Segurança : Cisco Email Security Appliance

Que é o gerenciamento centralizado para e como pode um conjunto do gerenciamento centralizado ser criado?

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve que gerenciamento centralizado na ferramenta de segurança do email (ESA) representa e como um conjunto do gerenciamento centralizado pode ser criado.

Contribuído por Andrew Wurster e por Enrico Werner, engenheiros de TAC da Cisco.

Que é o gerenciamento centralizado para e como pode um conjunto do gerenciamento centralizado ser criado?

Background

A característica do gerenciamento centralizado permite você controle e configure dispositivos múltiplos ao mesmo tempo, fornecer o aumento da confiabilidade, a flexibilidade, e a escalabilidade dentro de sua rede, permitindo que você controle globalmente ao seguir com as políticas local. Um conjunto consiste em um grupo de máquinas com informação de configuração comum. Dentro de cada conjunto, os dispositivos podem mais ser divididos nos grupos da máquina, onde uma única máquina pode ser um membro de somente um grupo de cada vez. Os conjuntos são executados em uma arquitetura peer-to-peer - sem o mestre/relação escrava. Você pode registrar em toda a máquina para controlar e administrar o conjunto ou o grupo inteiro. Isto permite que o administrador configure elementos diferentes do sistema base em uma amplo cluster, a nível de grupo, ou da por-máquina, com baseado em seus próprios agrupamentos lógicos.

Exigências recordar

  • Todas as máquinas devem ter a conectividade IP.
  • Se usando nomes de host, certifique-se que tudo resolve corretamente - com harmonização para a frente de registros DNS “A” e de reverso “PTR”.
  • Deve haver uma Conectividade na porta TCP 22 SSH ou serviço de comunicação de 2222 conjuntos (CCS) ou na porta personalizada de sua escolha.
  • Todos os dispositivos devem ter o exato a mesma versão de AsyncOS e ser da mesma família de produtos (NOTA: Os dispositivos da série do C e X são interoperáveis).
  • Todos os dispositivos devem igualmente ter a chave de recurso do “gerenciamento centralizado” abaixo da versão 8.x.
  • Você precisará o acesso dos dados da linha de comando porque a ferramenta de gerenciamento de grânulos “clusterconfig” não está disponível no GUI.

Note que muitos ajustes podem ser alterados para que máquinas individuais ou os grupos da máquina cancelem vários ajustes. A ordem em que se aglomerou dispositivos herda seus ajustes é como segue: 1) MÁQUINA 2) CONJUNTO DE GROUP3). Alguns ajustes tais como nomes de host e interfaces IP, contudo, estão somente disponíveis a nível da máquina e replicated a outros membros de grânulos.

Por favor igualmente note que a característica de aglomeração é para finalidades do gerenciamento de configuração somente. Não fornece nenhum mecanismo inerente para dar a prioridade ou programar ao fluxo do tráfego do email entre membros diferentes. Para conseguir isto, um precisaria de usar pre as cercas idênticas do registro DNS (MX) ou um dispositivo separado do Balanceamento de carga ou algum outro mecanismo externo.

Solução

Para começar com um conjunto novo, você deve escolher um dispositivo que seja executado já inteiramente como uma máquina isolada. Esta máquina deve completamente ser configurada com todas as características desejadas tais como o host/tabelas destinatárias do acesso (CHAPÉU/RATO), políticas do fluxo de correio, filtros satisfeitos, e assim por diante. Este será um ponto de referência por que você pode formar o conjunto. 

Etapas preventivas a recordar

  1. Verifique que todas as máquinas têm seus endereço IP de Um ou Mais Servidores Cisco ICM NT e nome de host corretos.
  2. Assegure a Conectividade a todos os dispositivos na porta desejada para uma comunicação do dispositivo (que usa o comando do “telnet”).
  3. Certifique-se que o serviço que apropriado você escolhe (SSH, CCS, ou porta feita sob encomenda) foi permitido na relação desta máquina usando o “ifconfig > edita”.
  4. Crie um backup de configuração (com as senhas desmascaradas) antes de continuar usando o “mailconfig” ou o “saveconfig” por exemplo.

Em seguida, você pode criar os grupos do conjunto e da máquina que usam o comando do “clusterconfig”, e junta-se a uns ou vários dispositivos adicionais lhe:

Confiuration

  1. Comece a sequência de configuração do “clusterconfig” e forneça um nome para seu conjunto novo:
    • o clusterconfig > cria um conjunto novo
  2. Defina os parâmetros de comunicação IP, escolhendo uma ou outra definição do endereço IP ou nome do host.

    Nota: Neste momento, o conjunto pode tomar alguns segundos para construir e as mudanças serão comprometidas automaticamente.

  3. Aqui você pode escolher criar um grupo novo antes de adicionar máquinas ao conjunto novo. Quando você cria um conjunto novo, um grupo padrão chamado Main_Group está criado automaticamente. Contudo, você pode decidir rebatizar este ou criar os grupos adicionais que usam os comandos seguintes:

    • clusterconfig > renamegroup
    • clusterconfig > addgroup
  4. Adicionar máquinas novas ao conjunto e ao grupo. Estas etapas devem ser executada em todas as máquinas restantes que tiverem ser feitas ainda a membros de grânulos e puderem ser repetidas como necessárias. O processo pode ser levemente diferente segundo o protocolo de comunicação escolhido mais cedo.

    • o clusterconfig > junta-se a um conjunto existente sobre o SSH
      1. Você será alertado enfiar o serviço de comunicação do conjunto, que nós podemos ignorar desde que nós não estamos usando esse protocolo.
      2. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de uma máquina do conjunto existente. Esta pode ser toda a máquina do conjunto mas deve ser provida pelo IP, apesar de suas preferências de uma comunicação.
      3. Selecione a porta para uma comunicação SSH como definida durante a criação do conjunto.
      4. Incorpore a senha para a conta “admin” nas máquinas do conjunto existente. Você é mostrado a chave pública para este host para a confirmação. Você pode mais verificar este em todo o dispositivo no conjunto com os comandos seguintes:
            logconfig > hostkeyconfig > impressão digital

      Nota: Haverá um outro atraso quando o membro novo recuperar e aplicar a configuração de grânulos automaticamente.

    • o clusterconfig > junta-se a um conjunto existente sobre o CCS:

      1. A fim juntar-se a um conjunto sobre o CCS, você deve primeiramente entrar a um membro de grânulos e dizer-lhe que este sistema está sendo adicionado.  Em alguma máquina no conjunto executado:
             clusterconfig > prepjoin > novo
      2. Copie o hostname, número de série, informação chave SSH a fim colá-la na alerta do “prepjoin” de cima no membro do conjunto existente. Bata <RETURN> duas vezes para obter ao alerta principal, a seguir seja-o executado “comprometem” para aplicar as mudanças. “Comprometa” é neste tempo muito importante, como de outra maneira o dispositivo novo receberá uma falha de autenticação.
      3. Você será alertado enfiar o serviço de comunicação do conjunto, que abre um serviço novo sobre a porta TCP 2222 na relação de sua escolha.
      4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de uma máquina do conjunto existente. Esta pode ser toda a máquina do conjunto mas deve ser provida pelo IP, apesar de suas preferências de uma comunicação.
      5. Selecione a porta para o uso CCS como definido durante a criação do conjunto.
      6. Você é mostrado a chave pública para este host para a confirmação. Você pode mais verificar este em todo o dispositivo no conjunto com os comandos seguintes:

              logconfig > hostkeyconfig > impressão digital

        Nota: Haverá um outro atraso quando o membro novo recuperar e aplicar a configuração de grânulos automaticamente

  5. Use saídas tais como “estado” e seu relatório da “visão geral” verificar todo o fluxo e operação de sistema de correio é intacto antes de fazer um outro backup de configuração. Se em qualquer momento algo não parece direito - use simplesmente o “clusterconfig > o removemachine” para remover o dispositivo do conjunto e a reverter de volta a seus ajustes do máquina-nível.

    Nota: Remover a máquina final de um conjunto é não diferente de remover as máquinas geralmente, e eliminará eficazmente o conjunto completamente.

Agora que o conjunto é criado e de funcionamento corretamente, você pode começar a fazer o grupo diferente e o conjunto muda-os e vê- aplicar-se através de cada dispositivo.

Informações Relacionadas



Document ID: 118503