# LAN

## Conceptos básicos

1. Para crear una regla de LAN, agrega una **elemento** en la **colección de reglas** rama y seleccione **Regla de LAN.** 
2. Dale a la regla un **Nombre** que explique para qué se utiliza la regla. Además, un nombre descriptivo te ayudará a identificar fácilmente más adelante en tus registros las solicitudes de autenticación procesadas por esta regla.
3. No olvides **habilitar** ¡la regla!

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FUOUphTbSTuuLth3qbJPY%2Fimage.png?alt=media&#x26;token=2db549d8-e8c2-478f-aed2-5359dee73cdf" alt=""><figcaption></figcaption></figure>

## **Autenticación**&#x20;

En la **Autenticación** rama, tu primera opción es si quieres permitir o denegar **basada en certificado** o **basada en nombre de usuario/contraseña** la autenticación para esta regla.

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FJIHnZ7xbdp7PokWFvhmC%2Fimage.png?alt=media&#x26;token=e3880e99-3190-4526-b5b6-8a1c322c6493" alt=""><figcaption><p>Mostrando autenticación LAN</p></figcaption></figure>

### **Autenticación basada en certificado**

Para la autenticación basada en certificado tienes las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes.

#### Permitir solo CA específicas (CA de confianza)

Esto te permite limitar las solicitudes de autenticación entrantes a raíces de confianza específicas o a CA emisoras. Esas CA pueden ser un subconjunto de todas las raíces de confianza que has configurado en la plataforma RADIUSaaS.

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fc184Hbgpc7A4pXwVijBu%2Fimage.png?alt=media&#x26;token=ef578c60-f94d-45de-b8ae-abb4d0a8c860" alt=""><figcaption><p>Mostrando filtrado de CA raíz de confianza</p></figcaption></figure>

#### Filtrar por ID de Intune&#x20;

Esta es una configuración histórica. Si tus clientes se autentican con certificados que recibieron durante el AAD-Join, quieres filtrar por tu ID de inquilino de Intune.&#x20;

En caso de que hayas introducido tus ID de inquilino como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/trusted-roots#intune-id), el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID **1.2.840.113556.5.14** y un valor incluido en la lista de permitidos para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tienes la opción de restringir aún más el acceso a ID de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto te permite tener una configuración de varias implementaciones, en la que algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.&#x20;

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FrCV0pP2IQokPNWmoC7uf%2Fimage.png?alt=media&#x26;token=72ba2cba-a6be-4612-b9e5-cc0ba292927d" alt=""><figcaption><p>Mostrando filtrado por ID de Intune</p></figcaption></figure>

### Autenticación basada en nombre de usuario/contraseña

Después de habilitar **basada en nombre de usuario/contraseña** la autenticación, puedes aplicar un filtrado adicional configurando una expresión regular en el **Nombre de usuario**. El valor predeterminado es todos los nombres de usuario.

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FM3HNz7JIAE9cyljyKe6J%2Fimage.png?alt=media&#x26;token=3fe45cc1-a4cd-44b0-9dd7-f4c715f64211" alt=""><figcaption><p>Mostrando autenticación basada en nombre de usuario / contraseña</p></figcaption></figure>

## Configuración

En la **Configuración** aquí puedes configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN.

### Filtro de switch

{% hint style="info" %}
Este filtro de dirección MAC te permite permitir específicos **conmutadores** para comunicarse con RADIUSaaS. **¡Este no es un filtro de dirección MAC para endpoints!**
{% endhint %}

Para establecer un **basado en dirección MAC** filtro de switch, selecciona ya sea **Direcciones** o **grupos**.&#x20;

* Si seleccionas **Direcciones**, puedes especificar varias direcciones MAC de switc&#x68;**.**&#x20;
* Si seleccionas **Grupos,** puedes hacer referencia a uno o más de tus **Grupos de direcciones MAC**.&#x20;

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FuFN1nqVZ9KsHylsfaENq%2Fimage.png?alt=media&#x26;token=6100905d-d909-434c-9ac9-e8ed295a3a5a" alt=""><figcaption><p>Mostrando filtrado de direcciones MAC</p></figcaption></figure>

Se admiten las siguientes notaciones para las direcciones MAC:

* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx

### Asignación de VLAN

{% hint style="info" %}
En caso de que necesites atributos de retorno de VLAN específicos del proveedor, puedes administrarlos [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/general-structure#vlan-attributes).
{% endhint %}

El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de LAN virtual. Las siguientes opciones están disponibles:

#### Estático

* Especifica estáticamente el ID de VLAN que debe asignarse según la regla relacionada

#### Por extensión de certificado

{% hint style="info" %}
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el [nombre del asunto del certificado](#by-certificate-subject-name) del certificado en su lugar para añadir una asignación de VLAN.
{% endhint %}

* Selecciona una de las extensiones de certificado que has creado
* El filtro se configura para coincidir con el valor de tu extensión especificada (OID)
* Los comodines se traducirán a .\* Regex

#### Por propiedad del nombre del asunto del certificado

También puedes asignar IDs de VLAN según propiedades en el Subject Name de tu certificado. Por ejemplo, si quisieras asignar la VLAN 15 en tus reglas y estás usando Intune para definir e implementar tu perfil SCEP, deberás configurar el **Formato del nombre del sujeto** en tu perfil SCEP, como `CN={{DeviceId}},`**`OU=vlan-15`**

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fsh5zSDL1dCVenDgS8cdq%2Fimage.png?alt=media&#x26;token=2dac4a32-6616-4f8c-8169-29c095cae282" alt=""><figcaption><p>Mostrando la configuración del ID de VLAN en el certificado de dispositivo SCEP</p></figcaption></figure>

Una vez que el perfil esté implementado, vuelve a **RADIUSaaS** > **Regla** y especifica en qué propiedad se almacena el ID de VLAN y configura la cadena con la que se antepone el ID de VLAN. p. ej. `vlan-`

{% hint style="info" %}
No es necesario que el ID de VLAN tenga un prefijo. Sin embargo, puede ser útil en caso de que tu Subject Name contenga el mismo atributo más de una vez (p. ej., varios CN son bastante comunes).
{% endhint %}

Como ejemplo, la siguiente regla asignará el ID de VLAN 15 según el `Subject Name` atributo `OU` con el prefijo `vlan-`

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F5aDliFWCsqDh2dd9wXkr%2Fimage.png?alt=media&#x26;token=a9cd28b9-36dc-4fad-99b8-d55244bc66f8" alt=""><figcaption><p>Mostrando filtrado de VLAN</p></figcaption></figure>

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/BkaDrlChuy8gxYtQFwnJ/image.png)

### Atributos RADIUS adicionales

{% hint style="info" %}
En caso de que necesites atributos de devolución que no estén disponibles de forma predeterminada, añádelos [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/general-structure#radius-attributes).
{% endhint %}

El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Las siguientes opciones están disponibles:

#### Estático

Especifica de forma estática el o los atributos de devolución y sus valores, que deben asignarse en función de la regla relacionada.

#### Por extensión de certificado

{% hint style="info" %}
Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF.

Por ello, recomendamos usar el [nombre del asunto del certificado](#by-certificate-subject) del certificado en su lugar para añadir una asignación de VLAN.
{% endhint %}

* Selecciona una de las extensiones de certificado que has creado
* El filtro se establece para que el valor del atributo de devolución especificado coincida con tu extensión (OID) especificada
* Los comodines se traducirán a .\* Regex

#### Por propiedad del nombre del asunto del certificado

* También puedes devolver atributos RADIUS adicionales basados en propiedades del nombre del asunto de tu certificado
* Para ello, especifica en qué propiedad se almacena el valor del atributo de devolución
* Luego, configura con qué cadena debe tener como prefijo el valor del atributo de devolución
* El valor proporcionado en la propiedad del nombre del asunto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu nombre del asunto contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).