Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

WxLANアクセスポリシー

WxLANのアクセス制御ポリシーを作成して、ネットワーク上のリソースにアクセスできるユーザーとできないユーザーを指定します。これらのポリシーをサイトまたは WLAN テンプレートに追加すると、指定した WLAN を介して接続するユーザーはこれらのルールの対象となります。このトピックでは、ユースケースに合わせてWxLANアクセスポリシーを作成するための要件とオプションについて説明します。

紹介

さまざまなユースケースでアクセスポリシーを使用します。

  • ネットワークのセグメント化
  • ロールベースのポリシー
  • マイクロセグメンテーション
  • 最小特権

ポリシーの使用を開始するには、まずラベルを作成して、ユーザーとリソースをグループ化して識別します。ポリシーを作成するときは、ユーザーがアクセスできるリソースとアクセスできないリソースを照合します。次の例は、ルールの設定がいかに簡単かを示しています。ここに示すように、左側でユーザーを定義し、右側でリソースを定義します。どのリソースがブロックされているか (赤) または許可されているか (緑) が色分けされています。

図1:WxLANアクセスポリシーExample WxLAN Access Policyの例

このビデオでは、簡単な使用例を紹介しています。このポリシーでは、ユーザーがネットワーク上のインターネット、プリンター、およびテレビにアクセスすることは許可されますが、その他のリソースへのアクセスは許可されません。

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

ポリシー ルールの処理方法

  • WLAN テンプレートでアクセス ポリシー(組織レベルのポリシー)を作成すると、指定された WLAN の 1 つを介して接続するすべてのユーザが最初に、テンプレート内のポリシーについて評価されます。ユーザーがこれらのルールのいずれも満たさない場合、ユーザーはサイトレベルのポリシーで評価されます。

  • さまざまなルールのセットは、ポリシーの上から下に読み取られます。
  • 一連のルール内の各ルールは、左から右に読み取られます。
  • 接続しているユーザーにポリシーが適用されると、そのクライアントがすべてのユーザーラベルを満たしているかどうかを、最初のルールから読み取りを開始します。
  • すべてのユーザーラベルが満たされるルールが見つかるまで、各ルールを上から下へ読み取り続けます。
  • 次に、このタイプのユーザーに対して許可またはブロックされているリソースを確認します。
  • ルールごとに、演算子は許可に設定されますが、リソースは許可または拒否できます。
  • サイト レベルのポリシーの下部には、すべてのユーザーとすべてのリソースに対して設定される最後の既定の行があります。これは、ブロックまたは許可のいずれかです。ポリシー ルールのいずれにも該当しないユーザーはこの行に該当し、適用された操作に基づいて、このユーザーに対してすべてのリソースが許可またはブロックされます。
  • ルールがリソースの 許可 のみで構成されている場合、そのリソースのみがユーザーに許可され、それ以外はすべて拒否されます。
  • ルールが 拒否 リソースのみで構成されている場合、そのリソースのみがユーザーに対して拒否され、それ以外はすべて許可されます。
  • ルールが 許可 リソースと 拒否 リソースで構成されている場合は、許可されたリソースと拒否されたすべてのリソースを明示的に定義する必要があります。deny 0.0.0.0/0 などのルールを追加しない限り、既定の "他のすべてのトラフィックを拒否する" はありません。
  • 右側のリソースはアルファベット順に表示され、リソースが重複している場合に最も具体的に適用されます。同じホストに複数のラベルを作成し、同じルールのリソースとして適用する場合は、ip/port/protocol ラベルタイプを使用することをお勧めします

WxLANポリシーで使用するラベルを作成する

オプションで、ラベルを使用してWxLANポリシーの設定プロセスを効率化できます。

Juniper Mist™では、ラベルはユーザーまたはリソースのコレクションを表します。(ラベルMist他のアプリケーションのタググループと比較することができます。1 つの単純なラベルを使用して複数の関連項目を表すことで、アクセス ポリシーを設定するときに各項目を個別に指定する必要がなくなります。

ラベルは、組織レベルまたはサイトレベルで作成できます。主な違いは、これらのラベルをどこで使用するかです。WLAN テンプレートのポリシーで組織レベルのラベルを使用できます。サイトレベルのポリシーでは、サイトレベルのラベルを使用できます。

  1. 組織レベルまたはサイトレベルのラベルに適したメニューオプションを選択します。

    • 組織レベルのラベル—Juniper Mist ポータルの左側のメニューから、[ 組織 ] > [Wireless > Labels] を選択します。

    • サイトレベル ラベル—Juniper Mist ポータルの左側のメニューから、[ サイト > 無線 > ラベル] を選択します。

  2. ページの右上隅にある [ラベルを追加] をクリックします。
  3. ラベル名を入力します。
  4. [ラベル タイプ] を選択します。
    手記:

    特定のラベルタイプは、WxLANポリシーのユーザーまたはリソースにのみ使用できます。

    • ユーザ タイプ:AAA 属性、アクセス ポイント、Wi-Fi クライアント、WLAN

    • リソースタイプ:アプリケーション、ホスト名、IP アドレス、ポート
  5. ラベル値を入力します。
    必須フィールドは、選択した [ラベル タイプ] によって異なります。
  6. ページの右上隅にある [作成] をクリックします。
  7. 必要に応じて、他のラベルを作成します。
これで、WxLANポリシーの[ユーザー]または[リソース]を選択しているときに、ドロップダウンリストでラベルが使用可能になります。

例:Bonjour フィルタリングのラベルの作成と適用

ユーザ ラベルを Bonjour ゲートウェイと組み合わせて使用すると、WLAN またはユーザとは異なる VLAN で使用可能な Bonjour サービスへのアクセスを禁止または許可できます。

AAAメッセージタイプに存在する次のRADIUS属性は、 access-accept ユーザーラベルでサポートされています: Filter-Idaruba-user-role、および Airespace-ACL-Name

Bonjour フィルタリングのユーザーラベルを作成するには:

  1. Juniper Mist ポータルで、[ Organization > Admin > Labels] をクリックします。

  2. [ ラベルの追加] をクリックします。

  3. 名前を入力し、ラベルを定義します。

    • [ラベル タイプ(Label Type)]: [AAA 属性(AAA Attribute)] を選択します。

    • [ラベル値] - [ユーザー グループ] を選択します。

    • [ユーザー グループ値( Values)]:このユーザ ロールを接続する RADIUS 属性値を入力します。

    Example: Adding a New Label with AAA Attribute

  4. ページ上部の [ 作成 ] をクリックします。

  5. このラベルに関連付けるクライアントを識別します。

    このアニメーション GIF では、[WiFi クライアント] ページでクライアントを選択し、クライアント プロパティを編集して、以前に作成したラベルを割り当てる方法がわかります。

    This image uses a flow of screenshots to demonstrate the sequence of events discussed in the current topic.

手記:

アニメーションを再生するには、右クリックして新しいタブで開きます。更新ボタンを使用して、必要に応じて再生します。

これで、WxLANポリシーの[ユーザー]または[リソース]を選択しているときに、ドロップダウンリストでラベルが使用可能になります。

ユーザー・アクセス・ポリシーの作成

開始する前に、以下を実行します。 組織のユーザー ラベルとリソース ラベルがまだない場合は、作成する必要があります。詳細については、 WxLANポリシーで使用するラベルを作成するを参照してください。

WLAN アクセス ポリシーを作成するには、次の手順に従います。

  1. サイトレベルまたはテンプレートレベルのポリシーに移動します。

    • 組織レベルのポリシー(WLAN テンプレート内)—[ Organization>Wireless |[WLAN テンプレート] をクリックし、ポリシーを追加するテンプレートを選択します。[ポリシー] セクションまで下にスクロールします。

    • サイトレベルのポリシー - [Site > Wireless |[ポリシー ] をクリックして [ポリシー] ページを開きます。

  2. [ルールの追加(Add Rule)] をクリックして、ルール行を表示します。
  3. 「ユーザー」列の追加アイコン(+)をクリックし、表示されるリストからユーザーまたはユーザー・ラベルを選択します。
    手記:

    ユーザ・ラベルの作成方法については、「」を参照してください。
  4. [ポリシー] 列で、チェック マーク アイコン () をクリックし、適用するアクションを [許可] または [ブロック] から選択します。
  5. リソース」列の追加アイコン(+)をクリックし、リストから1つ以上の事前定義アプリケーションを選択します。必要に応じて新しいリソースを定義することもでき、これらはリストの一番上に表示されます。
    手記:

    リソース・ラベルの作成方法については、を参照してください。

    この例では、複数のルールを持つポリシーと、複数のリソースを持つルールが表示されます。

  6. ポリシーの作成と順序付けが完了したら、画面上部の [保存] をクリックします。