Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Passerelles d’accès Wi-Fi

Présentation de la passerelle d’accès Wi-Fi

La passerelle d’accès Wi-Fi (WAG) fournit au public un accès Wi-Fi à partir d’un réseau Wi-Fi résidentiel ou d’un réseau Wi-Fi professionnel. À la maison, les abonnés ont leur réseau Wi-Fi existant ; Cependant, une partie de leur réseau est disponible pour le grand public. Les membres du public qui ont un compte auprès du même fournisseur de services Internet que l’abonné à la maison peuvent accéder à Internet et au réseau mobile via la partie publique de la connexion Wi-Fi de l’abonné lorsqu’ils se trouvent à proximité du domicile de l’abonné. WAG authentifie et connecte les abonnés quel que soit leur emplacement physique.

À partir de Junos OS version 17.2R1, les fournisseurs de services peuvent déployer le routeur MX Series en tant que passerelle réseau haut débit (BNG) au sein de leur réseau, puis déployer le BNG en tant que WAG. La figure 1 montre un exemple de topologie.

Figure 1 : routeur MX Series déployé en tant que WAG MX Series Router Deployed as a WAG

Une fois qu’un WAG a été déployé, les fournisseurs de services peuvent le configurer pour créer des connexions réseau domestique sans fil sécurisées pour les ordinateurs, les ordinateurs portables et autres produits électroniques Wi-Fi (tels que les systèmes de jeux, les tablettes ou les téléphones mobiles). WAG offre aux fournisseurs de services filaires et mobiles les déploiements et les opportunités de valeur commerciale suivants :

  • Fournisseurs de services filaires : le déploiement WAG repose sur une division à domicile de points d’accès ou de points d’accès publics, et fonctionne avec tout point d’accès Wi-Fi qui crée un tunnel d’encapsulation de routage générique (GRE) vers le routeur MX Series. Ce déploiement protège les abonnés et réduit l’attrition en incluant le Wi-Fi gratuit avec un abonnement filaire payant. Pour une valeur ajoutée, les fournisseurs de services peuvent également vendre un accès ou un mode ad hoc, comme l’aéroport, la sécurité publique, la recherche et le sauvetage et l’accès aux cafés.

  • Fournisseurs de services mobiles : le déploiement du WAG est basé sur les propres points d’accès du fournisseur de services mobiles, ou sur la vente en gros et au détail auprès du fournisseur de services filaires. Les fournisseurs de services qui offrent un quadruple play, où les services de télévision, Internet, sans fil et de téléphonie fixe sont combinés, peuvent tirer parti des actifs filaires et sans fil. Ce déploiement compense les coûts des infrastructures de cœur de paquets mobiles et de réseau d’accès radio en permettant de décharger les données mobiles. Pour une valeur ajoutée, les fournisseurs de services peuvent proposer le Wi-Fi pour tous les appareils avec un emplacement de données mobiles comme différenciateur concurrentiel.

Les clients qui achètent le haut débit peuvent également bénéficier du Wi-Fi sur n’importe quel point d’accès Wi-Fi communautaire. Les abonnés disposent d’une connexion domestique privée et sécurisée et peuvent également accéder à une connexion publique partagée par d’autres abonnés. Pour maintenir un niveau de sécurité et protéger la connexion résidentielle privée, les deux réseaux sont séparés. Cette séparation assure un fort niveau de bande passante sur les connexions personnelles des abonnés.

les services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; l’attribution des adresses ; la qualité hiérarchique de service (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour chaque abonné DHCP (Dynamic Host Configuration Protocol) dans les tunnels GRE. L’utilisation de tunnels GRE pour le Wi-Fi offre les avantages suivants :

  • Les utilisateurs Wi-Fi qui ne sont pas directement connectés via la couche 2 au WAG sont authentifiés car les tunnels GRE transmettent les informations de couche 2 sur n’importe quel réseau IP.

  • Les services basés sur les informations spécifiques à l’équipement de l’utilisateur sont appliqués à l’aide de l’adresse MAC (Media Access Control) ou de la carte SIM (Subscriber Identity Module).

  • Les services sont appliqués au réseau, pas seulement au point d’accès Wi-Fi.

  • La norme GRE logicielle ou Ethernet sur GRE est prise en charge sur la plupart des points d’accès Wi-Fi. Pour les services utilisant la norme Ethernet sur GRE, un seul côté du tunnel doit être configuré ; l’autre extrémité apprend les adresses IP distantes de tous les points de terminaison de tunnel distants en examinant les paquets GRE entrants.

Présentation du modèle de déploiement de la passerelle d’accès Wi-Fi

La figure 2 montre une passerelle réseau haut débit (BNG) de routeur MX Series déployée en tant que passerelle d’accès Wi-Fi (WAG). Le WAG fournit une périphérie multiservice avec un ensemble complet de fonctionnalités haut débit hautement fiable grâce au matériel redondant inclus. Les trames Ethernet de l’équipement utilisateur doivent être tunnelisées vers le BNG via un cloud IP ou un Internet public.

Figure 2 : modèle de déploiement de la MX Series en tant que passerelle d’accès Wi-Fi MX Series as Wi-Fi Access Gateway Deployment Model

Pour prendre en charge le BNG MX Series déployé en tant que WAG, des tunnels GRE (Generic Routing Encapsulation) pontés dynamiques sont créés et se terminent au BNG lorsqu’il reçoit le trafic GRE du point d’accès sans fil (WAP). Les abonnés DHCP (Dynamic Host Configuration Protocol) sont transportés via des tunnels GRE en tant que VLAN étiquetés par SSID (Service Set Identifier) ou non étiquetés. Lorsque l’équipement utilisateur se connecte au SSID et commence à envoyer du trafic, le point d’accès initie une connexion GRE logicielle ou Ethernet sur GRE de couche 2 au BNG MX Series et le BNG construit dynamiquement le tunnel GRE. Les tunnels GRE sont effacés une fois que tous les abonnés d’un tunnel GRE se sont déconnectés et qu’une minuterie configurable a expiré.

Ce modèle de déploiement prend en charge un ensemble complet de services par équipement utilisateur et par point d’accès. les services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; l’attribution des adresses ; la qualité hiérarchique de service (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour les abonnés DHCP individuels dans les tunnels GRE. Aucune carte de service supplémentaire n’est requise pour le GRE ou la QoS, car toutes les fonctionnalités s’exécutent en ligne sur les MPC.

Le proxy RADIUS externe prend en charge les protocoles EAP (Extensible Authentication Protocol), Subscriber Identity Module (SIM), Tunneled Transport Layer Security (TTLS) et Authentication and Key Agreement (AKA). Le proxy RADIUS externe s’intègre également à la redirection HTTP vers le portail Web.

Le modèle de déploiement MX Series as WAG prend également en charge la vente en gros d’accès aux points d’accès à plusieurs fournisseurs de services de vente au détail. Cette vente en gros permet la répartition locale du trafic ou le transfert de couche 3 aux fournisseurs de services de vente au détail.

Modèles d’accès pris en charge pour les tunnels GRE à pontage dynamique sur la passerelle d’accès Wi-Fi

Les tunnels d’encapsulation de routage générique (GRE) pontés dynamiquement et la passerelle d’accès Wi-Fi prennent en charge les piles d’interfaces pour les abonnés marqués et non balisés VLAN. Les fonctionnalités d’abonné telles que les profils dynamiques et de service pour les abonnés DHCP, l’interception légale, les filtres de pare-feu et le changement d’autorisation (CoA) sont prises en charge.

Les limitations de mise à l’échelle des dispositifs d’interface d’abonné pseudowire (ps IFD) exigent que plusieurs tunnels partagent le mêmen psn IFD. Le pseudowire est un dispositif virtuel empilé au-dessus du point d’ancrage du tunnel logique sur l’interface physique (l’IFD).

Note:

L’IFD psn utilisé pour la maintenance des terminaisons de tunnel GRE dynamiques ne peut pas être utilisé simultanément pour effectuer la maintenance des terminaisons pseudowire MPLS.

Les services aux abonnés et l’interception légale ne sont pris en charge qu’au niveau de l’interface de démultiplexage IP (demux).

Note:

Un tunnel GRE ne peut pas avoir à la fois des abonnés non étiquetés et balisés.

Le modèle balisé et le modèle non balisé sont décrits dans les sections suivantes :

Abonnés dynamiques marqués VLAN

Pour faciliter le provisionnement et le dépannage pour les abonnés marqués VLAN, utilisez le même ensemble de VLAN sur tous les points d’accès Wi-Fi. Pour ce faire, la même interface logique de service d’interface d’abonné pseudowire (ps IFL) (associée à un ID VLAN) sur un IFD psnn représente plusieurs tunnels GRE.

Une interface demux VLAN dynamique (demux0.yyyyyyyy) est créée pour chaque balise VLAN et est empilée sur l’interface ps (tunneln.xxxxxxxx psn interface). Il peut y avoir plusieurs VLAN (à balise simple et double) sur le même tunnel GRE. Les interfaces demux IP des abonnés sont ensuite créées sur l'interface demux VLAN.

Abonnés non étiquetés

Les abonnés DHCP non étiquetés peuvent être créés directement via le tunnel GRE. Pour chaque abonné, une interface IP demux (demux0.) est créée et empilée sur l’interface logique ps (psnn.) du tunnel.yyyyyyyyxxxxxxxx Il peut y avoir plusieurs abonnés sur le même tunnel GRE.

Présentation de la configuration de la passerelle d’accès Wi-Fi

Pour configurer le routeur MX Series en tant que passerelle d’accès Wi-Fi (WAG) :

  1. Configurez un périphérique d’interface logique d’abonné pseudowire.
  2. Configurez les conditions d’activation des tunnels GRE pontés dynamiquement.
  3. Configurez le type de tunnel GRE ponté dynamiquement qui achemine le trafic abonné vers le WAG :
    Note:

    Un tunnel GRE ne peut pas avoir à la fois des abonnés non étiquetés et balisés.

Configuration d’un périphérique d’interface logique d’abonné pseudowire pour la passerelle d’accès Wi-Fi

Avant de commencer, vous devez créer une interface de tunnel logique :

Pour configurer le périphérique d’interface logique de l’abonné pseudowire sur lequel le tunnel GRE ponté dynamiquement est construit sur la passerelle d’accès Wi-Fi du routeur MX Series :

  1. Spécifiez que vous souhaitez configurer le périphérique d’interface logique de l’abonné pseudowire.

    Par exemple :

  2. Spécifiez l’interface de tunnel logique qui est le point d’ancrage de l’interface de périphérique logique pseudofilaire.

    Par exemple :

  3. Configurez la planification hiérarchique à trois niveaux sur l’interface du tunnel logique.

    Par exemple :

  4. Configurez la méthode de balisage VLAN mixte pour le périphérique d’interface logique pseudowire.
    Note:

    Vous devez configurer flexible-vlan-tagging même si seuls des paquets d’abonnés non étiquetés sont transportés sur le tunnel GRE ponté dynamiquement.

    Par exemple :

  5. Spécifiez que vous souhaitez configurer l’unité 0, qui représente l’interface logique de transport.

    Par exemple :

  6. Spécifiez la méthode d’encapsulation Ethernet CCC pour l’interface logique de transport.

    Par exemple :

Configuration des conditions pour la création de tunnels GRE pontés dynamiquement

Avant de commencer :

Pour configurer les conditions d’activation de la création de tunnel GRE (Generic Encapsulation) ponté dynamiquement sur le routeur WG MX Series, configurez un ou plusieurs groupes de tunnels GRE. Plusieurs groupes de tunnels GRE peuvent avoir la même valeur ou la même source-address destination-networks valeur, mais vous ne pouvez pas utiliser une combinaison spécifique source-address dans destination-networks plusieurs groupes de tunnels GRE.

Pour configurer un groupe de tunnels GRE :

  1. Nommez le groupe de tunnels GRE dynamique.

    Par exemple :

  2. Spécifiez l’adresse IP source des tunnels GRE pour le WAG. Utilisez l’adresse IP du routeur MX Series que vous avez configuré pour recevoir le trafic GRE entrant.

    Par exemple :

  3. Spécifiez les sous-réseaux IP à partir desquels le trafic GRE peut être traité.

    Par exemple :

  4. Spécifiez l’IFD (Pseudowire Subscriber Interface Device) sur lequel construire les tunnels GRE pontés dynamiquement.

    Par exemple :

  5. Spécifiez le profil dynamique qui configure le tunnel GRE.

    Par exemple :

  6. (Facultatif) Configurez le nombre de secondes pendant lesquelles un tunnel GRE reste opérationnel après la fin de la dernière session d’abonné sur le tunnel.

    La valeur par défaut tunnel-idle-timeout est 120 secondes.

    Par exemple :

  7. Pour configurer un autre groupe de tunnels GRE, répétez cette procédure.

Configuration des interfaces d’abonné VLAN pour les tunnels GRE pontés dynamiquement sur les passerelles d’accès Wi-Fi

Pour configurer des interfaces d’abonné pour les abonnés DHCP (Dynamic Host Configuration Protocol) marqués VLAN sur des tunnels GRE (Generic Routing Encapsulation) pontés dynamiquement :

  1. Nommez le profil dynamique. qui crée le tunnel GRE

    Par exemple :

  2. Définissez l’interface avec la variable interne utilisée par le routeur pour qu’elle corresponde au nom de l’interface de réception.

    Par exemple :

  3. Définissez l’unité avec la variable interne.

    Par exemple :

  4. (Facultatif) Activez le réassemblage de paquets pour les paquets GRE fragmentés.
  5. Définissez le type de famille d’unités.

    Par exemple :

  6. Activez l’adresse locale de l’interface à dériver de l’adresse de l’interface de bouclage.

    Par exemple :

  7. Configurez le routeur pour répondre à toute requête ARP.
  8. Configurez le traitement VLAN empilé :
    1. Accédez à la configuration de la plage de VLAN pour les VLAN empilés.

      Par exemple :

    2. Spécifiez le profil dynamique utilisé pour créer des VLAN.

      Par exemple :

    3. Spécifiez que le profil dynamique du VLAN accepte tout type de paquet Ethernet VLAN.

      Par exemple :

    4. Spécifiez les plages de VLAN empilées externes et intérieures que vous souhaitez utiliser pour le profil dynamique.

      Par exemple :

  9. Configurez le traitement VLAN monobalisé :
    1. Accédez à la configuration de la plage de VLAN pour les VLAN individuels.

      Par exemple :

    2. Spécifiez le profil dynamique utilisé pour créer des VLAN.

      Par exemple :

    3. Spécifiez que le profil dynamique du VLAN accepte tout type de paquet Ethernet VLAN.

      Par exemple :

    4. Spécifiez la plage VLAN que vous souhaitez utiliser pour le profil dynamique.

      Par exemple :

Configuration d’interfaces d’abonné non balisées pour les tunnels GRE à pontage dynamique sur les passerelles d’accès Wi-Fi

Pour configurer des interfaces d’abonné pour les abonnés DHCP (Dynamic Host Configuration Protocol) non balisés sur des tunnels GRE (Generic Routing Encapsulation) pontés dynamiquement :

  1. Nommez le profil dynamique qui crée le tunnel GRE.

    Par exemple :

  2. Définissez l’interface avec la variable interne utilisée par le routeur pour qu’elle corresponde au nom de l’interface de réception.

    Par exemple :

  3. Définissez l’unité avec la variable interne.

    Par exemple :

  4. (Facultatif) Activez le réassemblage de paquets pour les paquets GRE fragmentés.
  5. Configurez la variable pour l’interface sous-jacente des interfaces demux.

    Par exemple :

  6. Définissez le type de famille d’unités.

    Par exemple :

Tableau de l’historique des versions
Libération
Description
17.2R1
À partir de Junos OS version 17.2R1, les fournisseurs de services peuvent déployer le routeur MX Series en tant que passerelle réseau haut débit (BNG) au sein de leur réseau, puis déployer le BNG en tant que WAG.