Cisco: RADIUS Call Station Identifier - RegEx?
Guten Abend
Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.
Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.
Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...
Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.
Beste Grüsse
Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.
Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.
Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...
Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.
Beste Grüsse
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3281540371
Url: https://administrator.de/forum/cisco-radius-call-station-identifier-regex-3281540371.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
9 Kommentare
Neuester Kommentar
Servus Peter.
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.
Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.
Hoffe das befriedigt deine Neugier. 🖖.
Grüße Uwe
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.
Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.
Hoffe das befriedigt deine Neugier. 🖖.
Grüße Uwe
Wenn man einen FreeRadius sein eigen nennt und den einmal im Debug Mode laufen lässt sieht man das auch sehr schön WIE sowas am Radius Server ankommt. 😉
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
Freeradius Management mit WebGUI
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
Freeradius Management mit WebGUI
Sind die Fräncklis doch so schwach?? 10 Euroli würden dafür schon reichen: 😉
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w

https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w
zu Cisco WLC 9800
Oha, wie gruselig. Wenn du einmal mit einem Ruckus vSZ gearbeitet hast weisst du wie gruselig dann ein 9800er sein kann!