# LAN ## Conceptos básicos 1. Para crear una regla LAN, agregue un **elemento** debajo del **colección de reglas** hive y seleccione **Regla LAN.** 2. Asigne a la regla un **Nombre** que explique para qué se usa la regla. Además, un nombre descriptivo le ayudará a identificar fácilmente más adelante en sus registros las solicitudes de autenticación procesadas por esta regla. 3. No olvide **habilitar** ¡la regla!

## **Autenticación** Debajo del **Autenticación** hive, su primera opción es si desea permitir o denegar **basada en certificado** o **basada en nombre de usuario/contraseña** la autenticación para esta regla.

### **Autenticación basada en certificado** Para la autenticación basada en certificado tiene las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes. #### Permitir solo CAs específicas (CAs de confianza) Esto le permite limitar las solicitudes de autenticación entrantes a CAs raíz o emisoras de confianza específicas. Esas CAs pueden ser un subconjunto de todas las raíces de confianza que ha configurado en la plataforma RADIUSaaS.

Mostrando filtrado de CA raíz de confianza

#### Filtrar por IDs de Intune Este es un ajuste histórico. Si sus clientes se autentican con certificados que recibieron durante el AAD-Join, desea filtrar por su Tenant ID de Intune. En caso de que haya introducido sus Tenant IDs como se describe [aquí](/es/portal-de-administracion/settings/trusted-roots.md#intune-id), el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID **1.2.840.113556.5.14** y un valor en la lista blanca para el Tenant ID obtendrán acceso a la red. Con el motor de reglas, ahora tiene la opción de restringir aún más el acceso a IDs de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto le permite tener una configuración de múltiples implementaciones, donde algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.

### Autenticación basada en nombre de usuario/contraseña Después de habilitar **basada en nombre de usuario/contraseña** la autenticación, puede aplicar un filtrado adicional configurando una expresión regular en el **Nombre de usuario**. El valor predeterminado es todos los nombres de usuario.

Mostrando autenticación basada en nombre de usuario/contraseña

## Configuración Debajo del **Configuración** hive puede configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como asignar IDs de VLAN. ### Filtro de switch {% hint style="info" %} Este filtro de dirección MAC le permite permitir que determinados **switches** se comuniquen con RADIUSaaS. **¡Este no es un filtro de dirección MAC para endpoints!** {% endhint %} Para establecer un filtro de switch **basado en dirección MAC** , seleccione ya sea **Direcciones** o **Grupos**. * Si selecciona **Direcciones**, puede especificar varias direcciones MAC de switch**.** * Si selecciona **Grupos,** puede hacer referencia a uno o más de sus **Grupos de direcciones MAC**.

Se admiten las siguientes notaciones para las direcciones MAC: * xx-xx-xx-xx-xx-xx * xx:xx:xx:xx:xx:xx * xxxxxxxxxxxx ### Asignación de VLAN {% hint style="info" %} En caso de que necesite atributos de retorno de VLAN específicos del proveedor, puede gestionarlos [aquí](/es/portal-de-administracion/settings/rules/general-structure.md#vlan-attributes). {% endhint %} El motor de reglas de RADIUSaaS ofrece varias formas de asignar IDs de Virtual-LAN. Están disponibles las siguientes opciones: #### Estático * Especifique estáticamente el ID de VLAN que debe asignarse según la regla relacionada #### Por extensión de certificado {% hint style="info" %} Actualmente no se admite añadir extensiones de certificado personalizadas a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF. Por ello, recomendamos usar el [Subject Name del certificado](#by-certificate-subject-name) en su lugar para añadir una asignación de VLAN. {% endhint %} * Seleccione una de sus extensiones de certificado creadas * El filtro está configurado para hacer coincidir el valor con la extensión (OID) especificada * Los comodines se traducirán a .\* Regex #### Por propiedad del Subject Name del certificado También puede asignar IDs de VLAN basándose en propiedades del Subject Name de su certificado. Por ejemplo, si quisiera asignar la VLAN 15 en sus reglas y está usando Intune para definir e implementar su perfil SCEP, deberá configurar el **formato del nombre del sujeto** en su perfil SCEP, como `CN={{DeviceId}},`**`OU=vlan-15`**

Mostrando la configuración del ID de VLAN en el certificado de dispositivo SCEP

Una vez que el perfil se haya implementado, vuelva a **RADIUSaaS** > **Reglas** y especifique en qué propiedad se almacena el ID de VLAN y configure la cadena con la que se antepone el ID de VLAN. p. ej. `vlan-` {% hint style="info" %} No es necesario que el ID de VLAN tenga un prefijo. Sin embargo, puede ser útil en caso de que su Subject Name contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes). {% endhint %} A modo de ejemplo, la siguiente regla asignará el ID de VLAN 15 basándose en el `Subject Name` atributo `OU` precedido por `vlan-`

![](/files/a656fb0d96a23697c7d6f5979280d73985e5069a) ### Atributos RADIUS adicionales {% hint style="info" %} En caso de que necesite atributos de retorno que no estén disponibles de forma predeterminada, agréguelos [aquí](/es/portal-de-administracion/settings/rules/general-structure.md#radius-attributes). {% endhint %} El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales (además del ID de VLAN). Están disponibles las siguientes opciones: #### Estático Especifique estáticamente el/los atributo(s) de retorno y su(s) valor(es) que deben asignarse según la regla relacionada. #### Por extensión de certificado {% hint style="info" %} Actualmente no se admite añadir extensiones de certificado personalizadas a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF. Por ello, recomendamos usar el [Subject Name del certificado](#by-certificate-subject) en su lugar para añadir una asignación de VLAN. {% endhint %} * Seleccione una de sus extensiones de certificado creadas * El filtro está configurado para hacer coincidir el valor del atributo de retorno especificado con la extensión (OID) que usted especifique * Los comodines se traducirán a .\* Regex #### Por propiedad del Subject Name del certificado * También puede devolver atributos RADIUS adicionales basándose en propiedades del Subject Name de su certificado * Por lo tanto, especifique en qué propiedad se almacena el valor del atributo de retorno * Luego, configure con qué cadena se antepone el valor del atributo de retorno * No es necesario que el valor proporcionado en la propiedad Subject Name tenga un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que su Subject Name contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/es/portal-de-administracion/settings/rules/lan.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.