Meraki 第94回「Wi-Fi6対応MRのNBAR統合によるアプリケーションの識別」

2020/07/28

　こんにちは。Meraki担当のDsasです。

　前回はUmbrellaのMerakiへの統合の話でしたが、Merakiに統合されることで、これまで導入が難しそうだな~と二の足を踏んでいたソリューションを簡単に実装できるようになったことは、とても嬉しいことではないでしょうか。私はうれしいです！

　ということで今回はNBARとの統合についてです。

　その前に2020年7月現在、今回のNABRとの統合機能の利用については、かなり厳しい条件がございます。条件をざっくりまとめると、現時点では新規にMerakiのWi-Fi6対応MRシリーズのみを導入頂くお客様に対してのみご提案頂ける内容かと思います。今後条件が緩和され全てのお客様にご利用頂ける機能になれば、とても強力で便利な機能だと思います。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

必要条件

・802.11ax（WiFi-6）アクセスポイントでのみサポートされ、802.11ac（WiFi-5）Wave 2および以前の世代のMRアクセスポイントではサポートされません。

・MR 27.1+ファームウェアに設定する必要があります。

・ネットワーク内のすべての MRアクセスポイントは802.11ax（WiFi-6）をサポートする必要があります。

・ネットワークタイプは「ワイヤレスのみ」である必要があります。
・ネットワークをテンプレートにバインドしないでください。

※条件の詳細については、以下のURLをご確認ください。

https://documentation.meraki.com/MR/Firewall_and_Traffic_Shaping/Network-Based_Application_Recognition_(NBAR)_integration_with_MR_access_points#Requirements

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

　特に厳しいのが太字の部分になりますが、従来の802.11acモデルを利用しているネットワークやネットワーク内でMR以外の他のシリーズ（例：MXやMS）を管理することのできる「統合ネットワーク」ではご利用頂くことができません。

　このような状況ではございますが、それに負けないくらい素晴らしい機能でしたのでご紹介させて頂きます。

　まずNBARについてです。CiscoのIOSルータをご存知の方でしたら馴染みのある単語かもしれませんが、改めて紹介しますと、NBARとは、Ciscoが開発した高度なアプリケーション認識エンジンです。複数の分類手法を利用し、また分類ルールを動的に更新する機能を備えています。これにより1400以上のアプリケーションとサブ分類を可能にします。未知の暗号化トラフィックは1％未満、未分類の暗号化トラフィックは1％未満です。

　つまりNBARを利用することでアプリケーションの可視性が格段に向上します。具体的にMerakiのダッシュボード画面を元に紹介しますと、以下の図がこれまでのMerakiのアプリケーション詳細画面 (NBAR無し)です。

　「Miscellaneous secure web」や「UDP」などのカテゴリに注意してください。複数のトラフィックフローが1つのカテゴリにグループ化されます。

　以下はNBARを有効にしたアプリケーションの詳細画面です。これまで以上に詳細にアプリケーションを識別でるようになります。

　また、これらの識別可能なアプリケーションのリストをベースにレイヤ７ファイアウォールやトラフィックシェーピングのルールを適用することが可能です。

　下図はレイヤ7ファイアウォールの画面です。Video & musicのカテゴリを表示しています。一目瞭然ですが左側がNBAR無し、右側がNBAR有りです。NBAR有りのアプリケーションのリストは全く枠内に収まりません。

　次はトラフィックシェーピングの画面です。ソフトウェア＆ウイルス対策更新のカテゴリを表示しています。左側のNBAR無しでは、ウイルス対策の更新とソフトウェアの更新と全ての３つの選択肢ですが、NBAR有りは、APPLE iOSや画面には表示されていませんが、WindowsやMACのアップデートなどOS毎の選択肢がございました。すごい！