安全 : Cisco ScanSafe Cloud Web Security

Cloud Web安全迁移步骤和常见问题下一代塔的

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 7 月 9 日) | 反馈

简介

本文包含结尾的服务通告并且描述思科Cloud Web安全的(CWS)配置更改。思科CWS是在升级其当前网云体系结构过程中为了适应用户需求。这不是为了仅支持功能模式,而且改进整体解决方案的缩放和高可用性。

作为不断地改进我们的安全和服务提供的质量的思科的承诺一部分,思科要求您移动向替换代理,因此当前平台可以退休。这是将保证思科CWS能足够服务其客户的一必须进程。您的当前代理很快将退休(请参见在“CWS传统塔结尾的服务通告”部分的表关于日期)。保证您遵从在本文内的说明为了配置对下一代塔(NGT)的访问。注意,如果未命中此日期您冒险访问损耗对服务的。思科赞赏这要求时间和努力在您的部分并且重视您的协助为了完成此改进到我们的服务。

贡献由Cisco工程师。

CWS传统塔结尾的服务通告

思科宣布在此表里列出的其中每一个的end-of服务日期传统塔。移植的最后一天为每个传统塔是列出的。在此日期CWS服务不再从该塔后将是可得到。 移植到思科Cloud Web安全NGT为了避免服务中断受影响的客户是必需的

受影响的塔详细信息服务最后伊达市 替换塔详细信息
悉尼(SYD2)

思科CWS中间塔代理

格式:
(=编号)

第15 2015年5月悉尼(SYD3)思科CWS NGT (下一代塔)代理。
格式:access7XX.cws.sco.cisco.com
(XX =编号)
达拉斯(DAL1)

思科CWS中间塔代理

格式:
(=编号)

第15 2015年5月达拉斯(DAL1)思科CWS NGT (下一代塔)代理。
格式:access3XX.cws.sco.cisco.com
(XX =编号)
法兰克福(FRA1 & FRA2)

思科CWS中间塔代理

格式:
(=编号)

第30六月2015法兰克福(FRA2)思科CWS NGT (下一代塔)代理。
格式:access5XX.cws.sco.cisco.com
(XX =编号)
芝加哥(CHI1)

思科CWS中间塔代理

格式:
(=编号)

第31奥古斯特2015芝加哥(CHI2)思科CWS NGT (下一代塔)代理。
格式:access4XX.cws.sco.cisco.com
(XX =编号)
Secaucus (SCS1 & SCS2)

思科CWS中间塔代理

格式:
(=编号)

第31奥古斯特2015Secaucus (SCS2)思科CWS NGT (下一代塔)代理。
格式:access2XX.cws.sco.cisco.com
(XX =编号)
伦敦(LON4)

思科CWS中间塔代理

格式:
(=编号)

第31奥古斯特2015伦敦(LON5)思科CWS NGT (下一代塔)代理。
格式:access0XX.cws.sco.cisco.com
(XX =编号)
San Jose (SJL1)

思科CWS中间塔代理

格式:
(=编号)

第31奥古斯特2015San Jose (SJL1)思科CWS NGT (下一代塔)代理。
格式:access8XX.cws.sco.cisco.com
(XX =编号)

CWS配置更改

从属在连接哪个方法您使用CWS服务,您的配置将需要被修改为了保证正确的连接到NGT。此指南概述适当的更改为这些连接器中的每一台做。

ASA作为对CWS的连接器

对于ASA连接器,您在配置里需要更改ScanSafe选项。配置用新的NGT替换当前主要的塔。这可以从CLI或可适应安全设备管理器(ASDM)接口执行。步骤在此部分提供。

CLI

以前配置
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

以后配置
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

注意:请勿更换许可证密钥。如果希望上传一新的配置,请重新输入原始密钥。密钥可以从与更多system:的ASA被拿来running-config|包括license命令

配置更改步骤通过CLI

从在ASA的CLI,请输入这些命令是否使用IP地址:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

从在ASA的CLI,请输入这些命令是否使用完全合格的域名(FQDN) :

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. 从设备通过ASDM,请选择Configuration>设备管理
    • 对于单个上下文,请从左面板选择Cloud Web安全
    • 对于多个上下文,回车系统上下文从左面板然后选择Cloud Web安全
  2. 在主服务器和备份服务器IP地址/域名字段,请输入NGT IP地址或FQDN并且单击应用

  3. 从文件菜单,请选择保存运行的配置闪烁

相关缺陷

Cisco Bug ID CSCuj86222 - ASA丢包OoO TCP分段,当ScanSafe重定向的代理Conns

注意:如果运行已知受到影响的版本,思科建议您升级到有修复的此缺陷的一版本。

当您移植到NGT时,为了在将来防止更改,推荐使用FQDN。阅读步骤的此部分配置DNS查找。

配置DNS查找

使用FQDN在ASA的CWS配置要求使用DNS服务器为了由域名访问CWS代理。一旦域名查找和DNS服务器配置, ASA能解决代理FQDN。确保您配置您启用DNS域查找,因此您能到达DNS服务器的所有接口的适当的路由。

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2作为对CWS的连接器

对于Cisco ISR G2,您将需要更换“内容扫描”参数地图。配置用新的NGT替换当前主要的ScanSafe服务器。步骤在此部分显示。

CLI -版本早于版本15.4(2)T

以前配置
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

以后配置
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

配置更改步骤通过CLI

从在ISR的CLI,请输入这些命令是否使用IP地址:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

从在ISR的CLI,请输入这些命令是否使用FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

注意:请勿更换许可证密钥。如果希望对上传一新的配置,请重新输入原始密钥。

CLI -版本后比版本15.4(2)T

以前配置
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

以后配置
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

配置更改步骤通过CLI

从在ISR的CLI,请输入这些命令是否使用IP地址:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

从在ISR的CLI,请输入这些命令是否使用FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

注意:请勿更换许可证密钥。如果希望对上传一新的配置,请重新输入原始密钥。

当您移植到NGT时,为了在将来防止更改,推荐使用FQDN。读步骤的下一部分配置DNS查找。

配置DNS查找

使用FQDN在ISR的CWS配置要求使用DNS服务器为了由域名访问CWS代理。一旦域名查找和DNS服务器配置, ISR能解决代理FQDN。

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

WSA作为对CWS的连接器

对于思科WSA,您将需要更换CWS代理服务器。此配置用新的NGT替换主服务器。这完成从WSA配置门户的内部。步骤在此部分显示。

  1. WSA Web门户的洛金。从网络菜单,请选择Cloud连接器

  2. 单击 Edit Settings

  3. 更改服务器地址反射新的塔。单击 submit

  4. 点击进行更改

  5. 输入注释(可选)并且确认对WSA的更改。

本地连接器作为对CWS的连接器

对于本地连接器,您需要修改有新的主要的NGT的“agent.properties”文件。为了完成此,请直接地编辑文件让“主要的代理”是NGT。然后,请重新启动连接器服务。

  1. 编辑“agent.properties”文件。
    • 对于Windows, agent.properties文件在“\程序文件(x86)\Connector"目录查找。
    • 对于Linux, agent.properties文件在“/opt/connector/”目录查找。

    以前配置
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    以后配置
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. 重新启动服务
    • 对于Windows,请打开Services.msc。用鼠标右键单击Connectorand点击重新启动

    • 对于Linux,请输入/etc/init.d/connector重新启动命令。

ASA用途目的地NAT为了重定向到CWS

这仅是为HTTP数据流。运行版本8.3及以后支持源和目的NAT的ASA。

对于ASA作为使用目的地NAT的连接器,请使用在ASA版本8.3或以上的手工/两次NAT功能联机。如果使用目的地NAT为了发送流量到CWS塔,您需要更改在NAT语句的塔IP地址。

在配置示例中,有在ASA的两个接口。即“里面” (安全等级100)和“外部” (安全等级0)。

CLI

以前配置
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

以后配置
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

配置更改步骤通过CLI

从在ASA的CLI,请输入这些命令是否使用IP地址:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

从在ASA的CLI,请输入这些命令是否使用FQDN:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. 输入ASDM并且选择Configuration>防火墙>网络对象/组
  2. 选择Add>网络对象

     

  3. 输入NGT塔的此信息:
    • 名称:CWs ngt塔
    • 类型:主机/FQDN (从属于您的环境)
    • IP版本:IPv4
    • IP地址/FQDN :NGT FQDN或IP地址
    • 说明:(可选)

  4. 单击 Ok
  5. 选择Configuration>防火墙> NAT规则

  6. 选择当前NAT规则并且单击编辑

  7. 编辑目的地址字段

  8. 选择新建立的CWs ngt塔对象并且点击OK键。

  9. 运用配置对ASA。

与CWS的被动身份管理解决方案

对于使用情况被动身份管理(PIM)写脚本与激活目录集中到CWS产品里,做对登录脚本的这些变动。(示例在用途之下“PIM开放”作为批名称。)

打开“PIMopen.batch”并且编辑批处理文件。您能找到批处理文件查找在“<drive> \ <Install Directory> \ PIM”。例如, “C:\PIM\pim - open.batch”。

以前配置
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

以后配置
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

处理耸立/明确代理/托管的配置作为重定向方法对CWS

对于对服务的直接连接从浏览器代理设置,变动需要做到代理服务器。代理设置可以应用直接地或用代理自动配置(PAC)文件。两个方法的变更在此部分概述。

在浏览器内的直接代理配置

  1. 保证“LAN设置”终端的启用使用代理服务器。
  2. 在“代理服务器”配置中,请更改主要的塔IP/FQDN对NGT IP/FQDN。

PAC文件

这只是一个示例。

以前PAC文件
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

以后PAC文件
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

防火墙更改要求与使用EasyID

EasyID的推荐的网络配置是为客户到他们的防火墙的仅开放端口从在门户列出的特定CWS数据中心IP地址访问LDAP服务器。在对NGTs的迁移之前主要的并且/或者备份/第二的,请更新防火墙规则包括其中任一新建的NGT IP地址。

新的使馆塔与NGT分配一起将提供。您需要包括NGT使馆塔到入站访问控制表(ACL)规则。NGT使馆IP地址可以在ScanCenter门户(容易ID管理领域)找到。

访问控制表以前
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

访问控制表以后
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

对于更新列表,请选择Scancenter > Admin >验证>管理

在此部分,请单击编辑在活动“验证领域”。在下一部分, IP地址更新列表在此显示显示。

 

一旦有允许的服务器更新列表,使用“检查连接”为了保证从所有塔的连接是成功的,并且状态绿色。

“检查连接”也许花费几分钟为了测试从所有塔的连接。

防火墙配置配置更改(如果必须)

如果当前防火墙环境允许出站的访问入站并且/或者对塔,必须为NGTs做这些变动。

必须修改所有ACL允许对的您的当前CWS塔的出局访问为了允许对您新的下一代CWS塔的出局访问。

以前访问列表

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

以后访问列表

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

必须修改所有ACL允许对的您的当前CWS塔的入站访问为了允许从您新的下一代CWS塔的入站访问。

以前访问列表

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

以后访问列表

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

下一代塔出口IP地址范围

如果需要提供业务伙伴/外部供应商出口IP地址范围,因为他们在哪里需要知道期待您的流量从,调节您的ACL符合此表。

下一代塔

出口IP地址范围

伦敦

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

达拉斯

108.171.132.160 - 108.171.132.223

悉尼

108.171.134.160 - 108.171.134.223

芝加哥

108.171.131.160 - 108.171.131.223

法兰克福

108.171.129.160 - 108.171.129.223

华盛顿特区

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

常见问题

1. 什么为我们的内部变更请求要求?

凭重定向方法/部署,配置更改将要求为了允许流量对NGT代理分配到您的站点。在连接器device/PAC/PIM脚本,您需要更改主要的代理的IP地址或FQDN。思科不预见任何停机时间需求。当您更改主要的代理时,您的服务将后退在附属代理上(若被设定)。

2. 如果我遇到在NGT的任何技术问题,是否恢复给当前代理?

通过Cisco技术支持中心(TAC)打开服务请求。包括您的公司名称,当前主要的代理地址,新建的NGT代理地址,主题:“NGT迁移”和问题的简要描述。

3. 客户是否将收到在迁移的一通知电子邮件给NGT代理从思科?

思科通知的只有客户应该继续进行迁移。NGT迁移在相位之内将执行,并且您在适当的时候将通知。如果不接收电子邮件通知并且相信您当前使用有NGT联机在同样国家/区域的一个主要的代理,请提供援助对确认的cws-migrations@cisco.com

4. 有没有许可授权要求的任何其他为了移植到NGT代理?

客户能放心没有另外的许可证需求为了移植服务到NGT代理。

5. 是否需要更换许可证密钥并且/或者在迁移前后扫描中心的策略?

所有许可证密钥和策略依然是不可更改在扫描中心门户。

6. 我使用FQDN塔名称而不是IP地址。 流量是否是否将自动地转发给NGT代理,如果我更改在DNS的A记录或需要手工指向NGT代理?

因为迁移计划以被逐步采用的方式,思科将有当前主要的,并且NGT代理分配和他们解决对两个不同的IP地址。NGT代理拥有一个唯一IP地址;因此做出一个手工更改对属于NGT的FQDN IP地址客户是必需的。

7. 什么更改必要在上行防火墙或ISP末端?

如果有出站流量的ACL,请允许流量对NGTs的目的地在TCP/8080的(对于AnyConnect和Secure (独立)连接器这也将需要TCP/443)。请参阅FQDN IP地址分配到您在迁移电子邮件。

8. 在我们的组织,有以配置的不同的塔使用CWS的多个站点。如何将保证哪些站点需要被移植?

团队提供新的NGT代理分配给您的CWS用户服务根据你的位置中的每一。不是所有的位置当前有可用NGT的代理。

9. 在我们的组织有通知被移植的多个站点。在相位内移植是否是可能的?

您不必须立即移植整个场地。然而,推荐在请求的迁移窗口期间,移植整个场地。

10. 我不熟悉CWS部署和配置。有没有思科自动配置或迁移工具协助与更改?

不,思科没有与自动配置/迁移的一工具协助。有根据部署使用的方法协助的一个详细的迁移指南您。万一面对所有困难,请提供援助对协助的cws-migration@cisco.com

11. 如果我有限制根据IP地址的流量的一个业务伙伴/外部供应商,新的NGT出口IP地址范围是多少?

下一代塔

出口IP地址范围

伦敦

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

达拉斯

108.171.132.160 - 108.171.132.223

悉尼

108.171.134.160 - 108.171.134.223

芝加哥

108.171.131.160 - 108.171.131.223

法兰克福

108.171.129.160 - 108.171.129.223

华盛顿特区

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

12. 有没有在EasyID或安全断言标记语言验证如何上的任何变化工作?

是,那里将是对需要允许入站在您的边缘/防火墙设备的EasyID IP地址的更改。您能查看IP地址列表在ScanCenter门户的EasyID部分的。保证您允许对轻量级目录访问协议(LDAP)服务器的入站访问从在端口在防火墙策略的TCP 389/3268或TCP 636/3269 (LDAP)的新的EasyID IP地址。

13. 需要安排多少停工期于切换?

理论上来讲,请勿期待任何停机时间,因为您在您的连接器(ASA/ISR/WSA/Native连接器)安排您的备份塔配置。建议的最佳实践是进行迁移在非峰顶时期或在几小时之后。

14. 需要做除CWS配置之外,什么变动在网络?

如果有在边缘/防火墙设备和策略基于路由配置的出站ACL,请更新它用NGT代理FQDN IP地址分配到您的公司。

15. 如果我移植到NGT,报告是否将中断?

将没有在被安排的和保存的报告上的变化在ScanCenter门户。

16. 可执行什么连通性测试为了保证NGT代理是可及的?

您能执行TCP PING或远程登录到您的端口的TCP/8080已分配NGT代理。

17. 应该检查什么为了保证我顺利地移植了到NGT代理?

浏览对“whoami.scansafe.net”并且验证“logicalTowerNumber”。“logicalTowerNumber”应该是10000加上接入点编号。例如,如果分配"access66.cws.sco.cisco.com", logicalTowerNumber是10066。

18. 是否使用NGT代理FQDN或IP地址?

当您移植到NGT时,为了在将来防止更改,推荐使用FQDN。

19. 会什么样的更改移动用户,使用AnyConnect Web安全模块,必须做?

对于AnyConnect客户端的用户,变动不需要为NGT迁移做。

20. 当我移动向NGT时,是否需要更改附属CWS塔以及主要的塔?

应该更改是,主要的和附属塔符合给的分配。

迁移问题

对于所有NGT迁移问题,请由任何这些方法记录服务请求:

  • 电话:
    • 美国:1(877) 472-2680
    • 欧洲、中东和非洲(EMEA):44(0) 207-034-9400
    • APAC : (64) 800513572

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118478