Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar SD-WAN con conexión activa/en espera a Internet en una puerta de enlace de servicios SRX300

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software.

  • Un dispositivo de la serie SRX300 (320, 340, 345, 380)

  • Un MPIM Wi-Fi para la serie SRX300

  • Un MPIM LTE para la serie SRX300

  • Una tarjeta SIM con suscripción para servicios de datos

  • Junos OS 19.4R1

Visión general

En este ejemplo, estamos configurando un dispositivo de la serie SRX320 de sucursal para proporcionar acceso a Internet e Intranet por cable e inalámbrico a los empleados en el sitio, así como acceso inalámbrico a Internet a los dispositivos invitados. El enlace principal a Internet es a través de Ethernet, mientras que la conectividad de respaldo es a través de la red LTE. Los dos vínculos están configurados en modo activo/en espera, por lo que no se enruta ningún tráfico a través del módem LTE, a menos que el vínculo principal esté inactivo.

Topología

Figura 1: Ejemplo de topología Example Topology

La topología del ejemplo se muestra en la figura 1. El Mini-PIM LTE está instalado en la ranura 1. El Mini-PIM de WI-FI está instalado en la ranura 2. La tarjeta SIM está instalada en la ranura 1 del módulo LTE. El vínculo principal está conectado a la interfaz ge-0/0/0 y recibe su dirección IP, máscara de red, puerta de enlace predeterminada y servidores DNS del dispositivo al que está conectado. El módem tiene interfaz cl-1/0/0.

El contexto PDP termina en la interfaz dl.0 y, de manera similar a ge-0/0/0, la dirección IP, la máscara de red y la puerta de enlace predeterminada son asignadas por GGSN/PGW. La interfaz Wi-Fi es wl-2/0/0.200 sirve a la red de invitados, mientras que la interfaz wl-2/0/0.100 sirve a la red corporativa. Las zonas de seguridad y las listas de interfaces para cada zona se muestran en la figura 2.

Figura 2: Zonas Security Zones de seguridad

Hay cuatro zonas de seguridad configuradas en el dispositivo de la serie SRX300, específicamente No confianza, Confianza, Corporativo e Invitado. La separación de las interfaces en zonas de seguridad permite la separación del tráfico y mitiga los riesgos a los que está expuesta la intranet corporativa y sirve como vehículo para lograr una implementación clara y simplificada de las políticas de seguridad. Zona no confiable aloja las interfaces que tienen acceso a Internet.

Las interfaces internas de la intranet corporativa se encuentran en la zona Confianza. Los dispositivos inalámbricos de la organización se desplazan en la zona corporativa. Los dispositivos móviles personales, a los que solo se les concede acceso a Internet, se encuentran en la zona Huésped.

La Tabla 1 muestra el comportamiento deseado de las políticas de seguridad para el tráfico entre zonas.

Tabla 1: Políticas de seguridad por zona

From-To

Untrust

Trust

Corporate

Guest

Untrust

No

Solo iniciada por confianza

Solo iniciada por la empresa

Solo iniciada por el invitado

Trust

Solo iniciada por la empresa

No

Corporate

No

Guest

No

No

No

La información de VLAN y la información de dirección IP para las interfaces se resume en la Tabla 2.

Tabla 2: Detalles de configuración de interfaces

Interface

VLAN

IP Adress

Netmask

WL-2/0/0.100

100

172.16.100.1

255.255.255.0

WL-2/0/0.200

200

192.16.200.1

255.255.255.0

dl.0

3

DHCP

-

ge-0/0/0

3

DHCP

-

Irb.0

3

192.168.1.1

255.255.255.0

Configuración y validación

Configuración

Procedimiento paso a paso

Los pasos de esta configuración se construyen lógicamente desde las capas inferiores hasta las superiores.

  1. Cree una VLAN para los dispositivos invitados.

  2. Cree una VLAN para los dispositivos corporativos.

  3. Cree un punto de acceso.

  4. Establezca el país donde está instalado el dispositivo. Diferentes países tienen diferente espectro 802.11 disponible para uso general.

  5. Configure la interfaz de radio de 5 GHz del punto de acceso. Establezca su modo, el número de canal en el que operará y el ancho de banda que utilizará. Además, establezca la potencia de transmisión para la interfaz de radio de 5 GHz (en %).

  6. Cree un punto de acceso virtual (VAP) para la red de invitados de 5 GHz. El Mini-PIM admite hasta ocho puntos de acceso virtuales por interfaz de radio.

  7. Configure la seguridad para el VAP como wpa-personal. Establezca el conjunto de cifrado, el tipo de clave y la clave previamente compartida.

  8. Configure la interfaz de radio de 2,4 GHz del punto de acceso. Establezca su modo, el número de canal en el que operará y el ancho de banda que utilizará. Además, configure la potencia de transmisión para la interfaz de radio (en %).

  9. Configure el VAP en la red de invitados de 2,4 GHz.

  10. Configure la seguridad para el VAP como wpa-personal. Establezca el conjunto de cifrado, el tipo de clave y la clave previamente compartida.

  11. Configure el VAP en la red corporativa de 5 GHz.

  12. Configure la seguridad para el VAP como wpa-personal. Establezca el conjunto de cifrado, el tipo de clave y la clave previamente compartida.

  13. Configure el VAP en la red corporativa de 2,4 GHz.

  14. Configure la seguridad para el VAP como wpa-personal. Establezca el conjunto de cifrado, el tipo de clave y la clave previamente compartida.

  15. Cree la interfaz IP que actuará como puerta de enlace predeterminada para los dispositivos en los VAP invitados (un VAP funciona en 5 GHz y el otro en 2,4 GHz).

  16. Cree la interfaz IP que actuará como puerta de enlace predeterminada para los dispositivos en los VAP corporativos (un VAP funciona en 5GHz y el otro en 2.4GHz).

  17. Cree una zona de seguridad para los dispositivos invitados y permita DHCP y todos los demás protocolos necesarios en ella. Asegúrese de que también se agrega la interfaz wl adecuada a la zona.

  18. Cree una zona de seguridad para los dispositivos corporativos y permita DHCP y todos los demás protocolos necesarios en ella. Asegúrese de que también se agrega la interfaz wl adecuada a la zona.

  19. Cree un grupo de servidores DHCP único para los VAP invitados (solo se necesita un grupo de servidores para ambos VAP invitados).

  20. Cree un grupo de servidores DHCP único para los VAP corporativos.

  21. Cree un grupo de direcciones IP para asignarlas a los dispositivos, móviles en los VAP de invitados. Establezca las direcciones IP más bajas y más altas que se asignarán a los dispositivos de este grupo, los servidores DNS y la dirección IP de la puerta de enlace predeterminada del grupo.

  22. Cree un grupo de direcciones IP para asignarlas a los dispositivos, en roaming en los VAP corporativos. Establezca las direcciones IP más bajas y más altas que se asignarán a los dispositivos de este grupo, los servidores DNS y la dirección IP de la puerta de enlace predeterminada del grupo.

  23. Cree NAT de origen para aplicar NAT a los dispositivos de la zona de invitados a la interfaz externa.

  24. Cree NAT de origen para aplicar NAT a dispositivos de la zona corporativa a la interfaz externa.

  25. Cree una política de seguridad que permita el tráfico entre las zonas Invitado y No confianza. Asegúrese de que los segmentos de red y/o aplicaciones deseados estén incluidos en la política.

  26. Cree una política de seguridad que permita el tráfico entre las zonas corporativa y de no confianza. Este paso permite que el tráfico que tiene NAT aplicada fluya entre las zonas.

  27. Cree una política de seguridad que permita el tráfico entre las zonas Corporativa y de Confianza, y que permita que el tráfico que tiene NAT aplicada fluya entre las zonas.

  28. Establezca la descripción de la interfaz para el vínculo principal de Internet. Establezca la interfaz para obtener la configuración a través del protocolo DHCP. Asegúrese de que la interfaz LTE esté configurada como copia de seguridad para el vínculo de Internet.

  29. Configure la interfaz del módem. Asegúrese de que la ranura SIM, que contiene la tarjeta SIM, esté configurada como activa.

  30. Configure la interfaz del marcador.

  31. Configure la interfaz inalámbrica para aceptar paquetes VLAN sin etiquetar.

  32. Establezca el nombre del punto de acceso para la tarjeta SIM en el módem.

  33. Confirmar la configuración

Validación

Procedimiento paso a paso

  1. Asegúrese de que las interfaces estén en funcionamiento.

  2. Compruebe el estado del punto de acceso y asegúrese de que el estado de las interfaces de radio esté activado, que los canales y los anchos de banda en los que operan estén configurados.

  3. Verifique el estado de todos los VAP. Asegúrese de que los SSID y la configuración de seguridad estén configurados.

  4. Consulte el resumen sobre las asociaciones de clientes en cada radio del punto de acceso. Este comando muestra el número de usuarios asociados en cada interfaz de radio.

  5. Compruebe los detalles sobre las asociaciones de clientes en cada radio del punto de acceso. La dirección MAC de los usuarios se muestra en la salida, así como en las estadísticas de tráfico.

  6. Compruebe si Junos detecta los módulos Mini-PIM.

  7. Compruebe la versión de firmware de los Mini-PIM y actualícela si es necesario.

  8. Obtenga una captura de paquetes en un VAP para solucionar problemas.

    El archivo se guarda en /var/tmp. Puede descargar el archivo y abrirlo con una aplicación de rastreo de paquetes, como WIreshark.