Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Mini-module d’interface physique Wi-Fi (MPIM)

Le module mini-interface physique Wi-Fi (Mini-PIM) pour pare-feu SRX Series fournit une solution de point d’accès sans fil (ou LAN sans fil) intégrée ainsi que le routage, la commutation et la sécurité dans un seul appareil. Les rubriques ci-dessous décrivent la présentation et la configuration du Mini-PIM Wi-Fi sur les pare-feu SRX Series.

Présentation du module d’interface mini-physique Wi-Fi

Le module d’interface mini-physique Wi-Fi (Wi-Fi Mini-PIM) pour SRX320, SRX340, SRX345, SRX380 et SRX550M fournit un point d’accès sans fil intégré (ou LAN sans fil) ainsi que le routage, la commutation et la sécurité dans un seul appareil. Mini-PIM prend en charge les normes sans fil 802.11ac Wave 2 et est rétrocompatible avec 802.11a/b/g/n. Vous pouvez utiliser les trois nouveaux modèles de Mini-PIM Wi-Fi en fonction des exigences régionales de la norme sans fil ;

  • SRX-MP-WLAN-US — Modèle basé sur la norme sans fil des États-Unis.

  • SRX-MP-WLAN-IL : modèle basé sur la norme sans fil d’Israël.

  • SRX-MP-WLAN-WW — Modèle pour les autres pays.

Vous ne pouvez pas modifier le code pays pour les modèles SRX-MP-WLAN-US et SRX-MP-WLAN-IL car ils sont fixes. Le Mini-PIM Wi-Fi peut coexister avec d’autres Mini-PIM pris en charge par le pare-feu SRX Series. Le tableau 1 fournit un récapitulatif des fonctionnalités prises en charge par Mini-PIM.

Les déploiements typiques d’une solution Mini-PIM Wi-Fi sont les suivants :

  • Connectivité LAN sans fil sécurisée aux terminaux des utilisateurs de l’entreprise dans les succursales distantes. Les fonctions 802.11ac, WPA2, 802.1X et de mappage SSID-VLAN assurent une connectivité LAN sans fil sécurisée.

  • Connectivité réseau directe aux appareils Internet des objets (IoT) de l’entreprise. Les fonctions de sécurité des pare-feu SRX Series sécurisent les appareils IoT.

Pour plus d’informations sur l’installation du mini-PIM Wi-Fi pour les passerelles de services SRX Series, reportez-vous à la section Installation du mini-PIM Wi-Fi pour les passerelles de services Wi-Fi.

Interface LAN sans fil en mode cluster de châssis

Le Mini-PIM est également pris en charge en mode cluster de châssis pour assurer la redondance. Les utilisateurs sans fil sont connectés à l’interface active dans le groupe de redondance. Pour prendre en charge le mode cluster de châssis pour l’interface LAN sans fil Mini-PIM, vous devez configurer la configuration du cluster de châssis avec deux interfaces wl-x/0/0 LAN sans fil et wl-y/0/0, où x indique le numéro d’emplacement que l’interface LAN sans fil Mini-PIM branche sur le nœud 0 et Y indique le numéro d’emplacement que l’interface LAN sans fil Mini-PIM branche sur le nœud 1.

En mode cluster de châssis, une interface LAN sans fil est active, l’autre interface LAN sans fil est inactive. Le client Wi-Fi est associé à l’interface LAN sans fil active.

Vous trouverez ci-dessous la liste des événements qui déclenchent le basculement de l’interface LAN sans fil dans les cas suivants :

  • l’interface LAN sans fil est anormale.

  • L’interface LAN sans fil principale est en panne.

  • Groupe redondant auquel appartient l’interface LAN sans fil à basculement manuel.

  • Le nœud de l’interface WLAN principal est défaillant.

Après le basculement de l’interface LAN sans fil, l’interface LAN sans fil inactive d’origine devient active et les sessions client Wi-Fi sont reconnectées à la nouvelle interface LAN sans fil principale.

Avec le mode cluster de châssis, le processus WLAND s’exécute sur les deux nœuds. Le WLAND sur le nœud principal envoie la configuration WLAN au PFE sur deux nœuds, puis le PFE transmet la configuration à la carte d’interface LAN sans fil locale afin que deux cartes d’interface LAN sans fil aient la même configuration.

Pour surveiller l’état de l’interface LAN sans fil, WLAND détecte que l’interface LAN sans fil est anormale, ce qui peut déclencher un basculement de groupe redondant. En mode couche 3, par défaut, le moniteur d’activité de l’interface LAN sans fil est configuré pour la haute disponibilité WLAN à l’aide des set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 commandes et set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255.

La nouvelle interface LAN sans fil principale est active et la carte d’interface LAN sans fil anormale est redémarrée et passe à l’état inactif. Le client Wi-Fi est automatiquement reconnecté à l’interface LAN sans fil active, car la configuration (radio, canal, bande passante, SSID, etc.) sur le WAP actif est identique à celle de l’interface LAN sans fil d’origine.

Interface LAN sans fil en mode couche 3 (L3)

Les interfaces sont configurées en tant qu’interface subordonnée de RETH à l’aide de la commande set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface. Vous pouvez ajouter l’interface RETH à un groupe redondant et définir la priorité pour chaque nœud du groupe redondant. Une seule interface LAN sans fil est active dans le groupe redondant et l’autre est inactive.

Interface LAN sans fil en mode couche 2 (L2)

Vous pouvez créer des pare-feu SRX Series en mode cluster de châssis avec une interface LAN sans fil Mini-PIM. Les interfaces LAN sans fil homologues sont configurées dans le même VLAN et l’interface LAN sans fil sur le nœud principal du groupe redondant zéro est choisie comme interface active par défaut. Mode L2 (family ethernet-switching) de l’interface LAN sans fil se comporte comme n’importe quel autre port de commutation L2 (port trunk).

Fonctionnalités prises en charge par le mini-PIM Wi-Fi

Le Tableau 1 répertorie les principales fonctionnalités prises en charge par le Mini-PIM Wi-Fi.

Tableau 1 : Fonctionnalités Mini-PIM Wi-Fi

Caractéristique

Description

MU-MIMO 2x2

Permet la transmission de données à plusieurs clients simultanément.

Deux radios

Les deux radios des bandes 2,4 GHz et 5 GHz sont prises en charge simultanément. La vitesse maximale prise en charge peut atteindre 1,2 Gbit/s.

Points d’accès virtuels (VAP) et fonctionnalités VLAN

  • Permet de segmenter le WLAN en plusieurs domaines de diffusion, qui sont les équivalents sans fil des VLAN Ethernet. Un point d’accès unique est séparé en plusieurs VAP individuels, simulant ainsi plusieurs points d’accès dans un seul système.

  • Un point d’accès prend en charge plusieurs VLAN, qui peuvent être distribués sur les VAP et les radios.

  • Vous pouvez configurer jusqu’à huit VAP par radio. Vous pouvez mapper jusqu’à 16 ESSID (Extended Service Set Identifiers) à des VLAN individuels.

  • Les VLAN du logiciel Mini-PIM sont mappés aux VLAN sur Junos OS.

Coexistence d’interfaces

Le Mini-PIM Wi-Fi coexiste avec les interfaces 4G LTE, VDSL, T1 et série.

Méthodes d’authentification des clients

Les méthodes d’authentification des clients prises en charge sont Wi-Fi Protected Access (WPA), Enterprise (normes WPA2) et Wi-Fi Protected Access (WPA) Personnel (combinaisons de chiffrement AES-CCMP et normes WPA2).

Configurer le mini-PIM Wi-Fi

Vous pouvez configurer les radios et les points d’accès virtuels sur le Mini-PIM Wi-Fi. Cette rubrique contient des sections décrivant la configuration de base du Mini-PIM Wi-Fi au niveau de l’interface sans fil. Pour plus d’informations sur l’installation d’un mini-PIM Wi-Fi, reportez-vous à la section Installation du mini-PIM Wi-Fi pour les passerelles de services SRX Series.

Les sections suivantes décrivent comment configurer le Mini-PIM Wi-Fi sur votre pare-feu SRX Series.

Configurer les paramètres réseau pour le mini-PIM Wi-Fi

Configurer l’interface wl-

Le nom de l’interface du Mini-PIM est désigné par wl-x/0/0, où x se trouve l’emplacement de la passerelle de services SRX Series dans lequel le Mini-PIM est installé. L’interface wl- est créée automatiquement lorsque vous insérez le Mini-PIM dans la fente du pare-feu SRX Series.

Pour configurer l’interface LAN sans fil :

  1. Configurez une adresse IP pour l’interface Wi-Fi :
  2. Configurez le pool d’adresses.

    Le pool d’adresses DHCP et l’interface Wi-Fi doivent se trouver sur le même réseau.

  3. Activez le serveur DHCP sur l’interface.

    L’interface eth0 sur le Mini-PIM active le client DHCP. Si le serveur DHCP est activé sur l’interface wl, le serveur attribue une adresse IP à l’interface eth0. Vous pouvez afficher les informations de liaison en exécutant la show dhcp server binding commande.

  4. Affectez l’interface à une zone de sécurité.

Configurer le point d’accès

Pour configurer le point d’accès associé à l’interface LAN sans fil wl-x/0/0 :

  1. Configurez l’interface.

  2. Définissez le code du pays (applicable uniquement pour les modèles SRX-MP-WLAN-WW du Mini-PIM).

    Note:

    Si vous ne définissez pas l’indicatif de pays pour les modèles SRX-MP-WLAN-WW, le Mini-PIM considère que l’indicatif de pays est US. Vous ne pouvez pas définir l’indicatif de pays pour les modèles SRX-MP-WLAN-US et SRX-MP-WLAN-IL.

  3. Définissez l’emplacement physique (emplacement de votre périphérique matériel, exemple : 1er étage).

  4. Validez la configuration.

Configurer les radios

Chaque point d’accès dispose de deux radios : la radio 1 fonctionne avec une bande passante de 5 GHz et la radio 2 avec une bande passante de 2,4 GHz. Un VAP est configuré en fonction de la radio. Vous pouvez configurer jusqu’à huit VAP par radio et mapper jusqu’à 16 ESSID à des VLAN individuels. Le Wi-Fi Mini-PIM permet aux deux radios (2,4 et 5 GHz) de fonctionner simultanément. Vous pouvez également désactiver une radio. Le Tableau 2 répertorie les modes pris en charge sur chaque radio.

Toute modification des paramètres radio peut entraîner l’arrêt et le redémarrage des processus système du point d’accès. Si cela se produit, les clients sans fil connectés au point d’accès perdent temporairement leur connectivité. Nous vous recommandons de modifier les paramètres radio lorsque le trafic WLAN est faible.

Tableau 2 : modes pris en charge sur les radios mini-PIM Wi-Fi

Radio

Modes pris en charge

Radio 1 (5,0 GHz)

  • Les clients 802.11a et 802.11n fonctionnant sur la fréquence 5 GHz peuvent se connecter au point d’accès.

  • CAN : les clients 802.11a, 802.11n et 802.11ac fonctionnant sur une fréquence de 5 GHz peuvent se connecter au point d’accès

Radio 2 (2,4 GHz)

  • GN—Les clients 802.11G, 802.11b et 802.11n fonctionnant sur la fréquence 2,4 GHz peuvent se connecter au point d’accès. Il s’agit du mode par défaut de cette radio.

  • g : les clients 802.11G fonctionnant sur une fréquence de 2,4 GHz peuvent se connecter au point d’accès pris en charge par Junos OS version 20.4R1.

Pour configurer la radio :

  1. Configurez le mode radio. Radio 1 prend en charge les modes can et an. Radio 2 ne prend en charge que le mode gn.

  2. Configurez le numéro de canal. Si vous sélectionnez auto, le Mini-PIM choisit automatiquement le canal. Par défaut, le numéro de canal est défini sur auto.

  3. Configurez la bande passante du canal. La largeur de bande par défaut est de 20 MHz pour la radio 2,4 GHz et de 40 MHz pour la radio 5 GHz. Vous ne pouvez définir que 80 MHz comme largeur de bande pour la radio 5 GHz et non pour la 2,4 GHz.

  4. Configurez la puissance d’émission. Vous pouvez configurer la puissance d’émission par radio.

    Note:

    Lorsque vous configurez la puissance d’émission, la carte Mini-PIM fixera la puissance d’émission à la valeur spécifiée définie, dans ce cas, la fonctionnalité de puissance par débit ne fonctionne pas. Il est donc recommandé de ne pas régler la puissance d’émission sur une valeur spécifiée. Si vous ne configurez pas la puissance d’émission (ne fixez pas la puissance d’émission à une valeur spécifiée), la fonctionnalité de puissance par débit fonctionne. Si vous configurez le pourcentage de puissance de transmission sur 100, il choisit l’option « auto », le comportement est similaire à aucune puissance de transmission configurée et la fonctionnalité de puissance par débit fonctionnera.

  5. Validez la configuration.

    Dans les pays où la sélection dynamique de fréquence (DFS) est requise, la carte Wi-Fi effectue les vérifications appropriées pour le radar. DFS est activé par défaut. Si vous définissez la channel number valeur sur auto, le point d’accès sélectionne le canal dans la liste des canaux DFS et non-DFS. Vous pouvez désactiver DFS à l’aide de l’option dfs-off set wlan access-point name radio 1 radio-options dfs-off.

    Seule la radio 5 GHz (radio 1) prend en charge DFS.

    Pour plus d’informations sur DFS, reportez-vous à la section Canaux et fréquences pris en charge sur le mini-PIM Wi-Fi.

Configurer les points d’accès virtuels (VAP)

Les VAP permettent de segmenter le LAN sans fil en plusieurs domaines de diffusion qui sont les équivalents sans fil des VLAN Ethernet. Pour configurer le VAP :

  1. Saisissez un ID et une description pour le VAP.

  2. Entrez la valeur SSID.

  3. Configurez l’une des méthodes d’authentification de sécurité suivantes pour le VAP.

    • none : les données transférées entre les clients et le point d’accès ne sont pas chiffrées. Les clients peuvent s’associer au point d’accès sans aucune authentification.

    • wpa-enterprise : l’appareil s’authentifie via un serveur RADIUS conforme à la norme 802.1X.

    • wpa-personal : l’appareil utilise des clés prépartagées (PSK) ou une phrase secrète pour l’authentification et le chiffrement. Les clés sont stockées sur l’appareil et sur tous les clients sans fil. Vous n’avez pas besoin de configurer un serveur d’authentification distinct.

  4. Configurez et spécifiez les limites de débit de chargement et de téléchargement sur le Mini-PIM Wi-Fi. La plage pour upload-limit et download-limit est de 256 Kbit/s à 1 048 576 Kbit/s.

  5. Spécifiez le nombre maximal de clients pouvant être connectés au VAP.

  6. Validez la configuration.

Une fois la configuration terminée, vous pouvez afficher les paramètres à l’aide de la show wlan access-points name detail commande.

Configurer les VLAN

Configurer les VLAN en fonction de la fonction VAP

(Facultatif) Un point d’accès unique est séparé en plusieurs points d’accès virtuels (VA) individuels simulant plusieurs points d’accès dans un seul système. Le point d’accès prend en charge plusieurs VLAN. Pour configurer l’ID de VLAN en fonction du PAP :

  1. Configurez le VLAN pour l’interface LAN sans fil (interface wl-). Suivez les étapes ci-dessous pour configurer l’ID VLAN en fonction du VAP :
  2. Définissez le mode trunk sur l’interface wl-.
  3. Définissez le VLAN natif de l’interface wl-.

    Lorsque vous configurez un vlan natif, l’interface wl- ajoute une balise lorsqu’elle reçoit un paquet non étiqueté et ne fait aucune action lorsqu’elle reçoit un paquet étiqueté native-vlan-id.

  4. Configurez le point d’accès pour l’interface wl-.
  5. Configurez tous les paramètres VAP, y compris le mode radio, le numéro de canal, le SSID VAP et l’ID VLAN VAP sur le Mini-PIM Wi-Fi.
  6. Validez la configuration.

Configurer l’authentification WPA pour l’entreprise

(Facultatif) Le Wi-Fi Protected Access (WPA) d’entreprise est une norme de la Wi-Fi Alliance qui utilise l’authentification du serveur RADIUS avec la suite de chiffrement AES-CCMP. Avec ce mode, vous pouvez utiliser un cryptage de haute sécurité ainsi qu’une authentification des utilisateurs gérée de manière centralisée. Seule la norme WPA2 est prise en charge. Pour configurer l’authentification d’entreprise WPA :

  1. Configurez le carnet d’adresses et attribuez une zone de sécurité.

  2. Configurez l’ensemble de règles de la source de sécurité de la zone de confiance à l’authentification WPA.

  3. Configurez la source de sécurité pour qu’elle corresponde à l’adresse source et à l’adresse de destination.

  4. Configurez le protocole UDP et la source de sécurité sur l’interface.

  5. Attribuez les stratégies de sécurité à l’adresse source et à l’adresse de destination.

  6. Validez la configuration.

Une fois la configuration terminée, vous pouvez afficher les paramètres à l’aide de la show wlan access-points name virtual-access-points commande.

Configurer plusieurs VLAN et SSID

Vous pouvez configurer 8 VAP sur chaque radio et chaque VAP est identifié par le SSID. Jusqu’à 16 SSID peuvent être configurés sur le Mini-PIM Wi-Fi. Vous pouvez mapper un VLAN à chaque SSID ou attribuer un seul VLAN à plusieurs SSID Le client se connecte au VAP à l’aide du SSID et est associé au VLAN mappé au SSID.

Vous pouvez configurer plusieurs SSID pour fournir différents niveaux d’accès à différents équipements et utilisateurs. Voici un exemple de configuration pour trois types d’utilisateurs différents qui se connectent à différents VAP. Chaque VAP est associé à un VLAN différent.

Interface

VLAN ID

Pool d’adresses

VAP

SSID (SSID)

Pool d’adresses

WL-2/0/0.0

100

junosDHCPPool

192.168.2.0/24

WL-2/0/0,10

10

junosDHCPPool1

VAP1

VAP-10

192.168.10.0/24

WL-2/0/0,20

20

junosDHCPPool2

VAP2

VAP-20

192.168.20.0/24

WL-2/0/0,30

30

junosDHCPPool3

VAP3

VAP-30

192.168.30.0/24
  1. Configurez l’interface pour qu’elle fasse partie de la zone de sécurité.
  2. Configurez une zone de sécurité.
  3. Activez le serveur DHCP sur l’interface et configurez le pool d’adresses pour l’interface Wi-Fi :
  4. Configurez le balisage VLAN flexible sur l’interface Wi-Fi :
  5. Configurer les VLAN
  6. Répétez les étapes 2 à 5 pour les interfaces wl-2/0/0.10, wl-2/0/0.20 et wl-2/0/0.30.
  7. Configurez les paramètres du point d’accès :
  8. Configurez les paramètres de la radio :

    Pour la radio 1 :

    Pour la radio 2 :

  9. Configurez les VAP.

    VAP1 :

    VAP2 :

    VAP3 :

  10. Validez la configuration.

Vérification

Affichez des informations sur les paramètres configurés sur le Mini-PIM Wi-Fi.

  • Pour afficher le détail de tous les points d’accès configurés sur le Mini-PIM :

  • Permet d’afficher l’état du point d’accès spécifique.

  • Permet d’afficher les détails des clients connectés au point d’accès.

  • Pour afficher des détails sur les points d’accès virtuels.

Voir aussi

  • WLAN (en anglais)