Políticas de acceso a WxLAN

Cree políticas de control de acceso WxLAN para especificar quién puede y quién no puede acceder a los recursos de su red. Después de agregar estas directivas a su sitio o plantilla WLAN, los usuarios que se conectan a través de las WLAN especificadas están sujetos a estas reglas. Lea este tema para obtener información sobre los requisitos y las opciones para poder crear directivas de acceso WxLAN para sus casos de uso.

Introducción

Use políticas de acceso para una variedad de casos de uso:

Segmentación de red
Políticas basadas en roles
Microsegmentación
Privilegio mínimo

Para comenzar con las políticas, primero debe crear etiquetas para agrupar e identificar usuarios y recursos. Cuando cree una directiva, hará coincidir a los usuarios con los recursos a los que pueden o no pueden acceder. En el siguiente ejemplo se muestra lo fácil que es configurar las reglas. Como se muestra aquí, los usuarios se definen a la izquierda y los recursos a la derecha. El código de colores muestra qué recursos están bloqueados (rojo) o permitidos (verde).

Figura 1: Ejemplo de política Example WxLAN Access Policy

de acceso WxLAN

Mire este video para explorar un caso de uso simple. Aquí, la directiva permite a un usuario acceder a Internet, una impresora y un televisor en la red, pero no a otros recursos.

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

Cómo se procesan las reglas de directiva

Cuando se crea una directiva de acceso en la plantilla de WLAN (una directiva de nivel de organización), cualquier usuario que se conecte a través de una de las WLAN especificadas se evalúa primero para las directivas de la plantilla. Si un usuario no cumple ninguna de estas reglas, se evalúa al usuario para determinar las directivas de nivel de sitio.
Los diversos conjuntos de reglas se leen de arriba a abajo en la política.
Cada regla en un conjunto de reglas se lee de izquierda a derecha.
Si se aplica alguna política, entonces para cualquier usuario que se conecte, comienza a leer desde la primera regla si ese cliente satisface todas las etiquetas de usuario o no.
Sigue leyendo cada regla de arriba a abajo hasta que encuentra una regla en la que todas las etiquetas de usuario están satisfechas para ese usuario.
A continuación, comprueba qué recursos están permitidos o bloqueados para este tipo de usuario.
Para cada regla, el operador se establece para permitir, pero los recursos se pueden permitir o denegar.
En la parte inferior de una directiva de nivel de sitio, hay una última fila predeterminada que está configurada para todos los usuarios y todos los recursos. Puede ser bloqueado o permitido. Cualquier usuario que no caiga bajo ninguna de las reglas de la política caerá bajo esta fila y todos los recursos serán permitidos o bloqueados para este usuario en función de la operación aplicada.
Si una regla consiste solo en permitir recurso, entonces solo ese recurso está permitido para el usuario y todo lo demás se denega.
Si una regla consiste solo en denegar recurso, entonces solo se deniega ese recurso para el usuario y se permite todo lo demás.
Si una regla consiste en pocos recursos de permitir y pocos de denegación, entonces solo se permiten recursos permitidos mientras se niega todo lo demás.
Los recursos en el lado derecho se muestran alfabéticamente y se aplican de manera más específica en caso de superposición de recursos. Si se crean varias etiquetas para el mismo host y se aplican como recursos en la misma regla, se sugiere utilizar el tipo de etiqueta ip/puerto/protocolo

Crear una etiqueta para usarla en una directiva WxLAN

Opcionalmente, puede utilizar etiquetas para simplificar el proceso de configuración de directivas WxLAN.

En Juniper Mist™, las etiquetas representan una colección de usuarios o recursos. (Puede comparar las etiquetas de Mist con etiquetas o grupos en otras aplicaciones). Al usar una etiqueta simple para representar varios elementos relacionados, evitará tener que especificar cada elemento individualmente al configurar una directiva de acceso.

Puede crear una etiqueta en el nivel de organización o de sitio. La principal diferencia es dónde usas estas etiquetas. Puede utilizar etiquetas de nivel de organización en las directivas de las plantillas de WLAN. Puede usar etiquetas de nivel de sitio en las directivas de nivel de sitio.

Seleccione la opción de menú correcta para las etiquetas a nivel de organización o de sitio:
- Etiqueta a nivel de organización: en el menú izquierdo del portal de Juniper Mist, seleccione Etiquetas de > inalámbrico > de la organización.
- Etiqueta a nivel de sitio: en el menú izquierdo del portal de Juniper Mist, seleccione Etiquetas de sitio > de > inalámbrica.
Haga clic en Agregar etiqueta en la esquina superior derecha de la página.
Introduzca un nombre de etiqueta.
Seleccione un tipo de etiqueta.
Nota:
Algunos tipos de etiquetas solo se pueden usar para usuarios o recursos en políticas WxLAN.
- Tipos de usuario: atributo AAA, punto de acceso, cliente WiFi, WLAN
- Tipos de recursos: aplicación, nombre de host, dirección IP, puerto
Introduzca los valores de la etiqueta.
Los campos obligatorios dependen del tipo de etiqueta seleccionado.
Haga clic en Crear en la esquina superior derecha de la página.
Cree otras etiquetas según sea necesario.

Sus etiquetas ahora estarán disponibles en la lista desplegable cuando seleccione Usuarios o Recursos para una política WxLAN.

Ejemplo: Creación y aplicación de etiquetas para el filtrado Bonjour

Puede utilizar etiquetas de usuario junto con una puerta de enlace de Bonjour para impedir o permitir el acceso a los servicios de Bonjour que están disponibles en una VLAN diferente a la WLAN o al usuario.

Los siguientes atributos RADIUS, presentes en access-accept el tipo de mensaje AAA, son compatibles con las etiquetas de usuario: Filter-Id, aruba-user-role, y Airespace-ACL-Name.

Para crear una etiqueta de usuario para el filtrado Bonjour:

En el portal de Juniper Mist, haga clic en Organización > Etiquetas de administrador >.
Haga clic en Agregar etiqueta.
Introduce un nombre y define tu etiqueta:
- Tipo de etiqueta: seleccione Atributo AAA.
- Valores de etiqueta: seleccione Grupo de usuarios.
- Valores de grupo de usuarios: introduzca el valor del atributo RADIUS al que desea conectar esta función de usuario.
Haga clic en Crear en la parte superior de la página.
Identifique los clientes que desea asociar con esta etiqueta.

En este GIF animado, verá cómo seleccionar los clientes en la página Clientes WiFi y editar las propiedades del cliente para asignar una etiqueta que creó anteriormente.

Nota:

Para reproducir la animación, haga clic con el botón derecho y ábrala en una pestaña nueva. Utilice el botón de actualización para reproducirlo según sea necesario.

Sus etiquetas ahora estarán disponibles en la lista desplegable cuando seleccione Usuarios o Recursos para una política WxLAN.

Crear una directiva de acceso de usuario

Antes de empezar: Si aún no tiene etiquetas de usuario y recursos para la organización, debe crearlas. Para obtener más información, consulte Creación de una etiqueta para usarla en una directiva WxLAN.

Para crear una política de acceso WLAN:

Vaya a las directivas de nivel de sitio o de plantilla:
- Políticas a nivel de organización (en una plantilla WLAN): seleccione Organización>Inalámbrico | Plantillas WLAN y, a continuación, seleccione la plantilla a la que desea agregar la directiva. Desplácese hacia abajo hasta la sección Política.
- Políticas a nivel de sitio—Seleccione Site > Wireless | Directiva para abrir la página Directiva.
Haga clic en Agregar regla para exponer la línea de regla.
Haga clic en el icono de agregar (+) en la columna Usuario y seleccione un usuario o una etiqueta de usuario de la lista que aparece.

Nota:
Para obtener ayuda para crear etiquetas de usuario, consulte .
En la columna Directiva, haga clic en el icono de marca de verificación (✓) y, a continuación, seleccione la acción que desea aplicar: Permitir o Bloquear.
Haga clic en el icono agregar (+) en la columna Recursos y seleccione una o más aplicaciones predefinidas de la lista. También puede definir un nuevo recurso si lo prefiere, y estos aparecerán en la parte superior de la lista.

Nota:
Para obtener ayuda para crear etiquetas de recursos, consulte .

En este ejemplo, verá una directiva con varias reglas y reglas con varios recursos.
Cuando termine de crear y ordenar la directiva, haga clic en Guardar en la parte superior de la pantalla.