Juniper SRX + Wi-Fi точка AX411

Использование точек доступа AX411 вместе с сетевыми экранами серии SRX

В настоящее время все возрастает необходимость в предоставлении услуг беспроводного доступа к сети. Различные производители телекоммуникационного оборудования предоставляют на рынок свои решения беспроводного доступа, ведя жесткую конкурентную борьбу друг с другом. Компания Juniper Network так же предлагает свои решения в области беспроводного доступа. В данной статье речь пойдет о беспроводной точке доступа Ax411 для небольших офисов и помещений ее особенностях интеграции с оборудованием SRX серии и настройке. 

Беспроводная точка доступа Ax411 предназначена для использования в небольших помещениях удаленных офисов, для предоставления услуг беспроводного доступа к сети с простой схемой построения беспроводной сети передачи данных. Точки доступа Ax411 поддерживают стандарты передачи 802.11 a/b/g/n на скорости передачи данных до 300 мбит/с ( две антенны ), имеют возможность централизованного управления через систему Juniper SRX моделей 210 220 240 650. Что позволяет сочетать беспроводный доступ к сети и средства анализа трафика пользователей, использующих беспроводные подключения, предоставляемые платформой SRX.

Точки доступа AX411 поддерживают технологию кластеризации. В случае выхода из строя одной из точек в кластере весь функционал будет перемещен на другую точку так что вы даже этого не заметите. Платформа SRX поддерживает подключение двух точек доступа AX411 в базовой лицензии и до 8 точек доступа при покупке дополнительных лицензий.

Настройка оборудования полностью производится через платформу SRX. Поэтому для настройки точек доступа необходимо зайти на SRX и настроить интерфейсы и пул адресов раздаваемых системой:

Необходимо помнить что все точки доступа питаются от устройства SRX посредством технологии PoE:

!

user@host# set poe interface all

!

Рассмотрим настройку AP для двух режимов подключения: по l2 сети и по l3 сети.

В случае работы в l2 сети создаем l2 интерфейс и dhcp сервер для раздачи адресов:

!

user@host#set interfaces vlan unit 0 family inet address 16.1.1.1/24

user@host#set vlans v100 vlan-id100

user@host#set vlans v100 l3-interface vlan.0

user@host#set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members

v100

user@host#set system services dhcp router 16.1.1.1

user@host#set system services dhcp pool 16.1.1.1/24 address-range high 16.1.1.30

low 16.1.1.10

Если наш порт работает в режиме trunk то надо задать naitive vlan:

!

user@host# set interfacesge-0/0/0 unit0 family ethernet-switching port-mode

trunk native-vlan-id 100

!

в случае работы по l3 сети, создаем l3 интерфейс и dhcp сервер:

!

user@host# set interfaces ge-0/0/0 unit 0 family inet address 16.1.1.1/24

user@host#set system services dhcp router 16.1.1.1

user@host#set system services dhcp pool 16.1.1.1/24 address-range high 16.1.1.30

low 16.1.1.10

!

после этого необходимо поместить полученные интерфейсы в одну из security zones настроенных на нашем устройстве, настроить наши политики соответственно схеме сети и роли SRX устройства в ней. Подробнее о политиках и зонах можно посмотреть тут.

Рассмотрим теперь специальные настройки AP в разделе wlan.

!

lab@srxB-1# set wlan access-point point01

Possible completions:

 <[Enter]>      Execute this command

> access-point-options Configure access point options

+ apply-groups  Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

  description    Specify the access point description

> external      External type access point

  location      Location of the access point

> logging-options Configure access point logging options

  mac-address  Access point ethernet port MAC address

> radio        Access point radio settings

 |            Pipe through a command

!

Рассмотрим первый раздел access-point-options:

!

lab@srxB-1# set wlan access-point point01 access-point-options?     

Possible completions:

+ apply-groups    Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

> country        Country name

> station-mac-filter 

!

country - обозначить индекс страны в которой используется устройство. Для определения разрешенных частот.

station-mac-filter - настроить фильтрацию по мак адресам. позволяет задать разрешенный список и запрещенный список.

раздел logging options необходим для настройки внешнего log сервера.

теперь рассмотрим раздел radio :

!

lab@srxB-1# set wlan access-point point01 radio 1 ?

Possible completions:

 <[Enter]>      Execute this command

+ apply-groups      Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

> quality-of-service   Wireless quality of service configuration

> radio-options      Configure radio options

  station-isolation     Isolate the clients connected to the same VAP within a radio

> virtual-access-point  Virtual access point configuration

!

раздел quality-of-service позволяет осуществить настройки QoS на точке доступа, путем распределения трафика по заранее выбранным очередям.

раздел radio-options 

!

Possible completions:

+ apply-groups      Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

 beacon-interval     Set the beacon interval (20..2000 milliseconds)

> broadcast-multicast-rate-limit Configure rate limit for broadcast and multicast traffic

> channel          Configure channel settings

 disable-dot11d      Disable dot11d regulatory domain support

 dtim-period        Set delivery traffic indication message period (beacon count)

 fixed-multicast-rate   Provide multicast rate

 fragmentation-threshold Packet fragment size(even numbers) (256..2346)

 maximum-stations  Set limit on maximum supported stations (0..200)

 mode        Mode for radio operation

 no-short-guard-interval Disable 802.11n short inter-symbol guard interval

 protection     Select protection mode

 radio-off      Radio is off

 rts-threshold    Set RTS- threshold (0..2347)

 space-time-block-coding Enable space time block coding

 transmit-power   Set transmit power (1..100 percent)

> transmit-rate-sets Specify the transmit rate sets

!

broadcast-multicast-rate-limit - позволяет ограничить полосу в которой передается broadcast или multicast траффик.

channel - позволяет осуществить настройку канала в котором работает AP его номер и размер полосы пропускания.

maximum-stations - ограничить максимальное число клиентов на 1 AP

mode - режим работы a или n

transmit-rate-sets - настройка поддерживаемых полос пропускания точки доступа.

virtual-access-point  - настройка сервиса аналогичного сервису dot1q vlan в проводных сетях. Есть возможность настроить до 15 виртуальных точек доступа представляющих собой отдельные broadcast домены для сегментации всей сети.

!

lab@srxB-1# set wlan access-point point01 radio 1 virtual-access-point 1 ?

Possible completions:

 <[Enter]>       Execute this command

+ apply-groups    Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

  description      Specify the virtual access point description

> http-redirect     Configure HTTP redirect setting

 no-broadcast-ssid  Disable broadcast SSID

> security        Configure security settings for the VAP

 ssid            SSID value for the virtual access point

 vlan            VLAN id for the virtual access point (1..4094)

 |              Pipe through a command

мы можем задать такие параметры как

description — коментарий описание к нашей VAP

ssid — соответственно ssid данной точки.

vlan — номер vlan для данной точки

http-redirect  — перенаправление http трафика на заданный хост

раздел security :

!

lab@srxB-1# …oint01 radio 1 virtual-access-point 1 security?   

Possible completions:

 <[Enter]>      Execute this command

+ apply-groups    Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

> dot1x        Dot1x configuration

  mac-authentication-type Select MAC authentication type

  none        Unsecure plain-text communication

> static-wep     Static WEP configuration

> wpa-enterprise   Set WAP enterprise settings

> wpa-personal    Set WPA personal settings

 |          Pipe through a command

!

позволяет настроить шифрование и защиту от несанкционированного доступа к беспроводной сети.

Для настроек кластера необходимо воспользоваться следующей командой:

!

lab@srxB-1# set wlan cluster 1 name cluster? 

Possible completions:

 <[Enter]>      Execute this command

> access-point-options Configure access point options

+ apply-groups    Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

 channel-management Enable channel management

 default-cluster   Specify this as default cluster for interface

> interfaces     Interfaces that are part of this cluster

> logging-options   Configure access point logging options

> radio        Access point radio settings

> system       System information

 |          Pipe through a command

!

из приведенного списка для работы нам необходимо настроить интерфейсы с подключенными AP, т.е.

!

set wlan cluster 1 name cluster1 default-cluster channel-management interfaces fe-0/0/5

!

например в случае с подключением через l3 интерфейс.

в случае подключения через l2 интерфейс можно указать в качестве интерфейса interface vlan с подключенными интерфейсами второго уровня.

Вот таким образом можно превратить наш межсетевой экран серии SRX в устройство беспроводного доступа к сети добавив функциональности.