Sécurité : Appareil de sécurité de courriel Cisco

Quoi est-elle la Gestion centralisée pour et la façon dont peut-elle une batterie centralisée de Gestion être créée ?

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit ce qui a centralisé la Gestion sur l'appliance de sécurité du courrier électronique (ESA) signifie et comment une batterie centralisée de Gestion peut être créé.

Contribué par Andrew Wurster et Enrico Werner, ingénieurs TAC Cisco.

Quoi est-elle la Gestion centralisée pour et la façon dont peut-elle une batterie centralisée de Gestion être créée ?

Fond

La fonctionnalité de gestion centralisée te permet pour parvenir et configurer de plusieurs appliances en même temps, pour fournir la fiabilité, la flexibilité, et l'évolutivité accrues dans votre réseau, te permettant pour gérer globalement tout en se conformant aux stratégies locales. Une batterie se compose d'un ensemble d'ordinateurs avec les informations de configuration communes. Dans chaque batterie, les appliances peuvent être encore divisées en groupes d'ordinateur, où un ordinateur simple peut être un membre de seulement un groupe à la fois. Des batteries sont mises en application en architecture peer-to-peer - sans des relations master/slave. Vous pouvez se connecter dans n'importe quel ordinateur pour contrôler et gérer la batterie ou le groupe entière. Ceci permet à l'administrateur pour configurer différents éléments du système sur une base batterie batterie, dans tout le groupe, ou de par-ordinateur, avec basé sur leurs propres groupements logiques.

Conditions requises de se souvenir

  • Tous les ordinateurs doivent avoir la connectivité IP.
  • Si utilisant des adresses Internet, assurez-vous que tout résout correctement - avec apparier en avant des enregistrements DNS « A » et de l'inverse « PTR ».
  • Il doit y avoir Connectivité sur le SSH du port TCP 22 ou le service de communication de 2222 batteries (CCS) ou le port personnalisé de votre choix.
  • Toutes les appliances doivent avoir le précis la même version d'AsyncOS et être de la même famille de produits (NOTE : Les appliances de gamme de C et X sont interopérables).
  • Toutes les appliances doivent également avoir la touche de fonction « de Gestion centralisée » au-dessous de la version 8.x.
  • Vous aurez besoin de l'accès de ligne de commande car l'outil de gestion de clusters « clusterconfig » n'est pas disponible dans le GUI.

Notez que beaucoup de configurations peuvent être modifiées pour que différents ordinateurs ou groupes d'ordinateur ignorent de diverses configurations. La commande dans laquelle a groupé des appliances héritent de leurs configurations est comme suit : 1) BATTERIE DU GROUPE DE L'ORDINATEUR 2) 3). Certaines configurations telles que des adresses Internet et des interfaces IP, cependant, sont seulement disponibles au niveau d'ordinateur et sont répliquées vers d'autres clusters members.

Veuillez noter également que la caractéristique de groupement est pour la gestion de la configuration seulement. Il ne fournit aucun mécanisme inhérent pour donner la priorité ou programmer à l'écoulement du trafic de courrier électronique entre différents membres. Pour réaliser ceci, on devrait utiliser les frontières de sécurité identiques d'enregistrement DNS pré (MX) ou un périphérique distinct d'Équilibrage de charge ou un autre mécanisme externe.

Solution

Pour commencer par une nouvelle batterie, vous devriez choisir une appliance qui déjà a été entièrement mise en application comme ordinateur autonome. Cet ordinateur devrait complètement être configuré avec toutes les fonctions souhaitées telles que l'hôte/tables réceptives d'accès (CHAPEAU/RAT), des stratégies de flux de courrier, les filtres satisfaits, et ainsi de suite. Ce sera un point de référence par lequel vous pouvez former la batterie. 

Étapes d'avertissement à se souvenir

  1. Vérifiez que tous les ordinateurs ont leur adresse IP et nom d'hôte corrects.
  2. Assurez la Connectivité à toutes les appliances sur le port désiré pour la transmission de périphérique (utilisant la commande de « telnet »).
  3. Assurez-vous que le service approprié que vous choisissez (SSH, CCS, ou port fait sur commande) a été activé sur l'interface de cet ordinateur utilisant le « ifconfig > éditez ».
  4. Créez une sauvegarde de configuration (les mots de passe étant démasqué) avant de continuer à l'aide du « mailconfig » ou du « saveconfig » par exemple.

Ensuite, vous pouvez créer la batterie et usiner des groupes utilisant la commande de « clusterconfig », et joignez un ou plusieurs appliances supplémentaires à elle :

Confiuration

  1. Commencez l'ordre de configuration de « clusterconfig » et fournissez un nom pour votre nouvelle batterie :
    • le clusterconfig > créent une nouvelle batterie
  2. Définissez les paramètres de communication IP, en choisissant l'adresse IP ou la résolution d'adresse Internet.

    Remarque: En ce moment, la batterie peut prendre quelques secondes pour construire et les modifications seront commises automatiquement.

  3. Voici que vous pouvez choisir de créer un nouveau groupe avant les machines à calculer à la nouvelle batterie. Quand vous créez une nouvelle batterie, un groupe par défaut appelé Main_Group est créé automatiquement. Cependant, vous pouvez décider de renommer ceci ou de créer les groupes supplémentaires utilisant les commandes suivantes :

    • clusterconfig > renamegroup
    • clusterconfig > addgroup
  4. Ajoutez les nouveaux ordinateurs à la batterie et les groupez. Ces étapes doivent être exécutées sur tous ordinateurs restants qui ont pour être faits encore à des clusters members et peuvent être répétés comme nécessaires. Le processus peut être légèrement différent selon le protocole de communication choisi plus tôt.

    • le clusterconfig > joignent un cluster existant au-dessus de SSH
      1. Vous serez incité à mettre sur pied le service de communication de batterie, que nous pouvons ignorer puisque nous n'utilisons pas ce protocole.
      2. Écrivez l'adresse IP d'un ordinateur de cluster existant. Ceci peut être n'importe quel ordinateur de batterie mais doit être mis en référence par l'IP, indépendamment de vos préférences de transmission.
      3. Sélectionnez le port pour la transmission de SSH comme définie pendant la création de batterie.
      4. Entrez le mot de passe pour le compte de « admin » sur les ordinateurs de cluster existant. Vous êtes affiché la clé publique pour cet hôte pour la confirmation. Vous pouvez plus loin vérifier ceci sur n'importe quelle appliance dans la batterie avec les commandes suivantes :
            logconfig > hostkeyconfig > empreinte digital

      Remarque: Il y aura un autre retard tandis que le nouveau membre récupère et applique la configuration du cluster automatiquement.

    • le clusterconfig > joignent un cluster existant au-dessus de CCS :

      1. Afin de joindre une batterie au-dessus de CCS, de vous doivent première connexion à un cluster member et lui dire que ce système est ajouté.  Sur tout ordinateur dans le cluster run :
             clusterconfig > prepjoin > nouveau
      2. Copiez l'adresse Internet, numéro de série, les informations de ssh key afin de les coller dans la demande de « prepjoin » de ci-dessus sur le membre de cluster existant. Frappez <RETURN> deux fois pour obtenir à l'invite principale, puis exécutez la « validation » pour appliquer les modifications. La « validation » à ce moment est très importante, comme autrement la nouvelle appliance recevra un échec d'authentification.
      3. Vous serez incité à mettre sur pied le service de communication de batterie, qui ouvre un nouveau service au-dessus du port TCP 2222 sur l'interface de votre choix.
      4. Écrivez l'adresse IP d'un ordinateur de cluster existant. Ceci peut être n'importe quel ordinateur de batterie mais doit être mis en référence par l'IP, indépendamment de vos préférences de transmission.
      5. Sélectionnez le port pour l'usage CCS comme défini pendant la création de batterie.
      6. Vous êtes affiché la clé publique pour cet hôte pour la confirmation. Vous pouvez plus loin vérifier ceci sur n'importe quelle appliance dans la batterie avec les commandes suivantes :

              logconfig > hostkeyconfig > empreinte digital

        Remarque: Il y aura un autre retard tandis que le nouveau membre récupère et applique la configuration du cluster automatiquement

  5. Les sorties d'utilisation telles que les « états et votre « état d'aperçu de système » pour vérifier tous les flux de courrier et exploitation du système est intacte avant de faire une autre sauvegarde de configuration. Si à un point quelconque quelque chose ne semble pas exacte - utilisez simplement le « clusterconfig > le removemachine » pour retirer le périphérique de la batterie et pour revenir à ses configurations niveau de l'ordinateur.

    Remarque: Retirer l'ordinateur final d'une batterie n'est pas différent de retirer des ordinateurs généralement et éliminera efficacement la batterie totalement.

Maintenant que la batterie est créée et fonctionnante correctement, vous pouvez commencer à faire le groupe différent et la batterie les change et voit s'appliquer à travers chaque appliance.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118503