🥇ໂຄງການທີ່ບໍ່ເປັນຈິງຂອງຂ້ອຍ. ເຄືອຂ່າຍຂອງ 200 MikroTik routers

ສະບາຍດີທຸກຄົນ. ບົດຄວາມນີ້ມີຈຸດປະສົງສໍາລັບຜູ້ທີ່ມີອຸປະກອນ Mikrotik ຫຼາຍຢູ່ໃນເຮືອຂອງພວກເຂົາ, ແລະຜູ້ທີ່ຕ້ອງການເຮັດໃຫ້ການລວມຕົວສູງສຸດເພື່ອບໍ່ໃຫ້ເຊື່ອມຕໍ່ກັບແຕ່ລະອຸປະກອນແຍກຕ່າງຫາກ. ໃນບົດຄວາມນີ້ຂ້າພະເຈົ້າຈະອະທິບາຍໂຄງການທີ່, ແຕ່ຫນ້າເສຍດາຍ, ບໍ່ໄດ້ບັນລຸເງື່ອນໄຂການສູ້ຮົບເນື່ອງຈາກປັດໃຈຂອງມະນຸດ. ໃນສັ້ນ: ຫຼາຍກວ່າ 200 routers, ການຕິດຕັ້ງໄວແລະການຝຶກອົບຮົມພະນັກງານ, ການລວມຕົວໂດຍພາກພື້ນ, ການກັ່ນຕອງເຄືອຂ່າຍແລະເຈົ້າພາບສະເພາະ, ຄວາມສາມາດໃນການເພີ່ມກົດລະບຽບຂອງອຸປະກອນທັງຫມົດ, ການບັນທຶກແລະການຄວບຄຸມການເຂົ້າເຖິງໄດ້ຢ່າງງ່າຍດາຍ.

ສິ່ງທີ່ອະທິບາຍຂ້າງລຸ່ມນີ້ບໍ່ໄດ້ທໍາທ່າວ່າເປັນກໍລະນີທີ່ກຽມພ້ອມ, ແຕ່ຂ້ອຍຫວັງວ່າມັນຈະເປັນປະໂຫຍດສໍາລັບທ່ານໃນເວລາທີ່ວາງແຜນເຄືອຂ່າຍຂອງທ່ານແລະຫຼຸດຜ່ອນຄວາມຜິດພາດ. ບາງທີບາງຈຸດແລະການແກ້ໄຂອາດເບິ່ງຄືວ່າບໍ່ຖືກຕ້ອງທັງຫມົດກັບທ່ານ - ຖ້າເປັນດັ່ງນັ້ນ, ຂຽນໃນຄໍາເຫັນ. ການວິພາກວິຈານໃນກໍລະນີນີ້ຈະເປັນປະສົບການສໍາລັບຄັງເງິນທົ່ວໄປ. ດັ່ງນັ້ນ, ຜູ້ອ່ານ, ລອງເບິ່ງຄໍາເຫັນ, ບາງທີຜູ້ຂຽນໄດ້ເຮັດຜິດຮ້າຍແຮງ - ຊຸມຊົນຈະຊ່ວຍໄດ້.

ຈໍານວນຂອງ routers ແມ່ນ 200-300, ກະແຈກກະຈາຍໃນທົ່ວເມືອງທີ່ແຕກຕ່າງກັນທີ່ມີຄຸນນະພາບການເຊື່ອມຕໍ່ອິນເຕີເນັດທີ່ແຕກຕ່າງກັນ. ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະເຮັດທຸກສິ່ງທຸກຢ່າງທີ່ສວຍງາມແລະຈະແຈ້ງໃຫ້ຜູ້ເບິ່ງແຍງທ້ອງຖິ່ນຮູ້ວ່າທຸກສິ່ງທຸກຢ່າງຈະເຮັດວຽກແນວໃດ.

ດັ່ງນັ້ນ, ໂຄງການໃດເລີ່ມຕົ້ນ? ແນ່ນອນ, ກັບ ТЗ.

ການຈັດຕັ້ງແຜນເຄືອຂ່າຍສໍາລັບທຸກສາຂາຕາມຄວາມຕ້ອງການຂອງລູກຄ້າ, ການແບ່ງສ່ວນເຄືອຂ່າຍ (ຈາກ 3 ຫາ 20 ເຄືອຂ່າຍໃນສາຂາຂຶ້ນກັບຈໍານວນອຸປະກອນ).
ການຕັ້ງຄ່າອຸປະກອນໃນແຕ່ລະສາຂາ. ການກວດສອບຄວາມໄວຜ່ານຕົວຈິງຂອງຜູ້ໃຫ້ບໍລິການພາຍໃຕ້ເງື່ອນໄຂການດໍາເນີນງານທີ່ແຕກຕ່າງກັນ.
ອົງການຈັດຕັ້ງຂອງການປົກປ້ອງອຸປະກອນ, ການຄຸ້ມຄອງບັນຊີຂາວ, ການກວດສອບອັດຕະໂນມັດຂອງການໂຈມຕີດ້ວຍບັນຊີດໍາອັດຕະໂນມັດສໍາລັບໄລຍະເວລາສະເພາະໃດຫນຶ່ງ, ຫຼຸດຜ່ອນການນໍາໃຊ້ວິທີການດ້ານວິຊາການຕ່າງໆທີ່ໃຊ້ໃນການຂັດຂວາງການຄວບຄຸມການເຂົ້າເຖິງແລະປະຕິເສດການບໍລິການ.
ການຈັດຕັ້ງການເຊື່ອມຕໍ່ VPN ທີ່ປອດໄພກັບການກັ່ນຕອງເຄືອຂ່າຍຕາມຄວາມຕ້ອງການຂອງລູກຄ້າ. ເຊື່ອມຕໍ່ຢ່າງໜ້ອຍ 3 VPN ຈາກແຕ່ລະສາຂາໄປຫາສູນ.
ອີງໃສ່ຈຸດ 1, 2. ເລືອກວິທີທີ່ດີທີ່ສຸດໃນການສ້າງ VPNs ທີ່ທົນທານຕໍ່ຄວາມຜິດ. ຖ້າສົມເຫດສົມຜົນຢ່າງຖືກຕ້ອງ, ເຕັກໂນໂລຢີການກໍານົດເສັ້ນທາງແບບເຄື່ອນໄຫວສາມາດຖືກເລືອກໂດຍຜູ້ຮັບເຫມົາ.
ການຈັດລໍາດັບຄວາມສໍາຄັນຂອງການຈະລາຈອນໂດຍໂປໂຕຄອນ, ທ່າເຮືອ, ເຈົ້າພາບແລະການບໍລິການສະເພາະອື່ນໆທີ່ລູກຄ້າໃຊ້. (VOIP, ເຈົ້າພາບກັບການບໍລິການທີ່ສໍາຄັນ)
ການຈັດຕັ້ງການຕິດຕາມແລະບັນທຶກເຫດການ router ສໍາລັບການຕອບສະຫນອງຂອງພະນັກງານສະຫນັບສະຫນູນດ້ານວິຊາການ.

ດັ່ງທີ່ພວກເຮົາເຂົ້າໃຈ, ໃນຫຼາຍໆກໍລະນີ, ຄຸນລັກສະນະທາງວິຊາການໄດ້ຖືກແຕ້ມຂື້ນໂດຍອີງໃສ່ຄວາມຕ້ອງການ. ຂ້າພະເຈົ້າໄດ້ສ້າງຂໍ້ກໍານົດເຫຼົ່ານີ້ດ້ວຍຕົນເອງ, ຫຼັງຈາກຟັງບັນຫາຕົ້ນຕໍ. ລາວຍອມຮັບຄວາມເປັນໄປໄດ້ທີ່ຄົນອື່ນສາມາດເບິ່ງແຍງຈຸດເຫຼົ່ານີ້ໄດ້.

ເຄື່ອງມືໃດທີ່ຈະຖືກນໍາໃຊ້ເພື່ອປະຕິບັດຂໍ້ກໍານົດເຫຼົ່ານີ້:

ELK stack (ຫຼັງຈາກບາງເວລາ, ມັນໄດ້ກາຍເປັນທີ່ຊັດເຈນວ່າ fluentd ຈະຖືກໃຊ້ແທນ logstash).
Ansible. ເພື່ອຄວາມສະດວກໃນການຄຸ້ມຄອງແລະການເຂົ້າເຖິງການແບ່ງປັນ, ພວກເຮົາຈະໃຊ້ AWX.
GITLAB. ບໍ່ຈໍາເປັນຕ້ອງອະທິບາຍຢູ່ທີ່ນີ້. ພວກເຮົາຈະຢູ່ໃສໂດຍບໍ່ມີການຄວບຄຸມເວີຊັນຂອງການຕັ້ງຄ່າຂອງພວກເຮົາ?
PowerShell. ຈະມີສະຄິບທີ່ງ່າຍດາຍສໍາລັບການຜະລິດເບື້ອງຕົ້ນຂອງ config.
Doku wiki, ສໍາລັບການຂຽນເອກະສານແລະຄູ່ມື. ໃນກໍລະນີນີ້, ພວກເຮົາໃຊ້ habr.com.
ການຕິດຕາມຈະຖືກປະຕິບັດໂດຍຜ່ານ zabbix. ແຜນວາດການເຊື່ອມຕໍ່ຈະຖືກແຕ້ມຢູ່ທີ່ນັ້ນເພື່ອຄວາມເຂົ້າໃຈທົ່ວໄປ.

ຈຸດຕັ້ງຄ່າ EFK

ກ່ຽວກັບຈຸດທໍາອິດ, ຂ້າພະເຈົ້າຈະອະທິບາຍພຽງແຕ່ອຸດົມການທີ່ຕົວຊີ້ວັດຈະຖືກສ້າງຂຶ້ນ. ມີຫຼາຍ
ບົດຄວາມທີ່ດີເລີດກ່ຽວກັບການຕັ້ງຄ່າ ແລະຮັບບັນທຶກຈາກອຸປະກອນທີ່ໃຊ້ mikrotik.

ຂ້າພະເຈົ້າຈະຢູ່ໃນບາງຈຸດ:

1. ອີງຕາມແຜນວາດ, ມັນເປັນມູນຄ່າທີ່ພິຈາລະນາຮັບໄມ້ທ່ອນຈາກບ່ອນຕ່າງໆແລະຢູ່ໃນທ່າເຮືອທີ່ແຕກຕ່າງກັນ. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາຈະນໍາໃຊ້ຕົວລວບລວມຂໍ້ມູນ. ພວກເຮົາຍັງຕ້ອງການສ້າງຮູບພາບທົ່ວໄປສໍາລັບ routers ທັງຫມົດທີ່ມີຄວາມສາມາດໃນການແບ່ງປັນການເຂົ້າເຖິງ. ຫຼັງຈາກນັ້ນ, ພວກເຮົາສ້າງດັດຊະນີດັ່ງຕໍ່ໄປນີ້:

ນີ້ແມ່ນສິ້ນຂອງ config ທີ່ມີ fluentd ປະເພດ elasticsearch
logstash_format true
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
ການເປັນເຈົ້າພາບ ແຜ່ນຍືດ: 9200
port 9200

ວິທີນີ້ພວກເຮົາສາມາດສົມທົບ routers ແລະ segment ຕາມແຜນການ - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east . ເປັນຫຍັງເຮັດໃຫ້ມັນສັບສົນຫຼາຍ? ພວກເຮົາເຂົ້າໃຈວ່າພວກເຮົາຈະມີອຸປະກອນ 200 ຫຼືຫຼາຍກວ່ານັ້ນ. ທ່ານບໍ່ສາມາດຕິດຕາມທຸກຢ່າງໄດ້. ດ້ວຍສະບັບ 6.8 ຂອງ elasticsearch, ການຕັ້ງຄ່າຄວາມປອດໄພແມ່ນມີໃຫ້ພວກເຮົາ (ໂດຍບໍ່ມີການຊື້ໃບອະນຸຍາດ), ດັ່ງນັ້ນພວກເຮົາສາມາດແຈກຢາຍສິດການເບິ່ງລະຫວ່າງພະນັກງານສະຫນັບສະຫນູນດ້ານວິຊາການຫຼືຜູ້ເບິ່ງແຍງລະບົບທ້ອງຖິ່ນ.
ຕາຕະລາງ, ກຣາຟ - ທີ່ນີ້ທ່ານພຽງແຕ່ຕ້ອງການຕົກລົງ - ບໍ່ວ່າຈະໃຊ້ອັນດຽວກັນ, ຫຼືທຸກຄົນເຮັດສິ່ງທີ່ສະດວກສໍາລັບລາວ.

2. ໂດຍການຕັດໄມ້. ຖ້າພວກເຮົາເປີດໃຊ້ການເຂົ້າສູ່ລະບົບກົດລະບຽບຂອງ Firewall, ພວກເຮົາສ້າງຊື່ທີ່ບໍ່ມີຊ່ອງຫວ່າງ. ມັນສາມາດເຫັນໄດ້ວ່າໂດຍໃຊ້ config ງ່າຍໆໃນ fluentd, ພວກເຮົາສາມາດກັ່ນຕອງຂໍ້ມູນແລະສ້າງກະດານທີ່ສະດວກສະບາຍ. ຮູບຂ້າງລຸ່ມນີ້ແມ່ນ router ເຮືອນຂອງຂ້ອຍ.

3. ໂດຍຊ່ອງ occupied ແລະບັນທຶກ. ໂດຍສະເລ່ຍ, ມີ 1000 ຂໍ້ຄວາມຕໍ່ຊົ່ວໂມງ, ບັນທຶກໃຊ້ເວລາເຖິງ 2-3 MB ຕໍ່ມື້, ເຊິ່ງ, ທ່ານເຫັນ, ບໍ່ແມ່ນຫຼາຍ. Elasticsearch ເວີຊັ່ນ 7.5.

ANSIBLE.AWX

ໂຊກດີສໍາລັບພວກເຮົາ, ພວກເຮົາມີໂມດູນທີ່ກຽມພ້ອມສໍາລັບ routeros
ຂ້າພະເຈົ້າໄດ້ກ່າວເຖິງ AWX, ແຕ່ຄໍາສັ່ງຂ້າງລຸ່ມນີ້ແມ່ນພຽງແຕ່ກ່ຽວກັບ ansible ໃນຮູບແບບທີ່ບໍລິສຸດຂອງມັນ - ຂ້າພະເຈົ້າຄິດວ່າສໍາລັບຜູ້ທີ່ໄດ້ເຮັດວຽກກັບ ansible, ຈະບໍ່ມີບັນຫາກັບການໃຊ້ awx ຜ່ານ gui.

ດ້ວຍຄວາມຊື່ສັດ, ກ່ອນຫນ້ານີ້ຂ້າພະເຈົ້າໄດ້ເບິ່ງຄູ່ມືອື່ນໆທີ່ພວກເຂົາໃຊ້ ssh, ແລະພວກເຂົາທັງຫມົດມີບັນຫາທີ່ແຕກຕ່າງກັນກັບເວລາຕອບສະຫນອງແລະບັນຫາອື່ນໆ. ຂ້າພະເຈົ້າເວົ້າຄືນວ່າ, ມັນບໍ່ໄດ້ມາຕໍ່ສູ້ , ເອົາຂໍ້ມູນນີ້ເປັນການທົດລອງທີ່ບໍ່ໄດ້ຮັບຫຼາຍກ່ວາຈຸດຢືນຂອງ 20 routers.

ພວກເຮົາຈໍາເປັນຕ້ອງໃຊ້ໃບຢັ້ງຢືນຫຼືບັນຊີ. ມັນຂຶ້ນກັບເຈົ້າໃນການຕັດສິນໃຈ, ຂ້ອຍແມ່ນສໍາລັບໃບຢັ້ງຢືນ. ບາງຈຸດອ່ອນກ່ຽວກັບສິດທິ. ຂ້ອຍໃຫ້ສິດການຂຽນ - ຢ່າງຫນ້ອຍ "ປັບການຕັ້ງຄ່າ" ຈະບໍ່ເຮັດວຽກ.

ບໍ່ຄວນມີບັນຫາໃນການສ້າງ, ສຳເນົາ ແລະນໍາເຂົ້າໃບຢັ້ງຢືນ:

ລາຍຊື່ຄໍາສັ່ງສັ້ນໆໃນ PC ຂອງທ່ານ
ssh-keygen -t RSA, ຕອບຄໍາຖາມ, ບັນທຶກລະຫັດ.
ສຳເນົາໃສ່ mikrotik:
ຜູ້ໃຊ້ ssh-keys ນໍາເຂົ້າ public-key-file=id_mtx.pub user=ansible
ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງສ້າງບັນຊີແລະມອບສິດໃຫ້ມັນ.
ການກວດສອບການເຊື່ອມຕໍ່ໂດຍໃຊ້ໃບຢັ້ງຢືນ
ssh -p 49475 -i /keys/mtx [email protected]

ລົງທະບຽນ vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

ແລ້ວ, ຕົວຢ່າງປື້ມຫຼິ້ນ: - ຊື່: add_work_sites
ເຈົ້າພາບ: testmt
ເລກ ລຳ ດັບ: 1
ການເຊື່ອມຕໍ່: network_cli
remote_user: mikrotik.west
collect_facts: ແມ່ນແລ້ວ
ວຽກງານ:
- ຊື່: ເພີ່ມ Work_sites
routeros_command:
ຄໍາສັ່ງ:
— /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— /ip firewall address-list ເພີ່ມທີ່ຢູ່=habr.com list=work_sites comment=for_habr

ດັ່ງທີ່ທ່ານສາມາດເບິ່ງໄດ້ຈາກການຕັ້ງຄ່າຂ້າງເທິງ, ການສ້າງ playbooks ຂອງທ່ານເອງແມ່ນບໍ່ຍາກ. ມັນພຽງພໍທີ່ຈະເປັນເຈົ້າຂອງ cli mikrotik ໄດ້ດີ. ໃຫ້ຈິນຕະນາການສະຖານະການທີ່ທ່ານຈໍາເປັນຕ້ອງເອົາລາຍຊື່ທີ່ຢູ່ທີ່ມີຂໍ້ມູນທີ່ແນ່ນອນຢູ່ໃນ routers ທັງຫມົດ, ຫຼັງຈາກນັ້ນ:

ຊອກຫາແລະເອົາອອກ/ip firewal address-list ເອົາອອກ [ຊອກຫາບ່ອນທີ່ list="gov.ru"]

ຂ້າພະເຈົ້າຕັ້ງໃຈບໍ່ໄດ້ລວມເອົາລາຍຊື່ firewall ທັງຫມົດຢູ່ທີ່ນີ້ເພາະວ່າ ... ມັນຈະເປັນສ່ວນບຸກຄົນສໍາລັບແຕ່ລະໂຄງການ. ແຕ່ສິ່ງຫນຶ່ງທີ່ຂ້ອຍສາມາດເວົ້າໄດ້ແນ່ນອນ, ໃຊ້ພຽງແຕ່ລາຍຊື່ທີ່ຢູ່.

ອີງຕາມ GITLAB ທຸກສິ່ງທຸກຢ່າງແມ່ນຈະແຈ້ງ. ຂ້ອຍຈະບໍ່ຢູ່ໃນຈຸດນີ້. ທຸກສິ່ງທຸກຢ່າງແມ່ນສວຍງາມສໍາລັບວຽກງານສ່ວນບຸກຄົນ, ແມ່ແບບ, ຕົວຈັດການ.

Powershell

ຈະມີ 3 ໄຟລ໌ຢູ່ທີ່ນີ້. ເປັນຫຍັງ powershell? ທ່ານສາມາດເລືອກເອົາເຄື່ອງມືໃດຫນຶ່ງສໍາລັບການສ້າງ configs, ອັນໃດກໍຕາມທີ່ສະດວກສໍາລັບທ່ານ. ໃນກໍລະນີນີ້, ທຸກຄົນມີ Windows ໃນ PC ຂອງເຂົາເຈົ້າ, ສະນັ້ນເປັນຫຍັງຈຶ່ງເຮັດໃນ bash ໃນເວລາທີ່ powershell ແມ່ນສະດວກກວ່າ. ອັນໃດສະດວກກວ່າ?

script ຕົວຂອງມັນເອງ (ງ່າຍດາຍແລະເຂົ້າໃຈ):[cmdletBinding()] Param(
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$EXTERNALIPADDRESS,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$EXTERNALIPROUTE,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$BWorknets,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$CWorknets,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$BVoipNets,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$CVoipNets,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$CClientss,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$BVPNWORKs,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$CVPNWORKs,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$BVPNCLIENTSs,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$cVPNCLIENTSs,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$NAMEROUTER,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$ServerCertificate,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$infile,
[ພາຣາມິເຕີ(ບັງຄັບ=$true)] [string]$outfile
)

ເອົາເນື້ອໃນ $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | Set-Content $outfile

ຂໍໂທດເດີ ຂ້ອຍບໍ່ສາມາດໂພດທຸກກົດໄດ້ເພາະ... ມັນຈະບໍ່ງາມຫຼາຍ. ທ່ານສາມາດສ້າງກົດລະບຽບດ້ວຍຕົນເອງ, ນໍາພາໂດຍການປະຕິບັດທີ່ດີທີ່ສຸດ.

ຕົວຢ່າງ, ນີ້ແມ່ນບັນຊີລາຍຊື່ຂອງການເຊື່ອມຕໍ່ທີ່ຂ້ອຍຕິດຕາມ:wiki.mikrotik.com/wiki/ຄູ່ມື:Securing_Your_Router
wiki.mikrotik.com/wiki/ຄູ່ມື:IP/Firewall/Filter
wiki.mikrotik.com/wiki/ຄູ່ມື:OSPF-ຕົວຢ່າງ
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/ຄູ່ມື: Winbox
wiki.mikrotik.com/wiki/ຄູ່ມື:Upgrading_RouterOS
wiki.mikrotik.com/wiki/ຄູ່ມື:IP/Fasttrack - ໃນທີ່ນີ້ທ່ານຈໍາເປັນຕ້ອງຮູ້ວ່າໃນເວລາທີ່ fasttrack ຖືກເປີດໃຊ້ງານ, ການຈັດລໍາດັບຄວາມສໍາຄັນການຈະລາຈອນແລະກົດລະບຽບການຮູບແບບຈະບໍ່ເຮັດວຽກ - ເປັນປະໂຫຍດສໍາລັບອຸປະກອນອ່ອນແອ.

ສັນຍາລັກຂອງຕົວແປ:ເຄືອຂ່າຍຕໍ່ໄປນີ້ຖືກເອົາເປັນຕົວຢ່າງ:
192.168.0.0/24 ເຄືອຂ່າຍເຮັດວຽກ
172.22.4.0/24 ເຄືອຂ່າຍ VOIP
10.0.0.0/24 ເຄືອຂ່າຍສໍາລັບລູກຄ້າທີ່ບໍ່ມີການເຂົ້າເຖິງເຄືອຂ່າຍທ້ອງຖິ່ນ
192.168.255.0/24 ເຄືອຂ່າຍ VPN ສໍາລັບສາຂາໃຫຍ່
172.19.255.0/24 ເຄືອຂ່າຍ VPN ສໍາລັບຂະຫນາດນ້ອຍ

ທີ່ຢູ່ເຄືອຂ່າຍປະກອບດ້ວຍ 4 ຕົວເລກທົດສະນິຍົມ, ຕາມລໍາດັບ A.B.C.D, ການທົດແທນເຮັດວຽກຢູ່ໃນຫຼັກການດຽວກັນ, ຖ້າໃນຕອນເລີ່ມຕົ້ນມັນຂໍ B, ມັນຫມາຍຄວາມວ່າທ່ານຈໍາເປັນຕ້ອງໃສ່ເລກ 192.168.0.0 ສໍາລັບເຄືອຂ່າຍ 24/0, ແລະສໍາລັບ C. = 0.
$EXTERNALIPADDDRESS - ທີ່ຢູ່ສະເພາະຈາກຜູ້ໃຫ້ບໍລິການ.
$EXTERNALIPROUTE - ເສັ້ນທາງເລີ່ມຕົ້ນໄປຫາເຄືອຂ່າຍ 0.0.0.0/0
$BWorknets - ເຄືອຂ່າຍບ່ອນເຮັດວຽກ, ໃນຕົວຢ່າງຂອງພວກເຮົາຈະມີ 168
$CWorknets - ເຄືອຂ່າຍທີ່ເຮັດວຽກ, ໃນຕົວຢ່າງຂອງພວກເຮົານີ້ຈະເປັນ 0
$BVoipNets - ເຄືອຂ່າຍ VOIP ໃນຕົວຢ່າງຂອງພວກເຮົາທີ່ນີ້ 22
$CVoipNets - ເຄືອຂ່າຍ VOIP ໃນຕົວຢ່າງຂອງພວກເຮົາທີ່ນີ້ 4
$CClientss - ເຄືອຂ່າຍສໍາລັບລູກຄ້າ - ການເຂົ້າເຖິງອິນເຕີເນັດເທົ່ານັ້ນ, ໃນກໍລະນີຂອງພວກເຮົາທີ່ນີ້ 0
$BVPNWORKs - ເຄືອຂ່າຍ VPN ສໍາລັບສາຂາໃຫຍ່, ໃນຕົວຢ່າງຂອງພວກເຮົາ 20
$CVPNWORKs - ເຄືອຂ່າຍ VPN ສໍາລັບສາຂາໃຫຍ່, ໃນຕົວຢ່າງຂອງພວກເຮົາ 255
$BVPNCLIENTS - ເຄືອຂ່າຍ VPN ສໍາລັບສາຂານ້ອຍໆ, ຊຶ່ງຫມາຍຄວາມວ່າ 19
$CVPNCLIENTS - ເຄືອຂ່າຍ VPN ສໍາລັບສາຂາຂະຫນາດນ້ອຍ, ຊຶ່ງຫມາຍຄວາມວ່າ 255
$NAMEROUTER - ຊື່ເຣົາເຕີ
$ServerCertificate - ຊື່ຂອງໃບຢັ້ງຢືນທີ່ທ່ານໄດ້ນໍາເຂົ້າມາກ່ອນຫນ້ານີ້
$infile — ລະບຸເສັ້ນທາງໄປຫາໄຟລ໌ທີ່ພວກເຮົາຈະອ່ານ config, ຕົວຢ່າງ D:config.txt (ມັກເປັນເສັ້ນທາງພາສາອັງກິດທີ່ບໍ່ມີວົງຢືມ ແລະຍະຫວ່າງ)
$outfile — ລະບຸເສັ້ນທາງທີ່ຈະບັນທຶກມັນ, ຕົວຢ່າງ D:MT-test.txt

ຂ້ອຍໄດ້ປ່ຽນທີ່ຢູ່ໃນຕົວຢ່າງໂດຍເຈດຕະນາສໍາລັບເຫດຜົນທີ່ຊັດເຈນ.

ຂ້າພະເຈົ້າພາດໂອກາດນີ້ກ່ຽວກັບການກວດສອບການໂຈມຕີແລະພຶດຕິກໍາທີ່ຜິດປົກກະຕິ - ນີ້ສົມຄວນໄດ້ຮັບບົດຄວາມແຍກຕ່າງຫາກ. ແຕ່ມັນຄຸ້ມຄ່າທີ່ຈະຊີ້ໃຫ້ເຫັນວ່າໃນຫມວດນີ້ທ່ານສາມາດນໍາໃຊ້ການກວດສອບມູນຄ່າຂໍ້ມູນຈາກ Zabbix + ຂໍ້ມູນ curl ທີ່ປຸງແຕ່ງຈາກ elasticsearch.

ຈຸດໃດແດ່ທີ່ເຈົ້າຄວນເອົາໃຈໃສ່:

ແຜນເຄືອຂ່າຍ. ມັນດີກວ່າທີ່ຈະຂຽນມັນທັນທີໃນຮູບແບບທີ່ສາມາດອ່ານໄດ້. Excel ຈະພຽງພໍ. ແຕ່ຫນ້າເສຍດາຍ, ຂ້ອຍມັກຈະເຫັນວ່າເຄືອຂ່າຍຖືກສ້າງຂື້ນຕາມຫຼັກການ "ສາຂາໃຫມ່ໄດ້ປາກົດ, ນີ້ແມ່ນ / 24 ສໍາລັບທ່ານ." ບໍ່ມີໃຜກໍາລັງຄິດໄລ່ວ່າມີອຸປະກອນຈໍານວນເທົ່າໃດທີ່ຄາດວ່າຈະຢູ່ໃນສະຖານທີ່ໃດຫນຶ່ງຫຼືວ່າຈະມີການຂະຫຍາຍຕົວຕື່ມອີກ. ຕົວຢ່າງ, ຮ້ານຂະຫນາດນ້ອຍເປີດຢູ່ໃນທີ່ມັນຈະແຈ້ງໃນເບື້ອງຕົ້ນວ່າອຸປະກອນຈະບໍ່ມີຫຼາຍກ່ວາ 10, ເປັນຫຍັງຈຶ່ງຈັດສັນ /24? ສໍາລັບສາຂາຂະຫນາດໃຫຍ່, ໃນທາງກົງກັນຂ້າມ, ພວກເຂົາເຈົ້າຈັດສັນ / 24, ແລະມີ 500 ອຸປະກອນ - ທ່ານພຽງແຕ່ສາມາດເພີ່ມເຄືອຂ່າຍ, ແຕ່ທ່ານຕ້ອງການຄິດໂດຍຜ່ານທຸກສິ່ງທຸກຢ່າງໃນເວລາດຽວ.
ກົດລະບຽບການກັ່ນຕອງ. ຖ້າໂຄງການສົມມຸດວ່າຈະມີການແຍກເຄືອຂ່າຍແລະການແບ່ງສ່ວນສູງສຸດ. ການປະຕິບັດທີ່ດີທີ່ສຸດມີການປ່ຽນແປງໃນໄລຍະເວລາ. ໃນເມື່ອກ່ອນ, ເຄືອຂ່າຍ PC ແລະເຄືອຂ່າຍເຄື່ອງພິມໄດ້ຖືກແບ່ງອອກ, ແຕ່ໃນປັດຈຸບັນມັນຂ້ອນຂ້າງປົກກະຕິທີ່ຈະບໍ່ແບ່ງເຄືອຂ່າຍເຫຼົ່ານີ້. ມັນເປັນມູນຄ່າທີ່ຈະໃຊ້ຄວາມຮູ້ສຶກທົ່ວໄປແລະບໍ່ສ້າງ subnets ຫຼາຍບ່ອນທີ່ພວກເຂົາບໍ່ຕ້ອງການແລະບໍ່ລວມອຸປະກອນທັງຫມົດເຂົ້າໄປໃນເຄືອຂ່າຍດຽວ.
ການຕັ້ງຄ່າ "Golden" ໃນທຸກ routers. ເຫຼົ່ານັ້ນ. ຖ້າທ່ານໄດ້ຕັດສິນໃຈກ່ຽວກັບແຜນການ. ມັນຄຸ້ມຄ່າທີ່ຈະຄາດຄະເນທຸກສິ່ງທຸກຢ່າງໃນທັນທີແລະພະຍາຍາມໃຫ້ແນ່ໃຈວ່າການຕັ້ງຄ່າທັງຫມົດແມ່ນຄືກັນ - ພຽງແຕ່ລາຍຊື່ທີ່ຢູ່ແລະທີ່ຢູ່ IP ແຕກຕ່າງກັນ. ຖ້າບັນຫາເກີດຂຶ້ນ, ເວລາດີບັກຈະໜ້ອຍລົງ.
ບັນຫາການຈັດຕັ້ງບໍ່ມີຄວາມສໍາຄັນຫນ້ອຍກ່ວາດ້ານວິຊາການ. ປົກກະຕິແລ້ວພະນັກງານຂີ້ຄ້ານປະຕິບັດຄໍາແນະນໍາເຫຼົ່ານີ້ "ດ້ວຍຕົນເອງ", ໂດຍບໍ່ມີການນໍາໃຊ້ການຕັ້ງຄ່າທີ່ກຽມພ້ອມແລະສະຄິບ, ເຊິ່ງໃນທີ່ສຸດກໍ່ນໍາໄປສູ່ບັນຫາທີ່ບໍ່ມີບ່ອນໃດ.

ໂດຍການນໍາທາງເຄື່ອນໄຫວ. OSPF ທີ່ມີການແບ່ງເຂດຖືກນໍາໃຊ້. ແຕ່ນີ້ແມ່ນຫ້ອງທົດລອງ; ມັນຫນ້າສົນໃຈຫຼາຍທີ່ຈະຕັ້ງສິ່ງດັ່ງກ່າວໃນເງື່ອນໄຂການຕໍ່ສູ້.

ຂ້າພະເຈົ້າຫວັງວ່າບໍ່ມີໃຜຜິດຫວັງທີ່ຂ້າພະເຈົ້າບໍ່ໄດ້ປະກາດການຕັ້ງຄ່າ router ໄດ້. ຂ້າພະເຈົ້າຄິດວ່າການເຊື່ອມຕໍ່ຈະພຽງພໍ, ແລະຫຼັງຈາກນັ້ນທຸກສິ່ງທຸກຢ່າງແມ່ນຂຶ້ນກັບຄວາມຕ້ອງການ. ແລະແນ່ນອນການທົດສອບ, ການທົດສອບເພີ່ມເຕີມແມ່ນຈໍາເປັນ.

ຂ້າພະເຈົ້າປາດຖະຫນາວ່າທຸກຄົນທີ່ຈະຮັບຮູ້ໂຄງການຂອງຕົນໃນປີໃຫມ່. ສາມາດເຂົ້າໄດ້ກັບເຈົ້າ!!!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ໂຄງການທີ່ບໍ່ໄດ້ຮັບຮູ້ຂອງຂ້ອຍ. ເຄືອຂ່າຍຂອງ 200 MikroTik routers

ຈຸດຕັ້ງຄ່າ EFK

ANSIBLE.AWX

Powershell

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ