Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Wi-Fi MPIM(ミニ物理インターフェイス モジュール)

SRXシリーズファイアウォール用のWi-Fiミニ物理インターフェイスモジュール(Mini-PIM)は、ルーティング、スイッチング、セキュリティとともに、単一のデバイスに統合された無線アクセスポイント(または無線LAN)ソリューションを提供します。以下のトピックでは、SRXシリーズファイアウォールでのWi-Fi Mini-PIMの概要と設定について説明します。

Wi-Fiミニ物理インターフェイスモジュールの概要

SRX320、SRX340、SRX345、SRX380およびSRX550M用のWi-Fiミニ物理インターフェイスモジュール(Wi-Fi Mini-PIM)は、単一のデバイスにルーティング、スイッチング、セキュリティとともに、統合された無線アクセスポイント(または無線LAN)を提供します。Mini-PIM は 802.11ac Wave 2 無線規格をサポートしており、802.11a/b/g/n との下位互換性があります。地域のワイヤレス標準要件に基づいて、Wi-Fi Mini-PIM の 3 つの新しいモデルを使用できます。

  • SRX-MP-WLAN-US — 米国の無線規格に基づくモデル。

  • SRX-MP-WLAN-IL — イスラエルの無線規格に基づくモデル。

  • SRX-MP-WLAN-WW — 他の国のモデル。

SRX-MP-WLAN-US および SRX-MP-WLAN-IL モデルは固定されているため、国コードを変更することはできません。Wi-FiミニPIMは、SRXシリーズファイアウォールでサポートされている他のミニPIMと共存できます。表 1 に、Mini-PIM でサポートされる機能の概要を示します。

Wi-FiミニPIMソリューションの一般的な導入例は次のとおりです。

  • 遠隔地にある支社/拠点の企業ユーザーのエンドポイントデバイスへのセキュアな無線LAN接続802.11ac、WPA2、802.1X、および SSID から VLAN へのマッピング機能により、セキュアな無線 LAN 接続が提供されます。

  • エンタープライズのモノのインターネット (IoT) デバイスへの直接ネットワーク接続。SRXシリーズファイアウォールのセキュリティ機能は、IoTデバイスを保護します。

Wi-Fi Mini-PIMのインストール方法について詳しくは、 SRXシリーズ サービス ゲートウェイ向けWi-FiミニPIM のインストール方法を参照してください。

シャーシ クラスタ モードのワイヤレス LAN インターフェイス

Mini-PIM はシャーシ クラスタ モードでもサポートされ、冗長性を提供します。ワイヤレス ユーザーは、冗長性グループのアクティブ インターフェイスに接続されます。無線 LAN インターフェイス Mini-PIM のシャーシ クラスタ モードをサポートするには、2 つのワイヤレス LAN インターフェイス wl-x/0/0wl-y/0/0 を使用してシャーシ クラスタ セットアップを設定する必要があります。ここで、 x はノード 0 のワイヤレス LAN インターフェイス Mini-PIM プラグインのスロット番号を示し、 Y はノード 1 のワイヤレス LAN インターフェイス Mini-PIM プラグインのスロット番号を示します。

シャーシ クラスタ モードでは、1 つの無線 LAN インターフェイスがアクティブで、もう 1 つの無線 LAN インターフェイスは非アクティブです。Wi-Fi クライアントは、アクティブな無線 LAN インターフェイスに関連付けられています。

以下の場合に無線LANインターフェイスのフェイルオーバーをトリガーするイベントのリストを以下に示します。

  • 無線LANインターフェイスが異常です。

  • プライマリ ワイヤレス LAN インターフェイスがダウンしています。

  • 無線LANインターフェイスが手動でフェイルオーバーする冗長グループ。

  • プライマリ WLAN インターフェイス ノードに障害が発生しています。

無線 LAN インターフェイスのフェイルオーバー後、元の非アクティブな無線 LAN インターフェイスはアクティブに変更され、Wi-Fi クライアント セッションは新しいプライマリ無線 LAN インターフェイスに再接続されます。

シャーシ クラスタ モードでは、WLAND プロセスは両方のノードで実行されます。プライマリ ノードの WLAND は、WLAN の設定を 2 つのノードの PFE にプッシュし、PFE は 2 つのワイヤレス LAN インターフェイス カードが同じ設定になるように、設定をローカル ワイヤレス LAN インターフェイス カードに転送します。

無線LANインターフェイスのステータスを監視するために、WLANDは無線LANインターフェイスが異常であると検出し、冗長グループフェイルオーバーをトリガーできます。レイヤー 3 モードでは、デフォルトでは、無線 LAN インターフェイス アクティビティ モニタは、コマンド set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 および set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255 を使用して WLAN 高可用性用に設定されます。

新しいプライマリ無線LANインターフェイスがアクティブになり、異常な無線LANインターフェイスカードが再起動されて非アクティブ状態になります。アクティブWAPの設定(無線、チャネル、帯域幅、ssidなど)は元の無線LANインターフェイスと同じであるため、Wi-FiクライアントはアクティブなワイヤレスLANインターフェイスに自動的に再接続されます。

レイヤー 3(L3)モードの無線 LAN インターフェイス

インターフェイスは、コマンド set interfaces wl-x/0/0 gigether-options redundant-parent reth-interfaceを使用して RETH の下位インターフェイスとして設定されます。RETH インターフェイスを 1 つの冗長グループに追加し、冗長グループ内の各ノードの優先順位を設定できます。冗長グループ内でアクティブになっている無線 LAN インターフェイスは 1 つだけで、もう 1 つは非アクティブです。

レイヤー2(L2)モードの無線LANインターフェイス

SRXシリーズファイアウォールは、無線LANインターフェイスMini-PIMを使用して、シャーシクラスタモードで構築できます。ピアの無線 LAN インターフェイスは同じ VLAN に設定され、冗長グループ 0 のプライマリ ノード上の無線 LAN インターフェイスがデフォルトでアクティブ インターフェイスとして選択されます。無線 LAN インターフェイスの L2 モード(family ethernet-switching)は、他の L2 スイッチング ポート(トランク ポート)と同様に動作します。

Wi-FiミニPIMでサポートされている機能

表 1 に、Wi-Fi Mini-PIM でサポートされている主な機能を示します。

表 1: Wi-Fi Mini-PIM の機能

特徴

形容

2 x 2 MU-MIMO

複数のクライアントに同時にデータを送信できます。

デュアル無線

2.4 GHz と 5 GHz の両方の帯域の無線が同時にサポートされます。サポートされる最大速度は最大 1.2 Gbps です。

仮想アクセスポイント(VAP)とVLAN機能

  • WLAN を、イーサネット VLAN の無線版である複数のブロードキャスト ドメインにセグメント化できます。1 つのアクセス ポイントが複数の個別の VAP に分離され、1 つのシステムで複数のアクセス ポイントをシミュレートします。

  • アクセスポイントは複数のVLANをサポートしており、VAPや無線に分散させることができます。

  • 無線ごとに最大 8 つの VAP を設定できます。最大16個の拡張サービスセット識別子(ESSID)を個々のVLANにマッピングできます。

  • Mini-PIM ソフトウェアの VLAN は、Junos OS 上の VLAN にマッピングされます。

インターフェースの共存

Wi-Fi Mini-PIM は、4G LTE、VDSL、T1、シリアル インターフェイスと共存できます。

クライアント認証方法

サポートされているクライアント認証方法は、Wi-Fi 保護アクセス (WPA) エンタープライズ (WPA2 標準) と Wi-Fi 保護アクセス (WPA) パーソナル (AES-CCMP 暗号スーツおよび WPA2 標準) です。

Wi-FiミニPIMを設定する

無線と仮想アクセス ポイントは、Wi-Fi Mini-PIM で設定できます。このトピックには、ワイヤレス インターフェイス レベルでの基本的な Wi-Fi Mini-PIM 設定を説明するセクションが含まれています。Wi-FiミニPIMのインストール方法の詳細については 、 SRXシリーズサービスゲートウェイ向けWi-FiミニPIMをインストールする方法を参照してください。

以下のセクションでは、SRXシリーズファイアウォールでWi-Fi Mini-PIMを設定する方法について説明します。

Wi-Fi ミニ PIM のネットワーク設定を構成する

wl- インターフェイスの設定

Mini-PIM のインターフェイス名は wl-x/0/0 と表示され、 x はミニPIMがインストールされているSRXシリーズ サービス ゲートウェイ上のスロットです。SRXシリーズファイアウォールのスロットにMini-PIMを挿入すると、wl-インターフェイスが自動的に作成されます。

無線 LAN インターフェイスを設定するには、次の手順に従います。

  1. Wi-Fi インターフェイスの IP アドレスを設定します。
  2. アドレスプールを設定します。

    DHCP アドレス プールと Wi-Fi インターフェイスは、同じネットワーク内にある必要があります。

  3. インターフェイスでDHCPサーバーを有効にします。

    ミニPIMのeth0インターフェイスは、DHCPクライアントを有効にします。DHCP サーバーが wl インターフェイスで有効になっている場合、サーバーは eth0 インターフェイスに IP アドレスを割り当てます。バインディング情報を表示するには、 show dhcp server binding コマンドを発行します。

  4. インターフェイスをセキュリティ ゾーンに割り当てます。

アクセスポイントの設定

無線 LAN インターフェイス wl-x/0/0 に関連付けられたアクセス ポイントを設定するには、次の手順に従います。

  1. インターフェイスを設定します。

  2. 国コードを設定します(ミニPIMのSRX-MP-WLAN-WWモデルにのみ適用されます)。

    手記:

    SRX-MP-WLAN-WW モデルの国コードを設定しない場合、Mini-PIM は国コードを米国とみなします。SRX-MP-WLAN-US および SRX-MP-WLAN-IL モデルに国コードを設定することはできません。

  3. 物理的な場所(ハードウェアデバイスの場所、例:1階)を設定します。

  4. 設定をコミットします。

無線の設定

すべてのアクセス ポイントには、無線 1 は 5 GHz 帯域幅で動作し、無線 2 は 2.4 GHz 帯域幅で動作します。VAP は無線に基づいて設定されます。無線ごとに最大 8 つの VAP を設定し、最大 16 の ESSID を個々の VLAN にマッピングできます。Wi-Fi Mini-PIM は、両方の無線(2.4 GHzと 5 GHz)が同時に動作することをサポートします。無線を無効にすることもできます。 表 2 に、各無線でサポートされるモードを示します。

無線設定を変更すると、アクセス ポイントがシステム プロセスを停止して再起動する場合があります。この場合、アクセス ポイントに接続されているワイヤレス クライアントは一時的に接続を失います。無線設定は、WLAN トラフィックが少ないときに変更することを推奨します。

表 2: Wi-Fi ミニ PIM 無線でサポートされているモード

ラジオ

サポートされているモード

ラジオ 1(5.0 GHz)

  • AN:5 GHz 周波数で動作する 802.11a および 802.11n クライアントは、アクセス ポイントに接続できます。

  • can - 5 GHz 周波数で動作する 802.11a、802.11n、および 802.11ac クライアントはアクセス ポイントに接続できます。

ラジオ 2(2.4 GHz)

  • gn:2.4 GHz 周波数で動作する 802.11g、802.11b、および 802.11n クライアントは、アクセス ポイントに接続できます。これは、この無線のデフォルト モードです。

  • g—2.4 GHz 周波数で動作する 802.11g クライアントは、Junos OS リリース 20.4R1 からサポートされるアクセス ポイントに接続できます。

無線を設定するには:

  1. 無線モードを設定します。無線1はCANとANモードをサポートしています。無線 2 は gn モードのみをサポートします。

  2. チャネル番号を設定します。auto を選択すると、ミニ PIM によってチャネルが自動的に選択されます。デフォルトでは、チャネル番号は auto に設定されています。

  3. チャネル帯域幅を設定します。デフォルトのチャネル帯域幅は、2.4 GHz 無線が 20 MHz、5 GHz 無線が 40 MHz です。5 GHz 無線のチャネル帯域幅は 80 MHz のみに設定でき、2.4 GHz のチャネル帯域幅は設定できません。

  4. 送信電力を設定します。送信電力は無線ごとに設定できます。

    手記:

    送信電力を設定すると、Mini-PIM カードは送信電力を指定された値セットに固定します。この場合、レートによる電力機能は動作しません。そのため、送信電力を指定した値に設定しないことをお勧めします。送信電力を設定しない場合(送信電力を指定した値に固定しない場合)、レート別の電力機能が機能します。送信電力の割合を 100 に設定し、オプション「auto」を選択すると、動作は送信電力が設定されていない場合と同様になり、レートごとの電力機能が動作します。

  5. 設定をコミットします。

    動的周波数選択(DFS)が必要な国では、Wi-Fiカードがレーダーの適切なチェックを実行します。DFS は既定で有効になっています。 channel numberauto に設定すると、アクセス ポイントは DFS チャネルと非 DFS チャネルのリストからチャネルを選択します。DFS を無効にするには、[ dfs-off オプション set wlan access-point name radio 1 radio-options dfs-offを使用します。

    5 GHz 無線(無線 1)のみが DFS をサポートしています。

    DFS の詳細については、 Wi-Fi Mini-PIM でサポートされているチャネルと周波数を参照してください。

仮想アクセスポイント(VAP)の設定

VAP を使用すると、ワイヤレス LAN をイーサネット VLAN のワイヤレス同等物である複数のブロードキャスト ドメインにセグメント化できます。VAPを設定するために:

  1. VAP の ID および説明を入力して下さい。

  2. SSID 値を入力します。

  3. VAPのための以下のセキュリティ認証方法のいずれかを設定します。

    • none:クライアントとアクセス ポイント間で転送されるデータは暗号化されません。クライアントは、認証なしでアクセス ポイントに関連付けることができます。

    • wpa-enterprise:デバイスは 802.1X 準拠の RADIUS サーバーを介して認証します。

    • wpa-personal:デバイスは、認証と暗号化に事前共有キー(PSK)またはパスフレーズを使用します。キーは、デバイスとすべてのワイヤレス クライアントに保存されます。認証サーバーを別途設定する必要はありません。

  4. Wi-Fi Mini-PIM のアップロードおよびダウンロード レート制限を構成して指定します。 upload-limitdownload-limit の範囲は 256 Kbps から 1,048,576 Kbps です。

  5. VAP に接続できるクライアントの最大数を指定します。

  6. 設定をコミットします。

構成が正常に完了したら、 show wlan access-points name detail コマンドを使用してパラメーターを表示できます。

VLANを設定します。

VAP に基づく VLAN の設定

(オプション)1 つのアクセス ポイントが複数の個別の VAP(仮想アクセス ポイント)に分離され、1 つのシステム内の複数のアクセス ポイントをシミュレートします。アクセス ポイントは複数の VLAN をサポートしています。VAP に基づいて VLAN ID を設定するには、次の手順を実行します。

  1. 無線LANインターフェイス(wl-インターフェイス)のVLANを設定します。VAPに基づいてVLAN IDを設定するには、以下の手順に従ってください。
  2. wl- インターフェイスでトランク モードを設定します。
  3. wl- インターフェイスのネイティブ VLAN を設定します。

    ネイティブvlanを設定すると、wl-インターフェイスはタグなしパケットを受信するとタグを追加し、タグ付きnative-vlan-idパケットを受信するとアクションを実行しません。

  4. wl- インターフェイスのアクセス ポイントを設定します。
  5. 無線モード、チャネル番号、VAP SSID、VAP VLAN ID を含むすべての VAP パラメータを Wi-Fi Mini-PIM で設定します。
  6. 設定をコミットします。

WPA エンタープライズ認証を構成する

(オプション)Wi-Fi保護アクセス(WPA)エンタープライズは、AES-CCMP暗号スイートによるRADIUSサーバー認証を使用するWi-Fiアライアンス標準です。このモードでは、高セキュリティ暗号化と一元管理されたユーザー認証を使用できます。WPA2 標準のみがサポートされています。WPA エンタープライズ認証を構成するには:

  1. アドレス帳を設定し、セキュリティ ゾーンを割り当てます。

  2. 信頼ゾーンから WPA 認証へのセキュリティ ソース ルール セットを構成します。

  3. 送信元アドレスと宛先アドレスを一致させるようにセキュリティ ソースを構成します。

  4. インターフェイスに UDP プロトコルとセキュリティ ソースを設定します。

  5. 送信元アドレスと宛先アドレスにセキュリティ ポリシーを割り当てます。

  6. 設定をコミットします。

構成が正常に完了したら、 show wlan access-points name virtual-access-points コマンドを使用してパラメーターを表示できます。

複数のVLANとSSIDを設定する

各無線で 8 つの VAP を設定でき、各 VAP は SSID によって識別されます。Wi-Fi Mini-PIM には最大 16 の SSID を設定できます。各 SSID に VLAN をマッピングすることも、複数の SSID に 1 つの VLAN を割り当てることもできます。 クライアントは SSID を使用して VAP に接続し、SSID にマッピングされている VLAN に関連付けられます。

複数のSSIDを設定して、さまざまなデバイスやユーザーにさまざまなレベルのアクセスを提供できます。ここでは、異なるVAPに接続する3つの異なるタイプのユーザの設定例を示します。各 VAP は、異なる VLAN に関連付けられています。

インターフェイス

VLAN ID

アドレスプール

バップ

ティッカー

アドレスプール

WL-2/0/0.0

100

junosDHCPool

192.168.2.0/24

WL-2/0/0.10

10

junosDHCPPool1

メーカー1

バップ-10

192.168.10.0/24

WL-2/0/0.20

20

junosDHCPool2

メーカー2

バップ-20

192.168.20.0/24

WL-2/0/0.30

30

junosDHCPool3

VAP3

バップ-30

192.168.30.0/24

  1. インターフェイスがセキュリティ ゾーンの一部になるように設定します。
  2. セキュリティ ゾーンを構成します。
  3. インターフェイスでDHCPサーバーを有効にし、Wi-Fiインターフェイスのアドレスプールを設定します。
  4. Wi-FiインターフェイスでフレキシブルVLANタギングを設定します。
  5. VLAN を構成する
  6. wl-2/0/0.10、wl-2/0/0.20、およびwl-2/0/0.30インターフェイスに対して、ステップ2〜5を繰り返します。
  7. アクセス ポイントの設定を構成します。
  8. 無線設定を構成します。

    無線 1 の場合:

    無線 2 の場合:

  9. VAPを設定します。

    メーカー1:

    メーカー2:

    メーカー3:

  10. 設定をコミットします。

検証

Wi-Fi Mini-PIM に設定されているパラメータに関する情報を表示します。

  • Mini-PIM に設定されているすべてのアクセス ポイントの詳細を表示するには、次の手順を実行します。

  • 特定のアクセス ポイントのステータスを表示します。

  • アクセス ポイントに接続されているクライアントの詳細を表示します。

  • 仮想アクセスポイントの詳細を表示します。