ジュニパーワイヤレスシステム-知り合いになる

私の机には、ジュニパーネットワークス製のワイヤレス（Wi-Fi）エンタープライズクラスの機器一式が登場しました。 このソリューションにより、集中管理されたネットワークを、特殊なソフトウェア、広範囲のコントローラー、アクセスポイントに基づいてグローバルな規模で整理できます。 もともとTrapeze（2010年にジュニパーが買収）によって開発されたハードウェアとソフトウェアは進化し続けています。 ソフトウェアの9番目のバージョンと仮想コントローラーが間もなくリリースされます。 ワイヤレステクノロジーの人気の高まり、すべてのモバイルデバイスでのWi-Fiモジュールの存在により、BYODへの傾向は、ますます多くの中規模および大企業向けの「通常の」技術ソリューションの必要性です。 機器サプライヤの選択に直面している場合、またはそのようなシステムをすでに購入している場合、私の投稿（トピックの3つのうちの最初の1つ）を参考にして、方向を決め、何を理解し、すぐに鉄を操作に導入してください。

0.コントローラー管理ネットワークの組織の原則

従来のワイヤレスネットワークは、「アクセスポイント」に基づいて構築されます。通常、デバイスは1つのWi-Fiネットワーク（SSID）に対応し、一定レベルのセキュリティ（承認、暗号化）、管理性、および有線ネットワークとの通信を提供します。 現在、このようなデバイスの価格は100ドル未満で、家庭での使用、または従業員10人のオフィスでの「インターネットの配布」のタスクに適しています。 単一のコントロールセンターを備えた大規模システムの必要性により、「愚かな」アクセスポイントに対応するワイヤレスコントローラーが登場しました。 このようなスキームでは、コントローラーは集中認証、SSID、加入者のローミングを制御し、イーサーの「長期パラメーター」である電力、周波数を監視し、有線環境へのユーザーの無線接続を終了します。 アクセスポイントは、無線でパケットを受信/送信し、無線データを暗号化し、コントローラーと通信し、トンネル内のユーザートラフィックを送信します。 さらに大規模なネットワークでは、専用のコントローラープール管理ツール、モビリティ情報サポート、および高度な診断およびレポートツールが使用されます。

1.ジュニパーネットワークスが提供するもの

ジュニパーネットワークスのワイヤレスシステム製品ラインは、まさにこの方法で構築されています。

• アクセスポイントWLAは 、1つまたは2つの無線モジュール、サポートされる異なる数のMIMOストリーム、最大速度、外部アンテナを接続する機能を備えた5つのデバイスのセットで表されます。 それらは「煙探知器」の形で作られており、オフィスの天井に設置するように設計されています。 WLA632（ストリートバージョン）を除き、802.3af PoEを介して給電されます。 コンソール、インターフェイス、ボタンを接続する機能はありません。
• ハードウェアWLCには5種類、 VMwareには1 種類の仮想ハードウェアがあり、パフォーマンス（提供されるアクセスポイントの数）、ネットワークインターフェイスの数と速度、および2番目の電源の存在が異なります。 WLAを直接有効にするように設計された小型のPoEスイッチが組み込まれたモデルがあります。 コンソールポートがあり、コマンドラインから設定します。
• GUIを介してコントローラーのセットを制御するには、 RingMasterソフトウェア（Javaアプリケーション）を使用します。これは、Windowsまたは別のWLM1200デバイス（単一ユニットコンピューター）で実行され、追加のSmartPassゲストアクセスソフトウェアも実行できます。

2.テストしたもの

私が自由に使えるのは：

• 1つのPSUを備えたWLA-8コントローラー（別名MX-8）-2個
• アクセスポイントWLA532-WW-2個
• SRX240H PoEファイアウォール-アクセスポイントの電源として使用

このセットは、データローミングやフォールトトレランスを含むほとんどのテストに十分です。



ワイヤレスコントローラーは、PowerPCプラットフォームに基づくシングルボードの専用コンピューターであり、LinuxベースのMSS（Mobility System Software）オペレーティングシステムバージョン8.0.2.2を実行します。 WLA-8には、アクセスポイントを直接含めるために、PoEをサポートする2つのアップリンクと6つのポートがあります。





アクセスポイントはイーサネットで駆動され、ピーク時に約15ワットを消費します。 その中に、「MSS応答部」がロードされ、コントローラーからロードされます。 デバイス自体は重量のある金属ベース（ラジエーターでもあります）に取り付けられ、空間データストリームを作成するために6つのアンテナ（b / g / nおよびa / n用に3つ）を備えています。





利用可能な機器に基づいて、システムの初期化、初期セットアップ手順の分析、およびいくつかの典型的な問題の解決を試みます。 コマンドラインからコントローラーを構成します。グラフィカルインターフェイスはありませんが、Ringmasterがあります。 いずれにせよ、そもそも準備段階が必要です。

3.準備段階

繰り返したくありません。 ドックを読んでください。 何かを始める前に読んでください。 もちろん、「方法に沿って」多くのことを学ぶこともできますが、明らかな愚かさを繰り返して同じことを何度もやり直さないように、製造元のドキュメントを最後まで読んで時間を節約してください。 メーカーのドキュメントは、実際には1つの大きな本にまとめられています。それは、 Mobility System Software Configuration Guideです。 1000ページの単純なテキストを読むのが面倒ではありません。



ボックスを開く前に、次の質問に対する回答を準備する必要があります。

• 設置するワイヤレスコントローラの数、設置場所、LANポートの接続先
• アクセスポイントはいくつありますか？ それらをコントローラーのPoEポートに接続するか、LAN内の既存のPoEスイッチに接続しますか？
• TCP / IPコントローラー（アドレス、VLAN番号、DNS名）およびアクセスポイントのパラメーターとは
• 展開されたワイヤレスネットワークのパラメーター-SSID、承認方法、VLANユーザートラフィックがラップされる方法など
• ネットワーク上のRADIUSサーバーで認証を取得しますか？ ドメインを通じて？ LDAP経由？
• ネットワークの無線パラメータは何ですか-2.4および/または5 GHz帯域、チャネル
• 顧客のローミング、Voice over Radioのサポートなどの要件は何ですか。

3.コントローラーの初期化

最初の起動時、またはquickstartコマンドを使用すると、コントローラーは構成初期化モードに入ります。これはコンソールポート（DB9、9600 / 8 / N / 1）を介して制御できます。 いくつかの簡単な質問に答える必要があります。



WLC-1＃クイックスタート

これにより、既存の構成が消去されます。 続行しますか？ [n]： y

次の質問に答えてください。 「？」を入力します 助けを求めて。 ^ブレークアウトするC

システム名[MX-8]： WLC-1

国コード[米国]： RU ！ 国コードの選択により、アクセスポイントの動作周波数の許容範囲が決まります-必須パラメーター

システムIPアドレス[]： 172.16.130.30

システムIPアドレスのネットマスク[]： 255.255.255.0

デフォルトルート[]： 172.16.130.1

デフォルトVLANでの接続に802.1Qタグ付きポートを使用する必要がありますか？ [n]： n

Webview [y]を有効にします。

管理者ユーザー名[admin]： アントン

管理者パスワード[必須]： ****

有効化パスワード[オプション]： ****

時間を設定しますか？ [y]：

日付を入力（dd / mm / yy）[]： 03/06/13

時間を入力してください（hh：mm：ss）[]： 23:41:00

タイムゾーン[]を入力： MSK

hh：mm [0：0]： 4：0の 'MSK'のGMTからのオフセット（DSTなし）を入力します

ワイヤレスを構成しますか？ [y]： y ！ ワイヤレスネットワークをすぐにセットアップするように求められます

使用するクリアSSIDを入力します： ssid1 ！ これは、Webフォームを介した認証により、接続用に開かれた最初のワイヤレスネットワークです。

Webポータル認証が必要ですか？ [y]：

Web Portalで使用するユーザー名を入力して、終了します： test

テスト用のパスワードを入力してください： ***

Web Portalで使用するユーザー名を入力して、終了します。

802.1xおよびPEAP-MSCHAPv2を実行しますか？ [y]：

使用する暗号SSIDを入力します： ssid2 ！ この2番目のネットワーク、接続許可付き

PEAP-MSCHAPv2を実行するためのユーザー名を入力して終了します ： test2

test2のパスワードを入力してください： ***

PEAP-MSCHAPv2を実行するためのユーザー名を入力して終了します。

アクセスポイントを設定しますか？ [y] ：！ ここで、ローカルアクセスポイントをすぐに設定するように求められます

APが存在するポート番号[1-6]を入力して、終了します： 5 ！ コントローラーのどのポートがポイントに接続されているか

ポート5でAPモデルを入力： WLA532-WW

APが存在するポート番号[1-6]を入力して、終了します。

分散アクセスポイントを構成しますか？ [y]： n ！ ここでは、LANに接続されたアクセスポイントを設定するように求められます。これは後で行います

成功：sshのキーペアを作成

success：「save config」と入力して構成を保存します

成功：変更が受け入れられました。

* WLC-1＃ 設定を保存

成功：設定が保存されました。

WLC-1＃



デバイス名の前の「 * 」は、現在の構成に未保存の変更があることを意味します。

このような「基本セットアップ」の後、コントローラーは機能し、アクセスポイントも機能し、ユーザーは（ssid1およびssid2ネットワーク経由で）接続できます。 驚いたことに、コントローラに直接接続されたアクセスポイントは、IPアドレスを割り当てずに機能します（独自のIPアドレスが設定されます）。



コントローラーの設定は非常に簡単です。 イネーブルモードを開始すると、 set 、 clear 、 showの 3種類のコマンドがあります。 JunOSのように、コミット操作がありません。



初期セットアップウィザードの完了後すぐに、追加のパラメーターセットを設定することをお勧めします：ドメイン名とDNSサーバーアドレス、syslogサーバーアドレス、NTP、SNMPを有効にしてコミュニティをインストールし、モビリティドメイン名（複数のコントローラーがある場合はローミング用）とアドレスを設定しますモビリティグループの初期デバイス（シード）。

4.アクセスポイントの接続

素晴らしい、コントローラーが構成され、sshを介してCLIに移動します（ローカルコンソールは必要なくなりました）。

ワイヤレスアクセスポイントは、ローカルモード（コントローラーポート）または分散モード（IP経由）で接続されます。 2番目のケースでは、DHCPサーバーをネットワーク上で構成する必要があります。DHCPサーバーは、アドレスに加えて、オプション43をコントローラーのアドレスとともに提供します（その形式は、シスコのものとは異なりますが、独自のものです）。 「そのまま」アクセスポイントを設定するタスクを容易にするために（コンソールポートとボタンがないことを思い出してください）、接続を要求しているデバイスを「ピックアップ」 するset ap auto mode enableコマンドがあります。 「指紋」（ケースのステッカーに記載されている）を使用して、ポイント設定を手動で設定することもできます。



set ap 2 serial-id mg0211508096モデルWLA532-WW

ap 2 name WLA-2を設定します

ap 2点滅を有効にする

ap 2指紋を設定1a：fb：2e：d2：ab：e0：59：87：a7：3c：2a：20：ec：2a：9b：cc

AP 2無線1モードを有効にします

AP 2無線2モードを有効にします



自動的に設定されたアクセスポイントは、後で名前を変更して番号を変更できます。 接続されているアクセスポイントのリストを確認できます。



WLC-1＃ show ap status

フラグ：o =操作可能[1]、c =構成[0]、d =ダウンロード[0]、b =ブート[0]
        a =自動AP、m =メッシュAP、p / P =メッシュポータル（ena / actv）、r =冗長[0]
        z =停止中のリモートAP、i / I =安全でない（制御/制御+データ）
        u =暗号化されていない、e / E =暗号化されている（制御/制御+データ）
無線：E =有効-20MHzチャネル、S =歩ry、s =スペクトルデータ
        W / w =有効-40MHzワイドチャネル（HTplus / HTminus）
        D =管理が無効、U =メッシュアップリンク
 IPアドレス：* = NATの背後のAP

 APフラグIPアドレスモデルMACアドレス無線1無線2アップタイム
 ---- ---- --------------- ------------ --------------- -------- ------- ------
    5 o-uポート5 WLA532-WW 78：19：f7：7c：6a：40 E 11/13 w112 / 18 02h34m
    2 o-e 172.16.130.110 WLA532-WW 78：19：f7：75：5f：80 E 6/13 w136 / 21 02h30m

5.サービスプロファイルの構成

無線が機能するため、無線ネットワーク（SSID）を決定する必要があります。 彼女の名前、暗号化パラメーター、許可を指定する必要があります。

サービスプロファイルsp-WiFiAccess ssid-name WiFiAccessを設定します。 あなたのネットワーク名

サービスプロファイルsp-WiFiAccess auth-fallthruラストリゾートを設定します。

サービスプロファイルsp-WiFiAccess psk-phrase 12345678を設定します。 パスワード（キー）-構成ファイルで暗号化されます

サービスプロファイルsp-WiFiAccess wpa-ie auth-dot1x disableを設定します。 802.1xを使用しない（RADIUSサーバー経由）

サービスプロファイルsp-WiFiAccess rsn-ie cipher-ccmp enableを設定します。 AES / CCMP、別名WPA2

サービスプロファイルの設定sp-WiFiAccess rsn-ie auth-psk enable

サービスプロファイルsp-WiFiAccess rsn-ie auth-dot1x disableを設定します

サービスプロファイルsp-WiFiAccess rsn-ieを有効にする

サービスプロファイルsp-WiFiAccess attr vlan-name defaultを設定します 。 クライアントを配置するネットワーク（VLAN）



可能なオプションはすべてドキュメントに記載されています。 複数のコントローラで同じネットワーク（もちろん同じ設定）を使用する場合、サービスプロファイルセグメントと無線プロファイルセグメントを「乗算」する必要があります。

6.無線プロファイルを構成する

次に、無線設定を設定する必要があります-周波数チャンネル、範囲を決定します。 デフォルトの設定で十分に開始でき、ドキュメントではより便利です。

無線プロファイルのデフォルト設定auto-tune power-config enable



次に、サービスプロファイルを無線プロファイルに適用する必要があります。

無線プロファイルのデフォルトのサービスプロファイルsp-WiFiAccessを設定します

パスワード12345678で WiFiAccessワイヤレスネットワーク（WPA2-PSK）へのクライアント接続を試行します。



WLC-1＃ セッションセッションネットワークを示して下さい

ユーザー名SessIDタイプアドレスVLAN AP / Rdo
 --------------------- ------ ----- ------------------ --------------- -------
 LR-WiFiAccess-0 2 *オープン172.16.130.112デフォルト5/2

うまくいく！

7. 802.1xによる承認

企業で使用する場合、承認はWPA2-PSKより安全ではありません。WPA2-PSKは、1つの既知のキー（パスワード）で保護されていますが、802.1xプロトコルを介してRADIUSサーバーと外部データベースを使用して本格的です。 そのため、FreeRADIUSを使用します。これは、NETAMS 4.0課金システムと連動します 。

 
  サービスプロファイルSecure-DOT1Xの設定ssid-name DOT1X 
  サービスプロファイルSecure-DOT1X 11n short-guard-interval disableを設定します 
  サービスプロファイルを設定Secure-DOT1X rsn-ie cipher-ccmp enable 
  サービスプロファイルSecure-DOT1X rsn-ieを有効にする 
  service-profile Secure-DOT1X attr vlan-name defaultを設定します 
  RADIUSサーバーの設定debian64アドレス172.16.130.13タイムアウト5再送信3デッドタイム5暗号化キー0832494d1b1c11 
  radius server debian64 mac-addr-formatコロンを設定します 

  無線プロファイルのデフォルトのサービスプロファイルSecure-DOT1Xを設定する 

  サーバーグループdebian64-groupメンバーdebian64を設定します 
  アカウンティングdot1x ssid DOT1Xを設定** start-stop debian64-group 
  認証dot1x ssid DOT1Xを設定**パススルーdebian64-group 
 

サービスの有効なサブスクリプションを使用して課金システムで課金されたユーザーは、正しい個別のログインパスワードを入力することで正常に接続します。

8.まとめ

テストした機器の全体的な印象は良好なままでした。 ローミングとフォールトトレランスは一時的に船外に残されました。 信頼性、グリッチレスの観点から-不満はありません。 CLIを介したチューニングと診断の利便性には疑問がありますが、その利点（コピーアンドペースト）はあります。 機能面では、ジュニパーのワイヤレスシステムは、大規模で複雑なシステムを構築するために必要なすべてを提供します。 主要な競合他社であるCisco Unified Wirelessと比較すると、細部まで、機能と機能は同じです。 同じエンティティ（WLA-アクセスポイント、サービスプロファイル-WLAN、リモートWLA-FlexConnect）の命名には大きな違いがありますが、これは習慣の問題です。 いずれにせよ、両方のシステムは同じ標準とプロトコルに基づいており、組織の一般的なロジックを保持しています。



残念ながら、コマンドライン（すべての機能が利用可能）を介してワイヤレスシステムを制御することは可能ですが、便利ではありません（webdanolの時代では、ユーザーだけでなく管理者も美しいGUIを愛しています）。 幸いなことに、ジュニパーネットワークスは、一連のコントローラーを一元管理するためのグラフィカルシステムRingMasterを提供しています。これについては、今後の記事で説明します。



PS著者は、さまざまなメーカーの機器に基づいたシステムの設計と統合に携わっていますが、それらとは提携していません。