如果您商業網路存在多個VLAN,可以SASE配置入網許可權,通過VLAN ID將不同使用者和裝置的入網許可權進行更細粒度的劃分,以滿足企業業務需要。本文介紹如何建立並開啟入網權限原則、關閉入網權限原則、調整策略優先順序等。
什麼情境需要配置入網權限原則
使用SASE接入企業辦公網時,會根據您配置的IP白名單來確定SASE App使用者的接入許可權。
您也可以使用VLAN ID來劃分企業裝置和使用者的入網許可權。VLAN ID是用於在區域網路(LAN)中劃分虛擬區域網路(VLAN)的標識符。如果您通過配置交換器和路由器上的VLAN ID將不同的裝置或使用者指派到不同的VLAN中,此時,您可以在SASE的入網權限原則配置您的VLAN ID,實現對企業員工訪問辦公網更細粒度的流量隔離和管控。
建立並開啟入網權限原則
進入辦公網准入頁面,在入網許可權頁簽,單擊建立權限原則。
在建立權限原則面板,配置如下資訊。
配置項
說明
策略名稱
設定入網權限原則的名稱。
描述
設定策略描述。1個漢字為3個字元長度,最多可輸入250個字元。
生效范围
設定生效範圍,可以選擇以下兩種模式:
生效员工:選擇入網權限原則生效的使用者。您可以選擇全部使用者、指定使用者組、指定裝置或指定裝置標籤。
生效啞終端:選擇待生效的啞終端裝置,支援多選。您可以選擇按類型或按名稱進行選擇。具體資訊,請參見查看終端列表。
說明啞終端(Dumb Terminal)是指一種沒有自己的計算或處理能力的終端裝置。因為啞終端上無法安裝SASE App,即無法安裝入網認證,所以需要您手動選擇入網權限原則生效的啞終端裝置的mac地址作為Network Access Control憑證。
VLAN ID
設定您交換器或路由器上劃分的VLAN ID。支援輸入範圍:1~4094。
ACL ID
設定ACL ID。
终端类型
設定支援的終端類型。僅在生效範圍選擇為生效員工時可見。支援:Windows、macOS、Android終端、iOS和HarmonyOS终端。
网络权限
可以勾選有线网络、无线网络
无线网络范围
可以選擇全部无线网或部分无线网。
自訂屬性
設定自訂屬性。可以單擊添加新增一條自訂屬性,最多支援3個。支援:Called-Station-Ids、NAS-Identifiers和NAS-IP-Addresses。
優先順序
設定策略的優先順序。有效範圍:1-100,值越小優先順序越高,值越大優先順序越低。
策略狀態
設定策略的狀態。取值:
開啟(預設):策略生效。
關閉:策略不生效,待您開啟後,策略生效。
進階設定
設定认证服务器範圍、準入網絡設備範圍。
單擊確定。
關閉入網權限原則
如果某個權限原則不需要時,您可以關閉該權限原則。關閉後,該權限原則不再生效,但是策略資訊還保留,方便您下次啟用該策略。
進入辦公網准入頁面,在入網許可權頁簽找到目標策略,單擊策略狀態列下的開關按鈕。
調整策略優先順序
進入辦公網准入頁面,在入網許可權頁簽找到目標策略,單擊優先順序列下的編輯表徵圖進行修改。優先順序的取值範圍1~100。優先順序修改後,策略原優先順序之後的策略優先順序都將相應依次遞減。
刪除入網權限原則
進入辦公網准入頁面,在入網許可權頁簽找到目標策略,單擊操作列下的刪除,將該策略資訊刪除掉。
刪除的策略資訊,SASE無法幫您恢複,請謹慎操作。