Link Aggregation einrichten

Link Aggregation ist eine Technik, bei der Mehrere Interfaces zu einem Zusammengefasst werden.
Sie wird eingesetzt um den Datentransfer zwischen zwei Geräten zu erhöhen und für Redundanz zu sorgen.

!ACHTUNG, Terminologie-Fu! 
Hersteller von Netzwerkhardware nutzen nicht immer die Selbe Terminologie!
Zum Beispiel nennt HP das zusammenfassen von interfaces "Trunking" und zusammengefasste Interfaces einen "Trunk".
"Trunking" ist ein Begriff der von Cisco und Juniper im V-Lan (802.1q) Kontext genutzt wird um Interfaces zu beschreiben, über welche V-Lan Tagged Traffic ausgetauscht wird.
Ein solches Interface wird als "Trunk Port" bezeichnet, bei HP nennt es sich "Tagged Interface".
Wenn Ihr Netzwerkhardware mehrerer Hersteller in eurem Netzwerk habt und V-Lan tagged traffic über aggregated interfaces schickt müsst ihr auf eure Sprache achten!
(Vor allem, wenn mehrere Parteien involviert sind!)

Das geläufige Protokoll für diese Technik ist das Link aggregation control protocoll (LACP).

Einrichtung

In diesem Beispiel werde ich die Interfaces 13, 14 und 15 an einem Meraki MS225 - 24 Port Switch zu einem AE (Aggregated Interface) zusammenfassen und die V-Lan Config des AE anpassen.

Um die AE zu konfigurieren, wählt Switch > Monitor > Switch ports aus.

Hier wählt Ihr dann die Ports aus, die Ihr zu einer Portgruppe zusammenfassen wollt und klickt in der Kopfzeile auf Aggregate.

Diese AE wird in der Switchports Übersicht jetzt auch als ein Interface gelistet und kann wie eines konfiguriert werden.
Beispielsweise als Access Port für ein bestimmtes V-Lan.

 

Cheers,
Ori


Basic Setup

In this article I want to show you how to configure a basic meraki setup.

Devices

I am going to use the following devices:

  • Firewall - MX65
  • Switch - MS120-8PL
  • AccessPoint - MR33

Registering the devices

At first you will have to log in to your Meraki Account.
After the first login to your account you will be facing a pop-up that is asking you to register your devices.

Select to Register Meraki devices and then click on Next.
Since on a new account there are no networks that you can add these devices to, you will now be presented the Create Network wizard.
Give the Network a name and go to Add devices to claim devices for this network.

There will be another pop-up, asking you to enter the serial numbers of the devices you wish to add.

You will find these, as shown in the dialoge, on the devices or on the boxes they arrive in.

After you have claimed them, you can review the added devices before creating the network.

Cabeling

You could configure the devices before performing the cabeling, but in this case I am not going to.
In a real world scenario this is a big advantage as you can already configure the devices before the hardware arrives at the customer.

At first we connect the uplink with the subtly labeled interface named "Internet".

Then we connect the firewall to the switch.
I like to use eth1 on both devices for that.

Then we connect the Access Point with one of the POE Interfaces.
(In this case they are all POE Interfaces)

The status LED is showing you the current state of the device.

When the devices are starting they are connecting to the meraki servers.
If they find a configuration on the servers that is more recent then the one that they are currently holding, they apply it.

After a while the devices should be online and be visible in the meraki portal.

 

Renaming devices

When you log in to the Meraki portal you should now see the left hand side navigation bar.
Your organisation and network are already selected.

Go to Network-wide > Topology.

If your devices successfully connected to the Meraki Cloud they should appear as green.
If not, the devices either have no route to the internet, did not complete booting yet or you have some other issue like a license problem or a hardware defect.

You will see that the devices are still named after thier MAC addresses.
We should change that.

Go to the device that you want to rename, perform a mouseover and click on the devices name.

Here you can click on the pen symbol, change the name and add the correct address.

Especially  when you are using dozens of sites with hundreds of devices it really pays out if you use this feature.
Also you should upload Floor Plans at Wireless > MonitorMap & floor plans and place the Access Points on them.
This really eases troubleshooting when you are trying to figure out why a specific client is roaming like crazy or why a certain corner seems to have bad wifi.

The Topology View should now look like this.

Configuring the Access-Point

Next up we will take a look at what SSIDs the Access Point will send out.
To do this we change to Wireless > Configure > SSIDs.

You will find that there already is an active SSID on your Access Point.
We will rename it and save the configuration.

This SSID is currently "Open" and we should give it a password.
To do this go to Access control > edit settings right under the name.

Most of these settings you do not have to touch on a first setup.
I might go into them in other articles.

When editing the settings go to Network access select Pre-shared Key with WPA-2 and choose a password for your wifi.

In the Addressing and Traffic section I would suggest to use Bridged mode.
This way all clients will be in the same Natwork. .
If you are using the default NAT mode verwendet, all clients connecting to the Access Point will be put to into a separate network.
In this separate network the devices are isolated from one another as well as the internal network and can only use the Internet.

This is perfect for a guest wifi and a good default for an unconfigured SSID.
(Even though I think it is unprofessional that the devices have an open SSID as their default setting...)

Do not forget to save your configuration changes!
This still is not enough for the clients connected to the wifi can communicated with clients in the LAN.

This first SSID has, in addition to the default of isolating the clients via NAT, another surprise for you.
Go to Wireless > Configuration > Firewall & traffic shaping

Hooray! A layer 3 firewall rule that denies traffic of wireless clients accessing the LAN.
Also this rule CAN NOT be deleted. You can change it from Deny to Allow however.


Why did I not just ask you to close this SSID and use one of the 14 others, that do not have those presets?
Because it is important to know about them!

 

Setting the timezone

The last thing we need to do is set the timezone.
Go to Network-wide > Configure > General

I choose Berlin.

This is important so the automatic firmware updates get applied to the devices on the time you would expect them to.
You can configure that at Network-wide > General > Firmware upgrades.


This should be enough for a basic Meraki setup.

Cheers,
Ori


Grundsetup

In diesem Artikel soll es darum gehen, wie man ein Meraki Grundsetup einrichtet.

Geräte

In diesem Setup verwende ich folgende Geräte:

  • Firewall - MX65
  • Switch - MS120-8PL
  • AccessPoint - MR33

Geräte registrieren

Als erstes registriert Ihr einen Account bei Meraki und meldet euch an.
Nach dem ersten Login gibt es direkt ein Popup welches euch fragt, ob Ihr nicht Lust habt ein Paar Geräte zu Registrieren.

Wählt "Register Meraki devices" und dann Next.
Da mit diesem Account noch kein Netzwerk angelegt wurde, werden wir zunächst zu dem "Create Network" Dialog geführt.
Gebt dem netzt einen Namen und klickt auf "Add devices" um Geräte mit diesem Netz zu assoziieren.

Es erscheint ein Pop-up, in dem Ihr die Seriennummern der Geräte eintragen müsst.

Diese befinden sich sowohl auf den Kartons als auch auf der Rückseite oder Unterseite des jeweiligen Gerätes.

Anschließend werden euch die Geräte nochmals gelistet und Ihr könnt mit "Create Network" die Einrichtung des Netzwerks bestätigen.

Verkabelung

Ihr könnt die Geräte jetzt schon konfigurieren und Sie erst hinterher verkabeln, mache ich in diesem Artikel aber nicht.

Das hat in der Praxis den großen Vorteil, dass Ihr mit der Konfiguration nicht erst warten müsst, bis die Ware (beim Kunden) vor Ort ist, sondern könnt die Geräte schon mal vorkonfigurieren.

Als erstes verbinden wir den Uplink mit dem subtil mit "Internet" beschrifteten Port der Firewall.

Anschließend verbinden wir die Firewall mit dem Switch.
Ich nehme hierfür gerne eth1 an beiden Geräten.

Den Access Point verbinden wir mit einem der POE Interfaces.
(In diesem Fall sind es alles POE Interfaces)

Anhand der Status LEDs könnt Ihr erkennen, in welchem Status sich die Geräte befinden.

Wenn die Geräte hochfahren, verbinden Sie sich mit den Meraki Servern.
Wenn eine aktuellere Konfiguration als die aktuelle gefunden wird, wird sie eingespielt.

Nach einer Weile sollten die Geräte Online sein und können dann im Meraki Portal auch erkannt werden.

 

Geräte umbenennen

Wenn Ihr euch am Mearki Portal anmeldet solltet Ihr jetzt linker Hand sehen, dass eure Organisation und euer Netzwerk bereits ausgewählt sind.
Geht nun zu Network-wide > Topology.

Wenn eure Geräte sich erfolgreich mit der Meraki Cloud verbunden haben, sollten Sie in Grün hier angezeigt werden.
Falls nicht, haben die Geräte entweder keine Route ins Internet, sind noch nicht hochgefahren oder Ihr habt irgend ein anderes Problem (Lizenz, Hardwaredefekt, Upgrade usw.)

Euch wird auffallen, dass die Label der Geräte aktuell noch die Jeweilige MAC Adresse des Gerätes sind.
Das sollten wir anpassen.
Macht bei dem Gerät welches ihr umbenennen wollt einen Mouseover und klickt auf den Gerätenamen.

Hier könnt Ihr das Gerät über das Stiftsymbol neben dem Namen umbenennen und ggf. noch die Adresse eintragen.

Grade wenn Ihr mehrere Sites mit dutzenden oder hunderten von Geräten habt, ist es von sehr von Vorteil diese Daten sauber zu pflegen.
Auch solltet Ihr unter Wireless > MonitorMap & floor plans Grundrisse hochladen und die Access Points dort eintragen.
Das macht es leichter später zu erkennen, warum ein Client wie irre am Roamen ist oder wieso eine bestimmte Ecke schlecht ausgeleuchtet ist.

Die Topology View sieht jetzt etwa so aus.

Access-Point konfigurieren

Als Nächstes konfigurieren wir, welche SSIDs der Access Point ausstrahlt.
Hierzu gehen wir zu dem Reiter Wireless > Configure > SSIDs.

Hier wird euch auffallen, dass es schon defaultmäßig eine aktive SSID gibt.
Diese benennen wir um und speichern die Konfiguration.

Dieser Access Point ist Open und wir sollten Ihn mit einem Passwort versehen.
Geht dazu direkt unter dem Namen bei Access control auf edit settings.

Die meisten Einstellungen müsst Ihr bei diesem Grundsetup nicht beachten.
Ich werde Sie vielleicht in anderen Artikeln mal erwähnen.

Unter Network access könnt Ihr Pre-shared Key with WPA-2 wählen und ein Passwort für euer Wifi vergeben.

Bei Addressing and Traffic empfehle ich den Bridged mode zu verwenden.
Somit befinden sich alle Geräte in einem Netz.
Falls ihr den Default (NAT mode)verwendet, werden alle Clients die sich mit dem Access Point verbinden in ein separates Netzwerk gepackt.
In diesem Netz sind die Geräte vom Rest des Netzes und jeweils untereinander isoliert und können lediglich das Internet verwenden.

Das empfiehlt sich eher für ein Guest W-Lan, ist aber ein guter Default für eine bisher unkonfigurierte SSID.
(Wenn es auch bedenklich ist, dass die Geräte im Default eine offene SSID ausstrahlen...)

Vergesst nicht eure Konfiguration auch zu speichern!
Das reicht allerdings immer noch nicht aus, damit Clients aus dem Wifi und Clients aus dem LAN miteinander sprechen können.

Die erste SSID hat zusätzlich zu dem Default die Clients zu Isolieren noch unter Wireless > Configuration > Firewall & traffic shaping eine Überraschung für euch...
Eine nicht löschbare Layer 3 Firewall Regel die den Traffic von Wireless Clients unterbindet, die versuchen mit Geräten im LAN zu sprechen.

Ihr könnt die Regel allerdings von Deny auf Allow stellen.

Warum habe ich die SSID dann nicht einfach geschlossen und eine der 14 anderen konfiguriert?
Weil es wichtig ist, dass man das diese Besonderheiten kennt.

 

Zeitzone einstellen

Als letztes solltet Ihr noch die Zeitzone konfigurieren.
Geht zu Network-wide > Configure > General

In meinem Fall wähle ich natürlich Berlin.

Das ist auch wichtig, damit das automatische Handeling von Firmewareupdates unter Network-wide > General > Firmware upgrades tatsächlich nach euren Wünschen abläuft.


Das sollte als Grundsetup erstmal reichen.

Cheers,
Ori


Meraki Switch Stacks

This link shows nicely how you can setup a Meraki Switch Stack.

Cheers,
Ori


Meraki Switch Stacks

Hier ein Link zu einem sehr geilen Beitrag, wie man Meraki Switch Stacks bauen kann.

Cheers,
Ori


Seperate the Guest WIFI from the internal network

The idea is a very basic task in every company.
You have two wifi's, one for employees and one for guests.

The guest wifi is not supposed to access internal resources.

Setup

At first you go to Wireless > SSID.

Here you select your guest wifi (or add one) and select edit Settings.

Alternativley, if you already configured a guest wifi, you can go to Wireless > Access Control.

Here you select the correct SSID, decide if users should be redirected to a Splash Page when connecting to this wifi and then select NAT mode.
This setting isolates the client in a separate network and blocks communication between each of the connected devices.

After that you save the canges BEFORE clicking on SSID firewall settings.

The correct ID should already be selected.
Change the already existing firewall rule commented "Wireless clients accessing LAN" to Deny.

Now Clients connected to that wifi should not be able to reach resources from the LAN anymore.

Cheers,
Ori


Gäste WIFI vom internen Netz Trennen

Das setup ist sehr klassisch und wird in den meisten Firmen so eingesetzt.
Es gibt zwei W-Lan Netze, eines für Mitarbeiter eines für Gäste.

Das Gästenetz soll keinen Zugang zu internen Firmenresourcen haben.

Umsetzung

Als erstes geht ihr zu Wireless > SSID.

Hier wählt Ihr euer Gäste Wifi aus (oder legt ein neues an) und geht dann auf Edit Settings.

Alternativ könnt ihr auch direkt, wenn ihr schon ein Gäste Wifi eingerichtet habt auf Wireless > Access Control gehen.

Hier wählt ihr zuerst die passende SSID aus, entscheidet ggf. noch ob die User eine Splash Page angezeigt bekommen und wählt dann NAT mode.
Dieser sorgt dafür, dass die Clients nicht untereinander kommunizieren können und steckt sie in ein separates Netz.
Anschließend speichert Ihr die Änderungen BEVOR Ihr auf die SSID firewall settings wechselt.

Hier wählt Ihr wieder die passende ID aus und ändert die bereits bestehende Firewallregel mit dem Kommentar "Wireless clients accessing LAN" auf Deny.

Jetzt können die Clients Ressourcen aus dem LAN nicht mehr erreichen.

Cheers,
Ori


Monitoring

In this article I describe Monitoring using the Mearki Portal.
It is possible to monitor the devices using SNMP, this is not what this article is about.

Configuration

Setting up monitoring in meraki is super easy.

Go to Network-wide > Alerts in the Meraki Portal.

Here you can enter the email address where you want to be notified at "Default recipients".
Below you can define what events should be reported to you.

Setting downtimes is not possible since you will be only notified once when the state changes.
This can lead to a lot of mails in case of a flapping link or loops...

Cheers,
Ori


Monitoring

In diesem Artikel geht es um einfaches Monitoring über das Meraki Portal.
Es gibt noch zusätzlich die Möglichkeit die Geräte über SNMP zu überwachen, darum soll es in diesem Artikel nicht gehen.

Konfiguration

Die Einrichtung des Monitorings einer Mearki Umgebung ist so einfach wie nur irgend denkbar.

Man geht im Portal auf Network-wide > Alerts

Hier trägt man bei "Default recipients" ein, an welche Mail Adresse reported werden soll und wählt darunter, über welche Events man benachrichtigt werden möchte.

Das setzen von Downtimes ist nicht möglich, da nur einmalig beim Statewechsel reported wird.
Das kann bei Linkflapping oder loops zu vielen Mails führen...

Cheers,
Ori


Setup VPN Client - Linux

A Meraki VPN needs to be running on the other end.

 

Setting up the VPN

Ubuntu does not provide the luxury to connect to an IPsec tunnel with PSK via GUI out of the box.

After some research I found this resource to work with:
https://gist.github.com/psanford/42c550a1a6ad3cb70b13e4aaa94ddb1c

Open a terminal, update your packets and install strongswan and xl2tpd
sudo apt-get update && sudo apt-get install -y strongswan xl2tpd

- Strongswan is  a client for IPSec VPN
- Xl2tpd is a Deamon to route layer 2 traffic over that tunnel

Based on the Gist this graphic descibes where you have to put the Infos from the Meraki Portal.

 

This is the script MerakiVPN.sh I use to connect to the VPN, you can also hardcode the Network information if you want to.

Cheers,
Ori