beschreibt diese Variable folgendermaßen: "MaxSessions: Maximum number of monitored sessions. Range: 0 to 1000000".
Bei der bintec RSxx3-Serie und der be.IP-Serie ist hierfür standardmässig der Wert auf "4000" gesetzt.

Beispielausgabe auf der Kommmandozeile der Telnet-Konsole:

rs353jw_ks:> ipSifMaxSessions
ipSifMaxSessions( rw):        4000
rs353jw_ks:ipSif>

Alternative Anzeige in der SNMP-Browser-Ansicht der GUI:

In der GUI-Ansicht "SNMP-Browser" in der Hauptmenüspalte unter "ip", in der Tabelle "ipSif", Anzeige der Variablen "ipSifMaxSessions":

GUI-SNMP-Browser, Anzeige der "ipSifMaxSessions"

Bild 2: GUI-SNMP-Browser: Anzeige der "ipSifMaxSessions" (ganz rechts im Bild)

Vorgehensweise zur Erhöhung der maximalen Sessionanzahl der SIF-Firewall

Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole:

Ausgabe der Variablen "ipSifMaxSessions" mit Beispielwert und anschließender Änderung:

rs353jw_ks:> ipSifMaxSessions
ipSifMaxSessions( rw):        4000
rs353jw_ks:ipSif> ipSifMaxSessions=8000
ipSifMaxSessions( rw):        8000
rs353jw_ks:ipSif>

Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI:

In der GUI-Ansicht "SNMP-Browser" in der Hauptmenüspalte unter "ip" in der Zeile "ipSif", Editieren der Variablen "ipSifMaxSessions":

GUI-SNMP-Browser, Änderung der "ipSifMaxSessions" auf "8000"

Bild 3: GUI-SNMP-Browser, "ipSif": Änderung der "ipSifMaxSessions" von "4000" auf "8000" (hier den abschließenden Klick auf "OK" nicht vergessen!)

Kontrolle der Auswirkung des neu konfigurierten Maximalwertes

Auf der Kommmandozeile (von Telnet-, SSH- oder serieller Konsole) kann man in der Tabelle "ipSifstat" neben dem stets aktuellen
Stand des Firewall-Sessionzählers auch sehen, wie sich die derzeitigen Firewall-Sessions aufteilen auf die Protokolle TCP, UDP und Sonstige.
Anzeige der Tabelle "ipSifstat" mit Beispielwerten:

rs353jw_ks:ipSifStat> ipSifstat
ipSifStatCurrSessions( ro):                 36
ipSifStatCurrUdpSessions( ro):              33
ipSifStatCurrTcpSessions( ro):              2
ipSifStatCurrOtherSessions( ro):            1
...

Abschlußbemerkung:

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis:

Erstellt: 19.6.2017
Produkt: bintec Router-Serie und be.IP-Serie
Release: 10.1.21.107
KW: 27/2017
kst