Meraki’de SDWAN yapmak makarna yapmaktan daha kolay!
Meraki’de SDWAN yapmak makarna yapmaktan daha kolay!
Daha önce SD-WAN ile ilgili üretici bağımsız olarak bir yazı yazmıştım. Merak edenler https://gblogs.cisco.com/tr/sd-wan-uzerine/ adresinden ulaşabilirler.
Bu defa ise Cisco’nun iki SD-WAN çözümünden biri olan Meraki SD-WAN hakkında bir şeyler yazmak istedim. Aslında Meraki SD-WAN Türkiye’de en fazla uç ofiste kullanılan SD-WAN çözümü. Bu yüzden belki de bu yazıyı yazmakta geç kaldım.
Ben SD-WAN üreticilerini router’cılar, firewall’cular, optimizasyon’cular ve doğuştan SD-WAN startup’lar olarak dört gruba ayırıyorum. Meraki bu gruplardan firewall’cular grubunun bir temsilcisi.
Meraki MX ürün ailesi markette bilinen adıyla bir UTM ürünü aslında. Yani L4/L7 firewall, IDS/IPS, anti-malware, content filtering gibi özellikleri bir arada bulunduran bir çözüm. SD-WAN ise Meraki MX’in Auto VPN özelliğinin üzerine inşa edilmiş durumda.
Bundan sonrasını bir senaryo ile açıklayalım….
Diyelim ki; merkez ve ODM için yedekli ve 100 adet uzak ofis için birer adet olmak üzere 104 adet MX firewall sipariş ettik. Ürünler gönderim için hazırlanıyor. Biz meraki.cisco.com üzerinden şirketimiz için bir hesap açarak ayarlamalarımıza başlayabiliriz. Sipariş numaramızı da Meraki Dashboard’ta girerek bize gönderilen tüm cihazları seri numaralarıyla birlikte envanterimize eklemiş oluruz.
İlk 2 dakika….
Öncelikle merkez ve ODM için birer network tanımlıyoruz. IP, VLAN vb ayarlarını yaptıktan sonra cihazların VPN’deki rolünü seçiyoruz. Doğal olarak bunlar Hub modunda çalışacaklar. Sonrasında da VPN’e dahil olacak subnet’lerini seçiyoruz. Ve bitti. IP adresleri elinizin altındaysa ve fare kullanmayı yeni öğrenmediyseniz iki Hub’ın tüm ayarlamaları maksimum 1-2 dk 🙂
Uç noktalar için en mantıklı yöntem
Gelelim uç noktalara. Yüz adet uç noktanın ayarlamalarını tek tek yapmamak için en mantıklı yöntem Meraki şablonlarını kullanmak. Dolayısıyla şablonda değişiklik yapınca, şablona bağlı tüm network’lerde ayarlamalar değişmiş olacak. Bir network şablonu oluşturup yine ilk olarak bu şablondaki IP, VLAN, vb. ayarlamaları yapacağız. Bu defa biraz farklı. Her uç noktanın IP bloğu birbirinden farklı olduğu için “unique” adresleme kullanacağız. Büyük bir subnet vereceğiz ve Meraki’nin rastgele bir şekilde yüz network’e IP subnet atamasını bekleyeceğiz. (Uç noktalarımızda daha önceden belli ve değişemeyecek subnet’ler varsa bunları her network için manuel olarak değiştirmek gerekecek).
Gelelim VPN’e
Daha sonra yine şablonun içinde uç noktalarımızın VPN rolünü “spoke” olarak belirliyoruz. Birincil ve ikincil hub olarak da Merkez ve ODM network’lerini seçiyoruz. Internet trafiğini merkezden ya da lokalden çıkarma durumu için default route alıp almama kararını veriyoruz. Son olarak VPN’e dahil olacak subnet’leri seçtiğimizde tanımlamalarımız sona ermiş oluyor. Yani toplam birkaç dakika içerisinde iki hub ve yüz spoke’tan oluşan VPN tanımlamalarımız bitti 🙂
Şimdi şablonumuz üzerinden uç lokasyonlarımıza uygulama ve performans tabanlı yönlendirmelerimizi tanımlayabiliriz. Öncelikle uygulamalarımız için performans kriteri belirliyoruz. Mesela SAP Hana uygulamamız 50ms gecikmeye duyarlı olsun. Ve bir de 8080 portundan çalışan proxy sunucumuz için %5 paket kaybını eşik değerimiz olarak belirleyelim.
Daha sonra diyelim ki; SAP Hana WAN-1 hattından çalışsın ve 50ms gecikme aşılırsa WAN-2’ye dönsün. Proxy ise load-balancing çalışsın ve %5 paket kaybını her iki hat sağladığı sürece ikisini birden kullansın. Eğer biri bu eşiği aşarsa hangisi sağlıyorsa oradan gitsin. Sanırım bu kısım da IP adreslerini yazmak dahil 1-2 dk civarı sürdü:)
10 dakikadan bile az bir sürede….
Şu anda; sıfırdan tüm tanımlamalarıyla 102 lokasyonlu yapımızın tüm konfigürasyonu 10 dakikadan az bir sürede bitti. Artık siparişin gelmesini bekleyebiliriz 🙂
Ürünler gelmeden uç noktalarla seri numarası eşleştirmelerini yapalım. Hem bunu Dashboard’a yükleyip bir defada 100 network’ü açalım ve hepsini şablonumuza bağlayalım, hem de bu listeyi siparişi geçtiğimiz entegratör veya distribütör firmaya gönderelim. Onlar da uç noktaların cihazlarını bize göndermek yerine doğrudan sahaya göndersinler. Harika fikir 🙂
Ve büyük gün!
Cihazlar teslim edildi. Merkez cihazlarımıza manuel olarak WAN IP’lerini verdik. DHCP kullanmıyoruz çünkü. Meraki Cloud’a eriştiler ve konfigürasyonlarını çektiler. Aynısını ODM için de yaptık ve hub’larımız hazır ve otomatik olarak aralarında VPN’lerini kurdular.
Burada bir duralım. IKE, IPSec parametreleri falan girmedik. Nasıl oldu da VPN kuruldu? Çünkü tüm MX’ler Meraki cloud’taki kurumumuza ait VPN kayıt sistemine kaydoldular. Bu sistem cihazların kimlik doğrulamasını gerçekleştirdi ve birbirlerinin bilgilerini karşılıklı iletti. Bu sayede hem güven ilişkisi hem de bilgi alışverişi sağlandı ve VPN otomatik olarak kuruldu.
Uç lokasyonlara cihazlar ulaşmaya başladı. Fiber internet, ADSL model, 4G, vb çeşitli bağlantılarımız var. Cihazlar takıldı, Meraki cloud’a erişip kendi seri numaralarıyla eşleştirilmiş network’lerin konfigürasyonlarını çektiler, VPN otomatik ayağa kalktı ve uç lokasyonlarımız çalışmaya başladı. ADSL modemin arkasında olanlar NAT’a rağmen modem ayarlarına dokunmadan VPN’lerini ayağa kaldırdılar.
Artık Meraki Dashboard’tan uç noktalarımızda VPN’lerimizin durumunu gözlemleyebilir, hat istatistiklerini görebilir, hangi uygulamanın hangi hattı tercih ettiğini anlık görebilir durumdayız 🙂
Sonuç olarak Meraki’de VPN & SDWAN yapmak makarna yapmaktan daha kolay ve daha kısa sürüyor.
Yalnız bu makarnayı sade yemek yerine biraz sos eklemek de hiç fena olmaz. Biraz analitik sosu bu makarnayı çok lezzetli kılacaktır. Sosumuzun adı Meraki Insight…
VPN üzerinden akan ya da doğrudan internete erişen web tabanlı uygulamaları izleyip, her noktada nasıl performans gösterdiklerini gözlemleyebiliriz.
Office 365, Sharepoint, SAP Cloud gibi bilinen uygulamalar veya custom uygulamalar tanımlanıp tüm sistemde bu uygulamaların skorlaması yapılabileceği gibi; lokasyon lokasyon da bu uygulamaların skorları görüntülenebilir. Daha sonra da bu skorların sebepleri incelenebilir. LAN problemi mi, WAN hattıyla ilgili bir ISP sorunu mu, sadece belli istemciler mi etkileniyor yoksa herkes mi, yoksa sunucu mu geç cevap veriyor, hangi sunucular geç cevap veriyor gibi soruların cevaplarını basitçe bulabiliriz.
Bırakalım WAN işini Meraki çözsün!
Bitti, Artık uç noktaların WAN operasyonu yerine yeteneklerimizi daha değerli işlerde kullanabiliriz. Bırakalım WAN işini Meraki çözsün. Bu senaryo tabi ki elimizdeki tek yöntem değil. Örneğin Meraki Dashboard API’lerini kullanarak eğer varsa programlama yeteneklerimizi de konuşturabiliriz.
8 olmazsa olmaz…
Önceki SD-WAN yazısında SD-WAN için sekiz olmazsa olmazdan bahsetmiştim. Bakalım Meraki bunlara ne kadar uygun;
- Tak çalıştır: Meraki’nin göbek adı diyebiliriz
- Otomatik VPN: Kesinlikle
- Otomatik Yönlendirme: Meraki’de VPN WAN için bir routing protokolü kullanılmaz, her şey otomatik ve merkezi yürür
- Uygulama ve Performans Bazlı Yönlendirme: Kesinlikle
- Segmentasyon ve Güvenlik: MX zaten bir UTM çözümü
- Kolay Yönetim ve Ölçeklenebilirlik: Önceki maddelerde göbek adını kullandık ama tekrar etsek sorun olmaz sanırım 🙂
- Analitik: Meraki Insight
- Programlanabilirlik (Software Defined): Meraki Dashboard API
Özetlemek gerekirse Meraki SD-WAN hem SD-WAN’dan beklentileri fazlasıyla karşılıyor hem de tüm kurulumu, operasyonu çok basit hale getirerek hayatınızı kolaylaştırıyor.
Tags:
