petergyger
Goto Top

Cisco: RADIUS Call Station Identifier - RegEx?

Guten Abend

Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.

Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.

Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...

https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...

https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...

Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.

Beste Grüsse

Content-ID: 3281540371

Url: https://administrator.de/forum/cisco-radius-call-station-identifier-regex-3281540371.html

Ausgedruckt am: 02.04.2025 um 04:04 Uhr

colinardo
Lösung colinardo 07.07.2022 aktualisiert um 23:04:34 Uhr
Goto Top
Servus Peter.
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.

Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.

Hoffe das befriedigt deine Neugier. 🖖.

Grüße Uwe
PeterGyger
PeterGyger 08.07.2022 um 06:16:39 Uhr
Goto Top
Guten Morgen Uwe

Vielen Dank für die Info. Speziell für den Hinweis auf den Unterschied von "Calling" und "Called" im Bezug auf "RADIUS Call Station Identifier"

"Irgendwie" ergibt ein Pattern Sinn. Man hat für Gruppen von Endgeräten mehrere SSIDs (blöde Idee - klar) angelegt.
Die ISE prüft die MAC-Adresse, wenn ein Gerät über diese SSID daher kommt.
Wenn sie matched, gehts weiter zum WLC wo über die SSID der DHCP Scope bestimmt wird.

Wenn also in der ISE ein RegEx Pattern hinterlegt ist, wird man wahrscheinlich mit der SSID noch Variationen umgesetzt haben. Ja, wir sind im Reverse Engineering drin.

Der Reference Guide der Ise sollte mir zu diesen RegEx Möglichkeiten Auskunft geben. Mal am Mittag hinein schauen.

Nochmals vielen Dank!

Beste Grüsse
aqui
aqui 08.07.2022, aktualisiert am 08.07.2023 um 19:13:42 Uhr
Goto Top
Wenn man einen FreeRadius sein eigen nennt und den einmal im Debug Mode laufen lässt sieht man das auch sehr schön WIE sowas am Radius Server ankommt. 😉
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
Freeradius Management mit WebGUI
PeterGyger
PeterGyger 10.07.2022 um 09:08:40 Uhr
Goto Top
Guten Morgen aqui

Das ist ja extrem spannend! FreeRadius gibt es ja schon länger.
Ich erinnere mich schwach, vor langer Zeit einmal damit experimentiert zu haben!

Beste Grüsse
aqui
aqui 10.07.2022 aktualisiert um 12:04:39 Uhr
Goto Top
FreeRadius gibt es ja schon länger.
So ist es...der meistbenutzte Radius Server der Welt! face-wink
vor langer Zeit einmal damit experimentiert zu haben!
Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. 😉
PeterGyger
PeterGyger 10.07.2022 um 12:20:23 Uhr
Goto Top
Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. 😉

Mit 10 Fränkli bekommst Du hier ein Gipfeli ("Hörnchen" aka Gebäck) und einen Kaffee mit einem freundlichen Lächeln. Aber keinen PI 😁 😏

Für heute bin ich bereits glücklich, wenn ich dazu komme Herrn Windows 10 Gegner auf das Posting E-Mail ohne Header zu antworten. Vorher muss ich noch eine kleine Anleitung zu scp / pscp / sftp überarbeiten.
Danach verschiedene Notizen von letzter Woche zu Cisco WLC 9800 und ISE 2.7 zusammen fassen und überarbeiten.
Und für den Einstieg in den morgigen Arbeitstag sollte ich auch noch ein paar Dinge vorbereiten...
aqui
aqui 10.07.2022 aktualisiert um 12:33:00 Uhr
Goto Top
Sind die Fräncklis doch so schwach?? 10 Euroli würden dafür schon reichen: 😉
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w
zu Cisco WLC 9800
Oha, wie gruselig. Wenn du einmal mit einem Ruckus vSZ gearbeitet hast weisst du wie gruselig dann ein 9800er sein kann! face-wink
PeterGyger
PeterGyger 10.07.2022 um 13:05:32 Uhr
Goto Top
Tjaaaa...
Tatsächlichsieht es so aus, dass Mama Helvetia vor lauter Kraftlosigkeit weder Speer noch Schild zu halten vermag... 😎

WLC 9.8 / Ver 17.x hat IOS-XE on Board. Direkt übers GUI CLI Commands absetzen. 🤗 🤩 😂
aqui
aqui 10.07.2022 aktualisiert um 16:53:52 Uhr
Goto Top
Direkt übers GUI CLI Commands absetzen.
Besser dann doch ip https server enable aber auch damit ist es schon eine gruselige Klickorgie. face-big-smile