1. Рекомендуется не использовать сценарии, в которых настройка S-Terra Gate выполняется как через CSM, так и вручную. Если потребность в таком сценарии существует, то надо стараться задавать вручную только те команды, которые CSM не использует в процессе настраивания S-Terra Gate.
Следует учитывать, что при отгрузке конфигурации, CSM может изменить или удалить некоторые из команд, которые существовали в изначально импортированной конфигурации, например ip local pool или crypto isakmp policy.
Для примера, рассмотрим, почему создание политики безопасности шлюза через CSM для работы с мобильными клиентами невозможно.
Порядок действий, который приводит к данному ограничению, следующий:
· шлюз добавлен в CSM для работы по одной из топологий
· при помощи CSM проведена централизованная настройка шлюзов по одной из топологий – FullMesh, Hub and Spoke, Point to Point
· затем, например, по SSH отредактировать конфигурацию одного из шлюзов для работы с мобильными клиентами – создать пул адресов, привязать к криптокарте, создать identity и др.
· после загрузки на шлюз созданной конфигурации через CSM, работа с мобильными клиентами будет невозможна в созданной топологии.
Причина состоит в том, что все пулы адресов, не привязанные к команде crypto isakmp client configuration address-pool local, CSM удаляет.
2. В случае применения сценария с резервированием шлюзов и использованием предопределенных ключей, необходимо учитывать, что S-Terra Gate не поддерживает возможность задания различных preshared ключей для основного и резервного шлюза.
Для успешной работы подобных сценариев необходимо задать одинаковые preshared ключи для всех партнеров либо вручную, либо, если указана автоматическая генерация ключей – в разделе View –> Policy View –>Site-to-Site VPN –> Preshared Key установить флажок Same Key for All Tunnels.
3. Возможны некоторые проблемы с восстановлением конфигурации. В некоторых случаях изменение или удаление существующих команд может быть безвозвратным: даже если в CSM удалить изменения, внесенные в конфигурацию, например, удалить VPN Topology, первоначальная конфигурация (которая была до Deploy) может не восстановиться в полном объеме. Более того, возможны ситуации, когда какие-то элементы конфигурации могут быть испорчены именно при отмене изменений, сделанных в CSM. Например:
· в первоначальной конфигурации была настройка crypto isakmp identity dn
· в CSM, в VPN Global Setings выставлена настройка Identity – Distinguished Name
· в прогружаемой из CSM конфигурации команда crypto isakmp identity отсутствует
· если потом удалить VPN Topology и снова прогрузить конфигурацию, то будет прописана команда crypto isakmp identity address (значение по умолчанию), что отличается от того, что было в первоначальной конфигурации.
4. S-Terra Gate не поддерживает функциональность Rollback, позволяющую вернуться к конфигурациям, которые были загружены в устройство ранее (Tools/Configuration Archive…).