Fala galera beleza, na última semana falei um pouco sobre Cisco Meraki e agora vou falar um pouco sobre as funicionalidades de Security/SD-WAN, metodos de deploy, topologia, features etc.
Pra começar vamos falar sobre a topologia, temos 2 modos de deploy:
- VPN concentrator (1-Armed) mode:
O Meraki (Datacenter) será instalado como um concentrador (Hub) VPN para todas as filiais (branch), esse modelo é indicado quando você já possui firewall configurado no datacenter e o Meraki trabalha como concentrador site-to-site VPN;
Esse é o modelo utilizado em 90% das empresas.
Obs. seguem os IPs/portas que deverão ser liberados no firewall do datacenter:
- NAT mode - O MX instalado trabalha diretamente como firewall do datacenter (features de L7 também):
Agora falando um pouco sobre alta disponibilidade das caixas, por padrão é utilizado o protocolo VRRP entre elas e ele pode utilizar um cabo conectado físicamente (VRRP Path similar a um heartbit):
Ou utilizando a infraestrutura do switch:
Para entender um pouco mais sobre o funcionamento das VPNs do meraki temos que falar como é feita a comunicação com a nuvem Meraki, os equipamentos seguem as seguintes etapas:
1º O MX testa a conectividade com a internet realizando um ping para os IPs do google (8.8.8.8 e 8.8.4.4);
2º O MX envia alguns pacotes UDP para tentar fechar uma conexão criptografada com a nuvem Meraki
(UDP port 7351), porém se estiver por trás de um NAT o Meraki realiza um processo chamado "UDP hole punching" que é o envio de diversos pacotes UDPs vazios para estabelecer um UDP port state, uma vez estabelecido a comunicação é realizada bastando apenas a troca de keep-alives (exemplo da tentativa de comunicação abaixo):
3º O MX baixa as configurações/atualizaçãos atreladas à sua organização (inclusive templates pré configurados);
4º O MX envia a interface de saída + IP público + "ID único dele" para nuvem que armazena essas informações para repassar para os Merakis Spokes fecharem a VPN;
5º O MX spoke realiza o mesmo processo, porém fecha uma VPN IPsec com as informações do MX HUB (IP público etc);
- Agora pensando o Meraki Spoke, cada equipamento possúi pelo menos 1 interface internet, 4 interfaces lans (1 delas pode virar internet também dependendo do modelo) e uma entrada USB para modem 3G;
- As interfaces Wan (internet) podem ser configuradas com IP estático, dinâmico, com PPoE (com ou sem autenticação) e com ou sem vlan atrelada;
- As interface podem trabalhar em modo trunk (diversas vlans) podendo ter regras de acesso e bloqueio para cada vlan especifica, além de serviços como DHCP para cada uma;
- É recomendado a criação de templates para realizar o deploy de diversos MX, alterando somente a velocidade dos links de cada localidade (dificilmente há uma padronização nos links contratados);
- Exemplos de configuração de Firewall e Traffic Shapping em templates:
- O MX permite também o cadastro das suas aplicações para uma melhor customização nos relatorios de consumo (ex. Intranet = 10.10.10.10):
Agora falando sobre a minha perspectiva dos equipamentos:
Pontos positivos encontrados no dia-a-dia:
- Failover dos equipamentos no datacenter (concentradores) funcionam muito bem e a comunicação com a nuvem é em tempo real;
- Deploy via templates facilita muito o trabalho da equipe de infra (redes,suporte e segurança);
- Atualizações constantes inclusive adicionando features que os clientes propõem (botão make a wish) na dashboard;
- Maior visibilidade do tráfego de rede e auxílio no tshoot;
- Integração com a linha de switches e APs da Meraki;
- Dashboard disponível via aplicativo IOS e Android;
Pontos negativos encontrados no dia-a-dia:
- O AMP (Advanced Malware Protection) acaba bloqueando diversas aplicações internas, no deploy crie uma Group police disabilitando o AMP em casos extremos;
- O Meraki não decripta tráfego (deep inspection), por exemplo HTTPS (muitos malwares utilizam ele para realizar um bypass em filtragens básicas);
- Quantidade de categorias do filtro de conteúdo pode ser limitado dependendo do modelo do MX;
- O failover dos MXs spokes podem demorar até 5 minutos para retornar, dependendo do segmento 5 minutos é uma eternidade:
- Poucos logs e dependendo da situação é necessário do suporte da Cisco para conseguir coisas básicas (captura de pacotes, logs mais avançados, etc);
- Pouca informação/documentação de alguns problemas específicos (por exemplo, apenas agora temos configuração via MPLS no suporte Meraki);
- Nuvem Meraki está na AWS então encontramos novos IPs que são bloqueados no firewall;
Pessoal, como falei no outro post, o Meraki não é a melhor solução de SD-WAN e nem de UTM, porém você provavelmente irá se deparar com o Meraki uma hora ou outra, melhor estar preparado pois o investimento da Cisco na LATAM em cima do Meraki vai ser pesado.
Link:
Abraços
Nenhum comentário:
Postar um comentário