Ciscos SASE-Lösung (Secure Access Service Edge) Umbrella stellt über ein globales Netzwerk Cloud-basierte Sicherheitsfunktionen bereit. Umbrella lässt sich mit den hauseigenen Meraki- und Viptela-SD-WAN-Systemen (Software-Defined WAN) kombinieren sowie mit WAN-Gateways anderer Hersteller nutzen. LANline hat Umbrella im Zusammenspiel mit Meraki MX getestet.
Der Markt für Cloud-basierte Security-Produkte weist ein starkes Wachstum auf, von dem auch der Netzwerkriese Cisco Systems profitieren möchte. Mit Umbrella bietet der Hersteller eine SASE-Lösung an, die das weltweite Cisco-Netzwerk mit mehr als 35 eigenen Rechenzentren nutzt. Hinzu kommen Partnerschaften mit über 1.000 ISPs, CDN-Anbietern (Content Delivery Network) und SaaS-Plattformbetreibern (Software as a Service), um die Umbrella-Sicherheitsfunktionen überall auf der Welt mit hoher Performance und geringer Latenz bereitzustellen.
Im Cisco-Portfolio finden sich mit Meraki und Viptela gleich zwei SD-WAN-Lösungen, die sich mit Umbrella integrieren lassen. Eine Anbindung von WAN-Gateways anderer Hersteller ist per IPSec-VPN möglich. Die Meraki-MX-Systeme eignen sich in der Regel für einen Großteil der Unternehmen. Mit Secure X bietet Cisco zudem ein kostenfreies übergreifendes Framework an, mit dem sich die Sicherheitslösungen des Herstellers über verschiedene APIs in ein zentrales Management-Dashboard integrieren lassen.
Einfache Inbetriebnahme des SD-WANs
Für den LANline-Test stellte Cisco zwei SD-WAN-Geräte vom Typ Meraki MX68CW bereit. Dieses Modell verfügt über zwei GbE-RJ45-WAN-Ports, einen integrierten 802.11ac-WLAN-Router und ein LTE-Modem für Mobilfunk-Failover. Für die LAN-Anbindung stehen zehn GbE-RJ45-Ports zur Verfügung, von denen zwei PoE+ unterstützen. Auf den LAN-Ports kann der Administrator VLANs einrichten und DHCP aktivieren. Vor dem Einschalten der Geräte gibt der Administrator im Kundenkonto der Meraki-Cloud seine Hardware-Bestellnummer ein. Die Geräteinformationen sind bereits in der Cloud hinterlegt und werden dadurch automatisch zur Management-Konsole des jeweiligen Accounts hinzugefügt. Die Verwaltung der Systeme erfolgt ebenfalls über die Meraki-Cloud. Die Grundkonfiguration der SD-WAN-Boxen lässt sich vorab im Cloud-Dashboard durchführen.
Wir legten für jedes MX-System ein eigenes IP-Netz an, um zwei Standorte abzubilden. Damit die beiden Meraki-Geräte auf das Internet zugreifen konnten, verbanden wir jeweils einen WAN-Port mit einem LAN-Port des Linksys-Gateways unseres Testnetzes. Dieses wiederum war über seinen WAN-Port mit einem externen DSL-Modem verbunden, das die Internetverbindung bereitstellte. Nach den Vorarbeiten schalteten wir die zwei Meraki-Systeme ein. Zunächst war etwas Geduld erforderlich: Es dauerte rund 20 Minuten, bis die Geräte sich mit der aus der Cloud heruntergeladenen Systemsoftware aktualisiert hatten. Sobald das Update abgeschlossen war, konnten wir über das Meraki-Dashboard auf beide MX-Geräte zugreifen. Sie hatten die von uns vorab im Portal konfigurierten IP-Settings automatisch übernommen. Um die WLAN-Funktionen zu testen, erstellten wir auf einer MX-Box eine neue SSID und den zugehörigen WPA2-Schlüssel. Anschließend konnten wir uns mit einem Testnotebook über den Meraki-Access-Point per WLAN mit dem lokalen Testnetz verbinden.
Meraki und Umbrella verheiraten
Cisco hat die Meraki-SD-WAN-Systeme mit der Cloud-basierten Sicherheitsplattform Umbrella integriert, um eine übergreifende SASE-Lösung anzubieten. Einige der Sicherheitsfunktionen wie Firewall-Regelwerke, Intrusion Detection und Prevention oder Malware-Erkennung lassen sich direkt auf den MX-Geräten wie auch in der Umbrella-Cloud konfigurieren. Die MX-Geräte unterstützen Quality-of-Service-Funktionen wie Bandbreitenlimitierungen oder Priorisierungen des Datenverkehrs. Der Administrator kann für bestimmte Ziele wie Office 365 Internet-Breakouts definieren, damit dieser Datenverkehr nicht über die Umbrella-Cloud läuft, sondern direkt zum jeweiligen Cloud-Service-Provider übertragen wird.
Die Verbindung der Meraki-Systeme mit der Umbrella-Cloud erfolgt mittels einer Cloud-On-Ramp-Funktion, die die meisten Schritte automatisiert ausführt. Wir wählten Frankfurt als primäre Site und Paris als Failover-Standort. Nun führte
der On-Ramp-Mechanismus automatisch zahlreiche Konfigurationsschritte durch. Unter anderem wurde in der Umbrella-Cloud in Frankfurt und in Paris jeweils eine virtuelle Meraki-Appliance installiert und diese mit den zwei Standorten des LANline-Testnetzes verbunden. Ciscos Auto-VPN-Funktion richtet für alle verfügbaren WAN-Uplinks automatisch VPN-Tunnel ein. Dies vereinfacht das Setup von Meraki-Umbrella-Umgebungen deutlich.