利用 PSK 中的角色(用例)
创建 PSK 角色并在策略中利用这些角色来精细控制网络资源,并在 PSK 受到损害时限制所谓的波及范围。
您可以在 WxLAN 策略中使用 PSK 角色进行网络分段。例如,您可以限制 IoT 设备,使其只能访问指定的资源。例如,仅允许 Wi-Fi 摄像头访问 Wi-Fi 摄像头源服务器。
在此用例中,您将使用角色允许 BYOD 设备访问互联网,同时阻止它们访问您的专用网络。
通过遵循此用例,您将了解如何在最终用户 PSK 上创建角色,以及如何创建组织级标签来定义角色和网络资源。最后,您将创建一个 WxLAN 策略来指定 BYOD 设备可以访问或不能访问的资源。当客户端使用 PSK 登录网络时,他们将继承指定的角色,并且只能访问策略允许的资源。
为 PSK 分配角色
要为 PSK 分配角色,请执行以下作:
-
从 Juniper Mist 门户的左侧菜单中,选择“无线组织”< |预共享密钥
单击现有的最终用户 PSK,或单击 添加密钥 以创建一个。
在“创建/编辑预共享密钥”窗口中,输入以下信息以创建此示例的密钥。
密钥名称 - 输入电子邮件地址。
VLAN ID — 输入公共网络上的 VLAN ID。
角色 - 输入。BYOD
注意:有关更多信息,请参阅 配置和管理预共享密钥。
-
点击 保存。
为 PSK 角色和资源创建标签
在此用例中,您将创建三个标签来定义角色和资源:
-
用于定义 BYOD 设备的用户组标签。
-
一个 IP 地址标签,用于定义角色可以访问的资源(互联网)。
-
一个 IP 地址标签,用于定义角色无法访问的资源(专用网络)。
要了解有关标签是什么及其工作原理的更多信息,请参阅。
要创建用于 PSK 角色的标签,请执行以下作:
-
从 Juniper Mist 门户的左侧菜单中,选择“ 组织 >无线” |“。标签。
点击页面右上角 的添加标签 。
在“新建标签”页上,输入 BYOD 标签的信息,如下所示:
标签名称 (Label Name) - 输入。BYOD
标签类型 (Label Type) - 选择“ AAA 属性”(AAA 属性)。
标注值 (Label Values) - 选择用户组。
用户组值 - 输入。BYOD
-
单击页面右上角的 创建 。
创建将用于定义 Internet 的标签。对于此标签,请使用以下值:
- 标签名称 (Label Name) - 输入。internet
- 标签类型 - 选择 IP 地址。
- 标签值 (Label Values) - 输入。0.0.0.0/0
创建将用于定义专用网络的标签。对于此标签,请使用以下值:
- 标签名称 (Label Name) - 输入。private-networks
- 标签类型 - 选择 IP 地址。
- 标注值 (Label Values) - 输入 10.10.10.0/8,172.168.0.0/12,192.168.0.0/16
注意:
通过使用专用网络的RFC1918定义,您可以覆盖所有内部网络。
您已创建必要的标签,并准备好在 WxLAN 访问策略中使用它们。
创建 WxLAN 访问策略
要完成此用例,您需要使用角色和标签创建一个策略,用于指定 BYOD 角色可以访问的资源。
DHCP 和 DNS 流量将被自动允许。您无需为它们创建特殊规则。此外,最好知道 WxLAN 规则是在 AP 上实施的,并且仅适用于出口流量。入口规则会根据传出流量自动调整。
要创建 WxLAN 策略,请执行以下作:
-
从Juniper Mist门户的左侧菜单中,导航到要添加规则的 WLAN 模板。
注意:要了解有关访问策略的更多信息,请参阅 WxLAN 访问策略。 在“策略”部分中,单击 “添加规则”。
-
在 “用户 ”列中,单击添加 (+) 按钮,然后选择 BYOD 标签。
在 “策略”下,保留默认值“ 允许”。
在 “资源”下:
单击“添加”(+) 按钮,然后单击 Internet 标签。
单击“添加”(+) 按钮,然后选择 “专用网络”。
此时,允许所有资源,如下所示。
单击为 专用网络添加的图标,然后单击 “拒绝”。
单击页面右侧的省略号按钮 (...),然后单击“ 启用”。
单击页面右上角的保存。