Software Defined WAN van Cisco Meraki

Dat Cisco Meraki talloze features (o.a. heatmaps en diverse beveiligingsmogelijkheden) kent die het werk van een IT’er makkelijker maken, stipten we in een vorige blog al eens aan. Iets anders waar wij als Meraki-specialist enthousiast over zijn, is Software Defined WAN (SD-WAN). Lees hieronder wat het is en hoe eenvoudig het werkt.

Hoe makkelijk wil je het hebben?

Als je in het werkveld van Networking actief bent dan kan de term SD-WAN je bijna niet ontgaan zijn. Wat Software Defined Networking doet voor het datacenter, doet Software Defined WAN voor de WAN-verbindingen; het geeft je gelegenheid om verkeer te regelen op basis van policies die zich naar omstandigheden automatisch kunnen aanpassen in plaats van statische configuraties die alleen handmatig aangepast kunnen worden. Denk bij dit soort geautomatiseerde policies aan een lijn die niet (meer) aan de gewenste specificaties voldoet of een knooppunt dat niet bereikbaar is. Je stuurt het verkeer simpelweg over de andere lijn, kiest het andere knooppunt, et cetera. Een ander voorbeeld van zo’n policy: zorg te allen tijde dat voiceverkeer voldoende bandbreedte (en voorrang) heeft.

AutoVPN

Een belangrijk onderdeel van SD-WAN is de VPN-verbinding. Meraki heeft met de AutoVPN als onderdeel van de Meraki SD-WAN-oplossing een flinke verbeterslag gemaakt op het gebied van gebruiksgemak. Veel organisaties hebben verbindingen vanaf randlocaties naar een centrale locatie (datacenter of hoofdlocatie). Vaak worden hier kostbare MPLS-oplossingen van providers ingezet of worden er VPN-tunnels gebouwd over het Internet. Vooral in het laatste geval wordt veel tijd besteed aan het opzetten en onderhouden van de verbindingen. VPN-configuraties waren altijd complex om in te richten, zeker als redundantie-vereisten vroegen om extra dynamiek.

3 à 4 stappen

Met Meraki AutoVPN zet je heel eenvoudig VPN-tunnels op tussen Meraki MX firewalls. In onderstaand voorbeeld worden de randlocaties (Branch Offices) aangemerkt als Spoke en het Datacenter als Hub. Het aanmaken van een VPN bestaat per locatie grofweg uit 3 à 4 stappen (bekijk in de afbeeldingen hieronder hoe dit eruit ziet):

  1. Kies de rol van de locatie (en als Spoke; geef aan welke Hub je wilt gebruiken);
  2. Kies welke subnetten bereikbaar moeten zijn via de VPN-tunnel;
  3. Klik op ‘save’.
Voorbeeld topologie (hoofdkantoor randlocatie)
Stap 1 – Kies de rol van de locatie (en als Spoke, kies welke Hub je wilt gebruiken)
Stap 2 – Kies welke subnetten bereikbaar moeten zijn via de VPN-tunnel
Stap 3 – Stel een filter en policy in (optioneel) en klik op ‘save’
Aanmaken VPN - Voorbeeld topologie

Zodra de configuraties op twee locaties actief zijn, is de VPN actief. Zijn op de locatie twee verbindingen aangesloten op de Meraki MX dan is het mogelijk om in te stellen welke verbinding gebruikt moet worden voor de VPN-tunnel. Valt de verbinding uit dan schakelt AutoVPN gelijk over op de andere verbinding. Worden er meerdere Hubs gebruikt (bijvoorbeeld als er twee of meer datacenters worden gebruikt) en valt de verbinding met de primaire Hub weg, dan schakelt AutoVPN over naar de secundaire Hub. Een Full Mesh configuratie is ook mogelijk. In dat geval is elke locatie een Hub en kan verkeer tussen elke locatie plaatsvinden (in een Hub-Spoke configuratie kan dit ook maar dan loopt al het verkeer tussen Spokes over de Hub-locatie).

Meraki MX Firewalls wisselen informatie met elkaar uit over hoe ze bereikbaar zijn via de Meraki-cloud. Hierdoor werkt een AutoVPN ook goed indien de Meraki MX achter een andere firewall wordt geplaatst (mits minimaal een aantal poorten open zijn gezet).

Policy Based Routing (PBR)

Deze mogelijkheid biedt een alternatief voor routeringsprotocollen. Het stelt u in staat om een beleid voor verkeersstromen te configureren, waarbij u meer controle over de routering heeft dan bij een standaard een routeringsprotocol. Het voorkomt bovendien de noodzaak om verkeersclassificatie op interfaceniveau te configureren. PBR kan verkeer langs een ander pad routeren dan een routeringsprotocol zou gebruiken. Een voorbeeld is onderstaande policy (typisch van toepassing op telefonie- of gastenverkeer):

  • als de latency van de lijn boven punt ‘x’ stijgt; en
  • de packet loss percentage ‘y’ bereikt; dan
  • moet voor dit type verkeer de andere lijn worden gebruikt.

Tal van scenario’s

Bij het aanmaken van een AutoVPN kan worden gekozen om al het verkeer van een randlocatie naar de Hub(s) te sturen (full tunnel). De randlocatie breekt dan uit op het internet via de Hub. Zijn er twee of meerdere Hubs beschikbaar is een clouddienst (bijvoorbeeld Office 365) slecht bereikbaar, dan kan de MX automatisch overschakelen naar de andere hub voor dat type verkeer. Zo zijn er tal van scenario’s te bedenken waarbij het verkeer automatisch of op voorhand een andere route krijgen dan standaard geconfigureerd.

Meer weten?

Deze blog stipt slechts enkele mogelijkheden aan van AutoVPN / Meraki SD-WAN. Meer informatie en ‘best practices’ zijn beschikbaar via deze link. Lees daarnaast onze vorige Meraki-blog over ‘heatmaps’ en interessante beveiligingsmogelijkheden.

Bent u benieuwd wat ViaData voor u kan betekenen? Technisch consultant Percy Regensburg is gespecialiseerd in de toepassingen van Meraki en vertelt u er graag alles over. Laat uw gegevens hier achter en Percy neemt persoonlijk contact met u op.