Назад | Перейти на главную страницу

Как настроить ведение журнала аудита удаленных IP-адресов для VPN-клиентов на Cisco 2801

У нас есть Cisco 2801, который также действует как сервер VPN для клиента Cisco VPN. Мы хотели бы настроить ведение журнала IP-адреса, чтобы каждый раз, когда пользователь подключается с помощью VPN, мы хотели регистрировать его IP-адрес.

Пока нас было только трое. Однако со временем все больше и больше сотрудников должны подключаться к офису с помощью VPN, и я не хочу использовать sh crypto isakmp sa для проверки IP-адреса для каждого нового VPN-подключения.


Например: когда кто-то формирует группу stuff входит в систему, я бы хотел, чтобы это и его IP-адрес были записаны в системный журнал.

В приведенном ниже примере пользователь с исходным IP-адресом 92.XX.XX.157 подключился к серверу VPN. Единственное, что я получаю по этому роутеру:

Feb 12 11:53:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up

Но невозможно узнать, кто вошел в систему, пока я не подключусь к маршрутизатору и не выдаю sh crypto isakmp sa

Router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
81.XX.XX.XX    92.XX.XX.157    QM_IDLE           1111    0 ACTIVE
Router#
Router#sh crypto session
Crypto session current status

Interface: Virtual-Access5
Profile: sdm-ike-profile-1
Group: stuff
Assigned address: 192.168.5.151
Session status: UP-ACTIVE
Peer: 92.XX.XX.157 port 38238
  IKE SA: local 81.XX.XX.XX/4500 remote 92.XX.XX.157/38238 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.5.151
        Active SAs: 2, origin: crypto map

Как мы можем этого добиться?

В crypto logging session команда - это лучшее, что вы собираетесь получить. Он был представлен в IOS 12.3 (4) T. Это приведет к тому, что события туннеля вверх / вниз будут регистрироваться в форме:

%CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 10.0.0.1:500       Id: 10.0.0.1
%CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 10.0.0.1:500       Id: 10.0.0.1

В этом журнале не так много подробностей. Если вы используете функцию «EasyVPN», тогда crypto logging ezvpn даст вам еще более подробную информацию.

Вы обязательно должны регистрироваться на своем сервере AAA в дополнение к регистрации на самом маршрутизаторе.