キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

 AMATopBanner2021.4.JPG

 2021Apr.TopBanner.JPG

 

2645
閲覧回数
5
いいね!
3
返信
k.f.saigusa
Beginner

Cisco 841M のIPsec VPN接続のログについて

C841MをVPNルータとして構成しています。

WAN側はSite-to-siteのVPNを構成し、対向側にもC841を置いて常時VPN接続する構成になっています。

このC841MにLAN側のクライアントから、やはりIPsec VPNクライアントで接続する構成にしています。

LAN側のVPN接続時は、PSKとXauthを用いた認証を行っています。ユーザデータベースはローカルです。

このLAN側からのVPN接続時、接続元クライアントのIPアドレスとXauth認証時のユーザ名をログに記録したいと考えているのですが、その方法がわかりません。

ユーザデータベースをRADIUSにしてRADIUSのログを参照すればいいのでしょうか。

ローカル認証のままでSource IPとUsernameを記録する方法はないでしょうか。

よろしくお願いいたします。

1 件の受理された解決策

受理された解決策
Shinpei Kono
Cisco Employee


お世話になります。
Active なセッション情報の取得だけでよろしければ  show crypto session の出力はいかがでしょうか。特に brief オプションを使用すると分かりやすいと思います。

以下は Command Reference からの抜粋になります。

The following example shows the show crypto session brief command output:

Device# show crypto session brief Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating K - No IKE ivrf = (none) Peer I/F Username Group/Phase1_id Uptime Status 10.1.1.2 Vi2 cisco easy 00:50:30 UA


その時点の Active なセッションだけでなく、すべてのセッションを記録されたいということでしたら、crypto logging ezvpn という設定を有効にすることで、以下のようなログが出力されるようになりますので、これを syslog サーバに転送したり、buffer に保存するようにしていただければと思います。

以下は C841M での出力例となります。

Router#show version | section IOS
Cisco IOS Software, C800M Software (C800M-UNIVERSALK9-M), Version 15.5(3)M2, RELEASE SOFTWARE (fc1)

May 10 17:04:26.799: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Authentication PASSED User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100

May 10 17:04:27.807: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Save password feature ON User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100

May 10 17:04:27.815: %CRYPTO-6-EZVPN_CONNECTION_UP: (Server) Mode=CLIENT_OR_NEM_PLUS Client_type=xxxx User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100 Assigned_client_addr=172.16.0.26


お使いの設定を踏まえていませんので、もしも上記のような出力が得られないようでしたら、C841M の show version と show running-config の出力をアップロードください。IP や username 等はマスクしていただくか、別のものに差し替えていただいて問題ございません。

どうぞよろしくお願いいたします。

元の投稿で解決策を見る

3件の返信3
CiscoJapanModerator
Rising star

 様

いつもシスコサポートコミュニティへご参加頂きありがとうございます。

当ディスカッション「ルータ/スイッチ」コミュニティにご投稿頂いておりましたが、
Cisco Start ルータコミュニティに該当する内容と思われるため、勝手ながら投稿先コミュニティを移動させて頂きました。

お見知り置き頂ければ幸いです。

シスコサポートコミュニティ事務局

Shinpei Kono
Cisco Employee


お世話になります。
Active なセッション情報の取得だけでよろしければ  show crypto session の出力はいかがでしょうか。特に brief オプションを使用すると分かりやすいと思います。

以下は Command Reference からの抜粋になります。

The following example shows the show crypto session brief command output:

Device# show crypto session brief Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating K - No IKE ivrf = (none) Peer I/F Username Group/Phase1_id Uptime Status 10.1.1.2 Vi2 cisco easy 00:50:30 UA


その時点の Active なセッションだけでなく、すべてのセッションを記録されたいということでしたら、crypto logging ezvpn という設定を有効にすることで、以下のようなログが出力されるようになりますので、これを syslog サーバに転送したり、buffer に保存するようにしていただければと思います。

以下は C841M での出力例となります。

Router#show version | section IOS
Cisco IOS Software, C800M Software (C800M-UNIVERSALK9-M), Version 15.5(3)M2, RELEASE SOFTWARE (fc1)

May 10 17:04:26.799: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Authentication PASSED User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100

May 10 17:04:27.807: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Save password feature ON User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100

May 10 17:04:27.815: %CRYPTO-6-EZVPN_CONNECTION_UP: (Server) Mode=CLIENT_OR_NEM_PLUS Client_type=xxxx User=cisco Group=vpnserver Client_public_addr=10.121.10.3 Server_public_addr=10.130.3.100 Assigned_client_addr=172.16.0.26


お使いの設定を踏まえていませんので、もしも上記のような出力が得られないようでしたら、C841M の show version と show running-config の出力をアップロードください。IP や username 等はマスクしていただくか、別のものに差し替えていただいて問題ございません。

どうぞよろしくお願いいたします。

元の投稿で解決策を見る

ありがとうございます。

crypto logging ezvpnの設定を有効にして、例示いただいた通りのログが記録できるようになりました。

私が望んでいた通りの出力が得られました。

たいへん助かりました。ありがとうございました。

Content for Community-Ad



このウィジェットは表示できません。