- Покупателям
- Услуги
- О нас
Juniper SRX + Wi-Fi точка AX411
Использование точек доступа AX411 вместе с сетевыми экранами серии SRX
В настоящее время все возрастает необходимость в предоставлении услуг беспроводного доступа к сети. Различные производители телекоммуникационного оборудования предоставляют на рынок свои решения беспроводного доступа, ведя жесткую конкурентную борьбу друг с другом. Компания Juniper Network так же предлагает свои решения в области беспроводного доступа. В данной статье речь пойдет о беспроводной точке доступа Ax411 для небольших офисов и помещений ее особенностях интеграции с оборудованием SRX серии и настройке.
Беспроводная точка доступа Ax411 предназначена для использования в небольших помещениях удаленных офисов, для предоставления услуг беспроводного доступа к сети с простой схемой построения беспроводной сети передачи данных. Точки доступа Ax411 поддерживают стандарты передачи 802.11 a/b/g/n на скорости передачи данных до 300 мбит/с ( две антенны ), имеют возможность централизованного управления через систему Juniper SRX моделей 210 220 240 650. Что позволяет сочетать беспроводный доступ к сети и средства анализа трафика пользователей, использующих беспроводные подключения, предоставляемые платформой SRX.
Точки доступа AX411 поддерживают технологию кластеризации. В случае выхода из строя одной из точек в кластере весь функционал будет перемещен на другую точку так что вы даже этого не заметите. Платформа SRX поддерживает подключение двух точек доступа AX411 в базовой лицензии и до 8 точек доступа при покупке дополнительных лицензий.
Настройка оборудования полностью производится через платформу SRX. Поэтому для настройки точек доступа необходимо зайти на SRX и настроить интерфейсы и пул адресов раздаваемых системой:
Необходимо помнить что все точки доступа питаются от устройства SRX посредством технологии PoE:
!
user@host# set poe interface all
!
Рассмотрим настройку AP для двух режимов подключения: по l2 сети и по l3 сети.
В случае работы в l2 сети создаем l2 интерфейс и dhcp сервер для раздачи адресов:
!
user@host#set interfaces vlan unit 0 family inet address 16.1.1.1/24
user@host#set vlans v100 vlan-id100
user@host#set vlans v100 l3-interface vlan.0
user@host#set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members
v100
user@host#set system services dhcp router 16.1.1.1
user@host#set system services dhcp pool 16.1.1.1/24 address-range high 16.1.1.30
low 16.1.1.10
Если наш порт работает в режиме trunk то надо задать naitive vlan:
!
user@host# set interfacesge-0/0/0 unit0 family ethernet-switching port-mode
trunk native-vlan-id 100
!
в случае работы по l3 сети, создаем l3 интерфейс и dhcp сервер:
!
user@host# set interfaces ge-0/0/0 unit 0 family inet address 16.1.1.1/24
user@host#set system services dhcp router 16.1.1.1
user@host#set system services dhcp pool 16.1.1.1/24 address-range high 16.1.1.30
low 16.1.1.10
!
после этого необходимо поместить полученные интерфейсы в одну из security zones настроенных на нашем устройстве, настроить наши политики соответственно схеме сети и роли SRX устройства в ней. Подробнее о политиках и зонах можно посмотреть тут.
Рассмотрим теперь специальные настройки AP в разделе wlan.
!
lab@srxB-1# set wlan access-point point01
Possible completions:
<[Enter]> Execute this command
> access-point-options Configure access point options
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
description Specify the access point description
> external External type access point
location Location of the access point
> logging-options Configure access point logging options
mac-address Access point ethernet port MAC address
> radio Access point radio settings
| Pipe through a command
!
Рассмотрим первый раздел access-point-options:
!
lab@srxB-1# set wlan access-point point01 access-point-options?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> country Country name
> station-mac-filter
!
country - обозначить индекс страны в которой используется устройство. Для определения разрешенных частот.
station-mac-filter - настроить фильтрацию по мак адресам. позволяет задать разрешенный список и запрещенный список.
раздел logging options необходим для настройки внешнего log сервера.
теперь рассмотрим раздел radio :
!
lab@srxB-1# set wlan access-point point01 radio 1 ?
Possible completions:
<[Enter]> Execute this command
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> quality-of-service Wireless quality of service configuration
> radio-options Configure radio options
station-isolation Isolate the clients connected to the same VAP within a radio
> virtual-access-point Virtual access point configuration
!
раздел quality-of-service позволяет осуществить настройки QoS на точке доступа, путем распределения трафика по заранее выбранным очередям.
раздел radio-options
!
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
beacon-interval Set the beacon interval (20..2000 milliseconds)
> broadcast-multicast-rate-limit Configure rate limit for broadcast and multicast traffic
> channel Configure channel settings
disable-dot11d Disable dot11d regulatory domain support
dtim-period Set delivery traffic indication message period (beacon count)
fixed-multicast-rate Provide multicast rate
fragmentation-threshold Packet fragment size(even numbers) (256..2346)
maximum-stations Set limit on maximum supported stations (0..200)
mode Mode for radio operation
no-short-guard-interval Disable 802.11n short inter-symbol guard interval
protection Select protection mode
radio-off Radio is off
rts-threshold Set RTS- threshold (0..2347)
space-time-block-coding Enable space time block coding
transmit-power Set transmit power (1..100 percent)
> transmit-rate-sets Specify the transmit rate sets
!
broadcast-multicast-rate-limit - позволяет ограничить полосу в которой передается broadcast или multicast траффик.
channel - позволяет осуществить настройку канала в котором работает AP его номер и размер полосы пропускания.
maximum-stations - ограничить максимальное число клиентов на 1 AP
mode - режим работы a или n
transmit-rate-sets - настройка поддерживаемых полос пропускания точки доступа.
virtual-access-point - настройка сервиса аналогичного сервису dot1q vlan в проводных сетях. Есть возможность настроить до 15 виртуальных точек доступа представляющих собой отдельные broadcast домены для сегментации всей сети.
!
lab@srxB-1# set wlan access-point point01 radio 1 virtual-access-point 1 ?
Possible completions:
<[Enter]> Execute this command
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
description Specify the virtual access point description
> http-redirect Configure HTTP redirect setting
no-broadcast-ssid Disable broadcast SSID
> security Configure security settings for the VAP
ssid SSID value for the virtual access point
vlan VLAN id for the virtual access point (1..4094)
| Pipe through a command
мы можем задать такие параметры как
description — коментарий описание к нашей VAP
ssid — соответственно ssid данной точки.
vlan — номер vlan для данной точки
http-redirect — перенаправление http трафика на заданный хост
раздел security :
!
lab@srxB-1# …oint01 radio 1 virtual-access-point 1 security?
Possible completions:
<[Enter]> Execute this command
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> dot1x Dot1x configuration
mac-authentication-type Select MAC authentication type
none Unsecure plain-text communication
> static-wep Static WEP configuration
> wpa-enterprise Set WAP enterprise settings
> wpa-personal Set WPA personal settings
| Pipe through a command
!
позволяет настроить шифрование и защиту от несанкционированного доступа к беспроводной сети.
Для настроек кластера необходимо воспользоваться следующей командой:
!
lab@srxB-1# set wlan cluster 1 name cluster?
Possible completions:
<[Enter]> Execute this command
> access-point-options Configure access point options
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
channel-management Enable channel management
default-cluster Specify this as default cluster for interface
> interfaces Interfaces that are part of this cluster
> logging-options Configure access point logging options
> radio Access point radio settings
> system System information
| Pipe through a command
!
из приведенного списка для работы нам необходимо настроить интерфейсы с подключенными AP, т.е.
!
set wlan cluster 1 name cluster1 default-cluster channel-management interfaces fe-0/0/5
!
например в случае с подключением через l3 интерфейс.
в случае подключения через l2 интерфейс можно указать в качестве интерфейса interface vlan с подключенными интерфейсами второго уровня.
Вот таким образом можно превратить наш межсетевой экран серии SRX в устройство беспроводного доступа к сети добавив функциональности.