Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
IPsec VPN Accounting
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 241 KB | Inglés (30 Marzo 2011) | Comentarios

Contenidos

IPsec VPN Accounting

Encontrar la información de la característica

Contenido

Prerrequisitos de IPsec VPN Accounting

Información sobre Contabilización VPN de IPSec

Contabilización RADIUS

El RADIUS comienza a considerar

El RADIUS para el considerar

Estadísticas de la actualización RADIUS

Interacción Entre Subsistemas IKE e IPSec

Inicio de contabilización

Parada de Contabilización

Actualizaciones que consideran

Cómo Configurar IPsec VPN Accounting

Configuración de IPsec VPN Accounting

Prerrequisitos

Configuración de las Actualizaciones de Contabilización

Prerrequisitos

Troubleshooting de IPsec VPN Accounting

Ejemplos de Configuración de IPsec VPN Accounting

Ejemplo de Contabilización y Perfil ISAKMP

Ejemplo de Contabilización sin Perfiles ISAKMP

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para considerar del IPSec VPN

Glosario


IPsec VPN Accounting


Primera publicación: De marzo el 17 de 2003
Última actualización: De marzo el 29 de 2011

La característica de contabilidad del IPSec VPN permite que una sesión sea considerada indicando cuando la sesión comienza y para. Definen a una sesión de VPN como una asociación de seguridad del Internet Key Exchange (IKE) (SA) y los uno o más pares SA que sean creados por IKE SA. La sesión comienza cuando se crea el primer par de la seguridad IP (IPSec) y para cuando se borra todo el SA de IPSec. La sesión que identifica la información y la información del uso de sesión se pasa al servidor del Remote Authentication Dial-In User Service (RADIUS) con los atributos RADIUS estándars y los atributos específicos del proveedor (VSA).

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la “información de la característica para la sección que considera del IPSec VPN”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Prerrequisitos de IPsec VPN Accounting

Información sobre Contabilización VPN de IPSec

Cómo Configurar IPsec VPN Accounting

Ejemplos de Configuración de IPsec VPN Accounting

Referencias adicionales

Información de la característica para considerar del IPSec VPN

Glosario

Prerrequisitos de IPsec VPN Accounting

Usted debe entender cómo configurar considerar RADIUS y del Authentication, Authorization, and Accounting (AAA).

Usted debe saber configurar considerar del IPSec.

Información sobre Contabilización VPN de IPSec

Para configurar el IPSec VPN que considera, usted debe entender los conceptos siguientes:

Contabilización RADIUS

Interacción Entre Subsistemas IKE e IPSec

Contabilización RADIUS

Para muchas Redes grandes, se requiere que la actividad del usuario esté registrada para auditoría los propósitos. El método que se utiliza la mayoría es estadísticas RADIUS.

Las estadísticas RADIUS permiten para que una sesión sea explicada indicando cuando la sesión comienza y cuando para. Además, la sesión que identifica la información y la información del uso de sesión se pasa al servidor de RADIUS con los atributos de RADIUS y los VSA.

El RADIUS comienza a considerar

El paquete del comienzo RADIUS contiene muchos atributos que identifiquen generalmente de quién está pidiendo el servicio y de qué consiste la propiedad de ese servicio. El cuadro 1 representa los atributos requeridos para el comienzo.

Atributos del paquete de inicio de contabilidad del cuadro 1 RADIUS 

Atributos RADIUS
Valor
Atributo
Descripción

1

username

Nombre de usuario usado en el Autenticación ampliada (Xauth). El nombre de usuario puede ser NULO cuando el XAUTH no se utiliza.

4

Nas-ip-address

La identificación de la dirección IP del servidor de acceso a la red (NAS) ese sirve al usuario. Debe ser única al NAS dentro del ámbito del servidor de RADIUS.

5

NAS-puerto

Número de puerto físico del NAS que sirve al usuario.

8

Framed-IP-direccionamiento

Dirección privada afectada un aparato para la sesión de la seguridad IP (IPSec).

40

acct-estatus-tipo

Tipo del estatus. Este atributo indica si esta petición de las estadísticas marca el principio (comienzo), el extremo (parada), o una actualización de la sesión.

41

acct-retardo-tiempo

Número de segundos que el cliente ha estado intentando enviar un expediente determinado.

44

acct-sesión-identificación

Identificador único de las estadísticas que hace fácil hacer juego el registro de inicio y de detención en un archivo del registro.

26

VRF-identificación

Ate que representa el nombre del promotor de la ruta virtual (VRF).

26

ISAKMP-iniciador-IP

Dirección IP del punto final del iniciador del intercambio de claves de los internetes remotos (IKE) (V4).

26

ISAKMP-grupo-identificación

Nombre del perfil del grupo VPN usado para considerar.

26

isakmp-phase1-id

Identificación de la fase 1 (ID) usada por el IKE (por ejemplo, [DN] del Domain Name, [FQDN] del Nombre de dominio totalmente calificado (FQDN), dirección IP) para ayudar a identificar el iniciador de la sesión.


El RADIUS para el considerar

El paquete de la parada RADIUS contiene muchos atributos que identifiquen el uso de la sesión. El cuadro 2 representa los atributos adicionales requeridos para el paquete de la parada RADIUS. Es posible que solamente el paquete de la parada está enviado sin el comienzo si está configurado para hacer tan. Si solamente se envía el paquete de la parada, éste permite una forma sencilla de reducir la cantidad de registros que va al servidor de AAA.

Atributos del paquete de finalización de contabilidad del cuadro 2 RADIUS 

Atributos RADIUS
Valor
Atributo
Descripción

42

acct-entrada-octetos

Número de octetos que se han recibido del cliente del Unity a lo largo del servicio se está proporcionando que.

43

acct-salida-octetos

Número de octetos que se han enviado al cliente del Unity en el curso de entregar este servicio.

46

acct-sesión-tiempo

Longitud del tiempo (en los segundos) que el cliente del Unity ha recibido el servicio.

47

acct-entrada-paquetes

Cantidad de paquetes que se han recibido del cliente del Unity en el curso de entregar este servicio.

48

acct-salida-paquetes

Cantidad de paquetes que se han enviado al cliente del Unity en el curso de entregar este servicio.

49

acct-terminar-causa

Para uso futuro.

52

acct-entrada-gigawords

Cuántas veces los Acct-Entrada-octetos contrarios han envuelto alrededor de los 232 (2 al 32do poder) a lo largo de este servicio.

52

acct-salida-gigawords

Cuántas veces los Acct-Entrada-octetos contrarios han envuelto alrededor de los 232 (2 al 32do poder) a lo largo de este servicio.


Estadísticas de la actualización RADIUS

Se soportan las actualizaciones de las estadísticas RADIUS. Las cuentas del paquete y del octeto se muestran en las actualizaciones.

Interacción Entre Subsistemas IKE e IPSec

Inicio de contabilización

Si se configura el considerar del IPSec, después de que las fases IKE sean completas, un registro de comienzo de las estadísticas se genera para la sesión. Los nuevos registros de contabilidad no se generan durante una reintroducción.

Lo que sigue es un registro de comienzo de la cuenta que fueron generados en un router y que debe ser enviado al servidor de AAA se define que:

*Aug 23 04:06:20.131: RADIUS(00000002): sending
*Aug 23 04:06:20.131: RADIUS(00000002): Send Accounting-Request to 10.1.1.4:1646 id 4, len 
220
*Aug 23 04:06:20.131: RADIUS:  authenticator 38 F5 EB 46 4D BE 4A 6F - 45 EB EF 7D B7 19 
FB 3F
*Aug 23 04:06:20.135: RADIUS:  Acct-Session-Id     [44]  10  "00000001"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  31  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   25  "isakmp-group-id=cclient"
*Aug 23 04:06:20.135: RADIUS:  Framed-IP-Address   [8]   6   10.13.13.1                
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=11.1.2.2"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No 
Progress"
*Aug 23 04:06:20.135: RADIUS:  User-Name           [1]   13  "joe@cclient"
*Aug 23 04:06:20.135: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 04:06:20.135: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 04:06:20.135: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 04:06:20.135: RADIUS:  NAS-IP-Address      [4]   6   10.1.1.147               
*Aug 23 04:06:20.135: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 04:06:20.139: RADIUS: Received from id 21645/4 10.1.1.4:1646, Accounting-response, 
len 20
*Aug 23 04:06:20.139: RADIUS:  authenticator B7 E3 D0 F5 61 9A 89 D8 - 99 A6 8A 8A 98 79 
9D 5D

Parada de Contabilización

Se genera un paquete de finalización de contabilidad cuando no hay flujos (IPSec SA empareja) con el peer remoto.

Los expedientes de la parada de las estadísticas contienen la siguiente información:

Paquetes hacia fuera

Paquetes adentro

Octetos hacia fuera

Gigawords adentro

Gigawords hacia fuera

Abajo está un registro de comienzo de la cuenta que fue generado en un router. El registro de comienzo de la cuenta debe ser enviado al servidor de AAA se define que.

*Aug 23 04:20:16.519: RADIUS(00000003): Using existing nas_port 0
*Aug 23 04:20:16.519: RADIUS(00000003): Config NAS IP: 100.1.1.147
*Aug 23 04:20:16.519: RADIUS(00000003): sending
*Aug 23 04:20:16.519: RADIUS(00000003): Send Accounting-Request to 100.1.1.4:1646 id 19, 
len 238
*Aug 23 04:20:16.519: RADIUS:  authenticator 82 65 5B 42 F0 3F 17 C3 - 23 F3 4C 35 A2 8A 
3E E6
*Aug 23 04:20:16.519: RADIUS:  Acct-Session-Id     [44]  10  "00000002"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=11.1.1.2"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No 
Progress"
*Aug 23 04:20:16.519: RADIUS:  Acct-Session-Time   [46]  6   709                       
*Aug 23 04:20:16.519: RADIUS:  Acct-Input-Octets   [42]  6   152608                    
*Aug 23 04:20:16.519: RADIUS:  Acct-Output-Octets  [43]  6   152608                    
*Aug 23 04:20:16.519: RADIUS:  Acct-Input-Packets  [47]  6   1004                      
*Aug 23 04:20:16.519: RADIUS:  Acct-Output-Packets [48]  6   1004  
*Apr 23 04:20:16.519: RADIUS:  Acct-Input-Giga-Word[52]  6   0                         
*Apr 23 04:20:16.519: RADIUS:  Acct-Output-Giga-Wor[53]  6   0                                             
*Aug 23 04:20:16.519: RADIUS:  Acct-Terminate-Cause[49]  6   none                      [0]
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  32  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   26  "disc-cause-ext=No Reason"
*Aug 23 04:20:16.519: RADIUS:  Acct-Status-Type    [40]  6   Stop                      [2]
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 04:20:16.519: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 04:20:16.519: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 04:20:16.519: RADIUS:  NAS-IP-Address      [4]   6   100.1.1.147               
*Aug 23 04:20:16.519: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 04:20:16.523: RADIUS: Received from id 21645/19 100.1.1.4:1646, 
Accounting-response, len 20
*Aug 23 04:20:16.523: RADIUS:  authenticator F1 CA C1 28 CE A0 26 C9 - 3E 22 C9 DA EA B8 
22 A0

Actualizaciones que consideran

Si se habilitan las actualizaciones que consideran, se envían las actualizaciones que consideran mientras que una sesión está “para arriba.” El intervalo de la actualización puede ser configurado. Para habilitar las actualizaciones de las estadísticas, utilice aaa accounting update el comando.

Lo que sigue es un expediente de la actualización de las estadísticas que se está enviando del router:

Router#
*Aug 23 21:46:05.263: RADIUS(00000004): Using existing nas_port 0
*Aug 23 21:46:05.263: RADIUS(00000004): Config NAS IP: 100.1.1.147
*Aug 23 21:46:05.263: RADIUS(00000004): sending
*Aug 23 21:46:05.263: RADIUS(00000004): Send Accounting-Request to 100.1.1.4:1646 id 22, 
len 200
*Aug 23 21:46:05.263: RADIUS:  authenticator 30 FA 48 86 8E 43 8E 4B - F9 09 71 04 4A F1 
52 25
*Aug 23 21:46:05.263: RADIUS:  Acct-Session-Id     [44]  10  "00000003"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=11.1.1.2"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No 
Progress"
*Aug 23 21:46:05.263: RADIUS:  Acct-Session-Time   [46]  6   109                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Input-Octets   [42]  6   608                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Output-Octets  [43]  6   608                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Input-Packets  [47]  6   4                         
*Aug 23 21:46:05.263: RADIUS:  Acct-Output-Packets [48]  6   4                         
*Aug 23 21:46:05.263: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 21:46:05.263: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 21:46:05.263: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 21:46:05.263: RADIUS:  NAS-IP-Address      [4]   6   100.1.1.147               
*Aug 23 21:46:05.263: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 21:46:05.267: RADIUS: Received from id 21645/22 100.1.1.4:1646, 
Accounting-response, len 20
*Aug 23 21:46:05.267: RADIUS:  authenticator 51 6B BB 27 A4 F5 D7 61 - A7 03 73 D3 0A AC 
1C

Cómo Configurar IPsec VPN Accounting

Esta sección contiene los siguientes procedimientos:

Configuración de IPsec VPN Accounting

Configuración de las Actualizaciones de Contabilización

Troubleshooting de IPsec VPN Accounting

Configuración de IPsec VPN Accounting

Para habilitar el IPSec VPN que considera, usted necesita realizar la tarea requerida siguiente:

Prerrequisitos

Antes de configurar el IPSec VPN que considera, usted debe primero configurar el IPSec.

PASOS SUMARIOS

1. enable

2. configure terminal

3.aaa de modelo nuevo

4.método del nombre de la lista de la conexión con el sistema de autenticación aaa

5.aaa authorization networkmétodo del nombre de la lista

6.aaa accounting network nombre del grupo por marcha-parada del []broadcastgroup del nombre de la lista

7. aaa session-id common

8.crypto isakmp profile nombre del perfil

9. vrf ivrf

10. match identity group group-name

11. client authentication list list-name

12. isakmp authorization list list-name

13. client configuration address [initiate | respond]

14. accounting list-name

15. exit

16. crypto dynamic-map dynamic-map-name dynamic-seq-num

17. set transform-set transform-set-name

18. set isakmp-profile profile-name

19. reverse-route []remote-peer

20. exit

21. crypto map map-name ipsec-isakmp dynamic dynamic-template-name

22. radius-server host ip-address []auth-port port-numberdel []acct-port port-number

23. radius-server key string

24. radius-server vsa send accounting

25. interface interface-id

26. crypto map map-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa new-model
Example:

Router (config)# aaa new-model

Permite enviar registros de contabilización interinos periódicos al servidor de contabilización.

Paso 4 

aaa authentication login list-name method
Example:

Router (config)# aaa authentication login cisco-client group radius

Aplica la autenticación del Authentication, Authorization, and Accounting (AAA) para la autorización extendida (XAUTH) a través del RADIUS o del local.

Paso 5 

aaa authorization network list-name method
Example:

Router (config)# aaa authorization network cisco-client group radius

Fija los parámetros de la autorización AAA en el cliente remoto del RADIUS o el local.

Paso 6 

aaa accounting network list-name start-stop 
[broadcast] group group-name
Example:
Router (config)# aaa accounting network acc 
start-stop broadcast group radius

Estadísticas de los permisos AAA de los servicios pedidos para cargar en cuenta o propósitos de la seguridad cuando usted utiliza el RADIUS o el TACACS+.

Paso 7 

aaa session-id common
Example:

Router (config)# aaa session-id common

Especifica si el mismo ID de sesión está utilizado para cada tipo de servicio de las estadísticas AAA dentro de una llamada o si un diverso ID de sesión está asignado a cada tipo de servicio de las estadísticas.

Paso 8 

crypto isakmp profile profile-name
Example:

Route (config)# crypto isakmp profile cisco

Las sesiones del usuario de la seguridad IP de las auditorías (IPSec) y ingresan el submode del ISAKMP-perfil.

Paso 9 

vrf ivrf
Example:

Router (conf-isa-prof)# vrf cisco

Asocia a la agrupación de direcciones a pedido a un Red privada virtual (VPN) que rutea y que remite el nombre de instancia (VRF).

Paso 10 

match identity group group-name
Example:

Router(conf-isa-prof)# match identity group cisco

Hace coincidir una identidad de un peer en un perfil ISAKMP.

Paso 11 

client authentication list list-name
Example:

Router(conf-isa-prof)# client authentication list cisco

Autenticación ampliada (Xauth) del Internet Key Exchange (IKE) de las configuraciones en un perfil del Internet Security Association and Key Management Protocol (ISAKMP).

Paso 12 

isakmp authorization list list-name
Example:

Router(conf-isa-prof)# isakmp authorization list cisco-client

Configura un secreto compartido de IKE y otros parámetros usando el servidor de AAA en un perfil ISAKMP. El secreto compartido y otros parámetros se avanzan generalmente al peer remoto con la configuración de modo (MODECFG).

Paso 13 

client configuration address [initiate | 
respond]
Example:

Router(conf-isa-prof)# client configuration address respond

Configuración de modo de las configuraciones IKE (MODECFG) en el perfil ISAKMP.

Paso 14 

accounting list-name
Example:

Router(conf-isa-prof)# accounting acc

Habilita los servicios de las estadísticas AAA para todos los pares que conecten con este perfil ISAKMP.

Paso 15 

exit
Example:
Router(conf-isa-prof)# exit

Submode del ISAKMP-perfil de las salidas.

Paso 16 

crypto dynamic-map dynamic-map-name 
dynamic-seq-num
Example:

Router(config)# crypto dynamic-map mymap 10 ipsec-isakmp

Crea una plantilla de la correspondencia cifrada dinámica y ingresa el modo de comando configuration de la correspondencia de criptografía.

Paso 17 

set transform-set transform-set-name
Example:

Router(config-crypto-map)# set transform-set aswan

Especifica cuáles transforman los conjuntos se pueden utilizar con la plantilla de la correspondencia de criptografía.

Paso 18 

set isakmp-profile profile-name
Example:

Router(config-crypto-map)# set isakmp-profile cisco

Fija el nombre del perfil ISAKMP.

Paso 19 

reverse-route [remote-peer]
Example:

Router(config-crypto-map)# reverse-route

Permite que las rutas (IP Addresses) sean inyectadas para los destinos detrás del punto final del túnel remoto VPN y puede incluir una ruta al punto final del túnel sí mismo (usando remote-peer la palabra clave para la correspondencia de criptografía.

Paso 20 

exit

Example:

Router(config-crypto-map)# exit

Da salida al modo de configuración de la correspondencia cifrada dinámica.

Paso 21 

crypto map map-name ipsec-isakmp dynamic dynamic-template-name

Example:

Router(config)# crypto map mymap ipsec-isakmp dynamic dmap

Ingresa al modo de configuración de la correspondencia de criptografía

Paso 22 

radius-server host ip-address [auth-port 
port-number] [acct-port port-number]
Example:

Router(config)# radius-server host 172.16.1.4

Especifica un host de servidor de RADIUS.

Paso 23 

radius-server key string
Example:

Router(config)# radius-server key nsite

Establece la llave de autenticación y encripción para todas las comunicaciones RADIUS entre el router y el demonio RADIUS.

Paso 24 

radius-server vsa send accounting
Example:
Router(config)# radius-server vsa send 
accounting

Configura al servidor de acceso a la red para reconocer y para utilizar los atributos específicos del proveedor.

Paso 25 

interface type slot/port
Example:
Router(config)# interface FastEthernet 1/0

Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz.

Paso 26 

crypto map map-name
Example:
Router(config-if)# crypto map mymap

Aplica un conjunto de crypto maps previamente definido a una interfaz.

Configuración de las Actualizaciones de Contabilización

Para enviar las actualizaciones de las estadísticas mientras que una sesión está “para arriba,” realiza la tarea optativa siguiente:

Prerrequisitos

Antes de que usted configure las actualizaciones de las estadísticas, usted debe primero configurar considerar del IPSec VPN. Vea la sección el “configurar del IPSec VPN que considera.”

PASOS SUMARIOS

1. enable

2. configure terminal

3.actualización de las estadísticas aaa periodic number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa accounting update periodic number

Example:

Router (config)# aaa accounting update periodic 1-2147483647

(Opcional) habilita los registros de contabilidad interinos periódicos que se enviarán al servidor de contabilidad.

Troubleshooting de IPsec VPN Accounting

Para visualizar los mensajes sobre los eventos que consideran del IPSec, realice la tarea optativa siguiente:

PASOS SUMARIOS

1. enable

2. debug crypto isakmp aaa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable
Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto isakmp aaa
Example:

Router# debug crypto isakmp aaa

Muestra mensajes sobre eventos de Intercambio de llaves de Internet (IKE).

aaa La palabra clave especifica los eventos de las estadísticas.

Ejemplos de Configuración de IPsec VPN Accounting

Ejemplo de Contabilización y Perfil ISAKMP

Ejemplo de Contabilización sin Perfiles ISAKMP

Ejemplo de Contabilización y Perfil ISAKMP

El siguiente ejemplo muestra una configuración para soportar a los clientes de acceso remoto con las estadísticas y los perfiles ISAKMP:

version 12.2 
service timestamps debug datetime msec 
service timestamps log datetime msec 
no service password-encryption 
! 
hostname sheep 
! 
aaa new-model 
! 
! 
aaa accounting network ipsecaaa start-stop group radius 
aaa accounting update periodic 1 
aaa session-id common 
ip subnet-zero 
ip cef 
! 
! 
no ip domain lookup 
ip domain name cisco.com 
ip name-server 172.29.2.133 
ip name-server 172.29.11.48 
! 
! 
crypto isakmp policy 1 
authentication pre-share 
group 2 
! 
crypto isakmp policy 10 
hash md5 
authentication pre-share 
lifetime 200 
crypto isakmp key cisco address 172.31.100.2 

crypto iakmp client configuration group cclient
 key jegjegjhrg
 pool addressA
crypto-isakmp profile groupA
 vrf cisco 
 match identity group cclient 
 client authentication list cisco-client 
 isakmp authorization list cisco-client 
 client configuration address respond 
 accounting acc 
! 
! 
crypto ipsec transform-set esp-des-md5 esp-des esp-md5-hmac 
!
crypto dynamic-map remotes 1
set peer 172.31.100.2 
set security-association lifetime seconds 120 
set transform-set esp-des-md5 
reverse-route

! 
crypto map test 10 ipsec-isakmp dynamic remotes
! 
voice call carrier capacity active 
! 
interface Loopback0 
ip address 10.20.20.20 255.255.255.0 
no ip route-cache 
no ip mroute-cache 
! 
interface FastEthernet0/0 
ip address 10.2.80.203 255.255.255.0 
no ip mroute-cache 
load-interval 30 
duplex full 
! 
interface FastEthernet1/0 
ip address 192.168.219.2 255.255.255.0 
no ip mroute-cache 
duplex auto 
speed auto 
! 
interface FastEthernet1/1 
ip address 172.28.100.1 255.255.255.0 
no ip mroute-cache 
duplex auto 
speed auto 
crypto map test 
! 
no fair-queue 
ip default-gateway 10.2.80.1 
ip classless 
ip route 10.0.0.0 0.0.0.0 10.2.80.1 
ip route 10.20.0.0 255.0.0.0 10.2.80.56 
ip route 10.10.10.0 255.255.255.0 172.31.100.2 
ip route 10.0.0.2 255.255.255.255 10.2.80.73 

ip local pool addressA 192.168.1.1 192.168.1.253
no ip http server 
ip pim bidir-enable 
! 
! 
ip access-list extended encrypt 
permit ip host 10.0.0.1 host 10.5.0.1 
! 
access-list 101 permit ip host 10.20.20.20 host 10.10.10.10 
! 
! 
radius-server host 172.27.162.206 auth-port 1645 acct-port 1646 key cisco123 
radius-server retransmit 3 
radius-server authorization permit missing Service-Type 
radius-server vsa send accounting 
call rsvp-sync 
! 
! 
mgcp profile default 
! 
dial-peer cor custom 
! 
! 
gatekeeper 
shutdown 
! 
! 
line con 0 
exec-timeout 0 0 
exec prompt timestamp 
line aux 0 
line vty 5 15 
 ntp server 172.31.150.52 
end

Ejemplo de Contabilización sin Perfiles ISAKMP

El siguiente ejemplo muestra una configuración del Cisco IOS completa que apoye a los pares del Acceso Remoto de las estadísticas cuando los perfiles ISAKMP no se utilizan:

version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname sheep
!
aaa new-model
!
!
aaa accounting network ipsecaaa start-stop group radius
aaa accounting update periodic 1
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name cisco.com
ip name-server 172.29.2.133
ip name-server 172.29.11.48
!
!
crypto isakmp policy 1
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
 lifetime 200
crypto isakmp key cisco address 172.31.100.2
!
!
crypto ipsec transform-set esp-des-md5 esp-des esp-md5-hmac 
!
crypto map test client accounting list ipsecaaa
crypto map test 10 ipsec-isakmp 
 set peer 172.31.100.2
 set security-association lifetime seconds 120
 set transform-set esp-des-md5 
 match address 101
!
voice call carrier capacity active
!
interface Loopback0
 ip address 10.20.20.20 255.255.255.0
 no ip route-cache
 no ip mroute-cache
!
interface FastEthernet0/0
 ip address 10.2.80.203 255.255.255.0
 no ip mroute-cache
 load-interval 30
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.219.2 255.255.255.0
 no ip mroute-cache
 duplex auto
 speed auto
!
interface FastEthernet1/1
 ip address 172.28.100.1 255.255.255.0
 no ip mroute-cache
 duplex auto
 speed auto
 crypto map test
!
no fair-queue
ip default-gateway 10.2.80.1
ip classless
ip route 10.0.0.0 0.0.0.0 10.2.80.1
ip route 10.30.0.0 255.0.0.0 10.2.80.56
ip route 10.10.10.0 255.255.255.0 172.31.100.2
ip route 10.0.0.2 255.255.255.255 10.2.80.73
no ip http server
ip pim bidir-enable
!
!
ip access-list extended encrypt
 permit ip host 10.0.0.1 host 10.5.0.1
!
access-list 101 permit ip host 10.20.20.20 host 10.10.10.10
!
!
radius-server host 172.27.162.206 auth-port 1645 acct-port 1646 key cisco123
radius-server retransmit 3
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 exec prompt timestamp
line aux 0
line vty 5 15
!
exception core-file ioscrypto/core/sheep-core
exception dump 172.25.1.129
ntp clock-period 17208229
ntp server 172.71.150.52
!
end

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Configurar las estadísticas AAA

Configuración de la contabilidad

Configurar considerar del IPSec VPN

Configurar directivo de seguridad para los VPN con el IPSec

El configurar básico RADIUS AAA

La sección el “que configura RADIUS” en la guía de configuración de la Seguridad de Cisco IOS: Servicios de usuario en el cisco.com

Configuración de Perfiles ISAKMP

IPSec enterado VRF

Niveles de privilegio con el TACACS+ y el RADIUS

Configuración de TACACS+

“Configurando sección RADIUS” de la guía de configuración de la Seguridad de Cisco IOS: Servicios de usuario en el cisco.com

Seguridad IP, RADIUS, y comandos aaa

Referencia de Comandos de Seguridad de Cisco IOS


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para considerar del IPSec VPN

El cuadro 3 enumera el historial de la versión para esta característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 3 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 3 para el <Phrase basado en el módulo Title> 

Nombre de la función
Versiones
Información sobre la Función

IPsec VPN Accounting

12.2(15)T

La característica de contabilidad del IPSec VPN permite que una sesión sea considerada indicando cuando la sesión comienza y para. Definen a una sesión de VPN como una asociación de seguridad del Internet Key Exchange (IKE) (SA) y los uno o más pares SA que sean creados por IKE SA. La sesión comienza cuando se crea el primer par de la seguridad IP (IPSec) y para cuando se borra todo el SA de IPSec. La sesión que identifica la información y la información del uso de sesión se pasa al servidor del Remote Authentication Dial-In User Service (RADIUS) con los atributos RADIUS estándars y los atributos específicos del proveedor (VSA).

Esta característica fue introducida en el Cisco IOS Release 12.2(15)T

Se han insertado o modificado los siguientes comandos: client authentication listclient configuration addresscrypto isakmp profilecrypto map (global IPsec)debug crypto isakmpisakmp authorization listmatch identity, set isakmp-profile, vrf


Glosario

IKE — Intercambio de claves de Internet. El IKE establece una política de seguridad compartida y autentica las claves para los servicios (tales como [IPsec] de la seguridad IP) que requieren las claves. Antes de que cualquier tráfico IPSec pueda ser pasado, cada router, Firewall, y host deben verificar la identidad de su par. Esta operación puede efectuarse manualmente mediante el ingreso de llaves previamente compartidas en ambos hosts o mediante un servicio de la entidad de certificación (CA).

IPsec — Seguridad IP. El IPSec es el marco A de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las llaves de encripción y de autenticación que utilizará IPSec. IPsec puede proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.

ISAKMP — Protocolo internet security association and key management. El ISAKMP es un Protocolo IPSec de Internet (RFC 2408) que negocia, establece, modifica, y borra a las asociaciones de seguridad. También intercambia la generación de claves y los datos de autenticación (independiente de los detalles de cualquier técnica específica de la generación de claves), el protocolo de establecimiento, el algoritmo de encripción, o el mecanismo de autenticación dominante.

Sesión L2TP — Transport Protocol de la capa 2. El L2TP es transacciones de las comunicaciones entre el L2TP Access Concentrator (LAC) y el L2TP Network Server (LNS) ese Tunelización del soporte de una sola conexión PPP. Hay a relación uno a uno entre la conexión PPP, la sesión L2TP, y la llamada L2TP.

NAS: Servidor de acceso a la red. Un NAS es una Plataforma de Cisco (o colección de Plataformas, tales como un sistema de AccessPath) esa las interfaces entre el mundo del paquete (por ejemplo, Internet) y el mundo del circuito (por ejemplo, el [PSTN] del Public Switched Telephone Network).

PFS — perfecta reserva hacia adelante. El PFS es una característica criptográfica asociada a un valor derivado del secreto compartido. Con el PFS, si se compromete una clave, las claves anteriores y subsiguientes no se comprometen porque las claves subsiguientes no se derivan de las claves anteriores.

QM — Administrador de la cola. El Cisco IP Queue Manager (IP QM) es una solución inteligente, del basado en IP, del Tratamiento de llamada y de la encaminamiento que proporciona las opciones potentes del Tratamiento de llamada como parte de la solución de Cisco IP Contact Center (IPCC).

RADIUS — Remote Authentication Dial-In User Service. El RADIUS es una base de datos para el módem y las conexiones ISDN de autenticidad y por el tiempo de conexión de seguimiento.

RSA — Rivest, Shamir, y Adelman. El Rivest, el Shamir, y el Adelman son los inventores del sistema criptográfico del clave pública que se puede utilizar para el cifrado y la autenticación.

SA: Asociación de seguridad. Un SA es un caso de la política de seguridad y del material de codificación que se aplica a un flujo de datos.

TACACS+ — Terminal Access Controller Access Control System más. TACACS+ es una aplicación de seguridad que proporciona validación centralizada de los usuarios que intentan acceder a un router o a un servidor de acceso a la red.

TED — Tunnel Endpoint Discovery. TED es una característica del Cisco IOS Software que permite que el Routers descubra los puntos finales de IPSec.

VPN — Red privada virtual. Un VPN permite al tráfico IP para viajar con seguridad sobre una red del público TCP/IP cifrando todo el tráfico a partir de una red a otra. Una VPN utiliza una arquitectura de "tunelización" para encriptar toda la información en el nivel de IP.

VRF — Un VPN Routing/Forwarding Instance. Un VRF consta de una tabla de IP Routing, una tabla de reenvío derivada, un conjunto de interfaces que utiliza la tabla de reenvío y un conjunto de reglas y protocolos de ruteo que determina qué incluye la tabla de reenvío. En general, un VRF incluye la información de ruteo que define un sitio de cliente VPN conectado a un router PE.

VSA — atributo específico del proveedor. Un VSA es un atributo que ha sido implementado por un proveedor específico. Utiliza el atributo específico del vendedor para encapsular las pares AV resultantes: esencialmente, específico del vendedor = protocolo: atributo = valor.

XAUTH — Autenticación ampliada. El XAUTH es un intercambio opcional entre la fase 1 IKE y la fase 2 IKE, en las cuales el router exige la información de autenticación adicional en un intento por autenticar al usuario real (en comparación con la autenticidad del par).