某银行系统无线接入ACSRADIUS认证方案

 

项目背景:

无线接入、IPSEC加密是银行离行设备目前普遍采用的方案,本文专门介绍ACS认证功能中的RADIUS认证。

01某银行系统无线接入ACS之RADIUS认证方案_第1张图片

项目资料:

恒康3G通使用3G/4G无线拨号拨入运营商

运营商认证SIM卡信息(是否欠费、是否属于VPDN

认证成功后不分配IP地址,将认证信息转发到LNS

LNS收到认证信息后交给ACS进行认证

ACS收到认证信息,通过认证则分配IP

恒康3G通获得了一个1.8.8.8IP地址

LNS1.8.8.8的路由但没有11.2.2.0的路由

×××网关有1.8.8.8的路由,但不发布给内网

恒康3G通与×××网关建立IPSEC隧道

终端最终可以ping通测试服务器

 

 

ACS部分配置

创建设备属性,将属性分配给设备

位置属性

命名设备所在地:LNS_beijing

02某银行系统无线接入ACS之RADIUS认证方案_第2张图片

类型属性

建立所有路由器属性、LNS_Cisco属于所有路由器

命名设备类型LNS_Cisco

03某银行系统无线接入ACS之RADIUS认证方案_第3张图片

 

创建一个AAA客户端并指定客户端所具备的参数

将前面创建的两项属性在此处调用,结合成一个属性组。

命名为LNS_Cisco

位置属于LNS_beijing

类型是LNS_Cisco

IP192.168.5.41

共享密钥是cisco

 

04某银行系统无线接入ACS之RADIUS认证方案_第4张图片

05某银行系统无线接入ACS之RADIUS认证方案_第5张图片

 

创建用户属性

将属性分配给用户

IP地址分配属性

此属性控制创建用户时是否允许分配IP地址。

06某银行系统无线接入ACS之RADIUS认证方案_第6张图片

 

创建用户组属性:

这里建了日常和灾备两个组

07某银行系统无线接入ACS之RADIUS认证方案_第7张图片

创建用户账号,本例用户属于灾备组

08某银行系统无线接入ACS之RADIUS认证方案_第8张图片

09某银行系统无线接入ACS之RADIUS认证方案_第9张图片

创建策略组件:

授权策略需要使用策略组件

取名为ABC_3G_VPDN_Authorization

10某银行系统无线接入ACS之RADIUS认证方案_第10张图片

RADIUS Attributes选项卡

允许分配IPV4地址

11某银行系统无线接入ACS之RADIUS认证方案_第11张图片

创建用户接入策略:

创建认证服务

12某银行系统无线接入ACS之RADIUS认证方案_第12张图片

13某银行系统无线接入ACS之RADIUS认证方案_第13张图片

选择匹配模块

 

14某银行系统无线接入ACS之RADIUS认证方案_第14张图片

点击保存

创建接入规则:

匹配选择条目后,使用刚创建的ABC_3G_VPDN_Access服务

 

15某银行系统无线接入ACS之RADIUS认证方案_第15张图片

返回修改服务具体内容

16

详细匹配灾备用户和IP授权规则。

17

18

修改默认规则为拒绝

19某银行系统无线接入ACS之RADIUS认证方案_第16张图片

20某银行系统无线接入ACS之RADIUS认证方案_第17张图片

查看效果

21

22

查看匹配到的用户名、准入规则、接入设备和IP地址。

点击放大镜可查看详细信息。

23

 

测试用设备均为CISCO模拟器

LNS配置

aaa new-model

!

!

aaa authentication ppp default if-needed group radius 认证

aaa authorization network default group radius 授权

aaa accounting network default start-stop group radius 审计

radius-server host 192.168.5.247 key cisco 服务器地址和密钥

 

 

interface Serial4/0

 ip address 192.168.8.254 255.255.255.0

 encapsulation ppp

 no peer default ip address

 ppp authentication chap

 serial restart-delay 0

 no cdp enable

!

 

ppp配置

interface Serial4/0

 ip address negotiated

 encapsulation ppp

 ppp chap hostname bfby

 ppp chap password 0 bfby

 ppp ipcp route default

 serial restart-delay 0

!

原文下载地址:http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba