注 ：虽然本文档的预期用途是作为 Meraki 最佳实践设计的一般参考指南，但必须注意，每项部署都有其独特之处，用户应根据自身需要确定具体设计和配置。您应该与 Meraki 销售团队和系统工程师一起制定、审核并最终确定部署计划。

Meraki 智能管理平台架构

Meraki 智能管理平台解决方案是一种集中管理服务，让用户可以通过简单、安全的单一平台管理所有 Meraki 网络设备。

用户通过 Meraki 控制面板 Web 界面或通过 API，能够部署、监控并配置 Meraki 设备。用户进行配置更改后，系统会将更改请求发送到 Meraki 智能管理平台，然后从 Meraki 智能管理平台推送到相关设备。

Meraki 控制面板

一款基于 Web 浏览器的现代化工具，用于配置 Meraki 设备和服务。

Meraki 用户的账户，用于访问和管理其 Meraki 组织。

Meraki 网络的逻辑容器，由一个或多个账户进行管理。

一组集中管理的 Meraki 设备和服务的逻辑容器。

客户管理数据会在同一区域的独立数据中心之间进行实时复制。而且，这些数据还会被复制到托管于区域内第三方云存储服务中的自动夜间存档备份中。Meraki 智能管理平台不存储任何客户用户数据。有关 Meraki 智能管理平台中存储的数据类型的更多信息，可在下面的 “管理数据” 部分找到。

所有 Meraki 服务（控制面板和 API）也会在多个独立数据中心之间进行复制，因此，这些服务能够在数据中心发生灾难性故障的情况下快速实现故障切换。

Meraki 1 级数据中心遍布全球各地，能够在敏感国家和地区实施高可用性本地数据控制以确保数据主权，并通过高速连接实现可靠的智能管理平台通信。这些数据中心持有 PCI、SAS70 Type II/SSAE 和 ISO27001 等认证。此外，所有 Meraki 数据中心每天都要接受独立第三方的渗透测试。其他主要数据中心功能包括：

99.99% 正常运行时间服务级别协议

全天候自动故障检测

在数据中心之间实时复制数据

在服务器上对所有敏感数据（例如密码）执行散列处理

创建账户时，客户可以选择数据的托管区域。如果是网络遍布全球的客户，可以创建几个不同的账户，并为每个区域选择相应的数据中心地点。用户登录后，可以在 Meraki 控制面板页面底部找到每个账户的托管区域。

数据中心存储

Meraki 数据中心包含活动的 Meraki 设备配置数据和网络使用情况的历史数据。这些数据中心容纳了包含客户管理数据的多个计算服务器。这些数据中心不存储客户的用户数据。下面的 “数据” 部分将更加详细地介绍这几种类型的数据。

如果设备离线，它将继续尝试连接到 Meraki 智能管理平台，直至建立连接。设备上线后，它会自动从 Meraki 智能管理平台接收最新配置设置。如果对设备配置进行更改时设备在线，则设备会自动接收并更新这些更改。通常，几秒内即可在设备上使用这些更改。不过，也有大量更改需要更长时间才能到达设备。如果用户未进行任何配置更改，设备将继续自行定期检查对其配置的更新。

当设备在网络中运行时，它会将设备和网络使用情况分析传回 Meraki 智能管理平台。基于此信息的控制面板分析（图表形式）将在 Meraki 智能管理平台中定期更新，并在用户查看此信息时显示于用户的控制面板中。

设备配置作为容器存储于 Meraki 后端。当账户管理员通过控制面板或 API 更改设备配置时，系统会更新容器，然后通过安全连接将其推送到容器所关联的设备。容器还会以其配置更改更新 Meraki 智能管理平台，以实现故障切换和冗余。

除了简化设备管理之外，控制面板还是用于查看网络分析、应用网络权限和跟踪用户的平台。用户可以通过控制面板查看摄像头流，管理用户的移动设备和计算机，设置内容规则，并从一个位置监控上游连接。

Meraki API

Meraki API 以可编程方式提供对 Meraki 解决方案的控制，使用户可以完成可能无法通过控制面板执行的操作或提供更精细的控制。Meraki API 是一种 RESTful API，使用 HTTPS 进行传输，使用 JSON 进行对象序列化。

Meraki 通过提供对开放式 API 的访问，可以在更深层次上利用智能管理平台的强大功能，从而打造更高效、更强大的解决方案。通过 Meraki API，用户可以实现部署自动化，监控网络并以 Meraki 控制面板为基础构建其他解决方案。

可靠性和可用性

Meraki 可以通过多种方式实现高可用性 (HA) 架构，从而确保客户获得高可用性。通过我们的数据中心进行网络连接可以获得高带宽和高恢复能力。共享 HA 结构能确保数据在发生本地故障时的可用性，我们的数据中心备份架构则可确保客户管理数据在发生灾难性故障时始终可用。这些备份存储在基于第三方云的存储服务中。此类第三方服务还会根据区域存储 Meraki 数据，以确保遵守区域数据存储法规。

数据中心上行链路连接高可用性

Meraki 使用由其数据中心向外发出的多条高速连接，并持续监控这些连接的完整性。Meraki 网络连接通过测试 DNS 可访问性来确定完整性，如果链路性能下降，数据中心将故障切换到辅助链路。

Meraki 服务器高可用性

一台设备同时连接到多个 Meraki 服务器，确保在需要故障切换的情况下，所有数据都能保持最新状态。如果 Meraki 服务器出现故障，则由此辅助 Meraki 服务器连接验证设备配置的完整性和网络使用情况的历史数据。

灾难恢复计划

客户管理数据的存储以及控制面板和 API 服务的可靠性是 Meraki 的重中之重。为帮助防止在任何 Meraki 数据中心发生灾难时丢失数据，Meraki 采取了多项重大故障恢复措施。每个 Meraki 数据中心都与同一区域中的另一个数据中心配对。如果某个数据中心彻底崩溃，几分钟内即可在区域内的另一个数据中心内启动备份。其次，如果两个数据中心都受到影响，可以使用托管于两个不同的第三方云存储服务（各有自己的物理存储冗余）中的夜间备份来恢复数据。

Meraki 智能管理平台会收集并存储某些类型的 “管理” 数据来支持其解决方案。所有形式的数据都会在出入 Meraki 服务器的传输过程中经过加密。Meraki 智能管理平台中主要存储了四种类型的数据：

包括账户邮箱和公司名称等项目或用户名和地址等其他可选信息

包括客户在 Meraki 控制面板中所做的网络设置和配置

包括客户端、流量和位置分析数据，可以跨客户站点对流量和客流量模式提供可视性和网络洞察力

客户上传的资产

包括任何客户上传的资产，例如自定义的楼层平面图和启动徽标

服务器数据隔离

Meraki 服务器上的用户数据根据用户权限分隔开来。每个用户账户基于组织的成员资格进行身份验证，这意味着每个用户只能访问作为用户加入的组织所绑定的信息。组织管理员将用户添加到他们自己的组织中，由这些用户自行设置用户名和安全密码。于是，这些用户就会与该组织的唯一 ID 绑定，并且只能向 Meraki 服务器请求其授权组织 ID 范围内的数据。

此外，Meraki 开发团队对开发和生产环境使用不同的服务器，因此 Meraki 从不会将实时客户数据用于测试或开发。Meraki 用户数据从不向其他用户开放访问权限，也不会受开发变更的影响。

网络和管理数据隔离

Meraki 的 “带外” 控制平面实现了管理数据与用户数据的分离。管理数据通过安全的互联网连接从 Meraki 设备（例如无线接入点、交换机和安全设备）流到 Meraki 智能管理平台。用户数据（网络流量、Web 浏览、内部应用等）不流经 Meraki 智能管理平台，通常直接流到局域网上或广域网中的目的地。

网络使用情况数据保留

Meraki 将应用使用情况、配置更改和事件日志等管理数据存储于后台系统中。客户数据在欧盟区域存储 14 个月，在全球其他区域存储 26 个月。Meraki 数据存储时长以控制面板中的年同比报告功能（12 个月的周期）为基础，再加上一段额外的时间，确保数据在删除操作后从 Meraki 备份中删除（2 个月）。Meraki 使用专有的数据库系统来建立可以轻松搜索和引用的数据。

隔离的用户资产

Meraki 存储客户上传的资产，例如自定义的楼层平面图和启动页徽标。这些项目仅在 Meraki 控制面板中供该特定客户的网络使用，因此可基于与组织或网络 ID 访问权限绑定的标准用户权限将其安全地分隔开来。用户只有通过了身份验证，可以访问主机网络，才能访问上传的资产。

出入 Meraki 设备和服务器的所有数据都通过安全的专有通信隧道传输（请参阅上文 “安全的连接” 部分）。通信数据在通过此隧道传输时进行加密。与 Meraki 智能管理平台之间的所有客户端管理连接（控制面板/API）对所有应用流量进行安全 TLS 加密。

此外，Meraki 数据备份也使用 AES256 进行完全加密，并对访问进行限制（请参阅 “关于物理访问和操作的内部安全措施” 部分）。

连接到智能管理平台解决方案需要将特定数据存储在云端，以方便使用和访问。为保持完整性和安全性，智能管理平台基础设施必须考虑到该数据的敏感性和合规性规定。特定行业和地区制定了相关法律来保护 Meraki 通过我们灵活的智能管理平台基础设施所处理的用户数据。

Meraki 通过设计，将隐私纳入其产品和功能开发以及业务实践中。隐私是 Meraki 设计流程中不可分割的一部分，也是从最初的产品设计一直到产品实施整个过程中都必须考虑的因素。Meraki 为全球所有客户提供全套以隐私为导向的功能。通过这些功能，我们的客户不仅可以管理隐私要求，而且可以支持客户自己的隐私计划。客户可以阅读我们的 《数据隐私和保护功能》一文 ，更加详细地了解一些 Meraki 隐私功能。

Meraki 提供全面的解决方案，可确保环境符合 PCI 合规性要求，遵守 PCI 1 级审计（最严格的审计级别）的严格标准。丰富的安全功能集可满足所有 PCI 数据安全标准的要求，帮助客户构建和维护安全的网络，维护漏洞管理计划，执行严格的访问控制措施，并监控网络安全。

Meraki 客户的安全是 Meraki 的头等要务。Meraki 大力投资于确保我们用户及其网络安全的工具、流程和技术，其中包括用于控制面板访问的双因素身份验证等功能和带外智能管理平台架构。

除了 Meraki 和思科的内部安全团队之外，Meraki 还利用第三方来提高安全性。每日第三方漏洞扫描、应用测试和服务器测试等预防措施已纳入 Meraki 安全计划。此外，Meraki 还启动了软硬件漏洞奖励计划，鼓励外部研究人员与我们的安全团队协作，帮助确保思科基础设施和客户的安全。有关此计划的更多信息，可在 Bugcrowd 计划页面 上找到。

Meraki 智能安全基础设施可以消除管理复杂性、手动测试和导致漏洞的日常维护难题。直观且具有成本效益的安全功能非常适合网络管理员的需要，而功能强大、设计精细的管理工具、账户保护、审计和变更管理则对首席信息安全官极具吸引力。

硬件和软件安全

Meraki 利用安全启动、固件镜像签名和硬件信任锚等技术作为 思科安全开发生命周期 的一部分来维护硬件和软件完整性。

关于物理访问和操作的内部安全措施

Meraki 为所有 Meraki 员工提供强制性操作安全培训，努力维护用户安全。目前，已经面向所有员工实施了正式的信息安全意识计划。此外，所有员工和承包商都必须遵守思科的背景调查政策，并受 Meraki 信息安全政策和行业标准保密协议的约束。

远程访问 Meraki 服务器需要使用 IPSec VPN 和 SSH。我们的内部安全和基础设施团队根据针对业务需求的严格规定，确定访问范围并对访问权限进行限制。

对于访问 Meraki 服务器、数据库和代码的行为，我们还针对用户访问和特定权限采用了基于角色的访问模式。我们对有权访问（内部访问和远程访问）这些系统的所有用户执行双因素身份验证。

对于物理访问 Meraki 智能管理平台基础设施的行为，我们通过保安服务巡逻队实现全天候的不间断保护，并提供外部和内部实时视频监控。对于物理访问，所有数据中心都采用了高安全性门禁卡系统和生物特征读取器。Meraki 员工对这些数据中心的访问权限仅授予有访问数据中心的业务需要的用户，并利用 PKI 和双因素身份验证进行身份验证。此访问权限仅限于数量极少的一部分员工。我们每月对此用户访问权限进行审核，以删除不必要的访问权限。

此外，还必须考虑 Meraki 服务器和数据中心的限制 。Meraki 服务器架构是一种多租户解决方案，在同一硬件上托管多个客户，并基于权限将客户之间安全地分隔开来。单个组织中支持的最大规模为 25,000 台物理 Meraki 设备。如果一家企业打算在解决方案中包含 25,000 台以上的 Meraki 设备，则强烈建议他们与客户团队合作，设计跨多个组织的部署战略。

每个组织的网络数量

网络范围的一般建议

每个物理位置或分支机构一个网络

每个网络的 Meraki 设备（MX、MS、MR、MV 等， 而非用户设备 ）数量是一个多变的数字，无法提供一般建议。此数量视情况而异。

请注意， 每个网络的设备上限为 1000 台 。设备超过此数量的网络应该拆分。不过，网络中的设备一般很少会达到此数量，除非网络中存在大量摄像头或无线接入点。如果是这种情况，建议根据物理区域或使用案例拆分网络。

多组织注意事项

软件定义广域网

每个组织代表一个独立的软件定义广域网 (SD-WAN) 实例。Meraki SD-WAN 使用 Meraki 自动 VPN 技术实施。自动 VPN 是一种极低接触的解决方案，通过将单个组织中的所有站点自动联网来创建 SD-WAN 网络。因此，多组织部署也是多 SD-WAN 域部署。通常，需要多个组织的客户会首选此部署，但应该在设计中注意这一点。

出于合规性方面的原因，许多国家/地区要求将公司收集的信息保留在特定的地理区域内。您应该考虑创建单独的组织以确保合规性。此外，只要是采用基于智能管理平台的解决方案，确保该系统的管理员靠近管理中心就能更顺畅地执行智能管理平台的管理。例如，位于欧盟的部署需要遵守 GDPR，而位于中国的部署则会受到国家范围的安全限制。组织可能需要根据这些注意事项按区域确定范围。

为了在网络之间保持一致性，许多客户使用了配置模板。管理员可以借助模板在整个组织中快速制作许多特定网络配置的副本。不过，目前尚不能跨组织维护模板，也尚无任何可用于在组织之间复制网络的选项。如果打算让一些模板发挥相同的作用，建议您同时更改整个组织中的所有相关模板。

与模板相同，固件也只能在单个组织中保持一致性，而不能跨多个组织保持一致性。在部署新固件时，建议您在完成验证测试后在所有组织之间维护相同的固件。

建议在同一国家/地区订购和发运设备。这样会自动为订单中的设备分配正确的管制范围（如果相关）。这主要适用于具有无线功能的设备。

此外，出于资产和申领的原因（如下所列），我们还建议您基于组织拆分订单。对于将要在多个组织中使用的硬件的订单，最好是进行拆分，除非这样更复杂繁琐。

另一方面，对于一个组织的多份订单（同时下的订单），最好将其合并。每个组织一份订单通常可以为客户大幅简化部署。

资产和申领

在申领新的 Meraki 设备时，建议按您打算使用该设备的组织内的订单编号进行申领（而非申领单独的序列号）。按订单编号申领会提取与该订单相关联的所有硬件和许可证，并在设备未曾实际抵达现场之前就将其与组织绑定。申领后， 可以 根据需要将设备从一个组织移到另一个组织。Meraki 建议始终尽可能按订单编号进行申领，而不要按 MAC 或序列号进行申领。

API 密钥

API 密钥与创建它们的用户的访问权限绑定。可编程访问权限只应授予您信任在所分配组织内进行操作的实体。由于 API 密钥与账户而非组织绑定，因此可以使用一个多组织主 API 密钥来简化配置和管理。为此，可以向所有组织授予账户组织级权限。不过，授予对此账户的访问权限时应谨慎。

部署注意事项

在具有许多网络的部署中， 克隆网络 是节省时间的绝佳办法。部署的规模越大，“黄金配置网络” 就越有帮助，因为它们拥有一个或多个从未用于设备但却代表了新网络应有的理想配置。每次创建新网络时，都有一个选项可以从现有网络进行克隆，通常最好是从专门为此目的而配置的网络进行克隆。在规划部署时，最好应该先创建这些 “黄金配置网络”，这样就可以从这些网络复制后续网络。

基于模板的网络

克隆网络为创建具有相同配置的多个网络提供了一种静态方法。或者，您也可以通过模板提供更加动态的解决方案。使用 配置模板 ，可以在部署一个基本配置网络后部署多个 Meraki 控制面板网络，并在对基本配置网络进行更改后随之动态更新这些控制面板网络。这样就可以更轻松地部署新的站点/用户，并在每个站点的配置间保持一致性。与某个模板绑定的网络将利用其配置作为基础。对该模板进行的任何更改则会被推送到所有绑定的网络。

如果存在大量采用同一种网络设计的站点，则基于模板的网络在这种情况下最实用。例如，在有许多门店的零售业部署中或在有大量家庭用户使用远程工作人员 VPN 设备通过 VPN 连接到企业网络的情况下，这种情况就很常见。

部署过程中应始终考虑首选使用模板，因为它们可以节省大量时间并避免许多潜在错误。

应该注意的是，对于非常倚重通过 API 管理网络的服务提供商或部署，我们建议考虑使用克隆网络而不是模板，因为相比可用于模板的 API 选项，可用于克隆的 API 选项目前能够提供更精细的控制。

标记是针对特定使用案例对设备、网络或端口进行分组或标识的方法。这些标签可用于搜索、过滤、识别或分配对特定功能的访问权限。可以对以下项目应用网络标签：

Meraki 设备

交换机端口

系统管理器设备

网络 - 访客代表 ：用户只能查看 Meraki 身份验证用户的列表，添加用户，更新现有用户，并对用户进行 SSID 或客户端 VPN 授权/取消授权。如果代表是所有网络的代表，则还可以删除无线用户。

网络 - 仅监控 ：用户只能查看控制面板 监控 部分中的一部分内容，并且不能进行任何更改。此类账户适用于在服务提供商部署中为客户提供网络监控访问权限的情况。

网络 - 只读 ：用户能够访问网络的大多数方面，包括控制面板的 配置 部分，但不能进行任何更改。

网络 - 完全 ：用户有权查看网络的所有方面并对其进行任何更改。

SAML（安全断言标记语言）可与思科 Meraki 控制面板配合使用，为用户提供外部身份验证和一种 SSO（单点登录）方法。SAML 用户可以是组织管理员或网络管理员。这些角色的权限分配与普通用户的权限分配相同。在已经设置了身份提供程序服务 (IdP) 的部署中，强烈建议使用 SAML 访问。

用于设备状态报告的 SNMP 与 API

在许多部署中，采用某些类型的设备报告或者确立某种机制来监控设备状态会因此得益。用于监控设备的选项包括标准的控制面板监控、SNMP 报告和 API 设备状态报告。SNMP 是习惯使用 SNMP 解决方案的用户的可用选项，但如果是大型部署（超过 20,000 台设备），我们强烈建议您通过 API 进行设备状态报告以确保可扩展性。中小型部署可能还会发现，API 设备报告解决方案更适合他们的需要，因此他们应考虑此选项。

您可以阅读我们的 API 文档 ，详细了解我们提供的用于设备状态报告的 API 终端。

系统日志报告

Meraki 控制面板为其所有设备提供内置的事件日志报告功能，但事件日志仅限于 3 个月左右的历史记录。如有任何部署需要更长时间的历史记录，则应在其部署中部署系统日志服务器解决方案，并应在其网络中启用系统日志报告功能。MX 安全设备支持发送四种类别的消息/角色：事件日志、IDS 警报、URL 和流。MR 无线接入点可以发送相同的角色，只不过 IDS 警报除外。MS 交换机目前仅支持事件日志消息。

您可以阅读我们的 《系统日志服务器概述和配置》一文 ，详细了解如何设置 Meraki 部署的系统日志。

零接触部署

思科 Meraki 将订购和智能管理平台控制面板系统结合在一起，为客户提供最佳的设备自行激活体验。由于所有 Meraki 设备都会自动连接智能管理平台，因此设备或管理基础设施无需进行预先准备即可完成 Meraki 解决方案自行激活。您可以在安装设备或将设备联机前就提前完成所有网络的配置，因为配置与网络绑定并由每个网络的设备继承。此外，借助控制面板内置的实时远程故障排除工具，IT 管理员可以在远程安装人员实际插入端口和无线接入点时远程查看安装状态，从而实现真正的零接触部署。

每台设备在连接到互联网后，会自动通过 Meraki 智能管理平台下载其配置，自动应用您的网络和安全策略，因此您不必进行现场调配。无线 AP 根据环境优化其无线射频配置，而交换机则无缝集成到现有 RSTP 域中。我们建议您在部署前提前配置网络，让安装时间更宽松并避免部署错误。

互联网接入

由于每台 Meraki 设备均从 Meraki 智能管理平台获取所有配置信息，因此设备必须能够接入互联网并访问 Meraki 平台进行自行激活。这意味着您应该对管理 VLAN 配置 DHCP 和 DNS 规则，并应在出站方向打开正确的防火墙规则，以确保所有 Meraki 设备在开机后能够进行连接。有关防火墙规则所需的所有端口和 IP 的列表，可在 Meraki 控制面板的 帮助 > 防火墙信息 下找到，因为端口可能因您的组织中使用的 Meraki 设备类型而异。

Meraki 固件的最佳实践

Meraki 固件简介

思科 Meraki 的显著优势在于，它能以简单和易于管理的方式提供强大的网络和 IT 解决方案。Meraki 设备的固件管理具有同样的特点。固件管理历来是一个繁琐、耗时而又充满风险的过程，让负责执行升级的网络管理员望而却步、避犹不及，但 Meraki 可有效减轻这一负担。长期以来，复杂性一直困扰着整个行业的固件管理实践，并流传着一些耸人听闻的说法，例如曾经因为 USB 驱动器损坏而导致升级出现意外，或者在数据中心手动调配新代码直到深夜。

为什么智能管理平台让我们与众不同

Meraki 利用 Meraki 基于智能管理平台的控制面板的强大功能来自动安排固件管理相关任务，从而解决复杂的固件问题。控制面板能够以独特的方式让您洞察新固件版本中可用的新功能。

从安全角度来看，智能管理平台的优势无与伦比。如今，新的安全漏洞层出不穷，网络基础设施根本无法避免漏洞攻击。要想遏制这种规模的威胁，灵活性和快速的软件补救措施至关重要。Meraki 有能力及时应对发现的漏洞攻击，修补漏洞，并立即将此固件提供给客户使用。

简化固件更新

早期 Meraki 唯一需要的固件配置是为您的网络指定一个方便的维护时段，例如在周末的深夜。随着 Meraki 与客户共同成长，我们为有所需要的客户加入了更加严格的固件控制功能，同时仍然保持了基于智能管理平台的交付的简单性。现在，客户可以根据具体网络选择要运行的具体固件，以此来管理组织中每个网络的固件；与此同时，我们仍在为不需要这种控制级别的客户提供自动升级功能。

Meraki 使用 Meraki 智能管理平台实现固件交付，以异常迅速、可靠的方式来完成固件升级，这是其独特优势。而我们的用户固件采用率达到惊人的水平，不言而喻体现了这种优势的结果。即使提供了更精细的控制选项，绝大多数用户仍然在候选稳定版本可用后几乎立刻采用并运行我们的最新固件内部版本。我们的广泛测试和 Beta 试用版采用流程可确保我们定期提供可靠的内部版本，从而实现与时俱进的安全性和稳定性。

Meraki 固件命名约定

不同产品的 Meraki 固件命名原则相同，并包含主要和次要版本号作为名称的一部分。固件版本使用以下格式命名：

<产品名称> <主要固件版本>.<次要固件版本>

随着新的产品、技术和/或主要功能的推出，我们会发布新的主要固件。新的主要固件可能还包括性能、安全性和/或稳定性方面的其他增强功能。

发布新的次要固件版本是为了修复主要固件版本生命周期内遇到的任何错误或安全漏洞。

Meraki 固件的发布周期包括固件部署过程中的三个阶段，即 Beta 试用版、候选版本 (RC) 和稳定固件。本文档的 “Meraki 固件的开发生命周期” 部分 详细介绍了此周期。

常规固件最佳实践

Meraki 以实现直观的设备管理为设计宗旨，Meraki 固件管理也秉承同一理念。得益于 Meraki 控制面板的强大功能，我们能够创建并发布高质量的固件，让您获得先进的功能和安全的高质量软件。这些固件开箱即用，我们建议您让简单、自动、无缝的更新成为您的优势。默认情况下，当新固件可用（在部署前已经过严格验证和测试的固件）时，您的设备会被安排更新。

Meraki 的默认固件设置包括：

不自动进行 Beta 试用版固件部署

默认升级时段

星期三默认升级选项

如果您希望充分利用最先进和最新的功能，我们建议您启用 “试用 Beta 试用版固件” 切换开关。这样，您就能在最新 Meraki 固件完成我们的 固件开发周期 中完整的内部自动和手动测试过程后，尽早使用最新固件。如果运行 Beta 试用版固件，您可以在新功能广为可用之前提前使用，并有机会提供有关这些功能的反馈！如果遇到任何有关新 Beta 试用版固件的问题，您可以随时回滚到上一个稳定版本或者以前安装的版本，前提是在 14 天内回滚。

借助 配置模板 ，可以同时对多个站点推送标准配置。将网络附加到模板后，固件将由该模板控制。无法将网络配置为使用与模板所配置的固件版本不同的固件。在某些情况下，Meraki 支持部门能够对个别设备进行升级，但不应该依赖此功能，因为这有碍未来的正常升级。

测试网络（Beta 试用版）

建议在发布时使用指定网络来测试 Beta 试用版固件。测试网络可以是规模较小但又有足够设备可用于测试新功能的实验网络或生产网络。如果您的组织中有不同规模的生产网络，最好每种规模额外增加一个 Beta 试用版网络。

为什么应该测试 Beta 试用版固件

虽然所有 Meraki Beta 试用版固件都按照 Beta 试用版发布流程中的说明经过严格的测试，但我们仍然建议您在指定的测试网络中测试新的 Beta 试用版代码。这可以确保根据您的独特环境的需要对固件进行测试，并确保固件正常工作而不会给实际用户带来问题。

Beta 试用版反馈机制

如果在 Beta 试用版固件部署过程中遇到错误，您应联系 Meraki 支持部门，确保使用我们的既定流程在内部记录相关问题。提交支持案例可确保收集适当的详细信息，并提交给 Meraki 工程团队解决问题。在解决问题的过程中，他们可能会向您提供修补程序（通常也称为补丁），用于验证解决方案。修补程序获得确认之后，经固件发布流程后被部署到新的 Beta 试用版中，以便客户继续进行测试。

候选版本网络（验证）

对 Beta 试用版固件进行测试后，您可以选择一直等到主要版本进入候选版本 (RC) 状态；或者，如果您对验证的 Beta 试用版固件感到满意，也可以将 Beta 试用版固件部署到其余网络。如果您的方针是只在生产环境中使用稳定的固件，那么您可以进入部署过程的下一步，将 RC 固件部署到指定的 RC 网络。正如固件部署过程中所述，RC 已经非常接近稳定状态，因此可以在生产环境中部署到更多网络。在此阶段，客户无需制定广泛的测试计划，因为此时所有新功能均已经过测试，工作重点应转移到通过网络广泛部署固件上。如果稳定固件遇到问题，我们建议您升级到下一个候选版本，看看问题是否仍然存在。候选版本包括许多可解决问题的修补程序。

稳定版本网络（完全部署）

当固件被标记为稳定后，客户可以使用固件升级工具将固件部署到剩余的所有网络，或者也可以选择使用自动升级流程来部署固件。如果您按照我们的固件最佳实践来验证和测试当前稳定版本，您可以满怀信心地进行部署，并确信它会在您的独特环境中稳定工作。

如果您发现新的 Beta 试用版或候选版本固件能够按照需要运行并且您希望在整个部署中使用此版本，在此场景下，请继续在整个部署中部署此版本。我们会努力在开发流程的各个阶段提供高质量的固件。如果您在部署后遇到问题，您随时可以轻松回滚到上一个主要稳定固件版本。

MR 固件的最佳实践

随着我们无线产品组合的发展，Meraki 将继续专注于提供现代化部署所需的高性能和高可用性网络。为了实现这一目标，我们将重点放在最大限度地减少升级期间的停机时间、保持安排的灵活性和保证升级维护时段的准确性上。大多数 Meraki 无线接入点 (AP) 更新后将在 1 分钟以内重新启动，确保即使最终用户需要在工作时间内进行固件升级，也能最大限度地缩短中断时间。

此外，当您运行 Meraki 无线网络时，为确保获得出色的 Wi-Fi 固件部署体验，请务必注意几个问题。首先，确保所有 AP 均为一个固件版本。许多 Wi-Fi 功能取决于无线接入点之间的相同预期行为。例如，如果您使用第 3 层漫游，某些不同版本的固件可能彼此不兼容，特别是在第 3 层漫游功能上更是如此。

其次，在升级无线网络时，如果客户端设备使用的驱动程序比较旧，可能会在新功能上遇到问题。在发送任何无线固件之前，我们会在实验室中对 100 台以上的唯一客户端设备（包括许多不同的笔记本电脑、智能手机和采用独特无线芯片组的旧版无线设备）进行测试，但是使用一个测试 AP 来验证您的业务环境所独有的客户端仍不失为一个好主意。这些客户端可能包括对您的业务至关重要的自定义销售点 (POS) 系统或条码扫描仪。同样，用最新 Meraki Beta 试用版无线固件测试这些可能独有的客户端是最佳实践，因为这可以确保在开发周期的早期将任何潜在的互通性问题通知 Meraki。

除了这些基本的最佳实践之外，Meraki AP 还包括产品系列独有的功能，能够改善大规模固件更新。

大规模无线网络的最佳实践

在运行大规模园区无线网络时，无线固件的升级历来被视为存在风险。不过，得益于 Meraki 工程师所采用的敏捷、基于智能管理平台的固件开发流程，您可以通过几项措施来降低这些部署的风险。即使在规模最大的网络中，使用 Meraki 的最佳实践也是在网络中指定一个隔离区域来测试并验证最新的 Meraki 固件。使用指定的 Meraki MR 测试区域，您就可以在您的物理环境中访问所有 Meraki 无线固件并进行验证。这能让您在软件开发过程的早期直接与 Meraki 工程师互动，帮助提供有关新功能的反馈并确定有可能影响您的部署的任何潜在问题。

在上面的示例中，我们指定自助餐厅和一个大型会议区作为 Meraki 测试区域。为此，我们将所选 AP 移到其自己的控制面板网络中以便为其分配（Beta 试用版）固件版本并使之与主网络分离。而且，这样做还能根据需要将 AP 快速回滚到稳定版本，届时只需将 AP 移回主生产控制面板网络即可。

出于以下几个原因，在我们的部署中，这个部分是理想的选择：

该区域包括六个 Meraki 无线接入点，这可以确保我们有合理数量的无线接入点来进行测试

该区域为我们提供了各种各样的客户端设备，因为人们会将许多不同的智能手机和笔记本电脑带进这个区域

几乎所有员工都会在一天中的某个时间频繁出入于大楼中的这个区域

由于这不是业务关键型区域，用户更容易管理潜在无线问题所造成的影响

当您对测试环境中的当前固件进行验证并感到满意后，就可以满怀信心地将更新部署到网络的其余部分。值得注意的是，在本示例中，因为部署的固件版本可能不同且两个版本之间尚不能无缝漫游，用户出入指定测试区域时可能偶尔会遇到一些漫游问题。

MS 固件的最佳实践

当您沿着网络堆叠进一步上移至交换时，您还需要考虑一些其他事项。始终要注意考虑交换机的拓扑，因为越接近网络核心而远离接入层，固件升级过程中的风险就越大。因此，在规模较大的基于交换机的网络中，始终应该从最接近接入层之处开始升级。Meraki 交换机固件的管理有两个独到之处，我们同时支持这两个方面：

升级交换机堆叠

除了支持分阶段升级之外，Meraki 还可简化交换机堆叠的管理。作为升级工具集的一部分，我们会自动处理整个交换机堆叠的升级。此升级对固件上传到每台交换机的过程进行管理，并负责交换机堆叠中的每次重新启动。如果您准备在分阶段升级中升级交换机堆叠，Meraki 将在分阶段升级的过程中自动升级交换机堆叠。堆叠的升级过程按照前文概述的同一个概要流程进行，每个堆叠成员差不多同时重新启动，然后在成员上线时自动重新组成堆叠

MX 固件的最佳实践

与 Meraki 提供的许多其他产品不同，MX 设备和 Z 系列设备采用每个站点一个控制面板网络的模式。这种模式可以对整个部署中的升级管理方式进行非常精细的控制。

所有固件升级都需要 MX 设备重新启动，因此必须确保落实合适的维护时段，因为在大多数场景中，MX 升级过程都会导致整个本地网络停止运行。鉴于 MX 设备的中心/上游性质，我们还建议您在升级完成后留出充足的时间进行监控和测试，确保维护时段成功完成。

在管理包含许多 MX 的部署时，以下最佳实践非常实用，有助于完成固件过渡并简化管理。

采用 HA 配置并有两台 MX 的设备网络

当 MX 设备被配置为以高可用性 (HA) 状态运行时（采用 NAT/路由模式或用作单臂 VPN 集中器），控制面板将在执行升级时自动采取措施来最大限度地减少停机时间，以确保零停机 MX 升级。这一点通过以下自动化流程实现：

通常情况下，即使是对采用 HA 配置的设备，也最好始终做好分支站点会遇到 一定 停机和影响的准备。几乎在所有情况下，这些停机都只是集中器对之间的分支站点出现故障而造成的几秒停机，但是如果数据中心与分支位置之间存在广域网连接问题，则影响可能会更加显著。

Meraki 固件的开发生命周期

作为智能管理平台托管设备公司的一项主要优势在于，Meraki 既能利用完整的内部自动测试，又能利用我们的智能管理平台来监控整个已安装用户群的关键设备性能指标。为了确保稳健、可靠的固件开发，Meraki 按照一致的软件发布流程来验证和部署一致且可靠的固件。Meraki 的固件开发流程分为四个阶段：Alpha 预览版、Beta 试用版、候选稳定版本 (RC) 和稳定版本。每个固件版本都是以逐渐发展到稳定版本为目标而创建和发布的。如果某个特定的内部版本在开发过程的任何阶段未通过我们的关键指标，都会创建一个新的内部版本，而整个开发过程也会重新开始。以下几部分将对每个阶段进行更加详细的介绍。

如果内部版本成功通过我们的所有发布标准，我们就会开始向客户群提供此新的内部版本。如果发现任何需要解决的问题，我们将在解决问题后重新启动此流程，然后继续推进开发流程。在一些比较罕见的情况下，我们会因为修复问题的复杂性或时间安排而继续推进包含已知回归问题的内部版本，不过在这种情况下我们会在该版本的版本说明中注明回归问题。

Beta 试用版

固件最初可用于生产使用是在 “Beta 试用版” 下。客户在其生产网络中运行 Beta 试用版固件通常是为了充分利用新功能和漏洞修补程序。Beta 试用版固件已经接受过内部的回归、稳定性和性能测试，以在应用到生产网络时尽可能减少风险。通过控制面板上的 试用 Beta 试用版固件 配置选项选择试用 Beta 试用版固件的客户将自动收到通知，并被安排在这些版本发布时升级到这些版本。使用控制面板中的 固件升级工具 可以取消、修改和复原此类升级。客户还可以使用固件升级工具将网络随时手动升级到 Beta 试用版固件。您可将 Beta 试用版固件视为类似于业内其他产品中的 “早期部署” 固件。

我们的支持和工程团队会为最新 Beta 试用版固件提供全面支持。较早的 Beta 试用版只能获得尽力而为的支持；升级到最新 Beta 试用版可确保获得全面支持。

候选稳定版本

随着新的固件版本从 Beta 试用版逐渐发展成熟，它有机会发展为候选稳定版本。我们的软件和产品团队负责对 Beta 试用版固件的成功进行正式审核。他们将分析用于量化固件质量的关键性能指标 (KPI)，包括提交支持案例和工程问题、固件采用和稳定性指标。经过正式审核后，可将 Beta 试用版重新分类为 “候选稳定版本”。此时， 固件升级工具 中也会如此注明该固件版本。一旦有新的候选稳定版本可用，工程部门就会开始安排数量有限的一组客户进行升级。此类升级也可以使用固件升级工具取消、修改或复原。

我们的支持和工程团队为最新候选稳定版本固件提供全面支持。较早的候选稳定版本只能获得尽最大努力的支持；升级到最新 Beta 试用版、候选稳定版本或稳定版本可确保获得全面支持。

随着候选稳定版本慢慢部署到全球设备，会逐渐发展为稳定版本。某个主要版本的 Meraki 客户群达到指定阈值（约为 20% 的节点）时，该固件版本将升级为稳定版本，等待最终正式审核。对于改良版本，将根据具体情况做出决定。

同样，此时也会分析与候选稳定版本审核中所用 KPI 相同的 KPI。完成这些流程后，固件可升级为 “稳定” 版本。升级后，任何客户均可通过控制面板上的 固件升级工具 应用稳定版本。最新稳定版本也是为特定设备新创建的所有控制面板网络所使用的固件版本。

固件升级工具

要简化上述所有最佳实践的管理，您可以使用 Meraki 固件升级工具 。我们开发此工具是为了让组织能够在单一控制面板中轻松管理整个产品组合中的所有 Meraki 固件。与我们的所有智能管理平台功能一样，我们将在固件升级工具中继续开发更多功能，以提高可用性并简化固件管理。

在控制面板中，随可用 Beta 试用版、候选稳定版本和稳定固件版本显示了变更日志说明的列表。客户可以通过这些说明充分了解所有新功能、漏洞修补程序，以及他们正在使用的现有固件与计划升级的版本之间存在的已知问题。采用配置模板的客户也可以享受固件升级工具的优势。

请求特定版本的固件

如果出于兼容性原因需要特定版本的固件，则可以向 Meraki 支持部门提出请求。请注意，如果运行的固件版本并非稳定版本或候选版本，则遇到的任何问题都不受支持，Meraki 支持部门可能会建议客户升级到最新版本的固件才能继续排除故障。

锁定的固件

一般而言，我们建议不要只在特定设备上升级固件而不升级整个网络。不过，在故障排除过程中，Meraki 支持部门可能会发现需要在特定设备上试用特定版本的固件。对于由 Meraki 支持部门手动设置固件的设备，您将看到以下消息： 固件版本已锁定，请与支持部门联系 。

您无法安排添加或删除锁定的固件，如需完成此操作，请致电 Meraki 支持部门。然后，设备将自动降级/升级以与网络固件相符。

其他固件文档

除了本最佳实践文档之外，请参阅以下其他文档，帮助您采用最佳方法部署 Meraki 产品：

建议的控制面板结构

以下三种模式代表建议 MSP 采用的控制面板结构的三种主要方法。虽然我们建议大多数客户采用标准服务模式（我们的 MSP 约有 80% 也确实采用了此模式），但如果最终客户的网络要求需要更加定制化的方法，则可能也值得考虑其他模式。请注意，控制面板组织之间的区别应该是组织的服务性质或客户网络的性质。

标准服务：按服务划分组织，按客户划分网络

标准服务模式是 MSP 所使用的最普遍和最常用的结构，也因其可为 MSP 提供多种运营优势而受到 Meraki 的极力推荐。在标准服务模式中，MSP 门户围绕着提供的服务构成。此标准服务基于 MSP 为所有客户提供统一的服务这一概念，在此模式下，MSP 通常会为每种服务产品创建单独的组织。通常，组织可代表服务级别，这样，MSP 提供的基本、中级和高级服务就各需要一个组织。

当客户希望更改服务模式时，他们可以移到已为想要转移到的服务所设置的 Meraki 组织中，这使组织能够用作服务产品的模板。这种做法不必从头开始创建组织配置来迎合每个客户的需要，也就节省了所需的相关开销。

定制服务：每个客户一个组织

有时，客户需要采用按客户划分组织的模式，当最终客户拥有自己的设备或需要全权管理自己的网络时，就属于这种情况。在定制服务模式中，通常每个最终客户都拥有硬件设备，而 MSP 一般只提供 IT 服务或咨询。定制服务模式最适合需要自定义环境的客户、自行管理设备的客户或根据合同需要拥有自己的访问权限的客户。仅当客户的网络结构需要采用这种模式时才建议采用此模式，因为此模式的可扩展性不如标准服务模式。如果客户拥有设备则应使用此结构，因为它能赋予 MSP 以模块化方式对待客户并在必要时将客户与 MSP 分离的自由，而且还可以授予客户完全的管理访问权限。此模式最适合小型 MSP 或具有本地管理位置的大型定制 MSP。

SD-WAN 即服务：每个客户一个组织

在标准服务模式下，MSP 在同一个组织中包含多个客户来简化管理。如果为客户提供的服务是 SD-WAN，则不应使用此结构，因为组织的范围定义了 AutoVPN 的连接域。因此，需要将每个 SD-WAN 客户分配到其专用组织中。此模式通常针对具有多个位置/分支机构的中型到大型最终客户进行了优化。

标准客户模板的更新无法跨多个组织复制。请注意，虽然 MSP 可以选择使用配置模板，但我们一般强烈建议代之以使用克隆功能，因为它在规模较大的部署中可以更好地扩展并且能够更轻松地通过 API 进行编程。

使用配置模板，可以按照一种基本配置部署许多思科 Meraki 设备。作为模板一部分的站点可以采用例外的配置，也可以将需要不同对待的设备绑定到模板。否则，每个客户创建一个模板。

按客户划分网络

多个客户之间可以共享模板。

在更新服务设计时（例如开启新功能），您可以克隆模板并为每个客户进行复制。

按客户划分组织

组织创建后，必须单独为每个客户应用对模板做出的任何更改，不能在组织之间复制设置。

申领设备和许可证

通常，应按组织下订单。也就是说，在每次购买时，每个组织一份订单。分开购买意味着订单编号分立，这会使申领更复杂且容易出错。

按客户划分网络

可以使用一个许可证密钥或订单编号来申领批量订单。许可将在网络之间共享，因为它的范围是按组织确定的。

按客户划分组织

批量订单需要通过定制机制进行处理，以便为每个客户组织提供单独的许可证密钥。每个密钥都将申领给其各自的组织。

使用情况报告

在多个组织之间，对使用情况的可视性降到最低。

按客户划分网络

组织 > 概况 页面将显示所有客户的使用情况摘要。您还可以在整个组织中使用网络标签，例如用于过滤服务级别不同的客户（例如 30Mb 与 1Gb 客户）。

按客户划分组织

MSP 门户中没有使用情况报告功能。

管理员的管理

按客户划分网络

有一个管理员门户用于在不同客户之间添加/修改/删除角色和访问权限。

按客户划分组织

无法在组织之间复制管理员设置。除非使用 API，否则必须访问每个客户组织才能维护客户和管理员访问权限。

更改设备用途

按客户划分网络

可以在网络之间移动设备，不需要完成任何额外的许可证工作流程

按客户划分组织

虽然可以在网络之间移动设备，但必须联系 Meraki 支持部门才能在组织之间移动许可证。

Meraki 控制面板变更日志是组织中已经做出的配置更改的滚动列表。

按客户划分网络

变更日志将包括对所有客户网络做出的更改。

按客户划分组织

变更日志的范围按客户确定，并且需要按组织查看对每个客户做出的更改。

安全中心的范围按组织确定，并显示整个组织中安全事件、分析和通知的可视化摘要，包括入侵检测、入侵防御和恶意软件事件的摘要。

按客户划分网络

提供跨所有客户的集中安全视图。

按客户划分组织

必须访问每个组织才能查看安全报告。

控制面板 API 和 SNMP 访问权限

如果在控制面板网站外配置或监控客户，则必须为希望访问的每个组织维护一组唯一的参数。

常规最佳实践

每个组织的最少管理员账户数

每个组织的 Meraki 控制面板管理员账户应包括：

至少 1 个供 MSP 公司使用的 “主” 组织管理员共享账户，例如 example@msp.com

一个备用组织管理员账户用于恢复，以防被锁定在主管理员账户外

至少一个供客户使用的账户，即使客户并不登录。如果客户不登录或未向客户提供这些凭证，至少应在 MSP 与客户的关系结束时向客户提供账户的凭证。如果客户拥有自己的设备，则客户账户应为完全权限的组织管理员（读/写）账户。当客户从 MSP 租用设备时，该账户应为只读账户或者仅网络账户

SAML 访问权限

正如克隆组织时管理员会继续存在一样，SAML 访问权限也会继续存在。如果您不希望源组织中的某些 SAML 管理员能够在克隆后登录客户组织，请注意这一点，以防出现隐私问题。

切勿 将许可证或设备添加到该组织中，否则它最终会违反许可合规性。应该始终将其留空。

将组织添加到 MSP 门户

将组织添加到 MSP 门户 只 需要将您的账户邮箱添加到该组织的管理员列表中。请注意，这意味着在 MSP 域下添加单个账户不会将同一个组织添加到该域的通用账户。邮箱地址是 唯一 的区别。

SAML 管理员账户

使用 SAML 管理员账户可以更轻松地将权限分配给最终用户和网络管理员。组织变更日志将记录用于进行更改的 SAML 账户，这对大多数 MSP 跟踪网络管理员或最终客户所做的网络更改具有至关重要的作用。

最好根据不同的组织分别下订单。虽然按订单拆分设备很容易，但每份订单的许可通常捆绑到一个密钥中，因此如果为多个组织下一份订单，则许可在交付时不是独立的，可能需要致电 Meraki 才能拆分/移动。

未使用的设备和资产

任何人都未使用的设备应保留在一个完全独立的关闭组织的 网络中 。这可以防止任何其他人申领设备，因为 设备只有在网络中才会免于被申领 。资产中（但不在网络中）的设备仍可在其他组织中被人申请。此组织不应包含任何许可，并且所有设备均应保留在网络中，该网络可能会标记为 “未使用的资产”。此组织的许可会过期并违反合规性，但可以忽略许可警告，因为资产仍可管理。此组织和网络应仅用于未使用的资产。

向 Meraki 支持部门提交的支持案例应始终遵循两条规则：

MSP 应 始终 使用 MSP 客户编号向支持部门致电/发送邮件

MSP 下的客户应始终使用自己的客户编号而非 MSP 的客户编号向支持部门致电/发送邮件

支持案例按照 Meraki 客户编号显示。这意味着，如果最终客户共享一个客户编号，他们就能看到彼此的支持案例。 这可能造成隐私问题 ，因此，您应该确保不应看到彼此的支持案例的不同客户没有相同的客户编号。

不要与最终客户共享 MSP 客户编号。始终记录最终客户的 Meraki 客户编号，并准备好应支持部门的要求提供此编号。

添加/获取新的最终客户

当您获取并添加的最终客户是 MSP 门户下的现有 Meraki 客户时，最好联系您的销售代表并告知此情况。他们可以更新其记录以确保您的支持案例和账户反映此更改，从而确保为每个组列出的联系人和账户正确无误。

API 密钥

请注意，您的 API 密钥基于您的账户，您的 MSP 门户亦然。您使用同一个账户创建的每个组织都将共用同一个 API 密钥。在考虑 API 密钥的可视性和权限时，请注意此点。

最佳实践设计 - MX 安全和 SD-WAN

常规 MX 最佳实践

Meraki 控制面板中的安全中心为安全过滤事件提供了一个集中视图。这些事件包括 IDS/IPS 和高级恶意软件防护 (AMP) 事件。

安全中心通过各种不同的组件为网络管理员提供信息和洞察力，这些组件各侧重于不同的分析和用途。安全中心页面的顶部可用于对正在查看的数据进行控制。

下图显示了 IDS/IPS 签名的信息卡示例。选择 仅显示此签名 将只显示与该签名相关的事件。

URL 类别列表大小： 选择 “仅排名靠前的网站” 以实现更高的性能，或者选择 “完整列表” 以扩大覆盖范围。当您选择了 “仅排名靠前的网站” 时，每个被阻止的类别中排名靠前的网站列表将缓存在设备本地。在该模式下，系统将始终允许客户端访问不在排名靠前的网站列表中的 URL（当然，不能是黑名单中所列的 URL）。如果选择 “完整列表”，请求访问不在排名靠前的网站列表中的 URL 将导致设备在智能管理平台托管的数据库中搜索该 URL。客户端第一次访问网站时，可能对网络浏览速度造成显著影响。但是，其结果将缓存在本地。随着时间的推移，“完整列表” 的性能应接近 “排名靠前的网站” 选项的速度。

Web 搜索过滤 ：启用此设置可为网络中的所有用户执行 Google、Yahoo! 和 Bing 安全搜索。这不会影响 SSL/HTTPS 搜索。

阻止加密搜索 ：由于 Web 搜索过滤 无法阻止加密搜索，因此在启用它时将显示此选项。启用 阻止加密搜索 将创建一条第 7 层防火墙规则，阻止用户访问加密 Google 网站（Gmail 除外）。因为 Yahoo! 和 Bing 不使用加密搜索。这可以防止用户使用加密 Google 搜索规避 Web 搜索过滤 。

Youtube for Schools ：启用 YouTube 的 “YouTube for Schools” 功能。这还需要您输入 Youtube EDU ID 。

阻止的 URI 模式 ：输入您希望阻止的特定 URI 模式，每行一个。有关模式匹配的详细信息，请参阅下文。

列入白名单的 URL 模式 ：输入您希望明确允许的特定 URI 模式，每行一个。有关模式匹配的详细信息，请参阅下文。

高级恶意软件防护

高级恶意软件防护 (AMP) 是来自 SourceFIRE 的一项行业领先的防恶意软件技术，已集成到 MX 安全设备中。

AMP 仅在 高级安全版许可证 中可用。

了解 AMP 的几个主要概念十分重要：

文件的处理结果是 AMP 云中用于确定对文件下载采取什么操作的分类。

有三种文件处理结果：

正常 - 已知该文件为良性。

恶意 - 已知该文件有害。

未知 - 数据不足，无法将文件划分为正常或恶意类别。

有时，根据 AMP 云所获得的新威胁情报，文件会更改处理结果。这种重新分类可能还会生成追溯性警报和通知。

AMP 集成概述

MX 安全设备将根据从 AMP 云收到的处理结果，阻止基于 HTTP 的文件下载。如果 MX 收到的文件下载处理结果为 恶意 ，则会阻止下载。如果 MX 收到的处理结果为 正常 或 未知 ，则会允许文件下载完成。

支持的检测文件类型包括：

MS OLE2（.doc、.xls、.ppt）

MS Cabinet（Microsoft 压缩类型）

MS EXE

ELF（Linux 可执行文件）

Mach-O/Unibin（OSX 可执行文件）

Java（类/字节码、jar、序列化）

ZIP（常规和跨区）*

EICAR （标准化测试文件）

SWF（Shockwave Flash 6、13 和未压缩）

思科 Threat Grid

思科 Threat Grid 是一个统一威胁情报和恶意软件分析平台，与思科 高级恶意软件防护 (AMP) 解决方案 紧密集成。它执行自动静态和动态分析，为提交的每个文件生成包含行为表现的人类可读报告。Threat Grid 的全球可扩展性推动了情景丰富的信息，这些信息既可以直接使用也可以通过内容丰富的威胁情报源使用。

Threat Grid 依据 950 多种行为表现和源自全球的恶意软件知识库分析可疑文件，提供行业领先的准确性和情景丰富的威胁分析。

采用 Threat Grid 作为全面网络安全战略的一部分可以发挥如下作用：

更加深入地了解恶意软件正在执行或尝试执行的操作、它对组织构成多大的威胁，以及如何防御它

通过情景丰富的安全分析准确识别威胁

使用来自 Threat Grid 高级威胁源的威胁情报，主动保护企业

通过云服务每天分析成千上万个威胁的规模和强大功能，防御源自任何地方的威胁

Threat Grid 与 Meraki MX 的集成

通过 AMP 与 Meraki MX 安全设备的集成，Meraki 用户能够利用 AMP 的文件信誉和文件追溯服务，并获益于 AMP 云中的全球情报。AMP 云响应 MX 设备对下载文件的查询，并返回文件处理结果 “正常”、“恶意” 或 “未知”。恶意文件会受到阻止，而正常和未知文件则允许通过 MX 传给最终用户。启用 Threat Grid 集成时，MX 将向 Threat Grid 上传符合条件的未知文件进行额外的静态和动态分析。分析完成后，Meraki 安全中心将提供一份详细的报告，其中包含与分析中观察到的行为相匹配的威胁评分和行为表现。根据观察到的行为的严重性和威胁评分，Meraki MX 管理员可能需要发起进一步的调查和响应。 面向终端的 AMP 是作为补充的集成终端保护解决方案，针对通过边界防御的威胁提供强大的终端级可视性与可控性功能。

MX 网络

数据中心内的 MX

数据中心冗余（数据中心间故障切换）

在额外的数据中心内部署一台或多台 MX 用作 VPN 集中器，可为关键网络服务提供更高的冗余能力。在双数据中心或多数据中心配置中，可以通过 VPN 集中器模式的 MX 从每个数据中心通告相同的子网。

仅当将 MX 配置为 中心节点 时，此选项才可用。通过此选项，您可以指定要接收来自本地 MX 设备的所有网络流量的远程 MX 设备。这将创建一个全隧道配置，将流向默认路由的所有流量都发送到指定 MX。

在全隧道拓扑中，必须在全隧道客户端上执行所有安全和内容过滤。 退出中心 不会对通过 VPN 传入的流量应用内容过滤、IPS 阻止或恶意软件扫描。不过，对此流量会执行 IDS 扫描。

集中器优先顺序

集中器优先顺序决定了处于 中心（网状） 模式的设备将如何访问从多个 Meraki VPN 对等体通告的子网。与中心优先顺序类似，列表中最上方的集中器只要 a) 通告了该子网并且 b) 当前可通过 VPN 访问，则将用于此类子网。必须注意的是，只有处于网状模式的设备使用集中器优先顺序。处于中心辐射模式的设备将忽略集中器优先顺序，而是使用其中心优先顺序。

MX 作为 VPN 分支

将设备配置为分支时，可以为该设备配置多个 VPN 中心。在此配置中，分支 MX 将所有站点间流量发送至其配置的 VPN 中心节点。

为分支配置中心时，可以选择将一个中心选为 默认路由 。如果选择此选项，则该中心将被配置为该分支的 默认路由 (0.0.0.0/0)。并非发送到配置的 VPN 对等网络、静态路由或本地网络的任何流量都将被发送到默认路由。可以选择多个中心作为 默认路由 。标记为 默认路由 的中心按降序排列优先顺序（最优先的排在最上方）。

配置多个 VPN 中心

要添加更多中心，请点击所选现有中心下方的 “添加其他中心” 按钮。请注意，只有处于 网状 VPN 模式的设备可作为中心，因此控制面板组织中的 网状 VPN 设备数量也就代表了可为任意给定设备配置的中心的最大数量。

在此页面上配置中心的顺序即为中心优先顺序。中心优先顺序用于确定在多个 VPN 中心通告同一子网的情况下要使用的中心。最上方的中心只要 a) 通告了该子网并且 b) 当前可通过 VPN 访问，则将用于访问该子网。

点击相应中心右侧的灰色 “X”，可以删除该中心。点击并拖动列表中任意中心右侧的灰色四点箭头图标将该中心向上或向下移动，可以重新排列中心优先顺序列表。

有两种隧道模式可供配置为 分支 的 MX 设备使用：

分割隧道（无默认路由） ：仅发送站点间流量，意味着如果子网位于远程站点，则通过 VPN 发送发往该子网的流量。但是，如果流量以不在网状 VPN 中的网络为目的地（例如，发往 www.google.com 等公共 Web 服务的流量），则不通过 VPN 发送该流量，而是使用其他可用路由来进行路由，最常见的是从本地 MX 设备直接发送到互联网。分割隧道支持配置多个中心。

全隧道（默认路由） ：配置的 退出中心 通过自动 VPN 向分支 MX 通告默认路由。发往无法通过其他路由访问的子网的流量将通过 VPN 发送到 退出中心 。 退出中心 的默认路由按降序排列优先顺序。

NAT 穿越

如果 MX 设备位于防火墙或其他 NAT 设备之后，则有两个选项可用于建立 VPN 隧道：

自动 ：在绝大多数情况下，MX 设备可使用名为 “点对点 UDP 连接” 的技术与远程 Meraki VPN 对等体自动建立站点间 VPN 连接，即使通过防火墙或 NAT 设备亦可。这是建议（和默认）选项。

手动端口转发： 如果 自动 选项不起作用，则可使用此选项。启用 手动端口转发 时，Meraki VPN 对等体使用指定的公共 IP 地址和端口号与 MX 设备联系。您需要配置上游防火墙以将该端口的所有传入流量转发到 MX 设备的 IP 地址。

请确保您选择的端口号尚未被其他服务使用。

如果您有多个局域网子网，您可以选择指定要加入 VPN 的 VLAN 和静态路由。

仅当通告同一个子网的 所有 设备均处于 直通或 VPN 集中器模式 时，才可以从多个设备通告该子网。从处于 NAT 模式 的设备通告的所有子网在自动 VPN 拓扑中必须是唯一的。

如果 MX 设备有通往某个子网的静态局域网路由，则也可以通过 VPN 通告该子网。如果您选择通过 VPN 通告静态路由子网，为了保持路由对称性，请确保每个子网的网关设备均已配置为将远程 VPN 子网的流量路由到 MX 设备。

VPN 子网转换

VPN 子网转换默认不启用，而且一般建议不要启用， 除非部署绝对需要。如果部署需要进行子网转换，可以联系 Meraki 支持部门将其启用。

在大型分布式网络中，多个网络的子网范围可能相同（即存在子网重叠）。站点间 VPN 通信要求每个站点具有不同且不重叠的本地子网。如果多个位置具有相同的本地子网，请启用 VPN 子网转换 将本地子网转换为具有相同地址数的新子网。

分支机构 1 本地子网：192.168.31.0/24

分支机构 2 本地子网：192.168.31.0/24（完全相同！）

分支机构 1 转换后子网：10.0.1.0/24

分支机构 2 转换后子网：10.0.2.0/24

在上面的示例中，即使两个网络有相同的本地子网，它们也可以使用其转换后的 VPN 子网通过 VPN 进行通信。通过 VPN 隧道，可将分支机构 1 作为 10.0.1.0/24 访问，将分支机构 2 作为 10.0.2.0/24 访问。

OSPF 路由通告

虽然 MX 安全设备目前不支持完整的 OSPF 路由，但可以使用 OSPF 向核心交换机或其他路由设备通告远程 VPN 子网，而无需创建通往这些子网的静态路由。仅 VPN 集中器模式下支持 OSPF 通告。

通告远程路由： 如果将此项设置为 “启用”，则会使用 OSPF 将远程 VPN 子网通告为可通过此集中器进行访问。

路由器 ID： 此集中器用于向邻居标识自身的 OSPF 路由器 ID

区域 ID： 此集中器在发送路由通告时使用的 OSPF 区域 ID。

开销： 从此集中器通告的所有 OSPF 路由所附加的路由开销。

Hello 计时器： 集中器发送 OSPF Hello 数据包的频率。OSPF 拓扑中所有设备的此设置应该相同。

Dead 计时器： 集中器等待来自特定 OSPF 邻居的 Hello 数据包多长时间后，将该邻居视为不活动

MD5 身份验证： 如果启用此项，将使用 MD5 散列对潜在 OSPF 邻居进行身份验证。这可以确保没有未经授权的设备将 OSPF 路由注入网络。

身份验证密钥： MD5 密钥和口令。在您希望建立 OSPF 邻接关系的任何设备之间，这两个值必须匹配。

非 Meraki VPN 对等点

您可以在 安全设备 > 配置 > 站点间 VPN 页面的 非 Meraki VPN 对等体 部分下创建 MX 设备与非 Meraki VPN 终端设备之间的站点间 VPN 隧道。只需点击 添加对等体 并输入以下信息：

远程设备或 VPN 隧道的名称。

远程设备的公共 IP 地址。

您希望通过 VPN 连接到的第三方设备后的子网。也可以指定 0.0.0.0/0 来定义通往此对等体的默认路由。

要使用的 IPsec 策略。

预共享密钥 (PSK)。

可用性设置，用于确定控制面板组织中将连接到对等体的设备。

IPsec 策略

有三种可用的预设 IPsec 策略。

默认： 使用 Meraki 默认 IPsec 设置连接到非 Meraki 设备

AWS： 使用默认设置连接到 Amazon VPC

Azure： 使用默认设置连接到 Microsoft Azure 实例

如果这些预设都不合适，可以使用 自定义 选项手动配置 IPsec 策略参数。这些参数分为第 1 阶段和第 2 阶段。

第 1 阶段

加密： 在 AES-128、AES-192、AES-256、DES 和3DES 加密之间进行选择

身份验证： 选择 MD5 或 SHA1 身份验证

Diffie-Hellman 组： 在 Diffie-Hellman (DH) 组 1、2 和 5 之间进行选择

生存时间（秒）： 输入以秒为单位的第 1 阶段生存时间

第 2 阶段

加密： 在 AES-128、AES-192、AES-256、DES 和 3DES 加密之间进行选择（可以选择多个选项）

身份验证： 在 MD5 和 SHA1 身份验证之间进行选择（可以同时选择两个选项）

PFS 组： 选择 “关闭” 选项禁用完全向前保密 (PFS)。选择组 1、2 或 5 允许 PFS 使用相应的 Diffie Hellman 组。

生存时间（秒）： 输入以秒为单位的第 2 阶段生存时间

对等体可用性

默认情况下，非 Meraki 对等体配置适用于控制面板组织中的所有 MX 设备。由于您控制的每台设备并非都需要与特定的非 Meraki 对等体建立隧道，因此您可以通过 “可用性” 列来控制组织中将连接到每个对等体的设备。此控制基于网络标签，这是您可以应用于控制面板网络的标签。

如果为对等体选择了 “所有网络”，则组织中的所有 MX 设备都将连接到该对等体。如果选择特定网络标签或标签集，则只有带有一个或多个指定标签的网络将连接到该对等体。

有关网络标签的更多信息，可在 我们的《组织概述》一文 中找到。

VPN 防火墙规则

您可以添加防火墙规则来控制允许通过 VPN 隧道的流量。这些规则将应用于组织中所有加入站点间 VPN 的 MX 设备的入站和/或出站 VPN 流量。要创建防火墙规则，请点击 安全设备 > 配置 > 站点间 VPN 页面上 站点间防火墙 部分的 添加规则 。这些规则的配置方式与本文档的 防火墙设置 页面所述第 3 层防火墙规则的配置方式相同。

监控站点间 VPN

您可以通过以下方式监控 Meraki 设备之间的站点间 VPN 隧道状态：依次点击 安全设备 > 监控 > VPN 状态。 此页面提供配置的 Meraki 站点间 VPN 隧道的实时状态。它列出了通过 VPN 导出的子网、MX 设备与 Meraki VPN 注册表之间的连接信息、NAT 遍历信息，以及所有隧道使用的加密类型。此外， 站点连接 列表还提供远程 Meraki VPN 对等体的以下信息:

远程 Meraki VPN 对等体的名称。

远程对等设备通过 VPN 通告的子网。

状态（对等体当前是否可访问）。

VPN 上的往返数据包延迟（以毫秒为单位）。

最后一次发送心跳数据包以确定 VPN 隧道状态的时间（以秒为单位）。

集中器模式

所有 MX 均可配置为 NAT 或 VPN 集中器模式。这两种模式都有一些需要考虑的重要注意事项。有关集中器模式的更多详细信息，请参阅我们的 《MX 寻址和 VLAN》一文 。

单臂集中器

在此模式下，MX 只配置了一条与上游网络的以太网连接。所有流量都将在该接口上发送和接收。对于用作数据中心内 VPN 终结点的 MX 设备，这是建议配置。

NAT 模式集中器

此外，还可以利用 SD-WAN 功能集，将配置为 NAT 模式的 MX 用作数据中心内的 VPN 终结点。

Meraki Auto VPN

Auto VPN 最佳实践

此处列出的最佳实践以最常见的部署场景为重点，但并无意阻止使用另外的拓扑。大多数部署的建议 SD-WAN 架构如下：

如果选择自动 NAT 穿越，MX 将自动选择一个编号较大的 UDP 端口作为发出自动 VPN 流量的源端口。VPN 集中器将使用此端口访问远程站点，在上游防火墙中创建状态流映射，这也会允许从另一端发起的流量通过并流向 VPN 集中器，而无需单独的入站防火墙规则。

数据中心冗余（数据中心间故障切换）

Meraki MX 安全设备通过我们的数据中心间故障切换实施来支持数据中心间冗余。上面使用的步骤也可同样用于在一个或多个其他数据中心部署单臂集中器。有关 VPN 故障切换行为和路由优先级的详细信息，请参阅我们的 《数据中心间故障切换》文档 。

此部分概述为 VPN 集中器模式下运行的 MX 安全设备配置和实施热备份高可用性 (HA) 所需采取的步骤。

以下是对 VPN 集中器采用 HA 配置的拓扑示例：

为实现高可用性 (HA) 而进行配置时，一台 MX 处于主动状态，作为主设备，另一台 MX 以被动状态的备用容量运行。使用 VRRP 协议实现故障切换。有关详细信息，请查阅我们的 《MX 热备份》文档 。

MX IP 分配

在数据中心内，MX 安全设备可以使用静态 IP 地址或从 DHCP 获取的地址运行。默认情况下，MX 设备会尝试请求 DHCP 地址。强烈建议您为 VPN 集中器分配静态 IP 地址。

上行链路 IP

使用上行链路 IP 在设置新网络时会默认选中。为了在 HA 状态下正确地进行通信，必须将 VPN 集中器 MX 设置为使用虚拟 IP (vIP)。

虚拟 IP (vIP)

虚拟 IP 是一个寻址选项，使用由 HA MX 共享的额外（第三个）IP 地址。在此配置中，MX 将通过上行链路 IP 发送云控制器通信，但其他流量将通过共享的虚拟 IP 地址发送和接收。

MX 数据中心路由

在数据中心内用作 VPN 集中器的 MX 会将数据中心作为远程子网的终结点。为了实现双向通信，上游网络必须拥有用于远程子网的路由，向回指向用作 VPN 集中器的 MX。

如果未使用 OSPF 路由通告，则必须在上游路由基础设施中配置静态路由，将发往远程 VPN 子网的流量定向到 MX VPN 集中器。

如果启用了 OSPF 路由通告，上游路由器将动态获知通往连接的 VPN 子网的路由。

故障切换时间

有几个重要的故障切换时间范围需要了解：

控制面板和智能管理平台

MX 安全设备是智能管理平台管理的网络设备。因此，必须确保实施必要的防火墙策略，以便通过 Meraki 控制面板进行监控和配置。相关的目的端口和 IP 地址可在控制面板的 帮助 > 防火墙信息 页面下找到。

VPN 注册服务器

Meraki 的Auto VPN 技术利用基于智能管理平台的注册服务器来协调 VPN 连接。为了成功建立Auto VPN 连接，上游防火墙必须允许 VPN 集中器与 VPN 注册服务器进行通信。相关的目的端口和 IP 地址可能因区域而异，可在控制面板的 帮助 > 防火墙信息 页面中找到。

上行链路运行状况监控

MX 还使用通用协议访问众所周知的互联网目的地，借此执行定期的上行链路运行状况检查。 此处 概述了完整的行为。为了正确进行上行链路监控，还必须允许以下通信：

对 canireachthe.net 的 DNS 测试

对 icmp.canireachthe.net 的互联网测试

VPN 注册服务器

为了加入Auto VPN，MX 设备必须向 Meraki VPN 注册服务器注册。VPN 注册器是一种基于智能管理平台的系统，用于存储将所有 MX 设备连接到经过协调的 VPN 系统中所需的数据。如果连接发生故障，VPN 注册服务器将始终开启并不断更新。这意味着在重启、新公共 IP 地址硬件故障切换等情况下无需人工干预。VPN 注册器存储每个 MX 的以下信息：

子网（用于创建 VPN 路由表）

上行链路 IP（公共或专用）

公共 IP

在基础设施中添加新 MX 的过程如下：

新 MX 向注册器报告其上行链路 IP 地址和共享子网

该信息传播到基础设施中的其他 MX

MX 建立正确的 VPN 隧道

MX 将首先尝试注册服务器报告的对等体专用上行链路 IP

如果与对等体专用上行链路 IP 的连接失败，MX 将尝试对等体的公共上行链路 IP

自动 VPN 路由

VPN 注册服务器存储着特定 Meraki 自动 VPN 基础设施的相关信息，其中包括加入 VPN 的本地路由。在出现故障的情况下，其他 VPN 设备或更改系统的中心会自动重新收敛，无需任何最终用户交互。通过更新通往系统中所有设备的 VPN 路由，自动 VPN 像路由协议一样收敛系统来保持稳定性。

MX VPN 集中器 - 虚拟 IP 分配

虚拟 IP 地址 (vIP) 由主 VPN 集中器和热备份 VPN 集中器共享。VPN 流量发送到 vIP 而非各集中器的物理 IP 地址。配置热备份时，导航至 安全设备 > 设备状态 配置该虚拟 IP。它必须与两台设备的 IP 地址位于同一子网中，并且必须是唯一的。它不能与主设备或热备份设备的 IP 地址相同。

两个集中器通过网络使用 VRRP 协议共享运行状况信息。故障检测不需要依赖与互联网/Meraki 控制面板的连接。

MX VPN 集中器 - 故障检测

如果主设备发生故障，热备份设备将承担主设备的角色，直到原来的主设备重新上线。主 VPN 集中器重新上线并且备份集中器重新开始收到 VRRP 心跳时，热备份集中器会将主用角色交还给主集中器。从检测到故障到故障切换至热备份集中器并能开始处理 VPN 数据包，总时间通常不到 30 秒。

MX 热备份警报

在发生特定网络或设备事件的情况下（例如发生热备份设备切换时），Meraki 控制面板中有许多选项可用于发送邮件警报。这是建议的配置选项，可用于在发生故障切换时通知网络管理员。

如果高可用性对的主 MX 故障切换至备份 MX，“发生热备份故障切换” 这一事件会发送一封邮件，反之亦然。

有关此警报和其他警报的信息，请参阅 《在控制面板中配置网络警报》 一文。

如果您难以让热备份 MX 按预期运行，请参阅我们的 《MX 热备份 - 高可用性对》文档 。

NAT 模式下的硬件冗余

MX NAT 模式 - 热备份

MX NAT 模式热备份用于在 MX 安全设备用作 NAT 网关时为互联网连接和设备服务提供冗余。

MX NAT 模式 - 热备份设置

在 NAT 模式下，HA 对中的设备通过其各自的互联网端口连接到一个或多个 ISP，并通过局域网端口连接内部网络。

广域网配置：每台设备必须有自己的 IP 地址，才能与 Meraki 智能管理平台交换管理流量。如果主设备使用辅助上行链路，则热备份设备上也应设置该辅助上行链路。共享虚拟 IP 虽然并非必需的设置，但是如果客户端的流量流经设备，则共享虚拟 IP 可以显著减少故障切换对此类客户端的影响。可以同时为两条上行链路配置虚拟 IP。

局域网配置：根据任何已配置 VLAN 中的设备 IP 配置局域网 IP 地址。局域网中不需要任何虚拟 IP。

其他热备份配置详细信息可在我们的文章 《MX 热备份 - 高可用性对》 中找到。

MX NAT 模式 - 虚拟 IP 分配

虚拟 IP 地址 (vIP) 由主设备和热备份设备共享。入站和出站流量使用此地址在故障切换期间保持相同的 IP 地址以减少中断。虚拟 IP 在 “安全设备” > “监控” > “设备状态” 页面上进行配置。如果配置了两条上行链路，则可以为每条上行链路配置一个 vIP。每个 vIP 必须与配置该 vIP 的设备上行链路的 IP 地址位于同一子网中，并且必须是唯一的。它不能与主设备或热备份设备的 IP 地址相同。

MX NAT 模式 - 故障检测

NAT 模式热备份有两种故障检测方法。故障检测不需要依赖与互联网/Meraki 控制面板的连接。

广域网故障切换：使用与上行链路故障切换所用互联网连接测试相同的测试来执行广域网监控。如果主设备根据这些测试确定没有有效的互联网连接，它将停止发送 VRRP 心跳，从而导致故障切换。原来主设备上的上行链路连接恢复且热备份设备重新开始收到 VRRP 心跳时，热备份设备会将主用角色交还给主设备。

局域网故障切换：两台设备通过网络使用 VRRP 协议共享运行状况信息。这些 VRRP 心跳发生在第 2 层，并在配置的所有 VLAN 上执行。如果没有任何通告到达任何 VLAN 中的备份设备，就会触发故障切换。热备份设备重新开始收到 VRRP 心跳时，它会将主用角色交还给主设备。

MX NAT 模式 - DHCP 同步

NAT 模式高可用性对中的 MX 通过局域网交换 DHCP 状态信息。这可以防止将故障切换前已分配给客户端的 DHCP IP 地址在故障切换后转给其他客户端。

数据中心间故障切换 - 中心/数据中心冗余（灾难恢复）

Meraki 的 MX 数据中心冗余（数据中心间故障切换）支持通过自动 VPN 发送的网络流量在分布于不同地理位置的多个数据中心之间进行故障切换。

集中器优先顺序

如果为组织配置了多个 VPN 集中器，则可以为组织配置集中器优先顺序。此集中器优先顺序设置决定了网状 VPN 对等体在连接到由多个 VPN 集中器通告的子网时所首选的顺序。

此设置不适用于配置为 VPN 分支的远程站点。

其他数据中心注意事项

实施数据中心间架构时，对于在数据中心内用作 VPN 集中器的 MX，应该始终考虑热备份集中器配置（请参阅上文 “热备份” 部分）和 OSPF 路由通告。此外，还应对部署环境中的所有应用考虑路由流逻辑，确保满足可用性要求。为了帮助您更好地了解数据中心发起的流，请参阅下文。

支持的 VPN 架构

VPN 拓扑

VPN 部署的结构有多种可用的选项。

在此配置中，只有当流量是发往同一个控制面板组织中的其他 MX 通告的特定子网时，分支机构才会通过 VPN 发送该流量。其余流量将对照其他可用路由（例如静态局域网路由和第三方 VPN 路由）进行检查，如果不匹配，则会进行 NAT 转换并从分支机构 MX 不加密地发送出去。

工作原理：

同样，从配置角度来看，此拓扑与标准中心辐射型完全相同，但它为具有州际和/或国际规模与范围的客户引入了区域化。远程站点也配置有一个区域中心，还有一个特定的（也可能有多个）数据中心型中心。这样既可以实现更大规模，也可以按区域进行划分。

此部署模式在语音流量传输中非常有用（例如，在法国无需经由德国拨打本地电话）

何时应该使用？

有多种原因可能导致您采用区域设计，最有可能的原因是帮助扩大隧道数，因为此方法可以限制中心 MX 上的隧道数。而且，此方法还可指定更低容量的区域中心 MX。第二个原因可能是公司流程或由于客户的地理位置而导致的流程；因为客户向来按地理位置细分业务，因此网络也按地理位置划分。为美洲远程站点与东亚中心站点之间的直接通信提供便利通常几乎没有什么价值（如果没有特定的业务情况），而且此类额外的连接往往成本也很高昂。此方法允许客户使用 Meraki 自动 VPN 复制这种区域化。

分层中心辐射型

何时应该使用？

几乎从不使用。不过，极端的例子也确实存在，在那种情况下，客户基本上相当于其客户的托管服务提供商，并且需要对其业务的不同要素进行某种形式的逻辑划分（以便扩大类比及其客户）。在符合 ISO27001 规定但是（从我们的角度来看）信息安全管理系统 (ISMS) 边界很差的客户中，这有时是一个问题。此方法是应急解决方案，避免此类设计通常优于实施上述设计。因此，将其包含在本文档中仅仅是出于完整性的考虑。

中国区 Auto VPN

根据中国政府的法规限制，我们需要采用特定的架构要求，将中国境内的Auto VPN 域部署和互联至世界其他地方。

在大多数情况下，安全 VPN 技术提供了最具成本效益的连接。根据中国法规的要求，中国已经在其整个国际网络边界施加了影响 VPN 技术的限制。对于需要实现跨境连接的企业，有两种选择。

在上图中，我们利用 Meraki Auto VPN 连接中国境内的企业站点。上图还展示了中国政府批准的专用线路，可用于将企业在中国的网络连接至其全球企业网络的其余部分。可以利用 BGP 或 OSPF 等动态路由在域之间交换路由信息。

Meraki SD-WAN

所有思科 Meraki 安全设备都具备 SD-WAN 功能，使管理员能够最大限度地提高网络恢复能力和带宽效率。本指南介绍 Meraki SD-WAN 的各个组件，并以建议的部署架构为重点，介绍可以采用哪些方式来部署 Meraki AutoVPN 架构以利用 SD-WAN 功能。

SD-WAN 是什么？

软件定义广域网 (SD-WAN) 是旨在让网络根据不断变化的广域网条件进行动态调整而无需网络管理员人工干预的一整套功能。通过对特定流量类型如何响应广域网可用性和性能的变化进行精细控制，SD-WAN 可以确保关键应用实现最佳性能，并有助于避免 VoIP 等对性能高度敏感的流量出现中断。此外，SD-WAN 还可以作为一种可扩展并且往往更便宜的替代方案，用来代替 MPLS 线路等传统广域网线路。

在部署 SD-WAN 之前，必须了解几个主要概念。

集中器模式

所有 MX 均可配置为 NAT 或 VPN 集中器模式。这两种模式都有一些需要考虑的重要注意事项。有关集中器模式的更多详细信息，请 点击此处 。

单臂集中器

在此模式下，MX 只配置了一条与上游网络的以太网连接。所有流量都将在该接口上发送和接收。对于用作数据中心内 VPN 终结点的 MX 设备，这是建议配置。

NAT 模式集中器

此外，还可以利用 SD-WAN 功能集，将配置为 NAT 模式的 MX 用作数据中心内的 VPN 终结点。

VPN 拓扑

VPN 部署的结构有多种可用的选项。

在此配置中，只有当流量是发往同一个控制面板组织中的其他 MX 通告的特定子网时，分支机构才会通过 VPN 发送该流量。其余流量将对照其他可用路由（例如静态局域网路由和第三方 VPN 路由）进行检查，如果不匹配，则会进行 NAT 转换并从分支机构 MX 不加密地发送出去。

在全隧道模式下，分支机构或远程办公室没有其他可用路由的所有流量都会被发送到 VPN 中心。

中心辐射型

在中心辐射型配置中，位于分支机构和远程办公室的 MX 安全设备直接连接到特定 MX 设备，不会与组织中的其他 MX 或 Z1 设备形成隧道。分支机构站点或远程办公室之间的通信则通过配置的 VPN 中心提供。对于大多数 SD-WAN 部署，这是建议采用的 VPN 拓扑。

网状 VPN

在 SD-WAN 部署中，也可以使用 “网状” VPN 配置。

在网状配置中，位于分支机构或远程办公室的 MX 设备被配置为直接连接到组织中也处于网状模式的任何其他 MX，以及被配置为用作中心的任何分支 MX。

数据中心冗余（数据中心间故障切换）

在额外的数据中心内部署一台或多台 MX 用作 VPN 集中器，可为关键网络服务提供更高的冗余能力。在双数据中心或多数据中心配置中，可以通过 VPN 集中器模式的 MX 从每个数据中心通告相同的子网。

在数据中心间故障切换设计中，分支站点将与为该站点配置的所有 VPN 中心之间形成 VPN 隧道。对于特定中心独有的子网，只要分支与中心之间的隧道已成功建立，就会将流量直接路由到该中心。对于从多个中心通告的子网，分支站点将向优先级最高的可访问中心发送流量。

VPN 集中器的热备份（高可用性）

为实现高可用性 (HA) 而进行配置时，一台 MX 作为主设备，另一台 MX 以备用容量运行。所有流量都流经主 MX，而备份 MX 则用作故障情况下的一层额外冗余。

采用 HA 配置的 MX 之间的故障切换使用 VRRP 心跳数据包。这些心跳数据包从主 MX 经单一上行链路向外发送到辅助 MX，表示主 MX 在线并工作正常。只要辅助 MX 还在接收这些心跳数据包，它就会在备份状态下运行。如果辅助 MX 不再收到这些心跳数据包，它会假定主 MX 离线并因此转换为主设备状态。为了接收这些心跳，两台 VPN 集中器 MX 都应该有数据中心内同一个子网中的上行链路。

HA 对只需要一个 MX 许可证，因为在任何给定时间都只有一台设备全面运行。

连接监控器

连接监控器是每台 MX 安全设备内置的上行链路监控引擎。 本文 对该引擎的机制进行了介绍。

SD-WAN 技术

Meraki SD-WAN 实施包括几项主要功能，构建于我们的 AutoVPN 技术之上。

双活 VPN 上行链路

在 SD-WAN 发布之前，只能在一个接口上形成自动 VPN 隧道。随着 SD-WAN 的发布，现在可以在 MX 的两个互联网接口上形成并发 AutoVPN 隧道。

能够在两个接口上形成 VPN 隧道并通过这些隧道发送流量，显著提高了在 AutoVPN 部署中进行流量路径和路由决策的灵活性。除了为管理员提供能够在多条链路之间对 VPN 流量进行负载均衡的功能之外，它还能让管理员使用 MX 内置的基于策略的路由和动态路径选择，以各种方式利用通往数据中心的其他路径。

基于策略的路由 (PbR)

使用基于策略的路由，管理员可以根据不同流量流的源和目的 IP 与端口为其配置首选 VPN 路径。

动态路径选择

使用动态路径选择，网络管理员可以为不同类型的流量配置性能标准。然后，使用 MX 自动收集的丢包、延迟和抖动指标确定哪些可用 VPN 隧道符合这些标准，并根据此结果按每个数据流做出路径决策。

性能探测器

为了确保每个流量流都能使用最佳路径，基于性能的决策依靠有关当前广域网条件的准确一致的信息流。此信息使用性能探测器来收集。

性能探测器是一种很小的 UDP 数据负载（约为 100 字节），通过所有已建立的 VPN 隧道每秒发送一次。MX 设备跟踪成功响应的比率和收到响应之前所经过的时间。通过此数据，MX 可以确定每个 VPN 隧道上的丢包、延迟和抖动情况，从而做出必要的基于性能的决策。

本指南以最常见的部署场景为重点，但并无意阻止使用另外的拓扑。大多数部署的建议 SD-WAN 架构如下：

如果选择自动 NAT 遍历，MX 将自动选择一个编号较大的 随机UDP 端口作为发出 AutoVPN 流量的源端口。VPN 集中器将使用此端口访问远程站点，在上游防火墙中创建状态流映射，这也会允许从另一端发起的流量通过并流向 VPN 集中器，而无需单独的入站防火墙规则。

添加热备份

此部分概述为 VPN 集中器模式下运行的 MX 安全设备配置和实施热备份 (HA) 所需采取的步骤。

热备份拓扑

以下是对 VPN 集中器采用 HA 配置的拓扑示例：

为实现高可用性 (HA) 而进行配置时，一台 MX 处于主动状态，作为主设备，另一台 MX 以被动状态的热备份模式运行。使用 VRRP 协议实现故障切换。有关详细信息，请参阅 此处 。

控制面板配置

在 MX 安全设备上实现高可用性需要使用同一型号的第二台 MX。HA 实施为主动/被动配置，而且需要第二台 MX 也连接并上线才能提供正确的功能。有关 MX 热备份的更多详细信息，请参阅 此处 。

高可用性（也称为热备份）可在 安全和 SD-WAN > 监控 > 设备状态 中进行配置。首先点击 “配置热备份”，然后点击 “启用”。接下来，输入热备份 MX 的序列号或从下拉菜单中选择一个。最后，选择是使用 MX 上行链路 IP 还是虚拟上行链路 IP。

上行链路 IP

使用上行链路 IP 在设置新网络时会默认选中。为了在 HA 状态下正确地进行通信，必须将 VPN 集中器 MX 设置为使用虚拟 IP (VIP)。

虚拟 IP (VIP)

虚拟上行链路 IP 选项使用由 HA MX 共享的额外 IP 地址。在此配置中，MX 将通过上行链路 IP 发送云控制器通信，但其他流量将通过共享的虚拟 IP 地址发送和接收。

如果 未 使用 OSPF 路由通告 ，则必须在上游路由基础设施中配置静态路由，将发往远程 VPN 子网的流量定向到 MX VPN 集中器。

如果启用了 OSPF 路由通告 ，上游路由器将动态获知通往连接的 VPN 子网的路由。

防火墙注意事项

MX 安全设备使用多种类型的出站通信。可能需要对上游防火墙进行配置才能允许此类通信。

控制面板和智能管理平台

MX 安全设备是智能管理平台管理的网络设备。因此，必须确保实施必要的防火墙策略，以便通过思科 Meraki 控制面板进行监控和配置。相关的目的端口和 IP 地址可在控制面板的 帮助 > 防火墙信息 页面下找到。

VPN 注册服务器

思科 Meraki 的 AutoVPN 技术利用基于智能管理平台的注册服务来协调 VPN 连接。为了成功建立 AutoVPN 连接，上游防火墙必须允许 VPN 集中器与 VPN 注册表服务进行通信。相关的目的端口和 IP 地址可在控制面板的 帮助 > 防火墙信息 页面下找到。

上行链路运行状况监控

MX 还使用通用协议访问众所周知的互联网目的地，借此执行定期的上行链路运行状况检查。 此处 概述了完整的行为。为了正确进行上行链路监控，还必须允许以下通信：

与 8.8.8.8（Google 的公共 DNS 服务）的 ICMP 通信

HTTP 端口 80

与 MX 所配置的 DNS 服务器的 DNS 通信

数据中心冗余（数据中心间故障切换）

思科 Meraki MX 安全设备通过我们的数据中心间故障切换实施来支持数据中心间冗余。上面使用的步骤也可同样用于在一个或多个其他数据中心部署单臂集中器。有关 VPN 故障切换行为和路由优先级的详细信息，请参阅 本文 。

分支机构部署

此部分概述分支机构中的 SD-WAN 架构配置和实施。

在分支机构中配置 AutoVPN

配置和构建 AutoVPN 隧道之前，应该检查几个配置步骤。

广域网接口配置

虽然通过 DHCP 自动配置上行链路在许多情况下已经足够，但有些部署可能需要为分支机构的 MX 安全设备手动配置上行链路。向广域网接口分配静态 IP 地址的程序可以在 此处 找到。

某些 MX 型号只有一个专用互联网端口，如果需要两个上行链路连接，则需要通过 设备本地状态页面 将一个局域网端口配置为辅助互联网端口。此配置更改可在 配置 选项卡的 设备本地状态页面 上执行。

使用 AutoVPN，只需点击几下即可在 AutoVPN 拓扑中添加和删除子网。应该先配置相应的子网，然后再继续进行站点间 VPN 配置。

首先，在 安全和 SD-WAN > 配置 > 寻址和 VLAN 页面中，配置要在分支机构中使用的子网。

中心优先顺序

中心优先顺序根据各个中心节点在列表中从上到下的位置而定。第一个集中器的优先级最高，第二个集中器的优先级次之，依此类推。如果流量发往多个集中器通告的子网，则会被发送到 a) 通告了该子网并且 b) 当前与分支建立了有效 VPN 连接的优先级最高的集中器。如果流量发往只有一个集中器通告的子网，则会被直接发送到该中心节点。

配置允许的网络

要允许特定子网通过 VPN 通信，请在 站点间 VPN 页面中找到 本地网络 部分。子网列表是使用 寻址和 VLAN 页面中配置的本地子网和静态路由以及 客户端 VPN 子网 （如果配置了此子网）填充的。

要允许子网使用 VPN，请将该子网的 使用 VPN 下拉列表设置为 是 。

NAT 穿越

有关 “NAT 穿越” 选项的详细信息，请参阅 此处 的数据中心部署步骤。

添加性能和策略规则

VPN 流量的路由规则可在控制面板中的 安全和 SD-WAN > 配置 > SD-WAN 和流量整形 页面上进行配置。

在 SD-WAN 策略 标题下，可以找到用于配置基于策略的路由 (PbR) 和动态路径选择的设置。

此策略监控 VPN 隧道上的丢包、延迟和抖动情况，并在与视频流性能标准相匹配的 VPN 隧道之间对与流量过滤器相匹配的流执行负载均衡。

用于 Web 流量并具有性能故障切换功能的 PbR

Web 流量是网络管理员可能希望优化或控制的另一种常见流量类型。此分支机构将使用一项 PbR 策略，通过 WAN 1 接口上形成的 VPN 隧道发送 Web 流量，但前提是流量必须与自定义配置的性能类相匹配。

要配置此规则，请选择 自定义性能类 部分下的 创建新的自定义性能类 。

此规则将评估已建立 VPN 隧道的丢包情况，并将与流量过滤器相匹配的流从首选上行链路发送出去。如果超出 “Web” 性能规则中的丢包、延迟或抖动阈值，流量可以故障切换到 WAN2 上的隧道（假设其符合配置的性能标准）。

第 7 层分类

最适合用于 VoIP

要配置此规则，请点击 VPN 流量 部分下的 添加首选项 。

然后，为 首选上行链路 选择 最适合用于 VoIP 性能类，并保存更改。此规则将评估已建立 VPN 隧道的丢包、延迟和抖动情况，并根据当前的网络状况，通过 VoIP 流量的最佳 VPN 路径发送与配置的流量过滤器相匹配的流。

常见问题解答

MX 是否支持未加密的 AutoVPN 隧道？

否，AutoVPN 目前始终会对 VPN 隧道使用 AES-128 加密。

如果流量经过加密，QoS 或 DSCP 标签会如何？

QoS 和 DSCP 标签都保留在封装的流量中并被复制到 IPsec 报头。

非 Meraki 设备是否可用作 VPN 中心？

虽然可以在 Meraki 和非 Meraki 设备之间使用标准 IPsec VPN 建立 VPN 连接，但 SD-WAN 要求所有中心和分支设备均为 Meraki MX。

如何使用思科 ISR 路由器与 IWAN 实现互通？

这两种产品使用相似但不同的底层隧道技术（DMVPN 与 AutoVPN）。通常，混合使用这二者的解决方案可能需要在较大的站点使用 ISR 设备，而在较小的办公室或分支机构使用 MX 设备。这需要在数据中心内将专用 IWAN 集中器用于 ISR，并将单独的 SD-WAN 头端用于 MX。

双活 AutoVPN 是否可用于 3G 或 4G 调制解调器上？

虽然 MX 支持各种 3G 和 4G 调制解调器选项，但这些设备目前仅用于确保广域网发生故障时的可用性，而无法与活动的有线广域网连接配合起来用于负载均衡。

在分支机构中，SD-WAN 与热备份 (HA) 如何实现互通？

SD-WAN 可以部署在以热备份容量配置的分支机构 MX 设备上，但是只有发挥作用的主 MX 会建立 AutoVPN 隧道并路由 VPN 流量。

有关补充信息，请参阅以下参考资料。

自动 VPN 白皮书

有关思科 Meraki AutoVPN 技术如何发挥作用的详细信息，请参阅 本文 。

SD-WAN 页面

有关 SD-WAN 可用性的详细信息，请参阅我们的 SD-WAN 页面 。

附录 1：PbR 和动态路径选择的详细流量流

完整流程图

以下流程图对 Meraki SD-WAN 的路径选择逻辑进行了分解。后面几个部分的内容对此流程图进行了更详细的分解。

决策点 1：我们能否同时在两条上行链路上建立隧道？

SD-WAN 流量流的第一个评估点是评估 MX 是否在两个接口上都建立了活动的 AutoVPN 隧道。

如果未同时在两个接口上成功建立 VPN 隧道，则会通过成功建立 VPN 隧道的上行链路转发流量。

如果我们 可以 同时在两个接口上建立隧道，则处理过程继续，到达下一个决策点。

决策点 2：是否定义了用于动态路径选择的性能规则？

如果我们可以同时在两条上行链路上建立隧道，则 MX 设备会检查是否定义了任何动态路径选择规则。

如果 定义了 动态路径选择规则，我们会评估每条隧道，以便确定哪些隧道符合这些规则。

如果只有一条 VPN 路径符合我们的性能要求，则会沿该 VPN 路径发送流量。如果只有一条 VPN 路径符合动态路径选择的性能规则，则 MX 不会 评估 PbR 规则。

MX 配置模板最佳实践

随着网络部署增长至跨越多个站点，管理单个设备可能变得非常麻烦且没有必要。为帮助降低这些运营成本，Meraki MX 安全设备使用模板快速推出新的站点部署并进行批量更改。

本指南将概述如何在控制面板中创建和使用 MX 配置模板。

应该注意的是，对于非常倚重通过 API 管理网络的服务提供商或部署，我们建议考虑使用克隆网络而不是模板，因为相比可用于模板的 API 选项，可用于克隆的 API 选项目前能够提供更精细的控制。

为 MX 规划模板部署

推出模板部署（或在生产网络上启用模板）之前，将部署分为若干 “单元” 进行规划可能会有所帮助。这包括提出如下问题：

我的站点是什么？（例如，零售点、学校、分支机构等）

MX 是否将采用 HA 配置？

我是否需要本地覆盖？

网络部署术语中的 “站点” 通常与控制面板术语中的 “网络” 相同；每个站点都有自身的控制面板网络。因此，规划要以相同方式配置的多个站点时，它们将共享模板网络。

模板网络是由多个站点/网络共享的网络配置。单个站点网络可以绑定到模板网络，因此对模板所做的更改将推送到所有绑定站点。此外，还可以基于模板创建新网络，从而轻松启动相同类型的新站点。

规划模板部署时，每种类型的站点都应该有一个模板网络。

以下部分将介绍控制面板中 MX 模板的配置和使用：

创建网络配置模板

如上所述，应为要部署的每种类型的站点创建网络模板。

要创建网络模板，请执行以下操作：

在控制面板中，导航至 组织 > 监控 > 配置模板 。

点击 创建新模板 。

为模板选择一个描述性名称。如果这是一个全新的模板，请依次选择 创建新模板 和 MX 模板 。

如果此模板应基于现有网络，请选择 从以下位置复制设置 ，然后选择一个现有安全设备网络。

系统应首先显示 “自定义表达式” 字段。在文本字段中选择协议，然后指定源地址，其中 192.168.0.0/16 或 “默认” 是您的专用子网范围。如果只需要对一台特定主机进行整形，请使用 主机 按钮指定主机地址。完成后再次点击 “添加 +” 按钮。

选择首选上行链路、故障切换方法和性能类，然后点击 “保存更改”。

包含具有不同端口数的 MX 的模板

不同 MX 模型之间，端口编号也可能不同，在模板中将配置分配给特定端口号时，这一点可能会引起混淆。例如，模板中的 LAN 2 配置不会对 MX65 上的任何端口产生影响。

下表概述了模板端口号及其在某些 MX 型号上对应的物理端口（ 红色字段表示用于辅助广域网连接的端口 ）：

* (+)：可以通过安装 接口模块 对型号进行修改，以包含更多局域网端口。

您可以通过 本地状态页面 上 本地状态 选项卡下的 上行链路配置 ，将 LAN2 端口在 局域网 和 互联网 之间切换。

执行 MX 模板固件升级

对模板安排的固件升级将自动应用于子网络的网络本地时区。

作为一项最佳实践，请确保每台 MX 在 安全设备 > 监控 > 设备状态 下的本地时区配置正确。

PIM SM 需要在网络中布置一个交汇点 (RP) 以构建源树和共享树。建议将 RP 布置在尽量靠近组播源之处。可能的话，请将组播源直接连接到 RP 交换机以避免 PIM 的源注册流量，因为此类流量可能极耗 CPU。通常，核心/汇聚交换机是布置 RP 的不错选择

确保网络中的每个组播组都在控制面板上配置了 RP 地址

确保为组播发送器的源 IP 地址分配了正确子网中的 IP。例如，如果发送器位于 VLAN 100 (192.168.100.0/24) 中，则发送器的 IP 地址可为 192.168.100.10，但不应为 192.168.200.10。

确保所有已启用组播路由的交换机可从已启用组播路由的所有第 3 层接口 ping 通 RP 地址

配置 ACL 以阻止非关键组，例如 239.255.255.250/32 (SSDP)

完成汇聚层的配置后，我们需要设法连接客户端，此时就要将物理堆叠引入接入层或网络边缘。这将提供高性能的冗余接入层，最大限度地减少可能发生的各类故障，同时为企业部署提供充足的带宽。MS350 正是为此而设计的，具有完全冗余的电源和风扇，还能堆叠最多八台交换机，在一个堆叠中提供 384 个端口。这应该能为网络配线柜提供充足的连接，满足一层楼或一层楼一侧的需求，外加 160 Gbps 的堆叠带宽，我们还可以利用具有跨堆叠链路汇聚的多条上行链路，实现更高的汇聚层或核心层吞吐量。这样配置还能实现与我们之前设置的汇聚层堆叠交换机 MS425 的集成，从接入层到核心层提供冗余，从而最大限度地减少可能发生的各类故障。

在设置堆叠时，必须连接堆叠链路。我们这样做是为了创建一个完整的环，方法是将堆叠端口 1 连接到堆叠端口 2，一路沿堆叠而下，最后将底部交换机连接到顶部交换机，从而完成整个环。

最后要提到的是，MS350 交换机系列为多千兆以太网型号，与 MR53 无线接入点配合使用，可以通过双绞线以太网提供高于一千兆的速度。因此，园区既能实现堆叠冗余，又能在需要的时候为最终客户提供更高的吞吐量。有关详细信息，请参阅我们的 多千兆技术简介 。

园区网络中的 QoS部署注意事项

在任何园区部署中，确定流量优先级都是确保关键网络应用即使在高负载状态下也能运行的关键。这要使用服务质量 (QoS) 配置来实现。用最简单的方法解释 QoS，就是确定流量的优先级，确保重要流量或延迟敏感型流量优先于需求不太高的流量获得带宽。要阅读有关 Meraki 上的 QoS 的指南，请参阅我们的 MS QoS 文档 。

下表列出了 RFC 2475 中所述的常用 DSCP 值。为确保实现标准化，建议使用这些值，除非部署已经在使用一组不同的值。

与上述任何安全注意事项一样，如果不能使用访问控制列表 (ACL) 对 VLAN 之间的流量加以限制，网络设置就无法完成。有关在 MS 交换机上配置 ACL 的详细信息，请参阅我们关于 《交换机 ACL 操作》 的文章。

多个 VLAN部署

落实安全设置之后，我们可以采取一些主动措施来设计园区，通过限制 VLAN 穿过的位置缩小广播域的大小。这需要对 VLAN 进行设计，使其仅中继到建筑物的某些楼层，甚至仅中继到特定建筑物，具体取决于物理环境。这可以缩小广播数据包的泛洪范围，不会在每次广播时让流量遍布网络的每个角落，从而减少广播风暴可能造成的影响。例如，网络设计可以在一楼将 VLAN 3 用于数据并将 VLAN 4 用于语音，然后在二楼将 VLAN 5 用于数据并将 VLAN 6 用于语音。

为一楼中间分布层设备间 (IDF) 配置中继时，只需要 VLAN 5 和 6。此类设计可以轻松重复，最大可扩展至包含多栋建筑物的园区，分配一个或多个 VLAN 来实现流量分离。这还有助于进行故障排除，帮助根据所接收的 IP 地址查找用户。使用逗号分隔列表在控制面板中配置中继上允许的 VLAN 很简单。因此，要允许 VLAN 1、2、3、4 以及 10 至 20，只需键入 1-4、10-20 即可。

请注意，Meraki 交换机不需要创建或添加 VLAN，以便在中继接口上接受这些 VLAN。因此，思科 VTP 等协议并不是必需的，但这些协议与 MS 交换机兼容（即 VTP 透明模式）。

通过此屏幕，我们可以快速了解取客户端的概况，甚至可以尝试从控制面板对其执行 ping 操作。此外，我们还可以对流量进行数据包捕获，同时让最终用户尝试执行之前失败的操作。如果使用系统管理器 (SM) 跟踪客户端，还可以获得其他信息，从而能够查看所安装的软件，并确保它与可能通过 SM 应用的任何更新或策略同步。

如果要排除物理层问题，可以使用交换机上提供的电缆测试实用程序直接从控制面板中进行操作。

交换机部署最佳实践模板

随着网络部署增长至跨越多个站点，管理单个设备可能变得非常麻烦且没有必要。为帮助降低这些运营成本，Meraki MS 交换机使用模板快速推出新的站点部署并进行批量更改。

本指南将概述如何在控制面板中创建和使用 MS 交换机模板。

规划模板部署

推出模板部署（或在生产网络上启用模板）之前，将部署分为若干 “单元” 进行规划可能会有所帮助。这包括提出如下问题：

我的站点是什么？（例如，零售点、学校、分支机构等）

每个站点有多少台交换机？

同一站点的多台交换机是否配置相同？（例如，接入交换机、教室交换机等）

对这些问题的回答应该会直接影响您的模板部署，特别是对模板网络和交换机配置文件的使用。

路由和 DHCP

绑定到模板的网络的第 3 层设置作为此模板的例外情况。路由和 DHCP、OSPF 路由以及 DHCP 服务器和 ARP 页面将在绑定到模板的每个网络上进行配置，其行为与网络未绑定到模板时的行为相同。其中一个区别是，可以从父模板的 “全网” > “警报” 页面获取为 DHCP 服务器和 ARP 页面上新检测到的 DHCP 服务器设置邮件警报，从而应用于绑定到模板的所有网络。

网络部署术语中的 “站点” 通常与控制面板术语中的 “网络” 相同；每个站点都有自身的控制面板网络。因此，规划要以相同方式配置的多个站点时，它们将共享模板网络。

模板网络是由多个站点/网络共享的网络配置。单个站点网络可以绑定到模板网络，因此对模板所做的更改将推送到所有绑定站点。此外，还可以基于模板创建新网络，从而轻松启动相同类型的新站点。

规划模板部署时，每种类型的站点都应该有一个模板网络。

交换机配置文件

如果站点上的多台交换机共享相同的端口配置，则可以使用交换机配置文件轻松部署和更新交换机。在模板网络中，交换机配置文件定义一组交换机的每端口配置。例如，如果所有站点都包含多台配置完全相同的 MS220-24 交换机，则管理员可以为其 MS220-24 交换机设置交换机配置文件。通过这种方式，无论何时在站点上安装新的 MS220-24，系统都会自动采用其交换机配置文件并相应地配置其端口。

规划模板部署时，如果多台交换机共享相同的配置，请考虑为每种类型的交换机使用交换机配置文件。

配置文件可以被本地端口配置覆盖。如果已手动配置绑定配置文件的交换机端口，则即使更改配置文件，此手动配置也将 “粘滞” 并保留在交换机上。

不同的 MS 交换机型号无法共享同一配置文件。

下图显示网络模板和交换机配置文件之间的关系:

以下部分将介绍控制面板中交换机模板的配置和使用：

创建配置模板

如上所述，应为要部署的每种类型的站点创建模板网络。

要创建模板网络，请执行以下操作：

在控制面板中，导航至 组织 > 监控 > 配置模板 。

点击 创建新模板 。

为模板选择一个描述性名称。如果这是一个全新的模板，请依次选择 创建新模板 和 交换机模板 。

如果此模板应基于现有网络，请依次选择 从以下位置复制设置 ，并选择一个现有交换机网络。

创建模板后，可以使用某些全局交换机设置进行配置。这些设置也将应用于绑定到此模板的所有网络。

要配置模板网络，请从网络下拉列表中选择模板，然后在 交换机 > 配置 菜单选项下正常配置设置。这可能包括设置全局管理 VLAN、IPv4 ACL、端口计划等。此外，还可以在此处配置交换机配置文件，详情如下所述。

请注意，此处所做的任何配置更改都将应用于 所有 绑定网络。

创建和使用交换机配置文件

交换机配置文件可用于对相同型号的交换机进行批量配置。

要创建交换机配置文件，请执行以下操作：

从网络下拉列表中选择适当的网络模板。

导航至 交换机 > 配置 > 配置文件 。

如果未创建任何配置文件，系统会显示 “创建配置文件” 窗口。否则，点击 创建配置文件 。

选择描述性名称和要配置的交换机型号。

点击 保存 ：

点击新创建的配置文件。

要配置配置文件，请选择 配置此配置文件上的端口 。

以下端口配置页面可以与正常 交换机端口配置页面 完全相同的方式使用：

导航回 交换机 > 配置 > 配置文件 > 配置文件名称 下的交换机配置文件。

点击 绑定交换机 。

选择一个或多个交换机，然后点击 绑定到配置文件 ：

将交换机绑定到配置文件后，仍然可以通过控制面板对其进行正常配置。直接在交换机上进行的任何端口配置更改将覆盖配置文件配置，并报告为本地覆盖。

在以下示例中，已绑定交换机直接配置为在端口 3 上设置自定义 VLAN。在模板网络中，
在 交换机 > 配置 > 交换机配置文件 下，此配置更改显示在 本地覆盖 列下：

自动绑定交换机

将新网络绑定到具有至少一个交换机配置文件的现有模板后，可使用此选项将交换机 “自动绑定” 到此模板的配置文件。这可以退大幅减少设置新站点所需的工作量；如果要部署的每个交换机型号都具有配置文件，则唯一需要执行的配置是将网络绑定到此模板。

要在新网络中自动绑定交换机，请执行以下操作：

创建新的交换机网络。

照常将设备添加到此网络。

导航至 组织 > 配置模板 > 模板名称 。

点击 绑定其他网络 。

选择新创建的网络，然后选中 自动绑定目标设备 。

点击 绑定：

审核模板部署

虽然可以使用模板整合大多数交换机配置，但是对于需要在交换机上进行本地配置更改的单个端口或设置而言，可能存在例外情况。由于本地配置更改会覆盖模板和配置文件配置，因此必须跟踪整个组织中的任何本地配置更改。

要查看模板的本地配置覆盖，请执行以下操作：

导航至 组织 > 配置模板 > 模板名称 。

本地覆盖 列将显示是否有任何网络将会覆盖模板配置：

随着 Wi-Fi 的继续普及，越来越多的设备将消耗越来越多的带宽。对无处不在的连接需求日益增加，可能会给无线部署带来额外的压力。适应这些不断变化的需求并非始终需要更多的无线接入点来支持更高的客户端密度。随着时间的推移，对无线连接的需求发生了变化，IEEE 802.11 无线局域网标准也发生了变化以适应更高的密度，从 1999 年最早的 802.11a 和 802.11b 标准到 2013 年推出的最新 802.11ac 标准，再到目前正在开发的全新 802.11ax 标准。

最近，设计 Wi-Fi 网络的过程以现场实地调查为中心，以确定提供足够覆盖范围所需的最少数量的无线接入点。通过针对预定义的最小可接受信号强度评估调查结果，该设计将被认为是成功的。虽然这种方法适用于覆盖范围的设计，但它没有考虑基于客户端数量、功能和应用带宽需求的要求。

首先，需要了解高密度设计的要求，这有助于确保设计取得成功。此规划有助于减少安装后对于进一步现场调查以及随着时间的推移部署额外无线接入点的需求。建议在进入设计过程的后续步骤之前获得以下详细信息：

网络上的预期应用类型

支持的技术 (802.11 a/b/g/n/ac)

要支持的客户端类型（空间流数量、技术等）

要覆盖的区域

每个区域中预期同时使用的设备数量

审美要求（如有）

布线限制（如有）

功率限制（最好有支持 PoE+ 的基础设施，以支持高性能无线接入点）

获得上述详细信息后，即可将容量规划分为以下几个阶段：

估计总应用吞吐量

估计设备吞吐量

估计无线接入点的数量

建议在启动任何高密度无线网络设计时，首先计算满足站点带宽需求所需的无线接入点数量。

估计总应用吞吐量

通常，有一个推动连接需求的主要应用。了解此应用的吞吐量要求以及网络上的任何其他活动，可以确定每用户带宽目标。所需每用户带宽这一信息将用于推动进一步的设计决策。一些常用应用的吞吐量要求如下所示：

注：在所有情况下，最好测试目标应用并验证其实际带宽要求。而且还要在 WLAN 中支持的设备的代表性样本上验证应用，这一点也非常重要。此外，并非所有浏览器和操作系统都具有相同的效率，而且在采用 Microsoft Internet Explorer 或 Firefox 的 Windows 笔记本电脑上，查看某个应用可能只需要 100 千比特/秒 (Kbps) 就足够了，而在使用嵌入式浏览器和操作系统的智能手机或平板电脑上查看该应用却可能需要更多带宽

了解每个连接和应用所需的带宽吞吐量后，即可利用该数值确定 WLAN 覆盖区域中所需的总带宽。建议为教室、大堂、礼堂等不同区域提供总吞吐量，因为这些区域的要求可能有所不同。

例如，我们需要设计一个高密度 Wi-Fi 网络，以支持需要 3 Mbps 吞吐量的高清视频流。根据礼堂的容量，最多可能会有 600 名用户观看高清视频流。可以使用以下给定公式计算总应用吞吐量：

（应用吞吐量）x（并发用户数）= 总应用吞吐量

3 Mbps x 600 名用户 = 1800 Mbps

请注意，1.8 Gbps 超过了几乎所有互联网运营商提供的带宽。我们估计的总应用带宽是一个理论需求上限，后续计算中将会用到它。

估计设备吞吐量

虽然 Meraki 无线接入点支持最新的技术，并且可以支持根据标准定义的最大数据速率，但可用的平均设备吞吐量通常取决于其他因素，例如客户端功能、每个无线接入点的并发客户端、要支持的技术、带宽等。

客户端功能对吞吐量具有较大影响，因为与支持较新技术的客户端相比，仅支持传统速率的客户端将具有较低的吞吐量。此外，客户端支持的频段也可能会对吞吐量产生一定影响。Meraki 无线接入点具有 频段切换 功能，可将双频客户端切换至 5 GHz。

注：与双频客户端相比，仅支持 2.4 GHz 的客户端可能具有更低的吞吐量，因为与 5 GHz 相比，2.4GHz 的噪音级别更高，且客户端可能会在 2.4GHz 上协商更低的数据速率。

在某些情况下，还建议为每个频段提供专用 SSID，以便更好地管理跨频段的客户端分发，并消除可能出现的任何兼容性问题。

注：默认情况下，禁用仅具有 2.4 GHz SSID 的选项。请联系 Meraki 支持团队启用此功能。

要评估客户端吞吐量要求，请调查客户端设备并确定其无线功能。必须确定受支持的无线频段（2.4 GHz 与 5 GHz）、受支持的无线标准 (802.11a/b/g/n/ac) 以及每台设备支持的空间流数量，这一点非常重要。由于无法始终通过客户端设备文档找到其支持的数据速率，因此控制面板上的 “客户端详细信息” 页面可用作确定其功能的简便方法。

客户端详细信息列表示例

Wi-Fi 基于 CSMA/CA，属于半双工模式。这意味着，一次只有一台设备可以通话，而连接到同一无线接入点的其他设备需要轮流等待访问此信道。因此，并发客户端计数也会对无线接入点的吞吐量产生影响，因为可用频谱将在连接到无线接入点的所有客户端之间进行分配。虽然 Meraki 具有 客户端均衡 功能，可确保客户端在区域中的无线接入点之间均匀分布，但应知悉每个无线接入点的预期客户端计数，以用于容量规划。

注：为确保体验质量，建议在高密度部署中，为每个无线电设置大约 25 个客户端，或为每个无线接入点设置 50 个客户端。

从 802.11n 开始，可以使用信道绑定来增加客户端可用的吞吐量，但在使用信道绑定时，无线接入点的唯一可用信道数量也会减少。由于信道可用性降低，对于更大规模的部署而言，同信道干扰可能会增加，因为信道重用受到影响，导致对总吞吐量产生负面影响。

注：在高密度环境中，通常建议使用 20 MHz 的信道宽度，以减少使用同一信道的无线接入点数量。

客户端设备并非始终支持最快的数据速率。设备供应商有不同的 802.11ac 标准实施方式。为延长电池寿命并缩小尺寸，大多数智能手机和平板电脑中通常都设计有 Wi-Fi 天线（通常情况下为一根，但是大多数新型设备都有两根）。此设计会将所有这些设备限制到比标准支持更低的流，从而使移动设备的速度变慢。在下表中，可以看到单空间流 (433 mbps)、双空间流 (866 mbps) 和三空间流 (1300 mbps) 的最大数据速率。目前，市场上没有设备支持 4 个空间流或更宽的 160 MHz 信道，但这些设备通常被宣传为支持 802.11ac 标准的可选 “第二代” 设备。

除基于吞吐量的无线接入点数量之外，根据客户端计数计算无线接入点的数量也很重要。要确定无线接入点的数量，第一步是估计每个频段的客户端数量。借助新型技术，现在有更多设备支持双频工作，因此使用上述设备的专有实施方式可以切换至 5 GHz。

注：常见的设计策略是在 2.4 GHz 和 5 GHz 之间进行 30/70 分割

对于此示例，现在有以下要求和假设：

将有 600 个并发用户将视频流传输到他们的笔记本电脑

并发 2.4 GHz 客户端 = 600 * 0.3 = 180

并发 5 GHz 客户端 = 600 * 0.7 = 420

现在，我们可以粗略地计算出满足客户端计数所需的无线接入点数量。四舍五入到最接近的整数。

基于客户端计数的无线接入点数量 =（并发 5 GHz 客户端）/25

基于客户端计数的无线接入点数量 = 420/25 = ~ 17 个无线接入点

现在，可以使用两个无线接入点计数中的较高者来计算所需的无线接入点数量。

无线接入点数量 = 最大值（基于吞吐量的无线接入点数量、基于客户端计数的无线接入点数量）

无线接入点数量 = 最大值（18、17）= 18 个无线接入点

无线现场勘查与设计

执行有效的无线现场勘查是成功部署高密度无线网络的重要环节，有助于评估实际物理环境中的射频传播。通过有效的现场调查，您还可以主动传输数据并获得传输距离之外的其他数据速率覆盖范围。

除在实际环境中验证射频传播之外，在现场勘查过程中还建议进行频谱分析，以便找出各种潜在的射频干扰源并采取措施对其进行修复。现场调查和频谱分析通常使用专业级工具包（例如，Ekahau Site Survey 和 Fluke Networks Airmagnet）执行。确保在整个预期覆盖区域内至少有 25 dB 的信噪比。请务必调查 5GHz 信道的覆盖范围，而不仅仅是 2.4 GHz 信道的覆盖范围，以确保没有覆盖盲区或缺口。根据空间的大小和所部署的无线接入点数量，可能需要在某些无线接入点上选择性地关闭部分 2.4GHz 无线电，以避免在所有接入点之间发生过多的同信道干扰。

注：建议完全覆盖两个频段。

注：请阅读 使用 MR 无线接入点进行现场调查 指南，以获取有关进行射频现场调查的更多帮助。

安装无线接入点

安装思科 Meraki 无线接入点的两种主要方式是吊装和壁装。每种安装解决方案都各有优势。

在 2.4 GHz 上使用增益高于 11 dBi 的第三方天线或在 5 GHz 上使用增益高于 13 dBi 的第三方天线，可能违反一些国家/地区的法规。Meraki 仅认证 Meraki 天线。

无线接入点的放置

确定无线接入点的数量后，即可进行无线接入点的实地放置。应执行现场调查，不仅要确保所有区域都有足够的信号覆盖，还需确保楼层平面图上无线接入点的适当间距，同时尽可能减少同信道干扰并确保适当的信元重叠。必须考虑用于放置无线接入点的射频环境和建筑材料，这点非常重要。

请查看思科 Meraki 旧金山办公室的以下设计。4 楼建造用于支持思科销售团队和开展客户体验，此外还有一间咖啡馆。3 楼则建造用于支持思科的全天候技术支持团队、小型 IT 部门以及思科协作团队，其中包括网真和思科 Spark 高清视频聊天等应用。3 楼的密度是 4 楼的两倍。

配备 30 个无线接入点的高密度部署，思科旧金山办公室 4 楼

SSID 数量

建议的最大 SSID 数量为 3 个，并且在高密度环境中，此建议已成为一项要求。如有需要，SSID 数量可以增加到 5 个，但只应在必要时增加数量。使用 5 个以上的 SSID 会从管理帧中产生大量的发送时间开销：消耗 20% 或更多可用带宽，并将最大吞吐量限制在计划容量的 80% 以下。为每种所需的身份验证（Splash、PSK、EAP）创建单独的 SSID，并整合使用相同类型身份验证的各个 SSID。

添加多个 SSID 会对容量和性能产生负面影响。有关更多详细信息，请参阅文章《多 SSID 部署注意事项》。

启用桥接模式

建议使用桥接模式，通过无缝的第 2 层漫游改善 IP 语音客户端的漫游。在桥接模式下，Meraki 无线接入点充当网桥，允许无线客户端从上游 DHCP 服务器获取其 IP 地址。桥接模式在大多数情况下运行正常，可提供最快转换的 无缝漫游 。使用桥接模式时，预期区域中的所有无线接入点（通常是射频配置文件中的一层或一组无线接入点）应支持相同的 VLAN，以允许设备在无线接入点之间无缝漫游。

对于桥接模式下的无缝漫游，有线网络应设计为在平面布局中提供单个无线 VLAN。如果网络要求用户在不同子网之间漫游，建议使用第 3 层漫游。在两个子网或 VLAN 之间漫游时，桥接模式将需要 DHCP 请求。在此期间，实时视频和语音呼叫将出现明显的中断或暂停，从而降低用户体验。

对于 IP 语音，不建议使用 NAT 模式：启用 NAT 模式后，设备将在每次漫游时请求新的 DHCP IP 地址。在 NAT 模式下在无线接入点之间移动将导致连接在从一个无线接入点移动至另一个无线接入点时中断。在无线接入点之间漫游期间，需要持续流量流（例如，VoIP、VPN）或媒体流的应用将中断。

第 3 层漫游

需要在多个 VLAN 之间漫游的大型无线网络可能需要第 3 层漫游，以便在移动客户端漫游时启用应用并实现会话持久性。启用第 3 层漫游后，客户端设备将在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。

思科 Meraki 的 第 3 层漫游 是一种分布式、可扩展方式，使无线接入点无需控制器或集中器即可相互建立连接。设备连接的第一个无线接入点将成为锚定无线接入点。锚定无线接入点将通知网络中的所有其他思科 Meraki 无线接入点，它是特定客户端的锚点。到另一个无线接入点的每次后续漫游都将设备/用户置于由锚定无线接入点定义的 VLAN 上。这非常适合需要第 3 层漫游的高密度环境，并且网络上没有吞吐量限制。

MR 继续支持 到集中器的第 3 层漫游 ，因此需要 MX 安全设备或 VM 集中器充当移动集中器。客户端通过隧道连接到集中器上指定的 VLAN，并且此 VLAN 上的所有数据流量现在将从 MR 路由到 MX。集中器会形成阻塞点，并且在高密度环境中，客户端数量可能会受到 MX 集中器吞吐量的限制。

无线电设置和自动射频

思科 Meraki 无线接入点配备第三个无线电，专用于连续自动监控周围的射频环境，即使在最高密度部署中也能最大限度地提高 Wi-Fi 性能。通过测量信道利用率、信号强度、吞吐量、来自非 Meraki 无线接入点的信号以及非 Wi-Fi 干扰，思科 Meraki 无线接入点可自动优化各个无线接入点的无线电发射功率和选定的工作信道，以最大限度地提高整个系统的容量。

此外，建议使用射频配置文件来更好地调整无线网络，以满足性能要求。应为每个需要独特射频设置的区域创建单独的射频配置文件。可在射频配置文件中设置以下详细信息：

如果客户端设备需要 2.4 GHz，则启用 “ 具有频段切换功能的双频段 ”，以使客户端设备能够同时使用 2.4 GHz 和 5 GHz 信道。设备将被切换为使用 5 GHz 频段。有关更多详细信息，请参阅文章《 频段切换概述 》。使用双频网络，客户端设备将由网络控制。如果不需要支持
2.4 GHz，建议使用 “仅 5 GHz 频段”。应在环境的所有区域进行测试，以确保没有覆盖盲区。

设置最小比特率

使用射频配置文件，可以按每个频段或每个 SSID 设置最小比特率。对于高密度网络，建议每个频段使用最小比特率。如果需要在无线网络上支持传统的 802.11b 设备，建议将 11 Mbps 作为 2.4 GHz 的最小比特率。调整比特率可以降低无线网络的开销并提高漫游性能。增加此值需要有适当的覆盖范围和射频规划。管理员可以通过禁用较低的比特率来提高 2.4 GHz 和 5 GHz 频段上的客户端性能。系统将以最低的选定速率发送管理帧。客户端必须使用最低的选定速率或更快的速率。选择 12Mbps 或更高的最小比特率将妨碍 802.11b 客户端加入，并通过以更高的比特率发送广播帧来提高射频环境的效率。

注：根据标准，6 Mbps、12 Mbps 和 24 Mbps 是强制数据速率。思科旧金山办公室使用 18 Mbps 作为最小比特率。

在向 40-Mhz 或 80-Mhz 信道移动时，由于信道绑定，通过将信道宽度增加一倍或增加三倍，实际上可以将非重叠 5GHz 信道的数量减至一半（如果选择 40-MHz）或四分之一 (80-MHz) 。如果要将同信道干扰 (CCI) 和相邻信道干扰 (ACI) 保持在最低限度，这又增加了必须放置无线接入点的距离。

虽然使用 40-MHz 或 80-Mhz 信道似乎是一种提高整体吞吐量的具有吸引力的方式，但其中一个后果是，由于传统（仅限 20-MHz）客户端无法利用更宽的信道，降低了频谱效率，导致较宽信道上的空闲频谱。根据射频环境，即使是 40 MHz 和 80 MHz 的客户端也只能使用 20 MHz 基本信道，并且经常可以在高度争议的射频环境中观察到。

由于高密度部署中常见的客户端组合（如笔记本电脑、手机和平板电脑等），此类环境中客户端的功能也各不相同（有些客户端支持 20-Mhz 信道，有些客户端支持 40-MHz 信道，有些客户端支持 80-Mhz 信道）。因此，最好让每个客户端以最低的公共信道宽度进行通信，从而为每个客户端提供相同的网络访问权限。最好有 4 个客户端在 20-MHz 上与 4 个无线接入点通信，而不是 4 个具有混合功能的客户端在 80-MHz 上与 1 个无线接入点通信，从而导致空闲。

DFS 信道和信道重用

UNII-2/2e 频段具有可用于 WLAN 但与雷达应用重叠的附加信道，通常称为 DFS 信道。思科 Meraki 无线接入点支持 802.11h，提供两项关键功能：动态频率选择 (DFS) 和传输功率控制 (TPC)。利用这些功能，客户可以使用额外的 DFS 信道，从而将可用 5 GHz 信道的总数增加到 19 个。使用 19 个信道可以增加信道重用，以确保更好的 CCI。

注：信道重用是指在某个地理区域内的无线接入点上使用相同信道的过程，这些无线接入点相隔足够的距离，以使彼此之间的干扰最小。

对于启用 DFS 信道并且不需要信道重用的示例部署，下面的网格显示了 12 个没有信道重用的无线接入点。由于美国有 19 个信道，当同一空间内的无线接入点数量达到 20 时，无线接入点将需要重用信道。

802.11r（快速 BSS 转换） - 802.11r 允许将加密密钥存储在网络中的所有无线接入点上。这样，每当客户端漫游到网络中的新无线接入点时，客户端就不需要对 RADIUS 服务器执行完全的重新身份验证过程。可以从 网络访问 > 802.11r 下的 配置 > 访问控制 页面启用此功能。如果未显示此选项， 则可能需要进行固件更新 。

随机密钥缓存 (OKC) - 802.11r 和 OKC 可实现减少客户端漫游时间这一共同目标，关键区别在于 802.11r 是标准配置，而 OKC 是专有配置。这两种协议的客户端支持将有所不同，但一般来说，大多数手机都将同时支持 802.11r 和 OKC。

802.11i（PMKID 缓存） - 由 IEEE 802.11i 定义的 PMK 缓存用于通过消除所发生的 RADIUS 交换来提高 802.1X 的漫游性能。从高层次的角度来看，这要通过客户端将 PMKID 发送到存储此 PMKID 的无线接入点来实现。如果是匹配项，则无线接入点将了解客户端之前已通过 802.1X 身份验证，并且可能跳过此交换。

802.11k（邻居 BSS） - 802.11k 通过允许客户端更快地确定它应该漫游到哪个无线接入点以及如何漫游，从而减少漫游所需的时间。客户端当前连接的无线接入点将为其提供有关相邻无线接入点及其信道的信息。

设置带宽限制

考虑针对所有网络流量设置每客户端带宽限制。如果所有其他应用都受到限制，优先处理语音和视频等应用将会产生更大的影响。有关更多详细信息，请参阅文章《 配置无线网络上的带宽限制并启用速度突发 》。对于高密度环境中的每客户端带宽限制，5 Mbps 是一个很好的建议。您可以覆盖特定设备和应用的这一限制。

注：这不会限制客户端的无线数据速率，而是限制实际带宽，因为流量桥接到有线基础设施。

转至 无线 > 配置 > 防火墙和流量整形 ，然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。

使用 “ 速度突发 ” 将 “ 每客户端带宽限制 ” 设置为 5 Mbps。这将适用于所有非语音应用流量。
本指南中的此步骤为可选操作。

将 “ 每 SSID 带宽限制 ” 设置为无限制。

将组播转换为单播

思科 Meraki 无线接入点使用 IGMP 协议自动执行组播到单播的数据包转换。然后，以客户端协商的数据速率而不是最小强制数据速率发送单播帧，从而确保向大量客户端传输高质量的视频。这在教室等实例中特别有价值，其中多个学生可能会观看高清视频作为课堂学习体验的一部分。

思科 Meraki 无线接入点会自动限制重复广播，从而保护网络免受广播风暴的影响。MR 无线接入点将限制广播的数量，以防广播占用发送时间。这还可以通过减少必须移动设备处理的流量来延长其电池寿命。

发送时间公平性

默认情况下，思科 Meraki 无线接入点将启用 “发送时间公平性”，并确保连接到单个无线接入点的现有客户端能够平等地访问无线接入点覆盖范围内的发送时间。

无线第 3 层漫游最佳实践

大型 WLAN 网络（例如，大型园区中的网络）可能需要在第 3 层进行 IP 会话漫游，以便在移动客户端跨多个 VLAN 漫游时启用应用并实现会话持久性。例如，当 VoIP 呼叫的用户在无第 3 层漫游的不同 VLAN 上的无线接入点之间漫游时，用户的会话将被中断，因为外部服务器必须与客户端的新 IP 地址重新建立通信。在此期间，VoIP 呼叫将出现几秒钟的明显中断，从而降低了用户体验。在小型网络中，可以通过将所有无线接入点置于同一 VLAN 上来配置平面网络。

但是，在充斥着数千台设备的大型网络上，从最佳实践的角度来看，配置具有单个本地 VLAN 的扁平架构可能并非理想的网络拓扑；配置传统设置以符合此架构要求也可能极具挑战性。因此，在配置复杂的园区拓扑时，非常需要一种旨在实现跨 VLAN 无缝漫游的统包解决方案。利用 Meraki 的安全自动隧道技术，可以使用移动集中器启用第 3 层漫游，从而以无缝、可扩展的方式跨多个 VLAN 进行桥接。

典型园区架构

大型园区通常采用多 VLAN 架构来对广播流量进行分段。通常，网络最佳实践规定了 IP 子网与 VLAN 的一对一映射，例如，将为加入 VLAN 10 的客户端设备分配超出子网范围 10.0.10.0/24 的 IP 地址。在此设计中，不同 VLAN 中的客户端将通过 DHCP 服务器接收不同子网中的 IP 地址。多 VLAN 架构可能会有所不同，以包括建筑物内的多个子网（例如，每个楼层/区域一个）或跨大型站点的多个子网（例如，大型园区或企业环境中的每个建筑物/区域一个）

如下图所示，典型的园区架构将核心 L3 交换机连接到多个 L3 分布式交换机（每个站点一个），然后每个分布式交换机将分散到配置在不同 VLAN 上的 L2 接入交换机。通过这种方式，为每个站点分配不同的 VLAN，以分离来自不同站点的流量。如果没有第 3 层漫游服务，连接到站点 A 的 L2 接入交换机的客户端将无法无缝漫游到连接到站点 B 的 L2 接入交换机。与站点 B 上的无线接入点关联后，客户端将从站点 B 范围内运行的 DHCP 服务获取新的 IP 地址。此外，特定路由配置或路由器 NAT 也可能会阻止客户端漫游，即使它们确实保留其原始 IP 地址。

通过第 3 层漫游，客户端设备必须在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。Meraki 的自动隧道技术通过在启用 L3 的无线接入点之间创建永久性隧道并根据架构（移动集中器）实现这一目标。下面将详细讨论两种第 3 层漫游架构。

分布式第 3 层漫游

分布式第 3 层漫游为终端设备维持第 3 层连接，因为它们在没有集中器的情况下在第 3 层边界上漫游。设备连接的第一个无线接入点将成为锚定无线接入点。锚定无线接入点将通知网络中的所有其他 Meraki 无线接入点，它是特定客户端的锚点。到另一个无线接入点的每次后续漫游都将设备/用户置于由锚定无线接入点定义的 VLAN 上。

分布式第 3 层漫游极具可扩展性，因为无线接入点将在不需要集中器的情况下彼此建立连接。目标无线接入点将在共享用户数据库中查找并联系锚定无线接入点。此通信不会遍历 Meraki 智能管理平台，并且是用于无线接入点通信的安全无线接入点专有协议。

客户端离开网络 30 秒后，客户端的锚定无线接入点将超时。

广播域映射

每个 Meraki 无线接入点通过以太网上行链路发送第 2 层广播探测，以发现在连接客户端时可能与之关联的每个 VLAN 上的广播域边界。这是出于多种原因执行的操作。其中一个原因是可能存在以下情况：AP1 连接到接入端口（无 VLAN 标记）并且 AP2 连接到使用相同 VLAN 的中继端口，但 VLAN ID 存在并标记在上行链路上。
此外，还有可能存在不同建筑物中使用相同的 VLAN ID（表示不同广播域）的情况，因此确保在哪些广播域上可以确切找到哪些无线接入点和 VLAN ID 非常重要。除隧道负载均衡和恢复能力之外，广播域映射和发现过程还允许锚定无线接入点和托管无线接入点具有实时视图，以在两个无线接入点之间共享 VLAN。这样即可在客户端进行第 2 层到第 3 层的漫游时做出有效的决策，如下面的 “VLAN 测试和动态配置” 部分所述。这一点非常重要，以便可以出于负载均衡原因或在原始锚定无线接入点不再可用的故障切换情况下，动态切换客户端的锚定无线接入点。
Meraki 无线接入点将发送探测以发现以下广播域：

无线接入点的本地 VLAN

为无线接入点上的 SSID 配置的任何 VLAN

通过客户端策略动态学习的任何 VLAN

无线接入点最近从控制面板网络中的另一个Meraki 无线接入点接收广播探测的任何 VLAN

广播域映射的强大功能在于，这将发现与无线接入点上配置的 VLAN ID 无关的广播域。由于采用此方法，广播域上的每个无线接入点最终将准确收集当前构成域的 AP/VLAN ID 对。

广播域发现

以下步骤将确定与广播域对应的 AP/VLAN ID、VID 对：

无线接入点定期广播包含次广播域的无线接入点 VLAN ID 的 BCD 通告数据包，提供无线接入点与之交互的每个广播域上的 {sender AP,VID} 对。

基于最近在同一广播域上的 BCD 通告数据包中观察到的 AP/VID 对，创建等价类。

附加说明：

广播域上的每个无线接入点最终将准确收集当前构成域的 AP/VID 对。

原则上，任何 AP/VID 对均可用于指代广播域。在给定 AP1/VID1 的情况下，只要知道此广播域的完整对列表，即可判断其他 AP2/VID2 对是否指代同一个域。

使用广播域漫游

Meraki MR 利用分布式客户端数据库，可以高效存储在网络中发现的客户端，并轻松扩展到数千台客户端可能连接的大型网络。无线接入点可实时访问客户端分布式数据库，以确定先前是否已在网络中的其他位置发现连接客户端。这要求 Meraki 网络中的无线接入点彼此之间具有第 3 层 IP 连接，通过 UDP 端口 9358 进行通信。利用 Meraki 控制面板，无线接入点能够动态获悉网络中的其他无线接入点（包括位于不同管理 VLAN 上的无线接入点），了解它们应该与哪些设备通信，从而在分布式客户端数据库中查找客户端。

以下过程描述客户端漫游如何与第 3 层漫游一起运行

如上文所述，锚定无线接入点具有针对每个已连接广播域的一组完整的 AP/VLAN ID 对。

在客户端关联中，托管无线接入点从分布式存储区检索客户端数据。

如果托管无线接入点 未 在存储区中找到条目：

然后，托管无线接入点将成为客户端的锚定无线接入点。它将客户端存储在分布式数据库中，并添加候选锚定无线接入点组。候选锚点组包括无线接入点自身的 AP/VLAN ID 对以及来自同一锚定广播域的两个随机选择的对。

它会从上文概述的先前广播域发现过程中检查客户端的 VLAN 是否在本地可用。如果关联的 VLAN ID 可用，则托管无线接入点将成为锚定无线接入点，并且将为客户端动态地调配此客户端的 VLAN。请参阅下面的 “VLAN 测试和动态配置” 部分。

否则，托管无线接入点为客户端设置锚定无线接入点（从候选锚点组中选择一个随机对）。

VLAN 测试和动态配置

锚定无线接入点将对目标无线接入点运行测试，以确定每个为 VLAN 提供服务的客户端是否存在共享第 2 层广播域。如果两个无线接入点上存在 VLAN 匹配项，则目标无线接入点将为 VLAN 配置设备，而无需建立到锚点的隧道。尽管为目标无线接入点和由其提供服务的客户端配置了 VLAN，但此测试将动态配置漫游设备的 VLAN。如果由于在上游交换机端口上 VLAN 被删除或者无线接入点位于完全分离的第 3 层网络中，导致未在目标无线接入点上找到 VLAN，则将使用下文所述的隧道传输法。

本地 VLAN 测试和动态配置是一种用于防止所有客户端通过隧道连接到单个锚定无线接入点的方法。为了防止进行过度的隧道传输，第 3 层漫游算法确定它能够将用户置于客户端在锚定无线接入点上使用的相同 VLAN 上。在这种情况下，客户端会像在桥接模式下一样进行第 2 层漫游。

如有必要，目标无线接入点将建立到锚定无线接入点的隧道。使用 Meraki 专有无线接入点建立隧道，以进行无线接入点通信。为了在多个无线接入点之间对多个隧道进行负载均衡，隧道选择器将选择可以访问客户端漫游的原始广播域的随机无线接入点。如果目标无线接入点检测到当前选择的锚定无线接入点的连接故障，则目标无线接入点将选择新的锚定无线接入点，作为故障切换机制。
所有无线接入点都必须能够通过 IP 相互通信。这对于客户端数据隧道和分布式数据库而言都是必需的。如果目标无线接入点无法与锚定无线接入点通信，则第 3 层漫游将超时，并且终端设备将需要在新 VLAN 上进行 DHCP。

分布式第 3 层漫游目前不支持 OKC 和 802.11r 等快速漫游协议。使用 802.11r 进行第 2 层漫游可以获得最佳漫游性能。

让我们从头到尾详细介绍分布式第 3 层漫游架构的示例。在此示例网络中，我们将使用以下配置：

VLAN 10 上标记为 “A 组” 的 5 个 MR

VLAN 20 上标记为 “B 组” 的 5 个 MR

SSID：Corporate

客户端 IP 分配：第 3 层漫游

VLAN ID：

A 组：VLAN 15

B 组：VLAN 25

客户端 A 与管理 VLAN 10 上的 “A 组” 无线接入点关联，并按预期接收 VLAN 15 中的 IP 地址。此无线接入点将成为客户端的锚定无线接入点和托管无线接入点。Meraki 网络中的无线接入点已构建广播域映射对 (AP/VLAN ID) 并将交换定期更新。客户端 A 漫游到管理 VLAN 20 上的 “B 组” 无线接入点（客户端 VLAN 25）。“B 组” 无线接入点现在被视为托管无线接入点，并读取分布式客户端数据库，以查看客户端之前是否已连接。它会查找客户端条目并在本地进行检查，以查看客户端的广播域是否在交换机端口上可用。广播域不可用，并且托管无线接入点现在将从候选锚点组（通过分布式客户端数据库检查提供）中挑选出一个锚定无线接入点，该锚定无线接入点将自身通告给分布式客户端数据库，因为它具有客户端 VLAN 15 的访问权限。选择锚定无线接入点后，连同两个候选锚点一起提供恢复能力，将建立隧道且托管无线接入点将使用此信息更新分布式客户端数据库。

托管无线接入点将定期刷新锚点无线接入点和分布式数据库。客户端的锚点无线接入点条目的到期时间为 30 秒。如果客户端断开网络连接长达 45 秒，作为示例，它可以连接回与客户端关联的相同广播域上的新锚定无线接入点。客户端的分布式数据库到期计时器是 DHCP 租用时间。这可以有效确定在分布式数据库中记录客户端的广播域绑定时间。如果客户端断开网络连接，然后在 DHCP 租用时间到期之前重新连接，则客户端仍将绑定到其原始广播域。

在另一个场景中，让我们想象一个有 10 层楼的大型企业园区。根据常见的企业园区设计，客户已为用户划分每层一个 VLAN。为适应整个园区建筑之间的客户端移动性和无缝漫游，客户希望利用分布式第 3 层漫游。使用 AP 标记，配置将根据标记为给定的 SSID 指定 VLAN ID 分配。在这种情况下，将使用以下配置：

SSID：Corporate

客户端 IP 分配：第 3 层漫游

VLAN ID：

1 楼 - VLAN 11

2 楼 - VLAN 12

3 楼 - VLAN 13

4 楼 - VLAN 14

5 楼 - VLAN 15

6 楼 - VLAN 16

7 楼 - VLAN 17

8 楼 - VLAN 18

9 楼 - VLAN 19

10楼 - VLAN 20

MR 将连接的交换机端口将被配置为中继端口。1-5 楼的交换机将允许使用 VLAN 11、12、13、14、15。6-10 楼交换机将允许使用 VLAN 16、17、18、19、20。通过这种配置，在 1 楼关联的用户将接收 VLAN 11 上的 IP 地址。当他们在整个建筑中漫游、更换楼层时，漫游将仅为第 2 层漫游，且不需要隧道。

只有当客户端漫游到建筑的上半部分（或反之亦然）时，才会形成隧道以使客户端保持在其原始广播域中。请记住，即使客户端最初接收 VLAN 11 上的 IP 地址（因为 5 楼的无线接入点可以访问通过广播域映射和发现机制发现的广播域），此客户端仍将维护它的 VLAN 11 IP 地址信息并将仅使用 5 楼的无线接入点作为新锚点。

通过这种设计，可以为大多数时间待在建筑物特定部分的用户提供传统的第 2 层漫游，并允许大多数移动客户端继续无缝漫游，从而实现最大的灵活性。

基于集中器的第 3 层漫游

连接到启用第 3 层漫游的 SSID 的任何客户端都会自动桥接至 Meraki 移动集中器。移动集中器充当焦点，当客户端在 VLAN 之间移动时，所有客户端流量将通过隧道传输和锚定到此处。通过这种方式，由第三方客户端或服务器定向到客户端的任何通信数据似乎都源自该中心锚点。任何 Meraki MX 都可以充当集中器，请参阅 MX 选型指南，以确定适合预期用户和流量的 MX 设备。

无线 VoIP QoS 最佳实践

本文是旨在优化 Meraki MR 无线接入点上无线 IP 语音应用的服务质量 (QoS) 的指南。IP 语音 (VoIP) 已通过基于 IP 的电话取代企业网络中的电话。虽然大多数使用 VoIP 的台式电话需要以太网连接，但也有许多语音应用和无线 VoIP 电话可通过 Wi-Fi 运行。

Meraki MR 系列 Wi-Fi 无线接入点已经过思科 Meraki 测试，可在使用思科 Jabber、Microsoft Lync、Microsoft Skype for Business、Broadsoft、思科 7900 系列电话、SpectraLINK 电话、Ascom 电话、思科电话和 Apple iPhone 时提供最高质量的 VoIP 体验本指南将提供优化语音质量的建议，然后将提供产品特定建议。

测量语音质量

通过遵循本指南，可以显著提高无线语音应用的服务质量，减少或消除通话中断、声音断断续续、声音模糊不清、嗡嗡声、回音、长时间暂停、单向音频以及在无线接入点之间漫游时出现的问题。

为制定本指南，我们使用 Microsoft Lync 的预呼叫诊断工具进行了测试。测试期间使用的终端是 Macbook Pro，此设备运行 Office 365 云托管 Skype for Business Online（也称为 Lync Online）。所有测试均在连接到位于旧金山 Meraki 总部内的 MR32 无线接入点时进行，该接入点是一个高密度的企业 Wi-Fi 网络。此工具测量语音质量的 3 个关键指标：

网络 MOS - 网络平均意见评分 (MOS) 是网络对 VoIP 对话收听质量的影响。评分范围为 1 至 5，其中 1 表示质量最差，5 表示质量最高。

丢包率 - 丢包率是传输过程中丢失的数据包的百分比。

到达间隔抖动 - 到达间隔抖动测量所接收数据包的到达时间变化（单位：毫秒 [ms]）。

通过将本指南与配置客户端设备配置、应用服务器、广域网链路和有线网络的最佳实践相结合，您可以测量和改进端到端的高质量语音。有关配置有线网络以支持语音的详细信息，请参阅文章《 为标准 VoIP 部署配置 MS 接入交换机 》。

遵循本指南之前的语音质量

使用 MR 上的默认设置，我们可以查看基准质量。某些用户可以接受在此网络上使用 Lync 进行语音呼叫，但其他用户无法接受。Lync 测试结果显示网络平均意见评分 (MOS) 降至 3.5 以下。低于 3.5 的值被许多用户视为不可接受。在通过运行速度测试模拟的网络拥塞期间，丢包率跃升至 8%。抖动在 12 毫秒到 36 毫秒之间变动。思科建议的目标为 10 ms 的抖动和不超过 50 ms 的抖动。在语音/视频应用中使用缓冲来处理抖动，这会增加短暂的延迟。人耳通常可以接受高达约 140 毫秒的延迟而不会注意到它。

遵循本指南之后的语音质量

完全按照本指南中的说明进行更改后，我们发现语音质量有显著提高。MOS 评分接近 3.9，丢包率接近零，抖动始终低于 6 毫秒且始终低于 12 毫秒。开始呼叫后，流量整形会自动启动，并具有优先级和 QoS 标记。我们进行了速度测试，其对语音流量没有影响 - 拥塞期间的丢包率增加到 0.5%。

无线语音最佳实践

思科 Meraki 无线网络具有内置智能功能，可进行深度数据包检测，以识别语音和视频应用并使用队列和标记对流量进行优先排序，从而通知网络的其余部分如何处理语音流量。以下是通过无线网络提供最佳语音质量的最佳实践摘要。

对重叠的 5 GHz 语音质量覆盖范围（所有区域的信号强度均为 -67 dB）执行 安装前射频调查 。

如有可能，请创建一个专用于 IP 设备语音的新 SSID。

将身份验证类型设置为 “ WPA2 预共享密钥 ”

将 WPA 加密模式设置为 “ 仅 WPA2 ”。

启用 “ 802.11r ” 快速漫游。

启用 “ 仅 5 GHz 频段 ”。

将最小比特率设置为 “ 12 Mbps ” 或更高。

安装前调查

无线接入点的设计和布局对 Wi-Fi 语音质量至关重要。配置更改无法解决有缺陷的无线接入点部署。在专为语音设计的网络中，无线接入点会更紧密地组合在一起并具有更大的重叠覆盖范围，因为语音客户端在中断呼叫之前应该在无线接入点之间漫游。在无线接入点上使用较小的单元和较低的功率设置进行设计是确保来自相邻无线接入点/小区的重叠覆盖区域的关键要素。在执行调查时，根据设备类型设置明确的要求。

现场安装前调查对于识别和确定某些具有挑战性的区域或潜在干扰源，例如现有的 Wi-Fi 网络、流氓软件以及来自微波炉和多种无绳电话等来源的非 802.11 干扰。应至少在安装后 48 小时内执行现场安装后调查，确保网络能够确定信道和电源设置。

由于与 2.4 GHz 相比，5 GHz 具有更低的本底噪声，因此优选 5 GHz 覆盖语音应用

验证在所有要覆盖的区域中，是否可以在 -67 dBm 或更高强度的电话上看到无线接入点

验证无线接入点是否可以在所有区域中看到 -67 dBm 或更高强度的电话

所有区域中的信噪比应始终为 25 dB 或更高，以提供语音应用的覆盖范围

信道利用率应低于 50%

添加专用语音 SSID

语音优化通常需要不同的配置，包括访问控制和流量整形，以满足设备特定建议。您应该为专用于语音应用的设备创建单独的语音 SSID。虽然这不是一项强制要求，但我们建议您创建一个单独的网络以遵循本指南。在具有两个不同制造商的 VoIP 手机的网络中，通常需要创建两个语音 SSID。

如果您计划部署 4 个以上的SSID，请阅读以下指南： 多个 SSID 的后果。 ​

身份验证类型

Wi-Fi 设备上的语音通常具有移动性，并且在传递语音流量时在无线接入点之间移动。无线接入点之间的漫游会影响语音呼叫的质量。漫游受到身份验证类型的影响。身份验证类型取决于设备及其支持的身份验证类型。最好选择最快且设备支持的身份验证类型。如果您的设备不支持快速漫游，建议使用 WPA2 预共享密钥。不支持快速漫游的 WPA2-Enterprise 可能会在漫游期间导致延迟，因为它需要重新进行完整的身份验证。在 WPA2-Enterprise 中使用快速漫游时，漫游时间可以从 400-500 毫秒减至 100 毫秒以下，因此从一个无线接入点过渡至另一无线接入点时会快到用户都无法察觉。以下身份验证类型列表按从最快到最慢的顺序排列。

开放（未加密）

WPA2 预共享密钥和快速漫游

具有快速漫游功能的 WPA2-Enterprise

WPA2 预共享密钥

WPA2-Enterprise

WPA2 仅适用于加密模式

通过使用单一加密类型，语音设备可以从中受益。默认情况下，配置为 WPA2 的思科 Meraki 无线接入点上的 SSID 将结合使用 WPA1 TKIP 和 WPA2 AES 加密。建议使用 WPA2 (AES)，以便利用缓存或快速漫游。WPA 加密设置是特定于 SSID 的，可在 “无线” > “配置” > “访问控制” 页面上找到。

如果所有语音设备都支持 WPA2，则建议针对 IP 语音设备使用 “仅WPA2” 选项。

如果设备不支持 AES，也可以仅强制使用 TKIP。请 联系思科 Meraki 支持 人员配置此选项。

有关更改 WPA 加密模式的分步说明，请参阅有关 设置 WPA 加密模式 的文档。

802.11r 快速漫游

建议启用 802.11r，以提高漫游时的语音质量。除蜂窝网络之外或代替蜂窝网络，802.11r 标准旨在改善连接到 Wi-Fi 的移动设备上的 VoIP 和语音应用。当移动设备从一个区域漫游到另一个区域时，它们与一个无线接入点解除关联并重新关联到下一个无线接入点。通过减少在无线接入点之间切换所花费的漫游时间，启用 802.11r 可以使 VoIP 设备从中受益。有些客户端设备与快速 BSS 转换 (802.11r) 不兼容。您可能需要检查您设备的兼容性。

可以从网络访问 > 802.11r 下的配置 > 访问控制页面启用此功能。如果未显示此选项， 则可能需要进行固件更新 。有关 802.11r 的更多详细信息，请参阅有关 快速漫游技术 的指南

第 2 层漫游和第 3 层漫游

建议使用桥接模式，通过无缝的第 2 层漫游改善 IP 语音客户端的漫游。在桥接模式下，Meraki 无线接入点充当网桥，允许无线客户端从上游 DHCP 服务器获取其 IP 地址。桥接模式在大多数情况下运行正常，特别是对于 无缝漫游 ，并且此模式是将无线客户端放置在 LAN 上的最简单的选项。要配置客户端 IP 分配模式，请参阅有关 用于客户端 IP 分配的 SSID 模式 文档。

使用桥接模式时，同一楼层或区域中的所有无线接入点应支持相同的 VLAN，以允许设备在无线接入点之间无缝漫游。在两个子网之间执行第 3 层漫游时，使用桥接模式将需要 DHCP 请求。例如，当 VoIP 呼叫的用户在无第 3 层漫游的不同 VLAN 上的无线接入点之间漫游时，用户的会话将被中断，因为外部服务器必须与客户端的新 IP 地址重新建立通信。在此期间，VoIP 呼叫将出现几秒钟的明显中断，从而降低了用户体验。

每层有多个 VLAN 的大型无线网络可能需要在第 3 层进行 IP 会话漫游，以便在移动客户端在多个 VLAN 之间漫游时启用应用并实现会话持久性。启用第 3 层漫游后，客户端设备将在不同 VLAN/子网上的多个无线接入点之间漫游时具有一致的 IP 地址和子网范围。如果您的网络需要第 3 层漫游，请参阅 有关第 3 层漫游的文章 。

注：强烈建议在考虑第 3 层漫游选项时咨询思科 Meraki SE 或思科合作伙伴。

对于 IP 语音，不建议使用 NAT 模式：启用 NAT 模式后，设备将在每次漫游时请求新的 DHCP IP 地址。在 NAT 模式下在无线接入点之间移动将导致连接在从一个无线接入点移动至另一个无线接入点时中断。在无线接入点之间漫游期间，需要持续流量流（例如，VoIP、VPN）或媒体流的应用将中断。

隔离语音 VLAN 上的流量

语音流量往往伴随着大量双向 UDP 通信。由于 UDP 流量没有开销确保传输，因此语音流量极易受带宽限制、链路阻塞甚至同一线路上的非语音流量的影响。隔离语音流量使其能够独立于其他网络流量运行，并允许对不同类型的流量进行更精细的控制。

如果已在 Meraki MS 交换机上指定语音 VLAN，则此端口将接受语音 VLAN 上的标记流量。此外，该端口将发送 LLDP 和 CDP 通告，建议设备将此 VLAN 用于语音流量。无线接入点上标记的 VLAN 应与有线网络上的语音 VLAN 匹配。有关详细信息，请参阅文章《为标准 VoIP 部署配置 MS 接入交换机》。

2.4 GHz 频段仅有 3 个信道不重叠，而 5 GHz 频段在美国有多达 19 个独立信道。如果设计正确，无线网络将为无线语音提供最佳服务质量，以支持 5 Ghz 语音覆盖范围。这可以在 “访问控制” > “无线选项” > “频段选择” > “仅 5 GHz 频段” 下配置。配置完成后，应在环境的所有区域中执行测试。如果在安装后现场调查后发现没有适当的 5 GHz 覆盖范围，则可以在 “无线电设置” > “信道规划” 中手动增加 5 GHz 无线电的功率。

如果没有专用语音 SSID，请启用 “ 具有频段切换功能的双频段 ”，以使语音设备能够同时使用 2.4 GHz 和 5 GHz 信道。设备将被切换为使用 5 GHz 频段。有关更多详细信息，请参阅文章《 频段切换概述 》。使用双频网络，客户端设备将由网络控制。但是，要提高语音质量，请遵循有关 在客户端设备上配置无线频段首选项 的指南。

如果您的设备仅支持 2.4 GHz 网络（例如 802.11bgn 设备），请联系 Meraki 支持 团队启用仅 2.4 GHz 的网络。

最小比特率

对于语音网络，建议将 12 Mbps 作为最小比特率。增加此值需要在射频规划中提供适当的覆盖范围。管理员可以通过禁用较低的比特率来提高 2.4 GHz 和 5 GHz 频段上的客户端性能。调整比特率可以降低无线网络的开销，并且在某些情况下还可以提高漫游性能。

此功能应基于每个 SSID 在 “访问控制” 页面上的 “配置” 选项卡下进行配置。系统将以最低的选定速率发送管理帧和数据帧。客户端必须使用最低的选定速率或更快的速率。

请牢记，选择 12Mbps 或更高的比特率将妨碍 802.11b 客户端加入。

当您提高最小比特率时，客户端需要更高的信噪比才能加入和使用无线接入点。

除非获得思科合作伙伴的特别建议，否则建议的最高设置为 24Mbps。大多数环境和设计都无法提供足够大的信噪比，以便客户端可靠地解码以更高速率发送的所有帧。

考虑针对其余网络流量设置每客户端带宽限制。如果所有其他应用都受到限制，优先处理语音流量将会产生更大的影响。有关更多详细信息，请参阅文章《 配置无线网络上的带宽限制并启用速度突发 》。

转至 无线 > 配置 > 防火墙和流量整形 ，然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。

使用 “ 速度突发 ” 将 “ 每客户端带宽限制 ” 设置为 5 Mbps。这将适用于所有非语音应用流量。 本指南中的此步骤为可选操作。

将 “ 每 SSID 带宽限制 ” 设置为无限制。

要使 QoS 优先排序实现端到端运行，请确保上游网络设备也支持 QoS 优先排序。无线接入点上应用的 PCP 和 DSCP 标记应与有线网络配置匹配，以确保端到端 QoS。有关详细信息，请参阅文章《 为标准 VoIP 部署配置 MS 接入交换机 》。

自定义流量整形

如果您的语音流量与内置应用签名不匹配或未列出，则可以为流量整形创建自己的签名。

添加托管 Microsoft Lync/Skype for Business、Jabber、Spark 或其他语音应用的服务器使用的 IP 和端口。

在 定义 字段中，点击 添加 + 和 自定义表达式

在文本字段中，输入每个语音服务器的 IP 地址（例如 172.16.1.123 ）或一个服务器 IP 范围 172.16.1.0/24

此外，通过针对单个服务器使用 CIDR 表示法 localnet:172.16.1.123/32 或针对一个 IP 范围使用 localnet:172.16.1.0/24 ，将服务器添加为源地址。

完成后再次点击 添加 + 按钮。

产品特定建议

思科 Meraki 与设备制造商（例如 Apple）密切合作，为他们提供用于进行互通性测试的无线接入点。Meraki 在整个设备范围内执行自己的测试，并且我们的客户支持团队会快速处理并报告漏洞。本节将根据 Meraki 客户的实际部署以及 Meraki 和下面提到的供应商开发的最佳实践提供建议。

Microsoft Lync/Skype for Business

本节将提供有关如何为 Microsoft Lync 和 Skype for Business 实施 QoS 的指导。Microsoft Lync 是一种广泛部署的企业协作应用，可连接使用多种类型设备的用户。这会带来额外的挑战，因为专用于 Lync 应用的单独 SSID 可能不实用。安装 Microsoft Lync Server/Skype for Business 时，将不会为组织中使用 Windows 以外的操作系统的任何设备启用服务质量 (QoS)。有关通过 Wi-Fi 部署 Lync 的更多指导，请阅读 Microsoft 的部署指南《 通过 Wi-Fi 提供 Lync 2013 实时通信 》。

Meraki 的深度数据包检测可以智能地识别无线网络上的 Lync 呼叫，并应用流量整形策略来优先处理 Lync 流量 - 使用 SIP 语音协议。除用于 Skype 和 SIP 的 Meraki 内置签名之外，您还应通过 IP 以及 Lync 客户端或服务器使用的任何自定义端口来识别每台 Lync 服务器。请按照以下步骤配置 Lync/Skype 的流量整形规则。

转至 无线 > 配置 > 防火墙和流量整形 ，然后从屏幕顶部的 SSID 下拉菜单中选择 SSID。

点击 流量整形 旁边的下拉菜单，选择 对此 SSID 进行流量整形 ，然后点击 创建新规则 。

考虑使用 “ 速度突发 ” 将 “ 每客户端带宽限制 ” 设置为 5 Mbps。这将适用于所有非语音应用流量

将每 SSID 带宽限制为 无限制

为 所有语音和视频会议 > “Skype” 和 “SIP（语音）” 创建流量整形规则

从下拉列表中将每客户端带宽限制设置为 “ 忽略 SSID 每客户端限制（无限制） ”。

将 PCP 设置为 “ 6 ”。Lync Server 2013 不再支持 802.1p 参数。该参数仍然适用于向后兼容 Microsoft Lync 服务器 2010；但是，它对使用 Lync Server 2013 的设备没有影响。

将 DSCP 设置为 “ 46（EF - 加速转发，语音） ”

为托管 Microsoft Lync/Skype for Business 的服务器使用的 IP 和端口添加 “ 自定义表达式 ”

对于云托管的 Lync/Skype，请添加下表中的域名

添加下表中的端口号或您自己的已分配端口号列表

添加每台本地 Lync 服务器的 IP 地址

上表中列出的端口是 Microsoft 提供的标准端口。启用客户端设备的 QoS 配置以修改端口范围并分配 DSCP 值 46。Microsoft 的最佳实践包括在服务器和客户端设备上配置端口范围。有关启用 QoS 的详细信息，请参阅 Microsoft 文章《 在 Lync Server 2013 中管理服务质量 (QoS) 》。

思科 7925G 电话

思科 7925G、7925G-EX 和 7926G VoIP 电话需要进行特定设置才能与配置有 WPA2-PSK 关联要求的 Meraki MR 无线接入点进行交互操作。有关将思科 792xG 与 MR 无线接入点集成的详细信息，请参阅 思科统一无线 IP 电话 792xG + 思科 Meraki 无线 LAN 配置指南 。

思科建议将频段选择设置为 仅 5 GHz 频段 。

不要使用 “提供频段切换功能的双频操作” 选项。如果由于距离增加需要使用 2.4 GHz 频段，则应选择双频操作（2.4 GHz 和 5 GHz）。

将最小比特率设置为 11 Mbps 或更高。

默认情况下，思科 Meraki 无线接入点将当前标记有 DSCP EF (46) 的语音帧标记为 WMM UP 6，并将标记有 DSCP CS3 (24) 的呼叫控制帧标记为 WMM UP 4。

Vocera 徽章

Vocera 徽章与 Vocera 服务器通信，且服务器包含 AP MAC 地址到构建区域的映射。然后，服务器会向安全人员发送警报，以跟踪此通告位置。定位精度要求具备更高的无线接入点密度。在高密度部署中，您可能需要手动将所有受支持无线电上每个无线接入点的传输功率降至 5 dB。Vocera 提供了有关部署 WLAN 最佳实践以支持 Vocera 徽章的其他文档。有关详细信息，请下载有关 Vocera WLAN 要求和最优实践 的文档

某些型号的 Vocera 徽章不支持 5 GHz 或 WPA2 AES 加密，并且需要 WPA1 TKIP。请 联系思科 Meraki 支持团队 ，以在您的网络上配置 WPA1 TKIP。

Wi-Fi 通话

移动网络运营商 (MNO) 现在允许客户通过 Wi-Fi 拨打电话以节省漫游费用，并在蜂窝网络覆盖较差的建筑物中利用 Wi-Fi 覆盖。预计到 2015 年底，大多数移动设备和 MSP 都将支持 Wi-Fi 通话。Apple 将维护提供 Wi-Fi 通话的 运营商列表 以及支持 Wi-Fi 通话的 设备 列表。

企业 Wi-Fi 基础设施不仅需要处理载波语音流量，而且这种有限的频谱还需要供视频流和 Web 会议等其他应用和服务共享。在延迟和抖动方面的语音要求保证了网络具有适当的端到端 QoS 设计和语音优化，可以在存在其他应用的情况下优化 Wi-Fi 通话数据包的传送。

运营商 Wi-Fi

运营商正在使用 Wi-Fi 分流蜂窝网络中的数据，以满足移动设备用户不断增长的需求。支持 Wi-Fi 以满足这种需求的两种技术为 Wi-Fi 通话和 Hotspot 2.0。

Hotspot 2.0

Hotspot 2.0 也称为 Passpoint，是一项服务提供商功能，可帮助运营商进行分流。在对 802.11 标准所做的 802.11u 修订中，附加信息包含在已配置 Hotspot 2.0 的 SSID 中，以便 Hotspot 2.0 客户端设备可以分析使用情况，以确定它是否能够自动加入网络。

托管服务提供商 (MSP) 现在可以在思科 Meraki MR 无线接入点上启用 Hotspot 2.0 选项。Meraki 允许 MSP 自定义 Hotspot 2.0 SSID 通告，以允许其用户在网络之间轻松漫游。Hotspot 2.0 选项仅适用于合格的托管服务提供商。请联系 思科 Meraki 支持 部门检查其资格。

VoIP 的故障排除

我们撰写了一篇详细的文章，重点介绍 Meraki 上的 VoIP 故障排除。请访问以下文章：
《 思科 Meraki 上的 VoIP：常见问题和故障排除提示 》

最佳实践设计 - MV 摄像头

Meraki MV 摄像头 - 简介和功能

本文将介绍基本的摄像头行业术语和 MV 功能。以下是对在部署、设计或安装安防摄像头网络时可能遇到的一些术语的说明。

焦距是摄像头镜头的一个技术指标，它会影响视场 (FoV)。焦距越长（通常以毫米为单位），图像放得越大。

可以调整具有可变焦距（有时称为变焦）的摄像头进行光学放大（或缩放），以增强远距离对象的细节。

配备定焦镜头的摄像头无法调整焦距。尽管一些室外摄像头也具有固定焦距，但配备定焦镜头的摄像头在室内、多成像仪或鱼眼摄像头中最常见。

Meraki MV 摄像头有配备变焦镜头和定焦镜头的各种型号。

MV12N 的焦距比 MV12W 的焦距长，因此 MV12N 的视场更窄。

视场 (FoV) 是用于描述摄像头可以看到多少场景的术语。视场越窄（通俗地说，当镜头更加放大时），显示的场景部分越小，例如，仅显示房门入口。视场越宽，显示的场景部分越大，例如显示整个房间，而不仅仅显示房门入口。视场通常分为水平和垂直部分，并以度数表示。

景深是指在图像中能够清晰呈现物体的距离范围。它取决于摄像头类型、光圈和对焦距离。在安防摄像头应用中，最好是尽可能使更多的图像位于景深范围内。用于拍摄近距离和远距离物体的摄像头必须减少光圈，从而使衍射形成的图像变得柔和（有关更多信息，请参阅 模糊圈 ）。

光圈描述允许光线进入摄像头传感器的光圈或孔。光圈越大，进入摄像头的光线就越多。可以进入摄像头的光线越多，在光线不足时就可以看到越多，图像就越亮。光圈越高（光线越少）意味着景深越大。光圈越低（光线越多）意味着景深减小。

Lux （符号：lx）是 照度 和 发光度 的 国际标准 (SI) 衍生单位 ，用于测量单位面积的 光通量 。它等于每平方米一 流明 。在 光度测定 中，这可作为人眼所感知的通过表面照射或穿过表面的 光 强度的度量。它类似于 辐射度 单位瓦特/平方米，但是将根据 光度函数 对每个 波长 的功率进行加权，这是 人类 视觉亮度感知的标准化模型。在英语中，“lux” 可用作单数和复数两种形式。

球型摄像头

球型摄像头是指外形为球型或半球形的安防摄像头。这种外形的优势在于，它可以轻松且谨慎地安装在许多位置。

防尘防水等级（或 IP 等级）是设备抵御水和灰尘的能力的标准度量。IP66 等级表示设备具有防风雨能力。官方术语规定，它可以完全防止固体物体和强力喷射器（12.5 毫米喷嘴）射出的水从任何方向进入摄像头（包括雨水）。有关 IP 代码的更多信息，请访问 https://en.wikipedia.org/wiki/IP_Code 。

Meraki MV71 摄像头的额定防护等级为 IP66。

IK 等级

IK 等级是设备抗冲击性的标准度量。IK 等级介于 0 到 10 之间。它提供了一种指定外壳容量以保护其内含物免受外部冲击的方法。有关 IK 等级的更多信息，请访问 https://en.wikipedia.org/wiki/EN_62262 。

Meraki MV71 具有第二高的防护等级 - IK10，并且可以防御从 40cm 高度掉落的 5kg 物体的冲击。

PTZ 是指平移、倾斜、变焦，描述一种允许用户沿三个轴远程调整摄像头镜头的摄像头。 平移 摄像头沿水平轴来回移动其视场。 倾斜 命令使摄像头在垂直轴上上下移动。摄像头 变焦 会影响物体在视场中的远近程度。

图像传感器

图像传感器 或 成像传感器 （又称： 成像仪 ）是检测和传送构成 图像 的 信息 的 传感器 。它通过将光 波 的可变 衰减 （当它们 穿过 或 反射 物体时）转换为 信号 ，即传递信息的小突发 电流 来实现。这些波可以是 光 或其他 电磁辐射 。图像传感器用于 模拟 类型和 数字 类型的 电子 成像设备，包括 数码摄像头 、 摄像头模块 、 医疗成像 设备以及诸如 热成像 设备、 雷达 、 声纳 等 夜视 设备。随着 技术的不断变化 ， 数字成像 会逐渐取代模拟成像。

用于可见光的早期模拟传感器是 摄像管 。目前，所使用的类型是 半导体 电荷耦合器件 (CCD) 或采用互补式金属氧化物半导体 ( CMOS ) 或 N 型金属氧化物半导体（ NMOS 、 Live MOS ）技术中的 有源像素传感器 。用于不可见辐射的模拟传感器往往涉及各种类型的 真空管 。数字传感器包括 平板探测器 。

快门速度描述快门保持打开状态的时间长度，快门打开允许摄像头在拍照时收集光线。由于视频是一系列图片（帧），因此此设置适用于视频帧。摄像头收集光的时间越长，在光线不足的情况下就能看得更清楚。

Meraki MV 快门速度由摄像头自动控制，可介于 1/5 到 1/32,000 秒之间。

红外线 (IR) 照明器

红外线 (IR) 照明器是用于照亮黑暗场景的灯具。电磁波谱上的红外波长范围对人眼是不可见的，但可以通过摄像头看到。红外线照明器可以在人类无法看清的时候使摄像头在黑暗中具有可视能力。

Meraki MV 红外线照明器由于尺寸原因具有强大的功能，MV21/MV71 的可视范围可达 30 米（98 英尺），MV12 的可视范围可达 15 米。

一些安防摄像头设计需要外部红外线照明，尤其是在需要捕获大型或远距离场景的情况下。这些情况下将使用单独的红外线 “泛光灯” 来照亮场景。

固态存储器

固态存储器是指没有物理移动部件的存储器。固态存储器的一些示例包括：现代智能手机中的内存、拇指驱动器上的闪存或数字摄像头中的 SD 卡。与固态存储器相对的是磁存储器；其中一个示例是带有旋转磁盘的传统硬盘。固态存储器比传统的旋转硬盘更快、更可靠。

高耐用性是指摄像头存储器在较长时间以及大量写入周期内的完整性。每次使用新数据重写时，固态存储器会随着时间的推移出现磨损。为了确保摄像头能够可靠地存储视频，MV 采用了最先进的高耐用性和高容量固态存储器技术。其他供应商的摄像头有时会提供可更换的内存；但是，用户通常会将出厂内存替换为消费级存储器，而这种存储器并非专为高频率（P/E 周期）设计的，且更容易出现故障。

视频分辨率

视频分辨率是可以显示的每个维度中的不同像素数。它通常引用为宽度 x 高度，单位为像素（例如，1920x1080 表示宽度为 1920 像素，高度为 1080 像素）分辨率直接影响视频监控流量消耗的带宽量。图像质量（分辨率的函数）和帧速率是所需带宽量的函数。随着图像质量和帧速率的增加，带宽要求也会增加。

模拟视频分辨率

视频监控解决方案使用一组标准分辨率。国家电视系统委员会 (NTSC) 和逐行倒相 (PAL) 是两种流行的模拟视频标准。PAL 主要用于欧洲、中国和澳大利亚，并以 50-Hz 的刷新率指定每帧 625 行。NTSC 主要用于美国、加拿大和部分南美洲地区，并以 59.94-Hz 的刷新率指定每帧 525 行。这些视频标准以隔行模式显示，这意味着每个周期只刷新一半的行。因此，PAL 的刷新率将转换为每秒 25 个完整帧，NTSC 将转换为每秒 30 (29.97) 个帧。

Motion JPEG (MJPEG) 是由一系列压缩联合图像专家组 (JPEG) 图像组成的格式。这些图像仅受益于帧内的空间压缩；没有利用帧之间的变化的时间压缩。因此，所达到的压缩级别无法与使用预测帧方法的编解码器进行比较。

MPEG-1 和 MPEG-2 格式基于离散余弦变换，具有预测帧和用于额外压缩的标量量化。这两种格式使用广泛，并且 MPEG-2 仍然在 DVD 和大多数数字视频广播系统中普遍使用。在同等质量等级下，这两种格式都比 MPEG-4 具有更高的带宽水平。这两种格式通常不用于 IP 视频监控摄像头部署。

MPEG-4 引入了基于对象的编码，通过定义视场中的对象来处理运动预测。MPEG-4 可以提供相对于网络带宽和存储要求的出色质量水平。MPEG-4 通常部署在 IP 视频监控中，但在 H.264 可用时将被 H.264 取代。MPEG-4 可能会继续用于标准清晰度的摄像头。

H.264 是 MPEG-4 第 10 部分的等效技术标准，也称为高级视频编解码器 (AVC)。这一新兴标准可以提供比现有压缩技术更大的压缩潜力和更高的质量。据估计，使用 H.264 时至少可以比使用 MPEG-4 的相同配置节省 25% 的带宽。H.264 所能实现的带宽节省对于高清晰度和百万像素摄像头部署非常重要。

H.265（也称为 MPEG H 第 2 部分）是一种 视频压缩标准 ，是广泛使用的 AVC （H.264 或 MPEG-4 第 10 部分）的几个潜在后继者之一。与 AVC 相比，HEVC 在相同的视频质量水平下可以提供大约两倍的 数据压缩 比，或者在相同的 比特率 下显著提高视频质量。它支持最高达 8192×4320 的分辨率，包括 8K 超高清 。H.265 的效率比 H.264 更高，但它的优势最常见于更高分辨率的视频，例如 4K。

Meraki MV 摄像头在第 2 代（MV12，2018 年推出）和更高版本的摄像头中使用 HDR。第 1 代摄像头（MV21、MV71，2016 年推出）动态范围是 69dB，这是具有标准动态范围的典型摄像头。

MV 功能

沉浸式成像

通过使用广角镜头，摄像头可以跨越比普通摄像头更宽的视场（一些摄像头镜头设计甚至覆盖完整的 360 度）。沉浸式成像有助于实现数字 PTZ。因此，即使摄像头本身不移动，也能够在帧内以数字方式平移、倾斜和变焦。

“智能视频” 是一个行业术语，指的是对图像进行分析并基于所 “看到” 的内容执行操作的摄像头解决方案。可以参考 Meraki MV 系列的运动分析、动态保留策略或对象计数/检测功能。

基于运动的录制

在基于运动的录制中，摄像头仅在检测到帧中的运动时才会执行录制。通常，录制是由场景中的运动量触发的，例如一个人走进门。与使用相同存储量的连续录制相比，基于运动的录制可以实现更长的视频保留时间；然而，当事件未触发最小运动阈值时，这种技术就容易出现漏报（并且因此会丢失视频数据）。

基于运动的保留

基于运动的保留与基于运动的录制的不同之处在于，基于运动的录制仅在检测到运动时才进行录制，而基于运动的保留则是在未在历史视频片段中检测到运动时，才使用软件从摄像头中删除片段。这样，摄像头可以在删除不包含运动的旧片段之前保留最近几天的最新完整片段，从而延长存储时间。

直接流传输

在直接流传输（或本地流传输）中，MV 摄像头通过本地网络将视频直接发送到用户的浏览器。当用户和摄像头均位于本地时，此功能无需使用广域网带宽。无需手动配置即可启用此功能。优势在于它比云代理流传输更快、更高效。

云代理用于当控制面板自动确定用户设备没有直接连接到局域网中的 MV 摄像头时，对视频进行流传输。然后，视频流通过 Meraki 基础设施进行代理，从而允许用户查看实时和历史视频。这将使用广域网带宽，并且加载速度比本地流传输慢。

视频墙是一个动态视频界面，用于查看一系列拼接的摄像头数据源。它可以在用户的 Web 浏览器中显示实时视频和历史视频，而无需任何软件或浏览器插件。单个视频墙中的所有视频拼接块将在查看历史片段的整个过程中（即使在使用运动搜索工具时）保持同步。

自适应比特率流

根据所配置的分辨率和质量设置，来自 MV 摄像头的视频流最多可能会消耗每个摄像头约
3 Mbps 的带宽。自适应比特率流 (ABS) 可以在视频元素大小低于 540p 时选择传输较低质量的比特率流，在视频元素大小高于 540p 时选择传输完整质量的比特率流，从而减少总体带宽消耗。借助 ABS，使用 16 个高质量 1080p 摄像头对视频墙进行流传输可将所需带宽减少约 40 Mbps！

安全和架构

网络攻击越来越普遍，攻击者可以利用各种不安全的方式进入网络。最近发生的一些攻击就利用了安全性较差的安防摄像头和 NVR 作为进入网络的路径。因此，这些设备应具有与传统网络设备相同的安全级别。

通过简化架构并默认启用多项最佳实践安全功能，Meraki MV 安防摄像头可以开箱即用，提供广泛的安全性。

让我们将传统摄像头系统与 Meraki MV 摄像头解决方案进行比较。

摄像头架构

传统系统通常依赖于现场网络视频录像机 (NVR) 或基于服务器的录制解决方案。此外，通常还需要手动下载和配置专用软件包。这些额外的移动部件都需要安全地配置和管理，并且如果网络安全是优先事项，则需要对系统的生命周期进行持续的安全修补和软件更新。如果这些设备未得到适当保护并保持最新状态，则随着网络上的设备数量增多，攻击者就可以获得更多可能的入口点。

对于我们的数据中心，Meraki 服务位于具有 SAS70 II 型/SSAE16 和 ISO 27001 等认证的 1 级数据中心。这些数据中心采用最先进的物理和网络安全措施以及高度可靠的设计。可以在多个独立数据中心之间复制所有 Meraki 服务。这意味着，在发生灾难性数据中心故障时，可以快速对服务进行故障切换。有关数据中心的更多信息，请访问 思科 Meraki 数据中心信息页面 。

密码和管理员

使用传统摄像头系统时，NVR/DVR、摄像头、VMS 和服务器操作系统均需要密码。通常，不存在用于管理所有这些密码的中央存储库。因此，许多管理员选择保留默认密码或创建非常简单、易于猜测的密码，如 “password”。此外，当员工离开组织时，缺乏集中式密码管理使得很难确保将不应再拥有访问权限的人员从系统中删除。传统系统确实能够创建具有不同权限级别的管理员和用户账户。如果站点管理员确实决定实施此安全最佳实践，则缺少账户凭证的中央存储库就意味着具有多个 NVR/DVR 的分布式环境必须通过连接到其部署中的每个 NVR/DVR 来管理账户。传统安防摄像头部署的密码和管理员访问控制的缺点在于：

使用传统解决方案，摄像头可以持续将视频流传输到 NVR 以进行录制。此数据流通常未加密且不安全。本地访问的默认可访问性可通过未加密的 HTTP 端口实现，以便从 GUI 查看录制视频。启用安全 HTTPS 访问需要部署和管理证书。这通常超出许多管理员的知识或技能范围，因此流经网络的数据未加密。

传统摄像头解决方案不提供现成可用的远程访问，而需要进行额外的 VPN 和/或复杂的防火墙配置。如果组织选择使用 VPN，则需要在现场部署和配置前端 VPN 设备。必须在用于远程访问的所有管理员设备上安装和配置 VPN 软件。没有 VPN 配置的设备将无法远程访问系统。

如果通过端口转发或 1:1 NAT 设置远程访问，则必须使用 SSL/TLS 证书来确保对系统的加密访问。这就需要管理、部署和更新摄像头系统的证书。管理证书可能非常复杂，且正确的配置和管理需要特定的知识和技能组合。通过端口转发，可能会将系统暴露于已知漏洞。此类示例包括无法更改的硬编码根用户名/密码（由供应商设置）等。

对于传统解决方案，端到端加密和安全性往往被视为可选选项。一些制造商拥有内置这些功能的特定摄像头和解决方案；他们将其标记为 “网络安全” 选项。

并非始终可以实现端到端加密，因为它要求解决方案的所有组件都支持此功能。在传统部署中，摄像头、NVR 和 VMS 往往来自不同的制造商。制造商之间需要协作才能实施集成到所有组件中的加密解决方案。

支持从 NVR 到查看器的传输中加密的公司将其作为可选功能提供，默认情况下不启用。如果启用此功能，则需要在用于本地或远程查看摄像头的所有设备上安装和管理加密密钥。由于需要手动安装和管理，因此很少使用从 NVR 到用户的传输中加密功能。

最后，对于静态加密，大多数制造商没有用于加密存储在 NVR/DVR 上的数据的解决方案。如果未经授权的用户获得驱动器，他们可能能够访问并查看录制片段。

Meraki 访问和加密解决方案

使用任何现代 Web 浏览器（不需要下载插件）即可在 dashboard.meraki.com 上轻松访问 MV 摄像头。Meraki 控制面板可以智能地确定查看计算机是否与摄像头位于同一本地网络中。如果位于同一本地网络中，视频流量将通过局域网直接安全地传输，从而节省广域网带宽。如果不位于同一本地网络中，控制面板将通过云将视频通过代理转发到远程客户端。

如果客户端具有摄像头专用 IP 地址的 IP 路由，则两者之间将建立安全连接。当客户端位于局域网、站点间 VPN 或客户端 VPN 上时就会如此。在局域网场景中，没有广域网带宽用于视频流。直接流传输通过视频流左下角的绿色复选标记指示。

远程访问不需要特殊配置（VPN、端口转发等）。可通过互联网在任意位置访问控制面板。如果客户端没有摄像头专用 IP 地址的 IP 路由，则控制面板将自动通过云代理发送视频。云代理流传输通过视频流左下角的云符号指示。Meraki 可以检测 SSL 检查是发生在上游还是属于潜在的 “中间人” 攻击。由于 Meraki 仅信任来自 Meraki CA（证书颁发机构）的证书，如果在链中注入证书，则不会建立任何连接。这为客户数据提供了另一重保护。

无论是从远程还是本地查看摄像头，都只能通过 HTTPS 访问 Meraki 控制面板。这可以确保管理员浏览器、MV 管理界面和摄像头之间的所有通信始终处于加密状态。

传统警报和日志记录解决方案

在传统系统中，警报功能要求将 NVR/DVR 和/或 VMS 与邮件服务器集成。这种集成会增加额外的复杂性，并且需要具备相应技术技能才能进行部署。如果组织具有多个 NVR/DVR，则必须在所有设备上配置此集成。由于警报源自 NVR/DVR，警报通常仅适用于摄像头状态。这意味着如果 NVR/DVR 处于脱机状态，则警报功能将无法正常工作，并且组织可能不知道摄像头或存储器存在问题，直到需要提取片段时才会发现问题。

Meraki 解决方案

在发生配置更改时，Meraki 控制面板可以发送邮件警报，从而使整个 IT 组织能够及时更新策略。更改警报对于大型或分布式 IT 组织尤其重要。组织必须了解摄像头何时出现故障或脱机。警报可以设置为主动进行系统维护和监控。

设计 Meraki MV 安防摄像头解决方案

有许多方法可以设计 IP 监控系统。设计中最重要的部分是识别安全问题的区域并定位摄像头以覆盖这些区域。有多种方法可以为同一建筑物设计摄像头覆盖范围。有太多设计的构建主要考虑安装成本，而不是将系统视为保护资产和/或人员的投资。良好的 IP 监控系统应侧重于保护人员和资产。构建此类系统的第一步是，分析建筑物或设施并进行现场调查。

进行现场调查有助于了解建筑物/设施的安全需求，并确定满足这些需求的要求。在现场调查结束时，应清楚地了解需要监控的目标、所需的材料/部件、所需的人工、要安装的摄像头的总数和位置以及部署此解决方案的估计成本。

现场安装前调查要求

以下列表是确定部署需求的起点，有助于确保更好的现场调查结果：

设计 Meraki MV 安全系统最佳实践

Meraki MV 摄像头旨在简化部署，并实现安全系统的高效实施。许多人完全有能力在不需要现场调查的情况下安装 MV 摄像头，并且在许多情况下可能不需要进行现场调查。例如在安装少于 10-15 个摄像头的项目中，或在更换现有系统时，就可能不需要进行现场调查。但是，制定计划、确定项目范围并在部署之前考虑安全系统如何运行和交互始终是一个好做法。本节介绍开发和实施新物理安全系统的最佳实践。

制定物理安全系统要求计划

物理安全系统要求计划 (PSSRP) 由组织或公司制定，用于概述安全系统的要求。也可以借鉴其他实体的计划，前提是满足要安装系统的组织的安全要求。PSSRP 的目标是确保多个建筑物之间的一致性，这有助于确保网络安全性和可访问性。

在 Meraki 控制面板中定义网络布局

Meraki 控制面板中的网络是对单个容器中进行管理的设备的逻辑划分。可以通过多种方式定义网络，但许多 Meraki 客户根据地理位置划分网络，以便可以独立于其他位置对每个建筑物/位置进行管理。有多种方法可以划分网络，有些客户可能只选择创建其中一种。在 Meraki 控制面板中规划网络设计时，最好应考虑用户可能需要访问系统以及他们需要访问哪些部分。在控制面板中，可以在组织或网络级别为用户授予权限；将每个位置分割到对应的网络中，可以轻松向个人授予对其负责的位置的访问权限。除组织和全网管理员之外，控制面板还允许使用多种仅限摄像头的管理功能，如下所示。

为要安装的摄像头创建命名和标记方案

默认情况下，Meraki MV 会将为设备指定的 MAC 地址作为每个摄像头的名称。这有助于最初识别每个摄像头，但要记住哪个摄像头由哪 12 个字符表示并非易事。部署规模越大，命名和标记就越重要。应特别注意，为每个摄像头应用一个有意义、合乎逻辑且在查看摄像头列表时容易理解的名称。将标签应用于摄像头，以帮助将它们与其他类似摄像头进行分组。可以将多个标签应用于单个摄像头。标签可用于排序或查找一组摄像头，并将功能或管理权限应用于一组摄像头。

设计 VLAN 架构、确定 QoS 策略并应用网络安全

多年来，创建第 3 层 VLAN 边界在网络安全领域中很常见，因为网络管理员可使用 VLAN 分离来帮助保护设备和数据。强烈建议仅为安防摄像头创建单独的 VLAN。确保将此端口配置为接入端口（不需要中继）。这可以让您在第 3 层 SVI 上创建访问控制列表，以指定可以具体访问这些设备的内容。它还可以在整个园区/建筑物网络中以 VLAN 为基础使用 QoS。QoS 标记建议为 DSCP 40（CS5 - 广播视频）。确保有适当的 QoS 网络策略，因为整个网络中都需要策略。分析路由流量的所有方面，包括交换机和路由器。Meraki MV 自动标记 QoS，而上游网络设备仅需要信任此标签。

确定系统的管理访问权限

如前所述，管理访问在考虑和设计组织或网络架构时非常重要。组织级管理员可以访问整个控制面板、所有网络和全组织页面，包括许可、库存、创建/删除网络等。网络级管理员能够访问和管理组织内网络中的所有设备。这意味着他们可以查看和修改常规设置。可以为组织级和网络级管理员提供读取或写入访问权限。仅具有摄像头权限的管理员只能访问摄像头。可以授予对所有摄像头、按名称分组的单个摄像头或按标签分组的摄像头组的访问权限。可以设置权限以允许用户查看/导出所有片段，查看所有片段或仅查看实时片段。

确定每个摄像头的质量和保留

为每个摄像头创建视频质量和保留策略非常重要。策略可能因摄像头位置、用途和所录制的内容而有所不同。可能所有摄像头都具有相同的策略，但不同的摄像头组可能存在不同的需求。

为所有摄像头创建资产列表

这是多方面的，因为它有助于进行安装前设置和部署，并有助于进行安装后的记录。制作像 Excel 电子表格一样简单的列表，按照型号、序列号、名称、MAC 地址、位置描述以及 PSSRP 中的其他详细信息列出摄像头，在协调多人工作时这会非常有帮助。可以使用网络或组织资产的 Meraki 控制面板中的 CSV 导出工具轻松完成此操作。

为监控数据源定义必要的视频墙

视频墙可以配置为允许同时查看多个摄像头数据源。在实施之前可能无法确定所有视频墙需求，因为客户可能不知道他们想要什么或需要什么。但是，定义一些基本的视频墙需求是有益的，因为它有助于传达系统的操作方式/系统可以执行的操作。

确定需要警报的用户

Meraki MV 系统的一大优势在于，摄像头设备（节点）与控制面板中的其他设备关联。这可以在系统脱机时向管理员发出警报/通知。在许多其他系统中，安防摄像头、视频管理系统和存储解决方案各自隔离起来，独立运行。如果系统的某个部分发生故障，则可能没有流程会向管理员发送故障警报或通知。这导致许多管理员不知道摄像头或存储系统已经脱机，直到需要提取视频才发现这种情况。在部署过程中，确定应向哪些用户通知问题，并配置在发生运行中断时发送的警报。

专用安全站或监控站

在保安人员需要观察设施或园区的多个区域的情况下，监控站较为常见。Meraki 控制面板可配置视频墙，以便每个浏览器一次最多可查看 16 个并发摄像头流。有关运行视频墙的计算机的系统要求，请参阅文档《 MV 流传输工作站的硬件指南 》。

Meraki MV 摄像头的实施和安装

MV 摄像头安装前的准备工作

为 MV 供电

MV 摄像头通过以太网电缆由以太网供电 (PoE) 功能实现供电。MV12 和 MV21 的耗电量在 802.3af 标准 (PoE) 范围内。室外摄像头 MV71 需要 802.3at (PoE+)。

安防摄像头系统的一个重要问题是每个摄像头的时间同步。这是通过 Meraki 控制面板自动完成的。不需要本地 NTP 服务器。

分配 IP 地址

与任何其他网络设备一样，MV 摄像头需要 IP 地址。MV 设备必须添加到使用 DHCP 且具有可用 DHCP 地址的子网，才能正常运行。目前，MV 摄像头不支持静态 IP 分配。

检查和配置防火墙设置

如果防火墙已布置到位，它必须允许特定端口上的传出连接到达 Meraki 控制面板。特定组织的最新出站端口和 IP 地址列表可在 此处 找到。

DNS 配置

每个 MV 都将生成一个唯一的域名，以允许安全的直接流传输功能。这些域名解析摄像头专用 IP 地址的 A 记录。任何公共递归 DNS 服务器都将解析此域。如果使用现场 DNS 服务器，请将 *.devices.meraki.direct 列入白名单或配置条件转发器，以确保本地域不会附加到 *.devices.meraki.direct，并且这些域请求将转发到 Google 公共 DNS。

在控制面板中配置网络

所有控制面板配置都应在安装任何摄像头之前进行。这将允许摄像头与控制面板中的正确组织/网络关联，并下载其配置。

下面简要介绍将 MV 添加到网络所需执行的步骤。有关创建、配置和管理 Meraki 摄像头网络的详细说明，请参阅在线文档 ( https://documentation.meraki.com/MV )。

登录到 http://dashboard.meraki.com 。如果这是您首次登录，请创建新账户。

找到要添加摄像头的网络，或创建新网络。

将摄像头添加到网络中。您将需要提供您的 Meraki 订单编号（可以在发票上找到）或每个摄像头的序列号，此序列号采用 “xxxx-xxxx-xxxx” 格式，位于设备底部。

验证摄像头现在是否列在 “摄像头” > “监控” > “摄像头” 下。

要实现轻松查看和配置，请在智能手机或平板电脑上安装 Meraki 应用。

注： 在首次设置期间，MV 摄像头将自动更新到最新的稳定固件。在完成此自动更新之前，某些功能可能无法使用。此过程最多可能需要 10 分钟，因为它还包括全盘加密。如果在设置过程中在控制面板板中查看摄像头，则在尝试自动对焦时可能会看到错误消息 “无法靠近摄像头”。您需要等待摄像头完成升级到最新的稳定固件后才能使用此功能。全部完成升级过程之前，请勿拔下摄像头。

安装和配置 MV 摄像头

注： 在安装完成之前，请将塑料薄膜覆盖层保留在所有镜头上。拍摄已安装摄像头的照片以供参考。为每个摄像头添加名称和物理地址。

运行黑暗模式

运行黑暗模式会禁用所有 MV上的 LED 灯。此功能在灯光可能令人烦恼、分散注意力或过于显眼的情况下非常有用。例如，可以禁用 LED 以防室外 MV 在夜间引起注意。要启用黑暗模式，请向摄像头添加标签 “run_dark”。有关详细信息，请参阅 黑暗模式文档 。

IR 反射的故障排除

Meraki MV 均配备有红外线 (IR) 照明器。这些照明器可在夜间模式下打开，并用于提供明亮视图。如果图片看起来太过模糊，请按照此 视频质量故障排除指南 进行操作。

最佳实践设计 - 终端管理

通用系统管理器部署指南

思科 Meraki 系统管理器是一种完整的终端管理解决方案，可为您的 Android、Chrome OS、iOS、macOS 和 Windows 设备提供深入的可视性与可控性。它通过与 Meraki 堆叠其余部分共享的易于使用、基于智能管理平台的控制面板，将终端管理集成到单一管理平台中，且它是为终端提供网络级安全性和可视性的唯一解决方案。

主要功能包括：

管理和监控终端设备

管理和分发移动和企业应用

根据设备状态调查和更改设备功能

系统管理器功能

管理和监控终端设备

思科 Meraki 系统管理器提供托管终端设备的可视性，帮助您更好地了解更改并对其做出响应。状态更改包括安装未经批准的应用、删除公司应用以及设备离开预定区域等事件。系统管理器中的动态标记功能会持续评估终端的状态，并自动采取纠正措施。部署在设备上的系统管理器配置文件会根据组织的最佳实践限制或启用设备功能。

主要功能包括：

实施特定于终端的限制（屏幕截图、摄像头使用率、密码长度、屏幕锁定激活等）

应用基于网络的配置（VPN、每应用 VPN、无线等）

应用安全证书

在设备状态发生变更时监控并发出警报（设备离开物理区域、安装特定软件、断开网络连接等）

管理和分发应用

系统管理器应用管理支持 macOS、Windows、Android 和 iOS 应用的部署。通过在单个界面中组织多设备应用管理，您可以全面监控并设置应用策略。

主要功能包括：

根据标记机制向适当的设备提供适当的应用

从智能管理平台加载和分发 macOS 和 Windows 应用

通过 Apple 的批量购买计划调配和管理 iOS 和 macOS 许可

通过 Android Enterprise 调配 Google Play 商店应用

应用和调查设备安全状态

系统管理器应用并主动实施 macOS、Windows、iOS 和 Android 设备的安全状态，以维护设备安全完整性。通过设置和响应安全要求，您可以更好地了解和控制设备访问和功能。

主要功能包括：

要求在所有设备上加载和运行特定应用

要求至少在所有设备上采用最低操作系统级别

要求以指定的频率进行设备在线检查

要求使用密码锁定设备

要求设备未越狱 (iOS) 或获得根权限 (Android)

要求启用防火墙（桌面设备）

解决方案设计

客户必须设置思科 Meraki 账户，并获得 Meraki 系统管理器许可。系统管理器许可以 1 年、
3 年或 5 年订用的形式提供。

逻辑拓扑包括通过思科 Meraki 智能管理平台并且有时通过操作系统提供商提供的 MDM 服务（例如 Google 或 Apple 通知服务）注册和通信的终端设备。如果终端与智能管理平台之间的通信穿越防火墙，则需要按照 此处 所述打开端口。有关系统管理器特定防火墙设置的其他信息，可以 在此处 查看。

部署设置应根据组织对设备的控制级别（例如自带设备与公司拥有的设备）而有所不同。请考虑以下设置，尤其是公司拥有的设备或单一用途的设备。

应用设备安全设置：

将所有必备应用列入白名单

将所有未经批准的应用列入黑名单。例如，确保不在设备上安装 Tor 浏览器等应用

在设备上强制设置密码并结合最短的屏幕锁定周期

要求在设备上运行防火墙

要求设备未 “越狱” 或 “获得根权限”

为每种设备类型指定最低安全操作系统

必须将设备注册到企业移动管理 (EMM) 网络，才能在系统管理器中对其进行管理。不同类型的注册可用于满足不同设备类型或部署模式的需求。例如，虽然完全自动注册非常简便，但此方法不适合自带设备 (BYOD) 部署。此外，它并非与所有设备都兼容。下面介绍一些可用的注册方法。

这里仅快速介绍几种注册方法。有关为每个操作系统注册设备的全面指南，请参阅文章《 注册设备 》。

系统管理器注册身份验证

要提供另一层安全保障，可以在注册时通过 Active Directory、Azure、Google 或 Meraki 身份验证等服务要求进行身份验证。身份验证与所有类型的注册兼容，并且除安全性之外还具有其他优势。首先，注册身份验证会自动将所有者与设备相关联。其次，注册身份验证可以将用户组（LDAP 或由思科 Meraki 解决方案管理的组）作为动态标签绑定到所有设备，以进行自动分组。

有关注册身份验证的全面指南，请参阅文章《 SM 注册身份验证 》。

完全自动注册

通过完全自动注册，设备将自动注册到系统管理器。可以对其进行配置，使用户无法选择取消或阻止注册。此外，设备将根据使用设备的人员（设备所有者）自动配置应用、控制和设置，无需直接用户或管理员配置。

此类注册可以实现最高级别的 EMM 控制。只有符合 Apple 设备注册计划 ( DEP ) 条件的 iOS 和 macOS 设备才能使用此类注册。利用 DEP，Apple 可以指示设备在用户首次启动设备时自动注册到系统管理器。这样就无需使用各种预先配置和 Apple Configurator。

自动注册可以显著降低部署设备的管理成本。此优势与部署的设备数量成正比。

部分自动注册

部分自动注册支持的设备范围更广，但工作流程因设备的操作系统而异。它可以由最终用户或预先安装设备的管理员完成。例如，可以通过 Mac 应用 Apple Configurator 批量配置不符合 DEP 的 iOS 设备，或者可以在设备初始设置过程中调配在设备所有者模式下配置的 Android 设备。

与自动注册一样，部分自动注册执行两项核心功能：将系统管理器配置文件、应用或代理安装到设备；以及进行应用、设置和控制的配置。

Meraki 无线产品可与系统管理器集成，从而为用户简化并自动执行此流程。此功能称为 “系统管理器 Sentry 注册”，它将检查连接到 SSID 的所有客户端，并且如果检测到这些客户端未在系统管理器中注册时，强制它们完成 http://m.meraki.com 上的自行激活流程。

手动注册支持的设备范围最广，因为它不依赖于供应商或平台特定的功能。此类注册通常适用于 BYOD 环境。用户或管理员可以通过访问 http://m.meraki.com 并按照说明安装系统管理器。手动注册不需要用户数据库。

唯一的系统管理器网络 ID 用于确定设备应加入哪个系统管理器网络。可以在控制面板中找到网络 ID 和分发选项（用于最终用户的邮件、文本消息 [SMS] 或 QR 条形码）。

标签用于对设备进行分组，并向您通知设备在系统管理器中的当前状态。这些标签生成后可用于定义由系统管理器调配的应用、配置文件和设置。有关标签的全面指南，请参阅 在系统管理器中使用标签 。

标签主要有三种类型：

静态标签 （类别：设备标签）通常由管理员手动应用于各个设备。

动态标签 （类别：策略标签）根据设备状态自动应用于设备，并可根据特定因素进行更改：

基于时间的标签使用时间信息来实施设备配置，执行策略限制并启用应用访问。

地理位置防护标签使用基于位置的信息来实施设备配置，执行策略限制并启用应用访问。

安全策略标签使用设备的状态来实施设备配置，执行策略限制并启用应用访问。

注册设备后，可以通过系统管理器安装其他配置文件。这些配置文件包含安装在托管设备上的设置，例如 Wi-Fi 访问、VPN 访问、设备限制、应用主屏幕布局、邮件 ActiveSync 设置等。借助配置文件，您可以轻松地自定义和保护已注册的设备。有关详细信息，请参阅 配置文件 。

在思科 Meraki 控制面板中，您可以使用 系统管理器 > MDM > 设置 页面创建或删除配置文件。不要将这些配置文件与管理配置文件混淆，后者是在设备首次注册到系统管理器时安装的。

配置文件的范围根据标签限定为设备。这允许您指定设备接收配置文件所需的设备、用户和特定条件。

在企业环境中，通常需要预先配置或限制某些功能的可用性。这些限制可能是禁用摄像头或配置诸如邮件或 Wi-Fi 的设置等。可以将这些限制和设置可以集中到一个配置文件中，并且设备可以应用多个配置文件。

多个配置文件

系统管理器还使用标签来确定哪些设备可以获取哪些配置文件。标签允许采用高度精细或分层方法来对设备应用限制。在企业环境中，您可能希望创建适用于更大的设备组（如自带设备或企业）的基准或全局配置文件。然后，您可以应用针对较小组（例如，销售或后勤办公室）的更具体的配置文件。这使得管理员无需为每个设备使用案例在多个配置文件中维护相同的全局设置。然后，可以在将来更新此全局配置文件，并且所有关联设备将自动更新。如果设备收到多个具有冲突设置的配置文件，则会应用其中设置最严格的配置文件。由于能够使用多个配置文件，因此可以通过简单的管理实现精细的设备限制。

将配置文件分配到控制面板中的设备时，使用之前讨论的相同范围确定方法：配置文件可以限定为静态标签或动态标签范围。动态标签可以减少管理大量设备所需的工作量，同时还能提供自动控制。例如，如果设备不在办公室内，则可以通过地理位置防护功能删除办公室限制，以便设备可在家中使用。有关详细信息，请参阅 使用托管设备进行地理位置防护 。

您可以使用 系统管理器 > MDM > 设置 页面配置与特定配置文件关联的特定设置。这些设置和配置文件可用于确保设备满足业务要求，并接收用户需要使用的配置。

创建新配置文件后，点击左侧的 “添加设置” 选项，以开始将设置负载添加到配置文件中。配置文件可以同时包含多个负载，并且可以在设备上安装多个配置文件。您的设置和配置文件应根据设备部署和标签结构的组织方式进行调整。有关详细信息，请参阅 配置设置 。

移动应用 - iOS 和 Android

对于 iOS 应用，系统管理器直接与公共和企业应用商店集成。此外，它还支持部署自定义 .ipa 文件。要在没有 Apple ID 或用户提示的情况下进行无提示安装，请查看如何将系统管理器与 Apple 的 批量购买计划 (VPP) 配合使用。

对于 Android 应用，系统管理器可用于部署 Google Play 应用或自定义 .apk 文件。使用 Android Enterprise 的组织可以创建仅显示已批准应用的托管存储。请参阅 推送应用 。

桌面应用 - Windows 和 macOS

系统管理器可以安装 .msi、.exe、.pkg、.app 和 .dmg 文件。有关如何在 Windows 和 Mac 计算机上安装软件的信息，请参阅 安装自定义应用 。对于 macOS，VPP 还可用于直接将应用许可证授予最终用户的 Apple ID，从而允许最终用户通过 Mac 应用商店安装应用。

有关如何通过系统管理器调配和更新应用的完整指南，请参阅以下文章：

部署用于 iOS/macOS 和 Android 的商店应用

在托管 iOS 和 Android 设备上安装自定义应用

在 Windows 和 Mac 设备上安装自定义应用

将 Apple 的批量购买计划 (VPP) 与系统管理器配合使用

应用管理将确定要安装到设备的应用范围，然后相应地进行安装。设备上的本地（内置）应用可提供用于管理日常活动（例如邮件、日历、联系人和网络浏览）的功能。为提高这些本地应用的工作效率和功能，除适用于 Windows 和 macOS 台式计算机的许多应用之外，Apple 应用商店和移动设备的 Google Play 商店还提供数十万个第三方应用。

思科 Meraki 控制面板提供多种方式将应用和应用许可证分发到设备，并将您的应用安装范围扩展到特定设备。对于移动设备，有公共应用，例如 Apple 应用商店和 Google Play 商店中的应用，以及专用应用（即自定义或企业 iOS 和 Android 应用）。您还可以为 Windows 和 macOS 平台确定传统软件应用的范围。

步骤 1 ：要将应用添加到思科 Meraki 控制面板，请导航至 系统管理器 > MDM > 应用。

步骤 2： 点击右上角的 “新增” 按钮（图 10）。系统为 iOS 应用（公开可用）、iOS 企业应用、Android 应用、macOS 应用和 Windows 应用提供了选项。

可以从相应平台的应用商店搜索和下载公开可用的应用。对于其他类型的应用，系统指定了安装文件主机。您可以将文件上传到控制面板，或指向设备可访问的 URL。有关为 Windows 或 Mac 设备安装软件的详细信息，请参阅 安装自定义应用。

终端设备安全在多云环境中非常重要。通过利用安全配置文件，您可以验证最终用户是否仅以您希望的方式使用设备。通过思科 Meraki 系统管理器结合使用通知和远程擦除工具，您可以在设备丢失或被盗的情况下缓解潜在的安全漏洞。

通过利用内置通知，您可以在设备发生以下情况时收到警报：

离开预定义的地理位置

未遵循安全合规性

通过利用内置安全工具，您可以：

选择性地擦除设备，删除通过系统管理器安装的所有托管应用和托管配置文件，而无需将设备恢复为出厂设置

擦除设备，这将会恢复工厂设置

为受监管的 iOS 设备启用丢失模式

使用这两种工具，您可以主动处理丢失和被盗的设备，预防潜在的安全漏洞。

使用 地理位置防护 和 安全策略 ，您可以持续监控设备以进行无数次合规性检查，包括设备位置、根/越狱状态、蜂窝数据限制和应用黑名单检查。安全策略可用于提醒您违规情况，并根据此状态自动添加或删除应用和配置文件。例如，如果用户安装 Tor 软件，安全策略可以删除安全邮件凭证和无线设置。

创建策略后，可使用合规性信息生成计划报告，或通过使用安全策略生成的动态标签来控制向客户端的应用和配置文件部署。例如，在设备变为越狱状态或低于最低操作系统版本的情况下，对设备进行修复并使其重新合规之前，设备对内部 VPN 和无线凭证的访问权限将被自动撤销并且应用将被卸载。系统管理器还可以向您的管理团队发送 自动警报 ，以便在设备不合规或执行某些操作（例如，删除管理配置文件）时通知他们。

有关如何使用安全策略标签确定应用和配置文件范围的信息，请参阅 在系统管理器中使用标签 。