Wyobraź sobie administratora lub dział IT, który ma do utrzymania sieć komputerową, ma określone wymagania i zazwyczaj ograniczony czas na zarządzanie. Na rynku dostępnych jest wiele rozwiązań, które mają dużo funkcji, możliwości integracji. Często urządzenia sieciowe działają jako osobno zarządzane elementy. Jeśli nie ma odpowiednich narzędzi, to administrator musi pamiętać adresację, topologię sieci. A czy można prościej? Można! Cisco Meraki oferuje urządzenia (7 linii produktowych), które po prostu działają, zarządza się z nimi z jednego panelu administracyjnego. Udostępniają najpotrzebniejsze funkcje i ułatwiają życie administratorom i użytkownikom.

W jaki sposób stworzyć sieć komputerową, która spełnia m.in. poniższe wymagania;

  • jeden wspólny panel do zarządzania
    • wszystkimi urządzeniami Meraki można łatwo zarządzać z poziomu przeglądarki internetowej lub aplikacji na smartfonie
    • bezpieczeństwo, możliwość logowania dwu etapowego administratorów
    • możliwość śledzenia kto wprowadził i jakie zmiany, nadawania uprawnień do konkretnych sieci, urządzeń
    • wspiera automatyczne instalowanie aktualizacji na urządzeniach sieciowych (dostępne także manualne)
  • magiczny AUTO VPN, tunele VPN zestawiają się pomiędzy wskazanymi oddziałami i ich sieciami.
  • uproszczony system licencjonowania
  • raporty
    • wysyłane na e-mail na temat wykorzystania sieci, użytkowników, urządzeń
  • widoczność
    • na temat wykorzystania portów na przełącznikach w czasie
  • i inne

 

Poniżej podajemy przykłady sieci, w których sprawdza się sieć zarządzana z chmury Cisco Meraki. Jeśli chcesz się skontaktować z administratorem danej sieci, daj znać. Będziesz mógł się zapytać bezpośrednio o wrażenia.

Duża sieć sklepów drogeryjnych w Polsce 

Założenia: Mały dział IT ma zarządzać siecią złożoną z ponad 1000 sklepów, VPN do centrali, łącze zapasowe po modemach LTE, system wspierający wykonywanie aktualizacji na urządzeniach.

Rozwiązanie: Firewalle MX z funkcją AUTO VPN oraz modemami LTE

 

Szkoła i gimnazjum – cały stos oparty na Cisco Meraki

Założenia, sieć LAN i WiFi która obsłuży ok 500-600 uczniów i urządzeń szkolnych typu iPad. Sieć ma mieć możliwość blokady treści, przycinania pasma, widoczności kto co robił, integracji z systemem MDM (IPady wykorzystywane w szkole). Siecią administruje informatyk, który na codzień ma dużo innych obowiązków.

Projekt: Sieć złożona jest z wydajnego Firewalla MX, dwóch przełączników  MS z PoE oraz 37 punktów bezprzewodowych MR.

  • prostota zarządzania i widoczność użytkowników np. urwisów, którzy generują duży ruch
  • Meraki MX
    • chroni uczniów przed niedozwoloną treścią oraz stronami z zagrożeniami IPS
  • Punkty bezprzewodowe Meraki MR
    • kilka odseparowanych sieci dla uczniów, nauczycieli, gości
    • baza użytkowników w chmurze
    • przycinanie pasma na gry on-line do 500 kb/s oraz mediów społecznościowych
    • część sieci rozgłaszana tylko w godzinach pracy (nie można się podłączyć, gdy szkoła nie jest czynna)
    • możliwość przycinania pasma dla użytkowników, dla sieci WiFi
  • Przełączniki MS
    • oszczędność energii (zasilanie na portach PoE jest wyłączane po godzinach, zużycie PoE przez AP 2 x 200W)
  • widoczność, co robią uczniowie, przycinanie pasma tzw. urwisom
  • powiązane z systemem MDM – Mobile Device Management

Sieć bezprzewodowa w Zespole Szkół Technicznych –  sieć WiFi

Założenia: sieć WiFi do obsługi sieci dla nauczycieli, uczniów oraz gości administrowana przez nauczyciela informatyki. Sieć ma być zarządzana w łatwy sposób. Aby podłączyć się do sieci, należy zaakceptować regulamin. Możliwość przycinania pasma dla wybranej sieci bezprzewodowej lub dla urządzenia końcowego. Ruch uczniów ma być odseparowany od siebie.

Projekt: sieć złożona z 12 punktów bezprzewodowych MR

Punkty bezprzewodowe Meraki MR

  • ograniczenie pasma dla wybranych sieci 2 Mb/s na każdego użytkownika
  • sieć dla uczniów tylko rozgłaszana podczas godzin pracy szkoły
  • uczniowie nie mogą się komunikować pomiędzy sobą przez sieć WiFi
  • punkty bezprzewodowe mają wbudowany serwer DHCP i robią NAT-a dla wybranych sieci
  • podstawowa filtracja L7 – aplikacje typu P2P, gry, filtrowanie L3 – brak dostępu do wybranych sieci
  • powiadomienie, gdy AP zostaną odłączone od Internetu (alerty na e-mail)

 

Duża firma produkcyjna, która ma oddziały za granicą – cały stos oparty na Cisco Meraki

Założenia: Centrala firmy i oddziały, firmy córki w Polsce używają tradycyjnych urządzeń sieciowych zarządzanych m.in. przez SSH. Do  firmy córki, zlokalizowanej za granicą należało dobrać stos urządzeń, którymi można byłoby zarządzać zdalnie bez angażowania lokalnych użytkowników. Urządzanie te miały zapewnić bezpieczny tunel VPN do centrali firmy, punkty bezprzewodowe mają wspierać VLAN-y, przełączniki mają zasilać AP.

Projekt. Sieć dla oddziału złożona z UMT-a MX, przełączników 8 portowych z PoE MS oraz puntów bezprzewodowych.

Administrator ma możliwość zdalnego zarządzania siecią

Firewall – Maraki MX

  • zestawia tunel VPN do centrali firmy dla wybranej podsieci
  • ochrona przed niedozwoloną treścią, ochrona przed zagrożeniami IPS
  • server VPN – możliwość podłączenia się zdalnie po VPN-ie do firmy
  • możliwość wystawienia usług na z sieci LAN do Internetu (port-forwarding)

Przełącznik – Meraki MS

  • zasilanie punktów bezprzewodowych
  • możliwość zdalnego wyłączania/włączania zasilania w manualnie lub w harmonogramie

Punkty bezprzewodowe – Merki MR

  • sieć SSID z obsługą sieci VLAN (802.1Q)

 

Firma, która obsługuje centralnie księgowość dla wielu klientów.

Założenia: Potrzebne urządzenie, które będzie terminowała tunele VPN dla swoich klientów. Użytkownicy łączą się z komputerów, różnych systemów operacyjnych. Potrzebny urządzenie, które obł-służy wielu klientów VPN i łatwo się zarządza.

Projekt: Sieć złożona z Firewalla MX, który pełni koncentratora VPN

Firewall –  Meraki MX – VPN Concentrator

  • zapewnia zdalny i bezpieczny dostęp do zasobów w centrali
  • umożliwia dodawanie użytkowników
  • obsługuje wbudowane w systemy natywnych klientów VPN (Windows OS, MAC OS)

 

Centrum sportu, fitness & Aquapark, FigloRaj

Założenia: Potrzebny firewall, który jest łatwo zarządzalny, umożliwia redundancję, pokazuje wszystkie urządzenia korzystające z sieci i chroni przed zagrożeniami. Ponieważ jest dostępnych dwóch operatorów ISP, urządzenie powinno wykorzystać oba łącza jednocześnie. Obsługa kilku sieci (dla gości, pracowników, terminali płatniczych). Potrzebna sieć WiFi do obsługi gości hotelowych, tak aby ruch klientów był odseparowany od siebie. Potrzebna sieć WiFi dla pracowników. Potrzebne przełączniki PoE, które zasilą punkty bezprzewodowe i będzie można zdalnie (manualnie lub w harmonogramie) wyłączać/włączać zasilenie.

Projekt: Sieć złożona z wydajnego firewall-a MX, małych przełączników z PoE – MS, 18 punktów bezprzewodowych MR

Sieć w ostatnim miesiącu obsłużyła ponad 2300 użytkowników.

Firewall MX –

  • tryb pracy – routowalny, śledzenie klientów po adresie MAC
  • obsługa wielu sieci VLAN (goście, pracownicy, terminale płatnicze, TV,  itd) – NAT, DHCP
  • Firewall 
    • L3/L4 – blokowanie po adresach IP, portach TCP/UDP
    • L7 blokowanie po aplikacjach np. PTP,  blokowanie po ruchu z/do danego kraju np. Chin
    • udostępnianie usług z sieci LAN w Internecie (port forwarding)
  • serwer VPN – dostęp zdalny do sieci korporacyjnej po VPN-ie
  • dzielenie ruchu pomiędzy dwóch dostawców Internetu –  ISP Load balancing – (dual WAN, SD-WAN)
  • ochrona przed zagrożeniami
    • blokowanie złośliwego oprogramowania – Advanced Malware Protection (AMP) – z retrospekcją
    • wykrywanie i blokowanie zagrożeń – Intrusion detection and prevention – IPS – możliwość dodania tzw. whitelist
  • blokowanie po kategoriach stron np. SPAM, Malware, porno itd., możliwość dodania tzw. whitelist

Switch MS

  • zasilanie punktów bezprzewodowych oraz kamer IP
  • widoczność urządzeń, wykorzystania PoE

Punkty bezprzewodowe MR

  • kilka sieci gościnnych
  • odseparowany ruch końcowych klientów pomiędzy sobą, blokada dostępu do sieci LAN
  • ograniczenie pasma dla każdego użytkownika sieci bezprzewodowej do 5 Mb/s oraz dla każdego AP do 10 Mb/s – Traffic shaping
  • Firewall L2, L3, L4 (adresy IP, porty TCP/UDP)
  • strona z regulaminem – SPLASH Page – do akceptacji przez gości sieci

i inne.