Мој недовршени пројекат. Мрежа од 200 МикроТик рутера

Здраво свима. Овај чланак је намењен онима који имају доста Микротик уређаја у парку, а који желе да направе максимално уједињење како се не би повезивали на сваки уређај посебно. У овом чланку ћу описати пројекат који због људског фактора, нажалост, није достигао борбене услове. Укратко: више од 200 рутера, брзо подешавање и обука особља, обједињавање по регионима, филтрирање мрежа и специфичних хостова, могућност лаког додавања правила свим уређајима, евидентирање и контрола приступа.

Оно што је описано у наставку не претендује да буде готов случај, али се надам да ће вам бити од користи када планирате своје мреже и минимизирате грешке. Можда вам се неке тачке и одлуке неће чинити сасвим исправним - ако јесте, напишите у коментарима. Критика ће у овом случају бити искуство у обичној касици прасици. Стога, читаоче, погледајте у коментарима, можда је аутор направио велику грешку - заједница ће помоћи.

Број рутера је 200-300, разбацаних у различитим градовима са различитим квалитетом интернет везе. Потребно је да све буде лепо и да се локалним админима на приступачан начин објасни како ће све функционисати.

Дакле, где почиње сваки пројекат? Наравно, са ТК.

1. Организација мрежног плана за све експозитуре према захтевима купаца, сегментација мреже (од 3 до 20 мрежа у експозитурама, у зависности од броја уређаја).
2. Подесите уређаје у свакој грани. Провера стварног пропусног опсега провајдера у различитим условима рада.
3. Организација заштите уређаја, контрола беле листе, ауто-детекција напада са аутоматским стављањем на црну листу на одређени временски период, минимизација употребе различитих техничких средстава која се користе за пресретање контроле приступа и ускраћивање услуге.
4. Организација безбедних впн веза са филтрирањем мреже према захтевима корисника. Најмање 3 впн везе од сваке гране до центра.
5. На основу тачака 1, 2. Изаберите најбоље начине за изградњу впн-а отпорног на грешке. Технологију динамичког рутирања, са тачним образложењем, може изабрати извођач.
6. Организација приоритета саобраћаја по протоколима, портовима, хостовима и другим специфичним услугама које корисник користи. (ВОИП, домаћини са важним услугама)
7. Организација праћења и евидентирања догађаја рутера за одговор особља техничке подршке.

Као што разумемо, у неким случајевима, ТОР се саставља из захтева. Ове захтеве сам формулисао сам, након што сам саслушао главне проблеме. Он је признао могућност да би неко други могао да преузме имплементацију ових тачака.

Који алати ће се користити за испуњавање ових захтева:

1. ЕЛК стек (након неког времена, схватило се да ће се флуентд користити уместо логстасх-а).
2. Ансибле. Ради лакше администрације и дељења приступа, користићемо АВКС.
3. ГИТЛАБ. Овде нема потребе објашњавати. Где без контроле верзија наших конфигурација.
4. ПоверСхелл. Постојаће једноставна скрипта за почетно генерисање конфигурације.
5. Доку вики, за писање документације и приручника. У овом случају користимо хабр.цом.
6. Мониторинг ће се вршити преко заббик-а. Такође ће постојати дијаграм повезивања за опште разумевање.

ЕФК тачке подешавања

У првој тачки описаћу само идеологију на којој ће се индекси градити. Има их много
одлични чланци о подешавању и пријему логова са уређаја који користе микротик.

Задржаћу се на неким тачкама:

1. Према шеми, вреди размислити о пријему трупаца са различитих места и на различитим лукама. Да бисмо то урадили, користићемо агрегатор дневника. Такође желимо да направимо универзалну графику за све рутере са могућношћу дељења приступа. Затим градимо индексе на следећи начин:

овде је део конфигурације са флуентд-ом еластицсеарцх
логстасх_формат труе
индек_наме микротилогс.нортх
логстасх_префик микротиклогс.нортх
флусх_интервал 10с
Домаћини еластична претрага: КСНУМКС
Порт КСНУМКС

Тако можемо комбиновати рутере и сегментирати према плану - микротиклогс.вест, микротиклогс.соутх, микротиклогс.еаст. Зашто то отежавати? Разумемо да ћемо имати 200 или више уређаја. Не прати све. Од верзије 6.8 еластицсеарцх-а, доступна су нам безбедносна подешавања (без куповине лиценце), тако да можемо да дистрибуирамо права гледања између запослених у техничкој подршци или локалних администратора система.
Табеле, графикони - овде се само треба сложити - или користите исте, или свако то ради како му буде згодно.

2. логовањем. Ако омогућимо логовање у правилима заштитног зида, онда правимо имена без размака. Може се видети да коришћењем једноставне конфигурације у флуентд-у можемо филтрирати податке и направити погодне панеле. Слика испод је мој кућни рутер.

3. Према заузетом простору и балванима. У просеку, са 1000 порука на сат, логови заузимају 2-3 МБ дневно, што, видите, није толико. еластицсеарцх верзија 7.5.

АНСИБЛЕ.АВКС

На нашу срећу, имамо готов модул за рутере
Указао сам на АВКС, али наредбе испод се односе само на ансибле у његовом најчистијем облику - мислим да за оне који су радили са ансибле-ом неће бити проблема да користе авк кроз гуи.

Да будем искрен, пре тога сам погледао друге водиче где су користили ссх, и сви су имали различите проблеме са временом одзива и гомилом других проблема. Понављам, није дошло до битке , схватите ову информацију као експеримент који није прошао даље од 20 рутера.

Морамо да користимо сертификат или налог. На вама је да одлучите, ја сам за сертификате. Нека суптилна тачка о правима. Дајем права за писање - барем „ресетовање конфигурације“ неће радити.

Не би требало да буде проблема са генерисањем, копирањем сертификата и увозом:

Кратак списак командиНа вашем рачунару
ссх-кеиген -т РСА, одговори на питања, сачувај кључ.
Копирај у микротик:
усер ссх-кеис импорт публиц-кеи-филе=ид_мтк.пуб усер=ансибле
Прво морате да креирате налог и доделите права на њега.
Провера везе са сертификатом
ссх -п 49475 -и /кеис/мтк [емаил заштићен]

Напишите ви /етц/ансибле/хостс
МТ01 ансибле_нетворк_ос=роутерос ансибле_ссх_порт=49475 ансибле_ссх_усер= ансибле
МТ02 ансибле_нетворк_ос=роутерос ансибле_ссх_порт=49475 ансибле_ссх_усер= ансибле
МТ03 ансибле_нетворк_ос=роутерос ансибле_ссх_порт=49475 ансибле_ссх_усер= ансибле
МТ04 ансибле_нетворк_ос=роутерос ансибле_ссх_порт=49475 ансибле_ссх_усер= ансибле

Па, пример свеске: назив: адд_ворк_ситес
хостс:тестмт
серија: 1
цоннецтион:нетворк_цли
ремоте_усер: микротик.вест
прикупити_чињенице: да
задаци:
назив: додајте Ворк_ситес
роутерос_цомманд:
наредбе:
- /ип фиревалл адреса-лист адд аддресс=гов.ру лист=ворк_ситес цоммент=Тицкет665436_Оцхен_надо
- /ип фиревалл адреса-лист адд аддресс=хабр.цом лист=ворк_ситес цоммент=фор_хабр

Као што можете видети из горње конфигурације, састављање сопствених приручника је једноставна ствар. Довољно је добро савладати кли микротик. Замислите ситуацију у којој морате да уклоните листу адреса са одређеним подацима на свим рутерима, а затим:

Пронађите и уклоните/ип фиревал аддресс-лист ремове [пронађи где лист="гов.ру"]

Намерно нисам овде укључио цео списак заштитног зида. биће индивидуално за сваки пројекат. Али једно могу рећи са сигурношћу, користите само листу адреса.

Према ГИТЛАБ-у, све је јасно. Нећу се задржавати на овом тренутку. Све је лепо у погледу појединачних задатака, шаблона, руковалаца.

ПоверСхелл

Биће 3 фајла. Зашто поверсхелл? Алат за генерисање конфигурација може изабрати свако коме је удобније. У овом случају, сви имају Виндовс на свом рачунару, па зашто то радити на басх-у када је поверсхелл погоднији. Коме је удобније.

Сама скрипта (једноставна и разумљива):[цмдлетБиндинг()] Парам(
[Параметар(обавезно=$труе)] [стринг]$ЕКСТЕРНАЛИПАДДРЕСС,
[Параметар(обавезно=$труе)] [стринг]$ЕКСТЕРНАЛИПРОУТЕ,
[Параметар(Обавезно=$труе)] [стринг]$БВоркнетс,
[Параметар(обавезно=$труе)] [стринг]$ЦВоркнетс,
[Параметар(обавезно=$труе)] [стринг]$БВоипНетс,
[Параметар(обавезно=$труе)] [стринг]$ЦВоипНетс,
[Параметар(обавезно=$труе)] [стринг]$ЦЦлиентсс,
[Параметар(обавезно=$труе)] [стринг]$БВПНВОРКс,
[Параметар(обавезно=$труе)] [стринг]$ЦВПНВОРКс,
[Параметар(обавезно=$труе)] [стринг]$БВПНЦЛИЕНТСс,
[Параметар(обавезно=$труе)] [стринг]$цВПНЦЛИЕНТСс,
[Параметар(обавезно=$труе)] [стринг]$НАМЕРОУТЕР,
[Параметар(Мандатори=$труе)] [стринг]$СерверЦертифицатес,
[Параметар(обавезно=$труе)] [стринг]$инфиле,
[Параметар(Мандатори=$труе)] [стринг]$оутфајл
)

Гет-Цонтент $инфиле | Фореацх-Објекат {$_.Реплаце("ЕКСТЕРНИП", $ЕКСТЕРНАЛИПАДДРЕСС)} |
Фореацх-Објецт {$_.Реплаце("ЕКСТРОУТЕ", $ЕКСТЕРНАЛИПРОУТЕ)} |
Фореацх-Објецт {$_.Реплаце("БВоркнет", $БВоркнетс)} |
Фореацх-Објецт {$_.Реплаце("ЦВоркнет", $ЦВоркнетс)} |
Фореацх-Објецт {$_.Реплаце("БВоипНет", $БВоипНетс)} |
Фореацх-Објецт {$_.Реплаце("ЦВоипНет", $ЦВоипНетс)} |
Фореацх-Објецт {$_.Реплаце("ЦЦлиентс", $ЦЦлиентсс)} |
Фореацх-Објецт {$_.Реплаце("БВПНВОРК", $БВПНВОРКс)} |
Фореацх-Објецт {$_.Реплаце("ЦВПНВОРК", $ЦВПНВОРКс)} |
Фореацх-Објецт {$_.Реплаце("БВПНЦЛИЕНТС", $БВПНЦЛИЕНТСс)} |
Фореацх-Објецт {$_.Реплаце("ЦВПНЦЛИЕНТС", $цВПНЦЛИЕНТСс)} |
Фореацх-Објецт {$_.Реплаце("МИНАМЕРРОУТЕР", $НАМЕРОУТЕР)} |
Фореацх-Објецт {$_.Реплаце("СерверЦертифицате", $СерверЦертифицатес)} | Сет-Цонтент $оутфиле

Опростите, не могу изложити сва правила. неће бити лепо. Можете сами да саставите правила, вођени најбољом праксом.

На пример, ево листе веза којима сам се водио:вики.микротик.цом/вики/Мануал:Сецуринг_Иоур_Роутер
вики.микротик.цом/вики/Мануал:ИП/Фиревалл/Филтер
вики.микротик.цом/вики/Мануал:ОСПФ-примери
вики.микротик.цом/вики/Дроп_порт_сцаннерс
вики.микротик.цом/вики/Мануал:Винбок
вики.микротик.цом/вики/Мануал:Упградинг_РоутерОС
вики.микротик.цом/вики/Мануал:ИП/Фасттрацк – овде треба да знате да када је фасттрацк омогућен, правила о приоритетима саобраћаја и обликовању неће радити – корисно за слабе уређаје.

Променљиве конвенције:Следеће мреже су узете као пример:
192.168.0.0/24 радна мрежа
172.22.4.0/24 ВОИП мрежа
10.0.0.0/24 мрежа за клијенте без ЛАН приступа
192.168.255.0/24 ВПН мрежа за велике филијале
172.19.255.0/24 ВПН мрежа за мале

Мрежна адреса се састоји од 4 децимална броја, односно АБЦД, замена ради по истом принципу, ако пита Б при покретању, онда треба да унесете број 192.168.0.0 за мрежу 24/0, а за Ц = 0 .
$ЕКСТЕРНАЛИПАДДРЕСС - додељена адреса од провајдера.
$ЕКСТЕРНАЛИПРОУТЕ - подразумевана рута до мреже 0.0.0.0/0
$БВоркнетс - Радна мрежа, у нашем примеру ће бити 168
$ЦВоркнетс - Радна мрежа, у нашем примеру ће бити 0
$БВоипНетс - ВОИП мрежа у нашем примеру овде 22
$ЦВоипНетс - ВОИП мрежа у нашем примеру овде 4
$ЦЦлиентсс - Мрежа за клијенте - приступ само Интернету, у нашем случају овде 0
$БВПНВОРКс - ВПН мрежа за велике филијале, у нашем примеру 20
$ЦВПНВОРКс - ВПН мрежа за велике филијале, у нашем примеру 255
$БВПНЦЛИЕНТС - ВПН мрежа за мале филијале, значи 19
$ЦВПНЦЛИЕНТС - ВПН мрежа за мале филијале, значи 255
$НАМЕРОУТЕР - име рутера
$СерверЦертифицате - назив сертификата који први увозите
$инфиле - Наведите путању до датотеке из које ћемо читати конфигурацију, на пример Д:цонфиг.ткт (боља енглеска путања без наводника и размака)
$оутфиле - наведите путању где желите да сачувате, на пример Д:МТ-тест.ткт

Намерно сам променио адресе у примерима из очигледних разлога.

Промашио сам поенту у откривању напада и аномалног понашања - ово заслужује посебан чланак. Али вреди истаћи да у овој категорији можете користити вредности података за праћење ​​из Заббик-а + разрађене податке о цурл из еластицсеарцх-а.

На које тачке треба да се фокусирате:

1. Мрежни план. Боље је написати у читљивом облику. Екцел је довољан. Нажалост, често видим да су мреже састављене по принципу „Појавила се нова грана, ево вам /24“. Нико не сазнаје колико се уређаја очекује на датој локацији и да ли ће бити даљег раста. На пример, отворена је мала продавница, у којој је у почетку јасно да уређај неће бити више од 10, зашто издвајати / 24? За велике филијале, напротив, додељују / 24, а постоји 500 уређаја - можете само додати мрежу, али желите да све размислите одмах.
2. Правила филтрирања. Ако пројекат претпоставља да ће доћи до раздвајања мрежа и максималне сегментације. Најбоље праксе се временом мењају. Раније су делили рачунарску мрежу и мрежу штампача, сада је сасвим нормално да не деле ове мреже. Вреди користити здрав разум и не производити много подмрежа тамо где нису потребне и не комбиновати све уређаје у једну мрежу.
3. „Златна“ подешавања на свим рутерима. Оне. ако имате план. Вреди предвидети све одједном и покушати да се уверите да су сва подешавања идентична - постоје само различите листе адреса и ИП адресе. У случају проблема, време за отклањање грешака биће мање.
4. Организациони аспекти нису ништа мање важни од техничких. Често, лењи запослени следе ове препоруке „ручно“, без употребе готових конфигурација и скрипти, што на крају доводи до проблема од нуле.

Динамичким рутирањем. Коришћен је ОСПФ са зонирањем. Али ово је испитна клупа, у борбеним условима такве ствари је занимљивије поставити.

Надам се да нико није био узнемирен што нисам објавио конфигурацију рутера. Мислим да ће линкови бити довољни, а онда све зависи од захтева. И наравно тестови, потребно је још тестова.

Желим свима да реализују своје пројекте у новој години. Нека приступ буде са вама!!!

Извор: ввв.хабр.цом