IPSec: Einstellung des Parameters “ipsecGlobContIkeLoggingLevel” für eine detaillierte IPSec-Verbindungsanalyse
Inhaltsverzeichnis
Vorbemerkungen
- Um das Verhalten von IPSec-Verbindungen besonders detailliert zu dokumentieren, wird der Parameter “ipsecGlobContIkeLoggingLevel” konfiguriert.
- Im vorliegenden Beispiel wird ein bintec RS353jw mit Software-Version 10.2.5 verwendet; die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
- Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Voraussetzung:
1. Der globale Syslog-Level muß auf “Debug” eingestellt sein. In der GUI ist dafür der Wert von “Maximales Nachrichtenlevel von Systemprotokolleinträgen” zuständig (im GUI-Menü unter Systemverwaltung, Globale Einstellungen, System), auf der SNMP-Shell die Variable “biboAdmSyslogTableLevel” in der Tabelle “admin”.
2. Der IPSec-spezifische Syslog-Level muß auf “Debug” eingestellt sein. In der GUI ist dafür der Wert von “IPSec-Debug-Level” zuständig (im GUI-Menü unter VPN, IPSec, Optionen), auf der SNMP-Shell die Variable “ipsecGlobMaxSysLogLevel” in der Tabelle “ipsecGlobals”.
Weil: “Nur Systemprotokoll-Nachrichten mit gleicher oder höherer Priorität als angegeben werden intern aufgezeichnet, d.h. dass beim Syslog-Level “Debug” sämtliche erzeugten Meldungen aufgezeichnet werden.”
Achtung:
Die Menge der zusätzlichen IPSec-Syslog-Meldungen erzeugt auch eine zusätzliche Systembelastung.
Maßnahme zur Einstellung
Zur Einstellung des Detailgrades der IPSec-Syslog-Meldungen ist die spezielle Variable “ipsecGlobContIkeLoggingLevel” in der Tabelle “ipsecGlobalsContinued” zu editieren.
Deren Einstellung erfolgt in der GUI-Ansicht “SNMP-Browser” oder auf der “SNMP-Shell” bzw. auf der Kommmandozeile von Telnet-, SSH- oder serieller Konsole.
Mögliche wirksame Werte sind 0, 3, 6, 9 und 10. Die grundsätzliche Funktion von “ipsecGlobContIkeLoggingLevel” ist sehr gut in der HTML MIB-Reference beschrieben.
Folgende Erläuterung gibt die HTML MIB-Reference für diese Variable “IkeLoggingLevel”:
“This object specifies the IKE logging level. IKE log messages are output as syslog messages on level debug. Note that the global syslog table level must be set to debug in order to see these messages. Possible values: 0: no IKE log messages … 3: IKE error output … 6: IKE trace output … 9: IKE detailed results output 10 …: hexdumps of IKE messages.”
Als Beispiel soll der “ipsecGlobContIkeLoggingLevel” eines bintec RS353jw von “0” auf den für komplexe Analysen empfohlenen Wert “6” erhöht werden.
Vorgehensweise auf der SNMP-Shell
Erhöhung von “ipsecGlobContIkeLoggingLevel” auf der SNMP-Shell bzw. der Kommmandozeile der Konsole (Telnet-, SSH- oder seriell):
rs353jw_ks:> ipsecGlobContIkeLoggingLevel ipsecGlobContIkeLoggingLevel( rw): 0 rs353jw_ks:ipsecGlobalsContinued> ipsecGlobContIkeLoggingLevel=6 ipsecGlobContIkeLoggingLevel( rw): 6 rs353jw_ks:ipsecGlobalsContinued>
Alternative Vorgehensweise in der GUI-Ansicht “SNMP-Browser”
Alternative Anzeige mit Beispielwerten in der SNMP-Browser-Ansicht der GUI, dort im Hauptmenü unter “ipsec” in der Tabelle “ipsecGlobalsContinued”.
Im GUI-SNMP-Browser-Hauptmenü unter “ipsec” in der Tabelle “ipsecGlobalsContinued”, Edit:
Bild 1: GUI-SNMP-Browser, “ipsec” in der Tabelle “ipsecGlobalsContinued”, Edit (nach einer Änderung hier den abschließenden Klick auf “OK” nicht vergessen!)
Abschlußbemerkung
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßig in externe Dateien zu exportieren.
Basis
Erstellt: 3.4.2019
Stand: 9.4.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.5
kst13/2019