某銀行系統無線接入ACS之RADIUS認證方案

某銀行系統無線接入ACS之RADIUS認證方案

項目背景：

無線接入、IPSEC加密是銀行離行設備目前普遍采用的方案，本文專門介紹ACS認證功能中的RADIUS認證。

01

項目資料：

恒康3G通使用3G/4G無線撥號撥入運營商

運營商認證SIM卡信息（是否欠費、是否屬于VPDN）

認證成功后不分配IP地址，將認證信息轉發到LNS

LNS收到認證信息后交給ACS進行認證

ACS收到認證信息，通過認證則分配IP

恒康3G通獲得了一個1.8.8.8的IP地址

LNS有1.8.8.8的路由但沒有11.2.2.0的路由

×××網關有1.8.8.8的路由，但不發布給內網

恒康3G通與×××網關建立IPSEC隧道

終端最終可以ping通測試服務器

ACS部分配置

創建設備屬性，將屬性分配給設備

位置屬性

命名設備所在地：LNS_beijing

02

類型屬性

建立所有路由器屬性、LNS_Cisco屬于所有路由器

命名設備類型LNS_Cisco

03

創建一個AAA客戶端并指定客戶端所具備的參數

將前面創建的兩項屬性在此處調用，結合成一個屬性組。

命名為LNS_Cisco

位置屬于LNS_beijing

類型是LNS_Cisco

IP是192.168.5.41

共享密鑰是cisco

04

05

創建用戶屬性

將屬性分配給用戶

IP地址分配屬性

此屬性控制創建用戶時是否允許分配IP地址。

06

創建用戶組屬性：

這里建了日常和災備兩個組

07

創建用戶賬號，本例用戶屬于災備組

08

09

創建策略組件：

授權策略需要使用策略組件

取名為ABC_3G_VPDN_Authorization

10

RADIUS Attributes選項卡

允許分配IPV4地址

11

創建用戶接入策略：

創建認證服務

12

13

選擇匹配模塊

14

點擊保存

創建接入規則：

匹配選擇條目后，使用剛創建的ABC_3G_VPDN_Access服務

15

返回修改服務具體內容

16

詳細匹配災備用戶和IP授權規則。

17

18

修改默認規則為拒絕

19

20

查看效果

21

22

查看匹配到的用戶名、準入規則、接入設備和IP地址。

點擊放大鏡可查看詳細信息。

23

測試用設備均為CISCO模擬器

LNS配置

aaa new-model

!

!

aaa authentication ppp default if-needed group radius 認證

aaa authorization network default group radius 授權

aaa accounting network default start-stop group radius 審計

radius-server host 192.168.5.247 key cisco 服務器地址和密鑰

interface Serial4/0

 ip address 192.168.8.254 255.255.255.0

 encapsulation ppp

 no peer default ip address

 ppp authentication chap

 serial restart-delay 0

 no cdp enable

!

ppp配置

interface Serial4/0

 ip address negotiated

 encapsulation ppp

 ppp chap hostname bfby

 ppp chap password 0 bfby

 ppp ipcp route default

 serial restart-delay 0

!

原文下載地址：http://wenku.baidu.com/view/0b11ee6eb0717fd5370cdcba