Unvollständige Anzeige "show vpn ruleset" Befehl

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Harold
Beiträge: 11
Registriert: 30 Aug 2013, 18:31

Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von Harold »

Hallo,

wir haben auf unserer Zentrale (9100 ohne "+") über 200 VPN-Tunnel und an die 2800 Netz-zu-Netz beziehen.

Wenn ich den Befehl "show vpn ruleset" oder ähnliche Befehle zum Troubleshooting benutze, so zeigt er mir um die 500 Beziehungen an und bricht mit der Ausgabe "Output was truncated." ab.

Auch gefilterte Befehle z.B. "show vpn ruleset @ "LANCOM-XYZ" funktionieren nur auf Ausgaben vor dem Abbruch, also auf die ersten 500.

Befehle wie "show vpn sadb" oder "show vpn spd" traue ich mich schon überhaupt nicht mehr einzugeben, da ich hier schon die seltsamsten Phänomene (Reboots oder Verbindungsabbrüche) hatte.

Da wir noch mehr Verbindungen bekommen werden, Frage ich mich wie hier ein halbwegs vernünftiges Troubleshooting möglich sein soll. Die CPU-Last liegt tagsüber in der Regel um die 15%.

Wer kann zu dem Thema was beisteuern?



Gruss

Harold
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von MariusP »

Hi,
Über welches Protokoll greifst du denn auf die Konsole zu?
SSH? Telnet? Seriell?
Ich schätze ein anderes Protokoll könnte da helfen oder hast du das schon getestet?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Harold
Beiträge: 11
Registriert: 30 Aug 2013, 18:31

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von Harold »

Hallo,

sowohl bei Telnet als auch SSH ist das gleiche Verhalten. Seriell habe ich nicht geprüft.

Wir werden wohl Lancom zu dem Thema mit ins Boot nehmen.


Gruss

Harold
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von MariusP »

Hi,
die Ausgabe wird vom Lancom abgekürzt um ein Überschreiten des Watchdog-Timers zu verhindern, was bei deinem umfangreichem Aufbau nicht verwunderlich ist.
Somit liegt der Fehler nicht bei dir.
Eine Implementierung die eine solche Verhinderung unnötig macht, wäre mit viel Aufwand verbunden und bisher haben die Kunden kein besonderes Interesse gezeigt.
Du kannst dich dennoch bei Lancom melden und den Wunsch äußern, dass dies behoben werden sollte.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Avalanche
Beiträge: 182
Registriert: 19 Mai 2012, 23:53

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von Avalanche »

Was spricht dagegen, dem Befehl einfach eine Range zu geben?

show vpn rules (1-500)
show vpn rules (501-)

P.S: Die Hilfe zu show vpn rules ? zeigt gar nicht an, dass man mit @ filtern kann...
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von MariusP »

Hi,
Da andere Jobs auf mit dieser Stuktur rumhantieren.
So könnte eine Configänderung passieren, zwischen dem Abarbeiten von 1-500 und 501-1000.
Du könntest also SAs verpassen, wenn die Config in diesem Zeitraum eine entfernt, da die anderen nachrutschen.
  • a
  • b
  • c
  • d
  • e
  • f
  • g
Du willst 1-3 und 4-7 sehen.
"show 1-3"
  • a
  • b
  • c
Nun wird c in der Zeit entfernt in der du den nächsten Befehl eingibst.
"show 4-7"
  • e
  • f
  • g
Du hast "d" nicht gesehen da die Liste zum fraglichen Zeitpunkt so aussah und d an Position 3 gerutscht ist.
  • a
  • b
  • d
  • e
  • f
  • g
Daher ist diese Herrangehensweise auch nicht viel besser, da man so nicht garantieren kann, dass alle angezeigt werden.
In der bisherigen Variante wurden jedenfalls keine ausgelassen, nur weggelassen.
Wenn das PM meint, das wird gebraucht, dann wird das Feature "erweitert" werden.
Also schreibt bitte freundliche Mails an Lancom, dass ihr gerne das Feature hättet.

Das @ filtern passiert auserhalb der Texterstellung also zwischen Texterstellung und Textanzeigen.
Daher ist es auf vieles anwendbar, einfach bei allem probieren.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Avalanche
Beiträge: 182
Registriert: 19 Mai 2012, 23:53

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von Avalanche »

Mir ist schon klar, dass Änderungen an den Datenstrukturen natürlich auch Änderungen an den Bereichen bewirken können. Das fände ich aber nicht unbedingt schlimm. Wenn ich eine komplette Liste bekäme und in der Zeit in der diese auf der Konsole ausgegeben wird SAs verschwinden dann stimmt die Liste ja auch nicht mit der Realität überein. Es wäre vermutlich ein einfacher Workaround, überhaupt an die Liste zu kommen (wenn Paging ebenfalls nicht möglich ist).

Was genau führt denn zum Ansprechen des Watchdogs (dass die Ausgabe so lange dauert oder dass das Aufbereiten der Liste so lange dauert).
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von MariusP »

Hi,
Ich schätze das Aufbereiten, da das Senden der Daten von seperat gemacht wird.
Auch wenn ich nicht genau weis was dir die Info bringt.

Wie gesagt, äußert euren Wunsch. Ich werde dann berichten, wenn eine Änderung passieren wird.
Bis dahin erachte ich das Thema als beantwortet ?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Avalanche
Beiträge: 182
Registriert: 19 Mai 2012, 23:53

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von Avalanche »

Klar.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Unvollständige Anzeige "show vpn ruleset" Befehl

Beitrag von MariusP »

Hi,
Wird in der 8.84 Release drinnen sein. Ab welchem Release Canidate kann ich nicht sagen, aber ich schätze der erste.
Allerdings empfehle ich ein solches Show VPN nicht über seriell auszugeben, da die Übertragungsrate so niedrig ist, dass es bei 2000 Verbindungen anstatt 2 Sekunden 30 Sekunden dauert. Von "show vpn long" will ich erst garnicht reden, da dürfte der Unterschied noch viel höher sein.
Beste Grüße
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten