Guide de l’utilisateur pour AsyncOS 14.5 pour Cisco Secure Web Appliance– GD (déploiement général)

Survol de la connexion, de l’installation et de la configuration

Secure Web Appliance offre les modes de fonctionnement suivants :

Standard : Le mode standard de fonctionnement Secure Web Appliance comprend les services de proxy Web sur site et la supervision du trafic de la couche 4, qui ne sont pas disponibles dans le mode du connecteur de sécurité Web en nuage.
Cloud Web Security Connector : en mode Cloud Web Security Connector, l’appliance se connecte et achemine le trafic vers un proxy Cisco Cloud Web Security (CWS), où les politiques de sécurité du Web sont appliquées.

L’appliance dispose de plusieurs ports réseau, chacun affecté pour gérer un ou plusieurs types de données spécifiques.

L’appliance utilise les routages de réseau, le DNS, les VLAN et d’autres paramètres et services pour gérer la connectivité du réseau et l’interception de trafic. L’Assistant de configuration du système vous permet d’installer les services et les paramètres de base, tandis que l’interface Web de l’appliance vous permet de modifier les paramètres et de configurer des options supplémentaires.

Déploiement d’une appliance virtuelle

Pour déployer un Secure Web Appliance virtuel, consultez le Guide d’installation de l’appliance virtuelle Cisco Content Security Virtual Appliance, disponible à l’adresse http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html

Migration d’une appliance physique vers une appliance virtuelle

Pour migrer votre déploiement d’une appliance physique vers une appliance virtuelle, consultez le guide d’installation de l’appliance virtuelle référencée dans la rubrique précédente et les notes de version de votre version d’AsyncOS.

Comparaison des modes de fonctionnement

Le tableau suivant présente les différentes commandes de menu disponibles dans les modes de connexion Standard et en nuage, en indiquant les diverses fonctionnalités offertes dans chaque mode.


Menu	Disponible en mode standard	Disponible en mode Cloud Connector
Création de rapports	État du système Survol Users (Utilisateurs) Nombre d’utilisateurs Sites Web URL Categories (Catégories d’URL) Visibilité de l’application Protection contre les programmes malveillants Cisco Secure Endpoint Analyse de fichier Mises à jour des verdicts Cisco Secure Endpoint Risques de programmes malveillants des clients Web Reputation Filters (Filtres de réputation Web) Supervision du trafic de la couche 4 Rapports par emplacement d’utilisateur Suivi Web Capacité du système État du système Rapports planifiés Rapports archivés	État du système
Responsable de la sécurité Web	Profils d’identification Politiques de routage en nuage Politiques de logiciel-service Politiques de déchiffrement Politiques de routage Politiques d’accès Limites globales de bande passante Sécurité des données Cisco Analyse des programmes malveillants sortants Prévention des pertes de données externes Politiques de dérivation du trafic Web Politiques SOCKS Catégories d’URL personnalisées Définir des plages de temps et des quotas Paramètres de contournement Supervision du trafic de la couche 4	Profils d’identification Politiques de routage en nuage Prévention des pertes de données externes Catégories d’URL personnalisées
Services de sécurité	Proxy Web Proxy FTP Proxy HTTPS Proxy SOCKS Hébergement de fichiers PAC Acceptable Use Controls (Contrôles d’utilisation acceptable) Anti-Malware and Reputation (Protection contre les programmes malveillants et réputation) Filtres de transfert de données AnyConnect Secure Mobility Notification à l’utilisateur final L4 Traffic Monitor (Supervision du trafic de la couche 4) SensorBase Création de rapports Cisco Cloudlock Cisco Cognitive Threat Analytics (CTA)	Proxy Web
Réseau	Interfaces Redirection transparente Routs DNS High Availability (Haute disponibilité) Relais SMTP interne Proxy en amont External DLP Servers (Serveurs DLP externes) Dérivation du trafic Web Certificate Management Authentification Fournisseur d’identité pour SaaS Identity Service Engine (ISE)	Interfaces Redirection transparente Routs DNS High Availability (Haute disponibilité) Relais SMTP interne External DLP Servers (Serveurs DLP externes) Certificate Management Authentification Service d’ID d’ordinateur Cloud Connector
Administration système	Suivi de politique Alerts (Alertes) Abonnements aux journaux Adresse de retour Configuration SSL Users (Utilisateurs) Accès sécurisé Time Zone (Fuseau horaire) Réglages de l’heure Résumé de la configuration Fichier de configuration Paramètres des clés de fonctionnalité Clés de fonctionnalité Paramètres de mise à niveau et de mise à jour Mise à niveau du système Assistant de configuration du système Mode FIPS Prochaines étapes	Alerts (Alertes) Abonnements aux journaux Configuration SSL Users (Utilisateurs) Accès sécurisé Time Zone (Fuseau horaire) Réglages de l’heure Résumé de la configuration Fichier de configuration Clés de fonctionnalité Paramètres de mise à niveau et de mise à jour Mise à niveau du système Assistant de configuration du système
Portail Cisco CWS (disponible uniquement en mode de sécurité Web hybride)	s.o.	s.o.

Survol des tâches – Connexion, installation et configuration


Tâche	Autres renseignements
Connectez l’appliance au trafic Internet.	Connecter l’appliance
Recueillez et enregistrez les informations de configuration.	Collecte d’informations sur la configuration
Exécutez l’Assistant de configuration du système.	Assistant de configuration du système
Configurez les paramètres de proxy HTTP, les domaines d’authentification et les profils d’identification. Cette étape doit être effectuée pour le mode de sécurité Web hybride.	Activation du proxy HTTPS Domaines d’authentification Profils d’identification et authentification
(Facultatif) Connectez les proxy en amont.	Serveurs proxy en amont

Connecter l’appliance

Before you begin

Pour monter l’appliance, câblez-la pour la gestion et branchez-la au secteur, puis suivez les instructions du guide du matériel de votre appliance. Pour connaître l’emplacement de ce document correspondant pour votre modèle, consultez Documentation.
Si vous prévoyez de connecter physiquement l’appliance à un routeur WCCP v2 pour une redirection transparente, vérifiez d’abord que le routeur WCCP prend en charge la redirection de la couche 2.
Soyez conscient des recommandations de configuration de Cisco :
- Utilisez un câblage simplex (câbles distincts pour le trafic entrant et sortant), si possible, pour améliorer les performances et la sécurité.

Procedure

Step 1

Connectez-vous à l’interface de gestion si vous ne l’avez pas encore fait :


Ethernet Port (Port Ethernet)	Notes
M1	Connectez M1 à l’emplacement où cela est possible : Envoyez et recevez du trafic de gestion. (Facultatif) Envoyez et recevez le trafic de données du proxy Web. Vous pouvez connecter un ordinateur portable directement à M1 pour administrer l’appliance. Pour vous connecter à l’interface de gestion à l’aide d’un nom d’hôte (http://hostname:8080), ajoutez le nom d’hôte et l’adresse IP de l’appliance à la base de données de votre serveur DNS.
P1 et P2 (facultatif)	Disponible pour le trafic sortant des services de gestion, mais pas pour l’administration. Activez Use M1 port for management only (Utiliser le port M1 pour la gestion uniquement) [page Network > Interfaces (Réseau > Interfaces)]. Définissez le routage pour que le service utilise l’interface de données.

Step 2

(Facultatif) Connectez l’appliance au trafic de données directement ou par l’intermédiaire d’un périphérique de redirection transparent :

Ethernet Port (Port Ethernet)

Transfert explicite

Redirection transparente

P1/P2

P1 uniquement :

Activez Use M1 port for management only (Utiliser le port M1 pour la gestion uniquement).
Connectez P1 et M1 à des sous-réseaux différents.
Utilisez un câble duplex pour connecter P1 au réseau interne et à Internet pour recevoir le trafic entrant et sortant.

P1 et P2

Activez P1.
Connectez M1, P1 et P2 à différents sous-réseaux.
Connectez P2 à Internet pour recevoir le trafic Internet entrant.

Après avoir exécuté l’Assistant de configuration du système, activez P2.

Appareil : routeur WCCP v2 :

Pour la redirection sur la couche 2, connectez physiquement le routeur à P1/P2.
Pour la redirection sur la couche 3, soyez conscient des problèmes de performance possibles avec l’encapsulation de routage générique.
Créez un service WCCP sur l’appliance.

Périphérique : Commutateur de couche 4 :

Pour la redirection sur la couche 2, connectez physiquement le commutateur à P1/P2.
Pour la redirection sur la couche 3, soyez conscient des problèmes de performance possibles avec l’encapsulation de routage générique.

Note

L’appliance ne prend pas en charge le mode en ligne.

M1 (facultatif)

Si Use M1 port for management only (Utiliser le port M1 pour la gestion uniquement) est désactivé, M1 est le port par défaut pour le trafic de données.

S. O.

Step 3

(Facultatif) Pour surveiller le trafic de la couche 4, connectez l’appliance à un dérivateur, un commutateur ou un concentrateur après les ports proxy et avant tout périphérique qui effectue la traduction d’adresses réseau (NAT) sur les adresses IP des clients :


Ethernet Port (Port Ethernet)	Notes
T1/T2	Pour autoriser le blocage de la supervision du trafic de la couche 4, placez la supervision du trafic de la couche 4 sur le même réseau que le Secure Web Appliance. Configuration recommandée : Périphérique : Dérivateur réseau : Connectez T1 au dérivateur réseau pour recevoir le trafic client sortant. Connectez T2 au dérivateur réseau pour recevoir le trafic Internet entrant. Autres options : Périphérique : Dérivateur réseau : Utilisez un câble duplex sur T1 pour recevoir le trafic entrant et sortant. Périphérique : port réparti ou en miroir sur un commutateur Connectez T1 pour recevoir le trafic client sortant et connectez T2 pour recevoir le trafic Internet entrant. (Moins souhaitable) Connectez T1 à l’aide d’un câble semi-duplex ou duplex intégral pour recevoir le trafic entrant et sortant. Périphérique : Concentrateur : (Le moins souhaitable) Connectez T1 à l’aide d’un câble duplex pour recevoir le trafic entrant et sortant. L’appliance écoute le trafic sur tous les ports TCP de ces interfaces.

Step 4

Connectez des proxys externes en amont de l’appliance pour permettre aux proxys externes de recevoir les données de l’appliance.

What to do next

Collecte d’informations sur la configuration

Thèmes connexes

Activation ou modification des interfaces réseau
Utilisation de l’interface de données P2 pour les données de proxy Web
Ajout et modification d’un service WCCP
Configuration de la redirection transparente
Serveurs proxy en amont

Collecte d’informations sur la configuration

Vous pouvez utiliser la fiche de travail ci-dessous pour enregistrer les valeurs de configuration dont vous aurez besoin lors de l’exécution de l’Assistant de configuration du système. Pour plus d’informations, consultez Informations de référence de l’Assistant de configuration du système.


Fiche de travail de l’Assistant de configuration du système
Propriété	Valeur	Propriété	Valeur
Détails de l’appliance		Routs
Nom d’hôte système par défaut		Trafic de gestion
Serveur(s) DNS local(aux) (Requis si vous n’utilisez pas de serveurs racine Internet)		Default Gateway (Passerelle par défaut)
Serveur DNS 1		(Facultatif) Nom de la table de routage statique
(Facultatif) Serveur DNS 2		(Facultatif) Réseau de destination avec table de routage statique
(Facultatif) Serveur DNS 3		(Facultatif) Adresses de routeur de service standard
(Facultatif) Paramètres de temps		(Facultatif) Trafic de données
Serveur Network Time Protocol		Default Gateway (Passerelle par défaut)
(Facultatif) Détails du proxy externe		Nom de la table de routage statique
Nom du groupe de proxys		Table de routage statique, réseau de destination
Adresse du serveur proxy		(Facultatif) Paramètres WCCP
Numéro de port du proxy		Adresse du routeur WCCP
Détails de l’interface		Phrase secrète du routeur WCCP
Port de gestion (M1)		Paramètres d’administration
Adresse IPv4 (obligatoire) Adresse IPv6 (facultatif)		Administrator Passphrase (Phrase secrète de l’administrateur)
Network Mask (Masque réseau)		Email System Alerts To (Alertes du système par courriel à)
Hostname (Nom d’hôte)		(Facultatif) Hôte de relais SMTP
(Facultatif) Port de données (P1)
IPv4 (facultatif) Adresse IPv6 (facultatif)
Network Mask (Masque réseau)
Hostname (Nom d’hôte)

Assistant de configuration du système

Before you begin

Connectez l’appliance aux réseaux et aux périphériques. Consultez Connecter l’appliance.
Renseignez la fiche de travail de l’Assistant de configuration du système. Consultez Collecte d’informations sur la configuration.
Si vous configurez une appliance virtuelle :
- Utilisez la commande loadlicense pour charger la licence de l’appliance virtuelle. Pour obtenir des renseignements complets, consultez le Guide d’installation de Cisco Content Security Virtual Appliance, disponible à l’adresse http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html.
- Activez les interfaces HTTP et/ou HTTPS : dans l’interface de ligne de commande (CLI), exécutez la commande interfaceconfig.
Lors de la configuration de l’Assistant de configuration du système, si la licence Smart est activée, les paramètres des services en nuage le seront également, ce qui vous redirigera vers la page des paramètres des services en nuage.
Notez que les renseignements de référence sur chaque élément de configuration utilisé dans l’Assistant de configuration du système sont disponibles dans Informations de référence de l’Assistant de configuration du système.

Warning

N’utilisez l’Assistant de configuration du système que lors de la première installation de l’appliance ou si vous souhaitez remplacer complètement la configuration existante.

Procedure

Step 1	Ouvrez un navigateur et entrez l’adresse IP de Secure Web Appliance. La première fois que vous exécutez l’Assistant de configuration du système, utilisez l’adresse IP par défaut : `https://192.168.42.42:8443` -ou- `http://192.168.42.42:8080` où `192.168.42.42` est l’adresse IP par défaut, `8080` est le paramètre du port d’administration par défaut pour HTTP et `8443` est le port d’administration par défaut pour HTTPS. Sinon, si l’appliance est actuellement configurée, utilisez l’adresse IP du port M1.
Step 2	Lorsque l’écran de connexion à l’appliance s’affiche, saisissez le nom d’utilisateur et la phrase secrète pour accéder à l’appliance. Par défaut, l’appliance est livrée avec le nom d’utilisateur et la phrase secrète suivants : Nom d’utilisateur : `admin` Phrase secrète : `ironport`
Step 3	Vous devez immédiatement modifier la phrase secrète.
Step 4	Choisissez System Administration > System Setup Wizard (Administration système > Assistant de configuration du système). Si l’appliance est déjà configurée, vous serez averti que vous êtes sur le point de réinitialiser la configuration. Pour continuer avec l’Assistant de configuration du système, cochez la case Reset Network Settings (Réinitialiser les paramètres réseau), puis cliquez sur le bouton Reset Configuration (Réinitialiser la configuration). L’appliance sera réinitialisée et le navigateur s’actualise pour afficher l’écran d’accueil de l’appliance.
Step 5	Lisez et acceptez le contrat de licence utilisateur final.
Step 6	Cliquez sur Begin Setup (Commencer l’installation) pour continuer.
Step 7	Configurez tous les paramètres à l’aide des tableaux de référence fournis dans les sections suivantes, selon les besoins. Consultez Informations de référence de l’Assistant de configuration du système.
Step 8	Examinez les informations de configuration. Si vous devez modifier une option, cliquez sur Edit (Modifier) pour cette section.
Step 9	Cliquez sur Install This Configuration (Installer cette configuration).

What to do next

La page Next Steps (Étapes suivantes) devrait s’afficher une fois la configuration installée. Cependant, en fonction des paramètres IP, du nom d’hôte ou des paramètres DNS que vous avez configurés lors de l’installation, vous risquez de perdre la connexion à l’appliance à ce stade. Si une erreur « page not found » (page introuvable) s’affiche dans votre navigateur, modifiez l’URL pour refléter les nouveaux paramètres d’adresse et rechargez la page. Continuez ensuite avec les tâches post-installation que vous souhaitez effectuer.

Informations de référence de l’Assistant de configuration du système

Réseau/Paramètres système
Réseau/Interfaces réseau et câblage
Réseau/Voies de routage pour la gestion et le trafic de données
Réseau/Paramètres de connexion transparente
Réseau/Paramètres administratifs

Réseau/Paramètres système

Propriété

Description

Default System Hostname (Nom d’hôte du système par défaut)

Le nom d’hôte du système est le nom d’hôte complet utilisé pour identifier l’appliance dans les domaines suivants :

interface de ligne de commande (CLI)
alertes du système
pages de notification et d’accusé de réception de l’utilisateur final
lors de la formation du nom NetBIOS de l’ordinateur lorsque Secure Web Appliance rejoint un domaine Active Directory

Le nom d’hôte du système ne correspond pas directement aux noms d’hôte d’interface et n’est pas utilisé par les clients pour se connecter à l’appliance.

DNS Server(s) [Serveur(s) DNS]

Use the Internet’s Root DNS Servers (Utiliser les serveurs DNS racine d’Internet) : vous pouvez choisir d’utiliser les serveurs DNS racine d’Internet pour les recherches de service de nom de domaine lorsque l’appliance n’a pas accès aux serveurs DNS de votre réseau.

Note

Les serveurs DNS racine Internet ne résolvent pas les noms d’hôte locaux. Si vous avez besoin de l’appliance pour résoudre les noms d’hôte locaux, vous devez utiliser un serveur DNS local ou ajouter les entrées statiques appropriées au DNS local à l’aide de l’interface de ligne de commande.

Use these DNS Servers (Utiliser ces serveurs DNS) : indiquez les adresses du ou des serveurs DNS locaux que l’appliance peut utiliser pour résoudre les noms d’hôte.

Voir DNS Settings (paramètres DNS) pour plus d’informations sur ces paramètres.

NTP Server (Serveur NTP)

Serveur NTP (Network Time Protocol) utilisé pour synchroniser l’horloge système avec d’autres serveurs sur le réseau ou Internet.

La valeur par défaut est time.sco.cisco.com.

Time Zone (Fuseau horaire)

Indiquez des renseignements sur le fuseau horaire correspondant à l’emplacement de l’appliance; affecte les horodatages dans les en-têtes des messages et les fichiers journaux.

Mode de fonctionnement de l’appliance

Standard : utilisé pour l’application standard des politiques sur site.
Cloud Web Security Connector (connecteur de sécurité Web en nuage) : utilisé principalement pour diriger le trafic vers le service Cloud Web Security de Cisco pour l’application des politiques et la défense contre les menaces.
Hybrid Web Security(Sécurité du Web hybride) : utilisée conjointement avec le service Cloud Web Security de Cisco pour l’application des politiques dans le nuage et sur site et pour la défense contre les menaces.

Voir Comparaison des modes de fonctionnement pour plus d’informations sur ces modes de fonctionnement.

Réseau/Contexte du réseau

Note

Lorsque vous utilisez Secure Web Appliance dans un réseau qui contient un autre serveur proxy, il est recommandé de placer Secure Web Appliance en aval du serveur proxy, plus près des clients.


Propriété	Description
Is there another web proxy on your network? (Existe-t-il un autre proxy Web sur votre réseau?)	Existe-t-il un autre proxy sur votre réseau que le trafic doit traverser? Se trouvera-t-il en amont de Secure Web Appliance? Si la réponse aux deux questions est oui, cochez la case . Cela vous permet de créer un groupe de proxys pour un proxy en amont. Vous pourrez ajouter d’autres proxys en amont plus tard.
Proxy group name (Nom du groupe de proxys)	Nom utilisé pour identifier le groupe de proxys sur l’appliance.
Address (Adresse)	Nom d’hôte ou adresse IP du serveur proxy en amont.
Port	Numéro de port du serveur proxy en amont.

Thèmes connexes

Serveurs proxy en amont

Réseau/Paramètres de Cloud Connector

Besoin de confirmer le nom et les paramètres de la page.


Paramètres	Description
Cloud Web Security Proxy Servers (Serveurs proxy Cloud Web Security)	Adresse du serveur proxy dans le nuage (CPS), par exemple, proxy1743.scansafe.net.
Failure Handling (Gestion des échecs)	Si AsyncOS ne parvient pas à se connecter à un proxy Cloud Web Security, connectez-vous directement à Internet ou abandonnez les demandes.
Cloud Web Security Authorization Scheme (Schéma d’autorisation Cloud Web Security)	Méthode d’autorisation des transactions : Adresse IPv4 publique Secure Web Appliance. Clé d’autorisation incluse avec chaque transaction. Vous pouvez générer une clé d’autorisation dans le portail Cisco Cloud Web Security.

Réseau/Interfaces réseau et câblage

L’adresse IP, le masque de réseau et le nom d’hôte à utiliser pour gérer le trafic Secure Web Appliance et, par défaut, le trafic proxy (de données).

Vous pouvez utiliser le nom d’hôte indiqué ici lors de la connexion à l’interface de gestion de l’appliance (ou dans les paramètres de proxy du navigateur si M1 est utilisé pour les données de proxy), mais vous devez l’enregistrer dans le DNS de votre entreprise.


Paramètres	Description
Ethernet Port (Port Ethernet)	(Facultatif) Cochez la case Use M1 port for management only (Utiliser le port M1 pour la gestion uniquement) si vous souhaitez utiliser un port distinct pour le trafic de données. Si vous configurez l’interface M1 pour le trafic de gestion uniquement, vous devez configurer l’interface P1 pour le trafic de données. Vous devez également définir différentes voies de routage pour la gestion et le trafic de données. Cependant, vous pouvez configurer l’interface P1 même lorsque l’interface M1 est utilisée à la fois pour la gestion et le trafic de données. Vous pouvez activer et configurer le port P1 uniquement dans l’Assistant de configuration du système. Si vous souhaitez activer l’interface P2, vous devez le faire après avoir terminé l’Assistant de configuration du système.
IP Address / Netmask (Adresse IP/Masque réseau)	Adresse IP et masque réseau à utiliser lors de la gestion de Secure Web Appliance sur cette interface réseau.
Hostname (Nom d’hôte)	Nom d’hôte à utiliser lors de la gestion de Secure Web Appliance sur cette interface réseau.

Réseau/Câblage de la supervision du trafic de la couche 4


Propriété	Description
Supervision du trafic de la couche 4	Le type de connexions filaires branchées sur les interfaces en « T » : Dérivation en duplex. Le port T1 reçoit le trafic entrant et sortant. Dérivation simple. Le port T1 reçoit le trafic sortant (des clients vers Internet) et le port T2 reçoit le trafic entrant (d’Internet vers les clients). Cisco recommande d’utiliser l’option simplex lorsque cela est possible, car elle peut augmenter les performances et la sécurité.

Réseau/Voies de routage pour la gestion et le trafic de données

Note

Si vous activez « Use M1 port for management only » (Utiliser le port M1 pour la gestion uniquement), cette section comprendra des sections distinctes pour la gestion et le trafic des données; sinon, une seule section de jonction sera affichée.


Propriété	Description
Default Gateway (Passerelle par défaut)	Adresse IP de la passerelle par défaut à utiliser pour le trafic dans les interfaces de gestion et de données.
Static Routes Table (Tableau des voies de routage statiques)	Voies de routages statiques facultatives pour la gestion et le trafic des données. Plusieurs voies de routage peuvent être ajoutées. Name (Nom) : nom utilisé pour identifier la voie de routage statique. Internal Network (Réseau interne) : adresse IPv4 pour la destination de cette voie de routage sur le réseau. Internal Gateway (Passerelle interne) : adresse IPv4 de la passerelle pour cette voie de routage. Une passerelle de routage doit résider sur le même sous-réseau que l’interface de gestion ou de données sur laquelle elle est configurée.

Réseau/Paramètres de connexion transparente

Note

Par défaut, Cloud Connector est déployé en mode transparent, ce qui nécessite une connexion à un commutateur de couche 4 ou à un routeur WCCP version 2.


Propriété	Description
Layer-4 Switch or No Device (Commutateur de couche 4 ou aucun périphérique)	Indique que Secure Web Appliance est connecté à un commutateur de couche 4 pour une redirection transparente, ou qu’aucun périphérique de redirection transparent n’est utilisé et les clients transféreront explicitement les demandes à l’appliance.
WCCP v2 Router (Routeur WCCP v2)	Indique que Secure Web Appliance est connecté à un routeur compatible avec WCCP version 2. Si vous connectez l’appliance à un routeur WCCP version 2, vous devez créer au moins un service WCCP. Vous pouvez activer le service standard à partir de cet écran ou, une fois l’Assistant de configuration du système terminé, où vous pouvez également créer plusieurs services dynamiques. Lorsque vous activez le service standard, vous pouvez également activer la sécurité du routeur et saisir une phrase secrète. La phrase secrète utilisée ici doit être utilisée pour toutes les appliances et routeurs WCCP du même groupe de services. Un type de service standard (également appelé service « web-cache ») se voit attribuer un ID fixe égal à zéro, une méthode de redirection fixe (par port de destination) et un port de destination fixe égal à 80. Un type de service dynamique vous permet de définir un ID personnalisé, des numéros de port et des options de redirection et d’équilibrage de la charge.

Réseau/Paramètres administratifs


Propriété	Description
Administrator Passphrase (Phrase secrète de l’administrateur)	Phrase secrète utilisée pour accéder à Secure Web Appliance à des fins d’administration.
Email System Alerts To (Alertes du système par courriel à)	Adresse de messagerie à laquelle l’appliance envoie des alertes système.
Send Email via SMTP Relay Host (optional) (Envoyer un courriel par l’entremise de l’hôte de relais SMTP [facultatif])	L’adresse et le port d’un hôte de relais SMTP qu’AsyncOS peut utiliser pour envoyer les courriels générés par le système. Si aucun hôte de relais SMTP n’est défini, AsyncOS utilise les serveurs de messagerie répertoriés dans l’enregistrement MX.
AutoSupport (AutoAssistance)	Indique si l’appliance envoie des alertes du système et des rapports d’état hebdomadaires à l’assistance client de Cisco.
SensorBase Network Participation (Participation au réseau SensorBase)	Indique la participation ou non au réseau Cisco SensorBase. Si vous participez, vous pouvez configurer une participation limitée ou standard (complète). L’option Standard est sélectionnée par défaut. Le réseau SensorBase est une base de données de gestion des menaces qui suit des millions de domaines à travers le monde et maintient une liste de supervision mondiale pour le trafic Internet. Lorsque vous activez la participation au réseau SensorBase, Secure Web Appliance envoie des statistiques anonymes de demandes HTTP à Cisco pour augmenter la valeur des données du réseau SensorBase.

Sécurité/Paramètres de sécurité


Option	Description
Global Policy Default Action (Action par défaut de la politique globale)	Indique s’il faut bloquer ou surveiller tout le trafic Web par défaut une fois l’Assistant de configuration du système terminé. Vous pourrez modifier ce comportement ultérieurement en modifiant les paramètres de protocoles et d’agents utilisateurs pour la politique d’accès globale. Le paramètre par défaut consiste en la supervision du trafic.
L4 Traffic Monitor (Supervision du trafic de la couche 4)	Indique si la supervision du trafic de la couche 4 doit surveiller ou bloquer les programmes malveillants suspects par défaut une fois l’Assistant de configuration du système terminé. Vous pourrez modifier ce comportement ultérieurement. Le paramètre par défaut consiste en la supervision du trafic.
Acceptable Use Controls (Contrôles d’utilisation acceptable)	Indique s’il faut activer les contrôles d’utilisation acceptable. S’ils sont activés, les contrôles d’utilisation acceptable vous permettent de configurer des politiques en fonction du filtrage d’URL. Ils offrent également une visibilité et un contrôle des applications, ainsi que des options connexes telles que l’application de la recherche sécurisée. La valeur par défaut est Enabled (Activé).
Reputation Filtering (Filtrage par réputation)	Indique s’il faut activer le filtrage de réputation Web pour le groupe de politiques global. Les filtres de réputation Web sont une fonctionnalité de sécurité qui analyse le comportement d’un serveur Web et attribue un score de réputation à une URL pour déterminer la probabilité qu’elle contienne des programmes malveillants basés sur les URL. La valeur par défaut est Enabled (Activé).
Malware and Spyware Scanning (Analyse des programmes malveillants et des logiciels espions)	Indique s’il faut activer la recherche de programmes malveillants et de logiciels espions à l’aide de Webroot, McAfee ou Sophos. Par défaut, les trois options sont activées. La plupart des services de sécurité sont automatiquement activés ou désactivés pour correspondre aux services normalement disponibles pour les politiques Cisco Cloud. De même, les valeurs par défaut liées aux politiques ne seront pas applicables. Au moins une option d’analyse doit être activée. Si une option est activée, vous pouvez également choisir de surveiller ou de bloquer les programmes malveillants détectés. Le paramètre par défaut est de surveiller les programmes malveillants. Vous pouvez approfondir la configuration de l’analyse des programmes malveillants après avoir terminé l’Assistant de configuration du système.
Cisco Data Security Filtering (Filtrage de sécurité des données Cisco)	Indique s’il faut activer ou non les filtres de sécurité des données Cisco. S’ils sont activés, les filtres de sécurité des données Cisco évaluent les données qui quittent le réseau et vous permettent de créer des politiques de sécurité des données Cisco pour bloquer des types particuliers de demandes de chargement. La valeur par défaut est Enabled (Activé).

Serveurs proxy en amont

Le proxy Web peut transférer le trafic Web directement vers son serveur Web de destination ou utiliser des politiques de routage pour le rediriger vers un proxy externe en amont.

Survol des tâches des serveurs proxy en amont
Création de groupes de serveurs proxy pour les serveurs proxy en amont

Survol des tâches des serveurs proxy en amont


Tâche	Autres renseignements
Connectez le proxy externe en amont de Cisco Secure Web Appliance.	Connecter l’appliance.
Créez et configurez un groupe de proxy pour le proxy en amont.	Création de groupes de serveurs proxy pour les serveurs proxy en amont.
Créez une politique de routage pour le groupe de proxy afin de gérer le trafic à acheminer vers le proxy en amont.	Créer des politiques pour contrôler les demandes Internet

Création de groupes de serveurs proxy pour les serveurs proxy en amont

Procedure

Step 1

Choisissez Network > Upstream Proxies (Réseau > Proxys en amont).

Step 2

Cliquez sur Add Group (Ajouter un groupe).

Step 3

Complétez les paramètres du groupe de proxy.

Propriété

Description

Name (Nom)

Le nom utilisé pour identifier les groupes de proxy sur l’appliance, dans les politiques de routage, par exemple.

Serveurs proxy

L’adresse, le port et les tentatives de reconnexion (dans le cas où un proxy ne répond pas) pour les serveurs proxy du groupe. Des lignes pour chaque serveur proxy peuvent être ajoutées ou supprimées au besoin.

Note

Vous pouvez saisir le même serveur proxy plusieurs fois pour permettre une répartition inégale de la charge entre les proxy du groupe proxy.

Équilibrage de la charge

Politique utilisée par le proxy Web pour équilibrer la charge des demandes entre plusieurs proxys en amont. Choisissez parmi :

None (failover) (Aucun [basculement]). Le proxy Web dirige les transactions vers un proxy externe du groupe. Il essaie de se connecter aux proxy dans l’ordre dans lequel ils sont répertoriés. Si un proxy ne peut pas être atteint, le proxy Web tente de se connecter au suivant dans la liste.
Fewest connections (Le moins de connexions). Le proxy Web assure le suivi du nombre de demandes actives provenant des différents proxys du groupe et dirige une transaction vers le proxy qui traite actuellement le plus petit nombre de connexions.
Hash based (Basé sur le hachage). Least recently used (Utilisé le moins récemment). Le proxy Web dirige une transaction vers le proxy qui a reçu une transaction le moins récemment si tous les proxys sont actifs. Ce paramètre est similaire au tourniquet, sauf que le proxy Web prend également en compte les transactions qu’un proxy a reçues en étant membre d’un autre groupe de proxy. C’est-à-dire que si un proxy est répertorié dans plusieurs groupes de proxy, l’option « utilisés récemment » est moins susceptible de surcharger ce proxy.
Round robin (Circuit cyclique). Le proxy Web distribue les transactions de manière égale entre tous les proxys du groupe dans l’ordre indiqué.

Note

L’option d’équilibrage de la charge est grisée jusqu’à ce que deux proxy ou plus aient été définis.

Failure Handling (Gestion des échecs)

Spécifie l’action par défaut à entreprendre si tous les proxy de ce groupe échouent. Choisissez parmi :

Connect directly (Connectez-vous directement). Envoyez les requêtes directement à leurs serveurs de destination.
Drop requests (Abandon des demandes). Supprimez les demandes sans les transférer.

Step 4

Envoyez et validez vos modifications.

What to do next

Création d’une politique

Interfaces réseau

Versions d’adresses IP
Activation ou modification des interfaces réseau

Versions d’adresses IP

En mode standard, Cisco Secure Web Appliance prend en charge les adresses IPv4 et IPv6 dans la plupart des cas.

Note

En mode Cloud Connector, Cisco Secure Web Appliance prend en charge IPv4 uniquement.

Un serveur DNS peut renvoyer un résultat avec des adresses IPv4 et IPv6. Les paramètres DNS comprennent une préférence de version d’adresse IP pour configurer le comportement d’AsyncOS dans ces cas.


Interface ou service	IPv4	IPv6	Notes
Interface M1	Requis	Facultatif	L’utilisation d’adresses IPv6 nécessite un tableau de routage IPv6 qui définit la passerelle IPv6 par défaut. Selon le réseau, vous devrez peut-être également spécifier une voie de routage IPv6 statique dans la table de routage.
Interface P1	Facultatif	Facultatif	Si l’interface P1 a une adresse IPv6 configurée et que l’appliance utilise le routage fractionné (gestion et voies de routage de données séparées), l’interface P1 ne peut pas utiliser la passerelle IPv6 configurée sur la voie de routage de gestion. Indiquez plutôt une passerelle IPv6 pour le tableau de routage de données.
Interface P2	Facultatif	Facultatif	—
Services de données	Pris en charge	Pris en charge	—
Services de contrôle et de gestion	Prise en charge	Prise en charge partielle	Les images, par exemple les logos personnalisés sur les pages de notification à l’utilisateur final, nécessitent un protocole IPv4.
AnyConnect Secure Mobility (MUS)	Prise en charge	Aucune prise en charge	—

Thèmes connexes

Activation ou modification des interfaces réseau
DNS Settings (paramètres DNS)

Activation ou modification des interfaces réseau

Ajouter ou modifier des adresses IP d’interface
Modifier le type de câblage de la supervision du trafic de la couche 4
Activer le routage fractionné de la gestion et du trafic de données

Procedure

Step 1

Choisissez Network > Interfaces (Réseau > Interfaces).

Step 2

Cliquez sur Edit Settings (Modifier les paramètres).

Step 3

Configurez les options de l’interface.

Option

Description

Interfaces

Modifiez ou ajoutez de nouveaux détails sur l’adresse IPv4 ou IPv6, le masque réseau et le nom d’hôte pour les interfaces M1, P1 ou P2, selon les besoins.

M1 : AsyncOS nécessite une adresse IPv4 pour le port M1 (gestion). Outre l’adresse IPv4, vous pouvez spécifier une adresse IPv6. Par défaut, l’interface de gestion est utilisée pour administrer l’appliance et la supervision du proxy Web (données). Cependant, vous pouvez configurer le port M1 aux fins de gestion uniquement.
P1 et P2 : utilisez une adresse IPv4, une adresse IPv6 ou les deux pour les ports de données. Les interfaces de données sont utilisées pour la supervision du proxy Web et le blocage de la supervision du trafic de la couche 4 (facultatif). Vous pouvez également configurer ces interfaces pour prendre en charge les services sortants tels que le DNS, les mises à niveau logicielles, NTP et le trafic de données Traceroute.

Note

Si les interfaces de gestion et de données sont toutes configurées, des adresses IP sur des sous-réseaux différents doivent être attribuées à chacune.

Note

Lorsque le routage fractionné est activé, l’interface de gestion ne peut pas communiquer avec le portail de licences Smart. Pour enregistrer Secure Web Appliance auprès du portail de licences Smart, sélectionnez une interface de données.

Note

Lorsque le routage fractionné est configuré, Secure Web Appliance utilise l’interface de données pour contacter le serveur DLP externe et l’interface de gestion est limitée au trafic de gestion. Ainsi, l’ensemble du trafic DLP est considéré comme du trafic de données plutôt que comme du trafic de gestion lors de l’acheminement du trafic vers le serveur DLP.

Par exemple, lorsqu’il y a deux captures de paquets avec les interfaces P1 et M1 filtrées par adresses DLP, le trafic DLP se trouve sur les deux interfaces. Cela est dû au fait que l’interface de gestion envoie des paquets keepalive aux serveurs DLP et le trafic DLP provient des interfaces de données.

Routage distinct des services de gestion

Cochez l’option Restrict M1 port to appliance management services only (Restreindre le port M1 aux services de gestion de l’appliance uniquement) pour limiter M1 au trafic de gestion uniquement, ce qui nécessite l’utilisation d’un port distinct pour le trafic de données.

Note

Lorsque vous utilisez M1 pour le trafic de gestion uniquement, configurez au moins une interface de données sur un autre sous-réseau pour le trafic de proxy. Définissez différentes voies de routage pour la gestion et le trafic de données.

Services de gestion d’appliances

Activez ou désactivez l’utilisation des protocoles réseau suivants et spécifiez un numéro de port par défaut :

FTP – Désactivé par défaut.
SSH
HTTP
HTTPS

En outre, vous pouvez activer/désactiver la redirection du trafic HTTP vers HTTPS.

Step 4

Envoyez et validez vos modifications.

What to do next

Si vous avez ajouté une adresse IPv6, ajoutez une table de routage IPv6.

Thèmes connexes

Connecter l’appliance.
Versions d’adresses IP
Configuration des routages de trafic TCP/IP

Configuration des cartes d’interface réseau

Cette rubrique contient les sections suivantes :

Paramètres de médias sur les interfaces Ethernet
Appairage/association de cartes d’interface réseau
Activation de l’appairage de cartes réseau à l’aide de la commande etherconfig
Directives pour la configuration de l’appairage de cartes réseau

Paramètres de médias sur les interfaces Ethernet

Vous pouvez accéder aux paramètres de médias pour les interfaces Ethernet à l’aide de la commande etherconfig. Chaque interface Ethernet est répertoriée avec ses paramètres actuels. En sélectionnant l’interface, les paramètres de médias applicables sont affichés.

Utilisation de la commande etherconfig pour modifier les paramètres de médias sur les interfaces Ethernet

Utilisez la commande etherconfig pour définir les paramètres de duplex (complet/partiel) et la vitesse (10/100/1000 Mbit/s) des interfaces Ethernet. Par défaut, les interfaces sélectionnent automatiquement les paramètres de médias; que vous pouvez remplacer.

Remarque

Si vous avez exécuté l’Assistant de configuration du système de l’interface graphique (ou la commande systemsetup de l’interface de ligne de commande) comme décrit dans la rubrique Configuration et installation et que vous avez validé les modifications, les paramètres de l’interface Ethernet par défaut devraient déjà être configurés sur votre appliance.

Exemple de modification des paramètres de médias

example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- PAIRING - View and configure NIC Pairing.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]>
[]> MEDIA
Ethernet interfaces:
1. Management (Autoselect: <1000baseT full-duplex>) 00:50:56:87:a6:46
2. P1 (Autoselect: <1000baseT full-duplex>) 00:50:56:87:1c:3f
3. P2 (Autoselect: <1000baseT full-duplex>) 00:50:56:87:6a:42
4. T1 (Autoselect: <1000baseT full-duplex>) 00:50:56:87:1c:3f
5. T2 (Autoselect: <1000baseT full-duplex>) 00:50:56:87:fc:01

Choose the operation you want to perform:
- EDIT - Edit an ethernet interface.
[]>

Appairage/association de cartes d’interface réseau

L’appairage de NIC vous permet de combiner deux ports de données physiques pour fournir une interface Ethernet de secours si le chemin de données de la NIC au port Ethernet en amont échoue. Fondamentalement, l’appairage configure les interfaces Ethernet de sorte qu’il y ait une interface principale et une interface de secours. Si l’interface principale tombe en panne (par exemple, si la porteuse entre la carte réseau et le nœud en amont est interrompue), l’interface de secours devient active et une alerte est envoyée. Lorsque l’interface principale est disponible, cette interface devient automatiquement active. Dans la documentation de ce produit, l’appairage de cartes réseau est associé à l’association de cartes réseau.

Note

L’appairage de NIC n’est pas disponible sur les passerelles Web S170, S190 et S195.

Vous pouvez créer plusieurs paires de cartes réseau, à condition que vous ayez suffisamment de ports de données. Lors de la création de paires, vous pouvez combiner deux ports de données. Par exemple :

Data 1 et Data 2
Data 3 et Data 4
Data 2 et Data 3

Certaines passerelles Web contiennent une option d’interface réseau à fibre optique. Si elles sont disponibles, vous verrez deux interfaces Ethernet supplémentaires (Data 3 et Data 4) dans la liste des interfaces disponibles sur ces passerelles Web. Dans une configuration hétérogène, ces interfaces gigabit à fibre optique peuvent être jumelées avec les interfaces en cuivre (Data 1, Data 2 et gestion).

Secure Web Appliance ne prend pas en charge la capture de paquets pour les interfaces NIC appairées. La capture de paquets sera appliquée uniquement pour l’interface active. Par exemple, si P1 et P2 sont appairées, P1 et P2 ne seront pas configurées dans l’interface utilisateur ou l’interface de ligne de commande.

Appairage de cartes réseau et VLAN

Les VLAN (voir Réseaux locaux virtuels) sont autorisés uniquement sur l’interface principale.

Dénomination des paires de NIC

Lors de la création de paires de cartes réseau, vous devez indiquer le nom de la paire. Les paires de cartes réseau créées dans AsyncOS antérieurement à la version 4.5 recevront automatiquement le nom par défaut de « paire 1 » à la suite d’une mise à niveau.

Toute alerte générée sur l’appairage de NIC fera référence à la paire de NIC par son nom.

Appairage de cartes réseau et dispositifs d’écoute existants

Si vous activez l’appairage de cartes réseau sur une interface à laquelle des processus d’écoute sont affectés, vous êtes invité à supprimer, à réaffecter ou à désactiver tous les processus d’écoute affectés à l’interface de secours.

Activation de l’appairage de cartes réseau à l’aide de la commande etherconfig

Note

L’appairage de NIC n’est pas disponible sur les passerelles Web S170, S190 et S195.

example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- PAIRING - View and configure NIC Pairing.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]> PAIRING
Paired interfaces:
Choose the operation you want to perform:
- NEW - Create a new pairing.
[]> NEW
Please enter a name for this pair (Ex: "Pair 1"):
[]> DP1

1. P1
2. P2
Enter the name or number of the primary ethernet interface you wish bind to.
[]> 1

1. P2
2. T1
3. T2
Enter the name or number of the backup ethernet interface you wish to pair.
[]> 2

Paired interfaces:
1. DP1:
        Primary (P1)
        Backup (T1)

Choose the operation you want to perform:
- NEW - Create a new pairing.
- DELETE - Delete a pairing.
- STATUS - Refresh status.
[]>
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- PAIRING - View and configure NIC Pairing.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]>
example.com> commit
Warning: In order to process these changes, the proxy
process will restart after Commit. This will cause a brief
interruption in service. Additionally, the authentication
cache will be cleared, which might require some users to
authenticate again.
Warning: Processing of network configuration changes might
cause a brief interruption in network availability.
Please enter some comments describing your changes:
[]>
Do you want to save the current configuration for rollback? [Y]>
Changes committed: Thu Sep 24 01:40:34 2020 MST
example.com> interfaceconfig


Currently configured interfaces:
1. Management (10.10.192.167/24 on Management: example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
- DETAILS - Show details of an interface.
[]> NEW
Ethernet interface:
1. Management
2. DP1
3. P2
[1]> 2
Would you like to configure an IPv4 address for this interface (y/n)? [Y]>
IPv4 Address (Ex: 192.168.1.2 ):
[]> 10.10.102.66
Netmask (Ex: "24", "255.255.255.0" or "0xffffff00"):
[255.255.255.0]> 27
Would you like to configure an IPv6 address for this interface (y/n)? [N]>
Hostname:
[]> example.com
Currently configured interfaces:
1. Management (10.10.192.167/24 on Management: example.com)
2. P1 (10.10.102.66/27 on DP1: example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
- DETAILS - Show details of an interface.
[]>
example.com>example.com> commit
Warning: In order to process these changes, the proxy
process will restart after Commit. This will cause a brief
interruption in service. Additionally, the authentication
cache will be cleared, which might require some users to
authenticate again.
Warning: Processing of network configuration changes might
cause a brief interruption in network availability.
Please enter some comments describing your changes:
[]>
Do you want to save the current configuration for rollback? [Y]>
Changes committed: Thu Sep 24 01:43:18 2020 MST
example.com> exitexample.com:rtestuser 53] ifconfig
nic0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:a6:46
        hwaddr 00:50:56:87:a6:46
        inet 10.10.192.167 netmask 0xffffff00 broadcast 10.10.192.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:1c:3f
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:6a:42
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:dd:89
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic4: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:fc:01
        hwaddr 00:50:56:87:fc:01
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        inet6 fe80::250:56ff:fe87:a646%lagg0 prefixlen 64 scopeid 0x7
        inet 10.10.102.66 netmask 0xffffffe0 broadcast 10.10.102.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        groups: lagg
        laggproto failover lagghash l2,l3,l4
        laggport: nic1 flags=5<MASTER,ACTIVE>
        laggport: nic3 flags=0<>
example.com:rtestuser 54]

Fermeture de l’interface P1

P1 et T1 sont jumelés et nommés DP1. En arrêtant P1, T1 deviendra actif. Dans l’exemple suivant, recherchez l’interface lagg0.

example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- PAIRING - View and configure NIC Pairing.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]> PAIRING
Paired interfaces:
1. DP1:
        Backup (T1) Standby, Link is up
        Primary (P1) Active, Link is up
2. DP2:
        Backup (T2) Standby, Link is up
        Primary (P2) Active, Link is up

Choose the operation you want to perform:
- DELETE - Delete a pairing.
- STATUS - Refresh status.
[]>
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- PAIRING - View and configure NIC Pairing.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]>
example.com>
example.com> exit

example.com:rtestuser 115] ifconfig
nic0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:a6:46
        hwaddr 00:50:56:87:a6:46
        inet 10.10.192.167 netmask 0xffffff00 broadcast 10.10.192.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:1c:3f
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:6a:42
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:dd:89
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic4: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:fc:01
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:50:56:87:dd:89
        nd6 options=1<PERFORMNUD>
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: nic4 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 20000
        member: nic3 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 20000
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        inet 10.10.102.66 netmask 0xffffffe0 broadcast 10.10.102.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic1 flags=5<MASTER,ACTIVE>
        laggport: nic3 flags=0<>
lagg1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        inet6 fe80::250:56ff:fe87:a646%lagg1 prefixlen 64 scopeid 0x9
        inet 10.10.166.66 netmask 0xffffffe0 broadcast 10.10.166.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic2 flags=5<MASTER,ACTIVE>
        laggport: nic4 flags=0<>
example.com:rtestuser 116]
example.com:rtestuser 116] ifconfig nic1 down
example.com:rtestuser 117] ifconfig
nic0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:a6:46
        hwaddr 00:50:56:87:a6:46
        inet 10.10.192.167 netmask 0xffffff00 broadcast 10.10.192.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:1c:3f
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:6a:42
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:dd:89
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic4: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:fc:01
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:50:56:87:dd:89
        nd6 options=1<PERFORMNUD>
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: nic4 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 20000
        member: nic3 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 20000
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        inet 10.10.102.66 netmask 0xffffffe0 broadcast 10.10.102.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic1 flags=1<MASTER>
        laggport: nic3 flags=4<ACTIVE>
lagg1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        inet6 fe80::250:56ff:fe87:a646%lagg1 prefixlen 64 scopeid 0x9
        inet 10.10.166.66 netmask 0xffffffe0 broadcast 10.10.166.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic2 flags=5<MASTER,ACTIVE>
        laggport: nic4 flags=0<>
example.com:rtestuser 118]

Ouverture de l’interface P1

example.com:rtestuser 118] ifconfig nic1 up
example.com:rtestuser 119] ifconfig
nic0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:a6:46
        hwaddr 00:50:56:87:a6:46
        inet 10.10.192.167 netmask 0xffffff00 broadcast 10.10.192.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:1c:3f
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:6a:42
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        hwaddr 00:50:56:87:dd:89
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
nic4: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        hwaddr 00:50:56:87:fc:01
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:50:56:87:dd:89
        nd6 options=1<PERFORMNUD>
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: nic4 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 20000
        member: nic3 flags=942<DISCOVER,PRIVATE,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 20000
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:1c:3f
        inet 10.10.102.66 netmask 0xffffffe0 broadcast 10.10.102.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic1 flags=5<MASTER,ACTIVE>
        laggport: nic3 flags=0<>
lagg1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:87:6a:42
        inet6 fe80::250:56ff:fe87:a646%lagg1 prefixlen 64 scopeid 0x9
        inet 10.10.166.66 netmask 0xffffffe0 broadcast 10.10.166.95
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        laggproto failover lagghash l2,l3,l4
        laggport: nic2 flags=5<MASTER,ACTIVE>
        laggport: nic4 flags=0<>
example.com:rtestuser 120]
example.com:rtestuser 120]

Directives pour la configuration de l’appairage de cartes réseau

M2, Data1 et Data2 ne peuvent pas être utilisés comme adresse principale ou secondaire ou configurés avec une adresse IP.

Tableau 1.

Ports

Configuré comme adresse IP

Action

Que faire?

Routage fractionné activé

Primaire

Secondaire

P1 (Proxy)

Oui

Activé

Connectez P1 au réseau pour le trafic entrant

et sortant.

Vous pouvez sélectionner P1 comme principal pour l’appairage de cartes réseau

Remarque

Si vous sélectionnez P2 comme adresse principale, vous devez supprimer l’adresse IP de P1.

P2, T1, T2

P1 + P2 (Proxy)

Oui

Activé

Connectez P1 au réseau interne

et P2 à Internet.

Si vous sélectionnez P2 comme adresse principale et P1 comme adresse secondaire, vous devez supprimer l’adresse IP de P1.

Vous serez invité à supprimer l’adresse IP pendant l’appairage des cartes réseau.

T1, T2

T1 (Supervision du trafic)

Non

Dérivateur duplex

Un câble pour tout le trafic entrant et sortant.

S.O.

T1 + T2 (Supervision du trafic)

Oui

Dérivateur simple

Un câble pour tous les paquets destinés à Internet (T1) et un câble pour tous les paquets provenant d’Internet (T2).

S.O.

Remarque

Si vous choisissez de supprimer l’adresse IP pour P1, P1 ne sera pas configuré sous le routage fractionné. Lorsqu’une adresse IP est attribuée pour P2 ou pour la paire de cartes réseau créée, le routage fractionné est activé avec P2 configuré seulement. L’interface d’agrégation de liens (LAGG) ne s’affiche pas tant que l’adresse IP n’est pas attribuée à la carte réseau principale (p2) ou à la paire de cartes réseau. Une fois l’adresse IP attribuée à la carte réseau principale (p2) ou à la paire de cartes réseau, l’interface LAGG est créée.

Configuration des groupes de basculement à des fins de haute disponibilité

À l’aide du protocole CARP (Common Address Redundancy Protocol), les Secure Web Appliance permettent à plusieurs hôtes de votre réseau de partager une adresse IP, fournissant une redondance IP pour assurer la haute disponibilité des services fournis par ces hôtes.

Le basculement est disponible uniquement pour le service proxy. Le proxy se lie automatiquement à l’interface de basculement lors de la création du groupe de basculement. Ainsi, si le proxy tombe en panne pour une raison quelconque, le basculement est déclenché.

Dans CARP, il existe trois états pour un hôte :

primary : il ne peut y avoir qu’un seul hôte principal dans chaque groupe de basculement
backup
init

L’hôte principal du groupe de basculement CARP envoie des annonces régulières au réseau local pour que les hôtes de sauvegarde sachent qu’il est toujours actif. (Cet intervalle d’avertissement est configurable sur la Secure Web Appliance). Si les hôtes de sauvegarde ne reçoivent pas d’annonce du serveur principal pendant la période spécifiée (parce que le proxy est en panne, que le Secure Web Appliance est en panne ou qu’il est déconnecté du réseau), le basculement est déclenché et un des sauvegardes assumeront les fonctions de principal.

Les annonces de l’hôte principal Secure Web Appliance n’atteignent pas les hôtes de sauvegarde restants dans les conditions suivantes :

Indisponibilité du réseau ou de l’interface

Intégrité et disponibilité du système d’exploitation

Note

Désactivez l’apprentissage IP du plan de données dans l’infrastructure axée sur l’application (ACI) pour utiliser la fonctionnalité Secure Web Appliance haute disponibilité.

Note

Vous ne pouvez pas utiliser la haute disponibilité comme méthode d’équilibrage de la charge entre les appliances. Utilisez WCCP ou un équilibreur de charge matérielle pour équilibrer la charge du trafic entre les appliances.

Les configurations suivantes entraînent les basculements à haute disponibilité :

Ajouter, supprimer ou mettre à jour le domaine d’authentification
Ajouter, supprimer ou mettre à jour les paramètres ISE
Ajouter ou mettre à jour le certificat HTTPS
Mettre à jour le niveau de journalisation (journal du proxy)
Mettre à jour le paramètre de redirection transparente
Activer, désactiver ou mettre à jour le proxy FTP
Activer, désactiver ou mettre à jour le proxy SOCKS
Ajouter ou modifier le fichier PAC
Ajouter ou supprimer l’interface de l’appliance
Ajouter ou mettre à jour des groupes de basculement
Activer ou désactiver le proxy en amont
Activer ou désactiver WTT (dérivation du trafic Web)

Ajouter un groupe de basculement

Before you begin

Identifiez une adresse IP virtuelle qui sera utilisée exclusivement pour ce groupe de basculement. Les clients utiliseront cette adresse IP pour se connecter au groupe de basculement en mode proxy de transfert explicite.
Configurez toutes les appliances du groupe de basculement avec des valeurs identiques pour les paramètres suivants :
- Failover Group ID (ID du groupe de basculement)
- Hostname (Nom d’hôte)
- Virtual IP Address (Adresse IP virtuelle)
Si vous configurez cette fonctionnalité sur une appliance virtuelle, assurez-vous que le commutateur virtuel et les interfaces virtuelles spécifiques à chaque appliance sont configurés pour utiliser le mode promiscuité. Pour en savoir plus, consultez la documentation de votre hyperviseur virtuel.

Procedure

Step 1

Choisissez Network > High Availability (Réseau > Haute disponibilité).

Step 2

Cliquez sur Add Failover Group (Ajouter un groupe de basculement).

Step 3

Saisissez une valeur pour Failover Group ID (ID de groupe de basculement) comprise entre 1 et 255.

Step 4

(Facultatif) Saisissez une description.

Step 5

Renseignez l’option Hostname (Nom d’hôte), par exemple, www.exemple.com.

Step 6

Renseignez l’option Virtual IP Address and Netmask (Adresse IP virtuelle et le masque réseau), par exemple 10.0.0.3/24 (IPv4) ou 2001:420:80:1::5/32 (IPv6).

Step 7

Choisissez une option dans le menu Interface. L’option Select Interface Automatically (Sélectionner une interface automatiquement) permet de sélectionner l’interface en fonction de l’adresse IP que vous avez fournie.

Note

Si vous ne sélectionnez pas l’option Select Interface Automatically (Sélectionner une interface automatiquement), vous devez choisir une interface dans le même sous-réseau que l’adresse IP virtuelle que vous avez fournie.

Step 8

Choisissez la priorité. Cliquez sur Primary (Principal) pour régler la priorité sur 255. Vous pouvez également sélectionner Backup (Sauvegarde) et saisir une priorité comprise entre 1 (la plus basse) et 254 dans le champ Priority (Priorité).

Step 9

(Facultatif). Pour activer la sécurité pour le service, cochez la case Enable Security for Service (Activer la sécurité pour le service) et saisissez une chaîne de caractères qui sera utilisée comme secret partagé dans les champs Shared Secret (Secret partagé) et Retype Shared Secret (Retaper le secret partagé).

Note

Le secret partagé, l’adresse IP virtuelle et l’ID du groupe de basculement doivent être les mêmes pour toutes les appliances du groupe de basculement.

Step 10

Saisissez le délai en secondes (1 à 255) entre l’annonce de la disponibilité par les hôtes dans le champ Advertisement Interval (Intervalle d’annonce).

Step 11

Envoyez et validez vos modifications.

What to do next

Thèmes connexes

Problèmes de basculement

Modifier les paramètres globaux haute disponibilité

Procedure

Step 1	Choisissez Network > High Availability (Réseau > Haute disponibilité).
Step 2	Dans la zone High Availability Global Settings (Paramètres globaux haute disponibilité), cliquez sur Edit Settings (Modifier les paramètres).
Step 3	Dans le menu Failover Management (Gestion des basculements), choisissez une option. Preemptive (Préemptif) : l’hôte ayant la priorité la plus élevée prendra le contrôle lorsqu’il est disponible. Non-preemptive (Non préemptif) : l’hôte qui a le contrôle conserve le contrôle même si un hôte de priorité plus élevée devient disponible.
Step 4	Cliquez sur Submit (Soumettre). Vous pouvez également cliquer sur Cancel (Annuler) pour abandonner vos modifications.

Afficher l’état des groupes de basculement

Choisissez Network > High Availability (Réseau > Haute disponibilité). La zone Failover Groups (Groupes de basculement) affiche le groupe de basculement actuel. Vous pouvez cliquer sur Refresh Status (Actualiser l’état) pour mettre à jour l’affichage. Vous pouvez également afficher les détails du basculement en sélectionnant Network > Interfaces (Réseau > Interfaces) ou Report > System Status (Rapport > État du système).

Utilisation de l’interface de données P2 pour les données de proxy Web

Par défaut, le proxy Web n’écoute pas les demandes sur P2, même lorsqu’il est activé. Cependant, vous pouvez configurer P2 pour qu’il écoute les données du proxy Web.

Note

Si vous active P2 pour qu’il écoute les demandes des clients à l’aide de la commande d’interface de ligne de commande advancedproxyconfig > miscellaneous, vous pouvez choisir d’utiliser P1 ou P2 pour le trafic sortant. Pour utiliser P1 pour le trafic sortant, modifiez la voie de routage par défaut pour le trafic de données afin de préciser la prochaine adresse IP à laquelle l’interface P1.

Before you begin

Activez P2 (vous devez également activer P1, si ce n’est déjà fait) (voir Activation ou modification des interfaces réseau).

Procedure

Step 1	Accédez à l’interface de ligne de commande.
Step 2	Utilisez les commandes `advancedproxyconfig` > `miscellaneous` pour accéder à la zone requise. example.com> advancedproxyconfig Choose a parameter group: - AUTHENTICATION - Authentication related parameters - CACHING - Proxy Caching related parameters - DNS - DNS related parameters - EUN - EUN related parameters - NATIVEFTP - Native FTP related parameters - FTPOVERHTTP - FTP Over HTTP related parameters - HTTPS - HTTPS related parameters - SCANNING - Scanning related parameters - PROXYCONN - Proxy connection header related parameters - CUSTOMHEADERS - Manage custom request headers for specific domains - MISCELLANEOUS - Miscellaneous proxy related parameters - SOCKS - SOCKS Proxy parameters
Step 3	[]> miscellaneous
Step 4	Appuyez sur Enter (Entrée) après chaque question jusqu’à la question : `Do you want proxy to listen on P2?` (Voulez-vous que le proxy écoute sur P2?) Saisissez « Y » (Oui) en réponse à cette question.
Step 5	Appuyez sur Enter (Entrée) après les autres questions.
Step 6	Validez vos modifications.

What to do next

Thèmes connexes

Connecter l’appliance.
Configuration des routages de trafic TCP/IP.
Configuration de la redirection transparente

Configuration des routages de trafic TCP/IP

Les voies de routage sont utilisées pour déterminer où envoyer (ou acheminer) le trafic réseau. Secure Web Appliance achemine les types de trafic suivants :

Trafic de données. Trafic généré par les utilisateurs finaux qui naviguent sur le Web traité par le proxy Web .
Trafic de gestion. Trafic créé par la gestion de l’appliance au moyen de l’interface Web et trafic que l’appliance crée pour les services de gestion, tels que les mises à niveau d’AsyncOS, les mises à jour de composants, DNS, l’authentification, etc.

Par défaut, les deux types de trafic utilisent les voies de routage définies pour toutes les interfaces réseau configurées. Cependant, vous pouvez choisir de fractionner le routage, de sorte que le trafic de gestion utilise une table de routage de gestion et le trafic de données utilise une table de routage de données. Les deux types de répartition du trafic sont répartis comme suit :


Trafic de gestion	Trafic de données
IU Web SSH SNMP Authentification NTLM (avec contrôleur de domaine) Syslogs FTP push DNS (configurable) Clé de mise à jour, de mise à niveau ou de fonctionnalité (configurable)	HTTP HTTPS FTP Négociation WCCP Demande ICAP avec serveur DLP externe DNS (configurable) Clé de mise à jour, de mise à niveau ou de fonctionnalité (configurable) Authentification LDAP/NTLM avec contrôleur de domaine (configurable)

Le nombre de sections sur la page Network > Routes (Réseau > Voies de routage) est déterminé par l’activation ou non du routage fractionné :

Sections de configuration de routage distinctes pour le trafic de gestion et de données (routage fractionné activé). Lorsque vous utilisez l’interface de gestion pour le trafic de gestion uniquement [l’option Restrict M1 port to appliance management services only (Restreindre le port M1 aux services de gestion de l’appliance uniquement) est activé], cette page comprend deux sections pour la saisie des voies de routage, une pour le trafic de gestion et l’autre pour le trafic de données.
Section de configuration de routage pour tout le trafic (routage fractionné non activé). Lorsque vous utilisez l’interface de gestion pour le trafic de gestion et de données [l’option Restrict M1 port to appliance management services only (Restreindre le port M1 aux services de gestion d’appliances uniquement) est désactivée], cette page comprend une section pour la saisie des voies de routages pour tout le trafic sortant de Secure Web Appliance, tant le trafic de gestion et que le trafic de données.

Note

Une passerelle de routage doit résider sur le même sous-réseau que l’interface de gestion ou de données sur laquelle elle est configurée. Si plusieurs ports de données sont activés, le proxy Web envoie les transactions sur l’interface de données qui se trouve sur le même réseau que la passerelle par défaut configurée pour le trafic de données.

Trafic des services sortants

Secure Web Appliance utilise également les interfaces de gestion et de données pour acheminer le trafic sortant pour des services tels que le DNS, les mises à niveau logicielles, NTP et le trafic de données Traceroute. Ces paramètres doivent être configurés pour chaque service individuellement, en choisissant la voie de routage utilisée pour le trafic sortant. Par défaut, l’interface de gestion est utilisée pour tous les services.

Thèmes connexes

Pour activer le routage fractionné du trafic de gestion et de données, consultez Activation ou modification des interfaces réseau.

Modification de la voie de routage par défaut

Procedure

Step 1	Choisissez Network > Routes (Réseau > Voies de routage).
Step 2	Cliquez sur Default Route (Voie de routage par défaut) dans le tableau de gestion ou de données, selon les besoins (ou sur le tableau combiné Gestion/données si le routage fractionné n’est pas activé).
Step 3	Dans la colonne Gateway (passerelle), entrez l’adresse IP du système informatique sur le prochain saut du réseau connecté à l’interface réseau que vous modifiez.
Step 4	Envoyez et validez vos modifications.

Ajout d’une voie de routage

Procedure

Step 1	Choisissez Network > Routes (Réseau > Voies de routage).
Step 2	Cliquez sur le bouton Add Route (Ajouter une voie de routage) correspondant à l’interface pour laquelle vous créez la voie de routage.
Step 3	Entrez un nom, un réseau de destination et une passerelle.
Step 4	Envoyez et validez vos modifications.

Enregistrement et chargement des tableaux de routage

Procedure

Choisissez Network > Routes (Réseau > Voies de routage).

Pour enregistrer une table de routage, cliquez sur Save Route Table (Enregistrer la table de routage) et indiquez l’emplacement d’enregistrement du fichier.

Pour charger une table de routage enregistrée, cliquez sur Load Route Table (Charger la table de routage), accédez au fichier, ouvrez-le, puis envoyez et validez vos modifications.

Note

Lorsque l’adresse de destination se trouve sur le même sous-réseau que l’une des interfaces réseau physiques, AsyncOS envoie les données à l’aide de l’interface réseau du même sous-réseau. Il ne consulte pas les tables de routage.

Suppression d’une voie de routage

Procedure

Step 1	Choisissez Network > Routes (Réseau > Voies de routage).
Step 2	Cochez la case dans la colonne Delete (Supprimer) de la voie de routage appropriée.
Step 3	Cliquez sur Delete (Supprimer) et confirmez.
Step 4	Envoyez et validez vos modifications.

What to do next

Thèmes connexes

Activation ou modification des interfaces réseau.

Configuration de la redirection transparente

Spécification d’un périphérique de redirection transparente
Configuration des services WCCP

Spécification d’un périphérique de redirection transparente

Before you begin

Connectez l’appliance à un commutateur de la couche 4 ou à un routeur WCCP v2.

Procedure

Step 1	Choisissez Network > Transparent Redirection (Réseau > Redirection transparente).
Step 2	Cliquez sur Edit Device (Modifier le périphérique).
Step 3	Choisissez le type de périphérique qui redirige de manière transparente le trafic vers l’appliance dans la liste déroulante Type : Layer 4 Switch (Commutateur de la couche 4) ou No Device (Aucun périphérique) ou WCCP v2 Router (Routeur WCCP v2).
Step 4	Envoyez et validez vos modifications.
Step 5	Pour les périphériques WCCP v2, procédez comme suit : Configurez l’appareil WCCP en vous référant à la documentation correspondante. Dans la page Transparent Redirection (Redirection transparente) de Secure Web Appliance, cliquez sur Add Service (Ajouter un service) pour ajouter un service WCCP, comme décrit dans Ajout et modification d’un service WCCP. Si l’usurpation d’adresses IP est activée sur l’appliance, créez un deuxième service WCCP.

What to do next

Thèmes connexes

Connecter l’appliance.
Configuration des services WCCP.

Utilisation d’un commutateur de couche 4

Si vous utilisez un commutateur de couche 4 pour la redirection transparente, selon sa configuration, vous devrez peut-être configurer quelques options supplémentaires sur Secure Web Appliance.

En général, n’activez pas l’usurpation d’adresses IP; Si vous usurpez des adresses IP en amont, vous risquez de créer une boucle de routage asynchrone.
Dans la page Edit Web Proxy Settings (Modifier les paramètres de proxy Web) [Security Services > Web Proxy (Services de sécurité > Proxy Web)], cochez la case Enable Identification of Client IP Addresses using X-Forwarded-For (Activer l’identification des adresses IP des clients à l’aide de X-Forwarded-For) dans la section Use Received Headers (Utiliser les en -têtes reçus) (paramètres avancés). Ajoutez ensuite une ou plusieurs adresses IP de sortie à la liste Trusted Downstream Proxy or Load Balancer (Proxys en aval approuvés ou équilibreur de charge).
Vous pouvez également utiliser la commande d’interface de ligne de commande advancedproxyconfig > miscellaneous pour configurer les paramètres suivants liés au proxy, au besoin :
- Would you like proxy to respond to health checks from L4 switches (always enabled if WSA is in L4 transparent mode)? [Voulez-vous que le proxy réponde aux contrôles de l’intégrité des commutateurs de la couche 4 (toujours activés si WSA est en mode transparent sur la couche 4)?] – Saisissez Y (Oui) si vous souhaitez permettre à Secure Web Appliance de répondre aux contrôles de l’intégrité.
- Would you like proxy to perform dynamic adjustment of TCP receive window size? (Voulez-vous que le proxy effectue un ajustement dynamique de la taille de la fenêtre de réception TCP?) – Saisissez Y (Oui) par défaut dans la plupart des cas; saisissez N si vous avez un autre périphérique proxy en amont de Secure Web Appliance.
- Do you want to pass HTTP X-Forwarded-For headers? (Voulez-vous transmettre les en-têtes HTTP X-Forwarded-For?) – Inutile, sauf s’il existe une exigence en amont pour les en-têtes X-Forwarded-For (XFF).
- Would you like proxy to log values from X-Forwarded-For headers in place of incoming connection IP addresses? (Voulez-vous que le proxy consigne les valeurs des en-têtes X-Forwarded-For à la place des adresses IP de connexion entrante?) – Pour faciliter le dépannage, vous pouvez saisir Y (Oui); les adresses IP des clients seront affichées dans les journaux d’accès.
- Would you like the proxy to use client IP addresses from X-Forwarded-For headers? (Voulez-vous que le proxy utilise les adresses IP clientes des en-têtes X-Forwarded-For?) Encore une fois, pour faciliter la configuration des politiques et la production de rapports, vous pouvez saisir Y (Oui).
Si vous utilisez des en-têtes X-Forwarded-For (XFF), ajoutez %f à l’abonnement aux journaux d’accès afin de journaliser les en-têtes XFF. Pour le format des journaux W3C, ajoutez cs(X-Forwarded-For).

Configuration des services WCCP

Un service WCCP est une configuration d’appliance qui définit un groupe de services pour un routeur WCCP v2. Il comprend des informations telles que l’ID de service et les ports utilisés. Les groupes de services permettent à un proxy Web d’établir la connectivité avec un routeur WCCP et de gérer le trafic redirigé à partir du routeur.

Si la vérification de l’intégrité du proxy WCCP est activée, le démon WCCP de Secure Web Appliance envoie un message de vérification de l’intégrité du proxy (demande du client xmlRPc) au serveur xmlRPc qui s’exécute sur le proxy Web toutes les 10 secondes. Si le proxy est opérationnel, le service WCCP reçoit une réponse du proxy et la commande Secure Web Appliance envoie un message « here je suis » (HIA) aux routeurs compatibles avec WCCP spécifiés toutes les 10 secondes. Si le service WCCP ne reçoit pas de réponse du proxy, les messages HIA ne sont pas envoyés aux routeurs WCCP.

Après avoir raté trois messages HIA consécutifs à un routeur WCCP, le routeur supprime le Secure Web Appliance de son groupe de services et le trafic n’est plus acheminé vers le Secure Web Appliance.

Vous pouvez utiliser la commande d’interface de ligne de commande advancedproxyconfig > miscellaneous > Do you want to enable WCCP proxy health check? (Voulez-vous activer la vérification de l’intégrité du proxy WCCP?) pour activer et désactiver les messages de vérification de l’intégrité du proxy; le contrôle de l’intégrité est désactivé par défaut.

Note

Le service WCCPv2 fonctionne avec les réseaux IPv4 et IPv6. Un maximum de 15 groupes de services peuvent être configurés sur une seule appliance. Chaque groupe de services du routeur WCCP peut contenir jusqu’à 32 appliances. Le service WCCPv2 est également utilisé pour le mécanisme d’équilibrage de la charge afin de réduire la surcharge du moteur de contenu et le blocage de données.

Note

La configuration de WCCP et de la haute disponibilité sur la même appliance n’est pas prise en charge. Si ces paramètres sont configurés, Secure Web Appliance ne fonctionnera pas comme prévu.

À propos de l’équilibrage des charges WCCP
Ajout et modification d’un service WCCP
Création de services WCCP pour l’usurpation d’adresses IP

À propos de l’équilibrage des charges WCCP

Le paramètre Assignment Weight (Pondération des affectations) dans la définition de service WCCP est utilisé pour équilibrer la charge sur ce Secure Web Appliance lorsqu’il fonctionne en tant que membre d’un groupe WCCP ou d’un groupe de services. Cette pondération représente la proportion du trafic total WCCP qui peut être envoyée vers ce Secure Web Appliance pour traitement.

L’ajustement de la pondération des affectations n’est requis que lorsque différents types d’appliances de passerelle sont membres du même groupe WCCP et que vous devez détourner une plus grande partie du trafic vers les appliances plus puissantes.

Remarque

Tous les Secure Web Appliance qui sont membres d’un groupe WCCP doivent exécuter une version d’AsyncOS qui prend en charge la pondération des affectations pour pouvoir bénéficier de l’équilibrage des charges WCCP.

Remarque

WCCP équilibre la charge du trafic transparent pour un maximum de 32 appliances. Il équilibre le flux du trafic en fonction du hachage ou du masque et ceux-ci sont pondérés lorsque plusieurs modèles d’appliances sont connectés au réseau. Sans temps d’arrêt, vous pouvez ajouter et supprimer des appliances du groupe de services. Toutefois, si vous utilisez ou prévoyez d’utiliser plus de 8 appliances, nous vous recommandons d’avoir un équilibreur de charge dédié.

Consultez Ajout et modification d’un service WCCP pour de plus amples renseignements sur le paramètre Assignment Weight (Pondération des affectations).

Ajout et modification d’un service WCCP

Before you begin

Configurez l’appliance pour utiliser un routeur WCCP v2 (voir Spécification d’un périphérique de redirection transparente).

Procedure

Step 1

Choisissez Network > Transparent Redirection (Réseau > Redirection transparente).

Step 2

Cliquez sur Add Service (Ajouter un service) ou, pour modifier un service WCCP, cliquez sur le nom du service WCCP dans la colonne Service Profile Name (Nom du profil de service).

Step 3

Configurez les options du WCCP comme décrit :

Options du service WCCP

Description

Service Profile Name (Nom du profil du service)

Le nom du service WCCP.

Note

Si vous laissez ce champ vide et choisissez un service standard (voir ci-dessous), le nom « web_cache » est automatiquement attribué ici.

Service

Le type de groupe de services pour le routeur. Choisissez parmi :

Standard service (Service standard). Ce type de service reçoit un ID fixe de zéro, une méthode de redirection fixe par port de destination et un port de destination fixe de 80. Vous ne pouvez créer qu’un seul service standard. Si un service standard existe déjà sur l’appliance, cette option est grisée.

Dynamic service (Service DNS). Ce type de service vous permet de définir un ID personnalisé, des numéros de port et des options de redirection et d’équilibrage de la charge. Saisissez les mêmes paramètres que vous avez saisis pour le service dynamique sur le routeur WCCP.

Si vous créez un service dynamique, entrez les informations suivantes :

Service ID( (ID du service). Vous pouvez entrer n’importe quel nombre entre 0 et 255 dans le champ Dynamic Service ID. Cependant, notez que vous ne pouvez pas configurer plus de 15 groupes de services sur cette appliance.
Port number(s) [Numéro(s) de port]. Saisissez jusqu’à huit numéros de port pour le trafic à rediriger dans le champ Port Numbers (Numéros de port).

Redirection basis (Base de redirection). Choisissez de rediriger le trafic en fonction du port de source ou de destination. Le port de destination est défini par défaut.

Note

Pour configurer le FTP natif avec une redirection transparente et une usurpation d’adresses IP, choisissez Redirect basé sur le port source (chemin de retour) et définissez le port source sur 13007.

Load balancing basis (Base d’équilibrage de la charge). Lorsque le réseau utilise plusieurs Secure Web Appliance, vous pouvez choisir la façon de répartir les paquets entre les appliances. Vous pouvez distribuer des paquets en fonction de l’adresse du serveur ou du client. Lorsque vous choisissez l’adresse du client, les paquets d’un client sont toujours distribués vers la même appliance. L’adresse par défaut est l’adresse du serveur.

Router IP Addresses (Adresses IP du routeur)

L’adresse IPv4 ou IPv6 d’un ou de plusieurs routeurs compatibles avec WCCP. Utilisez l’adresse IP unique de chaque routeur; vous ne pouvez pas entrer une adresse de multidiffusion. Vous ne pouvez pas combiner des adresses IPv4 et IPv6 dans un groupe de services.

Router Security (Sécurité des routeurs)

Cochez la case Enable Security for Service (Activer la sécurité pour le service) afin d’exiger une phrase secrète pour ce groupe de services. Si cette option est activée, chaque appliance et routeur WCCP utilisant le groupe de services doit utiliser la même phrase secrète.

Saisissez et confirmez la phrase secrète à utiliser.

Advanced (Niveau avancé)

Load-Balancing Method (Méthode d’équilibrage de la charge). Cela détermine la façon dont le routeur effectue l’équilibrage de la charge des paquets entre plusieurs Secure Web Appliance. Choisissez parmi :

Allow Mask Only (Autoriser le masque uniquement). Les routeurs WCCP prennent des décisions à l’aide du matériel du routeur. Cette méthode peut augmenter les performances du routeur par rapport à la méthode de hachage. Cependant, tous les routeurs WCCP ne prennent pas en charge l’affectation de masque. (IPv4 uniquement.)
Allow Hash Only (Autoriser le hachage uniquement). Cette méthode s’appuie sur une fonction de hachage pour prendre des décisions de redirection. Cette méthode peut être moins efficace que la méthode du masque, mais c’est peut-être la seule option prise en charge par le routeur. (IPv4 et IPv6.)
Allow Hash or Mask (Autoriser le hachage ou le masquage). Permet à AsyncOS de négocier une méthode avec le routeur. Si le routeur prend en charge le masque, AsyncOS utilise le masquage, sinon le hachage est utilisé.

Mask Customization (Personnalisation du masque). Si vous sélectionnez Allow Mask Only (Autoriser le masque uniquement) ou Allow Hash ou Mask (Autoriser le hachage ou le masquage), vous pouvez personnaliser le masquage ou préciser le nombre de bits :

Custom mask (max 6 bits) [Masque personnalisé (maximum 6 bits)]. Vous pouvez préciser le masque. L’interface Web affiche le nombre de bits associés au masque que vous fournissez. Vous pouvez utiliser jusqu’à cinq bits pour un routeur IPv4 ou six bits pour un routeur IPv6.
System generated mask (Masque généré par le système). Vous pouvez laisser le système générer un masque pour vous. Vous pouvez également spécifier le nombre de bits pour le masque généré par le système, entre un et cinq bits.

Assignment Weight (Pondération des affectations). La pondération du WCCP pour ce Secure Web Appliance; les valeurs valides sont comprises entre zéro et 255. Cette pondération représente la proportion du trafic total qui peut être envoyée à ce Secure Web Appliance pour traitement en tant que membre d’un groupe de services WCCP. La valeur zéro signifie que ce Secure Web Appliance fera partie du groupe de services, mais ne recevra aucun trafic redirigé du routeur. Consultez À propos de l’équilibrage des charges WCCP pour obtenir de plus amples renseignements.

Forwarding method (Méthode de transfert.) Cette méthode permet de transporter les paquets redirigés du routeur au proxy Web.

Return Method (Méthode de retour). Cette méthode permet de transporter les paquets redirigés du proxy Web au routeur.

Les méthodes de transfert et de retour utilisent l’un des types de méthode suivants :

Layer 2 (L2) [Couche 2 (L2)]. Cette méthode redirige le trafic de la couche 2 en remplaçant l’adresse MAC de destination du paquet par l’adresse MAC du proxy Web cible. La méthode L2 fonctionne au niveau matériel et offre généralement les meilleures performances. Cependant, tous les routeurs WCCP ne prennent pas en charge le transfert L2. De plus, les routeurs WCCP n’autorisent la négociation L2 qu’avec un Secure Web Appliance directement (physiquement) connecté.
Generic Routing Encapsulation (GRE) [GRE (Generic Routing Encapsulation)]. Cette méthode redirige le trafic vers la couche 3 en encapsulant le paquet IP avec un en-tête GRE et un en-tête de redirection. GRE fonctionne au niveau logiciel, ce qui peut avoir une incidence sur les performances.
L2 or GRE (L2 ou GRE). Avec cette option, l’appliance utilise la méthode que le routeur dit prendre en charge. Si le routeur et l’appliance prennent en charge la couche 2 et GRE, l’appliance utilise la couche 2.

Si le routeur n’est pas connecté directement à l’appliance, vous devez choisir GRE.

Step 4

Envoyez et validez vos modifications.

Création de services WCCP pour l’usurpation d’adresses IP

Procedure

Step 1

Si vous avez activé l’usurpation d’adresses IP sur le proxy Web, créez deux services WCCP. Créez un service WCCP standard ou créez un service WCCP dynamique qui redirige le trafic en fonction des ports de destination.

Step 2

Créez un service WCCP dynamique qui redirige le trafic en fonction des ports source.

Utilisez les mêmes numéros de port, l’adresse IP du routeur et les paramètres de sécurité du routeur que pour le service créé à l’étape 1.

Note

Cisco suggère d’utiliser un numéro d’ID de service compris entre 90 et 97 pour le service WCCP utilisé pour le chemin de retour (en fonction du port source).
Configurez correctement les adresses IP frauduleuses lorsque vous définissez les méthodes d’équilibrage de charge WCCP « Allow Mask Only » (Autoriser le masque uniquement) ou « Allow Hash or Mask » (Autoriser le hachage ou le masque) pour répartir le trafic entre plusieurs appliances. La configuration d’une adresse IP usurpée doit assurer un routage approprié du trafic entre le routeur WCCP et Secure Web Appliance.

What to do next

Thèmes connexes

Cache du proxy Web.

Augmentation de la capacité de l’interface à l’aide de VLAN

Vous pouvez configurer un ou plusieurs VLAN pour augmenter le nombre de réseaux auxquels Cisco Secure Web Appliance peut se connecter au-delà du nombre d’interfaces physiques incluses.

Les VLAN se présentent comme des « ports de données » dynamiques étiquetés au format : « VLAN DDDD » où « DDDD » est l’ID et un entier comprenant jusqu’à 4 chiffres (VLAN 2 ou VLAN 4094, par exemple). AsyncOS prend en charge jusqu’à 30 VLAN.

Un port physique n’a pas besoin qu’une adresse IP soit configurée pour figurer dans un VLAN. Le port physique sur lequel un VLAN est créé peut avoir une adresse IP qui recevra le trafic non VLAN, de sorte que vous pouvez avoir le trafic VLAN et non VLAN sur la même interface.

Des VLAN peuvent être créés sur l’interface de gestion en utilisant M1, P1 pour les ports de données internes et P2 pour les ports de données externes.

Configuration et gestion des VLAN

Vous pouvez créer, modifier et supprimer des VLAN à l’aide de la commande etherconfig. Une fois créé, un VLAN peut être configuré au moyen de la commande interfaceconfig dans l’interface de ligne de commande.

Note

Chaque fois que vous apportez des modifications à une configuration VLAN, veillez à redémarrer l’appliance.

Exemple 1 : création d’un nouveau VLAN

Dans cet exemple, deux VLAN sont créés (appelés VLAN 31 et VLAN 34) sur le port P1 :

Note

Ne créez pas de VLAN sur les interfaces T1 ou T2.

Procedure

Step 1

Accédez à l’interface de ligne de commande.

Step 2

Suivez les étapes illustrées.


example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
[]> vlan
VLAN interfaces:
Choose the operation you want to perform:
- NEW - Create a new VLAN.
[]> new
VLAN ID for the interface (Ex: "34"):
[]> 34
Enter the name or number of the ethernet interface you wish bind to:
1. Management
2. P1
3. T1
4. T2
[1]> 2
VLAN interfaces:
1. VLAN   34 (P1)
Choose the operation you want to perform:
- NEW - Create a new VLAN.
- EDIT - Edit a VLAN.
- DELETE - Delete a VLAN.
[]> new
VLAN ID for the interface (Ex: "34"):
[]> 31
Enter the name or number of the ethernet interface you wish bind to:
1. Management
2. P1
3. T1
4. T2
[1]> 2
VLAN interfaces:
1. VLAN   31 (P1)
2. VLAN   34 (P1)
Choose the operation you want to perform:
- NEW - Create a new VLAN.
- EDIT - Edit a VLAN.
- DELETE - Delete a VLAN.
[]>

Step 3

Validez vos modifications.

Exemple 2 : création d’une interface IP sur un VLAN

Dans l’exemple donné, une nouvelle interface IP est créée sur l’interface Ethernet VLAN 34.

Note

Apporter des modifications à une interface peut fermer votre connexion à l’appliance.

Procedure

Step 1

Accédez à l’interface de ligne de commande.

Step 2

Suivez les étapes illustrées :


example.com> interfaceconfig
Currently configured interfaces:
1. Management (10.10.1.10/24 on Management: example.com)
2. P1 (10.10.0.10 on P1: example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
[]> new
IP Address (Ex: 10.10.10.10):
[]> 10.10.31.10
Ethernet interface:
1. Management
2. P1
3. VLAN 31
4. VLAN   34
[1]> 4
Netmask (Ex: "255.255.255.0" or "0xffffff00"):
[255.255.255.0]>
Hostname:
[]> v.example.com
Currently configured interfaces:
1. Management (10.10.1.10/24 on Management: example.com)
2. P1 (10.10.0.10 on P1: example.com)
3. VLAN   34 (10.10.31.10 on VLAN  34: v.example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
[]>
example.com> commit

Step 3

Validez vos modifications.

What to do next

Thèmes connexes

Activation ou modification des interfaces réseau.
Configuration des routages de trafic TCP/IP.

Nom de domaine de redirection et nom de domaine du système

Après avoir exécuté l’Assistant de configuration du système, le nom d’hôte système et le nom d’hôte de redirection sont identiques. Cependant, la modification du nom d’hôte du système à l’aide de la commande sethostname ne modifie pas le nom d’hôte de redirection. Par conséquent, les paramètres peuvent avoir des valeurs différentes.

AsyncOS utilise le nom d’hôte de redirection pour les notifications et les accusés de réception de l’utilisateur final.

Le nom d’hôte du système est le nom d’hôte complet utilisé pour identifier l’appliance dans les domaines suivants :

Interface de ligne de commande (CLI)
Alertes du système
Lors de la formation du nom NetBIOS de l’ordinateur lorsque Secure Web Appliance rejoint un domaine Active Directory.

Le nom d’hôte du système ne correspond pas directement aux noms d’hôte d’interface et n’est pas utilisé par les clients pour se connecter à l’appliance.

Modification du nom de domaine de redirection

Procedure

Step 1	Dans l’interface utilisateur Web, accédez à Network>Authentication (Réseau > Authentification).
Step 2	Cliquez sur Edit Global Settings (Modifier les paramètres globaux).
Step 3	Entrez une nouvelle valeur pour le nom d’hôte de redirection.

Modification du nom de domaine du système

Procedure

Step 1

Accédez à l’interface de ligne de commande.

Step 2

Utilisez la commande sethostname pour modifier le nom de Secure Web Appliance :


example.com> sethostname

example.com> hostname.com

example.com> commit
...
hostname.com>

Step 3

Validez vos modifications.

Configuration des paramètres de l’hôte de relais SMTP

AsyncOS envoie régulièrement des courriels générés par le système, tels que des notifications, des alertes et des demandes à l’assistance client de Cisco. Par défaut, AsyncOS utilise les informations répertoriées dans l’enregistrement MX de votre domaine pour envoyer des courriels. Toutefois, si l’appliance ne peut pas atteindre directement les serveurs de messagerie répertoriés dans l’enregistrement MX, vous devez configurer au moins un hôte de relais SMTP sur l’appliance.

Note

Si le Secure Web Appliance ne peut pas communiquer avec les serveurs de messagerie répertoriés dans l’enregistrement MX ou l’un des hôtes de relais SMTP configurés, il ne peut pas envoyer de courriels, et il écrit un message dans les fichiers journaux.

Vous pouvez configurer un ou plusieurs hôtes de relais SMTP. Lorsque vous configurez plusieurs hôtes de relais SMTP, AsyncOS utilise celui qui se trouve en tête de la liste des hôtes de relais SMTP disponibles. Si un hôte de relais SMTP n’est pas disponible, il essaie d’utiliser celui qui se trouve en dessous dans la liste.

Configuration d’un hôte de relais SMTP

Procedure

Step 1

Choisissez Network > Internal SMTP Relay (Réseau > Relais SMTP interne).

Step 2

Cliquez sur Edit Settings (Modifier les paramètres).

Step 3

Renseignez les paramètres du relais SMTP interne.


Propriété	Description
Relay Hostname or IP Address (Nom d’hôte ou adresse IP à utiliser pour le relais SMTP)	Le nom d’hôte ou l’adresse IP à utiliser pour le relais SMTP
Port	Le port pour la connexion au relais SMTP. Si cette propriété est laissée vide, l’appliance utilise le port 25.
Routing Table to Use for SMTP (Tableau de routage à utiliser pour SMTP)	La table de routage associée à une interface réseau de dispositif, de gestion ou de données, à utiliser pour la connexion au relais SMTP. Choisissez l’interface qui se trouve sur le même réseau que le système de relais.

Step 4

(Facultatif) Cliquez sur Add Line (Ajouter une ligne) pour ajouter des hôtes de relais SMTP supplémentaires.

Step 5

Envoyez et validez vos modifications.

DNS Settings (paramètres DNS)

AsyncOS pour le Web peut utiliser les serveurs DNS racine Internet ou vos propres serveurs DNS. Lorsque vous utilisez les serveurs racine Internet, vous pouvez spécifier d’autres serveurs à utiliser pour des domaines spécifiques. Étant donné qu’un autre serveur DNS s’applique à un seul domaine, il doit faire autorité (fournir les enregistrements DNS définitifs) pour ce domaine.

Vous pouvez également spécifier des serveurs de noms DNS secondaires pour résoudre les requêtes non résolues par les serveurs de noms principaux. Les serveurs DNS secondaires ne sont pas utilisés comme serveurs DNS de basculement. Ils sont interrogés en fonction de la priorité, lorsque les serveurs DNS principaux renvoient les erreurs spécifiées dans Modification des paramètres DNS.

Pour éviter les échecs d’authentification, assurez-vous que le nom de redirection d’authentification Secure Web Appliance est unique.

DNS fractionné
Effacement du cache DNS
Modification des paramètres DNS

Lignes directrices et limites relatives au DNS sécurisé

Remarque

Secure DNS est désactivé par défaut.

Si vous activez Secure DNS :

Vous devez utiliser le nom de domaine complet (FQDN) avec le nom d’hôte pour les domaines local et privé.
Assurez-vous de configurer le serveur DNS avec DNSSec, car il n’y a pas de compatibilité ascendante. Ne pas le faire peut entraîner une réponse non valide avec un nom d’hôte non résolu.
Les journaux du système ne s’affichent pas :
- Détails du serveur des requêtes DNS de la racine d’Internet
- Des informations détaillées sur les journaux de débogage et de suivi
CNAME n’est pas mis en cache.
Les réponses DNSSEC non valides n’ont pas été mises en cache.
Le cache DNS est effacé lorsque le paramètre DNS sécurisé passe de désactivé à activé, et inversement.
Assurez-vous de sélectionner Load Network Settings (Charger les paramètres réseau) pour charger la configuration Secure DNS.

DNS fractionné

AsyncOS prend en charge le DNS fractionné où les serveurs internes sont configurés pour des domaines spécifiques et les serveurs DNS externes ou racine sont configurés pour d’autres domaines. Si vous utilisez votre propre serveur interne, vous pouvez également indiquer les domaines d’exception et les serveurs DNS associés.

Effacement du cache DNS

Before you begin

Sachez que l’utilisation de cette commande peut dégrader temporairement les performances pendant le remplissage du cache.

Procedure

Step 1	Choisissez Network > DNS (Réseau > DNS).
Step 2	Cliquez sur Clear DNS Cache (Effacer le cache DNS).

Modification des paramètres DNS

Procedure

Step 1

Choisissez Network > DNS (Réseau > DNS).

Step 2

Cliquez sur Edit Settings (Modifier les paramètres).

Step 3

Configurez les paramètres DNS selon les besoins.

Propriété

Description

Serveurs DNS principaux

Use these DNS Servers (Utilisez ces serveurs DNS). Le ou les serveurs DNS locaux que l’appliance peut utiliser pour résoudre les noms d’hôte.

Alternate DNS servers Overrides (Optional) [Autres remplacements de serveurs DNS (facultatif)]. Serveurs DNS faisant autorité pour des domaines particuliers

Use the Internet’s Root DNS Servers ( Utilisez les serveurs DNS racine d’Internet). Vous pouvez choisir d’utiliser les serveurs DNS racine d’Internet pour les recherches de service de nom de domaine lorsque l’appliance n’a pas accès aux serveurs DNS de votre réseau.

Note

Les serveurs DNS racine Internet ne résolvent pas les noms d’hôte locaux. Si vous avez besoin que l’appliance résolve les noms d’hôte locaux, vous devez utiliser un serveur DNS local ou ajouter les entrées statiques appropriées au DNS local à l’aide de l’interface de ligne de commande. Cela est également nécessaire pour accéder à la nouvelle interface Web.

Secondary DNS Servers (Serveurs DNS secondaires)

Le ou les serveurs DNS secondaires que l’appliance peut utiliser pour résoudre les noms d’hôte non résolus par les serveurs de noms principaux.

Note

Les serveurs DNS secondaires reçoivent des requêtes de nom d’hôte lorsque les serveurs DNS principaux renvoient les erreurs suivantes :

Pas d’erreur, aucune section de réponse reçue.
Le serveur n’a pas réussi à traiter la demande. Aucune section de réponse.
Erreur de nom, aucune section de réponse reçue.
Fonction non mise en œuvre.
Le serveur a refusé de répondre à la requête.

Routing Table for DNS Traffic (Table de routage du trafic DNS)

Indique l’interface par laquelle le service DNS acheminera le trafic.

IP Address Version Preference (Préférence de version de l’adresse IP)

Lorsqu’un serveur DNS fournit à la fois une adresse IPv4 et une adresse IPv6, AsyncOS utilise cette préférence pour choisir la version de l’adresse IP.

Note

AsyncOS ne respecte pas la préférence de version pour les demandes FTP transparentes.

Secure DNS (DNS sécurisé)

Cochez la case Secure DNS (DNS sécurisé) pour valider l’authentification de la réponse DNS reçue du serveur DNS.

Note

L’activation de Cisco Secure DNS augmente le temps de résolution.

Wait Before Timing out Reverse DNS Lookups (Attendre avant d’interrompre les recherches DNS inversées)

Le temps d’attente en secondes avant d’interrompre les recherches DNS inversées non réactives.

Domain Search List (Liste de recherche de domaine)

Liste de recherche de domaines DNS utilisée lorsqu’une demande est envoyée à un nom d’hôte nu (sans caractère « . »). Les domaines spécifiés seront essayés à tour de rôle, dans l’ordre saisi, pour voir si une correspondance DNS peut être trouvée pour le nom d’hôte et le domaine.

Step 4

Envoyez et validez vos modifications.

What to do next

Thèmes connexes

Configuration des routages de trafic TCP/IP
Versions d’adresses IP

Langage exempt de préjugés

À propos de la traduction

Results

Chapter: Connexion, installation et configuration

Connexion, installation et configuration

Survol de la connexion, de l’installation et de la configuration

Déploiement d’une appliance virtuelle

Migration d’une appliance physique vers une appliance virtuelle

Comparaison des modes de fonctionnement

Survol des tâches – Connexion, installation et configuration

Connecter l’appliance

Before you begin

Procedure

What to do next

Collecte d’informations sur la configuration

Assistant de configuration du système

Before you begin

Procedure

What to do next

Informations de référence de l’Assistant de configuration du système

Réseau/Paramètres système

Réseau/Contexte du réseau

Réseau/Paramètres de Cloud Connector

Réseau/Interfaces réseau et câblage

Réseau/Câblage de la supervision du trafic de la couche 4

Réseau/Voies de routage pour la gestion et le trafic de données

Réseau/Paramètres de connexion transparente

Réseau/Paramètres administratifs

Sécurité/Paramètres de sécurité

Serveurs proxy en amont

Survol des tâches des serveurs proxy en amont

Création de groupes de serveurs proxy pour les serveurs proxy en amont

Procedure

What to do next

Interfaces réseau

Versions d’adresses IP

Thèmes connexes

Activation ou modification des interfaces réseau

Procedure

What to do next

Configuration des cartes d’interface réseau

Paramètres de médias sur les interfaces Ethernet

Utilisation de la commande etherconfig pour modifier les paramètres de médias sur les interfaces Ethernet

Appairage/association de cartes d’interface réseau

Appairage de cartes réseau et VLAN

Dénomination des paires de NIC

Appairage de cartes réseau et dispositifs d’écoute existants

Activation de l’appairage de cartes réseau à l’aide de la commande etherconfig

Fermeture de l’interface P1

Ouverture de l’interface P1

Directives pour la configuration de l’appairage de cartes réseau

Configuration des groupes de basculement à des fins de haute disponibilité

Ajouter un groupe de basculement

Before you begin

Procedure

What to do next

Modifier les paramètres globaux haute disponibilité

Procedure

Afficher l’état des groupes de basculement

Utilisation de l’interface de données P2 pour les données de proxy Web

Before you begin

Procedure

What to do next

Configuration des routages de trafic TCP/IP

Trafic des services sortants

Thèmes connexes

Modification de la voie de routage par défaut

Procedure

Ajout d’une voie de routage

Procedure

Enregistrement et chargement des tableaux de routage

Procedure

Suppression d’une voie de routage

Procedure

What to do next

Configuration de la redirection transparente

Spécification d’un périphérique de redirection transparente

Before you begin

Procedure