1. No category

PDF

ワイヤレス LAN コントローラでサポートされる RADIUS 属性
目次
概要
前提条件
要件
使用するコンポーネント
表記法
ワイヤレス LAN コントローラでサポートされる RADIUS 属性
QoS-Level
ACL-Name
Interface-Name
VLAN-Tag
トンネル属性
RADIUS サーバにおける WLC 属性の設定のための構文
Cisco Access Registrar での Cisco Airespace VSA
Free Radius サーバでの Cisco Airespace VSA
Microsoft IAS RADIUS サーバでの Cisco Airespace VSA
Cisco Secure ACS サーバでの Cisco Airespace VSA
確認とトラブルシューティング
関連情報
概要
このドキュメントでは、Access-Request で RADIUS サーバに送信され、Access-Accept に含められ、Accounting-Request で送信
されるワイヤレス LAN コントローラ(WLC)でサポートされる RADIUS 属性のリストを提供します。これには、ベンダー固有属性
も含まれます。
前提条件
要件
次の項目に関する知識があることが推奨されます。
ワイヤレス セキュリティ方式
RADIUS ベース認証
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
ワイヤレス LAN コントローラでサポートされる RADIUS 属性
RADIUS 属性は、RADIUS デーモンに格納されているユーザ プロファイルの特定の認証、認可、アカウンティング(AAA)要素を定
義するために使用されます。このセクションでは、ワイヤレス LAN コントローラで現在サポートされている RADIUS 属性のリス
トを提供します。
Quality of Service:RADIUS Access Accept に含まれている場合、その QoS レベルの値によって、WLAN プロファイルに設
定された QoS 値が上書きされます。
ACL:RADIUS Access Accept に、アクセス コントロール リスト(ACL)属性が含まれている場合、システムによって、認証
後にクライアント ステーションに ACL 名が適用されます。これは、インターフェイスに割り当てられた ACL を上書きしま
す。
VLAN:RADIUS Access Accept に VLAN Interface-Name または VLAN-Tag が含まれている場合、システムによって、クライ
アントが特定のインターフェイスに割り当てられます。
WLAN ID:RADIUS Access Accept に WLAN ID が含まれている場合、システムによって、認証後にクライアント ステーショ
ンに WLAN ID(SSID)が適用されます。WLAN ID は、IPSec を除く、すべての認証のインスタンスの WLC によって送信され
ます。Web 認証では、WLC が AAA サーバからの認証応答で WLAN ID を受信したときに、WLAN の ID と一致しなかった場合
には、認証は拒否されます。他のタイプのセキュリティ方式では、これは実行されません。
DSCP 値:RADIUS Access Accept に含まれる場合、WLAN プロファイルに設定された DSCP 値が上書きされます。
802.1p タグ:RADIUS Access Accept に含まれる場合、WLAN プロファイルに設定されたデフォルト値が上書きされます。
注:サポートされている VLAN 機能は、MAC フィルタリング、802.1X、および Wi-Fi Protected Access(WPA)のみです。VLAN
機能では Web 認証または IPSec はサポートされません。インターフェイス名に対応するために、オペレーティング システムの
ローカル MAC フィルタ データベースが拡張されています。その結果、ローカル MAC フィルタでは、クライアントに割り当てる
必要があるインターフェイスを指定できるようになりました。別個の RADIUS サーバも使用できますが、Security メニューを使
用して、その RADIUS サーバを定義する必要があります。
QoS-Level
QoS-Level 属性は、スイッチング ファブリック内および空間経由のモバイル クライアントのトラフィックに適用される Quality
of Service レベルを示します。この例は、QoS-Level 属性フォーマットの要約を示しています。フィールドは左から右に伝送さ
れます。
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
| Length
|
Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.)
| Vendor type
| Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
QoS Level
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type - 26 for Vendor-Specific
Length - 10
Vendor-Id - 14179
Vendor type - 2
Vendor length - 4
Value - Three octets:
3 - Bronze (Background)
0 - Silver (Best Effort)
1 - Gold (Video)
2 - Platinum (Voice)
ACL-Name
ACL-Name 属性は、クライアントに適用される ACL 名を示します。ACL-Name 属性形式の要約を次に示します。フィールドは左か
ら右に伝送されます。
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
| Length
|
Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.)
| Vendor type
| Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
ACL Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Type - 26 for Vendor-Specific
Length - >7
Vendor-Id - 14179
Vendor type - 6
Vendor length - >0
Value - A string that includes the name of the ACL to use for the client
Interface-Name
Interface-Name 属性は、クライアントが関連付けられる VLAN インターフェイスを示します。Interface-Name 属性形式の要約を
次に示します。フィールドは左から右に伝送されます。
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
| Length
|
Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.)
|
Vendor type
| Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Interface Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Type - 26 for Vendor-Specific
Length - >7
Vendor-Id - 14179
Vendor type - 5
Vendor length - >0
Value - A string that includes the name of the interface
the client is to be assigned to.
注:この属性は、MAC フィルタリングが有効になっている場合、またはセキュリティ ポリシーとして 802.1X または WPA が使用
されている場合にのみ機能します。
VLAN-Tag
VLAN-Tag 属性は、特定のトンネル セッションのグループ ID を示します。これは、Tunnel-Private-Group-ID 属性とも呼ばれま
す。
この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることが
でき、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに
含める必要があります。プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用でき
ます。たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用で
きます。Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する
Accounting-Request パケットには、プライベート グループを含める必要があります。
Tunnel-Private-Group-ID 属性形式の要約を次に示します。フィールドは左から右に伝送されます。
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
|
Length
|
Tag
|
String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type - 81 for Tunnel-Private-Group-ID.
Length - > = 3
Tag - The Tag field is one octet in length and is intended to
provide a means of grouping attributes in the same packet
which refer to the same tunnel. If the value of the Tag field is
greater than 0x00 and less than or equal to 0x1F, it should
be interpreted as indicating which tunnel (of several alternatives)
this attribute pertains. If the Tag field is greater than
0x1F, it should be interpreted as the first byte of the following
String field.
String - This field must be present. The group is represented by the
String field. There is no restriction on the format of
group IDs.
トンネル属性
この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、RFC 2868
ンネル属性も返す必要があります。
ト
RFC 2868
では、認証と許可に使用される RADIUS トンネル属性が定義されています。RFC2867
では、アカウンティングに
使用されるトンネル属性が定義されています。IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結
果としてサプリカントに対して強制的なトンネルをセットアップできます。
これは特に、認証の結果に基づいて IEEE802.1Q で定義されている特定の VLAN にポートを配置できるようにする場合に適してい
ます。たとえば、これを使用すると、無線ホストが大学のネットワーク内で移動するときに同じ VLAN 上にとどまれるようになり
ます。
RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。ただし、IEEE
802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによってサプリカントに割り当てる VLAN に関する
ヒントを提供できます。
これらのトンネル属性は、VLAN 割り当てに使用されます。
Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802
Tunnel-Private-Group-ID=VLANID
VLAN ID は、1 4094(両端の値を含む)の 12 ビットの値です。Tunnel-Private-Group-ID は、RFC2868
で定義されているよ
うに String 型なので、IEEE 802.1X で使用するために VLANID 整数値は文字列としてエンコードされます。
トンネル属性が送信されるときは、Tag フィールドに値が含まれている必要があります。これは、RFC2868
で示されています。
のセクション 3.1
この Tag フィールドは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化する方法を提
供することを目的としています。このフィールドで有効な値は、0x01 0x1F(両端を含む)です。Tag フィールドを使用し
ない場合は、このフィールドをゼロ(0x00)に設定する必要があります。
Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-ClientAuth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、Tunnel-Medium-Type、Tunnel-Password、TunnelPreference は含まない)で使用する場合、0x1F より大きい Tag フィールドは、次のフィールドの最初のオクテットと解釈
されます。形式の詳細については、RFC 2868
のセクション 3.1 を参照してください。
代替トンネル タイプが提供されない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない
IEEE 802.1X Authenticator の場合)、トンネル属性に必要なのは 1 つのトンネルを指定することのみです。したがって、
VLANID を指定することのみが目的の場合、すべてのトンネル属性の Tag フィールドをゼロ(0x00)に設定する必要があり
ます。代替トンネル タイプが提供される場合、0x01 0x1F 間でタグ値を選択する必要があります。
RADIUS サーバにおける WLC 属性の設定のための構文
Cisco Access Registrar での Cisco Airespace VSA
Cisco CNS Access Registrar は、ダイヤル、ISDN、および新しいサービス(DSL、Telco リターンを使用するケーブル、無線、
Voice over IP など)の配布をサポートするように設計されている RADIUS 準拠のアクセス ポリシー サーバです。Cisco Access
Registrar の詳細については、『Cisco Access Registrar サポート ページ』を参照してください。
これは、WLC 属性を定義するために Cisco Access Registrar で使用する必要がある構文です。
Airespace RADIUS 属性の定義:
Description = str:[0]
Name = str:[0]Airespace
Type = str:[0]SUB_ATTRIBUTES
VendorID = int32:[0]14179
VendorTypeSize = str:[0]8-bit
ユーザの WLAN-ID の定義:
Description = str:[0]
Max = int32:[0]4294967295
Min = int32:[0]0
Name = str:[0]Airespace-WLAN-Id
SubAttribute = int32:[0]1
Type = str:[0]UINT32
ユーザの QoS レベルの定義:
Description = str:[0]
Max = int32:[0]3
Min = int32:[0]0
Name = str:[0]Airespace-QoS-Level
SubAttribute = int32:[0]2
Type = str:[0]ENUM
0 = str:[0]Silver
1 = str:[0]Gold
2 = str:[0]Platinum
3 = str:[0]Bronze
ユーザからのパケットの DSCP 値の定義:
Description = str:[0]
Max = int32:[0]4294967295
Min = int32:[0]0
Name = str:[0]Airespace-DSCP
SubAttribute = int32:[0]3
Type = str:[0]UINT32
802.1p タグの定義:
Description = str:[0]
Max = int32:[0]4294967295
Min = int32:[0]0
Name = str:[0]Airespace-802.1P-Tag
SubAttribute = int32:[0]4
Type = str:[0]UINT32
ユーザがマッピングされるインターフェイスの定義:
Description = str:[0]
Max = int32:[0]253
Min = int32:[0]0
Name = str:[0]Airespace-Interface-Name
SubAttribute = int32:[0]5
Type = str:[0]STRING
適用される ACL の定義:
Description = str:[0]
Max = int32:[0]253
Min = int32:[0]0
Name = str:[0]Airespace-ACL-Name
SubAttribute = int32:[0]6
Type = str:[0]STRING
Free Radius サーバでの Cisco Airespace VSA
Free RADIUS サーバの Airespace ディクショナリ ファイルは、ディレクトリ名 Share のインストール ディレクトリで使用でき
ます。ファイル名は、dictionary.airespace です。
注:ディクショナリ ファイルは、以前のバージョンと異なる場合があります。このドキュメントの例は、Free RADIUS バージョ
ン 1.1.6 のものです。
# -*- text -*#
# As found on the net.
#
# $Id: dictionary.airespace,v 1.3.2.1 2005/11/30 22:17:19 aland Exp $
#
VENDOR Airespace 14179
BEGIN-VENDOR Airespace
ATTRIBUTE Airespace-Wlan-Id
1 integer
ATTRIBUTE Airespace-QOS-Level 2 integer
ATTRIBUTE Airespace-DSCP
3 integer
ATTRIBUTE Airespace-8021p-Tag 4 integer
ATTRIBUTE Airespace-Interface-Name 5 string
ATTRIBUTE Airespace-ACL-Name 6 string
VALUE
VALUE
VALUE
VALUE
Airespace-QOS-Level
Airespace-QOS-Level
Airespace-QOS-Level
Airespace-QOS-Level
Bronze
3
Silver
0
Gold 1
Platinum 2
END-VENDOR Airespace
Airespace 製品のベンダー固有ディクショナリは、同じディレクトリで使用できるディクショナリ ファイルに含まれます。ファ
イル名は、dictionary です。
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
-*- text -*Version $Id: dictionary,v 1.93.2.5.2.10 2007/04/08 14:42:06 aland Exp $
DO NOT EDIT THE FILES IN THIS DIRECTORY
Use the main dictionary file (usually /etc/raddb/dictionary)
for local system attributes and $INCLUDEs.
This file contains dictionary translations for parsing
requests and generating responses. All transactions are
composed of Attribute/Value Pairs. The value of each attribute
is specified as one of 4 data types. Valid data types are:
text
- printable, generally UTF-8 encoded (subset of 'string')
string
- 0-253 octets
ipaddr
- 4 octets in network byte order
integer
- 32 bit value in big endian order (high byte first)
date
- 32 bit value in big endian order - seconds since
00:00:00 GMT, Jan. 1, 1970
ifid
- 8 octets in network byte order
ipv6addr
- 16 octets in network byte order
ipv6prefix - 18 octets in network byte order
FreeRADIUS includes extended data types which are not defined
in the RFC's. These data types are:
abinary - Ascend's binary filter format.
octets - raw octets, printed and input as hex strings.
e.g.: 0x123456789abcdef
Enumerated values are stored in the user file with dictionary
VALUE translations for easy administration.
Example:
ATTRIBUTE
VALUE
--------------- ----Framed-Protocol = PPP
7 = 1 (integer encoding)
#
# Include compatibility dictionary for older users file. Move
# this directive to the end of this file if you want to see the
# old names in the logfiles, INSTEAD OF the new names.
#
$INCLUDE dictionary.compat
#
# Include the RFC dictionaries next.
#
# For a complete list of the standard attributes and values,
# see:
# http://www.iana.org/assignments/radius-types
#
$INCLUDE dictionary.rfc2865
$INCLUDE dictionary.rfc2866
$INCLUDE dictionary.rfc2867
$INCLUDE dictionary.rfc2868
$INCLUDE dictionary.rfc2869
$INCLUDE dictionary.rfc3162
$INCLUDE dictionary.rfc3576
$INCLUDE dictionary.rfc3580
$INCLUDE dictionary.rfc4372
$INCLUDE dictionary.rfc4675
$INCLUDE dictionary.rfc4679
#
# Include vendor dictionaries after the standard ones.
#
$INCLUDE dictionary.3com
$INCLUDE dictionary.3gpp
$INCLUDE dictionary.3gpp2
$INCLUDE dictionary.acc
$INCLUDE dictionary.airespace
$INCLUDE dictionary.alcatel
$INCLUDE dictionary.alteon
$INCLUDE dictionary.alvarion
$INCLUDE dictionary.aruba
$INCLUDE dictionary.ascend
$INCLUDE dictionary.asn
$INCLUDE dictionary.bay
$INCLUDE dictionary.bintec
$INCLUDE dictionary.cablelabs
$INCLUDE dictionary.cabletron
$INCLUDE dictionary.cisco
#
# The Cisco VPN300 dictionary is the same as the altiga one.
# You shouldn't use both at the same time.
#
#$INCLUDE dictionary.cisco.vpn3000
$INCLUDE dictionary.cisco.vpn5000
$INCLUDE dictionary.cisco.bbsm
#
# And finally the server internal attributes.
#
$INCLUDE dictionary.freeradius.internal
#
# Miscellaneous attributes defined in weird places that
# don't really belong anywhere else...
#
ATTRIBUTE Originating-Line-Info 94 string
# As defined in draft-sterman-aaa-sip-00.txt
ATTRIBUTE Digest-Response
206 string
ATTRIBUTE Digest-Attributes
207 octets #
#
# Integer Translations
#
VALUE Service-Type
Voice 12
VALUE Service-Type
Fax
13
VALUE Service-Type
Modem-Relay 14
VALUE Service-Type
IAPP-Register 15
VALUE Service-Type
IAPP-AP-Check 16
VALUE Framed-Protocol
VALUE
VALUE
VALUE
VALUE
NAS-Port-Type
NAS-Port-Type
NAS-Port-Type
NAS-Port-Type
VALUE Framed-Protocol
GPRS-PDP-Context 7
Wireless-CDMA2000 22
Wireless-UMTS 23
Wireless-1X-EV 24
IAPP 25
PPTP
9
Microsoft IAS RADIUS サーバでの Cisco Airespace VSA
Cisco Airespace Vendor Specific Attributes(VSAs)をサポートするように Microsoft Internet Authentication Service(MS
IAS)サーバを設定する方法については、『MS IAS Radius サーバでの Airespace VSA の設定例』を参照してください。
Cisco Secure ACS サーバでの Cisco Airespace VSA
Cisco Secure Access Control Server Release 4.0 Solution Engine は、Cisco Airespace Attributes を含む Remote Access
Dial-In User Service(RADIUS)属性です。
ACS は、IETF の部分サポートを提供できません。そのため、Cisco Airespace デバイスを(ネットワーク構成に)追加する場
合、すべての IETF 属性が自動的にイネーブルになります。次の表に、Cisco ACS によりサポートされる Cisco Airespace 属性
を示します。
Cisco Airespace デバイスは、802.1x アイデンティティ ネットワーキングの一部の IETF 属性をサポートします。
Tunnel-Type(64)
Tunnel-Medium-Type(65)
Tunnel-Private-Group-Id(81)
指定のユーザに特定の属性が送信されるように設定するには、次の項目を確認する必要があります。
[Network Configuration] セクションで、ユーザにネットワーク アクセスを許可するアクセス デバイスに対応した AAA ク
ライアント エントリが、AAA クライアントに送信する属性をサポートする各種の RADIUS を使用するように設定する必要が
ある。
[Interface Configuration] セクションで、属性をイネーブルにしてユーザ プロファイルまたはユーザ グループ プロファ
イルのページに表示されるようにする必要がある。属性をサポートする RADIUS に対応する属性をページでイネーブルにで
きます。たとえば、IETF RADIUS Session-Timeout 属性(27)は [RADIUS (IETF)] ページに表示されます。
注:デフォルトでは、ユーザごとの RADIUS 属性はイネーブルになっていません(属性は [Interface Configuration] ペー
ジには表示されません)。ユーザごとに属性をイネーブルにするには、[Interface Configuration] セクションの
[Advanced Options] ページで [Per-user TACACS+/RADIUS Attributes] オプションをイネーブルにする必要があります。ユ
ーザごとの属性をイネーブルにすると、ユーザ カラムはその属性の [Interface Configuration] ページでディセーブルと
して表示されます。
ユーザ編集ページまたはグループ編集ページ、または [Shared RADIUS Authorization Component] ページのユーザに対する
認可の制御に使用するプロファイルで、属性をイネーブルにする必要がある。この属性をイネーブルにすると、ACS によ
り、属性が Access-Accept の AAA クライアントに送信されます。属性に関連付けられたオプションで、AAA クライアント
に送信する属性の値を決定できます。
詳細については、『Cisco Secure ACS Solution Engine 4.0 ユーザ ガイド』の『RADIUS 属性』セクションを参照してくださ
い。
確認とトラブルシューティング
ユーザが自分のユーザ ID とパスワードを使用して WLAN に接続するときに、WLC は RADIUS サーバにクレデンシャルを渡しま
す。サーバは、設定された条件やユーザ プロファイルに基づいて、ユーザを認証します。ユーザ認証に成功した場合には、
RADIUS サーバは、そのユーザに設定された RADIUS 属性も含む RADIUS Accept 要求を返します。この例では、ユーザの QoS ポ
リシーが返されます。
認証中に発生するイベントのシーケンスを参照するために、debug aaa all enable コマンドを発行できます。出力例を次に示し
ます。
(Cisco Controller) >debug aaa all enable
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 28:1f:00:00:00:00 Returning AAA Error 'Success' (0) for
mobile 28:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:
structureSize...........................70
Wed Apr 18 18:14:24 2007:
resultCode...............................0
Wed Apr 18 18:14:24 2007:
protocolUsed....................0x00000008
Wed Apr 18 18:14:24 2007:
proxyState...........................
28:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:
Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:
AVP[01] Service-Type...................
Wed Apr 18 18:14:24 2007:
Wed Apr 18 18:14:24 2007:
Wed Apr 18 18:14:24 2007:
Wed
Wed
Wed
Wed
Wed
Apr
Apr
Apr
Apr
Apr
18
18
18
18
18
18:14:24
18:14:24
18:14:24
18:14:24
18:14:24
2007:
2007:
2007:
2007:
2007:
Wed Apr 18 18:14:24 2007:
Wed Apr 18 18:14:24 2007:
0x00000006 (6) (4 bytes)
AVP[02] Airespace / WLAN-Identifier.....
0x00000000 (0) (4 bytes)
18:15:08 2007: Unable to find requested user entry for User-VLAN10
18:15:08 2007: AuthenticationRequest: 0xa64c8bc
18:15:08 2007:
Callback..........................0x8250c40
18:15:08 2007:
protocolType.....................0x00000001
18:15:08 2007:
proxyState...................................
00:40:96:AC:E6:57-00:00
18:15:08 2007:
Packet contains 8 AVPs (not shown)
18:15:08 2007: 00:40:96:ac:e6:57 Successful transmission
of Authentication Packet
(id 26) to 172.16.1.1:1812, proxy state
00:40:96:ac:e6:57-96:ac
18:15:08 2007: 00000000: 01 1a 00 68 00 00 00 00 00 00 00 00 00 00 00 00
...h............
18:15:08 2007: 00000010: 00 00 00 00 01 0d 55 73 65 72 2d 56 4c 41 4e 31
......User-VLAN1
18:15:08 2007: 00000020: 30 02 12 fa 32 57 ba 2a ba 57 38 11 bc 9a 5d 59
0...2W.*.W8...]Y
18:15:08 2007: 00000030: ed ca 23 06 06 00 00 00 01 04 06 ac 10 01 1e 20
..#.............
18:15:08 2007: 00000040: 06 57 4c 43 32 1a 0c 00 00 37 63 01 06 00 00 00
.WLC2....7c.....
18:15:08 2007: 00000050: 01 1f 0a 32 30 2e 30 2e 30 2e 31 1e 0d 31 37 32
...20.0.0.1..172
18:15:08 2007: 00000060: 2e 31 36 2e 31 2e 33 30 .16.1.30
18:15:08 2007: 00000000: 02 1a 00 46 3f cf 1b cc e4 ea 41 3e 28 7e cc bc
...F?.....A>(~..
18:15:08 2007: 00000010: 00 e1 61 ae 1a 0c 00 00 37 63 02 06 00 00 00 03
..a.....7c......
18:15:08 2007: 00000020: 06 06 00 00 00 01 19 20 37 d0 03 e6 00 00 01 37
........7......7
18:15:08 2007: 00000030: 00 01 ac 10 01 01 01 c7 7a 8b 35 20 31 80 00 00
........z.5.1...
18:15:08 2007: 00000040: 00 00 00 00 00 1b
......
18:15:08 2007: ****Enter processIncomingMessages: response code=2
18:15:08 2007: ****Enter processRadiusResponse: response code=2
18:15:08 2007: 00:40:96:ac:e6:57 Access-Accept received
from RADIUS server
172.16.1.1 for mobile 00:40:96:ac:e6:57 receiveId = 0
18:15:08 2007: AuthorizationResponse: 0x9802520
18:15:08 2007:
structureSize.......................114
18:15:08 2007:
resultCode...........................0
18:15:08 2007:
protocolUsed................0x00000001
18:15:08 2007:
proxyState...........................
00:40:96:AC:E6:57-00:00
18:15:08 2007:
Packet contains 3 AVPs:
18:15:08 2007:
AVP[01] Airespace / QOS-Level.........
0x00000003 (3) (4 bytes)
18:15:08 2007:
AVP[02] Service-Type...................
0x00000001 (1) (4 bytes)
18:15:08 2007:
AVP[03] Class......................
DATA (30 bytes)
18:15:08 2007: 00:40:96:ac:e6:57 Applying new AAA override for station
00:40:96:ac:e6:57
18:15:08 2007: 00:40:96:ac:e6:57 Override values for
station 00:40:96:ac:e6:57
source: 48, valid bits: 0x3
qosLevel: 3, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: '', aclName: '
18:15:12 2007: AccountingMessage Accounting Start: 0xa64c8bc
18:15:12 2007:
Packet contains 13 AVPs:
18:15:12 2007:
AVP[01] User-Name.........................
User-VLAN10 (11 bytes)
18:15:12 2007:
AVP[02] Nas-Port..........................
0x00000001 (1) (4 bytes)
18:15:12 2007:
AVP[03] Nas-Ip-Address....................
Wed Apr 18 18:14:24 2007:
Wed
Wed
Wed
Wed
Wed
Apr
Apr
Apr
Apr
Apr
18
18
18
18
18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed
Wed
Wed
Wed
Apr
Apr
Apr
Apr
18
18
18
18
Wed
Wed
Wed
Wed
Wed
Apr
Apr
Apr
Apr
Apr
18
18
18
18
18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
Wed Apr 18
0x00000006 (6) (4 bytes)
AVP[02] Airespace / WLAN-Identifier.....
0x00000000 (0) (4 bytes)
User admin authenticated
29:1f:00:00:00:00 Returning AAA Error 'Success'
(0) for mobile 29:1f:00:00:00:00
AuthorizationResponse: 0xbadff97c
structureSize.........................70
resultCode.............................0
protocolUsed..................0x00000008
proxyState...............................
29:1F:00:00:00:00-00:00
Packet contains 2 AVPs:
AVP[01] Service-Type.................
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
Wed Apr 18 18:15:12 2007:
0xac10011e (-1408237282) (4 bytes)
AVP[04] NAS-Identifier....................
0x574c4332 (1464615730) (4 bytes)
AVP[05] Airespace / WLAN-Identifier.......
0x00000001 (1) (4 bytes)
AVP[06] Acct-Session-Id...................
4626602c/00:40:96:ac:e6:57/16 (29 bytes)
AVP[07] Acct-Authentic....................
0x00000001 (1) (4 bytes)
AVP[08] Tunnel-Type.......................
0x0000000d (13) (4 bytes)
AVP[09] Tunnel-Medium-Type................
0x00000006 (6) (4 bytes)
AVP[10] Tunnel-Group-Id...................
0x3230 (12848) (2 bytes)
AVP[11] Acct-Status-Type..................
0x00000001 (1) (4 bytes)
AVP[12] Calling-Station-Id................
20.0.0.1 (8 bytes)
AVP[13] Called-Station-Id.................
172.16.1.30 (11 bytes)
このユーザは、ユーザが認証されたことを示します。また、RADIUS の Accept メッセージとともに、AAA Override 値が返されて
います。この場合、QoS 属性が RADIUS の Accept メッセージとともに返されます。そのため、ユーザに、その SSID のデフォル
ト QoS 値セットを上書きする Bronze の QoS ポリシーが提供されます。
関連情報
MS IAS RADIUS サーバでの Cisco Airespace VSA の設定例(英語)
Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 4.1(英語)
ワイヤレスに関するサポート ページ(英語)
テクニカルサポートとドキュメント:シスコ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2013 年 4 月 19 日
http://www.cisco.com/cisco/web/support/JP/111/1117/1117540_wlc-attributes-j.html
Document ID: 96103

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz