在 Meraki MR 中配置 L3 防火墙时要小心。

作为思科产品组合之一的云管理网络设备”Meraki”近年来备受关注! 它很容易设置,可以管理,在远程工作环境中,在管理方面非常方便,成为流行的产品。
此外,Meraki 在部署过程中非常快速,只需将 Meraki 连接到与 Internet 通信的端口即可。 这是我最喜欢的产品之一!

因此,我将介绍MR系列”防火墙功能的默认设置”,我在各种环境中多次遇到。

关于 Meraki MR 系列防火墙

关于功能

Meraki MR 系列是接入点,但已实现防火墙功能。 防火墙是第 3 层和第 7 层的访问列表 (ACL),而不是 UTM 等功能。 (* 在 NAT 模式下,可以过滤成人内容。 )

第 3 层 ACL 允许指定传输协议(UDP、TCP、ICMP)、目标 IP 地址(段)和目标端口号,并允许/阻止无线客户端流量通过 MR 上行链路。
注意 Cisco 设备基本上在最后一行设置 ALL Deny,而 Meraki MR 在最后一行设置 ALL Allow。

第 7 层 ACL 是一个规范,用于从 Meraki 预先准备的类别列表中指定任何应用程序并设置 Deny。 该应用程序可以包含许多应用程序,如 Youtube、Netflix、Gmail 和 Box。 或者,您可以指定端口号、HTTP 主机名和 IP 地址范围。

常见事件

Meraki 在使用 Dashboard 之前将配置(如 SSID 设置和无线电波设置)存储在云中,只需将 Meraki 设备连接到可连接到互联网的端口,即可看到预设的 SSID。 因此,在测试环境中,由于仅预先设置无线电部分,因此会发meraki acl local deny生以下事件:

连接到 Meraki MR 的无线客户端与 Internet 具有通信能力,但无法与其他本地设备通信。 发生这种情况时,故障排除需要时间,例如 Ping 测试环境中的服务器失败或与默认网关的通信失败。 我的一些客户花了一天时间才解决这个问题。

原因

正如我在开头所讨论的,原因可能是 MR 防火墙设置。 最后一行有 ALL Allow,但默认情况下,前面有”目标:本地 LAN 流量拒绝”。 请注意,默认情况下,”Deny”已设置!!

它基本meraki default acl deny local上是一个无线设备,因此它位于防火墙页面上,在测试阶段通常看不到。 事实上,这里有一个”陷阱”,导致。 由于此”本地 LAN”指向专用地址(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),因此与本地设备的通信失败,并且 Internet 可以进行通信。

在引入生产环境之前,通常会在参数表等中详细查看,但测试环境很容易错过。 原来,我想默认为”允许”。