Cisco - Jak EEM rozwiązał problem z tunelami IPSEC

Jakiś czas temu natknąłem się na problem z tunelami IPSEC. Wszystkie rutery które są w sieci są podłączone do Internetu łączami kablowymi UPC. Niestety mimo, że adresy IP są stałe, to UPC co 24 godziny "odświeża" połączenie, co powoduje zerwanie szyfrowanych tuneli IPSEC. Nie byłby to żaden problem, bo normalnie ponowne zestawienie tunelu jest praktycznie niezauważalne dla zwykłego użytkownika. Tymczasem zdarza się że pomimo ponownego zestawienia łącza internetowego, tunel IPSEC nie nawiązuje poprawnie komunikacji i nie ma łączność pomiędzy oddziałem a centralą. Jest to o tyle uciążliwe, że trzeba zalogować się na zdalny ruter i zrestartować interfejs Tunnel. Tu z pomocą przychodzi mało znane narzędzie Cisco - Embedded Event Manager EEM. EEM dostarcza narzędzie do wykrywania i reagowania na różne zdarzenia występujące w sieci lub na urządzeniu. Do jego oprogramowania służy dość prosty język skryptowy. W opisywanym wyżej przypadku sprawdzana jest ilość peerów EIGRP i jeżeli jest ona mniejsza od 1, skrypt restartuje interfejs Tunnel. Do sprawdzenia użyte zostało SNMP i OID zwracający potrzebną wartość. Całość działa bardzo skutecznie i czy to po chwilowych, czy też po dłuższych przerwach, komunikacja IPSEC jest przywracana bez udziału użytkownika czy administratora.

!

event manager applet Tunnel_restart
  event snmp oid 1.3.6.1.4.1.9.9.449.1.5.1.1.3.0.100.8 get-type exact entry-op lt entry-val 1 exit-op ge exit-val 1 exit-time 20 poll-interval 60
  action 101 syslog priority notifications msg "Restart Tunnel100 interface due to IP-SEC problem"
  action 102 cli command "enable"
  action 103 cli command "conf t"
  action 104 cli command "inter Tu100"
  action 105 cli command "shutdown"
  action 106 cli command "no shutdown"
  action 107 cli command "end"
!