如何使用 Nagios 监控 Cisco IPsec VPN？

Question 1

如果可以的话，请尝试执行以下操作：

测试身份验证后端 - 您的 vpn 是否针对 radius 进行身份验证？如果是，请使用 radius 插件设置 nagios。
检查 VPN 登录时间的间隙。如果您正在运行一个繁忙的 VPN 服务器，您很可能会在工作时间内每 10 分钟至少看到一次登录。我有一个自定义的 nagios 插件，它查询 radius 会计数据库，并检查是否有人在过去 10 分钟内成功登录。

上述两项“额外”检查非常有价值。

Answer

如果可以的话，请尝试执行以下操作：

测试身份验证后端 - 您的 vpn 是否针对 radius 进行身份验证？如果是，请使用 radius 插件设置 nagios。
检查 VPN 登录时间的间隙。如果您正在运行一个繁忙的 VPN 服务器，您很可能会在工作时间内每 10 分钟至少看到一次登录。我有一个自定义的 nagios 插件，它查询 radius 会计数据库，并检查是否有人在过去 10 分钟内成功登录。

上述两项“额外”检查非常有价值。

Question 2

使用 check_snmp 命令获取连接信息，该信息将特定于您的设备/设置，但通常遵循传统的 Nagios 方法。找到您需要的 OID，然后设置警告/严重阈值——因此在我的例子中它看起来像：

check-snmp!.1.3.6.1.4.1.3076.2.1.2.17.1.1.0!COMMUNITY!22!24

我最后的警告/关键阈值（22、24）基于我允许此 VPN 服务器分配给远程客户端的 DHCP 地址数量。我查询的 OID 告诉我当前正在使用和跟踪的地址数量（因此，此池特定于此 VPN 设备，而不是由另一个守护程序等给出的）

Answer

使用 check_snmp 命令获取连接信息，该信息将特定于您的设备/设置，但通常遵循传统的 Nagios 方法。找到您需要的 OID，然后设置警告/严重阈值——因此在我的例子中它看起来像：

check-snmp!.1.3.6.1.4.1.3076.2.1.2.17.1.1.0!COMMUNITY!22!24

我最后的警告/关键阈值（22、24）基于我允许此 VPN 服务器分配给远程客户端的 DHCP 地址数量。我查询的 OID 告诉我当前正在使用和跟踪的地址数量（因此，此池特定于此 VPN 设备，而不是由另一个守护程序等给出的）

Question 3

虽然到目前为止的答案都很有用，但我还是会从简单开始，检查思科设备是否可以从外部访问。让网络外部的外部监控节点检查设备，看看它是否可以访问。

然后如果您想要更多细节，请在内部加入 RADIUS 检查。

我经常沉迷于内部监控 5 个以上的项目，而一次简单的外部检查就可以发现内部项目组合所发现的 99% 的错误。

Answer

虽然到目前为止的答案都很有用，但我还是会从简单开始，检查思科设备是否可以从外部访问。让网络外部的外部监控节点检查设备，看看它是否可以访问。

然后如果您想要更多细节，请在内部加入 RADIUS 检查。

我经常沉迷于内部监控 5 个以上的项目，而一次简单的外部检查就可以发现内部项目组合所发现的 99% 的错误。

相关内容