WxLAN 访问策略
总结 创建 WxLAN 访问控制策略,以指定谁可以访问和不能访问网络上的资源。将这些策略添加到站点或 WLAN 模板后,通过指定 WLAN 进行连接的用户将受这些规则的约束。阅读本主题以了解要求和选项,以便为您的用例创建 WxLAN 访问策略。
介绍
将访问策略用于各种用例:
- 网络分段
- 基于角色的策略
- 微分段
- 最低权限
若要开始使用策略,请首先创建标签以对用户和资源进行分组和标识。创建策略时,会将用户与其可以访问或无法访问的资源相匹配。以下示例显示了设置规则的难易程度。如此处所示,您可以在左侧定义用户,在右侧定义资源。颜色编码显示哪些资源被阻止(红色)或允许(绿色)。
观看此视频,探索一个简单的用例。在这里,该策略允许用户访问网络上的 Internet、打印机和电视,但不允许访问其他资源。
Welcome to Mist WxLAN demo. This is about user-centric access control. Mist is about connecting devices and users to things and the Internet. In this case we'll show you my MacBook Air which has a default route of 10.2 1.1 on a network with printers and Apple TV type devices. So here's my MacBook Aire. You could see I could on the left I'm pinging the default gateway and I'm also pinging the Internet via Google. Create a label label is going to be called the Internet and what I'm going to do is define it as not our corporate network and not our guest network. So there's the corporate there's the guest and there we have a label.
Now the policy. I'm going to add a new rule and say this rule applies to guest users, in this case that's just me but could be a group of users and let's see what the network is already found. It's a couple found a couple printers so I'm going to get access to this HP printer. I'm going to get access to this Apple TV wannabe device and I'm also going to get access to you see down there there's the label for the internet. I'm going to click then not. So you'll see as this rule is applied immediately I do not have access to my default gateway as it's on my network but I could see the internet. We disabled I command I go back to having full access so let's re-enable it and this is our Guest configuration.
如何处理策略规则
-
在 WLAN 模板(组织级策略)中创建访问策略时,首先会针对模板中的策略评估通过指定 WLAN 之一进行连接的任何用户。如果用户不满足其中任何规则,则会针对该用户评估网站级策略。
- 在策略中从上到下读取各种规则集。
- 从左到右读取一组规则中的每个规则。
- 如果对任何连接用户应用了任何策略,则无论该客户端是否满足所有用户标签,它都会从第一个规则开始读取。
- 它会从上到下不断读取每个规则,直到找到满足该用户的所有用户标签的规则。
- 然后,它会检查允许或阻止此类型的用户使用哪些资源。
- 对于每个规则,运算符设置为允许,但可以允许或拒绝资源。
- 在网站级策略的底部,有一个为所有用户和所有资源设置的最终默认行。它可以被阻止或允许。不属于任何策略规则的任何用户都将属于此行,并且将根据应用的操作允许或阻止此用户的所有资源。
- 如果规则仅包含允许资源,则仅允许用户使用该资源,并拒绝其他所有内容。
- 如果规则仅包含拒绝资源,则仅拒绝该资源对用户,并允许其他所有内容。
- 如果规则包含很少的允许资源和很少的拒绝资源,则只允许允许的资源,而拒绝其他所有资源。
- 右侧的资源按字母顺序显示,并在资源重叠的情况下应用最具体。如果为同一主机创建了多个标签,并在同一规则中作为资源应用,建议使用 ip/端口/协议标签类型
创建要在 WXLAN 策略中使用的标签
总结 或者,您可以使用标签来简化设置 WxLAN 策略的过程。
在瞻博网络 Mist™ 中,标签表示用户或资源的集合。(您可以将 Mist 标签 与其他应用程序中的 标记 或 组 进行比较。通过使用一个简单的标签来表示多个相关项,可以避免在设置访问策略时单独指定每个项。
您可以在组织级别或站点级别创建标签。主要区别在于使用这些标签的位置。您可以在 WLAN 模板的策略中使用组织级标签。您可以在网站级策略中使用网站级标签。
示例:创建和应用用于 Bonjour 过滤的标签
您可以将用户标签与 Bonjour 网关结合使用,以阻止或允许访问与 WLAN 或用户不同的 VLAN 上提供的 Bonjour 服务。
用户标签支持以下 AAA 消息类型中 access-accept 存在的 RADIUS 属性: Filter-Id、 aruba-user-role和 Airespace-ACL-Name。
要为 Bonjour 过滤创建用户标签,请执行以下操作:
在瞻博网络 Mist 门户中,单击 组织 > 管理员 > 标签。
点击 添加标签。
输入名称并定义标签:
标注类型 - 选择 AAA 属性。
标注值 - 选择 用户组。
用户组值 - 输入要将此用户角色连接到的 RADIUS 属性值。
单击页面顶部的 创建 。
标识要与此标签关联的客户端。
在此动画 GIF 中,您将了解如何在 WiFi 客户端页面上选择客户端并编辑客户端属性以分配您之前创建的标签。
要重播动画,请右键单击并在新选项卡中将其打开。根据需要使用刷新按钮重播它。
现在,当您为 WxLAN 策略选择用户或资源时,您的标签将在下拉列表中可用。