Уместно было бы делать разные вопросы раздельно однако я хочу сперва целостно обрисовать для себя картину. Раздельно не получится. Пожалуйста, мне важно мнение человека, который полностью прочитает вопрос в противном случае можете ничего не писать, не теряйте ни мое ни свое время.
Исходные:
работаю в обслуживающей компании
Доменная сеть Windows, DC на базе Windows Server 2012(уровень домена пока что 2008R2)
В качестве proxy ПО ESERV4
Mikrotik( далее МК) RB2011UiAS-2HnD-IN -шлюз, на нем заняты ether1-ether5
Ключевые наиболее используемые приложения требующие подключения к WAN: почта, браузер, skype, ammyy admin, teamviewer, rdp.
Ключевые наиболее используемые приложения требующие подключения к LAN: rdp, 1c, файловые шары(DFS на DC), телефония(програмнная asterisk+ программные софтфоны по рабочим местам+свои VOIP шлюзы)
Схему сети кратко составил,см рис ниже.
В общем вопрос: Меня интересует вопрос анализа производительности в разрезе сети и безопасность сети. На втором плане управление производительностью путем ограничений. Далее подробней.
1) Для анализа загруженности мне необходимо проверить что ходит по шлюзу mikrotik(WAN) за выбранный период времени, то есть сбор информации должен происходить постоянно. Я уже пытался задавать подобный вопрос здесь
Как анализировать объем трафика проходящего через WAN? С тех пор я попробовал больше. Для начала с тех пор у меня есть пройденные сертификаты MTCNA, MTCRE так что могу ругаться словами типа OSPF и BGP.
Мне нужна информация следующего характера исходя из порядка просмотра по отчетам:
- есть ли загрузка на WAN в соответствии с пропускной способностью предоставленной провайдером( в моем случае всегда в большинстве случаев в рабочее время в пиковом значении)
- в какой момент времени происходили пики в рабочем времени
- кто создал эту нагрузку(ip, dns имя компа) в момент пиков
- куда ходил этот человек, на какие ресурсы обращался, чем создал нагрузку именно в это пиковое время и каким объемом трафика в разрезе частного случая от общего графика по дню
ВАЖНО: По всем этим пунктам ниже я опишу ПО, которое пробовал. Мне попадалось ПО, в котором можно посмотреть что да вот этот человек гляда на общий график и график этого человека создал нагрузку, в данный момент таким вот объемом трафика. Однако есть бесполезное ПО где указано отдельно что человек ходил и вот сюда и сюда и вот его объем трафика, но не привязано ко времени, да еще и бывает ПО показывает в формате не Мбит\сек а в общем МБайт. Другими словами нельзя сопоставить графики времени и графики трафика, живут раздельно, например ПО ntopng.
ВАЖНО: ПО желательно для этих целей не дорогое поскольку начальство не всё даст купить. Opensource было бы вообще замечательно.
1.1) пропускную способность канала увеличили до 15Мбит\сек, однако это не решило проблему медленной скорости приложений требующих соединения с интернетом
1.2) Для попытки собрать информацию через netflow и проанализировать её кроме ntop( все тот же
https://toster.ru/q/460304) я попробовал следующие программы:
1.2.1) ntopng - не показывает нужную инфу
1.2.2) netflow analyzer - Программа работает не корректно, регулярно пропадает доступность интерфейса. Нет возможности корректно подвязать параметры mikrotik, в частности не корректно отображаются имена интерфейсов что затрудняет понимание на что вообще смотрю, например Infef82 кажется так точно не вспомню
1.2.3) the dude - имеет привязку к архитекуре микротик, не все микротик поддерживают the dude в частности мой нет
1.2.4) nfsen+nfdump+nfcapd вообще не смог разобраться дебри дебрями и нормальной доки нету как связать их для микротика а потом еще и пользоваться этой хренью
1.2.5) Paessler PRTG -дорогая, начальство не купит, поэтому даже не рассматривал
ВАЖНО: В свою очередь на курсах mikrotik я всем успел надоесть уже с вопросом по netflow как преподавателю так и соседствующим ученикам, при том что некоторые ученики из компаний провайдеров. Никто тупо не знает как с netflow+mikrotik обращаться. Вопрос разумеется не в настройке на стороне на mikrotik, там вообще 2 клавиши нажать, а вопрос в том чтобы это собрать и в нормальном виде можно было бы проанализировать. В конечном итоге препод сказал что этот вопрос чисто факультативный и на курсе не рассматривается, а сам он один-два раза занимался netflow mikrotik по его словам.
2) На основании пункта 1(при том что я его так и не решил) есть несколько проблем:
- не возможно отследить кто конкретно создал нагрузку если это идет с RDP. На RDP работают +- 30 юзеров соответственно IP ничего мне не скажет в разрезе пользователя
- В дальнейшем блокировать на mikrotik доступ к конкретным ресурсам не возможно. Напомню сертификаты Mikrotik у меня есть. Препод в свою очередь сказал что прокси вообще лучше не использовать на mikrotik, атавизм, лучше использовать отдельный сервер прокси. В свою очередь до курсов я попытался использовать прокси на МК. Ставите только галку enable в прокси и процессор на МК на постоянной основе не ниже 90%. Ко всему прочему прокси МК не умеет работать с https трафиком. Так что заметка препода ранее мной и проверена на устойчивость утверждения.
2.1) Сразу скажу с прокси мало знаком, только теория, как микротик на момент первого знакомства с микротик мной 2 года назад. Поставил я прокси ESERV4. Пробовал уговорить начальство отказаться в пользу squid или другого ПО. Не могу отказаться от него по причине элементарного навязывания его начальством. К сожалению squid начальство мне не дает ввести, аргументируя НуАноЖеКактаРаботалаРаньше, при том что бывшие коллеги также как и я не осилили эту хрень.
2.2) ESERV4 работает как прокси успешно, однако проблема раздать всем этот прокси. С учетом что есть DC раздал всем через GPO и жестко привязал чтобы нельзя было изменить. Однако этот прокси раздается только на IE. Хорошо например ammyy admin подхватывает его настройки, однако thunderbird, firefox нет. Наиболее ресурсоёмкое в разрезе сети конечно браузер. Как привязать жестко прокси на подобные приложения? А если кто-то portable запустит мимо меня? А если другие приложения появятся?
2.3)Тут у меня есть брешь в знаниях и соответственно сомнения, можно ли привязать прокси на комп в целом а не на приложения? То есть например хоть ammyy admin по сравнению с браузером не имеет той же нагрузки однако я хочу видеть его через прокси. В данном приложении не проблема поставить "без прокси". Отсюда вопрос можно ли использовать комп в качестве клиента прокси в целом, например socks? Или socks это лишь отдельные приложения не умеющие работать по протоколу http, типа skype? То есть почему к прокси должны обращатся приложения на компе а не в целом выступать комп в качестве клиента прокси? Бредовый вопрос, но поэтому и говорю что у меня брешь в знаниях.
3) Прокси я хочу использовать как дополнение к пункту 1. То есть в прокси можно просмотреть все что мне нужно в пункте 1 например с помощью ПО proxyinspector для eserv. На прокси соотвественно уже буду блокировать конкретные ресурсы чтобы отсеять заведомо известные ненужные сайты для использования сотрудниками. Возможно в дополнении буду использовать queue на mikrotik. Проблема в пункте 2, вопросы.
4) Глядя на схему что приложил у меня возникает вопрос, центральный свич(кабинет 1) с учетом того что есть в кабинете 5,7 серверы не стоит ли заменить на управляемый? Здесь несмотря на сертификаты у меня пробелов всё еще хватает. Я для себя не могу уяснить и расписать а соответственно подробно аргументировать руководству, у меня есть подозрения что глюки и медленная скорость работы приложений в локалке с локальными ресурсами происходит в том числе из-за того что отдельные свичи не управляемые, а значит общение по ARP идет гораздо чаще чем нужно? Логика следующая если свич не управляемый и из дешевого сегмента значит как минимум в момент установки соединения и назначения пакета на конкретный порт в первый раз он опросит все свои порты а потом пошлет пакет. К тому же что из себя представляет таблица маршрутизации в данных свичах, сколько она там живет, в каком объеме, как часто очищается по сравнению с тем же например МК? Соотвественно как часто с учетом всех этих операций выполняет всё это свич и есть ли у него загрузка, есть ли у него очередь?
5) на схеме также присутствует точки доступа, используя которые клиенты подключаются к нашей сети. При моей схеме как их можно выкинуть отдельно в другую сеть, чтобы назначать им соответствующие правила работы, но при этом они будут общаться с основной сетью? На текущий момент всё в одной куче в сети 192.168.0.0/24. Как правильно выкинуть пользователей в отдельную подсеть? Например я рассматривал вариант управляемые свичи по кабинетам, далее VLAN для разделения трафика wfi юзеров от остальных, а на МК соответственно объединить эти сети. В свою очередь авторизовать на все том же DHCP на DC(DHCP один в сети на текущий момент) но соответственно сделать для них скобу с другой сеткой 192.168.1.0/24. Соответственно отдельно wifi юзерам уже вообще можно не заморачиваясь ограничить общий трафик выше которого они не прыгнут. В отличии от основных рабочих станций здесь я даже вопрос не буду ставить а именно урежу всем трафик выше которого wifi юзеры не прыгнут.
То есть вопрос стоит в том что я хочу выкинуть wifi пользователей в отдельную сеть для того чтобы:
- они не забивали скобу dhcp в сети 192.168.0.0/24 на dc
- ограничить пропускную способность wifi юзеров
- дать возможность видеть из сети wifi 192.168.1.0/24 только отдельные хосты из 192.168.0.0/24 и ничего более. Сам пока не знаю как это реализовать, возможно от усталости уже бред несу
Сложный
