我们有一台 Cisco 2801,它还充当 Cisco VPN 客户端的 VPN 服务器。我们希望配置 IP 地址记录,以便每次用户使用 VPN 连接时,我们都记录他的 IP 地址。
到目前为止,我们只有 3 个人。但是随着时间的推移,越来越多的员工需要使用 VPN 连接到办公室,而我不想sh crypto isakmp sa为每个新的 VPN 连接验证 IP 地址。
例如:当群组stuff中的某个人登录时,我希望将其 IP 地址记录到系统日志中。
在下面的示例中,具有源 IP 地址的用户92.XX.XX.157已连接到 VPN 服务器。我在该路由器上收到的唯一信息是:
Feb 12 11:53:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up
但在我连接到路由器并发出问题之前,没有办法知道谁登录了sh crypto isakmp sa
Router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
81.XX.XX.XX 92.XX.XX.157 QM_IDLE 1111 0 ACTIVE
Router#
Router#sh crypto session
Crypto session current status
Interface: Virtual-Access5
Profile: sdm-ike-profile-1
Group: stuff
Assigned address: 192.168.5.151
Session status: UP-ACTIVE
Peer: 92.XX.XX.157 port 38238
IKE SA: local 81.XX.XX.XX/4500 remote 92.XX.XX.157/38238 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.5.151
Active SAs: 2, origin: crypto map
我们如何才能实现这个目标?
答案1
这crypto logging session命令是你能得到的最好的命令。它是在 IOS 12.3(4)T 中引入的。这将导致隧道启动/关闭事件以以下形式记录:
%CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer 10.0.0.1:500 Id: 10.0.0.1
%CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer 10.0.0.1:500 Id: 10.0.0.1
该日志中没有太多详细信息。如果您使用“EasyVPN”功能,那么crypto logging ezvpn将会给你更多细节。
除了在路由器本身上登录之外,您还应该在 AAA 服务器上登录。