cisco meraki 产品介绍 —by 梁晓宇

目录 CONTENTS 技术原理 与其他AP对比

meraki架构 ap自动从云管理中心下载配置文件

产品特点 1、配置简单 2、高延展性 3、高可靠性 4、高安全性 管理者只需登录meraki的管理界面，即可在云端配置AP，可以在多种平台管理无线网络，目前支持的平台有： Apple iPad, iPod Touch, and iPhone (iOS 5 or higher) Android (2.2 or higher), including Amazon’s Kindle Fire Mac OS X (10.5 or higher) Windows Pro 7, 8, 8.1, 10, Vista, XP (Service Pack 3 or higher), Server 2008, R2, 2012 Windows Phone 8.1 2、高延展性 云管理平台对所接入AP的数量无限制，每新增一台AP，只需将AP连接至云管理平台，无需另外配置 3、高可靠性 客户的数据至少在三个数据中心备份 meraki的云管理平台是大规模的分布式架构，提供冗余链路 即便断开与网络的连接，meraki所管理的无线网络仍然能够连接上网 4、高安全性 用户流量不会上传到云管理中心 符合(PCI / HIPAA compliant）认证

技术原理—cloud management 云管理中心 meraki设备与云管理中心是通过ssl隧道连接，利用一个专有协议来管理AP等meraki设备 将meraki设备部署在网络的边缘是为了使得用户在上网时产生的数据流量不会经过云管理中心，从而保证用户数据安全 meraki将网络管理数据（例如配置，镜像等）和用户在上网时所产生的数据分离，仅在ssl隧道上传递网络管理数据，且传递速度不超过1kb/s，这样保证了即便在断开与meraki云管理中心的连接的情况下，只要连接到网络，用户仍然可以上网。 ssl隧道，使用802.1x/radius认证

技术原理—应用层的可视化管理 meraki根据ip地址，主机名以及端口号范围来确定应用类型 可以看到： 使用者名称 使用的应用类型 使用者的操作系统或者设备 使用者所使用的流量 meraki根据ip地址，主机名以及端口号范围来确定应用类型 对于p2p类型应用流量的分类，采用的方法是：识别到在一系列浮动的ip地址中的简短的tcp会话（ recognizes short TCP sessions across a fleeting range of IP addresses），就可以识别p2p应用 可以使用dscp或者pcp协议给不同应用的流量打标签，从而可以使用qos对用户使用不同的应用进行限制或者限速 用户所使用应用的流量分析和配置信息等将会和网络管理数据一起上传到云管理中心

技术原理—CMX（Connected Mobile Experences) cmx api 利用cmx 位置分析能够为管理者提供wifi用户的实时位置统计信息和报告

技术原理—CMX 1 通过扫描probe request和802.11数据包来检测开启wifi的设备 包含信号强度和信道信息 iphone设备，没有连接到互联网 包含信号强度和信道信息 802.11数据包，类型为probe request

技术原理—CMX 2 云管理中心收到数据后，所有ap所接收到的数据将会聚合，聚合之后所有设备的数据将会经过一系列的计算并会对其分类，用于之后的实时显示 根据wifi信号强度来判断路人和访客 根据所访问时间来区分路人和访客

技术原理—CMX 参数 定义 计算方法 使用下列参数用来分析用户 吸引率（capture rate) 即把路人转化为访客的百分比，路人（passerby)是指任意一个被扫描到的设备，而访客(visitors)则是指一个设备被扫描到的时间超过了一个特定的时间，并且该设备信号很强 路人—任何一个至少出现一次的设备 访客—在20分钟的滑动时间窗口中出现了至少五分钟以上 参与度 Engagement 访客在网络覆盖范围内上网的时间之和 找到客户刚开始出现的时间戳（timestamps) 计算某人在网络覆盖范围内使用的时间 忠诚度 （loyalty) 新访客的百分比vs重复访问率 一个附加的数据库准许访客去检测在给定的时间内重复访问的次数。例如一周内访问次数超过某个特定的值，则被视为常访客

技术原理—CMX 3 cmx api将从meraki的云管理中心传递所收集到的数据，传递给指定的服务器 cmx api

技术原理—CMX 4 cmx 位置分析的隐私保护：由于收集到的原始数据包含有客户的mac地址，为了不泄露客户隐私，一旦通过cmx api下载这些数据，云管理中心对用户的mac地址做一次哈希运算，使得用户mac地址不能被识别出

技术原理—Air Marshal air marshal是一个WIPS（Wireless Intrusion Prevention System)平台，用来保障meraki无线接入的安全 1、监视和警告功能 air marshal会在2.4Ghz和5Ghz信道上扫描附近的未授权访问点，并形成一个列表，这个列表也将会发给网络管理员。marshal会给特定的客户打上标签，通过监视客户的源mac地址来跟踪它们的流量，如果发现客户的数据帧并不是来自内部的网络，那么就会给网络的管理者发送警告邮件

技术原理—Air Marshal 2 预防机制：air marshal ap具备识别非授权ap的功能，这样可以使 得网络管理者在客户连接上这些非授权ap前，采用物理措施移除这些非授权ap。具体实现如下： 产生大量这三种类型的数据包，用来冒充非授权ap,从而迫使已经连接上非授权ap的客户断开与其连接

目录 CONTENTS 技术原理 与其他AP对比

与普通AP/AC区别 meraki 控制器位置 云端 实体位置 断开与控制器连接是否可以使用 是 否 管理、部署方法 meraki设备插上电源，联网，即可在web端通过云端控制器管理、部署 需要实地部署，通过中央控制器管理网络 是否具有第七层应用可视化管理功能 一般没有 是否有用户数量限制

谢谢观看！我对meraki技术的理解仍然很浅薄，希望多多指正