Políticas de acceso a WxLAN

Cree políticas de control de acceso WxLAN para especificar quién puede y quién no puede acceder a los recursos de su red. Después de agregar estas políticas a su sitio o plantilla de WLAN, los usuarios que se conecten a través de las WLAN especificadas están sujetos a estas reglas. Lea este tema para obtener información sobre los requisitos y las opciones necesarios para poder crear políticas de acceso WxLAN para sus casos de uso.

Introducción

Use políticas de acceso para una variedad de casos de uso:

Segmentación de red
Políticas basadas en roles
Microsegmentación
Privilegio mínimo

Para empezar a trabajar con las políticas, primero creará etiquetas para agrupar e identificar a los usuarios y recursos. Al crear una política, hará coincidir a los usuarios con los recursos a los que pueden o no acceder. El siguiente ejemplo muestra lo fácil que es configurar sus reglas. Como se muestra aquí, los usuarios se definen a la izquierda y los recursos a la derecha. El código de colores muestra qué recursos están bloqueados (rojo) o permitidos (verde).

Figura 1: Ejemplo de política Example WxLAN Access Policy

de acceso WxLAN

Vea este video para explorar un caso de uso sencillo. En este caso, la política permite a un usuario acceder a Internet, a una impresora y a un televisor en la red, pero no a otros recursos.

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

Cómo se procesan las reglas de políticas

Cuando se crea una política de acceso en su plantilla de WLAN (una política a nivel de organización), cualquier usuario que se conecte a través de una de las WLAN especificadas se evalúa primero para las políticas de la plantilla. Si un usuario no cumple alguna de estas reglas, se evalúa el usuario para las políticas a nivel de sitio.
Los distintos conjuntos de reglas se leen de arriba a abajo en la política.
Cada regla de un conjunto de reglas se lee de izquierda a derecha.
Si se aplica alguna política, para cualquier usuario conectado, comienza a leer desde la primera regla si ese cliente satisface todas las etiquetas de usuario o no.
Sigue leyendo cada regla de arriba a abajo hasta que encuentra una regla en la que todas las etiquetas de usuario están satisfechas para ese usuario.
Luego verifica qué recursos están permitidos o bloqueados para este tipo de usuario.
Para cada regla, el operador se establece en permitir, pero los recursos se pueden permitir o denegar.
En la parte inferior de una política a nivel de sitio, hay una fila predeterminada final que está configurada para todos los usuarios y todos los recursos. Puede bloquearse o permitirse. Cualquier usuario que no esté sujeto a ninguna de las reglas de la política caerá en esta fila y se permitirán o bloquearán todos los recursos para este usuario en función de la operación aplicada.
Si una regla consiste en permitir solo recursos, entonces solo se permite ese recurso para el usuario y todo lo demás se deniega.
Si una regla consta solo de denegar recursos, solo se deniega ese recurso para el usuario y se permite todo lo demás.
Si una regla consta de recursos permitidos y denegados , debe definir explícitamente todos los recursos permitidos y denegados. No existe una opción predeterminada de "denegar el resto del tráfico" a menos que agregue una regla como denegar 0.0.0.0/0.
Los recursos en el lado derecho se muestran alfabéticamente y se aplican de manera más específica en caso de superposición de recursos. Si se crean varias etiquetas para el mismo host y se aplican como recursos en la misma regla, se sugiere utilizar el tipo de etiqueta ip/puerto/protocolo

Crear una etiqueta para usarla en una política WxLAN

Opcionalmente, puede usar etiquetas para agilizar el proceso de configuración de políticas WxLAN.

En Juniper Mist™, las etiquetas representan una colección de usuarios o recursos. (Puede comparar las etiquetas de Mist con etiquetas o grupos en otras aplicaciones). Al usar una etiqueta simple para representar varios elementos relacionados, evita tener que especificar cada elemento individualmente al configurar una directiva de acceso.

Puede crear una etiqueta a nivel de organización o de sitio. La principal diferencia es dónde se usan estas etiquetas. Puede usar etiquetas a nivel de organización en las políticas para plantillas WLAN. Puede usar etiquetas a nivel de sitio en políticas a nivel de sitio.

Seleccione la opción de menú correcta para las etiquetas a nivel de organización o de sitio:
- Etiqueta de nivel de organización: en el menú de la izquierda del portal de Mist de Juniper, seleccione Organización > Etiquetas de > inalámbricas.
- Etiqueta a nivel del sitio: en el menú izquierdo del portal de Mist de Juniper, seleccione Etiquetas de > de sitio > inalámbrico.
Haga clic en Agregar etiqueta en la esquina superior derecha de la página.
Introduzca un nombre de etiqueta.
Seleccione un tipo de etiqueta.
Nota:
Ciertos tipos de etiquetas solo se pueden usar para usuarios o recursos en políticas WxLAN.
- Tipos de usuario: atributo AAA, punto de acceso, cliente Wi-Fi, WLAN
- Tipos de recursos: aplicación, nombre de host, dirección IP, puerto
Introduzca los valores de etiqueta.
Los campos obligatorios dependen del tipo de etiqueta seleccionado.
Haga clic en Crear en la esquina superior derecha de la página.
Cree otras etiquetas según sea necesario.

Las etiquetas ahora estarán disponibles en la lista desplegable cuando seleccione Usuarios o Recursos para una política WxLAN.

Ejemplo: Creación y aplicación de etiquetas para el filtrado Bonjour

Puede usar etiquetas de usuario junto con una puerta de enlace Bonjour para impedir o permitir el acceso a los servicios Bonjour que están disponibles en una VLAN distinta a la de la WLAN o del usuario.

Los siguientes atributos RADIUS, presentes en access-accept el tipo de mensaje AAA, son compatibles con las etiquetas de usuario: Filter-Id, aruba-user-role, y Airespace-ACL-Name.

Para crear una etiqueta de usuario para el filtrado de Bonjour:

En el portal de Mist Juniper, haga clic en Etiquetas de > de administración > de la organización.
Haga clic en Agregar etiqueta.
Ingrese un nombre y defina su etiqueta:
- Tipo de etiqueta: seleccione el atributo AAA.
- Valores de etiqueta: seleccione Grupo de usuarios.
- Valores de grupo de usuarios: introduzca el valor del atributo RADIUS al que desea conectar este rol de usuario.
Haga clic en Crear en la parte superior de la página.
Identifique los clientes a asociar con esta etiqueta.

En este GIF animado, puede ver cómo seleccionar los clientes en la página Clientes de Wi-Fi y editar las propiedades del cliente para asignar una etiqueta que creó anteriormente.

Nota:

Para reproducir la animación, haga clic con el botón derecho y ábrala en una pestaña nueva. Use el botón de actualización para reproducirlo según sea necesario.

Las etiquetas ahora estarán disponibles en la lista desplegable cuando seleccione Usuarios o Recursos para una política WxLAN.

Crear una política de acceso de usuario

Antes de empezar: Si aún no tiene etiquetas de usuario y recursos para la organización, debe crearlas. Para obtener más información, consulte Creación de una etiqueta para utilizarla en una política WxLAN.

Para crear una política de acceso WLAN:

Vaya a las políticas a nivel de sitio o de plantilla:
- Políticas a nivel de organización (en una plantilla de WLAN): seleccione Organización>Inalámbrica | Plantillas WLAN y, luego, seleccione la plantilla a la que desea agregar la política. Desplácese hacia abajo hasta la sección Política.
- Políticas a nivel del sitio: seleccione el sitio > inalámbrico | Política para abrir la página Directiva.
Haga clic en Agregar regla para exponer la línea de regla.
Haga clic en el icono de agregar (+) en la columna Usuario y seleccione un usuario o una etiqueta de usuario de la lista que aparece.

Nota:
Para obtener ayuda con la creación de etiquetas de usuario, consulte .
En la columna Política, haga clic en el icono de marca de verificación (✓) y, a continuación, seleccione la acción que desea aplicar: Permitir o Bloquear.
Haga clic en el icono de agregar (+) en la columna Recursos y seleccione una o varias aplicaciones predefinidas de la lista. También puede definir un nuevo recurso si lo prefiere, y estos aparecerán en la parte superior de la lista.

Nota:
Para obtener ayuda con la creación de etiquetas de recursos, consulte .

En este ejemplo, verá una política con varias reglas y reglas con varios recursos.
Cuando termine de crear y ordenar la política, haga clic en Guardar en la parte superior de la pantalla.