開創Wi-Fi無線網路應用新局－－Meraki雲端式AP

隨著Wi-Fi熱點需求快速提升，該如何快速建置企業無線網路環境，又能有效控管所有無線AP路由器呢？從傳統無線網路的建置方式來看，主要是以個別據點的應用、區域網路的模式來建置，面對大範圍、大量部署無線基地臺時，架構上將會相當複雜，因為這需要多臺無線網路控制器來輔助。

Cisco Meraki的無線網路解決方案，突破了以往的作法，並以更大面向的管控格局，來面對無線網路的建置需求，企業只要讓布建的無線網路基地臺能夠連上網際網路，管理者就可以透過雲端平臺上的網頁介面，快速建置無線網路環境，未來需要擴大部署AP數量時也容易許多。

除了面對Wi-Fi無線網路建置需求提出新作法，Meraki同時實做出與Facebook整合的機制，搭配Facebook提出的Facebook Wi-Fi功能，以簡化使用者上網驗證身分的程序，同時也能用於企業業務行銷，增加宣傳效益。Meraki另外也加入顧客分析的功能，能提供企業具商業價值的統計資訊，像是訪客數與經過次數的分析統計、首次到訪或曾經到訪使用者的分析統計。這些應用開創了Wi-Fi無線網路應用的新局面，至今仍無其他無線網路設備廠商能追趕得上。

而這種顛覆傳統無線網路的應用，相當受到注目。在去年時，網路設備大廠Cisco決定以12億美元的價格併購Meraki公司，並將之納入旗下產品線。而過去，最初Meraki僅是提供城市免費無線網路服務的公司，他們在2010年才進軍無線網路設備市場。

採集中管理形式，但控制器放置於網際網路而非區網

傳統無線網路架設，若要大規模部署，通常採用Thin AP架構，建置時需同時架設專屬的中央控制器設備（Wireless controller），近年來則興起許多雲端管理式AP架構（Cloud-Managed AP），只是，各廠商雲端應用的方式大不相同。

Meraki採用的作法是基於雲端服務的無線控制器（cloud-based wireless controller），試圖將Thin AP控制器集中至雲端管理機房，如此一來，各無線基地臺（AP）在部署後，只要接上網路線，就能夠直接連結到位於雲端服務平臺之中的中央控制器，相對省去多臺實體控制器建置的麻煩。並且，IT單位可透過網頁介面，集中管理企業所部署的Wi-Fi網路環境。

這種雲端式AP的架構，比起過去無線路由器與中央控制器具有更簡易的管理設定方式，管理者不用考量後端中央控制器的建置問題，使無線網路部署有另一種選擇模式，尤其在多據點的無線網路管理、部署上，管理者可以從單一系統管理各分據點的無線網路，管理方式較為簡易。

而且，在他們單一的雲端管理平臺中，管控介面可以整合Meraki自家交換器、防火牆與無線網路設備，因此這種高整合性的雲端集中管理平臺，也成為Meraki產品的一大特色。

綜合來看，目前雲端式AP架構產品並不多，其中，Meraki公司的雲端AP產品算是相當知名，這種AP控管方式可說是一種SaaS雲端服務型態，並且還能提供一種相較Thin AP簡易的無線網路建置和管理方式，這亦代表一種新的無線網路應用型態興起。

除了雲端式AP架構的特性，Meraki方案還有3個特點，像是具有應用程式感知功能，可辨識連線使用者的應用程式特徵；另一個則是Facebook Wi-Fi登入功能，使提供的無線網路可以結合Facebook粉絲專頁利用行銷；本身也內建Wi-Fi分析功能，可分析顧客行為。接下來，就讓我們實際了解這款以雲端式架構的Meraki無線路由器，所具有的產品功能與特色。

AP插上電線及網路即可建置，易於部署，且機型選擇多

這些產品均支援802.11n無線網路傳輸規格，如果要選擇最新無線網路傳輸規格802.11ac的產品，目前Meraki也已經推出可支援的機型MR34。

我們這次測試的產品MR12是入門級的產品，僅支援單頻（2.4GHz）無線傳輸，採用MIMO技術，天線規格為內置型2T2R（同時2發2收），符合802.11b/g/n無線網路規範，傳輸速率為每秒300Mbps。

MR12本身的外型相當樸實，機身為純白的四方形，AP底部還具有掛勾孔的設計，可便於壁掛部署。機身正面具有顯示燈號，在初始化並連上網路後，表示網路設備連線正常的5個燈號與電源燈號，也會全部亮起。特別的是機身連接埠隱藏於機身後方凹槽處，具有2個RJ-45網路埠與1個電源插孔。不像一般無線路由器直接將連接埠設計在側邊，外觀看起來較為簡潔。

Meraki無線路由器的採購方式相當單純，企業只需購買AP設備和控制器軟體的授權，便能夠登入雲端管理介面，集中管控所有AP設備。以MR12為例，AP設備和控制器軟體的授權價格。

在AP部署上，我們只要將AP接上電源、接上網路，Meraki AP將會自動透過區域網路上的DHCP伺服器取得IP位址。接著，我們在Meraki雲端管理平臺上，設定無線路由器，過程也很容易。

首先我們需要在Meraki官網登入頁面中建立管理帳號，進入管理介面後，只要在新增裝置的介面中，輸入購買的這臺AP的產品序號，便可將這臺AP納入這個帳號中管控，未來若是要增加無線AP的數量，管理者同樣只需輸入新添產品的序號，即可擴大部署AP數量，方式很彈性。

最後，使用者只要將AP設定在網頁介面的顯示地圖上，並設定SSID、選擇認證模式與設定安全政策，即可完成基地臺安裝與Wi-Fi網路建置。

以這臺MR12而言，本身也支援PoE供電的使用方式，可直接用網路線連Meraki自家的PoE交換器MS22P，或是透過產品隨附的智鼎PoE網路電源轉接器（PoE-S48G網路電源供應器），也能達到同時傳送網路資料與電力至MR12的目的。這個電源轉接器具有1個電源插孔以及2個RJ-45網路埠（其中之一可支援PoE與資料傳輸），當AP部署位置附近沒有電源插座時，可以在遠處的電源插座附近，利用這個轉接器，使連接一般交換器、傳送資料的網路線，在連至MR12中途，可轉換成同時傳送網路資料與電力的一條網路線。而這樣的連接方式，使每臺AP可以只需連接一條網路線，因此AP設備周圍不易有纜線雜亂的情形發生，部署時也不易受限於電源插座的位置。

值得一提的是，雖然Meraki採雲端架構的管理方式，但Meraki AP本身仍保有網路的功能，即使是雲端服務斷線，無線網路仍可持續運行，但此時將不能設定系統與檢視報表，若能提供其他建置在用戶環境的備援機制，將更理想一些。

此外，在雲端服務的模式下，雖然因為不用架設控制器，而省下一筆費用，但控制器軟體的授權費用是每年都需要支出的，這是使用者購買前特別需要注意的地方。售價上，以MR12 AP為例，含一年軟體授權及硬體保固的建議售價為35,000元，後續每年軟體授權費用約11,000元。

整合Google地圖資訊於介面中，便於大範圍、大量AP部署的管控

在Meraki雲端管理平臺中，我們可以管控各臺無線AP的設定，並即時檢視AP的使用狀況。

由於採用雲端平臺的管理架構，不同據點的Meraki無線AP可以很容易地在統一的介面環境集中管控，而介面中也已經整合了Google地圖資訊，因此管理者可以在介面上直接看到AP周邊的地理位置。當然，管理者也可以依不同據點建立不同網路群組，以分別顯示。

設定上，若要標示這臺AP的位置，管理者可以輸入AP所在地址，即可在管理介面中透過Google地圖對應來設定，另外，也可匯入樓層平面圖，使AP所在的室內位置可以更直覺地呈現。

而Meraki介面的地圖資訊中，能以燈號顯示各臺AP的狀況（綠色表示在線上，紅色為離線，黃色為警示），並以數字顯示目前連上AP的裝置數量。管理者點選任一AP圖示，將可檢視該AP的詳細資訊、現在連線的裝置描述，以及最近一段期間的連線狀況、傳輸量。此外，管理者也可以遠端遙控方式，重新啟動這臺AP。

在Meraki雲端管理平臺中，管理者主要可以針對AP與Client分別檢視，像是AP的使用狀況、網路流量與基本資訊，以及各連線使用者的所在位置、裝置類型、作業系統與設備製造商。其介面設計很彈性，管理者能以勾選方式自定各欄位的顯示項目，而這些欄位也可直接以拖曳方式改變位置。比較可惜的是，目前這裡所提供的管理介面尚未中文化，只有英文顯示介面。
 

在報表匯出方面，Meraki可提供AP與Client的詳細資訊記錄，其報表可以存成CSV與XML檔案格式，而總報表當中，則具有定期自動發送Email的機制，管理者可以設定每日、每周或每月，將報表寄至電子信箱，協助管理者掌握無線網路的使用狀況，而這份報表的形式將以HTML檔案格式顯示。

當然，有了這種雲端管理平臺的架構，等於讓管理者在任何地方，都能管控企業無線網路環境。管理者只要透過手機、平板與電腦，連上網路，即可透過瀏覽器登入管理介面。另外，要新增管理者也很容易，可以輸入Email的方式新增，系統將會自動發送認證信，新加入的管理者在收信後，即可以Email為帳號，並輸入信中所附密碼以登入Meraki網頁介面。當然這麼做也有極大風險，萬一帳號、密碼被竊取或破解，任何人都可以操控這些無線網路。因此，Meraki在這方面也有另外有提供雙因素認證的機制。

但綜合來看，未提供私有環境的雲端控制器方案，是Meraki方案較可惜的地方。

單臺AP可以設定15組SSID

在無線網路SSID設定方面，Meraki所有產品最多可以設定15組，數量相當多。一般AP通常可設定的SSID數量，在5組以內。

因此，有了這麼多的SSID管理者可將無線網路充分區分給不同性質的使用者連線，像是企業內部員工、訪客等，並能夠支援WEP、WPA2加密方式，且各SSID均可分別設定專屬的登入驗證與起始頁面。

在認證模式方面，這套產品支援企業等級802.1X、WPA2等Wi-Fi 相關無線網路安全加密認證，以及透過RADIUS伺服器認證的MAC位址存取控制清單方式，防止未經認證用戶入侵網路。

而在登入起始頁面的設定上，Meraki可整合企業內部的RADIUS 及LDAP（AD），或使用設備本身的認證機制，另外，管理者也可以自訂登入頁面內容，介面中並提供簡易的網頁編輯器，供使用者直接上傳HTML、CSS與圖檔，或修改網頁原始碼，設定上並能夠複製其他主題頁面，以快速修改網頁內容，並上傳新圖。設定相當彈性。

在Meraki AP的無線網路連接型態設定方面，提供NAT模式、橋接與VPN模式，另外也具備WIPS技術，其Air Marshal功能可偵測附近SSID的訊號，以偵測周遭的非法AP使用，同時也可以阻斷Wi-Fi訊號。只是，MR12若啟用這個功能，將無法當成AP連線使用。

具有應用程式感知功能，並支援防火牆與流量管控功能

除了一般無線路由器的基本功能之外，在管控功能方面，Meraki產品提供防火牆與流量管控功能，其中防火牆可做到L3與L7的控管。

以L3的管控為例，Meraki可以根據封包來源與目的地IP位址與不同的TCP、UDP連接埠，來控管封包的傳輸。

在L7的管控功能上，Meraki產品的特別之處在於，具有應用程式感知功能，可以針對應用程式特徵以辨識使用者連線時所使用的應用程式服務，這是多數無線路由器設備所不具有的功能，較常見於防火牆產品中。因此，在管控上可以做到封鎖特定應用群組或特定應用程式，像是電子郵件（Gmail、Hotmail、Webmail等）、檔案分享網站（Dropbox、SkyDrive、Box等）、社群網站（Facebook、Flickr、Twitter等），以及部落格、P2P、遊戲、新聞、影音、VoIP、檔案分享網站等數十種。

我們實際封鎖Facebook、Twitter，使用連上該網路的電腦，透過瀏覽器（Chrome、IE、Firefox、Opera）連至這些網站時，將會無法開啟網站，或是顯示此網站已被封鎖。測試封鎖YouTube時，連上該網路的電腦亦無法開啟YouTube網頁，即使從手機上執行YouTube App，也無法播放影片。

除了應用程式封鎖，Meraki也支援網路流量控制（Traffic Shaping）功能。我們試著將YouTube的連線速度設定下載頻寬僅250 Kbps，之後再以筆電連上該網站時，影片播放速度明顯變得緩慢，或是無法開啟。此外，這套產品也可以針對每個裝置與每個SSID限制流量。

但要注意的是，這些L7應用層的管控，目前只能支援Meraki公布的特定網站。像是如果我們設定全部的檔案分享網站都要受到流量管控時，並實際以一臺連線的電腦從免費空間網站Mega（mega.co.nz）下載檔案時，由於該站並不在所列清單中，因此並不會受到流量管控限制。

綜合來說，Meraki目前應用程式的封鎖與流量控制並不全面。管理者也無法以自行新增URL等方式設定管控清單，若要達到全面管控，管理者最好還是依據不同SSID群組限制頻寬大小，或是限制各個使用者端的頻寬，以避免大量頻寬被佔用。

可應用Meraki正在Beta測試的分析使用者行為新功能

值得我們注意的是，在管理介面中還有許多Beta新功能開放試用，像是發送SMS簡訊的登入驗證機制，可以直接在平面圖上顯示無線訊號覆蓋範圍變化的Presence Heatmap（像是熱源分布的顯示方式），以及可以做到Wi-Fi訊號分析的Presence Analytics。這些功能其實已經可以使用，只是功能上還會陸續更新。

在這些Beta功能中，Presence Analytics這個新功能相當值得介紹，因為，Meraki無線AP除了供使用者連線上網，還可以偵測Wi-Fi裝置。

在Wi-Fi訊號範圍內發送SSID廣播封包時，同時也能記錄由手機、電腦在開啟Wi-Fi功能時，所發送出的唯一的MAC Address等資訊。之後，所有Meraki AP記錄到的資訊（包括AP與Client的MAC addresses、時間戳記與接收的信號強度指示等），將會透過網路，即時傳送回Meraki雲端平臺。傳送過程中，這些資訊也會經過加密保護。另外，透過Presence API，企業也可將這些資訊傳送至企業的BI與資料中心。

這是基於現在每個人幾乎都有Wi-Fi行動裝置的應用，透過分析Wi-Fi裝置所發的訊號（條件是裝置本身的Wi-Fi需開啟，但不需連結AP），統計出可以利用的資訊。

在目前的Presence Analytics分析功能中，Meraki的網路介面是以簡單易懂的圖表方式，呈現顧客行為的數據與資訊。除了統計每日使用無線網路上網的人數，也可以記錄每日經過AP訊號範圍的裝置數，以及經過的次數，這代表的意義可以是有多少使用者經過這個區域，以及重複經過的總次數，以了解此區域的熱門性。

同時，圖表中也會顯示這些偵測到的Wi-Fi訊號，停留在企業無線網路環境內的時間，這可以代表使用者的滯留時間，例如在20分鐘以內、20分鐘到1小時、1到6個小時，或者是6小時以上等期間停留的人數。另外，也能分析出每天、每周或新偵測到的Wi-Fi裝置，表示使用者可能經常光臨，或是第一次來訪的顧客。

這對於百貨、飯店與大型公共場所而言，經營者可藉此資訊分析顧客行為。

實際檢視這些分析圖表，雖然我們能針對時間加以設定（像是每日、每周、每月等），但目前只能顯示整個網路群組的統計資料，無法指定單臺AP或其他顯示條件進行檢視。原廠表示，目前這個功能還是Beta版，未來將會持續更新。

Meraki AP提供雲端管理平臺，只要管理者電腦連上網際網路即可管控
管理者電腦只要連上網路、開啟瀏覽器，即可登入Meraki Dashboard雲端管理介面，管控所有AP設備。在管理介面中，管理者可檢視使用者與AP的使用狀況，像是各AP的連線數、各連線裝置的系統資訊，並能辨識使用者連線時所使用的應用程式類型、Port與內容屬性。

Meraki雲端管理介面結合Google地圖資訊，方便管理者檢視各AP所在位置
Meraki雲端管理平臺提供Google地圖顯示，管理者可以透過地圖直接檢視AP的狀態，像是綠色燈號是正常，黃色是警示、紅色與灰色則是離線。若是放大地圖範圍，更能夠快速檢視不同地方的無線AP分布，使AP管控方式更直覺且具體。

具有1 個支援PoE 供電的網路埠

這臺無線路由器MR12的連接埠採隱藏式設計，設備背面凹槽中，具有2個RJ-45網路埠，以及一個電源插孔，並支援PoE供電模式，部署時較容易讓設備外觀看起來沒有多餘的線路。

隨附PoE 轉接器

MR12附有一個智鼎PoE網路電源轉接器，將它接上電源後，網路埠標示資料輸入（Data in）一端與區域網路相連，而標示資料與電力輸出一端（PWR+Data Out）與MR12相連即可。

AP 部署整合地圖資訊，一目了然

若公司在多個據點部署無線AP，透過Meraki雲端管理平臺，可藉由Google地圖的縮放，呈現所有AP位置，點擊AP圖示即可檢視詳細資料。

結合樓層平面圖，AP 對應更容易

在地圖資訊結合方面，管理者也可以直接匯入多張樓層平面圖，並標示Meraki的AP位置。在檢視時，即可快速檢視該地址的不同樓層平面圖。

可設定15 組SSID，便於區分給不同性質的網段

在SSID的設定上，每一臺Meraki AP可以設定多達15組的SSID，比起一般無線路由器只有5組SSID的設定，能有更多的網段權限管控使用者上網。

能針對裝置、SSID 或應用程式，限制網路流量

在流量管控上，Meraki可以針對所有的裝置與SSID設定網路用量上限，並能手動調整上傳與下載的速限，同時還可針對應用程式類型限制流量。

無線網路方案本身也具有防火牆功能，支援L3 與L7 的控管

在Meraki雲端管理平臺中，管控上可以針對L3（網路層）與L7（應用層）進行控管。在L7的管控上，可針對數十種應用程式類型加以設定。 完成設定後，我們實際連上禁用的網站頁面，結果，在不同瀏覽器都會出現封鎖的提示訊息。

能定期以Email 寄送無線網路使用狀況報表

在Meraki管理介面中，報表的內容主要可以用來檢視使用量最高的AP、SSID、使用者、應用程式，以及連線的裝置類型與作業系統。同時，這裡也提供定期自動發送Email的機制，以每日、每周或每月為單位。

可分析與統計使用者行為，並做到長期追蹤

在Presence Analytics分析功能中，以簡單易懂的圖表呈現分析統計具商業價值的資訊。像是每日上網人數、訪客數與經過人數，另外，還能分析訪客的停留時間，甚至是經常到來或首次來訪數。

Meraki無線網路路由器產品規格一覽表