Правила, которые указываются в списке ACL, формируются в соответствии с правилами, определенными производителем оборудования. На это нет единого стандарта. WNAM 2 не проверят синтаксис правил, они передаются в Сетевое устройство (коммутатор) "как есть", построчно. Если окажется, что правило не соответствует формату, приемлемому для устройство, то оно либо будет проигнорировано, либо весь ACL не будет применен, либо авторизация доступа целиком будет отклонена. Это зависит от вендора оборудования, и находится вне контроля WNAM 2.
Посмотрите примеры настройки правил для каждого из поддерживаемых вендоров:
Huawei
Атрибут: HW-Data-Filter
TODO:
...
Документация:
https://support.huawei.com/enterprise/en/doc/EDOC1100213104/35071f9a/radius-aaa
...
Eltex
Атрибут: Eltex
...
-Data-Filter
...
...
Документация:
...
H3C
Атрибут: H3C-Av-Pair
...
Документация:
https://www.h3c.com/en/d_202309/1922517_294551_0.htm
HPE/Aruba
Атрибут: NAS-Filter-Rule (рекомендуется использовать вместо легаси HP-Nas-Filter-Rule)
Документация: https://arubanetworking.hpe.com/techdocs/AOS-S/16.11/ASG/WC/content/common%20files/nas-fil-rul-opt.htm
...
Cisco
Атрибут: Cisco-AVPair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-ИмяСпискаДоступа
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html
В этом режиме в ответе авторизации передаётся только имя dACL, но не его содержимое.
Если коммутатор определяет, что такого dACL в памяти нет, он его запрашивает последующим RADIUS PAP запросом. В ответе WNAM 2 в атрибутах типа Cisco-AVPair=ip:inacl# отправляются строки правила.