Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cómo configurar un teletrabajador de Juniper Mist

Este capítulo proporciona información sobre la solución de teletrabajador de Juniper Mist™ para extender la red corporativa a los trabajadores de oficinas remotas.

Descripción general del teletrabajador de Juniper Mist

La solución Juniper Mist™ Teleworker aprovecha la arquitectura Juniper Mist Edge para extender la red corporativa a los trabajadores de oficinas remotas. Juniper Mist extiende la red mediante un túnel L2TPv3 protegido por IPsec desde un punto de acceso remoto (AP). Además, Juniper Mist Edge proporciona un servicio RadSec adicional para enviar por proxy de forma segura solicitudes autenticadas desde puntos de acceso remotos. Esta característica facilita la misma experiencia de usuario para los trabajadores remotos que otros dentro de la oficina.

Los servicios en la nube de Juniper®, impulsados por Mist AI, ofrecen:

  • Un marco de expectativas de nivel de servicio (SLE), que proporciona una visibilidad de la experiencia del usuario sin precedentes.

  • El motor Marvis, basado en la IA, con procesamiento de lenguaje natural para la resolución de problemas y el análisis de causas raíz.

  • Marvis Actions, que TI puede aprovechar para la resolución remota de problemas de los usuarios sin gastar recursos adicionales.

La siguiente imagen ilustra la solución Juniper Mist Teleworker:

Los componentes de la solución Juniper Mist Teleworker son:

  • Punto de acceso (AP) de Juniper Mist

  • Dispositivo Juniper Mist Edge

  • Suscripción a Juniper Mist Wireless Assurance (1x por AP). SUB-1S-<X>Y, donde X es uno, tres o cinco años de servicio.

  • Suscripción a Juniper Mist Edge (1x por AP). SUB-ME-1S-<X>Y, donde X es uno, tres o cinco años de servicio.

  • (Opcional) Suscripción a Juniper Mist Marvis (1x por AP). SUB-1S-<X>Y, donde X es uno, tres o cinco años de servicio.

Beneficios de la solución de teletrabajador de Mist

La solución Juniper Mist Teleworker ofrece los siguientes beneficios:

  • Agilidad

    • Aprovisionamiento sin intervención: elimine el requisito de ensayo previo para los AP.

    • Administración de red con el mínimo esfuerzo: aproveche Marvis® Virtual Network Assistant y administre el rendimiento de la red con análisis sobre las métricas de expectativa de nivel de servicio (SLE) de Juniper Mist.

    • Independencia del firmware: elimina la dependencia del firmware entre un AP y Juniper Mist Edge. Puede actualizar de forma independiente los servicios de Juniper Mist Edge en menos de 3 segundos.

  • Seguridad

    • Aislamiento de tráfico: el nivel de control de tráfico es similar al de la arquitectura original del controlador de LAN inalámbrica. Habilite el movimiento transparente del tráfico de usuarios a una única ubicación central, aislándolo de sus conmutadores de acceso.

    • Seguridad automatizada: habilite la implementación de sitios basados en máquinas sin ninguna exposición de credenciales.

    • WebSocket seguro para comunicarse con la nube.

    • Protección de endpoints: proteja los endpoints inalámbricos y cableados mediante la salida PoE.

  • Flexibilidad

    • Reutilice el hardware.

    • Admite una cobertura flexible para todo el hogar con capacidades de malla segura.

    • Permita que los empleados autogestionen su SSID doméstico.

Configurar Juniper Mist Edge y configurar la plantilla WLAN

Una vez completada la configuración inicial de Juniper Mist™, no es necesario preconfigurar el punto de acceso (AP). Puede enviar el AP directamente a la casa del empleado y estar listo para atender a los clientes en 20 segundos.

Juniper Mist Edge suele residir en la zona desmilitarizada, donde un brazo se conecta a Internet y otro brazo se conecta a una red corporativa de confianza. Antes de configurar las plantillas WLAN para habilitar el SSID corporativo, debe realizar algunas tareas de configuración iniciales, que se describen a continuación.

Tabla 1: Tareas iniciales de configuración
Tarea Consulte

Configurar conexiones de puertos y configurar Juniper Mist Edge

Empezar

Creación del clúster de Juniper Mist Edge

 Crear un clúster de Mist

Crear túnel de Mist

 Crear túnel de Mist (nivel de organización)

Habilitar el servicio de proxy RADIUS

 Configurar un servidor RADIUS en el nivel de organización

Para configurar la plantilla WLAN:

  1. Configure la plantilla WLAN para habilitar un identificador de conjunto de servicios (SSID) corporativo.
  2. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > plantillas WLAN.
  3. En la ventana Plantillas WLAN, haga clic en Crear plantilla.
  4. En la ventana Nueva plantilla, escriba Name y asigne la plantilla a Entire Org o Site and Site groups.
    Cada sitio de oficina remota en casa se coloca en un grupo de sitios denominado Remote Teleworker. Si lo prefiere, puede colocar toda la organización en el grupo de sitios y agregar sitios de oficina físicos agregados como excepciones. Por ejemplo, la siguiente plantilla se asigna a todos los sitios, excepto a los sitios, "BranchA" y "BranchB".
  5. Especifique la configuración de seguridad.

    La configuración de SSID depende de los requisitos de su organización. La siguiente imagen ilustra la configuración de la WLAN segura 802.1X.

  6. Especifique el número de VLAN que se tunelizarán a través del dispositivo Edge.
    Un punto de acceso (AP) de Juniper Mist no tuneliza una WLAN configurada con una VLAN sin etiquetar.
  7. Para una implementación a nivel de organización, especifique Reenvío personalizado y seleccione un perfil de túnel en Mist el menú desplegable Túnel. El túnel de Mist debe especificar las mismas VLAN que desea tunelizar.
  8. Para el despliegue en nivel de sitio, especifique Reenvío personalizado a Site Edge. El túnel del sitio debe especificar las mismas VLAN que desea tunelizar.

Conexión de cliente por cable a través de ETH1 o el puerto de módulo del AP

Además de extender una red corporativa de Juniper Mist a los trabajadores de oficina remotos, también debe conectar dispositivos por cable a la red corporativa. Por ejemplo, dispositivos como una cámara de seguridad y un teléfono IP requieren una estricta vigilancia de seguridad en el firewall, después de la incorporación. Por lo tanto, debe colocar estos dispositivos en una VLAN única. Puede configurar el punto de acceso (AP) de dispositivos por AP o mediante anulaciones de AP. Si lo prefiere, puede crear perfiles de dispositivo y asignarlos a los dispositivos. En cualquier caso, la configuración es exactamente la misma.

Para configurar puertos cableados (Eth1+) en puntos de acceso de Mist, puede crear perfiles de dispositivo y configurar las propiedades de Ethernet en el portal de Mist. Puede habilitar funciones como PoE Passthrough y configurar VLAN para cada puerto (Eth1, Eth2, etc.).

Configuración de opciones de Ethernet en un perfil de dispositivo

Para configurar los puertos Ethernet para los AP conectados a un perfil de dispositivo:

  1. En el portal de Mist, haga clic en Perfiles de dispositivo > organización y desplácese hacia abajo hasta la sección Propiedades de Ethernet .

    Nota:

    También puede configurar los ajustes para un AP individual. En el portal de Mist, haga clic en Puntos de acceso, haga clic en un AP y desplácese hacia abajo hasta la sección Propiedades de Ethernet en la página de configuración del AP.

  2. Active PoE Passthrough si desea extender la alimentación de un AP a sus puertos Ethernet habilitados.

  3. Configure los puertos Ethernet. Tenga en cuenta que los ajustes de VLAN configurados aquí tienen prioridad sobre los realizados en la sección Dirección IP para el ID de VLAN, tanto a nivel de perfil de dispositivo como de punto de acceso individual.

    • Lista de ID de VLAN (puerto Eth0): especifique las VLAN a las que el AP puede conectarse a través de su conexión Eth0 al conmutador. El tráfico Eth0 está compuesto por paquetes de administración de AP y paquetes de datos de clientes inalámbricos. Utilice esta configuración cuando desee controlar explícitamente las VLAN activas en el puerto del conmutador AP. Por ejemplo, si está agregando VLAN adicionales para los puertos cableados en un AP12 que no están incluidos en las VLAN WLAN.

    • ID de VLAN de puerto: esta es la VLAN sin etiquetar en el puerto. Normalmente, debe ingresar VLAN 1, a menos que especifique VLAN de administración en la sección Dirección IP.

    • Lista de ID de VLAN (puertos Eth1, Eth2, Eth3 y módulo): active o deshabilite puertos Ethernet individuales en el AP, según estén disponibles. Puede especificar cualquier ID de VLAN necesario para la conexión.

      • Cuando se configura un identificador VLAN tanto en el troncal Eth0 como en cualquiera de los puertos Eth1–Eth3, el punto de acceso (AP) reenvía el tráfico de Eth1–Eth3 a Eth0, lo que permite el reenvío local.

      • Si los ID de VLAN de los puertos Eth1–Eth3 coinciden con los especificados en un túnel de Mist en un dispositivo Mist Edge, el tráfico de Eth1–Eth3 pasará por el túnel. En este escenario, estas VLAN no deben configurarse en Eth0.

    • Suplicante 802.1X: habilite esta opción para admitir la autenticación 802.1X existente en la red a la que se conecta el AP. El método de autenticación utilizado es EAP-TLS. Los puntos de acceso deben tener la versión de firmware 0.14 o posterior para utilizar esta función. Para obtener más información, consulte Configurar los puntos de acceso como suplicantes IEEE 802.1X

  4. Haga clic en Guardar en la esquina superior derecha de la pantalla.

Ejemplo: Configuración de puerto cableado AP12 para tunelización

Cuando varios puntos de acceso de usuarios remotos requieren la misma configuración de puerto, puede crear un perfil de dispositivo y asignar el perfil de dispositivo a los puntos de acceso. También puede configurar puntos de acceso individuales.

Example: AP12 Wired Port Configuration for Tunneling

La configuración de puertos es la siguiente:

Puerto 0: el tráfico de administración del AP se envía sin etiquetar. Todas las WLAN y VLAN locales se etiquetan automáticamente en Eth0. Por lo tanto, puede configurar Eth0 con List of VLAN ID(s) y establecer Port VLAN ID en 1.

Otros puertos: asigne otros puertos a una sola VLAN o a varias VLAN, como se ilustra. Si asigna otro puerto a una sola VLAN, el host cableado recibe la dirección IP de esa VLAN. Si configura otros puertos como un troncal con varias VLAN permitidas y uno de ellos como VLAN nativa, se comporta como un troncal.

Utilice los puertos cableados adicionales para extender una VLAN tunelizada a un puerto por cable.

Example: AP12 Wired Port Configuration for Tunneling
Nota:

Nota: Un puerto cableado no admite la tunelización dividida. Por lo tanto, omita VLAN 1726 de la configuración. Si VLAN110 es una VLAN tunelizada y desea configurar un puerto Ethernet cableado tunelizado (Eth1/Eth2/Eth3), incluya VLAN110 junto con las VLAN enlazadas localmente en el puerto Ethernet necesario. Sin embargo, no incluya VLAN110 en Eth0, ya que este es el enlace ascendente que contiene solo VLAN puenteadas localmente.

La siguiente imagen ilustra el puerto Eth0+PoE y los puertos de paso a través (Pass Thru).

Figura 1: Panel Front Panel frontal
Figura 2: Panel Rear Panel trasero

Puede conectar el puerto Eth0+PoE al conmutador PoE o al ladrillo PoE para encender el AP12. El puerto utiliza una dirección IP DHCP para la administración. Los puertos de paso marcados como Pass Thru actúan como un parche desde la parte posterior hasta el puerto lateral. Puede usar un puerto de paso en los casos en que necesite conectar un dispositivo detrás de un soporte de pared, como un televisor en un hotel.

Puede configurar los puertos Eth1, Eth2 y Eth3 en la página Detalles del AP o Perfil del dispositivo del portal de Juniper Mist. Puede asignar los puertos a una VLAN de administración o a una VLAN tunelizada.

Ejemplo: configuración de segundo puerto para AP41

La siguiente imagen muestra la configuración del segundo puerto para AP41.

Example: Second Port Configuration for AP41

En el ejemplo, Port VLAN ID es lo mismo que Native VLAN ID o Untagged VLAN. Tenga en cuenta que solo el puerto del módulo es capaz de proporcionar alimentación a través de Ethernet (PoE) para alimentar un dispositivo de baja potencia, como un teléfono IP. POE Passthrough solo se admite si un inyector PoE, no una fuente de alimentación de CC, alimenta un AP.

Nota:

AP12, AP41, AP43 y AP45 pueden proporcionar salida PoE. Los siguientes puertos proporcionan alimentación a través de Ethernet (PoE) en diferentes puntos de acceso:

  • Puerto de módulo en AP41

  • ETH1 en AP41 y AP43

  • Puerto de paso en AP12

Tunelización dividida para un SSID corporativo

Juniper Mist Edge ofrece capacidad de túnel dividido. Esta capacidad permite a los clientes corporativos conectarse a dispositivos domésticos locales (como impresoras y sistemas de medios) mientras están conectados a la red corporativa. Puede habilitar esta función en la configuración del túnel de niebla.

Nota:

La capacidad de túnel dividido es aplicable para un único punto de acceso remoto en un sitio.

Después de habilitar el túnel dividido, las direcciones IP enumeradas en el campo Subred de destino se vuelven a tunelizar al borde de Juniper Mist. El resto de las direcciones IP se puentean localmente. Además, el campo Servidores DNS , cuando se configura, proporciona una forma de usar los servidores DNS corporativos para resolver direcciones URL o FQDN para tráfico tunelizado y puenteado localmente.

Cuando se habilita el túnel dividido, el AP sirve la dirección IP 192.168.157.X/27 desde una subred privada que ejecuta para los clientes. El tráfico destinado a la oficina corporativa, definido en Subred de destino, se traduce a la IP corporativa. La IP corporativa es la IP que el AP recibe de la VLAN de la WLAN corporativa. El resto del tráfico del cliente inalámbrico se traduce a la dirección IP de VLAN de administración del punto de acceso.

Configure la opción Puerta de enlace de túnel con la puerta de enlace de subred del cliente. Esta es la puerta de enlace para la VLAN asignada a la WLAN. Tenga en cuenta que puede configurar varias subredes de destino. También puede agregar las direcciones IP y separarlas por comas.

Convierta los servidores DNS corporativos en parte de la subred de destino o agregue los servidores como una entrada /32.

Crear un sitio para trabajadores de oficina remotos

Al usar Juniper Mist para apoyar a los trabajadores remotos, los clientes pueden extender su WLAN corporativa a los hogares de los empleados siempre que los empleados trabajen de forma remota.

Puede crear sitios en el portal de Juniper Mist desde el menú Configuración de la organización > sitios .

Nota:

  • Para AP41 y AP43, la versión mínima de firmware de AP requerida para admitir IPsec y túnel dividido es 0.7.20289.

  • Para AP32/33 y AP12, la versión mínima de firmware de AP necesaria para admitir IPsec con túnel dividido es 0.8.21022.

Reclamar y enviar un AP a la ubicación de un empleado

Puede usar la aplicación Juniper Mist™ AI para reclamar un AP antes de enviarlo a la ubicación de la oficina remota en casa de un empleado. Consulte Administración de dispositivos con la aplicación móvil Juniper Mist AI.

En la aplicación Mist AI, seleccione el sitio y reclame un AP a ese sitio utilizando el código QR que se encuentra en la parte posterior del AP. Luego, aún desde la aplicación, envíe el AP a la ubicación del empleado. ¡No es necesario conectarlo a la red antes del envío!

Para la solución de teletrabajador remoto, asegúrese de que el firewall esté configurado para permitir la conexión desde un punto de acceso remoto. Tenga en cuenta las siguientes directrices:

  • Permitir el puerto 500/4500 para IPSec y el puerto 2083 para RadSec desde puntos de acceso remotos

  • El firewall debe traducir la IP de destino de los paquetes del punto de acceso remoto a la IP del túnel

  • Obtenga la IP externa para la IP del túnel de borde de Mist donde se conecta un punto de acceso remoto (normalmente una IP de firewall), anexe esa IP al nombre de host o IP en Servicios de terminación de túnel.

No se requiere ninguna configuración adicional en Mist Edge o AP, aparte de seleccionar el tipo de túnel como IPSec y Radius para proxy a través de Mist Edge

Al recibir el AP, el empleado ahora puede conectarlo a cualquiera de los puertos Ethernet en el enrutador doméstico local (usando un inyector PoE o alimentación de CC). El AP está listo para dar servicio a la nueva oficina remota en menos de 20 segundos.