为 WAN 连接配置 3G 无线调制解调器
以下主题讨论 3G 无线调制解调器、拨号器接口和 3G 无线调制解调器物理接口的概述和配置。
3G 无线调制解调器概述
3G是指基于国际电信联盟(ITU)国际移动通信-2000(IMT-2000)全球标准的第三代移动电话标准和技术。3G 网络是广域蜂窝电话网络,其发展已发展到包括高达 3 Mbps 的高数据传输速率服务。这种带宽的增加使得 3G 网络成为分支机构的主要或备用广域网 (WAN) 链路的可行选择。
瞻博网络安全设备支持 3G 无线接口(基于 USB 的 3G 调制解调器)。在分支机构中使用时,这些设备可以向 PC 用户提供拨出服务,并通过服务提供商的蜂窝网络转发 IP 流量。
图 1 展示了两个分支机构的 3G 无线连接的基本设置。分支机构 A 将一条 T1 租用线路作为主要广域网 (WAN) 链路,并使用一条 3G 无线调制解调器连接作为故障转移链路。分支机构 B 使用 3G 无线调制解调器连接作为主 WAN 链路。
的无线 WAN 连接
3G 无线调制解调器配置概述
开始之前:
要配置和激活 3G 无线调制解调器卡:
配置拨号器接口。请参阅 示例:配置拨号器接口。
配置 3G 无线调制解调器接口。请参阅 示例:配置 3G 无线调制解调器接口。
根据需要配置安全区域和策略,以允许流量通过 WAN 链路。请参阅 示例:创建安全区域。
要在 SRX210 设备上使用 3G USB 调制解调器,请执行以下作:
升级 Junos OS 映像中打包的 BIOS 软件。有关 BIOS 升级过程的详细信息,请参阅 《软件安装和升级指南》。
注意:您需要 BIOS 2.1 或更高版本才能使用 SRX210 设备上的 3G USB 调制解调器。
使用 CLI 命令
set chassis routing-engine usb-wwan port 1配置 WAN 端口,使 USB 端口能够使用 U319 USB 调制解调器。将 3G USB 调制解调器插入设备上相应的 USB 插槽(USB 端口 1)。
注意:您可以将 USB 调制解调器与 1.8288 米(6 英尺)或更长的标准 USB 延长线一起使用。
重新启动设备以开始使用 3G USB 调制解调器。
了解拨号器接口
拨号器接口dln ,是用于配置调制解调器连接属性的逻辑接口。您可以在 SRX 系列防火墙上配置多个拨号器接口。拨号器接口和拨号器池(包括物理接口)在拨号器配置文件中绑定在一起。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器的拨号器接口。
本主题包含以下部分:
拨号器接口配置规则
为 3G 无线调制解调器连接配置拨号器接口时,适用以下规则:
拨号器接口必须配置为使用默认的点对点协议 (PPP) 封装。您无法在拨号器接口上配置 Cisco 高级数据链路控制 (HDLC) 或多链路 PPP (MLPPP) 封装。
不能将拨号器接口配置为多链路捆绑包中的组成链路。
不能为拨号器接口配置任何拨入选项。
为拨号器接口配置以下内容:
物理接口所属的拨号器池。
拨号器接口的源 IP 地址。
拨号字符串(可选)是要拨打的目标号码。
GSM HSDPA 3G 无线调制解调器卡的身份验证。
如果拨号器接口是备份 WAN 链路,则列入监视列表。
使用 GSM HSDPA 3G 无线调制解调器卡,您可能需要配置 PAP 或 CHAP 以通过服务提供商网络进行身份验证。服务提供商必须提供您在访问配置文件中配置的用户名和密码。然后在拨号器接口中指定访问配置文件。
接下来,将拨号器接口设置为到主接口的备份 WAN 链路。然后,创建一个拨号器监视器,使设备能够监视到总部路由器的路由,并设置拨号器池。最后,为从分支机构到主办公室路由器的流量创建拨号器过滤器防火墙规则,并将拨号器过滤器与拨号器接口相关联。
GSM 的拨号器接口身份验证支持 HSDPA 3G 无线调制解调器
对于 GSM HSDPA 3G 无线调制解调器,您可以配置拨号器接口以支持通过质询握手身份验证协议 (CHAP) 或密码身份验证协议 (PAP) 进行身份验证。
CHAP 是一种服务器驱动的三步身份验证方法,它依赖于驻留在服务器和客户端上的共享密钥密码。在拨号器接口上启用 CHAP 时,设备可对其对等方进行身份验证,并由其对等方进行身份验证。
PAP 允许对等方在初始链路建立期间使用双向握手来建立其身份的简单方法。建立链路后,对等方会向验证方重复发送标识和密码对,直到确认身份验证或终止连接。
拨号器接口功能
拨号器接口可以执行备份、拨号器过滤器和拨号器监视功能,但这些作是互斥的。您可将单个拨号器接口配置为仅通过以下一种方式运行:
用作单个主 WAN 连接的备份接口。仅当主接口发生故障时,拨号器接口才会激活。除
lsq-0/0/0外,所有接口均支持 3G 无线调制解调器备份连接。作为拨号器过滤器。拨号器过滤器允许仅在备份 WAN 链路上发送特定网络流量时激活 3G 无线调制解调器连接。您可以使用拨号器过滤器选项配置防火墙规则,然后将拨号器过滤器应用于拨号器接口。
作为拨号器监视界面。借助拨号器监视,SRX 系列防火墙会监控指定路由的状态,如果路由消失,拨号器接口会启动 3G 无线调制解调器连接作为备用连接。要配置拨号器监视,首先要监视的路由添加到拨号器接口中的监视列表中;为此配置指定拨号器池。然后将 3G 无线调制解调器接口配置为使用拨号器池。
拨号器接口运行参数
您还可以为拨号器接口指定可选作参数:
激活延迟 — 主接口关闭后激活备份接口的秒数。默认值为 0 秒,最大值为 60 秒。仅当配置了拨号器监视时,才使用此选项。
停用延迟 — 主接口启动后停用备份接口的秒数。默认值为 0 秒,最大值为 60 秒。仅当配置了拨号器监视时,才使用此选项。
空闲超时 — 断开连接前保持空闲状态的秒数。默认值为 120 秒,范围为 0 到 4,294,967,295 秒。
初始路由检查 — 在检查主接口以查看其是否已开启之前的秒数。默认值为 120 秒,范围为 1 到 300 秒。
示例:配置拨号器接口
此示例说明如何为 3G 无线调制解调器连接配置拨号器接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器的拨号器接口。
要求
开始之前,请安装 SRX 系列防火墙并为设备建立基本连接。请参阅 3G 无线调制解调器配置概述。
概述
在此示例中,首先将拨号器接口配置为 dl0,将 PPP 封装拨号器池指定为 1,将拨号字符串指定为 14691,然后协商接口 IP 地址的地址选项。
配置
- 配置拨号器接口
- 在拨号器接口上配置 PAP
- 在拨号器接口上配置 CHAP
- 将拨号器接口配置为备用 WAN 连接
- 为 3G 无线调制解调器接口配置拨号器监视
- 为 3G 无线调制解调器接口配置拨号器过滤器
配置拨号器接口
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces dl0 description 3g-wireless encapsulation ppp unit 0 dialer-options pool 1 dial-string 14691 set interfaces dl0 unit 0 family inet negotiate-address
分步过程
设置接口并指定 PPP 封装、拨号器池和拨号字符串。
[edit] user@host# set interfaces dl0 description 3g-wireless encapsulation ppp unit 0 dialer-options pool 1 dial-string 14691
设置接口 IP 地址的协商地址选项。
[edit] user@host# set interfaces dl0 unit 0 family inet negotiate-address
结果
在配置模式下,输入 show interfaces dl0 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show interfaces dl0
description 3g-wireless;
encapsulation ppp;
unit 0 {
family inet {
negotiate-address;
}
dialer-options {
pool 1;
dial-string 14691;
}
}
如果完成设备配置,请从配置模式输入 commit 。
在拨号器接口上配置 PAP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set access profile pap-1 client clientX pap-password 7a^6b%5c set interfaces dl0 unit 0 ppp-options pap access-profile pap-1
分步过程
配置 PAP 访问配置文件。
[edit] user@host# set access profile pap-1 client clientX pap-password 7a^6b%5c
将 PAP 访问配置文件与拨号器接口相关联。
[edit] user@host# set interfaces dl0 unit 0 ppp-options pap access-profile pap-1
结果
在配置模式下,输入 show interfaces dl0 和 show access profile pap-1 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show interfaces dl0
unit 0 {
ppp-options {
pap {
access-profile pap-1;
}
}
}
[edit]
user@host# show access profile pap-1
client clientX pap-password "$9$jnqTz3nCBESu01hSrKvZUDkqf"; ## SECRET-DATA
如果完成设备配置,请从配置模式输入 commit 。
在拨号器接口上配置 CHAP
CLI 快速配置
使用 GSM HSDPA 3G 无线调制解调器卡,您可能需要配置 CHAP 以通过服务提供商网络进行身份验证。服务提供商必须提供您在访问配置文件中配置的用户名和密码。然后在拨号器接口中指定此访问配置文件。
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set access profile chap-1 client clientX chap-secret 7a^6b%5c set interfaces dl0 unit 0 ppp-options chap access-profile chap-1
分步过程
配置 CHAP 访问配置文件。
[edit] user@host# set access profile chap-1 client clientX chap-secret 7a^6b%5c
将 CHAP 访问配置文件与拨号器接口相关联。
[edit] user@host# set interfaces dl0 unit 0 ppp-options chap access-profile chap-1
结果
在配置模式下,输入 show access profile chap-1 和 show interfaces dl0 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show access profile chap-1
client clientX chap-secret "$9$neYpCO1REyWx-Kv87-VsYQF39Cu"; ## SECRET-DATA
[edit]
user@host# show interfaces dl0
unit 0 {
ppp-options {
chap {
access-profile chap-1;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
将拨号器接口配置为备用 WAN 连接
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/1 unit 0 backup-options interface dl0
分步过程
设置接口备份选项。
[edit] user@host# set interfaces ge-0/0/1 unit 0 backup-options interface dl0
结果
在配置模式下,输入 show interfaces ge-0/0/1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show interfaces ge-0/0/1
unit 0 {
backup-options {
interface dl0.0;
}
}
如果完成设备配置,请从配置模式输入 commit 。
为 3G 无线调制解调器接口配置拨号器监视
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces dl0 description dialer-watch unit 0 dialer-options watch-list 200.200.201.1/32 set interfaces dl0 description dialer-watch unit 0 dialer-options pool dw-pool
分步过程
创建拨号器监视。
[edit] user@host# set interfaces dl0 description dialer-watch unit 0 dialer-options watch-list 200.200.201.1/32
设置拨号器池。
[edit] user@host# set interfaces dl0 description dialer-watch unit 0 dialer-options pool dw-pool
结果
在配置模式下,输入 show interfaces dl0 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show interfaces dl0
description dialer-watch;
unit 0 {
dialer-options {
watch-list {
200.200.201.1/32;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
为 3G 无线调制解调器接口配置拨号器过滤器
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set firewall family inet dialer-filter traffic-filter term term1 then note
分步过程
将拨号器过滤器与拨号器接口相关联。
[edit] user@host# set firewall family inet dialer-filter traffic-filter term term1 then note
在提交之前,请检查对配置的其他更改。
[edit] user@host# commit check
结果
在配置模式下,输入 show firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show firewall
family inet {
dialer-filter traffic-filter {
term term-1 {
then note;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
了解 3G 无线调制解调器物理接口
您可以为 3G 无线调制解调器连接配置两种类型的接口:物理接口和逻辑拨号器接口。
3G 无线调制解调器的物理接口使用名称 cl-0/0/8。当设备中安装 3G 无线调制解调器时,会自动创建此接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器物理接口。
您可以为物理接口配置以下属性:
物理接口所属的拨号器池以及池中接口的优先级。一个物理接口可以属于多个拨号器池。拨号器池优先级的范围为
1255,1其中指定优先级最低的接口和255优先级最高的接口。调制解调器初始化字符串(可选)。这些字符串以
AT指定调制解调器作的 Hayes 调制解调器命令开头并执行。用于与 GSM 蜂窝网络建立数据呼叫的 GSM 配置文件。
默认情况下,调制解调器允许访问家庭网络以外的网络。
示例:配置 3G 无线调制解调器接口
此示例说明如何配置 3G 无线调制解调器接口。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持 3G 无线调制解调器物理接口。
要求
开始之前,配置一个拨号器接口。请参阅 示例:配置拨号器接口。
概述
在此示例中,您将 3G 无线调制解调器的物理接口配置为 cl-0/0/8,以便使用拨号器池 1,并将拨号器池的优先级设置为 25。您还可以将调制解调器初始化字符串配置为在响铃两次后自动应答。
配置
程序
分步过程
要配置 3G 无线调制解调器接口,请执行以下作:
指定拨号器池。
[edit] user@host# set interfaces cl-0/0/8 dialer-options pool 1 priority 25
指定调制解调器选项。
[edit] user@host# set interfaces cl-0/0/8 modem-options init-command-string “ATSO=2\n”
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show interfaces cl-0/0/8 modem options 命令。
了解 GSM 配置文件
要允许对全球移动通信系统 (GSM) 网络进行数据呼叫,必须从服务提供商处获取以下信息:
用户名和密码
接入点名称 (APN)
身份验证是质询握手认证协议 (CHAP) 还是密码认证协议 (PAP)
您可以在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置此信息。您最多可以配置 16 个不同的 GSM 配置文件,但一次只能激活一个配置文件。
您还需要使用指定的拨号器接口用户名和密码配置 CHAP 或 PAP 配置文件。
用户信息将写入 GSM HSDPA 3G 无线调制解调器卡上的用户标识模块 (SIM)。如果 SIM 卡被锁定,您必须在激活前使用服务提供商在购买蜂窝网络服务时提供的主补贴锁 (MSL) 值将其解锁。
某些服务提供商可能会在 SIM 卡上预加载用户配置文件信息。分配的订户信息存储在配置文件 1 中,而配置文件 0 是在制造过程中创建的默认配置文件。如果是这种情况,请为与 3G 无线调制解调器物理接口关联的 GSM 配置文件指定配置文件 1。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置信息。
示例:配置 GSM 配置文件
此示例说明如何为与 AT&T 和 T-Mobile 等服务提供商网络的 3G 无线调制解调器接口配置 GSM 配置文件。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不再支持在与 3G 无线调制解调器物理接口关联的 GSM 配置文件中配置信息。
要求
开始之前:
配置拨号器接口。请参阅 示例:配置拨号器接口
配置 3G 无线调制解调器接口。请参阅 示例:配置 3G 无线调制解调器接口。
概述
在此示例中,您将在与 3G 无线调制解调器物理接口 cl-0/0/8 关联的名为 juniper99 的 GSM 配置文件中配置服务提供商提供的以下信息:
用户名—
juniper99密码—
1@#6ahgfh接入点名称 (APN)—
apn.service.com身份验证方法 —
CHAP
然后,通过将配置文件 ID 指定为配置文件 ID 1 来激活配置文件。
拓扑学
配置
程序
分步过程
要为 3G 无线调制解调器接口配置 GSM 配置文件:
创建 GSM 配置文件。
[edit] user@host> request modem wireless gsm create-profile profile-id 1 sip-user-id juniper99 sip-password 16ahgfh access-point-name apn.service.com authentication-method chap
激活配置文件。
[edit] user@host# set interface cl-0/0/8 cellular-options gsm-options select-profile profile-id 1
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show interfaces cl-0/0/8 命令。
解锁 GSM 3G 无线调制解调器
开始之前,请从服务提供商处获取 PIN。
GSM 3G 无线调制解调器卡中的用户身份模块 (SIM) 是可拆卸的智能卡。更换 SIM 卡允许您更改服务提供商网络,但某些服务提供商会锁定 SIM 卡以防止未经授权访问服务提供商的网络。如果是这种情况,您需要使用个人识别码 (PIN) 解锁 SIM 卡,这是服务提供商提供的四位数号码。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备不支持解锁 3G 无线调制解调器卡中的 SIM。
使用 CLI作模式命令解锁 GSM 3G 无线调制解调器卡上的 SIM 卡。
此示例使用服务提供商提供的 PIN 3210 。
要解锁 GSM 3G 无线调制解调器卡上的 SIM 卡:
user@host> request modem wireless gsm sim-unlock cl-0/0/8 pin 3210
连续三次解锁尝试失败后,SIM卡被阻止;这是一项安全功能,可防止暴力破解SIM卡。当SIM卡被阻止时,您需要使用从服务提供商处获得的八位PIN解锁密钥(PUK)解锁SIM卡来解锁SIM卡。
要在重新启动时自动解锁 SIM 卡:
user@host# set interfaces cl-0/0/8 cellular-options gsm-options sim-unlock-code Enter PIN: user@host#
在 SRX300、SRX320 设备上,当您开机或重新启动设备时,订阅者身份模块 (SIM) 将被锁定。如果在配置命令中 set interfaces cl-0/0/8 cellular-options gsm-options sim-unlock-code 配置了 SIM 卡个人识别码 (PIN) 或解锁码,则 Junos OS 只会尝试解锁 SIM 卡一次。这是为了防止SIM卡被阻止。如果 SIM 卡被阻止,则必须提供从服务提供商处获取的 PIN 解锁密钥 (PUK)。如果配置了错误的 SIM 卡 PIN 码,则 SIM 卡将保持锁定状态,管理员可以使用剩余的两次尝试将其解锁。
使用 CLI作模式命令取消阻止 SIM 卡。
此示例使用服务提供商提供的 PUK 76543210 。
要解锁 SIM 卡,请执行以下作:
user@host> request modem wireless gsm sim-unblock cl-0/0/8 puk 76543210
如果您输入PUK错误十次,则需要将SIM卡退还给服务提供商以重新激活。