എന്റെ യാഥാർത്ഥ്യമാകാത്ത പദ്ധതി. 200 MikroTik റൂട്ടറുകളുടെ ശൃംഖല

എല്ലാവർക്കും ഹായ്. ഈ ലേഖനം അവരുടെ ഫ്ലീറ്റിൽ നിരവധി മൈക്രോട്ടിക് ഉപകരണങ്ങൾ ഉള്ളവർക്കും ഓരോ ഉപകരണത്തിലേക്കും പ്രത്യേകം കണക്റ്റ് ചെയ്യാതിരിക്കാൻ പരമാവധി ഏകീകരണം നടത്താൻ ആഗ്രഹിക്കുന്നവർക്കും വേണ്ടിയുള്ളതാണ്. ഈ ലേഖനത്തിൽ, നിർഭാഗ്യവശാൽ, മനുഷ്യ ഘടകങ്ങൾ കാരണം യുദ്ധസാഹചര്യങ്ങളിൽ എത്താത്ത ഒരു പ്രോജക്റ്റ് ഞാൻ വിവരിക്കും. ചുരുക്കത്തിൽ: 200-ലധികം റൂട്ടറുകൾ, ദ്രുത സജ്ജീകരണവും സ്റ്റാഫ് പരിശീലനവും, പ്രദേശം അനുസരിച്ച് ഏകീകരണം, നെറ്റ്‌വർക്കുകളും നിർദ്ദിഷ്ട ഹോസ്റ്റുകളും ഫിൽട്ടറിംഗ് ചെയ്യൽ, എല്ലാ ഉപകരണങ്ങളിലേക്കും എളുപ്പത്തിൽ നിയമങ്ങൾ ചേർക്കാനുള്ള കഴിവ്, ലോഗിംഗും ആക്‌സസ് നിയന്ത്രണവും.

ചുവടെ വിവരിച്ചിരിക്കുന്നത് ഒരു റെഡിമെയ്ഡ് കേസായി നടിക്കുന്നില്ല, എന്നാൽ നിങ്ങളുടെ നെറ്റ്‌വർക്കുകൾ ആസൂത്രണം ചെയ്യുമ്പോഴും പിശകുകൾ കുറയ്ക്കുമ്പോഴും ഇത് നിങ്ങൾക്ക് ഉപയോഗപ്രദമാകുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു. ഒരുപക്ഷേ ചില പോയിന്റുകളും പരിഹാരങ്ങളും നിങ്ങൾക്ക് പൂർണ്ണമായും ശരിയാണെന്ന് തോന്നിയേക്കാം - അങ്ങനെയാണെങ്കിൽ, അഭിപ്രായങ്ങളിൽ എഴുതുക. ഈ കേസിൽ വിമർശനം പൊതുഖജനാവിന് ഒരു അനുഭവമായിരിക്കും. അതിനാൽ, വായനക്കാരേ, അഭിപ്രായങ്ങൾ നോക്കൂ, ഒരുപക്ഷേ രചയിതാവ് ഗുരുതരമായ തെറ്റ് ചെയ്തു - സമൂഹം സഹായിക്കും.

റൂട്ടറുകളുടെ എണ്ണം 200-300 ആണ്, വ്യത്യസ്ത നിലവാരത്തിലുള്ള ഇന്റർനെറ്റ് കണക്ഷനുകളുള്ള വിവിധ നഗരങ്ങളിൽ ചിതറിക്കിടക്കുന്നു. എല്ലാം ഭംഗിയായി ചെയ്യേണ്ടതും എല്ലാം എങ്ങനെ പ്രവർത്തിക്കുമെന്ന് പ്രാദേശിക അഡ്മിനുകൾക്ക് വ്യക്തമായി വിശദീകരിക്കേണ്ടതും ആവശ്യമാണ്.

അപ്പോൾ, ഏതെങ്കിലും പദ്ധതി എവിടെ തുടങ്ങും? തീർച്ചയായും, കൂടെ ടി.കെ..

1. ഉപഭോക്തൃ ആവശ്യങ്ങൾ അനുസരിച്ച് എല്ലാ ബ്രാഞ്ചുകൾക്കുമായി ഒരു നെറ്റ്‌വർക്ക് പ്ലാനിന്റെ ഓർഗനൈസേഷൻ, നെറ്റ്‌വർക്ക് സെഗ്‌മെന്റേഷൻ (ഉപകരണങ്ങളുടെ എണ്ണം അനുസരിച്ച് ബ്രാഞ്ചുകളിലെ 3 മുതൽ 20 നെറ്റ്‌വർക്കുകൾ വരെ).
2. ഓരോ ബ്രാഞ്ചിലും ഉപകരണങ്ങൾ സജ്ജീകരിക്കുന്നു. വ്യത്യസ്ത പ്രവർത്തന സാഹചര്യങ്ങളിൽ ദാതാവിന്റെ യഥാർത്ഥ ത്രൂപുട്ട് വേഗത പരിശോധിക്കുന്നു.
3. ഉപകരണ പരിരക്ഷയുടെ ഓർഗനൈസേഷൻ, വൈറ്റ്‌ലിസ്റ്റ് മാനേജുമെന്റ്, ഒരു നിശ്ചിത സമയത്തേക്ക് യാന്ത്രിക-ബ്ലാക്ക്‌ലിസ്റ്റിംഗ് ഉപയോഗിച്ച് ആക്രമണങ്ങൾ സ്വയമേവ കണ്ടെത്തൽ, നിയന്ത്രണ ആക്‌സസ് തടസ്സപ്പെടുത്തുന്നതിനും സേവനം നിഷേധിക്കുന്നതിനും ഉപയോഗിക്കുന്ന വിവിധ സാങ്കേതിക മാർഗങ്ങളുടെ ഉപയോഗം കുറയ്ക്കുക.
4. ഉപഭോക്തൃ ആവശ്യങ്ങൾക്കനുസരിച്ച് നെറ്റ്‌വർക്ക് ഫിൽട്ടറിംഗ് ഉപയോഗിച്ച് സുരക്ഷിത VPN കണക്ഷനുകളുടെ ഓർഗനൈസേഷൻ. ഓരോ ബ്രാഞ്ചിൽ നിന്നും കേന്ദ്രത്തിലേക്ക് കുറഞ്ഞത് 3 VPN കണക്ഷനുകൾ.
5. പോയിന്റുകൾ 1, 2 അടിസ്ഥാനമാക്കി. തെറ്റ്-സഹിഷ്ണുതയുള്ള VPN-കൾ നിർമ്മിക്കുന്നതിനുള്ള ഒപ്റ്റിമൽ വഴികൾ തിരഞ്ഞെടുക്കുക. ശരിയായി ന്യായീകരിക്കുകയാണെങ്കിൽ, ഡൈനാമിക് റൂട്ടിംഗ് സാങ്കേതികവിദ്യ കരാറുകാരന് തിരഞ്ഞെടുക്കാം.
6. ഉപഭോക്താവ് ഉപയോഗിക്കുന്ന പ്രോട്ടോക്കോളുകൾ, പോർട്ടുകൾ, ഹോസ്റ്റുകൾ, മറ്റ് നിർദ്ദിഷ്ട സേവനങ്ങൾ എന്നിവ വഴി ട്രാഫിക് മുൻഗണന നൽകുന്ന ഓർഗനൈസേഷൻ. (VOIP, പ്രധാനപ്പെട്ട സേവനങ്ങളുള്ള ഹോസ്റ്റുകൾ)
7. സാങ്കേതിക പിന്തുണാ ജീവനക്കാരുടെ പ്രതികരണത്തിനായി റൂട്ടർ ഇവന്റുകൾ നിരീക്ഷിക്കുന്നതിനും ലോഗിംഗ് ചെയ്യുന്നതിനുമുള്ള ഓർഗനൈസേഷൻ.

ഞങ്ങൾ മനസ്സിലാക്കുന്നതുപോലെ, നിരവധി കേസുകളിൽ ആവശ്യകതകളെ അടിസ്ഥാനമാക്കി സാങ്കേതിക സവിശേഷതകൾ തയ്യാറാക്കപ്പെടുന്നു. പ്രധാന പ്രശ്നങ്ങൾ ശ്രദ്ധിച്ചതിന് ശേഷം ഞാൻ ഈ ആവശ്യകതകൾ സ്വയം രൂപപ്പെടുത്തി. ഈ പോയിന്റുകൾ മറ്റാരെങ്കിലും പരിപാലിക്കാനുള്ള സാധ്യത അദ്ദേഹം സമ്മതിച്ചു.

ഈ ആവശ്യകതകൾ നിറവേറ്റുന്നതിന് എന്ത് ഉപകരണങ്ങൾ ഉപയോഗിക്കും:

1. ELK സ്റ്റാക്ക് (കുറച്ച് സമയത്തിന് ശേഷം, logstash-ന് പകരം fluentd ഉപയോഗിക്കുമെന്ന് വ്യക്തമായി).
2. അൻസിബിൾ. അഡ്മിനിസ്ട്രേഷന്റെ എളുപ്പത്തിനും ആക്സസ് പങ്കിടലിനും, ഞങ്ങൾ AWX ഉപയോഗിക്കും.
3. GITLAB. ഇവിടെ വിശദീകരിക്കേണ്ട കാര്യമില്ല. ഞങ്ങളുടെ കോൺഫിഗറുകളുടെ പതിപ്പ് നിയന്ത്രണമില്ലാതെ ഞങ്ങൾ എവിടെയായിരിക്കും?
4. പവർഷെൽ. കോൺഫിഗറിൻറെ പ്രാരംഭ തലമുറയ്ക്ക് ലളിതമായ ഒരു സ്ക്രിപ്റ്റ് ഉണ്ടാകും.
5. ഡോകു വിക്കി, ഡോക്യുമെന്റേഷനും ഗൈഡുകളും എഴുതാൻ. ഈ സാഹചര്യത്തിൽ, ഞങ്ങൾ habr.com ഉപയോഗിക്കുന്നു.
6. zabbix വഴി നിരീക്ഷണം നടത്തും. പൊതുവായ ധാരണയ്ക്കായി ഒരു കണക്ഷൻ ഡയഗ്രാമും അവിടെ വരയ്ക്കും.

EFK സജ്ജീകരണ പോയിന്റുകൾ

ആദ്യ പോയിന്റ് സംബന്ധിച്ച്, സൂചികകൾ നിർമ്മിക്കപ്പെടുന്ന പ്രത്യയശാസ്ത്രം മാത്രമേ ഞാൻ വിവരിക്കുന്നുള്ളൂ. നിരവധിയുണ്ട്
mikrotik പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങളിൽ നിന്ന് ലോഗുകൾ സജ്ജീകരിക്കുന്നതിനും സ്വീകരിക്കുന്നതിനുമുള്ള മികച്ച ലേഖനങ്ങൾ.

ഞാൻ ചില പോയിന്റുകളിൽ വസിക്കും:

1. ഡയഗ്രം അനുസരിച്ച്, വിവിധ സ്ഥലങ്ങളിൽ നിന്നും വ്യത്യസ്ത തുറമുഖങ്ങളിൽ നിന്നും ലോഗുകൾ സ്വീകരിക്കുന്നത് പരിഗണിക്കേണ്ടതാണ്. ഇതിനായി നമ്മൾ ഒരു ലോഗ് അഗ്രഗേറ്റർ ഉപയോഗിക്കും. ആക്‌സസ് പങ്കിടാനുള്ള കഴിവുള്ള എല്ലാ റൂട്ടറുകൾക്കുമായി സാർവത്രിക ഗ്രാഫിക്സ് നിർമ്മിക്കാനും ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. തുടർന്ന് ഞങ്ങൾ സൂചികകൾ ഇനിപ്പറയുന്ന രീതിയിൽ നിർമ്മിക്കുന്നു:

fluentd ഉള്ള കോൺഫിഗറിൻറെ ഒരു ഭാഗം ഇതാ ഇലാസ്റ്റിക് സെർച്ച് ടൈപ്പ് ചെയ്യുക
logstash_format true
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
ഫ്ലഷ്_ഇന്റർവെൽ 10സെ
സൈന്യങ്ങളുടെ ഇലാസ്റ്റിക് തിരയൽ: 9200
പോർട്ട് 9200

ഇതുവഴി നമുക്ക് പ്ലാൻ അനുസരിച്ച് റൂട്ടറുകളും സെഗ്‌മെന്റും സംയോജിപ്പിക്കാൻ കഴിയും - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. എന്തുകൊണ്ടാണ് ഇത് സങ്കീർണ്ണമാക്കുന്നത്? ഞങ്ങൾക്ക് 200-ഓ അതിലധികമോ ഉപകരണങ്ങൾ ഉണ്ടാകുമെന്ന് ഞങ്ങൾ മനസ്സിലാക്കുന്നു. നിങ്ങൾക്ക് എല്ലാം ട്രാക്ക് ചെയ്യാൻ കഴിയില്ല. ഇലാസ്റ്റിക് തിരയലിന്റെ 6.8 പതിപ്പ് ഉപയോഗിച്ച്, സുരക്ഷാ ക്രമീകരണങ്ങൾ ഞങ്ങൾക്ക് ലഭ്യമാണ് (ഒരു ലൈസൻസ് വാങ്ങാതെ), അതുവഴി ഞങ്ങൾക്ക് കാണാനുള്ള അവകാശങ്ങൾ സാങ്കേതിക പിന്തുണ ജീവനക്കാർക്കോ പ്രാദേശിക സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർക്കോ വിതരണം ചെയ്യാൻ കഴിയും.
പട്ടികകൾ, ഗ്രാഫുകൾ - ഇവിടെ നിങ്ങൾ സമ്മതിക്കേണ്ടതുണ്ട് - ഒന്നുകിൽ ഒരേവ ഉപയോഗിക്കുക, അല്ലെങ്കിൽ എല്ലാവരും അവനു സൗകര്യപ്രദമായത് ചെയ്യുന്നു.

2. ലോഗിംഗ് വഴി. നമ്മൾ ഫയർവാൾ നിയമങ്ങൾ ലോഗ് ഇൻ ചെയ്യൽ പ്രാപ്തമാക്കിയാൽ, നമ്മൾ പേരുകൾ സ്പെയ്സുകളില്ലാതെ ഉണ്ടാക്കുന്നു. fluentd-ൽ ലളിതമായ ഒരു കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് നമുക്ക് ഡാറ്റ ഫിൽട്ടർ ചെയ്യാനും സൗകര്യപ്രദമായ പാനലുകൾ നിർമ്മിക്കാനും കഴിയുമെന്ന് കാണാൻ കഴിയും. താഴെയുള്ള ചിത്രം എന്റെ ഹോം റൂട്ടറാണ്.

3. സ്ഥലവും ലോഗുകളും ഉപയോഗിച്ച്. ശരാശരി, മണിക്കൂറിൽ 1000 സന്ദേശങ്ങൾ ഉള്ളതിനാൽ, ലോഗുകൾ പ്രതിദിനം 2-3 MB എടുക്കും, അത് അത്രയൊന്നും അല്ല. ഇലാസ്റ്റിക് സെർച്ച് പതിപ്പ് 7.5.

ANSIBLE.AWX

ഭാഗ്യവശാൽ, ഞങ്ങൾക്ക് റൂട്ടറോകൾക്കായി ഒരു റെഡിമെയ്ഡ് മൊഡ്യൂൾ ഉണ്ട്
ഞാൻ AWX നെക്കുറിച്ച് പരാമർശിച്ചു, പക്ഷേ ചുവടെയുള്ള കമാൻഡുകൾ അതിന്റെ ശുദ്ധമായ രൂപത്തിൽ അൻസിബിളിനെക്കുറിച്ചാണ് - ansible-മായി പ്രവർത്തിച്ചവർക്ക്, gui വഴി awx ഉപയോഗിക്കുന്നതിൽ പ്രശ്‌നങ്ങളൊന്നും ഉണ്ടാകില്ലെന്ന് ഞാൻ കരുതുന്നു.

സത്യം പറഞ്ഞാൽ, ഇതിന് മുമ്പ് അവർ ssh ഉപയോഗിച്ച മറ്റ് ഗൈഡുകൾ ഞാൻ നോക്കി, പ്രതികരണ സമയത്തിലും മറ്റ് നിരവധി പ്രശ്‌നങ്ങളിലും അവർക്കെല്ലാം വ്യത്യസ്ത പ്രശ്‌നങ്ങളുണ്ടായിരുന്നു. ഞാൻ ആവർത്തിക്കുന്നു, ഇത് ഒരു വഴക്കിലേക്ക് വന്നില്ല , ഈ വിവരങ്ങൾ 20 റൂട്ടറുകളുടെ സ്റ്റാൻഡിൽ കൂടുതൽ ലഭിക്കാത്ത ഒരു പരീക്ഷണമായി എടുക്കുക.

ഞങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റോ അക്കൗണ്ടോ ഉപയോഗിക്കേണ്ടതുണ്ട്. നിങ്ങൾ തീരുമാനിക്കേണ്ടത് നിങ്ങളാണ്, ഞാൻ സർട്ടിഫിക്കറ്റുകൾക്ക് വേണ്ടിയാണ്. അവകാശങ്ങളെക്കുറിച്ചുള്ള ചില സൂക്ഷ്മമായ പോയിന്റുകൾ. ഞാൻ എഴുതാനുള്ള അവകാശങ്ങൾ നൽകുന്നു - കുറഞ്ഞത് “റീസെറ്റ് കോൺഫിഗറേഷൻ” പ്രവർത്തിക്കില്ല.

സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നതിലും പകർത്തുന്നതിലും ഇറക്കുമതി ചെയ്യുന്നതിലും പ്രശ്നങ്ങളൊന്നും ഉണ്ടാകരുത്:

സംക്ഷിപ്ത കമാൻഡ് ലിസ്റ്റിംഗ്നിങ്ങളുടെ പിസിയിൽ
ssh-keygen -t RSA, ചോദ്യങ്ങൾക്ക് ഉത്തരം നൽകുക, കീ സംരക്ഷിക്കുക.
മൈക്രോടിക്കിലേക്ക് പകർത്തുക:
ഉപയോക്താവ് ssh-keys ഇറക്കുമതി public-key-file=id_mtx.pub user=ansible
ആദ്യം നിങ്ങൾ ഒരു അക്കൗണ്ട് സൃഷ്ടിക്കുകയും അതിനുള്ള അവകാശങ്ങൾ നൽകുകയും വേണം.
സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് കണക്ഷൻ പരിശോധിക്കുന്നു
ssh -p 49475 -i /keys/mtx [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]

vi /etc/ansible/hosts രജിസ്റ്റർ ചെയ്യുക
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

ശരി, ഒരു ഉദാഹരണം പ്ലേബുക്ക്: - പേര്: add_work_sites
ഹോസ്റ്റുകൾ: testmt
സീരിയൽ: 1
കണക്ഷൻ: network_cli
remote_user: mikrotik.west
ശേഖരിക്കുക: അതെ
ചുമതലകൾ:
- പേര്: Work_sites ചേർക്കുക
routeros_command:
കമാൻഡുകൾ:
— /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— /ip ഫയർവാൾ വിലാസം-ലിസ്റ്റ് വിലാസം ചേർക്കുക=habr.com list=work_sites comment=for_habr

മുകളിലുള്ള കോൺഫിഗറേഷനിൽ നിന്ന് നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, നിങ്ങളുടെ സ്വന്തം പ്ലേബുക്കുകൾ സൃഷ്ടിക്കുന്നത് ബുദ്ധിമുട്ടുള്ള കാര്യമല്ല. ക്ലൈ മൈക്രോടിക് നന്നായി പഠിച്ചാൽ മതി. എല്ലാ റൂട്ടറുകളിലെയും ചില ഡാറ്റ ഉപയോഗിച്ച് വിലാസ ലിസ്റ്റ് നീക്കം ചെയ്യേണ്ട സാഹചര്യം നമുക്ക് സങ്കൽപ്പിക്കാം, തുടർന്ന്:

കണ്ടെത്തി നീക്കം ചെയ്യുക/ip firewal address-list remove [എവിടെ list="gov.ru"]

ഞാൻ മനഃപൂർവ്വം മുഴുവൻ ഫയർവാൾ ലിസ്റ്റിംഗും ഇവിടെ ഉൾപ്പെടുത്തിയിട്ടില്ല കാരണം... ഓരോ പ്രോജക്റ്റിനും അത് വ്യക്തിഗതമായിരിക്കും. എന്നാൽ ഒരു കാര്യം എനിക്ക് ഉറപ്പിച്ച് പറയാൻ കഴിയും, വിലാസ ലിസ്റ്റ് മാത്രം ഉപയോഗിക്കുക.

GITLAB പ്രകാരം എല്ലാം വ്യക്തമാണ്. ഞാൻ ഈ വിഷയത്തിൽ വസിക്കില്ല. വ്യക്തിഗത ജോലികൾ, ടെംപ്ലേറ്റുകൾ, ഹാൻഡ്ലറുകൾ എന്നിവയ്ക്കായി എല്ലാം മനോഹരമാണ്.

പവർഷെൽ

ഇവിടെ 3 ഫയലുകൾ ഉണ്ടാകും. എന്തുകൊണ്ട് പവർഷെൽ? കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള ഏത് ഉപകരണം നിങ്ങൾക്ക് തിരഞ്ഞെടുക്കാം, നിങ്ങൾക്ക് കൂടുതൽ സൗകര്യപ്രദമായത്. ഈ സാഹചര്യത്തിൽ, എല്ലാവർക്കും അവരുടെ പിസിയിൽ വിൻഡോസ് ഉണ്ട്, അതിനാൽ പവർഷെൽ കൂടുതൽ സൗകര്യപ്രദമാകുമ്പോൾ അത് ബാഷിൽ ചെയ്യുന്നത് എന്തുകൊണ്ട്. ഏതാണ് കൂടുതൽ സൗകര്യപ്രദം?

സ്ക്രിപ്റ്റ് തന്നെ (ലളിതവും മനസ്സിലാക്കാവുന്നതും):[cmdletBinding()] പരം(
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$EXTERNALIPADDDRESS,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$എക്‌സ്റ്റേർനാലിപ്രൗട്ട്,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$BWorknets,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$CWorknets,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$BVoipNets,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$CVoipNets,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$CClients,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$BVPNWORKs,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$CVPNWORKs,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$BVPNCLIENTS,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$cVPNCLIENTS,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$NAMEROUTER,
[പാരാമീറ്റർ(നിർബന്ധം=$true)] [string]$ServerCertificates,
[പാരാമീറ്റർ(നിർബന്ധം=$ട്രൂ)] [സ്ട്രിംഗ്]$infile,
[പാരാമീറ്റർ(നിർബന്ധം=$true)] [string]$outfile
)

ഉള്ളടക്കം നേടുക $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | സെറ്റ്-ഉള്ളടക്കം $outfile

ദയവായി എന്നോട് ക്ഷമിക്കൂ, എനിക്ക് എല്ലാ നിയമങ്ങളും പോസ്റ്റ് ചെയ്യാൻ കഴിയില്ല കാരണം... അത് വളരെ മനോഹരമായിരിക്കില്ല. മികച്ച സമ്പ്രദായങ്ങളാൽ നയിക്കപ്പെടുന്ന നിയമങ്ങൾ നിങ്ങൾക്ക് സ്വയം ഉണ്ടാക്കാം.

ഉദാഹരണത്തിന്, ഞാൻ പിന്തുടരുന്ന ലിങ്കുകളുടെ ഒരു ലിസ്റ്റ് ഇതാ:wiki.mikrotik.com/wiki/Manual:Secureing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/ഫയർവാൾ/ഫിൽട്ടർ
wiki.mikrotik.com/wiki/Manual:OSPF-ഉദാഹരണങ്ങൾ
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:വിൻബോക്സ്
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - ഇവിടെ നിങ്ങൾ ഫാസ്റ്റ്ട്രാക്ക് പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ട്രാഫിക് മുൻഗണനയും രൂപപ്പെടുത്തൽ നിയമങ്ങളും പ്രവർത്തിക്കില്ല - ദുർബലമായ ഉപകരണങ്ങൾക്ക് ഉപയോഗപ്രദമാണ്.

വേരിയബിളുകൾക്കുള്ള ചിഹ്നങ്ങൾ:ഇനിപ്പറയുന്ന നെറ്റ്‌വർക്കുകൾ ഒരു ഉദാഹരണമായി എടുക്കുന്നു:
192.168.0.0/24 പ്രവർത്തന ശൃംഖല
172.22.4.0/24 VOIP നെറ്റ്‌വർക്ക്
10.0.0.0/24 പ്രാദേശിക നെറ്റ്‌വർക്കിലേക്ക് ആക്‌സസ് ഇല്ലാത്ത ക്ലയന്റുകൾക്ക് നെറ്റ്‌വർക്ക്
വലിയ ശാഖകൾക്കായി 192.168.255.0/24 VPN നെറ്റ്‌വർക്ക്
ചെറിയവയ്ക്ക് 172.19.255.0/24 VPN നെറ്റ്‌വർക്ക്

നെറ്റ്‌വർക്ക് വിലാസത്തിൽ യഥാക്രമം എബിസിഡി 4 ദശാംശ സംഖ്യകൾ അടങ്ങിയിരിക്കുന്നു, മാറ്റിസ്ഥാപിക്കൽ അതേ തത്ത്വത്തിൽ പ്രവർത്തിക്കുന്നു, സ്റ്റാർട്ടപ്പിൽ അത് ബി ആവശ്യപ്പെടുകയാണെങ്കിൽ, അതിനർത്ഥം നിങ്ങൾ നെറ്റ്‌വർക്ക് 192.168.0.0/24 നും സിക്കും 0 നമ്പർ നൽകേണ്ടതുണ്ട് എന്നാണ്. = 0.
$EXTERNALIPADDDRESS - ദാതാവിൽ നിന്നുള്ള സമർപ്പിത വിലാസം.
$ EXTERNALIPROUTE - നെറ്റ്‌വർക്കിലേക്കുള്ള ഡിഫോൾട്ട് റൂട്ട് 0.0.0.0/0
$BWorknets - വർക്ക് നെറ്റ്‌വർക്ക്, ഞങ്ങളുടെ ഉദാഹരണത്തിൽ 168 ഉണ്ടാകും
$CWorknets - വർക്കിംഗ് നെറ്റ്‌വർക്ക്, ഞങ്ങളുടെ ഉദാഹരണത്തിൽ ഇത് 0 ആയിരിക്കും
$BVoipNets - VOIP നെറ്റ്‌വർക്ക് ഞങ്ങളുടെ ഉദാഹരണത്തിൽ ഇവിടെ 22
$CVoipNets - VOIP നെറ്റ്‌വർക്ക് ഞങ്ങളുടെ ഉദാഹരണത്തിൽ ഇവിടെ 4
$CClientss - ക്ലയന്റുകൾക്കുള്ള നെറ്റ്‌വർക്ക് - ഇന്റർനെറ്റ് ആക്‌സസ് മാത്രം, ഞങ്ങളുടെ കാര്യത്തിൽ ഇവിടെ 0
$BVPNWORKs - വലിയ ശാഖകൾക്കുള്ള VPN നെറ്റ്‌വർക്ക്, ഞങ്ങളുടെ ഉദാഹരണം 20
$CVPNWORKs - വലിയ ശാഖകൾക്കുള്ള VPN നെറ്റ്‌വർക്ക്, ഞങ്ങളുടെ ഉദാഹരണം 255
$BVPNCLIENTS - ചെറിയ ശാഖകൾക്കുള്ള VPN നെറ്റ്‌വർക്ക്, അതായത് 19
$CVPNCLIENTS - ചെറിയ ശാഖകൾക്കുള്ള VPN നെറ്റ്‌വർക്ക്, അതായത് 255
$NAMEROUTER - റൂട്ടറിന്റെ പേര്
$ServerCertificate - നിങ്ങൾ മുമ്പ് ഇറക്കുമതി ചെയ്ത സർട്ടിഫിക്കറ്റിന്റെ പേര്
$infile — നമ്മൾ കോൺഫിഗേഷൻ വായിക്കുന്ന ഫയലിലേക്കുള്ള പാത്ത് വ്യക്തമാക്കുക, ഉദാഹരണത്തിന് D:config.txt (ഉദ്ധരണികളും സ്‌പെയ്‌സുകളുമില്ലാത്ത ഇംഗ്ലീഷ് പാതയാണ് അഭികാമ്യം)
$outfile — എവിടെയാണ് സംരക്ഷിക്കേണ്ടതെന്ന് വ്യക്തമാക്കുക, ഉദാഹരണത്തിന് D:MT-test.txt

വ്യക്തമായ കാരണങ്ങളാൽ ഞാൻ മനഃപൂർവ്വം ഉദാഹരണങ്ങളിലെ വിലാസങ്ങൾ മാറ്റി.

ആക്രമണങ്ങളും അസാധാരണമായ പെരുമാറ്റവും കണ്ടെത്തുന്നതിനെ കുറിച്ചുള്ള കാര്യം എനിക്ക് നഷ്‌ടമായി - ഇത് ഒരു പ്രത്യേക ലേഖനത്തിന് അർഹമാണ്. എന്നാൽ ഈ വിഭാഗത്തിൽ നിങ്ങൾക്ക് ഇലാസ്റ്റിക് സെർച്ചിൽ നിന്നുള്ള Zabbix + പ്രോസസ്സ് ചെയ്ത ചുരുളൻ ഡാറ്റയിൽ നിന്നുള്ള മോണിറ്ററിംഗ് ഡാറ്റ മൂല്യങ്ങൾ ഉപയോഗിക്കാമെന്നത് ചൂണ്ടിക്കാണിക്കുന്നു.

ഏതൊക്കെ പോയിന്റുകളിൽ നിങ്ങൾ ശ്രദ്ധിക്കണം:

1. നെറ്റ്‌വർക്ക് പ്ലാൻ. വായിക്കാവുന്ന രൂപത്തിൽ ഉടനടി രചിക്കുന്നതാണ് നല്ലത്. Excel മതിയാകും. നിർഭാഗ്യവശാൽ, "ഒരു പുതിയ ബ്രാഞ്ച് പ്രത്യക്ഷപ്പെട്ടു, ഇവിടെ നിങ്ങൾക്കായി /24" എന്ന തത്വമനുസരിച്ചാണ് നെറ്റ്‌വർക്കുകൾ നിർമ്മിച്ചിരിക്കുന്നത് എന്ന് ഞാൻ പലപ്പോഴും കാണാറുണ്ട്. ഒരു നിശ്ചിത സ്ഥലത്ത് എത്ര ഉപകരണങ്ങൾ പ്രതീക്ഷിക്കുന്നു എന്നോ കൂടുതൽ വളർച്ച ഉണ്ടാകുമോ എന്നോ ആരും കണ്ടെത്തുന്നില്ല. ഉദാഹരണത്തിന്, ഒരു ചെറിയ സ്റ്റോർ തുറന്നു, അതിൽ ഉപകരണം 10-ൽ കൂടുതൽ ആയിരിക്കില്ലെന്ന് ആദ്യം വ്യക്തമായിരുന്നു, എന്തുകൊണ്ട് /24 അനുവദിക്കണം? വലിയ ശാഖകൾക്കായി, നേരെമറിച്ച്, അവർ /24 അനുവദിക്കും, കൂടാതെ 500 ഉപകരണങ്ങളും ഉണ്ട് - നിങ്ങൾക്ക് ഒരു നെറ്റ്‌വർക്ക് ചേർക്കാൻ കഴിയും, എന്നാൽ നിങ്ങൾ എല്ലാം ഒരേസമയം ചിന്തിക്കാൻ ആഗ്രഹിക്കുന്നു.
2. ഫിൽട്ടറിംഗ് നിയമങ്ങൾ. നെറ്റ്‌വർക്കുകളുടെ വേർതിരിവും പരമാവധി സെഗ്‌മെന്റേഷനും ഉണ്ടാകുമെന്ന് പ്രോജക്റ്റ് അനുമാനിക്കുകയാണെങ്കിൽ. മികച്ച രീതികൾ കാലത്തിനനുസരിച്ച് മാറുന്നു. മുമ്പ്, ഒരു പിസി നെറ്റ്‌വർക്കും പ്രിന്റർ ശൃംഖലയും വിഭജിക്കപ്പെട്ടിരുന്നു, എന്നാൽ ഇപ്പോൾ ഈ നെറ്റ്‌വർക്കുകളെ വിഭജിക്കാതിരിക്കുന്നത് തികച്ചും സാധാരണമാണ്. സാമാന്യബുദ്ധി ഉപയോഗിക്കുന്നത് മൂല്യവത്താണ്, അവ ആവശ്യമില്ലാത്ത നിരവധി സബ്‌നെറ്റുകൾ സൃഷ്ടിക്കാതിരിക്കുകയും എല്ലാ ഉപകരണങ്ങളും ഒരു നെറ്റ്‌വർക്കിലേക്ക് സംയോജിപ്പിക്കാതിരിക്കുകയും ചെയ്യുന്നു.
3. എല്ലാ റൂട്ടറുകളിലും "ഗോൾഡൻ" ക്രമീകരണങ്ങൾ. ആ. നിങ്ങൾ ഒരു പ്ലാൻ തീരുമാനിച്ചിട്ടുണ്ടെങ്കിൽ. എല്ലാം ഉടനടി മുൻകൂട്ടി കാണുകയും എല്ലാ ക്രമീകരണങ്ങളും സമാനമാണെന്ന് ഉറപ്പാക്കാൻ ശ്രമിക്കുകയും ചെയ്യുന്നത് മൂല്യവത്താണ് - വിലാസ ലിസ്റ്റും ഐപി വിലാസങ്ങളും മാത്രം വ്യത്യസ്തമാണ്. പ്രശ്നങ്ങൾ ഉണ്ടായാൽ, ഡീബഗ്ഗിംഗ് സമയം കുറവായിരിക്കും.
4. ഓർഗനൈസേഷണൽ പ്രശ്നങ്ങൾ സാങ്കേതികമായവയെക്കാൾ പ്രാധാന്യം കുറഞ്ഞതല്ല. പലപ്പോഴും അലസരായ ജീവനക്കാർ റെഡിമെയ്ഡ് കോൺഫിഗറേഷനുകളും സ്ക്രിപ്റ്റുകളും ഉപയോഗിക്കാതെ ഈ ശുപാർശകൾ "മാനുവലായി" നടപ്പിലാക്കുന്നു, ഇത് ആത്യന്തികമായി എവിടെയും പ്രശ്‌നങ്ങളിലേക്ക് നയിക്കുന്നു.

ഡൈനാമിക് റൂട്ടിംഗ് വഴി. സോൺ ഡിവിഷനുള്ള OSPF ഉപയോഗിച്ചു. എന്നാൽ ഇതൊരു ടെസ്റ്റ് ബെഞ്ചാണ്; പോരാട്ട സാഹചര്യങ്ങളിൽ അത്തരം കാര്യങ്ങൾ സജ്ജീകരിക്കുന്നത് കൂടുതൽ രസകരമാണ്.

ഞാൻ റൂട്ടർ കോൺഫിഗറേഷനുകൾ പോസ്റ്റ് ചെയ്യാത്തതിൽ ആരും അസ്വസ്ഥരല്ലെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു. ലിങ്കുകൾ മതിയാകുമെന്ന് ഞാൻ കരുതുന്നു, തുടർന്ന് എല്ലാം ആവശ്യകതകളെ ആശ്രയിച്ചിരിക്കുന്നു. തീർച്ചയായും പരിശോധനകൾ, കൂടുതൽ പരിശോധനകൾ ആവശ്യമാണ്.

പുതുവർഷത്തിൽ എല്ലാവരും അവരുടെ പദ്ധതികൾ സാക്ഷാത്കരിക്കണമെന്ന് ഞാൻ ആഗ്രഹിക്കുന്നു. പ്രവേശനം അനുവദിച്ചത് നിങ്ങളോടൊപ്പമുണ്ടാകട്ടെ!!!

അവലംബം: www.habr.com