Время прочтения
4 мин
Просмотры 7.3K
Не так давно на нас свалилась задачка: обновить криптошлюзы (КШ) «Континент» с версии 3.7.5 до версии 3.9.1 на всей VPN-сети довольно крупного клиента. Сеть географически распределена и охватывает все часовые пояса нашей необъятной Родины. Всего – порядка 120 центров управления сетью (ЦУС) с подчиненными КШ. В общей сложности нам предстояло обновить более 3500 «зелёных» устройств. Насколько нам известно, мы одни из первых выполнили обновление такого масштаба с версии 3.7.5 на 3.9.1 без замены железа и настройки сети «с нуля». То есть именно обновили существующую сеть со всеми ее текущими настройками и оборудованием. Но, как говорится, есть нюансы. Зная их заранее, вы наверняка сможете сэкономить свои ресурсы, если затеете нечто подобное.
Нюанс 1. Чтоб не запороли пароли
ЦУС как устройство централизованного управления криптосетью хранит все данные о ее настройках, и очень важно не потерять их перед обновлением. Это легко сделать, сохранив конфигурацию ЦУС из программы управления (ПУ ЦУС). При этом важно задать пароль на латинице, а лучше использовать цифровой пароль, чтобы при загрузке конфигурации точно быть уверенным, что она попадет на ЦУС версии 3.9.1. У нас был случай, когда мы задали пароль в русской раскладке, но при загрузке конфигурации на ЦУС ввести пароль в русской раскладке невозможно – будьте внимательны.
Нюанс 2. Не все флэшки одинаково полезны
Следующий очень важный аспект – носитель, с которого загружается конфигурация. Как выяснилось в процессе, не все флешки для этого подходят, даже если они были отформатированы в FAT32 или подготовлены с использованием ПО ServiceTool (входит в комплект установки ПУ ЦУС). Нам не удалось до конца понять причину такого поведения. В то же время флешка из комплекта ЦУС (зеленая в виде ключика с логотипом вендора) в 99,9% случаев с первого раза загружала конфигурацию корректно.
Нюанс 3. Обновление конфигураций
Дабы в дальнейшем вы не тратили уйму времени зря, поговорим о еще одной распространённой проблеме – некорректной загрузке конфигурации ЦУС в процессе обновления. Итак, если ЦУС после прошивки отказывается загружать конфигурацию (пробовали 4 разные флешки), то нужно всего лишь еще раз его перепрошить.
Следите за тем, чтобы все КШ при сохранении конфигурации ЦУС были в «спокойном состоянии», то есть чтобы на них были применены и обновлены все настройки с ЦУС. Например, на некоторых управляющих устройствах мы столкнулись с тем, что из-за большого количества объектов в группах и, как следствие, большого числа правил фильтрации в базе, криптошлюзам не удавалось загрузить с ЦУС соответствующие обновления конфигурации. КШ бесконечно пытались это сделать (в ПУ ЦУС напротив КШ постоянно висел значок обновления).
Решить эту проблему помогли отключение некоторых правил фильтрации, содержавших большое количество различных сервисов, или удаление сетевых объектов из управляющих центров (удалили 100 идентичных подсетей, заведенных по стандартной матрице на всех ЦУС). В одном случае нам пришлось проделать обе операции.
Нюанс 4. Сайзинг оборудования
Этот вопрос особенно актуален для проектировщиков и архитекторов со стороны эксплуатации. Для управления криптосетью из более чем 80 КШ лучше использовать как минимум IPC-500, а если подчиненных КШ более 150, то IPC-1000. Например, после обновления наш ЦУС IPC-100, управляющий 128 КШ, начал «засыпать», отклика в ПУ приходилось ждать по несколько часов. После подключения второго, более производительного резервного ЦУС (IPC-1000) и переключения на него управление вернулось, и работа ЦУС восстановилась.
Ещё одна рекомендация проектировщикам и архитекторам по КШ, а также инженерам, тестирующим ту или иную процедуру. КШ лучше использовать именно для шифрования и как можно реже возлагать на него дополнительные сетевые функции (SPAN, QoS и прочие). Например, после обновления с 3.7.5 на 3.9.1 производительность КШ сильно упала (не факт, что такая проблема будет у вас, так как она весьма специфична, но разговор не об этом). После разбора проблемы выяснилось, что функционал SPAN стал потреблять больше ресурсов. В том же ключе проявился нюанс, связанный с логированием сетевого трафика: включение всех параметров мониторинга заметно «съедало» процессорные мощности. Мораль сей басни: чем больше задействовано функционала, тем больше нюансов нужно учитывать при тестировании или планировании технических работ.
Нюанс 5. Резервное копирование
И пара слов про бэкап ЦУС. Если не обновить все до одного подчиненные КШ в ПУ ЦУС до текущей версии, то конфигурация ЦУС, которую вы сохраните, в дальнейшем не будет пригодна для восстановления. ЦУС ее просто не примет.
Мы рекомендуем обновляться сразу на версию 3.9.1, минуя 3.9.0 (в 3.9.0 изменена логика применения правил фильтрации и работы КШ в «мягком режиме», затруднена работа КШ в кластере, а также имеется ряд мелких багов).
В любом деле очень важна подготовка, и чем больше разных бэкапов вы сделаете перед обновлением, тем лучше. Например, на всякий случай сделайте скрины или выпишите на листочек настройки интерфейсов и маршрутизации – вдруг придется откатываться.
Нюанс 6. Заключительный
Отдельно скажем, что при обновлении такого количества ЦУС и подчиненных им КШ в распределённой сети не обойтись без помощи вендора. Хочется отметить коллег из «Кода Безопасности», которые оказывали своевременную и всестороннюю поддержку: диагностику по месту возникновения проблем, оперативное моделирование и выявление нюансов на своих стендах. В этой связи в крупных VPN-сетях порекомендуем приобретать техническое сопровождение в обязательном порядке.
На этом всё. Всем удачи в непростом деле сопровождения отечественных VPN-сетей. И помните: глаза боятся – руки делают.
Евгений Веретенников, инженер 2-й линии администрирования, «Ростелеком-Солар»
Михаил Данилов, администратор информационной безопасности, «Ростелеком-Солар»
Ошибки АПКШ Континент и Континент АП
В работе с АПКШ Континент и Континент-АП от Кода Безопасности могут возникать ошибки. В данной статье мы рассмотрим распространенные проблемы и варианты их решения.
Некорректная кодировка Программы управления ЦУС Континент
Проблема: При входе в Программу управления ЦУС (ПУ ЦУС) некорректно отображается русский язык.
Решение: Данная ошибка появляется на ОС Windows, в которых системным языком выбран любой язык кроме русского. Ошибка связана с неподдерживаемой кодировкой кириллицы. Такое бывает, если операционная система использует системным языком английский.
Проверьте, что русский стоит в качестве языка программ, не поддерживающих Юникод. Для этого перейдите в Панель Управления -> Часы и регион -> Региональный стандарты -> Дополнительно -> Язык программ, не поддерживающих Юникод -> Текущий язык программ — Русский. Также убедитесь, что в качестве системного языка указан русский.
Поддерживаемые SFP-трансиверы
Вопрос: Какие SFP-трансиверы поддерживает Континент?
Ответ: Производитель не рекомендует использовать сторонние SFP-трансиверы. Для платформы без статуса ТОРП (модели без индекса R) имеется таблица совместимых трансиверов сторонних производителей.
Не отображается сервер БД в конфигураторе
Проблема: При подключении к БД через Конфигуратор БД журналов ЦУС и СД не отображается ни целевой сервер (отдельный сервер с БД SQL), ни база континент, находящаяся на нем.
Решение: При обновлении с 3.7 на 3.9 меняется структура полей БД. В связи с этим, при обновлении с 3.7 на 3.9 необходимо создавать новую БД для хранения журналов в конфигураторе версии 3.9. Также необходимо наличие установленного MSSQL на компьютере с Агентом ЦУС и СД на АРМ, с которого осуществляется подключение.
Далее рассмотрим ошибки Континент АП.
Континент АП Ошибка 628
Решение:
1. Проверить, работает ли подключение к интернету на АРМ.
2. Проверить, не заблокировали ли какие-либо программы служебные порты. Для этого можно использовать утилиту PortChecker (входит в комплект поставки).
3. Отключить МСЭ, брендмауэр, либо другое ПО, которое может блокировать служебные порты/протоколы Континент-АП (перечень представлен в документации: страницы 184-186).
4. Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов (ознакомиться можно в документации: страницы 184-186).
Ошибка 651 Континент АП
Решение:
Если при попытке подключения Континент-АП возникает ошибка 651: «Модем или другое устройство связи сообщило об ошибке», то возможны следующие варианты решения:
1. Необходимо проверить, включен ли в диспетчере устройств Минипорт WAN (IP). Его необходимо включить.
2. Убедитесь, имеется ли в списке сетевых интерфейсов Continent 3 PPP Device. В случае отсутствия – необходимо переустановить «Континент-АП».
3. В свойствах сетевого адаптера (модемного соединения в параметрах адаптера) может быть значок с красным крестом. Необходимо выбрать рабочий адаптер.
4. Возможной причиной неполадки могут быть выключенные службы tsservice и SecurityCode CSP. В случае если они выключены – их необходимо включить.
5. Должен быть запущен процесс EapSinger.exe. Рекомендуется включить его в автозагрузке.
Ошибка «Континент-АП (TLS-клиент) запущен у другого пользователя в прозрачном режиме»
Решение:
Ошибка «Континент-АП (TLS-клиент) запущен у другого пользователя в прозрачном режиме. Одновременная работа двух приложений в прозрачном режиме невозможна».
Для решения данной проблемы необходимо убедиться в том, что в системе действует всего один пользователь. Чтобы убедиться в этом, необходимо запустить «Диспетчер задач» и перейти во вкладку «Пользователи» и удостовериться, что активен только один пользователь.
Если активный пользователь один, но ошибка сохраняется, необходимо войти в BIOS компьютера и отключить опцию Secure Boot.
Не получилось решить проблему?
Решим первый тикет бесплатно
-
Выпуски
-
Группы
-
Подборки
-
Все вместе -
Автомобили -
Бизнес и карьера -
Дом и семья -
Мир женщины -
Hi-Tech -
Компьютеры и интернет -
Культура, стиль жизни -
Новости и СМИ -
Общество -
Прогноз погоды -
Спорт -
Страны и регионы -
Туризм -
Экономика и финансы -
Email-маркетинг -
Поиск авиабилетов
Компьютеры и интернет → Веб → Порталы
Учимся работать в компьютерных программах
1086
Вступить в группу
| Открытая группа |
|
53983 участника |
Администратор
Хомиченко Владимир
Важные темы:
- (ВАЖНО! Владельцам сайтов) Как публиковать анонсы в группе
(25)
Модератор
JoomlaSecrets.ru
Модератор
В ТОП 10
Модератор
Smart Payment
Модератор
DigitalExpert
Последние откомментированные темы:
-
Лучший чат-бот с искусственным интеллектом — какой из них вам подходит?
(1)
boris 1
,
13.01.2022
-
Новогоднее украшение рабочего стола ПК
(1)
Елена2022
,
21.12.2021
-
Как JPG преобразовать в Word с распознаванием текста
(1)
Olejaweb
,
13.11.2021
-
Как вернуть классическое ленточное меню в проводник Windows 11
(1)
Сергей Михайлов сын
,
26.10.2021
20230212231623
Реклама
- Темы
- Галерея
- Файлы
- Поиск по группе
← Предыдущая тема
Все темы
Следующая тема →
feniksdv
пишет:
|
Это интересно +1 |
||||
feniksdv
16.11.2012
В избранное
Пожаловаться
Просмотров: 5076
Комментарии 0
← Предыдущая тема
Все темы
Следующая тема →