Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure a SD-WAN com conexão ativa/espera à Internet em um gateway de serviços SRX300

Requisitos

Este exemplo usa os seguintes componentes de hardware e software.

  • Um dispositivo da série SRX300 (320, 340, 345, 380)

  • Um Wi-Fi MPIM para a série SRX300

  • Um LTE MPIM para a série SRX300

  • Uma placa SIM com assinatura para serviços de dados

  • Junos OS 19.4R1

Visão geral

Neste exemplo, estamos configurando uma filial da Série SRX320 para fornecer internet com e sem fio e acesso intranet aos funcionários no local, bem como acesso à Internet sem fio a dispositivos convidados. O link principal da Internet é por meio da Ethernet, enquanto a conectividade de backup é por meio da rede LTE. Os dois links estão configurados no modo Active/Standby, pelo qual nenhum tráfego é roteado pelo modem LTE, a menos que o link principal esteja desativado.

Topologia

Figura 1: Topologia Example Topology de exemplo

A topologia do exemplo é mostrada na Figura 1. O LTE Mini-PIM está instalado no slot 1. O Wi-FI Mini-PIM está instalado no slot 2. A placa SIM está instalada no slot 1 do módulo LTE. O link principal está conectado à interface ge-0/0/0 e ele recebe seu endereço IP, máscara de rede, gateway padrão e servidores DNS do dispositivo ao qual está conectado. O modem tem interface cl-1/0/0.

O contexto PDP é encerrado na interface dl.0 e, da mesma forma que ge-0/0/0, o endereço IP, a máscara de rede e o gateway padrão são atribuídos pelo GGSN/PGW. A interface Wi-Fi é WL-2/0/0,200 atende à rede de convidados, enquanto a interface wl-2/0/0,100 atende à rede corporativa. As zonas de segurança e as listas de interfaces para cada zona são mostradas na Figura 2.

Figura 2: Zonas Security Zones de segurança

Existem quatro zonas de segurança configuradas no dispositivo da série SRX300, especificamente Untrust, Trust, Corporate e Guest. A separação das interfaces em zonas de segurança permite a separação do tráfego e mitiga os riscos a que a Intranet corporativa é exposta e serve como um veículo para alcançar uma implementação clara e simplificada de políticas de segurança. Zone Untrust hospeda as interfaces que têm acesso à Internet.

As interfaces internas da Intranet corporativa estão na zona Trust. Os dispositivos sem fio da organização vagam na zona corporativa. Os dispositivos móveis pessoais, que recebem apenas acesso à Internet, estão na zona Convidado.

A Tabela 1 mostra o comportamento desejado das políticas de segurança para o tráfego entre zonas.

Tabela 1: Políticas de segurança por zona

From-To

Untrust

Trust

Corporate

Guest

Untrust

Não

Somente iniciado pela confiança

Somente iniciado por empresas

Somente iniciado por convidados

Trust

Sim

Sim

Somente iniciado por empresas

Não

Corporate

Sim

Sim

Sim

Não

Guest

Sim

Não

Não

Não

As informações de VLAN e as informações de endereço IP para as interfaces são resumidas na Tabela 2.

Tabela 2: Detalhes da configuração das interfaces

Interface

VLAN

IP Adress

Netmask

wl-2/0/0,100

100

172.16.100.1

255.255.255.0

wl-2/0/0,200

200

192.16.200.1

255.255.255.0

dl.0

3

DHCP

-

ge-0/0/0

3

DHCP

-

Irb.0

3

192.168.1.1

255.255.255.0

Configuração e validação

Configuração

Procedimento passo a passo

As etapas nesta configuração logicamente se constroem das camadas inferiores às camadas superiores.

  1. Crie uma VLAN para os dispositivos convidados.

  2. Crie uma VLAN para os dispositivos corporativos.

  3. Crie um ponto de acesso.

  4. Definir o país onde o dispositivo está instalado. Diferentes países têm espectro 802.11 diferente disponível para uso geral.

  5. Configure a interface de rádio de 5GHz do ponto de acesso. Definir seu modo, o número de canal em que ele vai operar e a largura de banda que ele usará. Além disso, configure a energia de transmissão para a interface de rádio de 5GHz (em %).

  6. Crie um ponto de acesso virtual (VAP) para a rede de convidados de 5GHz. O Mini-PIM oferece suporte a até oito pontos de acesso virtuais por interface de rádio.

  7. Configure a segurança para o VAP como wpa-personal. Defina o conjunto de cifras, o tipo de chave e a chave pré-compartilhada.

  8. Configure a interface de rádio de 2,4 GHz do ponto de acesso. Definir seu modo, o número de canal em que ele vai operar e a largura de banda que ele usará. Além disso, definir a energia de transmissão para interface de rádio (em %).

  9. Configure o VAP na rede de convidados de 2,4 GHz.

  10. Configure a segurança para o VAP como wpa-personal. Defina o conjunto de cifras, o tipo de chave e a chave pré-compartilhada.

  11. Configure o VAP na rede corporativa de 5GHz.

  12. Configure a segurança para o VAP como wpa-personal. Defina o conjunto de cifras, o tipo de chave e a chave pré-compartilhada.

  13. Configure o VAP na rede corporativa de 2,4 GHz.

  14. Configure a segurança para o VAP como wpa-personal. Defina o conjunto de cifras, o tipo de chave e a chave pré-compartilhada.

  15. Crie a interface de IP que funcionará como gateway padrão para dispositivos nos VAPs convidados (um VAP funciona em 5GHz e o outro em 2,4GHz).

  16. Crie a interface de IP que funcionará como o gateway padrão para dispositivos nos VAPs corporativos (um VAP funciona em 5GHz e o outro em 2,4 GHz).

  17. Crie uma zona de segurança para os dispositivos convidados e permita o DHCP e todos os outros protocolos necessários nele. Certifique-se de que a interface de wl adequada também seja adicionada à zona.

  18. Crie uma zona de segurança para os dispositivos corporativos e permita o DHCP e todos os outros protocolos necessários nele. Certifique-se de que a interface de wl adequada também seja adicionada à zona.

  19. Crie um grupo de servidor DHCP exclusivo para os VAPs convidados (apenas um grupo de servidor é necessário para ambos os VAPs convidados).

  20. Crie um grupo de servidor DHCP exclusivo para os VAPs corporativos.

  21. Crie um pool de endereços IP a serem atribuídos aos dispositivos, roaming nos VAPs convidados. Defina os endereços IP mais baixos e mais altos a serem atribuídos a dispositivos a partir deste pool, os servidores DNS e o endereço IP do gateway padrão para o pool.

  22. Crie um pool de endereços IP a serem atribuídos aos dispositivos, roaming nos VAPs corporativos. Defina os endereços IP mais baixos e mais altos a serem atribuídos a dispositivos a partir deste pool, os servidores DNS e o endereço IP do gateway padrão para o pool.

  23. Crie NAT de origem para aplicar NAT a dispositivos na zona de hóspedes à interface externa.

  24. Crie NAT de origem para aplicar NAT a dispositivos na zona corporativa à interface externa.

  25. Crie uma política de segurança que permita o tráfego entre as zonas de convidados e não confiáveis. Certifique-se de que os segmentos e/ou aplicativos de rede desejados estejam incluídos na política.

  26. Crie uma política de segurança que permita o tráfego entre as zonas corporativas e não confiáveis. Essa etapa permite o tráfego que tem NAT aplicado ao fluxo entre as zonas.

  27. Crie uma política de segurança que permita o tráfego entre as zonas corporativa e trust e permite o tráfego que tem NAT aplicado ao fluxo entre as zonas.

  28. Defina a descrição da interface para o link principal da Internet. Definir a interface para obter configuração por protocolo DHCP. Certifique-se de que a interface LTE seja definida como backup para o link da Internet.

  29. Configure a interface do modem. Certifique-se de que o slot SIM, que contém a placa SIM, esteja definido para ativo.

  30. Configure a interface do dialer.

  31. Configure a interface sem fio para aceitar pacotes não registrados de VLAN.

  32. Definir o nome do ponto de acesso para o SIM no modem.

  33. Confirmar a configuração

Validação

Procedimento passo a passo

  1. Certifique-se de que as interfaces estejam funcionando.

  2. Verifique o status do ponto de acesso e certifique-se de que o status das interfaces de rádio esteja LIGADO, os canais e as larguras de banda em que operam estão configurados.

  3. Verifique a situação de todos os VAPs. Certifique-se de que os SSIDs e as configurações de segurança estejam configurados.

  4. Confira o resumo sobre as associações de clientes em cada rádio do ponto de acesso. Este comando mostra o número de usuários associados em cada interface de rádio.

  5. Confira os detalhes sobre as associações de clientes em cada rádio do ponto de acesso. O endereço MAC dos usuários é mostrado na saída, bem como nas estatísticas de tráfego.

  6. Verifique se os módulos Mini-PIM são detectados pelo Junos.

  7. Verifique a versão de firmware dos Mini-PIMs e atualize-a, se necessário.

  8. Obtenha uma captura de pacotes em um VAP para fins de solução de problemas.

    O arquivo é salvo em /var/tmp. Você pode baixar o arquivo e abrir com um aplicativo de rastreamento de pacotes, como O WIreshark.