என் முடிக்கப்படாத திட்டம். 200 MikroTik ரவுட்டர்களின் நெட்வொர்க்

அனைவருக்கும் வணக்கம். இந்த கட்டுரை பூங்காவில் மிக்ரோடிக் சாதனங்களை அதிகம் வைத்திருப்பவர்களுக்காகவும், ஒவ்வொரு சாதனத்துடனும் தனித்தனியாக இணைக்கப்படாமல் இருக்க அதிகபட்ச ஒருங்கிணைப்பை உருவாக்க விரும்புபவர்களுக்காக வடிவமைக்கப்பட்டுள்ளது. இந்த கட்டுரையில், துரதிர்ஷ்டவசமாக, மனித காரணிகளால் போர் நிலைமைகளை எட்டாத ஒரு திட்டத்தை நான் விவரிக்கிறேன். சுருக்கமாக: 200 க்கும் மேற்பட்ட திசைவிகள், விரைவான அமைவு மற்றும் பணியாளர் பயிற்சி, பிராந்தியத்தின் மூலம் ஒருங்கிணைத்தல், நெட்வொர்க்குகள் மற்றும் குறிப்பிட்ட ஹோஸ்ட்களை வடிகட்டுதல், அனைத்து சாதனங்களுக்கும் விதிகளை எளிதாக சேர்க்கும் திறன், பதிவு செய்தல் மற்றும் அணுகல் கட்டுப்பாடு.

கீழே விவரிக்கப்பட்டுள்ளவை ஒரு ஆயத்த வழக்கு போல் நடிக்கவில்லை, ஆனால் உங்கள் நெட்வொர்க்குகளைத் திட்டமிடும்போது மற்றும் பிழைகளைக் குறைக்கும்போது இது உங்களுக்கு பயனுள்ளதாக இருக்கும் என்று நம்புகிறேன். ஒருவேளை சில புள்ளிகள் மற்றும் முடிவுகள் உங்களுக்கு சரியாகத் தெரியவில்லை - அப்படியானால், கருத்துகளில் எழுதுங்கள். இந்த வழக்கில் விமர்சனம் ஒரு பொதுவான உண்டியலில் ஒரு அனுபவமாக இருக்கும். எனவே, வாசகரே, கருத்துகளைப் பாருங்கள், ஒருவேளை ஆசிரியர் ஒரு பெரிய தவறு செய்திருக்கலாம் - சமூகம் உதவும்.

ரவுட்டர்களின் எண்ணிக்கை 200-300 ஆகும், வெவ்வேறு தரமான இணைய இணைப்புடன் வெவ்வேறு நகரங்களில் சிதறிக்கிடக்கிறது. எல்லாவற்றையும் அழகாக்குவது மற்றும் உள்ளூர் நிர்வாகிகளுக்கு அணுகக்கூடிய வகையில் அனைத்தும் எவ்வாறு செயல்படும் என்பதை விளக்குவது அவசியம்.

எனவே ஒவ்வொரு திட்டமும் எங்கிருந்து தொடங்குகிறது? நிச்சயமாக, உடன் டி.கே.

1. வாடிக்கையாளர் தேவைகளுக்கு ஏற்ப அனைத்து கிளைகளுக்கும் நெட்வொர்க் திட்டத்தின் அமைப்பு, நெட்வொர்க் பிரிவு (கிளைகளில் 3 முதல் 20 நெட்வொர்க்குகள், சாதனங்களின் எண்ணிக்கையைப் பொறுத்து).
2. ஒவ்வொரு கிளையிலும் சாதனங்களை அமைக்கவும். வெவ்வேறு வேலை நிலைமைகளில் வழங்குநரின் உண்மையான அலைவரிசையைச் சரிபார்க்கிறது.
3. சாதனப் பாதுகாப்பின் அமைப்பு, அனுமதிப்பட்டியல் கட்டுப்பாடு, ஒரு குறிப்பிட்ட காலத்திற்கு தானாக தடுப்புப்பட்டியலுடன் தாக்குதல்களைத் தானாகக் கண்டறிதல், கட்டுப்பாட்டு அணுகல் மற்றும் சேவை மறுப்பை இடைமறிக்கப் பயன்படுத்தப்படும் பல்வேறு தொழில்நுட்ப வழிமுறைகளின் பயன்பாட்டைக் குறைத்தல்.
4. வாடிக்கையாளர் தேவைகளுக்கு ஏற்ப நெட்வொர்க் வடிகட்டலுடன் பாதுகாப்பான vpn இணைப்புகளை ஒழுங்கமைத்தல். ஒவ்வொரு கிளையிலிருந்தும் மையத்திற்கு குறைந்தது 3 vpn இணைப்புகள்.
5. புள்ளிகள் 1, 2 அடிப்படையில். தவறு-சகிப்புத்தன்மை கொண்ட vpn உருவாக்க சிறந்த வழிகளைத் தேர்வு செய்யவும். டைனமிக் ரூட்டிங் தொழில்நுட்பம், சரியான நியாயத்துடன், ஒப்பந்தக்காரரால் தேர்ந்தெடுக்கப்படலாம்.
6. நெறிமுறைகள், போர்ட்கள், ஹோஸ்ட்கள் மற்றும் வாடிக்கையாளர் பயன்படுத்தும் பிற குறிப்பிட்ட சேவைகள் மூலம் போக்குவரத்து முன்னுரிமையை ஒழுங்கமைத்தல். (VOIP, முக்கியமான சேவைகளைக் கொண்ட ஹோஸ்ட்கள்)
7. தொழில்நுட்ப ஆதரவு ஊழியர்களின் பதிலுக்காக திசைவி நிகழ்வுகளை கண்காணித்தல் மற்றும் பதிவு செய்தல் அமைப்பு.

நாம் புரிந்து கொண்டபடி, சில சந்தர்ப்பங்களில், TOR தேவைகளிலிருந்து தொகுக்கப்படுகிறது. முக்கிய பிரச்சனைகளைக் கேட்ட பிறகு, இந்த தேவைகளை நான் சொந்தமாக வகுத்தேன். இந்த புள்ளிகளை வேறு யாராவது செயல்படுத்துவதற்கான சாத்தியத்தை அவர் ஒப்புக்கொண்டார்.

இந்த தேவைகளை பூர்த்தி செய்ய என்ன கருவிகள் பயன்படுத்தப்படும்:

1. ELK ஸ்டாக் (சிறிது நேரத்திற்குப் பிறகு, logstashக்குப் பதிலாக fluentd பயன்படுத்தப்படும் என்று புரிந்து கொள்ளப்பட்டது).
2. அன்சிபிள். நிர்வாகத்தின் எளிமை மற்றும் அணுகலைப் பகிர்வதற்கு, நாங்கள் AWX ஐப் பயன்படுத்துவோம்.
3. GITLAB. இங்கு விளக்க வேண்டிய அவசியமில்லை. எங்கள் கட்டமைப்புகளின் பதிப்பு கட்டுப்பாடு இல்லாமல்.
4. பவர்ஷெல். கட்டமைப்பின் ஆரம்ப தலைமுறைக்கு ஒரு எளிய ஸ்கிரிப்ட் இருக்கும்.
5. Doku wiki, ஆவணங்கள் மற்றும் கையேடுகளை எழுதுவதற்கு. இந்த வழக்கில், நாங்கள் habr.com ஐப் பயன்படுத்துகிறோம்.
6. zabbix மூலம் கண்காணிப்பு செய்யப்படும். பொதுவான புரிதலுக்கான இணைப்பு வரைபடமும் இருக்கும்.

EFK அமைவு புள்ளிகள்

முதல் கட்டத்தில், குறியீடுகள் கட்டமைக்கப்படும் சித்தாந்தத்தை மட்டும் விவரிக்கிறேன். பல உள்ளன
mikrotik இயங்கும் சாதனங்களிலிருந்து பதிவுகளை அமைப்பது மற்றும் பெறுவது பற்றிய சிறந்த கட்டுரைகள்.

நான் சில புள்ளிகளில் வாழ்வேன்:

1. திட்டத்தின் படி, வெவ்வேறு இடங்களிலிருந்தும் வெவ்வேறு துறைமுகங்களிலிருந்தும் பதிவுகளைப் பெறுவது மதிப்புக்குரியது. இதைச் செய்ய, நாங்கள் ஒரு பதிவு திரட்டியைப் பயன்படுத்துவோம். அணுகலைப் பகிரும் திறனுடன் அனைத்து திசைவிகளுக்கும் உலகளாவிய வரைகலைகளை உருவாக்க விரும்புகிறோம். பின்னர் நாம் குறியீடுகளை பின்வருமாறு உருவாக்குகிறோம்:

சரளமாக உள்ள கட்டமைப்பின் ஒரு பகுதி இங்கே உள்ளது மீள் தேடல்
logstash_format true
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
பறிப்பு_இடைவெளி 10வி
சேனைகளின் elasticsearch: 9200
போர்ட் 9200

இவ்வாறு, நாம் திட்டத்தின் படி திசைவிகள் மற்றும் பிரிவை இணைக்க முடியும் - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. அதை ஏன் மிகவும் கடினமாக்க வேண்டும்? எங்களிடம் 200 அல்லது அதற்கு மேற்பட்ட சாதனங்கள் இருக்கும் என்பதை நாங்கள் புரிந்துகொள்கிறோம். எல்லாவற்றையும் பின்பற்ற வேண்டாம். எலாஸ்டிக் தேடலின் பதிப்பு 6.8 இல் இருந்து, பாதுகாப்பு அமைப்புகள் (உரிமம் வாங்காமல்) எங்களிடம் உள்ளன, எனவே, தொழில்நுட்ப ஆதரவு ஊழியர்கள் அல்லது உள்ளூர் அமைப்பு நிர்வாகிகளுக்கு இடையே பார்க்கும் உரிமைகளை நாங்கள் விநியோகிக்க முடியும்.
அட்டவணைகள், வரைபடங்கள் - இங்கே நீங்கள் ஒப்புக் கொள்ள வேண்டும் - ஒன்று ஒரே மாதிரியானவற்றைப் பயன்படுத்துங்கள், அல்லது எல்லோரும் அதைச் செய்கிறார்கள், அது அவருக்கு வசதியாக இருக்கும்.

2. பதிவு செய்வதன் மூலம். ஃபயர்வால் விதிகளில் உள்நுழைவை இயக்கினால், பெயர்களை இடைவெளி இல்லாமல் உருவாக்குகிறோம். சரளமாக உள்ள எளிய கட்டமைப்பைப் பயன்படுத்தி, தரவை வடிகட்டலாம் மற்றும் வசதியான பேனல்களை உருவாக்கலாம். கீழே உள்ள படம் எனது வீட்டு திசைவி.

3. ஆக்கிரமிக்கப்பட்ட இடம் மற்றும் பதிவுகள் படி. சராசரியாக, ஒரு மணி நேரத்திற்கு 1000 செய்திகளுடன், பதிவுகள் ஒரு நாளைக்கு 2-3 MB வரை எடுக்கும், நீங்கள் பார்க்கிறீர்கள், அவ்வளவு இல்லை. மீள் தேடல் பதிப்பு 7.5.

ANSIBLE.AWX

அதிர்ஷ்டவசமாக, எங்களிடம் ரூட்ரோக்களுக்கான ஆயத்த தொகுதி உள்ளது
நான் AWX பற்றி சுட்டிக் காட்டினேன், ஆனால் கீழே உள்ள கட்டளைகள் அதன் தூய வடிவில் ansible பற்றி மட்டுமே உள்ளன - ansible உடன் பணிபுரிந்தவர்களுக்கு, gui மூலம் awx ஐப் பயன்படுத்துவதில் எந்தப் பிரச்சனையும் இருக்காது என்று நினைக்கிறேன்.

உண்மையைச் சொல்வதென்றால், அதற்கு முன் அவர்கள் ssh ஐப் பயன்படுத்திய பிற வழிகாட்டிகளைப் பார்த்தேன், மேலும் அனைவருக்கும் பதிலளிக்கும் நேரம் மற்றும் பிற சிக்கல்கள் ஆகியவற்றில் வெவ்வேறு சிக்கல்கள் இருந்தன. நான் மீண்டும் சொல்கிறேன், இது போருக்கு வரவில்லை , இந்த தகவலை 20 ரவுட்டர்களின் நிலைப்பாட்டிற்கு அப்பால் செல்லாத ஒரு பரிசோதனையாக எடுத்துக் கொள்ளுங்கள்.

நாங்கள் ஒரு சான்றிதழ் அல்லது கணக்கைப் பயன்படுத்த வேண்டும். நீங்கள் முடிவு செய்ய வேண்டும், நான் சான்றிதழ்களுக்காக இருக்கிறேன். உரிமைகள் பற்றிய சில நுட்பமான புள்ளிகள். எழுதுவதற்கான உரிமைகளை நான் தருகிறேன் - குறைந்தபட்சம் "ரீசெட் config" வேலை செய்யாது.

உருவாக்குதல், சான்றிதழை நகலெடுப்பது மற்றும் இறக்குமதி செய்வதில் எந்த பிரச்சனையும் இருக்கக்கூடாது:

கட்டளைகளின் சுருக்கமான பட்டியல்உங்கள் கணினியில்
ssh-keygen -t RSA, கேள்விகளுக்கு பதிலளிக்கவும், விசையைச் சேமிக்கவும்.
மைக்ரோடிக்கில் நகலெடுக்கவும்:
பயனர் ssh-keys இறக்குமதி public-key-file=id_mtx.pub user=ansible
முதலில் நீங்கள் ஒரு கணக்கை உருவாக்கி அதற்கான உரிமைகளை ஒதுக்க வேண்டும்.
சான்றிதழுடன் இணைப்பைச் சரிபார்க்கிறது
ssh -p 49475 -i /keys/mtx [மின்னஞ்சல் பாதுகாக்கப்பட்டது]

vi /etc/ansible/hosts என எழுதவும்
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

சரி, ஒரு நாடக புத்தகத்தின் உதாரணம்: பெயர்: add_work_sites
ஹோஸ்ட்கள்: testmt
தொடர்: 1
இணைப்பு:network_cli
remote_user: mikrotik.west
சேகரிப்பு_உண்மைகள்: ஆம்
பணிகள்:
பெயர்: பணி_தளங்களைச் சேர்க்கவும்
routeros_command:
கட்டளைகள்:
- /ஐபி ஃபயர்வால் முகவரி-பட்டியலைச் சேர் முகவரி=gov.ru பட்டியல்=work_sites கருத்து=Ticket665436_Ochen_nado
- /ஐபி ஃபயர்வால் முகவரி-பட்டியலைச் சேர் முகவரி=habr.com list=work_sites comment=for_habr

மேலே உள்ள உள்ளமைவிலிருந்து நீங்கள் பார்க்க முடியும் என, உங்கள் சொந்த நாடக புத்தகங்களை தொகுப்பது ஒரு எளிய விஷயம். க்ளி மைக்ரோட்டிக்கில் தேர்ச்சி பெற்றால் போதும். எல்லா திசைவிகளிலும் குறிப்பிட்ட தரவுகளுடன் முகவரி பட்டியலை அகற்ற வேண்டிய சூழ்நிலையை கற்பனை செய்து பாருங்கள்:

கண்டுபிடித்து அகற்றவும்/ஐபி ஃபயர்வால் முகவரி-பட்டியல் அகற்று [எங்கே list="gov.ru"]

நான் வேண்டுமென்றே முழு ஃபயர்வால் பட்டியலையும் இங்கு சேர்க்கவில்லை. இது ஒவ்வொரு திட்டத்திற்கும் தனிப்பட்டதாக இருக்கும். ஆனால் ஒன்றை மட்டும் என்னால் உறுதியாகச் சொல்ல முடியும், முகவரிப் பட்டியலை மட்டும் பயன்படுத்தவும்.

GITLAB இன் படி, எல்லாம் தெளிவாக உள்ளது. இந்த தருணத்தில் நான் தங்க மாட்டேன். தனிப்பட்ட பணிகள், வார்ப்புருக்கள், கையாளுபவர்கள் ஆகியவற்றின் அடிப்படையில் எல்லாம் அழகாக இருக்கிறது.

பவர்ஷெல்

3 கோப்புகள் இருக்கும். பவர்ஷெல் ஏன்? கட்டமைப்புகளை உருவாக்குவதற்கான கருவியை மிகவும் வசதியாக இருக்கும் எவரும் தேர்ந்தெடுக்கலாம். இந்த விஷயத்தில், ஒவ்வொருவருக்கும் தங்கள் கணினியில் சாளரங்கள் உள்ளன, எனவே பவர்ஷெல் மிகவும் வசதியாக இருக்கும்போது அதை ஏன் பாஷில் செய்ய வேண்டும். யாருக்கு வசதி அதிகம்.

ஸ்கிரிப்ட் (எளிய மற்றும் புரிந்துகொள்ளக்கூடியது):[cmdletBinding()] பரம்(
[அளவுரு(கட்டாயம்=$true)] [சரம்]$EXTERNALIPADDRESS,
[அளவுரு(கட்டாயம்=$true)] [சரம்]$வெளிப்புறம்,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$BWorknets,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$CWorknets,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$BVoipNets,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$CVoipNets,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$CC கிளையன்ட்ஸ்,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$BVPNWORKகள்,
[அளவுரு(கட்டாயம்=$true)] [சரம்]$CVPNWORKs,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$BVPNCLIENTSகள்,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$cVPNCLIENTSகள்,
[அளவுரு(கட்டாயம்=$true)] [சரம்]$NAMEROUTER,
[அளவுரு(கட்டாயம்=$true)] [string]$ServerCertificates,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$infile,
[அளவுரு(கட்டாயம்=$true)] [ஸ்ட்ரிங்]$அவுட்ஃபைல்
)

பெறு-உள்ளடக்கம் $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
முன்-பொருள் {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | அமை-உள்ளடக்கம் $outfile

நான் மன்னிப்பு கேட்கிறேன், எல்லா விதிகளையும் என்னால் வகுக்க முடியாது. அது அழகாக இருக்காது. சிறந்த நடைமுறைகளால் வழிநடத்தப்படும் விதிகளை நீங்களே உருவாக்கலாம்.

எடுத்துக்காட்டாக, நான் வழிநடத்திய இணைப்புகளின் பட்டியல் இங்கே:wiki.mikrotik.com/wiki/Manual:உங்கள்_ரௌட்டரைப் பாதுகாப்பது
wiki.mikrotik.com/wiki/Manual:ஐபி/ஃபயர்வால்/வடிகட்டி
wiki.mikrotik.com/wiki/Manual:OSPF-உதாரணங்கள்
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:வின்பாக்ஸ்
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - இங்கே நீங்கள் Fasttrack இயக்கப்படும் போது, ​​போக்குவரத்து முன்னுரிமை மற்றும் வடிவமைத்தல் விதிகள் வேலை செய்யாது - பலவீனமான சாதனங்களுக்கு பயனுள்ளதாக இருக்கும்.

மாறக்கூடிய மரபுகள்:பின்வரும் நெட்வொர்க்குகள் உதாரணமாக எடுத்துக் கொள்ளப்படுகின்றன:
192.168.0.0/24 வேலை செய்யும் நெட்வொர்க்
172.22.4.0/24 VOIP நெட்வொர்க்
LAN அணுகல் இல்லாத வாடிக்கையாளர்களுக்கு 10.0.0.0/24 நெட்வொர்க்
192.168.255.0/24 பெரிய கிளைகளுக்கான VPN நெட்வொர்க்
சிறியவர்களுக்கான 172.19.255.0/24 VPN நெட்வொர்க்

நெட்வொர்க் முகவரியில் முறையே 4 தசம எண்கள் உள்ளன, ABCD, மாற்றீடு அதே கொள்கையின்படி செயல்படுகிறது, அது தொடக்கத்தில் B ஐக் கேட்டால், நீங்கள் நெட்வொர்க் 192.168.0.0/24 மற்றும் C = 0 க்கு எண் 0 ஐ உள்ளிட வேண்டும். .
$EXTERNALIPADDRESS - வழங்குநரிடமிருந்து ஒதுக்கப்பட்ட முகவரி.
$ EXTERNALIPROUTE - நெட்வொர்க் 0.0.0.0/0 க்கு இயல்புநிலை வழி
$BWorknets - வேலை செய்யும் நெட்வொர்க், எங்கள் எடுத்துக்காட்டில் 168 இருக்கும்
$CWorknets - வேலை நெட்வொர்க், எங்கள் எடுத்துக்காட்டில் அது 0 ஆக இருக்கும்
$BVoipNets - VOIP நெட்வொர்க் எங்கள் எடுத்துக்காட்டில் இங்கே 22
$CVoipNets - VOIP நெட்வொர்க் எங்கள் எடுத்துக்காட்டில் இங்கே 4
$CClientss - வாடிக்கையாளர்களுக்கான நெட்வொர்க் - இணையத்தை மட்டும் அணுகவும், எங்கள் விஷயத்தில் இங்கே 0
$BVPNWORKs - பெரிய கிளைகளுக்கான VPN நெட்வொர்க், எங்கள் எடுத்துக்காட்டு 20 இல்
$CVPNWORKs - பெரிய கிளைகளுக்கான VPN நெட்வொர்க், எங்கள் எடுத்துக்காட்டு 255 இல்
$BVPNCLIENTS - சிறிய கிளைகளுக்கான VPN நெட்வொர்க், அதாவது 19
$CVPNCLIENTS - சிறிய கிளைகளுக்கான VPN நெட்வொர்க், அதாவது 255
$NAMEROUTER - திசைவி பெயர்
$ServerCertificate - நீங்கள் முதலில் இறக்குமதி செய்யும் சான்றிதழின் பெயர்
$infile - நாம் கட்டமைப்பைப் படிக்கும் கோப்பிற்கான பாதையைக் குறிப்பிடவும், எடுத்துக்காட்டாக D:config.txt (மேற்கோள்கள் மற்றும் இடைவெளிகள் இல்லாத சிறந்த ஆங்கில பாதை)
$outfile - சேமிக்க வேண்டிய பாதையைக் குறிப்பிடவும், எடுத்துக்காட்டாக D:MT-test.txt

வெளிப்படையான காரணங்களுக்காக உதாரணங்களில் உள்ள முகவரிகளை வேண்டுமென்றே மாற்றினேன்.

தாக்குதல்கள் மற்றும் முரண்பாடான நடத்தை ஆகியவற்றைக் கண்டறிவதற்கான புள்ளியை நான் தவறவிட்டேன் - இது ஒரு தனி கட்டுரைக்கு தகுதியானது. ஆனால் இந்த வகையில் நீங்கள் Zabbix + இலிருந்து elasticsearch இலிருந்து கர்ல் டேட்டாவிலிருந்து கண்காணிப்பு தரவு மதிப்புகளைப் பயன்படுத்தலாம் என்பது சுட்டிக்காட்டத்தக்கது.

என்ன புள்ளிகளில் கவனம் செலுத்த வேண்டும்:

1. நெட்வொர்க் திட்டம். படிக்கக்கூடிய வடிவத்தில் எழுதுவது நல்லது. எக்செல் போதும். துரதிர்ஷ்டவசமாக, "ஒரு புதிய கிளை தோன்றியது, உங்களுக்காக இதோ /24" என்ற கொள்கையின்படி நெட்வொர்க்குகள் தொகுக்கப்படுவதை நான் அடிக்கடி பார்க்கிறேன். கொடுக்கப்பட்ட இடத்தில் எத்தனை சாதனங்கள் எதிர்பார்க்கப்படுகின்றன, மேலும் வளர்ச்சி இருக்குமா என்பதை யாரும் கண்டுபிடிப்பதில்லை. எடுத்துக்காட்டாக, ஒரு சிறிய கடை திறக்கப்பட்டுள்ளது, அதில் சாதனம் 10 க்கு மேல் இருக்காது என்பது ஆரம்பத்தில் தெளிவாக உள்ளது, ஏன் / 24 ஐ ஒதுக்க வேண்டும்? பெரிய கிளைகளுக்கு, மாறாக, அவை / 24 ஐ ஒதுக்குகின்றன, மேலும் 500 சாதனங்கள் உள்ளன - நீங்கள் ஒரு பிணையத்தைச் சேர்க்கலாம், ஆனால் எல்லாவற்றையும் இப்போதே சிந்திக்க வேண்டும்.
2. வடிகட்டுதல் விதிகள். நெட்வொர்க்குகளின் பிரிப்பு மற்றும் அதிகபட்ச பிரிவு இருக்கும் என்று திட்டம் கருதினால். சிறந்த நடைமுறைகள் காலப்போக்கில் மாறுகின்றன. முன்னதாக, அவர்கள் பிசி நெட்வொர்க் மற்றும் பிரிண்டர் நெட்வொர்க்கைப் பகிர்ந்து கொண்டனர், இப்போது இந்த நெட்வொர்க்குகளைப் பகிராமல் இருப்பது மிகவும் சாதாரணமானது. பொது அறிவைப் பயன்படுத்துவது மதிப்புக்குரியது மற்றும் பல சப்நெட்கள் தேவையில்லாத இடங்களில் உற்பத்தி செய்யாமல் இருப்பது மற்றும் அனைத்து சாதனங்களையும் ஒரே நெட்வொர்க்கில் இணைக்காமல் இருப்பது.
3. அனைத்து திசைவிகளிலும் "கோல்டன்" அமைப்புகள். அந்த. உங்களிடம் ஒரு திட்டம் இருந்தால். எல்லாவற்றையும் ஒரே நேரத்தில் முன்னறிவிப்பது மற்றும் எல்லா அமைப்புகளும் ஒரே மாதிரியானவை என்பதை உறுதிப்படுத்த முயற்சிப்பது மதிப்பு - வெவ்வேறு முகவரி பட்டியல் மற்றும் ஐபி முகவரிகள் மட்டுமே உள்ளன. சிக்கல்கள் ஏற்பட்டால், பிழைத்திருத்தத்திற்கான நேரம் குறைவாக இருக்கும்.
4. நிறுவன அம்சங்கள் தொழில்நுட்ப அம்சங்களை விட குறைவான முக்கியத்துவம் வாய்ந்தவை அல்ல. பெரும்பாலும், சோம்பேறி ஊழியர்கள் இந்த பரிந்துரைகளை "கைமுறையாக" பின்பற்றுகிறார்கள், ஆயத்த கட்டமைப்புகள் மற்றும் ஸ்கிரிப்ட்களைப் பயன்படுத்தாமல், இது இறுதியில் புதிதாக சிக்கல்களுக்கு வழிவகுக்கிறது.

டைனமிக் ரூட்டிங் மூலம். மண்டலத்துடன் கூடிய OSPF பயன்படுத்தப்பட்டது. ஆனால் இது ஒரு சோதனை பெஞ்ச், போர் நிலைமைகளில் இதுபோன்ற விஷயங்களை அமைப்பது மிகவும் சுவாரஸ்யமானது.

நான் திசைவிகளின் உள்ளமைவை இடுகையிடவில்லை என்று யாரும் வருத்தப்படவில்லை என்று நம்புகிறேன். இணைப்புகள் போதுமானதாக இருக்கும் என்று நான் நினைக்கிறேன், பின்னர் அது தேவைகளைப் பொறுத்தது. நிச்சயமாக சோதனைகள், மேலும் சோதனைகள் தேவை.

புத்தாண்டில் அனைவரும் தங்களின் திட்டங்களை நிறைவேற்ற வேண்டுகிறேன். அனுமதி உங்களுடன் இருக்கட்டும்!!!

ஆதாரம்: www.habr.com