Перейти к основному содержимому

How-To Guide: настройка USER management & MANAGEMENT-policy

Введение

Цель

Документ описывает настройку политики доступа к сервисам управления устройством на Wi-Fi-контроллере SNR.

Аудитория

Документ предназначен для сетевых администраторов, инженеров и технических специалистов, ответственных за настройку беспроводной сети.

Термины и определения

Management Policy — политика управления доступом к сервисам устройства, позволяющая ограничивать доступ к WEB-интерфейсу, SSH, Telnet и другим сервисам управления по IP-адресам и портам.

Обзор и важные замечания

  • Management Policy позволяет ограничивать доступ к сервисам управления устройством.
  • Политика может быть применена на уровне профиля или отдельного устройства.
  • Если Firewall Policy не настроен, правила Management Policy применяются в приоритетном порядке.
  • Если настроены правила Firewall Policy, приоритет обработки трафика определяется именно Firewall Policy.

Подготовка

Контроллер должен быть предварительно первично настроен - см. Quick Start Guide (добавить ссылку)

Настройка Management policy на контроллере точек доступа

Настройка через интерфейс командной строки

Создание IP ROUTE политики

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Создайте management политику и укажите её имя:
management policy (имя)
  1. Разрешите необходимые сервисы управления:
management policy DEFAULT
 http 80
 https 443
 ssh 22
 no telnet
 exit

  1. При необходимости ограничьте доступ по IP-адресу::

http source 192.168.100.0/24
https source 192.168.100.0/24
ssh source 192.168.100.0/24

  1. Для отключения сервиса используйте аргумент отрицания no:

no telnet

Пример настройки MANAGEMENT политики:

configure terminal

management policy DEFAULT
http 80 
http source 192.168.100.0/24 
https 443 
ssh 22 
no telnet 
exit

Применение MANAGEMENT политики

Для применения политики необходимо назначить её профилю или устройству.

На устройство или профиль может быть применена только одна Management Policy.

Если политика указана одновременно на уровне профиля и устройства, приоритет имеет политика, назначенная непосредственно устройству (override).

Применение на уровне профиля.

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Перейдите в нужный профиль:
profile (ap model) (name)
  1. Примените MANAGEMENT политику:
use management policy (имя)
  1. Для отмены применения политики используйте:
no use management policy (имя)
  1. Примените настройки и сохраните их в память:
commit write

Пример применения политики:

profile snr-ap622-i DEFAULT
 use management policy DEFAULT
 commit write

Применение политики на уровне устройства

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Перейдите в режим конфигурации нужного устройства:
device (ID устройства)
  1. Примените MANAGEMENT политику:
use management policy (имя)
  1. Для отмены применения политики используйте:
no use management policy (имя)
  1. Примените настройки и сохраните их в память:
commit write

Пример применения политики:

device ap622-i-63-41-86
 use use management policy READONLY
 commit write

Создание пользователей системы

Management Policy может использоваться совместно с локальными пользователями системы для разграничения доступа к управлению устройством.

Поддерживаются следующие роли:

  • admin — полный доступ к системе;
  • guest — доступ только для чтения (read only).

Также возможно ограничение типа доступа:

  • web — доступ только через WEB-интерфейс;
  • cli — доступ только через CLI;
  • all — доступ через WEB и CLI;
  • none — запрет доступа.

Важные замечания

  • Пользователи с ролью guest имеют доступ только для просмотра конфигурации и состояния системы.
  • Management Policy определяет доступность сервисов управления (WEB/SSH/Telnet), а права пользователя определяют уровень доступа внутри системы.
  • При использовании Firewall Policy приоритет обработки правил управления определяется Firewall Policy.

Создание пользователя через CLI

  1. Перейдите в режим создания пользователя:
system user add
  1. Укажите имя пользователя:
Username (english ) username
  1. Выберите роль пользователя:
role admin

или

role guest
  1. Настройте тип доступа:
access all
  1. Укажите пароль пользователя.
Пример создания администратора с полным доступом:
configure terminal

system user add Admin2
 role admin
 access all

Enter password:
Confirm password:

Настройка через веб-интерфейс

Создание Management-политики

  1. Подключитесь к устройству. См. Быстрый старт.

  2. Перейдите в раздел настройки Management Policy

Раздел MANAGEMENT-политики

  1. Создайте новую политику или откройте существующую для редактирования.

Добавление новой MANAGEMENT-политики

  1. Укажите имя политики и необходимые параметры доступа

Добавление имени для MANAGEMENT-политики Добавление имени для MANAGEMENT-политики

  1. Сохраните политику.

Сохранение изменений в MANAGEMENT политике

  1. Перейдите к настройкам профиля или устройства и примените созданную политику MANAGEMENT.

Применение MANAGEMENT политики на уровне Profile Применение MANAGEMENT политики на уровне Device

  1. Создайте новых пользователей системы

Добавление новых пользователей Задаём параметры новых пользователей

  1. Примените конфигурацию.

Сохранение изменений для MANAGEMENT политики и новых USERs

Справочная информация

Ссылки на документацию и полезные ресурсы:

Подключение точек доступа к контроллеру

Руководство по настройке политики AutoProvision