Monitoreo de túneles de VPN a través de SNMP

Un túnel VPN puede ser monitoreado como cualquier otra interfaz. Si el MIB IfTable es monitoreado, se puede ver el estado de protocolo o de administración de la interfaz.

Éste es un ejemplo de snmpwalk para ifTable:

# snmpget foo.cisco.com ifDescr.3 ifOperStatus.3 ifAdminStatus.3
ifDescr.3 : DISPLAY STRING: Tunnel0
ifOperStatus.3 : INTEGER: up
ifAdminStatus.3 : INTEGER: up

También se pueden  configurar traps de SNMP para el túnel.
Éstos son los traps disponibles desde CISCO-IPSEC-FLOW-MONITOR-MIB:

enterprise 1.3.6.1.4.1.9.9.171.2
1 cikeTunnelStart
2 cikeTunnelStop
3 cikeSysFailure
4 cikeCertCrlFailure
5 cikeProtocolFailure
6 cikeNoSa
7 cipSecTunnelStart
8 cipSecTunnelStop
9 cipSecSysFailure
10 cipSecSetUpFailure
11 cipSecEarlyTunTerm
12 cipSecProtocolFailure
13 cipSecNoSa

Éstos son los traps  disponibles desde CISCO-IPSEC-MIB:

enterprise 1.3.6.1.4.1.9.10.62.2
1 cipsIsakmpPolicyAdded
2 cipsIsakmpPolicyDeleted
3 cipsCryptomapAdded
4 cipsCryptomapDeleted
5 cipsCryptomapSetAttached
6 cipsCryptomapSetDetached
7 cipsTooManySAs

Éstos son los traps disponibles desde CISCO-PORT-SECURITY-MIB:

enterprise 1.3.6.1.4.1.9.9.315
1 cpsSecureMacAddrViolation

Para habilitar los traps de IPSEC, se pueden usar los siguients comandos:

snmp-server enable traps isakmp policy add
snmp-server enable traps isakmp policy delete
snmp-server enable traps isakmp tunnel start
snmp-server enable traps isakmp tunnel stop
snmp-server enable traps ipsec cryptomap add
snmp-server enable traps ipsec cryptomap delete
snmp-server enable traps ipsec cryptomap attach
snmp-server enable traps ipsec cryptomap detach
snmp-server enable traps ipsec tunnel start
snmp-server enable traps ipsec tunnel stop
snmp-server enable traps ipsec too-many-sas

Para más información sobre este tema puede dirigirse a la siguiente liga:

http://www.cisco.com/en/US/customer/docs/ios/12_0t/12_0t7/feature/guide/vpnmng.html#wp7098