TP-AC1000 radius扩展属性规范

[TL-AC1000]针对不同SSID设置上网权限及认证方式在企业、商场、酒店等无线网络环境中，需要为不同的用户提供不同的SSID，不同SSID拥有不同的网络访问权限,不同SSID跳转不同的Portal页面。

下面是店铺整理的一些关于针对不同SSID设置上网权限及认证方式的相关资料，供你参考。

针对不同SSID设置上网权限及认证方式：某酒店需要实现无线覆盖，为入住客人和办公网络提供无线接入，有以下需求：1、网络中启用两个SSID，分别用于员工和客人;2、办公网络与客人网络之间不能互访;3、办公网络通过MAC地址认证，客人网络通过Portal认证;配置参数要求：1、客人网络SSID：Guest;2、员工网络SSID：Office;1、使用TL-AC1000集中管理AP，启用两个SSID分别对应员工和客人网络，不同网络使用相应的无线认证方式;2、使用三层交换机，对不同SSID网络分配不同网段的IP(本文使用TL-SG5428作为三层交换机)，通过三层交换机中的ACL控制内网访问权限;3、在出口路由器中针对不同SSID对应的不同网段，设置不同的外网访问权限;TL-AC1000多SSID应用拓扑1、配置规划及线路连接在三层交换机中启用四个VLAN，分别用于AC与AP通信、外网VLAN、客人网络、员工网络;三层交换机接线说明：1号接口接路由器(路由器LAN口IP：192.168.1.1);2号接口接TL-AC1000;3-10号接口接PoE交换机TL-SF1008P;2、配置VLAN按照如下表进行VLAN配置。

3、VLAN接口IP配置配置各VLAN对应的三层接口，三层交换机VLAN配置参考表：1、配置规划及线路连接TL-AC1000启用三个VLAN，设置三个VLAN设置接口IP地址，分别对应AC与AP通信、客人网络、员工网络：接线说明:1号接口接三层交换机;2-5号暂未使用;2、配置VLAN按照下表进行VLAN配置：3、VLAN接口IP配置TL-AC1000 VLAN接口配置参考表：4、接口网关配置在TL-AC1000对其中一个接口设置网关，使TL-AC1000能够跨三层被管理。

千兆路由器参数标准千兆路由器是一种能够支持千兆以太网速度的路由器设备，通常用于家庭或办公室网络中。

它的参数标准包括以下几个方面：1. 传输速率，千兆路由器的传输速率通常指的是以太网端口的速度，即1000兆比特每秒（1Gbps），这是其最主要的参数之一。

这种速度可以满足大多数家庭和办公室网络的需求，能够提供快速稳定的网络连接。

2. 网络标准，千兆路由器通常支持多种网络标准，包括IEEE 802.11ac无线标准和IEEE 802.3以太网标准。

IEEE 802.11ac是目前最新的Wi-Fi标准之一，能够提供高速无线网络连接，而IEEE 802.3以太网标准则是有线网络的标准，支持千兆以太网速度。

3. 网络接口，千兆路由器通常具有多个以太网端口，用于连接有线设备，同时也会配备无线网络接口，支持Wi-Fi连接。

此外，一些千兆路由器还支持USB接口，用于连接外部存储设备或打印机。

4. 天线，对于无线功能的千兆路由器，天线的数量和类型也是重要的参数之一。

一般来说，天线数量越多，覆盖范围越广，信号质量也会更好。

5. 安全性，千兆路由器通常会内置防火墙和加密功能，用于保护网络安全。

支持WPA2加密协议和访客网络功能也是其安全性的重要表现。

6. 硬件配置，千兆路由器的硬件配置也是其参数标准之一，包括处理器类型和速度、内存大小、存储容量等。

这些硬件配置会直接影响路由器的性能和稳定性。

综上所述，千兆路由器的参数标准涵盖了传输速率、网络标准、网络接口、天线、安全性和硬件配置等多个方面，这些参数将直接影响到路由器的性能和适用场景。

选择合适的千兆路由器需要根据实际需求综合考虑这些参数。

radius属性中文注解Attribute ID 类型代表User-Name 1 文本由用户指定的用户标识。

NAS-IP-Address 4 文本发出请求的 NAS 的 IP 地址。

NAS-Port 5 数字发出请求的 NAS 的物理端口号。

Service-Type 6 数字用户请求的服务类型。

Framed-Protocol 7 数字使用的协议。

Framed-IP-Address 8 文本为用户配置的帧地址。

Framed-IP-Netmask 9 文本为用户配置的 IP 网络掩码。

Framed-Routing 10 数字由用户使用的路由方法。

Filter-ID 11 文本请求身份验证的用户的筛选器列表的名称。

Framed-MTU 12 数字为用户配置的最大传输单位。

Framed-Compression 13 数字使用的压缩协议。

Login-IP-Host 14 数字用户应连接的主机的 IP 地址。

Login-Service 15 数字将用户连接到登录主机的服务。

Login-TCP-Port 16 数字用户应连接的 TCP 端口。

Reply-Message 18 文本接受身份验证请求时显示给用户的消息。

Callback-Number 19 文本回拨电话号码。

Callback-ID 20 文本执行回拨时访问服务器要呼叫的位置的名称。

Framed-Route 22 文本访问客户端上配置的路由信息。

Framed-IPX-Network 23 数字在 NAS 上为用户配置的 IPX 网络数字。

Class 25 文本以“访问 - 接受”数据包发送给客户端的属性，可用于使“记帐 - 请求”数据包与身份验证会话相互关联。

格式是：? Type 包含值 25（1 个八位字节）。

? Length 包含值 20 或更大值（1 个八位字节）。

? Checksum 包含在类属性余项上计算的 Adler-32 校验和（4 个八位字节）。

编制历史附录A （Portal 与AC 间的协议）报文格式协议包采用固定长度头加可变长度的属性字段组成，属性字段采用TLV 格式，具体如下图所示。

Web 认证报文格式12346857报文字段说明VerVer字段是协议的版本号，长度为 1 字节，目前定义的值为 0x01。

TypeType字段定义报文的类型，长度为 1 字节，目前其值的定义如下表。

报文类型Pap/ChapPap/Chap字段定义此用户的认证方式，长度为 1 字节，只对Type值为 0x03 的认证请求报文有意义：Chap方式认证－－－值为0x00；Pap 方式认证－－－值为0x01；RsvRsv目前为保留字段，长度为 1 字节，在所有报文中值为 0；SerialNo(1)SerialNo字段为报文的序列号，长度为 2 字节，由Portal Server随机生成，Portal Server必须尽量保证不同认证流程的SerialNo在一定时间内不得重复，在同一个认证流程中所有报文的SerialNo相同；(2)Portal Server发给AC设备的报文a、由Portal Server发出的Type值为1、3的请求报文其SerialNo都是随机生成数；b、由Portal Server向AC设备发出的Type值为5的(REQ_LOGOUT)报文其SerialNo值分两种情况：当ErrCode为0 时(请求用户下线报文)，SerialNo值为一个随机生成数；当ErrCode为1时，SerialNo值可能和Type值为1或3的报文 (请求Challenge超时, 或请求认证超时) 相同，具体要看是请求Challenge超时还是请求认证超时；c、由Portal Server向AC设备发出的认证成功确认报文（Type值为7的报文）SerialNo和其发出的相应请求报文的SerialNo相同；比如对于Type值为7的报文其SerialNo值和Type值为3的请求认证报文相同；(3)每一个由AC设备发给Portal Server的响应报文的SerialNo必须和Portal Server发送的相应请求报文的SerialNo一样，否则Portal Server会丢掉从AC设备发来的响应报文；比如Type值为2的报文其SerialNo值必须和Type值为1的报文相同，Type值为4的报文其SerialNo值必须和Type值为3的报文相同，Type值为6的报文其SerialNo值必须和Type值为5的报文相同。

配置指南-BRAS业务目录目录A RADIUS属性...........................................................................................................................A-1A.1 标准RADIUS属性...................................................................................................................................A-1A.2 华为RADIUS属性...................................................................................................................................A-5A.3 微软私有属性..........................................................................................................................................A-10配置指南-BRAS业务 ARADIUS属性A RADIUS属性A.1 标准RADIUS属性编码名称描述1 User-Name进行认证的用户名。

2 Password 进行认证的用户密码，仅对PAP认证有效。

3 Challenge-Password进行认证的用户密码，仅对CHAP认证有效。

4 NAS-IP-AddressME60的设备IP地址，如果RADIUS服务器组绑定了接口地址，则取绑定的接口地址，否则取发送报文的接口地址。

常用标准Radius属性说明属性名Type说明User-Name11、对于PPP用户，若用户名带ISP，该项用Username@PPP格式上报用户名；否则用Username 格式上报用户名；2、对于VLAN方式，用HCID@VLAN方式上报HCID号，其中，对HCID进行编码，将其转换为字符串User-Password2PPP用户密码CHAP-Password3PPP用户的CHAP过程密码NAS-IP-Address4ISN的接口IP地址NAS-Port5A、VLAN PORT：槽位号（12位）+端口号（8位）+VLAN ID（12位）B、ADSL：NAS PORT标明端口属性、实际物理端口属性Service-Type6服务类型Framed-Protocol7通信协议类型Framed-IP-Address8服务器下发的用户地址，为0XFFFFFFFF时需要从本地地址池中分配Framed-IP-Netmask9服务器分配的地址掩码Reply-Message18返回给用户的提示信息Vendor-Specific26私人自定义属性Session-Timeout预付费时长Idle-Timeout28超时中断时间NAS-Identifier32Nas标识符Acct-Status-Type40用于识别计费包Acct-Delay-Time41用于上报发送该计费包花费的时间Acct-Input-Octets42输入字节数，用于兼容RADIUS协议Acct-Output-Octets43输出字节数，用于兼容RADIUS协议Acct-Session-Id44上报连接号给计费服务器Acct-Authentic45用户如何实现认证：1 == Radius；2 == Local；3 == Remote Acct-Session-Time46连接时间Acct-Input-Packets47输入报数Acct-Output-Packets48输出报数Acct-Terminate-Cause49上报断开原因Acct-Input-Gigawords52输入吉比特Acct-Output-Gigawords53输出吉比特Event-Timestamp55事件时戳标准参考时间为1970/01/01 00:00:00Acct-Interim-Interval85实时计费间隔时间NAS-Port-Id87用字符串来描述的端口信息，统一格式：port=XX;slot=XX;frame=XX;VLAN=XX;VPI=XX;VCI=XX; Framed-Pool88用字符串来描述的地址池CHAP-Challenge60CHAP认证过程中的挑战值NAS-Port-Type61Nas端口类型属性名属性编号接入请求接入响应计费开始请求计费结束请求说明RFC2865( Remote Authentication Dial In User Service ）User-Name1YESNOYESYES设备以开关形式决定用户名是否带ISP的名字User-Password2YESNONOCHAP-Password3YESNONONONAS-IP-Address4YESNOYESYES此值可能跟RADUIS服务器收到的实际的RADIUS IP包的源地址不符（比如RADIUS包穿透了NAT后）NAS-Port5YESYESYESA、VLAN PORT：槽位号（12位）+端口号（8位）+VLAN ID（12位）B、ADSL：NAS PORT标明端口属性、实际物理端口属性Service-Type6YESYESYESYESFramed-Protocol7YESYESYESYES当前标准协议没有能很好的区别PPPoE和VLAN，暂时都填成PPPFramed-IP-Address8NOYESYESFramed-IP-Netmask9NOYESYESYESReply-Message18NOYESNONO至少可以用于设备上的调试信息，在使用PPPoE时可以向用户显示接入失败的原因Class25NOYESYESYES必须满足标准规定，如果产品有其他定义（如流控），则应该可以通过设备上开关来限制Vendor-Specific26NOYESYESYES将进一步细化Session-Timeout27NOYESNONO用于时长预付费，MA520 0还支持服务器在计费响应包中下发的此属性，建议其他产品也支持NAS-Identifier32YESNOYES一个RADIUS客户端就应该有一个名字CHAP-Challenge60YESNONONO用于CHAP认证，即使Challenge为16字节，也应该在Authenticator和本属性中同时填入，因为不同的服务器可能从请求包的不同地方去取该值并进行CHAP认证NAS-Port-Type61YESNOYESYES按标准属性RFC2866（RADIUS Accounting）Acct-Status-Type40NONOYESYESAcct-Delay-Time41NONOYESYESAcct-Input-Octets42NONONOYESAcct-Output-Octets43NONOYESAcct-Session-Id44NONOYESYES唯一的标识一个会话的值，在很长的时间内都不重复（即使设备重启了）B Acct-Authentic45NONOYESYESAcct-Session-Time46NONONOYESAcct-Input-Packets47NONONOYESAcct-Output-Packets48NONONOYESAcct-Terminate-Cause49NONONOYES按标准属性RFC2869(RADIUS Extensions)Acct-Input-Gigawords52NONONOYESAcct-Output-Gigawords53NONONOYESEvent-Timestamp55NONOYESYES按标准属性NAS-Port-Id87YESNOYESYES用字符串来描述的端口信息，统一格式（XX表示一个10进制数字，其位数并不限定为2位）：port=XX;slot=XX;frame=XX;VLAN=XX;VPI=XX;VCI=XX;Framed-Pool88NOYESNONO用字符串来描述的地址池。