IPsec VPN アカウンティング
IPsec VPN アカウンティングの前提条件
IPsec VPN アカウンティングに関する情報
- RADIUS アカウンティング
- IKE および IPsec サブシステムの相互作用
IPsec VPN アカウンティングの設定方法
IPsec VPN アカウンティングの設定例
- アカウンティングおよび ISAKMP プロファイル例
- ISAKMP プロファイルなしのアカウンティング例
その他の参考資料
関連資料
IPsec VPN アカウンティングの機能情報
用語集

IPsec VPN アカウンティング

IPsec VPN アカウンティング機能を使用すれば、セッションが開始される時と終了する時を指示することによって、セッションをアカウンティングできます。

VPN セッションとは、インターネットキー交換（IKE）セキュリティアソシエーション（SA）および、IKE SA によって作成される 1 つ以上の SA ペアとして定義されます。セッションは、最初の IP セキュリティ（IPsec）ペアが作成されると開始し、すべての IPsec SA が削除されると停止します。

セッション識別情報およびセッション使用状況情報は、標準 RADIUS 属性とベンダー固有属性を介して、Remote Authentication Dial-In User Service（RADIUS）サーバに渡されます。

IPsec VPN アカウンティングの前提条件

RADIUS と認証、許可、アカウンティング（AAA）アカウンティングの設定方法を理解します。
IPsec アカウンティングの設定方法を理解します。

IPsec VPN アカウンティングに関する情報

RADIUS アカウンティング

多くの大規模ネットワークでは、監査のために、ユーザアクティビティを記録する必要があります。多く使用される方式は、RADIUS アカウンティングです。

RADIUS アカウンティングを使用すれば、セッションが開始される時と終了する時を指示することによって、セッションをアカウンティングできます。また、セッション識別情報およびセッション使用状況情報が、RADIUS 属性および VSA を介して RADIUS サーバに渡されます。

RADIUS 開始アカウンティング

RADIUS 開始パケットには、一般的には、サービスを要求する者、およびサービスのプロパティの構成を特定する多くの属性が格納されています。次の表に、開始に必要な属性を示します。

Table 1. RADIUS アカウンティング開始パケット属性
RADIUS 属性値	属性	説明
1	user-name	拡張認証（XAUTH）で使用されるユーザ名。XAUTH が使用されない場合、ユーザ名が NULL になる場合があります。
4	nas-ip-address	ユーザにサービスを提供するネットワークアクセスサーバ（NAS）の IP アドレスの識別。RADIUS サーバのスコープ内の NAS に対して一意である必要があります。
5	nas-port	ユーザにサービスを提供する NAS の物理ポート番号。
8	framed-ip-address	IPsec セッション用に割り当てられたプライベートアドレス。
40	acct-status-type	ステータスタイプ。この属性では、このアカウンティング要求がマーキングするのが、セッションの開始（start）、終了（stop）、または更新のいずれかなのかを示します。
41	acct-delay-time	クライアントが特定のレコードの送信を試行した秒数。
44	acct-session-id	ログファイル内の開始レコードと終了レコードのマッチングを容易にする一意のアカウンティング ID。
26	vrf-id	Virtual Route Forwarder（VRF）の名前を表す文字列。
26	isakmp-initiator-ip	リモート IKE の発信側（V4）のエンドポイント IP アドレス。
26	isakmp-group-id	アカウンティングに使用される VPN グループプロファイルの名前。
26	isakmp-phase1-id	セッションの発信側の識別を可能にする、IKE によって使用されるフェーズ 1 識別情報（ID）（たとえば、ドメイン名（DN）、完全修飾ドメイン名（FQDN）、IP アドレスなど）。

RADIUS 終了アカウンティング

RADIUS 終了パケットには、セッションの使用状況を識別する多くの属性が格納されています。表 2 に、RADIUS 終了パケットに必要な追加属性を示します。開始パケットなしで終了パケットだけを送信することは、そのように設定すれば可能です。終了パケットだけを送信すれば、これにより、AAA サーバに送信されるレコードの数を簡単に減らせます。

Table 2. RADIUS アカウンティング終了パケット属性
RADIUS 属性値	属性	説明
42	acct-input-octets	サービスが提供されている間に Unity クライアントから受信されたオクテット数。
43	acct-output-octets	このサービスの配信中に Unity クライアントに送信されたオクテット数。
46	acct-session-time	Unity クライアントがサービスを受信した時間の長さ（秒単位）。
47	acct-input-packets	このサービスの配信中に Unity クライアントから受信したパケット量。
48	acct-output-packets	このサービスの配信中に Unity クライアントに送信したパケット量。
49	acct-terminate-cause	未使用。
52	acct-input-gigawords	このサービスの間に Acct-Input-Octets カウンタの値が 232（2 の 32 乗）を超えた回数。
52	acct-output-gigawords	このサービスの間に Acct-Input-Octets カウンタの値が 232（2 の 32 乗）を超えた回数。

RADIUS 更新アカウンティング

RADIUS 更新アカウンティングがサポートされています。パケットおよびオクテットカウントが更新内に表示されます。

IKE および IPsec サブシステムの相互作用

Accounting Start

IPsec アカウンティングが設定されている場合、IKE フェーズが終了すると、アカウンティング開始レコードがセッション用に生成されます。キー再生成中は、新しいアカウンティングレコードは生成されません。

次に、ルータ上で生成されており、定義されている AAA サーバに送信されるアカウント開始レコードを示します。


*Aug 23 04:06:20.131: RADIUS(00000002): sending
*Aug 23 04:06:20.131: RADIUS(00000002): Send Accounting-Request to 10.1.1.4:1646 id 4, len 220
*Aug 23 04:06:20.131: RADIUS:  authenticator 38 F5 EB 46 4D BE 4A 6F - 45 EB EF 7D B7 19 FB 3F
*Aug 23 04:06:20.135: RADIUS:  Acct-Session-Id     [44]  10  "00000001"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  31  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   25  "isakmp-group-id=cclient"
*Aug 23 04:06:20.135: RADIUS:  Framed-IP-Address   [8]   6   10.13.13.1                
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=10.1.2.2"
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 04:06:20.135: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No Progress"
*Aug 23 04:06:20.135: RADIUS:  User-Name           [1]   13  "username1"
*Aug 23 04:06:20.135: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
*Aug 23 04:06:20.135: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 04:06:20.135: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 04:06:20.135: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 04:06:20.135: RADIUS:  NAS-IP-Address      [4]   6   10.1.1.147               
*Aug 23 04:06:20.135: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 04:06:20.139: RADIUS: Received from id 21645/4 10.1.1.4:1646, Accounting-response, len 20
*Aug 23 04:06:20.139: RADIUS:  authenticator B7 E3 D0 F5 61 9A 89 D8 - 99 A6 8A 8A 98 79 9D 5D

アカウンティング終了

リモートピアでのフロー（IPsec SA ペア）がなくなると、アカウンティング終了パケットが生成されます。

アカウンティング終了レコードには次の情報が格納されます。

パケット出力
パケット入力
オクテット出力
ギガワード入力
ギガワード出力

次に、ルータ上で生成されたアカウント開始レコードを示します。アカウント開始レコードは、定義されている AAA サーバに送信されます。


*Aug 23 04:20:16.519: RADIUS(00000003): Using existing nas_port 0
*Aug 23 04:20:16.519: RADIUS(00000003): Config NAS IP: 100.1.1.147
*Aug 23 04:20:16.519: RADIUS(00000003): sending
*Aug 23 04:20:16.519: RADIUS(00000003): Send Accounting-Request to 100.1.1.4:1646 id 19, len 238
*Aug 23 04:20:16.519: RADIUS:  authenticator 82 65 5B 42 F0 3F 17 C3 - 23 F3 4C 35 A2 8A 3E E6
*Aug 23 04:20:16.519: RADIUS:  Acct-Session-Id     [44]  10  "00000002"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=10.1.1.2"
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No Progress"
*Aug 23 04:20:16.519: RADIUS:  Acct-Session-Time   [46]  6   709                       
*Aug 23 04:20:16.519: RADIUS:  Acct-Input-Octets   [42]  6   152608                    
*Aug 23 04:20:16.519: RADIUS:  Acct-Output-Octets  [43]  6   152608                    
*Aug 23 04:20:16.519: RADIUS:  Acct-Input-Packets  [47]  6   1004                      
*Aug 23 04:20:16.519: RADIUS:  Acct-Output-Packets [48]  6   1004  
*Apr 23 04:20:16.519: RADIUS:  Acct-Input-Giga-Word[52]  6   0                         
*Apr 23 04:20:16.519: RADIUS:  Acct-Output-Giga-Wor[53]  6   0                                             
*Aug 23 04:20:16.519: RADIUS:  Acct-Terminate-Cause[49]  6   none                      [0]
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  32  
*Aug 23 04:20:16.519: RADIUS:   Cisco AVpair       [1]   26  "disc-cause-ext=No Reason"
*Aug 23 04:20:16.519: RADIUS:  Acct-Status-Type    [40]  6   Stop                      [2]
*Aug 23 04:20:16.519: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 04:20:16.519: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 04:20:16.519: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 04:20:16.519: RADIUS:  NAS-IP-Address      [4]   6   100.1.1.147               
*Aug 23 04:20:16.519: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 04:20:16.523: RADIUS: Received from id 21645/19 100.1.1.4:1646, Accounting-response, len 20
*Aug 23 04:20:16.523: RADIUS:  authenticator F1 CA C1 28 CE A0 26 C9 - 3E 22 C9 DA EA B8 22 A0

アカウンティング更新

アカウンティング更新がイネーブルな場合、セッションが「アップ」であればアカウンティング更新が送信されます。更新間隔は設定可能です。アカウンティング更新をイネーブルにするには、aaa accounting update コマンドを使用します。

次に、ルータから送信されるアカウンティング更新を示します。


Router#
*Aug 23 21:46:05.263: RADIUS(00000004): Using existing nas_port 0
*Aug 23 21:46:05.263: RADIUS(00000004): Config NAS IP: 100.1.1.147
*Aug 23 21:46:05.263: RADIUS(00000004): sending
*Aug 23 21:46:05.263: RADIUS(00000004): Send Accounting-Request to 100.1.1.4:1646 id 22, len 200
*Aug 23 21:46:05.263: RADIUS:  authenticator 30 FA 48 86 8E 43 8E 4B - F9 09 71 04 4A F1 52 25
*Aug 23 21:46:05.263: RADIUS:  Acct-Session-Id     [44]  10  "00000003"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  20  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   14  "vrf-id=cisco"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  35  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   29  "isakmp-initator-ip=10.1.1.2"
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  36  
*Aug 23 21:46:05.263: RADIUS:   Cisco AVpair       [1]   30  "connect-progress=No Progress"
*Aug 23 21:46:05.263: RADIUS:  Acct-Session-Time   [46]  6   109                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Input-Octets   [42]  6   608                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Output-Octets  [43]  6   608                       
*Aug 23 21:46:05.263: RADIUS:  Acct-Input-Packets  [47]  6   4                         
*Aug 23 21:46:05.263: RADIUS:  Acct-Output-Packets [48]  6   4                         
*Aug 23 21:46:05.263: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
*Aug 23 21:46:05.263: RADIUS:  Vendor, Cisco       [26]  25  
*Aug 23 21:46:05.263: RADIUS:   cisco-nas-port     [2]   19  "FastEthernet0/0.1"
*Aug 23 21:46:05.263: RADIUS:  NAS-Port            [5]   6   0                         
*Aug 23 21:46:05.263: RADIUS:  NAS-IP-Address      [4]   6   100.1.1.147               
*Aug 23 21:46:05.263: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Aug 23 21:46:05.267: RADIUS: Received from id 21645/22 100.1.1.4:1646, Accounting-response, len 20
*Aug 23 21:46:05.267: RADIUS:  authenticator 51 6B BB 27 A4 F5 D7 61 - A7 03 73 D3 0A AC 1C

IPsec VPN アカウンティングの設定方法

IPsec VPN アカウンティングの設定

Before you begin

IPsec は、IPsec VPN アカウンティングを設定するより先に設定する必要があります。

SUMMARY STEPS

enable
configure terminal
aaa new-model
aaa authentication login list-name method
aaa authorization network list-name method
aaa accounting network list-name start-stop [broadcast ] group group-name
aaa session-id common
crypto isakmp profile profile-name
vrf ivrf
match identity group group-name
client authentication list list-name
isakmp authorization list list-name
client configuration address [initiate | respond ]
accounting list-name
exit
crypto dynamic-map dynamic-map-name dynamic-seq-num
set transform-set transform-set-name
set isakmp-profile profile-name
reverse-route [remote-peer ]
exit
crypto map map-name ipsec-isakmp dynamic dynamic-template-name
radius-server host ip-address [auth-port port-number ] [acct-port port-number ]
radius-server key string
radius-server vsa send accounting
interface type slot / port
crypto map map-name

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Router# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	aaa new-model Example: `Router (config)# aaa new-model`	アカウンティングサーバに送信される定期的中間アカウンティングレコードをイネーブルにします。
Step 4	aaa authentication login `list-name` `method` Example: `Router (config)# aaa authentication login cisco-client group radius`	RADIUS またはローカル経由で、認証、許可、および拡張認可（XAUTH）のアカウンティング（AAA）認証を実行します。
Step 5	aaa authorization network `list-name` `method` Example: `Router (config)# aaa authorization network cisco-client group radius`	RADIUS またはローカルから、リモートクライアント上の AAA 認証パラメータを設定します。
Step 6	aaa accounting network list-name start-stop [broadcast ] group `group-name` Example: `Router (config)# aaa accounting network acc start-stop broadcast group radius`	RADIUS または TACACS+ を使用する場合の課金またはセキュリティのために、要求されたサービスの AAA アカウンティングをイネーブルにします。
Step 7	aaa session-id common Example: `Router (config)# aaa session-id common`	コール内の各 AAA アカウンティングサービスタイプに、同じセッション ID を使用するかどうか、または、各アカウンティングサービスタイプに対して異なるセッション ID を割り当てるかどうかを指定します。
Step 8	crypto isakmp profile `profile-name` Example: `Route (config)# crypto isakmp profile cisco`	IPsec ユーザセッションを監査し、isakmp-profile サブモードを開始します。
Step 9	vrf `ivrf` Example: `Router (conf-isa-prof)# vrf cisco`	オンデマンドアドレスプールを、バーチャルプライベートネットワーク（VPN）Routing and Forwarding（VRF）インスタンス名に関連付けます。
Step 10	match identity group `group-name` Example: `Router(conf-isa-prof)# match identity group cisco`	ISAKMP プロファイルのピアの ID を一致させます。
Step 11	client authentication list `list-name` Example: `Router(conf-isa-prof)# client authentication list cisco`	Internet Security Association and Key Management Protocol（ISAKMP）プロファイル内の IKE 拡張認証（XAUTH）を設定します。
Step 12	isakmp authorization list `list-name` Example: `Router(conf-isa-prof)# isakmp authorization list cisco-client`	ISAKMP プロファイル内の AAA サーバを使用して、IKE 共有秘密およびその他のパラメータを設定します。一般に、共有秘密およびその他のパラメータは、モード設定（MODECFG）を介して、リモートピアへプッシュされます。
Step 13	client configuration address [initiate \| respond ] Example: `Router(conf-isa-prof)# client configuration address respond`	ISAKMP プロファイル内で IKE モード設定（MODECFG）を設定します。
Step 14	accounting `list-name` Example: `Router(conf-isa-prof)# accounting acc`	この ISAKMP プロファイルを介して接続しているすべてのピアの AAA アカウンティングサービスをイネーブルにします。
Step 15	exit Example: `Router(conf-isa-prof)# exit`	isakmp-profile サブモードを終了します。
Step 16	crypto dynamic-map `dynamic-map-name` dynamic-seq-num Example: `Router(config)# crypto dynamic-map mymap 10 ipsec-isakmp`	ダイナミッククリプトマップテンプレートを作成し、クリプトマップコンフィギュレーションコマンドモードを開始します。
Step 17	set transform-set `transform-set-name` Example: `Router(config-crypto-map)# set transform-set aswan`	クリプトマップテンプレートで使用可能なトランスフォームセットを指定します。
Step 18	set isakmp-profile `profile-name` Example: `Router(config-crypto-map)# set isakmp-profile cisco`	ISAKMP プロファイル名を設定します。
Step 19	reverse-route [remote-peer ] Example: `Router(config-crypto-map)# reverse-route`	ルート（IP アドレス）を、VPN リモートトンネルエンドポイントの背後の宛先に対して注入できるようにします。また、トンネルエンドポイント自体に対するルートを設定することも可能です（クリプトマップの remote-peer キーワードを使用します）。
Step 20	exit Example: `Router(config-crypto-map)# exit`	ダイナミッククリプトマップコンフィギュレーションモードを終了します。
Step 21	crypto map `map-name` ipsec-isakmp dynamic `dynamic-template-name` Example: `Router(config)# crypto map mymap ipsec-isakmp dynamic dmap`	クリプトマップコンフィギュレーションモードを開始します。
Step 22	radius-server host `ip-address` [auth-port `port-number` ] [acct-port `port-number` ] Example: `Router(config)# radius-server host 172.16.1.4`	RADIUS サーバホストを指定します。
Step 23	radius-server key `string` Example: `Router(config)# radius-server key nsite`	ルータおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証キーおよび暗号キーを指定します。
Step 24	radius-server vsa send accounting Example: `Router(config)# radius-server vsa send accounting`	ベンダー固有属性を認識し使用するために、ネットワークアクセスサーバーを設定します。
Step 25	interface `type` `slot` / `port` Example: `Router(config)# interface FastEthernet 1/0`	インターフェイスタイプを設定し、インターフェイスコンフィギュレーションモードを開始します。
Step 26	crypto map `map-name` Example: `Router(config-if)# crypto map mymap`	インターフェイスに対して以前に定義されたクリプトマップセットを適用します。

アカウンティング更新の設定

セッションが「up」中にアカウンティング更新を送信するには、次の任意の作業を実行します。

Before you begin

IPSec VPN アカウンティングは、アカウンティング更新の設定前に設定する必要があります。詳細については、「IPsec VPN アカウンティングの設定」を参照してください。

SUMMARY STEPS

enable
configure terminal
aaa accounting update periodic number

DETAILED STEPS

Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

Step 2

configure terminal

Example:


Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

Step 3

aaa accounting update periodic number

Example:


Router (config)# aaa accounting update periodic 1-2147483647

（任意）アカウンティングサーバに送信される定期的中間アカウンティングレコードをイネーブルにします。

IPsec VPN アカウンティングのトラブルシューティング

IPsec アカウンティングイベントに関するメッセージを表示するには、次の任意の作業を実行します。

SUMMARY STEPS

enable
debug crypto isakmp aaa

DETAILED STEPS

Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

Step 2

debug crypto isakmp aaa

Example:


Router# debug crypto isakmp aaa

IKE に関するメッセージを表示します。

aaa キーワードによって、アカウンティングイベントが指定されます。

IPsec VPN アカウンティングの設定例

アカウンティングおよび ISAKMP プロファイル例

次に、アカウンティングおよび ISAKMP プロファイルを持つリモートアクセスクライアントをサポートするための設定する例を示します。


version 2.1 
service timestamps debug datetime msec 
service timestamps log datetime msec 
no service password-encryption 
! 
hostname sheep 
! 
aaa new-model 
! 
! 
aaa accounting network ipsecaaa start-stop group radius 
aaa accounting update periodic 1 
aaa session-id common 
ip subnet-zero 
ip cef 
! 
! 
no ip domain lookup 
ip domain name cisco.com 
ip name-server 172.29.2.133 
ip name-server 172.29.11.48 
! 
! 
crypto isakmp policy 1 
authentication pre-share 
group 2 
! 
crypto isakmp policy 10 
hash md5 
authentication pre-share 
lifetime 200 
crypto isakmp key cisco address 172.31.100.2 
crypto iakmp client configuration group cclient
 key jegjegjhrg
 pool addressA
 
crypto-isakmp profile groupA
 vrf cisco 
 match identity group cclient 
 client authentication list cisco-client 
 isakmp authorization list cisco-client 
 client configuration address respond 
 accounting acc 
! 
! 
crypto ipsec transform-set esp-des-md5 esp-des esp-md5-hmac 
!
crypto dynamic-map remotes 1
set peer 172.31.100.2 
set security-association lifetime seconds 120 
set transform-set esp-des-md5 
reverse-route
! 
crypto map test 10 ipsec-isakmp dynamic remotes
! 
voice call carrier capacity active 
! 
interface Loopback0 
ip address 10.20.20.20 255.255.255.0 
no ip route-cache 
no ip mroute-cache 
! 
interface FastEthernet0/0 
ip address 10.2.80.203 255.255.255.0 
no ip mroute-cache 
load-interval 30 
duplex full 
! 
interface FastEthernet1/0 
ip address 192.168.219.2 255.255.255.0 
no ip mroute-cache 
duplex auto 
speed auto 
! 
interface FastEthernet1/1 
ip address 172.28.100.1 255.255.255.0 
no ip mroute-cache 
duplex auto 
speed auto 
crypto map test 
! 
no fair-queue 
ip default-gateway 10.2.80.1 
ip classless 
ip route 10.0.0.0 0.0.0.0 10.2.80.1 
ip route 10.20.0.0 255.0.0.0 10.2.80.56 
ip route 10.10.10.0 255.255.255.0 172.31.100.2 
ip route 10.0.0.2 255.255.255.255 10.2.80.73 
ip local pool addressA 192.168.1.1 192.168.1.253
no ip http server 
ip pim bidir-enable 
! 
! 
ip access-list extended encrypt 
permit ip host 10.0.0.1 host 10.5.0.1 
! 
access-list 101 permit ip host 10.20.20.20 host 10.10.10.10 
! 
! 
radius-server host 172.27.162.206 auth-port 1645 acct-port 1646 key cisco123 
radius-server retransmit 3 
radius-server authorization permit missing Service-Type 
radius-server vsa send accounting 
call rsvp-sync 
! 
! 
mgcp profile default 
! 
dial-peer cor custom 
! 
! 
gatekeeper 
shutdown 
! 
! 
line con 0 
exec-timeout 0 0 
exec prompt timestamp 
line aux 0 
line vty 5 15 
 ntp server 172.31.150.52 
end

ISAKMP プロファイルなしのアカウンティング例

次に、ISAKMP プロファイルが使用されていない時にアカウンティングリモートアクセスピアをサポートする Cisco IOS XE 設定全体の例を示します。


version 2.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname sheep
!
aaa new-model
!
!
aaa accounting network ipsecaaa start-stop group radius
aaa accounting update periodic 1
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name cisco.com
ip name-server 172.29.2.133
ip name-server 172.29.11.48
!
!
crypto isakmp policy 1
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
 lifetime 200
crypto isakmp key cisco address 172.31.100.2
!
!
crypto ipsec transform-set esp-des-md5 esp-des esp-md5-hmac 
!
crypto map test client accounting list ipsecaaa
crypto map test 10 ipsec-isakmp 
 set peer 172.31.100.2
 set security-association lifetime seconds 120
 set transform-set esp-des-md5 
 match address 101
!
voice call carrier capacity active
!
interface Loopback0
 ip address 10.20.20.20 255.255.255.0
 no ip route-cache
 no ip mroute-cache
!
interface FastEthernet0/0
 ip address 10.2.80.203 255.255.255.0
 no ip mroute-cache
 load-interval 30
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.219.2 255.255.255.0
 no ip mroute-cache
 duplex auto
 speed auto
!
interface FastEthernet1/1
 ip address 172.28.100.1 255.255.255.0
 no ip mroute-cache
 duplex auto
 speed auto
 crypto map test
!
no fair-queue
ip default-gateway 10.2.80.1
ip classless
ip route 10.0.0.0 0.0.0.0 10.2.80.1
ip route 10.30.0.0 255.0.0.0 10.2.80.56
ip route 10.10.10.0 255.255.255.0 172.31.100.2
ip route 10.0.0.2 255.255.255.255 10.2.80.73
no ip http server
ip pim bidir-enable
!
!
ip access-list extended encrypt
 permit ip host 10.0.0.1 host 10.5.0.1
!
access-list 101 permit ip host 10.20.20.20 host 10.10.10.10
!
!
radius-server host 172.27.162.206 auth-port 1645 acct-port 1646 key cisco123
radius-server retransmit 3
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 exec prompt timestamp
line aux 0
line vty 5 15
!
exception core-file ioscrypto/core/sheep-core
exception dump 172.25.1.129
ntp clock-period 17208229
ntp server 172.71.150.52
!
end

その他の参考資料

関連項目	マニュアルタイトル
AAA アカウンティングの設定	『Cisco IOS XE Security Configuration Guide: Securing User Services』の「Configuring Accounting」モジュール
IPsec VPN アカウンティングの設定	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Configuring Security for VPNs with IPsec」モジュール
基本 AAA RADIUS の設定	『Cisco IOS XE Security Configuration Guide: Securing User Services』の「Configuring RADIUS」モジュール
ISAKMP プロファイルの設定	『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「VRF-Aware IPsec」モジュール
TACACS+ および RADIUS での権限レベル	『Cisco IOS XE Security Configuration Guide: Securing User Services』の「Configuring TACACS+」モジュール『Cisco IOS XE Security Configuration Guide: Securing User Services』の「Configuring RADIUS」モジュール
IP セキュリティ、RADIUS、および AAA コマンド	『Cisco IOS Security Command Reference』

標準	タイトル
なし。	--

MIB	MIB のリンク
なし。	選択したプラットフォーム、Cisco ソフトウェアリリース、およびフィーチャセットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

RFC	タイトル
なし。

説明	リンク
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンラインリソースを提供しています。お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service（Field Notice からアクセス）、Cisco Technical Services Newsletter、Really Simple Syndication（RSS）フィードなどの各種サービスに加入できます。シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

IPsec VPN アカウンティングの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Table 3. IPsec VPN アカウンティングの機能情報
機能名	リリース	機能情報
IPsec VPN アカウンティング	Cisco IOS XE Release 2.1	IPsec VPN アカウンティング機能を使用すれば、セッションが開始される時と終了する時を指示することによって、セッションをアカウンティングできます。 VPN セッションとは、IKE SA および、IKE SA によって作成される 1 つ以上の SA ペアとして定義されます。セッションは、最初の IPsec ペアが作成されると開始し、すべての IPsec SA が削除されると停止します。セッション識別情報およびセッション使用状況情報が、標準的な RADIUS 属性および VSA を介して、RADIUS サーバに渡されます。次のコマンドが導入または変更されました。client authentication list, client configuration address, crypto isakmp profile, crypto map (global IPsec), debug crypto isakmp, isakmp authorization list, match identity, set isakmp-profile, vrf 。

用語集

IKE ：Internet Key Exchange（インターネットキーエクスチェンジ）。IKE によって、キーが必要なサービス（IP セキュリティ（IPsec）など）のための共有セキュリティポリシーおよび認証キーが確立されます。IPsec トラフィックを通過させる前に、ルータ、ファイアウォール、ホストそれぞれでピアの ID を検証する必要があります。それには、事前共有キーを両ホストに手動で入力するか、認証局（CA）サービスを使用します。

IPsec ：IP security（IP セキュリティ）。IPsec はオープン規格のフレームワークであり、これにより、参加ピア間でデータ機密性、データ整合性、およびデータ認証が提供されます。IPsec では、これらのセキュリティサービスが IP レイヤで実現されます。IPsec では、ローカルポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティゲートウェイ間、またはセキュリティゲートウェイとホスト間で 1 つ以上のデータフローを保護するために使用できます。

ISAKMP ：Internet Security Association and Key Management Protocol。ISAKMP は、セキュリティアソシエーションのネゴシエーション、確立、変更、および削除を行うインターネット IPsec プロトコル（RFC 2408）です。また、キー生成および認証データ（特定のキー生成メカニズムとは独立しています）、キー確立プロトコル、暗号化アルゴリズム、または認証メカニズムも交換されます。

L2TP session ：Layer 2 Transport Protocol（レイヤ 2 転送プロトコル）。L2TP は、単一の PPP 接続のトンネリングがサポートされた、L2TP アクセスコンセントレータ（LAC）と L2TP ネットワークサーバ（LNS）の間における通信トランザクションです。PPP 接続、L2TP セッション、および L2TP コールの間に 1 対 1 の関係があります。

NAS ：ネットワークアクセスサーバー。NAS は、パケットの世界（インターネットなど）と回線の世界（公衆電話交換網（PSTN））との間のインターフェイスとなるシスコのプラットフォーム（または複数のプラットフォームの集まり。AccessPath システムなど）です。

PFS ：Perfect Forward Secrecy。PFS は、導き出される共有秘密値に関連する暗号特性です。PFS を使用すると、1 つのキーが損なわれても、これ以降のキーは前のキーの取得元から取得されないため、前および以降のキーには影響しません。

QM ：Queue Manager（キューマネージャ）。Cisco IP Queue Manager（IP QM）は、インテリジェントで、IP ベースの、コール処理およびルーティングソリューションであり、Cisco IP Contact Center（PCC）ソリューションの一部として、強力なコール処理オプションが提供されます。

RADIUS ：リモート認証ダイヤルインユーザーサービス。RADIUS は、モデムおよび ISDN 接続の認証、および接続のトラッキングのためのデータベースです。

RSA ：Rivest, Shamir, and Adelman（Rivest、Shamir、および Adelman）。Rivest、Shamir、および Adelman は、暗号化および認証に使用可能な公開キー暗号化システムの発明者たちです。

SA ：Security Association（セキュリティアソシエーション）。SA は、データフローに適用されるセキュリティポリシーおよびキー関連情報のインスタンスです。

TACACS+ ：Terminal Access Controller Access Control System Plus（TACAS+）。TACACS+ は、ユーザーによるルータまたはネットワークアクセスサーバーへのアクセス試行の集中的な確認を可能にするセキュリティアプリケーションです。

VPN ：Virtual Private Network（仮想プライベートネットワーク）。VPN を使用すると、ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN は「トンネリング」を使用して、IP レベルですべての情報を暗号化します。

VRF ：VPN Routing/Forwarding instance（VPN ルーティング/転送インスタンス）。VRF は、IP ルーティングテーブル、取得されたルーティングテーブル、そのルーティングテーブルを使用する一連のインターフェイス、ルーティングテーブルに登録されるものを決定する一連のルールおよびルーティングプロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。

VSA ：Vendor-Specific Attribute（ベンダー固有属性）。VSA は、特定のベンダーによって実装された属性です。Vendor-Specific 属性が使用された結果、AV ペアがカプセル化されます。基本的には、Vendor-Specific = プロトコル:Attribute = 値となります。

XAUTH ：Extended Authentication（拡張認証）。XAUTH は、IKE フェーズ 1 と IKE フェーズ 2 の間における任意の交換です。XAUTH では、ルータが、（ピアの認証ではなく）実際のユーザの認証試行において、追加の認証情報を要求します。

Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： IPsec VPN アカウンティング

IPsec VPN アカウンティング

IPsec VPN アカウンティングの前提条件

IPsec VPN アカウンティングに関する情報

RADIUS アカウンティング

RADIUS 開始アカウンティング

RADIUS 終了アカウンティング

RADIUS 更新アカウンティング

IKE および IPsec サブシステムの相互作用

Accounting Start

アカウンティング終了

アカウンティング更新

IPsec VPN アカウンティングの設定方法

IPsec VPN アカウンティングの設定

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

アカウンティング更新の設定

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

IPsec VPN アカウンティングのトラブルシューティング

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

IPsec VPN アカウンティングの設定例

アカウンティングおよび ISAKMP プロファイル例

ISAKMP プロファイルなしのアカウンティング例

その他の参考資料

関連資料

標準

MIB

RFC

シスコのテクニカル サポート

IPsec VPN アカウンティングの機能情報

用語集

このドキュメントは役に立ちましたか?

シスコに問い合わせ

シスコのテクニカルサポート