Wi-Fi 迷你物理接口模块 (MPIM)
用于 SRX 系列防火墙的 Wi-Fi 小型物理接口模块 (Mini-PIM) 在单个设备中提供集成的无线接入点(或无线 LAN)解决方案以及路由、交换和安全功能。以下主题介绍了 SRX 系列防火墙上 Wi-Fi Mini-PIM 的概述和配置。
Wi-Fi 小型物理接口模块概述
适用于 SRX320、SRX340、SRX345、SRX380 和SRX550M的 Wi-Fi 小型物理接口模块 (Wi-Fi Mini-PIM) 在单个设备中提供集成的无线接入点或无线 LAN,以及路由、交换和安全功能。Mini-PIM 支持 802.11ac Wave 2 无线标准,并向后兼容 802.11a/b/g/n。您可以根据区域无线标准要求使用Wi-Fi Mini-PIM的三种新型号;
SRX-MP-WLAN-US — 基于美国无线标准的型号。
SRX-MP-WLAN-IL — 基于以色列无线标准的模型。
SRX-MP-WLAN-WW — 其他国家的模式。
您无法更改 SRX-MP-WLAN-US 和 SRX-MP-WLAN-IL 型号的国家/地区代码,因为它们是固定的。Wi-Fi 小型 PIM 可以与 SRX 系列防火墙支持的其他小型 PIM 共存。表 1 提供了 Mini-PIM 上支持的功能的摘要。
Wi-Fi Mini-PIM 解决方案的典型部署包括:
与远程分支机构的企业用户端点设备建立安全的无线 LAN 连接。802.11ac、WPA2、802.1X 和 SSID 到 VLAN 映射功能可提供安全的无线 LAN 连接。
将网络连接直接连接到企业物联网 (IoT) 设备。SRX 系列防火墙上的安全功能可保护物联网设备。
有关如何安装 Wi-Fi Mini-PIM 的详细信息,请参阅 如何安装 SRX 系列服务网关的 Wi-Fi Mini-PIM 。
机箱群集模式下的无线 LAN 接口
机箱群集模式也支持小型 PIM 以提供冗余。无线用户连接到冗余组中的活动接口。要支持无线 LAN 接口 Mini-PIM 的机箱群集模式,您需要使用两个无线 LAN 接口 wl-x/0/0 配置机箱群集设置, wl-y/0/0其中 x 指示节点 0 上插入的无线 LAN 接口 Mini-PIM 插件的插槽号,并 Y 指示节点 1 上插入的无线 LAN 接口 Mini-PIM 插件的插槽号。
在机箱群集模式下,有一个无线 LAN 接口处于活动状态,另一个无线 LAN 接口处于非活动状态。Wi-Fi 客户端与活动的无线 LAN 接口相关联。
以下是在以下情况下触发无线 LAN 接口故障切换的事件列表:
无线局域网接口异常。
主无线 LAN 接口已关闭。
无线 LAN 接口属于手动故障切换的冗余组。
主 WLAN 接口节点出现故障。
无线 LAN 接口故障切换后,原来的非活动无线 LAN 接口将更改为活动,并且 Wi-Fi 客户端会话将重新连接到新的主无线 LAN 接口。
在机箱群集模式下,WLAND 进程会在两个节点上运行。主节点上的 WLAND 将 WLAN 配置推送到两个节点上的 PFE,然后 PFE 将配置转发到本地无线 LAN 接口卡,使两个无线 LAN 接口卡具有相同的配置。
监控无线LAN接口状态时,WLAND发现无线LAN接口异常,可以触发冗余组故障切换。在第 3 层模式下,默认情况下,将使用命令 set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 和 set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255为 WLAN 高可用性配置无线 LAN 接口活动监视器。
新的主无线 LAN 接口处于活动状态,异常无线 LAN 接口卡重新启动并进入非活动状态。Wi-Fi 客户端会自动重新连接到活动无线 LAN 接口,因为活动 WAP 上的配置(无线电、通道、带宽、SSID 等)与原始无线 LAN 接口相同。
第 3 层 (L3) 模式下的无线 LAN 接口
这些接口使用命令 set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface配置为 RETH 的从属接口。您可以将 RETH 接口添加到一个冗余组,并为冗余组中的每个节点设置优先级。冗余组中只有一个无线 LAN 接口处于活动状态,另一个处于非活动状态。
第 2 层 (L2) 模式下的无线 LAN 接口
您可以使用无线 LAN 接口 Mini-PIM 在机箱群集模式下构建 SRX 系列防火墙。对等无线 LAN 接口配置在同一 VLAN 中,默认情况下,冗余组 0 的主节点上的无线 LAN 接口被选为活动接口。无线 LAN 接口的 L2 模式 (family ethernet-switching) 的行为与任何其他 L2 交换端口(中继端口)类似。
Wi-Fi Mini-PIM 支持的功能
表 1 列出了 Wi-Fi Mini-PIM 上支持的主要功能。
特征 |
描述 |
|---|---|
2x2 MU-MIMO |
支持同时将数据传输到多个客户端。 |
双射频 |
同时支持 2.4 GHz 和 5 GHz 频段的无线电。支持的最大速度高达 1.2 Gbps。 |
虚拟接入点 (VAP) 和 VLAN 功能 |
|
接口共存 |
Wi-Fi Mini-PIM 可与 4G LTE、VDSL、T1 和串行接口共存。 |
客户端身份验证方法 |
支持的客户端身份验证方法包括 Wi-Fi 保护访问 (WPA) 企业版(WPA2 标准)和 Wi-Fi 保护访问 (WPA) 个人版(AES-CCMP 密码套装和 WPA2 标准)。 |
配置 Wi-Fi 小型 PIM
您可以在 Wi-Fi Mini-PIM 上配置无线电和虚拟接入点。本主题包含介绍无线接口级别的基本 Wi-Fi Mini-PIM 配置的部分。有关如何安装 Wi-Fi Mini-PIM 的详细信息,请参阅 如何为 SRX 系列服务网关安装 Wi-Fi Mini-PIM。
以下部分介绍如何在 SRX 系列防火墙上配置 Wi-Fi 小型 PIM。
配置 Wi-Fi 小型 PIM 的网络设置
配置 wl- 接口
小型 PIM 的接口名称表示 wl-x/0/0为 ,其中 x 是 SRX 系列服务网关上安装小型 PIM 的插槽。当您将小型 PIM 插入 SRX 系列防火墙上的插槽时,将自动创建 wl- 接口。
要配置无线 LAN 接口,请执行以下操作:
配置接入点
要配置与无线 LAN 接口 wl-x/0/0 关联的接入点:
-
配置接口。
[edit] user@host# set wlan access-point name interface wl-x/0/0
-
设置国家/地区代码(仅适用于 Mini-PIM 的 SRX-MP-WLAN-WW 型号)。
注意:如果未为 SRX-MP-WLAN-WW 型号设置国家/地区代码,Mini-PIM 会将国家/地区代码视为美国。您无法为 SRX-MP-WLAN-US 和 SRX-MP-WLAN-IL 型号设置国家/地区代码。
[edit] user@host# set wlan access-point name access-point-options country country-code
-
设置物理位置(硬件设备的位置,例如:1 楼)。
[edit] user@host# set wlan access-point name location location
-
提交配置。
[edit] user@host# commit
配置无线电
每个接入点都有两个无线电:无线电 1 以 5 GHz 带宽工作,无线电 2 以 2.4 GHz 带宽工作。VAP 是根据无线电配置的。每个射频最多可以配置 8 个 VAP,并将最多 16 个 ESSID 映射到单个 VLAN。Wi-Fi Mini-PIM 支持两个射频(2.4 和 5 GHz)同时工作。您还可以禁用收音机。 表 2 列出了每个无线电支持的模式。
更改无线电设置可能会导致接入点停止并重新启动系统进程。如果发生这种情况,连接到接入点的无线客户端将暂时失去连接。我们建议您在 WLAN 流量较低时更改无线电设置。
| 无线电 |
支持的模式 |
|---|---|
| 无线电 1 (5.0 GHz) |
|
| 无线电 2 (2.4 GHz) |
|
要配置无线电:
-
配置无线模式。无线电 1 支持可以和模式。无线电 2 仅支持 gn 模式。
For radio 1: [edit] user@host# set wlan access-point name radio 1 radio-options mode [an|acn]
For radio 2: [edit] user@host# set wlan access-point name radio 2 radio-options mode gn
-
配置通道号。如果选择自动,则小型 PIM 会自动选择通道。默认情况下,通道号设置为
auto。[edit] user@host# set wlan access-point name radio [1|2] radio-options channel number [auto | channel-number]
-
配置通道带宽。2.4 GHz 无线电的默认通道带宽为 20 MHz,5 GHz 无线电的默认通道带宽为 40 MHz。您只能将 80 MHz 设置为 5 GHz 无线电的信道带宽,而不能设置为 2.4GHz 的信道带宽。
[edit] user@host# set wlan access-point name radio [1|2] radio-options channel bandwidth [20|40|80]
-
配置发射功率。您可以基于每个无线电配置发射功率。
注意:配置发射功率时,Mini-PIM 卡会将发射功率固定为指定的值集,在这种情况下,按速率计算功率功能不起作用。因此,建议不要将发射功率设置为指定值。如果未配置发射功率(不要将发射功率固定为指定值),则按速率计算的功率功能将起作用。如果将发射功率百分比配置为 100,则会选择选项 “
auto”,其行为类似于未配置发射功率,并且按速率计算的功率功能将起作用。[edit] user@host# set wlan access-point name radio [1|2] radio-options transmit-power percent
-
提交配置。
[edit] user@host# commit
在需要动态频率选择 (DFS) 的国家/地区,Wi-Fi 卡会对雷达执行适当的检查。默认情况下,DFS 处于启用状态。如果将 设置为
channel numberauto,接入点将从 DFS 和非 DFS 通道列表中选择通道。您可以使用选项set wlan access-point name radio 1 radio-options dfs-off禁用 DFSdfs-off。只有 5 GHz 无线电(无线电 1)支持 DFS。
有关 DFS 的详细信息,请参阅 Wi-Fi Mini-PIM 支持的通道和频率。
配置虚拟接入点 (VAP)
VAP 允许将无线 LAN 分段为多个广播域,这些域相当于以太网 VLAN 的无线等效项。要配置 VAP,请执行以下操作:
-
输入 VAP 的 ID 和描述。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id description description
-
输入 SSID 值。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id ssid ssid
-
为 VAP 配置以下安全身份验证方法之一。
-
none — 客户端和接入点之间传输的数据未加密。客户端无需任何身份验证即可与接入点关联。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security none
-
wpa-enterprise — 设备通过符合 802.1X 标准的 RADIUS 服务器进行身份验证。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-server ip-address user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-port port user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-key secret-key user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise wpa-version v2
-
wpa-personal - 设备使用预共享密钥 (PSK) 或密码短语进行身份验证和加密。密钥存储在设备和所有无线客户端上。您不需要配置单独的身份验证服务器。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key-type [ascii|hex] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key password user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal wpa-version v2
-
-
配置并指定 Wi-Fi 小型 PIM 上的上传和下载速率限制。和
upload-limitdownload-limit的范围是从 256 Kbps 到 1,048,576 Kbps。[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id upload-limit upload-limit-rate user@host# set wlan access-point name radio [1|2] virtual-access-point id download-limit download-limit-rate
-
指定可以连接到 VAP 的最大客户端数。
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id maximum-stations number
-
提交配置。
[edit] user@host# commit
配置成功完成后,您可以使用命令查看参数 show wlan access-points name detail 。
配置 VLAN
基于 VAP 配置 VLAN
(可选)单个接入点被隔离为多个单独的虚拟接入点 (VAP),模拟单个系统中的多个接入点。接入点支持多个 VLAN。要根据 VAP 配置 VLAN ID,请执行以下操作:
配置 WPA 企业身份验证
(可选)Wi-Fi 保护访问 (WPA) 企业版是 Wi-Fi 联盟标准,使用 RADIUS 服务器身份验证和 AES-CCMP 密码套件。使用此模式,您可以使用高安全性加密以及集中管理的用户身份验证。仅支持 WPA2 标准。要配置 WPA 企业身份验证,请执行以下操作:
配置通讯簿并分配安全区域。
[edit] user@host# set security address-book book-name address address-name ip-prefix user@host# set security address-book book-name attach zone trust user@host# set security address-book book-name attach zone dot1x
配置从信任区域到 WPA 身份验证的安全源规则集。
[edit] user@host# set security nat source rule-set rule-set-name from zone trust user@host# set security nat source rule-set rule-set-name to zone dot1x
配置安全源以匹配源地址和目标地址。
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match source-address ip-address user@host# set security nat source rule-set rule-set-name rule rule-name match destination-address ip-address
在接口上配置 UDP 协议和安全源。
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match protocol udp user@host# set security nat source rule-set rule-set-name rule rule-name then source-nat interface
将安全策略分配给源地址和目标地址。
[edit] user@host# set security policies from-zone trust to-zone dot1x policy internet-access match source-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match destination-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match application any user@host# set security policies from-zone trust to-zone dot1x policy internet-access then permit
提交配置。
成功完成配置后,您可以使用命令查看参数 show wlan access-points name virtual-access-points 。
配置多个 VLAN 和 SSID
您可以在每个射频上配置 8 个 VAP,每个 VAP 由 SSID 标识。Wi-Fi Mini-PIM 上最多可配置 16 个 SSID。您可以将一个 VLAN 映射到每个 SSID,也可以为多个 SSID 分配一个 VLAN 客户端使用 SSID 连接到 VAP,并与映射到 SSID 的 VLAN 相关联。
您可以配置多个 SSID,为不同的设备和用户提供不同级别的访问。以下是连接到不同 VAP 的三种不同类型的用户的示例配置。每个 VAP 都与不同的 VLAN 相关联。
接口 |
虚拟帧 ID |
地址池 |
Vap |
Ssid |
地址池 |
|---|---|---|---|---|---|
WL-2/0/0.0 |
100 |
JunosDHCPPool |
|
|
192.168.2.0/24 |
wl-2/0/0.10 |
10 |
junosDHCPPool1 |
VAP1 |
VAP-10 |
192.168.10.0/24 |
WL-2/0/0.20 |
20 |
junosDHCPPool2 |
VAP2 |
VAP-20 |
192.168.20.0/24 |
WL-2/0/0.30 |
30 |
junosDHCPPool3 |
VAP3 |
VAP-30 |
192.168.30.0/24 |
验证
显示有关在 Wi-Fi Mini-PIM 上配置的参数的信息。
-
要显示 Mini-PIM 上配置的所有接入点的详细信息,请执行以下操作:
user@host# show wlan access-pointsActive access points information Access-Point Type Interface Radio-mode/Channel/Bandwidth wap3 Int wl-2/0/0 acn/120/40, gn/11/20
-
显示特定接入点的状态。
user@host# show wlan access-points ap-name detail
show wlan access-points wap3 detail Active access point detail information Access Point : wap3 Description : juniper_name:srx345-rocket_1_interface:wl-3/0/0 Type : Internal Location : Floor_srx345-rocket_1 Firmware Version : v1.2.9 Alternate Version : v1.5.5-1-g62e9ba0 Country : US Access Interface : wl-3/0/0 System Time : Wed Dec 28 16:13:04 UTC 2022 Packet Capture : Off Ethernet Port: MAC Address : 72:19:2a:56:a2:0c Radio1: Status : On MAC Address : 94:f7:ad:2c:08:41 Temperature : 49 Mode : IEEE 802.11a/n/ac Channel : 153 Bandwidth : 40 Transmit Power : 100 Radio2: Status : On MAC Address : 94:f7:ad:2c:08:42 Temperature : 48 Mode : IEEE 802.11g/n Channel : 6 Bandwidth : 40 Transmit Power : 100
-
显示有关连接到接入点的客户端的详细信息。
user@host# show wlan access-points ap-name client-associationsAccess point client associations information Access point: wap3 VAP Client MAC Address Auth Packets Rx/Tx Bytes Rx/Tx Radio1:5g_vap1 00:00:5e:00:53:a3 NO 3/0 510/0
-
显示有关虚拟接入点的详细信息。
user@host# run show wlan access-points ap-name virtual-access-points all
Virtual access points information Access point name: wap3 Radio1: VAP0: SSID : srx345-rocket_vap_5G_1 Description : srx345-rocket_vap_5G MAC Address : 94:f7:ad:2c:08:41 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 100 Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0 Radio2: VAP0: SSID : srx345-rocket_vap_2.4G_1 Description : srx345-rocket_vap_2dot4G MAC Address : 94:f7:ad:2c:08:42 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 100 Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0