某银行系统无线接入ACS之RADIUS认证方案
项目背景:
无线接入、IPSEC加密是银行离行设备目前普遍采用的方案,本文专门介绍ACS认证功能中的RADIUS认证。
01
项目资料:
恒康3G通使用3G/4G无线拨号拨入运营商
运营商认证SIM卡信息(是否欠费、是否属于VPDN)
认证成功后不分配IP地址,将认证信息转发到LNS
LNS收到认证信息后交给ACS进行认证
ACS收到认证信息,通过认证则分配IP
恒康3G通获得了一个1.8.8.8的IP地址
LNS有1.8.8.8的路由但没有11.2.2.0的路由
×××网关有1.8.8.8的路由,但不发布给内网
恒康3G通与×××网关建立IPSEC隧道
终端最终可以ping通测试服务器
ACS部分配置
创建设备属性,将属性分配给设备
位置属性
命名设备所在地:LNS_beijing
02
类型属性
建立所有路由器属性、LNS_Cisco属于所有路由器
命名设备类型LNS_Cisco
03
创建一个AAA客户端并指定客户端所具备的参数
将前面创建的两项属性在此处调用,结合成一个属性组。
命名为LNS_Cisco
位置属于LNS_beijing
类型是LNS_Cisco
IP是192.168.5.41
共享密钥是cisco
04
05
创建用户属性
将属性分配给用户
IP地址分配属性
此属性控制创建用户时是否允许分配IP地址。
06
创建用户组属性:
这里建了日常和灾备两个组
07
创建用户账号,本例用户属于灾备组
08
09
创建策略组件:
授权策略需要使用策略组件
取名为ABC_3G_VPDN_Authorization
10
RADIUS Attributes选项卡
允许分配IPV4地址
11
创建用户接入策略:
创建认证服务
12
13
选择匹配模块
14
点击保存
创建接入规则:
匹配选择条目后,使用刚创建的ABC_3G_VPDN_Access服务
15
返回修改服务具体内容
16
详细匹配灾备用户和IP授权规则。
17
18
修改默认规则为拒绝
19
20
查看效果
21
22
查看匹配到的用户名、准入规则、接入设备和IP地址。
点击放大镜可查看详细信息。
23
测试用设备均为CISCO模拟器
LNS配置
aaa new-model
!
!
aaa authentication ppp default if-needed group radius 认证
aaa authorization network default group radius 授权
aaa accounting network default start-stop group radius 审计
radius-server host 192.168.5.247 key cisco 服务器地址和密钥
interface Serial4/0
ip address 192.168.8.254 255.255.255.0
encapsulation ppp
no peer default ip address
ppp authentication chap
serial restart-delay 0
no cdp enable
!
ppp配置
interface Serial4/0
ip address negotiated
encapsulation ppp
ppp chap hostname bfby
ppp chap password 0 bfby
ppp ipcp route default
serial restart-delay 0
!
原文下载地址:http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。