Seguridad : Cisco ScanSafe Cloud Web Security

Pasos de la migración de la Seguridad de la red de la nube y FAQ para las torres de la última generación

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Comentarios

Contenido

Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento contiene un final del aviso del servicio y describe los cambios de configuración para la Seguridad de la red de la nube de Cisco (CWS). El CWS de Cisco está en curso de actualizar su arquitectura actual de la nube para cubrir las necesidades de los clientes. Éste no es apenas soportar el mapa de ruta de la característica, pero también mejorar la escala y la Alta disponibilidad de la solución total.

Como parte de la consolidación de Cisco para mejorar continuamente la calidad de nuestras ofrendas del como-uno-servicio de la Seguridad, Cisco pregunta que usted se traslada a un proxy del reemplazo así que la plataforma actual puede ser retirada. Éste es un proceso obligatorio que se asegurará que CWS de Cisco pueda mantener adecuadamente a sus clientes. Su proxy actual será retirado pronto (véase la tabla en “final de las torres de la herencia del CWS la sección del aviso del servicio” por las fechas). Asegúrese de que usted siga las instrucciones dentro de este documento para configurar el acceso a la torre de la última generación (NGT). Sea consciente que si usted falta esta fecha usted arriesga la pérdida de acceso al servicio. Cisco aprecia que éste requiere el tiempo y esfuerzo en su parte y valora su ayuda para alcanzar esta mejora a nuestro servicio.

Contribuido por los ingenieros de Cisco.

Final de las torres de la herencia del CWS del aviso del servicio

Cisco anuncia las fechas de fin-de service para cada uno de las torres de la herencia enumeradas en esta tabla. El día más pasado a emigrar para cada torre de la herencia es mencionado. Después de esta fecha el servicio del CWS será no más disponible desde esa torre. Es obligatorio que los clientes afectados emigren a la Seguridad NGT de la red de la nube de Cisco para evitar la interrupción del servicio.

Torre afectadaDetallesLa fecha más pasada del servicioTorre del reemplazoDetalles
Sydney (SYD2)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

décimo quinto Mayo de 2015Sydney (SYD3)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access7XX.cws.sco.cisco.com
(XX = número)
Dallas (DAL1)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

décimo quinto Mayo de 2015Dallas (DAL1)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access3XX.cws.sco.cisco.com
(XX = número)
Francfort (FRA1 y FRA2)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

trigésimo Junio de 2015Francfort (FRA2)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access5XX.cws.sco.cisco.com
(XX = número)
Chicago (CHI1)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

31ro Agosto de 2015Chicago (CHI2)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access4XX.cws.sco.cisco.com
(XX = número)
Secaucus (SCS1 y SCS2)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

31ro Agosto de 2015Secaucus (SCS2)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access2XX.cws.sco.cisco.com
(XX = número)
Londres (LON4)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

31ro Agosto de 2015Londres (LON5)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access0XX.cws.sco.cisco.com
(XX = número)
San José (SJL1)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

31ro Agosto de 2015San José (SJL1)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access8XX.cws.sco.cisco.com
(XX = número)
Sao Paulo (SAO1)

Proxy de la torre del CWS de Cisco mediados de

Formato:
(= número)

décimotercero Marzo de 2016Sao Paulo (SAO2)Proxy del CWS NGT (torre de Cisco de la última generación).
Formato: access12XX.cws.sco.cisco.com
(XX = número)

Cambios de configuración del CWS

El dependiente sobre qué método de conexión usted utiliza para el servicio del CWS, su configuración necesitará ser alterado para asegurar la conexión adecuada al NGT. Esta guía delinea los cambios apropiados para hacer para cada uno de estos conectores.

ASA como conector al CWS

Para el conector ASA, usted necesita cambiar las opciones de ScanSafe en la configuración. La configuración substituye la torre del primario actual por el nuevo NGT. Esto se puede hacer del CLI o de la interfaz adaptante del Administrador de dispositivos de seguridad (ASDM). Los pasos se proporcionan en esta sección.

CLI

Configuración antes
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Configuración después
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Nota: No cambie la llave de la licencia. Si usted desea cargar una nueva configuración, entre la clave de nuevo original. La clave se puede traer del ASA con el más sistema: running-config | incluya el comando license.

Pasos del cambio de configuración vía el CLI

Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

Del CLI en el ASA, ingrese estos comandos si usted utiliza el Nombre de dominio totalmente calificado (FQDN) (FQDN):

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. Del dispositivo vía el ASDM, elija la configuración > la Administración de dispositivos.
    • Para el solo contexto, elija la Seguridad de la red de la nube del panel izquierdo.
    • Para el multi-contexto, ingrese el contexto del sistema y después elija la Seguridad de la red de la nube del panel izquierdo.
  2. En los campos del servidor primario y del IP Address/del Domain Name del servidor de backup, ingrese el IP Address NGT o el FQDN y el tecleo se aplican.

  3. Del menú de archivos, elija la configuración corriente de la salvaguardia para contellear.

Defecto relacionado

Id. de bug Cisco CSCuj86222 - El ASA cae los segmentos de OoO TCP cuando conns del envío a través de proxy para el cambio de dirección de ScanSafe

Nota: Si usted funciona con una versión afectada sabida, Cisco recomienda que usted actualiza a una versión con este defecto reparado.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT. Lea esta sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ASA que utilice el FQDN requiere el uso de los servidores DNS para acceder el proxy del CWS por el Domain Name. Una vez que se configura las operaciones de búsqueda del Domain Name y el servidor DNS, el ASA puede resolver el proxy FQDN. Aseegurese que usted configura la encaminamiento apropiada para cualquier interfaz en la cual usted habilite las operaciones de búsqueda del dominio DNS así que usted puede alcanzar al servidor DNS.

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 como conector al CWS

Para Cisco ISR G2, usted necesitará cambiar la correspondencia del parámetro de la “contenido-exploración”. La configuración substituye el servidor de ScanSafe del primario actual por el nuevo NGT. Los pasos se muestran en esta sección.

CLI - Versiones anterior que la versión 15.4(2)T

Configuración antes
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuración después
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Pasos del cambio de configuración vía el CLI

Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Nota: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración, entre la clave de nuevo original.

CLI - Versiones más adelante que la versión 15.4(2)T

Configuración antes
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuración después
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Pasos del cambio de configuración vía el CLI

Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Nota: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración, entre la clave de nuevo original.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT. Lea la siguiente sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ISR que utilice el FQDN requiere el uso de un servidor DNS para acceder el proxy del CWS por el Domain Name. Una vez que se configuran las operaciones de búsqueda del Domain Name y los servidores DNS, el ISR puede resolver el proxy FQDN.

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

WSA como conector al CWS

Para Cisco WSA, usted necesitará cambiar los servidores proxy del CWS. Esta configuración substituye al servidor primario por el nuevo NGT. Esto se completa dentro del portal de la configuración WSA. Los pasos se muestran en esta sección.

  1. Login al portal web WSA. Del menú de la red, elija el conector de la nube.

  2. El tecleo edita las configuraciones.

  3. Cambie a la dirección del servidor para reflejar la nueva torre. Haga clic en Submit (Enviar).

  4. Cambios del cometer del tecleo.

  5. Ingrese un comentario (opcional) y confíe los cambios al WSA.

Conector nativo como conector al CWS

Para el conector nativo, usted necesita modificar el archivo del “agent.properties” con el nuevo NGT primario. Para completar esto, edite directamente el archivo para hacer que el “proxy primario” sea el NGT. Entonces, recomience el servicio del conector.

  1. Edite el archivo del “agent.properties”.
    • Para Windows, el archivo del agent.properties está situado en “\ los archivos de programa (directorio del x86)\Connector".
    • Para Linux, el archivo del agent.properties está situado en el directorio “/opt/connector/”.

    Configuración antes
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    Configuración después
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. Reiniciar el servicio.
    • Para Windows, abra Services.msc. Haga clic con el botón derecho del ratón el reinicio del tecleo de Connectorand.

    • Para el Linux, ingrese el comando del reinicio de /etc/init.d/connector.

El ASA utiliza el NAT de destino para reorientar al CWS

Esto está solamente para el tráfico HTTP. Un ASA que funciona con la versión 8.3 y posterior soporta la fuente y el NAT de destino.

Para el ASA como conector que utilice el NAT de destino, utilice el manual/dos veces la función NAT disponibles en la versión 8.3 ASA o más adelante. Si usted utiliza el NAT de destino para enviar el tráfico a las torres del CWS, usted necesita cambiar la dirección IP de la torre en la sentencia NAT.

En la configuración de muestra, hay dos interfaces en el ASA. A saber “interior” (nivel de seguridad 100) y “exterior” (nivel de seguridad 0).

CLI

Configuración antes
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

Configuración después
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

Pasos del cambio de configuración vía el CLI

Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

Del CLI en el ASA, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. Ingrese el ASDM y elija la configuración > el Firewall > los objetos de red/a los grupos.
  2. Elija agregan > objeto de red.

     

  3. Ingrese esta información para la torre NGT:
    • Nombre: CWs-ngt-torre
    • Tipo: Host/FQDN (dependiente en su entorno)
    • Versión IP: IPv4
    • Dirección IP /FQDN: NGT FQDN o dirección IP
    • Descripción: (Opcional)

  4. Haga clic en OK.
  5. Elija la configuración > el Firewall > las reglas NAT.

  6. Elija la regla actual NAT y el tecleo edita.

  7. Edite el campo dirección de destino.

  8. Elija el objeto creado recientemente de la CWs-ngt-torre y haga clic la AUTORIZACIÓN.

  9. Aplique la configuración al ASA.

Solución pasiva de la Administración de la identidad con el CWS

Para el uso de la Administración de la identidad pasiva (PIM) scripts con la integración de Active Directory en el producto del CWS, realizan estos cambios a la secuencia de comandos de inicio. (El ejemplo debajo de las aplicaciones “pim-abiertas” como el nombre del lote.)

Abra “pim-open.batch” y edite el archivo por lote. Usted puede encontrar el archivo por lote situado en el “<unidad> \ <Install Directory> \ PIM”. Por ejemplo, “C:\PIM\pim - open.batch”.

Configuración antes
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

Configuración después
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Ordene para elevarse/proxy explícito/configuración recibida como método de cambio de dirección al CWS

Para la conexión directa al servicio de la configuración de representación del navegador, los cambios necesitan ser realizados al servidor proxy. Las configuraciones de representación se pueden aplicar directamente o con un archivo de la configuración automática del proxy (PAC). Las alteraciones para ambos métodos se delinean en esta sección.

Configuración de representación directa dentro de un navegador

  1. Asegúrese que las “configuraciones LAN” para el punto final estén habilitadas para utilizar un servidor proxy.
  2. En la configuración del “servidor proxy”, cambie la torre primaria IP/FQDN al NGT IP/FQDN.

Archivo PAC

Esto es un ejemplo solamente.

Archivo PAC antes
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Archivo PAC después
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Cambios del Firewall requeridos con el uso de EasyID

La configuración de red recomendada para EasyID está para los clientes solamente a los puertos abiertos en sus Firewall de los IP Addresses específicos del centro de datos del CWS enumerados en el portal para acceder los servidores LDAP. Antes de la migración a NGTs para primario y/o de reserva/secundario, ponga al día las reglas de firewall para incluir cualquier nuevo IP Addresses NGT.

Las nuevas torres de la embajada serán proporcionadas junto con la asignación NGT. Usted necesita incluir la torre de la embajada NGT en la regla de la lista de control de acceso (ACL) entrante. La dirección IP de la embajada NGT se puede encontrar en el portal de ScanCenter (reino fácil de la Administración ID).

Lista de control de acceso antes
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Lista de control de acceso después
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Para la lista actualizada, elija Scancenter > el Admin > la autenticación > la Administración.

En esta sección, el tecleo edita en los “reinos activos de la autenticación”. En la siguiente sección, la lista actualizada de IP Addresses se muestra en esta visualización.

 

Una vez que usted tiene la lista actualizada de servidores permitidos, el uso “conexión del control” para asegurar la Conectividad de todas las torres es acertado y el estatus es verde.

La “conexión del control” pudo tardar algunos minutos para probar la Conectividad de todas las torres.

Cambios de configuración de escudo de protección (si procede)

Si el entorno actual del Firewall permite el acceso entrante y/o saliente a la torre, estos cambios se deben realizar para el NGTs.

Cualquier ACL que permita el acceso de salida a su torre actual del CWS se debe alterar para permitir el acceso de salida a su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Lista de acceso después

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Cualquier ACL que permita el acceso entrante a su torre actual del CWS se debe alterar para permitir el acceso entrante de su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Lista de acceso después

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Alcances del IP Address de la salida de la torre de la última generación

Si usted necesita proporcionar los partners comerciales/a los vendedores externos con los alcances del IP Address de la salida porque necesitan saber dónde contar con su tráfico de, ajustan sus ACL de acuerdo con esta tabla.

Torre de la última generación

Alcances del IP Address de la salida

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francfort

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San José

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

Preguntas Frecuentes

1. ¿Qué se requiere para nuestra petición interna del cambio?

De acuerdo con el método de redireccionamiento/el despliegue, los cambios de configuración serán requeridos para permitir el tráfico al proxy NGT asignado a su sitio. En el script del conector device/PAC/PIM, usted necesita cambiar la dirección IP o el FQDN del proxy primario. Cisco no prevé ningún requisito del tiempo muerto. Mientras que usted cambia el proxy primario, su servicio bajará sobre el proxy secundario (si está configurado).

2. ¿Si experimento cualesquiera problemas técnicos en NGT, invierto al proxy actual?

Abra una solicitud de servicio vía el Centro de Asistencia Técnica de Cisco (TAC). Incluya su nombre de la compañía, dirección del proxy del primario actual, nueva dirección del proxy NGT, tema: “Migración NGT” y una Breve descripción del problema.

3. ¿Los clientes recibirán un email de la notificación en la migración al proxy NGT de Cisco?

Solamente los clientes notificados por Cisco deben proceder con la migración. La migración NGT será conducida en las fases y a su debido tiempo le notificarán. Si usted no recibe una notificación por correo electrónico y cree que usted utiliza actualmente un proxy primario que tiene NGT disponible en el mismo país/región, alcance hacia fuera a cws-migrations@cisco.com para la confirmación.

4. ¿Habrá autorización adicional requerida para emigrar al proxy NGT?

Los clientes pueden el descanso asegurado que no hay requisitos adicionales de la licencia para emigrar el servicio al proxy NGT.

5. ¿Necesito cambiar la llave de la licencia y/o las directivas de centro de la exploración antes o después de la migración?

Sigue habiendo todas las llaves de la licencia y directivas sin cambiar en el portal del centro de la exploración.

6. Utilizo el FQDN para el nombre de la torre en vez de una dirección IP.  ¿Mi tráfico será remitido automáticamente al proxy NGT si cambio el expediente A en el DNS o yo necesita señalar manualmente al proxy NGT?

Pues la migración se planea de una manera organizada, Cisco tendrá el primario actual y el proxy NGT asignado y ellos resuelven a dos diversos IP Addresses. El proxy NGT posee un IP Address único; por lo tanto es obligatorio que los clientes realicen un cambio manual a la dirección IP FQDN que pertenece a NGT.

7. ¿Qué cambios se necesitan en mi Firewall por aguas arriba o el extremo ISP?

Si usted tiene un ACL para el tráfico saliente, permita el tráfico al destino del NGTs en TCP/8080 (para AnyConnect y asegure el conector (independiente) que esto también necesitará el TCP/443). Vea la dirección IP FQDN asignada a usted en el email de la migración.

8. En nuestra organización, hay los sitios múltiples que utilizan el CWS con diversas torres configuradas. ¿Cómo me aseguraré de qué sitios necesitan ser emigrados?

El servicio al cliente del CWS que el equipo proporcionará los nuevos proxys NGT afectados un aparato a usted basó en cada uno de sus ubicaciones. No todas las ubicaciones tienen actualmente proxys NGT disponibles.

9. En nuestra organización hay los sitios múltiples que se han notificado para ser emigrados. ¿Es posible emigrar en las fases?

Usted no tiene que emigrar todos los sitios inmediatamente. Sin embargo, se recomienda para emigrar todos los sitios durante la ventana pedida de la migración.

10. No soy familiar con el despliegue y la configuración del CWS. ¿Hay una herramienta de la autoconfiguración o de la migración de Cisco a ayudar con los cambios?

No, Cisco no tiene una herramienta a ayudar con la autoconfiguración/la migración. Hay Guía de migración detallado basado en el método de implementación usado para ayudarle. En caso de que usted haga frente a cualquier dificultad, alcance hacia fuera a cws-migration@cisco.com para la ayuda.

11. ¿Si tengo un partner comercial/un vendedor externo que restrinja el tráfico basado en la dirección IP, cuáles son los nuevos alcances del IP Address de la salida NGT?

Torre de la última generación

Alcances del IP Address de la salida

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francfort

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San José

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

12. ¿Habrá cambio en cómo EasyID o la autenticación del lenguaje de marcado de la aserción de la Seguridad trabaja?

Sí, habrá cambios a la dirección IP de EasyID que necesita no ser prohibida entrante en sus dispositivos del borde/del Firewall. Usted puede ver la lista de IP Addresses en la sección de EasyID del portal de ScanCenter. Asegúrese que usted haya permitido el acceso entrante al servidor del Lightweight Directory Access Protocol (LDAP) de los nuevos IP Addresses de EasyID en los puertos TCP 389/3268 o TCP 636/3269 (LDAP) en las políticas del firewall.

13. ¿Cuánto tiempo muerto necesito programar para el intercambio?

Idealmente, no cuente con ningún tiempo muerto pues usted hace su torre de reserva configurar en su conector (conector ASA/ISR/WSA/Native). La mejor práctica recomendada es realizar la migración en los tiempos del NON-pico o después de las horas.

14. ¿Qué cambios necesito realizar en la red con excepción de la configuración del CWS?

Si usted tiene ACL salientes configurados en los dispositivos del borde/del Firewall y/o la encaminamiento basada directiva, póngala al día con la dirección IP FQDN del proxy NGT asignada a su compañía.

15. ¿La información se romperá si emigro a NGT?

No habrá cambio en los informes programados y guardados en el portal de ScanCenter.

16. ¿Qué prueba de conectividad puedo realizar para asegurar el proxy NGT soy accesible?

Usted puede realizar el PING o Telnet TCP a su proxy asignado NGT en el puerto TCP/8080.

17. ¿Qué debo marcar para asegurarme de que he emigrado con éxito al proxy NGT?

Hojee a “whoami.scansafe.net” y verifique el “logicalTowerNumber”. el “logicalTowerNumber” debe ser 10000 más el número del Punto de acceso. Por ejemplo, si le afectan un aparato "access66.cws.sco.cisco.com", el logicalTowerNumber es 10066.

18. ¿Utilizo el proxy FQDN NGT o la dirección IP?

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT.

19. ¿Qué clase de cambios mis usuarios ambulantes, que utilizan el módulo de la Seguridad de la red de AnyConnect, tienen que hacer?

Para los usuarios en el cliente de AnyConnect, NINGUNOS CAMBIOS necesitan ser realizados para la migración NGT.

20. ¿Necesito cambiar mi torre secundaria del CWS así como mi torre primaria cuando me traslado a NGT?

Sí, las torres primarias y secundarias se deben cambiar de acuerdo con las asignaciones dadas.

Problemas de migración

Por cualquier problema de migración NGT, registre una solicitud de servicio por ninguno de estos métodos:

  • Teléfono:
    • LOS E.E.U.U.: 1(877) 472-2680
    • EMEA: 44(0) 207-034-9400
    • APAC:  (64) 800513572

 

½ del ¿Â del ½ o Prï del ¿Â del ½ ï del ¿Â de Notificaï - ½ o del ¿Â del ½ ï del ¿Â de MigraïÂ: Seguridad de la red de la nube na Infraestrutura DA Cisco de Melhoramentos ningún ½ o Pablo del ¿Â de Sï del centro de datos

El parte de Como hace el continuamente DA Cisco para del compromisso melhorar un ½ o del ¿Â del ½ del ¿Â de Seguranï de los ofertas de los nossas das del qualidade uno-como-um-serviïÂ, atualmente de los encontramo-nos un ½ implementar o Pablo del ¿Â em Sï de la Seguridad de la red de la nube del ½ o Cisco del ¿Â del serviï del seu del providencia o del que del infraestrutura na de los veis del ½ del ¿Â del considerï de los melhoramentos (anteriormente Scansafe), el Brasil.

De forma un aceder un infraestrutura del oada del ½ del ¿Â del aperfeiï del esta, como qual “torre de los referimos no. del ½ del ¿Â ï de Next Gen” (ou “NGT” del ½ del ¿Â del ½ ï del ¿Â del geraï de torre de nova o), proxy NGT del novo de para de la Seguridad de la red de la nube del ½ o del ¿Â del serviï ao del aceder de para del utilizam del atualmente del que de Río del ½ del ¿Â del secundï de Río e del ½ del ¿Â del primï de los proxys DOS del ½ o del ¿Â del ½ ï del ¿Â del migraï del ½ del ¿Â del ¿Â ½ o de proceder ï del terï um. Un cio iniciar de Fevereiro de 2016 e del ½ del ¿Â del inï de para o del marcada del atualmente del ½ del ¿Â del estï del ½ o del ¿Â del ½ ï del ¿Â de para este processo de migraï del prevista de los datos un ½ o de 2016 del ¿Â de Marï del ½ 13 del ¿Â del atï del completada del ser del desarrollador del mesma. ½ del ¿Â del prï del desta del envio O - cios agendar planear del ½ del ¿Â de externo/parceiros de negï del cio del ½ del ¿Â del negï de para del quer de los internos de las aletas de para del quer de los rias del ½ del ¿Â del necessï del ½ o del ¿Â del ½ ï del ¿Â de para e quaisquer janelas de manutenï aos del objetivo del como del tem del ½ o del ¿Â del ½ ï del ¿Â del notificaï de los nossos de los clientes del suficiente facultar del tempo (¿Â ½ os de proxy del endereïÂ) (salida del intervalo).

¿Â ½ o de prazo para del extensï del qualquer del facultada del ½ del ¿Â del serï del ½ o del ¿Â del nï del que del ½ o del ¿Â del ½ ï del ¿Â del atenï em del tenha del favor de Por un ½ o de 2016 del ¿Â del ½ s 13 de Maï del ¿Â del apï del ½ o del ¿Â del ½ ï del ¿Â del migraïÂ. Todas del tomo del que de los agradecemos del que de Pelo como ria preparar del ½ del ¿Â del obrigatï del ½ o del ¿Â del ½ ï del ¿Â del migraï del esta de para de los rias del ½ del ¿Â del necessï de los medidas. Un ½ O. del ¿Â de na perda de serviï del ½ del ¿Â del resultarï del ½ o del ¿Â de Marï del ½ 13 del ¿Â del atï del ½ o del ¿Â del ½ ï del ¿Â del migraï del ½ o del ¿Â del nïÂ.

Email del novo del ½ del ¿Â de Receberï um ninguna COM de 2016 del cio del ½ del ¿Â del inï un ½ o del ¿Â del ½ ï del ¿Â del migraï del esta de para del ria del ½ del ¿Â del necessï del ½ o del ¿Â del ½ ï del ¿Â del informaïÂ, especificamente DOS del ½ del ¿Â del atribuï de los proxys NGT DOS de los detalhes OS del incluindo un cliente del cada. Entretanto, ½ o Pablo del ¿Â de para o DC de Sï de la salida de los intervalos de los novos OS del ½ del ¿Â del jï del desde del ½ o del ¿Â del ½ ï del ¿Â del consideraï em del tenha del favor del por: 108.171.138.160 - 108.171.138.223. Clientes de los nossos OS de Aconselhamos una salida de los intervalos de los novos de los destes del cio del ½ del ¿Â OS seus parceiros de negï del ½ del ¿Â del jï del desde del informarem.

Visite del favor del por es del ½ del ¿Â del ½ ï del ¿Â del informaï de los mais del obter del pretenda de Caso un ½ es para del ¿Â del ½ ï del ¿Â del instruï del ½ del ¿Â del encontrarï del onde del ½ o del ¿Â del ½ ï del ¿Â es para Migraï del ½ del ¿Â del ½ ï del ¿Â de los frequentes e Instruï de los perguntas de para de la red de Gina del ½ del ¿Â del pï del nossa completar un ½ o del ¿Â del ½ ï del ¿Â del migraïÂ, incluindo modificar como oada enviar del ½ del ¿Â del aperfeiï del infraestrutura del esta de para del rede DA del fico del ½ del ¿Â del trï de Cisco de los equipamentos no. es del ½ del ¿Â del ½ ï del ¿Â del configuraï de los suas (ASA, ISR, WSA, etc.) para o.

IP tal para NGT del como o novo intervalo de egress del ½ del ¿Â del poderï del que del ½ o del ¿Â del ½ ï del ¿Â del informaï del ½ del ¿Â del encontrarï del ½ m del ¿Â de Tambï COM o seu departamento de informï del ¿Â del ½ del tica ou COM o departamento de informï del ¿Â del ½ del tica del parceiro partilhar necessitar de um.

Aceda del favor de Por un ½ o del ¿Â del ½ ï del ¿Â es de Migraï del ½ del ¿Â del ½ ï del ¿Â de para Perguntas Frequentes e Instruï del link del este

Como eficiente assegurar para de los simples e del ½ o del ¿Â del ½ ï del ¿Â del transiï del uma de para de los veis del ½ del ¿Â del disponï encontram-SE OS DA Cisco del ½ del ¿Â del ½ o de Serviï del ¿Â del ½ ï del ¿Â es e Prestaï del ½ del ¿Â del ½ ï del ¿Â de Operaï de los equipas un infraestrutura de la Nova. El ½ o del ¿Â del ½ ï del ¿Â es para Migraï del ½ del ¿Â del ½ ï del ¿Â de para Perguntas Frequentes e Instruï de la red de Gina del ½ del ¿Â del pï del nossa na del encontrem SE del ½ o del ¿Â del nï del que es del ½ del ¿Â del conexï de los atuais de los suas del ½ o das del ¿Â del ½ ï del ¿Â del migraï del ½ del ¿Â del relativamente ï es del ½ del ¿Â del questï del existam de Caso, los contacte-nos del favor del por vía el ½ s del ¿Â del atravï del email hace el ½ o cws-migrations@cisco.com del ¿Â del endereïÂ.

IMPORTANTE - FAVOR LEIA POR: ½ del ¿Â del ½ o ï del ¿Â del nï SE un empresa del sua DA del nome em es del ½ del ¿Â del ½ ï del ¿Â del notificaï de los estas del receber del devia del que del pessoa, ajude-nos del favor del por un que assegurar un vel del ½ del ¿Â del possï del breve de los mais del ½ o o del ¿Â del ½ ï del ¿Â del informaï del importante del esta de para del alertada del ½ del ¿Â del correta ï del pessoa. El pode del ½ m del ¿Â de Tambï atualizar un ½ s del ¿Â del atravï del empresa del sua es DA del ½ del ¿Â del ½ ï del ¿Â del notificaï del ¿Â ½ os de e-mail para de endereï del lista hace el login porta para del efetuando o de ScanCenter del seu un separador “Admin” del selecionando o e de Gina “Inicio” del ½ del ¿Â del pïÂ. El seguida Em, ponteiro passe o hace el selecione “½ es e de “Sua Conta” del separador del sobre o rato del ¿Â del ½ ï del ¿Â de Notificaï”. La pandilla del seguida Em ningún ½ o del ¿Â del botï “el ½ o del ¿Â del ½ ï del ¿Â del ¿Â ½ es de atualizaï del ½ ï del ¿Â del configuraï de Gerenciar hace el ½ o” e assegure-SE de que del ¿Â del serviï que un selecionada del ½ del ¿Â del estï del ½  ¿serviï o del ½ o del ¿Â del ½ ï del ¿Â de verificaï del caixa “el ½ o del ¿Â del ½ ï del ¿Â de Enviar e-mails de atualizaï hace”. ½ del ¿Â del passarï del esta e del ½  ¿serviï o del lado de na caixa de texto ao del correta del pessoa del ¿Â ½ o de e-mail DA del endereï del adicione o FIM de Por “el ½ o del ¿Â del ½ ï del ¿Â de Enviar e-mails de atualizaï hace” un ½ O. del ¿Â del ½ ï del ¿Â de manutenï de los trabalhos del ¿Â ½ es de incidentes e del ½ ï del ¿Â del notificaï del receber.

Cumprimentos de los melhores OS COM,

Un OS del ½ del ¿Â del ½ o de Serviï del ¿Â del ½ ï del ¿Â es e Prestaï del ½ del ¿Â del ½ ï del ¿Â de Cisco de Operaï del equipa

 

½ n del ¿Â del ½ n PRE-migraciï del ¿Â de NotificaciïÂ: En Sao Paulo DC de la Seguridad de la red de Cisco Cloud del infraestructura del la en de Mejoras (CWS)

Ofertas mejorar de Seguridad-como-uno-Servicio de la calidad de nuestras del continuamente de Como parte del compromiso de Cisco de, en Sao Paulo de la Seguridad de la red de Cisco Cloud del servicio EL del ofrece del que del infraestructura del la en de los significativas de los mejoras del realizando de los estamos (anteriormente ScanSafe), el Brasil.

Acceder de Para un infraestructura Mejorada del esta, un como “torre de los referimos no. del que del la de Next Gen” (½ del ¿Â del generaciï de Torre de nueva n) o “NGT”, migrados de reserva del ser del que del ½ n del ¿Â del tendrï de la Seguridad de la red de Cisco Cloud del servicio del al de los asignados del primario y de los proxys de los actuales del sus un ¿Â ½ n de proxys de NGT del asignaciï del nueva del una. Del 13 de marzo de 2016 de las apuestas del completada del ser del debe del ½ n del ¿Â del migraciï del la de para principios de febrero de 2016 y del planeada del actualmente del ½ del ¿Â del estï del ½ n NGT del ¿Â del migraciï del esta de fecha de inicio del La. Necesarias programar planificar de para y las ventanas de cambio de los nuestros del ½ n para del ¿Â del notificaciï del esta del ½ n del ¿Â del antelaciï de la estafa del enviando de Estamos de los clientes EL del suficiente proporcionar del tiempo, estafa sus socios de negocios de los internos de los sitos del ½ del ¿Â del propï de la estafa del mar del ya (proxys) de cambio de direcciones de o/externos de los comerciales (blica del ½ del ¿Â del pï de IP de los rangos).

Que del cuenta en del tenga del favor de Por ningún del 13 de marzo de 2016 del ½ del ¿Â del allï del ½ s del ¿Â del mï del ½ n del ¿Â del ¿Â ½ n de migraciï del extensiï del ninguna del ½ del ¿Â del proporcionarï SE. Tanto del lo de Por, favor del por, obligatorio del cambio del ximo del ½ del ¿Â del prï del este de para del prepararse de para de los necesarias de los medidas de los las del tomo. Si ningún ½ migrar del ¿Â del traducirï EL 13 de marzo se de para del pudiera un ¿Â ½ rdida del servicio del pï del una en.

½ Nico del ¿Â del electrï del correo del otro del ½ del ¿Â del recibirï de Usted un ¿Â ½ ficas de proxys NGT del especï de los asignaciones del sus del incluyendo del ½ n del ¿Â del migraciï del esta de para del necesaria del ½ n del ¿Â del informaciï del la de la estafa de 2016 de los principios. Tanto de Mientras, favor del por, salida de Sao Paulo DC es de IP del rango del nuevo EL del que del cuenta en del tenga: 108.171.138.160 - 108.171.138.223. Animamos clientes de los nuestros externos notificar de los socios de un sus, ½ n del ¿Â del antelaciï de la estafa un ½ n del ¿Â del migraciï del la, brevedad del alcalde del la de la estafa del adicional de salida del rango de este posible.

½ n del ¿Â del informaciï del ½ s del ¿Â del mï del obtener del desea Si, migraciones de los las de para de los instrucciones de los frecuentes e del ¿Â ½ Gina de preguntas del pï del nuestra del visite, ½ n del ¿Â del migraciï del la de para de los instrucciones de los las del ½ del ¿Â del encontrarï del donde, rojo enviar del fico del ½ del ¿Â del trï EL de Cisco de los dispositivos del ¿Â ½ n de las configuraciones en del modificaciï del la del incluyendo (ASA, ISR, WSA, etc) para mejoradas de los infraestructuras de los nuevas de los estas (NGT). IP de salida para NGT EL nuevo rango de direcciones del como de los socios del sus de la estafa de las IT o del departamento su de la estafa del compartir del que del tenga del que del puede del que del ½ n del ¿Â del informaciï del ½ del ¿Â del encontrarï del ½ n del ¿Â del tambiï de Usted.

½ n del ¿Â de para Preguntas Frecuentes e Instrucciones de Migraciï del ½ del ¿Â del aquï del clic de Haga

Mejoradas asegurar de los infraestructuras de los nuevas de los las del hacia del eficaz del sencilla y del ½ n del ¿Â del transiciï del una de para de los disponibles del ½ n del ¿Â del estï de Cisco de Operaciones y Despliegue del Servicio de los equipos del los. Que usted Si de los actuales de los conexiones del ¿Â ½ n de sus de pregunta acerca de la migraciï del alguna del tiene ningunos frecuentes de los preguntas de los las en del ½ del ¿Â del respondiï SE, ½ Nico cws-migrations@cisco.com del ¿Â del electrï del correo EL del usando de los nosotros de la estafa del contacto en del ngase del ½ del ¿Â del pï del favor del por.

IMPORTANTE - PASTO DEL FAVOR POR: El Si no usted ningún empresa de su del nombre en de los notificaciones de los estas del recibir del debe del que del personaje del la es, favor del por, los denos del ½ del ¿Â del ayï un brevedad responsable del alcalde del la en del ½ n del ¿Â del informaciï del importante del esta del obtenga del que del personaje asegurar del la posible. ½ “casero” porta del ¿Â del pestaï del la del seleccionando y de Gina del ½ del ¿Â del pï del la en del ingresando su ScanCenter del la del puede del ½ n del ¿Â de Tambiï del configuraciï del ¿Â ½ n de suscripciï del ¿Â ½ n de notificaciï del ¿Â del ½ n de su del desde actualizar del empresa un “Admin”. Un ½ n del ¿Â del continuaciïÂ, ½ del ¿Â del pestaï del la del sobre del ½ n del ¿Â del puntero del ratï del coloque un seleccione “Notificacions” y de “mi cuenta”. Un ½ n del ¿Â del continuaciïÂ, que marcada del ½ del ¿Â del estï de los correos electrónicos de la actualización del servicio del ½ n del ¿Â del ½ n del ¿Â del botï EL en del clic del haga “maneja el la” rese “casilla de verificaciï de que del ½ del ¿Â del asegï y de las configuraciones de la actualización del servicio envíe”. El ltimo del ½ del ¿Â de Por ïÂ, camarilla responsable agregar en el cuadro de texto del ¿Â ½ Nico de la persona del electrï del ¿Â ½ n de correo del direcciï del la “envía los trabajos de mantenimiento de futuro de incidentes y del al del ¿Â ½ notificaciones de cara del recibirï del sta del ½ del ¿Â y ï de los correos electrónicos de la actualización del servicio”.

Saludo cordial O.N.U,

Seguridad de la red de la nube de Operaciones y Despliegue del Servicio de Cisco de los equipos del los

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.