項目背景:
無線接入、IPSEC加密是銀行離行設備目前普遍採用的方案,本文專門介紹ACS認證功能中的RADIUS認證。
項目資料:
恆康3G通使用3G/4G無線撥號撥入運營商
運營商認證SIM卡信息(是否欠費、是否屬於VPDN)
認證成功後不分配IP地址,將認證信息轉發到LNS
LNS收到認證信息後交給ACS進行認證
ACS收到認證信息,通過認證則分配IP
恆康3G通獲得了一個1.8.8.8的IP地址
LNS有1.8.8.8的路由但沒有11.2.2.0的路由
***網關有1.8.8.8的路由,但不發佈給內網
恆康3G通與***網關建立IPSEC隧道
終端最終可以ping通測試服務器
ACS部分配置
創建設備屬性,將屬性分配給設備
位置屬性
命名設備所在地:LNS_beijing
類型屬性
建立所有路由器屬性、LNS_Cisco屬於所有路由器
命名設備類型LNS_Cisco
創建一個AAA客戶端並指定客戶端所具備的參數
將前面創建的兩項屬性在此處調用,結合成一個屬性組。
命名爲LNS_Cisco
位置屬於LNS_beijing
類型是LNS_Cisco
IP是192.168.5.41
共享密鑰是cisco
創建用戶屬性
將屬性分配給用戶
IP地址分配屬性
此屬性控制創建用戶時是否允許分配IP地址。
創建用戶組屬性:
這裏建了日常和災備兩個組
創建用戶賬號,本例用戶屬於災備組
創建策略組件:
授權策略需要使用策略組件
取名爲ABC_3G_VPDN_Authorization
RADIUS Attributes選項卡
允許分配IPV4地址
創建用戶接入策略:
創建認證服務
選擇匹配模塊
點擊保存
創建接入規則:
匹配選擇條目後,使用剛創建的ABC_3G_VPDN_Access服務
返回修改服務具體內容
詳細匹配災備用戶和IP授權規則。
修改默認規則爲拒絕
查看效果
查看匹配到的用戶名、准入規則、接入設備和IP地址。
點擊放大鏡可查看詳細信息。
測試用設備均爲CISCO模擬器
LNS配置
aaa new-model
!
!
aaa authentication ppp default if-needed group radius 認證
aaa authorization network default group radius 授權
aaa accounting network default start-stop group radius 審計
radius-server host 192.168.5.247 key cisco 服務器地址和密鑰
interface Serial4/0
ip address 192.168.8.254 255.255.255.0
encapsulation ppp
no peer default ip address
ppp authentication chap
serial restart-delay 0
no cdp enable
!
ppp配置
interface Serial4/0
ip address negotiated
encapsulation ppp
ppp chap hostname bfby
ppp chap password 0 bfby
ppp ipcp route default
serial restart-delay 0
!