cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
8248
Visitas
30
ÚTIL
20
Respuestas

Ask Me Anyting- Conozca todo de Cisco Meraki

Cisco Moderador
Community Manager
Community Manager
ama-meraki-feb2020_900x150.png

ATE-Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas que siempre ha tenido de Cisco Meraki, desde su arquitectura, portafolio, integración, implementación y configuración hasta las mejores prácticas para integrarle adecuadamente a su negocio. 

En esta sesión podrá resolver todo tipo de dudas relacionadas a Meraki, desde cómo gestionar el dashboard y su arquitectura, hasta cómo se maneja su soporte y esquemas de licenciamiento. Además, la sesión le permitirá clarificar dudas de cómo se relaciona e integra Meraki a las distintas tecnologías de Cisco, desde wireless y networking hasta seguridad, SD-WAN y programabilidad.

Haga sus preguntas del lunes 24 de Febrero al 13 de Marzo del 2020.

Detalles del Experto
maumarti.jpgMauricio Martinez colabora en Cisco como Ingeniero Consultor enfocado en el sector público, educación y salud de México, cuenta con más de 14 años de experiencia en el campo de la tecnología informática. Comenzó su carrera con Cisco Systems en el 2005 y se unió a la unidad de negocios Meraki a principios del 2013. Mauricio ha sido un líder en incrementar la presencia de la tecnología de Cisco Meraki en Latinoamérica. Es egresado de la licenciatura de Ingeniería en Electrónica y Comunicaciones del Instituto Tecnológico de Monterrey. Mauricio tiene especialidades en tecnología como CCIE Enterprise #17838, Wireless (CWNA), Seguridad (CISSP) & CCNP Data Center.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

20 RESPUESTAS 20

Hola, estoy buscando hacer una VPN de un Meraki MX con IP stática a un dispositivo con una IP dinámica. Hay algún tipo de guía? Gracias

Entre dispositivos Meraki, incluso hacer VPN's IPSEC sitio a sitio es perfectamente posible entre dos sitios con IP's dinámicas. AutoVPN se encarga de hacer a los MX "converger" y establecer la VPN. Es el mecanismo orquestador, por ponerlo de una forma.

 

Por otro lado, lo generalmente recomendado en una implementación común de VPN's sitio a sitio, es que en el concentrador de VPN, ubicado generalmente en donde están los servidores o centro de datos, se le asigna una ip estática. Incluso ip estática privada, si el concentrador está detrás de un firewall, haciendo un NAT1:1 versus una homologada. Y todos los sitios remoto tendrían una ip dinámica, para no incurrir en costos extras.

 

Si es un meraki MX versus un dispositivo NO-meraki, pudieras usar un FQDN para que se resuelva la IP dinámica a la que se estaría apuntando.

LOS EQUIPOS MERAKI MX SOPORTAN BGP ?

Sí, los meraki MX soportan BGP. Lo usan para lograr un failover entre concentradores VPN en centros de datos, para los sitios remotos. Y también se usa BGP para poder darle a conocer al resto de la red las rutas de los sitios remotos que corren AutoVPN. Lo primero que se había soportado para ese propósito fue OSPF.

Veo que solo soporta para las VPN,s S-T-S y Concentrador.

Para conectar directo a un Router CISCO es posible?

El MX soporta VPN site to site y Client VPN. Para VPN site to site, son dos formas de despliegue en el sitio central:

1.- Modo concentrador, donde está dentro del Data center como si fuera una servidor más, protegido por un firewall.

2.- Modo ruteado, o modo firewall que también termina las VPN's de sitio a sitio. Cuando uno quiere que también funja como firewall.

 

Al MX, teniendo interfases ethernet, le puedes conectar cualquier cosa que tenga ese tipo de interfases, incluyendo ruteadores Cisco. O si hablabas de una conexión lógica, sí, los MX's pueden hacer VPN's estándar IPSEC con otras cajas, como ISR's.

Gracias, me refiero si pueden establecer una vecindad OSPF O BGP un MX con un Router CISCO directamente conectados sin generar una VPN de por medio unicamente Point to Point.

El MX en modo ruteado (NAT mode) aún no soporta BGP:

  • eBGP peer relationships are not available for MXs operating as NAT mode VPN concentrators and are only supported on One-Armed Concentrators.

En modo transparente (passthrough, también conocido como modo concentrador), sí pudieras hacer una vecindad BGP con un ISR. Pero está pensado para que las rutas que comunique el MX, sean las rutas que conoce de AutoVPN.

 

Y respecto OSPF, con el MX en modo ruteado, también debería ser posible el establecimiento de una adyacencia:

Note: MX devices in Routed mode only support OSPF on firmware versions 13.4+, with VLANs disabled.

 

Sin embargo, igual, sirve solo para que el MX comunique las rutas que conocería por AutoVPN. Y el OSPF en ese caso, es unidireccional en cuanto a que informa las rutas que conoce, pero no aprende.

 

En resumen, tratar de ver al MX como un ruteador tradicional no es buena idea. Lo suyo es SDWAN y seguridad, y las implementaciones de ruteo están muy especializadas a esos casos de uso. La razón de ser del soporte de protocolos de ruteo en los MX está orientado a dar a conocer rutas que los MX conocen del AutoVPN, paras que el resto de la red sepa cómo llegar a esos sitios remotos.

Hola

Estoy intentando hacer una VPN entre dos Meraki de distintas organizaciones, por lo que sería VPN peer non-meraki. De un lado tengo IP Estática pero del otro IP Dinamica y no me permite asignar  el Dynamic DNS (FQDN) en la configuración de IP pública, me dice que no es un campo valido. Teniendo esto en cuenta hay alguna forma de configurar el peer sin tener que cambiar la IP Manualmente cada que el ISP cambien la dirección IP.

Hola! Puedes marcarle a soporte para que revisen que esté habilitado la capacidad de definir FQDN. A veces hay cosas no habilitadas por default y que soporte meraki ayuda a habilitar, si es que se necesita.

Hola, para las configuraciones que se pueden habilitar con soporte Meraki hay algún listado?

 

Tuve un caso similiar con snmpv3 y soporte meraki me habilitó los traps.

Sabes que no, no hay un listado. En la documentación, por ejemplo, esa de traps, se hace mención de contactar a soporte para que se habilite. Por cierto, "traps" de nueva generación son llamados webhooks, que es un esquema más flexible y programáticamente manejable.

 

La razón principal por la cual algunas cosas son habilitadas por soporte es porque consideramos que no son de uso generalizado, y para no llenar el dashboard de cosas que la mayoría (en nuestra medición de uso de cosas en dashboard) no usa.

Hola, para el tema de las rutas estáticas por track veo que hay una opción que dice "While host respond to ping", para un tema de Failover en MPLS y se active AutoVPN para que el tráfico conmute atráves de esta AutoVPN de Meraki MX al sitio central igual con un MX, es posible que se conmute así como lo comento? Ya que veo la prioridad de rutas en meraki y primero esta la de AutoVPN que las rutas estáticas.

 

Esta parte la leí en el siguiente enlace:

 

https://documentation.meraki.com/MX/Deployment_Guides/MPLS_Failover_to_Meraki_Auto_VPN

 

 

Y la prioridad de las rutas en el siguiente:

https://documentation.meraki.com/MX/Networks_and_Routing/MX_Routing_Behavior

Route Priority

Each type of route configured on the MX has a specific priority in comparison with other types of routes. The priority is as follows:

  1. Directly Connected
  2. Client VPN
  3. Static Routes
  4. AutoVPN Routes
  5. Non-Meraki VPN Peers
  6. BGP learned Routes
  7. NAT*

 

 

 

Correcto. Esa ruta estática haciendo tracking, en caso de que esté activa, toma precedencia sobre la ruta que se conoce sobre autoVPN. Esa primer liga explica un método de failover que sigue siendo válido, aunque es un predecesor a los que desde hace 3 años meraki hace como SD-WAN, donde la MPLS se conecta a uno de los puertos WAN (en lugar de uno de los puertos LAN), y se puede utilizar concurrentemente con el otro enlace WAN, y uno no configura rutas estáticas para propósito de balanceo o failover.