cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
987
Visitas
30
ÚTIL
7
Respuestas

VPN IPSEC VS EVENT-MANAGER

Francisco Díaz
Level 1
Level 1

Hola!

Es posible asociar los diferentes estados de una VPN IPSEC (UP-Active, UP-idle, DOWN) a un event-manager applet?

La idea es ejecutar una serie de comandos en mi router cuando la VPN pase de ACTIVE a DOWN.

 

Espero puedan ayudarme! gracias..

saludos!

FDC

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Diana Karolina Rojas
Cisco Employee
Cisco Employee

Hola Francisco muy buenas tardes,

 

 

Adicional a lo que comenta Julio no pude encontrar en script que haga esto directamente con el estado de la VPN, algo que puedes hacer es combinarlo con IP SLA y haciendo un track a una IP que solo sea alcanzable a través del tunel VPN, luego de esto le dices al EEM que te genere un log e incluso lo puedes configurar para que genere un correo electrónico. 

Por favor no olvides calificar las respuestas útiles.

 

Saludos cordiales,

Ver la solución en mensaje original publicado

7 RESPUESTAS 7

Hola Francisco,

Si se puede siempre y cuando se genere un mensaje de alerta cuando ha fallado la VPN o utilizando un IP SLA con icmp-echo para que se genere un error una vez el peer de VPN este sin responder. Por lo general si habilitas los logs (logging) puedes ver mensajes como los siguientes cuando la VPN ha perdido a su peer.

 

ASA1# %ASA-3-713123: Group = 20.0.0.2, IP = 20.0.0.2, IKE lost contact with remote peer, deleting connection (keepalive type: DPD)
%ASA-5-713259: Group = 20.0.0.2, IP = 20.0.0.2, Session is being torn down. Reason: Lost Service
%ASA-4-113019: Group = 20.0.0.2, Username = 20.0.0.2, IP = 20.0.0.2, Session disconnected. Session Type: LAN-to-LAN, Duration: 0h:00m:33s, Bytes xmt: 400, Bytes rcv: 400, Reason: Lost Service

 

Espero te sea util

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Gracias Julio! en mi caso la VPN la estoy levantando en un Router ISR4451. Sabes si es posible que habilite los logs del equipo sin afectar su performance?

Que tal Francisco, como estas?

En las nuevas imagenes de IOS se incluyo el siguiente comando para generar logs una vez se detecte alguna situacion con las sesiones de la VPN:

crypto logging session

 

generando un mensaje parecido a: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN  

 

Si utilizas IP SLA para generar un mensaje te recomiendo la siguiente configuración:

 

ip sla 10
icmp-echo <ip de destino> source-interface <interface de origen de ping>
frequency 5

 

ip sla schedule 10 life forever start-time now
ip sla logging traps
ip sla enable reaction-alerts

 

track 10 ip sla 10 reachability
delay down 10 up 10

 

Cabe mencionar que la configuración del IP SLA y sus parametros podrian variar dependiendo del IOS.

 

Ejemplo:

En lugar de track 10 ip sla 10 reachability seria de configurar: 

track 10 rtr 10 reachability

 

Una vez te genere un mensaje de error, tu puedes utilizarlo para crear el script de EEM. Recuerda habilitar el logging.

Mensaje parecido a:

*Mar  1 00:08:15.371: %TRACKING-5-STATE: 10 rtr 10 reachability Up->Down 

 

Un ejemplo basico de EEM Script basado en el mensaje anterior es:

 

event manager applet MI-SCRIPT
event syslog pattern "%TRACKING-5-STATE: 10 rtr 10 reachability Up->Down"
action 1 cli command "enable"
action 2 cli command "configure terminal"
action 3 cli command "interface fa0/0"
action 4 cli command "shutdown"
action 5 cli command "exit"

action 6 cli command "write memory"

 

También puedes hacer que te envie un correo, con este ejemplo la interface fa0/0 es apagada automáticamente una vez el mensaje se recibe. Si de casualidad no te funciona el script puedes ejecutar un debug para que te muestre en que salto esta fallando: 

 

logging console debug
 debug event manager action cli

 

Espero esto te ayude.

 

Saludos, 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola Julio! 

Muchas gracias, lo que comentas se acerca mucho a lo que estoy buscando.

Lo aplicaré y les comparto comentarios respecto al resultado.

 

saludos!!

Un gusto Francisco, espero te funcione.

:-)

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Diana Karolina Rojas
Cisco Employee
Cisco Employee

Hola Francisco muy buenas tardes,

 

 

Adicional a lo que comenta Julio no pude encontrar en script que haga esto directamente con el estado de la VPN, algo que puedes hacer es combinarlo con IP SLA y haciendo un track a una IP que solo sea alcanzable a través del tunel VPN, luego de esto le dices al EEM que te genere un log e incluso lo puedes configurar para que genere un correo electrónico. 

Por favor no olvides calificar las respuestas útiles.

 

Saludos cordiales,

Gracias Diana, creo que esta sería una buena solución. Tendré que negociarlo con el usuario del peer remoto para agregar una IP de "monitoreo" al VPN.