Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Rollennutzung in einem PSK (Anwendungsfall)

Erstellen Sie PSK-Rollen und nutzen Sie diese in Richtlinien, um eine granulare Kontrolle über Netzwerkressourcen zu erhalten und den sogenannten Explosionsradius zu begrenzen, wenn ein PSK kompromittiert wird.

Sie können PSK-Rollen in einer WxLAN-Richtlinie für die Netzwerksegmentierung verwenden. Sie können z. B. IoT-Geräte so einschränken, dass sie nur auf bestimmte Ressourcen zugreifen können. Erlauben Sie z. B. nur einer WLAN-Kamera den Zugriff auf den WLAN-Kamera-Feed-Server.

In diesem Anwendungsfall verwenden Sie eine Rolle, um BYOD-Geräten den Zugriff auf das Internet zu ermöglichen, während sie den Zugriff auf Ihre privaten Netzwerke blockieren.

Wenn Sie diesem Anwendungsbeispiel folgen, erfahren Sie, wie Sie eine Rolle auf einem Endbenutzer-PSK erstellen und wie Sie Bezeichnungen auf Organisationsebene erstellen, um die Rolle und die Netzwerkressourcen zu definieren. Zum Schluss erstellen Sie eine WxLAN-Richtlinie, um festzulegen, auf welche Ressourcen die BYOD-Geräte zugreifen können oder nicht. Wenn sich ein Client mit PSK am Netzwerk anmeldet, erbt er die angegebene Rolle und kann nur auf die Ressourcen zugreifen, die durch die Richtlinie zulässig sind.

Zuweisen einer Rolle zu einem PSK

So weisen Sie einem PSK eine Rolle zu:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisation < Drahtlos | Vorinstallierte Schlüssel

  2. Klicken Sie auf einen vorhandenen Endbenutzer-PSK oder klicken Sie auf Schlüssel hinzufügen , um einen zu erstellen.

  3. Geben Sie im Fenster Pre-Shared Key erstellen/bearbeiten die folgenden Informationen ein, um den Schlüssel für dieses Beispiel zu erstellen.

    • Schlüsselname: Geben Sie eine E-Mail-Adresse ein.

    • VLAN-ID: Geben Sie eine VLAN-ID im öffentlichen Netzwerk ein.

    • Rolle: Geben Sie BYODein.

    Anmerkung:

    Weitere Informationen finden Sie unter Konfigurieren und Verwalten von vorinstallierten Schlüsseln.

  4. Klicken Sie auf Speichern.

Erstellen von Bezeichnungen für die PSK-Rolle und -Ressourcen

In diesem Anwendungsfall erstellen Sie drei Bezeichnungen, um die Rolle und die Ressourcen zu definieren:

  • Eine Benutzergruppenbezeichnung zum Definieren von BYOD-Geräten.

  • Eine IP-Adressbezeichnung zum Definieren der Ressourcen, auf die die Rolle zugreifen kann (das Internet).

  • Eine IP-Adressbezeichnung zum Definieren der Ressourcen, auf die die Rolle nicht zugreifen kann (die privaten Netzwerke).

Anmerkung:

Weitere Informationen darüber, was Labels sind und wie sie funktionieren, finden Sie unter .

So erstellen Sie Bezeichnungen für die Verwendung mit der PSK-Rolle:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisation > Drahtlos | Etiketten.

  2. Klicken Sie oben rechts auf der Seite auf Label hinzufügen .

  3. Geben Sie auf der Seite Neue Bezeichnung die Informationen für die BYOD-Bezeichnung wie folgt ein:

    New Label for BYOD Example

    • Beschriftungsname: Geben Sie BYODein.

    • Beschriftungstyp (Label Type) – Wählen Sie AAA-Attribut aus.

    • Beschriftungswerte: Wählen Sie Benutzergruppe aus.

    • Benutzergruppenwert: Geben Sie BYODein.

  4. Klicken Sie oben rechts auf der Seite auf Erstellen .

  5. Erstellen Sie eine Bezeichnung, die zum Definieren des Internets verwendet wird. Verwenden Sie für diese Bezeichnung die folgenden Werte:

    • Beschriftungsname: Geben Sie internetein.
    • Beschriftungstyp: Wählen Sie die IP-Adresse aus.
    • Beschriftungswerte: Geben Sie 0.0.0.0/0ein.

  6. Erstellen Sie eine Bezeichnung, die zum Definieren der privaten Netzwerke verwendet wird. Verwenden Sie für diese Bezeichnung die folgenden Werte:

    • Beschriftungsname: Geben Sie private-networksein.
    • Beschriftungstyp: Wählen Sie die IP-Adresse aus.
    • Beschriftungswerte: Geben Sie 10.10.10.0/8,172.168.0.0/12,192.168.0.0/16 ein
      Anmerkung:

      Wenn Sie die RFC1918 Definition für private Netzwerke verwenden, können Sie alle internen Netzwerke abdecken.

Sie haben die erforderlichen Labels angelegt und können diese in der WxLAN-Zugriffsrichtlinie verwenden.

Erstellen der WxLAN-Zugriffsrichtlinie

Um diesen Anwendungsfall abzuschließen, müssen Sie die Rolle und die Bezeichnungen verwenden, um eine Richtlinie zu erstellen, die die Ressourcen angibt, auf die die BYOD-Rolle zugreifen kann.

DHCP- und DNS-Datenverkehr wird automatisch zugelassen. Sie müssen keine spezielle Regel für sie erstellen. Außerdem ist es gut zu wissen, dass WxLAN-Regeln am AP und nur für ausgehenden Datenverkehr durchgesetzt werden. Ingress-Regeln werden automatisch auf Basis des ausgehenden Datenverkehrs angepasst.

So erstellen Sie eine WxLAN-Richtlinie:

  1. Navigieren Sie im linken Menü des Juniper Mist Portals zu der WLAN-Vorlage, in der Sie die Regel hinzufügen möchten.

    Anmerkung: Weitere Informationen zu Zugriffsrichtlinien finden Sie unter WxLAN-Zugriffsrichtlinien.

  2. Klicken Sie im Abschnitt Richtlinie auf Regel hinzufügen.

  3. Klicken Sie in der Spalte Benutzer auf die Schaltfläche Hinzufügen (+), und wählen Sie die BYOD-Bezeichnung aus.

  4. Behalten Sie unter Richtlinie die Standardeinstellung Zulassen bei.

  5. Gehen Sie unter "Ressourcen" wie folgt vor:

    • Klicken Sie auf die Schaltfläche Hinzufügen (+), und klicken Sie dann auf die Internetbezeichnung .

    • Klicken Sie auf die Schaltfläche Hinzufügen (+), und wählen Sie dann privates Netzwerk aus.

      Zu diesem Zeitpunkt sind alle Ressourcen zulässig, wie unten dargestellt.

      Sample Policy with BYOD User and Two Allowed Resources

    • Klicken Sie auf das Symbol, das Sie für private Netzwerke hinzugefügt haben, und klicken Sie dann auf Verweigern.

      Label Selection for Allow/Deny

  6. Klicken Sie rechts auf der Seite auf die Schaltfläche mit den Auslassungspunkten (...), und klicken Sie dann auf Aktivieren.

  7. Klicken Sie in der oberen rechten Ecke der Seite auf Speichern .