SUR CETTE PAGE
Présentation du modèle de déploiement de passerelle d’accès Wi-Fi
Modèles d’accès pris en charge pour les tunnels GRE à pont dynamique sur la passerelle d’accès Wi-Fi
Présentation de la configuration de la passerelle d’accès Wi-Fi
Configuration des conditions pour permettre la création d’un tunnel GRE à pont dynamique
Passerelles d’accès Wi-Fi
Présentation de la passerelle d’accès Wi-Fi
La passerelle d’accès Wi-Fi (WAG) fournit au public un accès Wi-Fi à partir d’un réseau Wi-Fi résidentiel ou d’un réseau Wi-Fi d’entreprise. À domicile, les abonnés ont leur réseau Wi-Fi existant; cependant, une partie de leur réseau est disponible pour le grand public. Les membres du public qui possèdent un compte auprès du même fournisseur d’accès à Internet que l’abonné a à domicile peuvent accéder à Internet et au réseau mobile par l’intermédiaire de la partie publique de la connexion Wi-Fi de l’abonné lorsqu’ils sont à proximité immédiate du domicile de l’abonné. WAG authentifie et connecte les abonnés quel que soit leur emplacement physique.
À partir de la version 17.2R1 de Junos OS, les fournisseurs de services peuvent déployer le routeur MX Series en tant que passerelle réseau haut débit (BNG) au sein de leur réseau, puis déployer le BNG en tant que wag. La figure 1 montre un exemple de topologie.

Une fois qu’une WAG a été déployée, les fournisseurs de services peuvent configurer l’WAG pour créer des connexions réseau domestiques sans fil sécurisées pour les ordinateurs, ordinateurs portables et autres produits électroniques Wi-Fi (tels que les systèmes de jeux, les tablettes ou les téléphones mobiles). WAG offre aux fournisseurs de services filaires et mobiles les déploiements et les opportunités de valeur commerciale suivants :
Fournisseurs de services filaires – Le déploiement de l’WAG repose sur une division à domicile des points d’accès ou des points d’accès publics, et fonctionne avec n’importe quel point d’accès Wi-Fi qui crée un tunnel d’encapsulation de routage générique (GRE) vers le routeur MX Series. Ce déploiement protège les abonnés et réduit le taux de désabonnement en incluant le Wi-Fi gratuit avec un abonnement filaire payant. Pour plus de valeur, les fournisseurs de services peuvent également vendre un accès ou un mode ad hoc, comme l’aéroport, la sécurité publique, la recherche et le sauvetage, et l’accès aux cafés.
Fournisseurs de services mobiles – Le déploiement de l’WAG repose sur les points d’accès propres au fournisseur de services mobiles, ou sur les points de vente en gros et au détail avec le fournisseur de services filaires. Les fournisseurs de services qui proposent des services quadruple play, où les services de télévision, d’Internet, de téléphonie sans fil et de téléphonie fixe sont combinés, peuvent exploiter à la fois les ressources filaires et sans fil. Ce déploiement compense les coûts des infrastructures réseau d’accès radio et de cœur de paquets mobiles par la possibilité de décharger les données mobiles. Pour plus de valeur, les fournisseurs de services peuvent proposer le Wi-Fi pour tous les appareils avec un lieu de données mobile comme un facteur de différenciation concurrentiel.
Les clients qui achètent le haut débit peuvent également recevoir le Wi-Fi sur n’importe quel point d’accès Wi-Fi de la communauté. Les abonnés disposent d’une connexion privée et sécurisée à domicile, et peuvent également accéder à une connexion publique partagée par d’autres abonnés. Pour maintenir un niveau de sécurité et protéger la connexion privée à domicile, les deux réseaux sont séparés. Cette séparation garantit un haut niveau de bande passante sur les connexions personnelles des abonnés.
services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; attribution d’adresses ; qualité de service hiérarchique (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour les abonnés DHCP (Dynamic Host Configuration Protocol) individuels dans les tunnels GRE. L’utilisation de tunnels GRE pour le Wi-Fi offre les avantages suivants :
Les utilisateurs Wi-Fi qui ne sont pas directement connectés via la couche 2 au WAG sont authentifiés parce que les tunnels GRE transmettent des informations de couche 2 sur n’importe quel réseau IP.
Les services basés sur les informations spécifiques à l’équipement utilisateur sont appliqués à l’adresse MAC (Media Access Control) ou à la carte SIM (Subscriber Identity Module).
Les services sont appliqués au réseau, pas seulement au point d’accès Wi-Fi.
La norme SOFT GRE ou Ethernet-over-GRE est prise en charge sur la plupart des points d’accès Wi-Fi. Pour les services utilisant la norme Ethernet over GRE, une seule face du tunnel doit être configurée ; l’autre extrémité apprend les adresses IP distantes de tous les points de terminaison de tunnel distants en examinant les paquets GRE entrants.
Présentation du modèle de déploiement de passerelle d’accès Wi-Fi
La figure 2 montre une passerelle de réseau haut débit (BNG) mx Series déployée en tant que passerelle d’accès Wi-Fi (WAG). L’WAG fournit une périphérie multiservice avec un ensemble complet de fonctionnalités haut débit extrêmement fiable grâce au matériel redondant inclus. Les trames Ethernet de l’équipement utilisateur doivent être tunnelisées vers le BNG via un cloud IP ou un Internet public.

Pour prendre en charge le BNG MX Series déployé en tant que WAG, des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) sont créés et terminés au niveau du BNG lorsqu’il reçoit le trafic GRE du point d’accès sans fil (WAP). Les abonnés DHCP (Dynamic Host Configuration Protocol) sont transportés via des tunnels GRE sous la forme d’un VLAN marqué par sSID (service set identifier) ou non balisé. Lorsque l’équipement utilisateur se connecte au SSID et commence à envoyer du trafic, le point d’accès lance une connexion GRE logicielle de couche 2 ou Ethernet-over-GRE au BNG MX Series et le BNG construit dynamiquement le tunnel GRE. Les tunnels GRE sont dégagés une fois que tous les abonnés d’un tunnel GRE se sont déconnectés et qu’un timer configurable a expiré.
Ce modèle de déploiement prend en charge un ensemble complet de services par équipement utilisateur et par point d’accès. services aux abonnés tels que l’authentification, l’autorisation et la comptabilité (AAA) ; attribution d’adresses ; qualité de service hiérarchique (QoS) ; interception légale ; et la classe de service (CoS) sont prises en charge pour les abonnés DHCP individuels dans les tunnels GRE. Aucune carte de service supplémentaire n’est nécessaire pour GRE ou QoS, car toutes les fonctionnalités s’exécutent en ligne sur des MPC.
Le proxy RADIUS externe prend en charge les protocoles EAP (Subscriber Identity Module), TTLS (Tunneled Transport Layer Security) et Authentication and Key Agreement (AKA). Le proxy RADIUS externe s’intègre également à la redirection HTTP vers le portail Web.
Le modèle de déploiement MX Series en tant que WAG prend également en charge la vente en gros de l’accès aux points d’accès à plusieurs fournisseurs de services de vente au détail. Ce commerce de fond permet le breakout local du trafic ou le déplacement de couche 3 aux fournisseurs de services de vente au détail.
Modèles d’accès pris en charge pour les tunnels GRE à pont dynamique sur la passerelle d’accès Wi-Fi
Tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) et piles d’interface de prise en charge de la passerelle d’accès Wi-Fi pour les abonnés non balisés par VLAN. Les fonctionnalités des abonnés telles que les profils dynamiques et de services pour les abonnés DHCP, l’interception légale, les filtres de pare-feu et le changement d’autorisation (CoA) sont prises en charge.
Les limites d’évolutivité des équipements d’interface d’abonné pseudowire (IFDsn ) exigent que plusieurs tunnels partagent le même IFD psn . Le pseudowire est un équipement virtuel empilé au-dessus du point d’ancrage du tunnel logique sur l’interface physique (IFD).
L’IFD psn utilisé pour traiter les terminaisons de tunnel GRE dynamiques ne peut pas être utilisé simultanément pour traiter les terminaisons pseudowire MPLS.
Les services aux abonnés et l’interception légale ne sont pris en charge qu’au niveau de l’interface de multiplexing (demux) IP.
Un tunnel GRE ne peut pas avoir à la fois des abonnés non balisés et balisés.
Le modèle balisé et le modèle non balisé sont décrits dans les sections suivantes :
Abonnés dynamiques marqués par VLAN
Pour faciliter le provisionnement et le dépannage des abonnés marqués par VLAN, utilisez le même ensemble de VLAN sur tous les points d’accès Wi-Fi. Pour ce faire, il faut que la même interface logique d’interface d’abonné pseudowire (psn IFL) (associée à un ID VLAN) sur un IFD psn représente plusieurs tunnels GRE.
Une interface demux VLAN dynamique (demux0)yyyyyyyy est créée pour chaque balise VLAN et est empilée sur l’interface psn (psn.xxxxxxxx) du tunnel. Il peut y avoir plusieurs VLAN (un ou deux balisages) sur le même tunnel GRE. Les interfaces IP demux des abonnés sont ensuite créées sur l’interface VLAN demux.
Abonnés non-identifiés
Des abonnés DHCP non-identifiés peuvent être créés directement sur le tunnel GRE. Pour chaque abonné, une interface IP demux (demux0.yyyyyyyy) est créée et est empilée sur le tunnel psn interface logique (psn.xxxxxxxx). Il peut y avoir plusieurs abonnés sur le même tunnel GRE.
Présentation de la configuration de la passerelle d’accès Wi-Fi
Pour configurer le routeur MX Series en tant que passerelle d’accès Wi-Fi (WAG) :
Configuration d’un équipement d’interface logique pour abonnés pseudowire pour la passerelle d’accès Wi-Fi
Avant de commencer, vous devez créer une interface de tunnel logique :
Configurez le nombre maximal d’interfaces logiques pseudowire. Voir Configuration du nombre maximal d’équipements d’interface logique Pseudowire pris en charge sur le routeur.
Configurez une interface tunnel. Voir la présentation de la configuration de l’interface de tunnel sur les routeurs MX Series.
Pour configurer l’équipement d’interface logique d’abonné pseudowire sur lequel le tunnel GRE à pont dynamique est construit sur la passerelle d’accès Wi-Fi du routeur MX Series :
Configuration des conditions pour permettre la création d’un tunnel GRE à pont dynamique
Avant de commencer :
Configurez l’équipement logique pseudowire sur lequel construire le tunnel GRE à pont dynamique. Voir Configuration d’un équipement d’interface logique d’abonné Pseudowire pour la passerelle d’accès Wi-Fi.
Configurez l’interface lo0 avec l’adresse IP source des tunnels GRE pour la passerelle d’accès Wi-Fi (WAG). Utilisez l’adresse IP du routeur MX Series que vous souhaitez recevoir le trafic GRE entrant. Cette adresse ne peut pas être l’adresse principale ou préférée sur lo0. Voir Configuration d’une interface de bouclage.
Pour configurer les conditions d’activation de la création de tunnel GRE (Dynamic-Bridged Generic Routing Encapsulation) sur le routeur MX Series WAG, vous configurez un ou plusieurs groupes de tunnels GRE. Plusieurs groupes de tunnels GRE peuvent avoir la même source-address
valeur ou la même destination-networks
valeur, mais vous ne pouvez pas utiliser une combinaison spécifique source-address
dans destination-networks
plusieurs groupes de tunnels GRE.
Pour configurer un groupe de tunnels GRE :
Configuration des interfaces d’abonnés VLAN pour les tunnels GRE à pont dynamique sur les passerelles d’accès Wi-Fi
Pour configurer des interfaces d’abonnés pour les abonnés DHCP (Dynamic Host Configuration Protocol) marqués par VLAN sur des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) :
Configuration des interfaces d’abonné non balisées pour les tunnels GRE à pont dynamique sur les passerelles d’accès Wi-Fi
Pour configurer les interfaces d’abonnés pour les abonnés DHCP (Dynamic Host Configuration Protocol) non identifiés sur des tunnels GRE (Dynamic-Bridged Generic Routing Encapsulation) :