随着物联网技术的发展, 3G/4G终端设备越来越多,不止个人用户越来越多,企业客户诸如银行、电力、交通、环保、地震、石油、气象、汽车等行业也越来越多,大量4G/3G无线终端接入面临了以下几个问题:对无线接入设备的管理、认证、远程控制、流量统计、分配固定IP等需求摆在了面前,这就需要一台专业的AAA认证服务器完成此项工作,起初接入数量少,可以通过CISCO路由器、华为路由器、H3C路由器通过逐条命令的形式来实现,当大量的无线接入需求涌现出来,出现了成千上万条无线接入的时,命令肯定不行了!今天给大家介绍一下我在某银行4G/3G无线接入方案中使用的一套CISCO路由器+HT-6000服务器方案,供大家参考!
如图所示:cisco7200 与 HT6000的内网口(eth0) 分配同一子网的两个地址 9.43.192.102 和 9.43.192.1,可直接通信用以承载Radius协议报文。
具体拨号建立过程:
1.网络待认证设备发起PPP拨号请求,通过网络发至运营商。
2.运营商核心交换网与网络待认证设备进行通信,验证CallerID、IMSI号用户域名。
3.电信通过验证后,电信LAC侧将二次请求包通过专线转发至分行中心的cisco7200。
4.cisco7200收到PPP通信请求包,根据Radius配置,将验证、授权部分交给HT6000。
5.HT6000验证用户名+域名,口令及CallerID、IMSI成功后,将验证成功及上线IP地址等信息反馈给cisco7200。
6.cisco7200接受到HT6000的验证及授权信息后,与网络待认证设备建立PPP连接。
7 在工作过程中,如果AAA服务器主机出现异常断电等故障、备机自动切换提供认证服务等全部功能。
该方案中,HT-6000AAA服务器可以为每一台上线的4G/3G路由器指定一个固定的IP,便于服务器远程反向控制ATM机等现场设备。
方案中CISCO路由器的参考配置如下:
开启AAA并设置认证为外部认证(radius-服务器)
R1(config)aaa new-model
R1(config)aaa authentication login default local
R1(config)aaa authentication ppp default group radius
R1(config)aaa authorization network default group radius
R1(config)aaa accounting update periodic 3(X)
配置VPDN的LNS部分:
R1#configure terminal
R1(config)#vpdn enable
LNS(config)#vpdn-group VN
LNS(config-vpdn) #accept-dialin
LNS(config-vpdn-acc-in)# protocol l2tp
LNS(config-vpdn-acc-in)# virtual-template 1
LNS(config-vpdn-acc-in)# exit
LNS(config-vpdn) # lcp renegotiation always(
LNS(config-vpdn) # l2tp tunnel password xxxx
LNS(config)# interface Virtual-Template1(
LNS(config-if)# mtu 1400
LNS(config-if)# ip unnumbered Loopback1
LNS(config-if)# ip mroute-cache
LNS(config-if)# no keepalive
LNS(config-if)# peer default ip address pool vpdnpool
LNS(config-if)# ppp authentication pap chap
LNS(config-if)# exit
LNS(config)#ip local pool vpdnpool 192.168.20.2 192.168.20.100(定义的地址池)
指定外部AAA服务器:
radius-server host 192.168.2.1 auth-port 1812 acct-port 1813 key 7 xxxxx(radius服务器的指向)
radius-server host 192.168.3.1 auth-port 1812 acct-port 1813 key 7 xxxxx (radius服务器的指向)
方案中AAA服务器的配置
RADIUS参数设置
AAA服务器新用户参数配置
AAA服务器双机热备配置
4G客户端上线记录