Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfiguration von SD-WAN mit Aktiv/Standby-Verbindung zum Internet auf einem SRX300 Services Gateway

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet.

  • Ein Gerät der SRX300-Serie (320, 340, 345, 380)

  • Ein WLAN-MPIM für die SRX300-Serie

  • Ein LTE MPIM für die SRX300-Serie

  • Eine SIM-Karte mit Abonnement für Datendienste

  • Junos OS 19.4 R1

Überblick

In diesem Beispiel richten wir ein Gerät der SRX320-Serie für Zweigstellen ein, um den Mitarbeitern vor Ort kabelgebundenen und drahtlosen Internet- und Intranet-Zugriff sowie Gastgeräten drahtlosen Internetzugang zu bieten. Die primäre Internetverbindung erfolgt über Ethernet, während die Backup-Verbindung über das LTE-Netzwerk erfolgt. Die beiden Verbindungen sind im Aktiv/Standby-Modus konfiguriert, wobei kein Datenverkehr durch das LTE-Modem geleitet wird, es sei denn, die primäre Verbindung ist ausgefallen.

Topologie

Abbildung 1: Beispieltopologie Example Topology

Die Topologie des Beispiels ist in Abbildung 1 dargestellt. Das LTE Mini-PIM ist in Steckplatz 1 verbaut. Das WI-FI Mini-PIM wird in Steckplatz 2 installiert. Die SIM-Karte wird in Steckplatz 1 des LTE-Moduls eingesetzt. Die primäre Verbindung ist mit der Schnittstelle ge-0/0/0 verbunden und erhält ihre IP-Adresse, Netzwerkmaske, Standard-Gateway und DNS-Server von dem Gerät, mit dem sie verbunden ist. Das Modem hat die Schnittstelle cl-1/0/0.

Der PDP-Kontext wird auf der Schnittstelle dl.0 beendet und ähnlich wie bei ge-0/0/0 werden IP-Adresse, Netzwerkmaske und Standard-Gateway von der GGSN/PGW vergeben. Die Wi-Fi-Schnittstelle ist wl-2/0/0.200 für das Gastnetzwerk, während die Schnittstelle wl-2/0/0.100 für das Unternehmensnetzwerk dient. Die Sicherheitszonen und die Listen der Schnittstellen für jede Zone sind in Abbildung 2 dargestellt.

Abbildung 2: Sicherheitszonen Security Zones

Auf dem Gerät der SRX300-Serie sind vier Sicherheitszonen konfiguriert: "Nicht vertrauenswürdig", "Vertrauen", "Unternehmen" und "Gast". Die Trennung der Schnittstellen in Sicherheitszonen ermöglicht die Trennung des Datenverkehrs und mindert die Risiken, denen das Corporate Intranet ausgesetzt ist, und dient als Vehikel für eine klare und vereinfachte Implementierung von Sicherheitsrichtlinien. Zone "Nicht vertrauenswürdig" hostet die Schnittstellen, die Zugriff auf das Internet haben.

Die internen Schnittstellen im Intranet des Unternehmens befinden sich in der Zone Trust. Die drahtlosen Geräte der Organisation bewegen sich in der Zone Corporate. Die persönlichen Mobilgeräte, denen nur Internetzugang gewährt wird, befinden sich in der Zone Gast.

Tabelle 1 zeigt das gewünschte Verhalten der Sicherheitsrichtlinien für den Datenverkehr zwischen Zonen.

Tabelle 1: Sicherheitsrichtlinien nach Zone

From-To

Untrust

Trust

Corporate

Guest

Untrust

Nein

Nur vertrauensbasiert

Nur vom Unternehmen initiiert

Nur vom Gast initiiert

Trust

Ja

Ja

Nur vom Unternehmen initiiert

Nein

Corporate

Ja

Ja

Ja

Nein

Guest

Ja

Nein

Nein

Nein

Die VLAN-Informationen und die IP-Adressinformationen für die Schnittstellen sind in Tabelle 2 zusammengefasst.

Tabelle 2: Details zur Schnittstellenkonfiguration

Interface

VLAN

IP Adress

Netmask

wl-2/0/0.100

100

172.16.100.1

255.255.255.0

wl-2/0/0.200

200

192.16.200.1

255.255.255.0

dl.0

3

DHCP

-

GE-0/0/0

3

DHCP

-

Irb.0

3

192.168.1.1

255.255.255.0

Konfiguration und Validierung

Konfiguration

Schritt-für-Schritt-Anleitung

Die Schritte in dieser Konfiguration bauen logisch von den unteren Ebenen zu den oberen Ebenen auf.

  1. Erstellen Sie ein VLAN für die Gastgeräte.

  2. Erstellen Sie ein VLAN für die Unternehmensgeräte.

  3. Erstellen Sie einen Access Point.

  4. Legen Sie das Land fest, in dem das Gerät installiert ist. In verschiedenen Ländern stehen unterschiedliche 802.11-Frequenzen für die allgemeine Nutzung zur Verfügung.

  5. Konfigurieren Sie die 5-GHz-Funkschnittstelle des Access Points. Legen Sie den Modus, die Kanalnummer, auf der er arbeiten soll, und die Bandbreite fest, die er verwenden soll. Stellen Sie außerdem die Sendeleistung für die 5-GHz-Funkschnittstelle (in %) ein.

  6. Erstellen Sie einen virtuellen Access Point (VAP) für das 5-GHz-Gastnetzwerk. Das Mini-PIM unterstützt bis zu acht virtuelle Access Points pro Funkschnittstelle.

  7. Konfigurieren Sie die Sicherheit für den VAP als wpa-personal. Legen Sie die Verschlüsselungssammlung, den Schlüsseltyp und den vorinstallierten Schlüssel fest.

  8. Konfigurieren Sie die 2,4-GHz-Funkschnittstelle des Access Point. Legen Sie den Modus, die Kanalnummer, auf der er arbeiten soll, und die Bandbreite fest, die er verwenden soll. Stellen Sie außerdem die Sendeleistung für die Funkschnittstelle (in %) ein.

  9. Konfigurieren Sie den VAP im 2,4-GHz-Gastnetzwerk.

  10. Konfigurieren Sie die Sicherheit für den VAP als wpa-personal. Legen Sie die Verschlüsselungssammlung, den Schlüsseltyp und den vorinstallierten Schlüssel fest.

  11. Konfigurieren Sie die VAP im 5-GHz-Unternehmensnetzwerk.

  12. Konfigurieren Sie die Sicherheit für den VAP als wpa-personal. Legen Sie die Verschlüsselungssammlung, den Schlüsseltyp und den vorinstallierten Schlüssel fest.

  13. Konfigurieren Sie den VAP im 2,4-GHz-Unternehmensnetzwerk.

  14. Konfigurieren Sie die Sicherheit für den VAP als wpa-personal. Legen Sie die Verschlüsselungssammlung, den Schlüsseltyp und den vorinstallierten Schlüssel fest.

  15. Erstellen Sie die IP-Schnittstelle, die als Standard-Gateway für Geräte in den Gast-VAPs fungiert (ein VAP arbeitet mit 5 GHz und der andere mit 2,4 GHz).

  16. Erstellen Sie die IP-Schnittstelle, die als Standard-Gateway für Geräte in den Unternehmens-VAPs fungiert (ein VAP arbeitet mit 5 GHz und der andere mit 2,4 GHz).

  17. Erstellen Sie eine Sicherheitszone für die Gastgeräte und lassen Sie DHCP und alle anderen erforderlichen Protokolle zu. Stellen Sie sicher, dass auch die richtige wl-Schnittstelle zur Zone hinzugefügt wird.

  18. Erstellen Sie eine Sicherheitszone für die Unternehmensgeräte und lassen Sie DHCP und alle anderen erforderlichen Protokolle zu. Stellen Sie sicher, dass auch die richtige wl-Schnittstelle zur Zone hinzugefügt wird.

  19. Erstellen Sie eine eindeutige DHCP-Servergruppe für die Gast-VAPs (für beide Gast-VAPs wird nur eine Servergruppe benötigt).

  20. Erstellen Sie eine eindeutige DHCP-Servergruppe für die Unternehmens-VAPs.

  21. Erstellen Sie einen Pool von IP-Adressen, die den Geräten beim Roaming in den Gast-VAPs zugewiesen werden sollen. Legen Sie die niedrigste und die höchste IP-Adresse fest, die Geräten aus diesem Pool, den DNS-Servern und der IP-Adresse des Standardgateways für den Pool zugewiesen werden sollen.

  22. Erstellen Sie einen Pool von IP-Adressen, die den Geräten zugewiesen werden sollen, die in den VAPs des Unternehmens roamen. Legen Sie die niedrigste und die höchste IP-Adresse fest, die Geräten aus diesem Pool, den DNS-Servern und der IP-Adresse des Standardgateways für den Pool zugewiesen werden sollen.

  23. Erstellen Sie Quell-NAT, um NAT auf Geräte in der Gastzone auf die äußere Schnittstelle anzuwenden.

  24. Erstellen Sie Quell-NAT, um NAT auf Geräte in der Unternehmenszone auf die äußere Schnittstelle anzuwenden.

  25. Erstellen Sie eine Sicherheitsrichtlinie, die den Datenverkehr zwischen den Zonen "Gast" und "Nicht vertrauenswürdig" zulässt. Stellen Sie sicher, dass die gewünschten Netzwerksegmente und/oder Anwendungen in der Richtlinie enthalten sind.

  26. Erstellen Sie eine Sicherheitsrichtlinie, die den Datenverkehr zwischen den Zonen "Corporate" und "Nicht vertrauenswürdig" zulässt. Dieser Schritt ermöglicht den Fluss von Datenverkehr, auf den NAT angewendet wurde, zwischen den Zonen.

  27. Erstellen Sie eine Sicherheitsrichtlinie, die Datenverkehr zwischen den Zonen "Corporate" und "Trust" zulässt und den Datenverkehr, auf den NAT angewendet wurde, für den Fluss zwischen den Zonen ermöglicht.

  28. Legen Sie die Beschreibung der Schnittstelle für die primäre Internetverbindung fest. Legen Sie die Schnittstelle so fest, dass die Konfiguration über das DHCP-Protokoll abgerufen wird. Stellen Sie sicher, dass die LTE-Schnittstelle als Backup für die Internetverbindung eingestellt ist.

  29. Konfigurieren Sie die Modemschnittstelle. Stellen Sie sicher, dass der SIM-Steckplatz, in dem sich die SIM-Karte befindet, aktiv ist.

  30. Konfigurieren Sie die Dialer-Schnittstelle.

  31. Konfigurieren Sie die drahtlose Schnittstelle so, dass nicht getaggte VLAN-Pakete akzeptiert werden.

  32. Legen Sie den Namen des Zugriffspunkts für die SIM-Karte im Modem fest.

  33. Bestätigen der Konfiguration

Validierung

Schritt-für-Schritt-Anleitung

  1. Stellen Sie sicher, dass die Schnittstellen funktionieren und funktionieren.

  2. Überprüfen Sie den Status des Access Points und stellen Sie sicher, dass der Status der Funkschnittstellen ON ist, die Kanäle und die Bandbreiten, auf denen sie arbeiten, wie konfiguriert sind.

  3. Überprüfen Sie den Status aller VAPs. Stellen Sie sicher, dass die SSIDs und die Sicherheitseinstellungen wie konfiguriert sind.

  4. Sehen Sie sich die Zusammenfassung der Client-Zuordnungen auf jedem Funkmodul des Access Points an. Dieser Befehl zeigt die Anzahl der zugeordneten Benutzer auf jeder Funkschnittstelle an.

  5. Überprüfen Sie die Details zu den Client-Zuordnungen auf jedem Funkmodul des Access Point. Die MAC-Adresse der Benutzer wird in der Ausgabe angezeigt, ebenso wie die Verkehrsstatistiken.

  6. Prüfen Sie, ob die Mini-PIM-Module von Junos erkannt werden.

  7. Überprüfen Sie die Firmware-Version der Mini-PIMs und aktualisieren Sie sie bei Bedarf.

  8. Abrufen einer Paketerfassung auf einem VAP zu Zwecken der Fehlerbehebung.

    Die Datei wird unter /var/tmp gespeichert. Sie können die Datei herunterladen und mit einer Paketverfolgungsanwendung wie WIreshark öffnen.