Meerwegs-router met klikgemak: Cisco Meraki MX68CW

Cisco richt zich met zijn Meraki MX68CW-router voornamelijk op zakelijke klanten die locaties via VPN willen verbinden, maar geen zin hebben in configuratiegedoe.

De Cisco Meraki MX68CW zit in een fraaie behuizing van geborsteld aluminium. De hardware-uitrusting ervan richt zich met name op de zakelijke klanten: hij heeft twee ethernet-WAN-poorten en zelfs tien LAN-poorten.

Twee van die LAN-poorten kunnen een aangesloten accesspoint of IP-camera van stroom voorzien (IEEE 802.3at, 30 watt). Bovendien werkt de router conform de IEEE-wifinormen 802.11ac/11n simultaan op de 2,4- en 5GHzband met twee MIMO-streams.

Op de 5GHzband gebruikt hij alleen de kanalen 36 tot en met 48 en laat hij de rest tot kanaal 140 braak liggen.

De MX68CW gebruikt de twee WAN-poorten zoals gebruikelijk voor de fallback (de tweede aansluiting werkt alleen als de hoofdaansluiting wegvalt of voor de lastenverdeling load-balancing). Voor het aansluiten van de router kun je DHCP of vaste WAN-IP-adressen gebruiken – PPPoE ontbreekt.

Je kunt er altijd nog een modem of een router met PPPoE voorzetten, maar dan moet je voor bijvoorbeeld het gebruik van servers extra portforwardings instellen op dat apparaat. Bij load-balancing verdeelt de router de uitgaande IP-sessies afwisselend tussen de beide aansluitingen. Als een van de twee sneller is, dan krijgt die in verhouding meer sessies toebedeeld.

Het is niet mogelijk afzonderlijke sessies over beide aansluitingen te versturen om de capaciteiten van de twee aansluitingen te bundelen. Als een aansluiting uitvalt, dan breken de desbetreffende sessies wel af, maar de router leidt nieuwe sessies dan zoals verwacht automatisch door via de resterende verbinding.

Voor de verbindingstest wordt een ping-commando naar een internet-host gebruikt. Daar wordt het uitvallen van een aansluiting betrouwbaar mee herkend. Bij het testen werkte het opbouwen van de verbinding meteen weer zodra de fysieke verbinding weer intact was.

De beschikbaarheid van internet is nog te verhogen met een 4G-modem. De ingebouwde modem komt niet verder dan 300 Mbit/s, terwijl het mobiele netwerk op veel plekken al sneller is. Je kunt echter ook een 4G-usb-stick op de MX68CW aansluiten.

De clou van de MX68CW is de van Meraki bekende configuratie via de cloud. Systeembeheerders hoeven daardoor niet langs alle filialen te rijden. Iemand hoeft op de betreffende remote plek alleen de router maar in te schakelen en met de internetaansluiting te verbinden.

De MX68CW meldt zich dan automatisch bij de Meraki-cloud en weet dan aan de hand van zijn serie nummer bij wie hij hoort. Dat serienummer is bij de aankoop aan een klant en daarmee aan zijn cloudaccount toegekend.

De rest is dan compleet via de webinterface te configureren. Dat werkte tijdens het testen ook via Network Address Translations van een voorgeschakelde router.

Je kunt bijvoorbeeld tijdelijk VPN inschakelen op basis van de IPsec-specificatie voor een verbinding met een filiaal of een client, een transferlimiet instellen voor een gebruiker (bijvoorbeeld 5 Mbit/s met speed-bursts voor het browsen) en ook port-forwardings in- en weer uitschakelen.

Belangrijk voor het gebruik van servers: de router gebruikt automatisch een eigen DynDNS-dienst en kan bepaald dataverkeer naar een van de beide WAN-poorten dwingen. Zo kan ongewenst binnenkomend verkeer naar bijvoorbeeld een mailserver, via het bij het DNS bekende openbare IP-adres beantwoord worden.

Met traffic-shapingregels kan de router VoIP- en Skype-verkeer voorrang geven boven downloads. Andere regels zijn makkelijk toe te voegen. Je kunt geen reguliere domeinnaam aan de router toekennen. Ook ontbreken een uitgebreid DNS-beheer en de securitytechniek DNSSEC.

Het is een nadeel dat de cloud onder Amerikaanse vlag vaart, zodat Cisco de data van de klanten op aanvraag van de NSA en dergelijke diensten moet geven. Ook is die cloud, waarmee een heleboel wereldwijd verkochte Meraki-apparaten beheerd worden, voor aanvallers een interessant doelwit.

Via syslog en packet-traces is bijvoorbeeld het complete verkeer van de verbonden clients door te lichten. Dat is mooi voor systeembeheerders die zeker moeten weten dat clients niets kwaads in de zin hebben, maar slecht voor het bedrijf als de cloudtoegang in handen valt van kwaadwillenden.

Voor bedrijven met hoge security-eisen zouden multi-WAN-routers zonder cloudconfiguratie dan beter geschikt kunnen zijn. Tijdens het testen reageerde de webinterface met een merkbare, maar nog acceptabele vertraging. De foutmeldingen over aansluitingsproblemen zouden uitvoeriger kunnen zijn – zo meldde de router op een gegeven moment ‘failed’ voor WAN2, maar daar waren toch ping- en traceroutepakketten over te versturen.

Het moderne IPv6 ontbreekt in zijn geheel. Bedrijven met meerdere vestigingen en weinig systeembeheercapaciteiten zouden voornamelijk door het gebruiksgemak geïnteresseerd kunnen zijn in de Meraki MX68CW. Maar dan moeten ze het verplichte gebruik via de cloud wel op de koop toe willen nemen.

(Dušan Živadinović , Noud van Kruysbergen)