saprouter - service€¦ · · 2017-04-25sap online help 26.10.2007 saprouter saprouter ist ein...

SAProuter

HE

LP

.BC

CS

TR

OU

T

Re lease 7 .10

SAP Online Help 26.10.2007

Copyright © Copyright 2007 SAP AG. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die von SAP AG oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Microsoft, Windows, Outlook, und PowerPoint sind eingetragene Marken der Microsoft Corporation. IBM, DB2, DB2 Universal Database, OS/2, Parallel Sysplex, MVS/ESA, AIX, S/390, AS/400, OS/390, OS/400, iSeries, pSeries, xSeries, zSeries, z/OS, AFP, Intelligent Miner, WebSphere, Netfinity, Tivoli, Informix, i5/OS, POWER, POWER5, OpenPower und PowerPC sind Marken oder eingetragene Marken der IBM Corporation. Adobe, das Adobe Logo, Acrobat, PostScript und Reader sind Marken oder eingetragene Marken von Adobe Systems Inc. in den USA und/oder anderen Ländern. Oracle ist eine eingetragene Marke der Oracle Corporation. UNIX, X/Open, OSF/1, und Motif sind eingetragene Marken der Open Group. Citrix, ICA, Program Neighborhood, MetaFrame, WinFrame, VideoFrame, und MultiWin sind Marken oder eingetragene Marken von Citrix Systems, Inc. HTML, XML, XHTML und W3C sind Marken oder eingetragene Marken des W3C®, World Wide Web Consortium, Massachusetts Institute of Technology. Java ist eine eingetragene Marke von Sun Microsystems, Inc. JavaScript ist eine eingetragene Marke der Sun Microsystems, Inc., verwendet unter der Lizenz der von Netscape entwickelten und implementierten Technologie. MaxDB ist eine Marke von MySQL AB, Schweden. SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, und weitere im Text erwähnte SAP-Produkte und -Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die vorliegenden Angaben werden von SAP AG und ihren Konzernunternehmen („SAP-Konzern“) bereitgestellt und dienen ausschließlich Informationszwecken. Der SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern übernimmt lediglich diejenige Garantie für Produkte und Dienstleistungen, die in den gegebenenfalls mit den jeweiligen Produkten und Dienstleistungen gelieferten ausdrücklichen Garantiererklärungen festgelegt sind. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Garantie.

SAProuter 7.10 2


Symbole im Text

Symbol Bedeutung

Achtung

Beispiel

Hinweis

Empfehlung

Syntax

In der SAP-Dokumentation werden weitere Symbole verwendet, die verdeutlichen, welche Art von Informationen ein Text enthält. Weitere Informationen finden Sie auf der Startseite jeder Version der SAP-Bibliothek unter Hilfe zur Hilfe → Allgemeine Informationsklassen und Informationsklassen für das Business Information Warehouse.

Typografische Konventionen

Format Beschreibung

Beispieltext Wörter oder Zeichen, die vom Bildschirmbild zitiert werden. Dazu gehören Feldbezeichner, Bildtitel, Drucktastenbezeichner sowie Menünamen, Menüpfade und Menüeinträge.

Querverweise auf andere Dokumentationen

Beispieltext hervorgehobene Wörter oder Ausdrücke im Fließtext, Titel von Grafiken und Tabellen

BEISPIELTEXT Namen von Systemobjekten. Dazu gehören Reportnamen, Programmnamen, Transaktionscodes, Tabellennamen und einzelne Schlüsselbegriffe einer Programmiersprache, die von Fließtext umrahmt sind, wie z.B. SELECT und INCLUDE

Beispieltext Ausgabe auf der Oberfläche. Dazu gehören Datei- und Verzeichnisnamen und ihre Pfade, Meldungen, Quelltext, Namen von Variablen und Parametern sowie Namen von Installations-, Upgrade- und Datenbankwerkzeugen.

Beispieltext exakte Benutzereingabe. Dazu gehören Wörter oder Zeichen, die Sie genau so in das System eingeben, wie es in der Dokumentation angegeben ist.

<Beispieltext> variable Benutzereingabe. Die Wörter und Zeichen in spitzen Klammern müssen Sie durch entsprechende Eingaben ersetzen, bevor Sie sie in das System eingeben.

BEISPIELTEXT Tasten auf der Tastatur, wie z.B. die Funktionstaste F2 oder die ENTER-Taste

SAProuter 7.10 3


Inhalt SAProuter .................................................................................................................................. 6

Was ist SAProuter?................................................................................................................ 6 NI Netzwerkschnittstelle ..................................................................................................... 8

SAP-Protokoll ................................................................................................................. 9

Route-Verbindungen ........................................................................................................ 10

SNC - Secure Network Communication........................................................................... 12

SAProuter installieren .......................................................................................................... 12 Hardware-Anforderungen für SAProuter.......................................................................... 13

Installation unter UNIX ..................................................................................................... 14

Installation unter Windows ............................................................................................... 15

Installation unter System i ................................................................................................ 16

SAProuter bedienen und konfigurieren................................................................................ 17 SAProuter starten............................................................................................................. 17

Grundfunktionen testen .................................................................................................... 18

Route Strings eingeben.................................................................................................... 20

Route Strings ................................................................................................................ 21

Route-Permission-Tabelle anlegen.................................................................................. 22

Route-Permission-Tabelle ............................................................................................ 23

Beispiel einer Route-Permission-Tabelle ..................................................................... 26

Beispiel einer Route-Permission-Tabelle mit SNC....................................................... 27

Logging im SAProuter einrichten ..................................................................................... 28

Fehler erkennen und beheben............................................................................................. 30 Erfolgreicher Verbindungsaufbau und Datenübertragung ............................................... 31

SAProuter Fehlermeldungen............................................................................................ 33

Route-Permission-Tabelle prüfen................................................................................. 34

Mehr Verbindungen einrichten ..................................................................................... 34

Fehler beim Verbindungsaufbau ...................................................................................... 35

Verbindungsabbrüche ...................................................................................................... 41

Sonstige Fehler ................................................................................................................ 44

SAP-Hinweise zu SAProuter ............................................................................................ 51

Referenz............................................................................................................................... 52 SAProuter Optionen ......................................................................................................... 52

Option -s (stop saprouter)............................................................................................. 55

Option -n (new saprouttab) ........................................................................................... 55

Option -t (toggle trace).................................................................................................. 56

Option -c<n> (cancel connection n).............................................................................. 58

Option -l / -L .................................................................................................................. 58

Option -d (dump buffers)............................................................................................... 59

SAProuter 7.10 4


Option -f (flush buffers) ................................................................................................. 59

Option -p (Soft-Shutdown) ............................................................................................ 60

Option -a <lib> (Start mit externer Bibliothek) .............................................................. 60

Option -R <routtab> ...................................................................................................... 61

Option -K <mysncname>.............................................................................................. 61

Option -G<logfile>......................................................................................................... 61

Option -J<size in bytes> ............................................................................................... 62

Option -T<tracefile> ...................................................................................................... 63

Option -V<tracelev>...................................................................................................... 63

Option -E....................................................................................................................... 63

Option -S <service> ...................................................................................................... 63

Option -C <clients> ....................................................................................................... 64

Option -D....................................................................................................................... 64

Option -6 (enable IPv6)................................................................................................. 65

Option -Z....................................................................................................................... 65

Option -I <address> ...................................................................................................... 66

Option -Y <n> ............................................................................................................... 66

Option -H <hostname> [-P <kennwort>]....................................................................... 67

Option -A <initstring> .................................................................................................... 68

Option -M <min>.<max>............................................................................................... 68

SAProuter 7.10 5


SAProuter SAProuter ist ein SAP-Programm, das Ihr SAP-Netzwerk vor unbefugtem Zugriff schützen kann. Es handelt sich um ein kleines Standalone-Programm, das normalerweise auf dem Firewallrechner installiert wird.

WAN (Internet)

SAProuterLAN

(SAP System)

Die vorliegende Dokumentation gliedert sich in folgende Abschnitte.

Abschnitt Inhalt

Was ist SAProuter? [Seite 6] Einführung, Konzept und Architektur von SAProuter

SAProuter installieren [Seite Installationsanleitung für die von SAP unterstützen Plattformen 12]

SAProuter bedienen und Starten und Stoppen, Administration im laufenden Betrieb und Konfiguration von SAProuter konfigurieren [Seite 17]

Fehler erkennen und beheben [Seite

Troubleshooting 30]

Referenz [Seite 52] SAProuter Optionen [Seite 52]: Übersicht über alle Administrationsoptionen

NI and SAProuter Implementation [Externe Dokumentation]: Details zur Implementierung (nur in englischer Sprache)

Was ist SAProuter? SAProuter ist ein SAP-Programm, das eine Zwischenstation (Proxy) in einer Netzwerkverbindung zwischen SAP-Systemen oder zwischen einem SAP-System und der Außenwelt darstellt. SAProuter dient dazu, den Zugang zu Ihrem Netzwerk zu regeln (Application Level Gateway) und stellt daher eine sinnvolle Ergänzung zu einem bestehenden Firewall-System (Portfilter) dar.

SAProuter 7.10 6


Bildlich gesprochen: die Firewall bildet eine undurchdringliche "Mauer" um Ihr Netzwerk. Da aber gewisse Verbindungen durch diese Wand hindurch kommen sollen, muss ein "Loch" in die Firewall gemacht werden. Die Kontrolle dieses Loches übernimmt SAProuter.

Der SAProuter ermöglicht Ihnen dann die Kontrolle des Zugangs zu Ihrem SAP-System.

Einsatzmöglichkeiten Sie können SAProuter einsetzen,

● um die Verbindungen zu Ihrem SAP-System (z. B. von einem SAP-Service-Center) zu steuern und zu protokollieren

● um eine indirekte Verbindung herzustellen, wenn die an der Verbindung beteiligten Programme sich aufgrund der Netzwerkkonfiguration nicht direkt erreichen können wegen

○ Adresskonflikten bei Benutzung nicht registrierter IP-Adressen

○ Einschränkungen, die bei Firewall-Systemen bestehen

● um die Netzwerksicherheit zu verbessern, indem Sie

○ Ihre Verbindung und Ihre Daten durch ein Kennwort gegen unberechtigten Zugriff von außen schützen

○ den Zugang nur von bestimmten SAProutern aus zulassen

○ nur verschlüsselte Verbindungen von einem bekannten Partner zulassen (mittels SNC-Schicht)

● um Performance und Stabilität zu erhöhen, indem Sie die Belastung des SAP-Systems innerhalb eines Local Area Network (LAN) bei der Kommunikation mit einem Wide Area Network (WAN) verringern

Die folgende Abbildung illustriert Ihr Netzwerk (LAN) mit Firewall als Schutz gegen Zugriff von außen. Auf dem Firewallrechner läuft SAProuter, der quasi als “Tür” zu Ihrem Netzwerk fungiert. Diese Tür wird nur für von Ihnen erlaubte Verbindungen geöffnet.

WAN (Internet)

SAProuterLAN

(SAP System)

SAProuter 7.10 7


Dies ist oft nützlich, wenn etwa eine Support-Verbindung von SAP zu Ihrem SAP-System existiert, über die sich SAP-Mitarbeiter bei Problemen in Ihrem System anmelden können etc. Diese Verbindungen werden mit SAProuter kontrolliert.

Bitte beachten Sie, dass die Installation von SAProuter ohne den Einsatz einer Firewall ihr Netzwerk nicht gegen den Eingriff von außen schützen kann! Es muss gewährleistet sein, dass alle eingehenden Verbindungen durch das "Loch" SAProuter gehen müssen!

Netzwerksicherheit erhöhen mit SAProuter Insbesondere den SAProuter, der auf Ihrem Firewallrechner läuft, sollten Sie so konfigurieren, dass

● von außen nur das NI-Protokoll (SAP-Protokoll [Seite 9]) akzeptiert wird

● nicht beliebig viele SAProuter vor und nach diesem in einer Route Stationen sein dürfen

Unter UNIX empfiehlt es sich, den SAProuter auf einem Port zu starten, der für root reserviert ist.

Weitere Informationen NI Netzwerkschnittstelle [Seite 8]

Route-Verbindungen [Seite 10]

SNC - Secure Network Communication [Seite 12]

SAProuter installieren [Seite 12]

SAProuter bedienen und konfigurieren [Seite 17]

NI Netzwerkschnittstelle Definition Um von verschiedenen Plattformen unabhängig zu sein, hat SAP für alle Netzwerkverbindungen die Zwischenschicht NI (Network Interface) entwickelt; diese wird von SAProuter und allen SAP Programmen, sowie von den Development Kits für CPI-C und Remote Function Call (RFC) genutzt.

Struktur Im OSI 7-Schichtenmodell bildet die NI-Schicht den oberen (anwendungsnäheren) Teil der Transportschicht; konkret heißt das, NI setzt auf TCP oder UDP auf. Das Protokoll wird auch als SAP-Protokoll [Seite 9] bezeichnet.

NI im OSI-7-Schichtenmodell

OSI-Schicht Protokoll

7 Anwendung

6 Präsentation

5 Sitzung

4 Transport NI

TCP / UDP

SAProuter 7.10 8


3 Netzwerk IP

2 Datenübertragung Ethernet,...

1 Übertragungstechnik

nipingZur NI-Schicht gehört das Testprogramm , das die NI-Funktionen testet: es wird einfach eine vorgegebene Anzahl von Datenpaketen vom Client zum Server geschickt, vom Server zurückgeschickt und vom Client wieder ausgelesen. Zusätzlich werden noch durchschnittliche Übertragungszeiten und - je nach Tracelevel - detailliertere Informationen über die Datenübertragung ausgegeben. niping kann sowohl zum Test von Netzwerkverbindungen ohne als auch mit SAProuter eingesetzt werden.

Gibt man niping ohne Parameter ein, erscheint eine Online-Hilfe mit möglichen Parametern und Zusatzoptionen.

Weitere Informationen Grundfunktionen testen [Seite 18]

NI and SAProuter Implementation [Externe Dokumentation]

IPv6-Unterstützung in SAP NetWeaver [Externe Dokumentation]

SAP-Protokoll Definition Als SAP-Protokoll wird das Protokoll bezeichnet, das von SAP-Programmen, die über die NI-Schnittstelle kommunizieren, verwendet wird. Es handelt sich hierbei um einen Aufsatz zum TCP/IP-Protokoll, das um ein Längenfeld und einige Möglichkeiten zur Fehlerinformation erweitert wurde.

Verwendung Bei der Definition der Route Permission Tabelle kann der Anfangsbuchstabe S benutzt werden, um nur SAP-Protokoll zuzulassen, d. h. die Zeile wird interpretiert wie sonst, nur dürfen zusätzlich nur SAP-Programme (SAP GUI, SAP Applikationsserver) miteinander kommunizieren.

Weitere Informationen: Route Permission Tabelle anlegen [Seite 22]

Integration Die NI Netzwerkschnittstelle bietet zur Kommunikation standardmäßig das SAP-Protokoll, kann aber auch mit externen Programmen (z. B. telnet oder lpd), die kein SAP-Protokoll "sprechen", das TCP/IP-Protokoll verwenden.

Weitere Informationen Route-Verbindungen [Seite 10]


SAProuter 7.10 9


Route-Verbindungen Definition Eine Route-Verbindung ist die Verbindung von zwei Rechnern über ein Netzwerk; die Route ist die Folge von Zwischenstationen, über die die Verbindung aufgebaut wird.

Struktur Sie können eine Verbindung zwischen SAP-Systemen mit oder ohne SAProuter herstellen.

Verbindungen ohne SAProuter Die folgende Abbildung zeigt eine Netzwerkverbindung von SAP zum Kunden ohne SAProuter.

Kunden-LAN

Kunden-Work-

stations

WAN (Internet)

SAP-LAN

SAPWork-

stations

Wir gehen davon aus, dass sowohl das SAP-LAN (Local Area Network) als auch das Kunden-LAN durch Firewalls gegen unerwünschtes Eindringen geschützt sind.

Soll eine Verbindung zwischen einer SAP-Workstation und einer Kunden-Workstation aufgebaut werden, so muss ein “Loch” in die Firewall gemacht werden; je mehr Verbindungen zu externen Rechnern erwünscht sind, desto mehr Löcher (und damit Unsicherheitsfaktoren) enthält die Firewall.

Wenn eine Verbindung ohne SAProuter aufgebaut wird, wird die folgende Information benötigt: ...

1. IP-Adresse des Host

oder der logische Name des Host, auf dem der Serverprozess läuft. Der Zielhost muss also eine eindeutige IP-Adresse besitzen.

2. Portnummer oder der logische Name des vom Prozess benutzten Ports

Der Serverprozess muss eine exklusive Portnummer auf seinem Host verwenden. Diese Portnummer muss dem Client bekannt sein.

SAProuter 7.10 10


NI Netzwerkschnittstelle [Seite Bei Verwendung der 8] können die Hostadresse

und Portnummer als logische Namen (z.B. Host saposs sapdp00, Service ) oder Adressen-Strings (z.B. eine Host-IP-Adresse der Form www.xxx.yyy.zzz 3200, port ) übergeben werden.

Verbindungen mit SAProuter Die folgende Abbildung zeigt eine Netzwerkverbindung mit SAProuter:

Kunden-LAN

Kunden-Work-

stations

WAN (Internet)

SAP-LAN

SAProuterSAProuter

SAPWork-

stations

Mit SAProuter ist der Zugang zu einem Netzwerk nur über kontrollierte Punkte möglich. Die Anzahl der Zugangspunkte (“Löcher”) ist reduziert, da weniger direkte Leitungen für Verbindungen benötigt werden. Jedes "Loch" wird durch einen SAProuter bewacht, der anhand seiner Route-Permission-Tabelle bestimmt, welche Routen benutzt werden können und welche Kennwörter für den Zugang erforderlich sind. So wird das Loch in der Firewall kontrolliert.

Ohne SAProuter müssen die IP-Adressen eindeutig sein. Das kann insbesondere bei einer Verbindung zwischen zwei Netzwerken, die normalerweise keinen Außenanschluss haben, nicht immer gewährleistet werden. SAProuter ermöglicht es, zwei Punkte mit identischen IP-Adressen zu verbinden.

SAProuter kann nicht nur für die Verbindung eines einzelnen Hostrechners mit einem bestimmten Service verwendet werden, sondern auch mehrere Hostrechner und Services miteinander verbinden. Die Routeninformation hat die Form eines Route Strings. Die für den Zugang benötigten Kennwörter werden ebenfalls im Route-String angegeben.

Weitere Informationen Route-Permission-Tabelle [Seite 23]

Route Strings [Seite 21]

SAProuter bedienen und konfigurieren [Seite 17]

Route Connects [Externe Dokumentation] im Implementierungsteil

SAProuter 7.10 11


SNC - Secure Network Communication Verwendung SNC dient dazu, Netzwerkverbindungen, insbesondere WAN-Verbindungen, die über das Internet gehen, sicher zu machen. Es wird sowohl eine zuverlässige Authentifizierung als auch eine Verschlüsselung der zu übermittelnden Daten gewährleistet.

Mit SAProuter ist es möglich, SNC-Verbindungen aufzubauen. Mittels der Route-Permission-Tabelle kann auch genau selektiert werden, ob und welche SNC-Verbindungen erlaubt sind.

Integration Eine detaillierte Dokumentation über den Einsatz von SNC im SAP-Umfeld finden Sie in der folgenden Dokumentation: Secure Network Communications (SNC) [Externe Dokumentation].

Voraussetzungen Sie verwenden mindestens SAProuter-Version 30 und haben SNC anhand des entsprechenden Leitfadens konfiguriert.

Damit zwischen zwei SAProutern eine SNC-Verbindung aufgebaut werden kann, muss

-K <SNCname>● jeder der beiden SAProuter mit der Option (System i: '-K <SNCname>') gestartet worden sein. Diese Namen gewährleisten dann die Authentizität eines Hosts.

● ein KT-Eintrag in der Route-Permission-Tabelle des Quellhosts existieren, der veranlasst, dass die Verbindung zum Zielhost die SNC-Schicht benutzt

● ein KP-Eintrag in beiden Route-Permission-Tabellen existieren, der die Verbindung erlaubt.

Aktivitäten Um eine SNC-Verbindung zwischen zwei SAProutern herzustellen, müssen Sie diese mit der Option -K starten und die Route-Permission-Tabelle entsprechend konfigurieren.

Weitere Informationen Option -K <mysncname>

Route-Verbindungen [Seite 10]

Route-Permission-Tabelle

SAProuter installieren Verwendung Im folgenden wird beschrieben, wie Sie SAProuter installieren. Unter UNIX wird SAProuter als Dämon installiert, unter Windows als Service.

Voraussetzungen Informationen zu den Hardware-Voraussetzungen finden Sie im Abschnitt Hardware-Anforderungen für SAProuter [Seite 13].

SAProuter 7.10 12


Vorgehensweise Download Sie finden den neuesten SAProuter auf dem SAP Service Marketplace unter Download SAP Software → bzw. <Support Packages & Patches>

service.sap.com/patches . Wählen Sie dann auf der Seite Support Packages and Patches links in der Navigationsleiste Entry by Application Group und dann Additional Components → SAPROUTER → SAPROUTER 7.00 → <Plattform>. Hier finden Sie das Paket saprouter.

Installation Die Installation des SAProuter hängt dann vom Betriebssystem ab. Wählen Sie den entsprechenden Abschnitt. Installation unter UNIX [Seite 14]

Installation unter Windows [Seite 15]

Installation unter System i [Seite 16]

Hardware-Anforderungen für SAProuter SAProuter-Architektur und Anforderungsprofil Da die Arbeit des SAProuter (auch mit SNC) hauptsächlich I/O-basiert ist (Ein-/Ausgabe), benötigen Sie auf dem Rechner keine besonders leistungsfähige CPU.

Die Last, der der SAProuter ausgesetzt ist, wird durch die Anzahl offener Verbindungen bestimmt.

Wenn über 800 Verbindungen aufrecht erhalten werden sollen, empfiehlt SAP das Nachstarten von neuen SAProuter-Prozessen mit der Option -Y <n> [Seite 66]. So verteilen Sie die Last auf mehrere Prozesse und reduzieren das Risiko eines Problems (bzw. ein auftretendes Problem betrifft nie alle bestehenden Verbindungen). Bei vielen Verbindungen gilt die Faustregel: 1 SAProuter pro 500 Verbindungen.

Alternativ zur Option -Y können Sie auch ein Skript aufsetzen, das den SAProuter-Prozess überwacht und den SAProuter neu startet (Soft-Shutdown mit Option -p [Seite 60] mit anschließendem Neustart), sobald eine gewisse Anzahl Verbindungen überschritten wird oder bis die Meldung Maximum number of clients reached [Seite 34] zum ersten Mal geschrieben wird

Da der SAProuter-Prozess in einem Thread abläuft (single threaded) und häufig mit I/O aufrufen oder Hostnamensauflösungen beschäftigt ist, kommt auch eine Maschine mit einer CPU gut mit mehreren parallel laufenden SAProuter-Prozessen zurecht.

Empfohlene Hardware Für einen SAProuter mit 3000 parallele Verbindungen und gewöhnlichem Kommunikationsaufkommen zwischen SAP GUI und Applikationsserver und wenig Datei-Download und –Upload (ca. 8kB Datentransfer in beide Richtungen pro Verbindung und 10 Sekunden) empfiehlt SAP:

● Schnelle Netzwerk-Adapter (sehr wichtig)

● 2 Hyper-Threading (HTT) CPUs mit 2GHz Taktfrequenz

● 512 MB RAM

SAProuter 7.10 13


● 50 MB freier Festplattenplatz

Hintergrund

Für 3000 Benutzer werden 6 SAProuter-Prozesse veranschlagt (Option -C <clients> [Seite ]64 auf 1000 setzen).

Jeder dieser Prozesse benötigt 4,5 MB Speicher und 9% einer 2-Wege-HTT-3-GHz-CPU, wenn man ein Drittel der CPU-Last für die Benutzer und 2 Drittel für das System annimmt. Dann benötigen die 6 SAProuter-Prozesse zusammen ca. 30 MB und 55% der CPU.

Manchmal dauert die Ermittlung des Hostnamens aus der IP-Adresse (reverse lookup) einige Sekunden, während derer der Prozess blockiert ist. Ursache ist zumeist ein Fehler in der DNS-Konfiguration. Insbesondere bei hoher Last auf dem SAProuter spüren die Benutzer diese Verzögerungen. Verwenden Sie die Option -D [Seite 64], um der Situation vorzubeugen.

Empfohlene Startoptionen Starten Sie den SAProuter wie folgt:

saprouter -r -K <SNC name> -Y 0 -C 1000 -D -G <log file> -J 2000000

Informationen zum Betrieb von SAProuter unter Windows finden Sie in SAP-Hinweis 734095.

Installation unter UNIX ...

1. Legen Sie das Unterverzeichnis saprouter im Verzeichnis /usr/sap/ an.

2. Holen Sie sich die neueste Version des SAProuter vom SAP Service Marketplace (service.sap.com/patches) wie unter Installation von SAProuter [Seite 12] beschrieben. Der SAProuter befindet sich in dem Paket saprouter*.SAR; das Programm niping ist ebenfalls in dem Paket enthalten. Kopieren Sie sich die Programme saprouter niping und in das neu angelegte Verzeichnis /usr/sap/saprouter.

Sollten Sie die Programme nicht vom SAP Service Marketplace übertragen können, können Sie sich eine (eventuell veraltete) Version aus Ihrem Verzeichnis /usr/sap/<SID>/SYS/exe/run kopieren.

3. (Optional) Falls Sie den SAProuter auf derselben Maschine starten wollen wie eine SAP-Instanz, fügen Sie in die Datei /usr/sap/<SID>/SYS/exe/run/startsap folgende Zeilen ein: # # Start saprouter # SRDIR=/usr/sap/saprouter if [ -f $SRDIR/saprouter ] ; then echo “\nStarting saprouter Daemon “ | tee -a $LOGFILE echo “----------------------------“ | tee -a $LOGFILE $SRDIR/saprouter -r -R $SRDIR/saprouttab \ | tee -a $LOGFILE & fi

Fügen Sie die Zeilen vor den Kommandos zum Start der SAP-Instanz ein!

SAProuter 7.10 14


Im Normalfall läuft der SAProuter auf einem anderen Rechner. Dieser Schritt entfällt dann und Sie starten den SAProuter wie im Abschnitt SAProuter starten [Seite 17] beschrieben.

4. Pflegen Sie die Route-Permission-Tabelle [Seite 23] im Verzeichnis /usr/sap/saprouter. Wollen Sie sie in einem anderen Verzeichnis oder unter einem anderen Namen als saprouttab aufbewahren, so müssen Sie dies mit der SAProuter-Option -R festlegen (siehe Option -R <routtab> [Seite 61]).

Installation unter Windows Voraussetzungen Sie haben die neueste Version von SAProuter vom SAP Service Marketplace (http://service.sap.com/patches) geholt (vgl. Installation von SAProuter [Seite 12]) und die zugehörige Datei README gelesen.

Die SAProuter Version darf nicht unter 23 sein.

Vorgehensweise ...

1. Legen Sie das Unterverzeichnis saprouter im Verzeichnis <laufwerk>:\usr\sap an.

2. Holen Sie sich die neueste Version des SAProuter vom SAP Service Marketplace. Beachten Sie bitte die zugehörige Datei README in dem Paket. Kopieren Sie sich die Executables saprouter.exe und niping.exe in das neu angelegte Verzeichnis.

Sollte kein SAProuter vorhanden sein, können Sie sich eine (eventuell veraltete) Version aus Ihrem Verzeichnis <laufwerk>:\usr\sap\<SID>\SYS\exe\run holen.

srvany.exe3. Falls der SAProuter bereits mit als Service eingetragen wurde, entfernen Sie die Definition des Services aus der Registry und booten den Rechner neu.

4. Definieren Sie den Service mit dem folgenden Befehl: ntscmgr install SAProuter -b ...\saprouter\saprouter.exe -p “service -r <parameter>“

Beachten Sie bitte:

Die Punkte stehen für <laufwerk>:\usr\sap

<parameter> kann durch weitere Parameter ersetzt werden, mit denen SAProuter gestartet werden soll, vgl. SAProuter Optionen [Seite 52]). Wichtig ist, dass eventuelle Parameter zu der Zeichenkette gehören, die von doppelten Anführungszeichen umgeben ist.

5. Definieren Sie die allgemeinen Eigenschaften des Service: In Control Panel → Services setzen Sie den Startup Type auf “automatic” und tragen einen Benutzer ein. Der SAProuter sollte nicht unter dem SystemAccount laufen.

6. Um die Fehlermeldung “The description for Event ID (0)” im Windows NT Eventlog zu vermeiden, müssen Sie in der Registry noch folgendes eintragen: Legen Sie unter HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Services → Eventlog → Application den Key saprouter an und definieren darunter die folgenden Values:

EventMessageFile (REG_SZ): ....\saprouter\saprouter.exe

TypesSupported (REG_DWORD): 0x7

SAProuter 7.10 15


Diese Einstellungen sind für den Betrieb von SAProuter nicht erforderlich; sie dienen nur dazu, dass im Eventlog die Fehlermeldungen detailliert angezeigt werden.

Pflegen Sie die Route-Permission-Tabelle [Seite 23] im system32 Verzeichnis von Windows. Wollen Sie sie in einem anderen Verzeichnis oder unter einem anderen Namen als saprouttab aufbewahren, so müssen Sie dies mit der SAProuter-Option -R festlegen (siehe Option -R <routtab> [Seite 61]).

Installation unter System i Voraussetzungen Sie haben die neueste Version von SAProuter vom SAP Service Marketplace geholt (vgl. Installation von SAProuter [Seite 12]) und die zugehörige Datei README gelesen.

Vorgehensweise Spielen Sie die Programme SAPROUTER und NIPING in eine separate Bibliothek (z.B. SAPROUTER) ein. ...

1. Melden Sie sich als <SID>ADM an der System i Maschine an.

2. Legen Sie eine Bibliothek an: CRTLIB <Bibliotheksname>

3. Legen Sie eine Sicherungsdatei SAPROUTER an: CRTSAVF <Bibliotheksname>/SAPROUTER

4. Legen Sie eine Sicherungsdatei NIPING an: CRTSAVF <Bibliotheksname>/NIPING

5. Holen Sie sich die Programme SAPROUTER.SVF und NIPING.SVF per Download vom SAP Service Marketplace auf die lokale Platte im PC: ftp <System i>

cd QGPL

lcd <dir> (<dir> ist das Verzeichnis, in dem SAPROUTER.SVF und NIPING.SVF liegen)bin

put SAPROUTER.SVF SAPROUTER

put NIPING.SVF NIPING

quit

6. Stellen Sie die SAPROUTER- oder NIPING-Objekte wieder her. Verwenden Sie dazu den Befehl APYR3FIX wie in SAP-Hinweis 49365 beschrieben und dabei für den Parameter KRNLIB die Bibliothek, die Sie oben angelegt haben.

/usr/sap/saprouter7. Legen Sie das Verzeichnis an.

8. Die entsprechende Route-Permission-Tabelle [Seite 23] müssen Sie unter /usr/sap/saprouter/saprouttab pflegen (vgl.Anlegen einer Route Permission Tabelle [Seite 22]).

SAProuter 7.10 16


Weitere Informationen SAProuter starten [Seite 17]

SAProuter bedienen und konfigurieren Dieses Kapitel beschreibt, wie Sie SAProuter starten, testen und konfigurieren.

In einzelnen werden die folgenden Aufgaben beschrieben.

Bedienung SAProuter starten [Seite 17]

Grundfunktionen testen [Seite 18]

Route Strings eingeben [Seite 20]

Konfiguration Route Permission Tabelle anlegen [Seite 22]

Logging im SAProuter einrichten [Seite 28]

Weitere Informationen SAProuter Optionen [Seite 52]

Fehlerdiagnose [Seite 30]

SAProuter starten Voraussetzungen Vor dem Einsatz von SAProuter sollten Sie die Grundfunktionen testen.

Weitere Informationen: Testen der SAProuter Grundfunktionen [Seite 18]

Vorgehensweise So starten Sie SAProuter:

Geben Sie im Eingabefeld saprouter -r ein (System i: Geben Sie im Eingabefeld saprouter '-r' möglichst im Batch-Modus ein).

Dieser Befehl startet SAProuter. Die zulässigen Verbindungen sind in der Route-Permission-Tabelle saprouttab abgelegt.

Sie können SAProuter automatisch beim Hochfahren des Systems starten. Unter UNIX beispielsweise ändern Sie Ihre Datei /etc/rc entsprechend.

Wenn Sie sehr viele Verbindungen über den SAProuter laufen lassen wollen (mehr als 1000), können Sie den SAProuter mit der Option -r -Y <n> [Seite 66] starten und mit der Option -C <clients> [Seite 64] die maximale Anzahl der Clients auf 2000 setzen: saprouter -r -Y 0 -C 2000

SAProuter 7.10 17


Dann wird immer, wenn die Client-Tabelle überläuft, automatisch ein neuer SAProuter nachgestartet, über den neue Verbindungen gehen.

Die folgende Tabelle enthält die wichtigsten SAProuter-Befehle und ihre Bedeutung.

Befehl Bedeutung saprouter Zeigt eine vollständige Liste der SAProuter-Parameter

am Bildschirm an

saprouter -r (System i: saprouter '-r')

Startet SAProuter

saprouter -s (System i: saprouter '-s')

Stoppt laufenden SAProuter

Weitere Informationen Route Permission Tabelle anlegen [Seite 22]

SAProuter Optionen [Seite 52]

Grundfunktionen testen Voraussetzungen Vor dem Einsatz von SAProuter sollten Sie testen, ob es Netzwerkprobleme gibt.

Um die Grundfunktionen des SAProuters zu testen, benötigen Sie die Programme saprouter und niping sowie drei offene Fenster (Shells) auf einem oder mehreren Rechnern.

Vorgehensweise nipingDie folgende Tabelle zeigt das Testszenario bei Verwendung von :

Im Fenster 1 läuft der SAProuter, im Fenster 2 der Server und im Fenster 3 der Client.

UNIX/Windows

Fenster 2 (host2) Fenster 1 (host1) Fenster 3 (host3) niping -s niping -c -H host2 ohne SAProuter

niping -s saprouter -r niping -c -H /H/host1/H/host2

mit SAProuter

System i

Fenster 2 (host2) Fenster 1 (host1) Fenster 3 (host3) call niping '-s' call niping '-c' '-H'

'host2' ohne SAProuter

call niping '-s' saprouter '-r' call niping '-c' '-H' '/H/host1/H/host2'

mit SAProuter

Schritte ...

1. Starten Sie den SAProuter im Fenster 1 (auf host1). Geben Sie dazu folgenden Befehl ein:

SAProuter 7.10 18


UNIX/Windows: saprouter -r System i: saprouter '-r'

Dieser Befehl ruft SAProuter ohne Parameter auf.

Eine vollständige Liste der SAProuter-Befehle finden Sie im Kapitel SAProuter Optionen [Seite 52] oder auch in der Online-Hilfe. Um die Online-Hilfe aufzurufen, geben Sie saprouter ein.

2. Im Fenster 2 (host2 niping) starten Sie das Testprogramm , um einen Testserver zu emulieren. Geben Sie folgenden Befehl ein:

UNIX/ Windows: niping -s

System i: call niping '-s'

Eine vollständige Liste der niping-Befehle finden Sie auch in der Online-Hilfe. Um die Online-Hilfe aufzurufen, geben Sie niping ein.

3. In Fenster 3 (host3) starten Sie das Testprogramm niping, um einen Client zu emulieren. Geben Sie folgenden Befehl ein:

UNIX/ Windows: niping -c -H host2

System i: call niping '-c' '-H' 'host2'

Dieser Befehl testet die Verbindung ohne SAProuter, d.h., direkt zwischen host2 und host3.

4. In Fenster 3 starten Sie das Testprogramm niping noch einmal mit folgendem Befehl:

UNIX/ Windows: niping -c -H /H/host1/H/host2

System i: call niping '-c' '-H' '/H/host1/H/host2'

Dieser Befehl testet die Verbindung mit dem SAProuter. Ein Hostname wird als Route interpretiert (über einen oder mehrere SAProuter zum Server), wenn dem Hostnamen /H/ vorangestellt ist (siehe Route Strings [Seite 21]).

In den Schritten 3 und 4 werden Datenpakete an den Server geschickt, und der Server schickt die Datenpakete zurück. In Schritt 3 sollten die Datenpakete häufiger an den Server geschickt werden, da mehr Prozessänderungen stattfinden.

So führen Sie einen Selbsttest für den lokalen Host durch:

Geben Sie den Befehl niping -t ( System i: call niping '-t') ein.

Eine Liste mit Funktionsnamen, Parametern und Return-Codes wird angezeigt. Wenn der Selbsttest erfolgreich war, erscheint die Nachricht

*** SELFTEST O.K. ***

nipingSie können sich einen Überblick über die möglichen Optionen von

verschaffen, indem Sie niping ohne Parameter eingeben.

SAP-Hinweis 500235 enthält eine umfassende Dokumentation des Werkzeugs niping.

Weitere Informationen Route Strings für SAProuter eingeben [Seite 20]

Route Permission Tabelle anlegen [Seite 22]

NI Netzwerkschnittstelle [Seite 8]

SAProuter 7.10 19


Route Strings eingeben Verwendung Ein Route-String beschreibt eine gewünschte Verbindung zweier Hosts über einen oder mehrere SAProuter. Jeder dieser SAProuter prüft dann anhand seiner Route-Permission-Tabelle [Seite 23], ob die Verbindung zwischen seinem Vorgänger und seinem Nachfolger erlaubt ist und stellt sie in diesem Falle her.

Vorgehensweise Die Eingabe von Route Strings lässt sich am besten anhand eines Beispiels illustrieren.

Die folgende Abbildung zeigt ein Beispiel für eine Verbindung zwischen SAP und einem Kundensystem. In diesem Beispiel möchte sich ein SAP-Service-Mitarbeiter, der auf sappc arbeitet, an einem Kundenapplikationsserver yourapp sapsrv anmelden, der den Service anbietet oder verwendet.

Kunden-LAN

WAN (Internet)

SAP-LAN

sappc

your_routsap_rout

yourapp

sapsrv

Der SAP-Service-Mitarbeiter meldet sich am SAP-System an und stellt über den SAProuter auf sap_rout your_rout und den SAProuter des Kunden eine Verbindung zwischen sappc yourapp und her.

your_rout benötigt das Kennwort pass_to_app yourapp für Verbindungen mit .

So sieht der Route-String aus: /H/sap_rout/H/your_rout/W/pass_to_app/H/yourapp/S/sapsrv

Dieser Route-String wird von den beteiligten SAProutern wie folgt interpretiert:

Host/Adresse Service/Port Kennwort

/H/sap_rout /S/<default> <kein Kennwort> Substring 1

/H/your_rout /S/<default> /W/pass_to_app Substring 2

/H/yourapp /S/sapsrv Substring 3

SAProuter 7.10 20


Die Verbindung von sappc zum Anwendungsserver wird in folgenden Stufen hergestellt:

sappc (Frontend) Baut die Verbindung zum SAProuter sap_rout gemäß Substring 1 auf und gibt die Routeninformation weiter.

sap_rout (SAProuter auf SAP-Seite)

Prüft anhand der Route-Permission-Tabelle, ob die Route “sappc zu your_rout 3299“ erlaubt ist, baut die Verbindung zum Kunden-SAProuter auf dem Host your_rout auf und übergibt Substring 2 und 3.

your_rout (SAProuter auf Kundenseite)

Prüft, ob die Route "sap_rout zu yourapp, sapsrv" erlaubt ist. Das Kennwort pass_to_app wird ebenfalls geprüft. SAProuter baut dann die Verbindung zum Anwendungsserver auf.

Ein SAProuter prüft immer nur den vorherigen Hostnamen oder die vorherige IP-Adresse und den nächsten Substring (/H/.../S/.../W/...) auf Hostnamen oder IP-Adresse, Service und Kennwort. Im letzten Substring steht kein Kennwort, da es ja keinen Nachfolger in der Route mehr gibt.

Wenn der Teil /S/ fehlt, wird die Default-Portnummer des SAProuter verwendet. Wenn der Teil /W/ fehlt, wird kein Kennwort verwendet.

Mit der alten Kennworteingabe würde der obige Route-String so aussehen: /H/sap_rout/H/your_rout/H/yourapp/S/sapsrv/P/pass_to_app

Beachten Sie, dass der Hostname (der in dem Route-String auf das /H/ folgt) aus technischen Gründen mindestens 2 Zeichen lang sein muss!

Weitere Informationen Route Strings [Seite 21]

Route-Permission-Tabelle [Seite 23]


Route Strings Definition Ein Route String beschreibt die Stationen einer gewünschten Verbindung zweier Hosts. Ein Route String hat die Syntax

(/H/host/S/service/W/pass)*,

. d. h. er besteht aus beliebig vielen Substrings der Form /H/host/S/service/W/pass

H, S und W müssen Großbuchstaben sein!

Struktur Ein Route-String enthält einen Substring für jeden SAProuter und für den Zielserver.

SAProuter 7.10 21


Jeder Substring enthält die Information, die SAProuter benötigt, um eine Verbindung in der Route herzustellen: den Hostnamen, den Portnamen und das Kennwort, falls eines mitgegeben wurde.

Syntax für Substrings:

● /H/ kennzeichnet den Hostnamen

Beachten Sie, dass der Hostname aus technischen Gründen mindestens 2 Zeichen lang sein muss!

● /S/ dient zur Angabe des Services (Ports); die Angabe ist optional, Defaultwert ist 3299

● /W/ kennzeichnet das Kennwort für die Verbindung vom Vorgänger und dem Nachfolger auf der Route und ist ebenfalls optional (Default ist “”, kein Kennwort)

Bei früheren Releases (<4.0A) erfolgte die Kennworteingabe einen Substring später und mit dem Buchstaben /P/.

Neu: /H/saprouter/W/pass/H/zielserver

Alt: /H/saprouter/H/zielserver/P/pass

pass saprouter das Kennwort, das der SAProuter auf dem Host (Hierbei ist überprüft, um die Verbindung vom Quellhost zum Zielhost herzustellen oder zu verbieten.)

Aufgrund der Abwärtskompatibilität ist die alte Form der Kennworteingabe immer noch möglich.

Weitere Informationen Route Strings eingeben [Seite 20]


Route-Permission-Tabelle anlegen Eine Route-Permission-Tabelle können Sie mit einem Standard-Texteditor anlegen.

Sie müssen für jeden SAProuter in Ihrem Netzwerk eine eigene Route-Permission-Tabelle anlegen.

Wenn dem SAProuter keine bestimmte Route-Permission-Tabelle zugeordnet wurde, wird unter UNIX und System i ./saprouttab angenommen, unter Windows wird nach der Datei saprouttab Arbeitsv im erzeichnis des SAProuters <lwk>:\usr\sap\saprouter gesucht.. Wenn diese Datei nicht verfügbar ist, beendet sich SAProuter mit einer entsprechenden Meldung.

Vorgehensweise Legen Sie die Datei im entsprechenden Verzeichnis an. Die Syntaxbeschreibung finden Sie unter Route-Permission-Tabelle [Seite 23].

Sie können generische Einträge (“*”) in Hosts, Ports und Kennwörtern verwenden.

Sie können Unternetzwerke in Hostrouten verwenden.

SAProuter 7.10 22


Eintrag in der Route-Permission-Tabelle

Bedeutung

156.56.*.* Alle Hostadressen, die mit 156.56 beginnen

133.27.17.* Alle Hostadressen, die mit 133.27.17 beginnen

133.27.16.0/24 Alle Hostadressen, die mit 133.27.16 beginnen (0/24 am Ende bedeutet, dass sie ersten 24 Bit relevant sind, also die ersten drei Blöcke)

156.56.1011xxxx.* Alle Hostadressen von 156.56.176.* bis 156.56.191.*.

(Binäre Interpretation des dritten Byte der Adresse. ‘x’ ist ein frei wählbarer binärer Wert (1 oder 0).)

Beispiele Sie können ein Beispiel einer Route-Permission-Tabelle am Bildschirm anzeigen. Rufen Sie dazu die SAProuter-Online-Hilfe auf, indem Sie saprouter eingeben.

Weitere Beispiele für Route-Permission-Tabellen finden Sie in folgenden Abschnitten.

Beispiel einer Route-Permission-Tabelle [Seite 26]

Beispiel einer Route-Permission-Tabelle mit SNC [Seite 27]


Eingabe von Route Strings für SAProuter [Seite 20]


Route-Permission-Tabelle Definition Die Route-Permission-Tabelle enthält die Hostnamen und Portnummern des Vorgänger- und Nachfolgerpunktes der Route (aus Sicht des SAProuters) sowie die Kennwörter, die für die Herstellung der Verbindung erforderlich sind (entspricht einem Substring, vgl. Route Strings [Seite 21]). Mit ihr wird festgelegt, welche Verbindungen SAProuter erlaubt und welche er verbietet. Des weiteren wird hier festgelegt, ob und welche SNC-Verbindungen aufgebaut werden.

Struktur Standard-Einträge Standardeinträge in einer Route-Permission-Tabelle sehen so aus: P/S/D <source-host> <dest-host> <dest-serv> <Kennwort>

<source-host> <dest-host> und SAProuter sein. Hier könnten

SAProuter 7.10 23


Im Folgenden werden die Elemente eines Tabelleneintrags beschrieben.

Handhabung der Verbindung: P/S/D

Für den Zeilenanfang gibt es folgende Möglichkeiten:

● P(ermit) veranlasst SAProuter, die Verbindung aufzubauen. P(ermit)-Einträge können ein Kennwort enthalten. SAProuter überprüft, ob dieses Kennwort mit dem vom Client gesendeten Kennwort übereinstimmt.

Direkt nach dem P kann man auch noch angegeben, wieviele SAProuter höchstens vor und nach diesem auf der Route sein dürfen, damit die Verbindung zugelassen wird: Pv,n - hierbei steht v für die maximale Anzahl von SAProutern vor diesem, n für die max. Anzahl von SAProutern nach diesem auf der Route.

● S(ecure) erlaubt nur Verbindungen mit SAP-Protokoll [Seite 9]; Verbindungen mit anderen Protokollen (etwa TCP) werden nicht zugelassen.

Mit Sv,n können Sie wie bei P die Anzahl von Vorgängern und Nachfolgern auf der Route bestimmen.

● D(eny) verhindert den Aufbau der Verbindung.

● Sie können auch Kommentarzeilen hinzufügen, die mit ‘#’ beginnen müssen.

Ausgangsrechner <source host>

Dieses Element bezeichnet den Rechner, von dem die Verbindung herkommt (aus Sicht des SAProuters). Hier kann ein Hostname, eine IP-Adresse oder ein IP-Subnetz stehen (vgl. Route- Permission-Tabelle anlegen [Seite 22]).

Zielrechner <dest-host>

Dieses Element bezeichnet den Rechner, zu dem die Verbindung hingehen soll (aus Sicht des SAProuters). Hier kann ein Hostname, eine IP-Adresse oder ein IP-Subnetz stehen.

Ziel-Port <dest-serv>

Dieses Element bezeichnet den Port (Service) des Zielrechners <dest-host>, zu dem die Verbindung gehen soll. Hier können Sie auch Bereiche von Ports (Port-Ranges) angeben, in dem Sie die beiden Ports, die den Port-Bereich eingrenzen, durch einen Punkt getrennt angeben: Hat <dest-serv> etwa den Wert 3200.3298, sind Verbindungen zum Zielserver auf allen Ports zwischen 3200 und 3298 gemeint.

<source-host>Wenn ein Client des über einen SAProuter eine Verbindung

zu <dest-host> <dest-serv> aufnehmen möchte, prüft der SAProuter die Route-Erlaubnis, bevor die Verbindung hergestellt wird. Wenn das Kennwort und die Route, die SAProuter empfangen hat, mit den Einträgen in der Route-Permission-Tabelle übereinstimmen, stellt SAProuter die Verbindung her. Ansonsten stellt SAProuter die Verbindung nicht her und gibt die Meldung Route permission denied aus.

Weitere Informationen:

Beispiel einer Route-Permission-Tabelle [Seite 26]

Fehler erkennen und beheben [Seite 30]

SNC-Einträge SNC-Einträge fangen immer mit dem Buchstaben K (wie key) an.

Es sind zwei Arten von SNC-Einträgen zu unterscheiden: ...

1. KT-Einträge (Key Target)

SAProuter 7.10 24


Hiermit wird entschieden, welche Verbindungen SNC-Verbindungen sein sollen. Das kann sowohl für eingehende als auch für ausgehende Verbindungen (von diesem SAProuter aus gesehen) festgelegt werden.

...

a. Eingehende Verbindungen

Die Syntax ist KT <SNCname src-host> <src-host> <src-serv>.

Das heißt, dass Verbindungen, die von dem Host <src-host> <src-serv> mit dem SNC-Namen <SNCname src-host> kommen, SNC-Verbindungen sein sollen.

Hiermit kann der Kunde z. B. festlegen, dass Serviceverbindungen von SAP zu ihm SNC-Verbindungen sein müssen.

b. Ausgehende Verbindungen

Sie haben die Syntax KT <SNCname dest-host> <dest-host> <dest-serv>. Das bedeutet, dass Verbindungen, die von dem SAProuter zu <dest-host> <dest-serv> mit dem SNC-Namen <SNCname> gehen, SNC-Verbindungen sein sollen.

Damit SNC-Verbindungen überhaupt möglich sind, müssen die entsprechenden SAProuter mit der Option -K gestartet worden sein, und die Route-Permission-Tabelle muss den entsprechenden KT-Eintrag enthalten!

2. KD-, KP- und KS-Einträge

Sie haben die folgende Syntax: K<D/P/S> <SNCname source-host> <dest-host> <dest-serv> <Kennwort>. Das bedeutet, dass die (verschlüsselte) SNC-Verbindung von <SNCname source-host> über SAProuter nach <dest-host> <dest-serv> genau dann aufgebaut wird, wenn im Route String das korrekte <Kennwort>. enthalten ist.

Weitere Informationen: Beispiel einer Route-Permission-Tabelle mit SNC [Seite 27]

Auswertung der Route-Permission-Tabelle Bei der Auswertung der Route-Permission-Tabelle durch den SAProuter sind folgende Regeln zu beachten:

First Match

Der erste Eintrag in der Route-Permission-Tabelle, für den Quell-Adresse, Ziel-Adresse und Ziel-Port passen, ist maßgebend; d. h. im obigen Beispiel einer Route-Permission-Tabelle, dass die Verbindung von host1 nach host2 serviceX, Service nicht erlaubt ist (wegen des ersten Eintrags), obwohl gemäß dem dritten Eintrag alle Verbindungen mit Service serviceX erlaubt sind.

No match

Existiert für einen Route String kein passender Eintrag in der Tabelle, wird die Verbindung zurückgewiesen. Das Verhalten ist so, als wäre die letzte Zeile ein

D * * *.

Ausnahme bei Wildcards

Wenn nach dem SAProuter kein weiterer SAProuter auf der Route kommt (z. B. Frontend) und der Service kein SAP-Service (kein SAP-Protokoll) ist, funktioniert die Wildcard (“*”) bei dem Service nicht. Die Verbindung wird nur erlaubt, wenn der Nicht-SAP-Service explizit angegeben wird; würde im obigen Beispiel statt telnet ein * stehen und der SAProuter wäre der letzte auf der Route, so würde die telnet-Verbindung nicht zustande kommen.

SAProuter 7.10 25


Sicherheitshinweis Aus Sicherheitsgründen empfiehlt SAP, in P- oder S-Zeilen der Route-Permission-Tabelle keine Wildcards (*) für den Zielrechner (<dest-host>) und den Zielport (<dest-serv>) zu verwenden. Enthält die Tabelle solche Zeilen, gibt SAProuter eine Warnmeldung aus:

WARNING: wildcard character used in route target


SAProuter Route Permission [Externe Dokumentation] im Implementierungsteil

Beispiel einer Route-Permission-Tabelle Eine Route-Permission-Tabelle könnte etwa so aussehen:

D host1 host2 serviceX

D host3

P * * 3200.3298

P 155.56.*.* 155.56.*.*

P 155.57.1011xxxx.*

P host4 host5 * pass

S host6

P host7 host8 telnet

P*,0 * * gui

Das bedeutet:

● keine Routen von host1 nach host2, Service serviceX zulassen

● keine Routen, die von host3 ausgehen, zulassen

● alle Routen an Serverprozesse durchlassen, die einen Service im Bereich 3200 bis 3298 verwenden

● alle Routen innerhalb Subnetz 155.56.0.0/16 zulassen

● alle Routen, die von Subnetz 155.57.1011xxxx ausgehen, zulassen (das letzte Byte ist als Binärzahl geschrieben, jedes “x” steht also für 0 oder 1)

● alle Routen von host4 nach host5 pass zulassen, falls Kennwort korrekt

● alle Routen von host6, aber nur SAP-Protokoll

● native Protokoll-Routen (TCP/IP) von host7 nach host8 zum Nicht-SAP-Server telnet

● alle Verbindungen zu Nicht-SAProutern (nach diesem darf keiner mehr auf der Route sein), falls Kennwortes gui korrekt

Im obigen Beispiel im Kapitel Route Strings eingeben [Seite 20] müsste die Route-Permission-Tabelle des Hosts saprouter den Eintrag

SAProuter 7.10 26


P sappc your_rout

enthalten, und die Route-Permission-Tabelle des Hosts yoursaprouter müsste den Eintrag

P saprouter yourapp sapsrv pass_to_app

enthalten.

Weitere Informationen Beispiel einer Route-Permission-Tabelle mit SNC [Seite 27]

Route-Permission-Tabelle [Seite 23]

Beispiel einer Route-Permission-Tabelle mit SNC Eine Route-Permission-Tabelle mit Verwendung von SNC könnte so aussehen.

P * * * pass

KT S:SR@host4 host4 3333

KT S:SR@host9 host9 *

KD S:SR@host4 host9 *

KP S:SR@host4 * * pass2

KS * host10 4444

KP * * *

Das bedeutet:

● alle Verbindungen durchlassen, wenn Kennwort pass korrekt angegeben wird

● Verbindungen von diesem SAProuter zu host4 (SNC-Name S:SR@host4), Service 3333, sollen SNC-Verbindungen sein

● Verbindungen von host9 (SNC-Name s:SR@host9) zu diesem SAProuter sollen SNC-Verbindungen sein

● Eine SNC-Verbindung von SR@host4 host9 über diesen SAProuter nach soll nicht aufgebaut werden

● Eine SNC-Verbindung von S:SR@host4 über diesen SAProuter wird zugelassen (Zielhost beliebig), wenn das Kennwort pass2 korrekt ist (es sei denn, die Verbindung soll nach host9 gehen, denn die ist nach dem vorigen Eintrag verboten - der erste “passende” Eintrag ist maßgeblich!)

● alle SAP-SAP-Verbindungen (d. h. NI-Protokoll) nach host10 4444, Service , die als SNC-Verbindungen hereinkommen, werden als Nicht-SNC-Verbindungen an host10 (kein SNC-Host) weitergeleitet.

● Alle SNC-Verbindungen (auf die die vorigen Einträge nicht passen) sind erlaubt.


Route Permission Tabelle anlegen [Seite 22]

SAProuter 7.10 27


Logging im SAProuter einrichten Verwendung Um einen Überblick über die Funktion und Auslastung des SAProuters zu bekommen, kann dieser ein Log führen, wo die Verbindungen und Aktionen über den SAProuter protokolliert werden.

Vorgehensweise Sie konfigurieren das Logging mittels der Option -G<logfile> [Seite 61]. Hier legen Sie den Namen der Protokolldatei fest sowie den Ort, wo diese angelegt werden soll.

Aufbau der Protokolldatei Die Protokolldatei ist zeilenweise aufgebaut. Jede Zeile enthält folgenden Inhalt.

● Datum und Uhrzeit: Wochentag, Monat, Tag, Uhrzeit, Jahr

● Aktion: Mögliche Aktionen sind INIT LOGFILE (Begin der Protokolldatei), READ ROUTTAB (Einlesen der Route-Permission-Tabelle [Seite 23]), CONNECT FROM/TO (Verbindungsaufbau von/nach), DISCONNECT (Verbindungsabbau durch), PERM DENIED (Verbindung nicht zugelassen nach Route-Permission-Tabelle).

<C|S>n/mNach der Aktion steht immer ein so genanntes Handle-Paar , wobei der Buchstabe besagt, ob die Aktion vom Client oder vom Server initiiert wurde und die beiden Zahlen die internen NI-Handle-Nummern sind.

Zum Beispiel das Handle-Paar 'C1/2' besagt, dass sich dieser Log auf die Verbindung mit Handle 1 zum Client hin (die erste Zahl) und Handle 2 zum Server hin (zweite Zahl) bezieht. Das C davor bedeutet, dass die Aktion vom Client initiiert wurde. Ein CONNECT FROM C wird daher immer mit geschrieben, ein CONNECT TO S mit . Bei einem DISCONNECT wird jene Seite angegeben, welche die Verbindung zugemacht hat. Die IP-Adresse und Port beziehen sich immer auf die Gegenseite (Peer) der Verbindung. Ein Log mit einem Handle-Paar C1/- bedeutet, dass noch keine serverseitige Verbindung von dem Paar existiert.

Im folgenden Beispiel werden die wichtigsten Protokolleinträge beschrieben.

Beispiel Aktionen Angenommen, das Logging wurde aktiviert und dann wurden folgende Aktionen über den SAProuter ausgeführt. Der SAProuter steht zwischen den physikalischen Hosts ldp007 mit der IP-Adresse 10.21.72.60 und binmain (IP-Adresse 10.21.82.77). ...

1. Aufbau einer Verbindung von dem Rechner ldp007 (10.21.72.60) zum Rechner binmain (10.21.82.77) mit Port sapmsBIN, welche vom Client wieder geschlossen wird

2. Lokaler SAProuter-Aufruf vom Administrator, um die Verbindungsliste anzuzeigen (saprouter -l)

3. Aufbau einer Verbindung von dem Rechner ldp007 (10.21.72.60) zum selben Rechner ldp007 mit Port 3298, welche vom Server geschlossen wird

4. Versuchter Verbindungsaufbau vom Rechner ldp007 (10.21.72.60) zum selben Rechner mit Telnet-Port 23, welcher von dem SAProuter abgewiesen wird

SAProuter 7.10 28


Route-Permission-Tabelle Die Route-Permission-Tabelle in diesem Beispiel erlaubt Verbindungen von einem beliebigen Host zum Host 10.21.82.77, Port sapmsBIN sowie zum Host 10.21.72.60, Port 3298:

P * 10.21.82.77 sapmsBIN

P * 10.21.72.60 3298

Protokolldatei Die Protokolldatei würde nach diesen Aktionen so aussehen (die Zeilennummern werden nicht ausgegeben, sondern sind zur Beschreibung hinzugefügt):

(1) Wed Dec 7 13:13:59 2005 INIT LOGFILE

(2) Wed Dec 7 13:13:59 2005 READ ROUTTAB ./saprouttab o.k.

(3) Wed Dec 7 13:14:05 2005 CONNECT FROM C1/- host 10.21.72.60/1245 (ldp007.wdf.sap.corp)

(4) Wed Dec 7 13:14:05 2005 CONNECT TO S1/2 host 10.21.82.77/sapmsBIN (binmain)

(5) Wed Dec 7 13:14:05 2005 DISCONNECT C1/2 host 10.21.72.60/1245 (ldp007.wdf.sap.corp)

(6) Wed Dec 7 13:14:13 2005 CONNECT FROM C2/- host 127.0.0.1/44997 (localhost)

(7) Wed Dec 7 13:14:13 2005 SEND INFO TO C2/-

(8) Wed Dec 7 13:14:13 2005 DISCONNECT C2/- host 127.0.0.1/44997 (localhost)


(10) Wed Dec 7 13:14:23 2005 CONNECT TO S2/1 host 10.21.72.60/3298 (ldp007)

(11) Wed Dec 7 13:14:24 2005 DISCONNECT S2/1 host 10.21.72.60/3298 (ldp007)


(13) Wed Dec 7 13:14:31 2005 PERM DENIED C2/- host 10.21.72.60 (ldp007.wdf.sap.corp) to ldp007/23

(14) Wed Dec 7 13:14:31 2005 DISCONNECT C2/- host 10.21.72.60/1352 (ldp007.wdf.sap.corp)

Bedeutung Im Detail haben die einzelnen Zeilen folgende Bedeutung.

Zeile(n) Bedeutung

(1), (2) Die ersten beiden Zeilen stehen immer zu Anfang der Protokolldatei. Die erste markiert den Beginn, die zweite bedeutet, dass die Route-Permission-Tabelle [Seite 23] erfolgreich eingelesen wurde.

(3), (4) Der Client (Host 10.21.72.60, Port 1245) verbindet sich mit dem SAProuter und kann sich über diesen mit Host 10.21.82.77, Port sapmsBIN verbinden, weil diese Verbindung laut Route-Permission-Tabelle erlaubt ist.

SAProuter 7.10 29


(5) Die Verbindung zwischen Host 10.21.72.60, Port 1245 und Host 10.21.82.77, Port sapmsBIN wird vom Client geschlossen.

(6) Auf dem lokalen Rechner (IP-Adresse 127.0.0.1, Port 44997) wurde die Anzeige der Verbindungsliste aufgerufen (saprouter –l), dazu wird die Verbindung mit dem SAProuter hergestellt.

(7) Der SAProuter sendet dem Client die gewünschte Verbindungsinformation.

(8) Die Verbindung wird wieder geschlossen. Da es sich nicht um eine Client/Server-Verbindung über SAProuter handelt, wird die Verbindung vom SAProuter geschlossen.

(9), (10) Der Client Host 10.21.72.60, Port 1276 will sich über den SAProuter mit dem Server 10.21.72.60, Port 3298 verbinden, was nach Route-Permission-Tabelle erlaubt ist. Der SAProuter baut die Verbindung auf.

(11) Die Verbindung wird (vom Server aus) wieder geschlossen.

(12), (13) Der Client Host 10.21.72.60, Port 1352 will sich über den SAProuter mit dem Server 10.21.72.60, Port 23 (telnet) verbinden, was nach Route-Permission-Tabelle verboten ist. Der SAProuter gibt „Permission denied“ zurück.

(14) Die Verbindung wird vom SAProuter geschlossen. (Bei nicht erlaubten Verbindungen und in Fehlersituationen schließt der SAProuter die Verbindungen.)

Fehler erkennen und beheben Verwendung Tritt während des Betriebs von SAProuters ein Fehler auf, so wird vom Client des SAProuter eine Fehlermeldung angezeigt. Anhand derer können Sie Rückschlüsse auf die Fehlerursache ziehen und den Fehler beheben.

Voraussetzungen Weitere wichtige Informationen zur Fehlerbehebung können Sie der Log-Datei (Protokolldatei) entnehmen. Hierzu muss das Logging im SAProuter [Seite 28] eingerichtet sein (Option -G<logfile> [Seite 61]).

Vorgehensweise Grenzen Sie den Fehler ein auf eine der folgenden Fehlergruppen:

● Fehler beim Verbindungsaufbau

● Verbindungsabbrüche

● Sonstige / Seltene Fehler

Sie können auch den Fehlertext in die Volltextsuche der Dokumentation eingeben, dann finden Sie den entsprechenden Abschnitt.

Wenn Sie den Fehler eingegrenzt haben, gehen Sie vor wie im entsprechenden Abschnitt beschrieben:

Fehler beim Verbindungsaufbau [Seite 35]

Verbindungsabbrüche [Seite 41]

Sonstige Fehler [Seite 44]

SAProuter 7.10 30


Weitere Informationen Tritt kein Fehler auf, können Sie dies auch der Log-Datei entnehmen. Die Einträge sind im Abschnitt Erfolgreicher Verbindungsaufbau und Datenübertragung [Seite 31] beschrieben.

Informationen zur Syntax der SAProuter-Fehlermeldungen und Beispiele für häufig auftretende Fehler finden Sie unter SAProuter Fehlermeldungen [Seite 33]

SAP-Hinweise Bei anderen Fehlermeldungen oder Problemen mit SAProuter können Sie im SAP-Hinweissystem unter der Komponente BC-CST-NI nach gelösten Problemen suchen.

Einschlägige Hinweise im SAProuter-Umfeld finden Sie im Abschnitt SAP-Hinweise zu SAProuter [Seite 51].

Erfolgreicher Verbindungsaufbau und Datenübertragung Erfolgt der Verbindungsaufbau und die Datenübertragung ohne Fehler, sehen Sie in der Log-Datei folgende Einträge

Betrieb ohne SNC Thu Jun 14 16:08:04 2007 CONNECT FROM C9/- host 10.66.66.90/19114 (host1.company.corp)

Thu Jun 14 16:08:04 2007 CONNECT TO S9/17 host 10.21.83.41/3299 (host2)

Thu Jun 14 16:08:06 2007 ESTABLISHED S9/17

Thu Jun 14 16:21:06 2007 DISCONNECT C9/17 host 10.66.66.90/19114 (host1.company.corp)

Thu Jun 14 14:28:40 2007 CONNECT FROM C19/- host 10.66.66.90/12127 (host1.company.corp)

Thu Jun 14 14:28:40 2007 CONNECT TO S19/11 host 10.21.72.60/3299 (host3), *** NATIVE ROUTING ***

Thu Jun 14 14:28:41 2007 ESTABLISHED S19/11 , *** NATIVE ROUTING ***

Thu Jun 14 14:58:43 2007 DISCONNECT S19/11 host 10.21.72.60/3299 (host3), *** NATIVE ROUTING ***

Betrieb mit SNC Beim Einsatz von SNC bei der Datenkommunikation zwischen zwei SAProutern wird zwischen zwei verschiedenen Mechanismen beim Verbindungsaufbau unterschieden.

SNC-Vorwärtsaufbau

Bei diesem Mechanismus wird die SNC-Verbindung bzw. SNC-Verschlüsselung von dem Client-seitigen SAProuter initiiert. Dass heißt, der SAProuter auf der Client-Seite hat in der Route-Permission-Tabelle für den Server-seitigen SAProuter einen SNC-Eintrag vom Typ KT und baut somit die Verbindung mit SNC auf. Der SNC-Name wird beim Aufbau der Verbindung zum Server-seitigen SAProuter mit in den Log "CONNECT TO" geschrieben. Der Log "ESTABLISHED" zeigt nach erfolgreichem Aufbau der Verbindung auf, zu welcher Seite über SNC kommuniziert wird.

Client-Seite

SAProuter 7.10 31



Thu Jun 14 17:13:25 2007 CONNECT TO S9/17 host 10.18.211.3/3299 (10.18.211.3) (p:CN=D039768, O=SAP-AG, C=DE)

Thu Jun 14 17:13:25 2007 ESTABLISHED S9/17 (-/SNC)


Server-Seite

Thu Jun 14 17:13:22 2007 CONNECT FROM C9/- host 10.18.211.3/1150 (host2)

Thu Jun 14 17:13:25 2007 CONNECT TO S9/17 host 10.66.66.91/3253 (binmain)

Thu Jun 14 17:13:25 2007 ESTABLISHED S9/17 (SNC/-)

Thu Jun 14 17:19:12 2007 DISCONNECT C9/17 host 10.18.211.3/1150 (host2)

SNC-Rückwärtsaufbau

SNC kann auch von dem Server-seitigen SAProuter initiiert werden. Dies ist der Fall, wenn die eingehende Verbindung von dem Client-seitigen SAProuter kein SNC nutzt (wie oben beschrieben), der Server-seitige SAProuter aufgrund der entsprechenden Einträge in der Route-Permission-Tabelle dies jedoch voraussetzt. In diesem Szenario wird nachträglich der SNC-Handshake von dem Server-seitigen SAProuter angestoßen. In dem Log auf der Client-Seite ist daher kein SNC-Name bei dem "CONNECT TO" Eintrag zu erkennen.

Client-Seite


Thu Jun 14 16:55:21 2007 CONNECT TO S9/17 host 10.18.211.3/3299 (10.18.211.3)

Thu Jun 14 16:55:21 2007 ESTABLISHED S9/17 (-/SNC)

Thu Jun 14 16:56:42 2007 DISCONNECT S9/17 host 10.18.211.3/3299 (10.18.211.3)

Server-Seite


Thu Jun 14 16:55:21 2007 CONNECT TO S9/17 host 10.66.66.91/sapdp53 (host4.company.corp)

Thu Jun 14 16:55:21 2007 ESTABLISHED S9/17 (SNC/-)

Thu Jun 14 16:56:42 2007 DISCONNECT S9/17 host 10.66.66.91/3253 (host4.company.corp)

Weitere Informationen Route-Verbindungen [Seite 10]


SAProuter 7.10 32


SAProuter Fehlermeldungen Eine SAProuter Fehlermeldung besteht aus acht oder mehr Zeilen, wobei nach einer oder zwei Zeilen eine Leerzeile eingefügt ist.

SAProuter Fehlermeldung LOCATION SapRouter on myhost

ERROR partner not reached

TIME Wed Jul 23 15:24:42 1997

RELEASE 700

COMPONENT NI (network interface)

VERSION 38

RC -100

COUNTER 1

Wichtig sind hierbei die ersten zwei Zeilen: ihnen kann entnommen werden,

● auf welchem Host der betroffene SAProuter überhaupt läuft (in diesem Beispiel myhost)

● in welchen Themenbereich der Fehler gehört (hier Verbindungsaufbau)

In diesem Beispiel kann der SAProuter die Verbindung zu seinem Partner nicht aufbauen. Es empfiehlt sich, nochmals die Verbindung zu überprüfen.

LOCATIONFehlt die -Angabe, so bezieht sich die Fehlermeldung auf ein lokales

Programm.

Die Informationen nach der Leerzeile sind vor allem für interne Fehler interessant; sollten Sie den Fehler nicht beheben können und sich daher mit SAP in Verbindung setzen, so kann die Detailinformation von Interesse sein.

Die wichtigsten Fehlermeldungen sind:

● Route permission denied: Die Verbindung ist nicht erlaubt und wird vom SAProuter nicht aufgebaut. Überprüfen Sie die Route-Permission-Tabelle und passen Sie sie gegebenenfalls an.

Weitere Informationen: Route-Permission-Tabelle prüfen [Seite 34]

● Maximum number of clients reached: Der SAProuter kann die Verbindung nicht aufbauen, weil der schon die maximale Anzahl an Verbindungen offen hat. Passen Sie das Maximum an oder starten Sie einen weiteren SAProuter.

Weitere Informationen: Mehr Verbindungen einrichten [Seite 34]

Weitere Informationen Fehler beim Verbindungsaufbau [Seite 35]

Verbindungsabbrüche [Seite 41]


SAProuter 7.10 33


Route-Permission-Tabelle prüfen Eine der häufigsten Fehlermeldungen ist die folgende:

LOCATION SapRouter on myhost

ERROR Route permission denied

TIME .....

.... ....

Eine Verbindung ist nicht zustande gekommen, weil der SAProuter die Route nicht erlaubt.

Vorgehensweise myhostÜberprüfen Sie die Route-Permission-Tabelle dieses SAProuter (auf dem Host )

sorgfältig und ändern Sie sie gegebenenfalls.

In welchem Working Directory der laufende SAProuter und die Route-Permission-Tabelle sich befinden, können Sie sich mit der Option -l / -L anzeigen lassen.

Denken Sie daran, dass der erste Eintrag in der Route-Permission-Tabelle, für den die Quell-Adresse, die Ziel-Adresse und der Ziel-Port passen, maßgebend ist!

Eine geänderte Route-Permission-Tabelle können Sie mit der Option -n (new saprouttab) einspielen.


Option -l / -L [Seite 58]

Option -n (new saprouttab) [Seite 55]

Mehr Verbindungen einrichten SAProuter akzeptiert eine Verbindung nicht und gibt folgende Fehlermeldung aus:

LOCATION SapRouter on myhost

ERROR maximum number of clients reached

TIME .....

.... ....

Dies bedeutet, dass SAProuter keinen weiteren Client aufnehmen kann, weil die max. Anzahl überschritten ist (Default 800). SAProuter läuft jedoch mit allen anderen Clients weiter.

Vorgehensweise Um SAProuter nicht neu starten (und damit alle bestehenden Vebindungen beenden) zu müssen, empfiehlt es sich, mit der Option -p einen Soft-Shutdown des SAProuters durchzuführen; er läuft dann auf einem anderen Port weiter. Auf dem alten Port kann dann SAProuter − eventuell mit einer höheren Anzahl von Clients − gestartet werden. Dieser nimmt dann wieder Clients auf.

SAProuter 7.10 34


Wenn Sie diesen Vorgang automatisieren möchten, können Sie den SAProuter mit der Option Option -Y <n> starten. Dann wird immer, wenn die Client-Tabelle überläuft, automatisch ein neuer SAProuter gestartet.

Weitere Informationen Option -p (Soft-Shutdown) [Seite 60]

Option -C <clients> [Seite 64]

Option -Y <n> [Seite 66]

Fehler beim Verbindungsaufbau Folgende Fehler können beim Verbindungsaufbau auftreten:

● Connect scheitert, da der Server nicht läuft

● TCP/IP Connect dauert zu lange (länger als Timeout -W)

● Aufbau der Route dauert zu lange (länger als Timeout -W)

● Keine Route-Permission für Verbindung

● Fehler auf dem nachfolgenden Host

Im Folgenden wird jeder dieser Fehler mit Lösungsmöglichkeit beschrieben.

Connect schlägt fehl (Server läuft nicht) In der Log-Datei sehen Sie folgende Einträge.

SAProuter-Log-Datei



Thu Jun 14 13:18:22 2007 CONNECT ERR S9/17 connection refused

Thu Jun 14 13:18:22 2007 DISCONNECT S9/17 host 10.66.66.91/3299 (host1)

Der Client gibt folgende Fehlermeldung aus.

SAProuter-Fehlermeldung

SAProuter 7.10 35


***********************************************************************

* LOCATION SAProuter 39.1 (SP3) on 'ld8060'

* ERROR partner '10.66.66.91:3299' not reached

*

* TIME Thu Jun 14 13:18:22 2007

* RELEASE 710

* COMPONENT NI (network interface)

* VERSION 39

* RC -92

* MODULE nixxi.cpp

* LINE 3068

* DETAIL NiPConnect2: 10.66.66.91:3299

* SYSTEM CALL connect

* ERRNO 111

* ERRNO TEXT Connection refused

* COUNTER 4

***********************************************************************

Hintergrund und weitere Analyse

Auf der Server-Seite läuft kein Programm, das in diesem Beispiel auf der IP-Adresse 10.66.66.91 und Port 3299 hört (LISTEN). Prüfen Sie, ob der Hostname bzw. die IP-Adresse sowie der Service-Name bzw. Port-Nummer richtig sind. Wenn ja, wird der richtige Server erreicht, jedoch scheint das Programm nicht zu laufen, zu dem die Verbindung aufgebaut werden soll. Überprüfen Sie, ob der SAProuter, das System oder entsprechende Programm auf dem Server läuft und den entsprechenden Port gebunden hat (OS Kommando netstat -an).

TCP/IP-Connect dauert zu lange (länger als Timeout -W) In der Log-Datei sehen Sie folgende Einträge:

SAProuter-Log-Datei



Thu Jun 14 13:22:06 2007 CONNECT ERR S10/18 could not establish connection within 5s




SAProuter 7.10 36


***********************************************************************


* ERROR connection to 1.1.1.1:3299 timed out

*

* TIME Thu Jun 14 13:22:06 2007

* RELEASE 710


* VERSION 39

* RC -5

* MODULE nirout.cpp

* LINE 6548

* DETAIL RTPENDLIST::timeoutPend: could not establish connection within

* 5s (ROUTED)

* COUNTER 6

***********************************************************************


In diesem Beispiel konnte die TCP/IP-Verbindung von dem SAProuter zu dem nächsten Knoten (der nächste SAProuter, ein System oder andere Netwerkkomponente) nicht innerhalb eines gegebenen Timeouts aufgebaut werden. Dieser Fehler kann auftreten, wenn der Server-Host nicht läuft oder auch die IP-Adresse von diesem Rechner nicht erreicht werden kann. Es kann aber auch an dem Netzwerk liegen, das innerhalb von 5 Sekunden (der über die Option –W definierte Timeout) die TCP/IP-Verbindung nicht aufbauen konnte. Mit einem größeren Wert für die Option –W könnte das Problem möglicherweise auch behoben werden.

Weitere Informationen: SAProuter Optionen [Seite 52], Abschnitt Expertenoptionen.

Aufbau der Route dauert zu lange Hier konnte sich der SAProuter über TCP/IP zu dem nächsten Host verbinden, doch dieser brauchte zu lange, die Route weiter bis zur Destination aufzubauen. Er hat innerhalb des -W Timeouts kein NI_PONG (Bestätigung, dass die Route aufgebaut wurde) erhalten.

In der Log-Datei sehen Sie folgende Einträge.

SAProuter-Log-Datei



Thu Jun 14 13:34:24 2007 CONNECT ERR S15/23 no route completion within 5s; check SAProuter on 'host3'




SAProuter 7.10 37


***********************************************************************


* ERROR connection to host3:3299 timed out

*

* TIME Thu Jun 14 13:34:24 2007

* RELEASE 710


* VERSION 39

* RC -5

* MODULE nirout.cpp

* LINE 6537

* DETAIL RTPENDLIST::timeoutPend: no route completion within 5s

* (ROUTED)

* COUNTER 17

***********************************************************************


Prüfen Sie, weshalb der oder auch die nachfolgenden SAProuter die Verbindung nicht innerhalb von in diesem Beispiel 5 Sekunden aufbauen konnten. Es könnte beispielsweise an einer langsamen Namensauflösung liegen. Die Log- und Trace-Datei sollten hier weitere Informationen liefern. Bei Verbindungen über mehrere SAProuter im WAN Umfeld sollte die Option –W vergrößert werden. Wenn mehrere SAProuter in einen Verbindungsaufbau involviert und die Netzwerk-Antwortzeiten relativ hoch sind, reicht der Default-Wert von 5 Sekunden oft nicht aus, um die Verbindung bis zum Zielsystem aufzubauen.

Weitere Informationen: SAProuter Optionen [Seite 52], Abschnitt Expertenoptionen.

Keine Route-Permission für Verbindung Die Verbindung wird vom SAProuter abgelehnt, weil die Route-Permission-Tabelle die Verbindung verbietet.


SAProuter-Log-Datei


Thu Jun 14 14:18:20 2007 PERM DENIED C10/- host 10.66.66.90 (host2.company.corp) to host1/3254

Thu Jun 14 14:18:20 2007 DISCONNECT C10/- host 10.66.66.90/63669 (host2.company.corp)



SAProuter 7.10 38


************************************************************************ LOCATION SAProuter 39.1 (SP3) on 'ld8060'

* ERROR ld8060: route permission denied (host2.company.corp to

* host1, 3254)

*

* TIME Thu Jun 14 14:18:20 2007

* RELEASE 710


* VERSION 39

* RC -94

* COUNTER 5

***********************************************************************


Route-Permission-Tabelle prüfen [Seite 34]

Fehler auf dem nachfolgenden Host Der Fehler tritt nicht auf dem lokalen SAProuter auf, sondern erst auf einem Folgehost. Dann sehen Sie im Log des lokalen SAProuters Meldungen der folgenden Art:

SAProuter-Log-Datei



Thu Jun 14 14:42:54 2007 CONNECT ERR S10/18 NIEROUT_INTERN on 'SAProuter 37.15 on hs0126'




SAProuter 7.10 39


************************************************************************ LOCATION SAProuter 37.15 on hs0126

* ERROR partner not reached (host 10.66.66.91, service 3298)

*

* TIME Thu Jun 14 14:42:54 2007

* RELEASE 640


* VERSION 37

* RC -93

* MODULE nixxi.cpp

* LINE 8724

* DETAIL NiPConnect2

* SYSTEM CALL SiPeekPendConn

* ERRNO 239

* ERRNO TEXT Connection refused

* COUNTER 5

***********************************************************************

Oder

SAProuter-Log-Datei


Thu Jun 14 14:40:28 2007 CONNECT TO S9/17 host 10.21.72.60/3299 (host3), *** NATIVE ROUTING ***

Thu Jun 14 14:40:28 2007 CONNECT ERR S9/17 NIEROUT_PERM_DENIED on 'SAProuter 39.0 on 'host3'', *** NATIVE ROUTING ***

Thu Jun 14 14:40:28 2007 DISCONNECT S9/17 host 10.21.72.60/3299 (host3), *** NATIVE ROUTING ***


***********************************************************************

* LOCATION SAProuter 39.0 on 'host3'

* ERROR host3: route permission denied (host2.company.corp to

* host1, 3253)

*

* TIME Thu Jun 14 14:40:28 2007

* RELEASE 710


* VERSION 39

* RC -93

* COUNTER 3

**********************************************************************

SAProuter 7.10 40



Prüfen Sie die Log- und Trace-Datei auf dem SAProuter, auf dem der Fehler aufgetreten ist, falls die vorliegenden Informationen nicht ausreichen. Die SAProuter Fehlermeldung, die üblicherweise beim Client angezeigt wird, enthält die Informationen über den Fehler. Die Zeile LOCATION gibt an, wo der Fehler auftrat.

Weitere Informationen Verbindungsabbrüche [Seite 41]


SAProuter Optionen [Seite 52]

Verbindungsabbrüche Verbindungsabbrüche können von Client-Seite oder von Server-Seite aus geschehen.

Verbindungsabbruch von Server-Seite Bei einem Verbindungsabbruch von Server-Seite (wenn der lokale SAProuter der Client ist) sehen Sie folgende Einträge in der Log-Datei.

SAProuter-Log-Datei







SAProuter 7.10 41


************************************************************************ LOCATION SAProuter 39.0 on 'host2'

* ERROR connection to partner '10.21.72.60:3298' broken

*

* TIME Thu Jun 14 16:08:58 2007

* RELEASE 710


* VERSION 39

* RC -95

* MODULE nixxi.cpp

* LINE 4660

* DETAIL NiIRead: P=10.21.72.60:3298; L=???

* SYSTEM CALL recv

* ERRNO 232

* ERRNO TEXT Connection reset by peer

* COUNTER 17

***********************************************************************

Oder

SAProuter-Log-Datei


Thu Jun 14 16:09:50 2007 CONNECT TO S19/11 host 10.21.72.60/3298 (ldp007)


Thu Jun 14 16:10:02 2007 DISCONNECT S19/11 host 10.21.72.60/3298 (ldp007) RST



SAProuter 7.10 42


***********************************************************************

* LOCATION SAProuter 39.1 (SP3) on 'host1'

* ERROR connection to partner '10.21.72.60:3298' broken

*

* TIME Thu Jun 14 16:10:02 2007

* RELEASE 710


* VERSION 39

* RC -95

* MODULE nixxi.cpp

* LINE 4660

* DETAIL NiIRead: P=10.21.72.60:3298; L=10.66.66.90:24848

* SYSTEM CALL recv

* ERRNO 104

* ERRNO TEXT Connection reset by peer

* COUNTER 10

***********************************************************************

Verbindungsabbruch von Client-Seite Bei einem Verbindungsabbruch von Client-Seite (wenn der lokale SAProuter der Server ist) sehen Sie folgende Einträge in der Log-Datei.




Thu Jun 14 16:13:43 2007 DISCONNECT C20/12 host 10.66.66.90/24849 (host2.company.corp) RST

Sie sehen keine Fehlermeldung mit errInfo, da der Fehler auf Client-Seite liegt.


Anhand des DISCONNECT-Eintrages in der Log-Datei lässt sich erkennen, auf welcher Seite der Verbindungsabbau initiiert wurde. Anhand dieser Information kann der Knoten bzw. das Programm ausfindig gemacht werden, welches als erstes die Verbindung geschlossen hat. Der Trace dieses Programmes enthält mehr Informationen über den Grund des Verbindungsabbaus.

Es kann auch vorkommen, dass die Verbindung zwischen zwei Programmen abgebaut wurde, ohne dass einer der beiden Partner den Verbindungsabbau initiiert hat. Beispielsweise ist dies der Fall, wenn zwei SAProuter, zwischen denen eine direkte TCP/IP Verbindung bestand, beide in den Log schreiben, dass die Gegenseite den Verbindungsabbau initiiert hat. In dem Falle wurde die TCP/IP Verbindung durch eine aktive Netzwerkkomponente zwischen den beiden Programmen abgebrochen. Oft handelt es sich bei diesen aktiven Netzwerkkomponenten um eine Firewall oder einen Router mit Idle-Timeout. Prüfen Sie in einem solchen Fall das Netzwerk.

An dem DISCONNECT-Log ist zudem zu erkennen, ob die Verbindung TCP/IP-konform geschlossen wurde oder nicht. Wird am Ende der Zeile ein "RST" geschrieben, so deutet dies auf ein RST-Paket hin oder einen Retransmit-Timeout. In diesem Fall hat die Gegenseite

SAProuter 7.10 43


oder eine aktive Netzwerkkomponente zwischen den beiden TCP/IP Endpunkten die Verbindung nicht korrekt beendet. Ursache kann ein Absturz des Programms, zu frühes Schließen der Verbindung auf Applikationsebene oder eine Firewall sein.

Weitere Informationen Fehler beim Verbindungsaufbau [Seite 35]


Sonstige Fehler Die folgenden Fehler treten selten auf. Die folgende Beschreibung gibt Hilfestellung zur Analyse und Behebung dieser Fehler.

● Der SAProuter erhält falsche Daten. Dies kann passieren, wenn die Route zu kurz ist bzw. übersehen wurde dass man sich an einen SAProuter verbindet anstelle des Backends

● Der SAProuter erhält die Routeninformation zu spät (TCP/IP-Verbindungsaufbau war erfolgreich)

● Der SAProuter ist Client und hat vom Server eine falsche Antwort erhalten

● Der SAProuter ist Server und erhält vom Client die Daten zu früh

● SNC nicht aktiv bei Vorwärtsaufbau

● SNC nicht aktiv bei Rückwärtsaufbau

Falsche Daten werden an SAProuter gesendet In der Log-Datei sehen Sie folgende Einträge.

SAProuter-Log-Datei


Thu Jun 14 09:55:36 2007 INVAL DATA C10/- route expected




SAProuter 7.10 44


***********************************************************************


* ERROR internal error

*

* TIME Thu Jun 14 09:55:36 2007

* RELEASE 710


* VERSION 39

* RC -93

* MODULE nirout.cpp

* LINE 2664

* DETAIL NiRClientHandle: route expected

* COUNTER 4

***********************************************************************


Das Client-Programm schickt falsche Daten zu dem SAProuter. Dies ist für gewöhnlich der Fall, wenn der Client davon ausgeht, dass er bereits mit dem Zielsystem kommuniziert, jedoch die Verbindung zu einem SAProuter aufgebaut wurde, der als erstes eine Route erwartet. Prüfen Sie beim Client die Parameter für den Verbindungsaufbau.

Route wird zu spät gesendet Der Verbindungsaufbau (Connect) war erfolgreich, doch der Client schickt die Route zu spät zu dem SAProuter; oder der Client geht davon aus, dass er bereits mit dem Server verbunden ist und wartet auf Daten; Timeout -W wird überschritten.


SAProuter-Log-Datei


Thu Jun 14 12:27:32 2007 CONNECT ERR C11/- no route received within 5s




SAProuter 7.10 45


***********************************************************************


* ERROR connection timed out

*

* TIME Thu Jun 14 12:27:32 2007

* RELEASE 710


* VERSION 39

* RC -5

* MODULE nirout.cpp

* LINE 6519

* DETAIL RTPENDLIST::timeoutPend: no route received within 5s

* (CONNECTED)

* COUNTER 5

***********************************************************************


Dieser Fehler kann auftreten, falls der Client nach dem TCP/IP-Connect zu dem SAProuter nicht schnell genug die Route versendet. Eine Ursache könnte eine temporäre Hänge-Situation des Clients sein.

Falsche Antwort vom Server Wenn auf der Server-Seite kein SAProuter, sondern ein anderes Programm bzw. bereits das Backend antwortet, kann der SAProuter damit nichts anfangen. Er erwartet als Server einen anderen SAProuter


SAProuter-Log-Datei



Thu Jun 14 13:59:43 2007 CONNECT ERR S9/17 invalid data form server during route completion




SAProuter 7.10 46


***********************************************************************



*

* TIME Thu Jun 14 13:59:43 2007

* RELEASE 710


* VERSION 39

* RC -93

* MODULE nirout.cpp

* LINE 2694

* DETAIL NiRClientHandle: invalid data from server 'host2' during

* route completion

* COUNTER 3

***********************************************************************


Prüfen Sie die Parameter für den Verbindungsaufbau beim Client.

Daten von dem Client zu früh empfangen Wenn der SAProuter als Server vom Client Daten bekommt, bevor die Route aufgebaut ist, sehen Sie folgende Einträge in der Log-Datei.

SAProuter-Log-Datei



Thu Jun 14 14:15:00 2007 CONNECT ERR C10/18 invalid data form client during route completion




SAProuter 7.10 47


***********************************************************************



*

* TIME Thu Jun 14 14:15:00 2007

* RELEASE 710


* VERSION 39

* RC -93

* MODULE nirout.cpp

* LINE 2688

* DETAIL NiRClientHandle: invalid data from client

* 'host1.company.corp' during route completion

* COUNTER 5

***********************************************************************


Das Client-Programm verhält sich fehlerhaft. Prüfen Sie, ob es von dem Client-Programm eine aktuellere Version gibt.

Daten von dem Server zu früh empfangen In der Log-Datei sehen Sie folgende Einträge.

SAProuter-Log-Datei



Thu Jun 14 13:59:43 2007 CONNECT ERR S9/17 invalid data form server during route completion




SAProuter 7.10 48


***********************************************************************



*

* TIME Thu Jun 14 13:59:43 2007

* RELEASE 710


* VERSION 39

* RC -93

* MODULE nirout.cpp

* LINE 2694

* DETAIL NiRClientHandle: invalid data from server 'host2' during

* route completion

* COUNTER 3

***********************************************************************


Prüfen Sie die Version des SAProuters auf der Server-Seite und aktualisieren Sie gegebenenfalls das Programm.

SNC nicht aktiv bei Vorwärtsaufbau Sie sehen folgende Einträge in der Log-Datei.

Client-Seite


Thu Jun 14 17:16:40 2007 CONNECT TO S18/10 host 10.18.211.3/3299 (10.18.211.3) (p:CN=D039768, O=SAP-AG, C=DE)

Thu Jun 14 17:16:40 2007 CONNECT ERR S18/10 forwarding route failed NIESNC_FAILURE


Server-Seite

Thu Jun 14 17:16:40 2007 CONNECT FROM C9/- host 10.18.211.3/1168 (host3.wdf.sap.corp)

Thu Jun 14 17:16:40 2007 DISCONNECT C9/- host 10.18.211.3/1168 (host3.wdf.sap.corp)

SAProuter-Fehlermeldung auf Clientseite

SAProuter 7.10 49


***********************************************************************


* ERROR SNC processing failed:

* SNC not enabled

*

* TIME Thu Jun 14 17:16:40 2007

* RELEASE 710


* VERSION 39

* RC -104

* MODULE nisnc.c

* LINE 566

* DETAIL NiSncOpcode: NISNC_REQ

* COUNTER 2

***********************************************************************


Der SAProuter auf der Server-Seite hat SNC nicht aktiviert. Starten Sie den SAProuter auf der Server-Seite mit der Option –K mysncname neu.

SNC nicht aktiv bei Rückwärtsaufbau Sie sehen folgende Einträge in der Log-Datei.

Client-Seite



Thu Jun 14 17:08:19 2007 CONNECT ERR S9/17 NIESNC_FAILURE on 'SAProuter 39.1 (SP3) on 'host3''


Server-Seite

Thu Jun 14 17:08:19 2007 CONNECT FROM C12/- host 10.18.211.3/1119 (host3.wdf.sap.corp)


Thu Jun 14 17:08:19 2007 CONNECT ERR C12/20 NIECONN_BROKEN on 'SAProuter 39.1 (SP3) on 'host3''

Thu Jun 14 17:08:19 2007 DISCONNECT C12/20 host 10.18.211.3/1119 (host3.wdf.sap.corp)

SAProuter-Fehlermeldung auf Clientseite

SAProuter 7.10 50


***********************************************************************


* ERROR SNC processing failed:

* SNC not enabled

*

* TIME Thu Jun 14 17:08:19 2007

* RELEASE 710


* VERSION 39

* RC -104

* MODULE nisnc.c

* LINE 586

* DETAIL NiSncOpcode: NISNC_ACC

* COUNTER 4

***********************************************************************


Der SAProuter auf der Client-Seite hat SNC nicht aktiviert. Starten Sie den SAProuter auf der Client-Seite mit der Option –K mysncname neu.

Weitere Informationen SNC - Secure Network Communication [Seite 12]

Option -K <mysncname> [Seite 61]

SAP-Hinweise zu SAProuter Grundsätzlich empfiehlt es sich, bei Problemen mit SAProuter die relevanten SAP-Hinweise zu lesen. Sie finden diese auf dem SAP Service Marketplace.

Hinweisnummer Inhalt

0029684 STFK: Route permission denied

0062636 saprouter beendet sich bei Ende der Unix-Session

0063342 Liste: NI-Fehlercodes

0164937 NiPBind: service 'sap????' in use

0104576 Paketfilter zwischen ITS und R/3

0042692 Testtool für RFC-Verbindungen: sapinfo

0066168 Notwendige Unterlagen für Analyse der RFC-Probleme

0025917 Änderungen an /etc/hosts bleiben unberücksichtigt

0147021 "Address already in use" due to TCP state

0037211 ftp nicht über SAProuter : "connection refused"

SAProuter 7.10 51


Zusätzlich können Sie die SAP-Hinweise nach der Komponente BC-CST-NI durchsuchen, um aktuelle Korrekturen im SAProuter-Umfeld zu finden.

Referenz Im Referenzteil der SAProuter-Dokumentation finden Sie folgende Informationen.

● Eine komplette Übersicht über die SAProuter-Optionen: Startoptionen, Optionen zur Administration eines laufenden SAProuters usw.: SAProuter Optionen [Seite 52]

● Eine technische Beschreibung der Implementierung von SAProuter in der NI-Schicht des SAP-Kernels: NI and SAProuter Implementation [Externe Dokumentation] (nur in englischer Sprache)

Weitere Informationen Was ist SAProuter? [Seite 6]

SAProuter Optionen Verwendung SAProuter bietet einige Funktionen, die optional verwendet werden können. Sie bestehen aus einem Buchstaben, der beim Aufruf von SAProuter angegeben (Syntax UNIX/Windows: saprouter -<option>, Syntax System i: saprouter -'<option>') oder an einen laufenden SAProuter geschickt wird. Ihre Verwendung und die Defaultwerte werden im folgenden beschrieben.

Funktionsumfang Es gibt administrative Optionen (Kleinbuchstaben), zusätzliche Optionen und Expertenoptionen (Großbuchstaben); die verschiedenen Optionen können, sofern dies Sinn macht, kombiniert werden, indem eine administrative und beliebig viele andere Optionen angegeben werden.

Unter System i müssen Optionen in Hochkommata stehen. Geben Sie z.B. saprouter '-s' ein, um den SAProuter zu stoppen.

Administrative Optionen Administrative Optionen werden — mit Ausnahme der Startfunktionen -r und -a <lib> — an einen laufenden SAProuter geschickt; dieser führt dann die entsprechende Funktion aus.

Mit dem Befehl saprouter -r (System i: saprouter '-r') wird SAProuter gestartet.

Die folgende Liste gibt eine Übersicht über die administrativen Optionen.

Option Bedeutung

Option -s (stop saprouter) SAProuter stoppen [Seite 55]

Option -n (new saprouttab) [Seite

Route-Permission-Tabelle neu einlesen 55]

Option -t (toggle trace) [Seite Umschalten des Tracelevels 56]

SAProuter 7.10 52


Option -c<n> (cancel Verbindung n abbrechen connection n) [Seite 58]

Option -l / -L [Seite 58] Route-Information anzeigen

Option -d (dump buffers) Detailinformationen aus internen Puffern in die Trace-Datei schreiben [Seite 59]

Option -f (flush buffers) [Seite

Interne Puffer zurücksetzen 59]

Option -p [Seite 60] Soft-Shutdown durchführen

Option -a <lib> [Seite 60] Externe Bibliothek verwenden

Weitere Informationen: SAProuter starten [Seite 17].

Zusätzliche Optionen Die zusätzlichen Optionen sind — von einer Ausnahme abgesehen — durch Großbuchstaben gekennzeichnet. Sie können, soweit das Sinn macht, miteinander und mit einer administrativen Option kombiniert werden. Die meisten werden beim Start des SAProuters verwendet. Auf die Kombinationsmöglichkeiten wird bei den Optionsbeschreibungen hingewiesen.

Wird eine ungültige Kombination von SAProuter Optionen eingegeben, so verhält sich SAProuter so, als sei nur saprouter eingegeben worden und zeigt die Online-Hilfe.

Die zusätzlichen Optionen können auch weggelassen werden, es gibt Defaultwerte, die bei jeder Option angegeben werden.

Funktionsumfang Die folgenden Optionen stehen zur Verfügung.

Option Bedeutung Defaultwert

Option -R Dateiname und Pfad der Route-Permission-Tabelle

./saprouttab (UNIX und System i) <routtab> [Seite

<lwk>:\usr\sap\saprouter\saprouttab (Windows)

61]

Option -K Verwendung von SNC: SNC-Name des Hosts, auf dem der SAProuter läuft

- <mysncname> [Seite 61]

Name und Pfad für SAProuter-Protokolldatei

keine Protokolldatei Option -G<logfile> [Seite 61]

Option -J<size Größenbeschränkung für SAProuter-Protokolldatei

Keine Größenbeschränkung in bytes> [Seite 62]

Option - Name und Pfad für SAProuter-Trace-Datei

dev_rout im Verzeichnis des SAProuters T<tracefile> [Seite 63]

Trace-Level des SAProuters

1 Option -V<tracelev> [Seite 63]

Option -E [Seite Trace- und Logdateien fortschreiben statt überschreiben

- (Trace- und Logdateien werden beim Neustart des SAProuters überschrieben) 63]

Option -S Service (Port), auf 3299

SAProuter 7.10 53


<service> [Seite dem der SAProuter laufen soll 63]

Option -C Maximale Anzahl von Clients, die der SAProuter verwalten soll; beachten Sie:

800 <clients> [Seite 64]

● Der Wert darf die Obergrenze 2048 nicht überschreiten

● 2 Clients entsprechen einer Verbindung g

Option -D [Seite DNS reverse lookup ausschalten

- 64]

Option -6 IPv6-Unterstützung aktivieren

(enable IPv6) [Seite 65]

Option -Z [Seite Genaue Fehlermeldung beim Verbindungsaufbau unterdrücken

65]

Option -I Verbindungsaufbau nach außen bei mehreren Netzwerkkarten

- <address> [Seite 66]

Option -Y <n> [Seite

n-maliger automatischer Neustart eines SAProuters, wenn die Client-Tabelle überläuft

SAProuter wird nicht automatisch nachgestartet (Fall n=1) 66]

Option -H Hostname, auf dem der SAProuter hören soll, Passwortchutz für Route-Information (vgl.

- <hostname> [-P <kennwort>] [Seite 67]

Option -l / -L [Seite 58])

Option -A Stringübergabe an die externe Bibliothek, sofern vorhanden (vgl.

- <initstring> [Seite 68]

Option -a <lib> (Start mit externer Bibliothek) [Seite 60])

Option -M Angabe eines Portbereiches für ausgehende Verbindungen

- <min>.<max> [Seite 68]

SAProuter 7.10 54


Expertenoptionen SAProuter verfügt über einige Expertenoptionen, die nun beschrieben werden.

Verwenden Sie diese Optionen nur in Absprache mit SAP oder wenn Sie sich sehr gut auskennen!

Folgende Expertenoptionen stehen zur Verfügung:

Befehl Funktion Default -B <bufsize> maximale Queue-Länge pro Client 1 NI-Paket

-Q <queuesize> maximaler Heap-Speicher für NI-Paket 20.000.000 Bytes

-W <waittimeL> Timeout für blockierende Netz-Calls (im Fehlerfall)

5000 msec

Aktivitäten Rufen Sie SAProuter mit den gewünschten Funktionen auf wie folgt.

UNIX/Windows: saprouter [-<adm>] [-<opt>] System i: saprouter '[-<adm>] [-<opt>]'

Wird eine ungültige Kombination von SAProuter Optionen eingegeben, so verhält sich SAProuter so, als sei nur saprouter eingegeben worden und zeigt die Online-Hilfe.

Option -s (stop saprouter) Verwendung Diese Funktion dient zum Stoppen eines laufenden SAProuter.

Integration 3299Läuft der SAProuter, der gestoppt werden soll, nicht auf dem Default-Service , so muss

der Service mit der Option -S <service> [Seite 63] bekannt gemacht werden.

Die Befehle saprouter -s -S 3299 und saprouter -s (System i: saprouter '-s -S 3299' und saprouter '-s') sind gleichwertig.

Option -n (new saprouttab) Verwendung Der Befehl saprouter -n (System i: saprouter '-n') dient dazu, dem laufenden SAProuter Änderungen der Route-Permission-Tabelle mitzuteilen: sie bewirkt, dass die Tabelle, so wie sie mit der Option -R <routtab> [Seite 61] benannt wurde (Default saprouttab), neu übernommen wird.

SAProuter 7.10 55


Möchte man z. B. weitere Einschränkungen in der Route-Permission-Tabelle vornehmen, muss man SAProuter nicht stoppen und neu starten, sondern kann diese Funktion verwenden.

Die neue Route-Permission-Tabelle ändert nichts an schon bestehenden Verbindungen! Auch wenn die bestehende Verbindung nach der neuen Tabelle verboten ist, bleibt sie bestehen!


Option -t (toggle trace) Verwendung Diese Funktion dient zum Hin- und Herschalten des Trace-Levels eines laufenden SAProuter. Es existieren die Trace-Levels 1, 2 und 3. War der Trace-Level 1, so wird er nun auf 2 erhöht, war er 2 oder 3, so wird er auf 1 heruntergesetzt.

Sie können auch den Trace für einzelne Verbindungen aktivieren (s.u.)

Integration Beim Start von SAProuter wird der Trace-Level mit der Option -V<tracelev> [Seite 63] gewählt.

Verbindungs-Trace Sie können auch für einzelne Verbindungen den Trace aktivieren. Für diese Verbindungen wird dann die Information mit Trace-Level 2 geschrieben.

Der Verbindungs-Trace erfolgt durch eine erweiterte Syntax der Option –t. Sie haben folgende Möglichkeiten:

Kommando Bedeutung saprouter -t "on <id>" <id> bezeichnet die Nummer der Verbindung. Sie

sehen diese Nummer, wenn Sie sich die Verbindungsinformation anzeigen lassen (saprouter -l). Dieses Kommando aktiviert den Trace für diese (schon bestehende) Verbindung.

Weitere Informationen: Option -l / -L [Seite 58]

saprouter -t "off <id>" Deaktiviert den Trace für die Verbindung mit der Nummer <id>.

saprouter -t "on <IPaddress>" Aktiviert den Trace für alle neuen Verbindungen, die von der IP-Adresse <IPaddress> kommen. Sie verwenden diese Option, wenn die Verbindung noch nicht existiert und Sie Informationen zum Verbindungsaufbau suchen.

saprouter -t "off <IPaddress>"

Deaktiviert den Trace für alle neuen Verbindungen, die von der IP-Adresse <IPaddress> kommen.

SAProuter 7.10 56


saprouter -t "on <subnet>" <subnet> gibt eine Menge von IP-Adressen an. Der Befehl aktiviert den Trace für alle neuen Verbindungen, die aus diesem Subnetz stammen.

Weitere Informationen zu IP-Adressmasken: IP-Adressformate [Externe Dokumentation]

saprouter -t "off <subnet>" Deaktiviert den Trace für alle neuen Verbindungen, die aus diesem Subnetz stammen.

Trace-Kennzeichen in der Verbindungsübersicht Die Verbindungen, für die der Trace aktiviert ist, sind in der Verbindungsübersicht (diese bekommen Sie mit dem Befehl saprouter -l) mit einem Stern (Asterisk) gekennzeichnet.

Die Trace-Informationen finden Sie dann in der Trace-Datei dev_rout.

Sie aktivieren den Trace für die Verbindung mit der Nummer 4, indem Sie dem laufenden SAProuter den Befehl saprouter -t "on 4" schicken.

Dann rufen Sie saprouter -l auf, um sich die Verbindungen anzeigen zu lassen. Sie bekommen folgende Ausgabe:

SAP Network Interface Router running on port 3299 (PID = 1576962)

Started on: Wed Apr 13 09:00:10 2005

ID CLIENT | PARTNER service

------------------------------+-------------------------------

7 localhost | (no partner)

6 10.18.203.8 | 10.17.74.118 3227

4 *10.18.203.8 | 10.17.74.118 3227

2 10.18.203.8 | 10.17.74.118 3227

Total no. of clients: 7

Working directory : /usr/sap/PRD/work

Routtab : ./saprouttab

Der * kennzeichnet den Trace für die Verbindung 4.

Weitere Informationen Option -l / -L [Seite 58]

SAProuter 7.10 57


Option -c<n> (cancel connection n) Verwendung Intern hat jede Verbindung, die über SAProuter läuft, eine Nummer; diese kann man mittels der Option -l / -L [Seite 58] einsehen. Mit dieser Funktion kann eine Verbindung beendet werden.

Der Befehl saprouter -c 2 (System i: saprouter '-c 2') beendet zum Beispiel die Verbindung mit der (internen) Nummer 2.

Option -l / -L Verwendung Mit der Funktion saprouter -l (System i: saprouter '-l') veranlassen Sie den SAProuter, Routeninformation am Bildschirm auszugeben; mit saprouter -L (System i: saprouter '-L') bekommen Sie noch detailliertere Information.

Die Information enthält:

● eine Tabelle, in der für jede bestehende Verbindung die Verbindungsnummer, der Client, der Partner und der Service steht. Verbindungen, für die der Verbindungs-Trace aktiv ist, sind mit einem Asterisk (*) gekennzeichnet.

Weitere Informationen: Option -t (toggle trace) [Seite 56]

● die gesamte Anzahl der Clients, das Working Directory, in dem der SAProuter läuft und den Pfad der Route-Permission-Tabelle [Seite 23].

● falls der SAProuter von einem anderen SAProuter-Prozess gestartet wurde, die PID und den Port des 'Vaters'. (Siehe hierzu SAProuter starten [Seite 17] und Option -Y <n> [Seite 66].)

Möchte man die SAProuter-Info von einem entfernten Rechner aus angezeigt bekommen, so verwendet man die Option -H <hostname> [-P <kennwort>] [Seite 67].

Routeninformationen für mehrere SAProuter Wenn Sie mehrere SAProuter-Prozesse laufen haben und die Routeninformationen zu einem anderen als dem zuletzt gestarteten SAProuter anzeigen möchten, verwenden Sie die Option -S <service> [Seite 63] und geben den Port explizit an. Den Port des Vorgängers des aktuellen SAProuters bekommen Sie mit der Option -l (s.o.).

Beispiel Wenn Sie saprouter –l eingeben, könnte die Ausgabe so aussehen:

Wed Apr 11 09:01:57 2007

SAP Network Interface Router, Version 38.0

Wed Apr 11 09:01:58 2007

peer SAProuter with NI version 38 ...

SAProuter 7.10 58


send info-request to running SAProuter ...

SAP Network Interface Router running on port 3299 (PID = 1576962)

Started on: Wed Apr 13 09:00:10 2005

ID CLIENT | PARTNER service

--------------------------------+------------------------------------

7 localhost | (no partner)

6 10.18.203.8 | 10.17.74.118 3227

4 *10.18.203.8 | 10.17.74.118 3227

2 10.18.203.8 | 10.17.74.118 3227

Total no. of clients: 7

Working directory : /net/usr.scratch/d039768/mm/rs6000_64

Routtab : ./saprouttab

Option -d (dump buffers) Verwendung Diese Funktion bewirkt, dass detaillierte Informationen über die an der Verbindung mitwirkenden Hostnamen und ihre IP-Adressen in die Trace-Datei (Default dev_rout, oder der mit der Option -T<tracefile> [Seite 63] festgelegte Name) geschrieben werden. Hierbei wird die Trace-Datei nicht überschrieben, die Information wird einfach hinten angehängt.

Option -f (flush buffers) Verwendung Mit dieser Funktion kann der interne Puffer (der mit der Option -d (dump buffers) [Seite 59] in das Tracefile geschrieben wird) geleert werden.

SAProuter 7.10 59


Option -p (Soft-Shutdown) Verwendung Diese Option kann man verwenden, um einen Soft-Shutdown des SAProuter vorzunehmen. Der SAProuter läuft auf einem anderen Port weiter, läßt sich auf diesem administrieren, nimmt aber keine Logon-Requests mehr entgegen und beendet sich automatisch, wenn kein Client mehr angeschlossen ist.

Der Port, auf dem der SAProuter vorher lief (Default 3299) ist nun frei. Dies ist dann sinnvoll, wenn

● ein neuer SAProuter eingespielt werden soll, ohne alle bestehenden Verbindungen zu beenden

● mehr als Verbindungen erwünscht sind als ein SAProuter allein aufnehmen kann (max. 1018)

Gibt man also den Befehl saprouter -p ein, erscheint die Information, auf welchem Port der SAProuter nun weiter administriert werden kann; der Host, auf dem SAProuter läuft, wird ebenfalls angegeben.

Der Standard-Port, auf dem der SAProuter weiterläuft, ist der Port 65000. Ist dieser belegt oder wurde dem SAProuter aber mit der Option -M <min>.<max> [Seite 68] ein Port-Range vorgegeben, so wird dementsprechend ein anderer Port gewählt.

Option -r -Y <n> [Seite Sie können den SAProuter mit der Option 66] starten,

dies bewirkt, dass der bestehende SAProuter automatisch auf einen anderen Port gelegt wird und ein neuer SAProuter gestartet wird, der dann auf diesem Port die eingehenden Verbindungen entgegennimmt.

Option -a <lib> (Start mit externer Bibliothek) Verwendung Diese Option wird nicht an einen laufenden SAProuter geschickt; sie dient dazu, SAProuter mit einer externen Bibliothek zu starten. <lib> ist dann der relative Pfadname der Bibliothek. Mit der Option Option -A <initstring> [Seite 68] kann der Bibliothek noch ein String übergeben werden.

Beachten Sie bitte, daß bei Einsatz einer Fremdbibliothek kein Support durch SAP mehr gewährleistet werden kann. Wenden Sie sich bei Problemen dann bitte an den Hersteller der externen Bibliothek.

SAProuter 7.10 60


Option -R <routtab> Verwendung Mit der Option saprouter -R <pfad> (System i: saprouter '-R <pfad>') wird angegeben, in welcher Datei die Route-Permission-Tabelle sich befindet. Wird nichts angegeben, so sucht SAProuter die Datei

● ./saprouttab (UNIX und System i)

● <lwk>:\usr\sap\saprouter\saprouttab (Windows)

Die Route-Permission-Tabelle ist zwingend für SAProuter (Version >= 23). Wird sie nicht gefunden, so beendet sich SAProuter mit einer entsprechenden Meldung.

Wollen Sie alle Verbindungen zulassen, so müssen Sie folgende einzeilige Route-Permission-Tabelle angeben:

P * * *


Option -K <mysncname> Verwendung Damit SNC-Verbindungen über SAProuter gehen können, muss SAProuter mit dieser Option gestartet werden:

saprouter -r -K <mysncname> (System i: saprouter '-r -K <mysncname>').

Route-Permission-Tabelle [Seite Außerdem muss in der 23] ein KT-Eintrag vorhanden sein , der festlegt, dass Verbindungen mit einem bestimmten Host (dessen SNC-Name bekannt ist), SNC-Verbindungen sein sollen. <mysncname> ist der SNC-Name des Hosts, auf dem der SAProuter läuft.

Weitere Informationen SNC - Secure Network Communication [Seite 12]

Beispiel einer Route-Permission-Tabelle mit SNC [Seite 27]

Option -G<logfile> Verwendung Wenn Sie Logging im SAProuter [Seite 28] verwenden möchten, können Sie Ihren SAProuter mit dieser Option starten und eine Protokolldatei angeben.

UNIX/Windows: saprouter -r -G <logfile>

System i: saprouter '-r -G <logfile>'

SAProuter 7.10 61


<logfile> ist der Name (relativer Pfadname), den Sie für die Protokolldatei festlegen. Alle wichtigen Aktivitäten wie z.B. das Starten der Verbindung und die Laufzeitoperationen werden dann in dieser Datei protokolliert:

● Verbindung von (Client-Name/-adresse)

● Verbindung zu (Partnername/-adresse)

● Partnerservice

● Startzeit

● Endezeit

● Verbindungsanforderungen, die nach Prüfung der Route-Permission-Tabelle [Seite 23] abgewiesen wurden.

Die Größe der Protokolldatei können Sie mit der Option -J<size in bytes> [Seite 62] beschränken.

Aus Sicherheitsgründen geht der SAProuter in den Softshutdown-Modus (nimmt keine neuen Verbindungen mehr an, vgl. Option -p (Soft-Shutdown) [Seite 60]), wenn er nicht mehr in die Protokolldatei schreiben kann, etwa weil die Festplatte voll ist.

Wird diese Option nicht verwendet, so wird keine Protokolldatei erstellt.

Beispiel Im Abschnitt Logging im SAProuter [Seite 28] finden Sie ein Beispiel für eine Protokolldatei.

Option -J<size in bytes> Verwendung Mit dieser Option können Sie die Größe der Protokolldatei beschränken und die entstehenden Dateien archivieren.

Wenn Sie die Option nicht verwenden, kann die Protokolldatei beliebig groß werden.

Voraussetzungen Sie verwenden eine Protokolldatei (vgl. Option -G<logfile> [Seite 61]).

Funktionsumfang Wenn Sie die Option verwenden, wird die Protokolldatei bei Erreichen der Größe umbenannt in

<logfile name>_a_<start date>_<start time>-<end date>_<end time>.

SAProuter 7.10 62


Option -T<tracefile> Verwendung Ein Tracefile dient zur Fehlersuche und -behebung. In ihm wird — je höher der Tracelevel (siehe Option -V<tracelev> [Seite 63]), desto ausführlicher — protokolliert, was der SAProuter tut; es geht hervor, in welcher Funktion ein Fehler auftrat, warum eine Verbindung nicht zustande gekommen ist etc.

Wenn Sie SAProuter starten, können Sie ein Tracefile angeben:

UNIX/Windows: saprouter -r -T <tracefile> System i: saprouter '-r -T <tracefile>'

Ein Tracefile existiert immer. Wird die Option nicht verwendet, so wird das Tracefile dev_rout verwendet. Es befindet sich im Arbeitsverzeichnis des SAProuters.

Option -V<tracelev> Verwendung Mit dieser Option wird beim Start von SAProuter der Tracelevel eingestellt:

UNIX/NT: saprouter -r -V3

System i: saprouter '-r -V3'

startet zum Beispiel SAProuter mit Tracelevel 3.

Mit dem Tracelevel legt man fest, wie detailliert man die Information im Tracefile wünscht: 1 bedeutet kaum Information, 3 sehr ausführliche Information. Wie das Tracefile heißt, kann mit der Option Option -T<tracefile> [Seite 63] eingestellt werden.

Mit der Option -t (toggle trace) [Seite 56] kann beim laufenden SAProuter der Tracelevel verändert werden.

Es existieren die Tracelevels 1, 2 und 3, und der Defaultwert ist 1.

Option -E Verwendung Mit dieser Option können Sie verhindern, dass beim Neustart alte Trace- und Logdateien des SAProuters überschrieben werden.

saprouter –r -EStarten Sie den SAProuter mit der Option –E ( ), werden bestehende Dateien (Log und Trace) vom SAProuter fortgeschrieben.

Option -S <service> Verwendung Die Option -S <service> dient dazu, den Service (Port), auf dem der SAProuter läuft (Default 3299) zu spezifizieren. So kann z. B. SAProuter auf einem beliebigen anderen Service gestartet werden: saprouter -r -S 4444 (System i: saprouter '-r -S 4444') startet SAProuter auf dem lokalen Host auf dem Service 4444. Möchte man dann diesen SAProuter administrieren, so ist die Angabe des Service natürlich auch erforderlich.

SAProuter 7.10 63


Option -C <clients> Verwendung Mit dieser Funktion können Sie die maximale Anzahl von Clients einstellen. Die Default-Einstellung ist 800, der maximale Wert beträgt 2039.

Beachten Sie, dass zwei Clients einer Verbindung entsprechen. D. h., max 400 Verbindungen sind voreingestellt, und maximal 1019 Verbindungen sind möglich.

Möchten Sie 1000 Verbindungen über Ihren SAProuter laufen lassen, so starten Sie SAProuter wie folgt:

UNIX/Windows: saprouter -r -C 2000 System i: saprouter '-r -C 2000'

Wünschen Sie mehr Verbindungen als möglich (1019), so haben Sie die Möglichkeit, den SAProuter mit der Option -p [Seite 60] auf einen anderen Port zu “schieben” und auf diesem Port einen neuen SAProuter zu starten.

Diese Grenzen ziehen natürlich nur, wenn nicht betriebssystemseitig kleinere Werte für die Anzahl der Verbindungen eingestellt sind. Achten Sie bitte hier auf die Betriebssystemparameter.

Ab SAProuter Version 37 sind hier deutlich höhere Werte möglich (mit Ausnahme von System i), bis 16000. Beachten Sie jedoch, dass es sich um einen single Thread Prozess handelt. Daher sind mehr als rund 1000 / 1500 Clients grundsätzlich nicht sinnvoll. Bei vielen Verbindungen arbeiten Sie besser mit der Option -Y <n> [Seite 66], welche die Verbindungen auf mehrere Prozesse verteilt.

Option -D Voraussetzungen Sie haben mindestens SAProuter Version 36.7, das bedeutet Version 36, Patchlevel 6.

Wo Sie den neuesten SAProuter finden, ist im Abschnitt Installation von SAProuter [Seite 12] beschrieben.

Verwendung Mit dieser Option können Sie einstellen, dass die IP-Adressen von ankommenden Verbindungen im SAProuter nicht aufgelöst werden. Dies kann bei SAProutern, über welche von vielen verschiedenen Clients Verbindungen aufgebaut werden, eine bessere Performance bewirken. Wird die Option genutzt, sind im Log allerdings nur die IP-Adressen ersichtlich (Client-seitig).

SAProuter 7.10 64


Option -6 (enable IPv6) Voraussetzungen Sie haben mindestens SAProuter Version 38.0.


Verwendung Mit dieser Option können Sie Internet Protocol Version 6 (IPv6) beim SAProuter aktivieren. Der SAProuter ist dann in der Lage, sowohl IPv4 also auch IPv6-Verbindungen aufzubauen und zu verwalten.

Option -Z Voraussetzungen Sie haben mindestens SAProuter Version 38.0.


Verwendung Mit dieser Option können Sie einstellen, dass ein Fehler beim Verbindungsaufbau dem Client nicht detailliert gemeldet wird. Der Aufrufer bekommt dann bei jedem möglichen Fehler (Verbindung konnte nicht aufgebaut werden, Route ist nicht erlaubt, Hostname konnte nicht aufgelöst werden,…) immer denselben Fehlertext zurück.

Der Client empfängt folgende Fehlerinformation, falls die Verbindung nicht aufgebaut werden konnte:

**********************************************************************

* LOCATION SAProuter

* ERROR route could not be established

*

* TIME Tue Sep 5 15:38:57 2006

* RELEASE 0


* RC -92

**********************************************************************

SAProuter 7.10 65


Option -I <address> Voraussetzungen Sie haben mindestens SAProuter Version 37. Wo Sie den neuesten SAProuter finden, ist im Abschnitt Installation von SAProuter [Seite 12] beschrieben.

Verwendung Falls ein Rechner mehrere Netzwerk-Interfaces besitzt, so können Sie mit dieser Option festlegen, über welches Interface Verbindungen nach außen aufgebaut werden. Die kann z.B. bei Firewalls zwischen zwei Netzen nützlich sein. Man kann somit beeinflussen, dass die Verbindung nur in ein bestimmtes Netz weiter aufgebaut werden kann.

Bei der angegebenen Adresse muss es sich um lokales Interface handeln.

Option -Y <n> Verwendung Mit dieser Funktion können Sie den SAProuter beim Start veranlassen, automatisch einen neuen SAProuter zu starten, wenn die Client-Tabelle überlauft. Damit kann man die Begrenzung auf 1000 Clients umgehen.

saprouter -r -Y <n>

Die Zahl n gibt dabei an, wie oft ein neuer SAProuter maximal gestartet werden kann.

Wert von n Bedeutung

0 Immer, wenn die Client-Tabelle überläuft, wird ein neuer SAProuter gestartet.

1 Es wird kein SAProuter automatisch nachgestartet.

Maximal n mal wird bei Überlauf der Client-Tabelle ein neuer SAProuter gestartet. So können Sie die maximale Anzahl an laufenden SAProuter-Prozessen kontrollieren.

n > 1

Integration Wenn Sie mit der Option Option -l / -L [Seite 58] Informationen zum laufenden SAProuter anzeigen, sehen Sie, ob bzw. von welchem SAProuter-Prozess dieser SAProuter gestartet wurde.

Voraussetzungen Sie haben den SAProuter noch nicht gestartet. Diese Option können Sie nicht an einen laufenden SAProuter senden, sondern nur beim Start mitgeben.

Beispiel Wenn Sie sehr viele Verbindungen über den SAProuter laufen lassen wollen (mehr als 1000), können Sie den SAProuter mit den folgenden Optionen starten:

saprouter -r -Y 0 -C 2000

Dann wird immer, wenn die Client-Tabelle überläuft, automatisch ein neuer SAProuter nachgestartet, über den neue Verbindungen gehen.

SAProuter 7.10 66


Option -H <hostname> [-P <kennwort>] Verwendung Diese Option dient zu zweierlei: ...

1. Sie können die Option beim Start von SAProuter angeben:

saprouter -r -H <hostname> (System i: saprouter '-r -H <hostname>').

<hostname>Dies bewirkt, daß SAProuter nur auf der IP-Adresse des Hosts "hört"; ist mit der Option -S nichts anderes festgelegt, auf Default-Port 3299. Wird SAProuter ohne die Option -H gestartet, hört er auf allen IP-Adressen, die dieser Host besitzt. <hostname> kann auch eine IP-Adresse sein.

myhost hat zwei IP-Adressen: a1 und a2. Der Host

Der Aufruf saprouter -r (System i: saprouter '-r') bewirkt, daß SAProuter auf a1/3299 und auf a2/3299 hört. Der Aufruf saprouter -r -H a2 (System i: saprouter '-r -H a2') bewirkt, daß SAProuter nur auf a2/3299 hört.

Wenn Sie SAProuter mit der Option -H <hostname> gestartet haben, müssen Sie natürlich auch bei der Administration den Hostnamen angeben. Möchten Sie z. B., daß eine neue Route-Permission-Tabelle übernommen wird, müssen Sie saprouter -n -H <hostname> (System i: saprouter '-n -H <hostname>') eingeben.

2. Sie können diese Option bei einem laufenden SAProuter verwenden, um SAProuter-Info (die mit der Option -l / -L [Seite 58] angezeigt wird) von einem entfernten Rechner aus zu bekommen. Hierbei ist dann u. U. noch ein Kennwort erforderlich, das mit der Option -P <kennwort> (System i: Option '-P <kennwort>') eingegeben wird. Der SAProuter prüft dann anhand seiner Route-Permission-Tabelle [Seite 23], ob die Route mit dem Passwort erlaubt ist und gibt in diesem Fall die Information aus.

Auf host_sr, Port 3299 (Default) läuft ein SAProuter. Sie möchten von Host myhost aus die SAProuter-Info (z. B. Liste aller Clients des SAProuter) abfragen.

Geben Sie den Befehl saprouter -l -H host_sr -P pass (System i: saprouter '-l -H host_sr -P pass ') ein.

Der SAProuter prüft, ob seine Route-Permission-Tabelle den Eintrag

P myhost host_sr 3299 pass

myhostenthält. Ist dies der Fall, wird die SAProuter-Info auf Ihrem Host ausgegeben.

Integration Läuft der SAProuter auf einem anderen Port als dem Defaultport 3299, so kann dieser in der Befehlszeile mit der Option -S <service> [Seite 63] angegeben werden.

SAProuter 7.10 67


Option -A <initstring> Verwendung Diese Option wird nur in Zusammenhang mit der Option Option -a <lib> [Seite 60] benötigt. Wird SAProuter mit einer externen Bibliothek gestartet, so kann mit der Option -A <initstring> (System i: Option '-A <initstring>') dieser Bibliothek noch ein String übergeben werden.

Option -M <min>.<max> Verwendung Mit dieser Option kann man einen Bereich von Ports für ausgehende Verbindungen angeben. Zum Beispiel der Befehl saprouter -r -M 1.1023 erlaubt nur ausgehende Verbindungen von den (unter UNIX für root reservierten) Ports 1 bis 1023.

Integration Diese Option können Sie verwenden, um die Sicherheit zu erhöhen.

Weitere Informationen: Was ist SAProuter? [Seite 6]

SAProuter 7.10 68

saprouter - service€¦ · · 2017-04-25sap online help 26.10.2007 saprouter saprouter ist ein...

Documents