Jump to content

IPSec VPN Tunnel überwachen

glady

Von glady
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Otaku19 Veteran

Otaku19   33

Geschrieben
Geschrieben

Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?

 

 

Damit sieht man ob zu peer sowieso SAs offen sind...wobei, das ist auch irgendwie dämlich, angenommen du hats da eine mehrzeilige crypto ACl mit vielleich noch n paar gut gefüllten object-groups drin und ein Grossteil davon benutzt den Tunnel grade wird die Ausgabe recht lang, denn für jede "benutzte" zeile der ACL gibts eine SA

Link zu diesem Kommentar
Servidge Fellow

Servidge   10

Geschrieben
Geschrieben

Mit dem befehl 'crypto logging session' bekommst du Logmeldungen wenn Verbindungen up oder down gehen.

sieht dann so aus:

Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer x.x.x.x:4500 Id: 192.168.0.254

Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer y.y.y.y:4500 Id: 192.168.1.254

Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer x.x.x.x:4500 Id: 192.168.0.254

Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer y.y.y.y:4500 Id: 192.168.1.254

 

Die sind per Syslog auswertbar.

Wenn es nen SNMP Trap sein soll musst du dann per EEM auf das Event triggern.

Link zu diesem Kommentar
Servidge Fellow

Servidge   10

Geschrieben
Geschrieben

Naja, EEM ist schon nen bisschen länger in den IOS Versionen dabei. Der Funktionsumfang ist nur unterschiedlich.

Kommt immer auf den Versuch an.

Für eine funktionierende Konfig müsste ich auch erst noch etwas basteln.

 

Eine andere Möglichkeit wäre noch ein Tunnel (GRE) über die Verbindung zu legen.

Der geht dann auch down wenn die VPN Verbindung weg ist. Das Tunnel Interface ist dann wie jedes andere Interface abfragbar.

Die Gegenseite muss das dann halt auch unterstützen.

 

Von wie vielen VPN Verbindungen wird denn hier gesprochen?

Link zu diesem Kommentar
Servidge Fellow

Servidge   10

Geschrieben
Geschrieben

Bei so vielen Verbindungen zu unterschiedlichen Endpunkten wird das nichts mit den GRE Tunneln.

 

Das 'crypto logging session' und die Auswertung scheint das best geeignete.

Das einfachste wäre das Logging per syslog zu Sammeln und es dann auszuwerten.

 

Da ich ja auch die Möglichkeit der Traps mit dem EEM vorgeschlagen habe hier die nötigen Konfigzeilen.

Das ist aber nur auf die Schnelle zusammenkopiert. Schön ist der Trap nicht da im Grunde nur die Logzeile als Trap versendet wird.

Wenn nur das UP/DOWN und Peer und oder Id benötigt werden muss halt vor dem Trap versenden etwas daran "gearbeitet" werden.

 

snmp-server enable traps event-manager

snmp-server host 10.10.0.200 version 2c COMMUNITY

event manager applet BSP-VPN-SESSION

event syslog pattern "CRYPTO-5-SESSION_STATUS: Crypto tunnel is"

action 50 snmp-trap strdata "EEM Meldung $_syslog_msg"

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...