Ang akong wala matuman nga proyekto. Network sa 200 nga mga router sa MikroTik

Kumusta tanan. Kini nga artikulo gituyo alang sa mga adunay daghang mga aparato sa Mikrotik sa ilang armada, ug kinsa gusto nga maghimo labing taas nga panaghiusa aron dili magkonektar sa matag aparato nga gilain. Niini nga artikulo akong ihulagway ang usa ka proyekto nga, sa kasubo, wala makaabot sa mga kondisyon sa kombat tungod sa mga hinungdan sa tawo. Sa laktud: labaw pa sa 200 nga mga router, dali nga pag-setup ug pagbansay sa kawani, paghiusa sa rehiyon, pagsala sa mga network ug piho nga mga host, ang katakus nga dali nga makadugang mga lagda sa tanan nga mga aparato, pag-log ug kontrol sa pag-access.

Ang gihulagway sa ubos wala magpakaaron-ingnon nga usa ka andam nga kaso, apan nanghinaut ko nga kini mapuslanon kanimo kung magplano sa imong mga network ug makunhuran ang mga sayup. Tingali ang pipila ka mga punto ug mga solusyon ingon og dili hingpit nga husto kanimo - kung mao, isulat sa mga komento. Ang pagsaway niini nga kaso mahimong usa ka kasinatian alang sa komon nga panudlanan. Busa, magbabasa, tan-awa ang mga komento, tingali ang tagsulat nakahimo usa ka seryoso nga sayup - ang komunidad makatabang.

Ang gidaghanon sa mga routers mao ang 200-300, nga nagkatag sa lainlaing mga lungsod nga adunay lainlaing kalidad sa mga koneksyon sa Internet. Kinahanglan nga buhaton ang tanan nga matahum ug tin-aw nga ipasabut sa mga lokal nga admin kung giunsa ang tanan molihok.

Busa, asa magsugod ang bisan unsang proyekto? Siyempre, uban sa TK.

1. Organisasyon sa usa ka plano sa network alang sa tanan nga mga sanga sumala sa mga kinahanglanon sa kustomer, pagbahinbahin sa network (gikan sa 3 hangtod 20 nga mga network sa mga sanga depende sa gidaghanon sa mga aparato).
2. Pag-set up sa mga device sa matag branch. Pagsusi sa tinuod nga throughput speed sa provider ubos sa lain-laing mga operating kondisyon.
3. Organisasyon sa pagpanalipod sa device, pagdumala sa whitelist, auto-detection sa mga pag-atake nga adunay auto-blacklisting alang sa usa ka piho nga yugto sa panahon, pagpamenos sa paggamit sa lain-laing mga teknikal nga paagi nga gigamit sa intercept control access ug pagdumili sa serbisyo.
4. Organisasyon sa luwas nga koneksyon sa VPN nga adunay pagsala sa network sumala sa mga kinahanglanon sa kustomer. Minimum nga 3 ka koneksyon sa VPN gikan sa matag sanga ngadto sa sentro.
5. Base sa mga punto 1, 2. Pilia ang labing maayo nga mga paagi sa paghimo og mga fault-tolerant nga VPN. Kung gipakamatarung sa husto, ang dinamikong teknolohiya sa ruta mahimong mapili sa kontraktor.
6. Organisasyon sa pag-prioritize sa trapiko pinaagi sa mga protocol, pantalan, host ug uban pang piho nga serbisyo nga gigamit sa kustomer. (VOIP, mga host nga adunay importanteng serbisyo)
7. Organisasyon sa pagmonitor ug pag-log sa mga panghitabo sa router alang sa tubag sa mga kawani sa teknikal nga suporta.

Sama sa atong nasabtan, sa daghang mga kaso ang teknikal nga mga detalye gilaraw base sa mga kinahanglanon. Giporma nako kini nga mga kinahanglanon sa akong kaugalingon, pagkahuman naminaw sa panguna nga mga problema. Giangkon niya ang posibilidad nga adunay laing tawo nga makaatiman niini nga mga punto.

Unsa nga mga himan ang gamiton aron matuman kini nga mga kinahanglanon:

1. ELK stack (paglabay sa pipila ka panahon, nahimong klaro nga fluentd ang gamiton imbes nga logstash).
2. Masaligan. Alang sa kasayon ​​sa pagdumala ug pagpaambit sa pag-access, among gamiton ang AWX.
3. GITLAB. Dili kinahanglan nga ipasabut dinhi. Asa man ta nga walay version control sa atong configs?
4. PowerShell. Adunay usa ka yano nga script alang sa inisyal nga henerasyon sa config.
5. Doku wiki, para sa pagsulat sa dokumentasyon ug mga giya. Sa kini nga kaso, gigamit namon ang habr.com.
6. Ang pagmonitor himuon pinaagi sa zabbix. Ang usa ka diagram sa koneksyon madani usab didto alang sa usa ka kinatibuk-ang pagsabut.

Mga punto sa pag-setup sa EFK

Mahitungod sa unang punto, akong ihulagway lamang ang ideolohiya diin ang mga indeks matukod. Naay daghan
maayo kaayo nga mga artikulo bahin sa pag-set up ug pagdawat sa mga troso gikan sa mga aparato nga nagdagan sa mikrotik.

Maghisgot ako sa pipila ka mga punto:

1. Sumala sa diagram, angay nga hunahunaon ang pagdawat sa mga troso gikan sa lainlaing mga lugar ug sa lainlaing mga pantalan. Alang niini mogamit kami usa ka log aggregator. Gusto usab namon nga maghimo unibersal nga mga graphic para sa tanan nga mga router nga adunay katakus sa pagpaambit sa pag-access. Dayon atong himoon ang mga indeks sama sa mosunod:

ania ang usa ka piraso sa config nga adunay fluentd type elasticsearch
logstash_format tinuod
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
mga panon pagkamaunat-unat: 9200
port 9200

Niining paagiha makombinar nato ang mga routers ug segment sumala sa plano - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Nganong himoon kini nga komplikado kaayo? Nakasabut kami nga kami adunay 200 o daghan pa nga mga aparato. Dili nimo masubay ang tanan. Uban sa bersyon 6.8 sa elasticsearch, ang mga setting sa seguridad magamit alang kanamo (nga wala’y pagpalit usa ka lisensya), sa ingon mahimo namon ipanghatag ang mga katungod sa pagtan-aw tali sa mga empleyado sa teknikal nga suporta o lokal nga mga tagdumala sa sistema.
Mga lamesa, mga graph - dinhi kinahanglan ra nimo nga magkauyon - magamit ang parehas nga mga butang, o buhaton sa tanan kung unsa ang kombenyente alang kaniya.

2. Pinaagi sa logging. Kung mahimo namon ang pag-log in sa mga lagda sa firewall, nan among gihimo ang mga ngalan nga wala’y mga espasyo. Makita nga pinaagi sa paggamit sa usa ka yano nga config sa fluentd, mahimo naton ma-filter ang datos ug makahimo mga dali nga panel. Ang hulagway sa ubos mao ang akong router sa balay.

3. Pinaagi sa luna nga giokupar ug mga troso. Sa aberids, nga adunay 1000 ka mga mensahe kada oras, ang mga troso mokabat ug 2-3 MB kada adlaw, nga, tan-awa, dili kaayo. Elasticsearch nga bersyon 7.5.

ANSIBLE.AWX

Maayo na lang alang kanamo, kami adunay andam nga module alang sa mga router
Gihisgotan nako ang mahitungod sa AWX, apan ang mga sugo sa ubos mahitungod lamang sa ansible sa lunsay nga porma niini - Sa akong hunahuna nga alang niadtong nagtrabaho uban sa ansible, walay mga problema sa paggamit sa awx pinaagi sa gui.

Sa tinuud, sa wala pa kini gitan-aw nako ang ubang mga giya diin gigamit nila ang ssh, ug silang tanan adunay lainlaing mga problema sa oras sa pagtubag ug daghang uban pang mga problema. Gisubli ko, wala kini moabut sa usa ka away , kuhaa kini nga kasayuran ingon usa ka eksperimento nga wala’y labi pa sa usa ka baruganan sa 20 nga mga router.

Kinahanglan namon nga mogamit usa ka sertipiko o account. Bahala na nimo, ako para sa certificates. Pipila ka maliputon nga punto bahin sa mga katungod. Naghatag ako mga katungod sa pagsulat - labing menos ang "reset config" dili molihok.

Kinahanglang walay mga problema sa paghimo, pagkopya ug pag-import sa sertipiko:

Mubo nga listahan sa sugoSa imong PC
ssh-keygen -t RSA, tubaga ang mga pangutana, i-save ang yawe.
Kopyaha sa mikrotik:
user ssh-keys import public-key-file=id_mtx.pub user=ansible
Una kinahanglan nimo nga maghimo usa ka account ug maghatag mga katungod niini.
Pagsusi sa koneksyon gamit ang sertipiko
ssh -p 49475 -i /keys/mtx [protektado sa email]

Pagrehistro vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

Aw, usa ka pananglitan nga playbook: - ngalan: add_work_sites
mga host: testmt
serye: 1
koneksyon: network_cli
remote_user: mikrotik.west
gather_facts: oo
mga buluhaton:
- ngalan: idugang ang Work_sites
routeros_command:
nagsugo:
— /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— / ip firewall address-list add address=habr.com list=work_sites comment=for_habr

Sama sa imong makita gikan sa pag-configure sa ibabaw, ang paghimo sa imong kaugalingon nga mga playbook dili lisud. Igo na nga ma-master ug maayo ang cli mikrotik. Hunahunaa ang usa ka sitwasyon diin kinahanglan nimo nga tangtangon ang lista sa address nga adunay piho nga datos sa tanan nga mga router, unya:

Pangitaa ug kuhaa/ip firewal address-list kuhaa [pangitaa kung asa list="gov.ru"]

Gituyo nako nga wala iapil ang tibuok nga listahan sa firewall dinhi tungod kay... kini mahimong indibidwal alang sa matag proyekto. Apan usa ka butang ang akong masulti nga sigurado, gamita lamang ang listahan sa address.

Sumala sa GITLAB ang tanan klaro. Dili ko maghisgot niini nga punto. Nindot ang tanan alang sa indibidwal nga mga buluhaton, templates, tigdumala.

Powershell

Adunay 3 ka mga file dinhi. Ngano powershell? Mahimo nimong pilion ang bisan unsang himan alang sa paghimo og mga config, bisan unsa nga labi ka kombenyente alang kanimo. Sa kini nga kaso, ang tanan adunay Windows sa ilang PC, busa nganong buhaton kini sa bash kung ang powershell mas sayon. Hain ang mas kombenyente?

Ang script mismo (yano ug masabtan):[cmdletBinding()] Param(
[Parameter(Mandatory=$tinuod)] [string]$EXTERNALIPADDDRESS,
[Parameter(Mandatory=$tinuod)] [string]$EXTERNALIPROUTE,
[Parameter(Mandatory=$true)] [string]$BWorknets,
[Parameter(Mandatory=$true)] [string]$CWorknets,
[Parameter(Mandatory=$true)] [string]$BVoipNets,
[Parameter(Mandatory=$tinuod)] [string]$CVoipNets,
[Parameter(Mandatory=$true)] [string]$CClients,
[Parameter(Mandatory=$tinuod)] [string]$BVPNWORKs,
[Parameter(Mandatory=$true)] [string]$CVPNWORKs,
[Parameter(Mandatory=$true)] [string]$BVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$cVPNCLIENTSs,
[Parameter(Mandatory=$tinuod)] [string]$NAMEROUTER,
[Parameter(Mandatory=$true)] [string]$ServerCertificates,
[Parameter(Mandatory=$tinuod)] [string]$infile,
[Parameter(Mandatory=$tinuod)] [string]$outfile
)

Get-Content $infile | Foreach-Object {$_.Ilisan("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Ilisan("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Ilisan("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Ilisan("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Ilisan("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Ilisan("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Ilisan("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificate)} | Set-Content $outfile

Palihog pasayloa ko, dili nako ma-post ang tanan nga mga lagda tungod kay... dili na kaayo gwapa. Mahimo nimong buhaton ang mga lagda sa imong kaugalingon, gigiyahan sa labing kaayo nga mga gawi.

Pananglitan, ania ang usa ka lista sa mga link nga akong gisundan:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Pagsala
wiki.mikrotik.com/wiki/Manual: OSPF-mga pananglitan
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: Winbox
wiki.mikrotik.com/wiki/Manual:Pag-upgrade_RouterOS
wiki.mikrotik.com/wiki/Manual: IP/Fasttrack - dinhi kinahanglan nimong masayran nga kung ang fasttrack ma-enable, ang pag-prioritize sa trapiko ug paghulma sa mga lagda dili molihok - mapuslanon alang sa huyang nga mga himan.

Mga simbolo alang sa mga variable:Ang mosunod nga mga network gikuha isip pananglitan:
192.168.0.0/24 nagtrabaho nga network
172.22.4.0/24 VOIP network
10.0.0.0/24 network para sa mga kliyente nga walay access sa lokal nga network
192.168.255.0/24 VPN network alang sa dagkong mga sanga
172.19.255.0/24 VPN network alang sa gamay

Ang adres sa network naglangkob sa 4 nga mga numero sa desimal, sa tinuud ABCD, ang kapuli nagtrabaho sa parehas nga prinsipyo, kung sa pagsugod nangayo kini alang sa B, nan kini nagpasabut nga kinahanglan nimo nga isulod ang numero 192.168.0.0 alang sa network 24/0, ug alang sa C = 0.
$EXTERNALIPADDDRESS - gipahinungod nga adres gikan sa provider.
$EXTERNALIPROUTE - default nga ruta sa network 0.0.0.0/0
$BWorknets - Trabaho nga network, sa among pananglitan adunay 168
$CWorknets - Nagtrabaho nga network, sa among pananglitan kini mahimong 0
$BVoipNets - VOIP network sa among pananglitan dinhi 22
$CVoipNets - VOIP network sa among pananglitan dinhi 4
$CClientss - Network para sa mga kliyente - Internet access lamang, sa among kaso dinhi 0
$BVPNWORKs - VPN network para sa dagkong mga sanga, sa among pananglitan 20
$CVPNWORKs - VPN network para sa dagkong mga sanga, sa among pananglitan 255
$BVPNCLIENTS - VPN network para sa gagmay nga mga sanga, buot ipasabot 19
$CVPNCLIENTS - VPN network alang sa gagmay nga mga sanga, nagpasabut nga 255
$NAMEROUTER - ngalan sa router
$ServerCertificate - ang ngalan sa sertipiko nga imong gi-import kaniadto
$infile — Ipiho ang agianan sa file diin atong basahon ang config, pananglitan D:config.txt (mas maayo ang English nga agianan nga walay mga kinutlo ug mga espasyo)
$outfile — ipiho ang dalan kung asa kini i-save, pananglitan D:MT-test.txt

Gituyo nako nga giusab ang mga adres sa mga pananglitan alang sa klaro nga mga hinungdan.

Nawala nako ang punto bahin sa pag-ila sa mga pag-atake ug anomaliya nga pamatasan - kini angay sa usa ka lahi nga artikulo. Apan angay nga ipunting nga sa kini nga kategorya mahimo nimong magamit ang pag-monitor sa mga kantidad sa datos gikan sa Zabbix + giproseso nga data sa curl gikan sa elasticsearch.

Unsa nga mga punto ang kinahanglan nimong hatagan og pagtagad:

1. Plano sa network. Mas maayo nga isulat dayon kini sa usa ka mabasa nga porma. Ang Excel igo na. Ikasubo, kanunay nakong makita nga ang mga network gitukod sumala sa prinsipyo nga "Usa ka bag-ong sanga ang nagpakita, ania ang /24 alang kanimo." Walay usa nga naghunahuna kung pila ang mga aparato nga gipaabut sa usa ka lokasyon o kung adunay dugang nga pagtubo. Pananglitan, ang usa ka gamay nga tindahan giablihan diin kini sa sinugdan klaro nga ang aparato dili molapas sa 10, nganong gigahin ang /24? Alang sa dagkong mga sanga, sa kasukwahi, ilang gigahin ang /24, ug adunay 500 ka mga himan - mahimo ka lamang makadugang sa usa ka network, apan gusto nimo nga hunahunaon ang tanan sa usa ka higayon.
2. Mga lagda sa pagsala. Kung ang proyekto maghunahuna nga adunay pagbulag sa mga network ug labing kadaghan nga pagbahin. Ang labing maayo nga mga gawi mausab sa paglabay sa panahon. Kaniadto, ang usa ka network sa PC ug usa ka network sa tig-imprinta gibahin, apan karon normal na nga dili bahinon kini nga mga network. Angayan nga gamiton ang sentido komon ug dili paghimo og daghang mga subnet diin wala sila kinahanglana ug dili paghiusa sa tanan nga mga aparato sa usa ka network.
3. "Bulawan" nga mga setting sa tanan nga mga router. Mga. kung nakadesisyon ka sa usa ka plano. Angayan nga tan-awon dayon ang tanan ug paningkamuti nga masiguro nga ang tanan nga mga setting managsama - ang lista sa address ug mga adres sa IP ra ang lahi. Kung adunay mga problema, ang oras sa pag-debug mas mubu.
4. Ang mga isyu sa organisasyon dili kaayo hinungdanon kaysa mga teknikal. Kasagaran ang mga tapulan nga mga empleyado naghimo niini nga mga rekomendasyon nga "manual", nga wala gigamit ang andam nga mga pag-configure ug mga script, nga sa katapusan nagdala sa mga problema nga wala’y bisan diin.

Pinaagi sa dinamikong ruta. OSPF nga adunay zone division gigamit. Apan kini usa ka test bench; mas makapaikag nga i-set up ang ingon nga mga butang sa mga kondisyon sa kombat.

Manghinaut ko nga walay usa nga masuko nga wala nako i-post ang mga configuration sa router. Sa akong hunahuna nga ang mga link igo na, ug unya ang tanan nagdepende sa mga kinahanglanon. Ug siyempre mga pagsulay, daghang mga pagsulay ang gikinahanglan.

Nanghinaut ko nga ang tanan makaamgo sa ilang mga proyekto sa bag-ong tuig. Hinaut nga ang access nga gihatag maanaa kanimo!!!

Source: www.habr.com