PSKでのロールの活用(ユースケース)
概要 PSKの役割を作成し、ポリシーで活用することで、ネットワークリソースをきめ細かく制御し、PSKが侵害された場合のいわゆる影響範囲を制限します。
ネットワーク セグメンテーション用の WxLAN ポリシーで PSK ロールを使用できます。たとえば、IoT デバイスを制限して、指定したリソースにのみアクセスできるようにすることができます。たとえば、Wi-Fi カメラのみが Wi-Fi カメラ フィード サーバーにアクセスできるようにします。
このユース ケースでは、ロールを使用して、BYOD デバイスがインターネットにアクセスできるようにし、プライベート ネットワークへのアクセスをブロックします。
このユースケースに従うことで、エンドユーザーPSKでロールを作成する方法と、組織レベルのラベルを作成してロールとネットワークリソースを定義する方法がわかります。最後に、WxLAN ポリシーを作成して、BYOD デバイスがアクセスできるリソースとできないリソースを指定します。クライアントが PSK を使用してネットワークにログオンすると、指定されたロールを継承し、ポリシーで許可されているリソースにのみアクセスできます。
PSK へのロールの割り当て
PSK にロールを割り当てるには:
-
Juniper Mistポータルの左側のメニューから、[ 組織 ] < [ワイヤレス |事前共有鍵
既存のエンド ユーザ PSK をクリックするか、[ キーの追加(Add Key)] をクリックして作成します。
[事前共有キーの作成/編集] ウィンドウで、次の情報を入力してこの例のキーを作成します。
キー名 - メールアドレスを入力します。
VLAN ID - パブリック ネットワークの VLAN ID を入力します。
ロール— BYODを入力します。
手記:詳細については、「 事前共有キーの構成と管理」を参照してください。
-
「 保存」をクリックします。
PSK の役割とリソースのラベルを作成する
このユース ケースでは、ロールとリソースを定義する 3 つのラベルを作成します。
-
BYODデバイスを定義するためのユーザーグループラベル。
-
ロールがアクセスできるリソース (インターネット) を定義する IP アドレス ラベル。
-
ロールがアクセスできないリソース (プライベート ネットワーク) を定義する IP アドレス ラベル。
ラベルの概要と機能の詳細については、を参照してください。
PSK ロールで使用するラベルを作成するには、次の手順に従います。
-
Juniper Mistポータルの左側のメニューから、[ 組織 ] > [ワイヤレス |ラベル。
ページの右上隅にある [ ラベルの追加 ] をクリックします。
[新しいラベル] ページで、BYOD ラベルの情報を次のように入力します。
ラベル名 - BYODを入力します。
ラベル タイプ - [AAA 属性] を選択します。
ラベル値 - [ユーザー グループ] を選択します。
ユーザ グループ値: BYOD を入力します。
-
ページの右上隅にある [ 作成 ] をクリックします。
インターネットの定義に使用するラベルを作成します。このラベルには、次の値を使用します。
- ラベル名 - 「 internet」と入力します。
- ラベル タイプ: IP アドレスを選択します。
- [ラベル値] - 「 0.0.0.0/0」と入力します。
プライベート ネットワークの定義に使用するラベルを作成します。このラベルには、次の値を使用します。
- ラベル名 - 「 private-networks」と入力します。
- ラベル タイプ: IP アドレスを選択します。
- ラベル値 - 10.10.10.0/8,172.168.0.0/12,192.168.0.0/16を入力します
手記:
プライベート ネットワークに RFC1918 定義を使用すると、すべての内部ネットワークをカバーできます。
必要なラベルを作成し、WxLANアクセスポリシーで使用する準備ができました。
WxLANアクセスポリシーの作成
このユース ケースを完了するには、ロールとラベルを使用して、BYOD ロールがアクセスできるリソースを指定するポリシーを作成する必要があります。
DHCP および DNS トラフィックは自動的に許可されます。それらのために特別なルールを作成する必要はありません。さらに、WxLANルールがAPで、エグレストラフィックに対してのみ適用されることを知っておくとよいでしょう。イングレスルールは、送信トラフィックに基づいて自動的に調整されます。
WxLANポリシーを作成するには:
-
Juniper Mistポータルの左側のメニューから、ルールを追加するWLANテンプレートに移動します。
手記:アクセスポリシーの詳細については、 WxLANアクセスポリシーを参照してください。 [ポリシー] セクションで、[ ルールの追加] をクリックします。
-
「ユーザー」列で、「追加」(+)ボタンをクリックし、「BYOD」ラベルを選択します。
[ ポリシー] で、既定の [許可] のままにします。
[リソース] で、次の操作を行います。
追加(+)ボタンをクリックし、 インターネット ラベルをクリックします。
「追加」(+)ボタンをクリックし、「 プライベートネットワーク」を選択します。
この時点で、次に示すように、すべてのリソースが許可されます。
プライベート ネットワーク用に追加したアイコンをクリックし、[拒否] をクリックします。
ページの右側にある省略記号ボタン ([...]) をクリックし、[ 有効にする] をクリックします。
ページの右上隅にある [ 保存 ] をクリックします。