国家 / 地区

15-网络管理和监控配置指导

07-IP Accounting配置

本章节下载  (152.64 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/15/201807/1094202_30005_0.htm

07-IP Accounting配置


1 IP Accounting

1.1  IP Accounting简介

IP Accounting特性实现了对经过路由器的IP报文进行统计的功能。统计对象包括路由器自身发送和正常转发的IP报文,也包括被防火墙拒绝的IP报文;统计信息包括源IP地址、目的IP地址、协议号、报文个数和字节总数。根据IP报文是否通过防火墙、是否匹配用户配置的规则,将统计结果进行分类存储和显示。

用户配置的IP Accounting统计规则由一个IP地址和相应的掩码组成,规则表中记录的是IP地址和其掩码相“与”的结果,即网段的地址。IP报文信息分类存储原则如下:

·     首先,如果接口配置了防火墙且IP报文在进出该接口时被此接口上配置的防火墙拒绝了,那么就将IP报文信息记录在“被防火墙拒绝的非法报文统计表(firewall-denied table)”中。

·     其次,对于通过了接口(当接口没有配置防火墙时)或者接口上防火墙(当接口配置了防火墙时)的IP报文,在IP报文的源IP地址或目的IP地址中,只要有一个匹配用户配置的IP Accounting统计规则中的网段地址,就将该报文信息记录在“符合规则的报文统计表(interior table)”中,否则就记录在“不符合规则的报文统计表(exterior table)”中。

·     如果某一统计表中的流记录信息在老化时间内没有更新,则设备认为该信息已经超时,将其删除。

1.2  配置IP Accounting

1.2.1  配置准备

需要使能IP Accounting特性的接口上已经正确配置了IP地址和网络掩码,如果需要的话,用户还要配置相应的防火墙。

1.2.2  配置IP Accounting

表1-1 配置IP Accounting

操作

命令

说明

进入系统视图

system-view

-

使能IP Accounting报文统计功能

ip count enable

必选

缺省情况下,没有使能IP Accounting报文统计功能

配置IP Accounting统计表中流记录的老化时间

ip count timeout minutes

可选

缺省情况下,IP Accounting统计表中流记录的老化时间为720分钟(即12小时)

配置interior统计表中流记录个数的最大值

ip count interior-threshold number

可选

缺省情况下,interior统计表中流记录个数的最大值为512

配置exterior统计表中流记录个数的最大值

ip count exterior-threshold number

可选

缺省情况下,exterior统计表中流记录个数的最大值为0

配置IP Accounting统计的匹配规则

ip count rule ip-address { mask | mask-length }

必选

最多可以配置32条规则

如果不配置规则,则认为当前流都是用户不关心的,统计到exterior表里

进入接口视图

interface interface-type interface-number

-

配置报文统计的类型

配置对当前接口接收的合法IP报文信息进行统计

ip count inbound-packets

必选

四种类型至少选择一种,否则不统计经过该接口的任何IP报文

配置对当前接口发出的合法IP报文信息进行统计

ip count outbound-packets

配置对当前接口上被防火墙拒绝接收的IP报文信息进行统计

ip count firewall-denied inbound-packets

配置对当前接口上被防火墙拒绝发送的IP报文信息进行统计

ip count firewall-denied outbound-packets

 

1.3  IP Accounting显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Accounting的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除IP Accounting的统计信息。

表1-2 IP Accounting显示和维护

操作

命令

显示用户配置的IP Accounting统计规则

display ip count rule [ | { begin | exclude | include } regular-expression ]

显示IP Accounting统计的IP报文信息

display ip count { inbound-packets | outbound-packets } { exterior | firewall-denied | interior } [ | { begin | exclude | include } regular-expression ]

清除IP Accounting已有的IP报文统计信息

reset ip count { all | exterior | firewall | interior }

 

某些情况下,interior表和exterior表中都存在某个网段的IP报文统计信息,产生这个矛盾的原因是:统计信息表中存放的是用户配置规则后统计的报文信息,如果用户新增了一条规则,使得原来不符合规则的该网段的IP报文开始符合新规则,所有符合该新规则的报文都被存放到interior统计表中,而exterior表中可能还有该网段的IP报文信息,是用户配置新规则之前的统计信息。老化时间过后,这些统计信息就会被删除。

 

1.4  IP Accounting配置举例

1. 组网需求

图1-1所示,路由器分别和两台主机Host A和Host B通过以太网接口互联,在Router的接口Ethernet1/1上启动IP Accounting功能,统计经过该接口的Host A与Host B之间的IP报文,并且统计信息每隔24小时老化一次。

2. 组网图

图1-1 IP Accounting配置组网图

 

3. 配置步骤

·     配置Router:

# 启动IP Accounting统计功能。

<Router> system-view

[Router] ip count enable

# 配置一条匹配规则。

[Router] ip count rule 1.1.1.1 24

# 配置老化时间为1440分钟(24小时)。

[Router] ip count timeout 1440

# 配置符合规则的合法报文统计信息表长为100。

[Router] ip count interior-threshold 100

# 配置不符合规则的合法报文统计信息表长为20。

[Router] ip count exterior-threshold 20

# 配置接口Ethernet1/1的IP地址并统计进出该接口的IP报文信息。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] ip address 1.1.1.2 24

[Router-Ethernet1/1] ip count inbound-packets

[Router-Ethernet1/1] ip count outbound-packets

[Router-Ethernet1/1] quit

# 配置接口Ethernet1/2的IP地址。

[Router] interface ethernet 1/2

[Router-Ethernet1/2] ip address 2.2.2.1 24

[Router-Ethernet1/2] quit

·     配置Host A和Host B:

# 在Host A和Host B分别配置到对方的静态路由,并在Host A上执行ping Host B的操作。(略)

·     显示统计信息:

# 在Router上显示统计信息。

[Router] display ip count inbound-packets interior

1 Inbound streams information in interior list:

  SrcIP           DstIP           Protocol  Pkts        Bytes

  1.1.1.1         2.2.2.2         ICMP      4           240

[Router] display ip count outbound-packets interior

 1 Outbound streams information in interior list:

  SrcIP           DstIP           Protocol  Pkts        Bytes

  2.2.2.2         1.1.1.1         ICMP      4           240

可以使用路由器等其他网络设备来代替两台主机。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!