Pasos de la migración de la Seguridad de la red de la nube y FAQ para las torres de la última generación

Introducción

Este documento contiene un final del aviso del servicio y describe los cambios de configuración para la Seguridad de la red de la nube de Cisco (CWS). El CWS de Cisco está en curso de actualizar su arquitectura actual de la nube para cubrir las necesidades de los clientes. Éste no es apenas soportar el mapa de ruta de la característica, pero también mejorar la escala y la Alta disponibilidad de la solución total.

Como parte de la consolidación de Cisco para mejorar continuamente la calidad de nuestras ofrendas del como-uno-servicio de la Seguridad, Cisco pregunta que usted se traslada a un proxy del reemplazo así que la plataforma actual puede ser retirada. Éste es un proceso obligatorio que se asegurará que CWS de Cisco pueda mantener adecuadamente a sus clientes. Su proxy actual será retirado pronto (véase la tabla en “final de las torres de la herencia del CWS la sección del aviso del servicio” por las fechas). Asegúrese de que usted siga las instrucciones dentro de este documento para configurar el acceso a la torre de la última generación (NGT). Sea consciente que si usted falta esta fecha usted arriesga la pérdida de acceso al servicio. Cisco aprecia que éste requiere el tiempo y esfuerzo en su parte y valora su ayuda para alcanzar esta mejora a nuestro servicio.

Final de las torres de la herencia del CWS del aviso del servicio

Cisco anuncia las fechas de fin-de service para cada uno de las torres de la herencia enumeradas en esta tabla. El día más pasado a emigrar para cada torre de la herencia es mencionado. Después de esta fecha el servicio del CWS será no más disponible desde esa torre. Es obligatorio que los clientes afectados emigren a la Seguridad NGT de la red de la nube de Cisco para evitar la interrupción del servicio.

Torre afectada	Detalles	La fecha más pasada del servicio	Torre del reemplazo	Detalles
Sydney (SYD2)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	décimo quinto Mayo de 2015	Sydney (SYD3)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access7XX.cws.sco.cisco.com (XX = número)
Dallas (DAL1)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	décimo quinto Mayo de 2015	Dallas (DAL1)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access3XX.cws.sco.cisco.com (XX = número)
Francfort (FRA1 y FRA2)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	trigésimo Junio de 2015	Francfort (FRA2)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access5XX.cws.sco.cisco.com (XX = número)
Chicago (CHI1)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	31ro Agosto de 2015	Chicago (CHI2)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access4XX.cws.sco.cisco.com (XX = número)
Secaucus (SCS1 y SCS2)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	31ro Agosto de 2015	Secaucus (SCS2)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access2XX.cws.sco.cisco.com (XX = número)
Londres (LON4)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	31ro Agosto de 2015	Londres (LON5)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: accessXX.cws.sco.cisco.com (XX = número)
San José (SJL1)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	31ro Agosto de 2015	San José (SJL1)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access8XX.cws.sco.cisco.com (XX = número)
Sao Paulo (SAO1)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	décimotercero Marzo de 2016	Sao Paulo (SAO2)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access12XX.cws.sco.cisco.com (XX = número)
Johannesburgo (JOH1)	Proxy de la torre del CWS de Cisco mediados de Formato: (= número)	1r Agosto de 2017	Johannesburgo (JOH2)	Proxy del CWS NGT (torre de Cisco de la última generación). Formato: access20XX.cws.sco.cisco.com (XX = número)

Cambios de configuración del CWS

El dependiente sobre qué método de conexión usted utiliza para el servicio del CWS, su configuración necesitará ser alterado para asegurar la conexión adecuada al NGT. Esta guía delinea los cambios apropiados para hacer para cada uno de estos conectores.

ASA como conector al CWS

Para el conector ASA, usted necesita cambiar las opciones de ScanSafe en la configuración. La configuración substituye la torre del primario actual por el nuevo NGT. Esto se puede hacer del CLI o de la interfaz adaptante del Administrador de dispositivos de seguridad (ASDM). Los pasos se proporcionan en esta sección.

CLI

Configuración antes

scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Configuración después

scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Note: No cambie la llave de la licencia. Si usted desea cargar una nueva configuración, entre la clave de nuevo original. La clave se puede traer del ASA con el más sistema: running-config | incluya el comando license.

Pasos del cambio de configuración vía el CLI

Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

Del CLI en el ASA, ingrese estos comandos si usted utiliza el Nombre de dominio totalmente calificado (FQDN) (FQDN):

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

1. Del dispositivo vía el ASDM, elija la configuración > la Administración de dispositivos.
   • Para el solo contexto, elija la Seguridad de la red de la nube del panel izquierdo.
   • Para el multi-contexto, ingrese el contexto del sistema y después elija la Seguridad de la red de la nube del panel izquierdo.
2. En los campos del servidor primario y del IP Address/del Domain Name del servidor de backup, ingrese el IP Address NGT o el FQDN y el tecleo se aplican.

   

3. Del menú de archivos, elija la configuración corriente de la salvaguardia para contellear.

   

Defecto relacionado

Id. de bug Cisco CSCuj86222 - El ASA cae los segmentos de OoO TCP cuando conns del envío a través de proxy para el cambio de dirección de ScanSafe

Note: Si usted funciona con una versión afectada sabida, Cisco recomienda que usted actualiza a una versión con este defecto reparado.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT. Lea esta sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ASA que utilice el FQDN requiere el uso de los servidores DNS para acceder el proxy del CWS por el Domain Name. Una vez que se configura las operaciones de búsqueda del Domain Name y el servidor DNS, el ASA puede resolver el proxy FQDN. Aseegurese que usted configura la encaminamiento apropiada para cualquier interfaz en la cual usted habilite las operaciones de búsqueda del dominio DNS así que usted puede alcanzar al servidor DNS.

CLI

hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 como conector al CWS

Para Cisco ISR G2, usted necesitará cambiar la correspondencia del parámetro de la “contenido-exploración”. La configuración substituye el servidor de ScanSafe del primario actual por el nuevo NGT. Los pasos se muestran en esta sección.

CLI - Versiones anterior que la versión 15.4(2)T

Configuración antes

parameter-map type content-scan global
 server scansafe primary {ipv4 | name}  [PRIMARY TOWER] port http 8080 https 8080
 server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
 license 0 [AUTH KEY HERE]
 source interface [INTERFACE]
 timeout server 30
 user-group [GROUP] username [NAME]
 server scansafe on-failure allow-all

Configuración después

parameter-map type content-scan global
 server scansafe primary {ipv4 | name}  [NGT TOWER] port http 8080 https 8080
 server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
 license 0 [AUTH KEY HERE]
 source interface [INTERFACE]
 timeout server 30
 user-group [GROUP] username [NAME]
 server scansafe on-failure allow-all

Pasos del cambio de configuración vía el CLI

Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Note: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración, entre la clave de nuevo original.

CLI - Versiones más adelante que la versión 15.4(2)T

Configuración antes

parameter-map type cws global
 server cws primary {ipv4 | name}  [PRIMARY TOWER] port http 8080 https 8080
 server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
 license 0 [AUTH KEY HERE]
 source interface [INTERFACE]
 timeout server 30
 user-group [GROUP] username [NAME]
 server scansafe on-failure allow-all

Configuración después

parameter-map type cws global
 server cws primary {ipv4 | name}  [NGT TOWER] port http 8080 https 8080
 server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
 license 0 [AUTH KEY HERE]
 source interface [INTERFACE]
 timeout server 30
 user-group [GROUP] username [NAME]
 server scansafe on-failure allow-all

Pasos del cambio de configuración vía el CLI

Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
 port http 8080 https 8080
CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Note: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración, entre la clave de nuevo original.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT. Lea la siguiente sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ISR que utilice el FQDN requiere el uso de un servidor DNS para acceder el proxy del CWS por el Domain Name. Una vez que se configuran las operaciones de búsqueda del Domain Name y los servidores DNS, el ISR puede resolver el proxy FQDN.

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
 server-address2...server-address6]

WSA como conector al CWS

Para Cisco WSA, usted necesitará cambiar los servidores proxy del CWS. Esta configuración substituye al servidor primario por el nuevo NGT. Esto se completa dentro del portal de la configuración WSA. Los pasos se muestran en esta sección.

1. Login al portal web WSA. Del menú de la red, elija el conector de la nube.

   

2. El tecleo edita las configuraciones.

   

3. Cambie a la dirección del servidor para reflejar la nueva torre. Haga clic en Submit (Enviar).

   

4. Cambios del cometer del tecleo.

   

5. Ingrese un comentario (opcional) y confíe los cambios al WSA.

   

Conector nativo como conector al CWS

Para el conector nativo, usted necesita modificar el archivo del “agent.properties” con el nuevo NGT primario. Para completar esto, edite directamente el archivo para hacer que el “proxy primario” sea el NGT. Entonces, recomience el servicio del conector.

1. Edite el archivo del “agent.properties”.
   • Para Windows, el archivo del agent.properties está situado en “\ los archivos de programa (directorio del x86)\Connector".
   • Para Linux, el archivo del agent.properties está situado en el directorio “/opt/connector/”.

   Configuración antes

   # #############################################################
   # Configure upstream service
   defaultUpstreamPort=8080
   
   # Primary upstream server
   primaryProxy=[PRIMARY TOWER]
   primaryProxyPort=8080
   primaryProxyType=plain
   
   secondaryProxy=[SECONDARY TOWER]
   secondaryProxyPort=8080
   secondaryProxyType=plain
   
   tertiaryProxy=
   tertiaryProxyPort=
   tertiaryProxyType=plain
   
   # #############################################################

   Configuración después

   # #############################################################
   # Configure upstream service
   defaultUpstreamPort=8080
   
   # Primary upstream server
   primaryProxy=[NGT TOWER]
   primaryProxyPort=8080
   primaryProxyType=plain
   
   secondaryProxy=[SECONDARY TOWER]
   secondaryProxyPort=8080
   secondaryProxyType=plain
   
   tertiaryProxy=
   tertiaryProxyPort=
   tertiaryProxyType=plain
   
   # #############################################################

2. Reiniciar el servicio.
   • Para Windows, abra Services.msc. Haga clic con el botón derecho del ratón el reinicio del tecleo de Connectorand.

     

   • Para el Linux, ingrese el comando del reinicio de /etc/init.d/connector.

El ASA utiliza el NAT de destino para reorientar al CWS

Esto está solamente para el tráfico HTTP. Un ASA que funciona con la versión 8.3 y posterior soporta la fuente y el NAT de destino.

Para el ASA como conector que utilice el NAT de destino, utilice el manual/dos veces la función NAT disponibles en la versión 8.3 ASA o más adelante. Si usted utiliza el NAT de destino para enviar el tráfico a las torres del CWS, usted necesita cambiar la dirección IP de la torre en la sentencia NAT.

En la configuración de muestra, hay dos interfaces en el ASA. A saber “interior” (nivel de seguridad 100) y “exterior” (nivel de seguridad 0).

CLI

Configuración antes

! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0

! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0

! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080

! Destination port tcp /80
object service original-http
 service tcp destination eq www 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
 Cloud Web Security tower nat (inside,outside) source dynamic
 cws-protected-network interface destination static Internet
 cws-primary-tower service original-http proxy-8080

Configuración después

 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0

! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080

! Destination port tcp /80
object service original-http
 service tcp destination eq www 


! Nat statement to send HTTPS traffic to internet and HTTP traffic to
 Cloud Web Security NGT tower nat (inside,outside) source dynamic
 cws-protected-network interface destination static Internet
 cws-ngt-tower service original-http proxy-8080

Pasos del cambio de configuración vía el CLI

Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
 destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
 destination static Internet cws-ngt-tower service original-http proxy-8080

Del CLI en el ASA, ingrese estos comandos si usted utiliza el FQDN:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
 destination static Internet cws-primary-tower service original-http proxy-8080
CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
 destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

1. Ingrese el ASDM y elija la configuración > el Firewall > los objetos de red/a los grupos.
2. Elija agregan > objeto de red.

   

3. Ingrese esta información para la torre NGT:
   • Nombre: CWs-ngt-torre
   • Tipo: Host/FQDN (dependiente en su entorno)
   • Versión IP: IPv4
   • Dirección IP /FQDN: NGT FQDN o dirección IP
   • Descripción: (Opcional)

   

4. Click OK.
5. Elija la configuración > el Firewall > las reglas NAT.

   

6. Elija la regla actual NAT y el tecleo edita.

   

7. Edite el campo dirección de destino.

   

8. Elija el objeto creado recientemente de la CWs-ngt-torre y haga clic la AUTORIZACIÓN.

   

9. Aplique la configuración al ASA.

Solución pasiva de la Administración de la identidad con el CWS

Para el uso de la Administración de la identidad pasiva (PIM) scripts con la integración de Active Directory en el producto del CWS, realizan estos cambios a la secuencia de comandos de inicio. (El ejemplo debajo de las aplicaciones “pim-abiertas” como el nombre del lote.)

Abra “pim-open.batch” y edite el archivo por lote. Usted puede encontrar el archivo por lote situado en el “<unidad> \ <Install Directory> \ PIM”. Por ejemplo, “C:\PIM\pim - open.batch”.

Configuración antes

C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

Configuración después

C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Ordene para elevarse/proxy explícito/configuración recibida como método de cambio de dirección al CWS

Para la conexión directa al servicio de la configuración de representación del navegador, los cambios necesitan ser realizados al servidor proxy. Las configuraciones de representación se pueden aplicar directamente o con un archivo de la configuración automática del proxy (PAC). Las alteraciones para ambos métodos se delinean en esta sección.

Configuración de representación directa dentro de un navegador

1. Asegúrese que las “configuraciones LAN” para el punto final estén habilitadas para utilizar un servidor proxy.
2. En la configuración del “servidor proxy”, cambie la torre primaria IP/FQDN al NGT IP/FQDN.

Archivo PAC

Esto es un ejemplo solamente.

Archivo PAC antes

function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
 return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
 }

Archivo PAC después

function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
 return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
 }

Cambios del Firewall requeridos con el uso de EasyID

La configuración de red recomendada para EasyID está para los clientes solamente a los puertos abiertos en sus Firewall de los IP Addresses específicos del centro de datos del CWS enumerados en el portal para acceder los servidores LDAP. Antes de la migración a NGTs para primario y/o de reserva/secundario, ponga al día las reglas de firewall para incluir cualquier nuevo IP Addresses NGT.

Las nuevas torres de la embajada serán proporcionadas junto con la asignación NGT. Usted necesita incluir la torre de la embajada NGT en la regla de la lista de control de acceso (ACL) entrante. La dirección IP de la embajada NGT se puede encontrar en el portal de ScanCenter (reino fácil de la Administración ID).

Lista de control de acceso antes

Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
 or tcp/636 (if secured LDAP) 

Lista de control de acceso después

Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
 or tcp/636 (if secured LDAP)

Para la lista actualizada, elija Scancenter > el Admin > la autenticación > la Administración.

En esta sección, el tecleo edita en los “reinos activos de la autenticación”. En la siguiente sección, la lista actualizada de IP Addresses se muestra en esta visualización.

Una vez que usted tiene la lista actualizada de servidores permitidos, el uso “conexión del control” para asegurar la Conectividad de todas las torres es acertado y el estatus es verde.

La “conexión del control” pudo tardar algunos minutos para probar la Conectividad de todas las torres.

Cambios de configuración de escudo de protección (si procede)

Si el entorno actual del Firewall permite el acceso entrante y/o saliente a la torre, estos cambios se deben realizar para el NGTs.

Cualquier ACL que permita el acceso de salida a su torre actual del CWS se debe alterar para permitir el acceso de salida a su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Lista de acceso después

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Cualquier ACL que permita el acceso entrante a su torre actual del CWS se debe alterar para permitir el acceso entrante de su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Lista de acceso después

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Alcances del IP Address de la salida de la torre de la última generación

Si usted necesita proporcionar los partners comerciales/a los vendedores externos con los alcances del IP Address de la salida porque necesitan saber dónde contar con su tráfico de, ajustan sus ACL de acuerdo con esta tabla.

Torre de la última generación	Alcances del IP Address de la salida
Londres	108.171.128.160 - 108.171.128.223
Secaucus	108.171.130.160 - 108.171.130.223
Dallas	108.171.132.160 - 108.171.132.223
Sydney	108.171.134.160 - 108.171.134.223
Chicago	108.171.131.160 - 108.171.131.223
Francfort	108.171.129.160 - 108.171.129.223
Washington DC	108.171.133.160 - 108.171.133.223
San José	108.171.135.160 - 108.171.135.223
Sao Paulo	108.171.138.160 - 108.171.138.223
Johannesburgo	108.171.145.160 - 108.171.145.223

Preguntas Frecuentes

1. ¿Qué se requiere para nuestra petición interna del cambio?

De acuerdo con el método de redireccionamiento/el despliegue, los cambios de configuración serán requeridos para permitir el tráfico al proxy NGT asignado a su sitio. En el script del conector device/PAC/PIM, usted necesita cambiar la dirección IP o el FQDN del proxy primario. Cisco no prevé ningún requisito del tiempo muerto. Mientras que usted cambia el proxy primario, su servicio bajará sobre el proxy secundario (si está configurado).

2. ¿Si experimento cualesquiera problemas técnicos en NGT, invierto al proxy actual?

Abra una solicitud de servicio vía el Centro de Asistencia Técnica de Cisco (TAC). Incluya su nombre de la compañía, dirección del proxy del primario actual, nueva dirección del proxy NGT, tema: “Migración NGT” y una Breve descripción del problema.

3. ¿Los clientes recibirán un email de la notificación en la migración al proxy NGT de Cisco?

Solamente los clientes notificados por Cisco deben proceder con la migración. La migración NGT será conducida en las fases y a su debido tiempo le notificarán. Si usted no recibe una notificación por correo electrónico y cree que usted utiliza actualmente un proxy primario que tiene NGT disponible en el mismo país/región, alcance hacia fuera a cws-migrations@cisco.com para la confirmación.

4. ¿Habrá autorización adicional requerida para emigrar al proxy NGT?

Los clientes pueden el descanso asegurado que no hay requisitos adicionales de la licencia para emigrar el servicio al proxy NGT.

5. ¿Necesito cambiar la llave de la licencia y/o las directivas de centro de la exploración antes o después de la migración?

Sigue habiendo todas las llaves de la licencia y directivas sin cambiar en el portal del centro de la exploración.

6. Utilizo el FQDN para el nombre de la torre en vez de una dirección IP.  ¿Mi tráfico será remitido automáticamente al proxy NGT si cambio el expediente A en el DNS o yo necesita señalar manualmente al proxy NGT?

Pues la migración se planea de una manera organizada, Cisco tendrá el primario actual y el proxy NGT asignado y ellos resuelven a dos diversos IP Addresses. El proxy NGT posee un IP Address único; por lo tanto es obligatorio que los clientes realicen un cambio manual a la dirección IP FQDN que pertenece a NGT.

7. ¿Qué cambios se necesitan en mi Firewall por aguas arriba o el extremo ISP?

Si usted tiene un ACL para el tráfico saliente, permita el tráfico al destino del NGTs en TCP/8080 (para AnyConnect y asegure el conector (independiente) que esto también necesitará el TCP/443). Vea la dirección IP FQDN asignada a usted en el email de la migración.

8. En nuestra organización, hay los sitios múltiples que utilizan el CWS con diversas torres configuradas. ¿Cómo me aseguraré de qué sitios necesitan ser emigrados?

El servicio al cliente del CWS que el equipo proporcionará los nuevos proxys NGT afectados un aparato a usted basó en cada uno de sus ubicaciones. No todas las ubicaciones tienen actualmente proxys NGT disponibles.

9. En nuestra organización hay los sitios múltiples que se han notificado para ser emigrados. ¿Es posible emigrar en las fases?

Usted no tiene que emigrar todos los sitios inmediatamente. Sin embargo, se recomienda para emigrar todos los sitios durante la ventana pedida de la migración.

10. No soy familiar con el despliegue y la configuración del CWS. ¿Hay una herramienta de la autoconfiguración o de la migración de Cisco a ayudar con los cambios?

No, Cisco no tiene una herramienta a ayudar con la autoconfiguración/la migración. Hay Guía de migración detallado basado en el método de implementación usado para ayudarle. En caso de que usted haga frente a cualquier dificultad, alcance hacia fuera a cws-migration@cisco.com para la ayuda.

11. ¿Si tengo un partner comercial/un vendedor externo que restrinja el tráfico basado en la dirección IP, cuáles son los nuevos alcances del IP Address de la salida NGT?

Torre de la última generación	Alcances del IP Address de la salida
Londres	108.171.128.160 - 108.171.128.223
Secaucus	108.171.130.160 - 108.171.130.223
Dallas	108.171.132.160 - 108.171.132.223
Sydney	108.171.134.160 - 108.171.134.223
Chicago	108.171.131.160 - 108.171.131.223
Francfort	108.171.129.160 - 108.171.129.223
Washington DC	108.171.133.160 - 108.171.133.223
San José	108.171.135.160 - 108.171.135.223
Sao Paulo	108.171.138.160 - 108.171.138.223
Johannesburgo	108.171.145.160 - 108.171.145.223

12. ¿Habrá cambio en cómo EasyID o la autenticación del lenguaje de marcado de la aserción de la Seguridad trabaja?

Sí, habrá cambios a la dirección IP de EasyID que necesita no ser prohibida entrante en sus dispositivos del borde/del Firewall. Usted puede ver la lista de IP Addresses en la sección de EasyID del portal de ScanCenter. Asegúrese que usted haya permitido el acceso entrante al servidor del Lightweight Directory Access Protocol (LDAP) de los nuevos IP Addresses de EasyID en los puertos TCP 389/3268 o TCP 636/3269 (LDAP) en las políticas del firewall.

13. ¿Cuánto tiempo muerto necesito programar para el intercambio?

Idealmente, no cuente con ningún tiempo muerto pues usted hace su torre de reserva configurar en su conector (conector ASA/ISR/WSA/Native). La mejor práctica recomendada es realizar la migración en los tiempos del NON-pico o después de las horas.

14. ¿Qué cambios necesito realizar en la red con excepción de la configuración del CWS?

Si usted tiene ACL salientes configurados en los dispositivos del borde/del Firewall y/o la encaminamiento basada directiva, póngala al día con la dirección IP FQDN del proxy NGT asignada a su compañía.

15. ¿La información se romperá si emigro a NGT?

No habrá cambio en los informes programados y guardados en el portal de ScanCenter.

16. ¿Qué prueba de conectividad puedo realizar para asegurar el proxy NGT soy accesible?

Usted puede realizar el PING o Telnet TCP a su proxy asignado NGT en el puerto TCP/8080.

17. ¿Qué debo marcar para asegurarme de que he emigrado con éxito al proxy NGT?

Hojee a “whoami.scansafe.net” y verifique el “logicalTowerNumber”. el “logicalTowerNumber” debe ser 10000 más el número del Punto de acceso. Por ejemplo, si le afectan un aparato "access66.cws.sco.cisco.com", el logicalTowerNumber es 10066.

18. ¿Utilizo el proxy FQDN NGT o la dirección IP?

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigra a NGT.

19. ¿Qué clase de cambios mis usuarios ambulantes, que utilizan el módulo de la Seguridad de la red de AnyConnect, tienen que hacer?

Para los usuarios en el cliente de AnyConnect, NINGUNOS CAMBIOS necesitan ser realizados para la migración NGT.

20. ¿Necesito cambiar mi torre secundaria del CWS así como mi torre primaria cuando me traslado a NGT?

Sí, las torres primarias y secundarias se deben cambiar de acuerdo con las asignaciones dadas.

Problemas de migración

Por cualquier problema de migración NGT, registre una solicitud de servicio por ninguno de estos métodos:

• Red: Administrador del caso de soporte

• Teléfono:
  • LOS E.E.U.U.: 1(877) 472-2680
  • EMEA: 44(0) 207-034-9400
  • APAC:  (64) 800513572

Notificação Pré-Migração: Seguridad de la red de la nube na Infraestrutura DA Cisco de Melhoramentos ningún centro de datos de São Paulo

El parte de Como hace los ofertas melhorar de los nossas das del qualidade del continuamente DA Cisco para del compromisso Segurança-como-um-serviço, atualmente de los encontramo-nos un em implementar São Paulo de la Seguridad de la red de la nube de Cisco del serviço del seu del providencia o del que del infraestrutura na de los consideráveis de los melhoramentos (anteriormente Scansafe), el Brasil.

De forma un aceder un infraestrutura del aperfeiçoada del esta, como qual “ou “NGT” de los referimos no. del à de la torre” de Next Gen (geração de torre de nova), proxy NGT del novo de para de la Seguridad de la red de la nube del serviço ao del aceder de para del utilizam del atualmente del que del secundário del primário e de los proxys DOS del migração del à de terão de proceder um. Un início iniciar de Fevereiro de 2016 e de para o del marcada del atualmente del está de para este processo de migração del prevista de los datos un até 13 de Março de 2016 del completada del ser del desarrollador del mesma. Negócio agendar planear externo/parceiros de negócios (salida de para del quer de los internos de las aletas de para del quer de los necessárias de para e quaisquer janelas de manutenção aos del objetivo del como del tem del pré-notificação del desta del envio O de los nossos de los clientes del suficiente facultar del tempo (endereços de proxy) del intervalo).

Facultada qualquer extensão de prazo para del será del não del que del atenção em del tenha del favor de Por após 13 de Maço de 2016 de un migração. Todas del tomo del que de los agradecemos del que de Pelo como obrigatória preparar del migração del esta de para de los necessárias de los medidas. Un resultará na perda de serviço de Março del até 13 del migração del não.

Email del novo de Receberá um ninguna COM de 2016 del início un migração del esta de para del necessária del informação, especificamente de los atribuídos de los proxys NGT DOS de los detalhes OS del incluindo un cliente del cada. Entretanto, salida para o DC de São Paulo de los intervalos de los novos OS del já del desde del consideração em del tenha del favor del por: 108.171.138.160 - 108.171.138.223. Clientes de los nossos OS de Aconselhamos una salida de los intervalos de los novos de los destes OS seus parceiros de negócio del já del desde del informarem.

Visite del favor del por de los informações de los mais del obter del pretenda de Caso instruções para del nossa del página de la red de para de los perguntas de los frequentes e Instruções para Migração de un encontrará del onde completar un migração, incluindo modificar como aperfeiçoada enviar del infraestrutura del esta de para del rede DA del tráfico de Cisco de los equipamentos no. de los configurações de los suas (ASA, ISR, WSA, etc.) para o.

IP tal para NGT del como o novo intervalo de egress del poderá del que del informação del encontrará de Também COM o seu departamento de informática ou del parceiro partilhar necessitar COM o departamento de informática de um.

Aceda del favor de Por un link para Perguntas Frequentes e Instruções de Migração del este

Como eficiente assegurar para de los simples e del transição del uma de para de los disponíveis encontram-SE de Operações e Prestação de Serviços DA Cisco de los equipas un infraestrutura de la Nova. La red para Perguntas Frequentes e Instruções para Migração del página del nossa na del encontrem SE del não del que de los conexões de los atuais de los suas das del migração del à del relativamente de los questões del existam de Caso, los contacte-nos del favor del por vía los através del email hace el endereço cws-migrations@cisco.com.

IMPORTANTE - FAVOR LEIA POR: É del não SE un empresa del sua DA del nome em de los notificações de los estas del receber del devia del que del pessoa, ajude-nos del favor del por un que assegurar un possível del breve de los mais del informação o del importante del esta de para del alertada del é del correta del pessoa. Los através atualizar del lista del pode de Também de endereços del email de para de los notificações DA de un empresa del sua hacen el login porta para del efetuando o de ScanCenter del seu un separador “Admin” del selecionando o e de “Inicio” del página. El seguida Em, ponteiro passe o hace el selecione “Notificações” e de “Sua Conta” del separador del sobre o rato. La pandilla del seguida Em ningún botão “Gerenciar configurações de atualização hace el serviço” e assegure-SE de que un selecionada del está del serviço de verificação del caixa “Enviar e-mails de atualização hace”. Passará del esta e del serviço del lado de na caixa de texto ao del correta del pessoa de o endereço de e-mail DA del adicione FIM de Por “Enviar e-mails de atualização hace” los trabalhos de manutenção de notificações de incidentes e del receber.

Cumprimentos de los melhores OS COM,

Un equipa Cisco de Operações e Prestação de Serviços

Notificación PRE-migración: En Sao Paulo DC de la Seguridad de la red de Cisco Cloud del infraestructura del la en de Mejoras (CWS)

Ofertas mejorar de Seguridad-como-uno-Servicio de la calidad de nuestras del continuamente de Como parte del compromiso de Cisco de, en Sao Paulo de la Seguridad de la red de Cisco Cloud del servicio EL del ofrece del que del infraestructura del la en de los significativas de los mejoras del realizando de los estamos (anteriormente ScanSafe), el Brasil.

Acceder de Para un infraestructura Mejorada del esta, un como “torre” (generación de Torre de nueva) o “NGT” de los referimos no. del que del la de Next Gen, migrados de reserva del ser del que del tendrán de la Seguridad de la red de Cisco Cloud del servicio del al de los asignados del primario y de los proxys de los actuales del sus un una nueva asignación de proxys de NGT. Del 13 de marzo de 2016 de las apuestas del completada del ser del debe del migración del la de para principios de febrero de 2016 y del planeada del actualmente del está del migración NGT del esta de fecha de inicio del La. Necesarias programar planificar de para y las ventanas de cambio de los nuestros de para del notificación del esta del antelación de la estafa del enviando de Estamos de los clientes EL del suficiente proporcionar del tiempo, estafa sus socios de negocios de los internos de los propósitos de la estafa del mar del ya (proxys) de cambio de direcciones de o/externos de los comerciales (pública de IP de los rangos).

Que del cuenta en del tenga del favor de Por ningún del 13 de marzo de 2016 del allá de los más de ninguna extensión de migración del proporcionará SE. Tanto del lo de Por, favor del por, obligatorio del cambio del próximo del este de para del prepararse de para de los necesarias de los medidas de los las del tomo. Si ningún en migrar una pérdida del servicio del traduciría EL 13 de marzo se de para del pudiera.

Electrónico del correo del otro del recibirá de Usted un sus asignaciones específicas de proxys NGT del incluyendo del migración del esta de para del necesaria del información del la de la estafa de 2016 de los principios. Tanto de Mientras, favor del por, salida de Sao Paulo DC es de IP del rango del nuevo EL del que del cuenta en del tenga: 108.171.138.160 - 108.171.138.223. Animamos clientes de los nuestros externos notificar de los socios de un sus, antelación de la estafa un migración del la, brevedad del alcalde del la de la estafa del adicional de salida del rango de este posible.

Información de los más del obtener del desea Si, migraciones de los las de para de los instrucciones de los frecuentes e de nuestra página de preguntas del visite, migración del la de para de los instrucciones de los las del encontrará del donde, rojo enviar del tráfico EL de Cisco de los dispositivos de la modificación de las configuraciones en del incluyendo (ASA, ISR, WSA, etc) para mejoradas de los infraestructuras de los nuevas de los estas (NGT). IP de salida para NGT EL nuevo rango de direcciones del como de los socios del sus de la estafa de las IT o del departamento su de la estafa del compartir del que del tenga del que del puede del que del información del encontrará del también de Usted.

Aquí para Preguntas Frecuentes e Instrucciones de Migración del clic de Haga

Mejoradas asegurar de los infraestructuras de los nuevas de los las del hacia del eficaz del sencilla y del transición del una de para de los disponibles del están de Cisco de Operaciones y Despliegue del Servicio de los equipos del los. Que usted Si de los actuales de los conexiones del sus de pregunta acerca de la migración del alguna del tiene ningunos frecuentes de los preguntas de los las en del respondió SE, electrónico cws-migrations@cisco.com del correo EL del usando de los nosotros de la estafa del contacto en del póngase del favor del por.

IMPORTANTE - PASTO DEL FAVOR POR: El Si no usted ningún empresa de su del nombre en de los notificaciones de los estas del recibir del debe del que del personaje del la es, favor del por, los ayúdenos un brevedad responsable del alcalde del la en del información del importante del esta del obtenga del que del personaje asegurar del la posible. Pestaña casero porta “Admin” del la del seleccionando y de “del página del la en del ingresando su ScanCenter de la configuración de suscripción del puede de También del notificación de su del desde actualizar del empresa”. Un continuación, pestaña del la del sobre del puntero del ratón del coloque seleccione “Notificacions” y de “mi cuenta”. Un continuación, que marcada del está de los correos electrónicos de la actualización del servicio de casilla de verificación del la del botón EL en del clic del haga “maneja las configuraciones” y de asegúrese que “de la actualización del servicio envíe”. El último de Por, camarilla responsable agregar en el cuadro de texto de la persona del electrónico de la dirección de correo “envía los trabajos de mantenimiento de futuro de incidentes y del al de recibirá notificaciones de cara del ésta y de los correos electrónicos de la actualización del servicio”.

Saludo cordial O.N.U,

Seguridad de la red de la nube de Operaciones y Despliegue del Servicio de Cisco de los equipos del los

Información Relacionada

• Guía de configuración adaptante del dispositivo de seguridad (ASA)
• Referencia de comandos adaptante del dispositivo de seguridad (ASA)
• Guía de configuración de la generación 2 (ISR G2) del Routers de los Servicios integrados con la solución acerca de la seguridad de la red de la nube
• Referencia de comandos de la generación 2 (ISR G2) del Routers de los Servicios integrados
• Guía de configuración del dispositivo de seguridad de la red (WSA)
• Guía de configuración del conector nativa de la Seguridad de la red de la nube
• Soporte Técnico y Documentación - Cisco Systems