ProHoster > Блог > Maamulka > Mashruucayga aan la xaqiijin. Shabakadda 200 ee MikroTik router

Mashruucayga aan la xaqiijin. Shabakadda 200 ee MikroTik router

Mashruucayga aan la xaqiijin. Shabakadda 200 ee MikroTik router

Salaan dhammaantiin. Maqaalkan waxaa loogu talagalay kuwa leh shabakad weyn oo Mikrotik ah oo doonaya inay gaaraan midnimo ugu sarreysa iyagoon u baahnayn inay si gaar ah ugu xirmaan qalab kasta. Maqaalkan, waxaan ku sharxi doonaa mashruuc, nasiib darro, aan waligiis gaarin wax soo saar sababtoo ah qaladka aadanaha. Marka la soo koobo: in ka badan 200 oo router, dejin degdeg ah iyo tababar shaqaale, mideynta gobol ahaan, shabaqeynta shabakada iyo martida, awoodda si fudud loogu daro xeerarka dhammaan aaladaha, diiwaangelinta, iyo xakamaynta gelitaanka.

Waxa hoos lagu sharraxay looma jeedin inay noqoto daraasad kiis oo dhammaystiran, laakiin waxaan rajeynayaa inay faa'iido leedahay marka aad qorsheyneyso shabakadahaaga oo aad yareyneyso khaladaadka. Malaha qodobbada iyo xalalka qaarkood uma muuqdaan kuwo gebi ahaanba sax ah - haddii ay sidaas tahay, fadlan ii sheeg faallooyinka. Dhaleeceyntu, kiiskan, waxay noqon doontaa waayo-aragnimo waxbarasho oo la wadaago. Sidaa darteed, akhriste, fadlan hubi faallooyinka; malaha qoraagu wuxuu sameeyay qalad weyn - bulshadu way ku farxi doontaa inay caawiso.

Waxaa jira 200-300 oo router oo ku kala firirsan magaalooyin kala duwan oo leh tayo isku xiran oo kala duwan. Waa muhiim in wax walba ay u ekaadaan kuwo wanaagsan oo si cad loogu sharaxo sida ay u shaqeyn doonto maamulayaasha deegaanka.

Haddaba, xaggee mashruuc ka bilaabmaa? Dabcan, iyada oo la adeegsanayo TK.

  1. Abaabulka qorshaha shabakadda ee dhammaan laamaha iyadoo loo eegayo shuruudaha macaamiisha, kala qaybinta shabakadda (laga bilaabo 3 ilaa 20 shabakadood oo ku yaal laamaha iyadoo ku xiran tirada aaladaha).
  2. Dejinta qalabka ee laan kasta. Tijaabinta xawaaraha dhabta ah ee wax soo saarka bixiyaha iyadoo la raacayo xaalado kala duwan oo hawlgal ah.
  3. Abaabulka ilaalinta qalabka, maaraynta liiska cad, ogaanshaha otomaatiga ah ee weerarrada iyadoo si otomaatig ah loo gelinayo liiska madow muddo cayiman, yareynta isticmaalka habab farsamo oo kala duwan oo loo isticmaalo in lagu joojiyo gelitaanka xakamaynta iyo diidmada adeegga.
  4. Bixinta xiriiro ammaan ah oo VPN ah oo leh shaandhaynta shabakadda iyadoo loo eegayo shuruudaha macaamiisha. Ugu yaraan saddex xiriir oo VPN ah oo ka socda laan kasta ilaa xafiiska dhexe.
  5. Iyada oo ku saleysan qodobbada 1 iyo 2, dooro waddooyinka ugu habboon ee lagu dhisi karo VPN-yada u dulqaadan kara cilladaha. Qandaraasluhu wuxuu dooran karaa tignoolajiyada marin-haweedka firfircoon iyadoo la raacayo cudurdaar habboon.
  6. Mudnaanta taraafikada iyadoo lagu saleynayo hab-maamuuska, dekedaha, martigeliyeyaasha, iyo adeegyada kale ee gaarka ah ee uu isticmaalo macaamiishu (VOIP, martigeliyeyaasha leh adeegyada muhiimka ah)
  7. Abaabulka la socodka iyo diiwaangelinta dhacdooyinka router-ka si shaqaalaha taageerada farsamada ay uga jawaabaan.

Sida aan fahansannahay, xaaladaha qaarkood, qeexitaannada waxay ku salaysan yihiin shuruudaha. Waxaan anigu sameeyay shuruudahan ka dib markii aan dhageystay arrimaha ugu muhiimsan. Waxaan u oggolaaday suurtagalnimada in qof kale uu qaato hirgelinta qodobbadan.

Qalabka loo isticmaali doono si loo buuxiyo shuruudahan:

  1. Xirmooyinka ELK (ka dib waqti ka dib, waxay caddaatay in si fiican loo isticmaali doono halkii laga isticmaali lahaa kaydka looxa).
  2. Waa macquul. Si loo fududeeyo maamulka iyo xakamaynta gelitaanka, waxaan isticmaali doonnaa AWX.
  3. GITLAB. Looma baahna in tan la sharaxo. Ma aanan sameyn karin iyada oo aan lahayn xakamaynta nooca ee habaynteena.
  4. PowerShell. Waxaa jiri doona qoraal fudud oo loogu talagalay soo saarista qaabeynta bilowga ah.
  5. Wiki loogu talagalay qorista dukumentiyada iyo hagayaasha. Xaaladdan, waxaan isticmaaleynaa habr.com.
  6. La socodka waxaa lagu sameyn doonaa Zabbix. Jaantuska isku xirka ayaa sidoo kale la bixin doonaa si loo fahmo guud ahaan.

Meelaha hagaajinta EFK

Qodobka koowaad marka laga hadlayo, waxaan sharxi doonaa oo keliya fikradda lagu dhisi doono tusmooyinka. Waxaa jira kuwo badan oo jira.
Maqaallo aad u fiican oo ku saabsan dejinta iyo helitaanka diiwaannada aaladaha Mikrotik.

Aan ku dheeraado dhawr qodob:

1. Sida ku cad jaantuska, waxaa habboon in la tixgeliyo helitaanka diiwaannada laga helo meelo kala duwan iyo dekedo kala duwan. Tan awgeed, waxaan isticmaali doonnaa isku-darka diiwaanka. Waxaan sidoo kale rabnaa inaan u abuurno garaafyo caalami ah dhammaan router-yada oo leh awood ay ku kala saaraan marin u helidda. Kadib waxaan u dhisi doonnaa tusmooyinka sidan soo socota:

Waa kan qayb ka mid ah habaynta si fiican loo habeeyay. nooca raadinta elasticsearch
logstash_format run
magaca_mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
martigeliyeyaasha laascaanood: 9200
dekadda 9200

Sidan, waxaan isku dari karnaa router-yada oo aan u kala qaybin karnaa sida qorshaha yahay: mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Maxaa waxyaabaha aad u dhib badan u keenaya? Waxaan fahamsanahay inaan yeelan doono 200 oo qalab ama ka badan. Waa wax aan macquul aheyn in wax walba lala socdo. Iyada oo la adeegsanayo nooca ElasticSearch 6.8, waxaan heli karnaa dejimaha amniga (iyada oo aan la iibsan shati), taasoo noo oggolaanaysa inaan u qaybino xuquuqda daawashada shaqaalaha taageerada farsamada ama maamulayaasha nidaamka maxalliga ah.
Jadwallada, garaafyada - halkan waxaad u baahan tahay inaad ku heshiiso - midkood isticmaal kuwa isku midka ah, ama qof walba wuxuu u sameeyaa sida ugu habboon.

2. Marka laga hadlayo diiwaangelinta. Haddii aan awood u yeelanno diiwaangelinta xeerarka dab-damiska, waxaan sameynaa magacyada iyada oo aan lahayn meel bannaan. Waxaad arki kartaa in annagoo adeegsanayna habayn fudud oo si fiican loo habeeyey, aan shaandheyn karno xogta oo aan abuuri karno dashboards ku habboon. Sawirka hoose wuxuu muujinayaa router-kayga guriga.

Mashruucayga aan la xaqiijin. Shabakadda 200 ee MikroTik router

3. Meel bannaan iyo diiwaanno. Celcelis ahaan, 1000 oo farriimood saacaddii, diiwaannada waxay qaataan 2-3 MB maalintii, taas oo, waad ku raacsan tahay, aysan aad u badnayn. Elasticsearch version 7.5.

ANSIBLE.AWX

Nasiib wanaag, waxaan haynaa module diyaarsan oo loogu talagalay routeros
Waxaan soo sheegay AWX, laakiin amarrada hoose waxay khuseeyaan oo keliya Ansible saafi ah. Waxaan u maleynayaa in kuwa la shaqeeyay Ansible aysan dhibaato kala kulmi doonin isticmaalka AWX iyada oo loo marayo GUI.

Daacad ahaan, waxaan hore u eegay hagayaal kale oo isticmaalaya SSH, dhammaantoodna waxay lahaayeen arrimo kala duwan oo ku saabsan waqtiga jawaab celinta iyo dhibaatooyin kale oo badan. Mar labaad, ma aysan dhicin 🙂 U tixgeli macluumaadkan sidii tijaabo aan dhaafsiisnayn dejinta 20-router.

Waxaan u baahanahay inaan isticmaalno shahaado ama akoon. Adiga ayay kugu xiran tahay, laakiin aniga ayaa taageersan shahaadooyinka. Waxaa jira arrin qarsoon oo ku saabsan oggolaanshaha. Waxaan bixinayaa oggolaanshaha qorista—xitaa "dejinta habaynta" ma shaqeyn doonto.

Waa in aanay jirin wax dhibaato ah oo la xiriira abuurista, koobiyaynta, iyo soo dejinta shahaadada:

Liis kooban oo amarro ahKombuyuutarkaaga
ssh-keygen -t RSA, ka jawaab su'aalaha, keydi furaha.
Nuqul u dir mikrotik:
isticmaalaha ssh-keys soo dejiso public-key-file=id_mtx.pub user=ansible
Marka hore, waxaad u baahan tahay inaad sameysato akoon oo aad u qoondeyso xuquuqdeeda.
Hubinta xiriirka iyadoo la adeegsanayo shahaadada
ssh -p 49475 -i /furayaasha/mtx ansible@192.168.0.120

Waxaan qornaa vi /etc/ansible/hosts
MT01 shabakad_aan_sible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 shabakad_aan_sible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 shabakad_aan_sible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 shabakad_aan_sible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

Hagaag, waa kan tusaale buug-ciyaareed: — magac: goobaha_shaqada_add
martigeliyayaasha: testmt
Taxane: 1
isku xirka: network_cli
isticmaale_remote: mikrotik.west
ururi_xaqiiqooyinka: haa
hawlaha:
— magac: ku dar goobaha Shaqada
amarka_routeros:
amarro:
— /ip firewall address-list ku dar cinwaanka=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— /ip firewall address-list ku dar cinwaanka=habr.com list=work_sites comment=for_habr

Sida aad ka arki karto habaynta kore, sameynta buug-ciyaareedkaaga ma aha mid adag. Faham wanaagsan oo ku saabsan Mikrotik cli ayaa ku filan. Aan qiyaasno xaalad aan u baahannahay inaan ka saarno liiska cinwaanada oo leh xog gaar ah dhammaan router-yada. Kadib:

Raadi oo tirtir/ip ip-ka cinwaanka-liiska ka saar [find where list="gov.ru"]

Si ula kac ah uma aanan soo darin liiska dab-damiska oo dhan halkan, maadaama uu gaar u noqon doono mashruuc kasta. Laakiin hal shay ayaa hubaal ah: isticmaal liiska cinwaanada oo keliya.

Wax walba way cad yihiin GITLAB. Kuma sii hadli doono arrintan. Wax walba si qurux badan ayaa loogu habeeyay hawlo gaar ah, qaabab, iyo hawl-wadeenno.

Powershell

Saddex fayl ayaa halkan ku jiri doona. Maxaad PowerShell u isticmaali kartaa? Waxaad dooran kartaa qalab kasta oo aad ku abuuri karto habayn, wax kasta oo kugu habboon. Xaaladdan, qof walba wuxuu ku shaqeynayaa Windows kombiyuutarkiisa, markaa maxaad u isticmaali kartaa Bash marka PowerShell uu ku habboon yahay? Waa arrin aad doorbideyso.

Qoraalka laftiisa (fudud oo cad):[cmdletBinding()] Param(
[Xaddiga(Waajib ah=$run)] [xariiq]$DHARKA DIBADDA AH,
[Xaddiga(Waajib ah=$run)] [xariiq]$KA EXTERNALIPROUTE,
[Xaddiga(Waajib ah=$run)] [string]$BWorknets,
[Xaddiga(Waajib ah=$run)] [string]$CWorknets,
[Xaddiga(Waajib ah=$run)] [xariiq]$BVoipNets,
[Xaddiga(Waajib ah=$run)] [xariiq]$CVoipNets,
[Baaxadda(Waajib ah=$run)] [string]$CClientss,
[Xaddiga(Waajib ah=$run)] [xariiq]$BVPNWORKs,
[Xaddiga(Waajib ah=$run)] [string]$CVPNWORKs,
[Xisaab(Waajib ah=$run)] [string]$BVPNCLIENTSs,
[Xisaab(Waajib ah=$run)] [string]$cVPNCLIENTSs,
[Xaddiga(Waajib ah=$run)] [string]$NAMEROUTER,
[Xisaab(Waajib ah=$run)] [string]$ServerCertificates,
[Baaxadda(Waajib ah=$run)] [string]$file,
[Baaxadda(Waajib ah=$run)] [string]$outfile
)

Hel-Macluumaadka $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | Set-Content $outfile

Fadlan i cafi, ma dejin karo dhammaan xeerarka, maadaama aysan aad u fiicnayn. Waxaad abuuri kartaa xeerarkaaga, adigoo raacaya dhaqamada ugu wanaagsan.

Tusaale ahaan, halkan waxaa ah liis xiriiriyeyaal ah oo aan raacay:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Shaandheeye
wiki.mikrotik.com/wiki/Manual:OSPF-tusaalooyin
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:Winbox
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack — waa muhiim in la ogaado in marka xawaaraha degdega ah la hawlgeliyo, mudnaanta taraafikada iyo qawaaniinta qaabaynta aysan shaqayn doonin—oo waxtar u leh aaladaha daciifka ah.

Tilmaamaha caadiga ah ee doorsoomayaasha:Shabakadaha soo socda waxaa loo soo qaatay tusaale ahaan:
Shabakadda shaqada ee 192.168.0.0/24
172.22.4.0/24 Shabakadda VOIP
Shabakad 10.0.0.0/24 ah oo loogu talagalay macaamiisha aan helin shabakadda maxalliga ah
192.168.255.0/24 Shabakadda VPN ee laamaha waaweyn
172.19.255.0/24 Shabakadda VPN ee ganacsiyada yaryar

Cinwaanka shabakadu wuxuu ka kooban yahay 4 lambar oo jajab tobanle ah, siday u kala horreeyaan ABCD, beddelku wuxuu ku shaqeeyaa isla mabda'a, haddii bilowga uu ku weydiiyo B, markaa waxaad u baahan tahay inaad geliso lambarka 0 ee shabakadda 192.168.0.0/24, iyo C = 0.
$EXTERNALIPADDRESS — cinwaan gaar ah oo ka socda bixiyaha.
$EXTERNALIPROUTE — wadada caadiga ah ee shabakadda 0.0.0.0/0
$BWorknets — Shabakadda shaqada, tusaale ahaan waxay noqon doontaa 168
$CWorknets — Shabakadda shaqada, tusaale ahaan waxay noqon doontaa 0
$BVoipNets — shabakadda VOIP ee tusaalahayagu waa 22
$CVoipNets — Shabakadda VOIP ee tusaalahayaga halkan 4
$CClientss — Shabakad loogu talagalay macaamiisha – Helitaanka internetka oo keliya, kiiskeenna waa 0
$BVPNWORKS — Shabakadda VPN ee laamaha waaweyn, tusaalahayaga 20
$CVPNWORKS — Shabakadda VPN ee laamaha waaweyn, tusaale ahaan 255
$BVPNCLIENTS — Shabakadda VPN ee laamaha yaryar, taasoo la micno ah 19
$CVPNCLIENTS — Shabakadda VPN ee laamaha yaryar, taasoo la micno ah 255
$NAMEROUTER — magaca router-ka
$ServerCertificate - magaca shahaadada aad marka hore soo dejinayso
$infile — qeex waddada loo maro faylka aan ka akhrin doono habaynta, tusaale ahaan D:config.txt (waxaa fiican in la isticmaalo waddo Ingiriis ah oo aan lahayn xigashooyin iyo meelo bannaan)
$outfile — qeex waddada aad ku keydinayso, tusaale ahaan D:MT-test.txt

Waxaan si ula kac ah u beddelay cinwaanada tusaalooyinka sababo cad awgood.

Waan seegay qodobka ku saabsan ogaanshaha weerarrada iyo dhaqanka aan caadiga ahayn—taas oo u qalanta maqaal gaar ah. Si kastaba ha ahaatee, waxaa xusid mudan in qaybtani ay isticmaali karto xogta la socodka ee Zabbix iyo xogta curl ee la farsameeyay ee laga helo elasticsearch.

Qodobbada aad diiradda saari karto:

  1. Qorshaha Shabakadda. Waxaa ugu wanaagsan in isla markiiba la sameeyo qaab la akhrin karo. Excel ayaa ku filan. Nasiib darro, waxaan inta badan arkaa shabakado la abuuray iyadoo lagu saleynayo mabda'a "Laan cusub ayaa la furay, waa kan /24." Qofna ma ogaan karo inta qalab ee laga filayo goob la bixiyay iyo haddii ay jirto koror mustaqbalka ah. Tusaale ahaan, haddii dukaan yar la furo, waxaa iska cad bilowgii inuu yeelan doono wax ka badan 10 qalab. Maxaa loo qoondeeyaa /24? Laamaha waaweyn, waa liddi: waxay qoondeeyaan /24, laakiin waxay ku dhammaadaan 500 oo qalab. Waxaad si fudud ugu dari kartaa shabakad, laakiin waxaad rabtaa inaad wax walba ka fikirto bilowga.
  2. Xeerarka shaandhaynta. Haddii mashruucu ku lug leeyahay kala soocidda shabakadda iyo kala qaybinta ugu badan, hababka ugu wanaagsan way isbeddelaan waqti ka dib. Horey, shabakadaha PC-ga iyo shabakadaha daabacayaasha way kala go'naayeen, laakiin hadda waa wax la aqbali karo in shabakadahan la kala saaro. Waa muhiim in la isticmaalo caqli-galnimo iyo in laga fogaado abuurista shabakado badan oo aan loo baahnayn oo laga fogaado isku-darka dhammaan aaladaha hal shabakad.
  3. Dejinta "Dahab" ee dhammaan router-yada. Taasi waa, haddii aad go'aansatay qorshe. Waa mudan tahay in hore loo qorsheeyo oo la isku dayo in la hubiyo in dhammaan dejimaha ay isku mid yihiin - liisaska cinwaanada iyo cinwaanada IP-ga oo kala duwan. Haddii dhibaatooyin soo baxaan, xallinta dhibaatooyinka ayaa dhakhso badan doonta.
  4. Dhinacyada ururku ma aha kuwo ka muhiimsan kuwa farsamada. Shaqaalaha caajiska ah badanaa waxay ku dhaqmaan talooyinkan gacanta, iyagoon isticmaalin habayn iyo qoraallo diyaarsan, taasoo ugu dambeyntii keenta dhibaatooyin aan meelna ka iman.

Marka laga hadlayo habka loo yaqaan "dynamic routing", OSPF oo leh qaybin zonal ah ayaa la isticmaalay. Laakiin tani waxay ahayd tijaabo; habaynta waxyaabaha noocaas ah ee wax soo saarka ayaa aad u xiiso badan.

Waxaan rajeynayaa in cidna aysan ka xumaanin inaan soo dhejin habaynta router-ka. Waxaan u maleynayaa in xiriiriyeyaasha ay ku filan yihiin, ka dibna wax walba waxay ku xiran yihiin shuruudaha. Dabcan, tijaabinta ayaa loo baahan yahay—tijaabooyin dheeraad ah ayaa loo baahan yahay.

Waxaan u rajeynayaa qof walba inuu ku guuleysto hirgelinta mashaariicdiisa sanadka cusub. Fursad ha la idin siiyo!!!

Source: www.habr.com

Add a comment