Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Mist Access Assurance Endgeräte

Führen Sie die folgenden Schritte aus, um Endpunkte zu registrieren, Attribute und Bezeichnungen zuzuweisen und sie in Authentifizierungsrichtlinienregeln für den kontrollierten Netzwerkzugriff zu verwenden.

Die Seite Netzwerk-Zugriffssteuerung (NAC) Endgeräte bietet Ihnen eine Datenbank aller Endgeräte, die durch ihre MAC-Adressen identifiziert werden. Hier können Sie jedem Endgerät verschiedene Attribute zuweisen, z. B. Name, VLAN, Rolle, Client-Label und Beschreibung. Nachdem Sie einen Endgerät erstellt haben, können Sie in den Übereinstimmungskriterien der Authentifizierungsrichtlinienregeln für die MAB-basierte Authentifizierung direkt auf seine Clientbezeichnung verweisen. Durch die Verwendung von Client-Labels in Authentifizierungsrichtlinienregeln können Sie Richtlinienaktionen wie VLAN-Zuweisungen, Rollen und mehr dynamisch zuweisen.

Im folgenden Beispiel wird ein Endgerät registriert, eine Clientbezeichnung und ein Clientname zugewiesen, und die Bezeichnung wird in den Übereinstimmungskriterien für die Authentifizierungsrichtlinie verwendet, um den Benutzernamen zu überschreiben, der in RADIUS Access-Accept zurückgegeben wird.

Endpunkte registrieren

Führen Sie die folgenden Schritte aus, um Endpunkte für NAC einzurichten:

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation > Zugriff > Endpunkte aus. Klicken Sie auf Endpunkt hinzufügen.

    Sie können Endpunkte auch importieren, indem Sie eine CSV-Datei hochladen. Siehe Importieren von Endpunkten.

  2. Geben Sie auf der Seite Endpunkt hinzufügen die folgenden Details ein und klicken Sie auf Speichern:

    • Name (optional): Name des Endgeräts. Sie können diesen Wert verwenden, um das User-Name-Attribut in RADIUS Access Accept während der Authentifizierung pro Endgerät zu überschreiben, um die Sichtbarkeit zu verbessern.

    • MAC-Adresse (erforderlich): Die eindeutige MAC-Adresse des Endgeräts.

    • Rolle (optional): Eine Rolle, die dem Endgerät zugeordnet werden kann. Geben Sie nur dann einen Wert an, wenn die Rollenzuweisung während der Authentifizierung pro Endgerät außer Kraft gesetzt werden muss.

    • VLAN (optional): VLAN-ID zwischen 1 und 4094 oder VLAN-Name, der einem Endgerät zugewiesen werden kann. Geben Sie nur dann einen Wert an, wenn die VLAN-Zuweisung während der Authentifizierung auf Endgerät-Basis überschrieben werden muss.

    • Client-Labels (optional): Eine oder mehrere Labels (Tags), die auf das Endgerät angewendet werden. Diese Bezeichnungen können in den Übereinstimmungskriterien von Authentifizierungsrichtlinienregeln verwendet werden.

    • Beschreibung (optional): Zusätzliche Informationen, die zur Identifizierung oder Bereitstellung von Kontext für den Endgerät beitragen.

Endpunkte importieren

So importieren Sie Endgeräte:

  1. Klicken Sie in der oberen rechten Ecke der Seite NAC-Endpunkt auf Endpunkte importieren .

  2. Laden Sie die CSV-Datei mit der Option Drag & Drop oder Click to Upload CSV-Datei in das Portal hoch. Sie können auf Beispiel-CSV herunterladen klicken, um eine CSV-Beispieldatei mit den richtigen Headern und dem richtigen Format herunterzuladen.

  3. Klicken Sie auf Importieren.

Konfigurieren von Authentifizierungsrichtlinien-Labels

Im vorherigen Schritt haben Sie einen Endgerät registriert. Jetzt können Sie Client Label in den Übereinstimmungskriterien der Authentifizierungsrichtlinienregeln verwenden.

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation > Zugriff > Authentifizierungsrichtlinienbezeichnungen aus.

  2. Klicken Sie auf der Seite Auth Policy Labels auf Label hinzufügen , und geben Sie die Details ein.

    • Labelname: Geben Sie den Labelnamen ein.
    • Beschriftungstyp: Wählen Sie den Typ als Kundenbezeichnung aus.
    • Beschriftungswerte: Geben Sie die Beschriftungen ein, die Sie beim Hinzufügen eines neuen NAC-Endgeräts zugewiesen haben.

    • Klicken Sie auf Erstellen.

  3. Erstellen Sie eine Bezeichnung mit dem Bezeichnungswert Returned User Name , und aktivieren Sie Endpunkt-Benutzernamen-Überschreibung zulassen , um den in RADIUS Access-Accept zurückgegebenen Benutzernamen mit dem Endpunktnamen zu überschreiben.

Konfigurieren von Authentifizierungsrichtlinienregeln

Navigieren Sie zu Organisations->Zugriffs->Auth-Richtlinien. Klicken Sie auf Regel hinzufügen, und weisen Sie die Client-Bezeichnung in den Übereinstimmungskriterien der Authentifizierungsrichtlinienregel zu. Fügen Sie im Abschnitt "Zugewiesene Richtlinien" die Bezeichnungen "Zurückgegebener Benutzername" hinzu. Fügen Sie außerdem nach Bedarf VLAN- und Rollenbeschriftungen hinzu.

Client-Verbindung und -Überprüfung

Navigieren Sie zu Monitor>Service Levels>Events>Wi-Fi Client, um Client-Konnektivität zu überprüfen und die zugewiesenen Attribute in den NAC-Events zu bestätigen.

Sie können auch auf der Seite NAC-Clients den Status der Client-Konnektivität zusammen mit dem zugewiesenen Benutzernamen, VLAN und der zugewiesenen Rolle anzeigen.

Zugehörige Dokumentation