Wi-Fi Mini 物理接口模块 (MPIM)
Wi-Fi 小型物理接口模块 (Mini-PIM) 提供集成的无线接入点(或无线 LAN)解决方案,并在单个设备中提供路由、交换和安全功能。以下主题介绍了 Wi-Fi Mini-PIM 的概述和配置。
Wi-Fi 小型物理接口模块概述
Mini-PIM 支持 802.11ac Wave 2 无线标准,并向后兼容 802.11a/b/g/n。您可以根据区域无线标准要求使用三种新型号的 Wi-Fi Mini-PIM;
SRX-MP-WLAN-US — 基于美国无线标准的型号。
SRX-MP-WLAN-IL — 该型号基于以色列的无线标准。
SRX-MP-WLAN-WW — 其他国家/地区的典范。
您无法更改 SRX-MP-WLAN-US 和 SRX-MP-WLAN-IL 型号的国家/地区代码,因为它们是固定的。Wi-Fi 小型 PIM 可以与其他小型 PIM 共存。 Mini-PIM 支持的功能汇总如下所示。
Wi-Fi Mini-PIM 解决方案的典型部署包括:
在远程分支机构与企业用户的端点设备建立安全的无线 LAN 连接。802.11ac、WPA2、802.1X 和 SSID 到 VLAN 映射功能提供安全的无线 LAN 连接。
与企业物联网 (IoT) 设备建立直接网络连接。安全功能可保护 IoT 设备的安全。
请参阅 如何安装 Wi-Fi Mini-PIM。
机箱群集模式下的无线 LAN 接口
机箱群集模式还支持小型 PIM,以提供冗余。无线用户连接到冗余组中的活动接口。要支持无线 LAN 接口小型 PIM 的机箱群集模式,您需要使用两个无线 LAN 接口 wl-x/0/0 配置机箱群集设置,和 wl-y/0/0其中 x 表示节点 0 上无线 LAN 接口 Mini-PIM 插入的插槽编号, Y 并表示节点 1 上无线 LAN 接口 Mini-PIM 插入的插槽编号。
在机箱群集模式中,一个无线 LAN 接口处于活动状态,另一个无线 LAN 接口处于非活动状态。Wi-Fi 客户端已关联到活动无线 LAN 接口。
下面列出了在以下情况下触发无线 LAN 接口故障切换的事件:
无线 LAN 接口异常。
主无线 LAN 接口已关闭。
手动将哪个无线 LAN 接口属于故障切换的冗余组。
主 WLAN 接口节点出现故障。
无线 LAN 接口故障切换后,原始非活动无线 LAN 接口将变为活动,并且 Wi-Fi 客户端会话将重新连接到新的主无线 LAN 接口。
使用机箱群集模式时,WLAND 进程在两个节点上运行。主节点上的 WLAND 将 WLAN 配置推送到两个节点上的 PFE,然后 PFE 将配置转发到本地无线 LAN 接口卡,使两个无线 LAN 接口卡具有相同的配置。
为了监控无线 LAN 接口状态,WLAND 发现无线 LAN 接口异常,可以触发冗余组故障切换。在第 3 层模式中,默认情况下,无线 LAN 接动监视器配置为使用命令 set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 和 set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255实现 WLAN 高可用性。
新的主无线 LAN 接口处于活动状态,异常的无线 LAN 接口卡重新启动并进入非活动状态。由于活动 WAP 上的配置(无线电、通道、带宽、SSID 等)与原始无线 LAN 接口相同,因此 Wi-Fi 客户端会自动重新连接到活动无线 LAN 接口。
第 3 层 (L3) 模式中的无线 LAN 接口
使用命令 set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface将接口配置为 RETH 的从属接口。您可以将 RETH 接口添加到一个冗余组,并为冗余组中的每个节点设置优先级。冗余组中只有一个无线 LAN 接口处于活动状态,另一个处于非活动状态。
第 2 层 (L2) 模式中的无线 LAN 接口
您可以使用无线 LAN 接口小型 PIM 构建机箱群集。对等方无线 LAN 接口配置在同一 VLAN 中,并且默认选择冗余组 0 主节点上的无线 LAN 接口作为活动接口。无线 LAN 接口的 L2 模式 (family ethernet-switching) 的行为与任何其他 L2 交换端口(中继端口)类似。
Wi-Fi Mini-PIM 支持的功能
Wi-Fi Mini-PIM支持的主要功能如表1所示。
特征 |
描述 |
|---|---|
2x2 MU-MIMO |
支持同时将数据传输到多个客户端。 |
双射频 |
同时支持 2.4 GHz 和 5 GHz 频段的两种射频。支持的最大速度高达 1.2 Gbps。 |
虚拟接入点 (VAP) 和 VLAN 功能 |
|
接口共存 |
Wi-Fi Mini-PIM 可与 4G LTE、VDSL、T1 和串行接口共存。 |
客户端身份验证方法 |
支持的客户端身份验证方法包括 Wi-Fi 保护访问 (WPA) 企业(WPA2 标准)和 Wi-Fi 保护访问 (WPA) 个人(AES-CCMP 密码套装和 WPA2 标准)。 |
配置 Wi-Fi Mini-PIM
您可以在 Wi-Fi Mini-PIM 上配置无线射频和虚拟接入点。本主题包含介绍无线接口级别的基本 Wi-Fi Mini-PIM 配置的部分。关于如何安装 Wi-Fi 小型 PIM,请参阅 如何安装 Wi-Fi 小型 PIM。
以下章节介绍如何配置 Wi-Fi Mini-PIM。
配置 Wi-Fi Mini-PIM 的网络设置
配置 wl- 接口
小型 PIM wl-x/0/0的接口名称表示为 ,其中 x 是设备上安装小型 PIM 的插槽。当您将小型 PIM 插入设备上的插槽时,将自动创建 wl- 接口。
要配置无线 LAN 接口,请执行以下作:
配置接入点
要配置与无线 LAN 接口 wl-x/0/0 关联的接入点,请执行以下作:
-
配置接口。
[edit] user@host# set wlan access-point name interface wl-x/0/0
-
设置国家/地区代码(仅适用于 Mini-PIM 的 SRX-MP-WLAN-WW 型号)。
注意:如果未为 SRX-MP-WLAN-WW 型号设置国家/地区代码,小型 PIM 会将国家/地区代码视为美国。无法为 SRX-MP-WLAN-US 和 SRX-MP-WLAN-IL 型号设置国家/地区代码。
[edit] user@host# set wlan access-point name access-point-options country country-code
-
设置物理位置(硬件设备的位置,例如:一楼)。
[edit] user@host# set wlan access-point name location location
-
提交配置。
[edit] user@host# commit
配置射频
每个接入点都有两个射频:射频 1 以 5 GHz 带宽运行,射频 2 以 2.4 GHz 带宽运行。VAP 是基于射频配置的。每个频段最多可以配置 8 个 VAP,并将最多 16 个 ESSID 映射到各个 VLAN。Wi-Fi Mini-PIM 支持两种射频(2.4 GHz 和 5 GHz)同时工作。您也可以禁用无线电。 表 2 列出了每种射频支持的模式。
更改无线电设置可能会导致接入点停止并重新启动系统进程。如果发生这种情况,连接到接入点的无线客户端将暂时断开连接。我们建议您在 WLAN 流量较低时更改无线电设置。
| 收音机 |
支持的模式 |
|---|---|
| 射频 1 (5.0 GHz) |
|
| 无线电 2 (2.4 GHz) |
|
要配置射频,请执行以下作:
-
配置无线电模式。射频 1 支持 can 和 an 模式。射频 2 仅支持 gn 模式。
For radio 1: [edit] user@host# set wlan access-point name radio 1 radio-options mode [an|acn]
For radio 2: [edit] user@host# set wlan access-point name radio 2 radio-options mode gn
-
配置通道号。如果选择自动,则小型 PIM 会自动选择通道。默认情况下,通道号设置为
auto。[edit] user@host# set wlan access-point name radio [1|2] radio-options channel number [auto | channel-number]
-
配置通道带宽。2.4 GHz 频段的默认信道带宽为 20 MHz,5 GHz 频段的默认信道带宽为 40 MHz。您只能将 80 MHz 设置为 5 GHz 无线频段的信道带宽,而不能将 2.4 GHz 设置为信道带宽。
[edit] user@host# set wlan access-point name radio [1|2] radio-options channel bandwidth [20|40|80]
-
配置发射功率。您可以按射频配置发射功率。
注意:配置发射功率时,Mini-PIM 卡会将发射功率固定为设置的指定值,在这种情况下,按速率功率功能不起作用。因此,建议不要将发射功率设置为指定值。如果未配置发射功率(不要将发射功率固定为指定值),按速率功率功能将起作用。如果将发射功率百分比配置为 100,则它会选择选项“
auto”,其行为类似于未配置发射功率,并且按速率功率功能将起作用。[edit] user@host# set wlan access-point name radio [1|2] radio-options transmit-power percent
-
提交配置。
[edit] user@host# commit
在需要动态频率选择 (DFS) 的国家/地区,Wi-Fi 卡会对雷达进行适当的检查。DFS 默认处于启用状态。如果将
channel number设置为auto,则接入点将从 DFS 和非 DFS 通道列表中选择通道。您可以使用选项set wlan access-point name radio 1 radio-options dfs-off禁用 DFSdfs-off。只有 5 GHz 射频(射频 1)支持 DFS。
有关 DFS 的详细信息,请参阅 Wi-Fi Mini-PIM 上支持的信道和频率。
配置虚拟接入点 (VAP)
VAP 允许将无线 LAN 分段到多个广播域中,这些域相当于以太网 VLAN 的无线特性。要配置 VAP,请执行以下作:
-
输入 VAP 的 ID 和描述。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id description description
-
输入 SSID 值。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id ssid ssid
-
为 VAP 配置以下安全身份验证方法之一。
-
none — 客户端与接入点之间传输的数据未加密。客户端无需任何身份验证即可与接入点关联。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security none
-
wpa-enterprise — 设备通过符合 802.1X 标准的 RADIUS 服务器进行身份验证。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-server ip-address user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-port port user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-key secret-key user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise wpa-version v2
-
wpa-personal — 设备使用预共享密钥 (PSK) 或密码进行身份验证和加密。密钥存储在设备和所有无线客户端上。无需配置单独的身份验证服务器。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key-type [ascii|hex] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key password user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal wpa-version v2
-
-
配置并指定 Wi-Fi Mini-PIM 的上传和下载速率限制。的
download-limit范围upload-limit为 256 Kbps 到 1,048,576 Kbps。[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id upload-limit upload-limit-rate user@host# set wlan access-point name radio [1|2] virtual-access-point id download-limit download-limit-rate
-
指定可连接到 VAP 的最大客户端数。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id maximum-stations number
-
提交配置。
[edit] user@host# commit
成功完成配置后,您可以使用命令查看参数 show wlan access-points name detail 。
配置 VLAN
基于 VAP 配置 VLAN
(选答)单个接入点被隔离为多个虚拟接入点 (VAP),从而模拟单个系统中的多个接入点。接入点支持多个 VLAN。要基于 VAP 配置 VLAN ID,请执行以下作:
配置 WPA 企业身份验证
(选答)Wi-Fi 保护接入 (WPA) 企业是 Wi-Fi 联盟标准,它使用 RADIUS 服务器身份验证和 AES-CCMP 密码套件。在此模式下,您可以使用高安全性加密和集中管理的用户身份验证。仅支持 WPA2 标准。要配置 WPA 企业身份验证,请执行以下作:
配置通讯簿并分配安全区域。
[edit] user@host# set security address-book book-name address address-name ip-prefix user@host# set security address-book book-name attach zone trust user@host# set security address-book book-name attach zone dot1x
配置从信任区域到 WPA 身份验证的安全源规则集。
[edit] user@host# set security nat source rule-set rule-set-name from zone trust user@host# set security nat source rule-set rule-set-name to zone dot1x
配置安全源以匹配源地址和目标地址。
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match source-address ip-address user@host# set security nat source rule-set rule-set-name rule rule-name match destination-address ip-address
在接口上配置 UDP 协议和安全源。
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match protocol udp user@host# set security nat source rule-set rule-set-name rule rule-name then source-nat interface
将安全策略分配给源地址和目标地址。
[edit] user@host# set security policies from-zone trust to-zone dot1x policy internet-access match source-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match destination-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match application any user@host# set security policies from-zone trust to-zone dot1x policy internet-access then permit
提交配置。
成功完成配置后,您可以使用命令查看参数 show wlan access-points name virtual-access-points 。
配置多个 VLAN 和 SSID
您可以在每个射频上配置 8 个 VAP,每个 VAP 都由 SSID 标识。Wi-Fi Mini-PIM 上最多可配置 16 个 SSID。您可以将一个 VLAN 映射到每个 SSID,也可以为多个 SSID 分配一个 VLAN 客户端使用 SSID 连接到 VAP,并与映射到 SSID 的 VLAN 进行关联。
您可以配置多个 SSID,为不同的设备和用户提供不同级别的访问权限。下面是连接到不同 VAP 的三种不同类型用户的示例配置。每个 VAP 都与不同的 VLAN 相关联。
接口 |
VLAN ID |
地址池 |
VAP公司 |
SSID |
地址池 |
|---|---|---|---|---|---|
WL-2/0/0.0 |
100 |
junosDHCPPool |
192.168.2.0/24 |
||
WL-2/0/0.10型 |
10 |
junosDHCPPool1 |
VAP1型 |
VAP-10型 |
192.168.10.0/24 |
WL-2/0/0.20型 |
20 |
junosDHCPPool2 |
VAP2型 |
VAP-20型 |
192.168.20.0/24 |
WL-2/0/0.30型 |
30 |
junosDHCPPool3 |
VAP3型 |
VAP-30型 |
192.168.30.0/24 |
验证
显示 Wi-Fi Mini-PIM 上配置的参数信息。
-
要验证接入点是否已开启,请执行以下作:
user@host# show wlan access-pointsActive access points information Access-Point Type Interface Radio-mode/Channel/Bandwidth name Int wl-3/0/0 acn/100/40, gn/1/20 user@host> show interfaces terse wl* Interface Admin Link Proto Local Remote wl-3/0/0 up up wl-3/0/0.1 up up inet 192.168.200.1/24 wl-3/0/0.2 up up inet 192.168.10.1/24 wl-3/0/0.32767 up upuser@host# show wlan access-points virtual-access-points all name Virtual access points information Access point name: name Radio1: VAP0: SSID : VAP-50 MAC Address : 94:f7:ad:2c:08:41 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 11 Captive Portal : Disable Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0 Radio2: VAP0: SSID : VAP-20 MAC Address : 94:f7:ad:2c:08:42 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 10 Captive Portal : Disable Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0 -
2.4G 上的客户端关联:
user@host# show wlan access-points client-associations name Access point client associations information Access point: name VAP Client MAC Address Auth Packets Rx/Tx Bytes Rx/Tx Radio2:VAP-20 e2:08:11:8a:d1:f5 OK 628/3 19172/681
-
5G 上的客户端关联:
user@host# show wlan access-points client-associations name Access point client associations information Access point: name VAP Client MAC Address Auth Packets Rx/Tx Bytes Rx/Tx Radio1:VAP-50 b6:8a:c4:bf:08:74 OK 72/4 4302/1032
特定于平台的 Wi-Fi 小型物理接口支持行为
使用 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为:
| 平台 | 差异 |
|---|---|
| SRX 系列 | 支持 Wi-Fi 小型物理接口模块 (Wi-Fi Mini-PIM) 的 SRX320、SRX340、SRX345、SRX380 和 SRX550M 设备在单个设备中提供集成无线接入点(或 无线 LAN)以及路由、交换和安全功能。 |