Mo phròiseact gun chrìochnachadh. Lìonra de 200 routers MikroTik

Hi uile. Tha an artaigil seo airson an fheadhainn aig a bheil tòrr innealan Mikrotik sa phàirc, agus a tha airson an aonachadh as motha a dhèanamh gus nach ceangal iad ri gach inneal fa leth. San artaigil seo, bheir mi cunntas air pròiseact nach do ràinig, gu mì-fhortanach, suidheachadh sabaid air sgàth factaran daonna. Ann an ùine ghoirid: barrachd air 200 routers, suidheachadh luath agus trèanadh luchd-obrach, aonachadh a rèir sgìre, lìonraidhean sìolaidh agus luchd-aoigheachd sònraichte, an comas riaghailtean a chuir ris a h-uile inneal gu furasta, logadh agus smachd ruigsinneachd.

Chan eil na tha air a mhìneachadh gu h-ìosal a’ leigeil a-mach gur e cùis deiseil a th’ ann, ach tha mi an dòchas gum bi e feumail dhut nuair a bhios tu a’ dealbhadh do lìonraidhean agus a’ lughdachadh mhearachdan. Is dòcha nach bi cuid de phuingean agus cho-dhùnaidhean ceart dhut - ma tha, sgrìobh na beachdan. Bidh càineadh sa chùis seo na eòlas ann am banca muc cumanta. Mar sin, a leughadair, seall anns na beachdan, is dòcha gun do rinn an t-ùghdar mearachd mhòr - cuidichidh a’ choimhearsnachd.

Is e an àireamh de routers 200-300, sgapte ann am bailtean-mòra eadar-dhealaichte le càileachd eadar-lìn eadar-dhealaichte. Feumar a h-uile dad a dhèanamh brèagha agus mìneachadh do luchd-rianachd ionadail ann an dòigh ruigsinneach mar a dh’ obraicheas a h-uile càil.

Mar sin càite a thòisicheas a h-uile pròiseact? Gu dearbh, le ТЗ.

1. Eagrachadh plana lìonra airson a h-uile meur a rèir riatanasan luchd-cleachdaidh, sgaradh lìonra (bho 3 gu 20 lìonra ann an geugan, a rèir an àireamh de dh’ innealan).
2. Stèidhich innealan anns gach meur. A’ sgrùdadh fìor leud-bann an t-solaraiche ann an diofar shuidheachaidhean obrach.
3. Eagrachadh dìon innealan, smachd liosta geal, lorg ionnsaighean gu fèin-ghluasadach le liosta dhubh fèin-ghluasadach airson ùine sònraichte, lughdachadh cleachdadh diofar dhòighean teignigeach a thathas a ’cleachdadh gus casg a chuir air ruigsinneachd smachd agus diùltadh seirbheis.
4. Eagrachadh ceanglaichean tèarainte vpn le sìoladh lìonra a rèir riatanasan teachdaiche. Co-dhiù 3 ceanglaichean vpn bho gach meur chun ionad.
5. Stèidhichte air puingean 1, 2. Tagh na dòighean as fheàrr air vpn fulangach air lochdan a thogail. Faodaidh an cunnradair an teicneòlas slighe fiùghantach, leis an fhìreanachadh ceart, a thaghadh.
6. Eagrachadh prìomhachadh trafaic le protocolaidhean, puirt, luchd-aoigheachd agus seirbheisean sònraichte eile a bhios an neach-ceannach a’ cleachdadh. (VOIP, luchd-aoigheachd le seirbheisean cudromach)
7. Eagrachadh sgrùdadh agus clàradh thachartasan router airson freagairt luchd-obrach taic theicnigeach.

Mar a tha sinn a 'tuigsinn, ann an cuid de chùisean, tha an TOR air a chur ri chèile bho na riatanasan. Chruthaich mi na riatanasan sin leam fhìn, às deidh dhomh èisteachd ris na prìomh dhuilgheadasan. Dh'aidich e gum faodadh cuideigin eile na puingean sin a chur an gnìomh.

Dè na h-innealan a thèid a chleachdadh gus na riatanasan seo a choileanadh:

1. ELK stack (an dèidh beagan ùine, chaidh a thuigsinn gum biodh fluentd air a chleachdadh an àite logstash).
2. Co-fhreagarrach. Airson rianachd agus roinneadh ruigsinneachd, cleachdaidh sinn AWX.
3. GITLAB. Chan eil feum air mìneachadh an seo. Far nach eil smachd dreach air na configs againn.
4. PowerShell. Bidh sgriobt sìmplidh ann airson a’ chiad ghinealach den config.
5. Doku wiki, airson sgrìobhainnean agus leabhraichean-làimhe a sgrìobhadh. Anns a 'chùis seo, bidh sinn a' cleachdadh habr.com.
6. Thèid sgrùdadh a dhèanamh tro zabbix. Bidh diagram ceangail ann cuideachd airson tuigse choitcheann.

Puingean rèiteachaidh EFK

Air a 'chiad phuing, cha toir mi cunntas ach air an ideòlas air an tèid na clàran-amais a thogail. Tha moran ann
artaigilean sàr-mhath mu bhith a’ stèidheachadh agus a’ faighinn logaichean bho innealan a’ ruith mikrotik.

Gabhaidh mi còmhnaidh air cuid de phuingean:

1. A rèir an sgeama, is fhiach beachdachadh air logaichean fhaighinn bho dhiofar àiteachan agus air diofar phuirt. Gus seo a dhèanamh, cleachdaidh sinn log aggregator. Tha sinn cuideachd airson grafaigean uile-choitcheann a dhèanamh airson a h-uile router le comas ruigsinneachd a cho-roinn. An uairsin bidh sinn a’ togail na clàran-amais mar a leanas:

seo pìos config le filed lorg elastaig
logstash_format fìor
index_name mikrotiklogs.tuath
logstash_prefix mikrotiklogs.north
flush_interval 10s
aoigheachd lorg elastaig: 9200
port 9200

Mar sin, is urrainn dhuinn routers agus earrannan a chur còmhla a rèir a’ phlana - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Carson a dhèanamh cho duilich? Tha sinn a’ tuigsinn gum bi 200 inneal no barrachd againn. Na lean a h-uile càil. Bho dhreach 6.8 de elasticsearch, tha roghainnean tèarainteachd rim faighinn leinn (gun chead a cheannach), mar sin, is urrainn dhuinn còraichean seallaidh a sgaoileadh eadar luchd-obrach taic theicnigeach no luchd-rianachd siostam ionadail.
Clàran, grafaichean - an seo feumaidh tu dìreach aontachadh - an dàrna cuid cleachd na h-aon fheadhainn, no bidh a h-uile duine ga dhèanamh oir bidh e goireasach dha.

2. Le bhith a 'logadh. Ma bheir sinn comas do riaghailtean balla-teine ​​​​logadh a-steach, nì sinn na h-ainmean às aonais beàrnan. Chì sinn, le bhith a’ cleachdadh config sìmplidh ann an fileantaich, gun urrainn dhuinn an dàta a shìoladh agus panalan goireasach a dhèanamh. Is e an dealbh gu h-ìosal an router dachaigh agam.

3. A rèir an àite còmhnaidh agus na logaichean. Gu cuibheasach, le 1000 teachdaireachdan san uair, bidh na logaichean a 'toirt suas 2-3 MB gach latha, rud nach eil, chì thu, cho mòr. dreach elasticsearch 7.5.

GNIOMHARA.AWX

Gu fortanach dhuinne, tha modal deiseil againn airson routeros
Chomharraich mi mu AWX, ach chan eil na h-òrdughan gu h-ìosal ach mu dheidhinn iomchaidh anns a’ chruth fhìor-ghlan aige - tha mi a’ smaoineachadh dhaibhsan a tha air a bhith ag obair le cunntachail, cha bhith duilgheadas sam bith ann a bhith a’ cleachdadh awx tron ​​​​gui.

Gus a bhith onarach, roimhe sin choimhead mi air stiùiridhean eile far an robh iad a’ cleachdadh ssh, agus bha diofar dhuilgheadasan aig a h-uile duine le ùine freagairt agus dòrlach de dhuilgheadasan eile. Bidh mi a-rithist, cha do ràinig e am blàr , gabh am fiosrachadh seo mar dheuchainn nach deach seachad air seasamh de 20 routers.

Feumaidh sinn teisteanas no cunntas a chleachdadh. Tha e an urra riutsa co-dhùnadh, tha mi airson teisteanasan. Puing shìmplidh air còraichean. Bheir mi na còraichean airson sgrìobhadh - co-dhiù chan obraich “ath-shuidheachadh config”.

Cha bu chòir duilgheadas sam bith a bhith ann le bhith a’ gineadh, a’ dèanamh lethbhreac den teisteanas agus a’ toirt a-steach:

Geàrr-chunntas de òrdughanAir do PC
ssh-keygen -t RSA, freagair ceistean, sàbhail an iuchair.
Dèan lethbhreac gu mikrotik:
cleachdaiche ssh-keys import public-key-file=id_mtx.pub user=an urrainn
An toiseach feumaidh tu cunntas a chruthachadh agus còraichean a riarachadh air.
A’ sgrùdadh a’ cheangail leis an teisteanas
ssh -p 49475 -i / iuchraichean/mtx [post-d fo dhìon]

Sgrìobh vi /etc/ansible/hosts
MT01 ansible_network_os = routeros ansible_ssh_port = 49475 ansible_ssh_user = comasach
MT02 ansible_network_os = routeros ansible_ssh_port = 49475 ansible_ssh_user = comasach
MT03 ansible_network_os = routeros ansible_ssh_port = 49475 ansible_ssh_user = comasach
MT04 ansible_network_os = routeros ansible_ssh_port = 49475 ansible_ssh_user = comasach

Uill, eisimpleir de leabhar-cluiche: ainm: add_work_sites
luchd-aoigheachd: testmt
sreathach: 1
ceangal: network_cli
remote_user: mikrotik.west
collect_facts: tha
gnìomhan:
ainm: cuir Work_sites ris
routeros_command:
Òrduighean:
- / ip firewall address-list add address=gov.ru list=work_sites comment=Tiogaid665436_Ochen_nado
- / ip firewall address-list cuir address=habr.com list=work_sites comment=for_habr

Mar a chì thu bhon rèiteachadh gu h-àrd, tha e na chùis shìmplidh na leabhraichean-cluiche agad fhèin a chuir ri chèile. Tha e math gu leòr airson maighstireachd cli mikrotik. Smaoinich air suidheachadh far am feum thu an liosta seòlaidh a thoirt air falbh le dàta sònraichte air a h-uile router, an uairsin:

Lorg agus cuir air falbh/ ip firewal address-list thoir air falbh [lorg far an liosta = "gov.ru"]

Cha do chuir mi a-steach an liosta balla-teine ​​​​gu lèir an seo a dh’aona ghnothach. bidh e fa leth airson gach pròiseact. Ach is urrainn dhomh aon rud a ràdh le cinnt, na cleachd ach an liosta sheòlaidhean.

A rèir GITLAB, tha a h-uile dad soilleir. Cha ghabh mi còmhnuidh air a' mhionaid so. Tha a h-uile dad brèagha a thaobh gnìomhan fa leth, teamplaidean, luchd-làimhseachaidh.

Powershell

Bidh 3 faidhlichean ann. Carson powerhell? Faodar an inneal airson configs a ghineadh a thaghadh le neach sam bith a tha nas comhfhurtail. Anns a ’chùis seo, tha uinneagan aig a h-uile duine air a’ PC aca, mar sin carson a nì thu e air bash nuair a tha powershell nas goireasaiche. Cò a tha nas cofhurtail.

An sgriobt fhèin (sìmplidh agus so-thuigsinn):[cmdletBinding()] Param(
[Parameter(Mandatory=$true)] [sreang] $EXTERNALIPADDRESS,
[Parameter(Mandatory=$true)] [sreang] $EXTERNALIPROUTE,
[Parameter(Mandatory=$true)] [sreang] $BWorknets,
[Parameter(Mandatory=$true)] [sreang] $CWorknets,
[Parameter(Mandatory=$true)] [sreang] $BVoipNets,
[Parameter(Mandatory=$true)] [sreang] $CVoipNets,
[Parameter(Rianach=$true)] [sreang] $CClientss,
[Parameter(Mandatory=$true)] [sreang] $BVPNWORKs,
[Parameter(Mandatory=$true)] [sreang] $CVPNWORKs,
[Parameter(Mandatory=$true)] [sreang] $BVPNCLIENTSs,
[Parameter(Mandatory=$true)] [sreang] $cVPNCLIENTSs,
[Parameter(Mandatory=$true)] [sreang] $NAMEROUTER,
[Parameter(Mandatory=$true)] [sreang] $Teisteanasan an Fhrithealaiche,
[Parameter(Mandatory=$true)] [string] $infile,
[Parameter(Mandatory=$true)] [string] $outfile
)

Faigh-Susbaint $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("Certificate Server", $ServerCertificates)} | Suidhich susbaint $outfile

Tha mi a’ guidhe do mhaitheanas, chan urrainn dhomh na riaghailtean gu lèir a chuir a-mach. cha bhi e breagha. Faodaidh tu fhèin na riaghailtean a dhèanamh suas, air an stiùireadh leis na cleachdaidhean as fheàrr.

Mar eisimpleir, seo liosta de cheanglaichean a bha mi air mo threòrachadh le:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual: IP / balla-teine ​​/ criathradh
wiki.mikrotik.com/wiki/Manual:OSPF-eisimpleirean
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: bogsa-buannachaidh
wiki.mikrotik.com/wiki/Manual: Ag ùrachadh_RouterOS
wiki.mikrotik.com/wiki/Manual: IP / Fasttrack - an seo feumaidh fios a bhith agad nuair a bhios slighe luath air a chomasachadh, nach obraich na riaghailtean prìomhachasadh trafaic agus cumadh - feumail airson innealan lag.

Gnàthasan caochlaideach:Tha na lìonraidhean a leanas air an gabhail mar eisimpleir:
192.168.0.0/24 lìonra obrach
172.22.4.0/24 lìonra VOIP
Lìonra 10.0.0.0/24 airson teachdaichean gun ruigsinneachd LAN
192.168.255.0 / 24 lìonra VPN airson meuran mòra
172.19.255.0/24 lìonra VPN airson beag

Tha an seòladh lìonra air a dhèanamh suas de 4 àireamhan deicheach, fa leth ABCD, bidh an ath-chur ag obair a rèir an aon phrionnsapal, ma dh’ iarras e B aig toiseach tòiseachaidh, feumaidh tu an àireamh 192.168.0.0 a chuir a-steach airson an lìonra 24 / 0, agus airson C = 0 .
$EXTERNALIPADDRESS - seòladh air a thoirt seachad bhon t-solaraiche.
$EXTERNALIPROUTE - slighe àbhaisteach chun lìonra 0.0.0.0/0
$BWorknets - Lìonra obrach, anns an eisimpleir againn bidh 168
$CWorknets - Lìonra obrach, san eisimpleir againn bidh e 0
$ BVoipNets - lìonra VOIP san eisimpleir againn an seo 22
$CVoipNets - lìonra VOIP san eisimpleir againn an seo 4
$ CClientss - Lìonra airson teachdaichean - ruigsinneachd a-mhàin air an eadar-lìn, sa chùis againn an seo 0
$ BVPNWORKs - lìonra VPN airson meuran mòra, san eisimpleir againn 20
$CVPNWORKs - lìonra VPN airson meuran mòra, san eisimpleir againn 255
$ BVPNCLIENTS - lìonra VPN airson meuran beaga, a’ ciallachadh 19
$CVPNCLIENTS - lìonra VPN airson meuran beaga, a’ ciallachadh 255
$NAMEROUTER - ainm an router
$ ServerCertificate - ainm an teisteanais a tha thu a’ toirt a-steach an toiseach
$infile - Sònraich an t-slighe chun an fhaidhle às an leugh sinn an rèiteachadh, mar eisimpleir D: config.txt (slighe Beurla nas fheàrr às aonais luachan agus beàrnan)
$outfile - sònraich an t-slighe far an sàbhail thu, mar eisimpleir D:MT-test.txt

Dh'atharraich mi na seòlaidhean anns na h-eisimpleirean a dh'aona ghnothach airson adhbharan follaiseach.

Chaill mi a’ phuing mu bhith a’ lorg ionnsaighean agus giùlan neo-riaghailteach - tha seo airidh air artaigil air leth. Ach is fhiach a bhith mothachail gum faod thu san roinn seo luachan dàta sgrùdaidh bho Zabbix + obrachadh a-mach dàta curl bho elasticsearch.

Dè na puingean airson fòcas a chuir air:

1. Plana lìonraidh. Tha e nas fheàrr a sgrìobhadh ann an cruth a ghabhas leughadh. Tha Excel gu leòr. Gu mì-fhortanach, bidh mi tric a 'faicinn gu bheil lìonraidhean air an cur ri chèile a rèir a' phrionnsapail "Tha meur ùr air nochdadh, seo /24 dhut." Chan eil duine a’ faighinn a-mach cia mheud inneal a thathar an dùil ann an àite sònraichte agus am bi tuilleadh fàs ann. Mar eisimpleir, tha stòr beag air fosgladh, anns a bheil e soilleir an toiseach nach bi an inneal nas motha na 10, carson a riarachadh / 24? Airson meuran mòra, air an làimh eile, bidh iad a 'riarachadh / 24, agus tha innealan 500 ann - faodaidh tu dìreach lìonra a chuir ris, ach tha thu airson smaoineachadh air a h-uile càil sa bhad.
2. Riaghailtean sìolaidh. Ma tha am pròiseact a 'gabhail ris gum bi sgaradh lìonraidhean agus an sgaradh as àirde. Bidh cleachdaidhean as fheàrr ag atharrachadh thar ùine. Roimhe sin, bha iad a 'roinn lìonra PC agus lìonra clò-bhualadair, a-nis tha e gu math àbhaisteach gun a bhith a' roinn nan lìonraidhean sin. Is fhiach ciall cumanta a chleachdadh agus gun a bhith a’ toirt a-mach mòran subnets far nach eil feum orra agus gun a bhith a ’cothlamadh a h-uile inneal ann an aon lìonra.
3. Suidhichidhean "Golden" air a h-uile router. An fheadhainn sin. ma tha plana agad. Is fhiach a h-uile càil fhaicinn sa bhad agus feuchainn ri dèanamh cinnteach gu bheil a h-uile suidheachadh co-ionann - chan eil ann ach liosta seòlaidhean agus seòlaidhean ip eadar-dhealaichte. Ma tha duilgheadasan ann, bidh an ùine airson debugging nas lugha.
4. Chan eil taobhan eagrachaidh cho cudromach ri taobhan teicnigeach. Gu math tric, bidh luchd-obrach leisg a 'leantainn nam molaidhean sin "le làimh", gun a bhith a' cleachdadh rèiteachaidhean agus sgriobtaichean deiseil, a tha aig a 'cheann thall a' leantainn gu duilgheadasan bhon fhìor thoiseach.

Le stiùireadh fiùghantach. Chaidh OSPF le sòn a chleachdadh. Ach is e being deuchainn a tha seo, ann an suidheachaidhean sabaid tha e nas inntinniche rudan mar sin a chuir air dòigh.

Tha mi an dòchas nach robh duine troimh-chèile nach do phost mi rèiteachadh nan routers. Tha mi a 'smaoineachadh gum bi ceanglaichean gu leòr, agus an uairsin bidh e uile an urra ris na riatanasan. Agus gu dearbh deuchainnean, tha feum air barrachd dheuchainnean.

Tha mi a’ guidhe gach neach na pròiseactan aca a thoirt gu buil sa bhliadhna ùr. Is dòcha gum bi ruigsinneachd air a thoirt leat !!!

Source: www.habr.com