Puertas de enlace de acceso Wi-Fi
Descripción general de la puerta de enlace de acceso Wi-Fi
La puerta de enlace de acceso Wi-Fi (WAG) proporciona al público acceso Wi-Fi desde una red Wi-Fi residencial o desde una red Wi-Fi empresarial. En casa, los suscriptores tienen su red Wi-Fi existente; sin embargo, una parte de su red está disponible para el uso del público en general. Los miembros del público que tienen una cuenta con el mismo proveedor de servicios de Internet que el suscriptor tiene en casa pueden acceder a Internet y a la red móvil a través de la parte pública de la conexión Wi-Fi del suscriptor cuando se encuentran cerca de la casa del suscriptor. WAG autentica y conecta a los suscriptores independientemente de su ubicación física.
A partir de Junos OS versión 17.2R1, los proveedores de servicios pueden implementar el enrutador serie MX como puerta de enlace de red de banda ancha (BNG) dentro de su red y, a continuación, desplegar el BNG como WAG. La figura 1 muestra una topología de ejemplo.
Después de implementar un WAG, los proveedores de servicios pueden configurarlo para crear conexiones de red domésticas inalámbricas seguras para computadoras, computadoras portátiles y otros productos electrónicos Wi-Fi (como sistemas de juegos, tabletas o teléfonos móviles). WAG ofrece a los proveedores de servicios alámbricos y móviles los siguientes despliegues y oportunidades de valor empresarial:
Proveedores de servicios por cable: la implementación de WAG se basa en una división en el hogar de puntos de acceso o puntos de acceso públicos, y funciona con cualquier punto de acceso Wi-Fi que cree un túnel de encapsulación de enrutamiento genérico (GRE) al enrutador de la serie MX. Esta implementación protege a los suscriptores y reduce la rotación al incluir Wi-Fi gratis con una suscripción de línea fija paga. Para obtener valor agregado, los proveedores de servicios también pueden vender acceso o modo ad hoc, como acceso al aeropuerto, seguridad pública, búsqueda y rescate y acceso a cafeterías.
Proveedores de servicios móviles: la implementación de WAG se basa en los propios puntos de acceso del proveedor de servicios móviles, o al por mayor y al por menor con el proveedor de servicios por cable. Los proveedores de servicios que ofrecen cuádruple play, donde se combinan los servicios de TV, Internet, inalámbricos y telefonía fija, pueden aprovechar los activos inalámbricos y por cable. Este despliegue compensa los costos en núcleo de paquetes móviles e infraestructuras de red de acceso de radio con la capacidad de descargar datos móviles. Para obtener valor agregado, los proveedores de servicios pueden ofrecer Wi-Fi para todos los dispositivos con un lugar de datos móviles como un diferenciador competitivo.
Los clientes que compran banda ancha también pueden recibir Wi-Fi en cualquier punto de acceso Wi-Fi comunitario. Los suscriptores tienen una conexión doméstica privada y segura, y también pueden acceder a una conexión pública compartida por otros suscriptores. Para mantener un nivel de seguridad y proteger la conexión doméstica privada, las dos redes están separadas. Esta separación garantiza un fuerte nivel de ancho de banda en las conexiones personales de los suscriptores.
Servicios de suscriptor como autenticación, autorización y contabilidad (AAA); asignación de dirección; calidad jerárquica del servicio (QoS); intercepción legal; y la clase de servicio (CoS) son compatibles con suscriptores individuales del Protocolo de configuración dinámica de host (DHCP) dentro de los túneles GRE. El uso de túneles GRE para Wi-Fi ofrece los siguientes beneficios:
Los usuarios de Wi-Fi que no están conectados directamente a través de la capa 2 a WAG se autentican porque los túneles GRE transmiten información de capa 2 a través de cualquier red IP.
Los servicios basados en información específica del equipo del usuario se aplican utilizando la dirección de control de acceso a medios (MAC) o la tarjeta del módulo de identidad del suscriptor (SIM).
Los servicios se aplican en la red, no solo en el punto de acceso Wi-Fi.
El estándar GRE suave o Ethernet sobre GRE es compatible con la mayoría de los puntos de acceso Wi-Fi. Para los servicios que utilizan el estándar Ethernet sobre GRE, solo es necesario configurar un lado del túnel; el otro extremo aprende las direcciones IP remotas de todos los extremos de túnel remoto examinando los paquetes GRE entrantes.
Descripción general del modelo de despliegue de Wi-Fi Access Gateway
La figura 2 muestra una puerta de enlace de red de banda ancha (BNG) del enrutador de la serie MX desplegada como puerta de enlace de acceso Wi-Fi (WAG). El WAG proporciona un borde multiservicio con un conjunto completo de características de banda ancha que es altamente confiable debido al hardware redundante incluido. Las tramas Ethernet del dispositivo del equipo de usuario deben tunelizarse al BNG a través de una nube IP o Internet pública.
de despliegue de puerta de enlace de acceso Wi-Fi
Para admitir el BNG de la serie MX desplegado como WAG, se crean túneles de encapsulación de enrutamiento genérico (GRE) de puente dinámico que terminan en el BNG cuando recibe tráfico GRE del punto de acceso inalámbrico (WAP). Los suscriptores del Protocolo de configuración dinámica de host (DHCP) se transportan a través de túneles GRE como identificadores de conjunto de servicios (SSID) etiquetados por VLAN o sin etiquetar. Cuando el dispositivo del equipo de usuario se conecta al SSID y comienza a enviar tráfico, el punto de acceso inicia una conexión GRE suave de capa 2 o Ethernet a través de GRE al BNG de la serie MX y el BNG construye dinámicamente el túnel GRE. Los túneles GRE se borran después de que todos los suscriptores de un túnel GRE hayan cerrado sesión y haya caducado un temporizador configurable.
Este modelo de implementación admite un conjunto completo de servicios, por usuario, equipo, dispositivo y por punto de acceso. Servicios de suscriptor como autenticación, autorización y contabilidad (AAA); asignación de dirección; calidad jerárquica del servicio (QoS); intercepción legal; y clase de servicio (CoS) son compatibles con suscriptores DHCP individuales dentro de los túneles GRE. No se requieren tarjetas de servicio adicionales para GRE o QoS porque todas las funciones se ejecutan en línea en MPC.
El proxy RADIUS externo admite los protocolos del módulo de identidad del suscriptor (SIM) del Protocolo de autenticación extensible (EAP), la seguridad de la capa de transporte tunelizada (TTLS) y la autenticación y el acuerdo de claves (AKA). El proxy RADIUS externo también se integra con la redirección HTTP al portal web.
El modelo de despliegue de la serie MX como WAG también admite la venta al por mayor del acceso al punto de acceso a múltiples proveedores de servicios minoristas. Esta venta al por mayor permite la ruptura local del tráfico o la transferencia de capa 3 a los proveedores de servicios minoristas.
Modelos de acceso admitidos para túneles GRE de puente dinámico en la puerta de enlace de acceso Wi-Fi
Los túneles de encapsulación de enrutamiento genérico (GRE) de puente dinámico y la puerta de enlace de acceso Wi-Fi admiten pilas de interfaz para suscriptores etiquetados y no etiquetados por VLAN. Se admiten características de suscriptor como perfiles dinámicos y de servicio para suscriptores DHCP, intercepción legal, filtros de firewall y cambio de autorización (CoA).
Las limitaciones de escala de los dispositivos de interfaz de suscriptor (ps IFD) de pseudocablen requieren que varios túneles compartan el mismon ps IFD. El pseudocable es un dispositivo virtual que se apila por encima del punto de anclaje del túnel lógico en la interfaz física (IFD).
El psn IFD utilizado para dar servicio a las terminaciones dinámicas de túnel GRE no se puede utilizar simultáneamente para dar servicio a las terminaciones de pseudocables MPLS.
Los servicios de suscriptor y la interceptación legal solo se admiten en el nivel de interfaz de demultiplexación IP (demux).
Un túnel GRE no puede tener suscriptores sin etiquetar y etiquetados.
El modelo etiquetado y el modelo sin etiqueta se describen en las secciones siguientes:
Suscriptores etiquetados con VLAN dinámica
Para que el aprovisionamiento y la solución de problemas sean más fáciles para los suscriptores etiquetados con VLAN, use el mismo conjunto de VLAN en todos los puntos de acceso Wi-Fi. Para hacer esto, es necesario que la misma interfaz lógica de servicio de interfaz de suscriptor (ps IFL) (asociada con un ID de VLAN) en un IFD de psnn represente varios túneles GRE.
Se crea una interfaz demux de VLAN dinámica (demux0.yyyyyyyy) para cada etiqueta VLAN y se apila sobre la interfaz ps del túnel (psnn.xxxxxxxx). Puede haber varias VLAN (de etiqueta simple y doble) en el mismo túnel GRE. Las interfaces demux IP de los suscriptores se crean a través de la interfaz demux VLAN.
Suscriptores sin etiquetar
Los suscriptores DHCP sin etiquetar se pueden crear directamente a través del túnel GRE. Para cada suscriptor, se crea una interfaz demux IP (demux0.) que se apila sobre la interfaz lógica ps del túnel (psnn.yyyyyyyyxxxxxxxx). Puede haber varios suscriptores en el mismo túnel GRE.
Descripción general de la configuración de la puerta de enlace de acceso Wi-Fi
Para configurar el enrutador de la serie MX como puerta de enlace de acceso Wi-Fi (WAG):
Configuración de un dispositivo de interfaz lógica de suscriptor Pseudowire para la puerta de enlace de acceso Wi-Fi
Antes de comenzar, debe crear una interfaz de túnel lógico:
Configure el número máximo de dispositivos de interfaces lógicas de pseudocables. Consulte Configuración del número máximo de dispositivos de interfaz lógica de pseudocable admitidos en el enrutador.
Configure una interfaz de túnel. Consulte Descripción general de la configuración de la interfaz de túnel en los enrutadores de la serie MX.
Para configurar el dispositivo de interfaz lógica del suscriptor pseudowire en el que se construye el túnel GRE de puente dinámico en la puerta de enlace de acceso Wi-Fi del enrutador de la serie MX:
Configuración de condiciones para habilitar la creación de túneles GRE de puente dinámico
Antes de empezar:
Configure el dispositivo lógico de pseudocable en el que se va a construir el túnel GRE de puente dinámico. Consulte Configuración de un dispositivo de interfaz lógica de suscriptor Pseudowire para la puerta de enlace de acceso Wi-Fi.
Configure la interfaz lo0 con la dirección IP de origen de los túneles GRE para la puerta de enlace de acceso Wi-Fi (WAG). Utilice la dirección IP del enrutador de la serie MX en el que desea recibir el tráfico GRE entrante. Esta dirección no puede ser la dirección principal o preferida en lo0. Consulte Configuración de una interfaz de circuito cerrado.
Para configurar las condiciones para habilitar la creación de túneles de encapsulación de enrutamiento genérico (GRE) de puente dinámico en el WAR del enrutador de la serie MX, configure uno o varios grupos de túneles GRE. Varios grupos de túneles GRE pueden tener el mismo o el mismo source-address destination-networks valor, pero no puede utilizar una combinación y destination-networks específica source-address en más de un grupo de túneles GRE.
Para configurar un grupo de túnel GRE:
Configuración de interfaces de suscriptor de VLAN para túneles GRE de puente dinámico en puertas de enlace de acceso Wi-Fi
Para configurar interfaces de suscriptor para suscriptores de Protocolo de configuración dinámica de host (DHCP) etiquetados con VLAN en túneles de encapsulación de enrutamiento genérico (GRE) de puente dinámico:
Configuración de interfaces de suscriptor sin etiquetar para túneles GRE de puente dinámico en puertas de enlace de acceso Wi-Fi
Para configurar interfaces de suscriptor para suscriptores de Protocolo de configuración dinámica de host (DHCP) sin etiquetar en túneles de encapsulación de enrutamiento genérico (GRE) de puente dinámico: