例如,有人能推荐一种通过SNMP建立IPsec隧道监控的好方法吗?VTI隧道非常容易监控,因为它与任何其他虚拟接口没有什么区别,但是对于IPsec隧道,我还没有找到一个好的方法。通常我做的是监视另一边的一些设备,通过隧道。
你好,安德烈亚斯
发布于 2014-04-10 20:57:05
您是否考虑过在远程路由器/防火墙(不管另一端隧道设备是什么)上创建一个回送接口并对其进行监视?您可以使它成为一个RFC 1918地址,并且只能通过VPN隧道访问。这将为您提供一些不受远端设备/网络不稳定性影响的监视设备。
发布于 2014-04-18 19:02:10
根据我的经验,取决于创建IPSec隧道的设备,以及它是否基于路由或策略。
对于基于路由的IPSec隧道,设备通常将其添加为另一个接口,您可以在MIB2中直接监视它。
以政策为基础。监视远端的一些东西,比如远端的内部IP,可能是最好的。回环可以避免远端网络下降的假阳性,但设备仍在运行,但在基于策略的隧道中,创建的工作可能比没有的要多,而且只有当有东西在上面交谈时,隧道才会真正有用。
我只想继续监视远处。简单地说,如果远侧在监控中下降了,那么您就知道隧道没有工作(要么是隧道下的设备问题,要么是远侧设备的问题;不管怎样,隧道没有通过交通)。
https://networkengineering.stackexchange.com/questions/7291
复制相似问题