WxLAN 액세스 정책

WxLAN 액세스 제어 정책을 만들어 네트워크의 리소스에 액세스할 수 있는 사용자와 액세스할 수 없는 사용자를 지정합니다. 사이트 또는 WLAN 템플릿에 이러한 정책을 추가하면 지정된 WLAN을 통해 연결하는 사용자에게 이러한 규칙이 적용됩니다. 사용 사례에 대한 WxLAN 액세스 정책을 생성할 수 있도록 요구 사항 및 옵션에 대해 알아보려면 이 주제를 읽어보십시오.

소개

다양한 사용 사례에 대한 액세스 정책 사용:

네트워크 세그먼트 분할
역할 기반 정책
마이크로세그먼테이션
최소 권한

정책을 시작하려면 먼저 사용자와 리소스를 그룹화하고 식별하는 레이블을 만듭니다. 정책을 만들 때 사용자가 액세스할 수 있거나 액세스할 수 없는 리소스와 사용자를 일치시킵니다. 다음 예제에서는 규칙을 설정하는 것이 얼마나 쉬운지 보여 줍니다. 여기에서 볼 수 있듯이 왼쪽에는 사용자를 정의하고 오른쪽에는 리소스를 정의합니다. 색상 코딩은 차단(빨간색) 또는 허용(녹색)된 리소스를 표시합니다.

그림 1: WxLAN 액세스 정책 Example WxLAN Access Policy

예

이 비디오를 시청하여 간단한 사용 사례를 살펴보십시오. 여기서 정책은 사용자가 네트워크의 인터넷, 프린터 및 TV에 액세스할 수 있도록 허용하지만 다른 리소스는 허용하지 않습니다.

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

정책 규칙이 처리되는 방법

WLAN 템플릿에서 액세스 정책(조직 수준 정책)을 생성하면 지정된 WLAN 중 하나를 통해 연결하는 모든 사용자가 먼저 템플릿의 정책에 대해 평가됩니다. 사용자가 이러한 규칙 중 하나라도 충족하지 않으면 사이트 수준 정책에 대해 평가됩니다.
다양한 규칙 집합은 정책에서 위에서 아래로 읽습니다.
규칙 집합의 각 규칙은 왼쪽에서 오른쪽으로 읽습니다.
정책이 적용되면 연결하는 사용자에 대해 클라이언트가 모든 사용자 레이블을 충족하는지 여부에 관계없이 첫 번째 규칙부터 읽기 시작합니다.
해당 사용자에 대해 모든 사용자 레이블이 충족되는 규칙을 찾을 때까지 각 규칙을 위에서 아래로 계속 읽습니다.
그런 다음 이 유형의 사용자에 대해 허용되거나 차단되는 리소스를 확인합니다.
각 규칙에 대해 연산자는 허용으로 설정되지만 리소스는 허용되거나 거부될 수 있습니다.
사이트 수준 정책의 맨 아래에는 모든 사용자 및 모든 리소스에 대해 설정되는 최종 기본 행이 있습니다. 차단하거나 허용할 수 있습니다. 정책 규칙에 속하지 않는 모든 사용자는 이 행에 속하며 적용된 작업에 따라 이 사용자에 대해 모든 리소스가 허용되거나 차단됩니다.
규칙이 리소스 허용으로만 구성된 경우 해당 리소스만 사용자에게 허용되고 다른 모든 리소스는 거부됩니다.
규칙이 거부 리소스로만 구성된 경우 해당 리소스만 사용자에 대해 거부되고 다른 모든 항목이 허용됩니다.
규칙이 소수의 허용 리소스와 소수의 거부 리소스로 구성된 경우 허용된 리소스만 허용되고 다른 모든 리소스는 거부됩니다.
오른쪽의 리소스는 알파벳순으로 표시되며 리소스가 겹치는 경우 가장 구체적으로 적용됩니다. 동일한 호스트에 대해 여러 레이블이 생성되고 동일한 규칙의 리소스로 적용되는 경우 ip/포트/프로토콜 레이블 유형을 사용하는 것이 좋습니다

WxLAN 정책에서 사용할 레이블 생성

선택적으로 레이블을 사용하여 WxLAN 정책 설정 프로세스를 간소화할 수 있습니다.

Juniper Mist™에서 레이블은 사용자 또는 리소스의 모음을 나타냅니다. (Mist 레이블 을 일부 다른 응용 프로그램의 태그 또는 그룹 과 비교할 수 있습니다.) 하나의 간단한 레이블을 사용하여 여러 관련 항목을 나타내면 액세스 정책을 설정할 때 각 항목을 개별적으로 지정하지 않아도 됩니다.

조직 수준 또는 사이트 수준에서 레이블을 만들 수 있습니다. 주요 차이점은 이러한 레이블을 사용하는 위치입니다. WLAN 템플릿에 대한 정책에서 조직 수준 레이블을 사용할 수 있습니다. 사이트 수준 정책에서 사이트 수준 레이블을 사용할 수 있습니다.

조직 수준 또는 사이트 수준 레이블에 대해 올바른 메뉴 옵션을 선택합니다.
- 조직 수준 레이블 - Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 무선 > 레이블을 선택합니다.
- 사이트 수준 레이블 - Juniper Mist 포털의 왼쪽 메뉴에서 사이트 > 무선 > 레이블을 선택합니다.
페이지의 오른쪽 상단 모서리에 있는 라벨 추가를 클릭합니다.
레이블 이름을 입력합니다.
레이블 유형을 선택합니다.
메모:
특정 레이블 유형은 WxLAN 정책의 사용자 또는 리소스에만 사용할 수 있습니다.
- 사용자 유형 - AAA 속성, 액세스 포인트, WiFi 클라이언트, WLAN
- 리소스 유형 - 애플리케이션, 호스트 이름, IP 주소, 포트
레이블 값을 입력합니다.
필수 필드는 선택한 레이블 유형에 따라 다릅니다.
페이지의 오른쪽 상단 모서리에 있는 만들기를 클릭합니다.
필요에 따라 다른 레이블을 만듭니다.

이제 WxLAN 정책에 대해 사용자 또는 리소스를 선택할 때 드롭다운 목록에서 레이블을 사용할 수 있습니다.

예: Bonjour 필터링을 위한 레이블 생성 및 적용

Bonjour 게이트웨이와 함께 사용자 레이블을 사용하여 WLAN 또는 사용자와 다른 VLAN에서 사용할 수 있는 Bonjour 서비스에 대한 액세스를 차단하거나 허용할 수 있습니다.

AAA 메시지 유형에 있는 access-accept 다음 RADIUS 속성은 사용자 레이블에 지원됩니다. Filter-Idaruba-user-roleAirespace-ACL-Name

Bonjour 필터링을 위한 사용자 레이블을 생성하려면,

Juniper Mist 포털에서 조직 > 관리자 > 레이블을 클릭합니다.
Add Label(레이블 추가)을 클릭합니다.
이름을 입력하고 레이블을 정의합니다.
- Label Type(레이블 유형) - AAA Attribute(AAA 속성)를 선택합니다.
- Label Values(레이블 값) - User Group(사용자 그룹)을 선택합니다.
- User Group Values(사용자 그룹 값) - 이 사용자 역할을 연결할 RADIUS 속성 값을 입력합니다.
페이지 상단에서 만들기 를 클릭합니다.
이 레이블과 연결할 클라이언트를 식별합니다.

이 애니메이션 GIF에서는 WiFi 클라이언트 페이지에서 클라이언트를 선택하고 클라이언트 속성을 편집하여 이전에 만든 레이블을 할당하는 방법을 볼 수 있습니다.

메모:

애니메이션을 재생하려면 마우스 오른쪽 버튼을 클릭하고 새 탭에서 엽니다. 새로 고침 버튼을 사용하여 필요에 따라 재생합니다.

이제 WxLAN 정책에 대해 사용자 또는 리소스를 선택할 때 드롭다운 목록에서 레이블을 사용할 수 있습니다.

사용자 액세스 정책 만들기

시작하기 전에: 조직에 대한 사용자 및 리소스 레이블이 아직 없는 경우 만들어야 합니다. 자세한 내용은 WxLAN 정책에서 사용할 레이블 생성을 참조하십시오.

WLAN 액세스 정책을 생성하려면 다음을 수행합니다.

사이트 수준 또는 템플릿 수준 정책으로 이동합니다.
- Organization-level policies(WLAN 템플릿에서) - Organization(조직)>Wireless(조직)를 선택합니다. WLAN Templates(WLAN 템플릿)를 선택한 다음 정책을 추가할 템플릿을 선택합니다. 정책 섹션까지 아래로 스크롤합니다.
- Site-level policies(사이트 수준 정책) - Site > Wireless(무선 | Policy(정책 ) - Policy(정책) 페이지를 엽니다.
Add Rule(규칙 추가)을 클릭하여 규칙 줄을 표시합니다.
사용자 열에서 추가 아이콘(+)을 클릭하고 나타나는 목록에서 사용자 또는 사용자 레이블을 선택합니다.

메모:
사용자 레이블 만들기에 대한 도움말은 을 참조하십시오.
정책 열에서 확인 표시 아이콘(✓)을 클릭한 다음 적용할 작업(허용 또는 차단)을 선택합니다.
리소스 열에서 추가 아이콘(+)을 클릭하고 목록에서 하나 이상의 사전 정의된 응용 프로그램을 선택합니다. 원하는 경우 새 리소스를 정의할 수도 있으며, 이러한 리소스는 목록 맨 위에 표시됩니다.

메모:
리소스 레이블 만들기에 대한 도움말은 을 참조하십시오.

이 예시에는 여러 규칙이 있는 정책과 여러 리소스가 있는 규칙이 표시됩니다.
정책 만들기 및 순서 지정을 마쳤으면 화면 맨 위에 있는 저장을 클릭합니다.