My Home NW Lab

逸般の誤家庭のネットワーク

Meraki Zシリーズの特徴を管理画面ベースで捉えてみる。

Meraki

Cisco社のMerakiの各製品の中でもZシリーズの日本語情報が少なかったのでまとめてみました。

f:id:myhomenwlab:20200511010604j:plain
Meraki Z3一式 (ライセンスに関しては電子納品)とiPhone Xsのサイズ比較

目次

Meraki Zシリーズとは

Csico社のMeraki Zシリーズを語る上で、同製品の主要なシリーズとの関りが深いためそれぞれの役割を見ていきます。

  • MXシリーズ: Security & SD-WAN
    宣伝文句的な言い回しでは、包括的なセキュリティ機能にSD-WANを加えたUTM製品になります。 高度なセキュリティ機能を利用するには上位ライセンス(Advanced Security License)が必要になります。

  • MSシリーズ: Switch (L3スイッチ & L2スイッチ)
    L3スイッチとL2スイッチのシリーズです。

  • MRシリーズ: Wireless
    無線LANの機能に特化しておりルータの機能は備えていないため、無線LANルータではなく、無線AP (Wireless Access Point)である点にご注意ください。

  • Zシリーズ: Teleworker gateway
    MXシリーズの系譜に近いですが、高度なセキュリティとSD-WANの機能は備えていません。 機能面で見ると無線LANルータの位置付けになりますが、MRシリーズほどの高度な無線機能は備えていません。
    そのため、一見すると中途半端なシリーズに見えるかもしれませんが、役割面で見るとテレワーク向けに特化しているため、適切に扱えればTeleworker gatewayの名前に恥じない活用が期待できます。

Meraki Zシリーズのモデル

本記事執筆時点(2020年5月)では、Meraki Zシリーズの最新モデルはZ3とZ3Cになります。 しかし、セルラー(Cellular)対応であるZ3Cは日本国内では使用できないため、グロバール展開がある場合を除くと実質的な選択肢はZ3となります。

Z3およびZ3Cの詳細な仕様はデータシートをご確認ください。

Cisco Meraki Z シリーズ のデータシート(PDF)
https://www.cisco.com/c/dam/m/ja_jp/meraki/pdf/meraki-datasheet-z-series.pdf

テレワークにおける様々な設置環境に配慮されてるようで、縦置きのデスクトップ スタンドのオプションがあるため参考程度に写真を掲載します。

Meraki Zシリーズ向けのデスクトップ スタンド

Meraki Z3の用途

Z3はAuto VPNによる簡単なVPN展開と、無線LANによるモバイル デバイスの接続に加えて、PoE(802.3af) 給電に1ポート分対応しておりIP Phoneや無線APの接続に適しています。 物理的観点では、テレワーク環境は勿論のこと、それと同等規模感になるサテライト オフィスや貸会議室のような極小規模の拠点での利用に向いています。

また、Zシリーズは高度なセキュリティに対応していないため、その欠点はAuto VPNを活かしてHubとしたMXシリーズでAdvanced Security Licenseのセキュリティ機能を適用したいと考えられるかもしれません。 しかし、Site-to-Site VPN構成の場合は、Hubのセキュリティ機能がIDS scanningを除いてSpokeとのVPN越しの通信に適用されない制限がありますのでご注意ください。 詳細は下記のドキュメントのExit Hubsの項目を参照してください。

Security features over full-tunnel VPN In a full tunnel topology, all security and content filtering must be performed on the full tunnel client. The Exit hub will not apply Content Filtering, IPS blocking, or Malware Scanning to traffic coming in over the VPN. However, > IDS scanning will be performed for this traffic.

設定画面

Merakiの管理は、インターネット上で集中管理するためのDashboardと、機器本体に直接接続して管理するためのLocal Status Pageがあります。
Local Status Pageは機器本体の初期セットアップや簡単なトラブルシューティングに使用するため、一度セットアップをすると触れる機会は少なくなります。

Dashboardのメニューの比較

ZはMX, MRシリーズと似通っているものがあるため、参考程度にメニューの比較画像を掲載します。
なお、本記事で扱ってるモデルとしてはZ3, MX64(Advanced Security License), MR33となります。

  • ZとMXシリーズのDashboardメニューの比較

    f:id:myhomenwlab:20200510212449j:plain
    ZとMXシリーズのDashboardメニューの比較

  • ZとMRシリーズのDashboardメニューの比較

    f:id:myhomenwlab:20200510212525j:plain
    ZとMRシリーズのDashboardメニューの比較

比較と言うと優劣に視点が行きがちですが、それぞれに果たす役割に違いがあるため、製品選定時は自ずとその役割に沿った製品を選ぶ必要があります。
特にMerakiは「Work Simple.」を掲げており「シンプルに動く。シンプルに働く。」が根底にあるため、機能の多彩さに優劣をつけるのであれば、そもそもMerakiが候補に挙がること自体が適していない可能性があります。

ZシリーズのDashboardのメニュー詳細

ZのDoashboardメニューの中でも、特にMX, MRシリーズと異なる箇所をピックアップして紹介します。

Appliance status

機器本体の状況を確認するAppliance statusの画面はZとMXシリーズで似ています。
SD-WANと呼ばれるWANの負荷分散の機能に対応していないためにZ3はWAN 2がありません。
なお、MXシリーズでWAN 2がないモデルは、LAN側のポートをWAN 2に変更する機能を持っています。
また、Warm Spareと呼ばれる冗長化の機能がZ3にはありません。

f:id:myhomenwlab:20200510234345j:plain
ZとMシリーズのAppliance status

ちなみに、Z3にもWarm Spareのメニューは用意されていますが、Appliance statusの画面にリダイレクトされます。

f:id:myhomenwlab:20200511001527j:plain
Teleworker gateway > Addressing & VLANs > Warm spareのメニュー

Rogue APs

Zシリーズでは不正な無線APを検知するための無線LANセキュリティ機能であるRogue APsの画面が、MRシリーズのAir Marshalより情報量が少なくなります。

f:id:myhomenwlab:20200513010006j:plain
ZシリーズのRogue APsとMRシリーズのAirMarshal

Wireless settings

Zシリーズの無線LAN設定はMRほど無線LANには特化していないため、必要最低限の企業向け無線LAN設定といった感じです。
機能が少ないと欠点と思われがちですが、Zシリーズが想定しているテレワーク環境は企業の管理外となるため、無線LAN状況までは読み切れない部分があり、仮に高度な無線LAN設定があっても手に余ると考えられます。

f:id:myhomenwlab:20200511004043j:plain
ZシリーズのWireless settingsとMRシリーズのSSIDs

SSIDの最大数はZシリーズが4で、MRシリーズが15まで設定できます。
SSIDの設定可能数が多ければそれだけ柔軟性はありますが、多く設定するとそれだけ管理性や性能に悪影響を及ぼすので注意してください。 なお、Merakiの高密度環境の無線LAN設計に関しては下記のドキュメントに日本語で記載されています。

Access control

Zシリーズのアクセス制御設定は、MRシリーズと比較するとSplash page (別名: Captive Portal)の一部の機能しか対応していません。

f:id:myhomenwlab:20200511005807j:plain
ZシリーズとMR (1/2画面)シリーズのAccess control

f:id:myhomenwlab:20200511005916j:plain
ZシリーズとMR (2/2画面)シリーズのAccess control

Traffic shaping

ZシリーズはSD-WANに関するUplink selectionとSD-WAN policiesの機能には対応していません。

f:id:myhomenwlab:20200513005107j:plain
ZシリーズとMX (1/2画面)シリーズのTraffic shaping
f:id:myhomenwlab:20200513005131j:plain
ZシリーズとMX (2/2画面)シリーズのTraffic shaping

Local Status Pageの画面

MerakiのZシリーズのデフォルトの動作は、DHCPクライアントでIPアドレス情報を取得してインターネット上にあるコントローラへ接続しに行く挙動になっています。 しかし、環境によっては固定IPアドレスやPPPoEに加えてProxyの設定が必要になるかもしれません。 そのため、Local Status Pageより機器本体の最低限の設定変更が可能になっています。
また、テレワーク向けの大規模展開となると、一般家庭の機器設置環境にばらつきが出やすいため、特にインターネットへの接続点は十分に考慮するようにしてください。

Local Status Pageへの接続

Zシリーズの有線LANもしくは無線LANの配下に接続して、MX向けまたはAny(いずれか)向けのURLよりWebブラウザでLocal Status Pageに接続できます。 Merakiの機器が対象FQDNに紐付くIPアドレス宛への通信をインターセプトして表示しているため、Merakiの機器配下に接続している必要があります。

Local Status Pageの詳細は下記のドキュメントを参照してください。

Local Status Page > Connection

Connectionタブは各種情報の参照とSpeed Testを実行できます。接続にはログイン情報は必要ありません。

f:id:myhomenwlab:20200511203902j:plain
Local Status Page > Connection #1
f:id:myhomenwlab:20200516230424j:plain
Local Status Page > Connection #2

Local Status Page > Configure

Configureタブはインターネット上にあるコントローラへの接続性に必要な情報を設定できます。接続にはログイン情報を必要とします。

f:id:myhomenwlab:20200511204201j:plain
Local Status Page > Configure

Local Status Page > Ethernet

EthernetタブはZシリーズ機器本体の各Ethernetポートを設定できます。接続にはログイン情報を必要とします。

f:id:myhomenwlab:20200511204217j:plain
Local Status Page > Ethernet

最後に

筆者は検証のためにMerakiを買い漁りましたが、本記事をご覧になる方はビジネス的な目的があってご覧になってることでしょう。
MerakiのMXやMRシリーズを踏まえた上で、比較しながらZシリーズの特徴を見てきましたが、 比較するのは製品選定における手段であり目的では無いため、 それぞれの得手不得手を理解するためのビジネスにおける検討材料の一つとして役立てれば幸いです。