زما نیمګړې پروژه. د 200 MikroTik راوټرونو شبکه

سلام و ټولو ته. دا مقاله د هغو کسانو لپاره ده چې په پارک کې ډیری مایکروټیک وسیلې لري ، او څوک غواړي اعظمي یووالي رامینځته کړي ترڅو له هرې وسیلې سره په جلا توګه وصل نشي. په دې مقاله کې، زه به یوه پروژه تشریح کړم چې له بده مرغه، د بشري فکتورونو له امله جنګي شرایطو ته ندی رسیدلی. په لنډه توګه: له 200 څخه ډیر روټرونه ، ګړندي تنظیم او د کارمندانو روزنه ، د سیمې لخوا یووالي ، د فلټر کولو شبکې او ځانګړي کوربه ، په ټولو وسیلو کې په اسانۍ سره د مقرراتو اضافه کولو وړتیا ، د ننوتلو او لاسرسي کنټرول.

هغه څه چې لاندې تشریح شوي د چمتو شوي قضیې ښکارندویي نه کوي، مګر زه امید لرم چې دا به ستاسو لپاره ګټور وي کله چې ستاسو شبکې پالن کول او د غلطیو کمول. شاید ځینې ټکي او پریکړې به تاسو ته سم نه ښکاري - که داسې وي، په نظرونو کې ولیکئ. په دې قضیه کې نیوکه به په یو عام سور بانک کې تجربه وي. له همدې امله، لوستونکي، په نظرونو کې وګورئ، شاید لیکوال یوه لویه تېروتنه کړې - ټولنه به مرسته وکړي.

د روټرونو شمیر 200-300 دی، په مختلفو ښارونو کې د انټرنیټ اتصال مختلف کیفیت سره ویشل شوي. دا اړینه ده چې هرڅه ښکلي کړئ او ځایی مدیرانو ته د لاسرسي وړ طریقه تشریح کړئ چې هرڅه به څنګه کار وکړي.

نو هره پروژه چیرته پیل کیږي؟ البته، سره TK.

1. د پیرودونکو اړتیاو سره سم د ټولو څانګو لپاره د شبکې پلان تنظیم کول ، د شبکې قطع کول (په څانګو کې له 3 څخه تر 20 شبکو پورې ، د وسیلو شمیر پورې اړه لري).
2. په هره څانګه کې وسایل تنظیم کړئ. په مختلف کاري شرایطو کې د چمتو کونکي ریښتیني بینډ ویت چیک کول.
3. د وسیلې محافظت تنظیم کول ، د سپین لیست کنټرول ، د یوې ټاکلې مودې لپاره د اتومات تور لیست کولو سره د بریدونو اتومات کشف کول ، د کنټرول لاسرسي مخنیوي او د خدماتو انکار کولو لپاره د مختلف تخنیکي وسیلو کارولو کمول.
4. د پیرودونکو اړتیاو سره سم د شبکې فلټر کولو سره د خوندي vpn اړیکو تنظیم کول. لږترلږه د هرې څانګې څخه مرکز ته د 3 vpn اړیکې.
5. د 1، 2 پوائنټونو پراساس. د غلطۍ زغم vpn جوړولو لپاره غوره لارې غوره کړئ. د متحرک روټینګ ټیکنالوژي، د سم توجیه سره، د قراردادي لخوا غوره کیدی شي.
6. د پروتوکولونو، بندرونو، کوربه او نورو ځانګړو خدماتو لخوا د ټرافیک لومړیتوب تنظیم کول چې پیرودونکي یې کاروي. (VOIP، د مهمو خدماتو سره کوربه)
7. د تخنیکي ملاتړ کارمندانو ځواب لپاره د روټر پیښو نظارت او ننوتل تنظیم کول.

لکه څنګه چې موږ پوهیږو، په ځینو مواردو کې، TOR د اړتیاو څخه ترتیب شوی. ما د اصلي ستونزو له اورېدلو وروسته دا غوښتنې په خپله جوړ کړې. هغه دا احتمال ومنلو چې د دې ټکو د پلي کولو لپاره بل څوک لاس په کار شي.

د دې اړتیاو پوره کولو لپاره کوم وسایل کارول کیږي:

1. د ELK سټیک (د یو څه وخت وروسته، پوه شو چې روانی به د لوګسټاش پر ځای وکارول شي).
2. د ځواب وړ. د ادارې اسانتیا او د لاسرسي شریکولو لپاره، موږ به AWX وکاروو.
3. GITLAB. دلته وضاحت ته اړتیا نشته. چیرې چې زموږ د تشکیلاتو نسخه کنټرول پرته.
4. PowerShell. د تشکیل د لومړني نسل لپاره به یو ساده سکریپټ وي.
5. Doku ویکي، د اسنادو او لارښودونو لیکلو لپاره. پدې حالت کې، موږ habr.com کاروو.
6. څارنه به د زبکس له لارې ترسره شي. د عمومي پوهاوي لپاره به د ارتباط ډیاګرام هم وي.

د EFK ترتیب کولو ټکي

په لومړي ټکي کې، زه به یوازې هغه نظریه بیان کړم چې شاخصونه به یې جوړ کړي. هلته ډیر دی
د مایکروټیک چلولو وسیلو څخه د لاګونو تنظیم کولو او ترلاسه کولو په اړه عالي مقالې.

زه به په ځینو ټکو کې پاتې شم:

1. د سکیم مطابق، دا د مختلفو ځایونو او مختلفو بندرونو څخه د لاګونو ترلاسه کولو په پام کې نیولو سره ارزښت لري. د دې کولو لپاره، موږ به د لاګ راټولونکی وکاروو. موږ دا هم غواړو چې د ټولو روټرونو لپاره د لاسرسي شریکولو وړتیا سره نړیوال ګرافیک جوړ کړو. بیا موږ شاخصونه په لاندې ډول جوړوو:

دلته د fluentd سره د ترتیب یوه برخه ده elastic search
logstash_format ریښتیا
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
کوربه د: 9200
9200 درشل

په دې توګه، موږ کولی شو د پلان سره سم روټرونه او برخې سره یوځای کړو - mikrotiklogs.west، mikrotiklogs.south، mikrotiklogs.east. ولې دا دومره ستونزمن کوي؟ موږ پوهیږو چې موږ به 200 یا ډیر وسایل ولرو. هرڅه تعقیب مه کوئ. د elasticsearch د 6.8 نسخه راهیسې، امنیتي ترتیبات موږ ته شتون لري (پرته له جواز اخیستلو)، پدې توګه، موږ کولی شو د تخنیکي مالتړ کارمندانو یا د محلي سیسټم مدیرانو ترمنځ د لید حقونه وویشو.
جدولونه، ګرافونه - دلته تاسو اړتیا لرئ موافقه وکړئ - یا ورته ورته وکاروئ، یا هرڅوک دا کار کوي لکه څنګه چې دا به د هغه لپاره مناسب وي.

2. د ننوتلو په واسطه. که موږ د فایروال قواعدو ته ننوتل فعال کړو، نو موږ نومونه پرته له ځای څخه جوړوو. دا لیدل کیدی شي چې په fluentd کې د ساده ترتیب په کارولو سره، موږ کولی شو ډاټا فلټر کړو او مناسب پینلونه جوړ کړو. لاندې انځور زما د کور روټر دی.

3. د نیول شوي ځای او لوګو له مخې. په اوسط ډول، په هر ساعت کې د 1000 پیغامونو سره، لاګونه هره ورځ 2-3 MB اخلي، کوم چې تاسو ګورئ، دومره نه دي. elasticsearch نسخه 7.5.

ANSIBLE.AWX

خوشبختانه زموږ لپاره، موږ د روټرو لپاره چمتو شوي ماډل لرو
ما د AWX په اړه اشاره وکړه، مګر لاندې قوماندې یوازې د دې په خالص شکل کې د ځواب وړ دي - زه فکر کوم د هغو کسانو لپاره چې د ځواب وړ سره کار کړی، د gui له لارې د awx په کارولو کې به کومه ستونزه ونلري.

د ریښتیني کیدو لپاره ، مخکې له دې ما نورو لارښودونو ته وکتل چیرې چې دوی ssh کاروي ، او هرڅوک د ځواب وخت او یو شمیر نورو ستونزو سره مختلف ستونزې درلودې. زه تکراروم، دا جګړې ته نه دی رسیدلی ، دا معلومات د یوې تجربې په توګه واخلئ چې د 20 روټرونو له موقف څخه بهر نه وي.

موږ اړتیا لرو یو سند یا حساب وکاروو. دا تاسو پورې اړه لري چې پریکړه وکړئ، زه د سندونو لپاره یم. د حقوقو په اړه یو څو لنډ ټکي. زه د لیکلو حق ورکوم - لږترلږه "ری سیٹ ترتیب" به کار ونکړي.

د سند په جوړولو، کاپي کولو او واردولو کې باید کومه ستونزه نه وي:

د امرونو لنډ لیستستاسو په کمپیوټر کې
ssh-keygen -t RSA، پوښتنو ته ځواب ورکړئ، کیلي خوندي کړئ.
مایکروټیک ته کاپي:
د کارن ssh-keys واردول public-key-file=id_mtx.pub کارن = ځواب وړ
لومړی تاسو اړتیا لرئ یو حساب جوړ کړئ او حقونه یې تخصیص کړئ.
د سند سره پیوستون چک کول
ssh -p 49475 -i /keys/mtx [ایمیل خوندي شوی]

vi /etc/ansible/hosts ولیکئ
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ځواب وړ
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ځواب وړ
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ځواب وړ
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ځواب وړ

ښه، د لوبو کتاب مثال: نوم: add_work_sites
کوربه: testmt
لړۍ: 1
اړیکه: شبکه_کلی
remote_user: mikrotik.west
حقیقتونه راټول کړئ: هو
دندې:
نوم: د کاري سایټونو اضافه کول
routeros_command:
فرمانونه:
- /ip د فایروال پته لیست اضافه کړئ پته=gov.ru لیست=work_sites تبصره=Ticket665436_Ochen_nado
- /ip د فایروال پته لیست اضافه کړئ پته=habr.com list=work_sites comment=for_habr

لکه څنګه چې تاسو د پورته ترتیب څخه لیدلی شئ، ستاسو د خپل پلی بوکس تالیف کول یو ساده مسله ده. دا کافي ده چې د کلی مایکروټیک ښه ماسټر کړئ. د داسې وضعیت تصور وکړئ چیرې چې تاسو اړتیا لرئ په ټولو روټرونو کې د ځانګړي معلوماتو سره د پتې لیست لرې کړئ ، بیا:

ومومئ او لرې کړئ/ip د فایروال پته لیست لرې کړئ [fund where list="gov.ru"]

ما په قصدي ډول دلته د فایروال ټول لیست شامل نه کړ. دا به د هرې پروژې لپاره انفرادي وي. مګر زه کولی شم د ډاډ لپاره یو شی ووایم، یوازې د پتې لیست وکاروئ.

د GITLAB په وینا، هرڅه روښانه دي. زه به پدې شیبه کې پاتې نه شم. هر څه د انفرادي دندو، ټیمپلیټونو، سمبالونکو له مخې ښکلي دي.

واکسیل

3 فایلونه به وي. ولې پاورشیل؟ د تشکیلاتو رامینځته کولو وسیله د هر هغه چا لخوا غوره کیدی شي څوک چې ډیر راحته وي. پدې حالت کې ، هرڅوک په خپل کمپیوټر کې وینډوز لري ، نو ولې دا په باش کې وکړئ کله چې پاورشیل ډیر اسانه وي. څوک ډیر آرام دی.

سکریپټ پخپله (ساده او د پوهیدو وړ):[cmdletBinding()] پارم(
[پیرامیټ(لازمی=$ریښتیا)] [string]$EXTERNALIPADDRESS,
[پیرامیټر(لازمی=$ریښتیا)] [string]$EXTERNALIPROUTE,
[پیرامیټر(لازمی=$سچ)] [string]$BWorknets,
[پیرامیټ(لازمی=$سچ)] [string]$CWorknets,
[پیرامیټ(لازمی=$سچ)] [string]$BVoipNets,
[پیرامیټ(لازمی=$سچ)] [string]$CVoipNets,
[پیرامیټ(لازمی=$سچ)] [string]$CClientss,
[پیرامیټ(لازمی=$رښتیا)] [string]$BVPNWORKs,
[پیرامیټ(لازمی=$سچ)] [string]$CVPNWORKs,
[پیرامیټ(لازمی=$سچ)] [string]$BVPNCLIENTSs,
[پیرامیټ(لازمی=$سچ)] [string]$cVPNCLIENTSs,
[پیرامیټر(لازمی=$رښتیا)] [string]$NAMEROUTER,
[پیرامیټر(لازمی=$سچ)] [string]$ServerCertificates,
[پیرامیټر(لازمی=$رښتیا)] [string]$infile,
[پیرامیټ(لازمی=$ریښتیا)] [string]$outfile
)

د منځپانګې ترلاسه کول $infile | مخکینۍ څیز {$_. ځای په ځای کړئ("EXTERNIP", $EXTERNALIPADDRESS)} |
مخکینۍ څیز {$_. ځای په ځای کړئ("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients" $CClients)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach- څيز {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("Server Certificate", $ServerCertificates)} | $outfile منځپانګه ترتیب کړئ

زه ستاسو بخښنه غواړم، زه نشم کولی ټول قوانین جوړ کړم. دا به ښکلی نه وي. تاسو کولی شئ مقررات پخپله جوړ کړئ، د غوره کړنو لخوا الرښوونه.

د مثال په توګه، دلته د لینکونو لیست دی چې زه یې لارښوونه کوم:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
wiki.mikrotik.com/wiki/Manual: OSPF بېلګې
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: وین باکس
wiki.mikrotik.com/wiki/Manual: Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - دلته تاسو اړتیا لرئ پوه شئ چې کله fasttrack فعال شي، د ټرافیک لومړیتوب او شکل ورکولو قواعد به کار ونکړي - د ضعیف وسیلو لپاره ګټور.

متغیر کنوانسیونونه:لاندې شبکې د مثال په توګه اخیستل کیږي:
192.168.0.0/24 کاري شبکه
172.22.4.0/24 د VOIP شبکه
د LAN لاسرسي پرته د پیرودونکو لپاره 10.0.0.0/24 شبکه
192.168.255.0/24 د لویو څانګو لپاره VPN شبکه
172.19.255.0/24 د کوچني لپاره VPN شبکه

د شبکې پته د ABCD په ترتیب سره د 4 لسیزو شمیره لري، بدیل د ورته اصولو سره سم کار کوي، که چیرې دا په پیل کې د B غوښتنه وکړي، نو تاسو اړتیا لرئ د شبکې 192.168.0.0/24 لپاره 0 شمیره دننه کړئ، او د C = 0 لپاره. .
$EXTERNALIPADDRESS - د چمتو کونکي لخوا اختصاص شوی پته.
$EXTERNALIPROUTE - شبکې 0.0.0.0/0 ته اصلي لاره
$BWorknets - کاري شبکه، زموږ په مثال کې به 168 وي
$CWorknets - د کار شبکه، زموږ په مثال کې دا به 0 وي
$BVoipNets - VOIP شبکه زموږ په مثال کې دلته 22
$CVoipNets - VOIP شبکه زموږ په مثال کې دلته 4
$CClientss - د پیرودونکو لپاره شبکه - یوازې انټرنیټ ته لاسرسی، زموږ په قضیه کې دلته 0
$BVPNWORKs - د لویو څانګو لپاره د VPN شبکه، زموږ په مثال کې 20
$CVPNWORKs - د لویو څانګو لپاره د VPN شبکه، زموږ په مثال کې 255
$BVPNCLIENTS - د وړو څانګو لپاره د VPN شبکه، معنی 19
$CVPNCLIENTS - د وړو څانګو لپاره د VPN شبکه، معنی 255
$NAMEROUTER - د روټر نوم
$ServerCertificate - د هغه سند نوم چې تاسو لومړی وارد کوئ
$infile - هغه فایل ته لاره مشخص کړئ چې له هغې څخه به موږ config لوستلو، د بیلګې په توګه D:config.txt (د انګلیسي غوره لاره پرته له کوټونو او ځایونو څخه)
$outfile - هغه لاره مشخص کړئ چیرې چې خوندي شي، د بیلګې په توګه D:MT-test.txt

ما په عمدي ډول په مثالونو کې پته د څرګند دلایلو لپاره بدله کړه.

ما د بریدونو او غیر معمولي چلند په موندلو کې ټکی له لاسه ورکړ - دا د جلا مقالې مستحق دی. مګر دا د یادونې وړ ده چې پدې کټګورۍ کې تاسو کولی شئ د زیبکس + څخه د کارل ډیټا څخه د elasticsearch څخه د څارنې ډیټا ارزښتونه وکاروئ.

په کومو ټکو تمرکز وکړئ:

1. د شبکې پلان. دا غوره ده چې دا د لوستلو وړ بڼه کې ولیکئ. اکسل کافي دی. له بده مرغه، زه ډیری وختونه ګورم چې شبکې د اصولو سره سم تنظیم شوي "یوه نوې څانګه ښکاره شوې، دلته ستاسو لپاره / 24 دی." هیڅوک نه پوهیږي چې په ټاکل شوي ځای کې څومره وسایل تمه کیږي او ایا نور به وده ومومي. د مثال په توګه، یو کوچنی پلورنځی پرانستل شو، په کوم کې چې دا په پیل کې روښانه ده چې وسیله به له 10 څخه زیات نه وي، ولې 24 / تخصیص کړئ؟ د لویو څانګو لپاره، برعکس، دوی / 24 تخصیص کوي، او 500 وسایل شتون لري - تاسو کولی شئ یوازې یو شبکه اضافه کړئ، مګر تاسو غواړئ چې هر څه سمدلاسه فکر وکړئ.
2. د فلټر کولو قواعد. که چیرې پروژه فرض کړي چې د شبکې جلا کول او اعظمي قطع کول به وي. غوره کړنې د وخت په تیریدو سره بدلیږي. پخوا، دوی د کمپیوټر شبکه او د پرنټر شبکه شریکه کړه، اوس دا خورا عادي خبره ده چې دا شبکې شریک نه کړئ. دا د عام احساس کارولو ارزښت لري او د ډیری فرعي نیټونو تولید نه کوي چیرې چې دوی اړتیا نلري او ټول وسایل په یوه شبکه کې نه ترکیب کوي.
3. په ټولو روټرونو کې "طلایی" تنظیمات. هغوی. که تاسو پلان لرئ. دا د هر څه سمدلاسه وړاندوینه کولو ارزښت لري او هڅه وکړئ چې ډاډ ترلاسه کړئ چې ټول تنظیمات ورته دي - یوازې د مختلف ادرس لیست او IP پتې شتون لري. د ستونزو په صورت کې، د ډیبګ کولو وخت به لږ وي.
4. سازماني اړخونه د تخنیکي اړخونو څخه لږ مهم ندي. ډیری وختونه، سست کارمندان دا سپارښتنې "په لاسي ډول" تعقیبوي، پرته له دې چې د چمتو شوي ترتیبونو او سکریپټونو کارولو څخه کار واخلي، چې په نهایت کې د سکریچ څخه ستونزې رامینځته کوي.

د متحرک روټینګ په واسطه. د زون کولو سره OSPF کارول شوی و. مګر دا د ازموینې بنچ دی، په جنګي شرایطو کې دا ډول شیان د تنظیم کولو لپاره خورا زړه پورې دي.

زه امید لرم چې هیڅوک خپه نه وي چې ما د روټرونو تنظیمات پوسټ نه کړي. زه فکر کوم چې لینکونه به کافي وي، او بیا دا ټول په اړتیاو پورې اړه لري. او البته ازموینې ، نورو ازموینو ته اړتیا ده.

زه هیله لرم چې هرڅوک په نوي کال کې خپلې پروژې درک کړي. اجازه راکړئ لاسرسی ستاسو سره وي !!!

سرچینه: www.habr.com