Cisco MerakiクラウドWLAN：それが何であり何を食べるか

こんにちは、友達！



今年の夏、当社はWLANインフラストラクチャの強力な拡張を計画しており、これに関連して、この拡張を整理するためのさまざまなオプションが考慮されました。シスコの従来のAPコントローラコントローラソリューションとCisco Merakiの新製品の両方です。



Merakiが何であるか、それがどこから来たのか、なぜ必要なのかについての小さな背景については、この記事「ネットワーク用のVPNを組織するクラウドベースの方法」から学ぶことができます。



さらに苦労せずに、MerakiのWebサイトにアクセスして、トライアル用のアクセスポイントのセット（4つのアクセスポイントMR32 APとより高価なMR34 AP）を注文しました。 当初、同社は14日間のトライアルを提供していましたが、この期間を半分に延長することは非常に簡単であったため、デバイスを戦闘条件に近づけて遠隔操作することが可能です。

デバイスリクエスト

トライアルデバイスを入手するプロセスは非常に簡単でした。私はMerakiのWebサイトにリクエストを残し、迷惑なマネージャーが私に連絡し、トライアル注文フォームへのリンクをメールで送ってくれました。その後、2週間、電話で「うーん、いつ、いつ、いつ？」



その結果、私はあきらめて注文書に記入し、会社の住所にデバイスが届くのを待ち始めました。

同じ日に、すべての機器がUPSからオランダからMerakiのパートナーの倉庫からハンブルクに送られ、荷物が私たちに飛んでいる間に、コントロールパネルでネットワークを開始することが提案されました。







ネットワークを開始する必要はなく、慎重なMerakiマネージャーがすでにすべてを行っていると言って、自分よりも先に進みます。 デフォルトのグリッドを削除し、そこにデバイスを移動して独自のグリッドを作成する必要がありました。 しかし、まず最初に。

親愛なる来て！

数日後、DPDがパッケージを持ち込みました。

やったー









ボックスには、5つのサブボックスと、Merakiからの10のヒントを含む小さな説明がありました。







私たちは尋ねなかったアドバイスが好きではないので、本を延期しました。 箱を開梱します。











ご覧のとおり、モデルを互いに区別することは不可能です;外部では、デバイスはかなりスタイリッシュに見えますが、目立たないように見えます。 個人的には、シスコのAPの方がはるかに多いようですが、アクセスポイントの外観を比較するのは最後です。

接続と一見

アクセスポイントを取得し、イーサネットコンセントに接続します... Merakiにログインしたオープンで保護されていないネットが、地区全体に放送されています！



これに接続し、DHCPによって事前定義された範囲からIPを取得します。







さて、これでアクセスポイント自体の可能なIPアドレスがわかりました。

私たちは10.128.128.128のHTTPSに登ります...彼女、ダーリン！

アクセスポイントのWebフェイスでは、いくつかの設定を指定できます（VLAN、WiFiブロードキャストチャネルと電力、プロキシ、ファイアウォールのUDPが閉じられている場合に役立つ可能性があります）



Merakiの機器は、カリフォルニア州の米国領土にある管理パネルを使用して制御され、インターネット上でホストされ、デバイスを管理するための巧妙でわかりにくいメカニズムを備えています。 したがって、Merakiデバイスは次のプロトコルを使用して外部ネットワークにアクセスできる必要があります。







さて、テストに必要なポートを開いて、何が起こるか見てみましょう。

管理コンソールとすべてすべて

Meraki管理コンソールにログインします。







そして、Merakiの思いやりのある従業員は、どのパラメーターも不明なデフォルトのワイヤレスインフラストラクチャ全体を既に作成していることがわかります。 すでに書いたように、これは基本的に私に合わず、すべてを破壊し、ゼロからテストを開始し、テストWLANネットワークからすべてのAPを削除しました。



削除...







...そして、アクセスポイントを追加する新しいネットワークを作成します。







アクセスポイントは数十秒以内に新しい設定を受信し、SSID「ISHテスト」の配布を開始しました。



クラウドインフラストラクチャを構成して、すべてがもう少し深刻に見えるようにします。暗号化、ネットワークキーをインストールします。



[ワイヤレス-SSID]セクションに移動します。







1つのワイヤレスネットワークには、最大15個のSSIDを設定できます。

最初のSSIDの設定を編集し、設定セクションに移動します。







スクリーンショットからわかるように、認証オプションのセットは完了しています。



キーアクセス（WPA2 / WEP）

MACアドレスベースのアクセス

内部RADIUSサーバーとMerakiサーバーの両方を使用できるWPA2-Enterprise。 Merakiを使用する場合、認証は資格情報を使用して実行されます。資格情報を使用して、ネットワークコントロールパネルに移動する必要があります。





さらに、WPA暗号化のタイプ（WPA1とWPA2、またはWPA2のみ）を選択できます。

次に、スプ​​ラッシュページパラメータ-WIFIネットワークでの承認後に表示されるページ（このメカニズムは、空港、ホテル、カフェなどの公共ネットワークでよく使用されます）です。 ポイントごとに可能性をリストします。

1. 直接アクセス-デフォルトでは、スプラッシュページを無効にします
2. クリックスルー-クライアントは、アクセスポイントが提供するページでボタンを押す必要があります。 たとえば、ユーザーにネットワークの利用規約を読んで同意してもらうために適用できます
3. との追加認証
   
   
   • Merakiサーバー
   • RADIUS
   • LDAP
   • Active Directory
   • Facebook Wi-Fi
   • サードパーティの資格情報（現在Google認証のみが利用可能です）
   
   
   
4. SMSコードを入力することによる認証。 最初の15件のメッセージは無料です。Twilioサービスに登録して、サブスクリプションを購入し、メッセージにお金を払う必要があります（たとえば、ドイツではSMSで0.07ドル）
5. 課金（有料アクセス）-このオプションは、最初の段落の承認なしで、オープンアクセスとのみ互換性があります。
6. Systems Manager Entryの将来のオプションは次のとおりです（Systems Manager Sentryのスプラッシュは、組織のSMネットワーク（任意のネットワーク）にまだ登録されていないWebをiOS、Android、OS X、またはWindowsデバイスが参照するときに登録ページを表示します。

プライマリ認証オプションにはほとんど関心がありません。ネットワークではRADIUSを使用しません。 後でSplashページからオープンアクセスをテストしますが、今はMeraki Radiusを選択します。 Meraki RADIUSを使用するには、ユーザーを管理パネルに入力し、パスワードを入力し、メールを指定し（ユーザーは資格情報をメールで自動的に受信できます）、SSIDへのユーザーアクセスを有効にするオプションを設定する必要があります。



私たちは資格情報でネットワークに接続しています、私たちは見ています-すべてが機能しています



オープンネットワークに戻り、スプラッシュページのオプションを見てください。

1. 直接アクセス-すべてが明確で、ページが発行されず、すぐにネットワークに到達します
2. クリックスルー-接続すると、ブラウザにボタンをクリックしてインターネットにアクセスするための提案が表示されます。
   
   
   
   
   
   
3. 追加認証の使用：ドメインコントローラーへのアクセスを構成します。
   
   
   
   
   
   [テスト]ボタンを使用して認証の可能性をテストします（ADのユーザーのユーザー名とパスワードを入力します-テストは成功です）。 次の設定でWIFIの認証を試みましょう。
   
   
   
   
   
   
   
   他の興味深い認証オプションの1つに、Facebook WIFIがあります。 Facebook WIFI経由で認証を有効にするには、ローカルビジネスページ組織が必要です。
   
   Facebook WIFI設定に移動し、次を設定します。
   
   
   
   
   
   
   
   WiFiに接続しようとすると、認証ページが表示されます。
   
   
   
   
   
   
   
   出来上がり！ ユーザーがインターネットにアクセスすると、FBの組織のページがチェックインを受け取りました。 誰もが幸せです。
   
   
   
   
4. SMS認証：
   
   
   
   
   
   
   
   
5. 有料アクセス。
   
   「請求（有料アクセス）」オプションをオンにし、請求プランを設定します。
   
   
   
   
   
   
   
   そして、接続してみてください：
   
   
   
   
   
   
   
   
   
   カードから支払い、アクセスを取得します。 スタッフと学生にWiFIを支払う誘惑を想像することはできません。
   
   

これが、Splash Pageを介した追加認証のすべてのオプションです。

それとは別に、特定のプラットフォーム（Android、BlackBerry、Chrome OS、iPad、iPhone、iPod、MacOS、Windows、Windows Phone、B＆N Nook、その他のOS）からのネットワークへのアクセスを制限し、同じものを使用する機能を制限できることに注意してください複数のデバイスで同時に同じログイン。

ルーティングとトラフィック

Meraki WLANアクセスポイントは、5種類のアドレス指定をサポートしています。

1. NATモードでは、クライアントは10.0.0.0/8の範囲からIPを受信し、相互に連絡することはできません。 このモードでは、コンテンツフィルタリングを有効にできます。これは、アダルトコンテンツのブロックまたはこのブロック機能を担当する独自のDNSの指定の2つのモードで機能します。
2. ブリッジモードでは、クライアントはアクセスポイントが接続されているサブネットで動作します。 VLANタグがサポートされています。 Bonjourの転送と無効化がサポートされています。
3. レイヤー3ローミング-このモードはまだベータ段階です-ブリッジモードに似ていますが、この場合、クライアントはアクセスポイント間で切り替えるときにIPを切り替えます（アクセスポイントが同じサブネットで動作する場合）。 VLANタグがサポートされています。 Bonjourの転送と無効化がサポートされています。
4. ハブを使用したレイヤー3ローミング-クライアントは、別個のデバイスであるMerakiハブを介してネットワークにアクセスします。 残念ながら、注文しませんでした
5. VPN：コンセントレータへのトンネルデータ。 4）と同様に、データのみが暗号化され、APとハブ間の暗号化されたVPN接続を通過します。

WIFI設定。

ここで、アクセスポイントが動作する周波数を選択できます。 可能なオプション：

• 2.4および5Ghzの並列
• 5 GHzのみ
• この周波数への5Ghzをサポートするデバイスの強制切り替えと並行した2.4および5Ghz

ファイアウォールとトラフィックの制限

Merakiでは、3mおよび7m OSIレベルでトラフィックを削減できます。



設定ウィンドウは次のようになります。







そして、Merakiでできることは次のとおりです。

1. 特定のホストおよび特定のTCPおよびUDPポートへの第3レベルのトラフィックを許可または禁止する
2. レベル7で次の種類のトラフィックを拒否します。
   
   
   • ブログ（すべて、ブロガー、ワードプレス）
   • メール（すべて、Gmail、ホストベースのimapまたはpopまたはsmtp、ホットメール、ウェブベースのメール、yahoo、outlook、hotmail）
   • ファイル共有（すべて、ドロップボックス、スカイドライブ、icloud、Windowsファイル共有）
   • ゲーム（battle.netなどのゲームサーバーのリストの選択）
   • ニュース（CNN、NYT、Gizmodoなど）
   • オンラインバックアップ
   • P2P
   • ソーシャルWeb（FB、Twitter ... VKontakteはまだブロックできません）
   • ソフトウェアおよびウイルス対策の更新
   • スポーツニュース
   • ビデオと音楽のストリーミング（YouTubeやVimeoなど）
   • VoIP
   • Webファイル共有（Rapishareなど）
   • 任意のHTTPノード
   • カスタムポート
   • IPアドレス範囲
   • IPアドレスの範囲とそれらのポート。
3. クライアントのチャネルを制限する（ダウン、アップ、すべて）
4. アクセスポイントの制限チャネル
5. 特定のアプリケーション（段落2でブロックできるすべてのアプリケーション）のチャネルを制限する

追加機能：

• カスタムビューのスプラッシュページ
• すべてのアクセスポイント/各個人のスケジュールされたブロードキャストのSSIDをブロードキャストします。
• DFSチャネルをオン/オフすることにより、信号を自動的に減衰させるか、常に100％の電力で動作する機能を備えたチャネル計画。 各アクセスポイントで個別にチャネルを設定する
• SNMP v2cおよびv3の有効化/無効化
• SAMLサポート
• Meraki管理パネルにアクセスするためのさまざまなセキュリティ設定
• Apple MDMの証明書生成
• アクセスポイントが利用できない場合のさまざまなアラートの設定、不正APの検出、構成の変更
• syslogサーバーへのログ送信の構成
• 自動ファームウェア更新（予定）

この時点で、クラウドWIFIネットワークをセットアップする可能性は終わります。

モニタリング

ネットワーク監視で表示できるデータを見てみましょう

1. MAC、IP（外部および内部）、アドレス、構成されたSSIDの数、現時点でのクライアント数、チャネル、VLAN、グラフを使用したチャネル使用に関するデータを含むアクセスポイントに関する一般情報。
   
   
   
   
   
   
2. ポイントロケーションでのチャネルの負荷：
   
   
   
   
   
   
3. ARPテーブルアクセスポイントを表示する
4. PingおよびTraceroute。
5. ライトを点滅させるか、APを再​​起動できます
6. さまざまなユーザーのログイン試行を確認できます。

MerakiはiOSおよびAndroid用のモバイルアプリケーションをリリースしましたが、それらの機能はかなり不足していますが、それらを使用してトラフィックを監視できます。

個人的な印象

続くのはもっぱら私見です。

Merakiが世界中で実装したいと考えているデバイス、そしてそれとともに、Ciscoは非常に興味深いことが判明しました。 そのようなデバイスが便利になる範囲は非常に広い。 これらは、大学のキャンパス、レストラン、ホテル、図書館、コンサートホール、その他インターネットアクセスが必要な見知らぬ人の混雑した場所です。



これらのデバイスは、非常に簡単に構成でき、好きなように地理的に分散できるという点で優れています。 私がレストランチェーンの所有者（またはITディレクターまたは管理者）であれば、これらのデバイスを優先的に検討します。



一方、特に非常にプライベートなデータを扱う作業がある場合、私はそのようなデバイスを典型的なビジネスで使用しません。 過去に攻撃者がWLANの管理コンソールにアクセスし、それを自分の利益のためにいつ使用したかがわからないことを理解することは、ある時点ではそれほどクールではありません。 ある時点では、アクセスポイントからMerakiサーバーに行き帰るすべてのトラフィックが未知の人によって傍受されることを見つけるのはそれほどクールではありません。



たぶん用心深く保守的かもしれませんが、記事の冒頭で説明した目的のために、WLANコントローラーとシスコのアクセスポイントを備えたクラシックバージョンを選択しました。

アクセスポイントの仕様

アクセスポイントの特性は非常に似ています。 一般的なものは次のとおりです。



3つの無線：2.4および5 GHz、デュアルバンドWIDS / WIPS

2ストリーム802.11acおよび802.11n、最大1.2 Gbps

統合されたBluetooth低エネルギー無線

ギガビットイーサネットポート

PoE：802.3afによるフル機能

利用可能なACアダプタ

クラウド管理

ネットワーク全体の可視性と制御

迅速な展開のためのセルフプロビジョニング

自動報告

シームレスなファームウェア更新

エンタープライズセキュリティ

802.1XとネイティブActive Directoryの統合

Air Marshal：フォレンジックによるリアルタイムWIPS

ステートフルレイヤー3-7ファイアウォール

アイデンティティベースのグループポリシー

組み込みのウ​​イルス対策スキャン（NAC）



MR32とは異なり、MR34は最大1.75Gbpsのネットワークを配信でき、完全な機能を実現するにはPoE +が必要です。

価格表

私たちの地域のMerakiサプライヤーはこのような価格を提示しました：

MR32ごとに430ユーロ

MR34で750€

各デバイスの5年間のEnterprise Cloud Controllerライセンスで160ユーロ。



全体として、悪くはありません。 価格は、デバイス自体にとっては適切であり（CiscoのAP 16XXおよび36XXの価格に匹敵）、ライセンスの価格もそれほど高くありません。

あとがき

アクセスポイントは、少なくとも2週間以上は自由に使用できます。質問、リクエスト、詳細を聞きたいという要望がある場合（何らかのテストを行うことができます）-コメントを書き込んでください。