在此页面上
瞻博网络 Mist RADIUS 属性
总结 使用此信息可了解已在瞻博网络 Mist™ 接入点 (AP) 中实施的 RADIUS 属性。
身份验证属性
可以在 Mist 接入点上启用 RADIUS 服务以进行 WLAN 用户身份验证。实施 IEEE 802.1X 身份验证的 WLAN 需要 RADIUS 服务。
在身份验证期间,AP 以访问请求消息的形式将用户信息发送到 RADIUS 服务器。RADIUS 服务器返回以下响应之一:
-
访问拒绝 - 无条件拒绝对所请求网络资源的访问。失败原因可能包括凭据无效或帐户无效。
-
访问质询 - 请求用户提供其他信息,例如辅助密码、PIN、令牌或卡。当用户与 Radius 服务器之间建立安全隧道时,访问质询也用于更复杂的身份验证,例如使用可扩展身份验证协议 (EAP) 进行身份验证。
-
访问-接受 - 允许访问请求的网络资源。访问请求通常包括使用返回属性的用户的其他配置信息。
IETF 标准身份验证属性
下表介绍了根据 RFC 2865 在瞻博网络 Mist 接入点中实施的标准身份验证属性。根据 RFC 2868 和 RFC 2869 中的建议,还实现了其他扩展。
| 属性名称类型 | RFC | 说明 | |
|---|---|---|---|
| 用户名 | 1 | RFC 2865 | 用户名属性在访问请求中转发,并指示要进行身份验证的用户的名称。 |
| 用户密码 | 2 | RFC 2865 | 用户密码属性在访问请求中转发。它指示要进行身份验证的用户的密码,或用户在访问质询后的输入。 |
| NAS-IP 地址 | 4 | RFC 2865 | NAS-IP 地址属性在访问请求中转发,并指示请求用户身份验证的 AP 的 IP 地址。 您可以在 WLAN 的 RADIUS 设置中配置此属性。WLAN 上的所有 AP 都发送配置的值。 |
| 服务类型 | 6 | RFC 2865 | 服务类型属性在访问请求中转发,指示用户请求的服务类型或要提供的服务类型。对于 802.1X/EAP WLAN,属性值始终由 AP 设置为成帧用户,对于启用了 MAC-身份验证的 WLAN,属性值始终设置为呼叫检查。 |
| 成帧-MTU | 12 | RFC 2865 | Framed-MTU 属性在访问请求中转发,并指示要为用户配置的最大传输单元 (MTU)。AP 始终将属性值设置为 1200。 |
| 状态 | 24 | RFC 2865 | 状态属性可在访问质询中转发。它必须原封不动地从客户端发送到该质询的访问请求回复中的服务器(如果有)。 |
| 被叫站 ID | 30 | RFC 2865 | 被叫站 ID 属性在访问请求中转发,并指示与验证用户关联的 BSSID 和 ESSID。接入点将使用以下格式转发属性值:XX-XX-XX-XX-XX-XX-XX:ESSID。 |
| 呼叫站ID | 31 | RFC 2865 | 呼叫站 ID 属性在访问请求中转发,并指示身份验证用户的 MAC 地址。它仅用于访问请求数据包。接入点将使用以下格式转发属性值:XX-XX-XX-XX-XX-XX-XX。 |
| 网络存储标识符 | 32 | RFC 2865 | NAS 标识符属性在访问请求中转发。您可以在 WLAN 的 RADIUS 设置中配置此属性。WLAN 上的所有接入点都发送配置的值。 您可以使用变量发送设备名称、型号、MAC 地址和站点名称。变量为: {{DEVICE_NAME}} {{DEVICE_MODEL}} {{DEVICE_MAC}} {{SITE_NAME}} |
| 代理状态 | 33 | RFC 2865 | 代理状态属性在转发访问请求时由代理服务器发送到另一台服务器;在将响应发送到网络访问服务器之前,必须在访问-接受、访问-拒绝或访问-质询中不加修改地返回此信息,并由代理服务器删除 |
| NAS 端口类型 | 61 | RFC 2865 | NAS 端口类型属性在访问请求中转发,并指示身份验证用户的物理连接类型。接入点始终将属性值设置为 Wireless-802.11。 |
| 连接信息 | 77 | RFC 2869 | 连接信息属性在访问请求中转发,指示身份验证用户的数据速率和无线电类型。接入点将使用以下格式转发属性值:CONNECT XXMbps 802.11X。 |
| EAP 消息 | 79 | RFC 2869 | EAP 消息属性在访问请求、访问质询、访问接受和访问拒绝中转发,并封装扩展访问协议 (EAP) 数据包。 |
| 消息验证器 | 80 | RFC 2869 | 消息身份验证器属性在访问请求中转发,可用于防止欺骗 CHAP、ARAP 或 EAP 访问请求数据包。 |
| 隧道专用组 ID | 81 | RFC 2868 | 隧道专用组 ID 属性在访问接受中转发,并指示要分配给身份验证用户的数字 VLAN ID。属性值必须设置为 1 到 4094 之间的数值或表示命名 VLAN 的字符串。 |
| 过滤器 ID | 11 | RFC 2865 | Filter-Id 属性可以在访问接受中转发,并指示用户角色客户端将与它关联。Mist WxLAN 策略框架使用用户组来分配网络防火墙规则。 格式:组名 示例:员工 |
支持的供应商特定属性
下表概述了瞻博网络 Mist 接入点根据 RFC 2865 支持的供应商特定属性 (VSA)。
| 属性名称 | 类型 | 供应商 ID | 属性编号 | 格式 | 描述 |
|---|---|---|---|---|---|
| Airespace-interface-name | 26 | 14179 | 5 | 字符串 | Airespace-Interface-Name 属性可以在 Access-Accept 中转发,以指示经过 802.1X 或 RADIUS MAC 身份验证的用户的动态 VLAN 成员资格。返回的属性值始终是 VLAN 的字符串格式名称。必须使用 VLAN ID 或变量在 WLAN 下配置 VLAN 名称到 VLAN ID 的转换。 格式:VLAN 名称 示例:员工 VLAN |
| Airespace-ACL-name | 26 | 14179 | 6 | 字符串 |
Airespace-ACL-Name 属性可以在 Access-Accept 中转发,并指示客户端将与之关联的用户角色。Mist WxLAN 策略框架使用用户组来分配精细的网络资源限制。 格式:组名 示例:员工 |
| Aruba-user-role | 26 | 14823 | 1 | 字符串 | Aruba-User-Role 属性可以在“访问-接受”中转发,并指示客户端将与之关联的用户角色。Mist WxLAN 策略框架使用用户组来分配精细的网络资源限制。 格式:组名 示例:员工 |
| Cisco-AVPair | 26 | 9 | 1 | 字符串 | 可以在访问接受中转发 Cisco-AVPair 属性,以向 Mist 接入点指示需要重定向客户端以进行门户身份验证,并指定重定向 URL 位置。此属性通常用于与思科 ISE 或 Aruba Clearpass RADIUS 服务器的访客访问集成,或为 802.1X/EAP 用户启用终端安全评估重定向功能。 AVPair 网址重定向 格式:url-redirect=<URL 值> 示例:url-redirect=https://ise28.89mistilbs.org:8443/portal/gateway?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae AVPair PSK Cisco-AVPair 属性还可以包含 PSK 属性,用于向 Mist 接入点指示分配给特定客户端的密码短语。请注意,要向 AP 提供 PSK 值,必须同时发送两个 Cisco AVPair 属性,一个表示 PSK 将以 ASCII 格式发送,另一个 AVPair 提供实际的预共享密钥值。 格式: PSK-mode=ASCII 和 psk=<密码短语> |
| 十一身份验证查找密钥 | 26 | 52970 | 3 | TLV | 11-Authentication-Find-Key 属性用于向支持的 RADIUS 服务器提供附加信息,以简化通过 RADIUS 查找的无线客户端 PSK,无需提前将无线客户端 MAC 与特定 PSK 预先关联。根据内部包含多个子属性的RFC6929,此属性是 TLV。 |
| 11-EAPOL-帧-2 (子属性) | 1 | 八进制 | 11-EAPOL-Frame-2 子属性包含无线客户端在 4 向握手期间发送到接入点的第二个 EAPOL 帧 | ||
| 11-EAPOL-Anonce (子属性) | 2 | 八进制 | 11-EAPOL-Anonce 子属性包含接入点在 4 路握手期间向无线客户端发送的第一个 EAPOL 帧 | ||
| 11-EAPOL-SSID (子属性) | 3 | 字符串 | 11-EAPOL-SSID 子属性包含无线客户端尝试关联的当前 SSID 名称 | ||
| 11-EAPOL-APMAC (子属性) | 4 | 八进制 | 11-EAPOL-APMAC 子属性包含 xxx 格式的 BSSID | ||
| 11-EAPOL-STMAC (子属性) | 5 | 八进制 | 11-EAPOL-STMAC 子属性包含 xxxxx 格式的无线客户端 MAC 地址 |
RADIUS 记帐属性
您可以在 WLAN 配置中启用或禁用 RADIUS 记帐服务器。您可以使用 RADIUS 记帐信息来跟踪用户的网络使用情况以进行计费,并收集数据以进行常规网络监控。
支持以下计费配置:
-
启动-停止 — 瞻博网络 Mist 接入点在用户会话开始和结束时转发记帐请求。默认情况下,只要在 WLAN 下配置了至少一个记帐服务器,就会启用此行为。
-
启动-中间-停止 — 瞻博网络 Mist 接入点在用户会话的开始和结束时转发记帐请求,并在会话的生命周期内定期转发记帐请求。“帧 IP 地址”属性将包含在记帐消息中。
注意:还可以通过从 RADIUS 服务器发送 Acct-Interim-Interval (85) AVP 来动态覆盖中间更新间隔。
下表介绍了根据 RFC 2866 在瞻博网络 Mist 接入点中实施的标准 RADIUS 记帐属性。
| 属性名称类型 | RFC | 说明 | |
|---|---|---|---|
| 用户名 | 1 | RFC 2865 | 用户名属性在记帐请求中转发,并指示用户的名称。 |
| NAS-IP 地址 | 4 | RFC 2865 | NAS-IP 地址属性在计费请求中转发,并指示接入点的 IP 地址。 |
| 帧 IP 地址 | 8 | RFC 2865 | “帧 IP 地址”属性在计费请求数据包中转发,并指示无线客户端当前或最后已知的 IP 地址。仅当在 WLAN 上启用临时会计时,才会发送临时会计。 注意: 在第一次客户端连接期间,当客户端尚未获取 IP 地址时,第一个记帐启动数据包中将缺少帧 IP 地址 AVP。但是,一旦 AP 获知客户端 IP 地址,它将发送包含帧 IP 地址信息的异步(在正常的临时会计更新间隔之外)会计临时更新消息。 |
| 类 | 25 | RFC 2865 | Class 属性可以选择在访问接受中转发,如果启用了记帐,则应由客户端作为记帐请求数据包的一部分发送到记帐服务器。Mist 接入点支持为每个客户端发送多个类属性。 |
| 被叫站 ID | 30 | RFC 2865 | 被叫站 ID 属性在记帐请求中转发,并指示与用户关联的 BSSID 和 ESSID。接入点将使用以下格式转发属性值:XX-XX-XX-XX-XX-XX-XX:ESSID。 |
| 呼叫站ID | 31 | RFC 2865 | 呼叫站 ID 属性在记帐请求中转发,并指示用户的 MAC 地址。接入点将使用以下格式转发属性值:XX-XX-XX-XX-XX-XX-XX。 |
| 网络存储标识符 | 32 | RFC 2865 | NAS 标识符属性在记帐请求中转发,并指示在 WLAN 设置下配置的用户定义标识符。 |
| 状态类型 | 40 | RFC 2866 | Acct状态类型属性在记帐请求中转发,并指示记帐请求是否标记记帐更新的状态。支持的值包括“开始”、“停止”和“临时更新”。 |
| 加速延迟时间 | 41 | RFC 2866 | Acct-延迟-时间属性在记帐请求中转发,指示接入点尝试发送记帐记录的秒数。从到达服务器上的时间中减去此值,以查找生成此记帐请求的事件的大致时间。 |
| Acct-Input-Octets | 42 | RFC 2866 | Acct-Input-Octets 属性在记帐请求中转发,并指示在连接过程中从用户那里接收了多少个八位字节。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| Acct-输出-八位字节 | 43 | RFC 2866 | Acct-Output-Octets 属性在记帐请求中转发,并指示在连接过程中转发给用户的八位字节数。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| acct-session-id | 44 | RFC 2866 | Acct-Session-Id 属性在记帐请求中转发,并提供唯一标识符,以便轻松匹配记帐日志文件中的开始、停止和临时记录。 |
| 帐户真实 | 45 | RFC 2866 | “帐户真实性”属性在“会计请求”中转发,并指示如何对用户进行身份验证。启用 RADIUS 记帐后,接入点会将此值设置为 RADIUS。 |
| 会话时间 | 46 | RFC 2866 | Acct-会话-时间属性在记帐请求中转发,并指示用户收到服务的秒数。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| Acct-input-packet | 47 | RFC 2866 | Acct-Input-Packets 属性在记帐请求中转发,并指示在连接过程中从用户接收了多少数据包。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| Acct-output-packet | 48 | RFC 2866 | Acct-Output-Packets属性在记帐请求中转发,并指示在连接过程中转发给用户的数据包数。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| 终止原因 | 49 | RFC 2866 | Acct-终止原因属性在记帐请求中转发,并指示会话是如何终止的。此属性可能仅存在于“会计请求”记录中,其中“状态类型”设置为“停止”。 |
| 事件时间戳 | 55 | RFC 2869 | 事件时间戳属性在记帐请求中转发,指示记帐事件发生在接入点上的时间。 |
| NAS 端口类型 | 61 | RFC 2865 | NAS 端口类型属性在记帐请求中转发,并指示用户的物理连接类型。此属性值始终由 Mist 接入点设置为无线 802.11。
|
动态授权扩展
RADIUS 身份验证协议最初不支持从 RADIUS 服务器发送到接入点的未经请求的消息。但是,在许多情况下,最好在不需要接入点启动交换的情况下更改会话特征。
为了克服这些限制,一些供应商实施了额外的 RADIUS 扩展,以支持从 RADIUS 服务器发送到接入点的未经请求的消息。这些扩展支持断开连接和授权更改 (CoA) 消息,这些消息可用于终止活动用户会话或更改活动会话的特征。
-
断开连接请求 - 导致用户会话终止。断开连接请求数据包通过包含表 3.0 中所示的识别属性来标识 NAS 以及要终止的用户会话。
-
CoA 请求 — 使接入点上的会话信息动态更新。
断开连接-请求属性
下表描述了断开连接请求所需的动态授权属性。
表中概述的最小属性集足以使断开连接正常工作。如果 RADIUS 服务器发送了其他属性,则还会评估某些属性(例如,NAS-IP 地址值必须与 Mist AP 的当前 IP 地址匹配,或者 Acct-会话 ID 必须与无线客户端会话 ID 匹配),而其他不支持的属性将被忽略(例如 Acct-Terminate-Cause)。
| 属性名称 | 供应商 | 属性编号 | 说明 |
|---|---|---|---|
| 事件时间戳 | Ietf | 55 | 发出断开连接请求的时间。时间将由 Mist AP 检查。如果时钟漂移太大,断开连接请求将被丢弃。可以选择在 WLAN 配置下禁用事件时间戳属性验证。 |
| 呼叫站ID | Ietf | 31 | XX-XX-XX-XX-XX-XX-XX 格式的用户的 MAC 地址。 |
CoA 请求属性
下表描述了 CoA 请求所需的动态授权属性。
表中概述的最小属性集足以使 CoA 正常工作。如果其他属性由 RADIUS 服务器发送并得到瞻博网络 Mist 的支持,也将进行评估。例如,NAS-IP 地址值必须与瞻博网络 Mist 接入点的当前 IP 地址匹配,或者 Acct-Session-Id 必须与无线客户端的会话 ID 匹配。不支持的属性将被忽略(例如,任何其他 Cisco-AVPair 属性)。
有关 CoA 的详细信息,请参见。授权变更 (CoA)
| 属性名称 | 供应商 | 属性编号 | 说明 |
|---|---|---|---|
| 事件时间戳 | Ietf | 55 | 发出断开连接请求的时间。时间将由 Mist AP 检查。如果时钟漂移太大,断开连接请求将被丢弃。可以选择在 WLAN 配置下禁用事件时间戳属性验证 |
| 呼叫站ID | Ietf | 31 | XX-XX-XX-XX-XX-XX-XX 格式的用户的 MAC 地址。 |
| Cisco-AVPair | 思科 (9) | 1 | 订户命令:重新验证 |