Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

WxLANアクセスポリシー

WxLANアクセス制御ポリシーを作成して、ネットワーク上のリソースにアクセスできるユーザーとアクセスできないユーザーを指定します。これらのポリシーをサイトまたは WLAN テンプレートに追加した後、指定された WLAN を介して接続するユーザーにこれらのルールが適用されます。このトピックでは、ユースケースに合わせてWxLANアクセスポリシーを作成できるように、要件とオプションについて学習します。

導入

さまざまなユースケースでアクセスポリシーを使用します。

  • ネットワークセグメンテーション
  • ロールベースのポリシー
  • マイクロセグメンテーション
  • 最小権限

ポリシーの使用を開始するには、まず、ユーザーとリソースをグループ化して識別するためのラベルを作成します。ポリシーを作成するときに、アクセスできるリソースとできないリソースにユーザーを照合します。次の例は、ルールの設定がいかに簡単なかを示しています。ここに示すように、左側でユーザー、右側でリソースを定義します。色分けは、どのリソースがブロックされているか(赤)または許可されているか(緑)を示します。

図1:WxLANアクセスポリシーExample WxLAN Access Policy

このビデオでは、簡単なユースケースを見てみましょう。このポリシーでは、ユーザーがネットワーク上のインターネット、プリンター、テレビにアクセスすることは許可されますが、他のリソースへのアクセスは許可されません。

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

ポリシールールの処理方法

  • WLANテンプレートでアクセスポリシー(組織レベルのポリシー)を作成すると、指定されたWLANのいずれかを介して接続するユーザーが、まずテンプレート内のポリシーについて評価されます。ユーザーがこれらのルールのいずれも満たさない場合、サイトレベルのポリシーについてユーザーが評価されます。

  • ポリシー内のさまざまなルールセットが上から下に読み取られます。
  • 一連のルールの各ルールは、左から右に読み取られます。
  • ポリシーが適用された場合、接続しているユーザーに対して、そのクライアントがすべてのユーザーラベルを満たしているかどうかは、最初のルールの読み取りを開始します。
  • すべてのユーザーラベルがそのユーザーに対して満たされるルールが見つかるまで、各ルールを上から下に読み続けます。
  • 次に、このタイプのユーザーに対して許可またはブロックされているリソースを確認します。
  • 各ルールについて、運用担当者は許可に設定されていますが、リソースを許可または拒否できます。
  • サイト レベルのポリシーの下部には、すべてのユーザーとすべてのリソースに対して設定される最後の既定の行があります。ブロックすることも許可することも可能です。どのポリシールールにも該当しないユーザーはこの行に該当し、適用された操作に基づいて、このユーザーに対してすべてのリソースが許可またはブロックされます。
  • ルールが 許可 リソースのみで構成されている場合、そのリソースのみがユーザーに許可され、それ以外はすべて拒否されます。
  • ルールが 拒否 リソースのみで構成されている場合、そのリソースのみがユーザーに対して拒否され、それ以外はすべて許可されます。
  • ルールが 許可 リソースと 拒否 リソースで構成されている場合、許可および拒否されたすべてのリソースを明示的に定義する必要があります。拒否0.0.0.0/0などのルールを追加しない限り、デフォルトの「他のすべてのトラフィックを拒否」はありません。
  • 右側のリソースはアルファベット順に表示され、リソースが重複した場合に最も具体的に適用されます。同じホストに対して複数のラベルが作成され、同じルールのリソースとして適用される場合は、IP/ポート/プロトコルラベルタイプを使用することをお勧めします

WxLANポリシーで使用するラベルを作成する

オプションで、ラベルを使用してWxLANポリシーの設定プロセスを効率化できます。

ジュニパーMist™では、ラベルはユーザーまたはリソースの集合を表します。(Mist ラベルを 他のアプリケーションの タググループ と比較することもできます。1つのシンプルなラベルを使用して複数の関連項目を表すため、アクセスポリシーを設定する際に各項目を個別に指定する必要がなくなります。

組織レベルまたはサイトレベルでラベルを作成できます。主な違いは、これらのラベルを使用する場所にあります。WLANテンプレートのポリシーで組織レベルのラベルを使用できます。サイトレベルのポリシーでサイトレベルのラベルを使用できます。

  1. 組織レベルまたはサイトレベルのラベルに正しいメニューオプションを選択します。

    • 組織レベルのラベル—ジュニパー Mistポータルの左側のメニューから、組織>無線>ラベルを選択します。

    • サイトレベルラベル—ジュニパー Mistポータルの左側のメニューから、 サイト > 無線 > ラベルを選択します。

  2. ページの右上隅にある[ラベルの追加]をクリックします。
  3. ラベル名を入力します。
  4. ラベルタイプを選択します。
    注:

    特定のラベルタイプは、WxLANポリシーのユーザーまたはリソースにのみ使用できます。

    • ユーザータイプ—AAA属性、アクセスポイント、Wi-Fiクライアント、WLAN

    • リソースタイプ—アプリケーション、ホスト名、IPアドレス、ポート
  5. ラベル値を入力します。
    必須フィールドは、選択したラベルタイプによって異なります。
  6. ページの右上隅にある作成をクリックします。
  7. 必要に応じて、他のラベルを作成します。
WxLANポリシーでユーザーまたはリソースを選択すると、ドロップダウンリストでラベルを使用できるようになります。

例:Bonjourフィルタリング用のラベルの作成と適用

ユーザーラベルをBonjourゲートウェイと組み合わせて使用することで、WLANまたはユーザーとは異なるVLANで利用可能なBonjourサービスへのアクセスを防止または許可することができます。

access-acceptAAAメッセージタイプに存在するRADIUS属性は、ユーザーラベルでサポートされています:Filter-Idaruba-user-roleAirespace-ACL-Name

Bonjourフィルタリング用のユーザーラベルを作成するには:

  1. ジュニパー Mistポータルで、組織>管理者>ラベルをクリックします。

  2. ラベルを追加をクリックします

  3. 名前を入力し、ラベルを定義します。

    • ラベルタイプAAA属性を選択します。

    • ラベル値ユーザーグループを選択します。

    • ユーザーグループ値—このユーザーロールを接続するRADIUS属性値を入力します。

    Example: Adding a New Label with AAA Attribute

  4. ページ上部にある 作成 をクリックします。

  5. このラベルに関連付けるクライアントを特定します。

    このアニメーションGIFでは、Wi-Fiクライアントページでクライアントを選択し、クライアントプロパティを編集して前に作成したラベルを割り当てる方法を説明しています。

    This image uses a flow of screenshots to demonstrate the sequence of events discussed in the current topic.

注:

アニメーションを再生するには、右クリックし、新しいタブで開きます。更新ボタンを使用して、必要に応じて再生します。

WxLANポリシーでユーザーまたはリソースを選択すると、ドロップダウンリストでラベルを使用できるようになります。

ユーザーアクセスポリシーを作成する

始める前に: 組織のユーザー ラベルとリソース ラベルがまだない場合は、作成する必要があります。詳細については、「 WxLANポリシーで使用するラベルの作成」を参照してください。

WLANアクセスポリシーを作成するには:

  1. サイトレベルまたはテンプレートレベルのポリシーに移動します。

    • 組織レベルのポリシー(WLANテンプレート内)— 組織>無線 |WLANテンプレートをクリックし、ポリシーを追加するテンプレートを選択します。ポリシーセクションまで下にスクロールします。

    • サイトレベルポリシー— サイト >無線を選択 |ポリシー をクリックしてポリシーページを開きます。

  2. ルールを追加をクリックして、ルール行を表示します。
  3. ユーザー列の追加アイコン(+)をクリックし、表示されるリストからユーザーまたはユーザーラベルを選択します。
    注:

    ユーザ ラベルの作成については、を参照してください。
  4. ポリシー列で、チェックマークアイコン()をクリックし、適用するアクションを許可またはブロックから選択します。
  5. リソース列の追加アイコン(+)をクリックし、リストから1つ以上の定義済みアプリケーションを選択します。必要に応じて、新しいリソースを定義することもできます。これらはリストの一番上に表示されます。
    注:

    リソースラベルの作成については、を参照してください。

    この例では、複数のルールを持つポリシーと、複数のリソースを持つルールが表示されます。

  6. ポリシーの作成と順序付けが完了したら、画面上部の「保存」をクリックします。