Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

WxLAN 访问策略

总结 创建 WxLAN 访问控制策略,以指定谁可以访问和不能访问网络上的资源。将这些策略添加到站点或 WLAN 模板后,通过指定 WLAN 进行连接的用户将受这些规则的约束。阅读本主题以了解要求和选项,以便为您的用例创建 WxLAN 访问策略。

介绍

将访问策略用于各种用例:

  • 网络分段
  • 基于角色的策略
  • 微分段
  • 最低权限

若要开始使用策略,请首先创建标签以对用户和资源进行分组和标识。创建策略时,会将用户与其可以访问或无法访问的资源相匹配。以下示例显示了设置规则的难易程度。如此处所示,您可以在左侧定义用户,在右侧定义资源。颜色编码显示哪些资源被阻止(红色)或允许(绿色)。

图 1:WXLAN 访问策略 Example WxLAN Access Policy示例

观看此视频,探索一个简单的用例。在这里,该策略允许用户访问网络上的 Internet、打印机和电视,但不允许访问其他资源。

Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.

Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.

如何处理策略规则

  • 在 WLAN 模板(组织级策略)中创建访问策略时,首先会针对模板中的策略评估通过指定 WLAN 之一进行连接的任何用户。如果用户不满足其中任何规则,则会针对该用户评估网站级策略。

  • 在策略中从上到下读取各种规则集。
  • 从左到右读取一组规则中的每个规则。
  • 如果对任何连接用户应用了任何策略,则无论该客户端是否满足所有用户标签,它都会从第一个规则开始读取。
  • 它会从上到下不断读取每个规则,直到找到满足该用户的所有用户标签的规则。
  • 然后,它会检查允许或阻止此类型的用户使用哪些资源。
  • 对于每个规则,运算符设置为允许,但可以允许或拒绝资源。
  • 在网站级策略的底部,有一个为所有用户和所有资源设置的最终默认行。它可以被阻止或允许。不属于任何策略规则的任何用户都将属于此行,并且将根据应用的操作允许或阻止此用户的所有资源。
  • 如果规则仅包含允许资源,则仅允许用户使用该资源,并拒绝其他所有内容。
  • 如果规则仅包含拒绝资源,则仅拒绝该资源对用户,并允许其他所有内容。
  • 如果规则包含很少的允许资源和很少的拒绝资源,则只允许允许的资源,而拒绝其他所有资源。
  • 右侧的资源按字母顺序显示,并在资源重叠的情况下应用最具体。如果为同一主机创建了多个标签,并在同一规则中作为资源应用,建议使用 ip/端口/协议标签类型

创建要在 WXLAN 策略中使用的标签

总结 或者,您可以使用标签来简化设置 WxLAN 策略的过程。

在瞻博网络 Mist™ 中,标签表示用户或资源的集合。(您可以将 Mist 标签 与其他应用程序中的 标记 进行比较。通过使用一个简单的标签来表示多个相关项,可以避免在设置访问策略时单独指定每个项。

您可以在组织级别或站点级别创建标签。主要区别在于使用这些标签的位置。您可以在 WLAN 模板的策略中使用组织级标签。您可以在网站级策略中使用网站级标签。

  1. 为组织级或网站级标签选择正确的菜单选项:
    • 组织级标签 — 从瞻博网络 Mist 门户的左侧菜单中,选择 组织 > 无线 > 标签

    • 站点级标签 — 从瞻博网络 Mist 门户的左侧菜单中,选择 站点 > 无线 > 标签

  2. 点击页面右上角的添加标签
  3. 输入标签名称
  4. 选择标签类型
    注意:

    某些标签类型只能用于 WxLAN 策略中的用户或资源。

    • 用户类型 - AAA 属性、接入点、WiFi 客户端、WLAN

    • 资源类型 - 应用程序、主机名、IP 地址、端口

  5. 输入标签值
    必填字段取决于所选的标签类型。
  6. 单击页面右上角的创建
  7. 根据需要创建其他标签。
现在,当您为 WxLAN 策略选择用户或资源时,您的标签将在下拉列表中可用。

示例:创建和应用用于 Bonjour 过滤的标签

您可以将用户标签与 Bonjour 网关结合使用,以阻止或允许访问与 WLAN 或用户不同的 VLAN 上提供的 Bonjour 服务。

用户标签支持以下 AAA 消息类型中 access-accept 存在的 RADIUS 属性: Filter-Idaruba-user-roleAirespace-ACL-Name

要为 Bonjour 过滤创建用户标签,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,单击 组织 > 管理员 > 标签

  2. 点击 添加标签

  3. 输入名称并定义标签:

    • 标注类型 - 选择 AAA 属性

    • 标注值 - 选择 用户组

    • 用户组值 - 输入要将此用户角色连接到的 RADIUS 属性值。

    Example: Adding a New Label with AAA Attribute

  4. 单击页面顶部的 创建

  5. 标识要与此标签关联的客户端。

    在此动画 GIF 中,您将了解如何在 WiFi 客户端页面上选择客户端并编辑客户端属性以分配您之前创建的标签。

    Animated GIF: How to Associate WiFi Clients with a Label

注意:

要重播动画,请右键单击并在新选项卡中将其打开。根据需要使用刷新按钮重播它。

现在,当您为 WxLAN 策略选择用户或资源时,您的标签将在下拉列表中可用。

创建用户访问策略

准备工作: 如果还没有组织的用户和资源标签,则需要创建它们。有关详细信息,请参阅 创建要在 WxLAN 策略中使用的标签

要创建 WLAN 访问策略:

  1. 导航到网站级或模板级策略:
    • 组织级策略(在 WLAN 模板中)—选择 组织>无线 |WLAN 模板“,然后选择要将策略添加到的模板。向下滚动到“策略”部分。

    • 站点级策略—选择 站点 > 无线 |策略 以打开“策略”页。

  2. 单击“添加规则”以显示规则行。
  3. 单击“用户”列中的添加图标 (+),然后从显示的列表中选择用户或用户标签。
    注意:

    有关创建用户标签的帮助,请参见。

  4. “策略”列中,单击复选标记图标 (),然后选择要强制执行的操作:“允许”“阻止”。
  5. 单击“资源”列中的添加图标 (+),然后从列表中选择一个或多个预定义的应用程序。如果您愿意,还可以定义新资源,这些资源将显示在列表顶部。
    注意:

    有关创建资源标签的帮助,请参见。

    在此示例中,您会看到具有多个规则的策略以及具有多个资源的规则。

  6. 完成策略的创建和排序后,单击屏幕顶部的“保存”。