Juniper Mist RADIUS-Attribute
Verwenden Sie diese Informationen, um die RADIUS-Attribute zu verstehen, die in Juniper Mist™ Access Points (APs) implementiert wurden.
Authentifizierungsattribute
RADIUS-Services können auf den Mist APs für die WLAN-Benutzerauthentifizierung aktiviert werden. RADIUS-Services sind für WLANs erforderlich , die IEEE 802.1X-Authentifizierung implementieren.
Während der Authentifizierung sendet der AP Benutzerinformationen in einer Access-Request-Nachricht an den RADIUS-Server. Der RADIUS-Server gibt eine der folgenden Antworten zurück:
-
Access-Reject: Verweigert bedingungslos den Zugriff auf die angeforderte Netzwerkressource. Zu den Fehlergründen können ungültige Anmeldeinformationen oder ein inaktives Konto gehören.
-
Zugriffsabfrage: Fordert zusätzliche Informationen vom Benutzer an, z. B. ein zweites Kennwort, eine PIN, ein Token oder eine Karte. Access-Challenge wird auch bei komplexeren Authentifizierungen verwendet, wenn ein sicherer Tunnel zwischen dem Benutzer und dem Radius-Server eingerichtet wird, z. B. bei der Authentifizierung mit dem Extensible Authentication Protocol (EAP).
-
Access-Accept: Erlaubt den Zugriff auf die angeforderte Netzwerkressource. Der Access-Request enthält häufig zusätzliche Konfigurationsinformationen für den Benutzer unter Verwendung von Return-Attributen.
IETF-Standardauthentifizierungsattribute
In der folgenden Tabelle werden die Standardauthentifizierungsattribute beschrieben, die in Juniper Mist APs gemäß RFC 2865 implementiert wurden. Weitere Erweiterungen wurden gemäß den Empfehlungen in RFC 2868 und RFC 2869 implementiert.
| Attributname | Typ | RFC-Beschreibung | |
|---|---|---|---|
| Benutzername | 1 | RFC 2865 | Das User-Name-Attribut wird im Access-Request weitergeleitet und gibt den Namen des zu authentifizierenden Benutzers an. |
| Benutzer-Passwort | 2 | RFC 2865 | Das User-Password-Attribut wird im Access-Request weitergeleitet. Es gibt das Passwort des zu authentifizierenden Benutzers oder die Eingabe des Benutzers nach einer Zugriffsabfrage an. |
| NAS-IP-Adresse | 4 | RFC 2865 | Das Attribut NAS-IP-Address wird in der Zugriffsanforderung weitergeleitet und gibt die IP-Adresse des AP an, der die Benutzerauthentifizierung anfordert. Sie können dieses Attribut in den RADIUS-Einstellungen für ein WLAN konfigurieren. Alle APs in einem WLAN senden den konfigurierten Wert. |
| Service-Typ | 6 | RFC 2865 | Das Service-Type-Attribut wird in der Zugriffsanforderung weitergeleitet und gibt die Art des Dienstes an, den der Benutzer angefordert hat, oder den Typ des bereitzustellenden Dienstes. Der Attributwert wird vom AP für 802.1X/EAP-WLANs immer auf "Framed-User" oder für MAC-Auth-fähige WLANs auf "Call-Check" gesetzt. |
| Gerahmte MTU | 12 | RFC 2865 | Das Attribut Framed-MTU wird im Access-Request weitergeleitet und gibt die für den Benutzer zu konfigurierende Maximum Transmission Unit (MTU) an. Der Attributwert wird vom AP immer auf 1200 gesetzt. |
| Zustand | 24 | RFC 2865 | Das State-Attribut kann in der Access-Challenge weitergeleitet werden. Sie muss unverändert vom Client an den Server in der Access-Request-Antwort auf diese Abfrage gesendet werden, falls vorhanden. |
| Angerufene-Stations-ID | 30 | RFC 2865 | Das Attribut Called-Station-Id wird im Access-Request weitergeleitet und gibt die BSSID und ESSID an, denen der authentifizierende Benutzer zugeordnet ist. Der Access Point leitet den Attributwert in der folgenden Formatierung weiter: XX-XX-XX-XX-XX-XX:ESSID. |
| Calling-Station-ID | 31 | RFC 2865 | Das Attribut Calling-Station-Id wird im Access-Request weitergeleitet und gibt die MAC-Adresse des authentifizierenden Benutzers an. Sie wird nur in Access-Request-Paketen verwendet. Der Access Point leitet den Attributwert in der folgenden Formatierung weiter: XX-XX-XX-XX-XX-XX. |
| NAS-Kennung | 32 | RFC 2865 | Das NAS-Identifier-Attribut wird im Access-Request weitergeleitet. Sie können dieses Attribut in den RADIUS-Einstellungen für ein WLAN konfigurieren. Alle Access Points in einem WLAN senden den konfigurierten Wert. Sie können Variablen verwenden, um den Gerätenamen, das Modell, die MAC-Adresse und den Standortnamen zu senden. Die Variablen sind: {{DEVICE_NAME}} {{}} {{DEVICE_MODEL}} {{DEVICE_MAC}} {{SITE_NAME}} |
| Proxy-Status | 33 | RFC 2865 | Das Attribut proxy-state wird von proxy-server an einen anderen Server gesendet, wenn Access-Requests weitergeleitet werden. diese muss unverändert im Access-Accept, Access-Reject oder Access-Challenge zurückgegeben und vom Proxy-Server entfernt werden, bevor die Antwort an den Network Access-Server gesendet wird |
| NAS-Port-Typ | 61 | RFC 2865 | Das Attribut NAS-Port-Type wird in der Zugriffsanforderung weitergeleitet und gibt den Typ der physischen Verbindung für den authentifizierenden Benutzer an. Der Attributwert wird vom Access Point immer auf Wireless-802.11 gesetzt. |
| Verbindungs-Info | 77 | RFC 2869 | Das Connection-Info-Attribut wird im Access-Request weitergeleitet und gibt die Datenrate und den Funktyp des authentifizierenden Benutzers an. Der Access Point leitet den Attributwert mit der folgenden Formatierung weiter: CONNECT XXMbps 802.11X. |
| EAP-Meldung | 79 | RFC 2869 | Das EAP-Message-Attribut wird in den Bereichen Access-Request, Access-Challenge, Access-Accept und Access-Reject weitergeleitet und kapselt EAP-Pakete (Extended Access Protocol). |
| Message-Authenticator | 80 | RFC 2869 | Das Message-Authenticator-Attribut wird in der Zugriffsanforderung weitergeleitet und kann verwendet werden, um Spoofing von CHAP-, ARAP- oder EAP-Zugriffsanforderungspaketen zu verhindern. |
| Tunnel-Private-Group-ID | 81 | RFC 2868 | Das Attribut Tunnel-Private-Group-ID wird im Access-Accept weitergeleitet und gibt die numerische VLAN-ID an, die dem authentifizierenden Benutzer zugewiesen werden soll. Der Attributwert muss auf einen numerischen Wert zwischen 1 und 4094 oder eine Zeichenfolge festgelegt werden, die ein benanntes VLAN darstellt. |
| Filter-ID | 11 | RFC 2865 | Das Filter-Id-Attribut kann in Access-Accept weitergeleitet werden und gibt an, dass die Benutzerrolle dem Client zugeordnet wird. Benutzergruppen werden vom Mist WxLAN-Richtlinienrahmen zur Zuweisung von Netzwerk-Firewall-Regeln verwendet. Format: Gruppenname Beispiel: Mitarbeiter |
Unterstützte anbieterspezifische Attribute
In der folgenden Tabelle sind die anbieterspezifischen Attribute (VSAs) aufgeführt, die von Juniper Mist Access Points gemäß RFC 2865 unterstützt werden.
| Attributname | , Typ | , Hersteller-ID | , Formatierung der Attributnummer | Beschreibung |
|
|---|---|---|---|---|---|
| Airespace-Interface-Name | 26 | 14179 | 5 | Schnur | Das Airespace-Interface-Name-Attribut kann in Access-Accept weitergeleitet werden, um die dynamische VLAN-Mitgliedschaft eines 802.1X- oder RADIUS-MAC-authentifizierten Benutzers anzuzeigen. Der zurückgegebene Attributwert ist immer ein im Stringformat formatierter Name des VLANs. Die Übersetzung von VLAN-Namen zu VLAN-ID muss unter WLAN unter Verwendung von VLAN-IDs oder Variablen konfiguriert werden. Format: VLAN-Name Beispiel: employee-vlan |
| Airespace-ACL-Name | 26 | 14179 | 6 | Schnur |
Das Airespace-ACL-Name-Attribut kann in der Access-Accept-Datei weitergeleitet werden und gibt an, dass der Client der Benutzerrolle zugeordnet ist. Benutzergruppen werden von Mist WxLAN-Richtlinienrahmen verwendet, um granulare Einschränkungen für Netzwerkressourcen zuzuweisen. Format: Gruppenname Beispiel: Mitarbeiter |
| Aruba-Benutzer-Rolle | 26 | 14823 | 1 | Schnur | Das Attribut Aruba-User-Role kann in der Access-Accept-Datei weitergeleitet werden und gibt an, dass die Benutzerrolle dem Client zugeordnet wird. Benutzergruppen werden von Mist WxLAN-Richtlinienrahmen verwendet, um granulare Einschränkungen für Netzwerkressourcen zuzuweisen. Format: Gruppenname Beispiel: Mitarbeiter |
| Cisco-AVPair | 26 | 9 | 1 | Schnur | Das Cisco-AVPair-Attribut kann in Access-Accept weitergeleitet werden, um dem Juniper Access Point anzuzeigen, dass ein Client für die Portalauthentifizierung umgeleitet werden muss, und den Speicherort der Umleitungs-URL anzugeben. Dieses Attribut wird in der Regel für Gastzugriffsintegrationen mit Cisco ISE- oder Aruba Clearpass RADIUS-Servern oder zur Aktivierung der Posture Redirect-Funktion für 802.1X/EAP-Benutzer verwendet. AVPair-URL-Weiterleitung Format: url-redirect=<URL-Wert> Beispiel: url-redirect=https://ise28.89mistilbs.org:8443/portal/gateway?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae AVPair PSK Das Attribut Cisco-AVPair kann auch das PSK-Attribut enthalten, das dem Juniper Access Point anzeigt, welche Passphrase einem bestimmten Client zugewiesen ist. Beachten Sie, dass zwei Cisco AVPair-Attribute gleichzeitig gesendet werden müssen, um einen PSK-Wert an den AP bereitzustellen: eines gibt an, dass PSK im ASCII-Format gesendet wird, und ein anderes AVPair, das den tatsächlichen Pre-Shared Key-Wert angibt. Format: PSK-Modus=ASCII & psk=<passphrase> |
| Elf-Authentifizierung-Schlüssel finden | 26 | 52970 | 3 | TLV | Das Attribut Eleven-Authentication-Find-Key wird verwendet, um den unterstützten RADIUS-Servern zusätzliche Informationen zur Verfügung zu stellen, um die PSK-Suche nach drahtlosen Clients über RADIUS zu vereinfachen, sodass eine MAC-Adresse des drahtlosen Clients im Voraus nicht mehr mit einem bestimmten PSK verknüpft werden muss. Bei diesem Attribut handelt es sich um eine TLV gemäß der RFC6929, die mehrere Unterattribute enthält. |
| Eleven-EAPOL-Frame-2 (Unterattribut) | 1 | Oktette | Das Unterattribut Eleven-EAPOL-Frame-2 enthält den zweiten EAPOL-Frame, der vom Wireless-Client während eines 4-Wege-Handshakes an den Access Point gesendet wird | ||
| Eleven-EAPOL-Anonce (Unterattribut) | 2 | Oktette | Das Unterattribut Eleven-EAPOL-Anonce enthält den ersten EAPOL-Frame, der vom Access Point während eines 4-Wege-Handshakes an den drahtlosen Client gesendet wird | ||
| Eleven-EAPOL-SSID (Unterattribut) | 3 | Schnur | Das Unterattribut Eleven-EAPOL-SSID enthält den aktuellen SSID-Namen, dem der Wireless-Client eine Zuordnung herzustellen versucht | ||
| Eleven-EAPOL-APMAC (Unterattribut) | 4 | Oktette | Das Unterattribut Eleven-EAPOL-APMAC enthält BSSID im Format xxxxxxxxxxxx | ||
| Eleven-EAPOL-STMAC (Unterattribut) | 5 | Oktette | Das Unterattribut Eleven-EAPOL-STMAC enthält die MAC-Adresse des drahtlosen Clients im Format xxxxxxxxxxxx |
RADIUS-Accounting-Attribute
Sie können RADIUS-Accounting-Server in der WLAN-Konfiguration aktivieren oder deaktivieren. Sie können RADIUS-Kontoführungsinformationen verwenden, um die Netzwerknutzung von Benutzern zu Abrechnungszwecken zu verfolgen und Daten für die allgemeine Netzwerküberwachung zu sammeln.
Die folgenden Buchhaltungskonfigurationen werden unterstützt:
-
Start-Stop: Juniper Mist APs leiten zu Beginn und am Ende der Benutzersitzung Kontoführungsanfragen weiter. Dieses Verhalten ist standardmäßig aktiviert, sobald mindestens ein Accounting-Server unter WLAN konfiguriert ist.
-
Start-Interim-Stop: Juniper Mist APs leiten Accounting-Anfragen zu Beginn und am Ende der Benutzersitzungen und in regelmäßigen Abständen während der Lebensdauer der Sitzungen weiter. Das Attribut "Framed-IP-Address" wird in die Buchhaltungsnachrichten aufgenommen.
Anmerkung:Das Interim-Update-Intervall kann auch dynamisch überschrieben werden, indem Acct-Interim-Interval (85) AVP vom RADIUS-Server gesendet wird.
In der folgenden Tabelle werden die standardmäßigen RADIUS-Accounting-Attribute beschrieben, die in den Juniper Mist Access Points gemäß RFC 2866 implementiert wurden.
| Attributname | Typ | RFC-Beschreibung | |
|---|---|---|---|
| Benutzername | 1 | RFC 2865 | Das User-Name-Attribut wird im Accounting-Request weitergeleitet und gibt den Namen des Benutzers an. |
| NAS-IP-Adresse | 4 | RFC 2865 | Das Attribut NAS-IP-Address wird im Accounting-Request weitergeleitet und gibt die IP-Adresse des Access Points an. |
| Gerahmte-IP-Adresse | 8 | RFC 2865 | Das Attribut "Framed-IP-Address" wird in den Paketen "Accounting-Request" weitergeleitet und gibt die aktuelle oder letzte bekannte IP-Adresse des Wireless-Clients an. Sie wird nur gesendet, wenn die Zwischenabrechnung im WLAN aktiviert ist. Hinweis: Während der ersten Client-Verbindung, wenn der Client noch keine IP-Adresse erhalten hat, fehlt Framed-IP-Address AVP im ersten Accounting-Start-Paket. Sobald der AP jedoch die Client-IP-Adresse erfährt, sendet er eine asynchrone (außerhalb des normalen Aktualisierungsintervalls für die Zwischenabrechnung) Accounting Interim-Update-Nachricht mit Informationen zur gerahmten IP-Adresse. |
| Klasse | 25 | RFC 2865 | Das Class-Attribut wird optional in der Access-Accept-Datei weitergeleitet und sollte vom Client unverändert als Teil des Accounting-Request-Pakets an den Accounting-Server gesendet werden, wenn die Buchhaltung aktiviert ist. Mist Access Points unterstützen das Senden mehrerer Klassenattribute für jeden Client. |
| Angerufene-Stations-ID | 30 | RFC 2865 | Das Attribut Called-Station-Id wird im Accounting-Request weitergeleitet und gibt die BSSID und ESSID an, mit der der Benutzer verbunden ist. Der Access Point leitet den Attributwert in der folgenden Formatierung weiter: XX-XX-XX-XX-XX-XX:ESSID. |
| Calling-Station-ID | 31 | RFC 2865 | Das Attribut Calling-Station-Id wird im Accounting-Request weitergeleitet und gibt die MAC-Adresse des Benutzers an. Der Access Point leitet den Attributwert in der folgenden Formatierung weiter: XX-XX-XX-XX-XX-XX. |
| NAS-Kennung | 32 | RFC 2865 | Das Attribut NAS-Identifier wird im Accounting-Request weitergeleitet und gibt die benutzerdefinierte Kennung an, die unter WLAN-Einstellungen konfiguriert ist. |
| Kontostatus-Typ | 40 | RFC 2866 | Das Attribut Acct-Status-Type wird im Accounting-Request weitergeleitet und gibt an, ob der Accounting-Request den Status der Buchhaltungsfortschreibung markiert. Zu den unterstützten Werten gehören Start, Stop und Interim-Update. |
| Kontoverzögerungszeit | 41 | RFC 2866 | Das Attribut Acct-Delay-Time wird im Accounting-Request weitergeleitet und gibt an, wie viele Sekunden der Access Point versucht hat, den Buchhaltungsdatensatz zu senden. Dieser Wert wird von der Ankunftszeit auf dem Server subtrahiert, um die ungefähre Zeit des Ereignisses zu ermitteln, das diesen Accounting-Request erzeugt. |
| Acct-Input-Oktette | 42 | RFC 2866 | Das Attribut Acct-Input-Octets wird in der Accounting-Request weitergeleitet und gibt an, wie viele Oktette im Laufe der Verbindung vom Benutzer empfangen wurden. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Acct-Output-Oktette | 43 | RFC 2866 | Das Attribut Acct-Output-Octets wird im Accounting-Request weitergeleitet und gibt an, wie viele Oktette im Laufe der Verbindung an den Benutzer weitergeleitet wurden. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Kontositzungs-ID | 44 | RFC 2866 | Das Attribut "Acct-Session-Id" wird in der Accounting-Request weitergeleitet und bietet eine eindeutige Kennung, die den Abgleich von Start-, Stopp - und Zwischendatensätzen in einer Accounting-Protokolldatei erleichtert. |
| Account-Authentic | 45 | RFC 2866 | Das Attribut Account-Authentic wird im Accounting-Request weitergeleitet und gibt an, wie der Benutzer authentifiziert wurde. Wenn die RADIUS-Abrechnung aktiviert ist, setzt der Access Point diesen Wert auf RADIUS. |
| Acct-Session-Time | 46 | RFC 2866 | Das Attribut Acct-Session-Time wird im Accounting-Request weitergeleitet und gibt an, wie viele Sekunden der Benutzer den Service erhalten hat. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Acct-Input-Pakete | 47 | RFC 2866 | Das Attribut Acct-Input-Packets wird im Accounting-Request weitergeleitet und gibt an, wie viele Pakete im Laufe der Verbindung vom Benutzer empfangen wurden. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Acct-Output-Pakete | 48 | RFC 2866 | Das Attribut Acct-Output-Packets wird im Accounting-Request weitergeleitet und gibt an, wie viele Pakete im Laufe der Verbindung an den Benutzer weitergeleitet wurden. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Acct-Endate-Cause (Acct-Endate-Cause) | 49 | RFC 2866 | Das Attribut Acct-Terminate-Cause wird im Accounting-Request weitergeleitet und gibt an, wie die Sitzung beendet wurde. Dieses Attribut darf nur in Accounting-Request-Datensätzen vorhanden sein, bei denen der Acct-Status-Type auf Stop gesetzt ist. |
| Ereignis-Zeitstempel | 55 | RFC 2869 | Das Attribut Event-Timestamp wird im Accounting-Request weitergeleitet und gibt den Zeitpunkt an, zu dem das Accounting-Ereignis auf dem Access Point aufgetreten ist. |
| NAS-Port-Typ | 61 | RFC 2865 | Das Attribut NAS-Port-Type wird in der Accounting-Request weitergeleitet und gibt den Typ der physischen Verbindung für den Benutzer an. Dieser Attributwert wird vom Juniper Access Point immer auf Wireless-802.11 gesetzt.
|
Dynamische Autorisierungserweiterungen
Das RADIUS-Authentifizierungsprotokoll unterstützte ursprünglich keine unerwünschten Nachrichten, die vom RADIUS-Server an den Access Point gesendet wurden. Es gibt jedoch viele Fälle, in denen es wünschenswert ist, Änderungen an Sitzungsmerkmalen vorzunehmen, ohne dass der Access Point den Austausch initiieren muss.
Um diese Einschränkungen zu überwinden, haben mehrere Anbieter zusätzliche RADIUS-Erweiterungen implementiert, die unerwünschte Nachrichten unterstützen, die vom RADIUS-Server an einen Access Point gesendet werden. Diese Erweiterungen unterstützen CoA-Meldungen (Disconnect and Change-of-Authorization), die zum Beenden einer aktiven Benutzersitzung oder zum Ändern der Merkmale einer aktiven Sitzung verwendet werden können.
-
Disconnect-Request: Bewirkt das Beenden einer Benutzersitzung. Das Disconnect-Request-Paket identifiziert das NAS sowie die zu beendende Benutzersitzung durch Aufnahme der in Tabelle 3.0 gezeigten Identifikationsattribute.
-
CoA-Request: Bewirkt, dass Sitzungsinformationen auf dem Access Point dynamisch aktualisiert werden.
Disconnect-Request-Attribute
In der folgenden Tabelle werden die erforderlichen dynamischen Autorisierungsattribute für Trennungsanforderungen beschrieben.
Der in der Tabelle beschriebene Mindestsatz von Attributen ist ausreichend, damit die Trennung funktioniert. Wenn zusätzliche Attribute vom RADIUS-Server gesendet werden, werden einige ebenfalls ausgewertet (z. B. muss der Wert der NAS-IP-Adresse mit der aktuellen IP-Adresse des Mist AP übereinstimmen, oder die Acct-Session-ID muss mit der Sitzungs-ID des Wireless-Clients übereinstimmen), während andere Attribute, die nicht unterstützt werden (z. B. Acct-Terminate-Cause), ignoriert werden.
| Attributname | Lieferant | Attributnummer | Beschreibung |
|---|---|---|---|
| Ereignis-Zeitstempel | IETF | 55 | Zeitpunkt, zu dem der Disconnect-Request ausgegeben wurde. Die Uhrzeit wird vom Mist AP überprüft. Wenn die Taktdrift zu groß ist, wird die Anfrage zum Trennen verworfen. Die Validierung des Event-Timestamp-Attributs kann optional unter WLAN-Konfiguration deaktiviert werden. |
| Calling-Station-ID | IETF | 31 | MAC-Adresse des Benutzers im Format XX-XX-XX-XX-XX-XX. |
CoA-Request-Attribute
In der folgenden Tabelle werden die erforderlichen dynamischen Autorisierungsattribute für CoA-Anforderungen beschrieben.
Der in der Tabelle beschriebene Mindestsatz von Attributen ist ausreichend, damit das CoA funktioniert. Andere Attribute werden ebenfalls ausgewertet, wenn sie vom RADIUS-Server gesendet und von Juniper Mist unterstützt werden. Beispielsweise muss der NAS-IP-Address-Wert mit der aktuellen IP-Adresse des Juniper Mist-APs übereinstimmen, oder die Acct-Session-ID muss mit der Sitzungs-ID des Wireless-Clients übereinstimmen. Attribute, die nicht unterstützt werden, werden ignoriert (z. B. alle zusätzlichen Cisco-AVPair-Attribute).
Weitere Hinweise zu CoA finden Sie unter . Änderung der Autorisierung (CoA)
| Attributname | Lieferant | Attributnummer | Beschreibung |
|---|---|---|---|
| Ereignis-Zeitstempel | IETF | 55 | Zeitpunkt, zu dem der Disconnect-Request ausgegeben wurde. Die Uhrzeit wird vom Mist AP überprüft. Wenn die Taktdrift zu groß ist, wird die Anfrage zum Trennen verworfen. Die Validierung des Event-Timestamp-Attributs kann optional unter WLAN-Konfiguration deaktiviert werden |
| Calling-Station-ID | IETF | 31 | MAC-Adresse des Benutzers im Format XX-XX-XX-XX-XX-XX. |
| Cisco-AVPair | Cisco (9) | 1 | subscriber-command:reauthenticate |