Jump to content
Sign in to follow this  
spec89

HW1000/2000 пожелания

Recommended Posts

Добрый день! Хотелось бы увидеть следующее:

1) ip route есть. И даже работает двойная маршрутизация. Но после перезагрузки ПАКа всё откатывается. Есть случаи когда нужно создать таблицы, для маршрутизации пакетов с определенного IP-адреса.

2) SPAN порт (зеркалирование трафика).  В связке HW+IDS не всегда удобно использовать дополнительное оборудование для снятия трафика.

3) Расширить разрешенные порты в squid.conf (или дать возможность добавлять администратору). Сейчас там 80,443,21. Редко, но бывает ресурс расположен на не стандартном порту. Проблема временно решается редактированием конфига, но как и в первом пункте, всё до перезагрузки.

Share this post


Link to post
Share on other sites
13 часов назад, spec89 сказал:

Добрый день! Хотелось бы увидеть следующее:

1) ip route есть. И даже работает двойная маршрутизация. Но после перезагрузки ПАКа всё откатывается. Есть случаи когда нужно создать таблицы, для маршрутизации пакетов с определенного IP-адреса.

2) SPAN порт (зеркалирование трафика).  В связке HW+IDS не всегда удобно использовать дополнительное оборудование для снятия трафика.

3) Расширить разрешенные порты в squid.conf (или дать возможность добавлять администратору). Сейчас там 80,443,21. Редко, но бывает ресурс расположен на не стандартном порту. Проблема временно решается редактированием конфига, но как и в первом пункте, всё до перезагрузки.

Плюсую. Особенно PBR не помешал бы. Span тоже хорошая тема, причем в континентах давно уже работает.

Share this post


Link to post
Share on other sites

Нет аналога trace.

Нет расписания на перезагрузку.

В зависимости от версии прошивки в консоли нельзя задать имя правила firewall. (ну тут я могу сослаться на то, что НУЖНО обновляться каждый раз при выходе новой версии прошивки - ЦЕНА! 25!!!% от стоимости обновляемого узла! Да... Можно взять ТЕХПОД... но сможет ли сеть выдержать обновления? Что Коорды, что Клиенты.... имею горький опыт BSOD на Windows при обновлении с 3.х на 4.х... А исполнение 152 ФАПСИ при ЭТОМ? С учетом, в частности, что сейчас ее Требования и Требования ТЭД самого ИнфоТеКС'а нельзя выполнить - доступ в BIOS закрыт))) )

ДО СИХ ПОР не отработан механизм замены HW1000 на HW2000 (в 2018 году техподы мне сказали, что ЭТО невозможно))) но я сотворил "чудо" из 2000ка сделал тогда 1000ик)

ЗАЧЕМ было менять файл firewall.conf в user.xml????

В тройках, в кластерах не обменивались информацией о vlan'ах... о маршрутах....

В четверках же при кластере нельзя даже роуты прописать при пассиве - вся сетевая инфраструктура отключена... (ну почти)...

это только малая часть пожеланий из своего опыта общения с Випнетами с 2006 года.......

 

ЗЫ тройки были лучше

ЗЗЫ жалко разработчики тут рядом бывают(((

Share this post


Link to post
Share on other sites
7 часов назад, Politov Alexey сказал:

Нет аналога trace.

почему нет? traceroute-nanog из admin escape

7 часов назад, Politov Alexey сказал:

Нет расписания на перезагрузку.

machine set dailyreboot не подходит?

 

7 часов назад, Politov Alexey сказал:

но сможет ли сеть выдержать обновления?

Тысячи сетей выдерживают, а ваша особенная?

 

7 часов назад, Politov Alexey сказал:

ДО СИХ ПОР не отработан механизм замены HW1000 на HW2000

Если Вы имеете ввиду перенос правил фильтрации, то штатно действительно нельзя, нештатно рискуете получить кирпич. В перспективе обещают конвертер.

Если речь о замене без переноса настроек, то механизм отработан задолго до 2018 года.

7 часов назад, Politov Alexey сказал:

ЗАЧЕМ было менять файл firewall.conf в user.xml????

Вопрос риторический. Зачем инжекторные двигатели вытеснили карбюраторные?

7 часов назад, Politov Alexey сказал:

В четверках же при кластере нельзя даже роуты прописать при пассиве

А вам зачем разное состояние сети на разных нодах? чтобы при переключении у вас все прилегло? Все вендоры стремятся к синхронизации настроек в кластере, инфотекс тоже к этому пришел.

 

7 часов назад, Politov Alexey сказал:

тройки были лучше

И трава раньше была зеленее. Субъективное мнение. Кому-то и двойки были лучше, знаю некоторые сети до сих пор на них сидят и не парятся.

Share this post


Link to post
Share on other sites

А мы все продолжаем у себя кластером балансировать каналы: при выходе из строя основного - активная нода перезагружается и поднимается резервная через другого провайдера.


afterifconf, слава Богу, еще работает.

Так что, маршрутизацией на актуальных ПАК-ах в кластере еще как-то можно управлять.

 

Share this post


Link to post
Share on other sites
3 часа назад, volosnikov сказал:

А мы все продолжаем у себя кластером балансировать каналы: при выходе из строя основного - активная нода перезагружается и поднимается резервная через другого провайдера.


afterifconf, слава Богу, еще работает.

Так что, маршрутизацией на актуальных ПАК-ах в кластере еще как-то можно управлять.

 

может стоит для этого профильное оборудование поставить)?

Share this post


Link to post
Share on other sites
1 час назад, R.Sheyn сказал:

может стоит для этого профильное оборудование поставить)?

Философское наблюдение: что за чем ставить. Толи "профильное" оборудование перед ViPNet-ом, толи после. По буквам закона, вроде в WAN должен торчать HW, короче трюков у нас хватает)

Share this post


Link to post
Share on other sites
16.07.2020 в 01:17, R.Sheyn сказал:

почему нет? traceroute-nanog из admin escape

machine set dailyreboot не подходит?

 

Тысячи сетей выдерживают, а ваша особенная?

 

Если Вы имеете ввиду перенос правил фильтрации, то штатно действительно нельзя, нештатно рискуете получить кирпич. В перспективе обещают конвертер.

Если речь о замене без переноса настроек, то механизм отработан задолго до 2018 года.

Вопрос риторический. Зачем инжекторные двигатели вытеснили карбюраторные?

А вам зачем разное состояние сети на разных нодах? чтобы при переключении у вас все прилегло? Все вендоры стремятся к синхронизации настроек в кластере, инфотекс тоже к этому пришел.

 

И трава раньше была зеленее. Субъективное мнение. Кому-то и двойки были лучше, знаю некоторые сети до сих пор на них сидят и не парятся.

а зачем сваливаться в ОC? что нельзя трассировать в шелле випнета? зачем лишние действия?

 

После dailyreboot випнет бывает не поднимается....

Обновление с КС2 на КС3 не проводили? С 3ки на 4ку КС3 не проводили - попробуйте! виндовский коорд не настраивали? под линукс?

"льзя, нештатно рискуете получить кирпич. В " даже техпод сказали что ЭТО нельзя (потому что не описано в мануале)

а замена ОЧЕНЬ ПРОСТО - смена одного параметра в ЦУСе... переписка правил файрволла, маршрутов .... потому что adm exp key - только ключи и iplir, и маршрутов ни вланов....

 

а если вы vlan создадите, то он просто так работать не станет. попробуйте) хоть через консоль, хоть через ВЭБ... напишите потом свои впИчатления) с версией сборки) сертифицированной)

 

настройки в *ксе засовывать в xml.... когда текст проще и быстрей обрабатывать?

 

ЗЫ вы ИМХО мало работали с этим "РоссПО".... 2 года?

 

а как хорошо клиент работает с криптопро или континентом.... мммммм......

Share this post


Link to post
Share on other sites
16.07.2020 в 01:17, R.Sheyn сказал:

почему нет? traceroute-nanog из admin escape

machine set dailyreboot не подходит?

 

Тысячи сетей выдерживают, а ваша особенная?

 

Если Вы имеете ввиду перенос правил фильтрации, то штатно действительно нельзя, нештатно рискуете получить кирпич. В перспективе обещают конвертер.

Если речь о замене без переноса настроек, то механизм отработан задолго до 2018 года.

Вопрос риторический. Зачем инжекторные двигатели вытеснили карбюраторные?

А вам зачем разное состояние сети на разных нодах? чтобы при переключении у вас все прилегло? Все вендоры стремятся к синхронизации настроек в кластере, инфотекс тоже к этому пришел.

 

И трава раньше была зеленее. Субъективное мнение. Кому-то и двойки были лучше, знаю некоторые сети до сих пор на них сидят и не парятся.

на 3ах ноды не обменивались маршрутами и вланами...

на четверках - И НЕ НАДО!

на двойках.... на ЭТО НЕ ДОРАБОТКА ФСБ и ФСТЭК!

Share this post


Link to post
Share on other sites
16.07.2020 в 15:33, volosnikov сказал:

Философское наблюдение: что за чем ставить. Толи "профильное" оборудование перед ViPNet-ом, толи после. По буквам закона, вроде в WAN должен торчать HW, короче трюков у нас хватает)

а потом ищи-свищи, где не правильно работает...

чем проще - тем надежней!

Share this post


Link to post
Share on other sites
27 минут назад, Politov Alexey сказал:

ЗЫ вы ИМХО мало работали с этим "РоссПО".... 2 года?

мой опыт работы с випнетами более 10 лет, как раз начиная со второй версии.

Все ваши эмоции вызваны тем, что изменения вы не изучили и не учли их. Тем, что вас заставляют пересаживаться с насиженных алгоритмов работы, понимаю, тяжело.

22 минуты назад, Politov Alexey сказал:

и писать программы надо не изобретая велосипед, используя библиотеки, а прямым текстом!

вы хотели сказать надо писать так, чтобы именно вам было удобнее работать.

Share this post


Link to post
Share on other sites
6 минут назад, R.Sheyn сказал:

мой опыт работы с випнетами более 10 лет, как раз начиная со второй версии.

Все ваши эмоции вызваны тем, что изменения вы не изучили и не учли их. Тем, что вас заставляют пересаживаться с насиженных алгоритмов работы, понимаю, тяжело.

вы хотели сказать надо писать так, чтобы именно вам было удобнее)

Тоже более 10ти лет.

А про написание программ, надо писать в соответствии с техзаданием, без использования стороннего ПО - ЭТО ДОЛГО, СЛОЖНО, НО... МОЖНО.

Share this post


Link to post
Share on other sites
9 минут назад, Politov Alexey сказал:

надо писать в соответствии с техзаданием

Когда вы будете заказывать разработку ПО по вашему техзаданию, тогда сделают именно так, как вы простили(но это не точно).

 

10 минут назад, Politov Alexey сказал:

без использования стороннего ПО - ЭТО ДОЛГО, СЛОЖНО, НО... МОЖНО.

Сейчас где-то взгрустнулось Чекпоинту, Джуниперу и 90% брендов поменьше, а также всему отечественному сектору разработки, ну и немного Циске с их линейкой fw/ngfw начиная от pix и заканчивая firepower.

Share this post


Link to post
Share on other sites
56 минут назад, R.Sheyn сказал:

мой опыт работы с випнетами более 10 лет, как раз начиная со второй версии.

Все ваши эмоции вызваны тем, что изменения вы не изучили и не учли их. Тем, что вас заставляют пересаживаться с насиженных алгоритмов работы, понимаю, тяжело.

вы хотели сказать надо писать так, чтобы именно вам было удобнее)

Тоже более 10ти лет.

А про написание программ, надо писать в соответствии с техзаданием, без использования стороннего ПО - ЭТО ДОЛГО, СЛОЖНО, НО... МОЖНО.

Share this post


Link to post
Share on other sites

Уффф... что есть А и А'...

Что есть Loop,, как не безусловный переход go to? Что есть int13...

Про мануал...

Где напмсан переход со сменой платформы?

Читатели...

Share this post


Link to post
Share on other sites
1 час назад, R.Sheyn сказал:

мой опыт работы с випнетами более 10 лет, как раз начиная со второй версии.

Все ваши эмоции вызваны тем, что изменения вы не изучили и не учли их. Тем, что вас заставляют пересаживаться с насиженных алгоритмов работы, понимаю, тяжело.

вы хотели сказать надо писать так, чтобы именно вам было удобнее)

Тоже более 10ти лет.

А про написание программ, надо писать в соответствии с техзаданием, без использования стороннего ПО - ЭТО ДОЛГО, СЛОЖНО, НО... МОЖНО.

Share this post


Link to post
Share on other sites
1 час назад, R.Sheyn сказал:

мой опыт работы с випнетами более 10 лет, как раз начиная со второй версии.

Все ваши эмоции вызваны тем, что изменения вы не изучили и не учли их. Тем, что вас заставляют пересаживаться с насиженных алгоритмов работы, понимаю, тяжело.

вы хотели сказать надо писать так, чтобы именно вам было удобнее)

Тоже более 10ти лет.

А про написание программ, надо писать в соответствии с техзаданием, без использования стороннего ПО - ЭТО ДОЛГО, СЛОЖНО, НО... МОЖНО.

Share this post


Link to post
Share on other sites

Да что вы заладили 10 лет да 10 лет, да хоть 100 лет хоть 1000 - что то же должно оставаться не изменным ;-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.