Jump to content

Recommended Posts

Здравствуйте!

У нас имеется ЦОД, в котором разные информационные ресурсы (ИС). И, например, к ИС1 доступ только из подсети 10.10.х.х, а к ИС2 - из 10.20.х.х . 

На координаторе HW 3.5 для решения этой задачи делалось следующее: узлам, которым необходим доступ к ИС1 в секции virtualip вручную назначался адрес из нужного диапазона, для ИС2 аналогично и т.д., тем кому не нужен был доступ к ИС, этот параметр не менялся.

После обновления до v4 в координаторе слетают все данные  virtualip, их можно было восстановить и вручную, однако теперь после редактирования и команды iplir start все адреса все равно слетают к первоначальному пулу. Есть ли решение данной проблемы?

Share this post


Link to post
Share on other sites
40 минут назад, b.stanislav сказал:

После обновления до v4 в координаторе слетают все данные  virtualip, их можно было восстановить и вручную, однако теперь после редактирования и команды iplir start все адреса все равно слетают к первоначальному пулу

 Очень желательно внимательным образом прочитать документацию на продукт. В 4 версии прошивки очень многое изменилось. Теперь по умолчанию ведется контроль за перечением виртуальных адресов и автоматически корректрируются их конфликты. Вы это видите как "все, сделанное вручную, слетает", но есть и режим ручного выставления адресов, тогда конфликты становятся только Вашей личной проблемой, ПО их исправлять не будет, но и ручные настройки будут сохраняться.

 

Share this post


Link to post
Share on other sites

То, что многое поменялось, это заметно. Не подскажите в какой главе описаны данные моменты? смотрю документ "Настройка с помощью командного интерпретатора"

Share this post


Link to post
Share on other sites

iplir.conf это конфигурационный файл. Есть отдельный документ "Справочное руководство по командному интерпретатору и конфигурационным файлам". Обратите внимание на главу "Секция [visibility]" и "Секция [misc]". Для одиночных и диапазонов туннелируемых адресов возможно ручное назначение адресов видимости, для защищённых узлов только определение видимости по реальным или виртуальным адресам или с разбивкой видимости по сетям.

  Вручную задать конкретному защищённому узлу виртуальный адрес не получится, но:

 

2 часа назад, b.stanislav сказал:

к ИС1 доступ только из подсети 10.10.х.х, а к ИС2 - из 10.20.х.х

 В принципе данная задача должна решаться правилами МЭ (для диапазона ip задавать разрешающие правилса с опеределённых id узлов ), теперь для этого есть удобный веб-интерфейс.

Share this post


Link to post
Share on other sites

Уважаемый zero , был вопрос про виртуальные адреса узлов на координаторе, Вы пишите что имеется режим ручного выставления адресов , я изучил 2 документа по по командному интерпретатору и конфигурационным файлам, и ничего такого там не обнаружил. После Вы уже пишите про ручное назначение адресов туннелируемым ресурсам, что как бы совсем другое.

Удобный веб-интерфейс тут не поможет, каким удобным бы он ни был, т.к. в большой сетевой инфраструктуре ЦОДа существуют только чётко выделенные подсети и сети, и маршрутизация для них, и добавлять какие-то другие невозможно. Поэтому речь не о разрешающих правилах, а именно о том, что по пути от координатора до туннелируемых ресурсов адрес источника должен быть из пула наших адресов, а не выдуманного пула разработчиками инфотекса. Раньше это решалось очень просто, назначением вручную виртуальных адресов, неужели эту функцию просто убрали?

Share this post


Link to post
Share on other sites

 Да, речь шла именно об адресах туннелей, я именно так понял Ваше описание. 

 А Вы говорили про строку virtualip в секции каждого защищённого клиента? Т.е. Вы назначали для каждого клиента свой виртуальный адрес вручную правя конфиг iplir? 

Причём адреса брались из различных диапазонов?  Так в 4 версии не получится.

  

3 часа назад, b.stanislav сказал:

что по пути от координатора до туннелируемых ресурсов адрес источника должен быть из пула наших адресов, а не выдуманного пула разработчиками инфотекса.

 Пул выбрать можно и Ваш,  но он будет один и расставлять в нём адреса будет сам iplir.

Смысл настройки внутреннего МЭ  в ПАК в том, чтобы уйти от ненадёжной защиты по ip-адресу к определению правил пропуска трафика по id-узла. Его подделать или перепутать невозможно.

Share this post


Link to post
Share on other sites

Плюс можно оперировать группами узлов. Т.е. создаете две или N групп защищенных узлов, для которых разные права доступа к туннелируемым ресурсам. А дальше уже нужные клиенты добавляете в соответствующие группы. Вот кстати не пробовал еще группу у группу добавить. 

По сути дела как уже сказал Zero, управлять доступом к защищаемым ресурсом нужно на уровне правил МЭ, а не изменения виртуальных адресов. Причем именно в 4-ке реализовали долгожданный нормальный функционал управления правилами МЭ, для туннелируемых узлов. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.