Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Módulo de interfaz física Wi-Fi Mini (MPIM)

El módulo de interfaz minifísica Wi-Fi (Mini-PIM) para firewalls de la serie SRX proporciona una solución integrada de punto de acceso inalámbrico (o LAN inalámbrica) junto con enrutamiento, conmutación y seguridad en un solo dispositivo. En los temas siguientes se describe la descripción general y la configuración de Mini-PIM Wi-Fi en firewalls serie SRX.

Descripción general del módulo de interfaz minifísica Wi-Fi

El módulo de interfaz física Wi-Fi Mini-Physical Interface Module (Wi-Fi Mini-PIM) para SRX320, SRX340, SRX345, SRX380 y SRX550M proporciona un punto de acceso inalámbrico integrado —o LAN inalámbrica— junto con enrutamiento, conmutación y seguridad en un solo dispositivo. Mini-PIM es compatible con los estándares inalámbricos 802.11ac Wave 2 y es compatible con versiones anteriores de 802.11a/b/g/n. Puede utilizar los tres nuevos modelos de Mini-PIM Wi-Fi según los requisitos estándar inalámbricos regionales;

  • SRX-MP-WLAN-US — El modelo basado en el estándar inalámbrico de EE. UU.

  • SRX-MP-WLAN-IL — El modelo basado en el estándar inalámbrico de Israel.

  • SRX-MP-WLAN-WW — El modelo para otros países.

No puede cambiar el código de país para los modelos SRX-MP-WLAN-US y SRX-MP-WLAN-IL ya que son fijos. El Mini-PIM Wi-Fi puede coexistir con otros Mini-PIM compatibles con el firewall de la serie SRX. La Tabla 1 proporciona un resumen de las características compatibles con Mini-PIM.

Las implementaciones típicas de la solución Mini-PIM de Wi-Fi incluyen:

  • Proteja la conectividad LAN inalámbrica a los dispositivos de punto final de usuarios corporativos en sucursales remotas. Las funciones de asignación de 802.11ac, WPA2, 802.1X y SSID a VLAN proporcionan una conectividad LAN inalámbrica segura.

  • Conectividad de red directa a los dispositivos empresariales del Internet de las cosas (IoT). Las funciones de seguridad de los firewalls de la serie SRX protegen los dispositivos IoT.

Consulte Cómo instalar Wi-Fi Mini-PIM para puertas de enlace de servicios de la serie SRX para obtener más información acerca de cómo instalar Wi-Fi Mini-PIM.

Interfaz LAN inalámbrica en modo de clúster de chasis

El Mini-PIM también se admite en el modo de clúster de chasis para proporcionar redundancia. Los usuarios inalámbricos se conectan a la interfaz activa en el grupo de redundancia. Para admitir el modo de clúster de chasis para la interfaz de LAN inalámbrica Mini-PIM, debe configurar la configuración del clúster de chasis con dos interfaces wl-x/0/0 de LAN inalámbrica y wl-y/0/0, donde x indica el número de ranura que la interfaz de LAN inalámbrica Mini-PIM conecta en el nodo 0 e Y indica el número de ranura que la interfaz de LAN inalámbrica Mini-PIM conecta en el nodo 1.

En el modo de clúster de chasis, hay una interfaz LAN inalámbrica activa, la otra interfaz LAN inalámbrica está inactiva. El cliente Wi-Fi está asociado a la interfaz LAN inalámbrica activa.

A continuación se muestra la lista de eventos que desencadenan la conmutación por error de la interfaz LAN inalámbrica cuando:

  • La interfaz de LAN inalámbrica es anormal.

  • la interfaz LAN inalámbrica principal está inactiva.

  • Grupo redundante al que pertenece la interfaz LAN inalámbrica a la que pertenece la conmutación por error manualmente.

  • error en el nodo principal de la interfaz WLAN.

Después de la conmutación por error de la interfaz LAN inalámbrica, la interfaz LAN inalámbrica inactiva original cambia a activa y las sesiones del cliente Wi-Fi se vuelven a conectar a la nueva interfaz LAN inalámbrica principal.

Con el modo de clúster de chasis, el proceso WLAND se ejecuta en ambos nodos. El nodo WLAND en primario inserta la configuración WLAN a PFE en dos nodos y, a continuación, PFE reenvía la configuración a la tarjeta de interfaz LAN inalámbrica local para que dos tarjetas de interfaz LAN inalámbrica tengan la misma configuración.

Para supervisar el estado de la interfaz LAN inalámbrica, WLAND considera que la interfaz LAN inalámbrica es anormal, puede desencadenar una conmutación por error de grupo redundante. En el modo de capa 3, de forma predeterminada, el monitor de actividad de la interfaz LAN inalámbrica se configura para la alta disponibilidad de WLAN mediante los comandos set chassis cluster redundancy-group 1 interface-monitor wl-2/0/0 weight 255 y set chassis cluster redundancy-group 1 interface-monitor wl-7/0/0 weight 255.

La nueva interfaz de LAN inalámbrica principal está activa y la tarjeta de interfaz de LAN inalámbrica anormal se reinicia y pasa a estado inactivo. El cliente Wi-Fi se vuelve a conectar a la interfaz LAN inalámbrica activa automáticamente ya que la configuración (radio, canal, ancho de banda, ssid, etc.) en WAP activo es la misma que la interfaz LAN inalámbrica original.

Interfaz LAN inalámbrica en modo de capa 3 (L3)

Las interfaces se configuran como interfaz subordinada de RETH mediante el comando set interfaces wl-x/0/0 gigether-options redundant-parent reth-interface. Puede agregar la interfaz RETH a un grupo redundante y establecer la prioridad para cada nodo del grupo redundante. Sólo una interfaz LAN inalámbrica está activa en el grupo redundante y la otra está inactiva.

Interfaz LAN inalámbrica en modo de capa 2 (L2)

Puede construir firewalls de la serie SRX en modo de clúster de chasis con la interfaz LAN inalámbrica Mini-PIM. Las interfaces LAN inalámbricas del mismo nivel se configuran en la misma VLAN y la interfaz LAN inalámbrica en el nodo principal del grupo redundante cero se elige como interfaz activa de forma predeterminada. El modo L2 (family ethernet-switching) de la interfaz LAN inalámbrica se comporta como cualquier otro puerto de conmutación L2 (puerto troncal).

Funciones compatibles con el mini-PIM Wi-Fi

En la Tabla 1 se enumeran las funciones clave compatibles con Wi-Fi Mini-PIM.

Tabla 1: Características de Wi-Fi Mini-PIM

Característica

Descripción

MIMO MU 2x2

Permite la transmisión de datos a múltiples clientes simultáneamente.

Radios duales

Ambas radios de las bandas de 2,4 GHz y 5 GHz son compatibles simultáneamente. La velocidad máxima admitida es de hasta 1,2 Gbps.

Puntos de acceso virtuales (VAP) y características de VLAN

  • Permite segmentar la WLAN en varios dominios de difusión equivalentes inalámbricos de las VLAN Ethernet. Un único punto de acceso se separa en varios VAP individuales, simulando múltiples puntos de acceso en un solo sistema.

  • Un punto de acceso admite múltiples VLAN, que se pueden distribuir entre VAP y radios.

  • Puede configurar hasta ocho VAP por radio. Puede asignar hasta 16 identificadores de conjunto de servicios extendidos (ESSID) a VLAN individuales.

  • Las VLAN del software Mini-PIM se asignan a VLAN en Junos OS.

Coexistencia de interfaces

El Mini-PIM Wi-Fi coexiste con interfaces 4G LTE, VDSL, T1 y serie.

Métodos de autenticación de cliente

Los métodos de autenticación de cliente admitidos son Wi-Fi Protected Access (WPA), Enterprise (estándares WPA2) y Wi-Fi Protected Access (WPA) Personal (AES-CCMP cipher suits y estándares WPA2).

Configurar Wi-Fi Mini-PIM

Puede configurar las radios y los puntos de acceso virtuales en el Wi-Fi Mini-PIM. Este tema contiene secciones que describen la configuración básica de Mini-PIM de Wi-Fi en el nivel de interfaz inalámbrica. Para obtener más información acerca de cómo instalar un Mini-PIM de Wi-Fi, consulte Cómo instalar el Mini-PIM de Wi-Fi para puertas de enlace de servicios de la serie SRX.

En las siguientes secciones se describe cómo configurar el Mini-PIM Wi-Fi en el firewall de la serie SRX.

Configurar los ajustes de red para el mini-PIM de Wi-Fi

Configurar interfaz wl

El nombre de interfaz del Mini-PIM se indica como wl-x/0/0, donde x es la ranura de la puerta de enlace de servicios de la serie SRX en la que está instalado el Mini-PIM. La interfaz wl se crea automáticamente al insertar el Mini-PIM en la ranura del firewall de la serie SRX.

Para configurar la interfaz LAN inalámbrica:

  1. Configure una dirección IP para la interfaz Wi-Fi:
  2. Configure el grupo de direcciones.

    El grupo de direcciones DHCP y la interfaz Wi-Fi deben estar en la misma red.

  3. Habilite el servidor DHCP en la interfaz.

    La interfaz eth0 en el Mini-PIM habilita el cliente DHCP. Si el servidor DHCP está habilitado en la interfaz wl, el servidor asigna una dirección IP a la interfaz eth0. Puede ver la información del enlace emitiendo el show dhcp server binding comando.

  4. Asigne la interfaz a una zona de seguridad.

Configurar punto de acceso

Para configurar el punto de acceso asociado a la interfaz LAN inalámbrica wl-x/0/0:

  1. Configure la interfaz.

  2. Establezca el código de país (aplicable solo para los modelos SRX-MP-WLAN-WW del Mini-PIM).

    Nota:

    Si no establece el código de país para los modelos SRX-MP-WLAN-WW, el Mini-PIM considera el código de país como US. No puede establecer el código de país para los modelos SRX-MP-WLAN-US y SRX-MP-WLAN-IL.

  3. Establezca la ubicación física (ubicación del dispositivo de hardware, por ejemplo: 1.er piso).

  4. Confirme la configuración.

Configurar radios

Cada punto de acceso tiene dos radios: la radio 1 opera a un ancho de banda de 5 GHz y la radio 2 opera a un ancho de banda de 2,4 GHz. Un VAP se configura en función de la radio. Puede configurar hasta ocho VAP por radio y asignar hasta 16 ESSID a VLAN individuales. Wi-Fi Mini-PIM admite que ambas radios (2,4 y 5 GHz) funcionen simultáneamente. También puede desactivar una radio. La Tabla 2 enumera los modos admitidos en cada radio.

Cambiar la configuración de radio puede hacer que el punto de acceso detenga y reinicie los procesos del sistema. Si esto ocurre, los clientes inalámbricos que están conectados al punto de acceso pierden temporalmente la conectividad. Le recomendamos que cambie la configuración de radio cuando el tráfico WLAN sea bajo.

Tabla 2: Modos admitidos en radios Wi-Fi Mini-PIM

Radio

Modos admitidos

Radio 1 (5,0 GHz)

  • Los clientes 802.11a y 802.11n que operan en una frecuencia de 5 GHz pueden conectarse al punto de acceso

  • can: los clientes 802.11a, 802.11n y 802.11ac que operan en una frecuencia de 5 GHz pueden conectarse al punto de acceso

Radio 2 (2,4 GHz)

  • gn: los clientes 802.11g, 802.11b y 802.11n que operan en una frecuencia de 2,4 GHz pueden conectarse al punto de acceso. Este es el modo predeterminado para esta radio.

  • g—Los clientes 802.11g que operan en una frecuencia de 2,4 GHz pueden conectarse al punto de acceso compatible con Junos OS versión 20.4R1.

Para configurar el aparato de radio:

  1. Configure el modo de radio. Radio 1 soporta los modos can y an. Radio 2 solo admite el modo gn.

  2. Configure el número de canal. Si selecciona automático, el Mini-PIM elige el canal automáticamente. De forma predeterminada, el número de canal se establece en auto.

  3. Configure el ancho de banda del canal. El ancho de banda predeterminado del canal es de 20 MHz para la radio de 2,4 GHz y de 40 MHz para la radio de 5 GHz. Solo puede establecer 80 MHz como ancho de banda de canal para radio de 5 GHz y no para 2,4 GHz.

  4. Configure la potencia de transmisión. Puede configurar la potencia de transmisión por radio.

    Nota:

    Cuando configure la potencia de transmisión, la tarjeta Mini-PIM fijará la potencia de transmisión al conjunto de valores especificado, en este caso, la funcionalidad de potencia por velocidad no funciona. Por lo tanto, se recomienda no establecer la potencia de transmisión en un valor especificado. Cuando no configure la potencia de transmisión (no fije la potencia de transmisión en un valor especificado), la funcionalidad de alimentación por velocidad funciona. Si configura el porcentaje de potencia de transmisión en 100, elige la opción "auto", el comportamiento es similar a ninguna potencia de transmisión configurada y la funcionalidad de potencia por velocidad funcionará.

  5. Confirme la configuración.

    En los países donde se requiere la selección dinámica de frecuencia (DFS), la tarjeta Wi-Fi realiza las comprobaciones adecuadas del radar. DFS está habilitado de forma predeterminada. Si establece el channel number valor en auto, el punto de acceso selecciona el canal de la lista de canales DFS y no DFS. Puede deshabilitar DFS mediante la dfs-off opción set wlan access-point name radio 1 radio-options dfs-off.

    Solo la radio de 5 GHz (radio 1) admite DFS.

    Para obtener más información sobre DFS, consulte Canales y frecuencias admitidos en el Mini-PIM de Wi-Fi.

Configurar puntos de acceso virtuales (VAP)

Los VAP permiten la segmentación de la LAN inalámbrica en varios dominios de difusión que son equivalentes inalámbricos de las VLAN Ethernet. Para configurar el VAP:

  1. Introduzca un ID y una descripción para el VAP.

  2. Introduzca el valor SSID.

  3. Configure uno de los siguientes métodos de autenticación de seguridad para la VAP.

    • none: los datos transferidos entre los clientes y el punto de acceso no se cifran. Los clientes pueden asociarse con el punto de acceso sin ninguna autenticación.

    • wpa-enterprise: el dispositivo se autentica a través de un servidor RADIUS compatible con 802.1X.

    • wpa-personal: el dispositivo utiliza claves previamente compartidas (PSK) o una frase de contraseña para la autenticación y el cifrado. Las claves se almacenan en el dispositivo y en todos los clientes inalámbricos. No es necesario configurar un servidor de autenticación independiente.

  4. Configure y especifique los límites de velocidad de carga y descarga en el Mini-PIM de Wi-Fi. El rango upload-limit para y download-limit es de 256 Kbps a 1.048.576 Kbps.

  5. Especifique el número máximo de clientes que se pueden conectar al VAP.

  6. Confirme la configuración.

Después de completar la configuración correctamente, puede ver los parámetros mediante el show wlan access-points name detail comando.

Configurar VLAN

Configurar VLAN basadas en VAP

(Opcional) Un único punto de acceso se separa en varios puntos de acceso virtuales (VAP) individuales que simulan múltiples puntos de acceso en un solo sistema. El punto de acceso admite varias VLAN. Para configurar el ID de VLAN basado en el VAP:

  1. Configure la VLAN para la interfaz LAN inalámbrica (interfaz wl-). Siga los pasos a continuación para configurar el ID de VLAN basado en el VAP:
  2. Establezca el modo troncal en la interfaz wl-.
  3. Establezca la VLAN nativa de la interfaz wl-.

    Cuando configure VLAN nativa, la interfaz wl- agregará una etiqueta cuando reciba un paquete sin etiquetar y no realizará ninguna acción cuando reciba un paquete de vlan-id nativo etiquetado.

  4. Configure el punto de acceso para la interfaz wl-.
  5. Configure todos los parámetros de VAP, incluidos el modo de radio, el número de canal y el SSID VAP, ID DE VLAN VAP en el Mini-PIM de Wi-Fi.
  6. Confirme la configuración.

Configurar la autenticación empresarial WPA

(Opcional) Una empresa de acceso protegido Wi-Fi (WPA) es un estándar de alianza Wi-Fi que utiliza la autenticación del servidor RADIUS con el conjunto de cifrado AES-CCMP. Con este modo, puede utilizar un cifrado de alta seguridad junto con una autenticación de usuario administrada centralmente. Solo se admite el estándar WPA2. Para configurar la autenticación de empresa WPA:

  1. Configure la libreta de direcciones y asigne una zona de seguridad.

  2. Configure el conjunto de reglas del origen de seguridad desde la zona de confianza hasta la autenticación WPA.

  3. Configure el origen de seguridad para que coincida con la dirección de origen y destino.

  4. Configure el protocolo UDP y el origen de seguridad en la interfaz.

  5. Asigne las políticas de seguridad a la dirección de origen y destino.

  6. Confirme la configuración.

Después de completar la configuración completada correctamente, puede ver los parámetros mediante el show wlan access-points name virtual-access-points comando.

Configurar varias VLAN y SSID

Puede configurar 8 VAP en cada radio y cada VAP se identifica mediante el SSID. Se pueden configurar hasta 16 SSID en el Mini-PIM de Wi-Fi. Puede asignar una VLAN a cada SSID o puede asignar una sola VLAN para varios SSID El cliente se conecta al VAP mediante el SSID y está asociado a la VLAN que está asignada al SSID.

Puede configurar varios SSID para proporcionar diversos niveles de acceso a diferentes dispositivos y usuarios. Aquí hay una configuración de ejemplo para tres tipos diferentes de usuarios que se conectan a diferentes VAP. Cada VAP está asociado a una VLAN diferente.

Interfaz

VLAN ID

Grupo de direcciones

VAP

SSID

Grupo de direcciones

WL-2/0/0.0

100

junosDHCPPool

192.168.2.0/24

WL-2/0/0.10

10

junosDHCPPool1

VAP1

VAP-10

192.168.10.0/24

WL-2/0/0.20

20

junosDHCPPool2

VAP2

VAP-20

192.168.20.0/24

WL-2/0/0.30

30

junosDHCPPool3

VAP3

VAP-30

192.168.30.0/24
  1. Configure la interfaz para que forme parte de la zona de seguridad.
  2. Configure una zona de seguridad.
  3. Habilite el servidor DHCP en la interfaz y configure el grupo de direcciones para la interfaz Wi-Fi:
  4. Configure el etiquetado VLAN flexible en la interfaz Wi-Fi:
  5. Configurar las VLAN
  6. Repita los pasos del 2 al 5 para las interfaces wl-2/0/0.10, wl-2/0/0.20 y wl-2/0/0.30.
  7. Configure las opciones del punto de acceso:
  8. Configure los ajustes de radio:

    Para la radio 1:

    Para la radio 2:

  9. Configure los VAP.

    VAP1:

    VAP2:

    VAP3:

  10. Confirme la configuración.

Verificación

Muestra información sobre los parámetros configurados en el Mini-PIM Wi-Fi.

  • Para mostrar los detalles de todos los puntos de acceso configurados en el Mini-PIM:

  • Para mostrar el estado del punto de acceso específico.

  • Para mostrar los detalles de los clientes conectados al punto de acceso.

  • Para mostrar detalles sobre los puntos de acceso virtuales.

Ver también

  • WLAN