Cisco 800 VPN's - Traffik einer IP zuordnen

[Shao-Lee]

BITTE AN ADMIN: Thread in CISCO-Unterforum verschieben, Danke & Sorry !!!


Hallo zusammen!

Ich habe hier eine etwas spezielle Frage und vielleicht liest hier auch ein Cisco-Spezialist mit, der mir eventuell einen kleinen Tipp geben kann?


Wir haben mehrere Außenstellen, die über Cisco-Router der 800er-Serien (Konkret: 876er) per VPN an unser Netz angeschlossen sind. Die grafische Oberfläche ist aus Gründen der Konfigurationsanpassungen nicht verfügbar.

Meine Aufgabe in der Administration dieser Router (nicht die Tunnels) erstreckt sich auf die Überwachung und Wiederherstellung der Funktionalität.
Dazu sind meine Kenntnisse im CLI des IOS zwar sehr beschränkt, aber ausreichend.

Hinter diesen Tunnels stehen teilweise einzelne PCs oder ganze Netzwerke.

Problem:

Ich habe immer wieder das Thema, dass aus einem dieser Tunnel übermäßig hoher Traffik anfällt. Wenn dieses Problem auftritt, werden logischerweise die Antwortzeiten der anderen Tunnels stark beeinträchtigt.

Wenn ich ein angeschlossenes VPN-Netzwerk identifiziert bekomme (z.Bsp. durch lange PING-Antwortzeiten), aus welchem die hohen Up- bzw. Downloadraten herrühren, scheitern meine Kenntnisse daran, festzustellen, welche IP-Adresse hierfür verantwortlich ist.

Frage:

Gibt es im IOS der 800er-Router über die Command-Line die Möglichkeit, eine Abfrage zu erzeugen, welche IP wieviel Traffik gegenwärtig nutzt?
Oder welcher LAN-Port wieviel % Traffik verwendet?

Oder gibt es eine Alternative, bei ungewöhnlichem Traffik die Quelladresse in VPN-angebundenen Netzen zu idendifizieren?


Ich muss es irgendwie schaffen, zu definieren, wo (und am besten noch welcher) Traffik entsteht, damit gezielt optimiert werden kann.

Hat jemand eine Idee für mich?

Vielen Dank und viele Grüße,
Shao

[Servidge]

im Prinzip geht da schon was.

Aber vorher mal noch ne Frage.
Was ist das für ein VPN? PPTP, LT2P, GRE, IPSEC, ...
Wenn mit IPSEC ist die Verbindung mit Crypto-map oder tunnel Interface gelöst?
Geht aus dem Inteface auf dem die VPN Verbindungen reinkommen auch Traffic raus den du ermittelt haben möchtest oder ist die Kommunikation nur VPN>LAN und LAN>VPN?

[Wordo]

Was ist denn der Router in der Zentrale fuer ein Geraet?

[DuneX]

Hallo,

du kannst Dir die Interface anschaun mit "sh int xyz" am Ende sind 5min Werte.
Die bessere Lösung wäre eine Auswertung mit Netflow oder NBar. Wenn's nur um um das reine Traffic-Volumen pro Interface zu bestimmten Zeiten geht nicht nimm SNMP in Verbindung mit Cacti.
Da kann ich Dir auch eine paar Seiten empfehlen.

Grüße
Dune

[Shao-Lee]

Hallo Servidge, Wordo und DuneX!

Vielen Dank für Euer Interesse an diesem Thread.

Generell bin ich ThirdParty-Produkten aufgeschlossen. Allerdings möchte ich diese erst im Netzwerk implementieren, wenn ich mit des Cisco-Tools nicht weiterkomme. Cacti sieht übrigens sehr interessant aus und werde mir das Produkt auf jeden Fall einmal näher anschauen.


Um bei meinem Problem voranzukommen, benötige ich schlicht eine einzige Information: Welche IP macht mir gerade aktuell den Tunnel zu (Traffic)?

Allerdings sprechen wir von 15 Tunnel, die auf meinem Grenzrouter ankommen.
Von daher ist die Idee mit einer Abfrage dort vielleicht garnicht schlecht.

Zur Frage nach dem Typ: ein Cisco 2811, allerdings auch hier wg. der besonderen Konfiguration ohne GUI (Webinterface).

Eine mögliche Vorgehensweise wäre:
1. Abfrage beim 2811er: Wieviel Traffic verursachen die jeweiligen Tunnel?
2. Abfrage beim entspr. 876er: Welcher LAN-Port verursacht dort den Traffic?

Was ist das für ein VPN? PPTP, LT2P, GRE, IPSEC, ... Wenn mit IPSEC ist die Verbindung mit Crypto-map oder tunnel Interface gelöst? Geht aus dem Inteface auf dem die VPN Verbindungen reinkommen auch Traffic raus den du ermittelt haben möchtest oder ist die Kommunikation nur VPN>LAN und LAN>VPN?

Definiert ist lt Config meines Wissens ein 3DES IPSEC-ISAMP - Tunnel.
Die Kommunikation läuft tatsächlich nur über VPN<->LAN. Die Grenzrouter haben - vom Tunnelaufbau mal abgesehen - keine direkte Verbindung zum Internet. Die Internetverbindung selbst wird über einen separaten Weg aus unserer DV-Zentrale heraus über ein Rechenzentrum hergestellt.

Vollständigkeitshalber will ich noch unsere Firewall, eine Cisco PIX 515E, erwähnen, die zwischen unserem internen LAN und dem 2811er mit seinen 15 VPN-Netzen plaziert ist. DORT ist die grafische Oberfäche verfügbar und ich greife mit dem "ASDM 5.2" das DMZ-Interface ab (Bit-Rate-Graph). Da sehe ich exakt, wann der Tunnel mal wieder zu ist (Output Bitrate). Dann folgen kurz darauf auch schon die Anrufe von meinen Außenstellen, dass wieder alles so langsam ist...

Ich hatte das Thema vor Längermem auch schon mit einem externen Dienstleister besprochen. Nur wollte dieser mir als Lösung einen Nagios-Monitoring Server verkaufen... zu dieser Investition konnten wir uns dann aber doch nicht so recht durchringen.

Welche Vorgehensweise würdet ihr empfehlen?

Vielen Dank,
Shao

[Servidge]

naja, das schnellste für den Überblick ist immer das IP Accouinting auf dem Router.
Das wird auf das entsprechende Interface konfiguriert. Ausgabe ist dann Source, Destination, AnzahlPakete und AnzahlByte.
Damit ist aber nur eine sehr beschränkte Aussage zu treffen da nicht weiter auf Ports geschaut wird.
Wenn ein echtes Monitoring wer, wann, mit was, wohin geben soll wird es nicht ohne zusätzliche Tools gehen.

Für den Schnellschuß reicht aber oft das IP Accounting.

[Wordo]

Zitat von Shao-Lee Eine mögliche Vorgehensweise wäre: 1. Abfrage beim 2811er: Wieviel Traffic verursachen die jeweiligen Tunnel? 2. Abfrage beim entspr. 876er: Welcher LAN-Port verursacht dort den Traffic?

Mit Cacti kein Problem ...

[Shao-Lee]

Cacti läuft jetzt auf einem XP-Host und ich habe einmal testweise einen Router fürs Monitoring konfiguriert.

Für den Router (Device) lässt sich ein "Host Template" einstellen - "Cisco Router" - das habe ich getan.
Bei der SNMP-Version bin ich allerdings überfragt - "Not in Use" kommt ja nicht in Frage. Version 2 war Default; Version 1 habe ich getestet und Version 3 erfordert eine Verschlüsselung mit Passwort.

Cacti sagt mir bei bei allen SNMP-Einstellungen unter "SNMP Information": SNMP Error

Könnte es sein, dass SNMP auf meinen Routern deaktiviert ist?

... so trivial ist das wohl nicht.

Danke und Gruss,
Shao

[Otaku19]

du musst midnestens eien community anlegen am router, für v3 eben auch user

[Shao-Lee]

Hallo Otaku,

Du meinst vermutlich das hier:
How to Configure SNMP Community Strings* [IP Application Services] - Cisco Systems

Ich habe übrigens unseren Dienstleister einmal darauf angesprochen (SNMP am Router nachkonfigurieren) - er könne uns die Konfiguration nicht anpassen, da er nur VPN's konfiguriert.



Verbaut man sich eigentlich was, wenn man SNMP am Router aktiviert?
Muss man mit dem Logging aufpassen?

Eigentlich reichts ja - wenn ich das im Schnellüberblick richtig einschätze - nur den Public Commnity String, da ich ja nichts schreiben will, sondern nur lesen... somit:

>snmp-server community public RO

Würde das generell ausreichen?

Danke Euch!
Shao