Облачные сети WLAN от Cisco meraki с: что это такое и с...

Облачные сети WLAN от Cisco meraki с: что это такое и с чем его едят

500
ПОДЕЛИТЬСЯ

Хороший день, друзья!
Сиим в летнюю пору мы планируем мощное расширение инфраструктуры WLAN, и потому числилось различные варианты организации данной экспансии: классическая АП-контроллер решений от Cisco и новейшие поступления, на одной из которых является Cisco meraki с.
Некие исторические предпосылки, что meraki с, откуда он взялся и для чего же она нужна, вы можете почерпнуть из данной статьи: «Пасмурный метод организации VPN для подключение к сетям».
Вначале, компания предложила 14 дней триал, но достаточно просто удалось продлить срок в два раза, потому существует возможность управлять устройством дистанционно в приближенных к боевым критериях. Я, не мудрствуя лукаво, пошел в meraki с веб-сайта и заказал пробный на внедрение набора точек доступа (4 точка доступа MR34 АП АП MR32 и дороже).
Запрос устройств
Процесс получения пробного устройства был достаточно прост: оставьте заявку на meraki с веб-сайте, со мной связался раздражает менеджера, который послал мне электронное письмо, ссылка на форму заказа пробных, а потом две недельки долбил звонками «ну когда, ну когда же?».
В тот же день все оборудование было отгружено ИБП’ ом из Голландии, склад meraki с партнером, Гамбург, и в то время, как посылка летела к нам, было предложено иметь свою сеть в панели управления. В конце концов я сдался, заполнить форму заказа и прождала доставку устройства в адресок нашей компании.

Но обо всем по порядку. Забегая вперед говорю, что нет сетей нет необходимости, заботливые менеджеры meraki с уже все сделали за меня. Лишь пришлось уничтожить их по умолчанию сетки и сделать методом перемещения устройства.
Ура, открытие! Пришли голубчики! Практически пару дней ДПД принесли посылку.

В коробке было 5 pokerobot и маленький мануал с 10 советов от meraki с.

Советы, которые мы не просили, нам не нравится, поэтому что маг-с задержкой. Распакуйте подготовки:

Лично я с AP от Cisco снаружи нравится еще больше, но возникновение точек доступа-это крайняя вещь, которую вы желаете сопоставить. Как видно, моделей друг от друга нереально отличить снаружи устройство смотрится достаточно модно, но неброско.
вуаля! Весь район транслируется открытые и незащищенные сетки с моего логина в meraki! Подключение и 1-ый взор
Берем точку доступа, подключить ее к Ethernet розетке…
Подключиться к нему и получить по DHCP IP из данного спектра:

Подымитесь на https 10.128.128.128… она родимая! Ну, сейчас мы знаем вероятные IP-адресок точки доступа. В интернет-морду точки доступа, вы сможете указать ряд характеристик (VLAN, и трансляция каналов WiFi и власть, и прокси, которая может быть полезна, раз udp на брандмауэре была бы закрыта)
В meraki с оборудованием осуществляется с помощью панели администрирования, который размещен на местности США в штате Калифорния, размещенных в вебе, и хитрость, и массивные механизмы, которые разрешают управлять устройствами. Потому, meraki с устройств должны иметь доступ во внешнюю сеть через последующие протоколы:

Хорошо, давайте откроем нужные порты для тестов, поглядеть, что происходит.
Консоль управления и все
Войдите в консоль управления meraki с:

и мы лицезреем, что заботливые сотрудники meraki с уже сделал для меня все по умолчанию беспроводной инфраструктуры с непойми каким характеристикам. Как я уже писал, я принципиально не устраивает, все снесли и начали делать с нуля, удалив все АП от тестирования WLAN сети.
Удалить…

… и «сделать новейшую сеть», которая добавлена точек доступа:

Точек доступа в пределах 10-ов секунд получил новейший конфиг и начал распространять код SSID «ИШ тест».
Мы собираемся настроить нашу пасмурную инфраструктуру, чтоб гарантировать, что все выглядели незначительно серьезнее: установить ключ шифрования сети.
Заходим в раздел беспроводных идентификаторов SSID:

Terquem в редактирование опций для первого идентификатора SSID, перейти к его настройкам: В одной беспроводной сети может быть до 15 идентификатор SSID.

Как вы сможете созидать из скриншота, спектр вариантов для аутентификации на сто процентов.
В случае meraki с проверка подлинности выполняется с внедрением учетных данных, с которыми для вас необходимо зайти в Панель управления сеть. Ключ доступа (WPA2/шифрование WEP)
Доступ на базе таблицы MAC-адресов
WPA2-предприятие с возможностью применять внутренний Radius-сервер, и сервер meraki с.

Перечислим функции: Не считая того, вы сможете выбрать тип шифрования ВПА: WPA1 и WPA2 либо WPA2 лишь. Тогда есть вариант Сплэш-страничка – страничка, которая отображается опосля входа в WiFi сеть (этот механизм нередко употребляется в общественных сетей в аэропортах, гостиницах, кафе…).
Прямой доступ – по умолчанию – отключить Сплеш странички
Может применяться, к примеру, чтоб вынудить юзеров прочитать Условия использования и принять их По клику – клиентам необходимо тыкать клавишу на страничке, которая дает им точку доступа.
Доборная аутентификация с помощью

сервер meraki с
Радиус
Протокол LDAP
Активный Каталог
Facebook Как Wi-Fi Веб
3-й участник учетных данных (в настоящее время доступна лишь в Google-аутентификации)

Аутентификации методом ввода SMS-кода. 1-ые 15 Сообщений безвозмездно, потом вы должны зарегистрироваться на службу twilio, брать абонемент и платить за сообщения (к примеру, в Германии 0,07$ за SMS)
Биллинг (платный доступ) – функция совместима лишь с открытым доступом, без авторизации в первом пт.
Доступна в будущем функция системы входа-менеджер – (менеджер по системам Сентри всплеск указывает страничку регистрации когда iOS, дроид, с OS X либо Windows устройствах просматривать интернет-странички, которые еще не зачислены в см Сеть в Вашей организации (сети).

Для того, чтоб применять meraki с радиусом, потом администратор необходимо сделать юзеров, пароли, указать свою электронную почту (юзеры могут получить учетные данные по почте автоматом) и установить опцию, которая включает юзеру доступ к SSID. Открыть доступ из заставки странички, чтоб получить исцеление позднее, а на данный момент давайте meraki с выбрать Радиус. Вариантов для первичной аутентификации не достаточно интересует, у нас есть сеть радиус не употребляется.
Подключение к сети с учетными данными, смотрите – все работает как Шарм
Возвратиться в открыть веб, поглядеть варианты всплеск странички.
Прямой доступ – все верно, никакой странички не выдаются, сходу попасть в сеть
Щелкните через подключение в вашем браузере узреть предложение, надавить клавишу и получить в Веб:

С внедрением доборной аутентификации.Пользовательский доступ к контроллеру домена:

Тест проверки подлинности, используя клавишу Test (введите логин пароль хоть какого юзера в AD — тест пройден). Давайте попробуем аутентифицировать к Wi-Fi с этими опциями:

Зайдите в опции беспроводной доступ в Facebook, поставить последующее: Для того, чтоб активировать авторизацию через Facebook бесплатный Wi-Fi, для вас нужен местный бизнес-страничке организации. Один из увлекательных вариантов аутентификации через Facebook беспроводным доступом в Веб.

Пробую подключиться к WiFi, попасть на страничку аутентификации:

Вуаля! Все довольны. Юзер получил доступ к Вебу, организация странички на FB есть регистрация.

Аутентификация через SMS:

Платный доступ. Включаем опцию «Биллинг (платный доступ)», настраиваемые тарифные планы:

И испытать подключиться:

Оплачиваете картой, получаете доступ. Не могу представить, соблазн был сделать платный Беспроводной доступ в Веб для служащих и студентов.

Это все варианты для доборной аутентификации через страничку-заставку. Стоит отметить, что есть возможность ограничить доступ к сети с определенных платформ (Android, BlackBerry и ОС Chrome, для iPad, для iPhone, для iPod, для MacOS, Windows и Windows Телефон, Б&Н закуток, остальных ОС), и ограничить возможность использования того же самого идентификатора юзера на пары устройствах сразу.
Маршрутизации и трафика
WLAN точка доступа meraki с поддержкой 5 типов адресации:

Режим NAT, то клиенты будут получать IP-спектр от 10.0.0.0/8 не сумеют связаться друг с другом. В этом режиме, вы сможете включить фильтрацию содержимого, который может работать в 2-ух режимах: Блокировка контента для взрослых либо указание DNS-поручить эту функцию заблокировать.
Поддерживает теги VLAN. Поддерживает Бонжур экспедирование и отключение. Используя режим моста, клиенты работают в сабсети, к которой подключена точка доступа.
Поддерживает теги VLAN. Слой 3 роуминге, — этот режим все еще в стадии бета-тестирования, похож на режим моста, но в этом случае клиенты при переключении от одной точки доступа к иной сохранит их IP (раз точки доступа находятся в одной сабсети). Поддерживает Бонжур экспедирование и отключение.
Слой 3 роуминге с хаб – клиенты прогуливаются в сеть через хаб meraki с, который является отдельным устройством. Я, к огорчению, не порядок
То же самое, и 4), лишь данные шифруются и проходят через зашифрованное VPN-соединение меж точкой доступа и хаб. VPN: с помощью тоннеля данных в концентратор.

Опции беспроводной доступ в веб. Тут вы сможете выбрать частоты, на которых работают точки доступа. Вероятные варианты:

2.4 ГГц и 5 ГГц сразу
5 ГГц лишь
2.4 ГГц и 5 ГГц сразу с принудительной коммутации устройств, поддерживающих 5 ГГц на данной частоте

Брандмауэр и ограничения трафика
Meraki с дозволяет уменьшить трафик на 3 и на 7 ИНМ уровнях.
Так смотрится окно опций:

Но, что может meraki с:

Чтоб разрешить либо запретить трафик на 3м уровне определенных узлов N на определенные TCP и udp порты
Банить на 7-й уровень, последующие типы трафика:

Блоги (все, блоггер, вордпресс)
Электронной почты (все, как Gmail, размещенное IMAP либо Pop либо SMTP, почта Hotmail, интернет-почту, Yahoo и Outlook, в службе Hotmail)
Общий доступ к файлам (все, как Dropbox, SkyDrive, а также с iCloud, общего доступа к файлам Windows)
Игровой (со перечнем игровых серверов типа battle.net)
д.) Новостей (Си-Эн-Эн ,Нью-Йорк Таймс, веб-сайт gizmodo и т.
Онлайн-резервное копирование
Р2Р
не знаю, как перекрыть еще ☺ ) Социальные сети (ФБ, Твиттер, Вконтакте…
Программного обеспечения и антивирусных обновлений
Анонсы спорта
Потокового воспроизведения видео и музыки (к примеру, YouTube и Vimeo)
Для VoIP
Интернет-совместного использования файлов (Rapishare и так дальше)
Случайный узел и http
Случайный порт
Спектр IP-адресов
Спектр IP-адресов и портов для их.

Ограничить канал для клиентов (вниз, ввысь)
Ограничить канал для точки доступа
Ограничить канал для определенных приложений (тех, которые можно заблокировать в пт 2)

Доп сервисы:

Случайный вид странички-заставки
Широковещательный SSID для точки доступа все / каждый, расписания вещания
Планирование каналов с автоматическим затуханием либо постоянно работать на 100% мощности, вкл/wykluczeniem ДПП каналов. Настроить каналы для каждой точки доступа раздельно
Включить/отключить SNMP v2c и V3
Поддержка для saml
Разные характеристики сохранности доступ к админке meraki с
Генерация сертификатов для Apple МДМ
Настройка разных предупреждения за недоступности точек доступа, неавторизованных точек доступа отыскать конфиг конфигурации
Настроить отправку логов на syslog сервер
Автоматическое обновление прошивки (по графику)
В этом случае, в то время как настраиваемый пасмурной сети Wi-Fi сети заканчивается.
Мониторинг
Давайте поглядим, какие данные вы сможете узреть в сетевом мониторе

Общественная информация о точке доступа с данными на Mac и IP (наружный и внутренний), адресок, количество сконфигурированных идентификаторов SSID, количество клиентов на данный момент, канала, сети VLAN Ах, канал с графиками.

Заполняемость каналов при расположении точек:

Просмотреть таблицу ARP точки доступа
Функция Ping И Трассировку.
Может быть мигнул светом лампы либо перезагрузить АП
Вы сможете узреть пробы логины от различных юзеров.

Meraki с выпустила мобильные приложения для iOS и Android, способности довольно скудные, но для мониторинга трафика через их:

Это и институтские городки, рестораны, и гостиницы, могут быть в библиотеках, концертных залах и остальных местах скопления незнакомых людей, которым нужен доступ к Вебу. Устройства, которые желают ввести meraki с по всему миру, наряду с Cisco, является достаточно увлекательным. Личные воспоминания
Дальше следует лишь мое ИМХО. Область внедрения, где такие устройства могут быть полезны, довольно широкий.
Раз бы я был обладателем ресторана цепи (либо ее директора либо админа), я желал бы разглядеть этих устройств на приоритетной базе. Эти устройства неплохи тем, что они могут быть достаточно просто установить, они могут быть географически распределены как угодно.
С иной стороны, я бы не стал применять такие устройства в традиционном бизнесе, в особенности раз мы работаем с высоко личные данные. Чрезвычайно не круто в один момент выяснить, что весь трафик, который идет от точки доступа к meraki с сервера и обратно, перехвачен неизвестными. Чрезвычайно не круто в один красивый момент осознать, что никто не знает, когда крайний злодей получил доступ к консоли управления беспроводной сети и применять его в собственных корыстных целях.
Может быть, я чрезвычайно усмотрительным и консервативным, но для наших целей, обрисованных в начале статьи, мы все же избрали классический вариант с контроллера WLAN и точек доступа от Cisco.
Технические свойства точки доступа
Точки доступа представляют собой чрезвычайно похожи друг на друга по чертам. Вот Общее:
3 радио: 2.4 и 5 ГГц двухдиапазонная wids, представленным/МСЗ
2-поток 802.11 AC и 802.11 N, до 1.2 Гбит / с
Интегрированный Bluetooth низкой энергии радио
Гигабитный порт Ethernet
Разработка PoE: полная функциональность с 802.3 AF
Адаптер переменного тока доступен
Управление облаком
Видимость всей сети и контроль
Самостоятельная подготовка для скорого развертывания
Автоматическое создание отчетов
Бесшовные обновления прошивки
Сохранности компании
802.1 X и родной активной интеграции каталогов
Маршал авиации: в настоящем времени МСЗ с криминалистикой
Брандмауэр с отслеживанием состояния слоя 3-7
Идентичности на базе групповых политик
Встроенного антивирусного сканирования (НАК)
MR34 в отличие от MR32 может раздавать сеть на 1. 75Gbps и просит PoE+ для полной функциональности.
Стоимость
Стоимость устройства и лицензионный просила меня представителю, жду ответа
Послесловие
Точки доступа будут в моем распоряжении еще как минимум пару недель, так что раз у вас есть какие-или вопросцы, просьбы и желания услышать какие-то подробности (может быть, некие тесты провести) — пишите в комментах, когда это может быть, постоянно будет. Воздержался 1 человек. Лишь зарегистрированные юзеры могут участвовать в опросе. Да

Нет

Проголосовали 13 человек. Необходимо ли мне обследование на пасмурной переключатель meraki с MS220-24? Пожалуйста, войдите. habrahabr.ru