Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

在 SRX300 服务网关上配置具有主动/备用互联网连接的 SD-WAN

要求

此示例使用以下硬件和软件组件。

  • 一台 SRX300 系列设备(320、340、345、380)

  • 一个用于 SRX300 系列的 Wi-Fi MPIM

  • 一个用于 SRX300 系列的 LTE MPIM

  • 一张订阅数据服务的SIM卡

  • Junos OS 19.4R1

概述

在此示例中,我们将设置分支机构 SRX320 系列设备,为现场员工提供有线和无线互联网和内联网访问,以及对访客设备的无线互联网访问。主互联网链路通过以太网,而备用连接通过LTE网络。这两个链路配置为主动/备用模式,除非主链路关闭,否则不会通过 LTE 调制解调器路由任何流量。

拓扑

图 1:示例拓扑 Example Topology

示例的拓扑如图 1 所示。LTE Mini-PIM 安装在插槽 1 中。WI-FI 小型 PIM 安装在插槽 2 中。SIM 卡安装在 LTE 模块的插槽 1 中。主链路连接到接口 ge-0/0/0,并从其连接的设备接收其 IP 地址、网络掩码、默认网关和 DNS 服务器。调制解调器具有接口cl-1/0/0。

PDP 上下文在接口 dl.0 上终止,与 ge-0/0/0 类似,IP 地址、网络掩码和默认网关由 GGSN/PGW 分配。Wi-Fi 接口为 wl-2/0/0.200,为访客网络提供服务,而接口为 wl-2/0/0.100 为企业网络提供服务。安全区域和每个区域的接口列表如图 2 所示。

图 2:安全区域 Security Zones

SRX300 系列设备上配置了四个安全区域,特别是不信任、信任、公司和访客。通过将接口分离到安全区域,可以分离流量并降低企业 Intranet 面临的风险,并作为实现清晰和简化安全策略实施的工具。区域不信任托管有权访问互联网的接口。

企业内部网中的内部接口位于区域信任中。组织无线设备在“公司”区域中漫游。仅被授予互联网访问权限的个人移动设备位于“来宾”区域。

表 1 显示了区域间流量安全策略的预期行为。

表 1:按区域划分的安全策略

From-To

Untrust

Trust

Corporate

Guest

Untrust

仅信任启动

仅限企业发起

仅限来宾启动

Trust

是的

是的

仅限企业发起

Corporate

是的

是的

是的

Guest

是的

表 2 汇总了接口的 VLAN 信息和 IP 地址信息。

表 2:接口配置详细信息

Interface

VLAN

IP Adress

Netmask

wl-2/0/0.100

100

172.16.100.1

255.255.255.0

WL-2/0/0.200

200

192.16.200.1

255.255.255.0

DL.0

3

Dhcp

-

ge-0/0/0

3

Dhcp

-

Irb.0

3

192.168.1.1

255.255.255.0

配置和验证

配置

分步过程

此配置中的步骤从逻辑上从下层构建到上层。

  1. 为访客设备创建 VLAN。

  2. 为公司设备创建 VLAN。

  3. 创建接入点。

  4. 设置设备安装的国家/地区。不同的国家/地区有不同的 802.11 频谱可供一般使用。

  5. 配置接入点的 5GHz 无线电接口。设置其模式、将操作的通道号以及将使用的带宽。此外,设置 5GHz 无线电接口的发射功率(以 % 为单位)。

  6. 为 5GHz 访客网络创建虚拟接入点 (VAP)。Mini-PIM 支持每个无线电接口多达 8 个虚拟接入点。

  7. 将 VAP wpa-personal的安全性配置为 。设置密码套件、密钥类型和预共享密钥。

  8. 配置接入点的 2.4GHz 无线电接口。设置其模式、将操作的通道号以及将使用的带宽。此外,设置无线电接口的发射功率(以 % 为单位)。

  9. 在 2.4GHz 访客网络上配置 VAP。

  10. 将 VAP wpa-personal的安全性配置为 。设置密码套件、密钥类型和预共享密钥。

  11. 在 5GHz 企业网络上配置 VAP。

  12. 将 VAP wpa-personal的安全性配置为 。设置密码套件、密钥类型和预共享密钥。

  13. 在 2.4GHz 企业网络上配置 VAP。

  14. 将 VAP wpa-personal的安全性配置为 。设置密码套件、密钥类型和预共享密钥。

  15. 创建将充当访客 VAP 中设备的默认网关的 IP 接口(一个 VAP 在 5GHz 上工作,另一个在 2.4GHz 上工作)。

  16. 创建 IP 接口,该接口将充当公司 VAP 中设备的默认网关(一个 VAP 在 5GHz 上工作,另一个在 2.4GHz 上工作)。

  17. 为访客设备创建安全区域,并允许 DHCP 和其中的所有其他必要协议。确保将正确的 wl 接口也添加到区域中。

  18. 为公司设备创建安全区域,并允许 DHCP 和其中的所有其他必要协议。确保将正确的 wl 接口也添加到区域中。

  19. 为访客 VAP 创建唯一的 DHCP 服务器组(两个访客 VAP 只需要一个服务器组)。

  20. 为企业 VAP 创建唯一的 DHCP 服务器组。

  21. 创建要分配给设备的 IP 地址池,在访客 VAP 中漫游。设置要分配给此池中设备的最低和最高 IP 地址、DNS 服务器以及池的默认网关的 IP 地址。

  22. 创建要分配给设备的 IP 地址池,在公司 VAP 中漫游。设置要分配给此池中设备的最低和最高 IP 地址、DNS 服务器以及池的默认网关的 IP 地址。

  23. 创建源 NAT 以将 NAT 应用于来宾区域中的外部接口的设备。

  24. 创建源 NAT 以将 NAT 应用于企业区域中的外部接口的设备。

  25. 创建允许来宾和不信任区域之间的流量的安全策略。确保策略中包含所需的网段和/或应用程序。

  26. 创建允许“公司”区域和“不信任”区域之间的流量的安全策略。此步骤使应用了 NAT 的流量能够在区域之间流动。

  27. 创建一个安全策略,以允许公司区域和信任区域之间的流量,并使应用 NAT 的流量能够在区域之间流动。

  28. 设置主互联网链路的接口说明。设置接口以通过 DHCP 协议获取配置。确保将 LTE 接口设置为互联网链路的备份接口。

  29. 配置调制解调器接口。确保包含 SIM 卡的 SIM 卡插槽设置为活动状态。

  30. 配置拨号器接口。

  31. 将无线接口配置为接受 VLAN 未标记数据包。

  32. 在调制解调器中设置 SIM 卡的接入点名称。

  33. 提交配置

验证

分步过程

  1. 确保接口已启动并正在运行。

  2. 检查接入点的状态,确保无线电接口的状态为ON,其运行的信道和带宽与配置一致。

  3. 检查所有 VAP 的状态。确保 SSID 和安全设置与配置一致。

  4. 检查有关接入点每个无线电上的客户端关联的摘要。此命令显示每个无线电接口上的关联用户数。

  5. 检查有关接入点每个无线电上的客户端关联的详细信息。用户的 MAC 地址以及流量统计信息显示在输出中。

  6. 检查 Junos 是否检测到小型 PIM 模块。

  7. 检查 Mini-PIM 的固件版本,并根据需要进行更新。

  8. 获取 VAP 上的数据包捕获以进行故障排除。

    该文件保存在 /var/tmp 中。您可以下载该文件并使用数据包跟踪应用程序(如 WIreshark)打开。