A kis- és középvállalati kategóriában switch, security appliance és access point megoldásokban a 2006-ban alapított és 2012 decemberében $1,5 Mrd. értékben a Cisco által felvásárolt Meraki termékek nyújtanak valós alternatívát.
A kis- és középvállalati kategóriában switch, security appliance és access point megoldásokban a 2006-ban alapított és 2012 decemberében $1,5 Mrd. értékben a Cisco által felvásárolt Meraki termékek nyújtanak valós alternatívát. Az eszközök kezelése felhő alapú szolgáltatáson keresztül történik egy egyértelmű, könnyen kiismerhető és áttekinthető felület segítségével, melyen a nem hálózati szakemberek is pillanatok alatt konfigurálhatják az eszközeiket. Az üzemeltetésben, legyen az monitorozás vagy hibakeresés, iOS és Android alapú alkalmazás lehet segítségünkre.
Minthogy előzőleg a kisvállalati kategóriában egy RV220W router került bemutatásra (lásd itt: https://itfroccs.hu/cisco_rv220w), a Cisco Meraki MX szériából az MX60W termékre került a fókusz.
|
Kisvállalati eszközök |
Középvállalati eszközök |
||
MX60 |
MX60W |
MX80 |
MX100 |
|
|
|
|
|
|
Stateful firewall throughput |
100Mbit/s |
100Mbit/s |
250Mbit/s |
500Mbit/s |
WAN optimization cache |
100MB |
100MB |
1TB |
1TB |
3G / 4G failover via USB modem |
Yes |
Yes |
No |
No |
Wireless |
No |
Yes |
No |
No |
Körülbelüli bekerülési ár (Forrás: cdw.com) |
$355 |
$605 |
$1.425 |
$3.570 |
Forrás: https://meraki.cisco.com/products/appliances |
Az MX eszközök esetében kétféle licenc konstrukcióból lehetséges választani, amely az Enterprise license és az Advanced Security license. Az utóbbi szükséges IDS/IPS funkciók, Content filtering, Antivirus használatához (forrás: https://docs.meraki.com/display/MX/Licensing). Egy organizáción belül a két konstrukciót ötvözni nem lehet, továbbá Advanced Security licencek alkalmazása esetén Enterprise licenc hozzáadása nem engedélyezett, míg fordított esetben a már létező Enterprise licencek érvényességi ideje megfeleződik. A licenclejárat esetében még 30 napig menedzselhető az eszköz (grace period). További kellemetlenség a licencek bekerülési ára, amely határozottan nem az itthoni kisvállalatokat célozza.
|
Enterprise License and Support |
Advanced Security License and Support |
1 év |
$275,00 |
$550,00 |
3 év |
$550,00 |
$1 100,00 |
5 év |
$825,00 |
$1 650,00 |
7 év |
$1 155,00 |
$2 310,00 |
10 év |
$1 650,00 |
$3 300,00 |
Forrás: www.cisco.com |
Apró, de annél lényegesebb kitérőként a CVE Mitre adatbázsban Meraki, MX60 kulcsszavakra rákeresve nem érkezett találat, de ez egyáltalán nem jelenti, hogy nem is létezik sérülékenység (lsd. később a Site-to-Site VPN kapcsolatok kezelése).
Első találkozás
A kicsomagolás, az antennák csatlakoztatása és némi kábelezés után az eszköz uplink hálózat nélkül került elindításra. Az első bejelentkezéshez az eszköz szériaszáma szükséges. Ekkor beállításra kerülhetnek az alapvető interfész adatok, úgymint IP cím hozzárendelés, VLAN tagging, uplink típusa (közvetlen vagy PPPoe). Az uplink aktiválása után az eszköz csatlakozott a Meraki felhőhöz és minden figyelmeztető jel nélkül frissítette a firmware-t, majd egy-két perc erejéig nem nyújtott értékelhető szolgáltatást. A lokális adminisztrációs felületen ezt követően megjelenő Speed test menüpont alatt a kliens eszköz és az appliance közötti sebesség mérését lehet elvégezni, bár első találkozásnál nem feltétlenül ez lenne a legelső gondolat.
Az eszközök regisztrálásához tehát legalább egy hálózatot szükséges létre hozni, ennek lehetőségét a rendszer az első belépés során fel is ajánlja. Egy hálózat létrehozásánál egyszerre több eszköz is megadható.
A Meraki Cloud szolgáltatásához a regisztráció a szokásos módon elvégezhető, azaz első lépésként fiók létrehozása, ezt követi a megadott email fiókba érkező elektronikus levél alapján a regisztráció megerősítése. Ezáltal létrejött nagy és egyedüli egységként Az organizáció, mely több hálózatot, egy hálózat pedig több eszközt tartalmazhat. Az Administrators menüpontban az organizációs és hálózati szintű hozzáférések kezelése lehetséges. Az előbbi esetén Full és Readonly, míg az utóbbi esetében Full, Readonly, Monitoronly és Guest Ambassador a választási lehetőség.
MX60W konfigurálási lehetőségei
Az MX60W Meraki felhőbe történő regisztrálásával nem meglepő módon jóval szélesebb körű kezelési mód vált elérhetővé.
- Addressing & VLANs
Testre szabhatjuk az eszköz nevét, működési módját (Passthrough vagy NAT), a kliensek nyomon követési módját (MAC cím vagy IP cím szerint). A VLAN-ok kezelési felülete, illetve az egyes fizikai portok működési módjának kezelése itt érhető el. Igény esetén a publikus cím dinamikus DNS regisztrálása is megvalósítható.
- Wireless settings
Négy darab SSID megadása lehetséges statikus VLAN hozzárendelések megadása mellett. Ezen felül a működési mód lehet nyílt, WEP, WPA2 PSK, illetve WPA2 Enterprise. Ez utóbbi esetben alkalmazható a Meraki szolgáltatása vagy használható saját RADIUS szerver is. A 2,4GHz és az 5GHz frekvenciasáv együttes működése sajnos nem megvalósított.
- DHCP
Az IP cím hozzárendeléseket VLAN szerint mutatja a rendszer, egy VLAN címzési módja lehet statikus, más DHCP szerver általi (DHCP Relay) vagy épp az eszköz által kezelt (helyi DHCP szerver). Ez esetben a helyes működéshez szükséges DHCP opciók testreszabása valósítható még meg.
- Firewall
Nem meglepő módon a hagyományos értelemben vett tűzfalszabályok kezelése valósítható meg e menüpont alatt Layer 3-4, illetve Layer 7 szintjén. A kezelőfelületen apró tévesztésként csupán a Layer 3 kerül megemlítésre Layer 3-4 helyett, mely esetben Cisco terminológiában maradva csak standard ACL kezelése lenne megoldott, azaz csak IP címekre szűrhetnénk. Layer 7 szabályok esetén Email, Http, P2P stb. szolgáltatásokra lehet szabályokat alkotni akár előre beállított választási opciók alapján, akár egyedi beállítások megkomponálásával. A tűzfalszabályokon túl természetesen a NAT és Port-továbbítási szabályokat is itt lehet megadni.
- Site-to-Site VPN
Több Meraki eszköz közötti titkosított csatorna létrehozását, kezelését a rendszer explicit tartalmazza, de a tényleges működés tesztelése egy eszköz rendelkezésre állása miatt nem valósulhatott meg. Mindenesetre sokatmondó tény, hogy más Cisco eszközök, illetve más gyártók felé pillanatnyilag az IKEv1 kezelése megvalósított.
- Client VPN
Kizárólag PSK alapú L2TP támogatott a titkosított csatorna létrehozásához. Pozitívumként megemlíthető, hogy az L2TP natív támogatottságot élvez Windows, Mac OS, iOS, Android kliensek részéről. A felhasználók azonosításához a Meraki Cloud szolgáltatása, RADIUS vagy közvetlenül Active Directory szolgáltatás is megszólítható.
- Active Directory
Domain Controller szerverek hozzáadásával identity-based group policy beállítások válnak elérhetővé.
- Traffic shaping
Az uplink kapcsolatok (vezetékes és 3G/4G) esetében a sávszélesség használatának bekorlátozása globálisan, forgalom analizálásának engedélyezése. Előre konfigurált vagy saját paraméterek alapján az igény szerinti sávszélesség-korlátozás, DSCP bitek és prioritás állítása.
- Security filtering
Az eszköz IDS/IPS funkciója a Cisco által 2013 év végén felvásárolt Sourcefire szolgáltatásán alapszik – amely a szélesebb körben használt open-source Snortra épül. Három különböző szabálybázis használható. A Connectivity az aktuális és a két megelőző évben keletkezett 10-es CVSS értékkel bíró szabályokat, a Security az aktuális és a három megelőző évben keletkezett 8-as CVSS értékkel bíró szabályokat tartalmazza. A kettő között helyezkedik el az alapértelmezett módon használt Balanced, mely a két évre visszamenőleg 9-es CVSS sérülékenységeket lefedő szabályokkal operál. A két utóbbi a Malware-CNC, a Blacklist, a SQL Injection és az Exploit-kit kategóriákat különbözteti meg.
Content filtering
Megvalósítható teljes website kategóriák blokkolása, URL filtering és a Web search filtering. Az itt beállított korlátozások minden felhasználóra érvényesülnék, mely alól kivételt képeznek az Active Directory integrációval azonosításra kerülő és a whitelist-ben szereplő kliensek.
Group polices
Egyedi beállításokat rendelhetünk az egyes VLAN hálózatokhoz pl. Traffic shaping, tűzfal beállítások, Security filtering esetében. Egyedüli lehetőségként itt találkozhatunk a szolgáltatási ablak megadásával.
Users
Abban az esetben, ha a kliens VPN vagy a Wireless szolgáltatáshoz Meraki Cloud alapú azonosítást veszünk igénybe, a felhasználók kezelése itt valósulhat meg.
Alerts & administration
Adminisztrátorok értesítése nem várt esemény következtében, naplózás (syslog), SNMP, időzóna, firmware-frissítések kezelési módja.
Monitorozási és hibakeresési lehetőségek
A Monitor gyűjtőnév alatt az eszköz monitorozásához és egy esetleges hibakereséshez szükséges és elvárható eszköztárház áll rendelkezésre. Az Overview menüpont használatával egy átfogó és könnyen áttekinthető információhalmaz áll rendelkezésre, úgymint sávszélesség-használat, csatlakozott kliensek, és a különböző „Top X” típusú statisztikák. Az Appliance status alatt már végre ténylegesen az uplink csatorna sávszélességét mérhetjük – a lokális adminisztrációs felülettel ellentétben. További lehetőségként a szokásos ping, traceroute, nslookup mellett tcpdump alapú Packet capture, Rogue AP detektálás is megtalálható – bár a Packet capture beta állapotban leledzik. Ezek jelentős része rendelkezésre áll iOS és Android mobilkliensekre szánt alkalmazás.
Értékelés
Mellette |
Ellene |
|
|
A fentiek alapján nálam 6 fröccsöt ér a készülék.