为 WAN 连接配置 3G 无线调制解调器
以下主题讨论 3G 无线调制解调器、拨号器接口和 3G 无线调制解调器物理接口的概述和配置。
3G 无线调制解调器概述
3G是指基于国际电信联盟(ITU)国际移动通信-2000(IMT-2000)全球标准的第三代移动电话标准和技术。3G 网络是广域蜂窝电话网络,已发展到包括高达 3 Mbps 的高数据速率服务。带宽的增加使 3G 网络成为分支机构的主要或备用广域网 (WAN) 链路的可行选择。
瞻博网络安全设备支持 3G 无线接口(基于 USB 的 3G 调制解调器)。在分支机构使用时,这些设备可以向 PC 用户提供拨出服务,并通过服务提供商的蜂窝网络转发 IP 流量。
图 1 显示了两个分支机构的 3G 无线连接的基本设置。分支机构 A 将 T1 租用线路作为主要广域网 (WAN) 链路,将 3G 无线调制解调器连接作为故障转移链路。分支机构 B 使用 3G 无线调制解调器连接作为主 WAN 链路。
的无线 WAN 连接
3G 无线调制解调器配置概述
准备工作:
要配置和激活 3G 无线调制解调器卡:
配置拨号器接口。请参阅 示例:配置拨号器接口。
配置 3G 无线调制解调器接口。请参阅 示例:配置 3G 无线调制解调器接口。
根据需要配置安全区域和策略,以允许流量通过 WAN 链路。请参见 示例:创建安全区域。
要在 SRX210 设备上使用 3G USB 调制解调器:
升级 Junos OS 映像中打包的 BIOS 软件。有关 BIOS 升级过程的详细信息,请参阅 《软件安装和升级指南》。
注意:您需要 2.1 或更高版本的 BIOS 版本才能在 SRX210 设备上使用 3G USB 调制解调器。
使用 CLI 命令
set chassis routing-engine usb-wwan port 1配置 WAN 端口,使 USB 端口能够使用 U319 USB 调制解调器。将 3G USB 调制解调器插入设备上相应的 USB 插槽(USB 端口 1)。
注意:您可以将 USB 调制解调器与 1.8288 米(6 英尺)或更长的标准 USB 延长线一起使用。
重新启动设备以开始使用 3G USB 调制解调器。
了解拨号器接口
拨号器接口dln 是用于配置调制解调器连接属性的逻辑接口。您可以在 SRX 系列防火墙上配置多个拨号器接口。拨号器接口和拨号器池(包括物理接口)在拨号器配置文件中绑定在一起。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器的拨号器接口。
本主题包含以下部分:
拨号器接口配置规则
为 3G 无线调制解调器连接配置拨号器接口时,适用以下规则:
必须将拨号器接口配置为使用默认的点对点协议 (PPP) 封装。您无法在拨号器接口上配置思科高级数据链路控制 (HDLC) 或多链路 PPP (MLPPP) 封装。
不能将拨号器接口配置为多链路束中的组成链路。
不能为拨号器接口配置任何拨入选项。
您可以为拨号器接口配置以下内容:
物理接口所属的拨号器池。
拨号器接口的源 IP 地址。
拨号字符串(可选)是要拨打的目标号码。
用于 GSM HSDPA 3G 无线调制解调器卡的身份验证。
监视列表(如果拨号器接口是备份 WAN 链路)。
使用 GSM HSDPA 3G 无线调制解调器卡时,您可能需要配置 PAP 或 CHAP 才能通过服务提供商网络进行身份验证。服务提供商必须提供您在访问配置文件中配置的用户名和密码。然后,您可以在拨号器界面中指定访问配置文件。
接下来,将拨号器接口设置为主接口的备份 WAN 链路。然后,创建拨号器监视,使设备能够监视到总部路由器的路由并设置拨号器池。最后,为从分支机构到总部路由器的流量创建拨号器过滤器防火墙规则,并将拨号器过滤器与拨号器接口关联。
GSM HSDPA 3G 无线调制解调器的拨号器接口身份验证支持
对于 GSM HSDPA 3G 无线调制解调器,您可以配置拨号器接口以支持通过质询握手身份验证协议 (CHAP) 或密码身份验证协议 (PAP) 进行身份验证。
CHAP 是一种服务器驱动的三步身份验证方法,它依赖于驻留在服务器和客户端上的共享密钥密码。在拨号器接口上启用 CHAP 时,设备可以对其对等方进行身份验证,并由其对等方进行身份验证。
PAP 允许对等方在初始链路建立期间使用双向握手建立其身份的简单方法。建立链路后,对等方会向身份验证器重复发送标识和密码对,直到确认身份验证或终止连接。
拨号器接口功能
拨号器接口可以执行备份、拨号器过滤器和拨号器监视功能,但这些操作是互斥的。您可以将单个拨号器接口配置为仅以下列方式之一运行:
作为单个主 WAN 连接的备份接口。仅当主接口出现故障时,才会激活拨号器接口。除 外
lsq-0/0/0的所有接口都支持 3G 无线调制解调器备份连接。作为拨号器过滤器。拨号器过滤器使 3G 无线调制解调器连接仅在备份 WAN 链路上发送特定网络流量时激活。使用拨号程序筛选器选项配置防火墙规则,然后将拨号程序筛选器应用于拨号程序接口。
作为拨号器监视界面。通过拨号器监视,SRX 系列防火墙会监控指定路由的状态,如果路由消失,拨号器接口将启动 3G 无线调制解调器连接作为备份连接。要配置拨号器监视,首先将要监视的路由添加到拨号器界面中的监视列表中;为此配置指定拨号器池。然后将 3G 无线调制解调器接口配置为使用拨号器池。
拨号器接口操作参数
您还可以为拨号器接口指定可选操作参数:
激活延迟 — 主接口关闭后激活备份接口之前的秒数。默认值为 0 秒,最大值为 60 秒。仅当配置了拨号程序监视时,才使用此选项。
停用延迟 — 主接口启动后停用备份接口之前的秒数。默认值为 0 秒,最大值为 60 秒。仅当配置了拨号程序监视时,才使用此选项。
空闲超时 - 连接在断开连接之前保持空闲的秒数。默认值为 120 秒,范围为 0 到 4,294,967,295 秒。
初始路由检查 — 检查主接口以查看其是否启动之前的秒数。默认值为 120 秒,范围为 1 到 300 秒。
示例:配置拨号器接口
此示例说明如何为 3G 无线调制解调器连接配置拨号器接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器的拨号器接口。
要求
开始之前,请安装 SRX 系列防火墙并为设备建立基本连接。请参阅 3G 无线调制解调器配置概述。
概述
在此示例中,首先将拨号器接口配置为 dl0,将 PPP 封装拨号器池指定为 1,将拨号字符串指定为 14691,然后协商接口 IP 地址的地址选项。
配置
- 配置拨号器接口
- 在拨号器接口上配置 PAP
- 在拨号器接口上配置 CHAP
- 将拨号器接口配置为备用 WAN 连接
- 为 3G 无线调制解调器接口配置拨号器监视
- 为 3G 无线调制解调器接口配置拨号器过滤器
配置拨号器接口
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set interfaces dl0 description 3g-wireless encapsulation ppp unit 0 dialer-options pool 1 dial-string 14691 set interfaces dl0 unit 0 family inet negotiate-address
分步过程
设置接口并指定 PPP 封装、拨号器池和拨号字符串。
[edit] user@host# set interfaces dl0 description 3g-wireless encapsulation ppp unit 0 dialer-options pool 1 dial-string 14691
为接口 IP 地址设置协商地址选项。
[edit] user@host# set interfaces dl0 unit 0 family inet negotiate-address
结果
在配置模式下,输入 show interfaces dl0 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces dl0
description 3g-wireless;
encapsulation ppp;
unit 0 {
family inet {
negotiate-address;
}
dialer-options {
pool 1;
dial-string 14691;
}
}
如果完成设备配置,请从配置模式输入 commit 。
在拨号器接口上配置 PAP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set access profile pap-1 client clientX pap-password 7a^6b%5c set interfaces dl0 unit 0 ppp-options pap access-profile pap-1
分步过程
配置 PAP 访问配置文件。
[edit] user@host# set access profile pap-1 client clientX pap-password 7a^6b%5c
将 PAP 访问配置文件与拨号器接口关联。
[edit] user@host# set interfaces dl0 unit 0 ppp-options pap access-profile pap-1
结果
在配置模式下,输入 show interfaces dl0 和 show access profile pap-1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces dl0
unit 0 {
ppp-options {
pap {
access-profile pap-1;
}
}
}
[edit]
user@host# show access profile pap-1
client clientX pap-password "$9$jnqTz3nCBESu01hSrKvZUDkqf"; ## SECRET-DATA
如果完成设备配置,请从配置模式输入 commit 。
在拨号器接口上配置 CHAP
CLI 快速配置
使用 GSM HSDPA 3G 无线调制解调器卡时,您可能需要配置 CHAP 才能通过服务提供商网络进行身份验证。服务提供商必须提供您在访问配置文件中配置的用户名和密码。然后,您可以在拨号器接口中指定此访问配置文件。
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set access profile chap-1 client clientX chap-secret 7a^6b%5c set interfaces dl0 unit 0 ppp-options chap access-profile chap-1
分步过程
配置 CHAP 访问配置文件。
[edit] user@host# set access profile chap-1 client clientX chap-secret 7a^6b%5c
将 CHAP 访问配置文件与拨号器接口关联。
[edit] user@host# set interfaces dl0 unit 0 ppp-options chap access-profile chap-1
结果
在配置模式下,输入 show access profile chap-1 和 show interfaces dl0 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show access profile chap-1
client clientX chap-secret "$9$neYpCO1REyWx-Kv87-VsYQF39Cu"; ## SECRET-DATA
[edit]
user@host# show interfaces dl0
unit 0 {
ppp-options {
chap {
access-profile chap-1;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
将拨号器接口配置为备用 WAN 连接
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/1 unit 0 backup-options interface dl0
分步过程
设置接口备份选项。
[edit] user@host# set interfaces ge-0/0/1 unit 0 backup-options interface dl0
结果
在配置模式下,输入 show interfaces ge-0/0/1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces ge-0/0/1
unit 0 {
backup-options {
interface dl0.0;
}
}
如果完成设备配置,请从配置模式输入 commit 。
为 3G 无线调制解调器接口配置拨号器监视
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set interfaces dl0 description dialer-watch unit 0 dialer-options watch-list 200.200.201.1/32 set interfaces dl0 description dialer-watch unit 0 dialer-options pool dw-pool
分步过程
创建拨号器监视。
[edit] user@host# set interfaces dl0 description dialer-watch unit 0 dialer-options watch-list 200.200.201.1/32
设置拨号器池。
[edit] user@host# set interfaces dl0 description dialer-watch unit 0 dialer-options pool dw-pool
结果
在配置模式下,输入 show interfaces dl0 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces dl0
description dialer-watch;
unit 0 {
dialer-options {
watch-list {
200.200.201.1/32;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
为 3G 无线调制解调器接口配置拨号器过滤器
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set firewall family inet dialer-filter traffic-filter term term1 then note
分步过程
将拨号器过滤器与拨号器接口关联。
[edit] user@host# set firewall family inet dialer-filter traffic-filter term term1 then note
在提交之前,请检查您对配置的其他更改。
[edit] user@host# commit check
结果
在配置模式下,输入 show firewall 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show firewall
family inet {
dialer-filter traffic-filter {
term term-1 {
then note;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
了解 3G 无线调制解调器物理接口
您可以为 3G 无线调制解调器连接配置两种类型的接口:物理接口和逻辑拨号器接口。
3G 无线调制解调器的物理接口使用名称 cl-0/0/8。当设备中安装 3G 无线调制解调器时,会自动创建此接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器物理接口。
您可以为物理接口配置以下属性:
物理接口所属的拨号器池以及池中接口的优先级。一个物理接口可以属于多个拨号器池。拨号器池优先级的范围为
1到 ,用于1指定优先级最低的接口和255指定255优先级最高的接口。调制解调器初始化字符串(可选)。这些字符串以指定调制解调器操作的 Hayes 调制解调器命令开头
AT并执行这些命令。GSM 配置文件,用于与 GSM 蜂窝网络建立数据呼叫。
默认情况下,调制解调器允许访问家庭网络以外的网络。
示例:配置 3G 无线调制解调器接口
此示例说明如何配置 3G 无线调制解调器接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器物理接口。
要求
开始之前,请配置拨号器接口。请参阅 示例:配置拨号器接口。
概述
在此示例中,您将 3G 无线调制解调器的物理接口配置为 cl-0/0/8,以使用拨号器池 1,并将拨号器池的优先级设置为 25。您还可以将调制解调器初始化字符串配置为在响铃两次后自动应答。
配置
程序
分步过程
要配置 3G 无线调制解调器接口,请执行以下操作:
指定拨号器池。
[edit] user@host# set interfaces cl-0/0/8 dialer-options pool 1 priority 25
指定调制解调器选项。
[edit] user@host# set interfaces cl-0/0/8 modem-options init-command-string “ATSO=2\n”
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show interfaces cl-0/0/8 modem options 命令。
了解 GSM 配置文件
要允许对全球移动通信系统 (GSM) 网络进行数据调用,您必须从服务提供商处获取以下信息:
用户名和密码
接入点名称 (APN)
身份验证是质询握手身份验证协议 (CHAP) 还是密码身份验证协议 (PAP)
您可以在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置此信息。您最多可以配置 16 个不同的 GSM 配置文件,但一次只能有一个配置文件处于活动状态。
您还需要为拨号器接口配置具有指定用户名和密码的 CHAP 或 PAP 配置文件。
用户信息将写入 GSM HSDPA 3G 无线调制解调器卡上的用户识别模块 (SIM)。如果 SIM 卡已锁定,则必须在激活之前使用服务提供商在购买手机网络服务时提供的主补贴锁定 (MSL) 值将其解锁。
某些服务提供商可能会在 SIM 卡上预加载订户个人资料信息。分配的订户信息存储在配置文件 1 中,而配置文件 0 是在制造过程中创建的默认配置文件。如果是这种情况,请为与 3G 无线调制解调器物理接口关联的 GSM 配置文件指定配置文件 1。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置信息。
示例:配置 GSM 配置文件
此示例说明如何为与服务提供商网络(如 AT&T 和 T-Mobile)的 3G 无线调制解调器接口配置 GSM 配置文件。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置信息。
要求
准备工作:
配置拨号器接口。请参阅 示例:配置拨号器接口
配置 3G 无线调制解调器接口。请参阅 示例:配置 3G 无线调制解调器接口。
概述
在此示例中,您将在与 3G 无线调制解调器物理接口 cl-0/0/8 关联的名为 juniper99 的 GSM 配置文件中配置服务提供商提供的以下信息:
用户名—
juniper99密码—
1@#6ahgfh接入点名称 (APN)—
apn.service.com身份验证方法 —
CHAP
然后,通过将配置文件 ID 指定为配置文件 ID 1 来激活配置文件。
拓扑学
配置
程序
分步过程
要为 3G 无线调制解调器接口配置 GSM 配置文件:
创建 GSM 配置文件。
[edit] user@host> request modem wireless gsm create-profile profile-id 1 sip-user-id juniper99 sip-password 16ahgfh access-point-name apn.service.com authentication-method chap
激活配置文件。
[edit] user@host# set interface cl-0/0/8 cellular-options gsm-options select-profile profile-id 1
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show interfaces cl-0/0/8 命令。
解锁GSM 3G无线调制解调器
在开始之前,请从服务提供商处获取 PIN。
GSM 3G无线调制解调器卡中的用户识别模块(SIM)是可拆卸的智能卡。换出 SIM 卡允许您更改服务提供商网络,但某些服务提供商会锁定 SIM 卡以防止未经授权访问服务提供商的网络。如果是这种情况,您将需要使用个人识别码 (PIN)(服务提供商提供的四位数字)解锁 SIM 卡。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不支持解锁 3G 无线调制解调器卡中的 SIM 卡。
使用 CLI 操作模式命令解锁 GSM 3G 无线调制解调器卡上的 SIM 卡。
此示例使用服务提供商提供的 PIN 3210 。
要解锁 GSM 3G 无线调制解调器卡上的 SIM 卡:
user@host> request modem wireless gsm sim-unlock cl-0/0/8 pin 3210
连续三次解锁尝试失败后,SIM 卡被阻止;这是一项安全功能,可防止暴力尝试解锁 SIM 卡。当 SIM 卡被阻止时,您需要使用从服务提供商处获得的八位数 PIN 解锁密钥 (PUK) 取消阻止 SIM 卡。
要在重新启动时自动解锁 SIM 卡:
user@host# set interfaces cl-0/0/8 cellular-options gsm-options sim-unlock-code Enter PIN: user@host#
在 SRX300、SRX320 设备上,当您打开或重新启动设备电源时,用户识别模块 (SIM) 将被锁定。如果在配置命令中 set interfaces cl-0/0/8 cellular-options gsm-options sim-unlock-code 配置了 SIM 个人识别码 (PIN) 或解锁码,则 Junos OS 仅尝试解锁一次 SIM 卡。这是为了防止SIM卡被阻止。如果 SIM 卡被阻止,则必须提供从服务提供商处获取的 PIN 解锁密钥 (PUK)。如果配置了错误的 SIM 卡 PIN,SIM 卡将保持锁定状态,管理员可以使用剩余的两次尝试将其解锁。
使用 CLI 操作模式命令取消阻止 SIM 卡。
此示例使用服务提供商提供的 PUK 76543210 。
要取消阻止 SIM 卡,请执行以下操作:
user@host> request modem wireless gsm sim-unblock cl-0/0/8 puk 76543210
如果您十次错误地输入 PUK,则需要将 SIM 卡退还给服务提供商以重新激活。