Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer le SD-WAN avec connexion active/de secours à Internet sur une passerelle de services SRX300

Exigences

Cet exemple utilise les composants matériels et logiciels suivants.

  • Un équipement SRX300 series (320, 340, 345, 380)

  • Un MPIM Wi-Fi pour la série SRX300

  • Un MPIM LTE pour la série SRX300

  • Une carte SIM avec abonnement aux services de données

  • Junos OS 19.4R1

Aperçu

Dans cet exemple, nous configurons un équipement SRX320 Series pour filiale afin de fournir un accès Internet et intranet filaire et sans fil aux employés sur site, ainsi qu’un accès Internet sans fil aux appareils invités. La liaison Internet principale se fait par Ethernet tandis que la connectivité de secours est via le réseau LTE. Les deux liaisons sont configurées en mode actif/veille, c’est-à-dire qu’aucun trafic n’est acheminé via le modem LTE, sauf si la liaison principale est en panne.

Topologie

Figure 1 : Exemple de topologie Example Topology

La topologie de l’exemple est illustrée à la figure 1. Le LTE Mini-PIM est installé dans l’emplacement 1. Le Mini-PIM WI-FI est installé dans l’emplacement 2. La carte SIM est installée dans l’emplacement 1 du module LTE. Le lien principal est connecté à l’interface ge-0/0/0 et reçoit son adresse IP, son masque réseau, sa passerelle par défaut et ses serveurs DNS de l’appareil auquel il est connecté. Le modem a l’interface cl-1/0/0.

Le contexte PDP se termine sur l’interface dl.0 et, comme pour ge-0/0/0, l’adresse IP, le masque de réseau et la passerelle par défaut sont attribués par le GGSN/PGW. L’interface Wi-Fi wl-2/0/0.200 sert le réseau invité, tandis que l’interface wl-2/0/0.100 sert le réseau d’entreprise. Les zones de sécurité et les listes d’interfaces pour chaque zone sont illustrées à la figure 2.

Figure 2 : Zones Security Zones de sécurité

Quatre zones de sécurité sont configurées sur l’équipement SRX300 : Confiance, Confiance, Entreprise et Invité. La séparation des interfaces en zones de sécurité permet de séparer le trafic et d’atténuer les risques auxquels l’intranet de l’entreprise est exposé, et sert de véhicule pour parvenir à une mise en œuvre claire et simplifiée des politiques de sécurité. Zone Untrust héberge les interfaces qui ont accès à Internet.

Les interfaces internes de l’intranet d’entreprise se trouvent dans la zone Trust. Les appareils sans fil de l’organisation se déplacent dans la zone Corporate. Les appareils mobiles personnels, qui ne bénéficient que d’un accès Internet, se trouvent dans la zone Invité.

Le tableau 1 indique le comportement souhaité des stratégies de sécurité pour le trafic entre les zones.

Tableau 1 : stratégies de sécurité par zone

From-To

Untrust

Trust

Corporate

Guest

Untrust

Non

Approuvé uniquement

À l’initiative de l’entreprise uniquement

À l’initiative de l’invité uniquement

Trust

Oui

Oui

À l’initiative de l’entreprise uniquement

Non

Corporate

Oui

Oui

Oui

Non

Guest

Oui

Non

Non

Non

Les informations VLAN et les informations d’adresse IP pour les interfaces sont résumées dans le tableau 2.

Tableau 2 : détails de configuration des interfaces

Interface

VLAN

IP Adress

Netmask

WL-2/0/0.100

100

172.16.100.1

255.255.255.0

WL-2/0/0.200

200

192.16.200.1

255.255.255.0

DL.0

3

DHCP

-

GE-0/0/0

3

DHCP

-

Irb.0

3

192.168.1.1

255.255.255.0

Configuration et validation

Configuration

Procédure étape par étape

Les étapes de cette configuration s’étendent logiquement des couches inférieures aux couches supérieures.

  1. Créez un VLAN pour les appareils invités.

  2. Créez un VLAN pour les appareils de l’entreprise.

  3. Créez un point d’accès.

  4. Définissez le pays où l’appareil est installé. Différents pays ont différents spectres 802.11 disponibles pour un usage général.

  5. Configurez l’interface radio 5 GHz du point d’accès. Définissez son mode, le numéro de canal sur lequel il fonctionnera et la bande passante qu’il utilisera. Réglez également la puissance d’émission de l’interface radio 5 GHz (en %).

  6. Créez un point d’accès virtuel (VAP) pour le réseau invité 5 GHz. Le Mini-PIM prend en charge jusqu’à huit points d’accès virtuels par interface radio.

  7. Configurez la sécurité du VAP en tant que wpa-personal. Définissez la suite de chiffrement, le type de clé et la clé prépartagée.

  8. Configurez l’interface radio 2,4 GHz du point d’accès. Définissez son mode, le numéro de canal sur lequel il fonctionnera et la bande passante qu’il utilisera. Réglez également la puissance d’émission de l’interface radio (en %).

  9. Configurez le VAP sur le réseau invité 2,4 GHz.

  10. Configurez la sécurité du VAP en tant que wpa-personal. Définissez la suite de chiffrement, le type de clé et la clé prépartagée.

  11. Configurez la VAP sur le réseau d’entreprise 5 GHz.

  12. Configurez la sécurité du VAP en tant que wpa-personal. Définissez la suite de chiffrement, le type de clé et la clé prépartagée.

  13. Configurez la VAP sur le réseau d’entreprise 2,4 GHz.

  14. Configurez la sécurité du VAP en tant que wpa-personal. Définissez la suite de chiffrement, le type de clé et la clé prépartagée.

  15. Créez l’interface IP qui servira de passerelle par défaut pour les appareils des VAP invités (un VAP fonctionne sur 5 GHz et l’autre sur 2,4 GHz).

  16. Créez l’interface IP qui servira de passerelle par défaut pour les appareils des VAP d’entreprise (un VAP fonctionne sur 5 GHz et l’autre sur 2,4 GHz).

  17. Créez une zone de sécurité pour les appareils invités et autorisez DHCP et tous les autres protocoles nécessaires. Assurez-vous que l’interface wl appropriée est également ajoutée à la zone.

  18. Créez une zone de sécurité pour les appareils de l’entreprise et autorisez DHCP et tous les autres protocoles nécessaires. Assurez-vous que l’interface wl appropriée est également ajoutée à la zone.

  19. Créez un groupe de serveurs DHCP unique pour les VAP invités (un seul groupe de serveurs est nécessaire pour les deux VAP invités).

  20. Créez un groupe de serveurs DHCP unique pour les VAP d’entreprise.

  21. Créez un pool d’adresses IP à attribuer aux appareils itinérants dans les VAP invités. Définissez les adresses IP les plus basses et les plus élevées à attribuer aux périphériques de ce pool, aux serveurs DNS et à l’adresse IP de la passerelle par défaut du pool.

  22. Créez un pool d’adresses IP à attribuer aux appareils itinérants dans les VAP d’entreprise. Définissez les adresses IP les plus basses et les plus élevées à attribuer aux périphériques de ce pool, aux serveurs DNS et à l’adresse IP de la passerelle par défaut du pool.

  23. Créez NAT source pour appliquer NAT aux périphériques de la zone invité à l’interface externe.

  24. Créez NAT source pour appliquer NAT aux périphériques de la zone d’entreprise à l’interface externe.

  25. Créez une stratégie de sécurité qui autorise le trafic entre les zones Invité et Méfiance. Assurez-vous que les segments réseau et/ou applications souhaités sont inclus dans la stratégie.

  26. Créez une stratégie de sécurité qui autorise le trafic entre les zones Corporate et Untrust. Cette étape active le trafic auquel NAT a été appliqué pour circuler entre les zones.

  27. Créez une stratégie de sécurité qui autorise le trafic entre les zones d’entreprise et d’approbation, et qui permet au trafic appliqué à NAT de circuler entre les zones.

  28. Définissez la description de l’interface du lien Internet principal. Définissez l’interface pour obtenir la configuration via le protocole DHCP. Assurez-vous que l’interface LTE est définie comme sauvegarde pour la liaison Internet.

  29. Configurez l’interface du modem. Assurez-vous que l’emplacement SIM, qui contient la carte SIM, est défini sur actif.

  30. Configurez l’interface du numéroteur.

  31. Configurez l’interface sans fil pour accepter les paquets VLAN non étiquetés.

  32. Définissez le nom du point d’accès de la carte SIM dans le modem.

  33. Valider la configuration

Validation

Procédure étape par étape

  1. Assurez-vous que les interfaces sont opérationnelles.

  2. Vérifiez l’état du point d’accès et assurez-vous que l’état des interfaces radio est activé, que les canaux et la bande passante sur lesquels elles fonctionnent sont tels que configurés.

  3. Vérifiez l’état de tous les VAP. Assurez-vous que les SSID et les paramètres de sécurité sont configurés.

  4. Consultez le résumé des associations clientes sur chaque radio du point d’accès. Cette commande affiche le nombre d’utilisateurs associés sur chaque interface radio.

  5. Vérifiez les détails sur les associations de clients sur chaque radio du point d’accès. L’adresse MAC des utilisateurs est affichée dans la sortie, ainsi que les statistiques de trafic.

  6. Vérifiez si les modules Mini-PIM sont détectés par Junos.

  7. Vérifiez la version du firmware des Mini-PIM et mettez-la à jour si nécessaire.

  8. Obtenez une capture de paquets sur un VAP à des fins de dépannage.

    Le fichier est enregistré dans /var/tmp. Vous pouvez télécharger le fichier et l’ouvrir avec une application de suivi de paquets, comme WIreshark.