Sinds eind 2015 heb ik op mijn werk het merk Cisco Meraki geïntroduceerd voor security firewalls en Wi-Fi. We hebben ook sterk overwogen om hun switches ook te nemen, maar deze zijn me momenteel nog te duur om een echte meerwaarde te zijn in onze vrij statische netwerk organisatie. Cisco Meraki heeft echter ook oplossingen voor security camera’s en IP telefonie, die we in de toekomst zeker willen proberen. Deze cloud gebaseerde technologie is vooral interessant, omdat hiermee het beheren van een uitgebreid netwerk eenvoudiger en overzichtelijker maakt in één cloud dashboard. In dit artikel wil ik even verklaren waarom we voor Cisco Meraki hebben gekozen voor onze Wi-Fi oplossing voor meer dan 1000 gebruikers.
Firewalls verbonden via site-2-site VPN
In december 2015 hebben we gekozen voor twee nieuwe firewalls van Cisco Meraki, een MX100 en MX80 (nu de MX84) die twee van onze vestigingen via een site-2-site VPN met elkaar ging verbinden. Er was geen mogelijkheid om een fysieke fiber kabel tussen de twee vestigingen te voorzien, dus kozen we voor de site-2-site VPN oplossing die het verkeer stuurt over het normale internet. Deze verbinding kan je via Meraki in feite tot stand brengen door een simpele klik en het aanduiden van enkele vinkjes, nadien komt er uiteraard wel meer configuratie werk aan te pas als je werkt met bijvoorbeeld voice VLAN’s. We voorzien op elke vestiging wel een extra fail-over lijn, zodat we een uptime van de gegevens en het internet kunnen garanderen. Er staat nu slechts op één site (de grootste) een domain controller, fileserver en print server. De rest van de data wordt opgevraagd via de VPN verbinding. Dit werkt prima en we kregen dankzij het eenvoudige Cisco Meraki dashboard ook een veel beter overzicht over alle clients op ons netwerk. Bovendien kreeg je ook toegang tot hun Mobile Device Management (of MDM) console die gratis is tot 100 devices.
Cisco Meraki MR32 Wi-Fi antennes
Deze goede ervaringen deed ons ook meteen kijken naar hun Wi-Fi oplossing. Vooral omdat hij zo eenvoudig is om via het dashboard de nodige instellingen te doen, waarna deze naar alle apparaten die verbonden zijn met het internet via de cloud worden verstuurd. Centraal beheer vanaf 1 locatie is bijzonder handig bij een uitgebreide campus of verschillende vestigingsplaatsen. Je kan dan vaak al vanop afstand de nodige trouble shooting uitvoeren voordat je ter plekke moet gaan.
We kozen hiervoor begin 2016 voor de Meraki MR 32 Wi-Fi antennes, omdat deze op dat moment het instap model was in hun ac W-Fi standaard. Onze interne draadloze toestellen zijn nu en in de toekomst vooral Chromebooks met ook de ac standaard.
Een ander groot voordeel is uiteraard dat de Wi-Fi antennes goed samenwerken met onze bestaande Meraki firewalls en zo een nog beter beeld geven van de traffiek, veiligheid en alle clients op je netwerk.
Security
Zelf ben ik geen netwerk of security specialist, maar dat maakt ook net Meraki zo interessant voor mij. De meeste security policies die via de interne firewall van de Wi-Fi antennes instel, zijn ingesteld op laag 7. Die zijn zo simpel dat het gewoon een dropdown menu is, waarbij je ook nog in detail bepaalde zaken kan blokkeren (of open stellen).
Hieronder het voorbeeld van het sterk gelimiteerde gast SSID, waarbij je trouwens kan inloggen met je Facebook account (of via een code).
Google Sign-In bij Cisco Meraki
Een ander groot voordeel aan het gebruik van Cisco Meraki Wi-Fi antennes is dat er mogelijkheden zijn tot het inloggen met zogenaamde ‘3rd party credentials’. Wij gebruiken al jaren Google Apps for Education (of nu G Suite) voor leerkrachten, maar sinds vorig jaar ook voor leerlingen. Iedereen heeft bij ons dus een Google account dat we gebruiken als hoofdaccount, waarbij dat vroeger een Windows active directory account was.
Hoe stel je jouw Google domein in als login voor je Wi-Fi netwerk?
- Navigeer naar Access Control
- Selecteer de SSID die u wilt voorzien voor Google authenticatie
- In de splash page sectie, configureer de SSID om 3rd party referenties gebruiken
- Selecteer ‘Google’
- Optioneel kunt u een domein configureren om de reikwijdte van de Google-accounts te beperken. Als je dit leeg laat dan kan iedereen met een Google of Gmail account inloggen!
- Klik op Opslaan
De instellingen zijn trouwens ook heel eenvoudig met diverse bolletjes aanvinken of een dropdown menu, zoals je in onderstaande screenshot kan zien.
Voor het instellen van een SSID heb je nog heel veel andere opties zoals:
- Sta je toe om op meer dan 1 toestel tegelijk in te loggen of niet?
- Blokkeer je standaard ‘adult content’? Uiteraard.
- Gebruik je de Meraki DHCP (afgesloten 10.0.0.0/8 netwerk) of gebruik je je eigen DHCP server?
De Meraki DHCP is naar mijn gevoel veel veiliger omdat devices wel toegang kunnen krijgen tot de lokale fileserver (LAN) en het internet, maar rechtstreeks kunnen devices elkaar echter niet zien of communiceren. Bovendien ontlast je dan jouw eigen DHCP server.
De hardware en licenties voor Meraki hebben we aangekocht via Jan Van Loock van TonesPro. Je kan bij hen terecht voor actuele prijzen en informatie.