WLAN-Management / RADIUS
Übergeordnetes Thema: RADIUS

RADIUS-Attribute

Der RADIUS-Client kann RADIUS-Attribute wie "Framed-IP-Address" etc. von einem externen RADIUS-Server anfragen und diese dann z. B. dem PPPoE-Server zur Verfügung stellen, um diese am PPPoE-, PPTP- oder L2TP-Server zu authentifizieren.

Anmerkung: Mehr Informationen zu RADIUS-Attributen finden Sie in den folgenden technischen Dokumenten:

Die folgenden Attribute werden vom Gerät in Access-Request-Nachrichten übertragen:

Tabelle 1. Übersicht aller unterstützten RADIUS-Attribute
ID Bezeichnung Bedeutung Mögliche Werte in LCOS
1 User-Name Der vom Benutzer eingegebene Name. Verwendet bei 802.1X WLAN, PPPoE-Server, L2TP, PPTP, VPN
2 User-Password Das vom Benutzer eingegebene Passwort. Verwendet bei 802.1X WLAN, PPPoE-Server, L2TP, PPTP, VPN
4 NAS-IP-Address Gibt die IPv4-Adresse des Gerätes an, das den Zugang für einen Anwender anfragt. <IPv4-Adresse des Gerätes>
6 Service-Type Gibt den Service-Typ an, den das Gerät anfragt oder als Antwort erwartet.
  • Authenticate-Only
  • Framed
7 Framed-Protocol Gibt an, welches Protokoll zu verwenden ist. PPP
8 Framed-IP-Address Gibt die dem Client zugewiesene IP-Adresse an. <IP-Adresse des Clients>
26 Vendor 2356(LCS) Id 2 MAC-Adresse des Clients, sofern die Authentifizierung über MAC-Adresse stattfindet. Im Gegensatz zur Calling-Station-ID wird dieser Wert als ein 6-Byte Binär-String ausgegeben. Dieses Attribut existiert ausschließlich im Anmeldungsmodus Anmeldung mit Name, Passwort und MAC-Adresse. <MAC-Adresse des Clients>
30 Called-Station-Id Gibt die ID der gerufenen Station an (z. B. des VPN-Servers).
  • Server-IP-Adresse (bei VPN-Verbindungen über PPTP oder L2TP)
  • Dienst-Name (bei PPPoE)
  • BSSID:SSID (bei WLAN)
  • MAC-Adresse des Gerätes (bei Public Spot)
31 Calling-Station-Id Gibt die ID der rufenden Station an (z. B. des VPN-Clients).
  • Client-IP-Adresse (bei VPN-Verbindungen über PPTP oder L2TP)
  • Client-MAC-Adresse (bei PPPoE, WLAN und Public Spot)
32 NAS-Identifier Gibt den Namen des Gerätes an, für das der RADIUS-Server den Zugang verwaltet. <Geräte-Name>
61 NAS-Port-Type Gibt den physikalischen Port an, über den das Gerät den Benutzer authentifiziert.
  • Virtual (bei VPN-Verbindungen über PPTP oder L2TP)
  • Ethernet (bei PPPoE)
  • Wireless-802.11 (bei WLAN)
64 Tunnel-Type Definiert das Tunneling-Protokoll, welches für die Sitzung verwendet wird.
  • 13 (VLAN; bei Public Spot)
65 Tunnel-Medium-Type Definiert das Transportmedium, über das eine getunnelte Sitzung hergestellt wird.
  • 6 (IEEE 802; bei Public Spot)
81 Tunnel-Private-Group-Id Definiert die Gruppen-ID, falls die Sitzung getunnelt ist.
  • 1-4096 (bei Public Spot)
87 NAS-Port-Id Bezeichnung des Interfaces, über welches ein Client mit Ihrem Gerät verbunden ist. Dies kann sowohl eine physische als auch logische Schnittstelle sein. z. B.
  • LAN-1
  • WLAN-1-5
  • WLC-TUNNEL-27
95 NAS-IPv6-Address Gibt die IPv6-Adresse des Gerätes an, das den Zugang für einen Anwender anfragt. <IPv6-Adresse des Gerätes>
96 Framed-Interface-ID Das Attribut definiert den IPv6-Interface-Identifier, der für den Benutzer im IPv6CP festgelegt werden soll.  
97 Framed-IPv6-Prefix Präfix, welches dem Benutzer über Router Advertisements übermittelt wird.  
99 Framed-IPv6-Route Dieses Attribut definiert die Route, die für diesen Benutzer festgelegt werden soll. Das Gerät legt in der IPv6-Routing-Tabelle diese Route mit Next-Hop zu diesem Benutzer an.  
100 Framed-IPv6-Pool Angabe des IPv6-Pools, aus dem ein Präfix für den Benutzer bereitgestellt werden soll. Der IPv6-Pool wird per Name referenziert und muss unter IPv6 > Router Advertisement > Präfix-Pool vorhanden sein.  
123 Delegated-IPv6-Prefix Präfix, welches dem Benutzer über DHCPv6 Präfix Delegierung übermittelt wird.  
177 Mobility-Domain-ID Kennzeichnet die Mobility-Domain, in der sich der Client befindet.  
181 WLAN-HESSID Enthält die HESSID der 802.11u SSID.  
182 WLAN-Venue-Info Enthält Informationen zur Kategorie des Standortes. Zu konfigurieren unter Wireless-LAN > 802.11u > Standortinformationen.
183 WLAN-Venue-Language Enthält Informationen zur Sprache des Standortes. Zu konfigurieren unter Wireless-LAN > 802.11u > Standortinformationen.
184 WLAN-Venue-Name Enthält die Bezeichnung des Standortes (Standort-Name). Zu konfigurieren unter Wireless-LAN > 802.11u > Standortinformationen.
186 WLAN-Pairwise-Cipher Enthält Informationen über den paarweisen Schlüssel, den Client und AP verwenden.  
187 WLAN-Group-Cipher Enthält Informationen über den Gruppenschlüssel, den Client und AP verwenden.  
188 WLAN-AKM-Suite Enthält Informationen über die Zugriffsverwaltung (Authentication and Key Management) zwischen Client und AP.  
189 WLAN-Group-Mgmt-Cipher Enthält Informationen über den Gruppenverwaltungsschlüssel, der eine Verbindung über RSNA (Robust Security Network Association) zwischen AP und mobilem Client absichert.  
190 WLAN-RF-Band Enthält Informationen über das Frequenzband, das der Client verwendet.  
Anmerkung: Neben diesen Attributen gibt es eine schier unüberschaubare Anzahl an herstellerspezifischen Attributen. LCOS erlaubt durch eine entsprechende Definition die Verwendung dieser Attribute. Siehe Benutzerdefinierte Attribute

Ein Beispiel für einen PPP-Benutzer test mit IPv6 im FreeRADIUS lautet wie folgt:

test Cleartext-Password := "1234"
     Service-Type = Framed-User,
     Framed-Protocol = PPP,
     Framed-IPv6-Prefix = "fec0:1:2400:1::/64",
     Delegated-IPv6-Prefix = "fec0:1:2400:1100::/56",
     Framed-IP-Address = 172.16.3.33,

Der Benutzer test erhält in einer Dual Stack PPP-Session die IPv4-Adresse 172.16.3.33, per Router Advertisement das Präfix fec0:1:2400:1::/64 sowie per DHCPv6-Präfix Delegation das Präfix fec0:1:2400:1100::/56.

Für die folgenden herstellerspezifischen RADIUS-Attribute wird die IANA Private Enterprise Number "3561" des Broadband-Forums verwendet. Bei den übrigen Einträgen handelt es sich um LANCOM spezifische Attribute!

Tabelle 2. Übersicht aller unterstützten Hersteller spezifischen RADIUS-Attribute im Access-Request
ID Bezeichnung Bedeutung Mögliche Werte in LCOS
1 ADSL-Agent-Circuit-Id, Vendor 3561 Gibt die Schnittstelle des Gerätes an, für das der RADIUS-Server den Zugang verwaltet. Wird nur übertragen, wenn Agent-Relay-Infos im PPPoED-Paket enthalten sind (siehe PPPoE-Snooping). <Schnittstelle des Gerätes>
2 ADSL-Agent-Remote-Id, Vendor 3561 Gibt die Bezeichnung des Gerätes an, für das der RADIUS-Server den Zugang verwaltet. Wird nur übertragen, wenn Agent-Relay-Infos im PPPoED-Paket enthalten sind (siehe PPPoE-Snooping). <Bezeichnung des Gerätes>
16 LCS-Orig-NAS-Identifier, Vendor 2356 NAS-Identifier des ursprünglichen Access Points im WLC-Betrieb. <Geräte-Name>
17 LCS-Orig-NAS-IP-Address, Vendor 2356 NAS-IP-Adresse des ursprünglichen Access Points im WLC-Betrieb. <IPv4-Adresse des Gerätes>
18 LCS-Orig-NAS-IPv6-Address, Vendor 2356 NAS-IPv6-Adresse des ursprünglichen Access Points im WLC-Betrieb. <IPv6-Adresse des Gerätes>
Anmerkung: Eine Übersicht der im Rahmen der Unterstützung von RADIUS mit IKEv2 verwendeten Attribute finden Sie unter RADIUS-Unterstützung für IKEv2.
Übergeordnetes Thema: RADIUS

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo