我们有一个Cisco 2801,也可以作为Cisco VPN客户端的VPN服务器。 我们希望configurationIP地址logging,以便每次用户使用VPN连接时,我们都希望logging他的IP地址。
到目前为止,我们只有三个人。 但随着时间的推移,越来越多的员工需要使用VPN连接到办公室,我不想使用sh crypto isakmp sa来validation每个新VPN连接的IP地址。
例如:当某人组成stufflogin时,我希望将他的IP地址logging到系统日志中。
在下面的示例中,源IP地址为92.XX.XX.157的用户已连接到VPN服务器。 我在路由器上唯一收集的是:
Feb 12 11:53:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up
但是没有办法知道谁连接到路由器,然后发出sh crypto isakmp sa
Router#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 81.XX.XX.XX 92.XX.XX.157 QM_IDLE 1111 0 ACTIVE Router# Router#sh crypto session Crypto session current status Interface: Virtual-Access5 Profile: sdm-ike-profile-1 Group: stuff Assigned address: 192.168.5.151 Session status: UP-ACTIVE Peer: 92.XX.XX.157 port 38238 IKE SA: local 81.XX.XX.XX/4500 remote 92.XX.XX.157/38238 Active IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.5.151 Active SAs: 2, origin: crypto map
我们怎样才能做到这一点?
crypto logging session命令是关于你将得到的最好的。 它是在IOS 12.3(4)T中引入的。 这将导致隧道加/减事件以下面的forms被logging:
%CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer 10.0.0.1:500 Id: 10.0.0.1 %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer 10.0.0.1:500 Id: 10.0.0.1
这个日志里没有太多的细节。 如果你使用“EasyVPN”function,那么crypto logging ezvpn会给你更多的细节。
除了在路由器本身login之外,你一定要login你的AAA服务器。