我们有一个 Cisco 2801,它也可以作为 Cisco VPN Client 的 VPN 服务器。我们想配置 IP 地址记录,以便每次用户使用 VPN 连接时,我们都想记录他的 IP 地址。
到目前为止,我们只有 3 个人。然而,随着时间的推移,越来越多的员工需要使用 VPN 连接到办公室,我不想用它sh crypto isakmp sa来验证每个新 VPN 连接的 IP 地址。
例如:当组中的某个人stuff登录时,我希望将他的 IP 地址和他的 IP 地址记录到系统日志中。
在下面的示例中,具有源 IP 地址的用户92.XX.XX.157已连接到 VPN 服务器。我在该路由器上收到的唯一内容是:
Feb 12 11:53:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up
但是在我连接到路由器并发出之前,无法知道谁登录了sh crypto isakmp sa
Router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
81.XX.XX.XX 92.XX.XX.157 QM_IDLE 1111 0 ACTIVE
Router#
Router#sh crypto session
Crypto session current status
Interface: Virtual-Access5
Profile: sdm-ike-profile-1
Group: stuff
Assigned address: 192.168.5.151
Session status: UP-ACTIVE
Peer: 92.XX.XX.157 port 38238
IKE SA: local 81.XX.XX.XX/4500 remote 92.XX.XX.157/38238 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.5.151
Active SAs: 2, origin: crypto map
我们怎样才能做到这一点?
该
crypto logging session命令大约是您将获得的最佳命令。它是在 IOS 12.3(4)T 中引入的。这将导致隧道向上/向下事件以以下形式记录:该日志记录中没有太多细节。如果您使用的是“EasyVPN”功能,那么
crypto logging ezvpn它将为您提供更多详细信息。除了在路由器本身登录之外,您绝对应该在您的 AAA 服务器上登录。