1 功能简介 

信锐锐灵无线控制器主要是基于角色来实现的给用户设置策略的，角色是权限的集合和载体，每一个接入无线网络的用户，锐灵无线控制器可以为每个用户分配不同的角色。

在角色中，可以包含一个或多个访问控制策略，主要定义了用户可以访问网络的各种权限设定。

访问控制策略中，包含一条或多条基于服务或应用的网络访问权限规则，网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙，根据数据的源、目的IP地址和网络服务进行允许和拒绝。

服务/应用 + 方向[用户发起] + 目的地址 + 时间计划 + 动作[允许、拒绝]

接下来我们介绍常见的几种访问控制策略配置。

2 配置步骤 

2.1 禁止访客访问内网 

对于给访客提供的无线网络，一般为了保护内网安全，是会给访客设置禁止访问内网的策略，访客只需要访问外网即可。

1、点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。服务选择any表示所有服务都拒绝。

2、【目的地址】中选择私网IP组，该组中包含所有私网的网段，下面的【动作】选择拒绝，这样策略就可以实现禁止访问内网了。（注意：根据实际内网需求设置目的IP组）

注意：如果控制器上自带的私有网络IP组中不包含实际网络中的内网IP范围，需要自行添加地址范围，可以一个IP，也可以是一个IP范围，然后在访问控制策略的目的地址调用即可

3、再添加一条连接方向为用户接收的条目，如下：

最终配置后的访问控制策略条目如下：

4、【认证授权】-【用户角色】-【用户角色】新建一个禁止内网角色并且调用上面配置的策略。

5、【无线管理】-【无线网络】-点开对应的SSID，调用禁止内网角色，这样连接该无线信号的用户匹配了禁止内网角色，禁止访问内网的策略就会生效。

注意：此时可在【系统状态】-【在线用户】中将测试账号注销后，让其重新连接确保角色匹配正确后，再测试策略是否生效。

2.2 禁止内部员工访问某些应用 

一般在上班期间，为了提高员工工作效率，可以通过给无线用户设置访问控制策略禁止访问视频、购物网站等。

1. 点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择应用，禁止访问视频流媒体流量。

2. 匹配应用之后，【动作】选择拒绝，【时间计划】可表示生效的时间。此处以全天为例，可根据实际情况添加时间计划。

3. 【认证授权】-【用户角色】-【用户角色】新增一个禁止访问流媒体角色，调用刚才禁止访问视频的策略。

4. 【无线管理】-【无线网络】点开对应的SSID，调用禁止访问流媒体角色，这样连接该无线信号的用户匹配了内部员工，禁止访问视频的策略就生效。

2.3 禁止用户访问NAC的某个端口 

限制用户访问控制器/服务器的某个端口，此处以控制器的TCP 443端口为例。

1. 点击【对象定义】-【网络服务】查看现在控制器已经内置了哪些协议和端口。

2. 【对象定义】-【IP组】新增IP组，匹配控制器NAC的IP

3. 点击【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择服务，调用HTTPS服务

4. 【认证授权】-【用户角色】-【用户角色】这里新建一个禁止访问NAC443端口的角色并且调用上面配置的策略。

5. 【无线管理】-【无线网络】-点开对应的SSID，调用禁止访问NAC443端口的角色，这样连接该无线信号的用户匹配了访客角色，禁止访问控制器443端口的策略就会生效。

 注意：此时可在【系统状态】-【在线用户】中将测试账号注销后，让其重新连接确保角色匹配正确后，再测试策略是否生效。