Wi-Fi 미니 물리적 인터페이스 모듈(MPIM)
SRX 시리즈 방화벽용 Wi-Fi Mini-PIM(Mini-Physical Interface Module)은 단일 디바이스에서 라우팅, 스위칭 및 보안과 함께 통합 무선 액세스 포인트(또는 무선 LAN) 솔루션을 제공합니다. 아래 주제는 SRX 시리즈 방화벽에서 Wi-Fi Mini-PIM의 개요 및 구성에 대해 설명합니다.
Wi-Fi Mini-Physical Interface Module 개요
SRX320, SRX340, SRX345, SRX380 및 SRX550M용 Wi-Fi Mini-PIM(Mini-Fi Mini-Physical Interface Module)은 단일 디바이스에서 라우팅, 스위칭 및 보안과 함께 통합 무선 액세스 포인트(또는 무선 LAN)를 제공합니다. Mini-PIM은 802.11ac Wave 2 무선 표준을 지원하며 802.11a/b/g/n과 역호환됩니다. 지역 무선 표준 요구 사항에 따라 Wi-Fi Mini-PIM의 세 가지 새로운 모델을 사용할 수 있습니다.
SRX-MP-WLAN-US — 미국 무선 표준을 기반으로 하는 모델입니다.
SRX-MP-WLAN-IL — 이스라엘의 무선 표준을 기반으로 하는 모델입니다.
SRX-MP-WLAN-WW — 기타 국가용 모델입니다.
SRX-MP-WLAN-US 및 SRX-MP-WLAN-IL 모델은 고정되어 있으므로 국가 코드를 변경할 수 없습니다. Wi-Fi Mini-PIM은 SRX 시리즈 방화벽에서 지원되는 다른 Mini-PIM과 공존할 수 있습니다. 표 1 은 Mini-PIM에서 지원되는 기능을 요약한 것입니다.
Wi-Fi Mini-PIM 솔루션의 일반적인 구축은 다음과 같습니다.
원격 지사에 있는 기업 사용자의 엔드포인트 디바이스에 대한 보안 무선 LAN 연결. 802.11ac, WPA2, 802.1X 및 SSID-VLAN 매핑 기능은 안전한 무선 LAN 연결을 제공합니다.
엔터프라이즈 사물 인터넷(IoT) 디바이스에 대한 직접 네트워크 연결. SRX 시리즈 방화벽의 보안 기능은 IoT 디바이스를 보호합니다.
Wi-Fi Mini-PIM 설치 방법에 대한 자세한 내용은 SRX 시리즈 서비스 게이트웨이용 Wi-Fi Mini-PIM 설치 방법을 참조하십시오.
- 섀시 클러스터 모드의 무선 LAN 인터페이스
- 레이어 3(L3) 모드의 무선 LAN 인터페이스
- 레이어 2(L2) 모드의 무선 LAN 인터페이스
- Wi-Fi Mini-PIM에서 지원되는 기능
섀시 클러스터 모드의 무선 LAN 인터페이스
Mini-PIM은 섀시 클러스터 모드에서도 지원되어 중복성을 제공합니다. 무선 사용자는 이중화 그룹의 활성 인터페이스에 연결됩니다. 무선 LAN 인터페이스 Mini-PIM에 대한 섀시 클러스터 모드를 지원하려면 두 개의 무선 LAN 인터페이스 wl-x/0/0
로 섀시 클러스터 설정을 구성해야 하며 wl-y/0/0
, 여기서 x 는 노드 0에서 무선 LAN 인터페이스 Mini-PIM이 플러그인 한 슬롯 번호와 Y 노드 1에서 무선 LAN 인터페이스 Mini-PIM이 플러그인 한 슬롯 번호를 나타냅니다.
섀시 클러스터 모드에서는 하나의 무선 LAN 인터페이스가 활성화되어 있고 다른 무선 LAN 인터페이스는 비활성 상태입니다. Wi-Fi 클라이언트가 활성 무선 LAN 인터페이스에 연결되어 있습니다.
다음은 다음과 같은 경우 무선 LAN 인터페이스 페일오버를 트리거하는 이벤트 목록입니다.
무선 LAN 인터페이스가 비정상입니다.
기본 무선 LAN 인터페이스가 다운되었습니다.
무선 LAN 인터페이스가 수동으로 페일오버에 속하는 중복 그룹입니다.
기본 WLAN 인터페이스 노드에 장애가 발생했습니다.
무선 LAN 인터페이스 페일오버 후 원래의 비활성 무선 LAN 인터페이스가 활성으로 변경되고 Wi-Fi 클라이언트 세션이 새로운 기본 무선 LAN 인터페이스에 다시 연결됩니다.
섀시 클러스터 모드에서는 WLAND 프로세스가 두 노드에서 모두 실행됩니다. 기본 노드의 WLAND는 WLAN 구성을 두 노드의 PFE로 푸시한 다음 PFE는 구성을 로컬 무선 LAN 인터페이스 카드로 전달하여 두 개의 무선 LAN 인터페이스 카드가 동일한 구성을 갖도록 합니다.
무선 LAN 인터페이스 상태를 모니터링하기 위해 WLAND는 무선 LAN 인터페이스가 비정상임을 발견하고 중복 그룹 페일오버를 트리거할 수 있습니다. 레이어 3 모드에서는 기본적으로 무선 LAN 인터페이스 활동 모니터가 명령 set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255
및 를 set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255
사용하여 WLAN 고가용성을 위해 구성됩니다.
새 기본 무선 LAN 인터페이스가 활성화되고 비정상적인 무선 LAN 인터페이스 카드가 다시 시작되어 비활성 상태가 됩니다. 활성 WAP의 구성(라디오, 채널, 대역폭, sidd 등)이 원래 무선 LAN 인터페이스와 동일하므로 Wi-Fi 클라이언트가 활성 무선 LAN 인터페이스에 자동으로 다시 연결됩니다.
레이어 3(L3) 모드의 무선 LAN 인터페이스
인터페이스는 명령을 set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface
사용하여 RETH의 종속 인터페이스로 구성됩니다. RETH 인터페이스를 하나의 중복 그룹에 추가하고 중복 그룹의 각 노드에 대한 우선 순위를 설정할 수 있습니다. 중복 그룹에서는 하나의 무선 LAN 인터페이스만 활성화되고 다른 하나는 비활성 상태입니다.
레이어 2(L2) 모드의 무선 LAN 인터페이스
SRX 시리즈 방화벽은 무선 LAN 인터페이스 Mini-PIM을 사용하여 섀시 클러스터 모드에서 구축할 수 있습니다. 피어 무선 LAN 인터페이스는 동일한 VLAN에서 구성되며, 중복 그룹 0의 기본 노드에 있는 무선 LAN 인터페이스는 기본적으로 활성 인터페이스로 선택됩니다. 무선 LAN 인터페이스의 L2 모드(family ethernet-switching
)는 다른 L2 스위칭 포트(트렁크 포트)처럼 작동합니다.
Wi-Fi Mini-PIM에서 지원되는 기능
표 1 에는 Wi-Fi Mini-PIM에서 지원되는 주요 기능이 나와 있습니다.
특징 |
묘사 |
---|---|
2x2 MU-MIMO |
여러 클라이언트로 동시에 데이터를 전송할 수 있습니다. |
듀얼 라디오 |
2.4GHz 및 5GHz 대역의 두 무선이 동시에 지원됩니다. 지원되는 최대 속도는 최대 1.2Gbps입니다. |
가상 액세스 포인트(VAP) 및 VLAN 기능 |
|
인터페이스의 공존 |
Wi-Fi Mini-PIM은 4G LTE, VDSL, T1 및 직렬 인터페이스와 공존합니다. |
클라이언트 인증 방법 |
지원되는 클라이언트 인증 방법은 WPA(Wi-Fi Protected Access) Enterprise(WPA2 표준) 및 WPA(Wi-Fi Protected Access) Personal(AES-CCMP 암호 슈트 및 WPA2 표준)입니다. |
Wi-Fi Mini-PIM 구성
Wi-Fi Mini-PIM에서 무선 및 가상 액세스 포인트를 구성할 수 있습니다. 이 주제에는 무선 인터페이스 수준에서 기본 Wi-Fi Mini-PIM 구성을 설명하는 섹션이 포함되어 있습니다. Wi-Fi Mini-PIM을 설치하는 방법에 대한 자세한 내용은 SRX 시리즈 서비스 게이트웨이용 Wi-Fi Mini-PIM을 설치하는 방법을 참조하십시오.
다음 섹션에서는 SRX 시리즈 방화벽에서 Wi-Fi Mini-PIM을 구성하는 방법에 대해 설명합니다.
Wi-Fi Mini-PIM에 대한 네트워크 설정 구성
wl- 인터페이스 구성
Mini-PIM의 인터페이스 이름은 로 표시 wl-x/0/0
되며, 여기서 x 는 Mini-PIM이 설치된 SRX 시리즈 서비스 게이트웨이의 슬롯입니다. wl- 인터페이스는 Mini-PIM을 SRX 시리즈 방화벽의 슬롯에 삽입할 때 자동으로 생성됩니다.
무선 LAN 인터페이스를 구성하려면:
액세스 포인트 구성
무선 LAN 인터페이스 wl-x/0/0과 연관된 액세스 포인트를 구성하려면:
-
인터페이스를 구성합니다.
[edit] user@host# set wlan access-point name interface wl-x/0/0
-
국가 코드를 설정합니다(Mini-PIM의 SRX-MP-WLAN-WW 모델에만 적용 가능).
메모:SRX-MP-WLAN-WW 모델에 대한 국가 코드를 설정하지 않으면 Mini-PIM은 국가 코드를 US로 간주합니다. SRX-MP-WLAN-US 및 SRX-MP-WLAN-IL 모델의 국가 코드는 설정할 수 없습니다.
[edit] user@host# set wlan access-point name access-point-options country country-code
-
물리적 위치(하드웨어 장치의 위치, 예: 1층)를 설정합니다.
[edit] user@host# set wlan access-point name location location
-
구성을 커밋합니다.
[edit] user@host# commit
라디오 구성
모든 액세스 포인트에는 두 개의 무선이 있는데, 라디오 1은 5GHz 대역폭에서, 라디오 2는 2.4GHz 대역폭에서 작동합니다. VAP는 라디오를 기반으로 구성됩니다. 라디오당 최대 8개의 VAP를 구성하고 최대 16개의 ESSID를 개별 VLAN에 매핑할 수 있습니다. Wi-Fi Mini-PIM은 두 무선(2.4GHz 및 5GHz)이 동시에 작동할 수 있도록 지원합니다. 라디오를 비활성화할 수도 있습니다. 표 2 에는 각 라디오에서 지원되는 모드가 나와 있습니다.
라디오 설정을 변경하면 액세스 포인트가 시스템 프로세스를 중지하고 다시 시작할 수 있습니다. 이 경우 액세스 포인트에 연결된 무선 클라이언트의 연결이 일시적으로 끊어집니다. WLAN 트래픽이 낮을 때 라디오 설정을 변경하는 것이 좋습니다.
라디오 |
지원 모드 |
---|---|
라디오 1(5.0GHz) |
|
라디오 2(2.4GHz) |
|
라디오를 구성하려면:
-
라디오 모드를 구성합니다. 라디오 1은 캔과 모드를 지원합니다. 라디오 2는 gn 모드만 지원합니다.
For radio 1: [edit] user@host# set wlan access-point name radio 1 radio-options mode [an|acn]
For radio 2: [edit] user@host# set wlan access-point name radio 2 radio-options mode gn
-
채널 번호를 구성합니다. 자동을 선택하면 Mini-PIM이 자동으로 채널을 선택합니다. 기본적으로 채널 번호는 로
auto
설정됩니다.[edit] user@host# set wlan access-point name radio [1|2] radio-options channel number [auto | channel-number]
-
채널 대역폭을 구성합니다. 기본 채널 대역폭은 2.4GHz 라디오의 경우 20MHz이고 5GHz 라디오의 경우 40MHz입니다. 5GHz 라디오의 채널 대역폭은 80MHz만 설정할 수 있으며 2.4GHz의 채널 대역폭은 설정할 수 없습니다.
[edit] user@host# set wlan access-point name radio [1|2] radio-options channel bandwidth [20|40|80]
-
전송 전력을 구성합니다. 라디오별로 전송 전력을 구성할 수 있습니다.
메모:전송 전력을 구성할 때, Mini-PIM 카드는 전송 전력을 지정된 값 세트로 고정합니다. 이 경우, 속도에 의한 전력 기능이 작동하지 않습니다. 따라서 전송 전력을 지정된 값으로 설정하지 않는 것이 좋습니다. 전송 전력을 구성하지 않으면(전송 전력을 지정된 값으로 고정하지 않음) 속도별 전력 기능이 작동합니다. 전송 전력 비율을 100으로 구성한 다음 옵션 "
auto
"을 선택하면 동작은 전송 전력이 구성되지 않은 것과 유사하며 속도별 전력 기능이 작동합니다.[edit] user@host# set wlan access-point name radio [1|2] radio-options transmit-power percent
-
구성을 커밋합니다.
[edit] user@host# commit
동적 주파수 선택(DFS)이 필요한 국가에서는 Wi-Fi 카드가 레이더에 대한 적절한 검사를 수행합니다. DFS는 기본적으로 사용하도록 설정되어 있습니다. 를
channel number
로auto
설정하면 액세스 포인트가 DFS 채널 및 비 DFS 채널 목록에서 채널을 선택합니다. 옵션을 사용하여 DFS를 비활성화할dfs-off
수 있습니다set wlan access-point name radio 1 radio-options dfs-off
.5GHz 라디오(라디오 1)만 DFS를 지원합니다.
DFS에 대한 자세한 내용은 Wi-Fi Mini-PIM에서 지원되는 채널 및 주파수를 참조하십시오.
VAP(Virtual Access Point) 구성
VAP를 사용하면 무선 LAN을 이더넷 VLAN에 해당하는 무선인 여러 브로드캐스트 도메인으로 세그먼테이션할 수 있습니다. VAP를 구성하려면 다음을 수행합니다.
-
VAP의 ID와 설명을 입력합니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id description description
-
SSID 값을 입력합니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id ssid ssid
-
VAP에 대해 다음 보안 인증 방법 중 하나를 구성합니다.
-
none - 클라이언트와 액세스 포인트 간에 전송되는 데이터가 암호화되지 않습니다. 클라이언트는 인증 없이 액세스 포인트와 연결할 수 있습니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security none
-
wpa-enterprise—디바이스는 802.1X 규격 RADIUS 서버를 통해 인증합니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-server ip-address user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-port port user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise radius-key secret-key user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-enterprise wpa-version v2
-
wpa-personal—디바이스는 인증 및 암호화를 위해 사전 공유 키(PSK) 또는 암호를 사용합니다. 키는 장치와 모든 무선 클라이언트에 저장됩니다. 별도의 인증 서버를 구성할 필요가 없습니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal cipher-suites ccmp user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key-type [ascii|hex] user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal key password user@host# set wlan access-point name radio [1|2] virtual-access-point id security wpa-personal wpa-version v2
-
-
Wi-Fi Mini-PIM에서 업로드 및 다운로드 속도 제한을 구성하고 지정합니다. 및
download-limit
범위는upload-limit
256Kbps에서 1,048,576Kbps 사이입니다.[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id upload-limit upload-limit-rate user@host# set wlan access-point name radio [1|2] virtual-access-point id download-limit download-limit-rate
-
VAP에 연결할 수 있는 최대 클라이언트 수를 지정합니다.
[edit] user@host# set wlan access-point name radio [1|2] virtual-access-point id maximum-stations number
-
구성을 커밋합니다.
[edit] user@host# commit
구성을 성공적으로 완료한 후 명령을 사용하여 매개 변수를 볼 수 있습니다 show wlan access-points name detail
.
VLAN 구성
VAP 기반 VLAN 구성
(선택 사항) 단일 액세스 포인트는 단일 시스템에서 여러 액세스 포인트를 시뮬레이션하는 여러 개별 VAP(가상 액세스 포인트)로 분리됩니다. 액세스 포인트는 여러 VLAN을 지원합니다. VAP를 기반으로 VLAN ID를 구성하려면 다음을 수행합니다.
WPA 엔터프라이즈 인증 구성
(선택 사항) Wi-Fi 보호 액세스(WPA) 엔터프라이즈는 AES-CCMP 암호 제품군과 함께 RADIUS 서버 인증을 사용하는 Wi-Fi Alliance 표준입니다. 이 모드에서는 중앙에서 관리되는 사용자 인증과 함께 높은 수준의 보안 암호화를 사용할 수 있습니다. WPA2 표준만 지원됩니다. WPA 엔터프라이즈 인증을 구성하려면:
주소록을 구성하고 보안 영역을 할당합니다.
[edit] user@host# set security address-book book-name address address-name ip-prefix user@host# set security address-book book-name attach zone trust user@host# set security address-book book-name attach zone dot1x
트러스트 영역에서 WPA 인증으로 보안 소스 규칙 세트를 구성합니다.
[edit] user@host# set security nat source rule-set rule-set-name from zone trust user@host# set security nat source rule-set rule-set-name to zone dot1x
소스 및 대상 주소와 일치하도록 보안 소스를 구성합니다.
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match source-address ip-address user@host# set security nat source rule-set rule-set-name rule rule-name match destination-address ip-address
인터페이스에서 UDP 프로토콜 및 보안 소스를 구성합니다.
[edit] user@host# set security nat source rule-set rule-set-name rule rule-name match protocol udp user@host# set security nat source rule-set rule-set-name rule rule-name then source-nat interface
소스 및 대상 주소에 보안 정책을 할당합니다.
[edit] user@host# set security policies from-zone trust to-zone dot1x policy internet-access match source-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match destination-address ip-address user@host# set security policies from-zone trust to-zone dot1x policy internet-access match application any user@host# set security policies from-zone trust to-zone dot1x policy internet-access then permit
구성을 커밋합니다.
구성을 성공적으로 완료한 후 명령을 사용하여 매개 변수를 볼 수 있습니다 show wlan access-points name virtual-access-points
.
여러 VLAN 및 SSID 구성
각 라디오에서 8개의 VAP를 구성할 수 있으며 각 VAP는 SSID로 식별됩니다. Wi-Fi Mini-PIM에서 최대 16개의 SSID를 구성할 수 있습니다. VLAN을 각 SSID에 매핑하거나 여러 SSID에 대해 단일 VLAN을 할당할 수 있습니다. 클라이언트는 SSID를 사용하여 VAP에 연결되며 SSID에 매핑된 VLAN에 연결됩니다.
여러 SSID를 구성하여 다양한 디바이스 및 사용자에게 다양한 수준의 액세스를 제공할 수 있습니다. 다음은 서로 다른 VAP에 연결하는 세 가지 유형의 사용자를 위한 샘플 컨피그레이션입니다. 각 VAP는 서로 다른 VLAN과 연결됩니다.
인터페이스 |
VLAN ID |
주소 풀 |
증권 시세 표시기 |
SSID를 |
주소 풀 |
---|---|---|---|---|---|
wl-2/0/0.0 |
100 |
junosDHCPPool |
|
|
192.168.2.0/24 |
wl-2/0/0.10 |
10 |
junosDHCPPool1 |
증권 시세 표시기 1 |
왁-10 |
192.168.10.0/24 |
wl-2/0/0.20 |
20 |
junosDHCPPool2 |
증권 시세 표시기 2 |
왁-20 |
192.168.20.0/24 |
WL-2/0/0.30 |
30 |
junosDHCPPool3 |
증권 시세 표시기 |
왁-30 |
192.168.30.0/24 |
확인
Wi-Fi Mini-PIM에 구성된 매개 변수에 대한 정보를 표시합니다.
-
Mini-PIM에 구성된 모든 액세스 포인트의 세부 정보를 표시하려면 다음을 수행합니다.
user@host# show wlan access-points
Active access points information Access-Point Type Interface Radio-mode/Channel/Bandwidth wap3 Int wl-2/0/0 acn/120/40, gn/11/20
-
특정 액세스 포인트의 상태를 표시합니다.
user@host# show wlan access-points ap-name detail
show wlan access-points wap3 detail Active access point detail information Access Point : wap3 Description : juniper_name:srx345-rocket_1_interface:wl-3/0/0 Type : Internal Location : Floor_srx345-rocket_1 Firmware Version : v1.2.9 Alternate Version : v1.5.5-1-g62e9ba0 Country : US Access Interface : wl-3/0/0 System Time : Wed Dec 28 16:13:04 UTC 2022 Packet Capture : Off Ethernet Port: MAC Address : 72:19:2a:56:a2:0c Radio1: Status : On MAC Address : 94:f7:ad:2c:08:41 Temperature : 49 Mode : IEEE 802.11a/n/ac Channel : 153 Bandwidth : 40 Transmit Power : 100 Radio2: Status : On MAC Address : 94:f7:ad:2c:08:42 Temperature : 48 Mode : IEEE 802.11g/n Channel : 6 Bandwidth : 40 Transmit Power : 100
-
액세스 포인트에 연결된 클라이언트에 대한 세부 정보를 표시합니다.
user@host# show wlan access-points ap-name client-associations
Access point client associations information Access point: wap3 VAP Client MAC Address Auth Packets Rx/Tx Bytes Rx/Tx Radio1:5g_vap1 00:00:5e:00:53:a3 NO 3/0 510/0
-
가상 액세스 포인트에 대한 세부 정보를 표시합니다.
user@host# run show wlan access-points ap-name virtual-access-points all
Virtual access points information Access point name: wap3 Radio1: VAP0: SSID : srx345-rocket_vap_5G_1 Description : srx345-rocket_vap_5G MAC Address : 94:f7:ad:2c:08:41 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 100 Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0 Radio2: VAP0: SSID : srx345-rocket_vap_2.4G_1 Description : srx345-rocket_vap_2dot4G MAC Address : 94:f7:ad:2c:08:42 Maximum Station : 127 Broadcast SSID : Enable Station Isolation : Disable Upload Limit : Disable Download Limit : Disable VLAN ID : 100 Station MAC Filter : Disable Traffic Statistics: Input Bytes : 0 Output Bytes : 0 Input Packets : 0 Output Packets : 0