Configuración de un clúster de dispositivos de seguridad de correo electrónico (ESA)

Actualizado:9 de abril de 2024
ID del documento:200885

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un clúster en un dispositivo de seguridad Cisco Email Security Appliance (ESA).

    Prerequisites 

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Cómo unir dispositivos en un clúster (administración centralizada).
    • Todos los ESA deben tener las mismas versiones de AsyncOS (hasta la revisión).

    Nota: en la versión 8.5+, la clave de administración centralizada ya no es necesaria y tampoco puede verse cuando se agrega, ya que es una función incorporada en AsyncOS.

    • Si crea un clúster para utilizar el puerto 22 (más fácil de configurar), asegúrese de que no haya problemas de firewall o de enrutamiento entre los dispositivos en el tráfico del puerto 22.
    • Si crea un clúster para utilizar el puerto 2222 (Servicio de comunicación de clústeres), asegúrese de que las reglas del firewall están establecidas para permitir que el tráfico de este puerto esté disponible sin inspección ni interrupción.
    • Las opciones de configuración del clúster deben realizarse mediante la CLI en el ESA y no se pueden crear ni unir en la GUI.
    • Si decide utilizar un nombre de host para la comunicación, asegúrese de que los servidores DNS establecidos en los dispositivos pueden resolver todos los demás dispositivos de la red y de que las direcciones IP que resuelven los nombres de host están asignadas a una interfaz configurada para escuchar en el puerto de comunicaciones seleccionado.
    • Asegúrese de que en las interfaces del dispositivo están activados el puerto y el servicio necesarios (SSH o CCS).

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Problema

    El problema es evitar la necesidad continua de modificación en cada dispositivo cada vez que una configuración entre un grupo grande de ESA necesita estar centralizada y sincronizada.

    Clústeres en ESA

    La función de gestión centralizada de ESA le permite gestionar y configurar varios dispositivos al mismo tiempo, para proporcionar una mayor fiabilidad, flexibilidad y escalabilidad dentro de su red. Esto le permite gestionar de forma global y, al mismo tiempo, cumplir con las políticas locales. 

    Un clúster consta de un conjunto de máquinas con información de configuración común. Dentro de cada clúster, los dispositivos se pueden dividir en grupos de máquinas, donde una sola máquina puede ser miembro de un solo grupo a la vez. 

    Los clústeres se implementan en una arquitectura de igual a igual sin relación principal/secundaria. Puede iniciar sesión en cualquier equipo para controlar y administrar todo el clúster o grupo.  Esto permite al administrador configurar diferentes elementos del sistema en un clúster, en todo el grupo o por máquina, basados en sus propios grupos lógicos

    Crear el clúster

    Una vez cumplidos todos los requisitos, para crear el clúster, debe comenzar en la línea de comandos (CLI) del primer dispositivo.

    Sugerencia: Realice una copia de seguridad de la configuración actual del dispositivo antes de configurar el clúster. Desde la GUI, Administración del sistema > Archivo de configuración.  Desmarque la casilla de la contraseña enmascarada y guarde la configuración localmente en el PC.

    Creación de Clúster sobre SSH

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    Creación de clústeres en CCS

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    Una vez realizado este paso, tendrá un clúster y todas las configuraciones se moverán desde la máquina al nivel de clúster. Esta es la configuración que todas las demás máquinas heredan cuando se unen.

    Unirse a un clúster actual mediante SSH o CCS

    En esta sección se explica cómo agregar nuevos dispositivos al clúster actual que haya creado o creado anteriormente. Unirse a un clúster actual mediante cualquier método es similar en enfoque, el único punto clave de la diferencia es que CCS requiere un paso adicional para finalizarlo para permitir que el clúster acepte el dispositivo más reciente.

    Conexión mediante SSH

    Nota: La sección indicada en negrita en estos pasos siguientes debe hacerse exactamente, con SSH, no debe decir sí a la activación de CCS.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    Después de la comprobación, el dispositivo se une correctamente al clúster.

    Unirse mediante CCS

    Este enfoque es similar, la única diferencia es que antes de decidir permitir el nuevo dispositivo en el clúster actual, debe iniciar sesión en el dispositivo que está activo en el clúster.

    En el dispositivo activo del clúster:

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    Una vez que ingresa la huella digital de SSH (que se obtiene cuando ingresa al dispositivo que intenta unirse a su agrupamiento y con el comando clusterconfig prepjoin print ) en el ejemplo de código anterior y ingresa una línea en blanco, completa la unión de preparación.

    Nota: Si ejecuta la PREPJOIN opción, debe registrar los cambios en el ESA principal antes de ejecutar  clusterconfig  en el ESA secundario y unir ese dispositivo al clúster recién configurado.  Esto se observa en la salida durante la operación: para unir este dispositivo a un clúster con claves previamente compartidas, inicie sesión en la máquina del clúster, ejecute el clusterconfig > prepjoin > new  comando , ingrese los siguientes detalles y commit sus cambios.

    A continuación, puede iniciar el proceso de unión en el dispositivo que intenta unirse, para referencia, llámenos ESA2.lab para que coincida con el del paso anterior.

    Nota: La clave SSH-DSS se encuentra en el siguiente ejemplo.

    ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. 
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. 
    These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added. 
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port. [2222]>

    Una vez confirmado, verá la clave SSH-DSS. Si coincide, puede aceptar los términos y el clúster se unirá correctamente.

    Elementos que se migran en una configuración de clúster

    La configuración del clúster migra:

    • Valores de Política Configurados
    • Filtros de contenido
    • Recursos de texto
    • Diccionarios de contenido
    • Configuración de LDAP
    • Anti-spam y antivirus
    • Configuración global
    • Configuración del receptor
    • Configuración de ruta SMTP
    • Configuración de DNS
      •

    Elementos que no se migran en una configuración de clúster

    La configuración del clúster no migra:

    • Nombre de host local del dispositivo.
    • Interfaces IP configuradas.
    • Tablas de enrutamiento configuradas.
    • Configuración local de Spam Quarantine.
    • Configuraciones de cuarentena de brotes, virus y políticas locales
    • Configuración del websecurityadvancedconfig  comando en la línea de comandos (para las versiones 8.5 y posteriores). 
      •
    icono de nota

    Nota: Si tiene filtros de contenido que hacen referencia a cuarentenas que no existen, se invalidan hasta que se hayan configurado en el equipo las cuarentenas de políticas a las que se hace referencia.

    Cómo se configuran los grupos en un clúster ESA

    En algunos escenarios, puede ser necesario que pocos ESA del clúster funcionen de una manera determinada que el resto. Para conseguirlo, no es necesario crear un nuevo clúster y puede continuar con la creación de grupos.

    icono de nota

    Nota: Las configuraciones que se realizan a nivel de grupo tienen prioridad sobre la configuración a nivel de cluster.

    Para la creación de grupos, créelo desde la CLI de ESA. Para iniciar la configuración, utilice el comando clusterconfig --> ADDGROUP :

    (Machine esalab.cisco.com)> clusterconfig 

    Este comando está restringido al modo "clúster".  ¿Desea cambiar al modo "clúster"? [Y]>

    Clúster de Cisco

    Elija la operación que desea realizar:

    - ADDGROUP: agrega un grupo de clústeres.

    - SETGROUP - Establece el grupo del que son miembros las máquinas.

    - RENAMEGROUP - Cambia el nombre de un grupo de clústeres.

    - DELETEGROUP: elimina un grupo de clústeres.

    - REMOVEMACHINE: elimina una máquina del clúster.

    - SETNAME - Establece el nombre del cluster.

    - LIST: muestra las máquinas del clúster.

    - CONSTATUS - Muestra el estado de las conexiones entre las máquinas en el clúster.

    - COMMUNICATION - Configure cómo se comunican las máquinas dentro del clúster.

    - DISCONNECT - Separe temporalmente las máquinas del clúster.

    - RECONNECT - Restaura las conexiones con máquinas que fueron previamente desconectadas.

    - PREPJOIN - Preparar la adición de una nueva máquina sobre CCS.

    []> AGREGAR GRUPO

    Introduzca el nombre del nuevo grupo de clústeres que desea crear.

    []> Nuevo_grupo

    Grupo de clústeres New_Group creado.

    Para agregar ESA del clúster actual al nuevo grupo creado, utilice el comando SETGROUP: 

    (Machine esalab.cisco.com)> clusterconfig

    Este comando está restringido al modo "clúster".  ¿Desea cambiar al modo "clúster"? [Y]>

    Clúster de Cisco

    Elija la operación que desea realizar:

    - ADDGROUP: agrega un grupo de clústeres.

    - SETGROUP - Establece el grupo del que son miembros las máquinas.

    - RENAMEGROUP - Cambia el nombre de un grupo de clústeres.

    - DELETEGROUP: elimina un grupo de clústeres.

    - REMOVEMACHINE: elimina una máquina del clúster.

    - SETNAME - Establece el nombre del cluster.

    - LIST: muestra las máquinas del clúster.

    - CONSTATUS - Muestra el estado de las conexiones entre las máquinas en el clúster.

    - COMMUNICATION - Configure cómo se comunican las máquinas dentro del clúster.

    - DISCONNECT - Separe temporalmente las máquinas del clúster.

    - RECONNECT - Restaura las conexiones con máquinas que fueron previamente desconectadas.

    - PREPJOIN - Preparar la adición de una nueva máquina sobre CCS.

    []> GRUPO DE CONFIGURACIÓN

    Elija la máquina para desplazarse a un grupo diferente.  Separe los distintos equipos con comas.

    1. esalab.cisco.com (grupo ESA_Group)

    [1]> 1

    Elija el grupo del que esalab.cisco.com debe ser miembro.

    1. Grupo_ESA

    2. Nuevo_grupo

    [1]> 2

    esalab.cisco.com establecido en el grupo New_Group.

    Para cambiar el nombre de un grupo actual en el clúster ESA, utilice el comando RENAMEGROUP:

    (Machine esalab.cisco.com)> clusterconfig

    Este comando está restringido al modo "clúster".  ¿Desea cambiar al modo "clúster"? [Y]>

    Clúster de Cisco

    Elija la operación que desea realizar:

    - ADDGROUP: agrega un grupo de clústeres.

    - SETGROUP - Establece el grupo del que son miembros las máquinas.

    - RENAMEGROUP - Cambia el nombre de un grupo de clústeres.

    - DELETEGROUP: elimina un grupo de clústeres.

    - REMOVEMACHINE: elimina una máquina del clúster.

    - SETNAME - Establece el nombre del cluster.

    - LIST: muestra las máquinas del clúster.

    - CONSTATUS - Muestra el estado de las conexiones entre las máquinas en el clúster.

    - COMMUNICATION - Configure cómo se comunican las máquinas dentro del clúster.

    - DISCONNECT - Separe temporalmente las máquinas del clúster.

    - RECONNECT - Restaura las conexiones con máquinas que fueron previamente desconectadas.

    - PREPJOIN - Preparar la adición de una nueva máquina sobre CCS.

    []> CAMBIAR NOMBRE DE GRUPO

    Elija el grupo cuyo nombre desea cambiar.

    1. Grupo_ESA

    2. Nuevo_grupo

    [1]> 2

    Introduzca el nuevo nombre del grupo.

    [New_Group]> Grupo_de_clústeres

    Grupo Nuevo_grupo cambiado a Grupo_de_clústeres.

    Para eliminar un grupo actual del clúster de ESA, utilice el comando  DELETEGROUP

    (Machine esalab.cisco.com)> clusterconfig

    Este comando está restringido al modo "clúster".  ¿Desea cambiar al modo "clúster"? [Y]>

    Clúster de Cisco

    Elija la operación que desea realizar:

    - ADDGROUP: agrega un grupo de clústeres.

    - SETGROUP - Establece el grupo del que son miembros las máquinas.

    - RENAMEGROUP - Cambia el nombre de un grupo de clústeres.

    - DELETEGROUP: elimina un grupo de clústeres.

    - REMOVEMACHINE: elimina una máquina del clúster.

    - SETNAME - Establece el nombre del cluster.

    - LIST: muestra las máquinas del clúster.

    - CONSTATUS - Muestra el estado de las conexiones entre las máquinas en el clúster.

    - COMMUNICATION - Configure cómo se comunican las máquinas dentro del clúster.

    - DISCONNECT - Separe temporalmente las máquinas del clúster.

    - RECONNECT - Restaura las conexiones con máquinas que fueron previamente desconectadas.

    - PREPJOIN - Preparar la adición de una nueva máquina sobre CCS.

    []> ELIMINARGRUPO

    Elija el grupo que desea eliminar.

    1. Grupo_de_clústeres

    2. Grupo_ESA

    [1]> 1

    Elija el grupo al que se deben mover las máquinas de Cluster_Group.

    1. Grupo_ESA

    [1]> 1

    Grupo Cluster_Group eliminado.

    icono de nota

    Nota: al agregar o quitar máquinas en el clúster, los cambios se aplican de forma instantánea a los dispositivos sin commit. Mientras que, en el caso de los grupos de las AES, las acciones relacionadas con ellas solo se aplican a las AES después de un commit.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    09-Apr-2024
    Recertificación
    1.0
    12-Dec-2016
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Matthew Huynh
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos