温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

某银行系统无线接入ACS之RADIUS认证方案

发布时间:2020-07-21 17:14:19 来源:网络 阅读:3244 作者:sunx990 栏目:网络安全

某银行系统无线接入ACSRADIUS认证方案

 

项目背景:

无线接入、IPSEC加密是银行离行设备目前普遍采用的方案,本文专门介绍ACS认证功能中的RADIUS认证。

01某银行系统无线接入ACS之RADIUS认证方案

项目资料:

恒康3G通使用3G/4G无线拨号拨入运营商

运营商认证SIM卡信息(是否欠费、是否属于VPDN

认证成功后不分配IP地址,将认证信息转发到LNS

LNS收到认证信息后交给ACS进行认证

ACS收到认证信息,通过认证则分配IP

恒康3G通获得了一个1.8.8.8IP地址

LNS1.8.8.8的路由但没有11.2.2.0的路由

×××网关有1.8.8.8的路由,但不发布给内网

恒康3G通与×××网关建立IPSEC隧道

终端最终可以ping通测试服务器

 

 

ACS部分配置

创建设备属性,将属性分配给设备

位置属性

命名设备所在地:LNS_beijing

02某银行系统无线接入ACS之RADIUS认证方案

类型属性

建立所有路由器属性、LNS_Cisco属于所有路由器

命名设备类型LNS_Cisco

03某银行系统无线接入ACS之RADIUS认证方案

 

创建一个AAA客户端并指定客户端所具备的参数

将前面创建的两项属性在此处调用,结合成一个属性组。

命名为LNS_Cisco

位置属于LNS_beijing

类型是LNS_Cisco

IP192.168.5.41

共享密钥是cisco

 

04某银行系统无线接入ACS之RADIUS认证方案

05某银行系统无线接入ACS之RADIUS认证方案

 

创建用户属性

将属性分配给用户

IP地址分配属性

此属性控制创建用户时是否允许分配IP地址。

06某银行系统无线接入ACS之RADIUS认证方案

 

创建用户组属性:

这里建了日常和灾备两个组

07某银行系统无线接入ACS之RADIUS认证方案

创建用户账号,本例用户属于灾备组

08某银行系统无线接入ACS之RADIUS认证方案

09某银行系统无线接入ACS之RADIUS认证方案

创建策略组件:

授权策略需要使用策略组件

取名为ABC_3G_VPDN_Authorization

10某银行系统无线接入ACS之RADIUS认证方案

RADIUS Attributes选项卡

允许分配IPV4地址

11某银行系统无线接入ACS之RADIUS认证方案

创建用户接入策略:

创建认证服务

12某银行系统无线接入ACS之RADIUS认证方案

13某银行系统无线接入ACS之RADIUS认证方案

选择匹配模块

 

14某银行系统无线接入ACS之RADIUS认证方案

点击保存

创建接入规则:

匹配选择条目后,使用刚创建的ABC_3G_VPDN_Access服务

 

15某银行系统无线接入ACS之RADIUS认证方案

返回修改服务具体内容

16某银行系统无线接入ACS之RADIUS认证方案

详细匹配灾备用户和IP授权规则。

17某银行系统无线接入ACS之RADIUS认证方案

18某银行系统无线接入ACS之RADIUS认证方案

修改默认规则为拒绝

19某银行系统无线接入ACS之RADIUS认证方案

20某银行系统无线接入ACS之RADIUS认证方案

查看效果

21某银行系统无线接入ACS之RADIUS认证方案

22某银行系统无线接入ACS之RADIUS认证方案

查看匹配到的用户名、准入规则、接入设备和IP地址。

点击放大镜可查看详细信息。

23某银行系统无线接入ACS之RADIUS认证方案

 

测试用设备均为CISCO模拟器

LNS配置

aaa new-model

!

!

aaa authentication ppp default if-needed group radius 认证

aaa authorization network default group radius 授权

aaa accounting network default start-stop group radius 审计

radius-server host 192.168.5.247 key cisco 服务器地址和密钥

 

 

interface Serial4/0

 ip address 192.168.8.254 255.255.255.0

 encapsulation ppp

 no peer default ip address

 ppp authentication chap

 serial restart-delay 0

 no cdp enable

!

 

ppp配置

interface Serial4/0

 ip address negotiated

 encapsulation ppp

 ppp chap hostname bfby

 ppp chap password 0 bfby

 ppp ipcp route default

 serial restart-delay 0

!

原文下载地址:http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI