Kaixo guztioi. Artikulu hau beren flotan Mikrotik gailu asko dituztenentzat da, eta gehieneko bateratzea egin nahi dutenentzat, gailu bakoitzari bereizita ez konektatzeko. Artikulu honetan, tamalez, giza faktoreen ondorioz borroka-baldintzara iritsi ez zen proiektu bat deskribatuko dut. Laburbilduz: 200 bideratzaile baino gehiago, konfigurazio azkarra eta langileen prestakuntza, eskualdeka bateratzea, sareak iragaztea eta ostalari zehatzak, gailu guztietan arauak erraz gehitzeko gaitasuna, erregistroa eta sarbide-kontrola.
Jarraian azaltzen denak ez du prest egindako kasua denik, baina zure sareak planifikatzeko eta akatsak minimizatzeko baliagarria izango zaizula espero dut. Baliteke puntu eta irtenbide batzuk guztiz zuzenak ez irudituko zaizkizu; hala bada, idatzi iruzkinetan. Kasu honetan kritika ogasun komunarentzat esperientzia bat izango da. Hori dela eta, irakurle, begiratu iruzkinei, agian egileak akats larri bat egin zuen - komunitateak lagunduko du.
Bideratzaile kopurua 200-300 da, Interneterako konexioen kalitate ezberdineko hiri ezberdinetan sakabanatuta. Dena ederki egin behar da eta tokiko administratzaileei dena nola funtzionatuko duen argi eta garbi azaltzea.
Orduan, non hasten da edozein proiektu? Noski, rekin TK.
- Bezeroen eskakizunen arabera sukurtsal guztietarako sare-plana antolatzea, sarearen segmentazioa (3tik 20ra arte sukurtsaletan gailu kopuruaren arabera).
- Adar bakoitzean gailuak konfiguratzea. Hornitzailearen benetako abiadura-abiadura egiaztatzea funtzionamendu-baldintza desberdinetan.
- Gailuen babesa antolatzea, zerrenda zurien kudeaketa, erasoak automatikoki detektatzea zerrenda beltz automatikoarekin denbora-tarte jakin batean, kontrola sarbidea atzemateko eta zerbitzua ukatzeko erabiltzen diren hainbat baliabide teknikoren erabilera minimizatuz.
- VPN konexio seguruen antolaketa sarearen iragazketarekin bezeroen eskakizunen arabera. Gutxienez 3 VPN konexio adar bakoitzetik zentrora.
- 1., 2. puntuetan oinarrituta. Hautatu akatsekiko tolerantziazko VPNak eraikitzeko modurik egokienak. Ondo justifikatzen bada, bideratze dinamikoaren teknologia aukera dezake kontratistak.
- Trafikoaren lehentasuna antolatzea bezeroak erabiltzen dituen protokolo, portu, ostalari eta beste zerbitzu zehatz batzuen arabera. (VOIP, zerbitzu garrantzitsuak dituzten ostalariak)
- Bideratzaileen gertaeren jarraipena eta erregistroa antolatzea laguntza teknikoko langileen erantzuna emateko.
Ulertzen dugunez, zenbait kasutan baldintza teknikoak betekizunen arabera egiten dira. Nik neuk planteatu nituen eskakizun horiek, arazo nagusiak entzun ondoren. Puntu horiek beste norbaitek zaindu ahal izateko aukera onartu zuen.
Zer tresna erabiliko diren baldintza hauek betetzeko:
- ELK pila (denbora baten ondoren, argi geratu zen logstash-en ordez fluentd erabiliko zela).
- Ansible. Administrazioa errazteko eta sarbidea partekatzeko, AWX erabiliko dugu.
- GITLAB. Ez dago hemen azaldu beharrik. Non egongo ginateke gure konfigurazioen bertsio-kontrolik gabe?
- PowerShell. Script soil bat egongo da konfigurazioaren hasierako belaunaldirako.
- Doku wikia, dokumentazioa eta gidak idazteko. Kasu honetan, habr.com erabiltzen dugu.
- Zabbix bidez egingo da jarraipena. Konexio-diagrama ere marraztuko da bertan, orokorrean ulertzeko.
EFK konfigurazio puntuak
Lehenengo puntuari dagokionez, indizeak eraikiko diren ideologia baino ez dut deskribatuko. Asko daude
mikrotik exekutatzen duten gailuetatik erregistroak konfiguratu eta jasotzeari buruzko artikulu bikainak.
Puntu batzuetan luzatuko naiz:
1. Diagramaren arabera, komeni da leku desberdinetatik eta portu ezberdinetan erregistroak jasotzea. Horretarako log-agregatzailea erabiliko dugu. Bideratzaile guztientzako grafiko unibertsalak ere egin nahi ditugu sarbidea partekatzeko gaitasunarekin. Ondoren, honela eraikiko ditugu indizeak:
hona hemen fluentd-rekin konfigurazioaren zati bat mota bilaketa elastikoa
logstash_format egia
indize_izena mikrotiklogs.ipar
logstash_prefix mikrotiklogs.north
flush_interval 10s
ostalariak : 9200
9200 ataka
Horrela bideratzaileak eta segmentuak planaren arabera konbinatu ditzakegu - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Zergatik egin hain konplikatua? Ulertzen dugu 200 gailu edo gehiago izango ditugula. Ezin duzu guztiaren jarraipena egin. Elastiksearch-en 6.8 bertsioarekin, segurtasun ezarpenak eskuragarri ditugu (lizentziarik erosi gabe), eta, horrela, laguntza teknikoko langileen edo tokiko sistema administratzaileen artean ikusteko eskubideak banatu ditzakegu.
Taulak, grafikoak - hemen ados jarri besterik ez duzu behar - edo berdinak erabili, edo bakoitzak komeni zaiona egiten du.
2. Erregistroa eginez. Suebakiaren arauetan saioa gaitzen badugu, orduan zuriunerik gabe egingo ditugu izenak. Ikusten denez, fluentd-en konfigurazio sinple bat erabiliz, datuak iragazi eta panel erosoak egin ditzakegu. Beheko argazkia nire etxeko bideratzailea da.
3. Okupatutako espazioaren eta erregistroen arabera. Batez beste, orduko 1000 mezurekin, erregistroek 2-3 MB hartzen dituzte egunean, eta hori, ikusten duzu, ez da horrenbeste. Elasticsearch 7.5 bertsioa.
ANSIBLE.AWX
Zorionez guretzat, routeroentzako prest egindako modulua dugu
AWX-ri buruz aipatu dut, baina beheko komandoak ansibleri buruzkoak dira bere forma hutsean; uste dut ansiblerekin lan egin dutenentzat ez dela arazorik izango awx gui-ren bidez erabiltzeko.
Egia esateko, hau baino lehen ssh erabiltzen zuten beste gidak aztertu nituen, eta guztiek arazo desberdinak izan zituzten erantzun denborarekin eta beste arazo mordo bat. Berriro diot, ez zen borrokara etorri ο, hartu informazio hau 20 bideratzaileko stand bat baino urrunago iritsi ez den esperimentu gisa.
Ziurtagiri edo kontu bat erabili behar dugu. Zure esku dago erabakitzea, ziurtagirien alde nago. Eskubideei buruzko puntu sotil bat. Idazteko eskubideak ematen ditut - gutxienez "berrezarri konfigurazioa" ez da funtzionatuko.
Ez da arazorik izan behar ziurtagiria sortzeko, kopiatzeko eta inportatzeko:
Komandoen zerrenda laburraZure ordenagailuan
ssh-keygen -t RSA, erantzun galderei, gorde gakoa.
Kopiatu mikrotik-era:
erabiltzailea ssh-keys inportatu public-key-file=id_mtx.pub user=ansible
Lehenik eta behin kontu bat sortu eta hari eskubideak esleitu behar dizkiozu.
Ziurtagiriaren bidez konexioa egiaztatzea
ssh -p 49475 -i /keys/mtx [posta elektroniko bidez babestua]
Erregistratu vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
Beno, adibide liburu bat: - izena: gehitu_lan_guneak
ostalari: testmt
seriea: 1
konexioa: network_cli
urruneko_erabiltzailea: mikrotik.west
gather_facts: bai
zereginak:
- izena: gehitu Lan_guneak
routeros_command:
komandoak:
β /ip suebaki helbide-zerrenda add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
β /ip suebaki helbide-zerrenda add address=habr.com list=work_sites comment=for_habr
Goiko konfigurazioan ikus dezakezun bezala, zure jolas-liburuak sortzea ez da zaila. Nahikoa da cli mikrotik ondo menperatzea. Imajina dezagun bideratzaile guztietan datu jakin batzuekin helbide-zerrenda kendu behar duzun egoera, orduan:
Aurkitu eta kendu/ip firewal helbide-zerrenda kendu [find where list="gov.ru"]
Nahita ez dut hemen suebakiaren zerrenda osoa sartu, zeren... banakakoa izango da proiektu bakoitzerako. Baina gauza bat ziur esan dezaket, helbide-zerrenda soilik erabili.
GITLABen arabera dena argi dago. Ez naiz puntu honetan luzatuko. Dena ederra da banakako zereginetarako, txantiloietarako, kudeatzaileetarako.
PowerShell
Hemen 3 fitxategi egongo dira. Zergatik powershell? Konfigurazioak sortzeko edozein tresna aukeratu dezakezu, zuretzat erosoagoa dena. Kasu honetan, guztiek dute Windows PCan, beraz, zergatik egin bash-en powershell erosoagoa denean. Zein da erosoagoa?
Gidoia bera (sinplea eta ulergarria):[cmdletBinding()]
Param(
[Parametroa (Nahitaezkoa=$egia)]
[string]$EXTERNALIPADDRESS,
[Parametroa (Nahitaezkoa=$egia)]
[string]$EXTERNALIPROUTE,
[Parametroa (Nahitaezkoa=$egia)]
[string]$BWorknets,
[Parametroa (Nahitaezkoa=$egia)]
[string]$CWorknets,
[Parametroa (Nahitaezkoa=$egia)]
[string]$BVoipNets,
[Parametroa (Nahitaezkoa=$egia)]
[string]$CVoipNets,
[Parametroa (Nahitaezkoa=$egia)]
[string]$CClientss,
[Parametroa (Nahitaezkoa=$egia)]
[string]$BVPNWORKs,
[Parametroa (Nahitaezkoa=$egia)]
[string]$CVPNWORKs,
[Parametroa (Nahitaezkoa=$egia)]
[string]$BVPNCLIENTSs,
[Parametroa (Nahitaezkoa=$egia)]
[katea]$cVPNCLIENTSs,
[Parametroa (Nahitaezkoa=$egia)]
[katea]$NAMEROUTER,
[Parametroa (Nahitaezkoa=$egia)]
[string]$ServerCertificates,
[Parametroa (Nahitaezkoa=$egia)]
[katea]$infile,
[Parametroa (Nahitaezkoa=$egia)]
[katea]$irteera fitxategia
)
Lortu-edukia $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("NIRE IZENA ROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ZerbitzariZurtagiria", $ZerbitzariZurtagiriak)} | Set-Content $outfile
Mesedez, barkatu, ezin ditut arau guztiak argitaratu, zeren... ez da oso polita izango. Arauak zuk zeuk osa ditzakezu, praktika onek gidatuta.
Adibidez, hona hemen jarraitu ditudan esteken zerrenda::Zure_Router_seguratzea
:IP/Suebakia/Iragazkia
:OSPF-adibideak
: Winbox
:RouterOS_berritzea
:IP/Fasttrack - hemen jakin behar duzu fasttrack gaituta dagoenean, trafikoa lehenesteko eta moldatzeko arauek ez dutela funtzionatuko - erabilgarria gailu ahulentzat.
Aldagaietarako ikurrak:Adibide gisa honako sare hauek hartzen dira:
192.168.0.0/24 lan-sarea
172.22.4.0/24 VOIP sarea
10.0.0.0/24 sare lokalean sarbiderik ez duten bezeroentzat
192.168.255.0/24 VPN sarea sukurtsal handietarako
172.19.255.0/24 VPN sarea txikientzat
Sarearen helbidea 4 zenbaki hamartarrez osatuta dago, hurrenez hurren A.B.C.D, ordezkapenak printzipio berdinean funtzionatzen du, abiaraztean B eskatzen badu, orduan esan nahi du 192.168.0.0 zenbakia sartu behar duzula 24/0 sarerako eta Crako. = 0.
$EXTERNALIPADDRESS - hornitzailearen helbide dedikatua.
$EXTERNALIPROUTE - 0.0.0.0/0 sarerako bide lehenetsia
$BWorknets - Lan-sarea, gure adibidean 168 izango dira
$CWorknets - Laneko sarea, gure adibidean hau 0 izango da
$BVoipNets - VOIP sarea gure adibidean hemen 22
$CVoipNets - VOIP sarea gure adibidean hemen 4
$CClientss - Bezeroentzako sarea - Interneterako sarbidea bakarrik, gure kasuan hemen 0
$BVPNWORKs - Adar handietarako VPN sarea, gure 20. adibidean
$CVPNWORKs - Adar handietarako VPN sarea, gure 255 adibidean
$BVPNCLIENTS - Adar txikientzako VPN sarea, hau da, 19
$CVPNCLIENTS - Adar txikientzako VPN sarea, hau da, 255
$NAMEROUTER - bideratzailearen izena
$ServerCertificate - aurretik inportatu duzun ziurtagiriaren izena
$infile β Zehaztu konfigurazioa irakurriko dugun fitxategirako bidea, adibidez D:config.txt (ahal dela ingelesezko bidea komatxorik eta zuriunerik gabe)
$outfile β zehaztu non gorde nahi den bidea, adibidez D:MT-test.txt
Adibideetako helbideak nahita aldatu ditut ageriko arrazoiengatik.
Erasoak eta portaera anormalak detektatzeko puntua galdu nuen - honek aparteko artikulu bat merezi du. Baina azpimarratzekoa da kategoria honetan Zabbix-en jarraipen-datuen balioak + elasticsearch-en prozesatutako kizkur datuak erabil ditzakezula.
Zein punturi erreparatu behar diezu:
- Sare plana. Hobe da berehala idaztea forma irakurgarrian. Excel nahikoa izango da. Zoritxarrez, askotan ikusten dut sareak "Adar berri bat agertu da, hemen /24 zuretzat" printzipioaren arabera eraikitzen direla. Inork ez du asmatzen zenbat gailu espero diren toki jakin batean edo hazkunde gehiago egongo den. Adibidez, denda txiki bat ireki zen eta bertan hasiera batean argi zegoen gailua 10 baino gehiago ez zela, zergatik esleitu /24? Adar handietarako, aitzitik, /24 esleitzen dute eta 500 gailu daude - sare bat besterik gabe gehi dezakezu, baina dena aldi berean pentsatu nahi duzu.
- Iragazte-arauak. Proiektuak sareen bereizketa eta segmentazio maximoa egongo direla suposatzen badu. Praktika onak denboran zehar aldatzen dira. Lehen, ordenagailu sare bat eta inprimagailu sarea banatzen ziren, baina orain nahiko normala da sare horiek ez banatzea. Merezi du zentzua erabiltzea eta behar ez diren tokietan azpisare asko ez sortzea eta gailu guztiak sare batean ez konbinatzea.
- "Urrezko" ezarpenak bideratzaile guztietan. Horiek. plan bat erabaki baduzu. Merezi du dena berehala aurreikustea eta ezarpen guztiak berdinak direla ziurtatzen saiatzea - ββhelbide-zerrenda eta IP helbideak bakarrik desberdinak dira. Arazoak sortzen badira, arazketa-denbora txikiagoa izango da.
- Antolakuntza-gaiak ez dira teknikoak baino garrantzi gutxiagokoak. Sarritan langile alferrak gomendio hauek "eskuz" egiten dituzte, prest egindako konfigurazio eta script-ak erabili gabe, eta horrek, azkenean, ezerezetik arazoak sortzen ditu.
Bideratze dinamikoaren bidez. Zona zatiketa duen OSPF erabili da. Baina hau proba-banku bat da; interesgarriagoa da horrelako gauzak konfiguratzea borroka baldintzetan.
Espero dut inor ez haserretzea bideratzaileen konfigurazioak argitaratu ez ditudalako. Loturak nahikoak izango direla uste dut, eta gero dena eskakizunen araberakoa izango da. Eta noski probak, proba gehiago behar dira.
Urte berrian bakoitzak bere proiektuak gauzatzea opa dut. Ematen den sarbidea zurekin egon dadila!!!
Iturria: www.habr.com