某銀行系統無線接入ACS之RADIUS認證方案

某銀行系統無線接入ACSRADIUS認證方案

 

項目背景:

無線接入、IPSEC加密是銀行離行設備目前普遍採用的方案,本文專門介紹ACS認證功能中的RADIUS認證。

01wKiom1awH9CAJtjeAAIg2phRuM0203.jpg

項目資料:

恆康3G通使用3G/4G無線撥號撥入運營商

運營商認證SIM卡信息(是否欠費、是否屬於VPDN

認證成功後不分配IP地址,將認證信息轉發到LNS

LNS收到認證信息後交給ACS進行認證

ACS收到認證信息,通過認證則分配IP

恆康3G通獲得了一個1.8.8.8IP地址

LNS1.8.8.8的路由但沒有11.2.2.0的路由

***網關有1.8.8.8的路由,但不發佈給內網

恆康3G通與***網關建立IPSEC隧道

終端最終可以ping通測試服務器

 

 

ACS部分配置

創建設備屬性,將屬性分配給設備

位置屬性

命名設備所在地:LNS_beijing

02wKiom1awH9yiI733AAC518gGBvI724.jpg

類型屬性

建立所有路由器屬性、LNS_Cisco屬於所有路由器

命名設備類型LNS_Cisco

03wKiom1awH-nCqVizAADikIxzKRU604.jpg

 

創建一個AAA客戶端並指定客戶端所具備的參數

將前面創建的兩項屬性在此處調用,結合成一個屬性組。

命名爲LNS_Cisco

位置屬於LNS_beijing

類型是LNS_Cisco

IP192.168.5.41

共享密鑰是cisco

 

04wKiom1awH_XSCqrRAAGdB3GOFvM568.jpg

05wKioL1awIE-w4vmqAAEIhmBMbq8055.jpg

 

創建用戶屬性

將屬性分配給用戶

IP地址分配屬性

此屬性控制創建用戶時是否允許分配IP地址。

06wKioL1awIFmS0yQ7AAFV6ysN44k458.jpg

 

創建用戶組屬性:

這裏建了日常和災備兩個組

07wKiom1awIBWAD5VnAADS9j7_KSM989.jpg

創建用戶賬號,本例用戶屬於災備組

08wKiom1awIB7xUow1AAFzGHmS-iE540.jpg

09wKioL1awIHbwP-5GAADmsKBjn3A111.jpg

創建策略組件:

授權策略需要使用策略組件

取名爲ABC_3G_VPDN_Authorization

10wKiom1awIDLR-tSBAADpYxJGvG4010.jpg

RADIUS Attributes選項卡

允許分配IPV4地址

11wKioL1awIIuydRCCAAG4d2wLX2I454.jpg

創建用戶接入策略:

創建認證服務

12wKiom1awIEfA3N2pAAEvyJZU9S8551.jpg

13wKioL1awIKDjv_15AAEAJoqT9wM399.jpg

選擇匹配模塊

 

14wKioL1awIKqDdQ2JAAH-vMX8nus345.jpg

點擊保存

創建接入規則:

匹配選擇條目後,使用剛創建的ABC_3G_VPDN_Access服務

 

15wKiom1awIGjjImVLAAI7nS5Dr8M515.jpg

返回修改服務具體內容

16wKiom1awIHPzYUc1AACzoZ7SB-c256.jpg

詳細匹配災備用戶和IP授權規則。

17wKioL1awIMySpXtxAACoTTcKqD0841.jpg

18wKioL1awINfjW5AxAAHBCKfv8IY083.jpg

修改默認規則爲拒絕

19wKioL1awIOLg1yLAAAC03Ir46v0124.jpg

20wKioL1awIO6D7fzLAABazgSphRk967.jpg

查看效果

21wKiom1awIKuhVw2OAABEZtFvLyE337.jpg

22wKiom1awILTQiPJnAAGBv2wyG1I887.jpg

查看匹配到的用戶名、准入規則、接入設備和IP地址。

點擊放大鏡可查看詳細信息。

23wKioL1awIQzhqn07AADBULjYXUE615.jpg

 

測試用設備均爲CISCO模擬器

LNS配置

aaa new-model

!

!

aaa authentication ppp default if-needed group radius 認證

aaa authorization network default group radius 授權

aaa accounting network default start-stop group radius 審計

radius-server host 192.168.5.247 key cisco 服務器地址和密鑰

 

 

interface Serial4/0

 ip address 192.168.8.254 255.255.255.0

 encapsulation ppp

 no peer default ip address

 ppp authentication chap

 serial restart-delay 0

 no cdp enable

!

 

ppp配置

interface Serial4/0

 ip address negotiated

 encapsulation ppp

 ppp chap hostname bfby

 ppp chap password 0 bfby

 ppp ipcp route default

 serial restart-delay 0

!

原文下載地址:http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章