思科 Meraki 最佳实践设计
文档摘要
本文档分为多个部分,旨在探讨各种 Meraki 技术的关键组成部分、设计指南和最佳实践,重点介绍思科 Meraki 智能管理平台管理的基础设施的特定使用案例及其支持的架构和有关功能的建议。本文档汇集了多个其他文档,其中大部分是专为此大型文档而编写和定制的,旨在为思科 Meraki 最佳实践设计提供一份完整统一的总结性指南。
本文档的受众包括但不限于网络、安全和无线工程师以及设备管理员。使用本文档,您应该能满怀信心地部署各种 Meraki 技术,并了解从 CLI 或本地管理解决方案迁移到智能管理平台的影响。此外,您还应该能深入了解 Meraki 平台,以及 Meraki 智能管理平台技术如何确保基础设施的高度可用性和安全性。
注:虽然本文档的预期用途是作为 Meraki 最佳实践设计的一般参考指南,但必须注意,每项部署都有其独特之处,用户应根据自身需要确定具体设计和配置。您应该与 Meraki 销售团队和系统工程师一起制定、审核并最终确定部署计划。
Meraki 智能管理平台架构
Meraki 智能管理平台解决方案是一种集中管理服务,让用户可以通过简单、安全的单一平台管理所有 Meraki 网络设备。
用户通过 Meraki 控制面板 Web 界面或通过 API,能够部署、监控并配置 Meraki 设备。用户进行配置更改后,系统会将更改请求发送到 Meraki 智能管理平台,然后从 Meraki 智能管理平台推送到相关设备。
术语定义
Meraki 控制面板
一款基于 Web 浏览器的现代化工具,用于配置 Meraki 设备和服务。
账户
Meraki 用户的账户,用于访问和管理其 Meraki 组织。
组织
Meraki 网络的逻辑容器,由一个或多个账户进行管理。
网络
一组集中管理的 Meraki 设备和服务的逻辑容器。
管理数据
通过安全的互联网连接从 Meraki 设备(无线接入点、交换机和安全设备)流到 Meraki 智能管理平台的数据(例如配置、统计、监控等)。
用户数据
与用户流量相关的数据(Web 浏览、内部应用等)。用户数据不流经 Meraki 智能管理平台,而是直接流到局域网上或广域网中的目的地。
Meraki 智能管理平台架构
Meraki 智能管理平台是 Meraki 管理解决方案的中枢。此 “智能管理平台” 包括一组非常可靠的多租户服务器,战略性地分布于世界各地的 Meraki 数据中心内。位于这些数据中心内的服务器是功能强大的主机,包括许多不同的用户账户。这些服务器之所以被称为 “多租户” 服务器,是因为所有账户共享(平分)主机(服务器)上的计算资源。但是,即使这些账户共享资源,Meraki 也能确保客户信息的安全,因为它能基于账户身份验证限制组织的访问,并对用户密码或 API 密钥等身份验证信息执行散列处理。
数据中心
客户管理数据会在同一区域的独立数据中心之间进行实时复制。而且,这些数据还会被复制到托管于区域内第三方云存储服务中的自动夜间存档备份中。Meraki 智能管理平台不存储任何客户用户数据。有关 Meraki 智能管理平台中存储的数据类型的更多信息,可在下面的 “管理数据” 部分找到。
所有 Meraki 服务(控制面板和 API)也会在多个独立数据中心之间进行复制,因此,这些服务能够在数据中心发生灾难性故障的情况下快速实现故障切换。
Meraki 1 级数据中心遍布全球各地,能够在敏感国家和地区实施高可用性本地数据控制以确保数据主权,并通过高速连接实现可靠的智能管理平台通信。这些数据中心持有 PCI、SAS70 Type II/SSAE 和 ISO27001 等认证。此外,所有 Meraki 数据中心每天都要接受独立第三方的渗透测试。其他主要数据中心功能包括:
-
99.99% 正常运行时间服务级别协议
-
全天候自动故障检测
-
在数据中心之间实时复制数据
-
在服务器上对所有敏感数据(例如密码)执行散列处理
要了解监控、冗余、灾难恢复、安全等方面的更多信息,请参阅我们的数据中心设计页面。有关数据中心冗余和可靠性的更多详细信息,请参阅下面的 “可靠性和可用性” 部分。
请注意,某些账户和配置设置需要发送到区域外进行管理。这些设置的完整列表可在我们的以下文章中找到:存储在 Meraki 主控制器上的数据。
数据中心地点
每个区域(北美洲和南美洲、欧洲、亚洲、中国)至少有一对(用于故障切换)地理位置上相匹配的数据中心,任何终端的主 Meraki 服务器都位于其中。下表详细列出了覆盖每个控制面板区域的数据中心。
区域 |
数据中心 1 |
数据中心 2 |
北美洲和南美洲 |
美国 |
美国 |
欧洲 |
德国 |
德国 |
亚洲 |
澳大利亚 |
新加坡 |
中国 |
中国 |
中国 |
创建账户时,客户可以选择数据的托管区域。如果是网络遍布全球的客户,可以创建几个不同的账户,并为每个区域选择相应的数据中心地点。用户登录后,可以在 Meraki 控制面板页面底部找到每个账户的托管区域。
数据中心存储
Meraki 数据中心包含活动的 Meraki 设备配置数据和网络使用情况的历史数据。这些数据中心容纳了包含客户管理数据的多个计算服务器。这些数据中心不存储客户的用户数据。下面的 “数据” 部分将更加详细地介绍这几种类型的数据。
Meraki 设备与智能管理平台的通信
Meraki 使用事件驱动的远程过程调用 (RPC) 引擎供 Meraki 设备与 Meraki 控制面板进行通信,并且供 Meraki 服务器收发数据。当 Meraki 智能管理平台向设备发起调用以便进行数据收集和配置部署时,Meraki 硬件设备用作服务器/接收器。由于智能管理平台基础设施是发起方,因此在设备实际上线乃至实际部署之前,就可以先在智能管理平台中执行配置。
如果智能管理平台的连接断开(通常由本地 ISP 或连接故障导致),Meraki 硬件设备将以其最后已知配置继续运行,直到智能管理平台的连接恢复。
通信过程
如果设备离线,它将继续尝试连接到 Meraki 智能管理平台,直至建立连接。设备上线后,它会自动从 Meraki 智能管理平台接收最新配置设置。如果对设备配置进行更改时设备在线,则设备会自动接收并更新这些更改。通常,几秒内即可在设备上使用这些更改。不过,也有大量更改需要更长时间才能到达设备。如果用户未进行任何配置更改,设备将继续自行定期检查对其配置的更新。
当设备在网络中运行时,它会将设备和网络使用情况分析传回 Meraki 智能管理平台。基于此信息的控制面板分析(图表形式)将在 Meraki 智能管理平台中定期更新,并在用户查看此信息时显示于用户的控制面板中。
配置容器
设备配置作为容器存储于 Meraki 后端。当账户管理员通过控制面板或 API 更改设备配置时,系统会更新容器,然后通过安全连接将其推送到容器所关联的设备。容器还会以其配置更改更新 Meraki 智能管理平台,以实现故障切换和冗余。
安全的设备连接
为了让设备与智能管理平台通信,Meraki 采用专有的轻量级加密隧道,在传输管理数据的过程中使用 AES256 加密。在隧道本身内部,Meraki 利用 HTTPS 和协议缓冲区来实现安全高效的解决方案,在设备未受到主动管理时限制为每台设备 1 kbps。
配置接口
Meraki 控制面板
Meraki 控制面板是一款基于 Web 浏览器的现代化工具,用于配置 Meraki 设备和服务。
Meraki 控制面板是传统命令行的 Meraki 可视化替代方案,用于管理诸多路由器、交换机、安全设备等。Meraki 将网络中的所有设备放到一个位置,并允许用户以简单易用的格式应用更改。
除了简化设备管理之外,控制面板还是用于查看网络分析、应用网络权限和跟踪用户的平台。用户可以通过控制面板查看摄像头流,管理用户的移动设备和计算机,设置内容规则,并从一个位置监控上游连接。
Meraki API
Meraki API 以可编程方式提供对 Meraki 解决方案的控制,使用户可以完成可能无法通过控制面板执行的操作或提供更精细的控制。Meraki API 是一种 RESTful API,使用 HTTPS 进行传输,使用 JSON 进行对象序列化。
Meraki 通过提供对开放式 API 的访问,可以在更深层次上利用智能管理平台的强大功能,从而打造更高效、更强大的解决方案。通过 Meraki API,用户可以实现部署自动化,监控网络并以 Meraki 控制面板为基础构建其他解决方案。
API 密钥通过 Meraki 平台与特定用户账户绑定。如果一个用户对多个 Meraki 组织具有管理访问权限,则只需一个密钥即可配置和控制这多个组织。
可靠性和可用性
Meraki 可以通过多种方式实现高可用性 (HA) 架构,从而确保客户获得高可用性。通过我们的数据中心进行网络连接可以获得高带宽和高恢复能力。共享 HA 结构能确保数据在发生本地故障时的可用性,我们的数据中心备份架构则可确保客户管理数据在发生灾难性故障时始终可用。这些备份存储在基于第三方云的存储服务中。此类第三方服务还会根据区域存储 Meraki 数据,以确保遵守区域数据存储法规。
数据中心上行链路连接高可用性
Meraki 使用由其数据中心向外发出的多条高速连接,并持续监控这些连接的完整性。Meraki 网络连接通过测试 DNS 可访问性来确定完整性,如果链路性能下降,数据中心将故障切换到辅助链路。
Meraki 服务器高可用性
一台设备同时连接到多个 Meraki 服务器,确保在需要故障切换的情况下,所有数据都能保持最新状态。如果 Meraki 服务器出现故障,则由此辅助 Meraki 服务器连接验证设备配置的完整性和网络使用情况的历史数据。
如果服务器出现故障或连接中断,节点连接可以故障切换到辅助服务器。主服务器恢复后,系统会重新建立连接,不会对连接的节点造成显著影响。
数据中心备份高可用性
Meraki 将活动的客户管理数据保存在同一区域的主要和辅助数据中心内。这些数据中心分布于不同的地理位置,避免物理灾难或中断对同一区域造成影响。存储在这些数据中心内的数据会实时同步。如果数据中心出现故障,主数据中心将会携带已储存的最新配置切换到辅助数据中心。
灾难恢复计划
客户管理数据的存储以及控制面板和 API 服务的可靠性是 Meraki 的重中之重。为帮助防止在任何 Meraki 数据中心发生灾难时丢失数据,Meraki 采取了多项重大故障恢复措施。每个 Meraki 数据中心都与同一区域中的另一个数据中心配对。如果某个数据中心彻底崩溃,几分钟内即可在区域内的另一个数据中心内启动备份。其次,如果两个数据中心都受到影响,可以使用托管于两个不同的第三方云存储服务(各有自己的物理存储冗余)中的夜间备份来恢复数据。
管理数据
Meraki 智能管理平台会收集并存储某些类型的 “管理” 数据来支持其解决方案。所有形式的数据都会在出入 Meraki 服务器的传输过程中经过加密。Meraki 智能管理平台中主要存储了四种类型的数据:
用户记录
包括账户邮箱和公司名称等项目或用户名和地址等其他可选信息
配置数据
包括客户在 Meraki 控制面板中所做的网络设置和配置
分析数据
包括客户端、流量和位置分析数据,可以跨客户站点对流量和客流量模式提供可视性和网络洞察力
客户上传的资产
包括任何客户上传的资产,例如自定义的楼层平面图和启动徽标
服务器数据隔离
Meraki 服务器上的用户数据根据用户权限分隔开来。每个用户账户基于组织的成员资格进行身份验证,这意味着每个用户只能访问作为用户加入的组织所绑定的信息。组织管理员将用户添加到他们自己的组织中,由这些用户自行设置用户名和安全密码。于是,这些用户就会与该组织的唯一 ID 绑定,并且只能向 Meraki 服务器请求其授权组织 ID 范围内的数据。
此外,Meraki 开发团队对开发和生产环境使用不同的服务器,因此 Meraki 从不会将实时客户数据用于测试或开发。Meraki 用户数据从不向其他用户开放访问权限,也不会受开发变更的影响。
网络和管理数据隔离
Meraki 的 “带外” 控制平面实现了管理数据与用户数据的分离。管理数据通过安全的互联网连接从 Meraki 设备(例如无线接入点、交换机和安全设备)流到 Meraki 智能管理平台。用户数据(网络流量、Web 浏览、内部应用等)不流经 Meraki 智能管理平台,通常直接流到局域网上或广域网中的目的地。
网络使用情况数据保留
Meraki 将应用使用情况、配置更改和事件日志等管理数据存储于后台系统中。客户数据在欧盟区域存储 14 个月,在全球其他区域存储 26 个月。Meraki 数据存储时长以控制面板中的年同比报告功能(12 个月的周期)为基础,再加上一段额外的时间,确保数据在删除操作后从 Meraki 备份中删除(2 个月)。Meraki 使用专有的数据库系统来建立可以轻松搜索和引用的数据。
隔离的用户资产
Meraki 存储客户上传的资产,例如自定义的楼层平面图和启动页徽标。这些项目仅在 Meraki 控制面板中供该特定客户的网络使用,因此可基于与组织或网络 ID 访问权限绑定的标准用户权限将其安全地分隔开来。用户只有通过了身份验证,可以访问主机网络,才能访问上传的资产。
数据安全
出入 Meraki 设备和服务器的所有数据都通过安全的专有通信隧道传输(请参阅上文 “安全的连接” 部分)。通信数据在通过此隧道传输时进行加密。与 Meraki 智能管理平台之间的所有客户端管理连接(控制面板/API)对所有应用流量进行安全 TLS 加密。
此外,Meraki 数据备份也使用 AES256 进行完全加密,并对访问进行限制(请参阅 “关于物理访问和操作的内部安全措施” 部分)。
数据隐私
连接到智能管理平台解决方案需要将特定数据存储在云端,以方便使用和访问。为保持完整性和安全性,智能管理平台基础设施必须考虑到该数据的敏感性和合规性规定。特定行业和地区制定了相关法律来保护 Meraki 通过我们灵活的智能管理平台基础设施所处理的用户数据。
Meraki 通过设计,将隐私纳入其产品和功能开发以及业务实践中。隐私是 Meraki 设计流程中不可分割的一部分,也是从最初的产品设计一直到产品实施整个过程中都必须考虑的因素。Meraki 为全球所有客户提供全套以隐私为导向的功能。通过这些功能,我们的客户不仅可以管理隐私要求,而且可以支持客户自己的隐私计划。客户可以阅读我们的《数据隐私和保护功能》一文,更加详细地了解一些 Meraki 隐私功能。
PCI
Meraki 提供全面的解决方案,可确保环境符合 PCI 合规性要求,遵守 PCI 1 级审计(最严格的审计级别)的严格标准。丰富的安全功能集可满足所有 PCI 数据安全标准的要求,帮助客户构建和维护安全的网络,维护漏洞管理计划,执行严格的访问控制措施,并监控网络安全。
安全
Meraki 客户的安全是 Meraki 的头等要务。Meraki 大力投资于确保我们用户及其网络安全的工具、流程和技术,其中包括用于控制面板访问的双因素身份验证等功能和带外智能管理平台架构。
除了 Meraki 和思科的内部安全团队之外,Meraki 还利用第三方来提高安全性。每日第三方漏洞扫描、应用测试和服务器测试等预防措施已纳入 Meraki 安全计划。此外,Meraki 还启动了软硬件漏洞奖励计划,鼓励外部研究人员与我们的安全团队协作,帮助确保思科基础设施和客户的安全。有关此计划的更多信息,可在 Bugcrowd 计划页面上找到。
Meraki 智能安全基础设施可以消除管理复杂性、手动测试和导致漏洞的日常维护难题。直观且具有成本效益的安全功能非常适合网络管理员的需要,而功能强大、设计精细的管理工具、账户保护、审计和变更管理则对首席信息安全官极具吸引力。
硬件和软件安全
Meraki 利用安全启动、固件镜像签名和硬件信任锚等技术作为思科安全开发生命周期的一部分来维护硬件和软件完整性。
关于物理访问和操作的内部安全措施
Meraki 为所有 Meraki 员工提供强制性操作安全培训,努力维护用户安全。目前,已经面向所有员工实施了正式的信息安全意识计划。此外,所有员工和承包商都必须遵守思科的背景调查政策,并受 Meraki 信息安全政策和行业标准保密协议的约束。
远程访问 Meraki 服务器需要使用 IPSec VPN 和 SSH。我们的内部安全和基础设施团队根据针对业务需求的严格规定,确定访问范围并对访问权限进行限制。
对于访问 Meraki 服务器、数据库和代码的行为,我们还针对用户访问和特定权限采用了基于角色的访问模式。我们对有权访问(内部访问和远程访问)这些系统的所有用户执行双因素身份验证。
对于物理访问 Meraki 智能管理平台基础设施的行为,我们通过保安服务巡逻队实现全天候的不间断保护,并提供外部和内部实时视频监控。对于物理访问,所有数据中心都采用了高安全性门禁卡系统和生物特征读取器。Meraki 员工对这些数据中心的访问权限仅授予有访问数据中心的业务需要的用户,并利用 PKI 和双因素身份验证进行身份验证。此访问权限仅限于数量极少的一部分员工。我们每月对此用户访问权限进行审核,以删除不必要的访问权限。
请注意,由思科 Meraki 提供的本参考指南仅供参考。Meraki 智能管理平台架构可能会发生变化。
构建可扩展的 Meraki 解决方案
在使用 Meraki 设计网络解决方案时,请务必注意一些事项,以确保您的实施可以扩展至数百、数千乃至数十万个终端。
设计注意事项
Meraki 解决方案规模
在计划部署 Meraki 解决方案时,无论是大型网络解决方案的一小部分还是整体解决方案,都必须花一些时间来考虑您将使用的组织结构。通常,结构将根据部署规模来确定。
您需要根据 Meraki 智能管理平台解决方案的结构做出一些考虑。首先,您要创建一个 Meraki 账户,它是用于管理 Meraki 控制面板管理界面的用户身份。账户有权访问 “组织”,即 Meraki “网络” 的逻辑容器。Meraki 网络则是一组集中管理的 Meraki 设备和服务的逻辑容器。
了解此结构之后,您就可以开始确定各级结构分别需要的数量。
用户账户数量
账户范围的一般建议
-
每个账户所有者 2 个或更多用户账户
-
每个网络管理员 1 个用户账户
您的 Meraki 账户是您构建 Meraki 解决方案的第一步,也是您获得对设备的访问权限并向其他用户分配访问权限的唯一方法。因此,我们强烈建议您至少为所有者提供一个备用账户,以防被锁定在主账户外或失去对主账户的访问权限。丢失或忘记密码的情况很常见,但失去邮箱访问权限可能会导致您的组织被完全锁定,因此务必要在规划过程开始时考虑备份计划。
其他网络管理员或查看者只需要一个账户。或者,为网络管理员分配 SAML 访问权限往往也是确保内部可扩展性和安全访问控制的好办法。
每个账户的组织数量
组织范围的一般建议
-
每个客户一个组织
或者
-
每种服务一个组织
如果您是准备使用和管理 Meraki 设备的客户,您可能只需要一个组织。每个组织都只是您的网络的容器,单一组织模式通常是最简单的解决方案,只要这种模式切合您的部署的实际情况。
在少数不同情况下,建议使用多个组织。
-
具有数据主权或操作响应时间需求的全球多区域部署
-
如果您的业务分布于以下多个区域:美洲、欧洲、亚太地区、中国,那么您可能需要考虑为每个区域创建单独的组织。每个控制面板组织托管于特定区域,而且您所在的国家/地区可能还有针对区域数据托管的相关法律。此外,如果您的 IT 员工遍布全球各地,并且经常需要访问托管于其所在区域以外的组织,则他们在管理方面可能会遇到困难。
-
-
具有多种业务类型和多种不同经营结构的公司
-
将公司分为多个业务部门的公司通常会发现,他们需要根据使用服务的公司子团队或子公司来创建多个组织才能简化管理。通常,他们需要基于 “并购” 与 “公司” 或 “零售网点” 与 “服务网点” 等群组来进行此类划分。
-
-
具有多种不同使用案例的大型公司
-
规模非常大的公司拥有数万或数十万员工,通常会根据员工类型来划分组织。因此,组织可以分为 “远程工作人员”、“分支机构”、“园区办公室” 等群组。
-
-
具有不同服务产品的服务提供商企业
-
服务提供商(向最终用户销售或出租 Meraki 服务解决方案的公司)通常会发现他们需要多个组织。一般情况下,服务提供商的组织数量将根据以下一种结构模式来确定。
-
每种服务一个组织:为每种服务产品创建单独的组织。不同的组织通常代表不同的服务级别。
-
每个客户一个组织:当最终客户拥有自己的设备或需要全权管理自己的网络时,这种情况很常见。
-
每个软件定义广域网 (SD-WAN) 一个组织:组织的范围定义了 Meraki SD-WAN 的连接域。
-
-
有关服务提供商控制面板结构的更多信息,可以在《建议服务提供商采用的控制面板结构》一文中找到。
-
此外,还必须考虑 Meraki 服务器和数据中心的限制。Meraki 服务器架构是一种多租户解决方案,在同一硬件上托管多个客户,并基于权限将客户之间安全地分隔开来。单个组织中支持的最大规模为 25,000 台物理 Meraki 设备。如果一家企业打算在解决方案中包含 25,000 台以上的 Meraki 设备,则强烈建议他们与客户团队合作,设计跨多个组织的部署战略。
每个组织的网络数量
网络范围的一般建议
-
每个物理位置或分支机构一个网络
通常,网络将代表不同站点的物理位置或实际局域网。只有 5 个站点的部署通常只有 5 个网络。控制面板网络对每个网络只支持 1 台 MX 安全设备(或 2 台,包括 1 台作为备份),因此,如果将 MX 设备用作局域网/广域网边界,则每个网络将代表一个唯一的局域网。设备的配置按每个网络来确定范围,所以,通常也可以认为网络代表唯一的配置。例如,网络中的所有无线接入点将共享一组通用的 SSID。网络中的所有第 3 层交换机将共享路由信息。
此外,对于规模较小的部署,根据设备类型划分网络的做法有时也很常见。所以,可能会有 “无线设备” 网络、“终端管理” 网络、“摄像头” 网络等。
值得注意的是,当网络超过 2000-5000 个时,网络列表的导航可能会开始变得困难,因为这些网络全部显示于侧边栏中的一个滚动列表中。如果达到这种规模,根据上面建议的模式分为多个组织可能会更容易管理。
对服务提供商而言,标准的服务模式是 “每种服务一个组织,每个客户一个网络”,因此网络范围的一般建议不适用于该模式。
每个网络的设备数量
每个网络的 Meraki 设备(MX、MS、MR、MV 等,而非用户设备)数量是一个多变的数字,无法提供一般建议。此数量视情况而异。
请注意,每个网络的设备上限为 1000 台。设备超过此数量的网络应该拆分。不过,网络中的设备一般很少会达到此数量,除非网络中存在大量摄像头或无线接入点。如果是这种情况,建议根据物理区域或使用案例拆分网络。
多组织注意事项
软件定义广域网
每个组织代表一个独立的软件定义广域网 (SD-WAN) 实例。Meraki SD-WAN 使用 Meraki 自动 VPN 技术实施。自动 VPN 是一种极低接触的解决方案,通过将单个组织中的所有站点自动联网来创建 SD-WAN 网络。因此,多组织部署也是多 SD-WAN 域部署。通常,需要多个组织的客户会首选此部署,但应该在设计中注意这一点。
地理位置
出于合规性方面的原因,许多国家/地区要求将公司收集的信息保留在特定的地理区域内。您应该考虑创建单独的组织以确保合规性。此外,只要是采用基于智能管理平台的解决方案,确保该系统的管理员靠近管理中心就能更顺畅地执行智能管理平台的管理。例如,位于欧盟的部署需要遵守 GDPR,而位于中国的部署则会受到国家范围的安全限制。组织可能需要根据这些注意事项按区域确定范围。
模板
为了在网络之间保持一致性,许多客户使用了配置模板。管理员可以借助模板在整个组织中快速制作许多特定网络配置的副本。不过,目前尚不能跨组织维护模板,也尚无任何可用于在组织之间复制网络的选项。如果打算让一些模板发挥相同的作用,建议您同时更改整个组织中的所有相关模板。
固件
与模板相同,固件也只能在单个组织中保持一致性,而不能跨多个组织保持一致性。在部署新固件时,建议您在完成验证测试后在所有组织之间维护相同的固件。
订购建议
建议在同一国家/地区订购和发运设备。这样会自动为订单中的设备分配正确的管制范围(如果相关)。这主要适用于具有无线功能的设备。
此外,出于资产和申领的原因(如下所列),我们还建议您基于组织拆分订单。对于将要在多个组织中使用的硬件的订单,最好是进行拆分,除非这样更复杂繁琐。
另一方面,对于一个组织的多份订单(同时下的订单),最好将其合并。每个组织一份订单通常可以为客户大幅简化部署。
资产和申领
在申领新的 Meraki 设备时,建议按您打算使用该设备的组织内的订单编号进行申领(而非申领单独的序列号)。按订单编号申领会提取与该订单相关联的所有硬件和许可证,并在设备未曾实际抵达现场之前就将其与组织绑定。申领后,可以根据需要将设备从一个组织移到另一个组织。Meraki 建议始终尽可能按订单编号进行申领,而不要按 MAC 或序列号进行申领。
API 密钥
API 密钥与创建它们的用户的访问权限绑定。可编程访问权限只应授予您信任在所分配组织内进行操作的实体。由于 API 密钥与账户而非组织绑定,因此可以使用一个多组织主 API 密钥来简化配置和管理。为此,可以向所有组织授予账户组织级权限。不过,授予对此账户的访问权限时应谨慎。
部署注意事项
克隆网络
在具有许多网络的部署中,克隆网络是节省时间的绝佳办法。部署的规模越大,“黄金配置网络” 就越有帮助,因为它们拥有一个或多个从未用于设备但却代表了新网络应有的理想配置。每次创建新网络时,都有一个选项可以从现有网络进行克隆,通常最好是从专门为此目的而配置的网络进行克隆。在规划部署时,最好应该先创建这些 “黄金配置网络”,这样就可以从这些网络复制后续网络。
基于模板的网络
克隆网络为创建具有相同配置的多个网络提供了一种静态方法。或者,您也可以通过模板提供更加动态的解决方案。使用配置模板,可以在部署一个基本配置网络后部署多个 Meraki 控制面板网络,并在对基本配置网络进行更改后随之动态更新这些控制面板网络。这样就可以更轻松地部署新的站点/用户,并在每个站点的配置间保持一致性。与某个模板绑定的网络将利用其配置作为基础。对该模板进行的任何更改则会被推送到所有绑定的网络。
如果存在大量采用同一种网络设计的站点,则基于模板的网络在这种情况下最实用。例如,在有许多门店的零售业部署中或在有大量家庭用户使用远程工作人员 VPN 设备通过 VPN 连接到企业网络的情况下,这种情况就很常见。
部署过程中应始终考虑首选使用模板,因为它们可以节省大量时间并避免许多潜在错误。
应该注意的是,对于非常倚重通过 API 管理网络的服务提供商或部署,我们建议考虑使用克隆网络而不是模板,因为相比可用于模板的 API 选项,可用于克隆的 API 选项目前能够提供更精细的控制。
标记
标记是针对特定使用案例对设备、网络或端口进行分组或标识的方法。这些标签可用于搜索、过滤、识别或分配对特定功能的访问权限。可以对以下项目应用网络标签:
-
网络
-
Meraki 设备
-
交换机端口
-
系统管理器设备
标记网络可以让特定的管理员拥有网络级配置访问权限而没有组织范围访问权限。可以根据网络标签确定访问权限的范围,从而实现更精细的访问控制。为并非 “超级用户” 的本地 IT 管理员分配权限时,这种方法使用得最多。此外,通过标记网络还可以指定 “仅查看” 角色,以便用户查看最相关的应用数据。这种方法最常用于关注网络流量使用情况但不希望执行配置的管理人员。
Meraki 设备标签用于根据用户定义的属性轻松搜索网络中特定类型的设备。常用的设备标签包括位置(例如 “1stFloor”、“Dorms”、“Classroom” 等)和设备属性(例如 MX 和 MS 型号的 “LeftRack” 或 “MiddleRack”,或者 MR 或 MV 型号的 “CeilingMount” 或 “WallMount”)。此外,还可以为特定 VLAN 标记 AP。有一个选项可以根据设备标签在特定 AP 上标记特定 VLAN 的流量。
系统管理器设备标签用于对最终用户设备进行逻辑分组,并将其与应用和配置文件相关联。可以为用户指定只应安装在其设备上的特定应用的标签,或只应对其应用的特定安全级别的标签。
交换机端口标签可以让管理员精细设置端口管理权限。组织管理员可以使用端口标签对特定端口提供只读管理员配置访问权限和数据包捕获功能。
管理员
控制面板管理员有两种基本类型:组织管理员和网络管理员。
-
组织管理员对他们的组织及其所有网络拥有完全访问权限。此类账户相当于根或域管理员,因此必须谨慎保持拥有此控制级别的用户。
-
组织 - 只读:用户能够访问/查看网络和组织范围的设置的大多数方面,但无法进行任何更改。
-
组织 - 完全:用户对所有网络和组织范围的设置拥有完全的管理访问权限。这是可以提供的最高级别访问权限。
-
-
网络管理员有权访问个别网络及其设备。这些用户对其网络配置具有完全或有限的控制权,但无权访问组织级信息(许可、设备清单等)。
-
网络 - 访客代表:用户只能查看 Meraki 身份验证用户的列表,添加用户,更新现有用户,并对用户进行 SSID 或客户端 VPN 授权/取消授权。如果代表是所有网络的代表,则还可以删除无线用户。
-
网络 - 仅监控:用户只能查看控制面板监控部分中的一部分内容,并且不能进行任何更改。此类账户适用于在服务提供商部署中为客户提供网络监控访问权限的情况。
-
网络 - 只读:用户能够访问网络的大多数方面,包括控制面板的配置部分,但不能进行任何更改。
-
网络 - 完全:用户有权查看网络的所有方面并对其进行任何更改。
-
SAML
SAML(安全断言标记语言)可与思科 Meraki 控制面板配合使用,为用户提供外部身份验证和一种 SSO(单点登录)方法。SAML 用户可以是组织管理员或网络管理员。这些角色的权限分配与普通用户的权限分配相同。在已经设置了身份提供程序服务 (IdP) 的部署中,强烈建议使用 SAML 访问。
用于设备状态报告的 SNMP 与 API
在许多部署中,采用某些类型的设备报告或者确立某种机制来监控设备状态会因此得益。用于监控设备的选项包括标准的控制面板监控、SNMP 报告和 API 设备状态报告。SNMP 是习惯使用 SNMP 解决方案的用户的可用选项,但如果是大型部署(超过 20,000 台设备),我们强烈建议您通过 API 进行设备状态报告以确保可扩展性。中小型部署可能还会发现,API 设备报告解决方案更适合他们的需要,因此他们应考虑此选项。
您可以阅读我们的 API 文档,详细了解我们提供的用于设备状态报告的 API 终端。
系统日志报告
Meraki 控制面板为其所有设备提供内置的事件日志报告功能,但事件日志仅限于 3 个月左右的历史记录。如有任何部署需要更长时间的历史记录,则应在其部署中部署系统日志服务器解决方案,并应在其网络中启用系统日志报告功能。MX 安全设备支持发送四种类别的消息/角色:事件日志、IDS 警报、URL 和流。MR 无线接入点可以发送相同的角色,只不过 IDS 警报除外。MS 交换机目前仅支持事件日志消息。
您可以阅读我们的《系统日志服务器概述和配置》一文,详细了解如何设置 Meraki 部署的系统日志。
零接触部署
思科 Meraki 将订购和智能管理平台控制面板系统结合在一起,为客户提供最佳的设备自行激活体验。由于所有 Meraki 设备都会自动连接智能管理平台,因此设备或管理基础设施无需进行预先准备即可完成 Meraki 解决方案自行激活。您可以在安装设备或将设备联机前就提前完成所有网络的配置,因为配置与网络绑定并由每个网络的设备继承。此外,借助控制面板内置的实时远程故障排除工具,IT 管理员可以在远程安装人员实际插入端口和无线接入点时远程查看安装状态,从而实现真正的零接触部署。
每台设备在连接到互联网后,会自动通过 Meraki 智能管理平台下载其配置,自动应用您的网络和安全策略,因此您不必进行现场调配。无线 AP 根据环境优化其无线射频配置,而交换机则无缝集成到现有 RSTP 域中。我们建议您在部署前提前配置网络,让安装时间更宽松并避免部署错误。
互联网接入
由于每台 Meraki 设备均从 Meraki 智能管理平台获取所有配置信息,因此设备必须能够接入互联网并访问 Meraki 平台进行自行激活。这意味着您应该对管理 VLAN 配置 DHCP 和 DNS 规则,并应在出站方向打开正确的防火墙规则,以确保所有 Meraki 设备在开机后能够进行连接。有关防火墙规则所需的所有端口和 IP 的列表,可在 Meraki 控制面板的帮助 > 防火墙信息下找到,因为端口可能因您的组织中使用的 Meraki 设备类型而异。
Meraki 固件的最佳实践
Meraki 固件简介
思科 Meraki 的显著优势在于,它能以简单和易于管理的方式提供强大的网络和 IT 解决方案。Meraki 设备的固件管理具有同样的特点。固件管理历来是一个繁琐、耗时而又充满风险的过程,让负责执行升级的网络管理员望而却步、避犹不及,但 Meraki 可有效减轻这一负担。长期以来,复杂性一直困扰着整个行业的固件管理实践,并流传着一些耸人听闻的说法,例如曾经因为 USB 驱动器损坏而导致升级出现意外,或者在数据中心手动调配新代码直到深夜。
为什么智能管理平台让我们与众不同
Meraki 利用 Meraki 基于智能管理平台的控制面板的强大功能来自动安排固件管理相关任务,从而解决复杂的固件问题。控制面板能够以独特的方式让您洞察新固件版本中可用的新功能。
从安全角度来看,智能管理平台的优势无与伦比。如今,新的安全漏洞层出不穷,网络基础设施根本无法避免漏洞攻击。要想遏制这种规模的威胁,灵活性和快速的软件补救措施至关重要。Meraki 有能力及时应对发现的漏洞攻击,修补漏洞,并立即将此固件提供给客户使用。
简化固件更新
早期 Meraki 唯一需要的固件配置是为您的网络指定一个方便的维护时段,例如在周末的深夜。随着 Meraki 与客户共同成长,我们为有所需要的客户加入了更加严格的固件控制功能,同时仍然保持了基于智能管理平台的交付的简单性。现在,客户可以根据具体网络选择要运行的具体固件,以此来管理组织中每个网络的固件;与此同时,我们仍在为不需要这种控制级别的客户提供自动升级功能。
Meraki 使用 Meraki 智能管理平台实现固件交付,以异常迅速、可靠的方式来完成固件升级,这是其独特优势。而我们的用户固件采用率达到惊人的水平,不言而喻体现了这种优势的结果。即使提供了更精细的控制选项,绝大多数用户仍然在候选稳定版本可用后几乎立刻采用并运行我们的最新固件内部版本。我们的广泛测试和 Beta 试用版采用流程可确保我们定期提供可靠的内部版本,从而实现与时俱进的安全性和稳定性。
Meraki 固件命名约定
不同产品的 Meraki 固件命名原则相同,并包含主要和次要版本号作为名称的一部分。固件版本使用以下格式命名:
<产品名称> <主要固件版本>.<次要固件版本>
-
主要版本
随着新的产品、技术和/或主要功能的推出,我们会发布新的主要固件。新的主要固件可能还包括性能、安全性和/或稳定性方面的其他增强功能。
-
次要版本
发布新的次要固件版本是为了修复主要固件版本生命周期内遇到的任何错误或安全漏洞。
Meraki 固件的发布周期包括固件部署过程中的三个阶段,即 Beta 试用版、候选版本 (RC) 和稳定固件。本文档的 “Meraki 固件的开发生命周期” 部分详细介绍了此周期。
常规固件最佳实践
Meraki 以实现直观的设备管理为设计宗旨,Meraki 固件管理也秉承同一理念。得益于 Meraki 控制面板的强大功能,我们能够创建并发布高质量的固件,让您获得先进的功能和安全的高质量软件。这些固件开箱即用,我们建议您让简单、自动、无缝的更新成为您的优势。默认情况下,当新固件可用(在部署前已经过严格验证和测试的固件)时,您的设备会被安排更新。
Meraki 的默认固件设置包括:
-
不自动进行 Beta 试用版固件部署
-
默认升级时段
-
星期三默认升级选项
平均而言,Meraki 每季度会为每个产品系列部署一次新固件版本,此节奏可确保您及时获得可用的新特性和功能,最大限度地减少固件版本之间的重大变化,从而确保使用高质量的软件。
当您安排自动更新后,Meraki 将在计划升级前 2 周通知您,您可以在这两周的时间段内重新安排您选择的日期和时间。我们建议您根据您的业务需求选择最方便的时间,如果需要,您还可以在常规网络设置下将此时间设置为默认升级时段。
如果您希望充分利用最先进和最新的功能,我们建议您启用 “试用 Beta 试用版固件” 切换开关。这样,您就能在最新 Meraki 固件完成我们的固件开发周期中完整的内部自动和手动测试过程后,尽早使用最新固件。如果运行 Beta 试用版固件,您可以在新功能广为可用之前提前使用,并有机会提供有关这些功能的反馈!如果遇到任何有关新 Beta 试用版固件的问题,您可以随时回滚到上一个稳定版本或者以前安装的版本,前提是在 14 天内回滚。
模板
借助配置模板,可以同时对多个站点推送标准配置。将网络附加到模板后,固件将由该模板控制。无法将网络配置为使用与模板所配置的固件版本不同的固件。在某些情况下,Meraki 支持部门能够对个别设备进行升级,但不应该依赖此功能,因为这有碍未来的正常升级。
在安排大型模板以升级固件时,升级将自动错开 15 分钟的间隔。这样就不会造成所有设备同时下载固件的情况,防止升级给 Meraki 智能管理平台带来压力。
多分支机构部署的最佳实践
现在,我们已经了解了 Meraki 固件系统的工作原理,下面我们要介绍如何利用此原理从容地管理网络中的固件。
如上图所示,在管理大规模网络时,应该分阶段部署固件。采用此方法,您可以先在生产环境中测试新功能并验证稳定性,然后再对新功能进行全局部署。
测试网络(Beta 试用版)
建议在发布时使用指定网络来测试 Beta 试用版固件。测试网络可以是规模较小但又有足够设备可用于测试新功能的实验网络或生产网络。如果您的组织中有不同规模的生产网络,最好每种规模额外增加一个 Beta 试用版网络。
为什么应该测试 Beta 试用版固件
虽然所有 Meraki Beta 试用版固件都按照 Beta 试用版发布流程中的说明经过严格的测试,但我们仍然建议您在指定的测试网络中测试新的 Beta 试用版代码。这可以确保根据您的独特环境的需要对固件进行测试,并确保固件正常工作而不会给实际用户带来问题。
Beta 试用版反馈机制
如果在 Beta 试用版固件部署过程中遇到错误,您应联系 Meraki 支持部门,确保使用我们的既定流程在内部记录相关问题。提交支持案例可确保收集适当的详细信息,并提交给 Meraki 工程团队解决问题。在解决问题的过程中,他们可能会向您提供修补程序(通常也称为补丁),用于验证解决方案。修补程序获得确认之后,经固件发布流程后被部署到新的 Beta 试用版中,以便客户继续进行测试。
候选版本网络(验证)
对 Beta 试用版固件进行测试后,您可以选择一直等到主要版本进入候选版本 (RC) 状态;或者,如果您对验证的 Beta 试用版固件感到满意,也可以将 Beta 试用版固件部署到其余网络。如果您的方针是只在生产环境中使用稳定的固件,那么您可以进入部署过程的下一步,将 RC 固件部署到指定的 RC 网络。正如固件部署过程中所述,RC 已经非常接近稳定状态,因此可以在生产环境中部署到更多网络。在此阶段,客户无需制定广泛的测试计划,因为此时所有新功能均已经过测试,工作重点应转移到通过网络广泛部署固件上。如果稳定固件遇到问题,我们建议您升级到下一个候选版本,看看问题是否仍然存在。候选版本包括许多可解决问题的修补程序。
稳定版本网络(完全部署)
当固件被标记为稳定后,客户可以使用固件升级工具将固件部署到剩余的所有网络,或者也可以选择使用自动升级流程来部署固件。如果您按照我们的固件最佳实践来验证和测试当前稳定版本,您可以满怀信心地进行部署,并确信它会在您的独特环境中稳定工作。
如果您发现新的 Beta 试用版或候选版本固件能够按照需要运行并且您希望在整个部署中使用此版本,在此场景下,请继续在整个部署中部署此版本。我们会努力在开发流程的各个阶段提供高质量的固件。如果您在部署后遇到问题,您随时可以轻松回滚到上一个主要稳定固件版本。
MR 固件的最佳实践
随着我们无线产品组合的发展,Meraki 将继续专注于提供现代化部署所需的高性能和高可用性网络。为了实现这一目标,我们将重点放在最大限度地减少升级期间的停机时间、保持安排的灵活性和保证升级维护时段的准确性上。大多数 Meraki 无线接入点 (AP) 更新后将在 1 分钟以内重新启动,确保即使最终用户需要在工作时间内进行固件升级,也能最大限度地缩短中断时间。
此外,当您运行 Meraki 无线网络时,为确保获得出色的 Wi-Fi 固件部署体验,请务必注意几个问题。首先,确保所有 AP 均为一个固件版本。许多 Wi-Fi 功能取决于无线接入点之间的相同预期行为。例如,如果您使用第 3 层漫游,某些不同版本的固件可能彼此不兼容,特别是在第 3 层漫游功能上更是如此。
其次,在升级无线网络时,如果客户端设备使用的驱动程序比较旧,可能会在新功能上遇到问题。在发送任何无线固件之前,我们会在实验室中对 100 台以上的唯一客户端设备(包括许多不同的笔记本电脑、智能手机和采用独特无线芯片组的旧版无线设备)进行测试,但是使用一个测试 AP 来验证您的业务环境所独有的客户端仍不失为一个好主意。这些客户端可能包括对您的业务至关重要的自定义销售点 (POS) 系统或条码扫描仪。同样,用最新 Meraki Beta 试用版无线固件测试这些可能独有的客户端是最佳实践,因为这可以确保在开发周期的早期将任何潜在的互通性问题通知 Meraki。
除了这些基本的最佳实践之外,Meraki AP 还包括产品系列独有的功能,能够改善大规模固件更新。
大规模无线网络的最佳实践
在运行大规模园区无线网络时,无线固件的升级历来被视为存在风险。不过,得益于 Meraki 工程师所采用的敏捷、基于智能管理平台的固件开发流程,您可以通过几项措施来降低这些部署的风险。即使在规模最大的网络中,使用 Meraki 的最佳实践也是在网络中指定一个隔离区域来测试并验证最新的 Meraki 固件。使用指定的 Meraki MR 测试区域,您就可以在您的物理环境中访问所有 Meraki 无线固件并进行验证。这能让您在软件开发过程的早期直接与 Meraki 工程师互动,帮助提供有关新功能的反馈并确定有可能影响您的部署的任何潜在问题。
在上面的示例中,我们指定自助餐厅和一个大型会议区作为 Meraki 测试区域。为此,我们将所选 AP 移到其自己的控制面板网络中以便为其分配(Beta 试用版)固件版本并使之与主网络分离。而且,这样做还能根据需要将 AP 快速回滚到稳定版本,届时只需将 AP 移回主生产控制面板网络即可。
出于以下几个原因,在我们的部署中,这个部分是理想的选择:
-
该区域包括六个 Meraki 无线接入点,这可以确保我们有合理数量的无线接入点来进行测试
-
该区域为我们提供了各种各样的客户端设备,因为人们会将许多不同的智能手机和笔记本电脑带进这个区域
-
几乎所有员工都会在一天中的某个时间频繁出入于大楼中的这个区域
-
由于这不是业务关键型区域,用户更容易管理潜在无线问题所造成的影响
当您对测试环境中的当前固件进行验证并感到满意后,就可以满怀信心地将更新部署到网络的其余部分。值得注意的是,在本示例中,因为部署的固件版本可能不同且两个版本之间尚不能无缝漫游,用户出入指定测试区域时可能偶尔会遇到一些漫游问题。
MS 固件的最佳实践
当您沿着网络堆叠进一步上移至交换时,您还需要考虑一些其他事项。始终要注意考虑交换机的拓扑,因为越接近网络核心而远离接入层,固件升级过程中的风险就越大。因此,在规模较大的基于交换机的网络中,始终应该从最接近接入层之处开始升级。Meraki 交换机固件的管理有两个独到之处,我们同时支持这两个方面:
-
分阶段升级让您可以按照合理的增量逐步升级。例如,从风险较低的接入层位置开始,逐渐转到风险较高的网络核心
-
交换机堆叠的自动更新
升级 Meraki 交换机时,您必须在升级时段中为每个组或每个阶段分配足够的时间,以确保平稳过渡。每个升级周期都需要足够的时间将新版本下载到交换机,执行升级,让网络围绕您的网络中可能配置的生成树和 OSPF 等协议重新收敛;此外,还要留出一些额外的时间,以备有可能在升级后发现任何问题的情况下进行回滚。
交换机升级的概要流程包括以下步骤:
-
交换机下载新固件(时间因连接而异)
-
交换机开始倒计时 20 分钟,让下游的任何其他交换机完成下载
-
交换机使用新固件重新启动(约一分钟)
-
网络协议重新收敛(因配置而异)
分阶段升级
为了简化复杂的交换网络的管理,Meraki 支持自动化分阶段固件更新。您可以借助此功能轻松地将一组交换机指定为不同的升级阶段。在安排升级时,您可以轻松地(如下例所示)标记多个升级阶段。在此例中,我们从阶段 1 的接入层交换机开始,逐步朝着阶段 3 的核心升级。开始分阶段升级后,阶段 1 交换机将在阶段 2 升级开始之前完成整个升级周期。然后,此周期重复,直到三个阶段中的所有交换机全部完成升级。
升级交换机堆叠
除了支持分阶段升级之外,Meraki 还可简化交换机堆叠的管理。作为升级工具集的一部分,我们会自动处理整个交换机堆叠的升级。此升级对固件上传到每台交换机的过程进行管理,并负责交换机堆叠中的每次重新启动。如果您准备在分阶段升级中升级交换机堆叠,Meraki 将在分阶段升级的过程中自动升级交换机堆叠。堆叠的升级过程按照前文概述的同一个概要流程进行,每个堆叠成员差不多同时重新启动,然后在成员上线时自动重新组成堆叠
MX 固件的最佳实践
与 Meraki 提供的许多其他产品不同,MX 设备和 Z 系列设备采用每个站点一个控制面板网络的模式。这种模式可以对整个部署中的升级管理方式进行非常精细的控制。
所有固件升级都需要 MX 设备重新启动,因此必须确保落实合适的维护时段,因为在大多数场景中,MX 升级过程都会导致整个本地网络停止运行。鉴于 MX 设备的中心/上游性质,我们还建议您在升级完成后留出充足的时间进行监控和测试,确保维护时段成功完成。
在管理包含许多 MX 的部署时,以下最佳实践非常实用,有助于完成固件过渡并简化管理。
采用 HA 配置并有两台 MX 的设备网络
当 MX 设备被配置为以高可用性 (HA) 状态运行时(采用 NAT/路由模式或用作单臂 VPN 集中器),控制面板将在执行升级时自动采取措施来最大限度地减少停机时间,以确保零停机 MX 升级。这一点通过以下自动化流程实现:
-
主 MX 下载固件
-
主 MX 停止通告 VRRP
-
辅助 MX 成为主设备
-
主 MX 重新启动
-
主 MX 重新上线
-
主 MX 重新开始通告 VRRP
-
主 MX 重新成为主设备
-
辅助 MX 下载固件(大约在安排原始升级后 15 分钟)
-
辅助 MX 停止通告 VRRP
-
辅助 MX 重新启动并重新上线
使用 AutoVPN 的部署
升级 VPN 集中器时,规划的维护时段必须支持完成升级并执行验证,从而确保完全重新建立连接并且网络系统运行正常。
强烈建议客户根据要执行升级的部署的规模和复杂性来规划维护时段。例如,与只有 10 个分支站点的 VPN 集中机相比,升级支持 1000 个分支站点并在集中器与数据中心之间采用动态路由连接的 VPN 集中器应该分配更多时间。
如果在 VPN 集中器上对测试版固件进行测试,最好在维护时段内安排一定时间,以便完成升级并验证升级完成后的运行状态。此外,我们还建议再分配一段时间用于回滚到上一个内部版本,以防遇到难以处理的问题。
集中器采用 HA 配置时,将按照上述步骤操作。在主设备升级时,系统将开始建立与备份设备之间的 VPN 隧道。不过,主设备通常能够足够快速地完成升级,使分支站点与备份集中器的交互减到最少。
通常情况下,即使是对采用 HA 配置的设备,也最好始终做好分支站点会遇到一定停机和影响的准备。几乎在所有情况下,这些停机都只是集中器对之间的分支站点出现故障而造成的几秒停机,但是如果数据中心与分支位置之间存在广域网连接问题,则影响可能会更加显著。
Meraki 固件的开发生命周期
作为智能管理平台托管设备公司的一项主要优势在于,Meraki 既能利用完整的内部自动测试,又能利用我们的智能管理平台来监控整个已安装用户群的关键设备性能指标。为了确保稳健、可靠的固件开发,Meraki 按照一致的软件发布流程来验证和部署一致且可靠的固件。Meraki 的固件开发流程分为四个阶段:Alpha 预览版、Beta 试用版、候选稳定版本 (RC) 和稳定版本。每个固件版本都是以逐渐发展到稳定版本为目标而创建和发布的。如果某个特定的内部版本在开发过程的任何阶段未通过我们的关键指标,都会创建一个新的内部版本,而整个开发过程也会重新开始。以下几部分将对每个阶段进行更加详细的介绍。
Alpha 预览版
对于包括主要版本和次要版本在内的所有新 Meraki 固件,我们都会通过完成一遍完整的 Alpha 测试过程来着手开发每个新内部版本。在将任何版本交付到用户手中之前,我们都会用一套不断扩大的测试套件来验证该版本,检查有无回归或未按预期执行的新功能。每个产品系列都有该产品特定的自动和手动测试,旨在确保当我们继续创建并扩展软件功能集时,Meraki 能最大限度地减少回归几率。
作为我们核心理念的一部分,在新的内部版本成功通过测试阶段后,我们会在个人与工程研发网络中部署新固件版本。我们认为,我们在任何客户部署固件之前先部署并运行自己的固件非常重要。在此过程中,我们将在实际部署中运行此固件一周或几周,然后再考虑将该内部版本作为新的 Beta 试用版发布。
如果内部版本成功通过我们的所有发布标准,我们就会开始向客户群提供此新的内部版本。如果发现任何需要解决的问题,我们将在解决问题后重新启动此流程,然后继续推进开发流程。在一些比较罕见的情况下,我们会因为修复问题的复杂性或时间安排而继续推进包含已知回归问题的内部版本,不过在这种情况下我们会在该版本的版本说明中注明回归问题。
Beta 试用版
固件最初可用于生产使用是在 “Beta 试用版” 下。客户在其生产网络中运行 Beta 试用版固件通常是为了充分利用新功能和漏洞修补程序。Beta 试用版固件已经接受过内部的回归、稳定性和性能测试,以在应用到生产网络时尽可能减少风险。通过控制面板上的试用 Beta 试用版固件配置选项选择试用 Beta 试用版固件的客户将自动收到通知,并被安排在这些版本发布时升级到这些版本。使用控制面板中的固件升级工具可以取消、修改和复原此类升级。客户还可以使用固件升级工具将网络随时手动升级到 Beta 试用版固件。您可将 Beta 试用版固件视为类似于业内其他产品中的 “早期部署” 固件。
我们的支持和工程团队会为最新 Beta 试用版固件提供全面支持。较早的 Beta 试用版只能获得尽力而为的支持;升级到最新 Beta 试用版可确保获得全面支持。
候选稳定版本
随着新的固件版本从 Beta 试用版逐渐发展成熟,它有机会发展为候选稳定版本。我们的软件和产品团队负责对 Beta 试用版固件的成功进行正式审核。他们将分析用于量化固件质量的关键性能指标 (KPI),包括提交支持案例和工程问题、固件采用和稳定性指标。经过正式审核后,可将 Beta 试用版重新分类为 “候选稳定版本”。此时,固件升级工具中也会如此注明该固件版本。一旦有新的候选稳定版本可用,工程部门就会开始安排数量有限的一组客户进行升级。此类升级也可以使用固件升级工具取消、修改或复原。
我们的支持和工程团队为最新候选稳定版本固件提供全面支持。较早的候选稳定版本只能获得尽最大努力的支持;升级到最新 Beta 试用版、候选稳定版本或稳定版本可确保获得全面支持。
稳定版本
随着候选稳定版本慢慢部署到全球设备,会逐渐发展为稳定版本。某个主要版本的 Meraki 客户群达到指定阈值(约为 20% 的节点)时,该固件版本将升级为稳定版本,等待最终正式审核。对于改良版本,将根据具体情况做出决定。
同样,此时也会分析与候选稳定版本审核中所用 KPI 相同的 KPI。完成这些流程后,固件可升级为 “稳定” 版本。升级后,任何客户均可通过控制面板上的固件升级工具应用稳定版本。最新稳定版本也是为特定设备新创建的所有控制面板网络所使用的固件版本。
固件升级工具
要简化上述所有最佳实践的管理,您可以使用 Meraki 固件升级工具。我们开发此工具是为了让组织能够在单一控制面板中轻松管理整个产品组合中的所有 Meraki 固件。与我们的所有智能管理平台功能一样,我们将在固件升级工具中继续开发更多功能,以提高可用性并简化固件管理。
在 “概况” 选项卡上,客户可以找到各种信息,例如控制面板组织中的最新升级列表、已自动或手动安排的待处理升级、能否取消或重新安排这些升级,以及特定 Meraki 产品的可用固件版本列表(Beta 试用版、候选稳定版本或稳定版本形式)。
在控制面板中,随可用 Beta 试用版、候选稳定版本和稳定固件版本显示了变更日志说明的列表。客户可以通过这些说明充分了解所有新功能、漏洞修补程序,以及他们正在使用的现有固件与计划升级的版本之间存在的已知问题。采用配置模板的客户也可以享受固件升级工具的优势。
请求特定版本的固件
如果出于兼容性原因需要特定版本的固件,则可以向 Meraki 支持部门提出请求。请注意,如果运行的固件版本并非稳定版本或候选版本,则遇到的任何问题都不受支持,Meraki 支持部门可能会建议客户升级到最新版本的固件才能继续排除故障。
锁定的固件
一般而言,我们建议不要只在特定设备上升级固件而不升级整个网络。不过,在故障排除过程中,Meraki 支持部门可能会发现需要在特定设备上试用特定版本的固件。对于由 Meraki 支持部门手动设置固件的设备,您将看到以下消息:固件版本已锁定,请与支持部门联系。
您无法安排添加或删除锁定的固件,如需完成此操作,请致电 Meraki 支持部门。然后,设备将自动降级/升级以与网络固件相符。
其他固件文档
除了本最佳实践文档之外,请参阅以下其他文档,帮助您采用最佳方法部署 Meraki 产品:
服务提供商最佳实践
本文概述建议 MSP 采用的控制面板结构以及一些操作注意事项。
建议的控制面板结构
以下三种模式代表建议 MSP 采用的控制面板结构的三种主要方法。虽然我们建议大多数客户采用标准服务模式(我们的 MSP 约有 80% 也确实采用了此模式),但如果最终客户的网络要求需要更加定制化的方法,则可能也值得考虑其他模式。请注意,控制面板组织之间的区别应该是组织的服务性质或客户网络的性质。
标准服务:按服务划分组织,按客户划分网络
标准服务模式是 MSP 所使用的最普遍和最常用的结构,也因其可为 MSP 提供多种运营优势而受到 Meraki 的极力推荐。在标准服务模式中,MSP 门户围绕着提供的服务构成。此标准服务基于 MSP 为所有客户提供统一的服务这一概念,在此模式下,MSP 通常会为每种服务产品创建单独的组织。通常,组织可代表服务级别,这样,MSP 提供的基本、中级和高级服务就各需要一个组织。
当客户希望更改服务模式时,他们可以移到已为想要转移到的服务所设置的 Meraki 组织中,这使组织能够用作服务产品的模板。这种做法不必从头开始创建组织配置来迎合每个客户的需要,也就节省了所需的相关开销。
定制服务:每个客户一个组织
有时,客户需要采用按客户划分组织的模式,当最终客户拥有自己的设备或需要全权管理自己的网络时,就属于这种情况。在定制服务模式中,通常每个最终客户都拥有硬件设备,而 MSP 一般只提供 IT 服务或咨询。定制服务模式最适合需要自定义环境的客户、自行管理设备的客户或根据合同需要拥有自己的访问权限的客户。仅当客户的网络结构需要采用这种模式时才建议采用此模式,因为此模式的可扩展性不如标准服务模式。如果客户拥有设备则应使用此结构,因为它能赋予 MSP 以模块化方式对待客户并在必要时将客户与 MSP 分离的自由,而且还可以授予客户完全的管理访问权限。此模式最适合小型 MSP 或具有本地管理位置的大型定制 MSP。
SD-WAN 即服务:每个客户一个组织
在标准服务模式下,MSP 在同一个组织中包含多个客户来简化管理。如果为客户提供的服务是 SD-WAN,则不应使用此结构,因为组织的范围定义了 AutoVPN 的连接域。因此,需要将每个 SD-WAN 客户分配到其专用组织中。此模式通常针对具有多个位置/分支机构的中型到大型最终客户进行了优化。
-
MSP 门户的理想结构还包括:
-
一个或多个完全为空的组织,用于克隆用途(无设备或无许可证)
-
一个包含关闭网络的关闭组织,用于存放当前未使用的设备
-
每个组织下的不同网络,通常按物理位置进行组织
-
-
请注意,“MSP 门户” 与账户绑定。同一家 MSP 公司下的多个账户不一定为同一个 MSP 门户。如果未将客户的账户添加到同一个组织管理员列表中,则另一个账户可能会看到一组不同的客户。
按客户划分组织与按客户划分网络的注意事项
固件升级
根据您采用的结构模式,您可以跨数千个网络集中管理固件,也可以按组织分别管理固件。
按客户划分网络
借助控制面板中的固件升级工具,组织管理员可以按网络和按设备类型(MX 与 MR)快速、轻松地管理固件版本。此外,固件升级工具还可用于安排、重新安排和取消批量网络升级,查看固件变更日志说明,查看固件版本号,以及在最近升级的网络中回滚固件。
按客户划分组织
目前尚无可跨多个组织管理固件的机制。如果使用按客户划分组织模式,请注意必须单独访问每个客户组织进行固件管理。
搜索功能
通常您会发现,在单一组织中,搜索条件更加灵活和直接。如果您的组织按客户划分,您就无法跨控制面板中的不同组织轻松搜索多个客户,而可能需要依赖某种具有跨多个组织的账户的 API 解决方案。
按客户划分网络
此模式支持可扩展的搜索功能,包括按网络名称、网络标签、硬件序列号或 MAC 地址进行搜索的功能。
按客户划分组织
在此模式中,只有按组织名称进行搜索的功能才可以使用顶级搜索。跨多个组织进行搜索/查询需要多组织 API 账户。
克隆功能
利用克隆功能,用户可以在创建新网络时复制网络。这对创建大量相同或几乎相同的网络非常实用。
按客户划分网络
可以克隆具有大多数网络和设备级配置的网络。
按客户划分组织
只能克隆没有设备级配置的组织。
克隆的组织级设置:
-
组织管理员
-
通过 SAML 创建的组织管理员
-
配置模板
-
此前由 Meraki 支持部门启用的设置
-
控制面板品牌策略
-
有效客户的品牌更新需要手动应用到每个组织。无法在组织之间复制设置。
-
启动页主题
配置模板
标准客户模板的更新无法跨多个组织复制。请注意,虽然 MSP 可以选择使用配置模板,但我们一般强烈建议代之以使用克隆功能,因为它在规模较大的部署中可以更好地扩展并且能够更轻松地通过 API 进行编程。
使用配置模板,可以按照一种基本配置部署许多思科 Meraki 设备。作为模板一部分的站点可以采用例外的配置,也可以将需要不同对待的设备绑定到模板。否则,每个客户创建一个模板。
按客户划分网络
多个客户之间可以共享模板。
在更新服务设计时(例如开启新功能),您可以克隆模板并为每个客户进行复制。
按客户划分组织
组织创建后,必须单独为每个客户应用对模板做出的任何更改,不能在组织之间复制设置。
申领设备和许可证
通常,应按组织下订单。也就是说,在每次购买时,每个组织一份订单。分开购买意味着订单编号分立,这会使申领更复杂且容易出错。
按客户划分网络
可以使用一个许可证密钥或订单编号来申领批量订单。许可将在网络之间共享,因为它的范围是按组织确定的。
按客户划分组织
批量订单需要通过定制机制进行处理,以便为每个客户组织提供单独的许可证密钥。每个密钥都将申领给其各自的组织。
使用情况报告
在多个组织之间,对使用情况的可视性降到最低。
按客户划分网络
组织 > 概况页面将显示所有客户的使用情况摘要。您还可以在整个组织中使用网络标签,例如用于过滤服务级别不同的客户(例如 30Mb 与 1Gb 客户)。
按客户划分组织
MSP 门户中没有使用情况报告功能。
管理员的管理
按客户划分网络
有一个管理员门户用于在不同客户之间添加/修改/删除角色和访问权限。
按客户划分组织
无法在组织之间复制管理员设置。除非使用 API,否则必须访问每个客户组织才能维护客户和管理员访问权限。
更改设备用途
按客户划分网络
可以在网络之间移动设备,不需要完成任何额外的许可证工作流程
按客户划分组织
虽然可以在网络之间移动设备,但必须联系 Meraki 支持部门才能在组织之间移动许可证。
变更日志
Meraki 控制面板变更日志是组织中已经做出的配置更改的滚动列表。
按客户划分网络
变更日志将包括对所有客户网络做出的更改。
按客户划分组织
变更日志的范围按客户确定,并且需要按组织查看对每个客户做出的更改。
安全中心
安全中心的范围按组织确定,并显示整个组织中安全事件、分析和通知的可视化摘要,包括入侵检测、入侵防御和恶意软件事件的摘要。
按客户划分网络
提供跨所有客户的集中安全视图。
按客户划分组织
必须访问每个组织才能查看安全报告。
控制面板 API 和 SNMP 访问权限
如果在控制面板网站外配置或监控客户,则必须为希望访问的每个组织维护一组唯一的参数。
常规最佳实践
每个组织的最少管理员账户数
每个组织的 Meraki 控制面板管理员账户应包括:
-
至少 1 个供 MSP 公司使用的 “主” 组织管理员共享账户,例如 example@msp.com
-
一个备用组织管理员账户用于恢复,以防被锁定在主管理员账户外
-
至少一个供客户使用的账户,即使客户并不登录。如果客户不登录或未向客户提供这些凭证,至少应在 MSP 与客户的关系结束时向客户提供账户的凭证。如果客户拥有自己的设备,则客户账户应为完全权限的组织管理员(读/写)账户。当客户从 MSP 租用设备时,该账户应为只读账户或者仅网络账户
出于安全考虑,对 MSP 应始终使用双因素身份验证,并务必要以物理方式复制一份一次性双因素身份验证恢复代码。
创建新组织/添加新客户和品牌
至少保留一个完全为空的组织,以便在需要创建新组织时用于克隆。应将此克隆组织用作模板,创建包含源组织以下内容的新组织:
品牌
必须逐个组织地应用品牌,因此,将品牌应用到所有客户组织的最快方法是从包含 MSP 品牌的源组织克隆品牌。
请注意,品牌不会以追溯方式应用于 MSP 门户下的所有组织,所以如果在创建时未使用组织克隆,则必须将其应用于每个单独的组织。
管理员
克隆的组织将保留源组织的管理员列表,因此您可以轻松地将 MSP 管理员复制到每个组织。
SAML 访问权限
正如克隆组织时管理员会继续存在一样,SAML 访问权限也会继续存在。如果您不希望源组织中的某些 SAML 管理员能够在克隆后登录客户组织,请注意这一点,以防出现隐私问题。
切勿将许可证或设备添加到该组织中,否则它最终会违反许可合规性。应该始终将其留空。
将组织添加到 MSP 门户
将组织添加到 MSP 门户只需要将您的账户邮箱添加到该组织的管理员列表中。请注意,这意味着在 MSP 域下添加单个账户不会将同一个组织添加到该域的通用账户。邮箱地址是唯一的区别。
SAML 管理员账户
使用 SAML 管理员账户可以更轻松地将权限分配给最终用户和网络管理员。组织变更日志将记录用于进行更改的 SAML 账户,这对大多数 MSP 跟踪网络管理员或最终客户所做的网络更改具有至关重要的作用。
订单
最好根据不同的组织分别下订单。虽然按订单拆分设备很容易,但每份订单的许可通常捆绑到一个密钥中,因此如果为多个组织下一份订单,则许可在交付时不是独立的,可能需要致电 Meraki 才能拆分/移动。
未使用的设备和资产
任何人都未使用的设备应保留在一个完全独立的关闭组织的网络中。这可以防止任何其他人申领设备,因为设备只有在网络中才会免于被申领。资产中(但不在网络中)的设备仍可在其他组织中被人申请。此组织不应包含任何许可,并且所有设备均应保留在网络中,该网络可能会标记为 “未使用的资产”。此组织的许可会过期并违反合规性,但可以忽略许可警告,因为资产仍可管理。此组织和网络应仅用于未使用的资产。
支持案例
向 Meraki 支持部门提交的支持案例应始终遵循两条规则:
-
MSP 应始终使用 MSP 客户编号向支持部门致电/发送邮件
-
MSP 下的客户应始终使用自己的客户编号而非 MSP 的客户编号向支持部门致电/发送邮件
支持案例按照 Meraki 客户编号显示。这意味着,如果最终客户共享一个客户编号,他们就能看到彼此的支持案例。这可能造成隐私问题,因此,您应该确保不应看到彼此的支持案例的不同客户没有相同的客户编号。
不要与最终客户共享 MSP 客户编号。始终记录最终客户的 Meraki 客户编号,并准备好应支持部门的要求提供此编号。
添加/获取新的最终客户
当您获取并添加的最终客户是 MSP 门户下的现有 Meraki 客户时,最好联系您的销售代表并告知此情况。他们可以更新其记录以确保您的支持案例和账户反映此更改,从而确保为每个组列出的联系人和账户正确无误。
API 密钥
请注意,您的 API 密钥基于您的账户,您的 MSP 门户亦然。您使用同一个账户创建的每个组织都将共用同一个 API 密钥。在考虑 API 密钥的可视性和权限时,请注意此点。
最佳实践设计 - MX 安全和 SD-WAN
常规 MX 最佳实践
安全工具
Meraki 控制面板中的安全中心为安全过滤事件提供了一个集中视图。这些事件包括 IDS/IPS 和高级恶意软件防护 (AMP) 事件。
安全中心通过各种不同的组件为网络管理员提供信息和洞察力,这些组件各侧重于不同的分析和用途。安全中心页面的顶部可用于对正在查看的数据进行控制。
下图显示了 IDS/IPS 签名的信息卡示例。选择仅显示此签名将只显示与该签名相关的事件。
这些过滤器将显示于导航和控制面板下方,点击右侧的 X 可将其消除。
安全中心提供各种可视化组件,用于了解网络中的安全事件(包括追溯性恶意软件检测),而 “一段时间内的事件” 则显示一段指定时间间隔内与配置的过滤器相匹配的事件数量。
请阅读《安全中心》一文,详细了解如何使用安全中心。
入侵检测
在安全设备 > 配置 > 威胁防护下将检测选项设置为启用,即可启用入侵检测。在启用入侵检测时,可以使用规则集选择器选择三个不同的检测规模集:
-
连接:包含当年和前两年用于检测 CVSS 评分为 10 的漏洞的规则
-
平衡:包含当年和前两年用于检测 CVSS 评分为 9 或更高的漏洞的规则,为以下类别之一:
-
恶意软件 CNC:用于检测已确定僵尸网络流量的已知恶意命令与控制活动的规则。此类活动包括自动通报、下载丢弃的文件和数据泄露(未经授权从客户端设备检索数据)
-
黑名单:用于检测已确定为恶意活动指标的 URI、用户代理、DNS 主机名和 IP 地址的规则
-
SQL 注入:旨在检测 SQL 注入企图的规则
-
漏洞攻击包:旨在检测漏洞攻击包活动的规则
-
-
安全:包含当年和前三年用于检测 CVSS 评分为 8 或更高的漏洞的规则,为以下类别之一:
-
恶意软件 CNC:用于检测已确定僵尸网络流量的已知恶意命令与控制活动的规则。此类活动包括自动通报、下载丢弃的文件和数据泄露
-
黑名单:用于检测已确定为恶意活动指标的 URI、用户代理、DNS 主机名和 IP 地址的规则
-
SQL 注入:旨在检测 SQL 注入企图的规则
-
漏洞攻击包:旨在检测漏洞攻击包活动的规则
-
应用检测:查找并控制生成网络活动的特定应用的流量的规则
-
默认情况下会选中平衡规则集。
入侵防御
在安全设备 > 配置 > 威胁防护下将防御选项设置为启用,即可启用入侵防御。如果根据上面指定的检测规则集将流量检测为恶意,系统会自动阻止该流量。
内容过滤
使用内容过滤功能,您可以根据您的组织策略阻止某些类别的网站。您也可以阻止个别网站或将其列入白名单(允许),进一步进行自定义。例如,如果您阻止 “互联网通信” 类别,这也会阻止 gmail.com 和 facebook.com,因为这两个网站都是通信平台。您可以将 gmail.com 和 facebook.com 列入白名单,以确保在阻止提供聊天功能的所有其他网站的同时,这两个网站能够完全正常运行。
您有多个与内容过滤相关的选项:
-
阻止的网站类别:选择您希望阻止的类别。
-
URL 类别列表大小:选择 “仅排名靠前的网站” 以实现更高的性能,或者选择 “完整列表” 以扩大覆盖范围。当您选择了 “仅排名靠前的网站” 时,每个被阻止的类别中排名靠前的网站列表将缓存在设备本地。在该模式下,系统将始终允许客户端访问不在排名靠前的网站列表中的 URL(当然,不能是黑名单中所列的 URL)。如果选择 “完整列表”,请求访问不在排名靠前的网站列表中的 URL 将导致设备在智能管理平台托管的数据库中搜索该 URL。客户端第一次访问网站时,可能对网络浏览速度造成显著影响。但是,其结果将缓存在本地。随着时间的推移,“完整列表” 的性能应接近 “排名靠前的网站” 选项的速度。
-
Web 搜索过滤:启用此设置可为网络中的所有用户执行 Google、Yahoo! 和 Bing 安全搜索。这不会影响 SSL/HTTPS 搜索。
-
阻止加密搜索:由于 Web 搜索过滤无法阻止加密搜索,因此在启用它时将显示此选项。启用阻止加密搜索将创建一条第 7 层防火墙规则,阻止用户访问加密 Google 网站(Gmail 除外)。因为 Yahoo! 和 Bing 不使用加密搜索。这可以防止用户使用加密 Google 搜索规避 Web 搜索过滤。
-
Youtube for Schools:启用 YouTube 的 “YouTube for Schools” 功能。这还需要您输入 Youtube EDU ID。
-
阻止的 URI 模式:输入您希望阻止的特定 URI 模式,每行一个。有关模式匹配的详细信息,请参阅下文。
-
列入白名单的 URL 模式:输入您希望明确允许的特定 URI 模式,每行一个。有关模式匹配的详细信息,请参阅下文。
高级恶意软件防护
高级恶意软件防护 (AMP) 是来自 SourceFIRE 的一项行业领先的防恶意软件技术,已集成到 MX 安全设备中。
AMP 仅在高级安全版许可证中可用。
了解 AMP 的几个主要概念十分重要:
处理结果
文件的处理结果是 AMP 云中用于确定对文件下载采取什么操作的分类。
有三种文件处理结果:
-
正常 - 已知该文件为良性。
-
恶意 - 已知该文件有害。
-
未知 - 数据不足,无法将文件划分为正常或恶意类别。
追溯
有时,根据 AMP 云所获得的新威胁情报,文件会更改处理结果。这种重新分类可能还会生成追溯性警报和通知。
AMP 集成概述
MX 安全设备将根据从 AMP 云收到的处理结果,阻止基于 HTTP 的文件下载。如果 MX 收到的文件下载处理结果为恶意,则会阻止下载。如果 MX 收到的处理结果为正常或未知,则会允许文件下载完成。
支持的检测文件类型包括:
-
MS OLE2(.doc、.xls、.ppt)
-
MS Cabinet(Microsoft 压缩类型)
-
MS EXE
-
ELF(Linux 可执行文件)
-
Mach-O/Unibin(OSX 可执行文件)
-
Java(类/字节码、jar、序列化)
-
PDF
-
ZIP(常规和跨区)*
-
EICAR(标准化测试文件)
-
SWF(Shockwave Flash 6、13 和未压缩)
思科 Threat Grid
思科 Threat Grid 是一个统一威胁情报和恶意软件分析平台,与思科高级恶意软件防护 (AMP) 解决方案紧密集成。它执行自动静态和动态分析,为提交的每个文件生成包含行为表现的人类可读报告。Threat Grid 的全球可扩展性推动了情景丰富的信息,这些信息既可以直接使用也可以通过内容丰富的威胁情报源使用。
Threat Grid 依据 950 多种行为表现和源自全球的恶意软件知识库分析可疑文件,提供行业领先的准确性和情景丰富的威胁分析。
采用 Threat Grid 作为全面网络安全战略的一部分可以发挥如下作用:
-
更加深入地了解恶意软件正在执行或尝试执行的操作、它对组织构成多大的威胁,以及如何防御它
-
通过情景丰富的安全分析准确识别威胁
-
使用来自 Threat Grid 高级威胁源的威胁情报,主动保护企业
-
通过云服务每天分析成千上万个威胁的规模和强大功能,防御源自任何地方的威胁
Threat Grid 与 Meraki MX 的集成
通过 AMP 与 Meraki MX 安全设备的集成,Meraki 用户能够利用 AMP 的文件信誉和文件追溯服务,并获益于 AMP 云中的全球情报。AMP 云响应 MX 设备对下载文件的查询,并返回文件处理结果 “正常”、“恶意” 或 “未知”。恶意文件会受到阻止,而正常和未知文件则允许通过 MX 传给最终用户。启用 Threat Grid 集成时,MX 将向 Threat Grid 上传符合条件的未知文件进行额外的静态和动态分析。分析完成后,Meraki 安全中心将提供一份详细的报告,其中包含与分析中观察到的行为相匹配的威胁评分和行为表现。根据观察到的行为的严重性和威胁评分,Meraki MX 管理员可能需要发起进一步的调查和响应。面向终端的 AMP 是作为补充的集成终端保护解决方案,针对通过边界防御的威胁提供强大的终端级可视性与可控性功能。
MX 网络
数据中心内的 MX
数据中心冗余(数据中心间故障切换)
在额外的数据中心内部署一台或多台 MX 用作 VPN 集中器,可为关键网络服务提供更高的冗余能力。在双数据中心或多数据中心配置中,可以通过 VPN 集中器模式的 MX 从每个数据中心通告相同的子网。
在数据中心间故障切换设计中,分支站点将与为该站点配置的所有 VPN 中心之间形成 VPN 隧道。对于特定中心独有的子网,只要分支与中心之间的隧道已成功建立,就会将流量直接路由到该中心。对于从多个中心通告的子网,分支站点将向优先级最高的可访问中心发送流量。
VPN 集中器的热备份(高可用性)
为实现高可用性 (HA) 而进行配置时,一台 MX 作为主设备,另一台 MX 以热备份模式运行。所有流量都流经主 MX,而备份 MX 则用作故障情况下的一层额外冗余。
采用 HA 配置的 MX 之间的故障切换使用 VRRP 心跳数据包。这些心跳数据包从主 MX 经单一上行链路向外发送到辅助 MX,表示主 MX 在线并工作正常。只要辅助 MX 还在接收这些心跳数据包,它就会在备份状态下运行。如果辅助 MX 不再收到这些心跳数据包,它会假定主 MX 离线并因此转换为主设备状态。为了接收这些心跳,两台 VPN 集中器 MX 都应该有数据中心内同一个子网中的上行链路。
Auto VPN
Meraki Auto VPN 技术是一种独特的解决方案,只需点击一次鼠标即可创建站点间 VPN 隧道。通过控制面板启用后,每台加入的 MX 设备会自动执行以下操作:
-
通告加入 VPN 的本地子网。
-
通告互联网 1 和互联网 2 端口上的广域网 IP 地址。
-
从控制面板下载全局 VPN 路由表(由控制面板根据 VPN 网络中每个 MX 的已通告 WAN IP/本地子网自动生成)。
-
下载用于建立 VPN 隧道和流量加密的预共享密钥。
从最终结果可见,这是一个自动化网状站点间 VPN 解决方案,只需点击一下鼠标即可完成配置。
站点间 VPN 设置可通过安全设备 > 配置 > 站点间 VPN 页面进行访问。
有三个选项可用于配置 MX 在自动 VPN 拓扑中的角色:
-
关闭:MX 不会加入站点间 VPN。
-
中心(网状):MX 设备将与同样配置为此模式的所有远程 Meraki VPN 对等体以及处于中心辐射模式的任何 MX 设备建立 VPN 隧道,此 MX 设备将被配置为中心。
-
分支:此 MX 设备(分支)只会与指定的远程 MX 设备(中心)建立直接隧道。除非被站点间防火墙规则阻止,否则其他分支可以通过其各自的中心进行访问。
MX 作为 VPN 集中器
退出中心
仅当将 MX 配置为中心节点时,此选项才可用。通过此选项,您可以指定要接收来自本地 MX 设备的所有网络流量的远程 MX 设备。这将创建一个全隧道配置,将流向默认路由的所有流量都发送到指定 MX。
在全隧道拓扑中,必须在全隧道客户端上执行所有安全和内容过滤。退出中心不会对通过 VPN 传入的流量应用内容过滤、IPS 阻止或恶意软件扫描。不过,对此流量会执行 IDS 扫描。
集中器优先顺序
集中器优先顺序决定了处于中心(网状)模式的设备将如何访问从多个 Meraki VPN 对等体通告的子网。与中心优先顺序类似,列表中最上方的集中器只要 a) 通告了该子网并且 b) 当前可通过 VPN 访问,则将用于此类子网。必须注意的是,只有处于网状模式的设备使用集中器优先顺序。处于中心辐射模式的设备将忽略集中器优先顺序,而是使用其中心优先顺序。
MX 作为 VPN 分支
中心
将设备配置为分支时,可以为该设备配置多个 VPN 中心。在此配置中,分支 MX 将所有站点间流量发送至其配置的 VPN 中心节点。
默认路由
为分支配置中心时,可以选择将一个中心选为默认路由。如果选择此选项,则该中心将被配置为该分支的默认路由 (0.0.0.0/0)。并非发送到配置的 VPN 对等网络、静态路由或本地网络的任何流量都将被发送到默认路由。可以选择多个中心作为默认路由。标记为默认路由的中心按降序排列优先顺序(最优先的排在最上方)。
配置多个 VPN 中心
要添加更多中心,请点击所选现有中心下方的 “添加其他中心” 按钮。请注意,只有处于网状 VPN 模式的设备可作为中心,因此控制面板组织中的网状 VPN 设备数量也就代表了可为任意给定设备配置的中心的最大数量。
在此页面上配置中心的顺序即为中心优先顺序。中心优先顺序用于确定在多个 VPN 中心通告同一子网的情况下要使用的中心。最上方的中心只要 a) 通告了该子网并且 b) 当前可通过 VPN 访问,则将用于访问该子网。
点击相应中心右侧的灰色 “X”,可以删除该中心。点击并拖动列表中任意中心右侧的灰色四点箭头图标将该中心向上或向下移动,可以重新排列中心优先顺序列表。
隧道
有两种隧道模式可供配置为分支的 MX 设备使用:
-
分割隧道(无默认路由):仅发送站点间流量,意味着如果子网位于远程站点,则通过 VPN 发送发往该子网的流量。但是,如果流量以不在网状 VPN 中的网络为目的地(例如,发往 www.google.com 等公共 Web 服务的流量),则不通过 VPN 发送该流量,而是使用其他可用路由来进行路由,最常见的是从本地 MX 设备直接发送到互联网。分割隧道支持配置多个中心。
-
全隧道(默认路由):配置的退出中心通过自动 VPN 向分支 MX 通告默认路由。发往无法通过其他路由访问的子网的流量将通过 VPN 发送到退出中心。退出中心的默认路由按降序排列优先顺序。
NAT 穿越
如果 MX 设备位于防火墙或其他 NAT 设备之后,则有两个选项可用于建立 VPN 隧道:
-
自动:在绝大多数情况下,MX 设备可使用名为 “点对点 UDP 连接” 的技术与远程 Meraki VPN 对等体自动建立站点间 VPN 连接,即使通过防火墙或 NAT 设备亦可。这是建议(和默认)选项。
-
手动端口转发:如果自动选项不起作用,则可使用此选项。启用手动端口转发时,Meraki VPN 对等体使用指定的公共 IP 地址和端口号与 MX 设备联系。您需要配置上游防火墙以将该端口的所有传入流量转发到 MX 设备的 IP 地址。
请确保您选择的端口号尚未被其他服务使用。
本地网络
如果您有多个局域网子网,您可以选择指定要加入 VPN 的 VLAN 和静态路由。
仅当通告同一个子网的所有设备均处于直通或 VPN 集中器模式时,才可以从多个设备通告该子网。从处于 NAT 模式的设备通告的所有子网在自动 VPN 拓扑中必须是唯一的。
如果 MX 设备有通往某个子网的静态局域网路由,则也可以通过 VPN 通告该子网。如果您选择通过 VPN 通告静态路由子网,为了保持路由对称性,请确保每个子网的网关设备均已配置为将远程 VPN 子网的流量路由到 MX 设备。
VPN 子网转换
VPN 子网转换默认不启用,而且一般建议不要启用, 除非部署绝对需要。如果部署需要进行子网转换,可以联系 Meraki 支持部门将其启用。
在大型分布式网络中,多个网络的子网范围可能相同(即存在子网重叠)。站点间 VPN 通信要求每个站点具有不同且不重叠的本地子网。如果多个位置具有相同的本地子网,请启用 VPN 子网转换将本地子网转换为具有相同地址数的新子网。
示例:
-
分支机构 1 本地子网:192.168.31.0/24
-
分支机构 2 本地子网:192.168.31.0/24(完全相同!)
-
分支机构 1 转换后子网:10.0.1.0/24
-
分支机构 2 转换后子网:10.0.2.0/24
在上面的示例中,即使两个网络有相同的本地子网,它们也可以使用其转换后的 VPN 子网通过 VPN 进行通信。通过 VPN 隧道,可将分支机构 1 作为 10.0.1.0/24 访问,将分支机构 2 作为 10.0.2.0/24 访问。
OSPF 路由通告
虽然 MX 安全设备目前不支持完整的 OSPF 路由,但可以使用 OSPF 向核心交换机或其他路由设备通告远程 VPN 子网,而无需创建通往这些子网的静态路由。仅 VPN 集中器模式下支持 OSPF 通告。
通告远程路由:如果将此项设置为 “启用”,则会使用 OSPF 将远程 VPN 子网通告为可通过此集中器进行访问。
路由器 ID:此集中器用于向邻居标识自身的 OSPF 路由器 ID
区域 ID:此集中器在发送路由通告时使用的 OSPF 区域 ID。
开销:从此集中器通告的所有 OSPF 路由所附加的路由开销。
Hello 计时器:集中器发送 OSPF Hello 数据包的频率。OSPF 拓扑中所有设备的此设置应该相同。
Dead 计时器:集中器等待来自特定 OSPF 邻居的 Hello 数据包多长时间后,将该邻居视为不活动
MD5 身份验证:如果启用此项,将使用 MD5 散列对潜在 OSPF 邻居进行身份验证。这可以确保没有未经授权的设备将 OSPF 路由注入网络。
身份验证密钥:MD5 密钥和口令。在您希望建立 OSPF 邻接关系的任何设备之间,这两个值必须匹配。
非 Meraki VPN 对等点
您可以在安全设备 > 配置 > 站点间 VPN 页面的非 Meraki VPN 对等体部分下创建 MX 设备与非 Meraki VPN 终端设备之间的站点间 VPN 隧道。只需点击添加对等体并输入以下信息:
-
远程设备或 VPN 隧道的名称。
-
远程设备的公共 IP 地址。
-
您希望通过 VPN 连接到的第三方设备后的子网。也可以指定 0.0.0.0/0 来定义通往此对等体的默认路由。
-
要使用的 IPsec 策略。
-
预共享密钥 (PSK)。
-
可用性设置,用于确定控制面板组织中将连接到对等体的设备。
IPsec 策略
有三种可用的预设 IPsec 策略。
-
默认:使用 Meraki 默认 IPsec 设置连接到非 Meraki 设备
-
AWS:使用默认设置连接到 Amazon VPC
-
Azure:使用默认设置连接到 Microsoft Azure 实例
如果这些预设都不合适,可以使用自定义选项手动配置 IPsec 策略参数。这些参数分为第 1 阶段和第 2 阶段。
第 1 阶段
-
加密:在 AES-128、AES-192、AES-256、DES 和3DES 加密之间进行选择
-
身份验证:选择 MD5 或 SHA1 身份验证
-
Diffie-Hellman 组:在 Diffie-Hellman (DH) 组 1、2 和 5 之间进行选择
-
生存时间(秒):输入以秒为单位的第 1 阶段生存时间
第 2 阶段
-
加密:在 AES-128、AES-192、AES-256、DES 和 3DES 加密之间进行选择(可以选择多个选项)
-
身份验证:在 MD5 和 SHA1 身份验证之间进行选择(可以同时选择两个选项)
-
PFS 组:选择 “关闭” 选项禁用完全向前保密 (PFS)。选择组 1、2 或 5 允许 PFS 使用相应的 Diffie Hellman 组。
-
生存时间(秒):输入以秒为单位的第 2 阶段生存时间
请注意,MX 设备上的站点间 VPN 连接当前不支持 IKEv2 协议。
对等体可用性
默认情况下,非 Meraki 对等体配置适用于控制面板组织中的所有 MX 设备。由于您控制的每台设备并非都需要与特定的非 Meraki 对等体建立隧道,因此您可以通过 “可用性” 列来控制组织中将连接到每个对等体的设备。此控制基于网络标签,这是您可以应用于控制面板网络的标签。
如果为对等体选择了 “所有网络”,则组织中的所有 MX 设备都将连接到该对等体。如果选择特定网络标签或标签集,则只有带有一个或多个指定标签的网络将连接到该对等体。
有关网络标签的更多信息,可在我们的《组织概述》一文中找到。
VPN 防火墙规则
您可以添加防火墙规则来控制允许通过 VPN 隧道的流量。这些规则将应用于组织中所有加入站点间 VPN 的 MX 设备的入站和/或出站 VPN 流量。要创建防火墙规则,请点击安全设备 > 配置 > 站点间 VPN 页面上站点间防火墙部分的添加规则。这些规则的配置方式与本文档的防火墙设置页面所述第 3 层防火墙规则的配置方式相同。
监控站点间 VPN
您可以通过以下方式监控 Meraki 设备之间的站点间 VPN 隧道状态:依次点击安全设备 > 监控 > VPN 状态。此页面提供配置的 Meraki 站点间 VPN 隧道的实时状态。它列出了通过 VPN 导出的子网、MX 设备与 Meraki VPN 注册表之间的连接信息、NAT 遍历信息,以及所有隧道使用的加密类型。此外,站点连接列表还提供远程 Meraki VPN 对等体的以下信息:
-
远程 Meraki VPN 对等体的名称。
-
远程对等设备通过 VPN 通告的子网。
-
状态(对等体当前是否可访问)。
-
VPN 上的往返数据包延迟(以毫秒为单位)。
-
最后一次发送心跳数据包以确定 VPN 隧道状态的时间(以秒为单位)。
对于非 Meraki 对等体,此页面显示的信息有限。
支持的寻址模式
集中器模式
所有 MX 均可配置为 NAT 或 VPN 集中器模式。这两种模式都有一些需要考虑的重要注意事项。有关集中器模式的更多详细信息,请参阅我们的《MX 寻址和 VLAN》一文。
单臂集中器
在此模式下,MX 只配置了一条与上游网络的以太网连接。所有流量都将在该接口上发送和接收。对于用作数据中心内 VPN 终结点的 MX 设备,这是建议配置。
NAT 模式集中器
此外,还可以利用 SD-WAN 功能集,将配置为 NAT 模式的 MX 用作数据中心内的 VPN 终结点。
Meraki Auto VPN
Auto VPN 最佳实践
此处列出的最佳实践以最常见的部署场景为重点,但并无意阻止使用另外的拓扑。大多数部署的建议 SD-WAN 架构如下:
-
MX 作为单臂集中器部署于数据中心内
-
数据中心的热备份/高可用性
-
部署 OSPF 路由通告以实现与连接的 VPN 子网之间的可扩展上游连接
-
数据中心冗余
-
来自分支机构和远程办公室的分割隧道 VPN
-
在所有分支机构和远程办公室部署双广域网上行链路
分支机构的Auto VPN
配置和构建Auto VPN 隧道之前,应该检查几个配置步骤。
广域网接口配置
虽然通过 DHCP 自动配置上行链路在许多情况下已经足够,但有些部署可能需要为分支机构的 MX 安全设备手动配置上行链路。向广域网接口分配静态 IP 地址的程序可以在我们的《MX IP 分配》文档中找到。
某些 MX 型号只有一个专用互联网端口,如果需要两个上行链路连接,则需要通过设备本地状态页面将一个局域网端口配置为辅助互联网端口。目前,需要将局域网端口重新配置为辅助互联网端口的 MX 型号包括 MX64 系列、MX67 系列和 MX100 设备。您也可以在我们的安装指南中按型号逐一在线核实。此配置更改可在配置选项卡的设备本地状态页面上执行。
子网配置
使用Auto VPN时,只需点击几下即可在Auto VPN 拓扑中添加和删除子网。应该先配置相应的子网,然后再继续进行站点间 VPN 配置。
VPN集中器优先顺序
集中器优先顺序根据各个中心节点在列表中从上到下的位置而定。第一个集中器的优先级最高,第二个集中器的优先级辞次之,依此类推。如果流量发往从多个集中器通告的子网,则会被发送到 a) 通告了该子网并且 b) 当前与分支建立了有效 VPN 连接的优先级最高的中心节点。如果流量发往只有一个中心通告的子网,则会被直接发送到该中心节点。
配置允许的网络
要允许特定子网通过 VPN 通信,请在站点间 VPN 页面中找到本地网络部分。子网列表是使用寻址和 VLAN 页面中配置的本地子网和静态路由以及客户端 VPN 子网(如果配置了此子网)填充的。
要允许子网使用 VPN,请将该子网的使用 VPN 下拉列表设置为是。
数据中心的Auto VPN
部署单臂集中器
单臂集中器是建议 SD-WAN 部署采用的数据中心设计选择。下图显示了使用单臂集中器的数据中心拓扑示例:
NAT
使用手动还是自动 NAT 遍历是采用 VPN 集中器时需要考虑的重要注意事项。
在以下情况下,需要使用手动 NAT 遍历:
-
存在不友好的 NAT 上游
-
实施了严格的防火墙规则来控制允许出入数据中心的流量
-
必须了解远程站点与 VPN 集中器进行通信所使用的端口
如果选择手动 NAT 穿越,强烈建议为 VPN 集中器分配一个静态 IP 地址。手动 NAT 穿越适用于指定端口的所有流量都可以转发到 VPN 集中器时的配置。
在以下情况下,需要使用自动 NAT 穿越:
-
上面列出的需要使用手动 NAT 穿越的所有条件都不存在
如果选择自动 NAT 穿越,MX 将自动选择一个编号较大的 UDP 端口作为发出自动 VPN 流量的源端口。VPN 集中器将使用此端口访问远程站点,在上游防火墙中创建状态流映射,这也会允许从另一端发起的流量通过并流向 VPN 集中器,而无需单独的入站防火墙规则。
数据中心冗余(数据中心间故障切换)
Meraki MX 安全设备通过我们的数据中心间故障切换实施来支持数据中心间冗余。上面使用的步骤也可同样用于在一个或多个其他数据中心部署单臂集中器。有关 VPN 故障切换行为和路由优先级的详细信息,请参阅我们的《数据中心间故障切换》文档。
此部分概述为 VPN 集中器模式下运行的 MX 安全设备配置和实施热备份高可用性 (HA) 所需采取的步骤。
拓扑
以下是对 VPN 集中器采用 HA 配置的拓扑示例:
行为
为实现高可用性 (HA) 而进行配置时,一台 MX 处于主动状态,作为主设备,另一台 MX 以被动状态的备用容量运行。使用 VRRP 协议实现故障切换。有关详细信息,请查阅我们的《MX 热备份》文档。
MX IP 分配
在数据中心内,MX 安全设备可以使用静态 IP 地址或从 DHCP 获取的地址运行。默认情况下,MX 设备会尝试请求 DHCP 地址。强烈建议您为 VPN 集中器分配静态 IP 地址。
上行链路 IP
使用上行链路 IP 在设置新网络时会默认选中。为了在 HA 状态下正确地进行通信,必须将 VPN 集中器 MX 设置为使用虚拟 IP (vIP)。
虚拟 IP (vIP)
虚拟 IP 是一个寻址选项,使用由 HA MX 共享的额外(第三个)IP 地址。在此配置中,MX 将通过上行链路 IP 发送云控制器通信,但其他流量将通过共享的虚拟 IP 地址发送和接收。
MX 数据中心路由
在数据中心内用作 VPN 集中器的 MX 会将数据中心作为远程子网的终结点。为了实现双向通信,上游网络必须拥有用于远程子网的路由,向回指向用作 VPN 集中器的 MX。
如果未使用 OSPF 路由通告,则必须在上游路由基础设施中配置静态路由,将发往远程 VPN 子网的流量定向到 MX VPN 集中器。
如果启用了 OSPF 路由通告,上游路由器将动态获知通往连接的 VPN 子网的路由。
故障切换时间
有几个重要的故障切换时间范围需要了解:
服务 |
故障切换时间 |
故障恢复时间 |
Auto VPN 隧道 |
30-40 秒 |
30-40 秒 |
数据中心间故障切换 |
20-30 秒 |
20-30 秒 |
动态路径选择 |
最多 30 秒 |
最多 30 秒 |
热备份 |
30 秒或更短 |
30 秒或更短 |
WAN 连接 |
300 秒或更短 |
15-30 秒 |
配置 OSPF 路由通告
在 VPN 集中器模式下运行的 MX 安全设备支持通过 OSPF 向连接的 VPN 子网通告路由。在 NAT 模式下运行的 MX 设备上不提供此功能。
启用 OSPF 路由通告的 MX VPN 集中器只通过 OSPF 通告路由;它不会获知 OSPF 路由。
分支站点连接到 VPN 集中器时,系统将使用 LS 更新消息通告通往分支站点的路由。这些路由作为类型 2 外部路由通告。
BGP 和Auto VPN
BGP VPN 用于数据中心故障切换和负载分担。这通过在每个数据中心部署 VPN 集中器来实现。每个 VPN 集中器通过数据中心边缘设备使用 BGP。之所以采用 BGP,是为了利用其可扩展性和调整功能。
有关实施 BGP 及其使用案例的更多信息,可在我们的 BGP 文档中找到。
自动 VPN 技术深度剖析
MX 安全设备使用多种类型的出站通信。可能需要对上游防火墙进行配置才能允许此类通信。
控制面板和智能管理平台
MX 安全设备是智能管理平台管理的网络设备。因此,必须确保实施必要的防火墙策略,以便通过 Meraki 控制面板进行监控和配置。相关的目的端口和 IP 地址可在控制面板的帮助 > 防火墙信息页面下找到。
VPN 注册服务器
Meraki 的Auto VPN 技术利用基于智能管理平台的注册服务器来协调 VPN 连接。为了成功建立Auto VPN 连接,上游防火墙必须允许 VPN 集中器与 VPN 注册服务器进行通信。相关的目的端口和 IP 地址可能因区域而异,可在控制面板的帮助 > 防火墙信息页面中找到。
上行链路运行状况监控
MX 还使用通用协议访问众所周知的互联网目的地,借此执行定期的上行链路运行状况检查。此处概述了完整的行为。为了正确进行上行链路监控,还必须允许以下通信:
-
对 canireachthe.net 的 DNS 测试
-
对 icmp.canireachthe.net 的互联网测试
VPN 注册服务器
为了加入Auto VPN,MX 设备必须向 Meraki VPN 注册服务器注册。VPN 注册器是一种基于智能管理平台的系统,用于存储将所有 MX 设备连接到经过协调的 VPN 系统中所需的数据。如果连接发生故障,VPN 注册服务器将始终开启并不断更新。这意味着在重启、新公共 IP 地址硬件故障切换等情况下无需人工干预。VPN 注册器存储每个 MX 的以下信息:
-
子网(用于创建 VPN 路由表)
-
上行链路 IP(公共或专用)
-
公共 IP
在基础设施中添加新 MX 的过程如下:
-
新 MX 向注册器报告其上行链路 IP 地址和共享子网
-
该信息传播到基础设施中的其他 MX
-
MX 建立正确的 VPN 隧道
-
MX 将首先尝试注册服务器报告的对等体专用上行链路 IP
-
如果与对等体专用上行链路 IP 的连接失败,MX 将尝试对等体的公共上行链路 IP
自动 VPN 路由
VPN 注册服务器存储着特定 Meraki 自动 VPN 基础设施的相关信息,其中包括加入 VPN 的本地路由。在出现故障的情况下,其他 VPN 设备或更改系统的中心会自动重新收敛,无需任何最终用户交互。通过更新通往系统中所有设备的 VPN 路由,自动 VPN 像路由协议一样收敛系统来保持稳定性。
高可用性
|
主要使用案例 |
开销注意事项 |
故障切换时间 |
硬件冗余 |
同一广播域中使用2台设备降低MX硬件故障 |
需要两台设备,但只要一个许可证 |
不到 30 秒(对硬件故障切换而言,VPN 故障切换不一定) |
数据中心间故障切换 |
缓解可能阻止分支访问主中心的任何问题 |
需要两台设备和两个许可证 |
30 秒到 5 分钟(SD-WAN 的故障切换比较快) |
VPN 集中器模式下的硬件冗余
MX VPN 集中器热备份用于为 Meraki Auto VPN 头端设备提供高可用性。每个集中器都有自己的 IP 地址,用于与 Meraki 智能管理平台交换管理流量。不过,集中器也共享一个用于非管理通信的虚拟 IP 地址。
MX VPN 集中器 - 热备份设置
将 MX 部署为单臂 VPN 集中器之前,请在寻址和 VLAN 页面上将其置于直通或 VPN 集中器模式。在单臂 VPN 集中器模式下,设备对 “只能” 通过其各自的 “互联网” 端口连接到网络。请确保它们并非通过其局域网端口直接连接。每台 MX 必须位于同一 IP 子网内,能够彼此通信,也能与 Meraki 控制面板通信。仅 VPN 流量被路由到 MX,而且入口和出口数据包通过同一个接口发送。
MX VPN 集中器 - 虚拟 IP 分配
虚拟 IP 地址 (vIP) 由主 VPN 集中器和热备份 VPN 集中器共享。VPN 流量发送到 vIP 而非各集中器的物理 IP 地址。配置热备份时,导航至安全设备 > 设备状态配置该虚拟 IP。它必须与两台设备的 IP 地址位于同一子网中,并且必须是唯一的。它不能与主设备或热备份设备的 IP 地址相同。
两个集中器通过网络使用 VRRP 协议共享运行状况信息。故障检测不需要依赖与互联网/Meraki 控制面板的连接。
MX VPN 集中器 - 故障检测
如果主设备发生故障,热备份设备将承担主设备的角色,直到原来的主设备重新上线。主 VPN 集中器重新上线并且备份集中器重新开始收到 VRRP 心跳时,热备份集中器会将主用角色交还给主集中器。从检测到故障到故障切换至热备份集中器并能开始处理 VPN 数据包,总时间通常不到 30 秒。
MX 热备份警报
在发生特定网络或设备事件的情况下(例如发生热备份设备切换时),Meraki 控制面板中有许多选项可用于发送邮件警报。这是建议的配置选项,可用于在发生故障切换时通知网络管理员。
如果高可用性对的主 MX 故障切换至备份 MX,“发生热备份故障切换” 这一事件会发送一封邮件,反之亦然。
有关此警报和其他警报的信息,请参阅《在控制面板中配置网络警报》一文。
如果您难以让热备份 MX 按预期运行,请参阅我们的《MX 热备份 - 高可用性对》文档。
NAT 模式下的硬件冗余
MX NAT 模式 - 热备份
MX NAT 模式热备份用于在 MX 安全设备用作 NAT 网关时为互联网连接和设备服务提供冗余。
MX NAT 模式 - 热备份设置
在 NAT 模式下,HA 对中的设备通过其各自的互联网端口连接到一个或多个 ISP,并通过局域网端口连接内部网络。
广域网配置:每台设备必须有自己的 IP 地址,才能与 Meraki 智能管理平台交换管理流量。如果主设备使用辅助上行链路,则热备份设备上也应设置该辅助上行链路。共享虚拟 IP 虽然并非必需的设置,但是如果客户端的流量流经设备,则共享虚拟 IP 可以显著减少故障切换对此类客户端的影响。可以同时为两条上行链路配置虚拟 IP。
局域网配置:根据任何已配置 VLAN 中的设备 IP 配置局域网 IP 地址。局域网中不需要任何虚拟 IP。
其他热备份配置详细信息可在我们的文章《MX 热备份 - 高可用性对》中找到。
MX NAT 模式 - 虚拟 IP 分配
虚拟 IP 地址 (vIP) 由主设备和热备份设备共享。入站和出站流量使用此地址在故障切换期间保持相同的 IP 地址以减少中断。虚拟 IP 在 “安全设备” > “监控” > “设备状态” 页面上进行配置。如果配置了两条上行链路,则可以为每条上行链路配置一个 vIP。每个 vIP 必须与配置该 vIP 的设备上行链路的 IP 地址位于同一子网中,并且必须是唯一的。它不能与主设备或热备份设备的 IP 地址相同。
MX NAT 模式 - 故障检测
NAT 模式热备份有两种故障检测方法。故障检测不需要依赖与互联网/Meraki 控制面板的连接。
广域网故障切换:使用与上行链路故障切换所用互联网连接测试相同的测试来执行广域网监控。如果主设备根据这些测试确定没有有效的互联网连接,它将停止发送 VRRP 心跳,从而导致故障切换。原来主设备上的上行链路连接恢复且热备份设备重新开始收到 VRRP 心跳时,热备份设备会将主用角色交还给主设备。
局域网故障切换:两台设备通过网络使用 VRRP 协议共享运行状况信息。这些 VRRP 心跳发生在第 2 层,并在配置的所有 VLAN 上执行。如果没有任何通告到达任何 VLAN 中的备份设备,就会触发故障切换。热备份设备重新开始收到 VRRP 心跳时,它会将主用角色交还给主设备。
MX NAT 模式 - DHCP 同步
NAT 模式高可用性对中的 MX 通过局域网交换 DHCP 状态信息。这可以防止将故障切换前已分配给客户端的 DHCP IP 地址在故障切换后转给其他客户端。
数据中心间故障切换 - 中心/数据中心冗余(灾难恢复)
Meraki 的 MX 数据中心冗余(数据中心间故障切换)支持通过自动 VPN 发送的网络流量在分布于不同地理位置的多个数据中心之间进行故障切换。
数据中心故障切换架构
数据中心间故障切换架构如下:
-
每个数据中心内的单臂 VPN 集中器或 NAT 模式集中器
-
由两台或更多集中器通告的子网或静态路由
-
中心辐射型拓扑或网状 VPN 拓扑
-
分割隧道或全隧道配置
运行和故障切换
在额外的数据中心内部署一台或多台 MX 用作 VPN 集中器,可为关键网络服务提供更高的冗余能力。在双数据中心或多数据中心配置中,可以通过 VPN 集中器模式的 MX 从每个数据中心通告相同的子网。
在数据中心间故障切换设计中,远程站点将与为网络配置的所有 VPN 中心之间形成 VPN 隧道。对于特定中心独有的子网,会将流量直接路由到该中心。对于从多个中心通告的子网,分支站点将向优先级最高的可访问中心发送流量。
MX设备被配置为连接到通告同一子网的多个 VPN 集中器时,通往这些子网的路由会被跟踪。Hello 消息通过隧道从远程站点定期发送到 VPN 集中器,用于监控连接。如果通往优先级最高的中心的隧道发生故障,系统会从路由表中删除相应路由,并将流量路由至下一个优先级最高的可访问中心。仅当从多个Auto VPN 中心通告的路由相同时,此路由故障切换操作才适用。
集中器优先顺序
如果为组织配置了多个 VPN 集中器,则可以为组织配置集中器优先顺序。此集中器优先顺序设置决定了网状 VPN 对等体在连接到由多个 VPN 集中器通告的子网时所首选的顺序。
此设置不适用于配置为 VPN 分支的远程站点。
其他数据中心注意事项
实施数据中心间架构时,对于在数据中心内用作 VPN 集中器的 MX,应该始终考虑热备份集中器配置(请参阅上文 “热备份” 部分)和 OSPF 路由通告。此外,还应对部署环境中的所有应用考虑路由流逻辑,确保满足可用性要求。为了帮助您更好地了解数据中心发起的流,请参阅下文。
支持的 VPN 架构
VPN 拓扑
VPN 部署的结构有多种可用的选项。
隧道分离
在此配置中,只有当流量是发往同一个控制面板组织中的其他 MX 通告的特定子网时,分支机构才会通过 VPN 发送该流量。其余流量将对照其他可用路由(例如静态局域网路由和第三方 VPN 路由)进行检查,如果不匹配,则会进行 NAT 转换并从分支机构 MX 不加密地发送出去。
全隧道
在全隧道模式下,分支机构或远程办公室没有其他可用路由的所有流量都会被发送到 VPN 中心。
中心辐射型
在中心辐射型配置中,位于分支机构和远程办公室的 MX 安全设备直接连接到特定 MX 设备,不会与组织中的其他 MX 或 Z1 设备形成隧道。分支机构站点或远程办公室之间的通信则通过配置的 VPN 中心提供。对于大多数 SD-WAN 部署,这是建议采用的 VPN 拓扑。
-
中心辐射型 - 隧道总数 = (H x (H-1)2)xL1+ (S x N)xL2 - 其中,H 是中心的数量,S 是分支的数量,N 是每个分支的中心数,而 L 是 MX 的上行链路数(L1 代表中心,L2 代表分支)。如果每个 MX 的上行链路数不同,则需要求和的级数而不是使用乘法。
例如,如果所有 MX 都有 2 条上行链路,我们有 4 个中心和 100 个分支,则 VPN 隧道的总数为 12 + 1200 = 1212
标准中心辐射型
工作原理:
如配置基于 MPLS 的站点间 VPN 所述,使用标准的 Meraki Auto VPN 注册服务器来确定需要如何形成配置的 VPN 隧道(即,通过公共地址空间还是通过专用接口地址空间)。
何时应该使用?
尽可能使用。强烈建议将此模式作为设计网络时的第一、第二和第三选择。只有当部署具有非常强烈的要求时,才应考虑以下一种中心辐射型衍生拓扑。
网状 VPN
在 SD-WAN 部署中,也可以使用网状 VPN 配置。
在网状配置中,位于分支机构或远程办公室的 MX 设备被配置为直接连接到组织中也处于网状模式的任何其他 MX,以及被配置为用作中心的任何分支 MX。
-
全网状 - 隧道总数 = (N x (N-1)2)xL - 其中,N 是 MX 的数量,而 L 是每个 MX 的上行链路数。
例如,如果所有 MX 都有 2 条上行链路且共有 50 台 MX,则 VPN 隧道的总数为 2450,并且每台 MX 都必须能够支持该数量的隧道(在这种情况下,我们需要大约 50 台 MX450)
内联中心式中心辐射型
工作原理:
与标准中心辐射型基本上相同,只是对于从 MPLS/专用网络流出到互联网的流量,中心是内联的(即处于 NAT 模式)。这一点利用 “在局域网中形成 VPN” 功能来实现,来自 RS-A 和 RS-B 的 VPN 隧道在中心 MX 的局域网接口上 “形成”,而不是通过广域网接口 “环回”。
何时应该使用?
如果客户希望利用 MX 的高级安全功能但没有预算扩展为额外的专用(非自动 VPN)MX 边界设备,则可使用此模式。这样,此模式就只应该出现在价格比较敏感的交易中,我们应该首选从商业上而非技术上解决此问题,因为将安全和 VPN 终结点的使用功能相互分隔具有技术和逻辑上的意义。但是,此模式也可用于客户希望通过另外的接口(而非广域网端口)直接从 MX 路由 VPN 流量的 DMZ 部署中。
区域中心辐射型
工作原理:
同样,从配置角度来看,此拓扑与标准中心辐射型完全相同,但它为具有州际和/或国际规模与范围的客户引入了区域化。远程站点也配置有一个区域中心,还有一个特定的(也可能有多个)数据中心型中心。这样既可以实现更大规模,也可以按区域进行划分。
此部署模式在语音流量传输中非常有用(例如,在法国无需经由德国拨打本地电话)
何时应该使用?
有多种原因可能导致您采用区域设计,最有可能的原因是帮助扩大隧道数,因为此方法可以限制中心 MX 上的隧道数。而且,此方法还可指定更低容量的区域中心 MX。第二个原因可能是公司流程或由于客户的地理位置而导致的流程;因为客户向来按地理位置细分业务,因此网络也按地理位置划分。为美洲远程站点与东亚中心站点之间的直接通信提供便利通常几乎没有什么价值(如果没有特定的业务情况),而且此类额外的连接往往成本也很高昂。此方法允许客户使用 Meraki 自动 VPN 复制这种区域化。
分层中心辐射型
工作原理:
此方法与标准中心辐射型大致相似,只是客户可以在 Meraki 支持部门的帮助下选择性地划分各种隧道连接。这会导致自动 VPN 域中的不同虚拟组。
何时应该使用?
几乎从不使用。不过,极端的例子也确实存在,在那种情况下,客户基本上相当于其客户的托管服务提供商,并且需要对其业务的不同要素进行某种形式的逻辑划分(以便扩大类比及其客户)。在符合 ISO27001 规定但是(从我们的角度来看)信息安全管理系统 (ISMS) 边界很差的客户中,这有时是一个问题。此方法是应急解决方案,避免此类设计通常优于实施上述设计。因此,将其包含在本文档中仅仅是出于完整性的考虑。
中国区 Auto VPN
根据中国政府的法规限制,我们需要采用特定的架构要求,将中国境内的Auto VPN 域部署和互联至世界其他地方。
在大多数情况下,安全 VPN 技术提供了最具成本效益的连接。根据中国法规的要求,中国已经在其整个国际网络边界施加了影响 VPN 技术的限制。对于需要实现跨境连接的企业,有两种选择。
-
企业可以直接从 3 家中国电信运营商(中国电信、中国移动、中国联通)租用国际专线。
-
此外,企业还可以直接委托在中国境内设有分支机构的境外电信运营商,租用这 3 家中国电信运营商的国际专线(包括 VPN),然后连接公司专用网络和设备。
注:上述跨境连接方法只能用于内部数据交换和办公用途。(截至 2018 年 2 月 3 日有效,可能会根据法规变更随时修改。)
所有位于中国内地的设备都将连接至 Meraki 中国服务器(也位于中国境内)。目前,仅企业许可可用于位于中国境内的 MX 设备。
中国区 Auto VPN 架构
在上图中,我们利用 Meraki Auto VPN 连接中国境内的企业站点。上图还展示了中国政府批准的专用线路,可用于将企业在中国的网络连接至其全球企业网络的其余部分。可以利用 BGP 或 OSPF 等动态路由在域之间交换路由信息。
Meraki SD-WAN
所有思科 Meraki 安全设备都具备 SD-WAN 功能,使管理员能够最大限度地提高网络恢复能力和带宽效率。本指南介绍 Meraki SD-WAN 的各个组件,并以建议的部署架构为重点,介绍可以采用哪些方式来部署 Meraki AutoVPN 架构以利用 SD-WAN 功能。
SD-WAN 是什么?
软件定义广域网 (SD-WAN) 是旨在让网络根据不断变化的广域网条件进行动态调整而无需网络管理员人工干预的一整套功能。通过对特定流量类型如何响应广域网可用性和性能的变化进行精细控制,SD-WAN 可以确保关键应用实现最佳性能,并有助于避免 VoIP 等对性能高度敏感的流量出现中断。此外,SD-WAN 还可以作为一种可扩展并且往往更便宜的替代方案,用来代替 MPLS 线路等传统广域网线路。
主要概念
在部署 SD-WAN 之前,必须了解几个主要概念。
集中器模式
所有 MX 均可配置为 NAT 或 VPN 集中器模式。这两种模式都有一些需要考虑的重要注意事项。有关集中器模式的更多详细信息,请点击此处。
单臂集中器
在此模式下,MX 只配置了一条与上游网络的以太网连接。所有流量都将在该接口上发送和接收。对于用作数据中心内 VPN 终结点的 MX 设备,这是建议配置。
NAT 模式集中器
此外,还可以利用 SD-WAN 功能集,将配置为 NAT 模式的 MX 用作数据中心内的 VPN 终结点。
VPN 拓扑
VPN 部署的结构有多种可用的选项。
隧道分离
在此配置中,只有当流量是发往同一个控制面板组织中的其他 MX 通告的特定子网时,分支机构才会通过 VPN 发送该流量。其余流量将对照其他可用路由(例如静态局域网路由和第三方 VPN 路由)进行检查,如果不匹配,则会进行 NAT 转换并从分支机构 MX 不加密地发送出去。
全隧道
在全隧道模式下,分支机构或远程办公室没有其他可用路由的所有流量都会被发送到 VPN 中心。
中心辐射型
在中心辐射型配置中,位于分支机构和远程办公室的 MX 安全设备直接连接到特定 MX 设备,不会与组织中的其他 MX 或 Z1 设备形成隧道。分支机构站点或远程办公室之间的通信则通过配置的 VPN 中心提供。对于大多数 SD-WAN 部署,这是建议采用的 VPN 拓扑。
网状 VPN
在 SD-WAN 部署中,也可以使用 “网状” VPN 配置。
在网状配置中,位于分支机构或远程办公室的 MX 设备被配置为直接连接到组织中也处于网状模式的任何其他 MX,以及被配置为用作中心的任何分支 MX。
数据中心冗余(数据中心间故障切换)
在额外的数据中心内部署一台或多台 MX 用作 VPN 集中器,可为关键网络服务提供更高的冗余能力。在双数据中心或多数据中心配置中,可以通过 VPN 集中器模式的 MX 从每个数据中心通告相同的子网。
在数据中心间故障切换设计中,分支站点将与为该站点配置的所有 VPN 中心之间形成 VPN 隧道。对于特定中心独有的子网,只要分支与中心之间的隧道已成功建立,就会将流量直接路由到该中心。对于从多个中心通告的子网,分支站点将向优先级最高的可访问中心发送流量。
VPN 集中器的热备份(高可用性)
为实现高可用性 (HA) 而进行配置时,一台 MX 作为主设备,另一台 MX 以备用容量运行。所有流量都流经主 MX,而备份 MX 则用作故障情况下的一层额外冗余。
采用 HA 配置的 MX 之间的故障切换使用 VRRP 心跳数据包。这些心跳数据包从主 MX 经单一上行链路向外发送到辅助 MX,表示主 MX 在线并工作正常。只要辅助 MX 还在接收这些心跳数据包,它就会在备份状态下运行。如果辅助 MX 不再收到这些心跳数据包,它会假定主 MX 离线并因此转换为主设备状态。为了接收这些心跳,两台 VPN 集中器 MX 都应该有数据中心内同一个子网中的上行链路。
HA 对只需要一个 MX 许可证,因为在任何给定时间都只有一台设备全面运行。
连接监控器
连接监控器是每台 MX 安全设备内置的上行链路监控引擎。本文对该引擎的机制进行了介绍。
SD-WAN 技术
Meraki SD-WAN 实施包括几项主要功能,构建于我们的 AutoVPN 技术之上。
双活 VPN 上行链路
在 SD-WAN 发布之前,只能在一个接口上形成自动 VPN 隧道。随着 SD-WAN 的发布,现在可以在 MX 的两个互联网接口上形成并发 AutoVPN 隧道。
能够在两个接口上形成 VPN 隧道并通过这些隧道发送流量,显著提高了在 AutoVPN 部署中进行流量路径和路由决策的灵活性。除了为管理员提供能够在多条链路之间对 VPN 流量进行负载均衡的功能之外,它还能让管理员使用 MX 内置的基于策略的路由和动态路径选择,以各种方式利用通往数据中心的其他路径。
基于策略的路由 (PbR)
使用基于策略的路由,管理员可以根据不同流量流的源和目的 IP 与端口为其配置首选 VPN 路径。
动态路径选择
使用动态路径选择,网络管理员可以为不同类型的流量配置性能标准。然后,使用 MX 自动收集的丢包、延迟和抖动指标确定哪些可用 VPN 隧道符合这些标准,并根据此结果按每个数据流做出路径决策。
性能探测器
为了确保每个流量流都能使用最佳路径,基于性能的决策依靠有关当前广域网条件的准确一致的信息流。此信息使用性能探测器来收集。
性能探测器是一种很小的 UDP 数据负载(约为 100 字节),通过所有已建立的 VPN 隧道每秒发送一次。MX 设备跟踪成功响应的比率和收到响应之前所经过的时间。通过此数据,MX 可以确定每个 VPN 隧道上的丢包、延迟和抖动情况,从而做出必要的基于性能的决策。
概要架构
本指南以最常见的部署场景为重点,但并无意阻止使用另外的拓扑。大多数部署的建议 SD-WAN 架构如下:
-
MX 作为单臂集中器部署于数据中心内
-
数据中心的热备份/高可用性
-
部署 OSPF 路由通告以实现与连接的 VPN 子网之间的可扩展上游连接
-
数据中心冗余
-
来自分支机构和远程办公室的分割隧道 VPN
-
在所有分支机构和远程办公室部署双广域网上行链路
SD-WAN 目标
本指南重点介绍 SD-WAN 的两个主要目标:
-
为关键网络服务提供冗余能力
-
为 VoIP 流量动态选择最佳路径
示例拓扑
以下拓扑展示了一个功能齐全的 SD-WAN 部署,包括用于实现冗余的数据中心间故障切换。
来自分支机构或远程办公位置的两条隧道都终结于单臂集中器上所用的一个接口。
概要流量流
在选择 VPN 流量的路径时,根据以下几个关键决策点做出决策:
-
是否可以在两个接口上同时建立 VPN 隧道
-
是否配置了动态路径选择规则
-
是否配置了基于策略的路由规则
-
是否启用了负载均衡
如果两个接口上都建立了隧道,则使用动态路径选择来为特定流量流确定符合最低性能标准的路径。然后,根据基于策略的路由和负载均衡配置对这些路径进行评估。
有关对具有 SD-WAN 配置的流量流的更详细说明,请参阅附录。
故障切换时间
有几个重要的故障切换时间范围需要了解:
服务 |
故障切换时间 |
故障恢复时间 |
AutoVPN 隧道 |
30-40 秒 |
30-40 秒 |
数据中心间故障切换 |
20-30 秒 |
20-30 秒 |
动态路径选择 |
最多 30 秒 |
最多 30 秒 |
热备份 |
30 秒或更短 |
30 秒或更短 |
WAN 连接 |
300 秒或更短 |
15-30 秒 |
数据中心部署
此部分概述数据中心内的 SD-WAN 架构配置和实施。
部署单臂集中器
示例拓扑
单臂集中器是建议 SD-WAN 部署采用的数据中心设计选择。下图显示了使用单臂集中器的数据中心拓扑示例:
控制面板配置
思科 Meraki 控制面板配置在设备上线前后均可完成。
-
首先,将 MX 配置为在 VPN 集中器模式下运行。此设置可在安全和 SD-WAN > 配置 > 寻址和 VLAN 页面上找到。默认情况下,MX 会被设置为在路由模式下运行。
-
接下来,配置站点间 VPN 参数。此设置可在安全和 SD-WAN > 配置 > 站点间 VPN 页面上找到。
-
先将类型设置为 “中心(网状)”。
-
配置此 VPN 集中器上游可访问的本地网络。
-
对于名称,为子网指定一个描述性标题。
-
对于子网,使用 CIDR 表示法指定要向其他 AutoVPN 对等体通告的子网
-
NAT 遍历可设置为自动或手动。有关这两个选项的更多详细信息,请参阅下文。
-
下面是相关截图的示例:
NAT 穿越
使用手动还是自动 NAT 穿越是采用 VPN 集中器时需要考虑的重要注意事项。
在以下情况下,需要使用手动 NAT 遍历:
-
存在不友好的 NAT 上游
-
实施了严格的防火墙规则来控制允许出入数据中心的流量
-
必须了解远程站点与 VPN 集中器进行通信所使用的端口
如果选择手动 NAT 遍历,强烈建议为 VPN 集中器分配一个静态 IP 地址。手动 NAT 遍历适用于指定端口的所有流量都可以转发到 VPN 集中器时的配置。
在以下情况下,需要使用自动 NAT 遍历:
-
上面列出的需要使用手动 NAT 遍历的所有条件都不存在
如果选择自动 NAT 遍历,MX 将自动选择一个编号较大的 随机UDP 端口作为发出 AutoVPN 流量的源端口。VPN 集中器将使用此端口访问远程站点,在上游防火墙中创建状态流映射,这也会允许从另一端发起的流量通过并流向 VPN 集中器,而无需单独的入站防火墙规则。
添加热备份
此部分概述为 VPN 集中器模式下运行的 MX 安全设备配置和实施热备份 (HA) 所需采取的步骤。
热备份拓扑
以下是对 VPN 集中器采用 HA 配置的拓扑示例:
行为
为实现高可用性 (HA) 而进行配置时,一台 MX 处于主动状态,作为主设备,另一台 MX 以被动状态的热备份模式运行。使用 VRRP 协议实现故障切换。有关详细信息,请参阅此处。
控制面板配置
在 MX 安全设备上实现高可用性需要使用同一型号的第二台 MX。HA 实施为主动/被动配置,而且需要第二台 MX 也连接并上线才能提供正确的功能。有关 MX 热备份的更多详细信息,请参阅此处。
高可用性(也称为热备份)可在安全和 SD-WAN > 监控 > 设备状态中进行配置。首先点击 “配置热备份”,然后点击 “启用”。接下来,输入热备份 MX 的序列号或从下拉菜单中选择一个。最后,选择是使用 MX 上行链路 IP 还是虚拟上行链路 IP。
上行链路 IP
使用上行链路 IP 在设置新网络时会默认选中。为了在 HA 状态下正确地进行通信,必须将 VPN 集中器 MX 设置为使用虚拟 IP (VIP)。
虚拟 IP (VIP)
虚拟上行链路 IP 选项使用由 HA MX 共享的额外 IP 地址。在此配置中,MX 将通过上行链路 IP 发送云控制器通信,但其他流量将通过共享的虚拟 IP 地址发送和接收。
配置 OSPF 路由通告
在 VPN 集中器模式下运行的 MX 安全设备支持通过 OSPF 向连接的 VPN 子网通告路由。在 NAT 模式下运行的 MX 设备上不提供此功能。
行为
启用 OSPF 路由通告的 MX VPN 集中器只通过 OSPF 通告路由;它不会获知 OSPF 路由。
当分支站点连接到 VPN 集中器时,将使用 LS 更新消息通告通往分支站点的路由。这些路由作为类型 2 外部路由通告。
控制面板配置
要配置 OSPF 路由通告,请导航至安全和 SD-WAN > 配置 > 站点间 VPN 页面。在此页面中执行以下操作:
-
将通告远程路由设置为 “启用”
-
配置路由器 ID
-
配置区域 ID
-
根据需要调整开销
-
根据需要调整 Hello 计时器
-
根据需要调整 Dead 计时器
-
根据需要启用并配置 MD5 身份验证
其他数据中心配置
MX IP 分配
在数据中心内,MX 安全设备可以使用静态 IP 地址或从 DHCP 获取的地址运行。默认情况下,MX 设备会尝试请求 DHCP 地址。强烈建议您为 VPN 集中器分配静态 IP 地址。
您可以通过设备本地状态页面配置静态 IP 分配。
本地状态页面还可用于对 MX 上行链路配置 VLAN 标记。必须注意以下场景:
-
如果将上游端口配置为接入端口,则不应启用 VLAN 标记。
-
如果将上游端口配置为中继端口,并且 MX 应在本征或默认 VLAN 中进行通信,则应保留 VLAN 标记的禁用状态。
-
如果将上游端口配置为中继端口,并且 MX 应在除本征或默认 VLAN 之外的 VLAN 中进行通信,则应为相应的 VLAN ID 配置 VLAN 标记。
上游注意事项
此部分介绍数据中心网络的其他组件的配置注意事项。
路由
在数据中心内用作 VPN 集中器的 MX 会将数据中心作为远程子网的终结点。为了实现双向通信,上游网络必须拥有用于远程子网的路由,向回指向用作 VPN 集中器的 MX。
如果未使用 OSPF 路由通告,则必须在上游路由基础设施中配置静态路由,将发往远程 VPN 子网的流量定向到 MX VPN 集中器。
如果启用了 OSPF 路由通告,上游路由器将动态获知通往连接的 VPN 子网的路由。
防火墙注意事项
MX 安全设备使用多种类型的出站通信。可能需要对上游防火墙进行配置才能允许此类通信。
控制面板和智能管理平台
MX 安全设备是智能管理平台管理的网络设备。因此,必须确保实施必要的防火墙策略,以便通过思科 Meraki 控制面板进行监控和配置。相关的目的端口和 IP 地址可在控制面板的帮助 > 防火墙信息页面下找到。
VPN 注册服务器
思科 Meraki 的 AutoVPN 技术利用基于智能管理平台的注册服务来协调 VPN 连接。为了成功建立 AutoVPN 连接,上游防火墙必须允许 VPN 集中器与 VPN 注册表服务进行通信。相关的目的端口和 IP 地址可在控制面板的帮助 > 防火墙信息页面下找到。
上行链路运行状况监控
MX 还使用通用协议访问众所周知的互联网目的地,借此执行定期的上行链路运行状况检查。此处概述了完整的行为。为了正确进行上行链路监控,还必须允许以下通信:
-
与 8.8.8.8(Google 的公共 DNS 服务)的 ICMP 通信
-
HTTP 端口 80
-
与 MX 所配置的 DNS 服务器的 DNS 通信
数据中心冗余(数据中心间故障切换)
思科 Meraki MX 安全设备通过我们的数据中心间故障切换实施来支持数据中心间冗余。上面使用的步骤也可同样用于在一个或多个其他数据中心部署单臂集中器。有关 VPN 故障切换行为和路由优先级的详细信息,请参阅本文。
分支机构部署
此部分概述分支机构中的 SD-WAN 架构配置和实施。
在分支机构中配置 AutoVPN
前提条件
配置和构建 AutoVPN 隧道之前,应该检查几个配置步骤。
广域网接口配置
虽然通过 DHCP 自动配置上行链路在许多情况下已经足够,但有些部署可能需要为分支机构的 MX 安全设备手动配置上行链路。向广域网接口分配静态 IP 地址的程序可以在此处找到。
某些 MX 型号只有一个专用互联网端口,如果需要两个上行链路连接,则需要通过设备本地状态页面将一个局域网端口配置为辅助互联网端口。此配置更改可在配置选项卡的设备本地状态页面上执行。
子网配置
使用 AutoVPN,只需点击几下即可在 AutoVPN 拓扑中添加和删除子网。应该先配置相应的子网,然后再继续进行站点间 VPN 配置。
首先,在安全和 SD-WAN > 配置 > 寻址和 VLAN 页面中,配置要在分支机构中使用的子网。
默认情况下,系统会为 MX 网络生成一个子网,并禁用 VLAN。在此配置中,可以配置一个子网和所需的任意静态路由,无需管理 VLAN 配置。
如果需要多个子网或需要 VLAN,应勾选使用 VLAN 框。这样就能创建多个 VLAN,并按照端口配置 VLAN 设置。
配置 AutoVPN
配置子网后,可以通过控制面板中的安全和 SD-WAN > 配置 > 站点间 VPN 页面配置思科 Meraki AutoVPN。
配置中心辐射型 VPN
在安全和 SD-WAN > 配置 > 站点间 VPN 页面上执行以下操作:
-
对类型,选择分支
-
在中心下,选择添加中心
-
要连接到其他中心,请选择添加中心,然后选择在数据中心部署步骤中配置的 VPN 集中器。
-
可以使用添加中心链接添加其他中心
中心优先顺序
中心优先顺序根据各个中心节点在列表中从上到下的位置而定。第一个集中器的优先级最高,第二个集中器的优先级次之,依此类推。如果流量发往多个集中器通告的子网,则会被发送到 a) 通告了该子网并且 b) 当前与分支建立了有效 VPN 连接的优先级最高的集中器。如果流量发往只有一个集中器通告的子网,则会被直接发送到该中心节点。
配置允许的网络
要允许特定子网通过 VPN 通信,请在站点间 VPN 页面中找到本地网络部分。子网列表是使用寻址和 VLAN 页面中配置的本地子网和静态路由以及客户端 VPN 子网(如果配置了此子网)填充的。
要允许子网使用 VPN,请将该子网的使用 VPN 下拉列表设置为是。
NAT 穿越
有关 “NAT 穿越” 选项的详细信息,请参阅此处的数据中心部署步骤。
添加性能和策略规则
VPN 流量的路由规则可在控制面板中的安全和 SD-WAN > 配置 > SD-WAN 和流量整形页面上进行配置。
在 SD-WAN 策略标题下,可以找到用于配置基于策略的路由 (PbR) 和动态路径选择的设置。
以下几个部分以几条规则为例,提供了配置指南。
最适合用于 VoIP
流量优化最常见的一种用途是用于对丢包、延迟和抖动非常敏感的 VoIP 流量。思科 Meraki MX 已经有一条用于 VoIP 流量的默认性能规则 - 最适合用于 VoIP。
要配置此规则,请点击 VPN 流量部分下的添加首选项。
在上行链路选择策略对话框中,选择 “自定义表达式”,然后选择 UDP 作为协议,并为流量过滤器输入适当的源和目的 IP 地址与端口。为首选上行链路选择最适合用于 VoIP 策略,然后保存更改。
此规则将评估已建立 VPN 隧道的丢包、延迟和抖动情况,并根据当前的网络状况,通过 VoIP 流量的最佳 VPN 路径发送与配置的流量过滤器相匹配的流。
对视频流量执行负载均衡
随着思科视频会议等技术不断获得采用并集成到日常业务运营中,视频流量变得越来越普遍。此分支机构站点将使用另一条预先构建的视频流性能规则,并在两条互联网上行链路之间执行流量负载均衡来充分利用可用带宽。
要配置此规则,请点击 VPN 流量部分下的添加首选项。
在上行链路选择策略对话框中,选择 UDP 作为协议,并为流量过滤器输入适当的源和目的 IP 地址与端口。对于策略,为首选上行链路选择负载均衡。接下来,将该策略设置为仅适用于符合视频流性能类别的上行链路。最后,保存更改。
此策略监控 VPN 隧道上的丢包、延迟和抖动情况,并在与视频流性能标准相匹配的 VPN 隧道之间对与流量过滤器相匹配的流执行负载均衡。
用于 Web 流量并具有性能故障切换功能的 PbR
Web 流量是网络管理员可能希望优化或控制的另一种常见流量类型。此分支机构将使用一项 PbR 策略,通过 WAN 1 接口上形成的 VPN 隧道发送 Web 流量,但前提是流量必须与自定义配置的性能类相匹配。
要配置此规则,请选择自定义性能类部分下的创建新的自定义性能类。
在名称字段中,为此自定义类输入描述性标题。指定此流量过滤器允许的最大延迟、抖动和丢包值。此分支机构将使用基于最大丢包阈值的 “Web” 自定义规则。然后,保存更改。
接下来,点击 VPN 流量部分下的添加首选项。
在上行链路选择策略对话框中,选择 TCP 作为协议,并为流量过滤器输入适当的源和目的 IP 地址与端口。对于策略,为首选上行链路选择 WAN1。接下来配置规则,使 Web 流量在性能不佳时进行故障切换。对于性能类,请选择 “Web”。然后,保存更改。
此规则将评估已建立 VPN 隧道的丢包情况,并将与流量过滤器相匹配的流从首选上行链路发送出去。如果超出 “Web” 性能规则中的丢包、延迟或抖动阈值,流量可以故障切换到 WAN2 上的隧道(假设其符合配置的性能标准)。
第 7 层分类
最适合用于 VoIP
要配置此规则,请点击 VPN 流量部分下的添加首选项。
在上行链路选择策略对话框中,点击添加+ 配置新的流量过滤器。在过滤器选择菜单中,点击 VoIP 和视频会议类别,然后选择所需的第 7 层规则。本示例将使用 SIP(语音)规则。
然后,为首选上行链路选择最适合用于 VoIP 性能类,并保存更改。此规则将评估已建立 VPN 隧道的丢包、延迟和抖动情况,并根据当前的网络状况,通过 VoIP 流量的最佳 VPN 路径发送与配置的流量过滤器相匹配的流。
常见问题解答
MX 是否支持未加密的 AutoVPN 隧道?
否,AutoVPN 目前始终会对 VPN 隧道使用 AES-128 加密。
如果流量经过加密,QoS 或 DSCP 标签会如何?
QoS 和 DSCP 标签都保留在封装的流量中并被复制到 IPsec 报头。
非 Meraki 设备是否可用作 VPN 中心?
虽然可以在 Meraki 和非 Meraki 设备之间使用标准 IPsec VPN 建立 VPN 连接,但 SD-WAN 要求所有中心和分支设备均为 Meraki MX。
如何使用思科 ISR 路由器与 IWAN 实现互通?
这两种产品使用相似但不同的底层隧道技术(DMVPN 与 AutoVPN)。通常,混合使用这二者的解决方案可能需要在较大的站点使用 ISR 设备,而在较小的办公室或分支机构使用 MX 设备。这需要在数据中心内将专用 IWAN 集中器用于 ISR,并将单独的 SD-WAN 头端用于 MX。
双活 AutoVPN 是否可用于 3G 或 4G 调制解调器上?
虽然 MX 支持各种 3G 和 4G 调制解调器选项,但这些设备目前仅用于确保广域网发生故障时的可用性,而无法与活动的有线广域网连接配合起来用于负载均衡。
在分支机构中,SD-WAN 与热备份 (HA) 如何实现互通?
SD-WAN 可以部署在以热备份容量配置的分支机构 MX 设备上,但是只有发挥作用的主 MX 会建立 AutoVPN 隧道并路由 VPN 流量。
参考资料
有关补充信息,请参阅以下参考资料。
自动 VPN 白皮书
有关思科 Meraki AutoVPN 技术如何发挥作用的详细信息,请参阅本文。
SD-WAN 页面
有关 SD-WAN 可用性的详细信息,请参阅我们的 SD-WAN 页面。
附录
附录 1:PbR 和动态路径选择的详细流量流
完整流程图
以下流程图对 Meraki SD-WAN 的路径选择逻辑进行了分解。后面几个部分的内容对此流程图进行了更详细的分解。
决策点 1:我们能否同时在两条上行链路上建立隧道?
SD-WAN 流量流的第一个评估点是评估 MX 是否在两个接口上都建立了活动的 AutoVPN 隧道。
如果未同时在两个接口上成功建立 VPN 隧道,则会通过成功建立 VPN 隧道的上行链路转发流量。
如果我们可以同时在两个接口上建立隧道,则处理过程继续,到达下一个决策点。
决策点 2:是否定义了用于动态路径选择的性能规则?
如果我们可以同时在两条上行链路上建立隧道,则 MX 设备会检查是否定义了任何动态路径选择规则。
如果定义了动态路径选择规则,我们会评估每条隧道,以便确定哪些隧道符合这些规则。
如果只有一条 VPN 路径符合我们的性能要求,则会沿该 VPN 路径发送流量。如果只有一条 VPN 路径符合动态路径选择的性能规则,则 MX 不会评估 PbR 规则。
如果有多条 VPN 路径符合我们的动态路径选择要求,或者没有符合要求的路径,或者未配置任何动态路径选择规则,则会评估 PbR 规则。
在执行用于动态路径选择决策的性能规则后,MX 将评估下一个决策点。
决策点 3:是否定义了 PbR 规则?
检查动态路径选择规则后,如果有多条路径符合性能要求或者没有符合性能要求的路径,MX 安全设备将评估 PbR 规则。
如果流与配置的 PbR 规则相匹配,则会使用配置的路径首选项发送流量。
如果流与配置的 PbR 规则不匹配,则理所当然要继续处理流量,到达下一个决策点。
决策点 4:是否配置了 VPN 负载均衡?
评估动态路径选择和 PbR 规则后,MX 安全设备将评估是否已启用 VPN 负载均衡。
如果未启用 VPN 负载均衡,则会通过主互联网接口上形成的隧道发送流量。主互联网接口可在控制面板的安全和 SD-WAN > 配置 > SD-WAN 和流量整形页面中进行配置。
如果启用了负载均衡,则会在两条上行链路上形成的隧道之间对流执行负载均衡。
VPN 负载均衡使用的负载均衡方法与 MX 上行链路负载均衡相同。基于为每条上行链路指定的带宽加权,然后以轮询方式将流发送出去。
MX 配置模板最佳实践
随着网络部署增长至跨越多个站点,管理单个设备可能变得非常麻烦且没有必要。为帮助降低这些运营成本,Meraki MX 安全设备使用模板快速推出新的站点部署并进行批量更改。
本指南将概述如何在控制面板中创建和使用 MX 配置模板。
应该注意的是,对于非常倚重通过 API 管理网络的服务提供商或部署,我们建议考虑使用克隆网络而不是模板,因为相比可用于模板的 API 选项,可用于克隆的 API 选项目前能够提供更精细的控制。
为 MX 规划模板部署
推出模板部署(或在生产网络上启用模板)之前,将部署分为若干 “单元” 进行规划可能会有所帮助。这包括提出如下问题:
-
我的站点是什么?(例如,零售点、学校、分支机构等)
-
MX 是否将采用 HA 配置?
-
我是否需要本地覆盖?
模板网络
网络部署术语中的 “站点” 通常与控制面板术语中的 “网络” 相同;每个站点都有自身的控制面板网络。因此,规划要以相同方式配置的多个站点时,它们将共享模板网络。
模板网络是由多个站点/网络共享的网络配置。单个站点网络可以绑定到模板网络,因此对模板所做的更改将推送到所有绑定站点。此外,还可以基于模板创建新网络,从而轻松启动相同类型的新站点。
规划模板部署时,每种类型的站点都应该有一个模板网络。
配置
以下部分将介绍控制面板中 MX 模板的配置和使用:
创建网络配置模板
如上所述,应为要部署的每种类型的站点创建网络模板。
要创建网络模板,请执行以下操作:
-
在控制面板中,导航至组织 > 监控 > 配置模板。
-
点击创建新模板。
-
为模板选择一个描述性名称。如果这是一个全新的模板,请依次选择创建新模板和 MX 模板。
-
如果此模板应基于现有网络,请选择从以下位置复制设置,然后选择一个现有安全设备网络。
-
-
点击添加:
-
如果要将现有网络绑定到此新模板,请选择这些网络作为目标网络,然后点击绑定。否则,请点击关闭。
VLAN 配置模版
-
在控制面板中,导航至安全设备 > 寻址和 VLAN > 路由 > 子网
-
点击使用 VLAN,然后点击添加 VLAN
-
为 VLAN 选择一个描述性名称
-
选择绑定到此模板的每个网络的子网划分应该相同还是唯一。
-
如果选择相同,则绑定到该模板的所有网络将共享完全相同的子网。这不符合站点间 VPN 的条件。
-
如果选择唯一,则绑定到该模板的每个网络将根据所配置的选项获得一个唯一的子网。MX 不支持对模板使用本地 VLAN 覆盖。
-
子网随机分配给绑定到该模板的每个网络。
-
-
有关模板 IP 范围 VLAN 分配的更多信息,请参考我们关于使用配置模板管理网络的文章。
静态路由模版
-
在控制面板中,导航至安全设备 > 寻址和 VLAN > 路由 > 静态路由
-
点击添加静态路由
-
为静态路由选择一个描述性名称
-
指定通过该静态路由访问的子网
-
指出将 MX 安全设备连接到此路由的设备的 IP 地址
-
选择用于控制何时使用此路由的条件
请注意,只能根据使用 “相同” 子网划分的 VLAN 为配置模板进行验证。如果将本地 VLAN 的子网划分设置为唯一,则无法对模板配置静态路由。
防火墙规则模版
在配置第 3 层防火墙规则时,可以使用 CIDR 表示法以及 VLAN 名称。需要指定整个子网时,使用 VLAN 名称;而在需要更灵活地指定子网时,使用 CIDR 表示法。
-
依次转至安全设备 > 配置 > 防火墙 > 第 3 层,点击添加规则
-
选择策略,指定应该允许还是拒绝匹配的规则
-
选择要在出站流量中匹配的协议
-
使用 CIDR 表示法指定 IP 地址或范围,用于匹配出站流量。另请注意,VLAN 的名称也可以选择
-
选择要在出站流量中匹配的源/目的端口
SD-WAN 策略模版
-
依次转至安全设备 > 配置 > 流量整形 > 流首选项,然后点击添加首选项
-
在 “定义” 字段中,点击 “添加 +”。
-
系统应首先显示 “自定义表达式” 字段。在文本字段中选择协议,然后指定源地址,其中 192.168.0.0/16 或 “默认” 是您的专用子网范围。如果只需要对一台特定主机进行整形,请使用主机按钮指定主机地址。完成后再次点击 “添加 +” 按钮。
-
选择首选上行链路、故障切换方法和性能类,然后点击 “保存更改”。
本地覆盖
将 MX 安全设备网络绑定到模板后,仍可通过控制面板正常配置某些选项。直接对 MX 网络进行的任何本地配置更改都将覆盖模板配置。
在以下示例中,已绑定 MX 被直接配置为具有自定义的 “默认” VLAN。在模板网络中,可在安全设备 > 配置 > 寻址和 VLAN 下进行此更改:
如果从模板中删除网络,则会自动失去本地覆盖以及任何与模板相关的配置。MX 将自动从其所在的网络中获取配置。
对于绑定到模板的 MX 网络,目前尚不支持静态路由和 “唯一” 本地 VLAN 覆盖。
DHCP 例外情况
Meraki MX 设备提供功能齐全的 DHCP 服务,可对每个 VLAN 分别启用并进行配置。绑定到模板时,可在安全设备 > 配置 > DHCP 下对 DHCP 配置进行本地覆盖。
转发规则覆盖
要覆盖转发规则,请导航至安全设备 > 配置 > 防火墙 > 转发规则覆盖下。
包含具有不同端口数的 MX 的模板
不同 MX 模型之间,端口编号也可能不同,在模板中将配置分配给特定端口号时,这一点可能会引起混淆。例如,模板中的 LAN 2 配置不会对 MX65 上的任何端口产生影响。
下表概述了模板端口号及其在某些 MX 型号上对应的物理端口(红色字段表示用于辅助广域网连接的端口):
|
型号 |
Z1 |
Z3 |
MX60 |
MX |
MX |
MX70 |
MX80 |
MX |
MX |
MX |
MX |
||||||
|
#WAN_Ports |
1 |
1 |
1 |
1 |
2 |
2 |
1 |
2 |
1 |
1 |
2 |
||||||
|
#LAN_Ports |
4 |
5 |
4 |
4 |
10 |
4 |
4 |
8 |
8 |
8 |
2(+)* |
||||||
|
#Fiber_Ports |
|
|
|
|
|
|
|
2 |
2 |
2 |
|
||||||
|
|
物理端口 |
||||||||||||||||
|
WAN1 |
互联网 |
|
互联网 |
互联网 |
Inter-net1 |
Inter-net1 |
互联网 |
Inter-net1 |
互联网 |
互联网 |
Inter-net1 |
||||||
|
WAN2 |
|
|
|
|
Inter-net2 |
Inter-net2 |
|
Inter-net2 |
|
|
Inter-net2 |
||||||
控制面板标签 |
LAN 2 |
1 |
1 |
1 |
1 |
|
|
2 |
|
2 |
2 |
|
||||||
LAN 3 |
2 |
2 |
2 |
2 |
3 |
1 |
3 |
3 |
3 |
3 |
1 |
|||||||
LAN 4 |
3 |
3 |
3 |
3 |
4 |
2 |
4 |
4 |
4 |
4 |
2 |
|||||||
LAN 5 |
4 |
4 |
4 |
4 |
5 |
3 |
5 |
5 |
5 |
5 |
|
|||||||
LAN 6 |
|
5 |
|
|
6 |
4 |
|
6 |
6 |
6 |
|
|||||||
LAN 7 |
|
|
|
|
7 |
|
|
7 |
7 |
7 |
|
|||||||
LAN 8 |
|
|
|
|
8 |
|
|
8 |
8 |
8 |
|
|||||||
LAN 9 |
|
|
|
|
9 |
|
|
9 |
9 |
9 |
|
|||||||
LAN 10 |
|
|
|
|
10 |
|
|
10 |
8 |
10 |
|
|||||||
LAN 11 |
|
|
|
|
11 |
|
|
11 |
9 |
11 |
|
|||||||
LAN 12 |
|
|
|
|
12 |
|
|
12 |
|
|
|
* (+):可以通过安装接口模块对型号进行修改,以包含更多局域网端口。
您可以通过本地状态页面上本地状态选项卡下的上行链路配置,将 LAN2 端口在局域网和互联网之间切换。
执行 MX 模板固件升级
对模板安排的固件升级将自动应用于子网络的网络本地时区。
作为一项最佳实践,请确保每台 MX 在安全设备 > 监控 > 设备状态下的本地时区配置正确。
MX 更换向导
以下是有关如何从绑定到模板的故障 MX 复制配置的说明。
-
在组织 > 配置 > 资产页面上,申领新 MX,然后将新 MX 添加到现有网络。
-
导航至故障 MX 所在的网络,然后在安全设备 > 监控 > 设备状态 > 从网络中删除设备下将其删除
-
导航至网络范围 > 配置 > 添加设备,将更换 MX 添加到同一网络中
-
选择网络,然后点击添加设备。
有关更换 MX 的详细信息,请参阅我们的《MX 冷备机替换》一文。
最佳实践设计 - MS 交换机
常规交换配置最佳实践
第 2 层功能
-
STP
-
RSTP 默认启用并应始终启用。只有经过慎重考虑之后才可以禁用。
-
PVST 互通性 (Catalyst/Nexus)
-
在 Catalyst 与 MS 之间的中继链路上,应允许使用 VLAN 1。这对 RSTP 至关重要
-
使 Catalyst 成为根交换机
-
-
将根交换机优先级设置为 “0 - 可能为根”
-
部署于核心层或汇聚层的 MS410、MS425 等高端型号是适合该角色的候选设备
-
理想情况下,被指定为根的交换机应该是在日常运行过程中变化(配置更改、链路连接/断开等)最少的交换机
-
-
-
将 STP 直径保持在 7 跳以下,这样数据包从网络的一个位置传输到另一个位置所必须经过的交换机应该就不会超过 7 台
-
应在所有最终用户/服务器接入端口上启用 BPDU 防护,避免非法交换机引入网络中
-
应在连接交换机的中继端口上启用环路防护
-
应在连接到管理控制范围之外的交换机的端口上启用根防护
-
MTU
-
建议保持默认值 9578,除非中间设备不支持巨帧。这对优化服务器到服务器性能和应用性能非常有用。尽可能避免分段。
-
-
交换机端口
-
中继
-
使用允许的 VLAN 列表将不必要的 VLAN 从中继端口修剪掉,以便缩小泛洪范围
-
确保中继两端的本征 VLAN 和允许的 VLAN 列表相同。任一端的本征 VLAN 不匹配都可能导致桥接流量
-
-
标记
-
-
-
为便于管理,请将标签分配到交换机端口。例如,可为交换机<->交换机链路分配 “中继” 标签,为交换机<->AP 链路分配 “无线” 标签等
-
-
汇聚
-
链路汇聚仅支持 LACP。请确保另一端支持 LACP
-
建议在与合作伙伴设备进行物理连接之前在控制面板上配置汇聚
-
-
-
UDLD(单向链路检测)
-
应对光纤干线启用此功能 - 采用 “仅通知” 模式
-
-
链路协商
-
对连接 Meraki 设备的端口,应将此项设置为自动协商
-
仅当连接到端口的设备不支持自动协商时,才使用 “强制” 模式
-
三层路由功能
-
IP 寻址和子网划分方案
-
将 /24 或 /23 子网专门用于最终用户接入
-
避免子网重叠,因为这可能会导致路由和转发不一致
-
-
第 3 层接口
-
分配专用的管理 VLAN
-
避免为管理 VLAN 配置第 3 层接口。仅将第 3 层接口用于数据 VLAN。这有助于将管理流量与用户数据分开
-
如果您的设计绝对需要第 3 层接口,请务必为管理接口和第 3 层接口设置不同的 IP
-
-
访问控制列表 (ACL)
-
尽可能汇总 IP 地址(在下面的示例前后)。
-
-
最大 ACL 限制是每个网络 128 个访问控制条目 (ACE)
控制您的网络流量。查看用户和应用流量配置文件以及其他允许的网络流量,以确定应授予网络访问权限的协议和应用。确保允许流向 Meraki 控制面板的流量(帮助 > 防火墙信息)
-
OSPF
-
可在交换机 > 配置 > OSPF 路由下找到
-
配置的所有接口都应该对 hello 消息使用广播模式
-
我们建议保留 “hello” 和 “dead” 计时器的默认值 10 秒和 40 秒。如果需要更严格的计时器,
请务必充分执行测试。 -
确保所有区域都直接连接到主干区域 0。不支持虚拟链路
-
配置路由器 ID 以简化管理
-
-
当中继链路上有多个 VLAN 时,OSPF 会尝试在每个 VLAN 上形成邻居关系,这可能并没有必要。要交换路由信息,OSPF 不需要在每个 VLAN 上形成邻居关系。而是可以在中继上定义并允许专用的中转 VLAN,通常是在核心层与汇聚层之间,启用 OSPF 并将 “被动” 设置为 “否”。对于需要通告的所有其他子网,则启用 OSPF 并将 “被动” 设置为 “是”。这将减少不必要的 CPU 负载。如果采用此设计,请确保允许管理 VLAN 也使用中继。
-
配置 MD5 身份验证以提高安全性
-
DHCP
-
指定允许的 DHCP 服务器以防御非法服务器
-
在热备份配置中,DHCP 的负载均衡机制在某些情况下可能效率不高,并会造成设备尝试从没有剩余租约的成员处获取地址的问题。这个问题在堆叠配置中可以得到解决,在该配置中不会发生此问题。
-
组播
-
在部署组播配置之前,最重要的注意事项是确定应将组播源和接收器放入哪个 VLAN。如果没有什么限制,建议将源和接收器放到同一个 VLAN 中,并利用 IGMP 侦听来简化配置和运营管理。
-
组播路由
-
每一台 Meraki 交换机可为 30 个已启用组播路由的第 3 层接口提供支持
-
PIM SM 需要在网络中布置一个交汇点 (RP) 以构建源树和共享树。建议将 RP 布置在尽量靠近组播源之处。可能的话,请将组播源直接连接到 RP 交换机以避免 PIM 的源注册流量,因为此类流量可能极耗 CPU。通常,核心/汇聚交换机是布置 RP 的不错选择
-
确保网络中的每个组播组都在控制面板上配置了 RP 地址
-
确保为组播发送器的源 IP 地址分配了正确子网中的 IP。例如,如果发送器位于 VLAN 100 (192.168.100.0/24) 中,则发送器的 IP 地址可为 192.168.100.10,但不应为 192.168.200.10。
-
确保所有已启用组播路由的交换机可从已启用组播路由的所有第 3 层接口 ping 通 RP 地址
-
配置 ACL 以阻止非关键组,例如 239.255.255.250/32 (SSDP)
-
-
IGMP 侦听
-
如果没有第 2 层组播要求,请禁用 IGMP 侦听。IGMP 侦听是一项需要依赖 CPU 的功能,因此建议仅当需要时才使用此功能。例如,IPTV。
-
建议将 239.0.0.0/8 组播地址空间用于内部应用
-
如果需要使用 IGMP 侦听并且网络中没有已启用组播路由的交换机/路由器,请务必配置 IGMP 查询器。传输组播流量的每个 VLAN 都需要一台已启用查询器或 PIM 的交换机/路由器。
-
高可用性和冗余
交换机堆叠
以下步骤介绍如何准备一组用于物理堆叠的交换机,如何将其堆叠在一起,以及如何在控制面板中配置该堆叠:
-
将交换机添加到控制面板网络中。这个网络可以是专门用于这些交换机的新控制面板网络,也可以是包含其他交换机的现有网络。目前尚不要在控制面板中配置堆叠。
-
将每台交换机与单独的上行链路连接使其上线,并确保其可以向控制面板报到。
-
使用组织 > 监控 > 固件升级下的固件升级管理器下载最新的固件版本。这有助于确保每台交换机都运行相同的固件版本。
-
关闭所有交换机的电源并断开链路,通过堆叠电缆采用环形拓扑将交换机连接在一起(如下图所示)。要创建一个完整的环,请先将交换机 1/堆叠端口 1 连接到交换机 2/堆叠端口 2,然后将交换机 2/堆叠端口 1 连接到交换机 3/堆叠端口 2,依此类推,最后将底部交换机连接到顶部交换机,完成整个环。
-
为整个交换机堆叠连接一条上行链路。
-
接通所有交换机的电源,然后等待几分钟让交换机从控制面板下载最新的固件和更新。在此过程中,交换机可能会重新启动。
-
每台交换机正面的电源 LED 会在此过程中闪烁。
-
当交换机完成固件下载和安装后,电源 LED 会呈白色或绿色常亮。
-
-
导航至交换机 > 监控 > 交换机堆叠。
-
在控制面板中配置交换机堆叠。如果控制面板在已检测到的潜在堆叠下已检测到正确的堆叠,请点击调配此堆叠以自动配置堆叠。
-
否则,请执行以下操作手动配置堆叠:
-
导航至交换机 > 监控 > 交换机堆叠。
-
点击添加一个/添加堆叠:
-
选择要堆叠的交换机所对应的复选框,为堆叠命名,然后点击创建。
配置完成,堆叠现在应当能够启动并运行。
-
将堆叠中每个 “顶部” 和 “底部” 交换机上的 2 个端口用于上行链路连接和冗余。
-
为上行链路连接配置跨堆叠链路汇聚
第 3 层交换机的热备份
也可以为配置用于第 3 层路由的 MS 系列交换机配置一个 “热备份” 设备,以便提供网关冗余。通过此方法,可以将两台完全相同的交换机配置为给定子网的冗余网关,从而为用户提高网络可靠性。
请注意,虽然热备份是一种确保可靠性和高可用性的方法,但通常情况下,我们建议对第 3 层交换机使用交换机堆叠而非热备份,以便提供更高的冗余能力和更快的故障切换。
热备份构建于 VRRP 之上,为客户端提供一致的网关。这一对交换机将共享每个第 3 层接口的虚拟 MAC 地址和 IP 地址。MAC 地址将始终以 00-00-5E-00-01 开头,IP 地址则始终是主设备上配置的接口 IP 地址。客户端将始终使用此虚拟 IP 和 MAC 地址与其网关通信。
-
为实现冗余,请确保存在一条替代路径,用于主设备和备份设备之间的 VRRP 消息交换。建议在主设备与备份设备之间采用直接连接
服务质量(QoS)
-
分类
-
识别网络中的不同流量类以确定优先级。流量可以根据 VLAN(用户、voip、网络控制等)概略地分类。
-
通过添加基于协议类型、源端口和目的端口的 QoS 规则,您可以将 VLAN 中的流量进一步分类为数据、语音、视频等。
-
下面列出了典型的企业流量类:
-
-
标记
-
Meraki MS 支持信任或重新标记传入的 DSCP 值。Meraki MS 仅支持根据 DSCP 值进行标记(重新标记/信任)。Dot1q 报头中携带的 CoS 值不会执行。如果终端设备不支持 DSCP 自动标记,请配置 QoS 规则以便手动设置适当的 DSCP 值。
-
-
默认情况下,Dot1q 报头中的 CoS 标记不会保留,因为 MS 交换机仅支持 DSCP 标记。
-
队列和调度
-
为每个 DSCP 值分配适当的服务类别队列
-
-
MS 网络有 6 个可配置的 CoS 队列,标记为 0-5。每个队列都按先进先出 (FIFO) 模式获得服务。如果未启用 QoS,则所有流量将按 FIFO 模式在队列 0(默认类别)中获得服务。队列的加权方式如下:
CoS |
权重 |
0(默认类别) |
1 |
1 |
2 |
2 |
4 |
3 |
8 |
4 |
16 |
5 |
32 |
例如,在一个交换环境中,VoIP 流量应位于 CoS 队列 3 中,企业应用应位于 CoS 队列 2 中,所有其他流量不分类。我们可以使用各 CoS 队列的权重作为分子,并将配置的所有 CoS 队列的和(在本示例中为 8+4+1=13)作为分母,来计算带宽分配的百分比:
-
VoIP 流量可保证获得 8/13(即 62% 左右)的带宽。交换机会转发 CoS 队列 3 中的 8 个帧,然后转到 CoS 队列 2。
-
企业应用可保证获得 4/13(即 30% 左右)的带宽。交换机会转发 CoS 队列 2 中的 4 个帧,然后转到默认队列。
-
所有其他流量会获得 1/13(即 8% 左右)的带宽。交换机会转发默认队列中的 1 个帧,然后重新回到 CoS 队列 3。
根据上述信息,为网络中的每个流量类确定适当的 CoS 队列。请注意,只有在出现拥塞时,QoS 才会开始生效,因此提前进行容量规划始终是最佳实践。
大型园区网络交换机部署最佳实践
本指南提供用于帮助网络管理员在园区环境中部署 Meraki 交换机 (MS) 系列的信息和指南。
园区网络通常采用分层设计,根据各个园区的具体需求进行扩展。这些规模较大的网络通常包括广域网接入、核心、汇聚层和接入/边缘层。此设计图得到反复使用,因为事实已经证明,它可以通过扩展适应所有使用案例。下面是此模板/设计图的略图示例。
园区网络设计
本文档将以理论上建议使用的环境为例,介绍一种采用 Meraki 硬件的理想园区网络设计的配置。
汇聚层
最好的网络需要具备冗余能力,因此我们建议的环境将在汇聚层采用能够运行第 3 层功能的可堆叠交换机,例如 MS425。这可以让网络获得 40 千兆的连接,用于将两个汇聚层交换机互联,从而在此设置下实现物理冗余以及协议故障切换的恢复能力。这样,网关就能保持正常运行。
首先,MS425 应处于在线状态并连接到上游网关。这样,它们才可以下载任何可用的固件更新,并获取(部署之前或之后)进行的任何配置更改。如果交换机处于在线状态,状态 LED 应呈白色常亮。如果 LED 在连接后几分钟仍未变为白色,可以使用《MS425 系列安装指南》帮助进行故障排除。在控制面板中,设备应显示绿色状态,这表示该设备已连接并已收到最新配置,已经准备就绪。
交换机上线后,下一步是将交换机背面的专用 QSFP+ 堆叠端口配置为用作堆叠端口。您可以通过控制面板中的交换机 > 交换机端口为多台交换机进行此配置,也可以点击端口为每台交换机单独进行此配置。
在交换机端口配置窗口中,选择堆叠并保存配置。这会将更改推送到交换机并为堆叠启用这些端口。下一步是在控制面板中配置堆叠成员。此配置可在控制面板中的交换机 > 交换机堆叠页面中完成。交换机堆叠成员可从已检测到的潜在堆叠部分中进行选择,也可以选择页面顶部附近的添加一个进行添加。在控制面板中将交换机添加到堆叠后,交换机大约需要一分钟来接收配置。交换机从控制面板收到堆叠配置后,将显示于检测到的堆叠列表中。
命名并保存堆叠即可完成交换机设置,可以继续下一步,添加接口和路由。这需要进行 VLAN 配置;可以按交换机或堆叠,在交换机 > 路由和 DHCP 下进行配置。我们将在此配置接口和静态路由,以便对流量加以限制。点击添加静态路由或添加接口,然后填写适当的信息,确保选择之前定义的交换机堆叠。
完成此配置后,我们还可以根据园区的规模启用 OSPF,以便在建筑之间实现动态路由。此配置可通过交换机 > OSPF 完成,可为我们提供冗余互联网路径以及建筑物之间连接的故障切换功能。我们需要启用它并通告适当的接口,然后将 Hello 和 Dead 计时器设置为所需的值。将这两个计时器分别设置为较小的值 1 和 3 可能是个不错的选择,不过具体的设置完全取决于您的网络设计。
至此,我们已在汇聚层为园区架构奠定了坚实的基础,现在可以转到接入层了。
接入层
完成汇聚层的配置后,我们需要设法连接客户端,此时就要将物理堆叠引入接入层或网络边缘。这将提供高性能的冗余接入层,最大限度地减少可能发生的各类故障,同时为企业部署提供充足的带宽。MS350 正是为此而设计的,具有完全冗余的电源和风扇,还能堆叠最多八台交换机,在一个堆叠中提供 384 个端口。这应该能为网络配线柜提供充足的连接,满足一层楼或一层楼一侧的需求,外加 160 Gbps 的堆叠带宽,我们还可以利用具有跨堆叠链路汇聚的多条上行链路,实现更高的汇聚层或核心层吞吐量。这样配置还能实现与我们之前设置的汇聚层堆叠交换机 MS425 的集成,从接入层到核心层提供冗余,从而最大限度地减少可能发生的各类故障。
在设置堆叠时,必须连接堆叠链路。我们这样做是为了创建一个完整的环,方法是将堆叠端口 1 连接到堆叠端口 2,一路沿堆叠而下,最后将底部交换机连接到顶部交换机,从而完成整个环。
如此连接电缆后,我们将建立一条上行链路,以便将其连接到控制面板,并完成所有配置或与已经提前设置的配置同步。控制面板将自动检测堆叠是否尚未配置,并要求调配或命名堆叠:
命名并进行配置后,通过对控制面板的虚拟堆叠进行管理,我们已准备就绪,可以连接客户端并将链路汇聚设置回汇聚层或核心。因为我们能够使用链路汇聚控制协议 (LACP) 捆绑最多八条链路,所以我们希望确保在任何堆叠中至少使用两条链路来满足一些带宽需求。
理想情况下,我们希望确保隔开链路,以便最大限度地减少整个堆叠中与上行链路相距的跳数。这就像是在四交换机堆叠中隔一台交换机有一条链路,即交换机一和三各有一条链路;或者,在有两条上行链路的八交换机堆叠中,我们需要在交换机一和四上各有一条链路。这样做的结果是在正常运行和故障期间提供最佳覆盖范围,尝试避免流量不必要地流经整个堆叠才能到达上行链路。使用 Meraki 的虚拟堆叠功能,链路汇聚的配置变得非常简单。只需选择要包含在链路汇聚中的端口,然后点击控制面板中的 “汇聚” 按钮。
最后要提到的是,MS350 交换机系列为多千兆以太网型号,与 MR53 无线接入点配合使用,可以通过双绞线以太网提供高于一千兆的速度。因此,园区既能实现堆叠冗余,又能在需要的时候为最终客户提供更高的吞吐量。有关详细信息,请参阅我们的多千兆技术简介。
园区网络中的 QoS部署注意事项
在任何园区部署中,确定流量优先级都是确保关键网络应用即使在高负载状态下也能运行的关键。这要使用服务质量 (QoS) 配置来实现。用最简单的方法解释 QoS,就是确定流量的优先级,确保重要流量或延迟敏感型流量优先于需求不太高的流量获得带宽。要阅读有关 Meraki 上的 QoS 的指南,请参阅我们的 MS QoS 文档。
下表列出了 RFC 2475 中所述的常用 DSCP 值。为确保实现标准化,建议使用这些值,除非部署已经在使用一组不同的值。
DSCP 值 |
十进制数 |
值的含义 |
丢弃概率 |
等效 IP 优先级值 |
101 110 |
46 |
高优先级加速转发 (EF) |
不适用 |
101 - 关键 |
000 000 |
0 |
尽力而为 |
不适用 |
000 - 常规 |
001 010 |
10 |
AF11 |
低 |
001 - 优先 |
001 100 |
12 |
AF12 |
中 |
001 - 优先 |
001 110 |
14 |
AF13 |
高 |
001 - 优先 |
010 010 |
18 |
AF21 |
低 |
001 - 紧急 |
010 100 |
20 |
AF22 |
中 |
001 - 紧急 |
010 110 |
22 |
AF23 |
高 |
001 - 紧急 |
011 010 |
26 |
AF31 |
低 |
011 - 快速 |
011 100 |
28 |
AF32 |
中 |
011 - 快速 |
011 110 |
30 |
AF33 |
高 |
011 - 快速 |
100 010 |
34 |
AF41 |
低 |
100 - 更快速 |
100 100 |
36 |
AF42 |
中 |
100 - 更快速 |
100 110 |
38 |
AF43 |
高 |
100 - 更快速 |
001 000 |
8 |
CS1 |
- |
1 |
010 000 |
16 |
CS2 |
- |
2 |
011 000 |
24 |
CS3 |
- |
3 |
100 000 |
32 |
CS4 |
- |
4 |
101 000 |
40 |
CS5 |
- |
5 |
110 000 |
48 |
CS6 |
- |
6 |
111 000 |
56 |
CS7 |
- |
7 |
000 000 |
0 |
默认 |
- |
- |
101 110 |
46 |
EF |
- |
- |
为帮助说明上表背后的原因,下面按照 RFC 791 列出了由最低到最高的 IP 优先级。
DSCP 值 |
说明 |
000 (0) |
常规或尽力而为 |
001 (1) |
优先 |
010 (2) |
紧急 |
011 (3) |
快速 - 主要用于视频的语音信令 |
100 (4) |
更快速 |
101 (5) |
关键 - 主要用于语音 RTP |
110 (6) |
互联网 |
111 (7) |
网络 |
我们需要在接入交换机上镜像网络部署的其余部分,使整个网络中的 QoS 相同,所以为与默认的思科设置相匹配,我们将进行以下设置:
CoS 值 |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
DSCP 值 |
0 |
8 |
16 |
24 |
32 |
40 |
48 |
56 |
|
|
|
|
|
|
|
|
|
DSCP 值 |
0 |
8、10 |
16、18 |
24、26 |
32、34 |
40、46 |
48 |
56 |
CoS 值 |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
您需要在交换机 > 交换机设置下进行这些配置,并通过用户界面定义 QoS:
安全设置
配置完 QoS 并正确地确定流量优先级后,任何希望确保自己对网络拥有最大控制权的网络管理员都需要实施安全设置。为了实现这一点,我们可以使用 DHCP 服务器监听机制,并将其设置为自动阻止网络中的新 DHCP 服务器。这样,网络在面对未授权DHCP服务器接入时,就能保持恢复能力。然后,我们可以将应该分发 DHCP 地址的服务器列入白名单,确保网络的正常运行。
园区网络部署安全的另一个重要方面是身份验证。大多数具有安全意识的部署都会使用一台 RADIUS 服务器对网络中的客户端进行身份验证。Meraki 交换机系列可与 RADIUS 服务器集成,通过 802.1x 或 MAC 身份验证绕行 (MAB) 在任何交换机端口上提供身份验证。这可以控制连接的用户及其可以访问的资源。使用 MS 交换机系列,可以允许这二者之一。或者,部署还可以使用混合模式,先尝试 802.1x,然后在选择不允许客户端访问或将其移至访客或补救 VLAN 之前转到 MAB。强烈建议设置一个补救 VLAN 来隔离未经授权的访客或不符合规定的设备。
除了上面提到的身份验证方法之外,Meraki 的该交换机系列中还包括一个 RADIUS 服务器监控机制以便使用混合身份验证,如果 RADIUS 服务器处于离线状态,将退回客户端以在服务器重新可用时重新进行身份验证。这可以在身份验证可用时重新提示客户端登录以便获取网络资源,而无需人工干预。能否使用此特定功能取决于网络的设计,但是在网络使用的数据中心或智能管理平台托管的 RADIUS 服务器无法访问的情况下,此功能极其实用。
与上述任何安全注意事项一样,如果不能使用访问控制列表 (ACL) 对 VLAN 之间的流量加以限制,网络设置就无法完成。有关在 MS 交换机上配置 ACL 的详细信息,请参阅我们关于《交换机 ACL 操作》的文章。
多个 VLAN部署
落实安全设置之后,我们可以采取一些主动措施来设计园区,通过限制 VLAN 穿过的位置缩小广播域的大小。这需要对 VLAN 进行设计,使其仅中继到建筑物的某些楼层,甚至仅中继到特定建筑物,具体取决于物理环境。这可以缩小广播数据包的泛洪范围,不会在每次广播时让流量遍布网络的每个角落,从而减少广播风暴可能造成的影响。例如,网络设计可以在一楼将 VLAN 3 用于数据并将 VLAN 4 用于语音,然后在二楼将 VLAN 5 用于数据并将 VLAN 6 用于语音。
为一楼中间分布层设备间 (IDF) 配置中继时,只需要 VLAN 5 和 6。此类设计可以轻松重复,最大可扩展至包含多栋建筑物的园区,分配一个或多个 VLAN 来实现流量分离。这还有助于进行故障排除,帮助根据所接收的 IP 地址查找用户。使用逗号分隔列表在控制面板中配置中继上允许的 VLAN 很简单。因此,要允许 VLAN 1、2、3、4 以及 10 至 20,只需键入 1-4、10-20 即可。
请注意,Meraki 交换机不需要创建或添加 VLAN,以便在中继接口上接受这些 VLAN。因此,思科 VTP 等协议并不是必需的,但这些协议与 MS 交换机兼容(即 VTP 透明模式)。
对于使用 IP 语音 (VoIP) 的任何部署,最好确保将语音流量分配给正确的 VLAN。很多时候,除正常流量 VLAN 之外,还会定义此语音 VLAN,而现代手机通常会通过它们连接 PC。使用 Meraki 交换机,我们可以轻松分配手机通过的语音 VLAN,以便将流量标记到适当的 VLAN 中。此事务通过 CDP 或 LLDP 完成,具体取决于所使用的手机型号。在控制面板中,此 VLAN 的配置非常简单。将端口配置为接入端口,定义普通 VLAN,然后再配置语音 VLAN。
接入和访问控制
可以在 Meraki 控制面板中自定义管理可视性和访问权限。由于有不同的权限级别而且可以标记端口/设备以控制什么用户具有访问权限,因此可以根据需要分配可视性与可控性。在控制面板中,可以按个人定义完全访问、有限访问或只读访问选项。这使您的服务中心员工能够查看和控制用户端口,您的网络团队能够控制特定的建筑或整个组织级别,并允许利益相关者在无法破坏任何内容的情况下具有可视性。
要隔离或减少特定管理员拥有的访问权限数量,可以利用交换机和/或端口标记功能,为其提供对特定端口/交换机的某些访问权限,同时降低管理员关闭关键网络功能的能力。这可以在用户界面的交换机端口列表中轻松完成。标记端口后,只需将标记与管理员绑定即可。
可视性
至此,已利用智能管理平台完成园区网络设置。下一步是确保用户顺利过渡到全新的网络。此控制面板可用于提供出色的报告以及新园区部署中发生的情况的相关信息。此控制面板将概述客户端利用 Meraki 内置流量分析执行的操作。
Meraki 的第 7 层应用可视性已增强,可动态检测网络上运行的应用并提供主机名和 IP 地址可视性。这些信息可用于了解网络上的用户行为并制定策略决策,例如创建自定义流量整形规则或将组策略应用于特定用户。
流量分析
这是一项可选功能,可以通过选择启用主机名可视性功能,在配置 > 全网设置页面下启用。
使用流量分析
每次启用主机名可视性功能时,增强后的 “流量分析” 页面将显示在监控菜单下。此页面将提供随时间推移整个网络的唯一客户端总数。可以针对不同时间段(最近 2 小时、一周、一天和一个月)并基于每个 SSID 自定义视图。
此页面将基于每个网络或每个 SSID 显示以下信息:
-
应用
-
各种应用类别(例如,“其他安全 Web”)的特定目的地
-
协议信息
-
端口信息
-
按百分比、发送和接收数据、流数细分的使用情况
-
所有客户端上应用的总活动时间
-
客户端数量
签名或应用级分析
通过点击应用签名(例如,“Dropbox” 或 “非 Web TCP”),可以查看包含此应用类别的主机名和 IP 地址的完整细分。使用这些信息可以了解特定类型流量的通信模式。
此页面将基于每个应用显示以下信息:
-
应用名称、类别、端口、说明
-
随时间推移的使用情况
-
用户列表
-
目的地列表 - 属于此应用类别的主机名和 IP 地址
-
每个目的地的客户端总数
-
每个客户端花费的时间
用户行为分析
通过点击特定用户,可以查看此用户访问过的主机名和 IP 地址的完整细分,包括在每个目的地花费的时间。使用这些信息可以了解各个用户的行为,并基于每个用户应用策略。
摘要报告可以通过邮件直接发送给网络管理员,在他们任务繁重时至少可以为他们减轻一项任务。这些报告提供网络更新,几乎毫不费力即可直接与关键利益相关者共享。
通过客户端详情页面进行故障排除
通过邮件直接发送到收件箱的流量分析和摘要报告有助于减轻工程师的负担。也就是说,在收到无法打印到本地打印机或无法访问文件服务器上的资源的人员发送故障通知单之前,有助于减轻工程师的负担。虽然这曾经是一个令人头疼的问题,但如今通过利用控制面板的可视性,可以快速完成此任务。只需打开客户端页面,然后键入与用户或其 PC 关联的名称。此操作会对列表进行过滤,直接找出相关计算机。
找出相关计算机之后,即可提供更多信息。通过点击我们关注的设备,我们可以获取详细信息,例如设备连接的交换机/端口甚至无线接入点,以及 IP 地址、MAC 地址甚至防火墙信息。
通过此屏幕,我们可以快速了解取客户端的概况,甚至可以尝试从控制面板对其执行 ping 操作。此外,我们还可以对流量进行数据包捕获,同时让最终用户尝试执行之前失败的操作。如果使用系统管理器 (SM) 跟踪客户端,还可以获得其他信息,从而能够查看所安装的软件,并确保它与可能通过 SM 应用的任何更新或策略同步。
如果要排除物理层问题,可以使用交换机上提供的电缆测试实用程序直接从控制面板中进行操作。
这样,我们可以简单轻松地排除物理层问题,而无需查找电缆测试仪或将人员派遣至远程位置并携带电缆和测试仪以进行验证。利用电缆测试提供的信息,如果测试失败,则可以实施额外的电缆或新的电缆线路。
另一个控制面板工具是拓扑视图,它提供对网络及其连接情况的信息,甚至可以显示未插入的冗余链路。在混合部署的情况下,可以从直接连接的设备中提取信息,以查看基础设施中的设备接线是否正确。
应该注意的是,控制面板拓扑视图仅在具有至少一台 MS 交换机的网络上可用。
交换机部署最佳实践模板
随着网络部署增长至跨越多个站点,管理单个设备可能变得非常麻烦且没有必要。为帮助降低这些运营成本,Meraki MS 交换机使用模板快速推出新的站点部署并进行批量更改。
本指南将概述如何在控制面板中创建和使用 MS 交换机模板。
规划模板部署
推出模板部署(或在生产网络上启用模板)之前,将部署分为若干 “单元” 进行规划可能会有所帮助。这包括提出如下问题:
-
我的站点是什么?(例如,零售点、学校、分支机构等)
-
每个站点有多少台交换机?
-
同一站点的多台交换机是否配置相同?(例如,接入交换机、教室交换机等)
对这些问题的回答应该会直接影响您的模板部署,特别是对模板网络和交换机配置文件的使用。
路由和 DHCP
绑定到模板的网络的第 3 层设置作为此模板的例外情况。路由和 DHCP、OSPF 路由以及 DHCP 服务器和 ARP 页面将在绑定到模板的每个网络上进行配置,其行为与网络未绑定到模板时的行为相同。其中一个区别是,可以从父模板的 “全网” > “警报” 页面获取为 DHCP 服务器和 ARP 页面上新检测到的 DHCP 服务器设置邮件警报,从而应用于绑定到模板的所有网络。
模板网络
网络部署术语中的 “站点” 通常与控制面板术语中的 “网络” 相同;每个站点都有自身的控制面板网络。因此,规划要以相同方式配置的多个站点时,它们将共享模板网络。
模板网络是由多个站点/网络共享的网络配置。单个站点网络可以绑定到模板网络,因此对模板所做的更改将推送到所有绑定站点。此外,还可以基于模板创建新网络,从而轻松启动相同类型的新站点。
规划模板部署时,每种类型的站点都应该有一个模板网络。
交换机配置文件
如果站点上的多台交换机共享相同的端口配置,则可以使用交换机配置文件轻松部署和更新交换机。在模板网络中,交换机配置文件定义一组交换机的每端口配置。例如,如果所有站点都包含多台配置完全相同的 MS220-24 交换机,则管理员可以为其 MS220-24 交换机设置交换机配置文件。通过这种方式,无论何时在站点上安装新的 MS220-24,系统都会自动采用其交换机配置文件并相应地配置其端口。
规划模板部署时,如果多台交换机共享相同的配置,请考虑为每种类型的交换机使用交换机配置文件。
配置文件可以被本地端口配置覆盖。如果已手动配置绑定配置文件的交换机端口,则即使更改配置文件,此手动配置也将 “粘滞” 并保留在交换机上。
不同的 MS 交换机型号无法共享同一配置文件。
下图显示网络模板和交换机配置文件之间的关系:
配置
以下部分将介绍控制面板中交换机模板的配置和使用:
创建配置模板
如上所述,应为要部署的每种类型的站点创建模板网络。
要创建模板网络,请执行以下操作:
-
在控制面板中,导航至组织 > 监控 > 配置模板。
-
点击创建新模板。
-
为模板选择一个描述性名称。如果这是一个全新的模板,请依次选择创建新模板和交换机模板。
-
如果此模板应基于现有网络,请依次选择从以下位置复制设置,并选择一个现有交换机网络。
-
-
点击添加:
-
如果要将现有网络绑定到此新模板,请选择这些网络作为目标网络,然后点击绑定。否则,请点击关闭。
可以在单个模板中管理多种设备类型,作为组合网络。有关在模板中管理非交换机设备的更多信息,请参阅我们的文档。
将网络绑定到此模板后,模板网络应显示在网络下拉列表中:
配置模板
创建模板后,可以使用某些全局交换机设置进行配置。这些设置也将应用于绑定到此模板的所有网络。
要配置模板网络,请从网络下拉列表中选择模板,然后在交换机 > 配置菜单选项下正常配置设置。这可能包括设置全局管理 VLAN、IPv4 ACL、端口计划等。此外,还可以在此处配置交换机配置文件,详情如下所述。
请注意,此处所做的任何配置更改都将应用于所有绑定网络。
创建和使用交换机配置文件
交换机配置文件可用于对相同型号的交换机进行批量配置。
要创建交换机配置文件,请执行以下操作:
-
从网络下拉列表中选择适当的网络模板。
-
导航至交换机 > 配置 > 配置文件。
-
如果未创建任何配置文件,系统会显示 “创建配置文件” 窗口。否则,点击创建配置文件。
-
选择描述性名称和要配置的交换机型号。
-
点击保存:
-
点击新创建的配置文件。
-
要配置配置文件,请选择配置此配置文件上的端口。
-
以下端口配置页面可以与正常交换机端口配置页面完全相同的方式使用:
-
导航回交换机 > 配置 > 配置文件 > 配置文件名称下的交换机配置文件。
-
点击绑定交换机。
-
选择一个或多个交换机,然后点击绑定到配置文件:
所有已绑定的交换机现在将使用交换机配置文件中设置的端口配置。此时,配置文件中所做的任何更改都会影响所有已绑定的交换机。
链路汇聚
链路汇聚只能在交换机配置文件中配置,不能通过本地覆盖直接在绑定交换机上配置。
本地覆盖
将交换机绑定到配置文件后,仍然可以通过控制面板对其进行正常配置。直接在交换机上进行的任何端口配置更改将覆盖配置文件配置,并报告为本地覆盖。
在以下示例中,已绑定交换机直接配置为在端口 3 上设置自定义 VLAN。在模板网络中,
在交换机 > 配置 > 交换机配置文件下,此配置更改显示在本地覆盖列下:
自动绑定交换机
将新网络绑定到具有至少一个交换机配置文件的现有模板后,可使用此选项将交换机 “自动绑定” 到此模板的配置文件。这可以退大幅减少设置新站点所需的工作量;如果要部署的每个交换机型号都具有配置文件,则唯一需要执行的配置是将网络绑定到此模板。
要在新网络中自动绑定交换机,请执行以下操作:
-
创建新的交换机网络。
-
照常将设备添加到此网络。
-
导航至组织 > 配置模板 > 模板名称。
-
点击绑定其他网络。
-
选择新创建的网络,然后选中自动绑定目标设备。
-
点击绑定:
此时,新网络中的所有交换机都将自动绑定到相应的配置文件。
审核模板部署
虽然可以使用模板整合大多数交换机配置,但是对于需要在交换机上进行本地配置更改的单个端口或设置而言,可能存在例外情况。由于本地配置更改会覆盖模板和配置文件配置,因此必须跟踪整个组织中的任何本地配置更改。
要查看模板的本地配置覆盖,请执行以下操作:
-
导航至组织 > 配置模板 > 模板名称。
-
本地覆盖列将显示是否有任何网络将会覆盖模板配置:
要查看交换机配置文件的本地配置覆盖,请执行以下操作:
-
从网络下拉列表中选择适当的模板。
-
导航至交换机 > 配置 > 配置文件 > 配置文件名称。
-
本地覆盖列将显示是否有任何交换机将会覆盖配置文件配置:
堆叠的交换机替换向导
以下是有关如何从作为堆叠一部分的故障交换机复制配置以及从何处将网络绑定到模板的说明。
-
在组织 > 配置 > 资产页面上,申请新交换机,然后将新交换机添加到现有网络。
-
将新交换机绑定到模板配置文件。
-
导航至控制面板中的父模板。
-
导航至此模板中的交换机 > 配置 > 配置文件。
-
点击相应的配置文件。
-
点击绑定交换机按钮。
-
点击新交换机旁边的复选框,然后点击绑定到配置文件按钮。
-
新交换机的固件升级。
-
为新交换机提供物理上行链路连接,然后接通电源。需要将新交换机作为独立设备联机,而不是添加到堆叠中,以便可以更新其固件。
-
通过连接图或支持团队确认交换机已升级其固件。
-
新交换机升级时,您可以继续执行以下步骤,在步骤 8 之前停止,直至新交换机趁机完成升级。
-
获取当前配置。
-
导航至父模板中的交换机 > 配置 > 配置文件。
-
点击相关配置文件。
-
在搜索交换机...字段中过滤旧交换机的名称。
-
记录本地覆盖配置。保存在文本编辑器中,以便在步骤 5 中使用。
-
在子网络中,导航至交换机 > 监控 > 交换机端口页面。
-
在搜索交换机...字段中,按旧交换机的名称进行过滤,然后选择以下列选项。
-
然后,获取端口配置的屏幕截图,或将其复制并粘贴到电子表格或文本编辑器应用中。
-
配置更换交换机。
-
在子网络的交换机 > 监控 > 交换机端口页面上,根据步骤 4 中收集的配置,配置新交换机的交换机端口。
-
完成后,导航回步骤 4 中的模板配置文件详细信息页面,并确保旧交换机和新交换机之间的本地覆盖相匹配。
-
关闭旧交换机。
-
将旧交换机与配置文件解除绑定。
-
在模板配置文件详细信息页面上,点击旧交换机旁边的复选框,然后点击取消绑定按钮。
-
将新交换机添加到堆叠中。
-
确认新交换机已按步骤 3 中所述升级其固件后,关闭新交换机。
-
在子网络中,导航至交换机 > 监控 > 交换机堆叠页面。
-
点击相关堆叠。
-
点击管理成员选项卡。
-
在添加成员下,点击新交换机旁边的复选框,然后点击添加交换机按钮。
-
从堆叠中删除旧交换机。
-
在子网络中,导航至交换机 > 监控 > 交换机堆叠页面。
-
点击相关堆叠。
-
点击管理成员选项卡。
-
点击旧交换机旁边的复选框,然后点击删除交换机按钮。
-
以物理方式连接并堆叠新交换机。
-
启动新交换机。
其他说明和资源
如果同时部署多个网络,可以使用批量网络创建工具来批量绑定模板和配置文件。
有关 Meraki 配置模板的更多信息,请参阅我们的文档。
最佳实践设计 - MR 无线
高密度 Wi-Fi 部署
高密度 Wi-Fi 部署是大型部署的一种设计策略,可在大量客户端连接到狭小空间内的无线接入点时为客户端提供无处不在的连接。如果连接无线接入点的客户端超过 30 个,则可以将此位置归类为高密度部署。为了更好地支持高密度无线部署,思科 Meraki 无线接入点内置专用射频频谱监控无线电,使 MR 能够处理高密度环境。除非添加额外的传感器或放射线检验器,否则没有此专用无线电的无线接入点就必须使用专有方法进行伺机扫描,以便更好地测量射频环境,但这可能会导致性能欠佳。
具有多个楼层的大型园区、分布式建筑、办公空间和大型活动场地具有庞大的无线接入点和设备连接数量,因此被视为高密度环境。高密度环境的更多极端示例包括体育场、大学礼堂、赌场、活动中心和影院。
随着 Wi-Fi 的继续普及,越来越多的设备将消耗越来越多的带宽。对无处不在的连接需求日益增加,可能会给无线部署带来额外的压力。适应这些不断变化的需求并非始终需要更多的无线接入点来支持更高的客户端密度。随着时间的推移,对无线连接的需求发生了变化,IEEE 802.11 无线局域网标准也发生了变化以适应更高的密度,从 1999 年最早的 802.11a 和 802.11b 标准到 2013 年推出的最新 802.11ac 标准,再到目前正在开发的全新 802.11ax 标准。
规划
最近,设计 Wi-Fi 网络的过程以现场实地调查为中心,以确定提供足够覆盖范围所需的最少数量的无线接入点。通过针对预定义的最小可接受信号强度评估调查结果,该设计将被认为是成功的。虽然这种方法适用于覆盖范围的设计,但它没有考虑基于客户端数量、功能和应用带宽需求的要求。
首先,需要了解高密度设计的要求,这有助于确保设计取得成功。此规划有助于减少安装后对于进一步现场调查以及随着时间的推移部署额外无线接入点的需求。建议在进入设计过程的后续步骤之前获得以下详细信息:
-
网络上的预期应用类型
-
支持的技术 (802.11 a/b/g/n/ac)
-
要支持的客户端类型(空间流数量、技术等)
-
要覆盖的区域
-
每个区域中预期同时使用的设备数量
-
审美要求(如有)
-
布线限制(如有)
-
功率限制(最好有支持 PoE+ 的基础设施,以支持高性能无线接入点)
容量规划
获得上述详细信息后,即可将容量规划分为以下几个阶段:
-
估计总应用吞吐量
-
估计设备吞吐量
-
估计无线接入点的数量
建议在启动任何高密度无线网络设计时,首先计算满足站点带宽需求所需的无线接入点数量。
估计总应用吞吐量
通常,有一个推动连接需求的主要应用。了解此应用的吞吐量要求以及网络上的任何其他活动,可以确定每用户带宽目标。所需每用户带宽这一信息将用于推动进一步的设计决策。一些常用应用的吞吐量要求如下所示:
应用 |
吞吐量 |
Web 浏览 |
500 kbps(千比特) |
VoIP |
16 - 320 kbps |
视频会议 |
1.5 Mbps |
流媒体 - 音频 |
128 - 320 kbps |
流媒体 - 视频 |
768 kbps |
流媒体 - 高清视频 |
768 kbps - 8mbps |
流媒体 - 4K |
8 mbps - 20mbps |
注:在所有情况下,最好测试目标应用并验证其实际带宽要求。而且还要在 WLAN 中支持的设备的代表性样本上验证应用,这一点也非常重要。此外,并非所有浏览器和操作系统都具有相同的效率,而且在采用 Microsoft Internet Explorer 或 Firefox 的 Windows 笔记本电脑上,查看某个应用可能只需要 100 千比特/秒 (Kbps) 就足够了,而在使用嵌入式浏览器和操作系统的智能手机或平板电脑上查看该应用却可能需要更多带宽
了解每个连接和应用所需的带宽吞吐量后,即可利用该数值确定 WLAN 覆盖区域中所需的总带宽。建议为教室、大堂、礼堂等不同区域提供总吞吐量,因为这些区域的要求可能有所不同。
例如,我们需要设计一个高密度 Wi-Fi 网络,以支持需要 3 Mbps 吞吐量的高清视频流。根据礼堂的容量,最多可能会有 600 名用户观看高清视频流。可以使用以下给定公式计算总应用吞吐量:
(应用吞吐量)x(并发用户数)= 总应用吞吐量
3 Mbps x 600 名用户 = 1800 Mbps
请注意,1.8 Gbps 超过了几乎所有互联网运营商提供的带宽。我们估计的总应用带宽是一个理论需求上限,后续计算中将会用到它。
估计设备吞吐量
虽然 Meraki 无线接入点支持最新的技术,并且可以支持根据标准定义的最大数据速率,但可用的平均设备吞吐量通常取决于其他因素,例如客户端功能、每个无线接入点的并发客户端、要支持的技术、带宽等。
客户端功能对吞吐量具有较大影响,因为与支持较新技术的客户端相比,仅支持传统速率的客户端将具有较低的吞吐量。此外,客户端支持的频段也可能会对吞吐量产生一定影响。Meraki 无线接入点具有频段切换功能,可将双频客户端切换至 5 GHz。
注:与双频客户端相比,仅支持 2.4 GHz 的客户端可能具有更低的吞吐量,因为与 5 GHz 相比,2.4GHz 的噪音级别更高,且客户端可能会在 2.4GHz 上协商更低的数据速率。
在某些情况下,还建议为每个频段提供专用 SSID,以便更好地管理跨频段的客户端分发,并消除可能出现的任何兼容性问题。
注:默认情况下,禁用仅具有 2.4 GHz SSID 的选项。请联系 Meraki 支持团队启用此功能。
要评估客户端吞吐量要求,请调查客户端设备并确定其无线功能。必须确定受支持的无线频段(2.4 GHz 与 5 GHz)、受支持的无线标准 (802.11a/b/g/n/ac) 以及每台设备支持的空间流数量,这一点非常重要。由于无法始终通过客户端设备文档找到其支持的数据速率,因此控制面板上的 “客户端详细信息” 页面可用作确定其功能的简便方法。
客户端详细信息列表示例
Wi-Fi 基于 CSMA/CA,属于半双工模式。这意味着,一次只有一台设备可以通话,而连接到同一无线接入点的其他设备需要轮流等待访问此信道。因此,并发客户端计数也会对无线接入点的吞吐量产生影响,因为可用频谱将在连接到无线接入点的所有客户端之间进行分配。虽然 Meraki 具有客户端均衡功能,可确保客户端在区域中的无线接入点之间均匀分布,但应知悉每个无线接入点的预期客户端计数,以用于容量规划。
注:为确保体验质量,建议在高密度部署中,为每个无线电设置大约 25 个客户端,或为每个无线接入点设置 50 个客户端。
从 802.11n 开始,可以使用信道绑定来增加客户端可用的吞吐量,但在使用信道绑定时,无线接入点的唯一可用信道数量也会减少。由于信道可用性降低,对于更大规模的部署而言,同信道干扰可能会增加,因为信道重用受到影响,导致对总吞吐量产生负面影响。
注:在高密度环境中,通常建议使用 20 MHz 的信道宽度,以减少使用同一信道的无线接入点数量。
客户端设备并非始终支持最快的数据速率。设备供应商有不同的 802.11ac 标准实施方式。为延长电池寿命并缩小尺寸,大多数智能手机和平板电脑中通常都设计有 Wi-Fi 天线(通常情况下为一根,但是大多数新型设备都有两根)。此设计会将所有这些设备限制到比标准支持更低的流,从而使移动设备的速度变慢。在下表中,可以看到单空间流 (433 mbps)、双空间流 (866 mbps) 和三空间流 (1300 mbps) 的最大数据速率。目前,市场上没有设备支持 4 个空间流或更宽的 160 MHz 信道,但这些设备通常被宣传为支持 802.11ac 标准的可选 “第二代” 设备。
空间流 |
20 MHz 信道宽度 |
40 MHz 信道宽度 |
80 MHz 信道宽度 |
单空间流 |
87 Mbps |
200 Mbps |
433 Mbps |
双空间流 |
173 Mbps |
400Mbps |
866 Mbps |
三空间流 |
289 Mbps |
600 Mbps |
1300 Mbps |
实际的设备吞吐量对最终用户来说至关重要,并且这与数据速率不同。数据速率表示数据包通过介质传输的速率。数据包包含处理和控制数据包所需的一定开销。实际吞吐量是没有开销的负载数据。根据所通告的数据速率,接下来估计客户端设备的无线吞吐量能力。设备实际吞吐量的常见估计值大约是其制造商所通告的数据速率的一半。如上所述,还必须将此值降至 20 MHz 信道宽度的数据速率。以下是最常见的数据速率和估计的设备吞吐量(制造商通告速率的一半)。考虑到影响性能的多种因素,最好将吞吐量进一步降低 30%。
协议 |
数据速率 (Mbps) |
估计吞吐量 |
吞吐量(含开销) |
802.11a 或 802.11g |
54 Mbps |
27 Mbps |
~19 Mbps |
单空间流 (802.11n) |
72 Mbps |
36 Mbps |
~25 Mbps |
双空间流 (802.11n) |
144 Mbps |
72 Mbps |
~50 Mbps |
三空间流 (802.11n) |
216 Mbps |
108 Mbps |
~76 Mbps |
单空间流 (802.11ac) |
87 Mbps |
44 Mbps |
~31 Mbps |
双空间流 (802.11ac) |
173 Mbps |
87 Mbps |
~61 Mbps |
三空间流 (802.11ac) |
289 Mbps |
144 Mbps |
~101 Mbps |
估算无线接入点的数量
必须记录和审核要求与假设,并确认这些要求和假设是合理的,这一点非常重要。更改其中一个假设将对无线接入点的数量和成本产生巨大影响。如果假设仅需要 1.5 Mbps 用于高清视频聊天(根据 MicrosoftSkype 和思科 Spark 的建议),则只要一半的无线接入点。如果假设高清视频流需要 5 Mbps(根据 Netflix 的建议),则需要更多无线接入点。如果您设计的是支持 600 个单空间流设备而不是 600 个三空间流笔记本电脑,则需要大约 3 倍的无线接入点。对于此示例,现在有以下要求和假设:
-
视频流需要 3 Mbps 用于高清质量视频
-
将有 600 个并发用户将视频流传输到他们的笔记本电脑
-
每个用户都有 Apple MacBook Pro 或类似产品
-
所有笔记本电脑都支持 802.11ac,并且能够容纳 3 个空间流
-
网络将配置为使用 20 MHz 信道
-
每个无线接入点可提供最高 101 Mbps 的无线吞吐量
现在,我们可以粗略地计算出满足应用容量所需的无线接入点数量。四舍五入到最接近的整数。
基于吞吐量的无线接入点数量 =(总应用吞吐量)/(设备吞吐量)
基于吞吐量的无线接入点数量 = 1800 Mbps/101Mbps
= ~18 个无线接入点
除基于吞吐量的无线接入点数量之外,根据客户端计数计算无线接入点的数量也很重要。要确定无线接入点的数量,第一步是估计每个频段的客户端数量。借助新型技术,现在有更多设备支持双频工作,因此使用上述设备的专有实施方式可以切换至 5 GHz。
注:常见的设计策略是在 2.4 GHz 和 5 GHz 之间进行 30/70 分割
对于此示例,现在有以下要求和假设:
-
将有 600 个并发用户将视频流传输到他们的笔记本电脑
-
并发 2.4 GHz 客户端 = 600 * 0.3 = 180
-
并发 5 GHz 客户端 = 600 * 0.7 = 420
现在,我们可以粗略地计算出满足客户端计数所需的无线接入点数量。四舍五入到最接近的整数。
基于客户端计数的无线接入点数量 =(并发 5 GHz 客户端)/25
基于客户端计数的无线接入点数量 = 420/25 = ~17 个无线接入点
现在,可以使用两个无线接入点计数中的较高者来计算所需的无线接入点数量。
无线接入点数量 = 最大值(基于吞吐量的无线接入点数量、基于客户端计数的无线接入点数量)
无线接入点数量 = 最大值(18、17)= 18 个无线接入点
无线现场勘查与设计
执行有效的无线现场勘查是成功部署高密度无线网络的重要环节,有助于评估实际物理环境中的射频传播。通过有效的现场调查,您还可以主动传输数据并获得传输距离之外的其他数据速率覆盖范围。
除在实际环境中验证射频传播之外,在现场勘查过程中还建议进行频谱分析,以便找出各种潜在的射频干扰源并采取措施对其进行修复。现场调查和频谱分析通常使用专业级工具包(例如,Ekahau Site Survey 和 Fluke Networks Airmagnet)执行。确保在整个预期覆盖区域内至少有 25 dB 的信噪比。请务必调查 5GHz 信道的覆盖范围,而不仅仅是 2.4 GHz 信道的覆盖范围,以确保没有覆盖盲区或缺口。根据空间的大小和所部署的无线接入点数量,可能需要在某些无线接入点上选择性地关闭部分 2.4GHz 无线电,以避免在所有接入点之间发生过多的同信道干扰。
注:建议完全覆盖两个频段。
注:请阅读使用 MR 无线接入点进行现场调查指南,以获取有关进行射频现场调查的更多帮助。
安装无线接入点
安装思科 Meraki 无线接入点的两种主要方式是吊装和壁装。每种安装解决方案都各有优势。
吊装 MR,思科旧金山办公室
吊装无线接入点将放置在天花板、T 形杆、屋顶或管道上,从屋顶向下扩展。这会带来一些优势,例如下方的用户设备清晰可见,并且放置无线接入点的位置很灵活。可以按均匀的间距将无线接入点轻松放置在网格中和走廊的交叉点。缺点是,天花板的高度和无线接入点的高度可能会对覆盖范围和容量产生负面影响。
-
如果无线接入点必须安装在 8 英尺(约 3 米)以下的位置,则建议使用带有集成全向天线或外置偶极/全向天线的室内无线接入点。
-
如果无线接入点必须安装在 8 - 25 英尺(3 - 8 米)之间的位置,则建议使用带有外接下倾式全向天线的室内无线接入点。
壁装 MR,思科旧金山办公室
当天花板高度过高(高于 25 英尺)或无法安装无线接入点(硬质天花板)时,建议采用壁装设计。无线接入点将安装在环境中外墙和内墙的石膏板、混凝土甚至金属上。无线接入点通常背对墙面部署在地板上方 10-15 英尺(3-5 米)处。请记住,安装时将 LED 朝下,以便用户站在地板上时可以看得见。应谨慎设计带有壁装全向无线接入点的网络,并且只有在不能使用定向天线时才应如此设计。
带有扇形天线的杆装 MR66,思科旧金山办公室
定向天线
如果没有安装解决方案可以将无线接入点安装在 26 英尺(8 米)以下的位置,或在室外没有天花板而只有星空,或者需要定向覆盖,则建议使用定向天线。选择定向天线时,应比较水平/垂直波束宽度和天线增益。
在吊装无线接入点上使用定向天线时,请将天线指向正下方。在壁装无线接入点上使用定向天线时,请倾斜天线,使其与地面呈一定角度。进一步倾斜壁装天线使其指向正下方将会限制其覆盖范围。
思科 Meraki 提供 6 种室内额定外接天线(适用于 MR42E 和 MR53E):
注:C/D/E/F 系列 Meraki 天线为智能天线,连接到 Meraki 无线接入点时会被自动检测到,并且不需要在控制面板中进行其他配置。
思科 Meraki 提供 4 种室外外接天线,并支持 5 种室外天线。思科 Meraki 已认证这些天线可用于 Meraki MR84、MR74、MR72、MR66 和 MR62 无线接入点。AIR-ANT2514-P4M 只能用于 MR84:
在 2.4 GHz 上使用增益高于 11 dBi 的第三方天线或在 5 GHz 上使用增益高于 13 dBi 的第三方天线,可能违反一些国家/地区的法规。Meraki 仅认证 Meraki 天线。
无线接入点的放置
确定无线接入点的数量后,即可进行无线接入点的实地放置。应执行现场调查,不仅要确保所有区域都有足够的信号覆盖,还需确保楼层平面图上无线接入点的适当间距,同时尽可能减少同信道干扰并确保适当的信元重叠。必须考虑用于放置无线接入点的射频环境和建筑材料,这点非常重要。
请查看思科 Meraki 旧金山办公室的以下设计。4 楼建造用于支持思科销售团队和开展客户体验,此外还有一间咖啡馆。3 楼则建造用于支持思科的全天候技术支持团队、小型 IT 部门以及思科协作团队,其中包括网真和思科 Spark 高清视频聊天等应用。3 楼的密度是 4 楼的两倍。
配备 30 个无线接入点的高密度部署,思科旧金山办公室 4 楼
配备 60 个无线接入点的超高密度部署,思科旧金山办公室 3 楼
SSID 配置
通过遵循配置 SSID、IP 分配、无线电设置和流量整形规则的最佳实践,进行本部分中所述的更改将显著提高整体吞吐量。
SSID 数量
建议的最大 SSID 数量为 3 个,并且在高密度环境中,此建议已成为一项要求。如有需要,SSID 数量可以增加到 5 个,但只应在必要时增加数量。使用 5 个以上的 SSID 会从管理帧中产生大量的发送时间开销:消耗 20% 或更多可用带宽,并将最大吞吐量限制在计划容量的 80% 以下。为每种所需的身份验证(Splash、PSK、EAP)创建单独的 SSID,并整合使用相同类型身份验证的各个 SSID。
添加多个 SSID 会对容量和性能产生负面影响。有关更多详细信息,请参阅文章《多 SSID 部署注意事项》。
启用桥接模式
建议使用桥接模式,通过无缝的第 2 层漫游改善 IP 语音客户端的漫游。在桥接模式下,Meraki 无线接入点充当网桥,允许无线客户端从上游 DHCP 服务器获取其 IP 地址。桥接模式在大多数情况下运行正常,可提供最快转换的无缝漫游。使用桥接模式时,预期区域中的所有无线接入点(通常是射频配置文件中的一层或一组无线接入点)应支持相同的 VLAN,以允许设备在无线接入点之间无缝漫游。
对于桥接模式下的无缝漫游,有线网络应设计为在平面布局中提供单个无线 VLAN。如果网络要求用户在不同子网之间漫游,建议使用第 3 层漫游。在两个子网或 VLAN 之间漫游时,桥接模式将需要 DHCP 请求。在此期间,实时视频和语音呼叫将出现明显的中断或暂停,从而降低用户体验。
对于 IP 语音,不建议使用 NAT 模式:启用 NAT 模式后,设备将在每次漫游时请求新的 DHCP IP 地址。在 NAT 模式下在无线接入点之间移动将导致连接在从一个无线接入点移动至另一个无线接入点时中断。在无线接入点之间漫游期间,需要持续流量流(例如,VoIP、VPN)或媒体流的应用将中断。
第 3 层漫游
需要在多个 VLAN 之间漫游的大型无线网络可能需要第 3 层漫游,以便在移动客户端漫游时启用应用并实现会话持久性。启用第 3 层漫游后,客户端设备将在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。
思科 Meraki 的第 3 层漫游是一种分布式、可扩展方式,使无线接入点无需控制器或集中器即可相互建立连接。设备连接的第一个无线接入点将成为锚定无线接入点。锚定无线接入点将通知网络中的所有其他思科 Meraki 无线接入点,它是特定客户端的锚点。到另一个无线接入点的每次后续漫游都将设备/用户置于由锚定无线接入点定义的 VLAN 上。这非常适合需要第 3 层漫游的高密度环境,并且网络上没有吞吐量限制。
MR 继续支持到集中器的第 3 层漫游,因此需要 MX 安全设备或 VM 集中器充当移动集中器。客户端通过隧道连接到集中器上指定的 VLAN,并且此 VLAN 上的所有数据流量现在将从 MR 路由到 MX。集中器会形成阻塞点,并且在高密度环境中,客户端数量可能会受到 MX 集中器吞吐量的限制。
无线电设置和自动射频
思科 Meraki 无线接入点配备第三个无线电,专用于连续自动监控周围的射频环境,即使在最高密度部署中也能最大限度地提高 Wi-Fi 性能。通过测量信道利用率、信号强度、吞吐量、来自非 Meraki 无线接入点的信号以及非 Wi-Fi 干扰,思科 Meraki 无线接入点可自动优化各个无线接入点的无线电发射功率和选定的工作信道,以最大限度地提高整个系统的容量。
此外,建议使用射频配置文件来更好地调整无线网络,以满足性能要求。应为每个需要独特射频设置的区域创建单独的射频配置文件。可在射频配置文件中设置以下详细信息:
频段选择
如果客户端设备需要 2.4 GHz,则启用 “具有频段切换功能的双频段”,以使客户端设备能够同时使用 2.4 GHz 和 5 GHz 信道。设备将被切换为使用 5 GHz 频段。有关更多详细信息,请参阅文章《频段切换概述》。使用双频网络,客户端设备将由网络控制。如果不需要支持
2.4 GHz,建议使用 “仅 5 GHz 频段”。应在环境的所有区域进行测试,以确保没有覆盖盲区。
设置最小比特率
使用射频配置文件,可以按每个频段或每个 SSID 设置最小比特率。对于高密度网络,建议每个频段使用最小比特率。如果需要在无线网络上支持传统的 802.11b 设备,建议将 11 Mbps 作为 2.4 GHz 的最小比特率。调整比特率可以降低无线网络的开销并提高漫游性能。增加此值需要有适当的覆盖范围和射频规划。管理员可以通过禁用较低的比特率来提高 2.4 GHz 和 5 GHz 频段上的客户端性能。系统将以最低的选定速率发送管理帧。客户端必须使用最低的选定速率或更快的速率。选择 12Mbps 或更高的最小比特率将妨碍 802.11b 客户端加入,并通过以更高的比特率发送广播帧来提高射频环境的效率。
注:根据标准,6 Mbps、12 Mbps 和 24 Mbps 是强制数据速率。思科旧金山办公室使用 18 Mbps 作为最小比特率。
自动功率降低
无线接入点的无线电每秒对相邻无线接入点的信噪比 (SNR) 进行采样。SNR 值被编入邻居报告发送到 Meraki 智能管理平台进行处理。该智能管理平台汇聚来自每个无线接入点的邻居报告。利用汇聚数据,该智能管理平台可以确定每个无线接入点的直接相邻的邻居以及每个无线接入点应该如何调整其无线电发射功率,从而优化覆盖信元。为确定发射功率的变化,该智能管理平台会尝试确保区域中每个无线接入点至少可以检测到 3 个邻居。每 20 分钟完成一次计算,完成后,智能管理平台会指示每个无线接入点降低或提高发射功率。每次迭代,发射功率降幅可能为 1-3 dB,增幅为 1 dB。
AutoRF 会尝试统一降低网络中所有无线接入点的发射功率,但在复杂的高密度网络中,必须限制无线接入点使用的范围和值。为了更好地支持复杂的环境,可以在射频配置文件中配置最小和最大 TX 功率设置。
注:对于 2.4 GHz 而言,自动功率降低算法仅允许 TX 功率最多降低至 5 dBm。对于 5 GHz 而言,自动功率降低算法仅允许 TX 功率最多降低至 8 dBm。如果需要较低的 TX 功率,可以将无线接入点静态设置为较低的功率。
自动信道选择
在具有重叠覆盖范围的同一信道上添加其他无线接入点不会增加容量。为防止附近的无线接入点共享同一信道,思科 Meraki 无线接入点会自动调整无线电信道,以避免射频干扰(802.11 和非 802.11),并制定无线网络的信道规划。可以选择性地分配信道,以便与每个射频配置文件一起使用。通过选择性地使用信道,网络管理员可以更有效地控制同信道干扰。
默认信道宽度
思科 Meraki 可以使用 5GHz 频段上的 20-MHz (VHT20)、40-MHz (VHT40) 或 80-MHz (VHT80) 信道配置 MR 系列无线接入点。在高密度环境中部署时,建议使用 20-MHz (VHT20) 信道宽度配置无线接入点,原因如下:
-
在向 40-Mhz 或 80-Mhz 信道移动时,由于信道绑定,通过将信道宽度增加一倍或增加三倍,实际上可以将非重叠 5GHz 信道的数量减至一半(如果选择 40-MHz)或四分之一 (80-MHz) 。如果要将同信道干扰 (CCI) 和相邻信道干扰 (ACI) 保持在最低限度,这又增加了必须放置无线接入点的距离。
-
虽然使用 40-MHz 或 80-Mhz 信道似乎是一种提高整体吞吐量的具有吸引力的方式,但其中一个后果是,由于传统(仅限 20-MHz)客户端无法利用更宽的信道,降低了频谱效率,导致较宽信道上的空闲频谱。根据射频环境,即使是 40 MHz 和 80 MHz 的客户端也只能使用 20 MHz 基本信道,并且经常可以在高度争议的射频环境中观察到。
-
由于高密度部署中常见的客户端组合(如笔记本电脑、手机和平板电脑等),此类环境中客户端的功能也各不相同(有些客户端支持 20-Mhz 信道,有些客户端支持 40-MHz 信道,有些客户端支持 80-Mhz 信道)。因此,最好让每个客户端以最低的公共信道宽度进行通信,从而为每个客户端提供相同的网络访问权限。最好有 4 个客户端在 20-MHz 上与 4 个无线接入点通信,而不是 4 个具有混合功能的客户端在 80-MHz 上与 1 个无线接入点通信,从而导致空闲。
DFS 信道和信道重用
UNII-2/2e 频段具有可用于 WLAN 但与雷达应用重叠的附加信道,通常称为 DFS 信道。思科 Meraki 无线接入点支持 802.11h,提供两项关键功能:动态频率选择 (DFS) 和传输功率控制 (TPC)。利用这些功能,客户可以使用额外的 DFS 信道,从而将可用 5 GHz 信道的总数增加到 19 个。使用 19 个信道可以增加信道重用,以确保更好的 CCI。
注:信道重用是指在某个地理区域内的无线接入点上使用相同信道的过程,这些无线接入点相隔足够的距离,以使彼此之间的干扰最小。
对于启用 DFS 信道并且不需要信道重用的示例部署,下面的网格显示了 12 个没有信道重用的无线接入点。由于美国有 19 个信道,当同一空间内的无线接入点数量达到 20 时,无线接入点将需要重用信道。
对于禁用 DFS 且需要重用信道的部署示例,下图显示了在同一空间中重用的 4 个信道。当无法避免信道重用时,最佳实践是尽可能在同一信道上分隔无线接入点。
RX-SOP
使用 RX SOP,可以控制无线接入点的接收灵敏度。RX-SOP 水平越高,则无线电的灵敏度越低且接收器单元尺寸越小。单元尺寸的减小可确保客户端使用尽可能高的数据速率连接到最近的无线接入点。在高密度环境中,单元尺寸越小越好。但是应该谨慎使用,因为如果设置得太高,可能会产生覆盖区域问题。在生产中实施 RX-SOP 之前,最好测试/验证具有不同类型客户端的站点。
下表给出了高密度部署中的 RX SOP 建议值:
802.11 频段 |
最高阈值 |
中等阈值 |
低阈值 |
5 GHz |
-76 dBm |
-78 dBm |
-80 dBm |
2.4 GHz |
-79 dBm |
-82 dBm |
-85 dBm |
注:RX-SOP 仅适用于 Meraki 第二代 802.11 ac 无线接入点 (MR30H/33/42/42E52/3/53E/74/84)
客户端负载均衡
对于高密度应用,建议使用客户端均衡,因为该功能会尝试在无线接入点之间均衡用户数量。从 MR25 固件版本开始将提供此功能,并且默认情况下此功能为启用状态。
高密度漫游
客户端在无线接入点之间漫游
启用快速漫游
思科 Meraki MR 无线接入点支持各种快速漫游技术。对于高密度网络,会更频繁地发生漫游,并且快速漫游对于减少在无线接入点之间漫游时的应用延迟非常重要。默认情况下,除 802.11r 之外,所有这些功能均为启用状态。
-
802.11r(快速 BSS 转换)- 802.11r 允许将加密密钥存储在网络中的所有无线接入点上。这样,每当客户端漫游到网络中的新无线接入点时,客户端就不需要对 RADIUS 服务器执行完全的重新身份验证过程。可以从网络访问 > 802.11r 下的配置 > 访问控制页面启用此功能。如果未显示此选项,则可能需要进行固件更新。
-
随机密钥缓存 (OKC) - 802.11r 和 OKC 可实现减少客户端漫游时间这一共同目标,关键区别在于 802.11r 是标准配置,而 OKC 是专有配置。这两种协议的客户端支持将有所不同,但一般来说,大多数手机都将同时支持 802.11r 和 OKC。
-
802.11i(PMKID 缓存)- 由 IEEE 802.11i 定义的 PMK 缓存用于通过消除所发生的 RADIUS 交换来提高 802.1X 的漫游性能。从高层次的角度来看,这要通过客户端将 PMKID 发送到存储此 PMKID 的无线接入点来实现。如果是匹配项,则无线接入点将了解客户端之前已通过 802.1X 身份验证,并且可能跳过此交换。
-
802.11k(邻居 BSS)- 802.11k 通过允许客户端更快地确定它应该漫游到哪个无线接入点以及如何漫游,从而减少漫游所需的时间。客户端当前连接的无线接入点将为其提供有关相邻无线接入点及其信道的信息。
流量整形
设置带宽限制
考虑针对所有网络流量设置每客户端带宽限制。如果所有其他应用都受到限制,优先处理语音和视频等应用将会产生更大的影响。有关更多详细信息,请参阅文章《配置无线网络上的带宽限制并启用速度突发》。对于高密度环境中的每客户端带宽限制,5 Mbps 是一个很好的建议。您可以覆盖特定设备和应用的这一限制。
注:这不会限制客户端的无线数据速率,而是限制实际带宽,因为流量桥接到有线基础设施。
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
使用 “速度突发” 将 “每客户端带宽限制” 设置为 5 Mbps。这将适用于所有非语音应用流量。
本指南中的此步骤为可选操作。 -
将 “每 SSID 带宽限制” 设置为无限制。
速度突发可以实现已分配带宽限制的四倍突增,并持续五秒钟。
定义流量整形规则
利用流量整形为应用流量提供必要的带宽。确保应用具有容量规划部分中估计的足够带宽,这一点非常重要。可以实施流量整形规则,以允许实时语音和视频流量使用额外的带宽,并且此规则可用于阻止或限制应用(例如 P2P、社交网络)。
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
点击流量整形旁边的下拉菜单,选择对此 SSID 进行流量整形,然后点击创建新规则。
-
点击添加 + 并选择 “所有语音和视频会议”
-
将每客户端带宽限制设置为 “忽略 SSID 每客户端限制(无限制)”,然后点击 “保存更改”。
将组播转换为单播
思科 Meraki 无线接入点使用 IGMP 协议自动执行组播到单播的数据包转换。然后,以客户端协商的数据速率而不是最小强制数据速率发送单播帧,从而确保向大量客户端传输高质量的视频。这在教室等实例中特别有价值,其中多个学生可能会观看高清视频作为课堂学习体验的一部分。
限制广播
思科 Meraki 无线接入点会自动限制重复广播,从而保护网络免受广播风暴的影响。MR 无线接入点将限制广播的数量,以防广播占用发送时间。这还可以通过减少必须移动设备处理的流量来延长其电池寿命。
发送时间公平性
默认情况下,思科 Meraki 无线接入点将启用 “发送时间公平性”,并确保连接到单个无线接入点的现有客户端能够平等地访问无线接入点覆盖范围内的发送时间。
无线第 3 层漫游最佳实践
大型 WLAN 网络(例如,大型园区中的网络)可能需要在第 3 层进行 IP 会话漫游,以便在移动客户端跨多个 VLAN 漫游时启用应用并实现会话持久性。例如,当 VoIP 呼叫的用户在无第 3 层漫游的不同 VLAN 上的无线接入点之间漫游时,用户的会话将被中断,因为外部服务器必须与客户端的新 IP 地址重新建立通信。在此期间,VoIP 呼叫将出现几秒钟的明显中断,从而降低了用户体验。在小型网络中,可以通过将所有无线接入点置于同一 VLAN 上来配置平面网络。
但是,在充斥着数千台设备的大型网络上,从最佳实践的角度来看,配置具有单个本地 VLAN 的扁平架构可能并非理想的网络拓扑;配置传统设置以符合此架构要求也可能极具挑战性。因此,在配置复杂的园区拓扑时,非常需要一种旨在实现跨 VLAN 无缝漫游的统包解决方案。利用 Meraki 的安全自动隧道技术,可以使用移动集中器启用第 3 层漫游,从而以无缝、可扩展的方式跨多个 VLAN 进行桥接。
典型园区架构
大型园区通常采用多 VLAN 架构来对广播流量进行分段。通常,网络最佳实践规定了 IP 子网与 VLAN 的一对一映射,例如,将为加入 VLAN 10 的客户端设备分配超出子网范围 10.0.10.0/24 的 IP 地址。在此设计中,不同 VLAN 中的客户端将通过 DHCP 服务器接收不同子网中的 IP 地址。多 VLAN 架构可能会有所不同,以包括建筑物内的多个子网(例如,每个楼层/区域一个)或跨大型站点的多个子网(例如,大型园区或企业环境中的每个建筑物/区域一个)
如下图所示,典型的园区架构将核心 L3 交换机连接到多个 L3 分布式交换机(每个站点一个),然后每个分布式交换机将分散到配置在不同 VLAN 上的 L2 接入交换机。通过这种方式,为每个站点分配不同的 VLAN,以分离来自不同站点的流量。如果没有第 3 层漫游服务,连接到站点 A 的 L2 接入交换机的客户端将无法无缝漫游到连接到站点 B 的 L2 接入交换机。与站点 B 上的无线接入点关联后,客户端将从站点 B 范围内运行的 DHCP 服务获取新的 IP 地址。此外,特定路由配置或路由器 NAT 也可能会阻止客户端漫游,即使它们确实保留其原始 IP 地址。
通过第 3 层漫游,客户端设备必须在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。Meraki 的自动隧道技术通过在启用 L3 的无线接入点之间创建永久性隧道并根据架构(移动集中器)实现这一目标。下面将详细讨论两种第 3 层漫游架构。
分布式第 3 层漫游
分布式第 3 层漫游为终端设备维持第 3 层连接,因为它们在没有集中器的情况下在第 3 层边界上漫游。设备连接的第一个无线接入点将成为锚定无线接入点。锚定无线接入点将通知网络中的所有其他 Meraki 无线接入点,它是特定客户端的锚点。到另一个无线接入点的每次后续漫游都将设备/用户置于由锚定无线接入点定义的 VLAN 上。
分布式第 3 层漫游极具可扩展性,因为无线接入点将在不需要集中器的情况下彼此建立连接。目标无线接入点将在共享用户数据库中查找并联系锚定无线接入点。此通信不会遍历 Meraki 智能管理平台,并且是用于无线接入点通信的安全无线接入点专有协议。
客户端离开网络 30 秒后,客户端的锚定无线接入点将超时。
广播域映射
每个 Meraki 无线接入点通过以太网上行链路发送第 2 层广播探测,以发现在连接客户端时可能与之关联的每个 VLAN 上的广播域边界。这是出于多种原因执行的操作。其中一个原因是可能存在以下情况:AP1 连接到接入端口(无 VLAN 标记)并且 AP2 连接到使用相同 VLAN 的中继端口,但 VLAN ID 存在并标记在上行链路上。
此外,还有可能存在不同建筑物中使用相同的 VLAN ID(表示不同广播域)的情况,因此确保在哪些广播域上可以确切找到哪些无线接入点和 VLAN ID 非常重要。除隧道负载均衡和恢复能力之外,广播域映射和发现过程还允许锚定无线接入点和托管无线接入点具有实时视图,以在两个无线接入点之间共享 VLAN。这样即可在客户端进行第 2 层到第 3 层的漫游时做出有效的决策,如下面的 “VLAN 测试和动态配置” 部分所述。这一点非常重要,以便可以出于负载均衡原因或在原始锚定无线接入点不再可用的故障切换情况下,动态切换客户端的锚定无线接入点。
Meraki 无线接入点将发送探测以发现以下广播域:
-
无线接入点的本地 VLAN
-
为无线接入点上的 SSID 配置的任何 VLAN
-
通过客户端策略动态学习的任何 VLAN
-
无线接入点最近从控制面板网络中的另一个Meraki 无线接入点接收广播探测的任何 VLAN
广播域映射的强大功能在于,这将发现与无线接入点上配置的 VLAN ID 无关的广播域。由于采用此方法,广播域上的每个无线接入点最终将准确收集当前构成域的 AP/VLAN ID 对。
广播域发现
以下步骤将确定与广播域对应的 AP/VLAN ID、VID 对:
-
无线接入点定期广播包含次广播域的无线接入点 VLAN ID 的 BCD 通告数据包,提供无线接入点与之交互的每个广播域上的 {sender AP,VID} 对。
-
基于最近在同一广播域上的 BCD 通告数据包中观察到的 AP/VID 对,创建等价类。
附加说明:
-
广播域上的每个无线接入点最终将准确收集当前构成域的 AP/VID 对。
-
原则上,任何 AP/VID 对均可用于指代广播域。在给定 AP1/VID1 的情况下,只要知道此广播域的完整对列表,即可判断其他 AP2/VID2 对是否指代同一个域。
理论上,无线接入点可以向所有 4095 个可能连接的 VLAN 广播 BCD 通告数据包,但是它将自己限制为上文概述的 VLAN。
使用广播域漫游
Meraki MR 利用分布式客户端数据库,可以高效存储在网络中发现的客户端,并轻松扩展到数千台客户端可能连接的大型网络。无线接入点可实时访问客户端分布式数据库,以确定先前是否已在网络中的其他位置发现连接客户端。这要求 Meraki 网络中的无线接入点彼此之间具有第 3 层 IP 连接,通过 UDP 端口 9358 进行通信。利用 Meraki 控制面板,无线接入点能够动态获悉网络中的其他无线接入点(包括位于不同管理 VLAN 上的无线接入点),了解它们应该与哪些设备通信,从而在分布式客户端数据库中查找客户端。
以下过程描述客户端漫游如何与第 3 层漫游一起运行
-
如上文所述,锚定无线接入点具有针对每个已连接广播域的一组完整的 AP/VLAN ID 对。
-
在客户端关联中,托管无线接入点从分布式存储区检索客户端数据。
-
如果托管无线接入点未在存储区中找到条目:
-
然后,托管无线接入点将成为客户端的锚定无线接入点。它将客户端存储在分布式数据库中,并添加候选锚定无线接入点组。候选锚点组包括无线接入点自身的 AP/VLAN ID 对以及来自同一锚定广播域的两个随机选择的对。
-
-
如果托管无线接入点确实在存储区中找到条目:
-
它会从上文概述的先前广播域发现过程中检查客户端的 VLAN 是否在本地可用。如果关联的 VLAN ID 可用,则托管无线接入点将成为锚定无线接入点,并且将为客户端动态地调配此客户端的 VLAN。请参阅下面的 “VLAN 测试和动态配置” 部分。
-
否则,托管无线接入点为客户端设置锚定无线接入点(从候选锚点组中选择一个随机对)。
-
-
-
只要托管无线接入点继续托管客户端,它就会定期从锚定无线接入点接收候选锚点组的更新。锚定无线接入点将替换候选锚点组中的任何 AP/VLAN ID 对,其与此广播域的另一随机选择的 AP/VLAN ID 对一起消失。托管无线接入点通过对候选无线接入点的更改来更新分布式存储区的客户端条目
VLAN 测试和动态配置
锚定无线接入点将对目标无线接入点运行测试,以确定每个为 VLAN 提供服务的客户端是否存在共享第 2 层广播域。如果两个无线接入点上存在 VLAN 匹配项,则目标无线接入点将为 VLAN 配置设备,而无需建立到锚点的隧道。尽管为目标无线接入点和由其提供服务的客户端配置了 VLAN,但此测试将动态配置漫游设备的 VLAN。如果由于在上游交换机端口上 VLAN 被删除或者无线接入点位于完全分离的第 3 层网络中,导致未在目标无线接入点上找到 VLAN,则将使用下文所述的隧道传输法。
本地 VLAN 测试和动态配置是一种用于防止所有客户端通过隧道连接到单个锚定无线接入点的方法。为了防止进行过度的隧道传输,第 3 层漫游算法确定它能够将用户置于客户端在锚定无线接入点上使用的相同 VLAN 上。在这种情况下,客户端会像在桥接模式下一样进行第 2 层漫游。
隧道
如有必要,目标无线接入点将建立到锚定无线接入点的隧道。使用 Meraki 专有无线接入点建立隧道,以进行无线接入点通信。为了在多个无线接入点之间对多个隧道进行负载均衡,隧道选择器将选择可以访问客户端漫游的原始广播域的随机无线接入点。如果目标无线接入点检测到当前选择的锚定无线接入点的连接故障,则目标无线接入点将选择新的锚定无线接入点,作为故障切换机制。
所有无线接入点都必须能够通过 IP 相互通信。这对于客户端数据隧道和分布式数据库而言都是必需的。如果目标无线接入点无法与锚定无线接入点通信,则第 3 层漫游将超时,并且终端设备将需要在新 VLAN 上进行 DHCP。
分布式第 3 层漫游目前不支持 OKC 和 802.11r 等快速漫游协议。使用 802.11r 进行第 2 层漫游可以获得最佳漫游性能。
设计示例
让我们从头到尾详细介绍分布式第 3 层漫游架构的示例。在此示例网络中,我们将使用以下配置:
-
VLAN 10 上标记为 “A 组” 的 5 个 MR
-
VLAN 20 上标记为 “B 组” 的 5 个 MR
-
SSID:Corporate
-
客户端 IP 分配:第 3 层漫游
-
VLAN ID:
-
A 组:VLAN 15
-
B 组:VLAN 25
-
假设共有 10 个无线接入点在线并连接到控制面板,并且彼此之间具有 IP 连接。
客户端 A 与管理 VLAN 10 上的 “A 组” 无线接入点关联,并按预期接收 VLAN 15 中的 IP 地址。此无线接入点将成为客户端的锚定无线接入点和托管无线接入点。Meraki 网络中的无线接入点已构建广播域映射对 (AP/VLAN ID) 并将交换定期更新。客户端 A 漫游到管理 VLAN 20 上的 “B 组” 无线接入点(客户端 VLAN 25)。“B 组” 无线接入点现在被视为托管无线接入点,并读取分布式客户端数据库,以查看客户端之前是否已连接。它会查找客户端条目并在本地进行检查,以查看客户端的广播域是否在交换机端口上可用。广播域不可用,并且托管无线接入点现在将从候选锚点组(通过分布式客户端数据库检查提供)中挑选出一个锚定无线接入点,该锚定无线接入点将自身通告给分布式客户端数据库,因为它具有客户端 VLAN 15 的访问权限。选择锚定无线接入点后,连同两个候选锚点一起提供恢复能力,将建立隧道且托管无线接入点将使用此信息更新分布式客户端数据库。
托管无线接入点将定期刷新锚点无线接入点和分布式数据库。客户端的锚点无线接入点条目的到期时间为 30 秒。如果客户端断开网络连接长达 45 秒,作为示例,它可以连接回与客户端关联的相同广播域上的新锚定无线接入点。客户端的分布式数据库到期计时器是 DHCP 租用时间。这可以有效确定在分布式数据库中记录客户端的广播域绑定时间。如果客户端断开网络连接,然后在 DHCP 租用时间到期之前重新连接,则客户端仍将绑定到其原始广播域。
在另一个场景中,让我们想象一个有 10 层楼的大型企业园区。根据常见的企业园区设计,客户已为用户划分每层一个 VLAN。为适应整个园区建筑之间的客户端移动性和无缝漫游,客户希望利用分布式第 3 层漫游。使用 AP 标记,配置将根据标记为给定的 SSID 指定 VLAN ID 分配。在这种情况下,将使用以下配置:
-
SSID:Corporate
-
客户端 IP 分配:第 3 层漫游
-
VLAN ID:
-
1 楼 - VLAN 11
-
2 楼 - VLAN 12
-
3 楼 - VLAN 13
-
4 楼 - VLAN 14
-
5 楼 - VLAN 15
-
6 楼 - VLAN 16
-
7 楼 - VLAN 17
-
8 楼 - VLAN 18
-
9 楼 - VLAN 19
-
10楼 - VLAN 20
-
MR 将连接的交换机端口将被配置为中继端口。1-5 楼的交换机将允许使用 VLAN 11、12、13、14、15。6-10 楼交换机将允许使用 VLAN 16、17、18、19、20。通过这种配置,在 1 楼关联的用户将接收 VLAN 11 上的 IP 地址。当他们在整个建筑中漫游、更换楼层时,漫游将仅为第 2 层漫游,且不需要隧道。
只有当客户端漫游到建筑的上半部分(或反之亦然)时,才会形成隧道以使客户端保持在其原始广播域中。请记住,即使客户端最初接收 VLAN 11 上的 IP 地址(因为 5 楼的无线接入点可以访问通过广播域映射和发现机制发现的广播域),此客户端仍将维护它的 VLAN 11 IP 地址信息并将仅使用 5 楼的无线接入点作为新锚点。
通过这种设计,可以为大多数时间待在建筑物特定部分的用户提供传统的第 2 层漫游,并允许大多数移动客户端继续无缝漫游,从而实现最大的灵活性。
基于集中器的第 3 层漫游
连接到启用第 3 层漫游的 SSID 的任何客户端都会自动桥接至 Meraki 移动集中器。移动集中器充当焦点,当客户端在 VLAN 之间移动时,所有客户端流量将通过隧道传输和锚定到此处。通过这种方式,由第三方客户端或服务器定向到客户端的任何通信数据似乎都源自该中心锚点。任何 Meraki MX 都可以充当集中器,请参阅 MX 选型指南,以确定适合预期用户和流量的 MX 设备。
下图显示使用第 3 层漫游集中器的园区环境中特定流的流量。
无线 VoIP QoS 最佳实践
本文是旨在优化 Meraki MR 无线接入点上无线 IP 语音应用的服务质量 (QoS) 的指南。IP 语音 (VoIP) 已通过基于 IP 的电话取代企业网络中的电话。虽然大多数使用 VoIP 的台式电话需要以太网连接,但也有许多语音应用和无线 VoIP 电话可通过 Wi-Fi 运行。
Meraki MR 系列 Wi-Fi 无线接入点已经过思科 Meraki 测试,可在使用思科 Jabber、Microsoft Lync、Microsoft Skype for Business、Broadsoft、思科 7900 系列电话、SpectraLINK 电话、Ascom 电话、思科电话和 Apple iPhone 时提供最高质量的 VoIP 体验本指南将提供优化语音质量的建议,然后将提供产品特定建议。
测量语音质量
通过遵循本指南,可以显著提高无线语音应用的服务质量,减少或消除通话中断、声音断断续续、声音模糊不清、嗡嗡声、回音、长时间暂停、单向音频以及在无线接入点之间漫游时出现的问题。
为制定本指南,我们使用 Microsoft Lync 的预呼叫诊断工具进行了测试。测试期间使用的终端是 Macbook Pro,此设备运行 Office 365 云托管 Skype for Business Online(也称为 Lync Online)。所有测试均在连接到位于旧金山 Meraki 总部内的 MR32 无线接入点时进行,该接入点是一个高密度的企业 Wi-Fi 网络。此工具测量语音质量的 3 个关键指标:
-
网络 MOS - 网络平均意见评分 (MOS) 是网络对 VoIP 对话收听质量的影响。评分范围为 1 至 5,其中 1 表示质量最差,5 表示质量最高。
-
丢包率 - 丢包率是传输过程中丢失的数据包的百分比。
-
到达间隔抖动 - 到达间隔抖动测量所接收数据包的到达时间变化(单位:毫秒 [ms])。
通过将本指南与配置客户端设备配置、应用服务器、广域网链路和有线网络的最佳实践相结合,您可以测量和改进端到端的高质量语音。有关配置有线网络以支持语音的详细信息,请参阅文章《为标准 VoIP 部署配置 MS 接入交换机》。
遵循本指南之前的语音质量
使用 MR 上的默认设置,我们可以查看基准质量。某些用户可以接受在此网络上使用 Lync 进行语音呼叫,但其他用户无法接受。Lync 测试结果显示网络平均意见评分 (MOS) 降至 3.5 以下。低于 3.5 的值被许多用户视为不可接受。在通过运行速度测试模拟的网络拥塞期间,丢包率跃升至 8%。抖动在 12 毫秒到 36 毫秒之间变动。思科建议的目标为 10 ms 的抖动和不超过 50 ms 的抖动。在语音/视频应用中使用缓冲来处理抖动,这会增加短暂的延迟。人耳通常可以接受高达约 140 毫秒的延迟而不会注意到它。
遵循本指南之后的语音质量
完全按照本指南中的说明进行更改后,我们发现语音质量有显著提高。MOS 评分接近 3.9,丢包率接近零,抖动始终低于 6 毫秒且始终低于 12 毫秒。开始呼叫后,流量整形会自动启动,并具有优先级和 QoS 标记。我们进行了速度测试,其对语音流量没有影响 - 拥塞期间的丢包率增加到 0.5%。
无线语音最佳实践
思科 Meraki 无线网络具有内置智能功能,可进行深度数据包检测,以识别语音和视频应用并使用队列和标记对流量进行优先排序,从而通知网络的其余部分如何处理语音流量。以下是通过无线网络提供最佳语音质量的最佳实践摘要。
-
对重叠的 5 GHz 语音质量覆盖范围(所有区域的信号强度均为 -67 dB)执行安装前射频调查。
-
如有可能,请创建一个专用于 IP 设备语音的新 SSID。
-
启用 “VLAN 标记” 并分配专用于无线语音的 VLAN。如果无法将 SSID 专用于语音,请分配专用于无线的 VLAN。
-
使用 “速度突发” 将 “每客户端带宽限制” 设置为 5 Mbps,以限制所有非语音流量
-
将 “每 SSID 带宽限制” 设置为无限制。
-
在 SSID 上启用 “流量整形”,以确定所有语音流量的优先次序
-
-
为 “所有语音和视频会议” 创建流量整形规则
-
为托管 Microsoft Lync/Skype for Business、Jabber 或 Spark 的服务器使用的 IP 和端口添加 “自定义表达式”
-
从下拉列表中将每客户端带宽限制设置为 “忽略 SSID 每客户端限制(无限制)”。
-
将 PCP 设置为 “6”
-
将 DSCP 设置为 “46(EF - 加速转发,语音)”
-
-
验证语音 VLAN 是否已正确标记
-
验证上行链路和交换机是否具有使用最大 PCP 和 DSCP 值定义的服务质量
-
验证是否已在无线接入点和上行链路的交换机端口上启用了 DSCP 信任
-
验证 Windows 组策略,以确保您的设备使用 DSCP 标记应用流量(默认情况下不启用)
-
验证语音服务器配置,以确保 Microsoft Lync/Skype 和呼叫管理器已启用 DSCP(默认情况下不启用)
802.11 标准摘要
所有 Meraki MR 系列无线接入点均支持最新的 802.11 标准,以协助设备在无线接入点之间漫游并确保语音呼叫保持高质量的用户体验。
-
802.11r:快速 BSS 转换,允许以无缝方式从一个无线接入点到另一个无线接入点进行快速安全的切换
-
802.11i:启用通过 802.1x 进行身份验证的客户端设备,以便在漫游时减少延迟的情况下进行身份验证
-
802.11k:辅助漫游允许客户端请求邻居报告,以便跨无线接入点进行智能漫游。
-
802.11e:无线多媒体扩展 (WMM) 流量优先级确保无线 VoIP 电话可以获得更高的优先级。
-
WMM 节能:在降低服务质量的前提下,最大限度地实现设备节能并延长电池寿命。
-
802.11u:Hotspot 2.0 也称为 Passpoint,是一项服务提供商功能,可帮助运营商进行分流。
安装前调查
无线接入点的设计和布局对 Wi-Fi 语音质量至关重要。配置更改无法解决有缺陷的无线接入点部署。在专为语音设计的网络中,无线接入点会更紧密地组合在一起并具有更大的重叠覆盖范围,因为语音客户端在中断呼叫之前应该在无线接入点之间漫游。在无线接入点上使用较小的单元和较低的功率设置进行设计是确保来自相邻无线接入点/小区的重叠覆盖区域的关键要素。在执行调查时,根据设备类型设置明确的要求。
现场安装前调查对于识别和确定某些具有挑战性的区域或潜在干扰源,例如现有的 Wi-Fi 网络、流氓软件以及来自微波炉和多种无绳电话等来源的非 802.11 干扰。应至少在安装后 48 小时内执行现场安装后调查,确保网络能够确定信道和电源设置。
-
由于与 2.4 GHz 相比,5 GHz 具有更低的本底噪声,因此优选 5 GHz 覆盖语音应用
-
验证在所有要覆盖的区域中,是否可以在 -67 dBm 或更高强度的电话上看到无线接入点
-
验证无线接入点是否可以在所有区域中看到 -67 dBm 或更高强度的电话
-
所有区域中的信噪比应始终为 25 dB 或更高,以提供语音应用的覆盖范围
-
信道利用率应低于 50%
有关现场调查的更多指南,请阅读有关执行无线现场调查的文章。有关专为思科语音而设计的射频的详细指南,请阅读思科的 WLAN 语音指南。
网络配置
通过遵循配置 SSID、IP 分配、无线电设置和流量整形规则的最佳实践,进行本部分中所述的更改将显著提高语音质量和用户满意度。
添加专用语音 SSID
语音优化通常需要不同的配置,包括访问控制和流量整形,以满足设备特定建议。您应该为专用于语音应用的设备创建单独的语音 SSID。虽然这不是一项强制要求,但我们建议您创建一个单独的网络以遵循本指南。在具有两个不同制造商的 VoIP 手机的网络中,通常需要创建两个语音 SSID。
如果您计划部署 4 个以上的SSID,请阅读以下指南:多个 SSID 的后果。
身份验证类型
Wi-Fi 设备上的语音通常具有移动性,并且在传递语音流量时在无线接入点之间移动。无线接入点之间的漫游会影响语音呼叫的质量。漫游受到身份验证类型的影响。身份验证类型取决于设备及其支持的身份验证类型。最好选择最快且设备支持的身份验证类型。如果您的设备不支持快速漫游,建议使用 WPA2 预共享密钥。不支持快速漫游的 WPA2-Enterprise 可能会在漫游期间导致延迟,因为它需要重新进行完整的身份验证。在 WPA2-Enterprise 中使用快速漫游时,漫游时间可以从 400-500 毫秒减至 100 毫秒以下,因此从一个无线接入点过渡至另一无线接入点时会快到用户都无法察觉。以下身份验证类型列表按从最快到最慢的顺序排列。
-
开放(未加密)
-
WPA2 预共享密钥和快速漫游
-
具有快速漫游功能的 WPA2-Enterprise
-
WPA2 预共享密钥
-
WPA2-Enterprise
WPA2 仅适用于加密模式
通过使用单一加密类型,语音设备可以从中受益。默认情况下,配置为 WPA2 的思科 Meraki 无线接入点上的 SSID 将结合使用 WPA1 TKIP 和 WPA2 AES 加密。建议使用 WPA2 (AES),以便利用缓存或快速漫游。WPA 加密设置是特定于 SSID 的,可在 “无线” > “配置” > “访问控制” 页面上找到。
-
如果所有语音设备都支持 WPA2,则建议针对 IP 语音设备使用 “仅WPA2” 选项。
-
如果设备不支持 AES,也可以仅强制使用 TKIP。请联系思科 Meraki 支持人员配置此选项。
有关更改 WPA 加密模式的分步说明,请参阅有关设置 WPA 加密模式的文档。
802.11r 快速漫游
建议启用 802.11r,以提高漫游时的语音质量。除蜂窝网络之外或代替蜂窝网络,802.11r 标准旨在改善连接到 Wi-Fi 的移动设备上的 VoIP 和语音应用。当移动设备从一个区域漫游到另一个区域时,它们与一个无线接入点解除关联并重新关联到下一个无线接入点。通过减少在无线接入点之间切换所花费的漫游时间,启用 802.11r 可以使 VoIP 设备从中受益。有些客户端设备与快速 BSS 转换 (802.11r) 不兼容。您可能需要检查您设备的兼容性。
可以从网络访问 > 802.11r 下的配置 > 访问控制页面启用此功能。如果未显示此选项,则可能需要进行固件更新。有关 802.11r 的更多详细信息,请参阅有关快速漫游技术的指南
第 2 层漫游和第 3 层漫游
建议使用桥接模式,通过无缝的第 2 层漫游改善 IP 语音客户端的漫游。在桥接模式下,Meraki 无线接入点充当网桥,允许无线客户端从上游 DHCP 服务器获取其 IP 地址。桥接模式在大多数情况下运行正常,特别是对于无缝漫游,并且此模式是将无线客户端放置在 LAN 上的最简单的选项。要配置客户端 IP 分配模式,请参阅有关用于客户端 IP 分配的 SSID 模式文档。
使用桥接模式时,同一楼层或区域中的所有无线接入点应支持相同的 VLAN,以允许设备在无线接入点之间无缝漫游。在两个子网之间执行第 3 层漫游时,使用桥接模式将需要 DHCP 请求。例如,当 VoIP 呼叫的用户在无第 3 层漫游的不同 VLAN 上的无线接入点之间漫游时,用户的会话将被中断,因为外部服务器必须与客户端的新 IP 地址重新建立通信。在此期间,VoIP 呼叫将出现几秒钟的明显中断,从而降低了用户体验。
每层有多个 VLAN 的大型无线网络可能需要在第 3 层进行 IP 会话漫游,以便在移动客户端在多个 VLAN 之间漫游时启用应用并实现会话持久性。启用第 3 层漫游后,客户端设备将在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。如果您的网络需要第 3 层漫游,请参阅有关第 3 层漫游的文章。
注:强烈建议在考虑第 3 层漫游选项时咨询思科 Meraki SE 或思科合作伙伴。
对于 IP 语音,不建议使用 NAT 模式:启用 NAT 模式后,设备将在每次漫游时请求新的 DHCP IP 地址。在 NAT 模式下在无线接入点之间移动将导致连接在从一个无线接入点移动至另一个无线接入点时中断。在无线接入点之间漫游期间,需要持续流量流(例如,VoIP、VPN)或媒体流的应用将中断。
隔离语音 VLAN 上的流量
语音流量往往伴随着大量双向 UDP 通信。由于 UDP 流量没有开销确保传输,因此语音流量极易受带宽限制、链路阻塞甚至同一线路上的非语音流量的影响。隔离语音流量使其能够独立于其他网络流量运行,并允许对不同类型的流量进行更精细的控制。
如果已在 Meraki MS 交换机上指定语音 VLAN,则此端口将接受语音 VLAN 上的标记流量。此外,该端口将发送 LLDP 和 CDP 通告,建议设备将此 VLAN 用于语音流量。无线接入点上标记的 VLAN 应与有线网络上的语音 VLAN 匹配。有关详细信息,请参阅文章《为标准 VoIP 部署配置 MS 接入交换机》。
频段选择
2.4 GHz 频段仅有 3 个信道不重叠,而 5 GHz 频段在美国有多达 19 个独立信道。如果设计正确,无线网络将为无线语音提供最佳服务质量,以支持 5 Ghz 语音覆盖范围。这可以在 “访问控制” > “无线选项” > “频段选择” > “仅 5 GHz 频段” 下配置。配置完成后,应在环境的所有区域中执行测试。如果在安装后现场调查后发现没有适当的 5 GHz 覆盖范围,则可以在 “无线电设置” > “信道规划” 中手动增加 5 GHz 无线电的功率。
如果没有专用语音 SSID,请启用 “具有频段切换功能的双频段”,以使语音设备能够同时使用 2.4 GHz 和 5 GHz 信道。设备将被切换为使用 5 GHz 频段。有关更多详细信息,请参阅文章《频段切换概述》。使用双频网络,客户端设备将由网络控制。但是,要提高语音质量,请遵循有关在客户端设备上配置无线频段首选项的指南。
如果您的设备仅支持 2.4 GHz 网络(例如 802.11bgn 设备),请联系 Meraki 支持团队启用仅 2.4 GHz 的网络。
最小比特率
对于语音网络,建议将 12 Mbps 作为最小比特率。增加此值需要在射频规划中提供适当的覆盖范围。管理员可以通过禁用较低的比特率来提高 2.4 GHz 和 5 GHz 频段上的客户端性能。调整比特率可以降低无线网络的开销,并且在某些情况下还可以提高漫游性能。
此功能应基于每个 SSID 在 “访问控制” 页面上的 “配置” 选项卡下进行配置。系统将以最低的选定速率发送管理帧和数据帧。客户端必须使用最低的选定速率或更快的速率。
请牢记,选择 12Mbps 或更高的比特率将妨碍 802.11b 客户端加入。
当您提高最小比特率时,客户端需要更高的信噪比才能加入和使用无线接入点。
除非获得思科合作伙伴的特别建议,否则建议的最高设置为 24Mbps。大多数环境和设计都无法提供足够大的信噪比,以便客户端可靠地解码以更高速率发送的所有帧。
带宽限制
考虑针对其余网络流量设置每客户端带宽限制。如果所有其他应用都受到限制,优先处理语音流量将会产生更大的影响。有关更多详细信息,请参阅文章《配置无线网络上的带宽限制并启用速度突发》。
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
使用 “速度突发” 将 “每客户端带宽限制” 设置为 5 Mbps。这将适用于所有非语音应用流量。本指南中的此步骤为可选操作。
-
将 “每 SSID 带宽限制” 设置为无限制。
速度突发可以实现已分配带宽限制的四倍突增,并持续五秒钟。
流量整形规则
利用流量整形为语音流量提供必要的带宽。确保语音流量有足够的带宽来运行,这一点非常重要。因此,可以实施流量整形规则,以允许语音流量使用额外带宽或限制其他类型的流量,从而帮助优先化语音流量。
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
点击流量整形旁边的下拉菜单,选择对此 SSID 进行流量整形,然后点击创建新规则。
-
点击添加 + 并选择 “所有 VoIP 和视频会议”
-
将每客户端带宽限制设置为 “忽略 SSID 每客户端限制(无限制)”,然后点击 “保存更改”。
PCP、DSCP 和 WMM 映射
很多设备都支持服务质量 (QoS) 标签,以维持整个网络中的流量优先级。Meraki MR 无线接入点支持 WMM,旨在提高语音和视频等实时数据的性能。WMM 通过防止带宽超额订用来提高正在运行中的应用的可靠性。WMM 通过使用以下访问类别增强流量优先级来实现这一目标:语音、视频、尽力而为和后台数据。WMM 具有可在本文中找到的映射值。要为 PCP 和 DSCP 值配置正确的映射,应遵循以下步骤:
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
根据流量整形规则,确保已选择对此 SSID 进行流量整形并且所有语音和视频会议均设置有规则。
-
将 PCP 设置为 “6” 或设备/应用供应商建议的设置(请注意,只有在 SSID 启用 VLAN 标记时才能更改 PCP 值。这将确保有一个可以写入 CoS 值的字段)。
-
将 DSCP 设置为46(EF - 加速转发,语音)或设备/应用供应商建议的设置。
注:DSCP 标签 46(EF - 加速转发,语音)将映射到 WMM 访问类别(AC-VO 语音,第 2 层 CoS 6)
如果未配置 DSCP 值,则将使用默认的 DSCP 到 WMM 映射。无线接入点在 LAN 的第 2 层优先级与无线电的 WMM 类之间进行映射。下表显示了常见流量类型与其各自标记之间的映射:
基于 RFC 4594 的模式 |
802.3 DSCP |
802.3 DSCP [十进制] |
IEEE 802.11 型号 |
语音 + DSCP 许可 |
EF + 44 |
46 |
语音 AC (AC_VO) |
广播视频 |
CS5 |
24 |
视频 AC (AC_VI) |
多媒体会议 |
AF4n |
34、36、38 |
视频 AC (AC_VI) |
实时交互 |
CS4 |
32 |
视频 AC (AC_VI) |
多媒体流 |
AF3n |
26、28、30 |
视频 AC (AC_VI) |
信令 |
CS3 |
40 |
视频 AC (AC_VI) |
事务数据 |
AF2n |
18、20、22 |
尽力而为 AC (AC_BE) |
OAM |
CS2 |
16 |
尽力而为 AC (AC_BE) |
批量数据 |
AF1n |
10、12、14 |
后台 AC (AC_BK) |
“清道夫” (Scavenger) |
CS1 |
8 |
后台 AC (AC_BK) |
尽力而为 |
DF |
0 |
尽力而为 AC (AC_BE) |
* 用于保证转发的丢弃指示部分的 n 对应值 1-3。
要使 QoS 优先排序实现端到端运行,请确保上游网络设备也支持 QoS 优先排序。无线接入点上应用的 PCP 和 DSCP 标记应与有线网络配置匹配,以确保端到端 QoS。有关详细信息,请参阅文章《为标准 VoIP 部署配置 MS 接入交换机》。
自定义流量整形
如果您的语音流量与内置应用签名不匹配或未列出,则可以为流量整形创建自己的签名。
-
添加托管 Microsoft Lync/Skype for Business、Jabber、Spark 或其他语音应用的服务器使用的 IP 和端口。
-
在定义字段中,点击添加 + 和自定义表达式
-
在文本字段中,输入每个语音服务器的 IP 地址(例如 172.16.1.123)或一个服务器 IP 范围 172.16.1.0/24
-
此外,通过针对单个服务器使用 CIDR 表示法 localnet:172.16.1.123/32 或针对一个 IP 范围使用 localnet:172.16.1.0/24,将服务器添加为源地址。
-
完成后再次点击添加 + 按钮。
-
-
如果有专用语音 SSID 和专用语音 VLAN,请添加客户端设备的本地子网。
-
-
在定义字段中,点击添加 + 和自定义表达式
-
在文本字段中,输入 localnet:192.168.0.1/16,指示 CIDR 表示法中客户端设备的源子网。
-
完成后再次点击添加 + 按钮。
-
-
将每客户端带宽限制设置为 “忽略 SSID 每客户端限制(无限制)”,然后点击 “保存更改”。
产品特定建议
思科 Meraki 与设备制造商(例如 Apple)密切合作,为他们提供用于进行互通性测试的无线接入点。Meraki 在整个设备范围内执行自己的测试,并且我们的客户支持团队会快速处理并报告漏洞。本节将根据 Meraki 客户的实际部署以及 Meraki 和下面提到的供应商开发的最佳实践提供建议。
Microsoft Lync/Skype for Business
本节将提供有关如何为 Microsoft Lync 和 Skype for Business 实施 QoS 的指导。Microsoft Lync 是一种广泛部署的企业协作应用,可连接使用多种类型设备的用户。这会带来额外的挑战,因为专用于 Lync 应用的单独 SSID 可能不实用。安装 Microsoft Lync Server/Skype for Business 时,将不会为组织中使用 Windows 以外的操作系统的任何设备启用服务质量 (QoS)。有关通过 Wi-Fi 部署 Lync 的更多指导,请阅读 Microsoft 的部署指南《通过 Wi-Fi 提供 Lync 2013 实时通信》。
Meraki 的深度数据包检测可以智能地识别无线网络上的 Lync 呼叫,并应用流量整形策略来优先处理 Lync 流量 - 使用 SIP 语音协议。除用于 Skype 和 SIP 的 Meraki 内置签名之外,您还应通过 IP 以及 Lync 客户端或服务器使用的任何自定义端口来识别每台 Lync 服务器。请按照以下步骤配置 Lync/Skype 的流量整形规则。
-
转至无线 > 配置 > 防火墙和流量整形,然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。
-
点击流量整形旁边的下拉菜单,选择对此 SSID 进行流量整形,然后点击创建新规则。
-
考虑使用 “速度突发” 将 “每客户端带宽限制” 设置为 5 Mbps。这将适用于所有非语音应用流量
-
将每 SSID 带宽限制为无限制
-
为所有语音和视频会议 > “Skype” 和 “SIP(语音)” 创建流量整形规则
-
从下拉列表中将每客户端带宽限制设置为 “忽略 SSID 每客户端限制(无限制)”。
-
将 PCP 设置为 “6”。Lync Server 2013 不再支持 802.1p 参数。该参数仍然适用于向后兼容 Microsoft Lync 服务器 2010;但是,它对使用 Lync Server 2013 的设备没有影响。
-
将 DSCP 设置为 “46(EF - 加速转发,语音)”
-
为托管 Microsoft Lync/Skype for Business 的服务器使用的 IP 和端口添加 “自定义表达式”
-
对于云托管的 Lync/Skype,请添加下表中的域名
-
添加下表中的端口号或您自己的已分配端口号列表
-
添加每台本地 Lync 服务器的 IP 地址
-
-
您可以使用 Meraki 数据包捕获工具测试是否已应用 DSCP 标记。
Lync Online /Skype for Business 在线服务器 |
Lync 和 Skype 端口号 |
本地 Lync/ Skype for Busines 服务器 |
|
|
|
上表中列出的端口是 Microsoft 提供的标准端口。启用客户端设备的 QoS 配置以修改端口范围并分配 DSCP 值 46。Microsoft 的最佳实践包括在服务器和客户端设备上配置端口范围。有关启用 QoS 的详细信息,请参阅 Microsoft 文章《在 Lync Server 2013 中管理服务质量 (QoS)》。
思科 7925G 电话
思科 7925G、7925G-EX 和 7926G VoIP 电话需要进行特定设置才能与配置有 WPA2-PSK 关联要求的 Meraki MR 无线接入点进行交互操作。有关将思科 792xG 与 MR 无线接入点集成的详细信息,请参阅思科统一无线 IP 电话 792xG + 思科 Meraki 无线 LAN 配置指南。
-
思科建议将频段选择设置为仅 5 GHz 频段。
-
不要使用 “提供频段切换功能的双频操作” 选项。如果由于距离增加需要使用 2.4 GHz 频段,则应选择双频操作(2.4 GHz 和 5 GHz)。
-
将最小比特率设置为 11 Mbps 或更高。
-
默认情况下,思科 Meraki 无线接入点将当前标记有 DSCP EF (46) 的语音帧标记为 WMM UP 6,并将标记有 DSCP CS3 (24) 的呼叫控制帧标记为 WMM UP 4。
默认情况下,思科 Meraki 无线接入点将信任 DSCP 标记。管理员应确保上游 QoS 到位,且 7925 电话具有下面列出的 QoS 标记。要为某些流量类型或源/目的重写 QoS 标记,请创建流量整形规则,如上文的自定义流量整形部分所述。
以下是思科统一无线 IP 电话 7925G、7925G-EX 和 7926G 使用的语音和呼叫控制流量的 QoS 和端口信息。有关思科电话使用的端口和协议的完整列表,请参阅《思科统一通信管理器 TCP 和 UDP 端口使用指南》。
流量类型 |
DSCP |
PCP (802.1p) |
WMM |
端口范围 |
语音(RTP、STRP) |
EF (46) |
5 |
6 |
UDP 16384 - 32767 |
呼叫控制(SCCP、SCCPS) |
CS3 (24) |
3 |
4 |
TCP 2000、TCP 2443 |
思科统一通信管理器仅使用端口范围 24576-32767,但其他设备使用全范围 16384-32767。
Apple iPhone
Apple 和思科已建立合作伙伴关系,通过优化面向 iOS 设备和应用的思科和 Meraki 网络,为 iOS 业务用户提供更卓越的支持。有关此合作伙伴关系的更多信息,请访问 Apple 网站。可以轻松配置 Meraki 的组策略,以优化 Meraki 网络上的 Apple 设备。首先创建要应用于 Apple 设备的组策略。
-
浏览到全网 > 配置 > 组策略,向下滚动,然后点击添加组。
-
在流量整形下,创建新规则,然后添加所有 VoIP 和视频会议
-
将每客户端带宽限制设置为忽略每客户端网络限制
-
将 PCP 设置为 6(最高优先级)并将 DSCP 设置为 46(EF - 加速转发,语音)。
-
-
创建第二个规则,然后添加所有视频和音乐
-
-
将每客户端带宽限制设置为忽略每客户端网络限制
-
将 PCP 设置为 5 并将 DSCP 设置为 34(AF41 - 多媒体会议,低丢包率)。
-
要应用新的 Apple 设备组策略,请浏览到无线>访问控制,并按设备类型启用分配组策略。为每种 Apple 设备类型(iPhone、iPad、iPod 和 Mac OS X)点击为设备类型添加组策略,并分配您创建的 Apple 设备组策略。点击 “保存”,优化即已完成。
Vocera 徽章
Vocera 徽章与 Vocera 服务器通信,且服务器包含 AP MAC 地址到构建区域的映射。然后,服务器会向安全人员发送警报,以跟踪此通告位置。定位精度要求具备更高的无线接入点密度。在高密度部署中,您可能需要手动将所有受支持无线电上每个无线接入点的传输功率降至 5 dB。Vocera 提供了有关部署 WLAN 最佳实践以支持 Vocera 徽章的其他文档。有关详细信息,请下载有关 Vocera WLAN 要求和最优实践的文档
某些型号的 Vocera 徽章不支持 5 GHz 或 WPA2 AES 加密,并且需要 WPA1 TKIP。请联系思科 Meraki 支持团队,以在您的网络上配置 WPA1 TKIP。
Wi-Fi 通话
移动网络运营商 (MNO) 现在允许客户通过 Wi-Fi 拨打电话以节省漫游费用,并在蜂窝网络覆盖较差的建筑物中利用 Wi-Fi 覆盖。预计到 2015 年底,大多数移动设备和 MSP 都将支持 Wi-Fi 通话。Apple 将维护提供 Wi-Fi 通话的运营商列表以及支持 Wi-Fi 通话的设备列表。
企业 Wi-Fi 基础设施不仅需要处理载波语音流量,而且这种有限的频谱还需要供视频流和 Web 会议等其他应用和服务共享。在延迟和抖动方面的语音要求保证了网络具有适当的端到端 QoS 设计和语音优化,可以在存在其他应用的情况下优化 Wi-Fi 通话数据包的传送。
运营商 Wi-Fi
运营商正在使用 Wi-Fi 分流蜂窝网络中的数据,以满足移动设备用户不断增长的需求。支持 Wi-Fi 以满足这种需求的两种技术为 Wi-Fi 通话和 Hotspot 2.0。
Hotspot 2.0
Hotspot 2.0 也称为 Passpoint,是一项服务提供商功能,可帮助运营商进行分流。在对 802.11 标准所做的 802.11u 修订中,附加信息包含在已配置 Hotspot 2.0 的 SSID 中,以便 Hotspot 2.0 客户端设备可以分析使用情况,以确定它是否能够自动加入网络。
托管服务提供商 (MSP) 现在可以在思科 Meraki MR 无线接入点上启用 Hotspot 2.0 选项。Meraki 允许 MSP 自定义 Hotspot 2.0 SSID 通告,以允许其用户在网络之间轻松漫游。Hotspot 2.0 选项仅适用于合格的托管服务提供商。请联系思科 Meraki 支持部门检查其资格。
VoIP 的故障排除
我们撰写了一篇详细的文章,重点介绍 Meraki 上的 VoIP 故障排除。请访问以下文章:
《思科 Meraki 上的 VoIP:常见问题和故障排除提示》
最佳实践设计 - MV 摄像头
Meraki MV 摄像头 - 简介和功能
行业术语
本文将介绍基本的摄像头行业术语和 MV 功能。以下是对在部署、设计或安装安防摄像头网络时可能遇到的一些术语的说明。
光纤
焦距
焦距是摄像头镜头的一个技术指标,它会影响视场 (FoV)。焦距越长(通常以毫米为单位),图像放得越大。
变焦镜头
可以调整具有可变焦距(有时称为变焦)的摄像头进行光学放大(或缩放),以增强远距离对象的细节。
定焦镜头
配备定焦镜头的摄像头无法调整焦距。尽管一些室外摄像头也具有固定焦距,但配备定焦镜头的摄像头在室内、多成像仪或鱼眼摄像头中最常见。
Meraki MV 摄像头有配备变焦镜头和定焦镜头的各种型号。
MV12N 的焦距比 MV12W 的焦距长,因此 MV12N 的视场更窄。
视场
视场 (FoV) 是用于描述摄像头可以看到多少场景的术语。视场越窄(通俗地说,当镜头更加放大时),显示的场景部分越小,例如,仅显示房门入口。视场越宽,显示的场景部分越大,例如显示整个房间,而不仅仅显示房门入口。视场通常分为水平和垂直部分,并以度数表示。
景深
景深是指在图像中能够清晰呈现物体的距离范围。它取决于摄像头类型、光圈和对焦距离。在安防摄像头应用中,最好是尽可能使更多的图像位于景深范围内。用于拍摄近距离和远距离物体的摄像头必须减少光圈,从而使衍射形成的图像变得柔和(有关更多信息,请参阅模糊圈)。
光圈
光圈描述允许光线进入摄像头传感器的光圈或孔。光圈越大,进入摄像头的光线就越多。可以进入摄像头的光线越多,在光线不足时就可以看到越多,图像就越亮。光圈越高(光线越少)意味着景深越大。光圈越低(光线越多)意味着景深减小。
Lux
Lux(符号:lx)是照度和发光度的国际标准 (SI) 衍生单位,用于测量单位面积的光通量。它等于每平方米一流明。在光度测定中,这可作为人眼所感知的通过表面照射或穿过表面的光强度的度量。它类似于辐射度单位瓦特/平方米,但是将根据光度函数对每个波&