Hướng Dẫn Kỹ Thuật
Hướng Dẫn Cấu Hình IPsec VPN Accounting Trên Router Cisco
Th2
Tính Năng IPsec VPN Accounting trên các thiết bị Cisco Router cho phép tính toán một phiên bằng cách cho biết khi nào phiên bắt đầu và khi nào phiên dừng. Phiên VPN được định nghĩa là liên kết bảo mật Internet Key Exchange (IKE) và một hoặc nhiều cặp SA được tạo bởi IKE SA. Phiên bắt đầu khi cặp IP Security (IPsec) đầu tiên được tạo và dừng khi tất cả IPsec SA bị xóa.
Thông tin nhận dạng phiên và thông tin sử dụng phiên được chuyển đến máy chủ Remote Authentication Dial-In User Service (RADIUS) thông qua các thuộc tính RADIUS tiêu chuẩn và thuộc tính dành riêng cho nhà cung cấp (VSA)
Dưới đây là các bước chi tiết để cấu hình IPsec VPN accounting trên bộ định tuyến Cisco
CẤU HÌNH IPSEC VPN ACCOUNTING TRÊN ROUTER CISCO
Bảng dưới đây cho thấy các bước chi tiết để cấu hình IPsec VPN Accounting trên Router Cisco
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ: Router> enable
|
Bật chế độ EXEC đặc quyền
|
| Bước 2 |
configure terminal Ví dụ: Router# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
aaa new-model Ví dụ: Router (config)# aaa new-model
|
Cho phép gửi hồ sơ kế toán tạm thời định kỳ đến máy chủ kế toán.
|
| Bước 4 |
aaa authentication login list-name method Ví dụ: Router (config)# aaa authentication login cisco-client group radius
|
Thực thi authentication, authorization, và accounting (AAA) cho extended authorization (XAUTH) thông qua RADIUS hoặc cục bộ
|
| Bước 5 |
aaa authorization network list-name method Ví dụ: Router (config)# aaa authorization network cisco-client group radius
|
Đặt tham số ủy quyền AAA trên máy khách từ xa từ RADIUS hoặc cục bộ.
|
| Bước 6 |
aaa accounting network list-name start-stop [broadcast] group group-name Ví dụ: Router (config)# aaa accounting network acc start-stop broadcast group radius
|
Cho phép tính toán các dịch vụ AAA được yêu cầu cho mục đích thanh toán hoặc bảo mật khi RADIUS hoặc TACACS+ được sử dụng.
|
| Bước 7 |
aaa session-id common Ví dụ: Router (config)# aaa session-id common
|
Chỉ định xem cùng một phiên ID có được sử dụng cho từng loại dịch vụ accounting AAA trong cuộc gọi hay không hoặc liệu một ID phiên khác có được gán cho từng loại dịch vụ accounting hay không.
|
| Bước 8 |
crypto isakmp profile profile-name Ví dụ: Route (config)# crypto isakmp profile cisco
|
Kiểm tra các phiên người dùng IP security (IPsec) và vào chế độ phụ isakmp-profile.
|
| Bước 9 |
vrf ivrf Ví dụ: Router (conf-isa-prof)# vrf cisco
|
Liên kết nhóm địa chỉ theo yêu cầu với tên phiên bản định tuyến và chuyển tiếp Virtual Private Network (VPN).
|
| Bước 10 |
match identity group group-name Ví dụ: Router(conf-isa-prof)# match identity group cisco
|
Khớp danh tính từ một peer trong hồ sơ ISAKMP.
|
| Bước 11 |
client authentication list list-name Ví dụ: Router(conf-isa-prof)# client authentication list cisco
|
Cấu hình Internet Key Exchange (IKE) extended authentication (XAUTH) trong Internet Security Association và hồ sơ Key Management Protocol (ISAKMP).
|
| Bước 12 |
isakmp authorization list list-name Ví dụ: Router(conf-isa-prof)# isakmp authorization list cisco-client
|
Cấu hình IKE shared secret và các tham số khác bằng AAA server trong hồ sơ ISAKMP. Bí mật được chia sẻ và các tham số khác thường được dẩy tới chế độ cấu hình remote peer through (MODECFG).
|
| Bước 13 |
client configuration address [initiate | respond] Ví dụ: Router(conf-isa-prof)# client configuration address respond
|
Cấu hình IKE mode configuration (MODECFG) trong hồ sơ ISAKMP.
|
| Bước 14 |
accounting list-name Ví dụ: Router(conf-isa-prof)# accounting acc
|
Bật dịch vụ AAA accounting cho tất cả mạng ngang hàng thông qua hồ sơ ISAKMP này.
|
| Bước 15 |
exit Ví dụ: Router(conf-isa-prof)# exit
|
Thoát khỏi chế độ phụ isakmp-profile.
|
| Bước 16 |
crypto dynamic-map dynamic-map-name dynamic-seq-num Ví dụ: Router(config)# crypto dynamic-map mymap 10 ipsec-isakmp
|
Tạo mẫu dynamic crypto map và vào chế độ lệnh cấu hình crypto map.
|
| Bước 17 |
set transform-set transform-set-name Ví dụ: Router(config-crypto-map)# set transform-set aswan
|
Chỉ định bộ biến đổi nào có thể được sử dụng với mẫu crypto map.
|
| Bước 18 |
set isakmp-profile profile-name Ví dụ: Router(config-crypto-map)# set isakmp-profile cisco
|
Đặt tên hồ sơ ISAKMP.
|
| Bước 19 |
reverse-route [remote-peer] Ví dụ: Router(config-crypto-map)# reverse-route
|
Cho phép thêm các routes (ip addresses) cho các đích phía sau điểm cuối VPN remote tunnel và có thể bao gồm một route đến chính điểm cuối tunnel (sử dụng từ khóa remote-peer cho crypto map)
|
| Bước 20 |
exit Ví dụ: Router(config-crypto-map)# exit
|
Thoát khỏi chế độ cấu hình dynamic crypto map.
|
| Bước 21 |
crypto map map-name ipsec-isakmp dynamic dynamic-template-name Ví dụ: Router(config)# crypto map mymap ipsec-isakmp dynamic dmap
|
Vào chế độ cấu hình crypto map
|
| Bước 22 |
radius-server host ip-address [auth-port port-number] [acct-port port-number] Ví dụ: Router(config)# radius-server host 172.16.1.4
|
Chỉ định máy chủ lưu trữ RADIUS.
|
| Bước 23 |
radius-server key string Ví dụ: Router(config)# radius-server key nsite
|
Đặt khóa xác thực và mã hóa cho tất cả các giao tiếp RADIUS giữa bộ định tuyến và daemon RADIUS.
|
| Bước 24 |
radius-server vsa send accounting Ví dụ: Router(config)# radius-server vsa send accounting
|
Cấu hình máy chủ truy cập mạng và sử dụng các thuộc tính dành riêng cho nhà cung cấp
|
| Bước 25 |
interface type slot / port Ví dụ: Router(config)# interface FastEthernet 1/0
|
Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện.
|
| Bước 26 |
crypto map map-name Ví dụ: Router(config-if)# crypto map mymap
|
Áp dụng crypto map được xác định trước đó cho một giao diện
|
CẤU HÌNH ACCOUNTING UPDATES TRÊN ROUTER CISCO
Để gửi các bản cập nhật Accounting trong khi phiên đang “up”, hãy thực hiện các tác vụ tùy chọn sau:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ: Router> enable
|
Bật chế độ EXEC đặc quyền
|
| Bước 2 |
configure terminal Ví dụ: Router# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
aaa accounting update periodic number Ví dụ: Router (config)# aaa accounting update periodic 1-2147483647
|
(Tùy chọn) Cho phép gửi hồ sơ accounting tạm thời đến máy chủ accounting.
|
KHẮC PHỤC SỰ CỐ CHO IPSEC VPN ACCOUNTING TRÊN ROUTER CISCO
Để hiển thị thông báo về các sự kiện IPsec VPN Accounting trên Router Cisco, hãy thực hiện các tác vụ tùy chọn sau:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ: Router> enable
|
Bật chế độ EXEC đặc quyền
|
| Bước 2 |
debug crypto isakmp aaa Ví dụ: Router# debug crypto isakmp aaa
|
Hiển thị thông báo về các sự kiện Internet Key Exchange (IKE).
|
ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
Cisco Việt Nam ™ là địa chỉ phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
Cisco Việt Nam ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của Cisco Việt Nam ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0967.40.70.80
- Email: mailto:info@anbinhnet.com.vn
- Website: https://ciscovietnam.com/
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0967.40.70.80
- Email: mailto:info@anbinhnet.com.vn
- Website: https://ciscovietnam.com/
