Как сделать образ координатора HW1000, помогите пожалуйста...

[Alekc]

Нужно создать образ 1000, подскажите кто может, как грамотно это сделать.....

[KIV]

Цель?

[Alekc]

Цель одна, начальник сказал.....

 

[KIV]

Грузитесь с LiveUSB и dd в помощь.

[Vintik]

В 07.08.2016в19:03, KIV сказал:

Грузитесь с LiveUSB и dd в помощь.

Ага - загрузить какой не будь линукс и сказать - ВОТ это 1000-ник Випнетовский, теперь можно не покупать и с экономить мильоны :-)

[KIV]

Я так понял что нужна резервная полная копия человеку. 

[bmm]

Образ HW100, я делал с помощью ghost-а, а потом заливал тем же ghost-ом на другую 100 и всё работало.

В 12.08.2016в06:11, Vintik сказал:

Ага - загрузить какой не будь линукс и сказать - ВОТ это 1000-ник Випнетовский, теперь можно не покупать и с экономить мильоны :-)

А вот это не проканает, нужно железо точно такое же.

[Vintik]

Нет, не покупать не получился ДА и кому сдалась эта система если бы не требования ФСБ на более производительных цисках всё люди делают...

А на счёт "два" на виртуалке мин. требования и ресурсы бы всё равно использовались т.к. чисто для обучения. т.к. полностью делать копию, переносить на такие же производительные сервера.. - это уже воровство.

[Xenobius]

1 час назад, Vintik сказал:

ДА и кому сдалась эта система если бы не требования ФСБ на более производительных цисках всё люди делают...

Вот тут не очень соглашусь. Не забывайте, что "производительные циски" в несколько раз дороже. Особенно сегодня. Далеко не всем нужен весьма мощный HW2000 по цене почти в миллион. А аналоги HW1000 от Cisco стоят заметно больше. Поэтому часто может быть экономически выгодно использовать именно "тонники". Да, координаторы не работают с транками. В текущей версии. Но в будущих версиях многие аналогичные нужные функции будут реализованы. Вот тот же HW5000 готовится к выпуску. Да и в конце концов - чем так плохи требования ФСБ? Это к вопросу некоторых деятелей, которые я иногда слышу: "Та зачем вааще защищать эти персональные данные?". А касательно гостайны - так вообще "сам бог велел" использовать отечественные устройства максимально, где это возможно. Безусловно устройства Cisco очень надёжные, производительные и вообще хорошие со всех сторон. Сам их нежно люблю и в стрепетом вспоминанию как на участвовал в большом внедрении маршрутизаторов 2811 по краю на прошлой работе. Но как не крути - техника вражеская. Опять же - особенного сегодня. А в своей базе идея импортозамещения хороша и просто обязана реализовываться. Как она реализуется - это отдельная тема для разговора. 

[Vintik]

Я не говорю, что HW плохие, они отлично отрабатывают и даже хорошо пытаются увеличить функционал. Я говорю о том, что до них были у многих потрачены дени на те самые циски и т.п. оборудование, всё отлично реализовано и подумаешь не на ГОСТе шифрование, но и западный аналог тоже ещё не кто не сломал. И вот тут приходится поверх всего этого (или в разрыв и т.п.) ещё это всё накручивать.

А так конечно хорошо, пусть мы не можем производить такое оборудование, всё проще купить у Китайцев, но хоть софт ещё не разучились делать.

Потому она так и так "вражеская" ))) всё железо сделано не у нас и кто знает какие часики там во всё это встроено :-)

А так я не против HW, но опять эти циски возьмём в пример - вы лучше меня знаете как у них есть спец. по по настройки, планированию и тому самому обучению - бери, думай и делай!!! Вот я о чём - а тут? Тут 3 книги уже лежит.. а какие то реги чтоб это развернуть хотя бы на ту же обещанную с админом 4, по паре пользователей и координаторов - а фиг получишь :-( А без них эти книги просто бумага.

Учиться ездить к ним за тыщу км. да и толку от этих недельных курсов - пол года будешь работать если не год. чтоб такую поездку и обучение окупить, хотя по книге и с практикой - этому легко обучаешься за 2-3 месяца (хотя бы основы уже проверенного на опыте) и далее как раз уже легче и внедрять и расспространять - мол вот так это работает, всё отлично, а вот есть отличные обучающие матерьяла с которыми вы легко всё познаете и уже не чего на захотите применять :-)

[Xenobius]

Ну, с теми же цисками тоже можно помучаться, если не знать что там к чему. Книги, учеба - это всё хорошо и нужно. И по сути у каждого вендора могут возникнуть заморочки с пусконаладкой. Как вариант - расширенная поддержка от производителя. Помогут в конкретных случаях по настройке и запуску. Но тут да - за деньги.

[KIV]

Вы меня конечно извините, но по мне так сравнивать изделия корпорации мирового уровня задающей темп и вектор развития сетевых технологий с поделием группы лиц озадаченных получением заветных сертификатов от регуляторов просто нельзя, как и делить на 0.

Если первые вкладывают огромные деньги на разработку качественного ПО и компонентной базы, то вторые акцентируют свое внимание на выполнении одной задачи - шифрования даже не аппаратного.

Про различия в функционале молчу.

[Xenobius]

Конечно, отечественная элементная база - это пока только мечты. Но вот небольшое, но интересное исследование: ссылка.

[Vintik]

 

52 минуты назад, KIV сказал:

Про различия в функционале молчу.

Вот и молчите!))))) 

А я молчать не собираюсь и тут думаю вы сильно ошибаетесь и тем более деление на ноль приводите. Согласен, что задачи разные, но на ноль делить можно, просто это будет доступно для человечества, когда они поймут как использовать четвёртое измерение, а пока так и будем ограничено быть. 

Ну и пока нет других вариантов, будем на линуксовом обучаться, это тоже как вариант. 

[Xenobius]

2 часа назад, KIV сказал:

Вы меня конечно извините, но по мне так сравнивать изделия корпорации мирового уровня задающей темп и вектор развития сетевых технологий с поделием группы лиц озадаченных получением заветных сертификатов от регуляторов просто нельзя, как и делить на 0.

Если первые вкладывают огромные деньги на разработку качественного ПО и компонентной базы, то вторые акцентируют свое внимание на выполнении одной задачи - шифрования даже не аппаратного.

Про различия в функционале молчу.

Нуууу, как бэ, циски тоже когда-то в гараже начинали... Их главное преимущество в том, что они были "первее". А из этого получаются уже и все остальные плюшки и ништяки про надёжность, функционал, опыт и т.д.

И вообще, Вы хотите сказать HWшки, в частности, совсем не отрабатывают заявленный функционал и вообще только номинально выполняют задачи по шифрованию и защите, а только имеют сертификат и всё?

[Vintik]

27 минуты назад, Xenobius сказал:

И вообще, Вы хотите сказать HWшки, в частности, совсем не отрабатывают заявленный функционал и вообще только номинально выполняют задачи по шифрованию и защите, а только имеют сертификат и всё?

Да нееее! Это совсем он тогда не уважает и не понимает с чем имеет дело. Я даже не много с ними поработал, но уже понял это не так. К тому же если брать и сравнивать, то что одно, что другое - всё же сводится тем же сетевым платам - вот и всё ;-) А вот кто как сможет распоряжаться этими железками тот и будет править миром)) ой)) ну не миром, а просто быть в топе.

[KIV]

Давайте пофлудим

Заявленный функционал выполняют - вопросов нет, но он скуден до нельзя.

Еще раз повторюсь, что к реализации криптографических функции на HWx00 у меня претензий в рамках данной темы нет.

В HWx00 из сетевых функции есть (если неправ поправьте. И я не беру во внимание версию ПО 4.2 в которой реально что-то начало проклевываться):

1. статическая маршрутизация без возможности задания метрик.

2. МЭ с фильтрацией на 3 уровне OSI

3. NAT который до не давнего времени был без masquerade

4. DNS forwarder

5. DHCP relay (на сервер уж точно не тянет)

6. ...о ping можно запустить

И все это за более чем 20 лет существования компании на рынке информ безопасности???

На SSH второй версии перешли на лет 5 назад, vlanы появились года 2 назад, бриджей до сейх пор нет.

Что мешало взять дистрибутив *nix сетевой направленности, типа Vyatta, как это сделал один из отечественных разработчиков МЭ с достаточно добрым по меркам VipNet функционалом и разработать действительно мощное решение.

[Xenobius]

Вы знаете, когда я пытался протолкнуть внедрение ViPNet на предприятии, на котором сейчас работаю, "главный одмин" этого предприятия, как аргумент против этих устройст привёл то, что: "HWшки не умеют агрегировать каналы, а циски умеют". Суть в том, что он там уже что-то навертел сам по себе, не сказав об этом ничего и никому. А тут я, видите ли, "с каким-то випнэтом". В итоге из положения вышли так, что HW стоят на ASAми и другими просто мегадорогущими маршрутизаторами серии 39xx, которые спокойно гоняют уже зашифрованный, в соответствии с правосла.. пардон!... с отечественным шифрованием, трафик. И "о ужас!" - всё прекрасно работает. Правда в начале эксплуатации вдруг просела скорость передаваемого шифрованного трафика, на что мне было с опломбом указано. Но интегратор, внедрявший координаторы, нашёл решение как раз на стороне цисок - там дуплекс был неправильно настроен на портах. Настроили как надо - и работает. Как сказал на это один мой хороший знакомый: "Агрегаторы хреноваы...". Вот как-то так.

Я это к чему. Ну, давайте быть честными - компания существует 20 лет, да. Но не 20 лет существуют и внедряются HWшки. Возможно, по чьему-либо мнению, их развитие происходит не достаточно быстро. Но ведь происходит! Москва же тоже не сразу строилась, как и все другие города нашей замечательной и необъятной Родины.

[KIV]

Согласен - не все сразу, но и темпы не радуют. 

Мы когда просчитываем проект внедрения VipNet вырисовываем сеть заказчика еще закладываем маршрутизаторы гибкие от бесплатных Линукс шлюзов (в случае отсутствия денег), до маршрутизаторов аппаратных. Это бы не требовалось, если бы те же HW умели больше обычных стандартных и просто реализуемых фич из Linux (OSPF, LACP, Bridge, SPAN port, GRE, DHCP на разных интерфейсах, iperf, (VRRP, conntrackd вместо унылого failoverd) и т.д.).

После прочтения changelog на версию 4.2 я тоже порадовался за грядущий функционал, но сколько времени то должно еще пройти чтобы покупая HW1000 за эти немалые деньги можно было не заботится о том, что придется еще кучу железок ставить до и после HW для интеграции с сетью заказчика.

[Xenobius]

С одной стороны, да - согласен. Очень хорошо было, если бы железка умела всё - шифровать, маршрутизировать, агрегировать и ещё чёрта лысого... Тогда можно было бы экономить. Всё, как часто, упирается в деньги. Но с другой стороны - координаторы HW позиционируются именно как программно-аппаратные комплексы именно шифрования информации, в котором есть ещё сетевой экран, ибо так надо. Всё! Я так понимаю, изначально никто не обещал весь набор функционала по маршрутизации и коммутации. А то, что в крайних версиях появляется как раз весь этот необходимый функционал активного сетевого оборудования - это, с одной стороны удовлетворение потребностей рынка и конечного покупателя, с другой - всё таки некое развитие устройства. Дорогущая железка для шифрования, всё таки, должна точно хорошо уметь одно дело - шифровать. Вот есть аппаратные датчики случайных чисел. Здесь присутствующие наверняка знают про них - как выглядят, для чего нужны и т.д. Но вот честно, я как-то не задумывался (ну не было служебной и другой необходимости), что кроме PCI-плат есть такие устройства в рэковом исполнении монтируемые в 19" стойку. Есть целая линейка таких устройств. Я так понимаю, они делают только одно - генерируют, как там пишут, "по-настоящему случайные числа". Трафик они не маршрутизируют. Не агрегируют...

Ох забанят нас за флуд и оффтоп...

[Vintik]

Ну раз пошла такая пьянка, я бы что то тоже сказал, да нечего не понимаю, так как вы. Но в целом конечно согласен - хочется то лучшего и сразу.

НО тут вы же сами поняли - первоначально задача HW была в другом и только сейчас многим хочется большего. Как тут у мня был случай, где и познакомился с HW, когда всего то надо было их включить в готовую структуру и прописать тунели... но когда заказчик понял как это им "лениво" и не выгодно всё прописывать, захотели просто по L2 и тогда им совсем не чего не пришлось вроде как особо менять. И тут как раз версия 4.2 и спасла, хотя видите это уже куда клонит? Мол не хочу я так думать и всё писать - хочу раз и чтоб всё было. И вот потому, чтоб угодить таким потребностям и желаниям и приходится идти на новые реализации. А то мол хотим и трактор, и самолёт и чтоб ещё плавал :-)

[Xenobius]

Да, всё так. Это старая байка про одну кнопку у админа "Сделать всё ништяк!".

[Vintik]

Интересно как всё же сделали копию