Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Wi-Fiミニ物理インターフェイスモジュール(MPIM)

SRXシリーズファイアウォール向けWi-Fi Mini-PIM(ミニ物理インターフェイスモジュール)は、ルーティング、スイッチング、セキュリティとともに、単一のデバイスで統合された無線アクセスポイント(または無線LAN)ソリューションを提供します。以下のトピックでは、SRXシリーズファイアウォールでのWi-Fi Mini-PIMの概要と設定について説明します。

Wi-Fi ミニ物理インターフェイス モジュールの概要

SRX320、SRX340、SRX345、SRX380、およびSRX550M向けWi-Fiミニ物理インターフェイスモジュール(Wi-Fi Mini-PIM)は、1つのデバイスでルーティング、スイッチング、セキュリティとともに、統合された無線アクセスポイント(無線LAN)を提供します。Mini-PIM は 802.11ac Wave 2 無線規格をサポートしており、802.11a/b/g/n との下位互換性があります。地域の無線標準要件に基づいて、Wi-Fi Mini-PIM の 3 つの新しいモデルを使用できます。

  • SRX-MP-WLAN-US:米国の無線規格に基づくモデル。

  • SRX-MP-WLAN-IL:イスラエルの無線規格に基づくモデル。

  • SRX-MP-WLAN-WW:他の国のモデル。

SRX-MP-WLAN-US および SRX-MP-WLAN-IL モデルの国コードは固定されているため、変更できません。Wi-Fi Mini-PIMは、SRXシリーズファイアウォールでサポートされている他のMini-PIMと共存できます。表 1 は、Mini-PIM でサポートされる機能の概要を示しています。

Wi-Fi Mini-PIMソリューションの一般的な導入例は次のとおりです。

  • 遠隔地にある支社/拠点にいる企業ユーザーのエンドポイントデバイスへのセキュアな無線LAN接続802.11ac、WPA2、802.1X、SSID-to-VLAN マッピング機能により、セキュアな無線 LAN 接続を提供します。

  • 企業のモノのインターネット(IoT)デバイスへの直接ネットワーク接続。SRXシリーズファイアウォールのセキュリティ機能は、IoTデバイスを安全に保護します。

Wi-Fi Mini-PIMのインストール方法について、詳しくは SRXシリーズサービス ゲートウェイにWi-Fi Mini-PIMをインストールする 方法をご覧ください。

シャーシ クラスタ モードの無線 LAN インターフェイス

Mini-PIM は、冗長性を提供するためにシャーシ クラスタ モードでもサポートされています。無線ユーザーは、冗長グループでアクティブインターフェイスに接続されています。無線LAN インターフェイス Mini-PIM のシャーシ クラスタ モードをサポートするには、 wl-x/0/0wl-y/0/0 の 2 つの無線LAN インターフェイスでシャーシ クラスタ セットアップを設定する必要があります。ここで、 x はノード 0 でインターフェイス Mini-PIM プラグイン無線LANスロット番号を示し、 Y はノード 1 でインターフェイス Mini-PIM プラグイン無線LANスロット番号を示します。

シャーシ クラスタ モードでは、1 つの 無線LAN インターフェイスがアクティブで、もう 1 つの 無線LAN インターフェイスは非アクティブです。Wi-Fiクライアントは、アクティブな無線LANインターフェイスに関連付けられています。

次に、次の場合に無線LANインターフェイスのフェイルオーバーをトリガーするイベントの一覧を示します。

  • 無線LANインターフェイスに異常があります。

  • プライマリ無線LANインターフェイスがダウンしています。

  • 無線LANインターフェイスが属する冗長グループを手動でフェイルオーバーします。

  • プライマリ WLAN インターフェイス ノードに障害が発生しています。

無線LAN インターフェイスのフェイルオーバー後、元の非アクティブな無線LANインターフェイスはアクティブに変更され、Wi-Fi クライアント セッションは新しいプライマリ無線LANインターフェイスに再接続されます。

シャーシ クラスタ モードでは、WLAND プロセスが両方のノードで実行されます。プライマリ ノード上の WLAND は、2 つのノード上の PFE に WLAN 設定をプッシュし、2 つの無線LANインターフェイス カードが同じ設定を持つように、PFE はローカルの無線 無線LAN インターフェイス カードに設定を転送します。

無線LANインターフェイスの状態を監視するために、WLANDは無線LANインターフェイスが異常であることを検出し、冗長グループフェイルオーバーをトリガーできます。レイヤー 3 モードでは、デフォルトで、 set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 コマンドと set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255 コマンドを使用して、インターフェイス アクティビティ モニター無線LAN WLAN 高可用性用に設定されます。

新しいプライマリ 無線LAN インターフェイスがアクティブになり、異常な無線LAN インターフェイス カードが再起動されて非アクティブ状態になります。アクティブWAPの設定(無線、チャネル、帯域幅、SSIDなど)が元の無線LANインターフェイスと同じであるため、Wi-Fiクライアントはアクティブな無線LANインターフェイスに自動的に再接続されます。

レイヤ 3(L3)モードの無線 LAN インターフェイス

インターフェイスは、コマンド set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface を使用して、RETH の下位インターフェイスとして設定されます。RETH インターフェイスを 1 つの冗長グループに追加し、冗長グループ内の各ノードに優先度を設定できます。冗長グループでは、1 つの無線LANインターフェイスのみがアクティブで、もう 1 つは非アクティブです。

レイヤー 2(L2)モードの無線 LAN インターフェイス

SRXシリーズファイアウォールは、無線LANインターフェイスMini-PIMを使用してシャーシクラスターモードで構築できます。ピアの無線LANインターフェイスは同じVLANで設定されており、冗長グループ0のプライマリノード上の無線LANインターフェイスがデフォルトでアクティブインターフェイスとして選択されます。インターフェイスのL2モード(family ethernet-switching)無線LANは、他のL2スイッチングポート(トランクポート)と同様に動作します。

Wi-Fi Mini-PIM でサポートされる機能

表 1 に、Wi-Fi Mini-PIM でサポートされる主な機能を示します。

表 1:Wi-Fi Mini-PIM の特長

特徴

形容

2x2 MU-MIMO

複数のクライアントに同時にデータを送信できます。

デュアル無線

2.4 GHz 帯域と 5 GHz 帯域の両方の無線が同時にサポートされます。サポートされる最大速度は最大1.2Gbpsです。

仮想アクセスポイント(VAP)とVLAN機能

  • WLAN を、イーサネット VLAN の無線版である複数のブロードキャスト ドメインにセグメント化できます。1 つのアクセス ポイントを複数の個別の VAP に分離し、1 つのシステム内の複数のアクセス ポイントをシミュレートします。

  • アクセスポイントは複数のVLANをサポートしており、VAPと無線に分散させることができます。

  • 無線ごとに最大 8 個の VAP を設定できます。最大 16 個の拡張サービス セット識別子(ESSID)を個々の VLAN にマッピングできます。

  • Mini-PIM ソフトウェアからの VLAN は、Junos OS 上の VLAN にマッピングされます。

インターフェイスの共存

Wi-Fi Mini-PIMは、4G LTE、VDSL、T1、およびシリアルインターフェイスと共存します。

クライアント認証方法

サポートされているクライアント認証方法は、Wi-Fi Protected Access (WPA) Enterprise (WPA2 標準) と Wi-Fi Protected Access (WPA) Personal (AES-CCMP 暗号スーツおよび WPA2 標準) です。

Wi-Fi Mini-PIM の設定

Wi-Fi Mini-PIM で無線と仮想アクセス ポイントを設定できます。このトピックには、ワイヤレス インターフェイス レベルでの基本的な Wi-Fi Mini-PIM 設定を説明するセクションが含まれています。Wi-Fi Mini-PIM をインストールする方法について詳しくは、 SRXシリーズ サービス ゲートウェイに Wi-Fi Mini-PIM をインストールする方法を参照してください

次のセクションでは、SRXシリーズファイアウォールでWi-Fi Mini-PIMを設定する方法について説明します。

Wi-Fi Mini-PIM のネットワーク設定を構成する

wl-インターフェイスを設定します

Mini-PIM のインターフェイス名は wl-x/0/0 と表記されます。ここで、 x は Mini-PIM がインストールされているSRXシリーズサービスゲートウェイのスロットです。SRXシリーズファイアウォールのスロットにMini-PIMを挿入すると、wl-インターフェイスが自動的に作成されます。

無線LANインターフェイスを設定するには:

  1. Wi-FiインターフェイスのIPアドレスを設定します。
  2. アドレスプールを設定します。

    DHCPアドレスプールとWi-Fiインターフェイスは、同じネットワーク内にある必要があります。

  3. インターフェイスでDHCPサーバーを有効にします。

    Mini-PIM の eth0 インターフェイスは、DHCP クライアントを有効にします。DHCP サーバーが wl インターフェースで有効になっている場合、サーバーは eth0 インターフェースに IP アドレスを割り当てます。バインディング情報を表示するには、 show dhcp server binding コマンドを発行します。

  4. インターフェイスをセキュリティ ゾーンに割り当てます。

アクセスポイントの設定

無線LANインターフェイスwl-x/0/0に関連づけられたアクセスポイントを設定するには:

  1. インターフェイスを設定します。

  2. 国コードを設定します(Mini-PIMのSRX-MP-WLAN-WWモデルにのみ適用可能)。

    手記:

    SRX-MP-WLAN-WWモデルの国コードを設定しない場合、Mini-PIMは国コードを米国と見なします。SRX-MP-WLAN-USおよびSRX-MP-WLAN-ILモデルの国コードを設定することはできません。

  3. 物理的な場所を設定します (ハードウェア デバイスの場所、例: 1 階)。

  4. 設定をコミットします。

無線の設定

すべてのアクセス ポイントには 2 つの無線があります。無線 1 は 5 GHz 帯域幅で動作し、無線 2 は 2.4 GHz 帯域幅で動作します。VAP は無線に基づいて設定されます。無線ごとに最大 8 個の VAP を設定し、最大 16 個の ESSID を個別の VLAN にマッピングできます。Wi-Fi Mini-PIMは、両方の無線(2.4 GHzと5 GHz)が同時に動作することをサポートしています。無線を無効にすることもできます。 表 2 に、各無線でサポートされるモードを示します。

無線設定を変更すると、アクセス ポイントがシステム プロセスを停止および再起動することがあります。この場合、アクセス ポイントに接続しているワイヤレス クライアントは一時的に接続を失います。WLAN トラフィックが少ないときに無線設定を変更することを推奨します。

表 2:Wi-Fi Mini-PIM 無線でサポートされるモード

ラジオ

サポートされているモード

無線1(5.0 GHz)

  • AN:5 GHz 周波数で動作する 802.11a および 802.11n クライアントは、アクセス ポイントに接続できます

  • CAN—5 GHz 周波数で動作する 802.11a、802.11n、および 802.11ac クライアントは、アクセス ポイントに接続できます

無線2(2.4 GHz)

  • gn—2.4 GHz 周波数で動作する 802.11g、802.11b、および 802.11n クライアントは、アクセス ポイントに接続できます。これは、この無線のデフォルトモードです。

  • g—2.4 GHz周波数で動作する802.11gクライアントは、Junos OS リリース20.4R1からサポートされているアクセスポイントに接続できます。

無線を設定するには:

  1. 無線モードを設定します。無線 1 は CAN と AN モードをサポートしています。無線 2 は gn モードのみをサポートします。

  2. チャネル番号を設定します。[auto] を選択すると、Mini-PIM によってチャネルが自動的に選択されます。デフォルトでは、チャネル番号は autoに設定されています。

  3. チャネル帯域幅を設定します。デフォルトのチャネル帯域幅は、2.4 GHz 無線では 20 MHz、5 GHz 無線では 40 MHz です。5 GHz 無線のチャネル帯域幅として設定できるのは 80 MHz のみで、2.4 GHz には設定できません。

  4. 送信電力を設定します。送信電力は無線ごとに設定できます。

    手記:

    送信電力を設定すると、Mini-PIM カードは送信電力を指定された値セットに固定するため、この場合、レート別電力機能は動作しません。そのため、送信電力を指定値に設定しないことをお勧めします。送信電力を設定しない(送信電力を指定値に固定しない)場合、レート別電力機能が動作します。送信電力パーセンテージを100に設定し、オプション「auto」を選択すると、動作は送信電力が設定されていない場合と同様になり、レート別電力機能が機能します。

  5. 設定をコミットします。

    動的周波数選択(DFS)が必要な国では、Wi-Fiカードがレーダーの適切なチェックを実行します。DFSはデフォルトで有効になっています。 channel numberauto に設定すると、アクセス ポイントは DFS チャネルと非 DFS チャネルのリストからチャネルを選択します。DFS を無効にするには、 dfs-off オプション set wlan access-point name radio 1 radio-options dfs-offを使用します。

    5 GHz 無線(無線 1)のみが DFS をサポートしています。

    DFS の詳細については、 Wi-Fi Mini-PIM でサポートされるチャネルと周波数を参照してください。

仮想アクセスポイント(VAP)の設定

VAPを使用すると、無線LANをイーサネットVLANと同等のワイヤレスである複数のブロードキャストドメインにセグメント化できます。VAP を設定するには:

  1. VAP の ID と説明を入力します。

  2. SSID 値を入力します。

  3. VAPのための次のセキュリティ認証方法の次のいずれかを設定して下さい。

    • none:クライアントとアクセス ポイント間で転送されるデータは暗号化されません。クライアントは、認証なしでアクセス ポイントにアソシエートできます。

    • wpa-enterprise—デバイスは、802.1X準拠のRADIUSサーバーを介して認証されます。

    • wpa-personal—デバイスは、認証と暗号化にPSK(事前共有キー)またはパスフレーズを使用します。キーは、デバイスとすべてのワイヤレス クライアントに保存されます。認証サーバーを別途設定する必要はありません。

  4. Wi-Fi Mini-PIM のアップロードとダウンロードのレート制限を設定および指定します。 upload-limitdownload-limit の範囲は 256 Kbps から 1,048,576 Kbps です。

  5. VAP に接続できるクライアントの最大数を指定します。

  6. 設定をコミットします。

設定が正常に完了すると、 show wlan access-points name detail コマンドを使用してパラメーターを表示できます。

VLAN の設定

VAPに基づいてVLANを設定します

(オプション)単一のアクセスポイントを複数の個別の仮想アクセスポイント(VAP)に分離し、単一のシステム内の複数のアクセスポイントをシミュレートします。アクセス ポイントは複数の VLAN をサポートしています。VAP に基づいて VLAN ID を設定するには:

  1. 無線LANインターフェイス(wl-インターフェイス)のVLANを設定します。VAPに基づいてVLAN IDを設定するには、次の手順に従います。
  2. wl- インターフェイスでトランクモードを設定します。
  3. wl- インターフェイスのネイティブ VLAN を設定します。

    ネイティブvlanを設定すると、wl-インターフェイスはタグなしパケットを受信するとタグを追加し、タグ付きnative-vlan-idパケットを受信してもアクションを実行しません。

  4. wl- インターフェイスのアクセス ポイントを設定します。
  5. 無線モード、チャネル番号、VAP SSID、WI-Fi Mini-PIMのVAP VLAN IDなど、すべてのVAPパラメータを設定します。
  6. 設定をコミットします。

WPA エンタープライズ認証を構成する

(オプション)Wi-Fi Protected Access(WPA)エンタープライズは、AES-CCMP暗号スイートによるRADIUSサーバー認証を使用するWi-Fiアライアンス標準です。このモードでは、一元管理されたユーザー認証とともに、高度なセキュリティ暗号化を使用できます。WPA2 標準のみがサポートされています。WPA エンタープライズ認証を構成するには:

  1. アドレス帳を設定し、セキュリティゾーンを割り当てます。

  2. セキュリティ ソース ルール セットを trust ゾーンから WPA 認証に設定します。

  3. 送信元アドレスと宛先アドレスが一致するようにセキュリティ ソースを設定します。

  4. インターフェイスでUDPプロトコルとセキュリティソースを設定します。

  5. 送信元アドレスと宛先アドレスにセキュリティポリシーを割り当てます。

  6. 設定をコミットします。

構成が正常に完了すると、 show wlan access-points name virtual-access-points コマンドを使用してパラメーターを表示できます。

複数のVLANとSSIDの設定

各無線で 8 つの VAP を設定することができ、各 VAP は SSID で識別されます。Wi-Fi Mini-PIM では、最大 16 個の SSID を設定できます。VLAN を各 SSID にマッピングすることも、1 つの VLAN を複数の SSID に割り当てることもできます。クライアントは SSID を使用して VAP に接続し、SSID にマッピングされた VLAN に関連付けられます。

複数の SSID を設定して、さまざまなデバイスやユーザーにさまざまなアクセス レベルを提供できます。次に、異なる VAP に接続する 3 つの異なるタイプのユーザーの設定例を示します。各 VAP は、異なる VLAN に関連付けられています。

インターフェイス

VLAN ID

アドレスプール

VAPの

SSID

アドレスプール

wl-2/0/0.0

100

junosDHCPPool

192.168.2.0/24

WL-2/0/0.10

10

junosDHCPPool1

VAP1の

VAP-10

192.168.10.0/24

WL-2/0/0.20

20

junosDHCPPool2

VAP2の

VAP-20

192.168.20.0/24

WL-2/0/0.30

30

junosDHCPPool3

VAP3の

VAP-30型

192.168.30.0/24
  1. インターフェイスをセキュリティ ゾーンの一部となるように設定します。
  2. セキュリティ ゾーンを設定します。
  3. インターフェイスでDHCPサーバーを有効にし、Wi-Fiインターフェイスのアドレスプールを設定します。
  4. Wi-FiインターフェイスでフレキシブルVLANタグ付けを設定します。
  5. VLAN を構成します。
  6. wl-2/0/0.10、wl-2/0/0.20、wl-2/0/0.30インターフェイスについて、手順2から5を繰り返します。
  7. アクセスポイントの設定を行います。
  8. 無線設定を構成します。

    無線 1 の場合:

    無線 2 の場合:

  9. VAPを設定します。

    VAP1:

    VAP2:

    VAP3:

  10. 設定をコミットします。

検証

Wi-Fi Mini-PIM で構成されたパラメーターに関する情報を表示します。

  • Mini-PIM に設定されているすべてのアクセス ポイントの詳細を表示するには:

  • 特定のアクセス ポイントのステータスを表示します。

  • をクリックして、アクセスポイントに接続されているクライアントの詳細を表示します。

  • 仮想アクセスポイントの詳細を表示します。

参照

  • WLAN