Cloud WLAN від Cisco Meraki: що це таке і з чим його їдять

Добрий день, друзі!

Цього літа в нашій компанії заплановано сильне розширення WLAN інфраструктури, у зв'язку з чим розглядалися різні варіанти організації цього розширення: як класичні AP-Controller рішення від Cisco, так і новинки, однією з яких є Cisco Meraki.

Невелику передісторію питання, що таке Meraki, звідки воно взялося і навіщо воно потрібно, ви зможете почерпнути з цієї статті: «Хмарний спосіб організації VPN для об'єднання мереж».

Я ж, не мудруючи лукаво, зайшов на сайт Meraki і замовив собі в пробне користування набір точок доступу (4 точки доступу MR32 AP і більш дорога MR34 AP). Спочатку компанія пропонувала 14 днів trial, але досить легко вдалося продовжити цей термін в два рази, тому є можливість поганяти пристрою віддалено наближених до бойових умовах.

Запит пристроїв

Процес отримання тріальних пристроїв був досить простий: залишив заявку на сайті Meraki, зі мною зв'язався настирливий менеджер, який відправив мені на пошту посилання на форму замовлення тріалу, а потім два тижні довбав дзвінками «ну коли ж, ну коли ж?».

У підсумку я здався, заповнив форму замовлення і став чекати доставки пристроїв на адресу нашої компанії.
В той же день все обладнання було відправлено UPS' ом з Нідерландів, зі складу партнера Meraki, в Гамбург, а в той час, як посилка летіла до нас, було запропоновано завести свою мережу в панелі управління.



Забіжу вперед сказавши, що ніяких мереж заводити було не потрібно, турботливі менеджери Meraki вже все зробили за мене. Довелося лише вбити їх дефолтну сітку і зробити свою, перемістивши туди пристрою. Але про все по порядку.

Приїхали голубчики!

Буквально через пару днів компанія DPD привезла посилку.
Ура, відкриваємо!




У коробці виявилося 5 подкоробок і невелика інструкція з 10 порадами від Meraki.



Поради, яких ми не питали, ми не любимо, тому книженцію відкладаємо. Розпаковуємо подкоробки:





Як видно, моделі один від одного відрізнити неможливо, зовні пристрої виглядають досить стильно, але непомітно. Особисто мені AP від Cisco зовні подобаються куди більше, але зовнішній вигляд точок доступу — це остання річ, яку потрібно порівнювати.

Підключення та перший погляд

Беремо точку доступу, підключіть її до Ethernet розетки… вуаля! На всю округу транслюється відкрита і нічим не захищена сітка з моїм логіном в Meraki!

Підключаємося до неї і по DHCP отримуємо IP з встановленого діапазону:



Чудово, тепер ми знаємо можливий IP адресу самої точки доступу.
Ліземо по HTTPS 10.128.128.128… Вона, рідненька!
У веб-морді точок доступу можна задати деяку кількість параметрів (VLAN, канали мовлення WiFi і потужність, а також проксі, який міг би стати в нагоді, якщо б UDP у нас на фаєрволі був би закритий)

Обладнання Meraki управляється за допомогою панелі адміністрування, яка розташована на території США в штаті Каліфорнія хоститься в Інтернеті, і хитрих і незрозумілих механізмів, які дозволяють керувати девайсами. Отже, пристрої Meraki повинні мати доступ у зовнішню мережу за такими протоколами:



Окей, відкриємо потрібні порти для тестів, подивимося, що буде.

Консоль управління і всі-всі-всі

Логинимся в консоль управління Meraki:



і бачимо, що дбайливі працівники Meraki вже створили за мене всю дефолтну wIreless інфраструктуру з невідомо якими параметрами. Як я вже писав, мене це абсолютно не влаштувало, все зніс і став робити з нуля, видаливши всі AP з тестової мережі WLAN.

Видаляємо…



… і створюємо нову мережу, в яку додаємо точки доступу:



Точки доступу протягом десятків секунд отримали новий конфіг і стали роздавати SSID „ISH Test“.

Сконфігуріруем нашу хмарну інфраструктуру для того, щоб все виглядало трохи серйозніше: встановимо шифрування, ключ мережі.

Йдемо в розділ Wireless – SSIDs:



В одній бездротовій мережі може бути до 15 SSID.
Тыркаем у edit settings для першого SSID, переходимо в розділ налаштування:



Як бачимо з скріншоту, набір можливостей для аутентифікації повно.

Доступ по ключу (WPA2/WEP)
Доступ на основі таблиці MAC-адрес
WPA2-Enterprise з можливістю використовувати як внутрішній RADIUS-сервер, так і сервер Meraki. У разі використання Meraki аутентифікація виконується за допомогою облікових даних, з допомогою яких потрібно заходити в панель керування мережею.

Крім цього можна вибрати тип шифрування WPA: WPA1 and WPA2 або тільки WPA2.
Далі йде параметр Splash page – сторінка, яка відображається після авторизації WIFI мережі (такий механізм часто використовується в мережах – в аеропортах, готелях, кафе...). Перерахуємо можливості по пунктах:
  1. Прямий доступ – по дефолту – відключення Splash page
  2. Click-through – клієнти повинні тицьнути на кнопку на сторінці, яку видає їм точка доступу. Можна застосувати, наприклад, для того, щоб змусити користувачів прочитати Умови використання мережі і прийняти їх
  3. Додаткова аутентифікація за допомогою
    • сервера Meraki
    • RADIUS

    • LDAP
    • Active Directory
    • Facebook Wi-Fi
    • 3rd party credentials (в даний момент доступна тільки Google-аутентифікація)
  4. Автентифікація за допомогою SMS-коду. Перші 15 повідомлень безкоштовні, далі потрібно реєструватися на сервісі Twilio, купувати підписку і платити гроші за повідомлення (наприклад, у Німеччині 0,07$ за СМС)
  5. Billing (paid access) – опція сумісна тільки з відкритим доступом, без авторизації в першому пункті.
  6. Доступний в майбутньому варіант Systems Manager Entry – (Systems Manager Sentry splash shows the enrollment page when iOS, Android OS X, or Windows devices browse the web that are not yet enrolled in an SM network in your organization (any network).


Варіанти первинної аутентифікації малоцікаві, у нас в мережі RADIUS не використовується. Відкритий доступ з Splash page потестируем пізніше, поки що виберемо Meraki Radius. Для того, щоб використовувати Meraki RADIUS, в адмінці потрібно завести користувачів, паролі для них, вказати їх email (користувачі можуть отримувати свої облікові дані по пошті автоматично) і встановити опцію, яка включає користувачеві доступ до SSID.

Підключаємося до мережі з обліковими даними, дивимося – все працює ☺

Повертаємося до відкритої мережі, дивимося варіанти Splash Page.
  1. Direct Access – все зрозуміло, ніяких сторінок не видається, відразу потрапляємо в мережу
  2. Click through – підключаємося, в браузері бачимо пропозицію клікнути кнопку і потрапити в інтернет:


  3. З використанням додаткової аутентифікації.Налаштовуємо доступ до контролера домену:


    Тестуємо можливість аутентифікації за допомогою кнопки Test (вводимо логін-пароль користувача в AD — тест успішний). Спробуємо аутентифицироваться в WIFI c такими параметрами:



    Один з інших цікавих варіантів аутентифікації — через Facebook WIFI. Для того, щоб активувати аутентифікацію через Facebook WIFI, потрібно мати Local Business Page організації.
    Заходимо в налаштування Facebook WIFI, ставимо наступне:



    Намагаємося підключитися до WiFi, потрапляємо на сторінку аутентифікації:



    Вуаля! Користувач отримав доступ в інтернет сторінка організації на FB отримала чек-ін. Всі задоволені.

  4. Аутентифікація по SMS:



  5. Платний доступ.
    Вмикаємо опцію «Billing (paid access)», налаштовуємо Billing plans:



    І пробуємо підключитися:




    Платимо з картки, отримуємо доступ. Не уявляєте, яке спокуса було зробити WiFI платним для співробітників і студентів.
Ось і всі варіанти додаткової аутентифікації через Splash Page.
Окремо варто відзначити, що є можливість обмежити доступ до мережі з певних платформ (Android, BlackBerry, Chrome OS, iPad, iPhone, iPod, MacOS, Windows, Windows Phone, B&N Nook, other OS), а також обмежити можливість використання одного і того ж логіна на декількох пристроях одночасно.

Роутинг і трафік

WLAN точки доступу Meraki підтримують 5 типів адресації:

  1. Режим NAT, клієнти будуть отримувати IP з діапазону 10.0.0.0/8, не зможуть контактувати один з одним. В цьому режимі можна включити фільтрацію контента, яка може працювати в двох режимах: блокування матеріалів для дорослих або зазначення свого DNS, на який покладена ця функція блокування.
  2. Режим Bridge, клієнти працюють в підмережі, до якої підключена точка доступу. Підтримуються VLAN теги. Підтримується Bonjour переадресація і її відключення.
  3. Роумінг Layer 3, — цей режим поки що в стадії БЕТА — аналогічний режиму Bridge, але в цьому випадку клієнти при перемиканні з однієї точки доступу на іншу будуть зберігати свій IP (у разі, якщо точки доступу працюють в одній підмережі). Підтримуються VLAN теги. Підтримується Bonjour переадресація і її відключення.
  4. Роумінг Layer 3 з концентратором – клієнти ходять в мережу через концентратор Meraki, який являє собою окремий пристрій. Я, на жаль, його не замовляв
  5. VPN: tunnel data to a concentrator. Те ж саме, що і 4), тільки дані шифруються і ходять через зашифроване підключення VPN між AP і концентратором.


Параметри WIFI.
Тут можна вибрати частоти, на яких буде працювати точка доступу. Можливі варіанти:
  • 2,4 і 5Ghz паралельно
  • 5 Ghz тільки
  • 2,4 і 5Ghz паралельно з примусовим перемиканням пристроїв, що підтримують 5Ghz на цю частоту


Firewall і обмеження трафіку

Meraki дозволяє різати трафік на 3м і на 7м рівнях OSI.

Так виглядає вікно налаштувань:



А ось, що може Meraki:

  1. Дозволяти або забороняти трафік на 3м рівні до певних вузлів п певним портів TCP і UDP
  2. Забороняти 7м рівні трафік наступних типів:
    • Blogging (all, blogger, wordpress)
    • Email (all, gmail, host-based imap або pop or smtp, hotmail, web-based email, yahoo, outlook hotmail)

    • File sharing (all, dropbox, skydrive, icloud, windows file sharing)
    • Gaming (на вибір список ігрових серверів типу battle.net)
    • News (CNN ,NYT, Gizmodo, etc)
    • Online-backup
    • P2P
    • Social Web (FB, Twitter Вконтакте… блокувати не вміє поки що ☺ )
    • Software and security updates
    • Sport news
    • Video and music streaming (i.e. Youtube and Vimeo)
    • VoIP
    • Web file sharing (Rapishare and so on)
    • Довільний вузол HTTP
    • Довільний порт
    • Діапазон IP адрес
    • Діапазон IP і порт для них.
  3. Обмежувати канал для клієнтів (down, up all)
  4. Обмежувати канал для точки доступу
  5. Обмежувати канал для визначених додатків (всіх тих, що можна блокувати в пункті 2)


Додаткові можливості:
  • Довільний вигляд Splash page
  • Трансляція SSID для всіх точок доступу / кожної окремої, трансляція за розкладом
  • Планування каналів з можливістю автоматичного ослаблення сигналу або роботи завжди на 100% потужності, включенням/выключеием DFS каналів. Настроювання каналів на кожній з точок доступу окремо
  • Включення/відключення SNMP v2c і v3
  • Підтримка SAML
  • Різні налаштування безпеки доступу до адмінки Meraki
  • Генерація сертифікатів для Apple MDM
  • Настройка різних алертів при недоступності точок доступу, знаходженні Rogue AP, зміни конфига
  • Налаштування відправки логів на syslog-сервер
  • Автоматичне оновлення прошивок (за розкладом)
На цьому поки що можливості налаштування хмарної WIFI-мережі закінчується.

Моніторинг

Подивимося, які дані можна подивитися в моніторингу мережі

  1. Загальна інформація про точки доступу з даними про MAC, IP (зовнішній і внутрішній), адресою, кількості налаштованих SSID, кількості клієнтів в даний момент, каналом, VLAN'ах, використанні каналу з графіками.


  2. Завантаженість каналів в місці розташування точки:


  3. Перегляд таблиці ARP точки доступу
  4. Ping & Traceroute.
  5. Можна помигати лампочкою або перезавантажити AP
  6. Можна подивитися спроби логінов різних користувачів.


Meraki випустила мобільні додатки для iOS і Android, можливості у них досить мізерні, але моніторити трафік за допомогою них можна:





Особисті враження

Далі слід виключно моє ІМХО.
Пристрої, які Meraki хочуть впроваджувати по всьому світу, а разом з ними і Cisco, вийшли досить цікавими. Сфера застосування, де подібні пристрої могли б стати в нагоді, досить широка. Це і університетські кампуси, і ресторани, і готелі, може бути бібліотеки, концертні зали та інші місця скупчень сторонніх людей, яким необхідний доступ в інтернет.

Ці пристрої хороші тим, що їх можна досить легко налаштовувати, вони можуть бути розподілені географічно як завгодно. Якби я був власником якої-небудь мережі ресторанів (або IT директором або адміністратором), я б розглядав ці пристрої на пріоритетній основі.

З іншого боку, я б не став використовувати такі пристрої в типовому бізнесі, особливо, якщо має місце бути робота з сильно приватними даними. Дуже круто в один прекрасний момент зрозуміти, що невідомо коли в минулому зловмисник отримав доступ до консолі керування вашої WLAN і користувався цим в своїх корисливих цілях. Дуже круто в один прекрасний момент дізнатися, що весь трафік, який ходить від точок доступу до серверів Meraki і назад, перехоплюється невідомими.

Може бути, я занадто обережний і консервативний, але для наших цілей, висвітлених у початку статті, ми все-таки вибрали класичний варіант з WLAN Controller-му і точками доступу Cisco.

Технічні характеристики точок доступу

Точки доступу дуже схожі один на одного за характеристиками. Ось загальні:

3 radios: 2.4 and 5 GHz, dual-band WIDS/WIPS
2-stream 802.11 ac and 802.11 n, up to 1.2 Gbps
Integrated Bluetooth low energy radio
Gigabit Ethernet port
PoE: Full functionality with 802.3 af
AC adapter available
Cloud management
Network-wide visibility and control
Self-provisioning for rapid deployment
Automatic reporting
Seamless firmware updates
Enterprise security
802.1X and native Active Directory integration
Air Marshal: real-time WIPS with forensics
Stateful Layer 3-7 firewall
Identity-based group policies
Built-in security scan (NAC)

MR34 на відміну від MR32 може роздавати мережу до 1. 75Gbps і вимагає PoE+ для повного функціоналу.

Прайс

Ціна на пристрої та ліцензії запитана мною у представника, чекаю відповіді

Післямова

Точки доступу будуть в моєму розпорядженні ще як мінімум пару тижнів, тому, якщо у вас є які-небудь питання, прохання і бажання почути якісь подробиці (тест може будь провести) — пишіть в коментарях, при можливості обов'язково зроблю.
Потрібен огляд на cloud-based комутатор Meraki MS220-24?

/>
/>


<input type=«radio» id=«vv67607»
class=«radio js-field-data»
name=«variant[]»
value=«67607» />
Так
<input type=«radio» id=«vv67609»
class=«radio js-field-data»
name=«variant[]»
value=«67609» />
Немає

Проголосував 21 людина. Утрималося 4 людини.


Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.