ProHoster > Блог > Nchịkwa > Ọrụ m emechabeghị. Netwọk nke 200 MikroTik rawụta

Ọrụ m emechabeghị. Netwọk nke 200 MikroTik rawụta

Ọrụ m emechabeghị. Netwọk nke 200 MikroTik rawụta

Ndewo, unu niile. Ezubere isiokwu a maka ndị nwere ọtụtụ ngwaọrụ Mikrotik n'ime ụgbọ mmiri ha, na ndị chọrọ ime ka ịdị n'otu kachasị elu ka ị ghara ijikọ na ngwaọrụ ọ bụla iche. N'isiokwu a, m ga-akọwa ọrụ nke, ọ dị mwute ikwu, eruteghị ọnọdụ ọgụ n'ihi ihe mmadụ. Na nkenke: ihe karịrị ndị na-anya ụgbọ elu 200, nhazi ngwa ngwa na ọzụzụ ndị ọrụ, ịdị n'otu site na mpaghara, netwọkụ nzacha na ndị ọbịa pụrụ iche, ikike itinye iwu ngwa ngwa na ngwaọrụ niile, ịbanye na njikwa ohere.

Ihe a kọwara n'okpuru ebe a adịghị eme ka ọ bụ ikpe emebere, ma enwere m olileanya na ọ ga-abara gị uru mgbe ị na-eme atụmatụ netwọk gị na ibelata njehie. Ikekwe isi ihe na azịza ụfọdụ nwere ike ọ gaghị adị gị mma kpamkpam - ọ bụrụ otu ahụ, dee na nkọwa. Nkatọ na nke a ga-abụ ahụmahụ maka ụlọ akụ nkịtị. Ya mere, onye na-agụ, leba anya na nkọwa ndị ahụ, ikekwe onye edemede ahụ mehiere nke ọma - obodo ga-enyere aka.

Ọnụ ọgụgụ nke ndị na-anya ụgbọ mmiri bụ 200-300, gbasasịa n'obodo dị iche iche nwere àgwà dị iche iche nke njikọ Ịntanetị. Ọ dị mkpa ime ihe niile mara mma ma kọwaara ndị nchịkwa obodo n'ụzọ doro anya ka ihe niile ga-esi rụọ ọrụ.

Yabụ, kedu ebe ọrụ ọ bụla na-amalite? N'ezie, na ТЗ.

  1. Nhazi nke atụmatụ netwọkụ maka alaka niile dị ka ihe ndị ahịa chọrọ si dị, nkewa netwọkụ (site na netwọk 3 ruo 20 na alaka dabere na ọnụ ọgụgụ ngwaọrụ).
  2. Ịtọlite ​​ngwaọrụ na alaka ọ bụla. Na-enyocha ezigbo ọsọ ntinye nke onye na-eweta n'okpuru ọnọdụ ọrụ dị iche iche.
  3. Nhazi nke nchekwa ngwaọrụ, njikwa whitelist, nchọpụta akpaaka nke mwakpo na ndetu onwe ya ruo oge ụfọdụ, na-ebelata ojiji nke ụzọ teknụzụ dị iche iche eji egbochi nnweta njikwa na jụ ọrụ.
  4. Nhazi nke njikọ VPN echekwara yana nzacha netwọkụ dịka ihe ndị ahịa chọrọ. Opekempe 3 VPN njikọ sitere na alaka ọ bụla ruo etiti.
  5. Dabere na isi 1, 2. Họrọ ụzọ kachasị mma iji wuo VPN ndị na-anabata mmejọ. Ọ bụrụ na akwadoro ya nke ọma, onye na-arụ ọrụ nwere ike ịhọrọ teknụzụ ntụgharị dị ike.
  6. Nhazi nke ụzọ ụzọ okporo ụzọ site na protocol, ọdụ ụgbọ mmiri, ndị ọbịa na ọrụ ndị ọzọ akọwapụtara nke onye ahịa na-eji. (VOIP, ndị ọbịa nwere ọrụ dị mkpa)
  7. Nhazi nke nlekota na ndekọ nke ihe omume rawụta maka nzaghachi nke ndị ọrụ nkwado teknụzụ.

Dị ka anyị ghọtara, n'ọtụtụ ọnọdụ, a na-ewepụta nkọwa teknụzụ dabere na ihe ndị a chọrọ. M chepụtara ihe ndị a n'onwe m, mgbe m gechara ntị na nsogbu ndị bụ isi. O kwetara na onye ọzọ nwere ike ilekọta isi ihe ndị a.

Kedu ngwaọrụ a ga-eji mezuo ihe ndị a:

  1. ELK stack (mgbe oge ụfọdụ gasịrị, ọ bịara doo anya na a ga-eji fluentd kama logstash).
  2. kwere omume. Maka mfe nchịkwa na ịnweta ikesa, anyị ga-eji AWX.
  3. GITLAB. Ọ dịghị mkpa ịkọwa ebe a. Ebee ka anyị ga-anọ na-enweghị njikwa ụdị nke nhazi anyị?
  4. PowerShell. A ga-enwe edemede dị mfe maka ọgbọ mbụ nke nhazi ahụ.
  5. Doku wiki, maka ide akwụkwọ na ntuziaka. N'okwu a, anyị na-eji habr.com.
  6. A ga-eme nyocha site na zabbix. A ga-esekwara eserese njikọ ebe ahụ maka nghọta izugbe.

Ebe nhazi EFK

Banyere isi okwu nke mbụ, m ga-akọwa naanị echiche nke a ga-eji wuo indices. Enwere ọtụtụ
akụkọ magburu onwe ya na ịtọlite ​​​​na ịnweta ndekọ site na ngwaọrụ na-agba ọsọ mikrotik.

Aga m atụgharị uche n'ụfọdụ isi:

1. Dị ka eserese ahụ, ọ bara uru ịtụle ịnweta ndekọ sitere na ebe dị iche iche na ọdụ ụgbọ mmiri dị iche iche. Maka nke a, anyị ga-eji nchịkọta log. Anyị chọkwara ịme eserese zuru ụwa ọnụ maka ndị na-anya ụgbọ mmiri niile nwere ike ịkekọrịta ohere. Mgbe ahụ, anyị na-ewu indexes dị ka ndị a:

ebe a bụ mpempe config na fluentd ụdị elasticsearch
logstash_format eziokwu
index_aha mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
ụsụụ ndị agha ndọtị: 9200
ọdụ ụgbọ mmiri 9200

N'ụzọ dị otú a, anyị nwere ike ijikọ routers na akụkụ dị ka atụmatụ - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Gịnị mere o ji mee ka ọ dị mgbagwoju anya? Anyị ghọtara na anyị ga-enwe ngwaọrụ 200 ma ọ bụ karịa. Ị nweghị ike idebe ihe niile. Site na ụdị 6.8 nke elasticsearch, ntọala nchekwa dị maka anyị (na-azụtaghị ikike), yabụ anyị nwere ike kesaa ikike ikiri n'etiti ndị ọrụ nkwado teknụzụ ma ọ bụ ndị na-ahụ maka sistemụ mpaghara.
Tebụl, eserese - ebe a ka ị ga-ekwenye - ma jiri otu ihe ahụ, ma ọ bụ onye ọ bụla na-eme ihe dị ya mma.

2. Site n'ịbanye. Ọ bụrụ na anyị na-eme ka ịbanye na iwu firewall, mgbe ahụ, anyị na-eme aha na-enweghị oghere. Enwere ike ịhụ na site na iji nhazi dị mfe na nke ọma, anyị nwere ike nyochaa data ma mee ogwe dị mma. Foto dị n'okpuru bụ rawụta ụlọ m.

Ọrụ m emechabeghị. Netwọk nke 200 MikroTik rawụta

3. Site oghere nwere na ndekọ. Na nkezi, na ozi 1000 kwa elekere, ndekọ na-ewe 2-3 MB kwa ụbọchị, nke ị na-ahụ, abụghị nke ahụ. Ụdị Elasticsearch 7.5.

AKWỤKWỌ.AWX

Ọ dabara nke ọma maka anyị, anyị nwere modul emebere maka routeros
Ekwuru m banyere AWX, mana iwu ndị dị n'okpuru bụ naanị maka ndị nwere ike ime n'ụdị ya dị ọcha - echere m na maka ndị na-arụ ọrụ na-arụ ọrụ, ọ gaghị enwe nsogbu iji awx site na gui.

N'ikwu eziokwu, tupu nke a elere m nduzi ndị ọzọ ebe ha na-eji ssh, na ha niile nwere nsogbu dị iche iche na oge nzaghachi na ụyọkọ nsogbu ndị ọzọ. M na-ekwughachi, ọ bịaghị ọgụ , were ozi a dị ka nnwale nke na-enwetaghị karịa nguzo nke 20 routers.

Anyị kwesịrị iji akwụkwọ ma ọ bụ akaụntụ. Ọ dị gị n'aka ikpebi, a na m akwado asambodo. Isi ihe dị nro gbasara ikike. Ana m enye ikike ide - opekata mpe, “reset config” agaghị arụ ọrụ.

E kwesịghị inwe nsogbu ịwepụta, idegharị na ibubata asambodo:

Ndepụta iwu dị nkenkeNa PC gị
ssh-keygen -t RSA, zaa ajụjụ, chekwaa igodo.
Detuo na mikrotik:
onye ọrụ ssh-keys bubata public-key-file=id_mtx.pub user=ihe nwere ike ime
Mbụ ịkwesịrị ịmepụta akaụntụ wee kenye ya ikike.
Na-elele njikọ ahụ site na iji asambodo
ssh -p 49475 -i /keys/mtx [email protected]

Debanye aha vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ihe nwere ike ime
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ihe nwere ike ime
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ihe nwere ike ime
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ihe nwere ike ime

Ọfọn, akwụkwọ egwuregwu ihe atụ: - aha: add_work_sites
ndị ọbịa: testmt
Oghere Usoro: 1
njikọ: network_cli
remote_user: mikrotik.west
nchịkọta_eziokwu: ee
ọrụ:
- aha: tinye Work_sites
routeros_iwu:
iwu:
- / ip firewall adreesị-ndepụta tinye adreesị = gov.ru ndepụta = ọrụ_sites ikwu = Tiketi665436_Ochen_nado
- / ip firewall address-list tinye adreesị =habr.com ndepụta = ọrụ_sites ikwu = maka_habr

Dịka ị nwere ike ịhụ site na nhazi dị n'elu, ịmepụta akwụkwọ egwu egwu nke gị adịghị esiri ike. O zuru ezu ịmụta cli mikrotik nke ọma. Ka anyị were ọnọdụ ebe ịchọrọ iwepu ndepụta adreesị na ụfọdụ data na ndị na-anya ụgbọ ala niile, mgbe ahụ:

Chọta wee wepụ/ ip firewal adreesị-ndepụta wepụ [chọta ebe ndepụta = "gov.ru"]

M kpachaara anya gụnyeghị ndepụta firewall niile ebe a n'ihi na... ọ ga-abụ onye ọ bụla maka ọrụ ọ bụla. Mana otu ihe m nwere ike ikwu n'ezie, jiri naanị ndepụta adreesị.

Dabere na GITLAB ihe niile doro anya. Agaghị m etinye uche na nke a. Ihe niile mara mma maka ọrụ onye ọ bụla, ndebiri, ndị njikwa.

Powershell

A ga-enwe faịlụ 3 ebe a. Gịnị mere powershell? Ị nwere ike ịhọrọ ngwá ọrụ ọ bụla maka ịmepụta nhazi, ihe ọ bụla dị mma maka gị. N'okwu a, onye ọ bụla nwere Windows na PC ha, yabụ kedu ihe kpatara eji eme ya na bash mgbe powershell dabara adaba. Kedu nke ka adaba?

Edemede n'onwe ya (dị mfe na nghọta):[cmdletBinding()] Param(
[Parameter(Mandatory=$true)] [string]$EXTERNALIPADDRESS,
[Parameter(Mandatory=$true)] [string]$EXTERNALIPROUTE,
[Parameter(Mandatory=$true)] [string]$BWorknets,
[Parameter(Mandatory=$true)] [string]$CWorknets,
[Parameter(Mandatory=$true)] [string]$BVoipNets,
[Parameter(Mandatory=$true)] [string]$CVoipNets,
[Parameter(Mandatory=$true)] [string]$CClientss,
[Parameter(Mandatory=$true)] [string]$BVPNWORKs,
[Parameter(Mandatory=$true)] [string]$CVPNWORKs,
[Parameter(Mandatory=$true)] [string]$BVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$cVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$NAMEROUTER,
[Parameter(Mandatory=$true)] [string]$ServerCertificates,
[Parameter(Mandatory=$true)] [string]$infile,
[Parameter(Mandatory=$true)] [string]$outfile
)

Nweta-Ọdịnaya $infile | Ihe aga-eme {$_. Dochie("EXTERNIP", $EXTERNALIPADDRESS)} |
Ihe aga-eme {$_. Dochie ("EXTROUTE", $EXTERNALIPROUTE)} |
Ihe aga-eme {$_. Dochie ("BWorknet", $BWorknets)} |
Ihe aga-eme {$_. Dochie ("CWorknet", $ CWorknets)} |
Ihe aga-eme {$_. Dochie("BVoipNet", $BVoipNets)} |
Ihe aga-eme {$_. Dochie("CVoipNet", $CVoipNets)} |
Ihe aga-eme {$_. Dochie("CClients", $CClients)} |
Ihe aga-eme {$_. Dochie ("BVPNWORK", $BVPNWORKs)} |
Ihe aga-eme {$_. Dochie ("CVPNWORK", $CVPNWORKs)} |
Ihe aga-eme {$_. Dochie("BVPNCLIENTS", $BVPNCLIENTSs)} |
Ihe aga-eme {$_. Dochie("CVPNCLIENTS", $cVPNCLIENTSs)} |
Ihe aga-eme {$_. Dochie("MYNAMERROUTER", $NAMEROUTER)} |
Ihe aga-eme {$_. Dochie("ServerCertificate", $ServerCertificates)} | Tọọ-Ọdịnaya $outfile

Biko gbaghara m, enweghị m ike biputere iwu niile n'ihi na... ọ gaghị adị mma nke ukwuu. Ị nwere ike ịmepụta iwu n'onwe gị, nke omume kacha mma na-eduzi.

Dịka ọmụmaatụ, ebe a bụ ndepụta njikọ m soro:wiki.mikrotik.com/wiki/Manual: Ichekwa_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
wiki.mikrotik.com/wiki/Manual:OSPF-atụ
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: Winbox
wiki.mikrotik.com/wiki/Manual: Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual: IP / Fasttrack - ebe a ịkwesịrị ịma na mgbe a na-eme ngwa ngwa ngwa ngwa, ntinye ụzọ okporo ụzọ na iwu nhazi agaghị arụ ọrụ - bara uru maka ngwaọrụ ndị na-adịghị ike.

Akara maka mgbanwe:A na-ewere netwọk ndị a dịka ọmụmaatụ:
192.168.0.0/24 netwọk ọrụ
172.22.4.0/24 VOIP netwọk
10.0.0.0/24 netwọk maka ndị ahịa na-enweghị ohere na netwọk mpaghara
192.168.255.0/24 VPN netwọk maka nnukwu alaka
172.19.255.0/24 VPN netwọk maka obere

Adreesị netwọk ahụ nwere nọmba 4 decimal, n'otu n'otu ABCD, onye nnọchi na-arụ ọrụ n'otu ụkpụrụ ahụ, ọ bụrụ na mmalite ọ na-arịọ maka B, mgbe ahụ ọ pụtara na ị ga-etinye nọmba 192.168.0.0 maka netwọk 24/0, yana maka C. = 0.
$EXTERNALIPADDDRESS - adreesị raara onwe ya nye sitere n'aka onye na-eweta ya.
$EXTERNALIPROUTE - ụzọ ndabara na netwọk 0.0.0.0/0
$BWorknets - Netwọk ọrụ, n'ihe atụ anyị, a ga-enwe 168
$CWorknets - Netwọk na-arụ ọrụ, n'ihe atụ anyị nke a ga-abụ 0
$BVoipNets - netwọk VOIP na ihe atụ anyị ebe a 22
$CVoipNets - netwọk VOIP na ihe atụ anyị ebe a 4
$CClients - Netwọk maka ndị ahịa - nweta ịntanetị naanị, n'ọnọdụ anyị ebe a 0
$BVPNWORKs - netwọk VPN maka nnukwu alaka, n'ihe atụ anyị 20
$CVPNWORKs - netwọk VPN maka nnukwu alaka, na ihe atụ anyị 255
$BVPNCLIENTS - VPN netwọk maka obere alaka, nke pụtara 19
$CVPNCLIENTS - VPN netwọk maka obere alaka, nke pụtara 255
$NAMEROUTER - aha rawụta
$ServerCertificate - aha asambodo nke i bubataburu
$infile - Ezipụta ụzọ faịlụ nke anyị ga-esi gụọ nhazi ahụ, dịka ọmụmaatụ D: config.txt (ọkacha mma ụzọ Bekee na-enweghị okwu na oghere)
$outfile - ezipụta ụzọ ebe ị ga-esi chekwaa ya, dịka ọmụmaatụ D:MT-test.txt

M kpachaara anya gbanwee adreesị ndị dị na ihe atụ maka ihe doro anya.

Agbaghara m isi ihe gbasara ịchọpụta mwakpo na omume ọjọọ - nke a kwesịrị akụkọ dị iche. Mana ọ bara uru ịkọwapụta na n'ụdị a ị nwere ike iji ụkpụrụ data nleba anya sitere na Zabbix + nke edoziri curl data sitere na elasticsearch.

Kedu isi ihe ị kwesịrị ịṅa ntị na:

  1. Atụmatụ netwọk. Ọ ka mma ide ya ozugbo n'ụdị enwere ike ịgụ. Excel ga-ezuru. N'ụzọ dị mwute, m na-ahụkarị na a na-ewu netwọkụ dịka ụkpụrụ "Alaka ụlọ ọrụ ọhụrụ apụtala, nke a bụ / 24 maka gị." Ọ dịghị onye na-achọpụta ngwaọrụ ole a na-atụ anya n'otu ebe ma ọ bụ na a ga-enwe ọganihu ọzọ. Dị ka ihe atụ, a obere ụlọ ahịa meghere na mbụ doro anya na ngwaọrụ agaghị abụ ihe karịrị 10, gịnị kpatara ekenye /24? Maka nnukwu alaka, n'ụzọ megidere nke ahụ, ha na-ekenye / 24, na e nwere ngwaọrụ 500 - ị nwere ike ịgbakwunye netwọk, ma ịchọrọ iche echiche site na ihe niile ozugbo.
  2. Iwu nzacha. Ọ bụrụ na ọrụ ahụ na-eche na a ga-enwe nkewa nke netwọk na oke nkewa. Omume kacha mma na-agbanwe ka oge na-aga. Na mbụ, a na-ekewa netwọk PC na netwọk ngwa nbipute, ma ugbu a ọ bụ ihe nkịtị ịghara kewaa netwọk ndị a. Ọ bara uru iji ọgụgụ isi na-emepụtaghị ọtụtụ subnets ebe ha na-adịghị mkpa ma ghara ijikọta ngwaọrụ niile n'ime otu netwọk.
  3. Ntọala "Golden" na ndị rawụta niile. Ndị ahụ. ọ bụrụ na i kpebiela na atụmatụ. Ọ bara uru ịhụ ihe niile ozugbo ma gbalịa hụ na ntọala niile bụ otu - naanị ndepụta adreesị na adreesị IP dị iche. Ọ bụrụ na nsogbu bilitere, oge ndozi ga-adị obere.
  4. Okwu nhazi adịghị mkpa karịa nke teknụzụ. Ọtụtụ mgbe, ndị ọrụ umengwụ na-eme ndụmọdụ ndị a "aka", na-ejighi nhazi nhazi na scripts, nke na-eduga ná nsogbu na-enweghị ebe ọ bụla.

Site n'ụzọ dị ike. Ejiri OSPF nwere nkewa mpaghara. Ma nke a bụ oche ule ọ na-adọrọ mmasị karị ịtọlite ​​​​ihe ndị dị otú ahụ na ọnọdụ ọgụ.

Enwere m olileanya na ọ nweghị onye na-ewe iwe na m biputere nhazi nke rawụta. Echere m na njikọ ahụ ga-ezuru, mgbe ahụ, ihe niile dabere na ihe ndị a chọrọ. Na n'ezie ule, a chọrọ ọtụtụ ule.

Achọrọ m ka onye ọ bụla ghọta ọrụ ha n'afọ ọhụrụ. Ka ohere ohere dịnyere gị!!!

isi: www.habr.com

Tinye a comment