ProHoster > ဘလော့ > အုပ်ချုပ်ရေး > ငါ့ရဲ့ မပြီးသေးတဲ့ ပရောဂျက်။ MikroTik router 200 ၏ကွန်ရက်

ငါ့ရဲ့ မပြီးသေးတဲ့ ပရောဂျက်။ MikroTik router 200 ၏ကွန်ရက်

ငါ့ရဲ့ မပြီးသေးတဲ့ ပရောဂျက်။ MikroTik router 200 ၏ကွန်ရက်

အားလုံးမင်္ဂလာပါ။ ဤဆောင်းပါးသည် ပန်းခြံထဲတွင် Mikrotik စက်ပစ္စည်းများစွာရှိပြီး စက်ပစ္စည်းတစ်ခုစီနှင့် သီးခြားချိတ်ဆက်ခြင်းမပြုရန်အတွက် အများဆုံးပေါင်းစည်းလိုသူများအတွက် ရည်ရွယ်ပါသည်။ ဤဆောင်းပါးတွင်၊ ကံမကောင်းစွာပဲ လူသားအကြောင်းကြောင့် တိုက်ပွဲအခြေအနေများ မရောက်နိုင်သော ပရောဂျက်တစ်ခုကို ဖော်ပြပါမည်။ အတိုချုံးပြောရရင်- Router 200 ကျော်၊ အမြန်တပ်ဆင်ခြင်းနှင့် ဝန်ထမ်းလေ့ကျင့်ရေး၊ ဒေသအလိုက် ပေါင်းစည်းခြင်း၊ ကွန်ရက်များကို စစ်ထုတ်ခြင်းနှင့် သီးခြားအိမ်ရှင်များ၊ စက်ပစ္စည်းများအားလုံးသို့ စည်းမျဉ်းများ အလွယ်တကူထည့်နိုင်ခြင်း၊ မှတ်တမ်းရယူခြင်းနှင့် ဝင်ရောက်ထိန်းချုပ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်သည်။

အောက်တွင်ဖော်ပြထားသည့်အရာသည် အဆင်သင့်လုပ်ထားသောကိစ္စမဟုတ်သော်လည်း သင့်ကွန်ရက်များကိုစီစဉ်ခြင်းနှင့် အမှားအယွင်းများကိုနည်းပါးအောင်ပြုလုပ်သောအခါတွင် ၎င်းသည် သင့်အတွက်အသုံးဝင်လိမ့်မည်ဟုမျှော်လင့်ပါသည်။ အချို့သောအချက်များနှင့် ဆုံးဖြတ်ချက်များသည် သင့်အတွက် မှန်ကန်ပုံမပေါ်နိုင်ပေ - ထို့ကြောင့် မှတ်ချက်များတွင် ရေးပါ။ ဤကိစ္စတွင် ဝေဖန်မှုများသည် ဘုံဝက်ဘဏ်တွင် အတွေ့အကြုံတစ်ခု ဖြစ်လိမ့်မည်။ ထို့ကြောင့်စာဖတ်သူ၊ မှတ်ချက်များတွင်ကြည့်ပါ၊ စာရေးသူသည်ဆိုးရွားသောအမှားတစ်ခုပြုလုပ်ခဲ့သည် - အသိုင်းအဝိုင်းကကူညီလိမ့်မည်။

Router အရေအတွက် 200-300 ရှိပြီး မတူညီသော အင်တာနက်ချိတ်ဆက်မှု အရည်အသွေးရှိသော မြို့ကြီးများတွင် ပြန့်ကျဲနေပါသည်။ အရာခပ်သိမ်းကို လှပအောင်ပြုလုပ်ရန် လိုအပ်ပြီး အရာအားလုံးမည်ကဲ့သို့ လုပ်ဆောင်မည်ကို ဒေသခံစီမံခန့်ခွဲသူများကို လက်လှမ်းမီနိုင်သော နည်းလမ်းဖြင့် ရှင်းပြရန် လိုအပ်ပါသည်။

ဒါဆို ပရောဂျက်တိုင်းက ဘယ်မှာစမလဲ။ အတူနေတာပေါ့။ ТЗ.

  1. ဖောက်သည်လိုအပ်ချက်အရ ဘဏ်ခွဲအားလုံးအတွက် ကွန်ရက်အစီအစဥ်တစ်ခု ဖွဲ့စည်းခြင်း၊ ကွန်ရက်ခွဲဝေခြင်း (စက်ပစ္စည်းအရေအတွက်ပေါ်မူတည်၍ ဘဏ်ခွဲများတွင် 3 မှ 20 အထိ)။
  2. ဌာနခွဲတစ်ခုစီတွင် စက်များကို စနစ်ထည့်သွင်းပါ။ မတူညီသော လုပ်ငန်းခွင်အခြေအနေများတွင် ဝန်ဆောင်မှုပေးသူ၏ တီးဝိုင်းဝဒ်ကို စစ်ဆေးခြင်း။
  3. စက်ပစ္စည်းကာကွယ်ရေးအဖွဲ့အစည်း၊ ခွင့်ပြုစာရင်းဝင်ထိန်းချုပ်မှု၊ အချိန်အတိုင်းအတာတစ်ခုအထိ အလိုအလျောက်အမည်ပျက်စာရင်းသွင်းခြင်းဖြင့် တိုက်ခိုက်မှုများကို အလိုအလျောက်သိရှိနိုင်ခြင်း၊ ဝင်ရောက်ထိန်းချုပ်ခြင်းနှင့် ဝန်ဆောင်မှုကို ငြင်းဆိုခြင်းတို့ကို ထိန်းချုပ်ရန် အသုံးပြုသည့် နည်းပညာဆိုင်ရာ နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုမှု နည်းပါးသွားခြင်း။
  4. သုံးစွဲသူလိုအပ်ချက်အရ ကွန်ရက်စစ်ထုတ်ခြင်းနှင့်အတူ လုံခြုံသော vpn ချိတ်ဆက်မှုအဖွဲ့။ ဌာနခွဲတစ်ခုစီမှ ဗဟိုသို့ အနည်းဆုံး vpn ချိတ်ဆက်မှု 3 ခုရှိသည်။
  5. အမှတ် 1၊ 2 ကိုအခြေခံ၍ အမှား-ခံနိုင်ရည်ရှိသော vpn တည်ဆောက်ရန် အကောင်းဆုံးနည်းလမ်းများကို ရွေးချယ်ပါ။ မှန်ကန်သော မျှတမှုရှိသော ရွေ့လျားလမ်းကြောင်းနည်းပညာကို ကန်ထရိုက်တာမှ ရွေးချယ်နိုင်ပါသည်။
  6. ပရိုတိုကောများ၊ ဆိပ်ကမ်းများ၊ တန်ဆာပလာများနှင့် ဖောက်သည်အသုံးပြုသည့် အခြားသီးသန့်ဝန်ဆောင်မှုများဖြင့် ယာဉ်အသွားအလာကို ဦးစားပေးဖွဲ့စည်းခြင်း။ (VOIP၊ အရေးကြီးသောဝန်ဆောင်မှုများပါရှိသော host များ)
  7. နည်းပညာပံ့ပိုးမှုဝန်ထမ်းများ၏တုံ့ပြန်မှုအတွက် router ဖြစ်ရပ်များကိုစောင့်ကြည့်ခြင်းနှင့်မှတ်တမ်းတင်ခြင်းအဖွဲ့အစည်း။

ကျွန်ုပ်တို့နားလည်သည့်အတိုင်း၊ အချို့ကိစ္စများတွင် TOR ကို လိုအပ်ချက်များမှ ပြုစုထားပါသည်။ ပင်မပြဿနာများကို နားထောင်ပြီးနောက် ဤလိုအပ်ချက်များကို ကျွန်ုပ်ကိုယ်တိုင် ရေးဆွဲခဲ့ပါသည်။ ဒီအချက်တွေကို အကောင်အထည်ဖော်ရာမှာ တခြားတစ်ယောက်ယောက်က လက်ခံနိုင်ခြေရှိတယ်လို့ သူက ဝန်ခံခဲ့ပါတယ်။

ဤလိုအပ်ချက်များကိုဖြည့်ဆည်းရန် မည်သည့်ကိရိယာများကို အသုံးပြုမည်နည်း။

  1. ELK stack (အချိန်အတော်ကြာပြီးနောက်၊ logstash အစား fluentd ကို အသုံးပြုမည်ဟု နားလည်ခဲ့သည်)။
  2. အမြော်အမြင်ရှိသည်။ အုပ်ချုပ်မှုလွယ်ကူစေရန်နှင့် မျှဝေသုံးစွဲနိုင်စေရန်အတွက် AWX ကို အသုံးပြုပါမည်။
  3. GITLAB ဒီနေရာမှာ ရှင်းပြစရာ မလိုဘူး။ ကျွန်ုပ်တို့၏ configs ၏ဗားရှင်းထိန်းချုပ်မှုမရှိဘဲ။
  4. PowerShell config ၏ ကနဦးမျိုးဆက်အတွက် ရိုးရှင်းသော script တစ်ခုရှိလိမ့်မည်။
  5. Doku wiki၊ စာရွက်စာတမ်းများနှင့် လက်စွဲစာအုပ်များ ရေးသားခြင်းအတွက်။ ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် habr.com ကို အသုံးပြုသည်။
  6. စောင့်ကြည့်ခြင်းကို zabbix မှတဆင့်လုပ်ဆောင်လိမ့်မည်။ ယေဘူယျနားလည်မှုအတွက် ချိတ်ဆက်မှု ပုံကြမ်းလည်း ရှိပါမည်။

EFK စနစ်ထည့်သွင်းရန်အချက်များ

ပထမအချက်တွင်၊ အညွှန်းကိန်းများတည်ဆောက်မည့် သဘောတရားများကိုသာ ဖော်ပြပါမည်။ များစွာရှိပါသည်
mikrotik အသုံးပြုသည့် စက်များမှ မှတ်တမ်းများ တည်ဆောက်ခြင်းနှင့် လက်ခံခြင်းဆိုင်ရာ အကောင်းဆုံးဆောင်းပါးများ။

အချို့အချက်များတွင် ငါနေမည်

1. အစီအစဥ်အရ၊ မတူညီသောနေရာများနှင့် မတူညီသောဆိပ်ကမ်းများတွင် မှတ်တမ်းများလက်ခံရရှိရန် ထည့်သွင်းစဉ်းစားသင့်သည်။ ဒါကိုလုပ်ဖို့၊ ကျွန်ုပ်တို့သည် မှတ်တမ်းပေါင်းစည်းခြင်းကို အသုံးပြုပါမည်။ access ကိုမျှဝေနိုင်စွမ်းရှိသော router အားလုံးအတွက် universal graphic ပြုလုပ်လိုပါသည်။ ထို့နောက် အညွှန်းကိန်းများကို အောက်ပါအတိုင်း တည်ဆောက်ပါသည်။

ဤတွင် fluentd ဖြင့် config အပိုင်းတစ်ပိုင်းဖြစ်သည်။ elasticsearch
logstash_format အမှန်
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
ကောင်းကင်ဗိုလ်ခြေအရှင် elasticsearch ကိုရှာပါ: 9200
ဆိပ်ကမ်းကို 9200

ထို့ကြောင့်၊ mikrotiklogs.west၊ mikrotiklogs.south၊ mikrotiklogs.east တို့ကို အစီအစဉ်အတိုင်း ကျွန်ုပ်တို့သည် router များနှင့် အပိုင်းများကို ပေါင်းစပ်နိုင်ပါသည်။ အဘယ်ကြောင့် ဤမျှခက်ခဲစေသနည်း။ ကျွန်ုပ်တို့တွင် စက် 200 သို့မဟုတ် ထို့ထက်ပို၍ရှိမည်ကို ကျွန်ုပ်တို့နားလည်ပါသည်။ အရာအားလုံးကို မလိုက်နာပါနဲ့။ elasticsearch ဗားရှင်း 6.8 မှစတင်၍ လုံခြုံရေးဆက်တင်များကို ကျွန်ုပ်တို့ထံ (လိုင်စင်မဝယ်ဘဲ) ရရှိနိုင်သောကြောင့် နည်းပညာပံ့ပိုးကူညီမှုဝန်ထမ်းများ သို့မဟုတ် ဒေသန္တရစနစ်စီမံခန့်ခွဲသူများအကြား ကြည့်ရှုခွင့်များကို ဖြန့်ဝေနိုင်ပါသည်။
ဇယားများ၊ ဂရပ်များ - ဤနေရာတွင် သင်သဘောတူရန်သာလိုသည် - တူညီသည့်အရာများကို အသုံးပြုပါ သို့မဟုတ် လူတိုင်းက သူ့အတွက် အဆင်ပြေမည့်အတိုင်း ပြုလုပ်ပါ။

2. သစ်ခုတ်ခြင်းဖြင့်။ Firewall စည်းမျဉ်းများတွင် log in ကိုဖွင့်ပါက၊ space များမပါဘဲနာမည်များကိုဖန်တီးပါ။ fluentd တွင် ရိုးရှင်းသော config ကို အသုံးပြု၍ ဒေတာကို စစ်ထုတ်နိုင်ပြီး အဆင်ပြေသော panels များ ပြုလုပ်နိုင်သည်ကို တွေ့နိုင်ပါသည်။ အောက်ပါပုံသည် ကျွန်ုပ်၏ အိမ်သုံး Router ဖြစ်သည်။

ငါ့ရဲ့ မပြီးသေးတဲ့ ပရောဂျက်။ MikroTik router 200 ၏ကွန်ရက်

3. သိမ်းပိုက်ထားသော နေရာနှင့် သစ်လုံးများအတိုင်း၊ ပျမ်းမျှအားဖြင့်၊ တစ်နာရီလျှင် မက်ဆေ့ချ် 1000 ဖြင့် မှတ်တမ်းများသည် တစ်နေ့လျှင် 2-3 MB အထိ ကြာမြင့်သည်၊ သင်မြင်ရသည်မှာ အလွန်များသည်။ elasticsearch ဗားရှင်း 7.5 ။

ANSIBLE.AWX

ကျွန်ုပ်တို့အတွက် ကံကောင်းထောက်မစွာ၊ ကျွန်ုပ်တို့တွင် routeros အတွက် အဆင်သင့်လုပ်ထားသော module တစ်ခုရှိသည်။
AWX အကြောင်း ကျွန်တော်ထောက်ပြခဲ့တယ်၊ ဒါပေမယ့် အောက်ဖော်ပြပါ command တွေက သူ့ရဲ့ အသန့်ရှင်းဆုံးပုံစံနဲ့ ansible အကြောင်းပဲ ဖြစ်ပါတယ် - ansible နဲ့ အလုပ်လုပ်ဖူးတဲ့ သူတွေအတွက်တော့ awx ကိုသုံးပြီး gui ကတစ်ဆင့် ဘာပြဿနာမှ ရှိတော့မှာ မဟုတ်ပါဘူး။

ရိုးရိုးသားသားပြောရရင်၊ သူတို့ ssh သုံးတဲ့ တခြားလမ်းညွှန်တွေကို မကြည့်ခင်မှာ လူတိုင်းဟာ တုံ့ပြန်ချိန်နဲ့ တခြားပြဿနာတွေနဲ့ မတူကွဲပြားတဲ့ ပြဿနာတွေ ရှိခဲ့ပါတယ်။ ထပ်ခါတလဲလဲ၊ ၎င်းသည်တိုက်ပွဲသို့မရောက်ရှိခဲ့ပါ၊ ဤအချက်အလက်ကို router 20 ထက်မကျော်လွန်သောစမ်းသပ်မှုတစ်ခုအနေဖြင့်ယူပါ။

လက်မှတ် သို့မဟုတ် အကောင့်တစ်ခု အသုံးပြုရန် လိုအပ်သည်။ ငါက လက်မှတ်အတွက်ပဲ ဆုံးဖြတ်ရမှာ။ အခွင့်အရေးနှင့်ပတ်သက်သော သိမ်မွေ့သောအချက်အချို့။ ငါရေးရန်အခွင့်အရေးပေးသည် - အနည်းဆုံး "reset config" အလုပ်မဖြစ်ပါ။

လက်မှတ်ထုတ်ပေးခြင်း၊ ကူးယူခြင်းနှင့် တင်သွင်းခြင်းတွင် ပြဿနာမရှိသင့်ပါ။

အမိန့်အကျဉ်းချုပ်စာရင်းသင့် PC တွင်
ssh-keygen -t RSA၊ မေးခွန်းများဖြေပါ၊ သော့ကိုသိမ်းဆည်းပါ။
mikrotik သို့ ကူးယူပါ-
အသုံးပြုသူ ssh-keys public-key-file=id_mtx.pub user=ansible ကို တင်သွင်းသည်။
ပထမဦးစွာ သင်သည် အကောင့်တစ်ခုဖန်တီးပြီး ၎င်းကို အခွင့်အရေးများ ခွဲဝေပေးရန်လိုအပ်သည်။
လက်မှတ်နှင့်ချိတ်ဆက်မှုကို စစ်ဆေးခြင်း။
ssh -p 49475 -i /keys/mtx ansible@192.168.0.120

vi /etc/ansible/hosts ကိုရေးပါ။
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

ကောင်းပြီ၊ ပြခန်းစာအုပ်၏ဥပမာတစ်ခု။ အမည်- add_work_sites
hosts:testmt
အမှတ်စဉ်- ၁
ချိတ်ဆက်မှု-network_cli
remote_user- mikrotik.west
collect_facts- ဟုတ်တယ်။
လုပ်ငန်းတာဝန်များ:
အမည်- Work_sites ကိုထည့်ပါ။
routeros_command-
ပညတ်တော်တို့ကို:
- /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
- /ip firewall address-list add address=habr.com list=work_sites comment=for_habr

အထက်ဖော်ပြပါဖွဲ့စည်းမှုမှ သင်တွေ့မြင်ရသည့်အတိုင်း သင်၏ကိုယ်ပိုင် playbook များကို စုစည်းခြင်းသည် ရိုးရှင်းသောကိစ္စဖြစ်သည်။ cli mikrotik ကို ကျွမ်းကျင်ဖို့ လုံလောက်ပါတယ်။ ထို့နောက် router အားလုံးရှိ အချို့သောဒေတာများဖြင့် လိပ်စာစာရင်းကို ဖယ်ရှားရန် လိုအပ်သည့် အခြေအနေတစ်ခုကို မြင်ယောင်ကြည့်ပါ-

ရှာဖွေပြီး ဖယ်ရှားပါ။/ip firewal လိပ်စာ-စာရင်းကို ဖယ်ရှားရန် [find where list="gov.ru"]

ကျွန်ုပ်သည် ဤနေရာတွင် firewall စာရင်းတစ်ခုလုံးကို တမင်တကာ မထည့်ခဲ့ပါ။ ပရောဂျက်တစ်ခုစီအတွက် တစ်ဦးချင်းဖြစ်လိမ့်မည်။ ဒါပေမယ့် သေချာတာတစ်ခုတော့ ပြောနိုင်တာက လိပ်စာစာရင်းကိုပဲ သုံးပါ။

GITLAB ၏ အဆိုအရ အရာအားလုံးသည် ရှင်းလင်းသည်။ ဒီခဏမှာ ငါနေမှာမဟုတ်ဘူး။ တစ်ဦးချင်းစီအလုပ်များ၊ ပုံစံများ၊ ကိုင်တွယ်သူများ၏စည်းကမ်းချက်များ၌အရာအားလုံးသည်လှပသည်။

PowerShell

ဖိုင် 3 ဖိုင်ရှိပါမည်။ အဘယ်ကြောင့် powershell? configs ထုတ်ပေးခြင်းအတွက် tool ကို ပိုအဆင်ပြေသောမည်သူမဆို ရွေးချယ်နိုင်ပါသည်။ ဤကိစ္စတွင်၊ လူတိုင်းတွင် ၎င်းတို့၏ PC တွင် windows များရှိသည်၊ ထို့ကြောင့် powershell ပိုအဆင်ပြေသောအခါ bash တွင်ဘာကြောင့်လုပ်သနည်း။ ဘယ်သူက ပိုအဆင်ပြေလဲ။

ဇာတ်ညွှန်းကိုယ်တိုင် (ရိုးရှင်းပြီး နားလည်နိုင်သော)[cmdletBinding()] Param(
[ပါရာမီတာ(မန္တရ=$true)] [string]$EXTERNALIPADDDRESS၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$EXTERNALIPROUTE၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$BWorknets၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$CWorknets၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$BVoipNets၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$CVoipNets၊
[Parameter(Mandatory=$true)] [string]$CClientss၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$BVPNWORKs၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$CVPNWORKs၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$BVPNCLIENTSs၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$cVPNCLIENTSs၊
[ပါရာမီတာ(မန္တရ=$true)] [string]$NAMEROUTER၊
[Parameter(Mandatory=$true)] [string]$ServerCertificates၊
[Parameter(Mandatory=$true)] [string]$infile၊
[Parameter(မဖြစ်မနေ=$true)] [string]$outfile
)

ရယူရန်-အကြောင်းအရာ $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | အကြောင်းအရာ $outfile သတ်မှတ်ပါ။

ခွင့်လွှတ်ပါဗျာ၊ စည်းကမ်းတွေ အကုန်မပြင်နိုင်ဘူး။ လှမည်မဟုတ်။ အကောင်းဆုံးအလေ့အကျင့်များဖြင့် သင်ကိုယ်တိုင် စည်းမျဥ်းစည်းကမ်းများ ချမှတ်နိုင်ပါသည်။

ဥပမာအားဖြင့်၊ ဤသည်မှာ ကျွန်ုပ်လမ်းညွှန်ခဲ့သော လင့်ခ်များစာရင်းဖြစ်သည်-wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
wiki.mikrotik.com/wiki/Manual:OSPF-ဥပမာများ
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:Winbox
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - Fasttrack ကိုဖွင့်ထားသောအခါ၊ အသွားအလာ ဦးစားပေးခြင်းနှင့် ပုံသွင်းခြင်းဆိုင်ရာ စည်းမျဉ်းများသည် အလုပ်မလုပ်ပါ - အားနည်းသော စက်များအတွက် အသုံးဝင်မည်ကို ဤနေရာတွင် သင်သိထားရန်လိုအပ်ပါသည်။

ပြောင်းလဲနိုင်သော သဘောတူညီချက်များ-အောက်ဖော်ပြပါ ကွန်ရက်များကို နမူနာအဖြစ် ယူထားသည်။
192.168.0.0/24 အလုပ်လုပ်သောကွန်ရက်
172.22.4.0/24 VOIP ကွန်ရက်
LAN အသုံးပြုခွင့်မရှိသော client များအတွက် 10.0.0.0/24 ကွန်ရက်
ကြီးမားသောအကိုင်းအခက်များအတွက် 192.168.255.0/24 VPN ကွန်ရက်
အသေးစားအတွက် 172.19.255.0/24 VPN ကွန်ရက်

ကွန်ရက်လိပ်စာတွင် ဒဿမ ၄ လုံး၊ အသီးသီး ABCD ပါ၀င်သည်၊ အစားထိုးမှုသည် တူညီသောနိယာမအရ အလုပ်လုပ်သည်၊ ၎င်းသည် စတင်ချိန်တွင် B ကိုတောင်းဆိုပါက၊ ကွန်ရက် 4/192.168.0.0 အတွက် 24 နံပါတ်ကို ရိုက်ထည့်ရန် လိုအပ်ပြီး C = 0 အတွက်၊ .
$EXTERNALIPADDRESS - ဝန်ဆောင်မှုပေးသူထံမှ ခွဲဝေပေးထားသောလိပ်စာ။
$EXTERNALIPROUTE - ကွန်ရက် 0.0.0.0/0 သို့ မူရင်းလမ်းကြောင်း
$BWorknets - ကျွန်ုပ်တို့၏နမူနာတွင် အလုပ်လုပ်သောကွန်ရက်သည် 168 ဖြစ်လိမ့်မည်။
$CWorknets - ကျွန်ုပ်တို့၏ဥပမာတွင် အလုပ်ကွန်ရက်သည် 0 ဖြစ်လိမ့်မည်။
$BVoipNets - ဤနေရာတွင် ကျွန်ုပ်တို့၏ဥပမာတွင် VOIP ကွန်ရက် 22
$CVoipNets - ဤနေရာတွင် ကျွန်ုပ်တို့၏ဥပမာတွင် VOIP ကွန်ရက် ၄
$CClientss - ဖောက်သည်များအတွက် ကွန်ရက် - ကျွန်ုပ်တို့၏ ကိစ္စတွင် ဤနေရာတွင် အင်တာနက်ကိုသာ ၀င်ရောက်ပါ။
$BVPNWORKs - ကျွန်ုပ်တို့၏ဥပမာ 20 တွင် အကိုင်းအခက်ကြီးများအတွက် VPN ကွန်ရက်
$CVPNWORKs - ကျွန်ုပ်တို့၏ဥပမာ 255 တွင် အကိုင်းအခက်ကြီးများအတွက် VPN ကွန်ရက်
$BVPNCLIENTS - အကိုင်းအခက်ငယ်များအတွက် VPN ကွန်ရက်၊ ဆိုလိုသည်မှာ 19
$CVPNCLIENTS - အကိုင်းအခက်ငယ်များအတွက် VPN ကွန်ရက်၊ ဆိုသည်မှာ 255
$NAMEROUTER - ရောက်တာအမည်
$ServerCertificate - သင်ပထမဆုံးတင်သွင်းသော လက်မှတ်၏အမည်
$infile - ကျွန်ုပ်တို့သည် config ကိုဖတ်မည့် ဖိုင်ဆီသို့ လမ်းကြောင်းကို သတ်မှတ်ပါ ဥပမာ D:config.txt (ကိုးကား နှင့် နေရာလွတ်များ မပါသော ပိုကောင်းသော အင်္ဂလိပ် လမ်းကြောင်း)
$outfile - သိမ်းဆည်းရမည့် လမ်းကြောင်းကို သတ်မှတ်ပါ၊ ဥပမာ D:MT-test.txt

ကျွန်ုပ်သည် ထင်ရှားသောအကြောင်းပြချက်များဖြင့် နမူနာများတွင် လိပ်စာများကို တမင်ပြောင်းခဲ့သည်။

တိုက်ခိုက်မှုများနှင့် မမှန်မကန်ပြုမူမှုများကို ဖော်ထုတ်ရန်အချက်ကို ကျွန်ုပ်လွတ်သွားသည် - ဤဆောင်းပါးသည် သီးခြားဆောင်းပါးနှင့် ထိုက်တန်ပါသည်။ သို့သော်ဤအမျိုးအစားတွင်သင် Zabbix + elasticsearch မှ curl data များကိုအလုပ်လုပ်သည်မှစောင့်ကြည့်ဒေတာတန်ဖိုးများကိုသုံးနိုင်သည်။

အာရုံစိုက်ရမည့်အချက်များ-

  1. ကွန်ရက်အစီအစဉ်။ ဖတ်လို့ကောင်းတဲ့ပုံစံနဲ့ရေးတာက ပိုကောင်းပါတယ်။ Excel က လုံလောက်ပါတယ်။ ကံမကောင်းစွာပဲ၊ "အကိုင်းအခက်အသစ်တစ်ခုပေါ်လာပါပြီ၊ မင်းအတွက် /24" ဆိုတဲ့ နိယာမအရ ကွန်ရက်တွေကို စုစည်းထားတာကို ဝမ်းနည်းစွာနဲ့ မကြာခဏတွေ့မြင်ရပါတယ်။ တည်နေရာတစ်ခုတွင် စက်ပစ္စည်းမည်မျှမျှော်လင့်ထားကြောင်းနှင့် နောက်ထပ်တိုးတက်မှုရှိမရှိကို မည်သူမျှ မသိနိုင်ပါ။ ဥပမာအားဖြင့်၊ စတိုးဆိုင်ငယ်တစ်ခုဖွင့်လှစ်ခဲ့ပြီး၊ စက်သည် 10 ထက်မပိုရကြောင်း အစပိုင်းတွင် ရှင်းလင်းခဲ့ပြီး၊ အဘယ်ကြောင့် / 24 ကို ခွဲဝေသတ်မှတ်သနည်း။ ကြီးမားသောအကိုင်းအခက်များအတွက်၊ ဆန့်ကျင်စွာ၊ ၎င်းတို့သည် / 24 ကိုခွဲဝေပေးပြီး၊ စက် 500 ရှိသည် - သင်သည်ကွန်ရက်တစ်ခုကိုထည့်ရုံသာမကအရာအားလုံးကိုချက်ချင်းစဉ်းစားချင်သည်။
  2. စည်းကမ်းများ စီစစ်ခြင်း။ အကယ်၍ ပရောဂျက်သည် ကွန်ရက်များကို ခွဲထုတ်ပြီး အများဆုံး အပိုင်းခွဲခြင်းရှိမည်ဟု ယူဆပါသည်။ အကောင်းဆုံးအလေ့အကျင့်များသည် အချိန်နှင့်အမျှ ပြောင်းလဲနေသည်။ ယခင်က ၎င်းတို့သည် PC ကွန်ရက်နှင့် ပရင်တာကွန်ရက်ကို မျှဝေခဲ့ပြီး ယခုအခါ အဆိုပါကွန်ရက်များကို မျှဝေခြင်းမပြုသည်မှာ သာမန်ဖြစ်သည်။ ၎င်းသည် ဘုံသဘောကို အသုံးပြု၍ မလိုအပ်သော subnet အများအပြားကို မထုတ်လုပ်ဘဲ ကိရိယာအားလုံးကို ကွန်ရက်တစ်ခုတည်းသို့ ပေါင်းစည်းခြင်းမပြုဘဲ ထိုက်တန်ပါသည်။
  3. Router အားလုံးရှိ "Golden" ဆက်တင်များ။ အဲဒါတွေ။ အစီအစဉ်ရှိလျှင်။ အရာအားလုံးကို ချက်ချင်းကြိုမြင်ပြီး ဆက်တင်အားလုံး တူညီကြောင်း သေချာအောင် ကြိုးစားပါ - မတူညီသော လိပ်စာစာရင်းနှင့် ip လိပ်စာများသာ ရှိပါသည်။ ပြဿနာများရှိသောအခါ၊ အမှားရှာပြင်ခြင်းအတွက် အချိန်နည်းလိမ့်မည်။
  4. အဖွဲ့အစည်းဆိုင်ရာ ကဏ္ဍများသည် နည်းပညာပိုင်းဆိုင်ရာများထက် ပိုအရေးကြီးပါသည်။ မကြာခဏဆိုသလို၊ ပျင်းရိသောဝန်ထမ်းများသည် အဆင်သင့်လုပ်ထားသောဖွဲ့စည်းပုံများနှင့် ဇာတ်ညွှန်းများကိုအသုံးမပြုဘဲ ဤအကြံပြုချက်များကို "ကိုယ်တိုင်" လိုက်နာကြပြီး၊ နောက်ဆုံးတွင် ပြဿနာများကို အစမှအဆုံးအထိဖြစ်ပေါ်စေသည်။

ရွေ့လျားလမ်းကြောင်းဖြင့်။ ဇုန်သတ်မှတ်ခြင်းနှင့်အတူ OSPF ကိုအသုံးပြုခဲ့သည်။ ဒါပေမယ့် ဒါက စမ်းသပ်ခုံတန်းတစ်ခုဖြစ်ပြီး၊ တိုက်ပွဲအခြေအနေတွေမှာ ဒီလိုအရာတွေကို တပ်ဆင်ဖို့က ပိုစိတ်ဝင်စားစရာကောင်းပါတယ်။

routers တွေရဲ့ configuration ကို မတင်လိုက်ရလို့ ဘယ်သူမှ စိတ်မဆိုးဘူးလို့ မျှော်လင့်ပါတယ်။ လင့်ခ်တွေက လုံလောက်မယ်လို့ ထင်တယ်၊ ပြီးတော့ အားလုံးက လိုအပ်ချက်တွေပေါ်မှာ မူတည်တယ်။ သင်တန်း စာမေးပွဲများ ၊ စာမေးပွဲများ ထပ်မံ လိုအပ်ပါသည်။

အားလုံးပဲ နှစ်သစ်မှာ သူတို့ရဲ့ ပရောဂျက်တွေကို အကောင်အထည် ဖော်စေချင်ပါတယ်။ ဝင်ရောက်ခွင့်ကို သင်နှင့်အတူရှိနိုင်ပါစေ!!!

source: www.habr.com

မှတ်ချက် Add