<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Comment surveiller un VPN Cisco ASA avec WhatsUp Gold

Jason Alberino| July 09 2020

| monitoring, Cisco, troubleshooting

surveiller le VPN Cisco ASA avec WhatsUp Gold

Le Cisco ASA est l'un des dispositifs VPN (réseau privé virtuel) les plus utilisés par des entreprises du monde entier. Le problème, c'est que si votre solution Cisco ASA ne fonctionne pas comme prévu, vos collaborateurs distants risquent de ne plus pouvoir être en mesure de travailler. En tant que responsable, vous devez être informé le plus rapidement possible en cas de problème. Dans cette publication, je vous indiquerai comment surveiller le VPN Cisco ASA avec WhatsUp Gold. Pour des conseils pratiques généraux sur la surveillance du VPN avec WUG, consultez ma publication pour la communauté.

 

Qu’est-ce que WhatsUp Gold ?

Solution de surveillance réseau complète, WhatsUp Gold vous permet de contrôler vos systèmes stratégiques, à la fois sur site et dans le Cloud. WhatsUp Gold est hautement personnalisable et flexible. Avec WhatsUp Gold, nous pouvons non seulement surveiller l'état de Zoom, mais aussi la disponibilité de l’infrastructure réseau, de l’infrastructure de serveurs, de l’infrastructure de stockage, et bien plus encore.

Comment puis-je surveiller mon VPN Cisco ASA ?

WhatsUp Gold vous permet d’assurer la surveillance de tout ce qui contient des données. Peu importe que ces données proviennent de systèmes sur site comme vos routeurs, commutateurs, pare-feu et serveurs ou d'environnements Cloud tels qu'AWS, Azure ou Meraki ainsi que de solutions SaaS (logiciels sous forme de service) comme Zoom, WebEx ou Office 365.

Cela dit, vous aurez plus que probablement toujours le choix entre plusieurs solutions pour relever le défi suivant : « Comment répondre à mes besoins de surveillance ? » Pour le VPN Cisco ASA, je suggère d'utiliser les interceptions SNMP envoyées à WhatsUp Gold. WhatsUp Gold accepte les interceptions SNMP utilisant des analyseurs passifs. Ces derniers vous permettent d'écouter les interceptions SNMP, les messages Syslog ou les événements Windows. Vous avez également la possibilité de lier des actions aux analyseurs passifs reçus, ce qui peut aller du simple e-mail sur le problème à l'exécution d'actions correctives via des commandes envoyées par l'action SSH de WhatsUp Gold.

Configurez votre périphérique pour l'envoi d'interceptions

Par défaut, votre appareil Cisco ne sera pas configuré pour envoyer des interceptions SNMP. Nous devons spécifier où envoyer nos interceptions, ainsi que les interceptions que nous voulons envoyer. Je ne vous indiquerai pas EXACTEMENT les éléments à inclure dans votre configuration, car elle peut varier en fonction du modèle et de la révision de l'IOS, mais je peux vous orienter vers un des liens à la documentation appropriée de Cisco afin de vous en occuper. La documentation de Cisco précise également d'autres interceptions SNMP qui pourraient vous intéresser en utilisant WhatsUp Gold.

En général, pour que l'analyseur présenté dans cet article soit opérationnel, vous devez envoyer l'interception souhaitée au serveur WhatsUp Gold, en intégrant la commande suivante dans votre configuration :

snmp-server enable traps all

La configuration finale ressemblera à cela :


ASA1# show run | grep snmp
snmp-server host inside 10.225.64.2 community ***** version 2c
snmp-server enable traps syslog
snmp-server enable traps ipsec start stop
snmp-server enable traps entity config-change cpu-temperature chassis-temperature accelerator-temperature
snmp-server enable traps memory-threshold
snmp-server enable traps interface-threshold
snmp-server enable traps remote-access session-threshold-exceeded
snmp-server enable traps connection-limit-reached
snmp-server enable traps cpu threshold rising
snmp-server enable traps ikev2 start stop
snmp-server enable traps nat packet-discard
snmp-server enable traps config

Comme vous pouvez le voir, j'ai indiqué la destination de mes interceptions SNMP et j'ai activé toutes les interceptions SNMP potentielles que le périphérique pouvait envoyer. WhatsUp Gold éliminera automatiquement celles que nous écoutons. Notez que vos appareils Cisco peuvent générer de nombreuses interceptions SNMP utiles et que WhatsUp Gold peut les écouter. Profitez-en pour découvrir également ces autres possibilités. L'interception de type « config » est l'une des interceptions SNMP les plus intéressantes proposées ici. Cela permet d'envoyer à WUG une interception SNMP à chaque modification de la configuration et nous pouvons l'utiliser pour exécuter une action de gestion de configuration dans WhatsUp Gold. Très probablement, nous proposerons bientôt une publication à ce sujet, alors restez à l'écoute.

 

Activer l'écouteur ou les écouteurs d'un analyseur passif

Pour utiliser ce type de configuration de surveillance, la première étape consiste à s'assurer que l'écouteur d’interceptions SNMP de votre système WhatsUp Gold est activé. Par défaut, il est désactivé ; donc si vous n’avez jamais activé l'écouteur d’interceptions SNMP jusqu’à présent, nous allons commencer par là. Si vous l’avez déjà activé, vous pouvez passer directement à l'étape suivante intitulée « Créer l’analyseur ».

Le processus d'activation de l'écouteur d’interceptions SNMP est très simple. Connectez-vous à l'interface Web de WhatsUp Gold, puis accédez à Paramètres > Paramètres système > Écouteurs des analyseurs passifs.


monitoring-cisco-vpn-with-whatsup-gold1

Dans la boîte de dialogue Écouteurs des analyseurs passifs, cochez la case Écouter les messages sous Paramètres de l'interception SNMP, puis cliquez sur Enregistrer en bas à gauche de la boîte de dialogue. C'est terminé : l’écouteur est activé.

 

monitoring-cisco-vpn-with-whatsup-gold2

monitoring-cisco-vpn-with-whatsup-gold2

Créer l'analyseur

Maintenant que votre écouteur d’interceptions SNMP est activé, nous devons créer un analyseur passif d'interception SNMP à associer au système Cisco ASA pour que WhatsUp Gold sache quelles interceptions SNMP doivent être enregistrées dans la base de données. Par défaut, toute interception SNMP envoyée au serveur WhatsUp Gold que nous ne lui demandons pas spécifiquement d'écouter sera rejetée.

Pour créer l’analyseur, accédez à Paramètres > Bibliothèques > Analyseurs pour ouvrir votre bibliothèque d’analyseurs. Dans la boîte de dialogue Bibliothèque d’analyseurs, cliquez sur le signe + et sélectionnez Analyseur passif.


 

monitoring-cisco-vpn-with-whatsup-gold3

monitoring-cisco-vpn-with-whatsup-gold3

 

Dans la boîte de dialogue Sélection d'un type d'analyseur passif, cliquez sur Analyseur des interceptions SNMP, puis sur Sélectionner en bas à gauche.

monitoring-cisco-vpn-with-whatsup-gold4

Dans la boîte de dialogue d'ajout d'un analyseur des interceptions SNMP, sélectionnez Enterprise Specific (Spécifique à une entreprise) sous Generic type (Major) (Type générique (Majeur)). Renseignez l'ID d'objet d'entreprise avec la chaîne 1.3.6.1.4.1.9.9.171.2.0 ; il s'agit de l'ID d'objet d'entreprise des notifications cipSecMIBNotifications de Cisco, qui présente l’ensemble des interceptions dont nous nous occupons ici. Pour Specific type (Minor) (Type spécifique (Mineur)), je vais utiliser Any (N'importe lequel) dans l'exemple. Ainsi, quelle que soit l’interception envoyée, si l'ID objet de l’interception commence par 1.3.6.1.4.1.9.9.171.2.0, cet analyseur le capturera. Si vous le souhaitez, il est possible également de créer des analyseurs spécifiques pour chaque type de condition en utilisant un seul chiffre de 1 à 13 dans la section Specific type (Minor) (Type spécifique (Mineur)). Par exemple, si je souhaite utiliser un analyseur uniquement pour « cikeTunnelStop », j’indiquerais un 2.

 

monitoring-cisco-vpn-with-whatsup-gold5

Si vous cliquez sur Parcourir, toutes les définitions d’interception SNMP suivantes et leur numéro mineur associé s’affichent. Voici une brève liste qui vous permet de vous y référer facilement :

  1. cikeTunnelStart : cette notification est générée lorsqu'un tunnel IPsec établi dans la phase 1 d'IKE devient actif.
  2. cikeTunnelStop : cette notification est générée lorsqu'un tunnel IPsec établi dans la phase 1 d'IKE devient inactif.
  3. cikeSysFailure : cette notification est générée lorsqu'une erreur interne ou de capacité du système affecte le traitement d'un tunnel IPsec établi dans la phase 1 d'IKE.
  4. cikeCertCrlFailure : Cette notification est générée lorsqu'une erreur concernant la liste de révocation des certificats (CRL) affecte le traitement d'un tunnel IPsec établi dans la phase 1 d'IKE.
  5. cikeProtocolFailure : Cette notification est générée lorsqu'une erreur de protocole affecte le traitement d'un tunnel IPsec établi dans la phase 1 d'IKE.
  6. cikeNoSa : Cette notification est générée lorsqu'une erreur concernant une association de sécurité inexistante affecte le traitement d'un tunnel IPsec établi dans la phase 1 d'IKE.
  7. cipSecTunnelStart : cette notification est générée lorsqu'un tunnel IPsec établi dans la phase 2 devient actif.
  8. cipSecTunnelStop : cette notification est générée lorsqu'un tunnel IPsec établi dans la phase 2 devient inactif.
  9. cipSecSysFailure : cette notification est générée lorsqu'une erreur interne ou de capacité du système affecte le traitement d'un tunnel IPsec établi dans la phase 2.
  10. cipSecSetUpFailure : cette notification est générée en cas d'échec de la configuration d'un tunnel IPsec établi dans la phase 2.
  11. cipSecEarlyTunTerm : cette notification est générée lorsqu'un tunnel IPsec établi dans la phase 2 est interrompu prématurément ou plus tôt que prévu.
  12. cikeProtocolFailure : cette notification est générée lorsqu'une erreur de protocole affecte le traitement d'un tunnel IPsec établi dans la phase 2.
  13. cipSecNoSa : cette notification est générée lorsqu'une erreur concernant une association de sécurité inexistante affecte le traitement d'un tunnel IPsec établi dans la phase 2.


    monitoring-cisco-vpn-with-whatsup-gold6

Affectez l’analyseur à votre périphérique

Une fois que vos analyseurs sont créés, il suffit de les affecter aux périphériques appropriés. Cette action peut être effectuée globalement à partir de Mon réseau. Accédez à un groupe ou, à l'aide de filtres, affichez uniquement les périphériques auxquels l'analyseur ou les analyseurs doivent être ajoutés, sélectionnez-les, cliquez avec le bouton droit de la souris sur l'un des périphériques et naviguez jusqu'à Modifier les périphériques > Affecter un analyseur > Analyseur passif.


monitoring-cisco-vpn-with-whatsup-gold7

Dans la boîte de dialogue suivante, sélectionnez l’interception SNMP comme type d'analyseur passif, sélectionnez l’analyseur passif que vous venez de créer, puis cliquez sur OK. Vos périphériques sont maintenant à l'écoute de ces interceptions.

monitoring-cisco-vpn-with-whatsup-gold8

Testez votre analyseur

Tester les analyseurs passifs est un peu plus difficile. Étant donné que WhatsUp Gold est à l’écoute d'un message, et qu’il ne s’agit donc pas de vérifier activement quelque chose (rôle des analyseurs actifs), nous devons simuler d'une manière ou d'une autre l'événement réel qui se produit. Vous pouvez, par exemple, créer un tunnel de test, puis le démarrer/l’arrêter. Comme je ne suis pas du tout expert dans les configurations Cisco, il est préférable de s’adresser au support Cisco si nécessaire.

Que fait donc exactement cet analyseur ?

Fondamentalement, chaque fois que le statut de vos tunnels VPN change ou en cas d’erreur (quelle qu'elle soit), une interception SNMP sera envoyée à WhatsUp Gold. Nous pouvons alors envoyer une alerte (e-mail ou SMS, par exemple), effectuer une action corrective (SSH ou PowerShell, par exemple), ou même faire les deux.

Remarques finales

Vous pouvez également utiliser les rôles de périphérique de WhatsUp Gold pour ajouter automatiquement cet analyseur passif à vos pare-feu si nécessaire. Pour ce faire, vous pouvez soit modifier le sous-rôle de pare-feu intégré, soit créer votre propre rôle/sous-rôle si vous le souhaitez. Ultérieurement, nous proposerons une nouvelle publication sur les rôles de périphérique en général.

Quoi d'autre ?

Vous avez maintenant la possibilité d'associer des actions à votre analyseur. Il peut s'agir d'e-mails, de messages textuels et bien d'autres choses encore. N'oubliez pas que ce n'est qu'UNE des NOMBREUSES manières de procéder dans le cadre de WhatsUp Gold. Je pourrais, par exemple, aborder les statistiques individuelles de chaque tunnel ou même les statistiques individuelles des utilisateurs. Je pourrais continuer encore et encore, mais nous en resterons là pour l'instant. Bonne surveillance !

Si vous souhaitez découvrir précisément comment WhatsUp Gold peut vous aider pour la surveillance de vos périphériques réseau, téléchargez une version d'essai gratuite.

 

 

Topics: monitoring, Cisco, troubleshooting

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Jason Alberino

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.