ProHoster > Блог > Isakoso > Ise agbese mi ti ko pari. Nẹtiwọọki ti 200 MikroTik onimọ

Ise agbese mi ti ko pari. Nẹtiwọọki ti 200 MikroTik onimọ

Ise agbese mi ti ko pari. Nẹtiwọọki ti 200 MikroTik onimọ

Bawo ni gbogbo eniyan. Nkan yii jẹ ipinnu fun awọn ti o ni ọpọlọpọ awọn ẹrọ Mikrotik ni o duro si ibikan, ati awọn ti o fẹ lati ṣe iṣọkan ti o pọju ki o má ba sopọ si ẹrọ kọọkan lọtọ. Ninu àpilẹkọ yii, Emi yoo ṣe apejuwe iṣẹ akanṣe kan ti, laanu, ko de awọn ipo ija nitori awọn okunfa eniyan. Ni kukuru: diẹ sii ju awọn onimọ-ọna 200, iṣeto iyara ati ikẹkọ oṣiṣẹ, iṣọkan nipasẹ agbegbe, awọn nẹtiwọọki sisẹ ati awọn ogun kan pato, agbara lati ṣafikun awọn ofin ni irọrun si gbogbo awọn ẹrọ, gedu ati iṣakoso iwọle.

Ohun ti a ṣalaye ni isalẹ ko ṣe dibọn pe o jẹ ọran ti a ti ṣetan, ṣugbọn Mo nireti pe yoo wulo fun ọ nigbati o ba gbero awọn nẹtiwọọki rẹ ati idinku awọn aṣiṣe. Boya diẹ ninu awọn aaye ati awọn ipinnu kii yoo dabi ohun ti o tọ si ọ - ti o ba jẹ bẹ, kọ ninu awọn asọye. Lodi ninu ọran yii yoo jẹ iriri ni banki piggy ti o wọpọ. Nitorinaa, oluka, wo ninu awọn asọye, boya onkọwe ṣe aṣiṣe nla kan - agbegbe yoo ṣe iranlọwọ.

Nọmba awọn olulana jẹ 200-300, tuka ni awọn ilu oriṣiriṣi pẹlu didara asopọ Intanẹẹti oriṣiriṣi. O jẹ dandan lati ṣe ohun gbogbo lẹwa ati ṣalaye si awọn alabojuto agbegbe ni ọna wiwọle bi ohun gbogbo yoo ṣe ṣiṣẹ.

Nitorinaa ibo ni gbogbo iṣẹ akanṣe bẹrẹ? Dajudaju, pẹlu ТЗ.

  1. Eto ti eto nẹtiwọọki fun gbogbo awọn ẹka ni ibamu si awọn ibeere alabara, ipin nẹtiwọki (lati awọn nẹtiwọki 3 si 20 ni awọn ẹka, da lori nọmba awọn ẹrọ).
  2. Ṣeto awọn ẹrọ ni ẹka kọọkan. Ṣiṣayẹwo bandiwidi gidi ti olupese ni awọn ipo iṣẹ oriṣiriṣi.
  3. Eto ti aabo ẹrọ, iṣakoso iwe funfun, wiwa aifọwọyi ti awọn ikọlu pẹlu didasilẹ adaṣe fun akoko kan, idinku lilo awọn ọna imọ-ẹrọ lọpọlọpọ ti a lo lati ṣe idiwọ iwọle iṣakoso ati kiko iṣẹ.
  4. Eto ti awọn asopọ vpn to ni aabo pẹlu sisẹ nẹtiwọọki ni ibamu si awọn ibeere alabara. O kere ju awọn asopọ vpn 3 lati ẹka kọọkan si aarin.
  5. Da lori awọn aaye 1, 2. Yan awọn ọna ti o dara julọ lati kọ vpn aibikita. Imọ-ẹrọ ipa ọna ti o ni agbara, pẹlu idalare to pe, le jẹ yiyan nipasẹ olugbaisese.
  6. Eto ti iṣaju ijabọ nipasẹ awọn ilana, awọn ebute oko oju omi, awọn ogun ati awọn iṣẹ kan pato miiran ti alabara nlo. (VOIP, awọn agbalejo pẹlu awọn iṣẹ pataki)
  7. Eto ti ibojuwo ati gedu ti awọn iṣẹlẹ olulana fun esi ti awọn oṣiṣẹ atilẹyin imọ-ẹrọ.

Bi a ti ye wa, ni awọn igba miiran, TOR ti wa ni akopọ lati awọn ibeere. Mo ṣe agbekalẹ awọn ibeere wọnyi funrararẹ, lẹhin gbigbọ awọn iṣoro akọkọ. O jẹwọ pe o ṣeeṣe pe ẹlomiran le gba imuse awọn aaye wọnyi.

Awọn irinṣẹ wo ni yoo lo lati mu awọn ibeere wọnyi ṣẹ:

  1. ELK akopọ (lẹhin igba diẹ, o ye wa pe fluentd yoo ṣee lo dipo logstash).
  2. O ṣeeṣe. Fun irọrun iṣakoso ati pinpin wiwọle, a yoo lo AWX.
  3. GITLAB. Ko si ye lati ṣe alaye nibi. Nibo laisi iṣakoso ẹya ti awọn atunto wa.
  4. PowerShell. Iwe afọwọkọ ti o rọrun yoo wa fun iran ibẹrẹ ti atunto naa.
  5. Doku wiki, fun kikọ iwe ati awọn ilana. Ni idi eyi, a lo habr.com.
  6. Abojuto yoo ṣee ṣe nipasẹ zabbix. Aworan asopọ yoo tun wa fun oye gbogbogbo.

EFK setup ojuami

Lori aaye akọkọ, Emi yoo ṣe apejuwe nikan ni imọran lori eyiti awọn atọka yoo kọ. Won po pupo
awọn nkan ti o dara julọ lori eto ati gbigba awọn akọọlẹ lati awọn ẹrọ ti n ṣiṣẹ mikrotik.

Emi yoo gbe lori diẹ ninu awọn aaye:

1. Gẹgẹbi ero naa, o tọ lati gbero gbigba awọn iwe lati awọn aaye oriṣiriṣi ati lori awọn ebute oko oju omi oriṣiriṣi. Lati ṣe eyi, a yoo lo aggregator log. A tun fẹ lati ṣe awọn aworan agbaye fun gbogbo awọn olulana pẹlu agbara lati pin iwọle. Lẹhinna a kọ awọn atọka bi atẹle:

nibi ni a nkan ti konfigi pẹlu fluentd elasticsearch
logstash_format otitọ
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
ogun rirọsi: 9200
9200 ibudo

Bayi, a le darapọ awọn olulana ati apa ni ibamu si ero - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Kini idi ti o fi jẹ ki o nira? A loye pe a yoo ni awọn ẹrọ 200 tabi diẹ sii. Maṣe tẹle ohun gbogbo. Lati ẹya 6.8 ti wiwa elasticsearch, awọn eto aabo wa fun wa (laisi rira iwe-aṣẹ), nitorinaa, a le pin kaakiri awọn ẹtọ wiwo laarin awọn oṣiṣẹ atilẹyin imọ-ẹrọ tabi awọn alabojuto eto agbegbe.
Awọn tabili, awọn aworan - nibi o kan nilo lati gba - boya lo awọn kanna, tabi gbogbo eniyan ṣe bi yoo ṣe rọrun fun u.

2. Nipa wíwọlé. Ti a ba mu wọle wọle awọn ofin ogiriina, lẹhinna a ṣe awọn orukọ laisi awọn aaye. O le rii pe lilo atunto ti o rọrun ni fluentd, a le ṣe àlẹmọ data ati ṣe awọn panẹli to rọrun. Aworan ti o wa ni isalẹ jẹ olulana ile mi.

Ise agbese mi ti ko pari. Nẹtiwọọki ti 200 MikroTik onimọ

3. Ni ibamu si awọn ti tẹdo aaye ati awọn àkọọlẹ. Ni apapọ, pẹlu awọn ifiranṣẹ 1000 fun wakati kan, awọn akọọlẹ gba 2-3 MB fun ọjọ kan, eyiti, o rii, kii ṣe pupọ. elasticsearch version 7.5.

ANSIBLE.AWX

Da fun wa, a ni a setan-ṣe module fun routeros
Mo tọka si nipa AWX, ṣugbọn awọn aṣẹ ti o wa ni isalẹ jẹ nipa aibikita nikan ni fọọmu mimọ rẹ - Mo ro pe fun awọn ti o ṣiṣẹ pẹlu aibikita, kii yoo ni awọn iṣoro nipa lilo awx nipasẹ gui.

Lati sọ otitọ, ṣaaju pe Mo wo awọn itọsọna miiran nibiti wọn ti lo ssh, ati pe gbogbo eniyan ni awọn iṣoro oriṣiriṣi pẹlu akoko idahun ati opo awọn iṣoro miiran. Mo tun ṣe, ko gba si ogun , gba alaye yii bi idanwo ti ko kọja iduro ti awọn olulana 20.

A nilo lati lo ijẹrisi tabi akọọlẹ kan. O wa si ọ lati pinnu, Mo wa fun awọn iwe-ẹri. Diẹ ninu awọn aaye arekereke lori awọn ẹtọ. Mo fun awọn ẹtọ lati kọ - o kere ju “tunto atunto” kii yoo ṣiṣẹ.

Ko yẹ ki o jẹ awọn iṣoro pẹlu ipilẹṣẹ, didakọ iwe-ẹri ati gbigbe wọle:

Akojọ kukuru ti awọn aṣẹLori PC rẹ
ssh-keygen -t RSA, dahun ibeere, fi bọtini pamọ.
Daakọ si mikrotik:
olumulo ssh-keys gbe wọle public-key-file=id_mtx.pub olumulo=aṣeṣe
Ni akọkọ o nilo lati ṣẹda akọọlẹ kan ki o pin awọn ẹtọ si rẹ.
Ṣiṣayẹwo asopọ pẹlu ijẹrisi naa
ssh -p 49475 -i /awọn bọtini/mtx [imeeli ni idaabobo]

Kọ vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= anfani
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= anfani
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= anfani
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= anfani

O dara, apẹẹrẹ ti iwe-iṣere kan: orukọ: add_work_sites
ogun: testmt
tẹlentẹle: 1
asopọ: network_cli
remote_user: mikrotik.west
gather_facts: bẹẹni
awọn iṣẹ-ṣiṣe:
orukọ: fi Work_sites
routeros_aṣẹ:
paṣẹ:
- / ip ogiriina adirẹsi-akojọ fi adirẹsi = gov.ru akojọ = work_sites ọrọìwòye = Tiketi665436_Ochen_nado
- /ip ogiriina adirẹsi-akojọ fi adirẹsi = habr.com akojọ = work_sites asọye = fun_habr

Gẹgẹbi o ti le rii lati iṣeto ni oke, ṣiṣe akojọpọ awọn iwe-iṣere tirẹ jẹ ọrọ ti o rọrun. O dara to lati Titunto si cli mikrotik. Fojuinu ipo kan nibiti o nilo lati yọ atokọ adirẹsi kuro pẹlu data kan lori gbogbo awọn olulana, lẹhinna:

Wa ati yọ kuro/ ip firewal adirẹsi-akojọ yọ kuro [wa ibi ti akojọ = "gov.ru"]

Emi ko mọọmọ pẹlu gbogbo atokọ ogiriina nibi. yoo jẹ ẹni kọọkan fun iṣẹ akanṣe kọọkan. Ṣugbọn Mo le sọ ohun kan ni idaniloju, lo atokọ adirẹsi nikan.

Gẹgẹbi GITLAB, ohun gbogbo jẹ kedere. Emi kii yoo duro ni akoko yii. Ohun gbogbo jẹ lẹwa ni awọn ofin ti awọn iṣẹ-ṣiṣe kọọkan, awọn awoṣe, awọn olutọju.

Powershell

Awọn faili 3 yoo wa. Kí nìdí powershell? Ọpa fun ipilẹṣẹ awọn atunto le jẹ yiyan nipasẹ ẹnikẹni ti o ni itunu diẹ sii. Ni ọran yii, gbogbo eniyan ni awọn window lori PC wọn, nitorinaa kilode ti o ṣe lori bash nigbati agbara agbara jẹ irọrun diẹ sii. Tani o ni itunu diẹ sii.

Iwe afọwọkọ funrararẹ (rọrun ati oye):[cmdletBinding()] Param(
[Parameter(Dandan=$otitọ)] [okun]$EXTERNALIPADDRESS,
[Parameter(Dandan=$otitọ)] [okun]$EXTERNALIPROUTE,
[Parameter(Dandan=$otitọ)] [okun]$BWorknets,
[Parameter(dandan=$otitọ)] [okun]$CWorknets,
[Parameter(Dandan=$otitọ)] [okun]$BVoipNets,
[Parameter(Dandan=$otitọ)] [okun]$CVoipNets,
[Parameter(dandan=$otitọ)] [okun]$Clients,
[Parameter(Dandan=$otitọ)] [okun]$BVPNWORKs,
[Parameter(Dandan=$otitọ)] [okun]$CVPNWORKs,
[Parameter(Dandan=$otitọ)] [okun]$BVPNCLIENTSs,
[Parameter(Dandan=$otitọ)] [okun]$cVPNCLIENTSs,
[Parameter(dandan=$otitọ)] [okun]$NAMEROUTER,
[Parameter(dandan=$otitọ)] [okun]$Ijẹri olupin,
[Parameter(dandan=$otitọ)] [okun]$infile,
[Parameter(dandan=$otitọ)] [okun]$file
)

Gba-Akoonu $infaili | Nkan iwaju-Ohun {$_. Rọpo("EXTERNIP", $EXTERNALIPADDRESS)} |
Nkan iwaju-Ohun {$_. Rọpo("EXTROUTE", $EXTERNALIPROUTE)} |
Nkan iwaju-Ohun {$_. Rọpo("BWorknet", $BWorknets)} |
Nkan iwaju-Ohun {$_. Rọpo("CWorknet", $CWorknets)} |
Nkan iwaju-Ohun {$_. Rọpo("BVoipNet", $BVoipNets)} |
Nkan iwaju-Ohun {$_. Rọpo("CVoipNet", $CVoipNets)} |
Nkan iwaju-Ohun {$_. Rọpo("Awọn CClients", $CClients)} |
Nkan iwaju-Ohun {$_. Rọpo("BVPNWORK", $BVPNWORKs)} |
Nkan iwaju-Ohun {$_. Rọpo("CVPNWORK", $CVPNWORKs)} |
Nkan iwaju-Ohun {$_. Rọpo("BVPNCLIENTS", $BVPNCLIENTSs)} |
Nkan iwaju-Ohun {$_. Rọpo("CVPNCLIENTS", $cVPNCLIENTSs)} |
Nkan iwaju-Ohun {$_. Rọpo("MYNAMERROUTER", $NAMEROUTER)} |
Nkan iwaju-Ohun {$_. Rọpo("ServerCertificate", $ServerCertificates)} | Ṣeto-Akoonu $ outfile

Mo bẹbẹ fun idariji rẹ, Emi ko le fi gbogbo awọn ofin han. kii yoo lẹwa. O le ṣe awọn ofin funrararẹ, ni itọsọna nipasẹ awọn iṣe ti o dara julọ.

Fun apẹẹrẹ, eyi ni atokọ awọn ọna asopọ ti a ṣe itọsọna mi:wiki.mikrotik.com/wiki/Afowoyi: Securing_Your_Router
wiki.mikrotik.com/wiki/Afowoyi:IP/Ogiriina/Filter
wiki.mikrotik.com/wiki/Afowoyi:OSPF-apẹẹrẹ
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Afowoyi: Winbox
wiki.mikrotik.com/wiki/Afowoyi: Upgrading_RouterOS
wiki.mikrotik.com/wiki/Afowoyi: IP / Fasttrack - nibi o nilo lati mọ pe nigbati fasttrack ti ṣiṣẹ, iṣaju ijabọ ati awọn ofin apẹrẹ kii yoo ṣiṣẹ - wulo fun awọn ẹrọ alailagbara.

Awọn apejọ ti o yatọ:Awọn nẹtiwọki wọnyi ni a mu bi apẹẹrẹ:
192.168.0.0/24 ṣiṣẹ nẹtiwọki
172.22.4.0/24 VOIP nẹtiwọki
10.0.0.0/24 nẹtiwọki fun ibara lai lan wiwọle
192.168.255.0/24 VPN nẹtiwọki fun awọn ẹka nla
172.19.255.0/24 VPN nẹtiwọki fun kekere

Adirẹsi nẹtiwọọki naa ni awọn nọmba eleemewa mẹrin, lẹsẹsẹ ABCD, rirọpo ṣiṣẹ ni ibamu si ipilẹ kanna, ti o ba beere B ni ibẹrẹ, lẹhinna o nilo lati tẹ nọmba 4 sii fun nẹtiwọki 192.168.0.0/24, ati fun C = 0. .
$EXTERNALIPADDRESS - adirẹsi ti a sọtọ lati ọdọ olupese.
$EXTERNALIPROUTE - aiyipada ipa si nẹtiwọki 0.0.0.0/0
$BWorknets - Nẹtiwọọki ti n ṣiṣẹ, ninu apẹẹrẹ wa yoo jẹ 168
$CWorknets – Nẹtiwọọki iṣẹ, ninu apẹẹrẹ wa yoo jẹ 0
$BVoipNets - Nẹtiwọọki VOIP ninu apẹẹrẹ wa nibi 22
$CVoipNets - Nẹtiwọọki VOIP ninu apẹẹrẹ wa nibi 4
$CClients - Nẹtiwọọki fun awọn alabara – iraye si Intanẹẹti nikan, ninu ọran wa nibi 0
$BVPNWORKs – Nẹtiwọọki VPN fun awọn ẹka nla, ninu apẹẹrẹ wa 20
$CVPNWORKs – Nẹtiwọọki VPN fun awọn ẹka nla, ninu apẹẹrẹ wa 255
$BVPNCLIENTS - Nẹtiwọọki VPN fun awọn ẹka kekere, tumọ si 19
$CVPNCLIENTS - Nẹtiwọọki VPN fun awọn ẹka kekere, tumọ si 255
$NAMEROUTER - orukọ olulana
$ServerCertificate – orukọ ijẹrisi ti o n ko wọle lakọkọ
$ infile - Pato ọna si faili lati eyiti a yoo ka atunto, fun apẹẹrẹ D: config.txt (ọna Gẹẹsi ti o dara julọ laisi awọn agbasọ ati awọn aaye)
$outfile - pato ọna ibiti o ti fipamọ, fun apẹẹrẹ D: MT-test.txt

Mo mọọmọ yi awọn adirẹsi ninu awọn apẹẹrẹ fun kedere idi.

Mo padanu aaye lori wiwa awọn ikọlu ati ihuwasi ailorukọ - eyi tọsi nkan lọtọ. Ṣugbọn o tọ lati tọka si pe ninu ẹya yii o le lo awọn iye data ibojuwo lati Zabbix + ṣiṣẹ data curl lati wiwa elasticsearch.

Awọn aaye wo ni o ni idojukọ lori:

  1. Eto nẹtiwọki. O dara julọ lati kọ ọ ni fọọmu kika. Tayo ti to. Laanu, Mo nigbagbogbo rii pe awọn nẹtiwọọki ti ṣajọ ni ibamu si ipilẹ “Ẹka tuntun kan ti han, eyi ni / 24 fun ọ.” Ko si ẹnikan ti o rii iye awọn ẹrọ ti o nireti ni ipo ti a fun ati boya idagbasoke siwaju yoo wa. Fun apẹẹrẹ, ile itaja kekere kan ti ṣii, ninu eyiti o han gbangba pe ẹrọ naa kii yoo ju 10 lọ, kilode ti o pin / 24? Fun awọn ẹka nla, ni ilodi si, wọn pin / 24, ati pe awọn ẹrọ 500 wa - o le ṣafikun nẹtiwọọki kan, ṣugbọn o fẹ lati ronu ohun gbogbo lẹsẹkẹsẹ.
  2. Awọn ofin sisẹ. Ti iṣẹ akanṣe naa ba dawọle pe ipinya ti awọn nẹtiwọọki yoo wa ati ipin ti o pọju. Awọn adaṣe ti o dara julọ yipada ni akoko pupọ. Ni iṣaaju, wọn pin nẹtiwọọki PC kan ati nẹtiwọọki itẹwe kan, ni bayi o jẹ deede lati ma pin awọn nẹtiwọọki wọnyi. O tọ lati lo oye ti o wọpọ ati pe ko ṣe agbejade ọpọlọpọ awọn subnets nibiti wọn ko nilo wọn ati pe kii ṣe apapọ gbogbo awọn ẹrọ sinu nẹtiwọọki kan.
  3. Awọn eto "Golden" lori gbogbo awọn olulana. Awon. ti o ba ni eto. O tọ lati rii ohun gbogbo lẹsẹkẹsẹ ati gbiyanju lati rii daju pe gbogbo awọn eto jẹ aami kanna - atokọ adirẹsi oriṣiriṣi nikan ati awọn adirẹsi ip wa. Ni ọran ti awọn iṣoro, akoko fun n ṣatunṣe aṣiṣe yoo dinku.
  4. Awọn aaye eto ko kere si pataki ju awọn imọ-ẹrọ lọ. Nigbagbogbo, awọn oṣiṣẹ ọlẹ tẹle awọn iṣeduro wọnyi “pẹlu ọwọ”, laisi lilo awọn atunto ti a ti ṣetan ati awọn iwe afọwọkọ, eyiti o yori si awọn iṣoro lati ibere.

Nipa ìmúdàgba afisona. OSPF pẹlu ifiyapa ni a lo. Ṣugbọn eyi jẹ ibujoko idanwo, ni awọn ipo ija iru awọn nkan jẹ diẹ ti o nifẹ si lati ṣeto.

Mo nireti pe ko si ẹnikan ti o binu pe Emi ko firanṣẹ iṣeto ti awọn olulana. Mo ro pe awọn ọna asopọ yoo to, ati lẹhinna gbogbo rẹ da lori awọn ibeere. Ati pe dajudaju awọn idanwo, awọn idanwo diẹ sii ni a nilo.

Mo fẹ ki gbogbo eniyan mọ awọn iṣẹ akanṣe wọn ni ọdun tuntun. Jẹ ki wiwọle wa pẹlu rẹ !!!

orisun: www.habr.com

Fi ọrọìwòye kun