07-IP Accounting配置
本章节下载 (152.64 KB)
IP Accounting特性实现了对经过路由器的IP报文进行统计的功能。统计对象包括路由器自身发送和正常转发的IP报文,也包括被防火墙拒绝的IP报文;统计信息包括源IP地址、目的IP地址、协议号、报文个数和字节总数。根据IP报文是否通过防火墙、是否匹配用户配置的规则,将统计结果进行分类存储和显示。
用户配置的IP Accounting统计规则由一个IP地址和相应的掩码组成,规则表中记录的是IP地址和其掩码相“与”的结果,即网段的地址。IP报文信息分类存储原则如下:
· 首先,如果接口配置了防火墙且IP报文在进出该接口时被此接口上配置的防火墙拒绝了,那么就将IP报文信息记录在“被防火墙拒绝的非法报文统计表(firewall-denied table)”中。
· 其次,对于通过了接口(当接口没有配置防火墙时)或者接口上防火墙(当接口配置了防火墙时)的IP报文,在IP报文的源IP地址或目的IP地址中,只要有一个匹配用户配置的IP Accounting统计规则中的网段地址,就将该报文信息记录在“符合规则的报文统计表(interior table)”中,否则就记录在“不符合规则的报文统计表(exterior table)”中。
· 如果某一统计表中的流记录信息在老化时间内没有更新,则设备认为该信息已经超时,将其删除。
需要使能IP Accounting特性的接口上已经正确配置了IP地址和网络掩码,如果需要的话,用户还要配置相应的防火墙。
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能IP Accounting报文统计功能 |
ip count enable |
必选 缺省情况下,没有使能IP Accounting报文统计功能 |
|
配置IP Accounting统计表中流记录的老化时间 |
ip count timeout minutes |
可选 缺省情况下,IP Accounting统计表中流记录的老化时间为720分钟(即12小时) |
|
配置interior统计表中流记录个数的最大值 |
ip count interior-threshold number |
可选 缺省情况下,interior统计表中流记录个数的最大值为512 |
|
配置exterior统计表中流记录个数的最大值 |
ip count exterior-threshold number |
可选 缺省情况下,exterior统计表中流记录个数的最大值为0 |
|
配置IP Accounting统计的匹配规则 |
ip count rule ip-address { mask | mask-length } |
必选 最多可以配置32条规则 如果不配置规则,则认为当前流都是用户不关心的,统计到exterior表里 |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置报文统计的类型 |
配置对当前接口接收的合法IP报文信息进行统计 |
ip count inbound-packets |
必选 四种类型至少选择一种,否则不统计经过该接口的任何IP报文 |
配置对当前接口发出的合法IP报文信息进行统计 |
ip count outbound-packets |
||
配置对当前接口上被防火墙拒绝接收的IP报文信息进行统计 |
ip count firewall-denied inbound-packets |
||
配置对当前接口上被防火墙拒绝发送的IP报文信息进行统计 |
ip count firewall-denied outbound-packets |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Accounting的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除IP Accounting的统计信息。
表1-2 IP Accounting显示和维护
操作 |
命令 |
显示用户配置的IP Accounting统计规则 |
display ip count rule [ | { begin | exclude | include } regular-expression ] |
显示IP Accounting统计的IP报文信息 |
display ip count { inbound-packets | outbound-packets } { exterior | firewall-denied | interior } [ | { begin | exclude | include } regular-expression ] |
清除IP Accounting已有的IP报文统计信息 |
reset ip count { all | exterior | firewall | interior } |
某些情况下,interior表和exterior表中都存在某个网段的IP报文统计信息,产生这个矛盾的原因是:统计信息表中存放的是用户配置规则后统计的报文信息,如果用户新增了一条规则,使得原来不符合规则的该网段的IP报文开始符合新规则,所有符合该新规则的报文都被存放到interior统计表中,而exterior表中可能还有该网段的IP报文信息,是用户配置新规则之前的统计信息。老化时间过后,这些统计信息就会被删除。
如图1-1所示,路由器分别和两台主机Host A和Host B通过以太网接口互联,在Router的接口Ethernet1/1上启动IP Accounting功能,统计经过该接口的Host A与Host B之间的IP报文,并且统计信息每隔24小时老化一次。
图1-1 IP Accounting配置组网图
· 配置Router:
# 启动IP Accounting统计功能。
<Router> system-view
[Router] ip count enable
# 配置一条匹配规则。
[Router] ip count rule 1.1.1.1 24
# 配置老化时间为1440分钟(24小时)。
[Router] ip count timeout 1440
# 配置符合规则的合法报文统计信息表长为100。
[Router] ip count interior-threshold 100
# 配置不符合规则的合法报文统计信息表长为20。
[Router] ip count exterior-threshold 20
# 配置接口Ethernet1/1的IP地址并统计进出该接口的IP报文信息。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] ip address 1.1.1.2 24
[Router-Ethernet1/1] ip count inbound-packets
[Router-Ethernet1/1] ip count outbound-packets
[Router-Ethernet1/1] quit
# 配置接口Ethernet1/2的IP地址。
[Router] interface ethernet 1/2
[Router-Ethernet1/2] ip address 2.2.2.1 24
[Router-Ethernet1/2] quit
· 配置Host A和Host B:
# 在Host A和Host B分别配置到对方的静态路由,并在Host A上执行ping Host B的操作。(略)
· 显示统计信息:
# 在Router上显示统计信息。
[Router] display ip count inbound-packets interior
1 Inbound streams information in interior list:
SrcIP DstIP Protocol Pkts Bytes
1.1.1.1 2.2.2.2 ICMP 4 240
[Router] display ip count outbound-packets interior
1 Outbound streams information in interior list:
SrcIP DstIP Protocol Pkts Bytes
2.2.2.2 1.1.1.1 ICMP 4 240
可以使用路由器等其他网络设备来代替两台主机。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!