Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Passerelles d’accès Wi-Fi

Présentation de la passerelle d’accès Wi-Fi

La passerelle d’accès Wi-Fi (WAG) fournit au public un accès Wi-Fi à partir d’un réseau Wi-Fi résidentiel ou d’un réseau Wi-Fi d’entreprise. À domicile, les abonnés ont leur réseau Wi-Fi existant; cependant, une partie de leur réseau est disponible pour le grand public. Les membres du public qui possèdent un compte auprès du même fournisseur d’accès à Internet que l’abonné a à domicile peuvent accéder à Internet et au réseau mobile par l’intermédiaire de la partie publique de la connexion Wi-Fi de l’abonné lorsqu’ils sont à proximité immédiate du domicile de l’abonné. WAG authentifie et connecte les abonnés quel que soit leur emplacement physique.

À partir de la version 17.2R1 de Junos OS, les fournisseurs de services peuvent déployer le routeur MX Series en tant que passerelle réseau haut débit (BNG) au sein de leur réseau, puis déployer le BNG en tant que wag. La figure 1 montre un exemple de topologie.

Figure 1 : Routeur MX Series déployé en tant que wag MX Series Router Deployed as a WAG

Une fois qu’une WAG a été déployée, les fournisseurs de services peuvent configurer l’WAG pour créer des connexions réseau domestiques sans fil sécurisées pour les ordinateurs, ordinateurs portables et autres produits électroniques Wi-Fi (tels que les systèmes de jeux, les tablettes ou les téléphones mobiles). WAG offre aux fournisseurs de services filaires et mobiles les déploiements et les opportunités de valeur commerciale suivants :

  • Fournisseurs de services filaires – Le déploiement de l’WAG repose sur une division à domicile des points d’accès ou des points d’accès publics, et fonctionne avec n’importe quel point d’accès Wi-Fi qui crée un tunnel d’encapsulation de routage générique (GRE) vers le routeur MX Series. Ce déploiement protège les abonnés et réduit le taux de désabonnement en incluant le Wi-Fi gratuit avec un abonnement filaire payant. Pour plus de valeur, les fournisseurs de services peuvent également vendre un accès ou un mode ad hoc, comme l’aéroport, la sécurité publique, la recherche et le sauvetage, et l’accès aux cafés.

  • Fournisseurs de services mobiles – Le déploiement de l’WAG repose sur les points d’accès propres au fournisseur de services mobiles, ou sur les points de vente en gros et au détail avec le fournisseur de services filaires. Les fournisseurs de services qui proposent des services quadruple play, où les services de télévision, d’Internet, de téléphonie sans fil et de téléphonie fixe sont combinés, peuvent exploiter à la fois les ressources filaires et sans fil. Ce déploiement compense les coûts des infrastructures réseau d’accès radio et de cœur de paquets mobiles par la possibilité de décharger les données mobiles. Pour plus de valeur, les fournisseurs de services peuvent proposer le Wi-Fi pour tous les appareils avec un lieu de données mobile comme un facteur de différenciation concurrentiel.

Les clients qui achètent le haut débit peuvent également recevoir le Wi-Fi sur n’importe quel point d’accès Wi-Fi de la communauté. Les abonnés disposent d’une connexion privée et sécurisée à domicile, et peuvent également accéder à une connexion publique partagée par d’autres abonnés. Pour maintenir un niveau de sécurité et protéger la connexion privée à domicile, les deux réseaux sont séparés. Cette séparation garantit un haut niveau de bande passante sur les connexions personnelles des abonnés.

services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; attribution d’adresses ; qualité de service hiérarchique (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour les abonnés DHCP (Dynamic Host Configuration Protocol) individuels dans les tunnels GRE. L’utilisation de tunnels GRE pour le Wi-Fi offre les avantages suivants :

  • Les utilisateurs Wi-Fi qui ne sont pas directement connectés via la couche 2 au WAG sont authentifiés parce que les tunnels GRE transmettent des informations de couche 2 sur n’importe quel réseau IP.

  • Les services basés sur les informations spécifiques à l’équipement utilisateur sont appliqués à l’adresse MAC (Media Access Control) ou à la carte SIM (Subscriber Identity Module).

  • Les services sont appliqués au réseau, pas seulement au point d’accès Wi-Fi.

  • La norme SOFT GRE ou Ethernet-over-GRE est prise en charge sur la plupart des points d’accès Wi-Fi. Pour les services utilisant la norme Ethernet over GRE, une seule face du tunnel doit être configurée ; l’autre extrémité apprend les adresses IP distantes de tous les points de terminaison de tunnel distants en examinant les paquets GRE entrants.

Présentation du modèle de déploiement de passerelle d’accès Wi-Fi

La figure 2 montre une passerelle de réseau haut débit (BNG) mx Series déployée en tant que passerelle d’accès Wi-Fi (WAG). L’WAG fournit une périphérie multiservice avec un ensemble complet de fonctionnalités haut débit extrêmement fiable grâce au matériel redondant inclus. Les trames Ethernet de l’équipement utilisateur doivent être tunnelisées vers le BNG via un cloud IP ou un Internet public.

Figure 2 : modèle de déploiement de passerelles d’accès Wi-Fi MX Series MX Series as Wi-Fi Access Gateway Deployment Model

Pour prendre en charge le BNG MX Series déployé en tant que WAG, des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) sont créés et terminés au niveau du BNG lorsqu’il reçoit le trafic GRE du point d’accès sans fil (WAP). Les abonnés DHCP (Dynamic Host Configuration Protocol) sont transportés via des tunnels GRE sous la forme d’un VLAN marqué par sSID (service set identifier) ou non balisé. Lorsque l’équipement utilisateur se connecte au SSID et commence à envoyer du trafic, le point d’accès lance une connexion GRE logicielle de couche 2 ou Ethernet-over-GRE au BNG MX Series et le BNG construit dynamiquement le tunnel GRE. Les tunnels GRE sont dégagés une fois que tous les abonnés d’un tunnel GRE se sont déconnectés et qu’un timer configurable a expiré.

Ce modèle de déploiement prend en charge un ensemble complet de services par équipement utilisateur et par point d’accès. services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; attribution d’adresses ; qualité de service hiérarchique (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour les abonnés DHCP individuels dans les tunnels GRE. Aucune carte de service supplémentaire n’est nécessaire pour GRE ou QoS, car toutes les fonctionnalités s’exécutent en ligne sur des MPC.

Le proxy RADIUS externe prend en charge les protocoles EAP (Subscriber Identity Module), TTLS (Tunneled Transport Layer Security) et Authentication and Key Agreement (AKA). Le proxy RADIUS externe s’intègre également à la redirection HTTP vers le portail Web.

Le modèle de déploiement MX Series en tant que WAG prend également en charge la vente en gros de l’accès aux points d’accès à plusieurs fournisseurs de services de vente au détail. Ce commerce de fond permet le breakout local du trafic ou le déplacement de couche 3 aux fournisseurs de services de vente au détail.

Modèles d’accès pris en charge pour les tunnels GRE à pont dynamique sur la passerelle d’accès Wi-Fi

Tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) et piles d’interface de prise en charge de la passerelle d’accès Wi-Fi pour les abonnés non balisés par VLAN. Les fonctionnalités des abonnés telles que les profils dynamiques et de services pour les abonnés DHCP, l’interception légale, les filtres de pare-feu et le changement d’autorisation (CoA) sont prises en charge.

Les limites d’évolutivité des équipements d’interface d’abonné pseudowire (IFDsn ) exigent que plusieurs tunnels partagent le même IFD psn . Le pseudowire est un équipement virtuel empilé au-dessus du point d’ancrage du tunnel logique sur l’interface physique (IFD).

Note:

L’IFD psn utilisé pour traiter les terminaisons de tunnel GRE dynamiques ne peut pas être utilisé simultanément pour traiter les terminaisons pseudowire MPLS.

Les services aux abonnés et l’interception légale ne sont pris en charge qu’au niveau de l’interface de multiplexing (demux) IP.

Note:

Un tunnel GRE ne peut pas avoir à la fois des abonnés non balisés et balisés.

Le modèle balisé et le modèle non balisé sont décrits dans les sections suivantes :

Abonnés dynamiques marqués par VLAN

Pour faciliter le provisionnement et le dépannage des abonnés marqués par VLAN, utilisez le même ensemble de VLAN sur tous les points d’accès Wi-Fi. Pour ce faire, il faut que la même interface logique d’interface d’abonné pseudowire (psn IFL) (associée à un ID VLAN) sur un IFD psn représente plusieurs tunnels GRE.

Une interface demux VLAN dynamique (demux0)yyyyyyyy est créée pour chaque balise VLAN et est empilée sur l’interface psn (psn.xxxxxxxx) du tunnel. Il peut y avoir plusieurs VLAN (un ou deux balisages) sur le même tunnel GRE. Les interfaces IP demux des abonnés sont ensuite créées sur l’interface VLAN demux.

Abonnés non-identifiés

Des abonnés DHCP non-identifiés peuvent être créés directement sur le tunnel GRE. Pour chaque abonné, une interface IP demux (demux0.yyyyyyyy) est créée et est empilée sur le tunnel psn interface logique (psn.xxxxxxxx). Il peut y avoir plusieurs abonnés sur le même tunnel GRE.

Présentation de la configuration de la passerelle d’accès Wi-Fi

Pour configurer le routeur MX Series en tant que passerelle d’accès Wi-Fi (WAG) :

  1. Configurez un équipement d’interface logique d’abonné pseudowire.
  2. Configurez les conditions d’activation de tunnels GRE à pont dynamique.
  3. Configurez le type de tunnel GRE à pont dynamique qui transporte le trafic des abonnés vers le WAG :
    Note:

    Un tunnel GRE ne peut pas avoir à la fois des abonnés non balisés et balisés.

Configuration d’un équipement d’interface logique pour abonnés pseudowire pour la passerelle d’accès Wi-Fi

Avant de commencer, vous devez créer une interface de tunnel logique :

Pour configurer l’équipement d’interface logique d’abonné pseudowire sur lequel le tunnel GRE à pont dynamique est construit sur la passerelle d’accès Wi-Fi du routeur MX Series :

  1. Spécifiez que vous souhaitez configurer l’équipement d’interface logique d’abonné pseudowire.

    Par exemple :

  2. Spécifiez l’interface de tunnel logique qui est le point d’ancrage de l’interface de l’équipement logique pseudowire.

    Par exemple :

  3. Configurez la planification hiérarchique à trois niveaux sur l’interface du tunnel logique.

    Par exemple :

  4. Configurez la méthode de balisage VLAN mixte pour l’équipement d’interface logique pseudowire.
    Note:

    Vous devez configurer flexible-vlan-tagging même si seuls les paquets d’abonnés non marqués sont transportés sur le tunnel GRE à pont dynamique.

    Par exemple :

  5. Spécifiez que vous souhaitez configurer l’unité 0, qui représente l’interface logique de transport.

    Par exemple :

  6. Spécifiez la méthode d’encapsulation Ethernet CCC pour l’interface logique de transport.

    Par exemple :

Configuration des conditions pour permettre la création d’un tunnel GRE à pont dynamique

Avant de commencer :

Pour configurer les conditions d’activation de la création de tunnel GRE (Dynamic-Bridged Generic Routing Encapsulation) sur le routeur MX Series WAG, vous configurez un ou plusieurs groupes de tunnels GRE. Plusieurs groupes de tunnels GRE peuvent avoir la même source-address valeur ou la même destination-networks valeur, mais vous ne pouvez pas utiliser une combinaison spécifique source-address dans destination-networks plusieurs groupes de tunnels GRE.

Pour configurer un groupe de tunnels GRE :

  1. Nommez le groupe de tunnels GRE dynamique.

    Par exemple :

  2. Spécifiez l’adresse IP source des tunnels GRE pour le wag. Utilisez l’adresse IP du routeur MX Series que vous avez configuré pour recevoir le trafic GRE entrant.

    Par exemple :

  3. Spécifiez les sous-réseaux IP à partir desquels le trafic GRE peut être traité.

    Par exemple :

  4. Spécifiez l’équipement d’interface d’abonné pseudowire (IFD) sur lequel construire les tunnels GRE à pont dynamique.

    Par exemple :

  5. Spécifiez le profil dynamique qui configure le tunnel GRE.

    Par exemple :

  6. (Facultatif) Configurez le nombre de secondes qu’un tunnel GRE reste en service après la fin de la dernière session d’abonné sur le tunnel.

    La valeur par défaut tunnel-idle-timeout est de 120 secondes.

    Par exemple :

  7. Pour configurer un autre groupe de tunnels GRE, répétez cette procédure.

Configuration des interfaces d’abonnés VLAN pour les tunnels GRE à pont dynamique sur les passerelles d’accès Wi-Fi

Pour configurer des interfaces d’abonnés pour les abonnés DHCP (Dynamic Host Configuration Protocol) marqués par VLAN sur des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) :

  1. Nommez le profil dynamique qui crée le tunnel GRE

    Par exemple :

  2. Définissez l’interface avec la variable interne utilisée par le routeur pour correspondre au nom de l’interface de l’interface de réception.

    Par exemple :

  3. Définissez l’unité avec la variable interne.

    Par exemple :

  4. (Facultatif) Activez le réassemblage des paquets GRE fragmentés.
  5. Définissez le type de famille d’unités.

    Par exemple :

  6. Activez l’adresse locale de l’interface à dériver de l’adresse d’interface de bouclage.

    Par exemple :

  7. Configurez le routeur pour répondre à n’importe quelle demande ARP.
  8. Configurez le traitement VLAN empilé :
    1. Accédez à la configuration de la gamme VLAN pour les VLAN empilés.

      Par exemple :

    2. Spécifiez le profil dynamique utilisé pour créer des VLAN.

      Par exemple :

    3. Spécifiez que le profil dynamique VLAN accepte tout type de paquet Ethernet VLAN.

      Par exemple :

    4. Spécifiez les plages VLAN externes et internes que vous souhaitez utiliser pour le profil dynamique.

      Par exemple :

  9. Configurez le traitement VLAN à balisage unique :
    1. Accédez à la configuration de la gamme VLAN pour un VLAN unique.

      Par exemple :

    2. Spécifiez le profil dynamique utilisé pour créer des VLAN.

      Par exemple :

    3. Spécifiez que le profil dynamique VLAN accepte tout type de paquet Ethernet VLAN.

      Par exemple :

    4. Spécifiez la plage VLAN que vous souhaitez que le profil dynamique utilise.

      Par exemple :

Configuration des interfaces d’abonné non balisées pour les tunnels GRE à pont dynamique sur les passerelles d’accès Wi-Fi

Pour configurer les interfaces d’abonnés pour les abonnés DHCP (Dynamic Host Configuration Protocol) non identifiés sur des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) :

  1. Nommez le profil dynamique qui crée le tunnel GRE.

    Par exemple :

  2. Définissez l’interface avec la variable interne utilisée par le routeur pour correspondre au nom de l’interface de l’interface de réception.

    Par exemple :

  3. Définissez l’unité avec la variable interne.

    Par exemple :

  4. (Facultatif) Activez le réassemblage des paquets GRE fragmentés.
  5. Configurez la variable pour l’interface sous-jacente des interfaces demux.

    Par exemple :

  6. Définissez le type de famille d’unités.

    Par exemple :

Tableau de l’historique des versions
Libération
Description
17.2R1
À partir de la version 17.2R1 de Junos OS, les fournisseurs de services peuvent déployer le routeur MX Series en tant que passerelle réseau haut débit (BNG) au sein de leur réseau, puis déployer le BNG en tant que wag.