Салом ба ҳама. Ин мақола барои онҳое пешбинӣ шудааст, ки шабакаи калони Mikrotik доранд ва мехоҳанд, ки бидуни пайвастшавӣ ба ҳар як дастгоҳ ба таври инфиродӣ ба ҳадди аксар муттаҳид шаванд. Дар ин мақола, ман як лоиҳаеро тавсиф мекунам, ки мутаассифона ҳеҷ гоҳ бо хатогии инсон ба истеҳсолот нарасидааст. Хулоса: зиёда аз 200 роутер, танзими зуд ва омӯзиши кормандон, муттаҳидшавӣ аз рӯи минтақа, шабака ва филтри хост, қобилияти ба осонӣ илова кардани қоидаҳо ба ҳама дастгоҳҳо, сабти ном ва назорати дастрасӣ.
Он чизе ки дар зер тавсиф шудааст, барои омӯзиши пурраи мисолҳо пешбинӣ нашудааст, аммо ман умедворам, ки он ҳангоми банақшагирии шабакаҳои шумо ва кам кардани хатогиҳо муфид хоҳад буд. Шояд баъзе нуктаҳо ва ҳалли онҳо ба назари шумо комилан дуруст набошанд - агар ин тавр бошад, лутфан ба ман дар шарҳҳо хабар диҳед. Танқид, дар ин ҳолат, таҷрибаи муштараки омӯзишӣ хоҳад буд. Аз ин рӯ, хонанда, лутфан шарҳҳоро санҷед; шояд муаллиф ба хатои чиддй рох дода бошад — чамъият бо камоли мамнуният ёрй мерасонад.
200-300 роутерҳо дар шаҳрҳои гуногун бо сифати гуногуни пайвастшавӣ ба интернет паҳн шудаанд. Ҳама чиз бояд ба таври зебо тарҳрезӣ карда шавад ва ба маъмурони маҳаллӣ фаҳмонд, ки он чӣ гуна кор мекунад.
Пас, ягон лоиҳа аз куҷо оғоз мешавад? Албатта, бо ТК.
- Ташкили нақшаи шабака барои ҳама филиалҳо мувофиқи талаботи муштариён, сегментатсияи шабака (аз 3 то 20 шабака дар филиалҳо вобаста ба шумораи дастгоҳҳо).
- Танзими дастгоҳ дар ҳар як филиал. Санҷиши суръати воқеии интиқоли провайдер дар шароити гуногуни корӣ.
- Ташкили муҳофизати дастгоҳ, идоракунии рӯйхати сафед, худкор ошкор кардани ҳамлаҳо бо рӯйхати сиёҳи худкор дар муддати муайян, кам кардани истифодаи воситаҳои гуногуни техникӣ, ки барои боздоштани дастрасии назорат ва рад кардани хидмат истифода мешаванд.
- Таъмини пайвастҳои бехатари VPN бо филтркунии шабака мувофиқи талаботи муштариён. Ҳадди ақал се пайвасти VPN аз ҳар як филиал ба идораи марказӣ.
- Дар асоси нуктаҳои 1 ва 2, роҳҳои оптималиро барои сохтани VPN-ҳои ба хато тобовар интихоб кунед. Пудратчӣ метавонад технологияи масири динамикиро бо асоснокии дуруст интихоб кунад.
- Афзалияти трафик дар асоси протоколҳо, портҳо, ҳостҳо ва дигар хидматҳои мушаххасе, ки муштарӣ истифода мебарад (VOIP, ҳостҳо бо хидматҳои муҳим)
- Ташкили мониторинг ва сабти рӯйдодҳои роутер барои кормандони дастгирии техникӣ барои посух додан.
Тавре ки мо мефаҳмем, дар баъзе ҳолатҳо, мушаххасот ба талабот асос ёфтаанд. Ман худам ин талаботро баъди шунидани масъалахои асосй тартиб додам. Ман иҷозат додам, ки имкони иҷрои ин нуктаҳоро ягон каси дигар ба ӯҳда гирад.
Кадом воситаҳо барои қонеъ кардани ин талабот истифода мешаванд:
- стек ELK (баъди чанд вақт маълум шуд, ки fluentd ба ҷои logstash истифода мешавад).
- Ансиб. Барои осонии маъмурият ва назорати дастрасӣ, мо AWX-ро истифода мебарем.
- GITLAB. Инро шарҳ додан лозим нест. Мо бе назорати версияи конфигуратсияҳои худ кор карда наметавонистем.
- PowerShell. Барои тавлиди конфигуратсияи ибтидоӣ скрипти оддӣ мавҷуд хоҳад буд.
- Вики барои навиштани ҳуҷҷатҳо ва дастурҳо. Дар ин ҳолат, мо habr.com-ро истифода мебарем.
- Мониторинг тавассути Zabbix анҷом дода мешавад. Барои фаҳмиши умумӣ диаграммаи пайвастшавӣ низ пешниҳод карда мешавад.
Нуқтаҳои танзими EFK
Вобаста ба нуктаи аввал, ман танҳо идеологияеро тавсиф мекунам, ки индексҳо тавассути он сохта мешаванд. Ин ҷо зиёд аст
Мақолаҳои олӣ оид ба насб ва қабули гузоришҳо аз дастгоҳҳои Mikrotik.
Биёед ба чанд нукта таваққуф кунам:
1. Мувофиқи диаграмма, қабули гузоришҳоро аз маконҳои гуногун ва дар бандарҳои гуногун баррасӣ кардан бамаврид аст. Барои ин, мо агрегатори сабтро истифода мебарем. Мо инчунин мехоҳем барои ҳама роутерҳо графикҳои универсалиро бо қобилияти ҷудо кардани дастрасӣ эҷод кунем. Пас мо индексҳоро ба таври зерин эҷод мекунем:
Ин аст як пораи конфигуратсияи fluentd. elasticsearch -ро нависед
logstash_format дуруст аст
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10с
соҳибкорон : 9200
нуқтаи 9200
Бо ин роҳ, мо метавонем роутерҳоро муттаҳид кунем ва онҳоро мувофиқи нақша тақсим кунем: mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Чаро корро ин кадар душвор мегардонем? Мо мефаҳмем, ки мо 200 ё зиёда дастгоҳ дорем. Ҳама чизро пайгирӣ кардан ғайриимкон аст. Бо версияи ElasticSearch 6.8, мо ба танзимоти амниятӣ дастрасӣ дорем (бе харидани иҷозатнома), ки ба мо имкон медиҳад, ки ҳуқуқи тамошоро дар байни кормандони дастгирии техникӣ ё маъмурони системаҳои маҳаллӣ тақсим кунем.
Ҷадвалҳо, графикҳо - дар ин ҷо шумо танҳо бояд розӣ шавед - ё ҳамонҳоро истифода баред, ё ҳама корро тавре иҷро мекунанд, ки барои онҳо мувофиқтар аст.
2. Дар бораи дарахтбурй. Агар мо воридшавиро дар қоидаҳои брандмауэр фаъол созем, мо номҳоро бидуни фосила мегузорем. Шумо мебинед, ки бо истифода аз конфигуратсияи оддӣ дар fluentd, мо метавонем маълумотро филтр карда, панелҳои қулай эҷод кунем. Дар расми зер роутери хонагии ман нишон дода шудааст.
3. Аз рӯи фазо ва гузоришҳо. Ба ҳисоби миёна, бо 1000 паём дар як соат, гузоришҳо дар як рӯз 2-3 МБ мегиранд, ки шумо розӣ мешавед, он қадар зиёд нест. Версияи Elasticsearch 7.5.
ANSIBLE.AWX
Хушбахтона, мо барои роутерҳо як модули омода дорем
Ман AWX-ро зикр кардам, аммо фармонҳои дар поён овардашуда танҳо ба Ansible-и пок татбиқ мешаванд. Ман фикр мекунам, ки онҳое, ки бо Ansible кор кардаанд, дар истифодаи AWX тавассути GUI ҳеҷ мушкиле надоранд.
Ман ростқавлона мегӯям, ман қаблан ба дигар роҳнамоҳо бо истифода аз SSH назар карда будам ва ҳамаи онҳо мушкилоти гуногуни вақти вокуниш ва як қатор мушкилоти дигар доштанд. Боз ҳам, он ба зарбае нарасид 🙂 Ин маълумотро ҳамчун таҷриба баррасӣ кунед, ки аз танзимоти 20-роутер берун нарафтааст.
Мо бояд сертификат ё ҳисобро истифода барем. Ин ба шумо вобаста аст, аммо ман тарафдори сертификатҳо ҳастам. Мушкилоти нозук бо иҷозатҳо вуҷуд дорад. Ман иҷозати навиштан медиҳам - ҳатто аз нав танзимкунии конфигуратсия кор намекунад.
Дар тавлид, нусхабардорӣ ва воридоти сертификат набояд ягон мушкилот вуҷуд дошта бошад:
Рӯйхати мухтасари фармонҳоДар компютери шумо
ssh-keygen -t RSA, ба саволҳо ҷавоб диҳед, калидро захира кунед.
Ба микротик нусхабардорӣ кунед:
корбар ssh-калидҳои воридоти public-key-file=id_mtx.pub user=ansible
Аввалан, шумо бояд ҳисоб эҷод кунед ва ҳуқуқҳои онро таъин кунед.
Тафтиши пайвастшавӣ бо истифода аз сертификат
ssh -p 49475 -i /keys/mtx ansible@192.168.0.120
Мо vi /etc/ansible/hosts менависем
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
Хуб, ин ҷо як китоби бозӣ мисол: — ном: add_work_sites
мизбон: testmt
серия: 1
пайвастшавӣ: network_cli
истифодабарандаи дурдаст: mikrotik.west
ҷамъоварӣ_фактҳо: ҳа
вазифаҳо:
— ном: Иловаи Work_sites
routeros_фармон:
фармоишҳо:
— /ip брандмауэр-рӯйхати суроғаи илова кунед=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— /ip суроғаи девори девори-рӯйхати иловаи суроға = habr.com list = comment work_sites = for_habr
Тавре ки шумо аз конфигуратсияи боло мебинед, эҷод кардани китобҳои бозии худ душвор нест. Дарки хуби cli микротик кифоя аст. Биёед вазъиятеро тасаввур кунем, ки мо бояд рӯйхати суроғаҳоро бо маълумоти мушаххас аз ҳамаи роутерҳо хориҷ кунем. Сипас:
Ҷустуҷӯ ва нест кардан/ip суроға-рӯйхати брандмауэрро хориҷ кунед [дар куҷо рӯйхат = "gov.ru" ёбед]
Ман қасдан тамоми рӯйхати брандмауэрро дар ин ҷо дохил накардаам, зеро он барои ҳар як лоиҳа мушаххас хоҳад буд. Аммо як чиз аниқ аст: танҳо рӯйхати суроғаҳоро истифода баред.
Ҳама чиз бо GITLAB равшан аст. Ман дар ин бора таваққуф намекунам. Ҳама чиз ба таври зебо ба вазифаҳои инфиродӣ, қолибҳо ва коркардкунандагон ташкил карда шудааст.
Powershell
Дар ин ҷо се файл хоҳад буд. Чаро PowerShell? Шумо метавонед ягон асбоберо барои тавлиди конфигуратсияҳо интихоб кунед, ҳар он чизе ки барои шумо қулай аст. Дар ин ҳолат, ҳама Windows-ро дар компютери худ кор мекунанд, пас чаро вақте ки PowerShell қулайтар аст, Bash-ро истифода баред? Ин масъалаи афзалият аст.
Худи скрипт (оддӣ ва равшан):[cmdletPinding()]
Парам()
[Параметр(Ҳатмӣ=$true)]
[сатр]$EXTERNALIPADDRESS,
[Параметр(Ҳатмӣ=$true)]
[сатр]$EXTERNALIPROUTE,
[Параметр(Ҳатмӣ=$true)]
[сатр]$BWorknets,
[Параметр(Ҳатмӣ=$true)]
[сатр]$CWorknets,
[Параметр(Ҳатмӣ=$true)]
[сатр]$BVoipNets,
[Параметр(Ҳатмӣ=$true)]
[сатр]$CVoipNets,
[Параметр(Ҳатмӣ=$true)]
[string]$CClientss,
[Параметр(Ҳатмӣ=$true)]
[сатр]$BVPNWORKs,
[Параметр(Ҳатмӣ=$true)]
[сатр]$CVPNWORKs,
[Параметр(Ҳатмӣ=$true)]
[сатр]$BVPNCLIENTS,
[Параметр(Ҳатмӣ=$true)]
[string]$cVPNCLIENTS,
[Параметр(Ҳатмӣ=$true)]
[сатр]$NAMEROUTER,
[Параметр(Ҳатмӣ=$true)]
[string]$ServerCertificates,
[Параметр(Ҳатмӣ=$true)]
[string]$infile,
[Параметр(Ҳатмӣ=$true)]
[string]$outfile
)
Get-Content $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVNPCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Иваз кардан("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificates)} | Set-Content $outfile
Лутфан маро бубахшед, ман наметавонам ҳамаи қоидаҳоро баён кунам, зеро ин хеле хуб нест. Шумо метавонед қоидаҳои худро бо риояи таҷрибаҳои беҳтарин эҷод кунед.
Масалан, дар ин ҷо як рӯйхати истинодҳое, ки ман пайравӣ кардам::Таъмин кардани_роутер
:IP / Сипар / Филтр
:OSPF-намунаҳо
: Winbox
:Такмили_RouterOS
:IP/Fasttrack — қайд кардан муҳим аст, ки ҳангоми фаъол кардани фасттрек, афзалият додан ва қоидаҳои шаклбандии трафик кор намекунанд - барои дастгоҳҳои заифтар муфид аст.
Нишонаҳои анъанавӣ барои тағирёбандаҳо:Шабакаҳои зерин ҳамчун намуна гирифта шудаанд:
Шабакаи кории 192.168.0.0/24
172.22.4.0/24 шабакаи VOIP
Шабакаи 10.0.0.0/24 барои муштариёни бе дастрасӣ ба шабакаи маҳаллӣ
192.168.255.0/24 шабакаи VPN барои филиалҳои калон
172.19.255.0/24 Шабакаи VPN барои тиҷорати хурд
Суроғаи шабака аз 4 адади даҳӣ иборат аст, мутаносибан ABCD, ивазкунӣ аз рӯи ҳамин принсип кор мекунад, агар ҳангоми оғозёбӣ он B-ро талаб кунад, пас шумо бояд рақами 0-ро барои шабакаи 192.168.0.0/24 ва барои C = 0 ворид кунед.
$EXTERNALIPADRESS — суроғаи махсус аз провайдер.
$EXTERNALIPROUTE — масири пешфарз ба шабака 0.0.0.0/0
$BWorknets - Шабакаи корӣ, дар мисоли мо он 168 хоҳад буд
$CWorknets - Шабакаи корӣ, дар мисоли мо он 0 хоҳад буд
$BVoipNets - шабакаи VOIP дар мисоли мо 22 аст
$CVoipNets - Шабакаи VOIP дар мисоли мо дар ин ҷо 4
$CClientss — Шабака барои муштариён – танҳо дастрасӣ ба интернет, дар ҳолати мо ин 0 аст
$BVPNWORKs - Шабакаи VPN барои филиалҳои калон, дар мисоли мо 20
$CVPNWORKs - Шабакаи VPN барои филиалҳои калон, дар мисоли мо 255
$BVPNCLIENTS - Шабакаи VPN барои филиалҳои хурд, маънои 19
$CVPNCLIENTS - Шабакаи VPN барои филиалҳои хурд, маънои 255
$NAMEROUTER — номи роутер
$ServerCertificate - номи сертификате, ки шумо аввал ворид мекунед
$infile — Роҳеро ба сӯи файле, ки аз он мо конфигуратсияро мехонем, муайян кунед, масалан D:config.txt (беҳтараш роҳи англисӣ бидуни нохунак ва фосила)
$outfile — роҳеро, ки дар куҷо захира кардан лозим аст, муайян кунед, масалан D:MT-test.txt
Ман бо сабабҳои маълум суроғаҳои мисолҳоро дидаю дониста иваз кардам.
Ман нуктаро дар бораи ошкор кардани ҳамлаҳо ва рафтори ғайриоддӣ аз даст додам - ин сазовори мақолаи алоҳида аст. Бо вуҷуди ин, бояд қайд кард, ки ин категория метавонад маълумоти мониторинг аз Zabbix ва маълумоти curl коркардшударо аз elasticsearch истифода барад.
Ба кадом нуктаҳо диққат додан лозим аст:
- Нақшаи шабака. Беҳтар аст, ки онро фавран дар формати хондашаванда эҷод кунед. Excel кофӣ аст. Мутаассифона, ман аксар вақт шабакаҳоеро мебинам, ки дар асоси принсипи "Шӯъбаи нав кушода шуд, ин ҷо /24" сохта шудааст. Ҳеҷ кас намедонад, ки дар як макони муайян чанд дастгоҳ интизор аст ва оё афзоиши оянда вуҷуд дорад. Масалан, агар як мағозаи хурде кушода шавад, аз аввал маълум аст, ки он аз 10 дастгоҳ зиёд нест. Чаро /24 ҷудо карда мешавад? Барои филиалҳои калонтар, ин баръакс аст: онҳо /24 ҷудо мекунанд, аммо бо 500 дастгоҳ хотима меёбанд. Шумо метавонед танҳо як шабака илова кунед, аммо шумо мехоҳед ҳама чизро аз аввал фикр кунед.
- Қоидаҳои филтр. Агар лоиҳа ҷудокунии шабака ва сегментатсияи ҳадди аксарро дар бар гирад, таҷрибаҳои беҳтарин бо мурури замон тағир меёбанд. Пештар, шабакаҳои компютерӣ ва шабакаҳои чопгар ҷудо карда мешуданд, аммо ҳоло ҷудо нигоҳ доштани ин шабакаҳо комилан қобили қабул аст. Муҳим аст, ки ақли солимро истифода баред ва аз эҷоди зершабакаҳои сершумор, ки онҳо лозим нестанд, пешгирӣ кунед ва аз муттаҳид кардани ҳамаи дастгоҳҳо дар як шабака худдорӣ намоед.
- Танзимоти "тиллоӣ" дар ҳама роутерҳо. Яъне, агар шумо дар бораи нақша қарор дода бошед. Меарзад, ки пешакӣ ба нақша гиред ва кӯшиш кунед, ки ҳамаи танзимотҳо якхела бошанд - танҳо рӯйхати суроғаҳо ва суроғаҳои IP гуногун. Агар мушкилот ба миён оянд, ҳалли мушкилот тезтар мешавад.
- Чихатхои ташкилй аз чихати техникй кам нестанд. Кормандони танбал аксар вақт ин тавсияҳоро дастӣ, бидуни истифодаи конфигуратсияҳо ва скриптҳои тайёр амалӣ мекунанд, ки дар ниҳоят ба мушкилот оварда мерасонад.
Дар мавриди масири динамикӣ, OSPF бо тақсимоти минтақавӣ истифода шудааст. Аммо ин як майдони озмоиш буд; конфигурациям ин гуна чизхо дар истехсолот чолиби диккат аст.
Ман умедворам, ки ҳеҷ кас хафа нест, ки ман конфигуратсияҳои роутерро нашр накардаам. Ман фикр мекунам, ки пайвандҳо кофӣ ҳастанд ва он гоҳ ҳама чиз аз талабот вобаста аст. Ва албатта, санҷиш лозим аст - санҷиши бештар лозим аст.
Ба ҳама дар татбиқи лоиҳаҳои худ дар соли нав муваффақият орзумандам. Бигзор дастрасӣ ба шумо дода шавад!!!
Манбаъ: will.com
