Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

PSKでの役割の活用(ユースケース)

PSKロールを作成し、ポリシーで活用することで、ネットワークリソースをきめ細かく制御し、PSKが侵害された場合の影響範囲を制限します。

ネットワークセグメンテーションのWxLANポリシーでPSKの役割を使用できます。たとえば、IoT デバイスを制限して、指定されたリソースにのみアクセスできるようにすることができます。たとえば、Wi-FiカメラにのみWi-Fiカメラフィードサーバーへのアクセスを許可します。

このユースケースでは、ロールを使用して、BYODデバイスにインターネットへのアクセスを許可し、プライベートネットワークへのアクセスをブロックします。

このユースケースに従うことで、エンドユーザーPSKにロールを作成する方法と、組織レベルのラベルを作成してロールとネットワークリソースを定義する方法を学びます。最後に、WxLANポリシーを作成して、BYODデバイスがアクセスできるリソースとできないリソースを指定します。クライアントが PSK を使用してネットワークにログオンすると、指定されたロールが継承され、ポリシーで許可されているリソースにのみアクセスできます。

PSK へのロールの割り当て

PSK にロールを割り当てるには、次のようにします。

  1. Juniper Mist ポータルの左側のメニューから、[ 組織 ] < [ワイヤレス] |事前共有キー

  2. 既存のエンドユーザPSKをクリックするか、[ キーの追加 ]をクリックしてPSKを作成します。

  3. [事前共有キーの作成/編集(Create/Edit Pre-Shared Key)] ウィンドウで、次の情報を入力してこの例のキーを作成します。

    • [キー名(Key Name)]:電子メール アドレスを入力します。

    • [VLAN ID]:パブリックネットワーク上の VLAN ID を入力します。

    • [ロール(Role)]: BYODと入力します。

    手記:

    詳細については、「 事前共有キーの設定と管理」を参照してください。

  4. 保存」をクリックします。

PSKの役割とリソースのラベルの作成

このユースケースでは、ロールとリソースを定義する3つのラベルを作成します。

  • BYODデバイスを定義するためのユーザーグループラベル。

  • ロールがアクセスできるリソース (インターネット) を定義するための IP アドレス ラベル。

  • ロールがアクセスできないリソース (プライベート ネットワーク) を定義するための IP アドレス ラベル。

手記:

ラベルの概要とその機能の詳細については、「」を参照してください。

PSKロールで使用するラベルを作成するには:

  1. Juniper Mist ポータルの左側のメニューから、 [Organization > Wireless |ラベル

  2. ページの右上隅にある [ラベルの追加 ] をクリックします。

  3. [新しいラベル(New Label)] ページで、次のように BYOD ラベルの情報を入力します。

    New Label for BYOD Example

    • [Label Name (ラベル名)] - BYOD と入力します。

    • [ラベル タイプ(Label Type)]: [AAA 属性(AAA Attribute)] を選択します。

    • [ラベル値] - [ユーザー グループ] を選択します。

    • [ユーザー グループ値( Value)— BYODを入力します。

  4. ページの右上隅にある [ 作成 ] をクリックします。

  5. インターネットの定義に使用するラベルを作成します。このラベルには、次の値を使用します。

    • [Label Name (ラベル名)] - internetと入力します。
    • [ラベル タイプ(Label Type)]: [IP アドレス] を選択します。
    • [ラベル値] - 「 0.0.0.0/0」と入力します。

  6. プライベート・ネットワークの定義に使用するラベルを作成します。このラベルには、次の値を使用します。

    • [Label Name]— private-networksと入力します。
    • [ラベル タイプ(Label Type)]: [IP アドレス] を選択します。
    • [ラベル値] - 「 10.10.10.0/8,172.168.0.0/12,192.168.0.0/16
      手記:

      プライベート ネットワークのRFC1918定義を使用すると、すべての内部ネットワークをカバーできます。

必要なラベルを作成し、WxLANアクセスポリシーで使用する準備が整いました。

WxLANアクセスポリシーの作成

このユースケースを完了するには、ロールとラベルを使用して、BYODロールがアクセスできるリソースを指定するポリシーを作成する必要があります。

DHCPとDNSトラフィックは自動的に許可されます。特別なルールを作成する必要はありません。さらに、WxLANルールはAPでエグレストラフィックに対してのみ適用されることを知っておくとよいでしょう。イングレス・ルールは、送信トラフィックに基づいて自動的に調整されます。

WxLANポリシーを作成するには、次の手順に従います。

  1. Juniper Mist ポータルの左側のメニューから、ルールを追加する WLAN テンプレートに移動します。

    手記:アクセスポリシーの詳細については、「 WxLANアクセスポリシー」を参照してください。

  2. 「ポリシー」セクションで、「 ルールの追加」をクリックします。

  3. 「ユーザー」列で、「追加」(+)ボタンをクリックし、「BYOD」ラベルを選択します。

  4. [ ポリシー] で、既定値の [許可] のままにします。

  5. リソース」で、次の操作を行います。

    • [追加] (+) ボタンをクリックし、 インターネット ラベルをクリックします。

    • 「追加」(+)ボタンをクリックし、「 プライベート・ネットワーク」を選択します。

      この時点で、次に示すように、すべてのリソースが許可されます。

      Sample Policy with BYOD User and Two Allowed Resources

    • プライベート ネットワークに追加したアイコンをクリックし、[拒否] をクリックします。

      Label Selection for Allow/Deny

  6. ページの右側にある省略記号ボタン (...) をクリックし、[ 有効化] をクリックします。

  7. ページの右上隅にある [ 保存 ] をクリックします。