WxLAN 接入策略

创建 WxLAN 访问控制策略，以指定谁可以访问和谁不能访问您网络上的资源。将这些策略添加到站点或 WLAN 模板后，通过指定 WLAN 连接的用户将受这些规则的约束。阅读本主题，了解相关要求和选项，以便您可以为您的用例创建 WxLAN 访问策略。

简介

将访问策略用于各种用例：

网络分段
基于角色的策略
微分段
最小权限

若要开始使用策略，首先需要创建标签来对用户和资源进行分组和标识。创建策略时，需要将用户与他们可以访问或不能访问的资源进行匹配。以下示例显示设置规则是多么容易。如下所示，在左侧定义用户，在右侧定义资源。颜色编码显示哪些资源被阻止（红色）或允许（绿色）。

图 1：WxLAN 访问策略 Example WxLAN Access Policy

示例

观看此视频，探索一个简单的用例。在这里，策略允许用户访问网络上的 Internet、打印机和电视，但不能访问其他资源。

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

如何处理策略规则

在 WLAN 模板（组织级策略）中创建访问策略时，将首先评估通过其中一个指定 WLAN 连接的任何用户是否使用模板中的策略。如果用户不满足这些规则中的任何一个，则会根据站点级策略评估用户。
在策略中从上到下读取各种规则集。
一组规则中的每个规则从左到右读取。
如果对任何连接用户应用了任何策略，它将从第一个规则开始读取该客户端是否满足所有用户标签。
它不断从上到下读取每个规则，直到找到该用户满足所有用户标签的规则。
然后，它会检查允许或阻止此类用户的资源。
对于每个规则，运算符设置为允许，但可以允许或拒绝资源。
在站点级策略的底部，有一个为所有用户和所有资源设置的最终默认行。它可以被阻止，也可以被允许。不属于任何策略规则的任何用户都将属于此行，并且将根据应用的作允许或阻止此用户的所有资源。
如果规则仅包含允许资源，则只允许用户使用该资源，而拒绝其他所有资源。
如果规则仅包含拒绝资源，则仅为用户拒绝该资源，并允许其他所有资源。
如果规则由允许和拒绝资源组成，则必须显式定义所有允许和拒绝的资源。除非添加拒绝 0.0.0.0/0 之类的规则，否则没有默认的“拒绝所有其他流量”。
右侧的资源按字母顺序显示，并在资源重叠时应用最具体。如果为同一主机创建了多个标签并作为同一规则中的资源应用，则建议使用 ip/端口/协议标签类型

创建要在 WxLAN 策略中使用的标签

或者，您可以使用标签来简化 WxLAN 策略的设置过程。

在瞻博网络 Mist™ 中，标签代表用户或资源的集合。（您可以将 Mist 标签与其他一些应用程序中的标签或组进行比较。）通过使用一个简单的标签来表示多个相关项，可以避免在设置访问策略时单独指定每个项。

可以在组织级别或站点级别创建标签。主要区别在于您在何处使用这些标签。您可以在 WLAN 模板的策略中使用组织级标签。您可以在站点级策略中使用站点级标签。

为组织级或站点级标签选择正确的菜单选项：
- 组织级标签 - 从瞻博网络 Mist门户的左侧菜单中，选择组织 > 无线 > 标签。
- 站点级标签 - 从瞻博网络 Mist 门户的左侧菜单中，选择站点 > 无线 > 标签。
点击页面右上角的添加标签。
输入标签名称。
选择标签类型。
注意：
某些标签类型只能用于 WxLAN 策略中的用户或资源。
- 用户类型 - AAA 属性、接入点、Wi-Fi 客户端、WLAN
- 资源类型 — 应用、主机名、IP 地址、端口
输入标签值。
必填字段取决于选定的标签类型。
单击页面右上角的创建。
根据需要创建其他标签。

现在，当您为 WxLAN 策略选择用户或资源时，您的标签将在下拉列表中显示。

示例：创建和应用 Bonjour 过滤的标签

您可以将用户标签与 Bonjour 网关结合使用，以阻止或允许访问与 WLAN 或用户不同的 VLAN 上提供的 Bonjour 服务。

用户标签支持以下 AAA 消息类型中的 access-accept RADIUS 属性： Filter-Id、 aruba-user-role和 Airespace-ACL-Name。

要为 Bonjour 过滤创建用户标签：

在瞻博网络Mist门户中，单击 “组织 ”> “管理员 > 标签”。
单击添加标签。
输入名称并定义标签：
- 标签类型 — 选择 AAA 属性。
- 标签值 - 选择用户组。
- 用户组值 — 输入要将此用户角色连接到的 RADIUS 属性值。
单击页面顶部的创建。
标识要与此标签关联的客户端。

在此动画 GIF 中，您将了解如何在“Wi-Fi 客户端”页面上选择客户端并编辑客户端属性以分配您之前创建的标签。

注意：

要重播动画，请右键单击，然后在新选项卡中将其打开。根据需要使用刷新按钮重放它。

现在，当您为 WxLAN 策略选择用户或资源时，您的标签将在下拉列表中显示。

创建用户访问策略

开始之前：如果还没有组织的用户和资源标签，则需要创建它们。有关更多信息，请参阅创建要在 WxLAN 策略中使用的标签。

要创建 WLAN 访问策略，请执行以下作：

导航至站点级或模板级策略：
- 组织级策略（在WLAN模板中）—选择组织>无线 |WLAN 模板，然后选择要向其添加策略的模板。向下滚动到“策略”部分。
- 站点级策略 - 选择站点 > 无线 |策略以打开“策略”页。
单击“添加规则”以显示规则行。
单击“用户”列中的添加图标（+），然后从显示的列表中选择用户或用户标签。

注意：
有关创建用户标签的帮助，请参阅。
在“策略”列中，单击复选标记图标（✓），然后选择要强制执行的作：“允许”或“阻止”。
单击“资源”列中的添加图标（+），然后从列表中选择一个或多个预定义应用程序。如果您愿意，您还可以定义新资源，这些资源将显示在列表顶部。

注意：
有关创建资源标签的帮助，请参阅。

在此示例中，您会看到具有多个规则的策略和具有多个资源的规则。
完成策略的创建和排序后，单击屏幕顶部的保存。