Процедура перехода с Win-координатора на HW1000

[kondigor]

В одной из сетей пришло время переезжать с Win-координатора на HW1000.

Сеть состояла из одного Win-координатора, машинки Vipnet Administartor 4.6.4, все остальное - это внешние организации с 1-2 машинками с Vipnet Client разнообразных версий. Сложность в том, что клиенты имеют связи не только с координатором, но и некоторые клиенты связаны друг с другом (для общения по деловой почте).

Пока что завел в ЦУС объект для HW1000, дал ему связи только с Win-координатором и Vipnet-Admin. Сетевыми интерфейсами HW1000 подключен параллельно Win-координатору: на WAN-интерфейсе белый статический адрес (соседний с адресом Win-координатора), на LAN-интерфейсе внутренний статический адрес (тоже соседний с внутренним адресом Win-координатора).

В документации на ЦУС 4.6.4 описана процедура переноса клиента на другой координатор:

Цитата

Чтобы изменить транспортный сервер клиента, выполните следующие действия:
1 В окне ViPNet Центр управления сетью выберите представление Моя сеть.
2 На панели навигации выберите раздел Клиенты.
3 На правой панели дважды щелкните нужный сетевой узел.
4 В окне свойств сетевого узла нажмите кнопку Выбрать, расположенную справа от поля Координатор (см. рисунок на стр. 129). В появившемся окне подтвердите смену координатора, нажав соответствующую кнопку.
5 В открывшемся окне выберите в списке нужный координатор и нажмите кнопку Выбрать.
6 Чтобы сохранить изменения, нажмите кнопку ОК. Клиент будет зарегистрирован на выбранном координаторе, при этом автоматически изменится сетевой адрес клиента, содержащий номер координатора и номер клиента на координаторе. Если выбранный координатор не был связан с клиентом, такая связь будет создана автоматически. Сервер IP-адресов клиента также изменится. Он останется прежним, если был изменен вручную ранее (см. «Смена сервера IP-адресов» на стр. 134).
7 Для всех узлов, для которых это требуется, создайте и отправьте справочники и ключи (см. «Обновление справочников и ключей» на стр. 87). Для старого координатора, на котором клиент был зарегистрирован до изменения, автоматически будет сформировано отложенное обновление с временем применения, заданным в настройках программы. Если вы хотите отложить применение обновления на старом координаторе на более поздний срок, при отправке задайте время вручную. Заданное вручную время должно быть больше времени, заданного в настройках, иначе для отложенного обновления будет использоваться время из настроек.
8 После того, как обновление будет принято на клиенте, для которого был изменен координатор, и на новом координаторе клиента, смена транспортного сервера для этого клиента завершена. При этом для старого координатора автоматически будет сформировано повторное обновление для немедленного применения, статус ключей координатора изменится на Готовы к отправке. Вы можете отправить на старый координатор повторное обновление, чтобы не дожидаться применения первого отправленного обновления.

 

[kondigor]

Вопрос про расслыки:

Цитата

7 Для всех узлов, для которых это требуется, создайте и отправьте справочники и ключи

Потребуется ли рассылка справочников всем клиентам с которыми связан переносимый клиент, или рассылка будет нужна только переносимому клиенту, координаторам (старому и новому)?

[KostiK2011IT]

Можете просто у текущего узла, который установлен на координаторе сменить роль с Программный VPN координатор на Coordinator HW1000 и не мучаться с переносом узлов.

Далее развернуть dst с новой ролью на ПАК HW (использовать сетевые параметры программного координатора), затем заменить им программный, потом разослать справочники на узлы. Если все правильно будет настроено и быстро переткнете провода, то пользователи, возможно и не заметят перебои, но лучше заранее запланировать работы и всех проинформировать.

Единственное, если есть очередь конвертов на программном координаторе, то она утеряется (не знаю как ее стандартными средствами с координатора Win на HW перенести), но всегда можно пользователей поросить переотправить письма при необходимости.

[zero]

35 минут назад, KostiK2011IT сказал:

Можете просто у текущего узла, который установлен на координаторе сменить роль с Программный VPN координатор на Coordinator HW1000 и не мучаться с переносом узлов.

Далее развернуть dst с новой ролью на ПАК HW (использовать сетевые параметры программного координатора), затем заменить им программный, потом разослать справочники на узлы. Если все правильно будет настроено и быстро переткнете провода, то пользователи, возможно и не заметят перебои, но лучше заранее запланировать работы и всех проинформировать.

Единственное, если есть очередь конвертов на программном координаторе, то она утеряется (не знаю как ее стандартными средствами с координатора Win на HW перенести), но всегда можно пользователей поросить переотправить письма при необходимости.

Актуальная документация на ПАК содержит документ "ViPNet Coordinator HW 4. Перенос очереди конвертов MFTP".

[kondigor]

Да, документ про перенос очереди mftp я уже запрашивал.

А вот сценарий с заменой роли для Win-координатора, выпуском DST и заливкой этого DST на HW1000 - он является поддерживаемым и описанным, или это из личного опыта?

[zero]

2 часа назад, kondigor сказал:

Да, документ про перенос очереди mftp я уже запрашивал.

А вот сценарий с заменой роли для Win-координатора, выпуском DST и заливкой этого DST на HW1000 - он является поддерживаемым и описанным, или это из личного опыта?

Нашите в ТП, обычно именно этот вариант они и предлагают, с переносом клиентов за другой координатор сценарий гораздо более сложный

[KostiK2011IT]

3 часа назад, zero сказал:

Актуальная документация на ПАК содержит документ "ViPNet Coordinator HW 4. Перенос очереди конвертов MFTP".

Можете поделиться этим документом? Или надо в поддержку писать?

[zero]

6 минут назад, KostiK2011IT сказал:

Можете поделиться этим документом? Или надо в поддержку писать?

нужно запросить в ТП.

[KostiK2011IT]

3 часа назад, kondigor сказал:

Да, документ про перенос очереди mftp я уже запрашивал.

А вот сценарий с заменой роли для Win-координатора, выпуском DST и заливкой этого DST на HW1000 - он является поддерживаемым и описанным, или это из личного опыта?

К тому же, даже если перенесете клиентов на другой координатор, то программный вам из эксплуатации все равно выводить, т.к. поддрежка кончается и сертификация продлеваться не будет, а,  как я понял, за этим программным координатором находится и ЦУС с УКЦ, а чтобы их перецепить на другой координатор - это отдельная песня с перезаливкой dst на координатор, за который ЦУС и УКЦ переносите .

[R.Sheyn]

12.11.2021 в 12:03, kondigor сказал:

Да, документ про перенос очереди mftp я уже запрашивал.

А вот сценарий с заменой роли для Win-координатора, выпуском DST и заливкой этого DST на HW1000 - он является поддерживаемым и описанным, или это из личного опыта?

Проще заменой роли, нежели переносить админа и клиентов за новый координатор.

Процедура простейшая. Делаете бэкап админа. Меняете в ЦУС роль, формируете справочники, но не отправляете. В УКЦ делаете dst, настраиваете hw, переключаете коммутацию на него, проверяете, что связи все поднялись. Рассылаете справочники на всю сеть.

[kondigor]

12.11.2021 в 16:15, zero сказал:

с переносом клиентов за другой координатор сценарий гораздо более сложный

Да, в пятницу убедились в этом. После переноса одного тестового клиента на новый координатор - новые справочники сформировались не только для этого клиента, обоих координаторов и ЦУС, но и для всех клиентов, имевших связи с переносимым. При большом количестве связей между клиентами - это аццкий веер рассылок

[kondigor]

Спасибо за идею со сменой роли, это многое упростит. Запрос в ТП не потребовался, оказывается этот вопрос уже описан в официальном FAQ техподдержки (за что ей честь и хвала). Стоит иногда перечитывать FAQ, даже если давно работаешь с продуктом

https://infotecs.ru/support/faq/vipnet-coordinator-hw/

Цитата

Необходимо заменить программный координатор на ПАК HW. Возникла необходимость заменить программный координатор (Windows/Linux) на программно-аппаратный комплекс HW. Программный координатор является основным, на нем зарегистрирован ЦУС + он имеет связи с другими HW. Можно ли это сделать без переноса клиентов на новый координатор?  

Для реализации переноса необходимо выполнить следующие действия:

1. В ЦУС для данного координатора изменить роль на необходимую: например, при замене программного координатора на ПАК HW1000 следует указать роль «Coordinator HW1000».
Внимание! Рассылку справочников до полного завершения работ выполнять не нужно!
2. Сформировать новый dst файл для этого узла, выполнить первичную инициализацию и настройку ПАК HW в соответствии с настройками действующего программного координатора.
3. Подключить ПАК HW в изолированном сегменте и проверить, что связь работает корректно.
4. В технологический перерыв произвести переключение на ПАК HW, убедиться, что связь с узлами установлена.
5. Проверить работоспособность бизнес-сценариев.
6. В ЦУС сформировать и отправить справочники на тестовую группу АП, проверить, что они проходят и применяются корректно.
7. В ЦУС переименовать пользователя программного координатора на ПАК HW (при необходимости), после чего разослать справочники на все узлы.

Плюсы данного сценария в том, что для пользователей замена происходит незаметно, никаких настроек менять не нужно.

В случае возникновения проблем на выполнении п. 4–7 можно произвести переключение обратно на программный координатор.

Внимание! В данном примере не рассматривается задача по переносу очереди MFTP с программного координатора на ПАК HW.

Аналогично, можно проводить замену ПАК HW различных платформ, например, в случае замены ПАК HW на более производительную платформу.

 

[kondigor]

Наверное, после шага 1 не хватает пункта про сформировать справочники только для координатора (после замены роли но перед созданием dst)?

Остается только вопрос, на заключительном шаге 7 потребуется рассылка справочников на все клиенты сети?

[zero]

14 часов назад, kondigor сказал:

Наверное, после шага 1 не хватает пункта про сформировать справочники только для координатора (после замены роли но перед созданием dst)?

Остается только вопрос, на заключительном шаге 7 потребуется рассылка справочников на все клиенты сети?

Если справочники в состоянии, требующим их формирования, то новый dst для данного узла никак не выпустить. Тут видимо всё-таки инструкция в расчете на опытного администратора

[kondigor]

Ну вот я и заметил :-)

А FAQ наверное стоит подправить, его ведь и неопытные читать будут

[KostiK2011IT]

12.11.2021 в 15:28, zero сказал:

нужно запросить в ТП.

Спасибо за подсказку, документ запросил и получил.

[kondigor]

14 часов назад, kondigor сказал:

Остается только вопрос, на заключительном шаге 7 потребуется рассылка справочников на все клиенты сети?

А про этот момент что скажете? Приведет ли замена роли координатора к рассылке для всех имеющихся в сети клиентов? И если рассылка потребуется для всех - то чем грозит ее не-получение отдельными клиентами (что в большом стаде вполне возможно)?

[KostiK2011IT]

Справочники разослать надо будет, чтобы клиенты узнали, что роль на координаторе сменилась, но отсутвие этих справочников у клиентов, по-моему, на работу не повлияет.

[kondigor]

Переезд с заменой роли прошел без проблем, разве что с переносом очереди MFTP-конверов возникла проблемка.

По документации для координатора 4.3 нужно было брать папку " C:\Program Files (x86)\InfoTecs\ViPNet Coordinator\out\ENV". Но оказалось, что файлы в ней старые, и их количество не совпадало с количеством файлов в очереди, которое казал интерфейс MFTP. В итоге очередь нашлась в " C:\Program Files\InfoTecs\ViPNet Coordinator\out\ENV". Возможно, это последствия обновления еще более древней версии до 4.3.

Веерную рассылку после замены роли координатора пока не делали всем, отложили на пару дней.

Всем спасибо за комментарии и советы