910
Bearbeitungen
Änderungen
Aus bintec elmeg Support-Wiki / FAQ
Die Seite wurde neu angelegt: „==bintec RS353jw - Hinweise zur Aktivierung des IP-Accountings am LAN-Interface en1-0== __NOTOC__ ===Vorbemerkungen:=== * Im Beispiel wird ein bintec RS353j…“
==bintec RS353jw - Hinweise zur Aktivierung des IP-Accountings am LAN-Interface en1-0==
__NOTOC__
===Vorbemerkungen:===
* Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 1 verwendet, die Konfiguration erfolgt mittels GUI und Telnet-Konsole. <br />
* Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren. <br />
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
===Hinweise zur Aktivierung des IP-Accountings:===
Die Aktivierung des IP-Accountings erfolgt grundsätzlich erst einmal im GUI-Menü "Externe Berichterstellung" unter "IP-Accounting" auf dem Tab "Schnittstellen".
Online-Hilfe und Manual beschreiben die Aktivierung des IP-Accountings folgendermaßen: <br />
"In diesem Menü können Sie die Funktion IP-Accounting für jede Schnittstelle einzeln konfigurieren. Im Menü Externe Berichterstellung->IP-Accounting->Schnittstellen <br />
wird eine Liste aller auf Ihrem Gerät konfigurierten Schnittstellen angezeigt. Für jeden Eintrag kann durch Setzen eines Hakens die Funktion IP-Accounting aktiviert werden." <br />
Beispiel für das GUI-Menü zur Aktivierung des IP-Accountings am LAN-Interface en1-0:
[[Bild:IP-Accounting_an_en1-0_aktivieren01.png|none|Aktivierung des IP-Accountings am LAN-Interface en1-0]]
Bild 1: GUI-Menü mit Aktivierung des IP-Accountings am LAN-Interface en1-0 (den abschließenden Klick auf "OK" nicht vergessen!)<br />
Bei ausgeschaltetem IPSec wäre diese einfache Aktivierung am LAN-Interface en1-0 schon ausreichend gewesen um IP-Accounting-Meldungen zu generieren. <br />
Falls das üblicherweise eingeschaltete IPSec aber eingeschaltet bleiben soll, ist ein Eingriff in die MIB-Tabelle "ipExtIfTable" erforderlich, in der die beiden <br />
Variablen "Accounting" und "IpsecAccounting" gemeinsam für das IP-Accounting zuständig sind. <br />
Beispielausgabe auf der Telnet-Konsole mit "Accounting" und "IpsecAccounting" nach GUI-Aktivierung des IP-Accountings für en1-0 (Index = 1000000):
<PRE>
rs353jw_ks:> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting
inx Index(*ro) Accounting(rw) IpsecAccounting(rw)
0 1000000 on ipsec
...
rs353jw_ks:ipExtIfTable>
</PRE>
Die HTML MIB-Reference beschreibt die Variablen "Accounting" und "IpsecAccounting" dieser "ipExtIfTable" folgendermaßen: <br />
"Accounting: <br />
Switch for accounting on the specified interface. An IP packet is being accounted, when this object is set to on for either <br />
the source or the destination interface. Enumerations: off (1) on (2)." <br />
"IpsecAccounting: <br />
This object determines, whether packets which are en- or decapsulated by IPSec should be accounted with encapsulation <br />
header(ipsec) or without the encapsulation header (clear), or even twice (both). Enumerations: ipsec (1) clear (2) both (3)." <br />
Demzufolge lassen sich die IP-Accountingmeldungen auch bei eingeschaltetem IPSec generieren und zwar durch Änderung <br />
der Variablen "IpsecAccounting" von "ipsec" auf den Wert "clear" oder "both". Beispiel auf der Telnet-Konsole zur Änderung <br />
von "IpsecAccounting" auf den Wert "both" im Datensatz "0" von Interface en1-0 (mit Index = 1000000): <br />
<PRE>
rs353jw_ks:ipExtIfTable> IpsecAccounting:0=both
0: ipExtIfIpsecAccounting.1000000( rw): both
rs353jw_ks:ipExtIfTable>
</PRE>
Alternatives Vorgehen in der SNMP-Browser-Ansicht der GUI im Menü "ip" unter "ipExtIfTable", edit (Ausschnitt): <br />
[[Bild:IP-Accounting_an_en1-0_aktivieren02.png|none|Änderung von "IpsecAccounting" auf den Wert "both"]]
Bild 2: GUI-SNMP-Browser, Änderung von "IpsecAccounting" auf den Wert "both" für das LAN-Interface en1-0 (hier den abschließenden Klick auf "OK" nicht vergessen!) <br />
Daraus resultierendes Ergebnis in der "ipExtIfTable" auf der Telnet-Konsole:
<PRE>
rs353jw_ks:ipExtIfTable> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting
inx Index(*ro) Accounting(rw) IpsecAccounting(rw)
0 1000000 on both
...
rs353jw_ks:ipExtIfTable>
</PRE>
===Kontrolle der Funktion des aktivierten IP-Accountings:===
* Bei aktiviertem IP-Accounting können die erfaßten IP-Sessions in der ipSessionTable kontrolliert werden. Als Beispiel ein <br />Datensatz in der ipSessionTable für eine erfaßte und noch aktive Telnet-Session über das Interface en1-0 (DstIfIndex = 1000000):
<PRE>
rs353jw_ks:> ipSessionTable
inx SrcAddr(*ro) SrcPort(*ro) DstAddr(*ro) DstPort(*ro)
OutPkts(ro) OutOctets(ro) InPkts(ro) InOctets(ro)
Protocol(*ro) Age(ro) Idle(ro) SrcIfIndex(ro)
DstIfIndex(ro)
0 192.168.0.15 23 192.168.0.16 53715
92 4781 0 0
tcp 0 00:01:08.58 0 00:00:01.74 0
1000000
rs353jw_ks:ipSessionTable></PRE>
* Resultierende IP-Accounting-Meldung am Prompt der Router-Konsole (Telnet, SSH oder seriell) mittels Kommando "debug acct&" <br />nach Beendigung der oben erfaßten Telnet-Session:
<PRE>
rs353jw_ks:> debug acct&
23:55:20 INFO/ACCT: INET: 05.04.2017 23:53:54 66 6 192.168.0.15:23/0 -> 192.168.0.16:53715/1000000 92 4781 0 0 [16]
</PRE>
===Abschlußbemerkung:===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis:===
Erstellt: 6.7.2017 <br />
Produkt: RS353jw <br />
Release: 10.1.21.101 <br />
KW: 16/2017 <br />
kst <br />
[[Kategorie:Externe Berichterstellung]]
<!-- RS-Serie, RSxx3-Serie, IP-Accounting, ipExtIfTable, ipExtIfAccounting, ipExtIfIpsecAccounting, IP-Session, ipSessionTable -->
__NOTOC__
===Vorbemerkungen:===
* Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 1 verwendet, die Konfiguration erfolgt mittels GUI und Telnet-Konsole. <br />
* Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren. <br />
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
===Hinweise zur Aktivierung des IP-Accountings:===
Die Aktivierung des IP-Accountings erfolgt grundsätzlich erst einmal im GUI-Menü "Externe Berichterstellung" unter "IP-Accounting" auf dem Tab "Schnittstellen".
Online-Hilfe und Manual beschreiben die Aktivierung des IP-Accountings folgendermaßen: <br />
"In diesem Menü können Sie die Funktion IP-Accounting für jede Schnittstelle einzeln konfigurieren. Im Menü Externe Berichterstellung->IP-Accounting->Schnittstellen <br />
wird eine Liste aller auf Ihrem Gerät konfigurierten Schnittstellen angezeigt. Für jeden Eintrag kann durch Setzen eines Hakens die Funktion IP-Accounting aktiviert werden." <br />
Beispiel für das GUI-Menü zur Aktivierung des IP-Accountings am LAN-Interface en1-0:
[[Bild:IP-Accounting_an_en1-0_aktivieren01.png|none|Aktivierung des IP-Accountings am LAN-Interface en1-0]]
Bild 1: GUI-Menü mit Aktivierung des IP-Accountings am LAN-Interface en1-0 (den abschließenden Klick auf "OK" nicht vergessen!)<br />
Bei ausgeschaltetem IPSec wäre diese einfache Aktivierung am LAN-Interface en1-0 schon ausreichend gewesen um IP-Accounting-Meldungen zu generieren. <br />
Falls das üblicherweise eingeschaltete IPSec aber eingeschaltet bleiben soll, ist ein Eingriff in die MIB-Tabelle "ipExtIfTable" erforderlich, in der die beiden <br />
Variablen "Accounting" und "IpsecAccounting" gemeinsam für das IP-Accounting zuständig sind. <br />
Beispielausgabe auf der Telnet-Konsole mit "Accounting" und "IpsecAccounting" nach GUI-Aktivierung des IP-Accountings für en1-0 (Index = 1000000):
<PRE>
rs353jw_ks:> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting
inx Index(*ro) Accounting(rw) IpsecAccounting(rw)
0 1000000 on ipsec
...
rs353jw_ks:ipExtIfTable>
</PRE>
Die HTML MIB-Reference beschreibt die Variablen "Accounting" und "IpsecAccounting" dieser "ipExtIfTable" folgendermaßen: <br />
"Accounting: <br />
Switch for accounting on the specified interface. An IP packet is being accounted, when this object is set to on for either <br />
the source or the destination interface. Enumerations: off (1) on (2)." <br />
"IpsecAccounting: <br />
This object determines, whether packets which are en- or decapsulated by IPSec should be accounted with encapsulation <br />
header(ipsec) or without the encapsulation header (clear), or even twice (both). Enumerations: ipsec (1) clear (2) both (3)." <br />
Demzufolge lassen sich die IP-Accountingmeldungen auch bei eingeschaltetem IPSec generieren und zwar durch Änderung <br />
der Variablen "IpsecAccounting" von "ipsec" auf den Wert "clear" oder "both". Beispiel auf der Telnet-Konsole zur Änderung <br />
von "IpsecAccounting" auf den Wert "both" im Datensatz "0" von Interface en1-0 (mit Index = 1000000): <br />
<PRE>
rs353jw_ks:ipExtIfTable> IpsecAccounting:0=both
0: ipExtIfIpsecAccounting.1000000( rw): both
rs353jw_ks:ipExtIfTable>
</PRE>
Alternatives Vorgehen in der SNMP-Browser-Ansicht der GUI im Menü "ip" unter "ipExtIfTable", edit (Ausschnitt): <br />
[[Bild:IP-Accounting_an_en1-0_aktivieren02.png|none|Änderung von "IpsecAccounting" auf den Wert "both"]]
Bild 2: GUI-SNMP-Browser, Änderung von "IpsecAccounting" auf den Wert "both" für das LAN-Interface en1-0 (hier den abschließenden Klick auf "OK" nicht vergessen!) <br />
Daraus resultierendes Ergebnis in der "ipExtIfTable" auf der Telnet-Konsole:
<PRE>
rs353jw_ks:ipExtIfTable> ipExtIfIndex ipExtIfAccounting ipExtIfIpsecAccounting
inx Index(*ro) Accounting(rw) IpsecAccounting(rw)
0 1000000 on both
...
rs353jw_ks:ipExtIfTable>
</PRE>
===Kontrolle der Funktion des aktivierten IP-Accountings:===
* Bei aktiviertem IP-Accounting können die erfaßten IP-Sessions in der ipSessionTable kontrolliert werden. Als Beispiel ein <br />Datensatz in der ipSessionTable für eine erfaßte und noch aktive Telnet-Session über das Interface en1-0 (DstIfIndex = 1000000):
<PRE>
rs353jw_ks:> ipSessionTable
inx SrcAddr(*ro) SrcPort(*ro) DstAddr(*ro) DstPort(*ro)
OutPkts(ro) OutOctets(ro) InPkts(ro) InOctets(ro)
Protocol(*ro) Age(ro) Idle(ro) SrcIfIndex(ro)
DstIfIndex(ro)
0 192.168.0.15 23 192.168.0.16 53715
92 4781 0 0
tcp 0 00:01:08.58 0 00:00:01.74 0
1000000
rs353jw_ks:ipSessionTable></PRE>
* Resultierende IP-Accounting-Meldung am Prompt der Router-Konsole (Telnet, SSH oder seriell) mittels Kommando "debug acct&" <br />nach Beendigung der oben erfaßten Telnet-Session:
<PRE>
rs353jw_ks:> debug acct&
23:55:20 INFO/ACCT: INET: 05.04.2017 23:53:54 66 6 192.168.0.15:23/0 -> 192.168.0.16:53715/1000000 92 4781 0 0 [16]
</PRE>
===Abschlußbemerkung:===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis:===
Erstellt: 6.7.2017 <br />
Produkt: RS353jw <br />
Release: 10.1.21.101 <br />
KW: 16/2017 <br />
kst <br />
[[Kategorie:Externe Berichterstellung]]
<!-- RS-Serie, RSxx3-Serie, IP-Accounting, ipExtIfTable, ipExtIfAccounting, ipExtIfIpsecAccounting, IP-Session, ipSessionTable -->