Cisco Meraki MX60W teszt

A kis- és középvállalati kategóriában switch, security appliance és access point megoldásokban a 2006-ban alapított és 2012 decemberében $1,5 Mrd. értékben a Cisco által felvásárolt Meraki termékek nyújtanak valós alternatívát.

A kis- és középvállalati kategóriában switch, security appliance és access point megoldásokban a 2006-ban alapított és 2012 decemberében $1,5 Mrd. értékben a Cisco által felvásárolt Meraki termékek nyújtanak valós alternatívát. Az eszközök kezelése felhő alapú szolgáltatáson keresztül történik egy egyértelmű, könnyen kiismerhető és áttekinthető felület segítségével, melyen a nem hálózati szakemberek is pillanatok alatt konfigurálhatják az eszközeiket. Az üzemeltetésben, legyen az monitorozás vagy hibakeresés, iOS és Android alapú alkalmazás lehet segítségünkre.
Minthogy előzőleg a kisvállalati kategóriában egy RV220W router került bemutatásra (lásd itt: https://itfroccs.hu/cisco_rv220w), a Cisco Meraki MX szériából az MX60W termékre került a fókusz.

Kisvállalati eszközök

Középvállalati eszközök

MX60

MX60W

MX80

MX100

Stateful firewall throughput

100Mbit/s

100Mbit/s

250Mbit/s

500Mbit/s

WAN optimization cache

100MB

100MB

1TB

1TB

3G / 4G failover via USB modem

Yes

Yes

No

No

Wireless

No

Yes

No

No

Körülbelüli bekerülési ár

(Forrás: cdw.com)

$355

$605

$1.425

$3.570

Forrás: https://meraki.cisco.com/products/appliances

Az MX eszközök esetében kétféle licenc konstrukcióból lehetséges választani, amely az Enterprise license és az Advanced Security license. Az utóbbi szükséges IDS/IPS funkciók, Content filtering, Antivirus használatához (forrás: https://docs.meraki.com/display/MX/Licensing). Egy organizáción belül a két konstrukciót ötvözni nem lehet, továbbá Advanced Security licencek alkalmazása esetén Enterprise licenc hozzáadása nem engedélyezett, míg fordított esetben a már létező Enterprise licencek érvényességi ideje megfeleződik. A licenclejárat esetében még 30 napig menedzselhető az eszköz (grace period). További kellemetlenség a licencek bekerülési ára, amely határozottan nem az itthoni kisvállalatokat célozza.

Enterprise License and Support

Advanced Security License and Support

1 év

$275,00

$550,00

3 év

$550,00

$1 100,00

5 év

$825,00

$1 650,00

7 év

$1 155,00

$2 310,00

10 év

$1 650,00

$3 300,00

Forrás: www.cisco.com

Apró, de annél lényegesebb kitérőként a CVE Mitre adatbázsban Meraki, MX60 kulcsszavakra rákeresve nem érkezett találat, de ez egyáltalán nem jelenti, hogy nem is létezik sérülékenység (lsd. később a Site-to-Site VPN kapcsolatok kezelése).

Első találkozás

A kicsomagolás, az antennák csatlakoztatása és némi kábelezés után az eszköz uplink hálózat nélkül került elindításra. Az első bejelentkezéshez az eszköz szériaszáma szükséges. Ekkor beállításra kerülhetnek az alapvető interfész adatok, úgymint IP cím hozzárendelés, VLAN tagging, uplink típusa (közvetlen vagy PPPoe). Az uplink aktiválása után az eszköz csatlakozott a Meraki felhőhöz és minden figyelmeztető jel nélkül frissítette a firmware-t, majd egy-két perc erejéig nem nyújtott értékelhető szolgáltatást. A lokális adminisztrációs felületen ezt követően megjelenő Speed test menüpont alatt a kliens eszköz és az appliance közötti sebesség mérését lehet elvégezni, bár első találkozásnál nem feltétlenül ez lenne a legelső gondolat.

Az eszközök regisztrálásához tehát legalább egy hálózatot szükséges létre hozni, ennek lehetőségét a rendszer az első belépés során fel is ajánlja. Egy hálózat létrehozásánál egyszerre több eszköz is megadható.

A Meraki Cloud szolgáltatásához a regisztráció a szokásos módon elvégezhető, azaz első lépésként fiók létrehozása, ezt követi a megadott email fiókba érkező elektronikus levél alapján a regisztráció megerősítése. Ezáltal létrejött nagy és egyedüli egységként Az organizáció, mely több hálózatot, egy hálózat pedig több eszközt tartalmazhat. Az Administrators menüpontban az organizációs és hálózati szintű hozzáférések kezelése lehetséges. Az előbbi esetén Full és Readonly, míg az utóbbi esetében Full, Readonly, Monitoronly és Guest Ambassador a választási lehetőség.

 

MX60W konfigurálási lehetőségei

Az MX60W Meraki felhőbe történő regisztrálásával nem meglepő módon jóval szélesebb körű kezelési mód vált elérhetővé.

  • Addressing & VLANs

Testre szabhatjuk az eszköz nevét, működési módját (Passthrough vagy NAT), a kliensek nyomon követési módját (MAC cím vagy IP cím szerint). A VLAN-ok kezelési felülete, illetve az egyes fizikai portok működési módjának kezelése itt érhető el. Igény esetén a publikus cím dinamikus DNS regisztrálása is megvalósítható.

  • Wireless settings

Négy darab SSID megadása lehetséges statikus VLAN hozzárendelések megadása mellett. Ezen felül a működési mód lehet nyílt, WEP, WPA2 PSK, illetve WPA2 Enterprise. Ez utóbbi esetben alkalmazható a Meraki szolgáltatása vagy használható saját RADIUS szerver is. A 2,4GHz és az 5GHz frekvenciasáv együttes működése sajnos nem megvalósított.

  • DHCP

Az IP cím hozzárendeléseket VLAN szerint mutatja a rendszer, egy VLAN címzési módja lehet statikus, más DHCP szerver általi (DHCP Relay) vagy épp az eszköz által kezelt (helyi DHCP szerver). Ez esetben a helyes működéshez szükséges DHCP opciók testreszabása valósítható még meg.

  • Firewall

Nem meglepő módon a hagyományos értelemben vett tűzfalszabályok kezelése valósítható meg e menüpont alatt Layer 3-4, illetve Layer 7 szintjén. A kezelőfelületen apró tévesztésként csupán a Layer 3 kerül megemlítésre Layer 3-4 helyett, mely esetben Cisco terminológiában maradva csak standard ACL kezelése lenne megoldott, azaz csak IP címekre szűrhetnénk. Layer 7 szabályok esetén Email, Http, P2P stb. szolgáltatásokra lehet szabályokat alkotni akár előre beállított választási opciók alapján, akár egyedi beállítások megkomponálásával. A tűzfalszabályokon túl természetesen a NAT és Port-továbbítási szabályokat is itt lehet megadni.

  • Site-to-Site VPN

Több Meraki eszköz közötti titkosított csatorna létrehozását, kezelését a rendszer explicit tartalmazza, de a tényleges működés tesztelése egy eszköz rendelkezésre állása miatt nem valósulhatott meg. Mindenesetre sokatmondó tény, hogy más Cisco eszközök, illetve más gyártók felé pillanatnyilag az IKEv1 kezelése megvalósított.

  • Client VPN

Kizárólag PSK alapú L2TP támogatott a titkosított csatorna létrehozásához. Pozitívumként megemlíthető, hogy az L2TP natív támogatottságot élvez Windows, Mac OS, iOS, Android kliensek részéről. A felhasználók azonosításához a Meraki Cloud szolgáltatása, RADIUS vagy közvetlenül Active Directory szolgáltatás is megszólítható.

  • Active Directory

Domain Controller szerverek hozzáadásával identity-based group policy beállítások válnak elérhetővé.

  • Traffic shaping

Az uplink kapcsolatok (vezetékes és 3G/4G) esetében a sávszélesség használatának bekorlátozása globálisan, forgalom analizálásának engedélyezése. Előre konfigurált vagy saját paraméterek alapján az igény szerinti sávszélesség-korlátozás, DSCP bitek és prioritás állítása.

  • Security filtering

 

Az eszköz IDS/IPS funkciója a Cisco által 2013 év végén felvásárolt Sourcefire szolgáltatásán alapszik – amely a szélesebb körben használt open-source Snortra épül. Három különböző szabálybázis használható. A Connectivity az aktuális és a két megelőző évben keletkezett 10-es CVSS értékkel bíró szabályokat, a Security az aktuális és a három megelőző évben keletkezett 8-as CVSS értékkel bíró szabályokat tartalmazza. A kettő között helyezkedik el az alapértelmezett módon használt Balanced, mely a két évre visszamenőleg 9-es CVSS sérülékenységeket lefedő szabályokkal operál. A két utóbbi a Malware-CNC, a Blacklist, a SQL Injection és az Exploit-kit kategóriákat különbözteti meg.

Content filtering

Megvalósítható teljes website kategóriák blokkolása, URL filtering és a Web search filtering. Az itt beállított korlátozások minden felhasználóra érvényesülnék, mely alól kivételt képeznek az Active Directory integrációval azonosításra kerülő és a whitelist-ben szereplő kliensek.

Group polices

Egyedi beállításokat rendelhetünk az egyes VLAN hálózatokhoz pl. Traffic shaping, tűzfal beállítások, Security filtering esetében. Egyedüli lehetőségként itt találkozhatunk a szolgáltatási ablak megadásával.

Users

Abban az esetben, ha a kliens VPN vagy a Wireless szolgáltatáshoz Meraki Cloud alapú azonosítást veszünk igénybe, a felhasználók kezelése itt valósulhat meg.

Alerts & administration

Adminisztrátorok értesítése nem várt esemény következtében, naplózás (syslog), SNMP, időzóna, firmware-frissítések kezelési módja.

Monitorozási és hibakeresési lehetőségek

A Monitor gyűjtőnév alatt az eszköz monitorozásához és egy esetleges hibakereséshez szükséges és elvárható eszköztárház áll rendelkezésre. Az Overview menüpont használatával egy átfogó és könnyen áttekinthető információhalmaz áll rendelkezésre, úgymint sávszélesség-használat, csatlakozott kliensek, és a különböző „Top X” típusú statisztikák. Az Appliance status alatt már végre ténylegesen az uplink csatorna sávszélességét mérhetjük – a lokális adminisztrációs felülettel ellentétben. További lehetőségként a szokásos ping, traceroute, nslookup mellett tcpdump alapú Packet capture, Rogue AP detektálás is megtalálható – bár a Packet capture beta állapotban leledzik. Ezek jelentős része rendelkezésre áll iOS és Android mobilkliensekre szánt alkalmazás.

Értékelés

 

Mellette

Ellene

  • Esztétikus kivitelezés,
  • Könnyen kezelhető és átlátható felület,
  • A mobilkliens használható, az üzemeltetéshez szükséges alapvető funkciókat biztosítja,
  • Cisco ASA és Meraki MX60W eszközök között a Site-to-Site kapcsolat gond nélkül létrejött a kötelezően használandó beállítások megadása után,
  • WPA2-Enterprise gond nélkül működött,
  • CVE Mitre adatbázis nem tartalmazott sérülékenységről szóló bejegyzést.

 

  • Bekerülési és fenntartási (licencdíj) mértéke,
  • 3rd party (beleértve Cisco ASA) eszköz felé IKEv1 (sérülékeny és bonyolultabb az IKEv2-höz képest),
  • Wifi esetében 2,4GHz vagy 5GHz tartomány.

A fentiek alapján nálam 6 fröccsöt ér a készülék.

HOZZÁSZÓLOK A CIKKHEZ

Please enter your comment!
Please enter your name here

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..