劉景云

云技術(shù)的不斷發(fā)展，給大家的工作和生活帶來了很多便利，云計算、云存儲等概念大家都比較熟悉了。對于擁有眾多分支機(jī)構(gòu)的企業(yè)網(wǎng)來說，會涉及對分布在各地的數(shù)量眾多的網(wǎng)絡(luò)設(shè)備進(jìn)行有效管理的問題，使用Cisco Meraki云網(wǎng)絡(luò)就可以實(shí)現(xiàn)云端網(wǎng)管功能。對于Meraki網(wǎng)絡(luò)產(chǎn)品來說，只要可以接入Internet，并且利用DHCP為其分配IP，就可以注冊到云端的網(wǎng)管中心，之后逐一將所有的網(wǎng)絡(luò)設(shè)備添加進(jìn)來，就可以在云端對其進(jìn)行統(tǒng)一的管理。

云端網(wǎng)管的特點(diǎn)

傳統(tǒng)的網(wǎng)管方式都是通過Console口或者SSH登錄等方式，對設(shè)備進(jìn)行管理和配置。相比之下，基于云端的網(wǎng)管技術(shù)具有獨(dú)特的優(yōu)勢，比較適合于擁有較多分支機(jī)構(gòu)，在各分支機(jī)構(gòu)中擁有數(shù)量不多的網(wǎng)絡(luò)設(shè)備的場景。例如，企業(yè)的管理中心規(guī)模不大，但是眾多的分支機(jī)構(gòu)分布在各地，并且在不斷變動之中。這樣，按照傳統(tǒng)方式，管理中心就無法對眾多的分支機(jī)構(gòu)進(jìn)行有效管理。

利用Meraki云網(wǎng)絡(luò)，可以在云端管理邊界和分支網(wǎng)絡(luò)資源，包含了無線/交換/安全/廣域網(wǎng)優(yōu)化/MDM移動端客戶管理等內(nèi)容。網(wǎng)絡(luò)終端安全地連接到云端，實(shí)現(xiàn)更加直觀的管理功能。將有線/無線管理，客戶識別、應(yīng)用QoS、定位分析、實(shí)時監(jiān)控、搜索等模塊整合在統(tǒng)一的管理界面中?？梢詫?shí)現(xiàn)諸如客戶端管理、七層應(yīng)用QoS、客戶行為分析等功能，提供了完整的解決方案，不需要額外的任何硬件和軟件，降低了管理的復(fù)雜度。

對于管理員來說，可以統(tǒng)一在云端對所有的設(shè)備進(jìn)行集中管理。利用這種管理方式，可以有效節(jié)約企業(yè)運(yùn)營成本，例如省去了昂貴的服務(wù)器設(shè)備的購買和維護(hù)成本，設(shè)備的升級極為方便，實(shí)現(xiàn)簡單快捷的軟件集成等。Meraki云網(wǎng)絡(luò)具有很好的擴(kuò)展性、可靠性和安全性，可以快速地添加設(shè)備和站點(diǎn)，擁有無限的吞吐量，不存在瓶頸問題。利用多個數(shù)據(jù)中心可以互為備份，即使云端連接中斷，設(shè)備依然可以正常工作。云端管理流量經(jīng)過加密處理，而且用戶的數(shù)據(jù)不會傳送到云端，滿足嚴(yán)格的安全標(biāo)準(zhǔn)。

搭建簡單的實(shí)驗網(wǎng)絡(luò)

對于Cisco Meraki來說，提供了包括AP、防火墻、交換機(jī)等網(wǎng)絡(luò)設(shè)備。例如在一個簡單的網(wǎng)絡(luò)中，某款Cisco Meraki AP設(shè)備連接到某款Cisco Meraki交換機(jī)上，連接的端口為Port1和Port2，其IP分別為172.16.1.1和172.16.1.2。本地的3A設(shè)備（例如ISE）連接到該交換機(jī)的Port7接口上，其IP為172.16.1.240。

該交換機(jī)通過Port8接口連接到某款Cisco Meraki防火墻設(shè)備上的Port1接口上，其地址分別為172.16.1.253和172.16.1.254。在使用這些設(shè)備之前，需要打開Cisco Meraki登錄頁面，點(diǎn)擊“Create an account”鏈接，注冊新的賬號。對于Cisco Meraki設(shè)備（例如AP等）來說，首先必須保證其可以連接Internet，之后通過DHCP或者手動方式來配置其IP，讓其可以注冊到云端。

配置和管理網(wǎng)絡(luò)設(shè)備

使用上述賬號登錄到Cisco Meraki云端，在左側(cè)點(diǎn)擊“Create a new network”項，在右側(cè)的“Network name”欄中輸入網(wǎng)絡(luò)名稱，在“Network type”列表中選擇網(wǎng)絡(luò)類型，例如選擇“Combined hardware”項，表示使用混合的硬件，選擇“Wireless”項，表示僅是無線設(shè)備等。這里選擇“Combined hardware”項，點(diǎn)擊“Create network”按鈕，必須輸入Cisco Meraki防火墻序列號，因為對于混合網(wǎng)絡(luò)來說，必須擁有防火墻。

選擇該網(wǎng)絡(luò)，在左側(cè)點(diǎn)擊“Switch”項，在右側(cè)點(diǎn)擊“Add switches”按鈕，輸入交換機(jī)的序列號，點(diǎn)擊“Add devices”按鈕添加該設(shè)備。在左側(cè)選擇“Wireless”項，在彈出菜單中選擇“Access points”項，輸入其序列號，點(diǎn)擊“Add devices”按鈕添加該AP。添加所需的設(shè)備后，在左側(cè)選擇“Network-wide”-“Topology”項，在右側(cè)會顯示對應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并以綠色顯示已經(jīng)正確連接的設(shè)備。在左側(cè)選擇“Security appliance”-“Appliance status”項，顯示防火墻的狀態(tài)信息（圖1），包括其名稱、MAC地址、WAN地址、序列號、接口狀況、網(wǎng)絡(luò)利用率等內(nèi)容。對于WAN來說，是使用DHCP自動分配地址的。

如果需要手工設(shè)定靜態(tài)地址，可以將管理機(jī)連接到其某個LAN口上，在瀏覽器中訪問“http：//setup.meraki.com”地址，在配置頁面中打開“Uplink”面板，來手工設(shè)定IP即可。在“Security appliance”-“Address & VLANs”項右側(cè)可以看到，在默認(rèn)情況下是沒有劃分VLAN的（圖2），所有的設(shè)備規(guī)劃在Native VLAN中。在“Vlans”列表中選擇“Enabled”項，激活VLAN設(shè)置功能。這里所謂的創(chuàng)建VLAN，其實(shí)就是創(chuàng)建子接口。

點(diǎn)擊“Add a Local VLAN”鏈接，輸入其名稱（例如“VLAN10”）、網(wǎng)絡(luò)范圍（例如“172.16.1.0/24”）、其自身的地址（例如“172.16.1.254”）、VLAN號（例如“10”），點(diǎn)擊“Update”按鈕，創(chuàng)建該VLAN。按照同樣的方法，創(chuàng)建VLAN20和VLAN30，其網(wǎng)絡(luò)范圍為20.1.1.0/24和30.1.1.0/14。在VLAN列表中顯示所有存在的VLAN，可以將之前存在的Native VLAN刪除。點(diǎn)擊“Save Changes”按鈕保存配置信息。

這樣就創(chuàng)建了三個子接口，VLAN10主要用來進(jìn)行管理操作，VLAN20主要使用預(yù)共享密鑰認(rèn)證，允許客戶從指定的SSID上連接網(wǎng)絡(luò)，VLAN30主要使用Dot1X認(rèn)證，讓客戶通過指定的SSID進(jìn)行訪問。當(dāng)然，相關(guān)的接口必須處于Trunk模式。在左側(cè)選擇“Security Appliance”-“DHCP”項，在右側(cè)可以看到與上述VLAN對應(yīng)的“Client addressing”列表中均自動選擇“Run a DHCP server”項，這說明自動開啟了DHCP服務(wù)。在對應(yīng)VLAN的“DNS nameservers for DHCP responses”列表中選擇“Specify nameservers”項，在“Custom nameservers”欄中輸入所需的DNS服務(wù)器地址。

在左側(cè)選擇“Switch”-“Switches”項，在右側(cè)點(diǎn)擊對應(yīng)的交換機(jī)名稱，在其配置頁面中的“LAN IP”欄中點(diǎn)擊編輯按鈕，在“Type”列表中選擇“StaticIP”項，輸入其IP（例如“172.16.1.253”）、對應(yīng)的VLAN ID（設(shè)置為“10”），子網(wǎng)掩碼和網(wǎng)關(guān)（例如“172.16.1.254”）等信息，點(diǎn)擊Save保存配置信息。注意，在“Config”欄中如果顯示“Up to date”信息，說明配置已經(jīng)生效。在右側(cè)的“Ports”欄中顯示其端口狀態(tài)信息。

在“Ports”面板中以更加詳細(xì)的接口信息，包括編號、名稱、類型、傳送速率、發(fā)送狀態(tài)、PoE使用情況、鄰居信息等，讓管理員可以非常清晰地了解各接口的工作情況。點(diǎn)擊“Configure port on this switch”鏈接，在打開窗口中選擇Port7接口，點(diǎn)擊“Edit”按鈕，在編輯面板（圖3）中的“Type”列表中選擇“access”項，在“VLAN”欄中輸入“10”，點(diǎn)擊“Update 1 port”按鈕，即可將該接口劃定到指定的VLAN中。

注意，在默認(rèn)情況下，所有的接口均處于Trunk狀態(tài)。在左側(cè)選擇“Wireless”-“Access points”項，在右側(cè)列表中選擇AP1，在其配置窗口中的“LAN IP”欄中點(diǎn)擊編輯按鈕，在“Type”列表中選擇“Static IP”項，輸入其IP（例如“172.16.1.1”）、VLAN編號（例如“10”）、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。同理，對AP2也指定其IP地址（例如“172.16.1.2”）。

Meraki支持的WLAN模式

對于Cisco Meraki的AP設(shè)備來說，其支持多種WLAN模式，包括NAT、Bridge、Layer3 roaming、Layer3 roaming with a concentrator、VPN等模式。對于NAT模式來說，會先利用DHCP服務(wù)器為客戶端分配地址，之后AP會利用NAT轉(zhuǎn)換功能，讓客戶端訪問Internet。Bridge模式是常用的模式，其啟用需要滿足無線有線可以彼此互訪，組播廣播需要直接通信，無線、有線在同一網(wǎng)段，AP和上聯(lián)交換機(jī)需要使用VLAN-Tagged等條件。

Layer3 roaming三層漫游模式指的是存在多個AP，直屬于多個無線控制器，屬于一個漫游組，其所發(fā)布的SSID名稱相同，但是其提供的網(wǎng)段是不同的，客戶端可以無縫地在這些AP之間漫游。注意，雖然是漫游狀態(tài)，但是客戶端的地址一經(jīng)獲取（例如從AP1獲取了地址，該AP為錨設(shè)備等）是不可更改的，只是在不同的AP之間建立用于漫游的隧道，用來將流量引回到該客戶端所屬的錨設(shè)備上。對于不同的客戶端來說，其擁有的錨設(shè)備是不同的。

Layer3 roaming with a concentrator模式也可以實(shí)現(xiàn)三層漫游功能，只是客戶端都擁有相同的錨設(shè)備，即客戶端不管連接到哪個AP上，最終都會從指定的錨設(shè)備（例如某個無線控制器）獲取IP，并從該設(shè)備進(jìn)入外部網(wǎng)絡(luò)。

VPN模式指的是AP可以和遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備之間建立VPN隧道，當(dāng)客戶端連接到該AP后，可以直接傳動到遠(yuǎn)端網(wǎng)絡(luò)中，這樣客戶端不必安裝相關(guān)的VPN軟件，就可以通過VPN隧道傳輸數(shù)據(jù)。

使用云端PSK認(rèn)證模式

在Cisco Meraki云端管理頁面左側(cè)選擇“Wireless”-“SSIDs”項，在右側(cè)顯示SSID列表，其中默認(rèn)提供的SSID名稱為網(wǎng)絡(luò)名加上“wir”的格式，其處于未加密狀態(tài)，在對應(yīng)的“Name”欄中可以修改該名稱，點(diǎn)擊“Save Changes”按鈕進(jìn)行保存。點(diǎn)擊“Edit settings”鏈接，在設(shè)置界面（圖4）中的“Association requirements”欄中可以選擇認(rèn)證類型，例如選擇“Pre-share key with wpa2”項，激活預(yù)共享密鑰模式并輸入密碼。

在“Client IP assignment”欄中選擇SSID模式，例如選擇“Bridge mode Make clients part of the LAN”項，激活Bridge模式，其適用于大多數(shù)應(yīng)用場景。在“VLAN tagging”列表中選擇“Use VLAN tagging”項，使用VLAN Tagging功能。在“VLAN ID”欄中輸入合適的VLAN 號（例如“20”）。在“Band selection”欄中選擇射頻類型，包括2.4GHz和5GHz等，默認(rèn)選擇“Dual band operation”項，支持兩種射頻模式。在“Minimum bitrate（Mbps）”欄中拖動滑塊，設(shè)置最低速度值。點(diǎn)擊“Save Changes”按鈕保存配置信息。這樣在客戶端就可以搜索到該SSID，連接后輸入預(yù)設(shè)的密碼，就可以訪問外部網(wǎng)絡(luò)了。

利用本地3A設(shè)備實(shí)現(xiàn)認(rèn)證

對于Cisco Meraki的無線設(shè)備來說，其支持多種認(rèn)證方式，包括基于MAC認(rèn)證/預(yù)共享密鑰認(rèn)證/EAP認(rèn)證（包括PEAPv0/EAP-MSCHAPv2、EAP-TTLS/MSCHAPv2、EAP-TLS等）等方式。對于EAP認(rèn)證方式來說，如果僅使用Cisco Meraki的無線設(shè)備的話，其是不支持PEAPv1/EAP-GTC方式的。在管理界面左側(cè)選擇“Network-wide”-“Topology”項，顯示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

點(diǎn)擊“Switch”-“Switches”項，選擇目標(biāo)交換機(jī)設(shè)備，在其屬性界面點(diǎn)擊“Configure ports on this switch”鏈接，在端口列表中選擇和連接ISE設(shè)備的端口，在打開窗口中的“Type”列表中選擇“access”項，在“Access policy”列表中選擇“Open”項，在“Vlan”欄中輸入“10”，將其劃分到指定的VLAN中。登錄到本地的ISE設(shè)備上，在管理界面工具欄上點(diǎn)擊“Administration”-“Network Device Groups”項，點(diǎn)擊“Add”按鈕，輸入設(shè)備組名稱（例如“devgrp1”），點(diǎn)擊“Submit”按鈕創(chuàng)建該組。

點(diǎn)擊“Network Resources”-“Network Devices”項，點(diǎn)擊“Add”按鈕，輸入設(shè)備的名稱（例如“AP1”），該設(shè)備作為3A的客戶端使用。在“IP Address”欄中輸入其IP，在“Device Type”列表中選擇上述設(shè)備組名稱。選擇“RADIUS Authentication Settings”項，在“Shared Secret”欄中輸入共享密鑰（圖5）。點(diǎn)擊“Submit”按鈕提交修改。同理，將AP2也添加進(jìn)來。在工具欄上點(diǎn)擊“Administration”-“Groups”項，在左側(cè)選擇“User Identity Groups”項，在右側(cè)點(diǎn)擊“Add”按鈕，創(chuàng)建新的用戶組（例如“Usergrp1”）。

點(diǎn)擊“Identity Management”-“Identities”項，點(diǎn)擊“Add”按鈕，輸入新的用戶名稱（例如“User1”），輸入其密碼，在“User Groups”列表中選擇上述組。點(diǎn)擊“Submit”按鈕，創(chuàng)建該賬戶。在Cisco Meraki云端管理界面左側(cè)選擇“Wirrless”-“SSIDs”項，在右側(cè)中可以看到最多可以配置15個SSID，點(diǎn)擊“Show all my SSIDs”鏈接，可以顯示所有的SSID。默認(rèn)可以配置4個SSID。例如在“Unconfigured SSID 2”列表中選擇“Enabled”項，激活該SSID項目。點(diǎn)擊“rename”鏈接，可以修改其名稱（例如“SSID2”）。點(diǎn)擊“edit settings”鏈接，在配置界面中的“Association requirements”欄中選擇“WPA2-Enterprise with”項，在其后的列表中選擇“my RADIUS server”項，表示使用基于用戶的3A認(rèn)證模式。

在“WPA encrytion mode”列表中選擇“wpa1 and wpa2”項。在“RADIUS servers”欄中點(diǎn)擊“Add a server”鏈接，輸入ISE設(shè)備的IP（例如“172.16.1.240”），端口號（1812或者1645）和RADIUS共享密鑰，點(diǎn)擊“Test”按鈕，輸入在ISE賬戶名和密碼，執(zhí)行連接測試。在“Client IP assignment”欄中選擇“Bige mode：Make clients part of the LAN”項，使用Bridge模式。在“VLAN tagging”列表中選擇“Use VLAN tagging”項，輸入具體的VLAN ID（例如“30”），在“Minimum bitrate”欄中設(shè)置最低連接速率。

點(diǎn)擊“Save Changes”按鈕，保存配置信息。在客戶機(jī)上打開網(wǎng)絡(luò)和共享中心窗口，打開手工連接到無線網(wǎng)絡(luò)窗口，輸入網(wǎng)絡(luò)名稱（即上述“SSID2”），在“安全類型”列表中選擇“WPA2-企業(yè)”項，點(diǎn)擊下一步按鈕，點(diǎn)擊“更改鏈接設(shè)置”項，在打開窗口中的“安全”面板中點(diǎn)擊“設(shè)置”按鈕，取消“通過驗證證書驗證服務(wù)器身份”項的選擇狀態(tài)。點(diǎn)擊“高級設(shè)置”按鈕，選擇“指定身份驗證模式”項，在列表中選擇“用戶身份驗證”項，點(diǎn)擊確定按鈕保存配置信息。這樣，就可以使用預(yù)設(shè)的賬戶名和密碼，使用EAP認(rèn)證方式，來連接指定的SSID訪問外部網(wǎng)絡(luò)了。在云端管理界面左側(cè)選擇“Wireless”-“Access points”項，在右側(cè)選擇目標(biāo)AP設(shè)備，在“Current clients”列表中顯示連接的客戶端信息，點(diǎn)擊對應(yīng)的客戶端名稱，可以顯示其詳細(xì)的狀態(tài)信息。

云端的DOT1X認(rèn)證方式

當(dāng)然，也可以利用云端的802.1X進(jìn)行安全認(rèn)證，按照上述方法，啟用未配置的SSID，設(shè)置其名稱（例如“SSID3”）。在其配置窗口中選擇“WPA2-Enterprise with”項，在其右側(cè)列表中選擇“Meraki authentication”項，則表示在云端執(zhí)行EAP認(rèn)證。其余設(shè)置與上述完全相同。在左側(cè)選擇“Network-wide”-“Users”項，在右側(cè)點(diǎn)擊“Add new user”按鈕，輸入用戶名（例如“MerakiUser@xxx.com”）和密碼，在“Authorized”列表中選擇“Yes”項，激活用戶認(rèn)證功能。在“Expires”欄中可以設(shè)置授權(quán)期限，默認(rèn)沒有時間限制。點(diǎn)擊“Save Changes”按鈕，保存賬戶信息。之后按照上述方法，連接該SSID，輸入上述的賬戶和密碼，就可以訪問外部網(wǎng)絡(luò)了。

實(shí)現(xiàn)云端網(wǎng)頁認(rèn)證方式

除了實(shí)現(xiàn)EAP認(rèn)證方式外，Cisco Meraki還支持網(wǎng)頁認(rèn)證功能。按照上述方法，啟用新的SSID項目，設(shè)置其名稱（例如“WEBSSID”），在“Association requirement”欄中選擇“Open（no encryption）”項，在“Splash page”欄中選擇“Sign-on with Meraki authentication”項，在“Self-registration”欄中選擇“Allow users to create accounts”項，允許用戶以自助方式創(chuàng)建賬號。但是，管理員必須在線對其審批。其余設(shè)置與上述基本一致。在左側(cè)選擇“Wireless”-“Splash page”項，在右側(cè)可以設(shè)置Splash頁面，包括啟用Splash的SSID號、設(shè)置頁面主題、重定向指定的鏈接等。這樣，當(dāng)客戶端連接到該SSID后，就會出現(xiàn)Splash頁面，可以在其中自行創(chuàng)建賬號。管理員需要在上述用戶管理頁面中選擇目標(biāo)賬戶，在列表中選擇“Authorization”項，點(diǎn)擊“Apply”按鈕，為其授權(quán)即可。

配置Meraki防火墻規(guī)則

利用Cisco Meraki的防火墻設(shè)備，可以實(shí)現(xiàn)基于端口和應(yīng)用的過濾機(jī)制，可以實(shí)現(xiàn)應(yīng)用識別、內(nèi)容識別和用戶識別功能。在云端管理界面左側(cè)選擇“Security appliance”-“Firewall”項，在右側(cè)的“Layer 3”區(qū)域的“Outbound rules”欄中點(diǎn)擊“Add a rule”鏈接，添加新的規(guī)則。在“Policy”列表中選擇許可或禁止動作，在其后設(shè)置協(xié)議、源地址和端口、目的地址和端口等信息，可以對三層的流量進(jìn)行控制（圖6）。

在“Layer7”區(qū)域的“Firewall rules”欄中點(diǎn)擊“Add a layer7 firewall rule”鏈接，創(chuàng)建新的規(guī)則，在對應(yīng)的“Application”列表中選擇應(yīng)用類型，例如“Peer-to-Peer（P2P）”等，在其后的列表中選擇具體的細(xì)節(jié)，例如“Encryption P2P”“BitTorrent”等，就可以攔截該應(yīng)用的流量。除了選擇具體的應(yīng)用外，還可以選擇“HTTP hostname”“Port”“Remote IP range”“Remote IP range &port”等類型，對目標(biāo)HTTP主機(jī)（即域名，例如“xxx.com”等）、端口、遠(yuǎn)程IP范圍、遠(yuǎn)程IP范圍和接口等對象進(jìn)行配置，來控制對應(yīng)的流量。

這樣，就實(shí)現(xiàn)基于7層的過濾功能。在左側(cè)選擇“Security applicance”-“Traffic shaping”項，在右側(cè)的“Uplink configuration”欄中拖動滑塊，可以調(diào)整上連口傳輸速率?！癎lobal bandwidth limit”欄中拖動滑塊，限制基于每用戶的傳輸速率。點(diǎn)擊“Create a new rule”鏈接，創(chuàng)建新的規(guī)則。在“Definition”欄中點(diǎn)擊“Add+”項，在列表中選擇具體的應(yīng)用【例如“Peer-to-Peer（P2P）”等】，在“Bandwidth limit”欄中拖動滑塊，設(shè)置針對該應(yīng)用的限速值。在“Priority”列表中選擇合適的優(yōu)先級，在“DSCP”列表中選擇具體的DSCP值，這樣在有線網(wǎng)絡(luò)中也會被其限制。