Shao-Lee 11 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 (bearbeitet) BITTE AN ADMIN: Thread in CISCO-Unterforum verschieben, Danke & Sorry !!! Hallo zusammen! Ich habe hier eine etwas spezielle Frage und vielleicht liest hier auch ein Cisco-Spezialist mit, der mir eventuell einen kleinen Tipp geben kann? Wir haben mehrere Außenstellen, die über Cisco-Router der 800er-Serien (Konkret: 876er) per VPN an unser Netz angeschlossen sind. Die grafische Oberfläche ist aus Gründen der Konfigurationsanpassungen nicht verfügbar. Meine Aufgabe in der Administration dieser Router (nicht die Tunnels) erstreckt sich auf die Überwachung und Wiederherstellung der Funktionalität. Dazu sind meine Kenntnisse im CLI des IOS zwar sehr beschränkt, aber ausreichend. Hinter diesen Tunnels stehen teilweise einzelne PCs oder ganze Netzwerke. Problem: Ich habe immer wieder das Thema, dass aus einem dieser Tunnel übermäßig hoher Traffik anfällt. Wenn dieses Problem auftritt, werden logischerweise die Antwortzeiten der anderen Tunnels stark beeinträchtigt. Wenn ich ein angeschlossenes VPN-Netzwerk identifiziert bekomme (z.Bsp. durch lange PING-Antwortzeiten), aus welchem die hohen Up- bzw. Downloadraten herrühren, scheitern meine Kenntnisse daran, festzustellen, welche IP-Adresse hierfür verantwortlich ist. Frage: Gibt es im IOS der 800er-Router über die Command-Line die Möglichkeit, eine Abfrage zu erzeugen, welche IP wieviel Traffik gegenwärtig nutzt? Oder welcher LAN-Port wieviel % Traffik verwendet? Oder gibt es eine Alternative, bei ungewöhnlichem Traffik die Quelladresse in VPN-angebundenen Netzen zu idendifizieren? Ich muss es irgendwie schaffen, zu definieren, wo (und am besten noch welcher) Traffik entsteht, damit gezielt optimiert werden kann. Hat jemand eine Idee für mich? Vielen Dank und viele Grüße, Shao bearbeitet 24. Mai 2011 von Shao-Lee ...falsches Forum erwischt, Sorry :-( Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 25. Mai 2011 Melden Teilen Geschrieben 25. Mai 2011 im Prinzip geht da schon was. Aber vorher mal noch ne Frage. Was ist das für ein VPN? PPTP, LT2P, GRE, IPSEC, ... Wenn mit IPSEC ist die Verbindung mit Crypto-map oder tunnel Interface gelöst? Geht aus dem Inteface auf dem die VPN Verbindungen reinkommen auch Traffic raus den du ermittelt haben möchtest oder ist die Kommunikation nur VPN>LAN und LAN>VPN? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. Mai 2011 Melden Teilen Geschrieben 25. Mai 2011 Was ist denn der Router in der Zentrale fuer ein Geraet? Zitieren Link zu diesem Kommentar
DuneX 10 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 Hallo, du kannst Dir die Interface anschaun mit "sh int xyz" am Ende sind 5min Werte. Die bessere Lösung wäre eine Auswertung mit Netflow oder NBar. Wenn's nur um um das reine Traffic-Volumen pro Interface zu bestimmten Zeiten geht nicht nimm SNMP in Verbindung mit Cacti. Da kann ich Dir auch eine paar Seiten empfehlen. Grüße Dune Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 30. Mai 2011 Autor Melden Teilen Geschrieben 30. Mai 2011 Hallo Servidge, Wordo und DuneX! Vielen Dank für Euer Interesse an diesem Thread. Generell bin ich ThirdParty-Produkten aufgeschlossen. Allerdings möchte ich diese erst im Netzwerk implementieren, wenn ich mit des Cisco-Tools nicht weiterkomme. Cacti sieht übrigens sehr interessant aus und werde mir das Produkt auf jeden Fall einmal näher anschauen. Um bei meinem Problem voranzukommen, benötige ich schlicht eine einzige Information: Welche IP macht mir gerade aktuell den Tunnel zu (Traffic)? Allerdings sprechen wir von 15 Tunnel, die auf meinem Grenzrouter ankommen. Von daher ist die Idee mit einer Abfrage dort vielleicht garnicht schlecht. Zur Frage nach dem Typ: ein Cisco 2811, allerdings auch hier wg. der besonderen Konfiguration ohne GUI (Webinterface). Eine mögliche Vorgehensweise wäre: 1. Abfrage beim 2811er: Wieviel Traffic verursachen die jeweiligen Tunnel? 2. Abfrage beim entspr. 876er: Welcher LAN-Port verursacht dort den Traffic? Was ist das für ein VPN? PPTP, LT2P, GRE, IPSEC, ... Wenn mit IPSEC ist die Verbindung mit Crypto-map oder tunnel Interface gelöst? Geht aus dem Inteface auf dem die VPN Verbindungen reinkommen auch Traffic raus den du ermittelt haben möchtest oder ist die Kommunikation nur VPN>LAN und LAN>VPN? Definiert ist lt Config meines Wissens ein 3DES IPSEC-ISAMP - Tunnel. Die Kommunikation läuft tatsächlich nur über VPN<->LAN. Die Grenzrouter haben - vom Tunnelaufbau mal abgesehen - keine direkte Verbindung zum Internet. Die Internetverbindung selbst wird über einen separaten Weg aus unserer DV-Zentrale heraus über ein Rechenzentrum hergestellt. Vollständigkeitshalber will ich noch unsere Firewall, eine Cisco PIX 515E, erwähnen, die zwischen unserem internen LAN und dem 2811er mit seinen 15 VPN-Netzen plaziert ist. DORT ist die grafische Oberfäche verfügbar und ich greife mit dem "ASDM 5.2" das DMZ-Interface ab (Bit-Rate-Graph). Da sehe ich exakt, wann der Tunnel mal wieder zu ist (Output Bitrate). Dann folgen kurz darauf auch schon die Anrufe von meinen Außenstellen, dass wieder alles so langsam ist... Ich hatte das Thema vor Längermem auch schon mit einem externen Dienstleister besprochen. Nur wollte dieser mir als Lösung einen Nagios-Monitoring Server verkaufen... zu dieser Investition konnten wir uns dann aber doch nicht so recht durchringen. Welche Vorgehensweise würdet ihr empfehlen? Vielen Dank, Shao Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 30. Mai 2011 Melden Teilen Geschrieben 30. Mai 2011 naja, das schnellste für den Überblick ist immer das IP Accouinting auf dem Router. Das wird auf das entsprechende Interface konfiguriert. Ausgabe ist dann Source, Destination, AnzahlPakete und AnzahlByte. Damit ist aber nur eine sehr beschränkte Aussage zu treffen da nicht weiter auf Ports geschaut wird. Wenn ein echtes Monitoring wer, wann, mit was, wohin geben soll wird es nicht ohne zusätzliche Tools gehen. Für den Schnellschuß reicht aber oft das IP Accounting. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. Mai 2011 Melden Teilen Geschrieben 30. Mai 2011 Eine mögliche Vorgehensweise wäre: 1. Abfrage beim 2811er: Wieviel Traffic verursachen die jeweiligen Tunnel? 2. Abfrage beim entspr. 876er: Welcher LAN-Port verursacht dort den Traffic? Mit Cacti kein Problem ... Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 30. Mai 2011 Autor Melden Teilen Geschrieben 30. Mai 2011 Cacti läuft jetzt auf einem XP-Host und ich habe einmal testweise einen Router fürs Monitoring konfiguriert. Für den Router (Device) lässt sich ein "Host Template" einstellen - "Cisco Router" - das habe ich getan. Bei der SNMP-Version bin ich allerdings überfragt - "Not in Use" kommt ja nicht in Frage. Version 2 war Default; Version 1 habe ich getestet und Version 3 erfordert eine Verschlüsselung mit Passwort. Cacti sagt mir bei bei allen SNMP-Einstellungen unter "SNMP Information": SNMP Error Könnte es sein, dass SNMP auf meinen Routern deaktiviert ist? ... so trivial ist das wohl nicht. Danke und Gruss, Shao Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 du musst midnestens eien community anlegen am router, für v3 eben auch user Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 31. Mai 2011 Autor Melden Teilen Geschrieben 31. Mai 2011 Hallo Otaku, Du meinst vermutlich das hier: How to Configure SNMP Community Strings* [iP Application Services] - Cisco Systems Ich habe übrigens unseren Dienstleister einmal darauf angesprochen (SNMP am Router nachkonfigurieren) - er könne uns die Konfiguration nicht anpassen, da er nur VPN's konfiguriert. :cry: Verbaut man sich eigentlich was, wenn man SNMP am Router aktiviert? Muss man mit dem Logging aufpassen? Eigentlich reichts ja - wenn ich das im Schnellüberblick richtig einschätze - nur den Public Commnity String, da ich ja nichts schreiben will, sondern nur lesen... somit: >snmp-server community public RO Würde das generell ausreichen? Danke Euch! Shao Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 Hi, mit SNMP verbaut man sich garnix - wie bitte der Dienstleister kann VPN aber kein SNMP (schon hart). Für den Anfang reicht "snmp-server community public RO" völlig - wobei ich den "String" nicht public nennen würde - da dann jeder mal eben auf deinen Router "schauen" kann. Ebenso solltest du ihm noch ne Access List mitgeben - sonst kann das auch jeder von "aussen". Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 das ist genau einer DER Namen einer community die man NICHT verwendet :) Hier kann man ruhig n Buchstabel/Zahlensalat verwenden, zwar nicht wahnsinnig sicher, aber besser als public. Kommt dann eben auch darauf an wie darauf zugegriffen wird, erfolgt der Zugriff via Internet, aber VPN getunneled, dann muss man sich nicht unbedingt mit v3 rumschlagen imho. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Hallo Otaku & Blackbox! Danke nochmals für Eure Informationen! Mein Status ist, ums kurz zu machen: 1.) SNMP läuft (Cacti bekommt keine Fehler mehr, sondern kann die Interfaces auslesen) 2.) IP-Accounting ist aktiviert, damit ich mit "show ip accounting" meinen derzeitigen Traffic zwischen den IP's (LAN <-> VPN) ausgeben lassen kann (SUPERKLASSE!!!!) Ich denke, ich bin auf dem richtigen Weg. Aktuell zeigt mir Cacti allerdings keine Graphen an... liegt vermutlich aber an einem Konfigurationsproblem meinerseits (RTFM). Abschließend noch meinen Respekt an alle CISCO-IOS-Profis! Es ist doch immer wieder beeindruckend, welche Informationen ein Cisco-Router fernab des GUI für einen bereithält. Ich halte Euch auf dem Laufenden! Grüße, Shao Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 ip accounting find ich persönlich nciht so prickelnd, direkt am router schau ich eher netflow Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.