WxLAN 访问策略

创建 WxLAN 访问控制策略以指定谁可以访问和不能访问网络上的资源。将这些策略添加到站点或 WLAN 模板后，通过指定 WLAN 连接的用户将遵守这些规则。阅读本主题以了解要求和选项，以便您可以为您的用例创建 WxLAN 访问策略。

介绍

将访问策略用于各种用例：

网络分段
基于角色的策略
微分段
最小权限

若要开始使用策略，首先要创建标签来对用户和资源进行分组和标识。创建策略时，您需要将用户与他们可以访问或不能访问的资源进行匹配。以下示例显示了设置规则的难易程度。如下所示，您在左侧定义用户，在右侧定义资源。颜色编码显示哪些资源被阻止（红色）或允许（绿色）。

图 1：WxLAN 访问策略 Example WxLAN Access Policy

示例

观看此视频，探索一个简单的用例。在这里，该策略允许用户访问网络上的 Internet、打印机和电视机，但不允许访问其他资源。

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

如何处理策略规则

在 WLAN 模板（组织级策略）中创建访问策略时，首先会针对模板中的策略对通过其中一个指定 WLAN 连接的任何用户进行评估。如果用户不满足其中任何一条规则，则会针对站点级别策略对用户进行评估。
在策略中，从上到下读取各种规则集。
一组规则中的每个规则从左到右阅读。
如果应用了任何策略，则对于任何连接用户，它将开始从第一个规则读取该客户端是否满足所有用户标签。
它一直从上到下读取每个规则，直到找到一个规则，在该规则中，该用户的所有用户标签都得到满足。
然后，它会检查允许或阻止此类用户的资源。
对于每个规则，运算符设置为允许，但可以允许或拒绝资源。
在站点级别策略的底部，有一个为所有用户和所有资源设置的最终默认行。它可以被阻止，也可以被允许。不属于任何策略规则的任何用户都将属于此行，并且将根据应用的作允许或阻止此用户的所有资源。
如果规则仅包含允许资源，则仅允许用户使用该资源，其他所有资源都将被拒绝。
如果规则仅包含拒绝资源，则仅拒绝用户该资源，其他所有内容都允许。
如果规则由很少的允许资源和很少的拒绝资源组成，则只允许允许的资源，而其他所有资源都被拒绝。
右侧的资源按字母顺序显示，并在资源重叠时应用最具体。如果为同一主机创建了多个标签并作为资源应用到同一规则中，建议使用 ip/port/协议标签类型

创建要在 WxLAN 策略中使用的标签

或者，您可以使用标签来简化设置 WxLAN 策略的过程。

在Juniper Mist™中，标签表示用户或资源的集合。（您可以将Mist 标签与其他一些应用程序中的标签或组进行比较。通过使用一个简单的标签来表示多个相关项目，您不必在设置访问策略时单独指定每个项目。

您可以在组织级别或站点级别创建标签。主要区别在于在哪里使用这些标签。您可以在 WLAN 模板的策略中使用组织级标签。您可以在站点级别策略中使用站点级别标签。

为组织级别或站点级别标签选择正确的菜单选项：
- 组织级标签 — 从Juniper Mist门户的左侧菜单中，选择组织 > 无线 > 标签。
- 站点级标签 — 从Juniper Mist门户的左侧菜单中，选择站点 > 无线 > 标签。
点击页面右上角的添加标签。
输入标签名称。
选择标签类型。
注意：
某些标签类型只能用于 WxLAN 策略中的用户或资源。
- 用户类型 - AAA 属性、接入点、WiFi 客户端、WLAN
- 资源类型 - 应用程序、主机名、IP 地址、端口
输入标签值。
必填字段取决于所选的标签类型。
单击页面右上角的创建。
根据需要创建其他标签。

现在，当您为 WxLAN 策略选择用户或资源时，您的标签将在下拉列表中可用。

示例：创建和应用用于 Bonjour 筛选的标签

您可以将用户标签与 Bonjour 网关结合使用，以阻止或允许访问与 WLAN 或用户不同的 VLAN 上可用的 Bonjour 服务。

用户标签支持以下 AAA 消息类型中 access-accept 存在的 RADIUS 属性： Filter-Id、 aruba-user-role和 Airespace-ACL-Name。

要为 Bonjour 过滤创建用户标签：

在Juniper Mist门户中，单击“ 组织 ”> “管理员 > 标签”。
单击添加标签。
输入名称并定义标签：
- 标签类型（Label Type） - 选择“ AAA 属性”（AAA 属性）。
- 标注值（Label Values） - 选择用户组。
- 用户组值 - 输入要将此用户角色连接到的 RADIUS 属性值。
单击页面顶部的创建。
确定要与此标签关联的客户端。

在此动画GIF中，您将看到如何在WiFi客户端页面上选择客户端，并编辑客户端属性以分配您之前创建的标签。

注意：

要重播动画，请右键单击，然后在新选项卡中打开它。根据需要使用刷新按钮重播。

现在，当您为 WxLAN 策略选择用户或资源时，您的标签将在下拉列表中可用。

创建用户访问策略

开始之前： 如果组织还没有用户和资源标签，则需要创建它们。有关详细信息，请参阅创建要在 WxLAN 策略中使用的标签。

要创建 WLAN 访问策略，请执行以下作：

导航到站点级别或模板级别策略：
- 组织级策略（在 WLAN 模板中）—选择 Organization>Wireless |WLAN 模板，然后选择要将策略添加到的模板。向下滚动到“政策”部分。
- 站点级策略—选择 Site > Wireless |“策略 ”以打开“策略”页面。
单击“添加规则”以显示规则行。
单击“用户”列中的添加图标（+），然后从显示的列表中选择用户或用户标签。

注意：
有关创建用户标签的帮助，请参阅。
在“策略”列中，单击复选标记图标（✓），然后选择要强制实施的作：“允许”或“阻止”。
单击“资源”列中的添加图标（+），然后从列表中选择一个或多个预定义应用程序。如果您愿意，还可以定义一个新资源，这些资源将显示在列表的顶部。

注意：
有关创建资源标签的帮助，请参阅。

在此示例中，您将看到一个包含多个规则和具有多个资源的规则的策略。
完成策略的创建和订购后，单击屏幕顶部的保存。