b.stanislav Опубликовано 21 Марта 2018 Жалоба Поделиться Опубликовано 21 Марта 2018 Здравствуйте! У нас имеется ЦОД, в котором разные информационные ресурсы (ИС). И, например, к ИС1 доступ только из подсети 10.10.х.х, а к ИС2 - из 10.20.х.х . На координаторе HW 3.5 для решения этой задачи делалось следующее: узлам, которым необходим доступ к ИС1 в секции virtualip вручную назначался адрес из нужного диапазона, для ИС2 аналогично и т.д., тем кому не нужен был доступ к ИС, этот параметр не менялся. После обновления до v4 в координаторе слетают все данные virtualip, их можно было восстановить и вручную, однако теперь после редактирования и команды iplir start все адреса все равно слетают к первоначальному пулу. Есть ли решение данной проблемы? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 21 Марта 2018 Жалоба Поделиться Опубликовано 21 Марта 2018 40 минут назад, b.stanislav сказал: После обновления до v4 в координаторе слетают все данные virtualip, их можно было восстановить и вручную, однако теперь после редактирования и команды iplir start все адреса все равно слетают к первоначальному пулу Очень желательно внимательным образом прочитать документацию на продукт. В 4 версии прошивки очень многое изменилось. Теперь по умолчанию ведется контроль за перечением виртуальных адресов и автоматически корректрируются их конфликты. Вы это видите как "все, сделанное вручную, слетает", но есть и режим ручного выставления адресов, тогда конфликты становятся только Вашей личной проблемой, ПО их исправлять не будет, но и ручные настройки будут сохраняться. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
b.stanislav Опубликовано 21 Марта 2018 Автор Жалоба Поделиться Опубликовано 21 Марта 2018 То, что многое поменялось, это заметно. Не подскажите в какой главе описаны данные моменты? смотрю документ "Настройка с помощью командного интерпретатора" Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 21 Марта 2018 Жалоба Поделиться Опубликовано 21 Марта 2018 iplir.conf это конфигурационный файл. Есть отдельный документ "Справочное руководство по командному интерпретатору и конфигурационным файлам". Обратите внимание на главу "Секция [visibility]" и "Секция [misc]". Для одиночных и диапазонов туннелируемых адресов возможно ручное назначение адресов видимости, для защищённых узлов только определение видимости по реальным или виртуальным адресам или с разбивкой видимости по сетям. Вручную задать конкретному защищённому узлу виртуальный адрес не получится, но: 2 часа назад, b.stanislav сказал: к ИС1 доступ только из подсети 10.10.х.х, а к ИС2 - из 10.20.х.х В принципе данная задача должна решаться правилами МЭ (для диапазона ip задавать разрешающие правилса с опеределённых id узлов ), теперь для этого есть удобный веб-интерфейс. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
b.stanislav Опубликовано 22 Марта 2018 Автор Жалоба Поделиться Опубликовано 22 Марта 2018 Уважаемый zero , был вопрос про виртуальные адреса узлов на координаторе, Вы пишите что имеется режим ручного выставления адресов , я изучил 2 документа по по командному интерпретатору и конфигурационным файлам, и ничего такого там не обнаружил. После Вы уже пишите про ручное назначение адресов туннелируемым ресурсам, что как бы совсем другое. Удобный веб-интерфейс тут не поможет, каким удобным бы он ни был, т.к. в большой сетевой инфраструктуре ЦОДа существуют только чётко выделенные подсети и сети, и маршрутизация для них, и добавлять какие-то другие невозможно. Поэтому речь не о разрешающих правилах, а именно о том, что по пути от координатора до туннелируемых ресурсов адрес источника должен быть из пула наших адресов, а не выдуманного пула разработчиками инфотекса. Раньше это решалось очень просто, назначением вручную виртуальных адресов, неужели эту функцию просто убрали? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 22 Марта 2018 Жалоба Поделиться Опубликовано 22 Марта 2018 Да, речь шла именно об адресах туннелей, я именно так понял Ваше описание. А Вы говорили про строку virtualip в секции каждого защищённого клиента? Т.е. Вы назначали для каждого клиента свой виртуальный адрес вручную правя конфиг iplir? Причём адреса брались из различных диапазонов? Так в 4 версии не получится. 3 часа назад, b.stanislav сказал: что по пути от координатора до туннелируемых ресурсов адрес источника должен быть из пула наших адресов, а не выдуманного пула разработчиками инфотекса. Пул выбрать можно и Ваш, но он будет один и расставлять в нём адреса будет сам iplir. Смысл настройки внутреннего МЭ в ПАК в том, чтобы уйти от ненадёжной защиты по ip-адресу к определению правил пропуска трафика по id-узла. Его подделать или перепутать невозможно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Sarkan Опубликовано 27 Марта 2018 Жалоба Поделиться Опубликовано 27 Марта 2018 Плюс можно оперировать группами узлов. Т.е. создаете две или N групп защищенных узлов, для которых разные права доступа к туннелируемым ресурсам. А дальше уже нужные клиенты добавляете в соответствующие группы. Вот кстати не пробовал еще группу у группу добавить. По сути дела как уже сказал Zero, управлять доступом к защищаемым ресурсом нужно на уровне правил МЭ, а не изменения виртуальных адресов. Причем именно в 4-ке реализовали долгожданный нормальный функционал управления правилами МЭ, для туннелируемых узлов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.