ProHoster > Блог > administratio > Mei voluptua imperfectum. Network of 200 MikroTik iter itineris

Mei voluptua imperfectum. Network of 200 MikroTik iter itineris

Mei voluptua imperfectum. Network of 200 MikroTik iter itineris

Hi omnes. Hic articulus destinatur illis qui multas machinas in classe Mikrotik habent et maximam coniunctionem facere volunt ita ut non separatim inter se coniungantur. In hoc articulo describemus consilium quod, proh dolor, condiciones pugnae debitas factoribus humanis non attigit. In summa: plus quam CC iter, velox setup et virgam disciplina, adunationem per regionem, retiacula eliquare et exercitia specifica, facultas regulas ad omnes cogitationes, loging et accessum imperium facile addendi.

Quod infra descriptum est non fingit causam paratam esse, sed spero tibi utilem fore cum retiacula tua et errores extenuando disponis. Forsitan puncta quaedam et solutiones fortasse non recte tibi videntur - si ita scribe in comment. Reprehensio in hoc casu experientia communis fisci erit. Ergo, lector, commentarios inspice, fortasse auctor gravem errorem fecit - communitas adiuvabit.

Numerus itinerum est 200-300, per diversas civitates dispersus cum nexus interretiali qualitate. Necessarium est omnia facere pulchre et clare exponere locorum admins quomodo omnia operantur.

Ergo, ubi incipit aliquod consilium? Scilicet, cum TK.

  1. Organization of a plan retis pro omnibus ramis secundum exigentias mos, segmentatio retis (a 3 ad 20 retiacula in ramis secundum numerum machinorum).
  2. Cogitationes in unaquaque parte constituens. Reperiens realem throughput velocitatem provisoris sub diversis conditionibus operantibus.
  3. Organizatio machinarum tutelae, procuratio albissima, auto- deprehensio oppugnationum auto- notificationis ad certum temporis spatium, obscuratis variis instrumentis technicis adhibitis ad accessum ad intercipiendum imperium et servitium negandum.
  4. Organization of secure VPN connexiones cum retiacula eliquatione secundum exigentias mos. Minimum 3 VPN nexus ab unoquoque ramo ad centrum.
  5. Fundatur in punctis 1, 2. Melioras vias elige tolerantes VPNs aedificare. Si recte iustificatur, dynamica technologia fuso a redemptore eligi potest.
  6. Organizatio negotiationis prioritizationis per protocolla, portus, exercitus et alia officia specifica a emptore adhibita sunt. (VOIP, Virtutes cum magnis officiis)
  7. Organizatio vigilantiae et colligationis eventuum itineris itineris ad responsionem subsidii technici baculi.

Sicut intellegimus, pluribus in casibus technicae notiones exaratae sunt secundum exigentias. Haec requisita ipse posui, auditis quaestionibus principalibus. Facultatem fassus est ut aliquis de his rebus curam habere possit.

Quae instrumenta adhibebuntur ad haec requisita implenda;

  1. ACERVUS ELK (post aliquod tempus manifestatum est fluentem pro logstash adhiberi).
  2. Ansible. Ad administrationis facilitatem et ad accessum communicandum, AWX utemur.
  3. GITLAB. Hic explicare nihil attinet. Ubi essemus sine versione nostrarum ficuum potestate?
  4. PowerShell. Simplex scriptura erit ad primam figurae generationem.
  5. Doku wiki, ad scripto documenta et duces. In hoc casu utimur habr.com.
  6. Cras peragetur zabbix. Connexio schematis etiam ibi ducatur ad intellectum generalem.

EFK setup puncta

Circa primum punctum tantum ideologiam describemus qua indices aedificabuntur. Multa sunt
Articuli excellentes in erigendis et recipiendis machinis de mikrotik currentibus.

Aliqua habitabo;

1. Iuxta tabulam considerare valet ligna accepta ex diversis locis et in diversis portibus. Hac trunco ​​utemur. Graphics etiam universales facere volumus omnibus itineribus cum facultate accessus communicandi. Tum indices sic edificamus:

hic est fragmen aboutconfig cum fluentd typus elasticsearch
logstash_format verum
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
exercituum elasticsearch: 9200
portus 9200

Hoc modo iter et segmentum coniungi possumus secundum consilium - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Cur tam perplexa? Intellegimus nos 200 vel plures cogitationes habebimus. Vestigia omnium servare non potes. Cum versione 6.8 investigationis elasticae, occasus securitatis nobis praesto sunt (sine licentia acquirendi), per hoc possumus dividere iura spectandi inter ministros technicos vel administratores systematis localis.
Tabulae, graphae — hic tantum opus est tibi consentire — aut iisdem uti, aut quisque quod sibi commodum est facit.

2. Logging. Si possimus log in firewall regulae, nomina sine spatiis facimus. Videri potest quod per simplicem config fluentem, notitias eliquare et tabulas commodas facere possumus. In pictura infra est domus mea iter.

Mei voluptua imperfectum. Network of 200 MikroTik iter itineris

3. Per spatium occupatum ac robora. Mediocris, cum 1000 nuntiis per horam, tigna 2—3 MB per diem capiunt, quae, vides, non multum est. Versio elastica 7.5.

ANSIBLE.AWX

Fortunate pro nobis, moduli prompti facti ad routeros habemus
De AWX monui, sed mandata infra tantum de ansible in pura forma sunt - puto pro iis qui cum ansible laboraverunt, nullae difficultates erunt per awx per gui utentes.

Honestum esse, ante hoc vidi alios duces in quibus ssh utebantur, et omnes difficultates habuerunt cum responsione temporis et fasciculo aliorum problematum. Dico, non venit ad pugnam , ut hoc experimentum caperet quod plus quam XX iter itineris non obtinuit.

Necesse est nos uti libellum seu rationem. Est ad vos decernere, ego sum testimoniorum. Pars subtilis circa iura. Iura scribentium do - config saltem "reset config" non laborabit.

Nullae sint difficultates generandi, exscribendi et certificatorium inferentes;

Brevis imperium quicquid sexus estAd vestram PC
ssh-keygen -t RSA, interrogate responde, nisi clavis.
Effingo mikrotik:
user ssh-keys import public-key-file=id_mtx.pub user=ansible
Primum debes rationem creare et iura ei assignare.
Reprehendo nexum per libellum
ssh -p 49475 -i /key/mtx [Inscriptio protected]

Mandare vi /etc/ansible/hostes
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

Bene, exemplum playbook: - nomen: add_work_sites
exercituum: testmt
Vide: 1
nexum: network_cli
remote_user: mikrotik.west
gather_facts: Etiam
munia;
- nomen: adde Work_sites
routeros_command:
iubent;
— /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
- /ip firewall address-list add address=habr.com list=work_sites comment=for_habr

Sicut e schemate superiore videre potes, fabularum libros tuos creans non est difficile. Satis est domino mikrotik bene cft. Putas condicionem in qua debes cum inscriptione electronica certa notitia in omnibus itineribus removendis, deinde:

Find ac remove/ip firewal address-list remove [invenie ubi list="gov.ru"]

Ex intentione non comprehendo totum firewall quod hic enumerat... singula enim singula erunt. Sed unum pro certo dicere possum, solum indice inscriptionis utere.

Secundum GITLAB omnia plana sunt. Non moror in hoc loco. Pulchra sunt omnia singulis operibus, exemplaribus, tracto.

powershell

3 files hic erunt. Quid potestati? Instrumentum quodlibet confis generandi potes eligere, quicquid tibi commodius est. In hoc casu, omnes Fenestra in sua PC habet, cur ita in bash cum powershell commodius est. Quod est commodius?

ipsum scriptum (simplex et intelligibile);[cmdletBinding()] Param(
[Parameter(Mandatory=$vera)] [linea]$ EXTERNALIPADDDRESS,
[Parameter(Mandatory=$vera)] [linea]$ EXTERNALIPROUTE,
[Parameter(Mandatory=$verus)] [linea]$BWorknets,
[Parameter(Mandatory=$vera)] [linea]$CWorknets,
[Parameter(Mandatory=$vera)] [linea]$BVoipNets,
[Parameter(Mandatory=$vera)] [linea]$CVoipNets,
[Parameter(Mandatory=$vera)] [linea]$CClientss,
[Parameter(Mandatory=$vera)] [linea]$ BVPNWORKs,
[Parameter(Mandatory=$vera)] [linea]$ CVPNWORKs,
[Parameter(Mandatory=$vera)] [linea]$ BVPNCLIENTSs,
[Parameter(Mandatory=$vera)] [linea]$cVPNCLIENTSs,
[Parameter(Mandatory=$verus)] [linea]$NAMEROUTER,
[Parometer(Mandatory=$verus)] [linea]$ServerCertificates
[Parometer(Mandatory=$verus)] [linea]$ infile,
[Parameter(Mandatory=$vera)] [linea]$ outfile
)

Get-Content $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Forech-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Forech-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Forech-Object {$_.Reponere("BVPNWORK", $BVPNWORKs)} |
Forech-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
{$_.Repone("BVPNCLIENTS", $BVPNCLIENTSs)} |
{$_.Reponere("CVPNCLIENTS", $cVPNCLIENTSs)} |
Forech-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | Set-Content $ outfile

Ignoscas mihi, non possum omnia praecepta scribere quia... non erit pulchra nimis. Facere praecepta tibi potes, optimis moribus ductus.

Exempli gratia hic est index nexuum quos secutus sum.wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
wiki.mikrotik.com/wiki/Manual:OSPF-exempla
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:Winbox
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/ Fasttrack - Hic scire debes quod, cum fasttrack possit, negotiatio prioritizationis et regulae effingens non laborabit - utiles ad infirma machinas.

Signa variabilium:Sequentia retiacula pro exemplo sumuntur:
192.168.0.0/24 opus retis
172.22.4.0/24 VOIP network
10.0.0.0/24 retis clientibus sine accessu ad network locale
192.168.255.0/24 VPN retis rami magni
172.19.255.0/24 VPN reticulum parvum

Inscriptio retis constat ex 4 numeris decimalibus, respective ABCD, opera subrogata eodem principio, si in initio petit pro B, significare debes 192.168.0.0 numerum inire pro retis 24/0, et pro C = 0 .
$ EXTERNALIPADDDRESS - Inscriptio a provisore dedicata.
$ EXTERNALIPROUTE - default iter ad network 0.0.0.0/0
$BWorknets - Retis operis in nostro exemplo erunt 168
$CWorknets - network operans in exemplo nostro hoc erit 0
$BVoipNets - VOIP retis in exemplo nostro hic 22
$CVoipNets - VOIP retis in exemplo nostro hic 4
$CClientss - Network clientium - Internet accessus tantum, in casu nostro hic 0
$BVPNWORKs - VPN retis pro ramis magnis, in exemplo nostro 20
$CVPNWORKs - VPN retis pro ramis magnis, in exemplo nostro 255
$BVPNCLIENTS - VPN retis pro ramulis, significatione 19
$CVPNCLIENTS - VPN retis pro ramulis, significantibus 255
$ NAMEUTER - iter nomen
$ServerCertificate - nomen libellum quem antea importavit
$infile — Denota semitam tabellae ex qua legemus config, exempli gratia D: config.txt (potissimum viam Anglicam sine virgulis et spatiis)
$outfile - denota viam ubi eam servet, exempli gratia D:MT-test.txt

Consulto mutavi inscriptiones in exemplis ob rationes apertas.

Punctum omisi de detectis impugnationibus et moribus anomalatis — hoc separatum meretur articulum. Sed demonstrare dignum est quod in hoc categoria vigilantia notitiarum valores uti potes ex Zabbix + Crispi processus notitia ex inquisitione elastica.

Quae puncta attendis;

  1. Retis consilium. Melius est eam statim in forma lectibili componere. Sufficiet Excel. Infeliciter, saepissime video retiacula aedificari secundum principium "Novus ramus apparuit, hic tibi/24." Nemo sistit quot cogitationes in loco dato exspectantur vel num adhuc incrementum futurum sit. Exempli gratia, parva copia aperta est, in qua initio patebat fabricam esse quam 10, cur collocant /24? Grandes enim rami, e contra, collocant /24, et sunt 500 machinas - reticulum addere potes, sed per omnia simul cogitare vis.
  2. Regulae eliquare. Si consilium assumat, separatio reticulorum et maximum segmentum erit. Best Practices mutantur in tempore. Antea, retis PC et retis typographi divisae sunt, nunc satis normale sunt has retiacula non dividere. Valet sensus communis utendi et non creando multas subnetes ubi non sunt necessariae nec omnes cogitationes in unum retem coniungens.
  3. "Aureae" occasus in omnibus iter. Illae. si quid decreveris. Valet omnia statim prospicere et efficere conatur ut omnes occasus identificantur - solum inscriptionem electronicam et IP inscriptiones differant. Si problemata oriuntur, debugging tempus minus erit.
  4. Quaestiones organicae non minus momenti sunt quam technicae. Saepe operarii pigri has commendationes "manually" exsequuntur, sine praeparatis conformationibus et scriptis adhibitis, quae tandem nusquam extra problemata inducunt.

per dynamicam excitationem. OSPF cum zona divisio adhibita est. Sed hoc scamnum test, magis interest talia in pugna condiciones constituere.

Neminem spero perturbari me non figurarum iter itineris. Nexus satis esse puto, et tunc omnia ex requisitis pendent. Et sane probat, magis probat opus.

Quisque inceptis suis in novo anno percipere cupimus. Sit aditus detur vobiscum!!!

Source: www.habr.com

Add a comment