Содержание
- Введение
- Иерархические сети ViPNet
- Рекомендации по миграции иерархических сетей в ViPNet Prime
- Миграция сетей в ViPNet Prime: порядок действий и ключевые требования
- Сценарий миграции
- Проверка готовности к миграции
- Экспорт данных из ViPNet Administrator
- Подготовка ViPNET Prime к миграции данных
- Процесс миграции данных в ViPNet Prime: копирование файлов и запуск миграции
- Донастройка после миграции
- Альтернативные варианты миграции
- Варианты миграции
- Что такое организация в ViPNet Prime?
- Пошаговая процедура для гибридного подхода
- Зачем нужны межсетевые взаимодействия?
- Как выбрать оптимальный вариант миграции?
- Ключевые факторы при планировании миграции в Prime
Введение
Мы продолжаем цикл статей, посвящённых новому комплексу управляющих ПО ViPNet Prime и миграции защищённых сетей под его управление. В прошлом материале мы разобрали процесс миграции данных из модулей ViPNet Policy Manager и ViPNet StateWatcher в ViPNet Prime.
В этой статье разберём миграцию иерархических сетей — а именно: процесс переноса сетей из‑под управления ViPNet Administrator под управление ViPNet Prime.
Сначала вспомним, что такое иерархия и зачем нужны иерархические структуры сетей: разберём, почему сети объединяют в сложные схемы и в чём ограничения стандартной ViPNet VPN‑сети.Затем рассмотрим, какие условия необходимы для миграции иерархической структуры под управление ViPNet Prime — нового поколения управляющих приложений ViPNet .
В статье покажем:
как подготовить сети к миграции;
как выполнить перенос под управление ViPNet Prime.
В завершение кратко расскажем об альтернативных вариантах миграции иерархических сетей, а также о том, на что обратить внимание при выборе наиболее подходящего способа.
Иерархические сети ViPNet
Иерархическая структура сетей ViPNet состоит из отдельных сетей — каждая имеет:
собственный номер;
центр управления;
администратора.
Объединяющим элементом структуры выступает лицензия. Она определяет главную сеть (с общей лицензией для всей иерархии) и подчинённые сети, входящие в иерархическую структуру сетей.
В главном центре управления хранится общая лицензия для всех сетей иерархии. Отсюда администратор может распределять лицензионные ограничения на подчинённые сети. Для передачи этих ограничений между главной и подчинёнными сетями строится межсетевое взаимодействие.
На этом иерархичность фактически заканчивается: за пределами вопросов лицензирования сети функционируют независимо друг от друга. Объекты в них могут не иметь никакой связи ни с главной сетью, ни с другими подчинёнными сетями.
Рис.1 Иерархическая система сетей ViPNet
Цели построения иерархических структур
Иерархия сетей создаётся преимущественно для крупных территориально распределённых сетей с большим числом объектов. Её ключевые преимущества:
Упрощение администрирования. Разделение на независимые структуры позволяет назначить отдельного администратора для каждого центра управления (ЦУ). Каждый администратор контролирует только узлы в своей сети и не взаимодействует с остальными частями системы. Это делает управление масштабной инфраструктурой реалистичным и эффективным — в отличие от централизованного контроля над единой гигантской сетью.
Гибкость настройки связей. Изолированные сети по умолчанию не взаимодействуют друг с другом. Если пользователи разных сетей не должны контактировать, отсутствие межсетевых связей гарантируется автоматически — их невозможно создать случайно или намеренно без явной настройки взаимодействия.
Автономное управление лицензиями. Иерархия даёт возможность перераспределять лицензии внутри структуры без обращения к поставщику. Имея набор лицензионных ограничений в главной сети, администратор может свободно перемещать и распределять лицензии между подчинёнными сетями по мере необходимости.
Таким образом, иерархическая структура сетей ViPNet сочетает централизованный контроль над лицензиями с децентрализованным управлением ресурсами, обеспечивая масштабируемость и безопасность для сложных распределённых инфраструктур.
Алиса
Рекомендации по миграции иерархических сетей в ViPNet Prime
Как выполнить миграцию иерархических сетей?
Основной рекомендуемый вариант миграции предполагает:
сохранение номера сети;
сохранение всех объектов и их свойств.
Такая миграция сети возможна только при переносе каждой отдельной сети под управлением ЦУС в отдельную сеть под управлением ViPNet Prime.
Одна из основных задач миграции — сохранить работоспособность сети на время перехода под новое управляющее ПО. Именно поэтому описанный подход рассматривается как основной и рекомендуемый.
Нередко можно услышать, что миграция иерархических сетей невозможна. На практике это утверждение справедливо лишь частично: миграция возможна, но требует предварительной подготовки.
Проблема заключается в том, что нельзя без подготовки перенести лицензию на иерархическую сеть или выполнить миграцию в рамках существующей иерархической структуры.
Рис.2 Схема миграции с сохранением отдельных сетей
Подготовка к миграции: получение новых лицензий
Перед началом миграции необходимо:
Получить набор новых лицензий.
Вывести сети из иерархической структуры ViPNet Administrator, превратив их в независимые сети.
Для каждой сети, входящей в иерархию, нужно запросить у поставщика лицензии новую лицензию для ViPNet Administrator с:
тем же номером сети;
всеми необходимыми лицензионными ограничениями.
Упростить процедуру выпуска лицензий помогут отчёты из ViPNet Administrator:
отчёт о структуре сети;
отчёт об использовании лицензий.
Приложите эти отчёты к запросу — это ускорит оформление новых лицензий.
После получения лицензий необходимо вывести сети из иерархической структуры:
Прекратите межсетевое взаимодействие, которое использовалось для передачи лицензионных ограничений из главной сети в подчинённые. При этом не нужно отключать все межсетевые связи, необходимые для работы пользователей.
Отзовите распределённые лицензии из главной сети в подчинённые.
Обновите лицензии во всех сетях (и в главной, и в подчинённых) — загрузите те, что были получены на предыдущем этапе.
В результате этих действий вы получите набор независимых, полностью работающих сетей ViPNet под управлением ViPNet Administrator. Изменения коснулись только иерархической связи в части лицензий — остальные параметры и функционал остались без изменений.
Теперь сети готовы к миграции в ViPNet Prime.
Миграция сетей в ViPNet Prime: порядок действий и ключевые требования
Для миграции сети в ViPNet Prime необходимо получить лицензии для Prime — с сохранением:
номеров сетей;
всех лицензионных ограничений, действующих в исходной сети.
Важные требования к лицензиям для Prime:
в лицензии на Prime должна присутствовать лицензия на клиент‑центр управления для операционной системы Linux;
для всех мигрирующих объектов должны быть предусмотрены лицензии в Prime;
объём лицензий на продукты и их функции в Prime должен быть не меньше, чем в ViPNet Administrator.
Поскольку ранее уже были получены лицензии для ViPNet Administrator, администратор располагает точными данными о количестве объектов и необходимых функциях.
Исходное состояние перед миграцией:
имеется набор независимых сетей под управлением ViPNet Administrator;
получены лицензии для Prime.
Порядок миграции каждой сети (главной и подчинённых) в Prime.
Выполните следующие шаги для каждой сети — порядок выполнения не имеет значения:
Подготовьте ViPNet Administrator:
убедитесь, что версия ViPNet Administrator( версия 4.6.11) и версии ПО на узлах поддерживаются в Prime;
используйте утилиту верификации — она должна вернуть отчёт без конфликтов и предупреждений. Это гарантирует успешную миграцию.
Подготовка ViPNet Prime (рекомендуется версия 1.9.11):
загрузите в Prime подходящую лицензию с тем же номером сети, которую планируете мигрировать;
зарегистрируйте модуль VPN (без создания узлов Центра управления и мастер‑ключей — эти действия выполняются в режиме миграции);
установите ПО Client for Linux на компьютер, где будет работать Prime.
Экспортируйте данные из ViPNet Administrator и импортируйте их в Prime.
Донастройте Prime и переведите сеть под его управление.
Рис.3 Порядок миграции на ViPNet Prime
Дополнительные действия перед миграцией
Перед началом миграции необходимо:
отправить актуальные справочники и ключи на узлы всех сетей — это предотвратит расхождение состояния между управляющим ПО и управляемыми узлами (иначе возможна неработоспособность сети);
если сохранены межсетевые взаимодействия — обменяйтесь актуальной межсетевой информацией и обработайте ответную межсетевую информацию (это обеспечит работоспособность взаимодействий после миграции);
расшифровать все письма деловой почты на узлах (если она используется) — после завершения миграции их можно будет зашифровать обратно.
Таким образом, соблюдение описанного порядка действий и учёт всех требований к лицензированию и подготовке данных обеспечат успешную миграцию иерархических сетей из ViPNet Administrator в ViPNet Prime без потери функциональности и с сохранением работоспособности сети на всех этапах перехода на ViPNet Prime.
Сценарий миграции
Рассмотрим пошаговый сценарий миграции, состоящий из пяти ключевых этапов:
Знакомство с сетью. Познакомимся со структурой сетей и выведем их из иерархии.
Подготовка ViPNet Administrator. Проверим готовность и экспортируем данные из Administrator.
Подготовка Prime. Напомним состояние установленного Prime.
Миграция сетей. Произведем импорт данных в Prime.
Настройка Prime. Переведем сети на управление из Prime и донастроим их.
Проверка готовности к миграции
В ViPNet Administrator отображается информация о сети. Из данных видно, что сеть имеет иерархическую структуру.
Рис. 4 Информация о сети в интерфейсе ViPNet Administrator.
Мы находимся в Центре управления главной сетью с номером 25 943. У неё есть две подчинённые сети: 25 944 и 25 945.
Иерархические сети отличаются возможностью распределения лицензий из главной сети в подчинённые. Убедимся в наличии этой возможности: переходим в меню «Лицензиии»,далее «Распредлить лицензию», и видно, что некоторые объекты уже распределены в подчинённые сети из главной.
Рис. 5 Раздел распределения лицензий в интерфейсе ViPNet Administrator.
Ещё один обязательный атрибут иерархической структуры — наличие межсетевого взаимодействия между главной и подчинёнными сетями.
Приступим к подготовке сети к миграции в ViPNet Prime. Для этого запустим утилиту верификации — она проверяет корректность конфигурации сети и её готовность к экспорту данных для последующего импорта в ViPNet Prime.
Рис. 6 Файл утилиты миграции ViPNet Prime.
После завершения работы утилиты получаем сводный отчёт: в нём указано, что сети не готовы к миграции.
Рис. 7 Завершенная проверка данных сети утилитой миграции ViPNet Prime.
Открываем развёрнутый отчёт, чтобы выявить конкретные проблемы и конфликты. В отчёте чётко указано: миграция иерархических сетей пока не поддерживается.
Рис. 8 Отчет о проверке данных сети утилитой миграции ViPNet Prime.
Прямая миграция иерархической сети невозможна. Чтобы продолжить, необходимо выполнить ранее описанные действия по подготовке ViPNet Administrator и выводу сети из иерархической структуры. Предварительно подготовлены все необходимые файлы лицензий — переходим к следующим шагам.
Шаг 1. Удаление межсетевого взаимодействия между главной и подчинёнными сетями
Выполните следующие действия:
1.Прекратите использование мастер-ключа в УКЦ.
Рис. 9 Прекращение использования мастер-ключа в интерфейсе ViPNet Administrator.
2.Удалите межсетевой мастер‑ключ.
Рис. 10 Удаление мастер-ключа в интерфейсе ViPNet Administrator.
3.Прекратите межсетевое взаимодействие в Центре управления сетью (ЦУС) между главной и подчинёнными сетями.
Рис. 11 Прекращение межсетевого взаимодействия в интерфейсе ViPNet Administrator.
Важно: если существуют межсетевые взаимодействия с сетями, не входящими в иерархическую структуру и между подчинёнными сетями, их удалять не нужно. Они сохраняются и продолжают работать в штатном режиме. Удаляется только связь между главной и подчинённой сетью для вывода сетей из иерархии.
Шаг 2. Отмена распределения лицензий
После прекращения межсетевого взаимодействия отмените распределение лицензий. Для этого необходимо зайти в меню «Лицензия» - Распределение лицензии» и достаточно снять галочки с распределения лицензии напротив соответствующих подчинённых сетей — вручную обнулять ранее распределённые пункты не требуется.
Рис. 12 Отмена распределения лицензий в интерфейсе ViPNet Administrator.
Шаг 3. Обновление лицензии для главной сети
Подготовьте главную сеть к выходу из иерархии
1.Обновите лицензию для сети.
Рис. 13 Обновление лицензии сети.
2.Убедитесь, что номер сети соответствует требуемому (в нашем случае — 25 943).
Рис. 14 Обновление лицензии сети.
3.Проверьте, что все необходимые лицензионные ограничения сохранены в обновлённой лицензии.
После выполнения этих действий главная сеть перестаёт быть частью иерархической структуры.
Шаг 4. Проверка готовности к миграции
Для подтверждения корректности выполненных действий повторно запустите утилиту верификации. В отчёте должно быть указано, что сеть готова к миграции в ViPNet Prime.
Рис. 15 Проверка сети утилитой миграции ViPNet Prime.
Таким образом, после вывода сети из иерархической структуры и проверки с помощью утилиты верификации система полностью подготовлена к следующему этапу — переносу данных в ViPNet Prime.
Прежде чем приступить к экспорту данных из ViPNet Administrator и их импорту в ViPNet Prime, проведём проверку состояния сети. В ней присутствует несколько заранее созданных клиентов‑координаторов. Запомните один из узлов — позже мы проверим, что он корректно мигрировал в ViPNet Prime.
Рис. 16 Клиенты сети в Центре управления сетью ViPNet Administrator.
Сначала необходимо отправить на все узлы сети актуальную справочно‑ключевую информацию. Это обязательно, если были изменены межсетевые взаимодействия или обновлена лицензия.
Первым шагом создаем и отправляем справочники.
Рис. 17 Создание справочников в Центре управления сетью ViPNet Administrator.
Рис. 18 Выбор узлов для отправки справочников.
Следующий шаг — создание и передача ключей в ЦУС.
Рис. 19 Создание и передача ключей в ЦУС.
Рис. 20 Выбор узлов для отправки справочников и ключей в интерфейсе ViPNet Administrator.
После отправки дождитесь подтверждения, что справочники и ключи получены и применены на узлах. В нашем случае видно, что справочники и ключи уже доставлены клиенту. Если при миграции состояние узлов не меняется и вы уверены, что все узлы содержат актуальные справочники и ключи, этот шаг можно пропустить.
Рис. 21 Справочники и ключи доставлены для клиента «Core Client».
Если в сети есть межсетевые взаимодействия, необходимо обменяться межсетевой информацией. Далее убедитесь, что автоматический режим в удостоверяющем ключевом центре (УКЦ) отключён. Наличие опции перехода в автоматический режим подтверждает, что УКЦ в нём не находится.
Рис. 22 Проверка нахождения УКЦ ViPNet Administrator в автоматическом режиме.
На текущий момент сеть под управлением ViPNet Administrator больше не является иерархической, лицензия обновлена, и сеть будет мигрировать как обычная ViPNet VPN‑сеть.
Экспорт данных из ViPNet Administrator
Теперь выполним экспорт данных из ViPNet Administrator с помощью утилиты бэкапирования. Мигратор состоит из двух частей: сначала происходит экспорт данных из ViPNet Administrator, затем — импорт данных в ViPNet Prime. Все необходимые скрипты, команды и инструкции содержатся в документации и в утилите миграции, которая входит в поставку.
Рис. 23 Экспорт данных из ViPNet Administrator с помощью утилиты.
В процессе экспорта переносятся узлы, связи, пользователи, туннелируемые ресурсы, DNS‑серверы, DNS‑зоны и так далее. После завершения работы утилиты в каталоге запуска появляются две директории: MS — данные, экспортированные из Центра управления (ЦУСа), и КС — данные, экспортированные из УКЦ. Эти директории необходимо скопировать на компьютер, где произведена установка ViPNet Prime.
Рис. 24 Созданные директории после завершения экспорта данных из ViPNet Administrator.
Перед началом миграции также следует проверить состояние ViPNet Prime: убедитесь, что система установлена, а на рабочем месте администратора присутствуют сертификаты, полученные для ViPNet Prime.
Подготовка ViPNET Prime к миграции данных
Перед началом миграции проверим состояние интерфейса ViPNet Prime — он уже знаком пользователям, многие устанавливали его самостоятельно.
Начнём с проверки лицензии: убедимся, что для сети загружена соответствующая лицензия. Напомним, что номер сети, в которую выполняется миграция, — 25 943.
Рис. 25 Проверка лицензии в интерфейсе ViPNet Prime.
Далее проверяем статус модуля VPN: видим, что он уже зарегистрирован — на левой панели интерфейса отображается иконка модуля.
При работе с модулем VPN может появиться предложение создать узлы центра управления. Не создавайте их — эти узлы будут перенесены из ViPNet Administrator в ходе миграции.
Рис. 26 Уведомление о создании узлов управления в интерфейсе ViPNet Prime.
Таким образом, на текущем этапе мы:
произвели установку ViPNet Prime;
загрузили лицензию для сети;
зарегистрировали модуль VPN.
После появления соответствующего сообщения о готовности системы можно считать, что ViPNet Prime подготовлен к приёму данных — мы готовы к миграции.
Ранее мы скопировали экспортированные данные на компьютер, где установлен ViPNET Prime. После переноса данных необходимо переключиться на этот компьютер — в нашем случае это виртуальная машина.
Рис. 27 Перенос директорий на машину с ViPNet Prime.
Важно: рекомендуем выполнять все действия непосредственно на компьютере с установленным ViPNet Prime, избегая удалённого доступа или использования SSH. Это критически важно на случай возможных сбоев: при возникновении проблем с системой вы рискуете потерять удалённый доступ и, как следствие, управление машиной.
Процесс миграции данных в ViPNet Prime: копирование файлов и запуск миграции
Экспортированные данные нужно разместить не произвольно, а в определённых каталогах рядом с утилитой миграции. При этом:
данные из удостоверяющего ключевого центра (УКЦ) помещаются рядом с мигратором;
данные из Центра управления (ЦУСа) — рядом с двумя другими скриптами, которые будут использоваться в процессе.
Перед запуском миграции убедитесь в отсутствии конфликтов и предупреждений в утилите верификации и в том, что ViPNet Prime установлен и готов к приёму данных.
Первым делом переведите ViPNet Prime в режим миграции с помощью скрипта up.sh. Этот скрипт подготовит ViPNet Prime к импорту данных, настроит базу данных, установит недостающие зависимости, необходимые для импорта.
Рис. 28 Запуск скрипта up.sh в терминале.
Продолжительность процесса зависит от сложности сети:
небольшая сеть (до 10 объектов, например, 3 координатора и 5 клиентов) мигрирует менее чем за 10 минут;
крупная сеть с тысячами объектов может потребовать до 12 часов.
После перевода в режим миграции запустите утилиту миграции — она наполнит ViPNet Prime данными: пользователями, узлами, связями, туннелями и т. д.
В процессе утилита запросит:
мастер-ПИН, заданный при установке ViPNet Prime (он потребуется при каждом запуске или перезапуске системы);
пароль администратора УКЦ.
После ввода этих данных утилита продолжит работу автоматически. В консоли и в отчёте вы увидите, как создаются клиенты, координаторы, переносятся DNS‑зоны и т. д.
Рис. 29 Запуск утилиты миграции, запрос мастер-ПИН и пароля администратора УКЦ.
При миграции не будут перенесены:
администраторы, созданные в ViPNet Prime (ролевая модель настраивается отдельно после миграции);
полномочия для каждого отдельного клиента;
межсетевые взаимодействия в статусе «не установлены».
Полный список импортированных и не импортированных данных приведён в документации.
После завершения работы утилиты выполните следующие шаги:
1.Выведите ViPNet Prime из режима миграции с помощью скрипта down.sh — это закроет базу данных, которая теперь полностью наполнена данными.
Рис. 30 Вывод Prime из режима миграции с помощью скрипта down.sh.
2.Перезагрузите виртуальную машину (или весь компьютер). Хотя можно просто перезапустить ViPNet Prime, полная перезагрузка предпочтительнее.
Рис. 31 Перезагрузка Prime через терминал.
Утилита миграции выполняет ряд проверок — помимо тех, что были сделаны утилитой верификации. Она проверяет версию ViPNet Prime, наличие и регистрацию модуля VPN, наличие подходящей лицензии, а также отсутствие лишних узлов в модуле VPN.
Если на любом из этапов (верификации сети в ViPNet Administrator, верификации данных из ЦУСа или верификации самого Prime) возникает ошибка, придётся:
переустановить ViPNet Prime;
повторить все подготовительные действия;
донастроить сеть в ViPNet Administrator.
Поэтому важно убедиться, что отчёт утилиты верификации в ViPNet Administrator не содержит ошибок и предупреждений, а также проконтролировать состояние ViPNet Prime перед миграцией.
После перезагрузки системы вводится мастер-ПИН — ViPNet Prime запускается автоматически при старте ОС. На этом миграция считается завершённой: данные экспортированы и импортированы, система готова к работе.
Рис. 32 Запуск Prime после перезагрузки системы и ввод мастер-ПИН.
Донастройка после миграции
Сначала следует убедиться, что система не требует создания узлов Центра управления — они уже скопированы. Затем необходимо создать недостающие мастер‑ключи: в ViPNet Prime используется больше ключей, чем в ViPNet Administrator, причём некоторые типы ключей в предыдущей системе отсутствовали.
Рис. 33 Создание недостающих ключей Prime после перезагрузки системы и ввод мастер-ПИН.
Далее нужно проверить корректность миграции — например, убедиться, что все узлы на месте.
Перевод сети под управление Prime
Поскольку Центр управления сетью всё ещё работает под ViPNet Administrator, нужно отключить VPN на узле Центра управления ViPNet Administrator, чтобы избежать конфликтов при обработке ответных квитанций от узлов. Затем следует донастроить Центр управления ViPNet Prime для полного перевода сети под его управление.
Для узла Центра управления необходимо:
1.Выпустить дистрибутив ключей и задать пароль (сложность — в соответствии с политикой организации).
Рис. 34 Создание дистрибутива ключей в ViPNet VPN.
2.Доставить дистрибутив Core Client.dst и пароль на узлы доверенным способом (для демонстрации мы его копируем на узел с ViPNet Prime).
Рис. 35 Копирование дистрибутива Core Client.dst на узел с ViPNet Prime.
3.Инициализировать дистрибутив локально на компьютере с установленным ViPNet Prime и Client for Linux.
Рис. 36 Инициализация дистрибутива на узле с ViPNet Prime.
Убедитесь, что инициализированный клиент — действительно клиент Центра управления вашей сети:
проверьте номер сети (в нашем случае — 25 943);
убедитесь, что узел находится в Core Network;
подтвердите использование алгоритма шифрования ГОСТ (если исходные узлы — четвёртого поколения);
проверьте статус VPN — он должен быть подключён.
Отправка справочников и ключей
Отправьте обновление справочников и ключей на узлы и отслеживайте прогресс в журнале транспортных конвертов:
отправьте справочники и ключи клиентов и координаторов;
Рис. 37 Отправка справочников и ключей клиентов в ViPNet VPN.
дождитесь подтверждения доставки и применения в разделе Журнала транспортных конвертов;
Рис. 38 Проверка доставки справочников и ключей клиентов в Журнале транспортных конвертов ViPNet VPN.
включите автоматическую отправку обновлений справочников и ключей для всех узлов в разделе Настройка модуля.
Рис. 39 Включение автоматической отправки обновлений ключей ViPNet Prime.
Исчезновение жёлтого баннера о регламентных работах означает, что система полностью перешла в рабочий режим.
Миграция подчинённых сетей
Переходим в ЦУС ViPNet Administrator.
Для подчинённых сетей (например, сети 25 945) выполните аналогичные действия:
1.Подготовка лицензии:
в меню «Лицензия» сохраните отчёт о лицензии своей сети — он содержит данные о типах узлов, инициализированных объектах и списанных лицензиях;
затем этот отчет вы можете передать вашему поставщику для получения новой лицензии.
Рис. 40 Сохранение отчета о лицензии своей сети в файл в интерфейсе ЦУС ViPNet Administrator.
2.Вывод из иерархии:
удалите межсетевое взаимодействие с бывшей главной сетью (удалите межсетевые мастер‑ключи);
Рис. 41 Удаление межсетевого взаимодействия с главной сетью в ViPNet Administrator.
сохраните другие межсетевые взаимодействия, если они нужны;
обновите лицензию в ViPNet Administrator — убедитесь, что номер сети и лицензионные ограничения соответствуют требованиям.
Рис. 42 Обновление лицензии ViPNet Administrator.
далее прекращаем межсетевые взаимодействия в ЦУС.
Рис. 43 Прекращение межсетевого взаимодействия в ЦУС ViPNet Administrator.
Далее запустите утилиту верификации и убедитесь в отсутствии ошибок.
Рис. 44 Проверка данных утилитой верификации ViPNet Prime.
Мы подготовились и заранее экспортировали данные и импортировали данные в ViPNet Prime по стандартной схеме.
3.Донастройка в Prime:
создайте мастер‑ключи;
Рис. 45 Создание мастер-ключей в ViPNet VPN.
отправьте справочники и ключи на узлы;
инициализируйте клиент Центра управления;
Рис. 46 Инициализация ключевого центра в интерфейсе ViPNet VPN.
проверьте корректность миграции (совпадение списков клиентов и координаторов);
Рис. 47 Сравнение списков клиентов в ViPNet Administrator и ViPNet Prime.
включите автоматическую отправку обновлений.
если нужно сохранить взаимодействие между узлами бывших главной и подчинённых сетей, создайте его в ViPNet Prime после миграции.
Краткий итог: основные шаги миграции
Чтобы мигрировать сеть из иерархической структуры в ViPNet Prime:
Получите новые лицензии для каждой сети в иерархии.
Прекратите межсетевое взаимодействие между главной и подчинёнными сетями.
Обновите лицензии в ViPNet Administrator.
Экспортируйте данные из ViPNet Administrator.
Импортируйте данные в ViPNet Prime.
Выполните донастройку в ViPNet Prime (создание мастер‑ключей, отправка справочников и ключей, инициализация клиента Центра управления).
Проверьте корректность миграции и включите автоматическую отправку обновлений.
На этом демонстрационная часть завершена. Все подчинённые сети мигрируются по той же схеме.
Альтернативные варианты миграции
Рассмотрим возможные способы миграции в наши сети. Выбор подхода зависит от сложности и масштабов существующей иерархической структуры сети.
Варианты миграции
Миграция всей структуры в один ViPNet Prime. Подходит для относительно небольших и несложных иерархий с ограниченным числом узлов.
Гибридный подход. Часть сетей мигрирует в отдельные Prime, часть объединяется внутри одного Prime.
При гибридном подходе, например при объединении главной сети и подчинённой сети № 1 в ViPNet Prime 1, потребуется вручную пересоздать некоторые узлы. Это включает создание узла в Prime, его настройку, формирование всех необходимых связей, выпуск дистрибутива и повторную инициализацию. Хотя миграция обычно ассоциируется с автоматизацией, такой подход оправдан благодаря механизму организаций в Prime.
Рис. 48 Миграция с объединением сетей.
Что такое организация в ViPNet Prime?
Организация — изолированная сущность внутри ViPNet сети (Prime), обладающая:
независимыми привилегированными пользователями (владельцем и администратором организации), которые управляют узлами внутри своей организации;
узлами, связанными только внутри организации и не имеющими внешних связей с другими организациями/сетями;
механизмом распределения лицензий: из одной лицензии на сеть можно выделить и распределить лицензии на отдельные организации без межсетевого взаимодействия (всё происходит внутри одной сети).
Важно: этот вариант целесообразен только при небольшом количестве узлов для ручного пересоздания. При тысячах узлов процесс станет чрезмерно трудоёмким.
Рис. 49 Иерархия организаций в ViPNet Prime.
Пошаговая процедура для гибридного подхода
Выбрать самую крупную и сложную сеть — её сохраняем и мигрируем с помощью утилиты миграции.
После завершения миграции создать в Prime организации для узлов из других сетей, которые не мигрировали автоматически.
Заранее распределить лицензии в созданные организации.
Выполнить перенос узлов: пересоздать их вручную в соответствующих организациях.
При необходимости создать межсетевые взаимодействия:
между ViPNet Prime и подчинёнными сетями под управлением ViPNet Administrator;
между разными Prime;
между ViPNet Administrator и несколькими Prime.
Зачем нужны межсетевые взаимодействия?
Миграция — процесс, растянутый во времени. Узлы переносятся не одновременно. Например:
часть узлов подчинённой сети № 1 уже перенесена в ViPNet Prime 1;
главная сеть полностью мигрировала;
часть узлов остаётся под управлением ViPNet Administrator.
Если эти узлы были связаны, пользователи должны сохранять возможность взаимодействовать. Межсетевое взаимодействие между ViPNet Prime и подчинённой сетью № 1 (ViPNet Administrator) позволяет сохранить связи на период миграции.
Рис. 50 Сохранение связи между узлами на период миграции в ViPNet Prime.
Как выбрать оптимальный вариант миграции?
Независимая миграция в отдельные проекты — оптимальный выбор для сложных структур с большим числом сетей и узлов. Ручное пересоздание в таких случаях нецелесообразно.
Миграция в один Prime с ручным пересозданием узлов — подходит, если:
количество узлов невелико;
в файле лицензии для Prime есть лицензия на организации (обязательно при использовании механизма организаций).
Рис. 51 Варианты миграции сети в ViPNet Prime.
При ручном пересоздании узлов можно локально обновить их до 5‑го поколения. Дистрибутив для таких узлов выпускается в Prime сразу как для узла 5‑го поколения. Это позволяет не только перенести сети под управление Prime, но и обновить ПО на управляемых узлах.
Ключевые факторы при планировании миграции в Prime
Учитывайте нефункциональные возможности продуктов:
1.Возможности Prime:
При миграции всех сетей в один Prime учитывайте количество узлов и связей, которые должны быть поддержаны.
Данные приведены в документации — сверяйтесь с ними при планировании.
2.Возможности узлов в Центре управления:
Учитывайте нефункциональные клиента и координатора центра управления, так как эти узлы связаны со всеми узлами сети и должны поддерживать и обрабатывать требуемое количество связей.
Таким образом, выбор стратегии миграции зависит от масштаба и сложности сети, а также от требований к управлению и лицензированию. Гибкость механизмов Prime позволяет адаптировать процесс под конкретные задачи, сочетая автоматизацию и ручное управление там, где это необходимо.
В следующей статье мы подробно разберём особенности миграции сетей ViPNet VPN: рассмотрим ключевые этапы, типичные сложности и способы их преодоления.
