某银行系统无线接入ACS之RADIUS认证方案

某银行系统无线接入ACS之RADIUS认证方案

项目背景：

无线接入、IPSEC加密是银行离行设备目前普遍采用的方案，本文专门介绍ACS认证功能中的RADIUS认证。

01

项目资料：

恒康3G通使用3G/4G无线拨号拨入运营商

运营商认证SIM卡信息（是否欠费、是否属于VPDN）

认证成功后不分配IP地址，将认证信息转发到LNS

LNS收到认证信息后交给ACS进行认证

ACS收到认证信息，通过认证则分配IP

恒康3G通获得了一个1.8.8.8的IP地址

LNS有1.8.8.8的路由但没有11.2.2.0的路由

×××网关有1.8.8.8的路由，但不发布给内网

恒康3G通与×××网关建立IPSEC隧道

终端最终可以ping通测试服务器

ACS部分配置

创建设备属性，将属性分配给设备

位置属性

命名设备所在地：LNS_beijing

02

类型属性

建立所有路由器属性、LNS_Cisco属于所有路由器

命名设备类型LNS_Cisco

03

创建一个AAA客户端并指定客户端所具备的参数

将前面创建的两项属性在此处调用，结合成一个属性组。

命名为LNS_Cisco

位置属于LNS_beijing

类型是LNS_Cisco

IP是192.168.5.41

共享密钥是cisco

04

05

创建用户属性

将属性分配给用户

IP地址分配属性

此属性控制创建用户时是否允许分配IP地址。

06

创建用户组属性：

这里建了日常和灾备两个组

07

创建用户账号，本例用户属于灾备组

08

09

创建策略组件：

授权策略需要使用策略组件

取名为ABC_3G_VPDN_Authorization

10

RADIUS Attributes选项卡

允许分配IPV4地址

11

创建用户接入策略：

创建认证服务

12

13

选择匹配模块

14

点击保存

创建接入规则：

匹配选择条目后，使用刚创建的ABC_3G_VPDN_Access服务

15

返回修改服务具体内容

16

详细匹配灾备用户和IP授权规则。

17

18

修改默认规则为拒绝

19

20

查看效果

21

22

查看匹配到的用户名、准入规则、接入设备和IP地址。

点击放大镜可查看详细信息。

23

测试用设备均为CISCO模拟器

LNS配置

aaa new-model

!

!

aaa authentication ppp default if-needed group radius 认证

aaa authorization network default group radius 授权

aaa accounting network default start-stop group radius 审计

radius-server host 192.168.5.247 key cisco 服务器地址和密钥

interface Serial4/0

 ip address 192.168.8.254 255.255.255.0

 encapsulation ppp

 no peer default ip address

 ppp authentication chap

 serial restart-delay 0

 no cdp enable

!

ppp配置

interface Serial4/0

 ip address negotiated

 encapsulation ppp

 ppp chap hostname bfby

 ppp chap password 0 bfby

 ppp ipcp route default

 serial restart-delay 0

!

原文下载地址：http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba