Een cluster van een e-mailbeveiligingstoestel (ESA) configureren

Downloadopties

  • PDF     (277.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 mei 2025
Document-id:200885

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een cluster kunt instellen op een Cisco Email Security Appliance (ESA).

    Voorwaarden 

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Toestellen samenvoegen in een cluster (gecentraliseerd beheer).
    • Alle ESA's moeten dezelfde AsyncOS-versies hebben (tot aan de herziening).

    Opmerking: In versie 8.5+ is de sleutel voor gecentraliseerd beheer niet langer vereist en is deze ook niet langer zichtbaar wanneer deze wordt toegevoegd, omdat het een ingebouwde functie is in AsyncOS.

    • Als u een cluster maakt om poort 22 te gebruiken (gemakkelijker te configureren), moet u ervoor zorgen dat er geen firewall- of routeringsproblemen zijn tussen de apparaten op poort 22-verkeer.
    • Als u een cluster maakt om poort 2222 (Cluster Communication Service) te gebruiken, moet u ervoor zorgen dat er firewallregels worden gemaakt zodat verkeer op deze poort beschikbaar is zonder inspectie of onderbreking.
    • Clusterconfiguratieopties moeten worden uitgevoerd via de CLI op de ESA en kunnen niet worden gemaakt of samengevoegd in de GUI.
    • Als u ervoor kiest om een hostnaam te gebruiken voor communicatie, moet u ervoor zorgen dat de DNS-servers die op de toestellen zijn ingesteld alle andere toestellen in uw netwerk kunnen oplossen en dat de IP-adressen waarvoor de hostnamen zijn gekozen, worden toegewezen aan een interface die is geconfigureerd om te luisteren op de geselecteerde communicatiepoort.
    • Zorg ervoor dat op uw toestelinterfaces de vereiste poort en service zijn ingeschakeld (SSH of CCS).

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem

    Het probleem is om te voorkomen dat elk toestel voortdurend moet worden aangepast wanneer een configuratie tussen een grote groep ESA's moet worden gecentraliseerd en synchroon moet worden gehouden.

    Clusters op ESA

    Met de centrale beheerfunctie van ESA kunt u meerdere apparaten tegelijk beheren en configureren, voor meer betrouwbaarheid, flexibiliteit en schaalbaarheid binnen uw netwerk. Hierdoor kunt u wereldwijd beheren terwijl u tegelijkertijd voldoet aan het lokale beleid. 

    Een cluster bestaat uit een reeks machines met gemeenschappelijke configuratie-informatie. Binnen elk cluster kunnen de apparaten verder worden onderverdeeld in machinegroepen, waarbij een enkele machine lid kan zijn van slechts één groep tegelijk. 

    Clusters worden geïmplementeerd in een peer-to-peer-architectuur zonder primaire/secundaire relatie. U kunt zich aanmelden bij elk systeem om het hele cluster of de hele groep te beheren en te beheren.  Hierdoor kan de beheerder verschillende elementen van het systeem configureren op clusterbrede, groepsbrede of per machine-basis, gebaseerd op hun eigen logische groepen

    Het cluster maken

    Zodra aan alle vereisten is voldaan, moet u beginnen in de opdrachtregel (CLI) van het eerste toestel om het cluster te maken.

    Tip: maak een back-up van uw huidige configuratie op uw toestel voordat u uw cluster configureert. Vanuit de GUI, Systeembeheer > Configuratiebestand.  Schakel het vakje voor het gemaskeerde wachtwoord uit en sla de configuratie lokaal op uw pc op.

    Cluster maken via SSH

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    Cluster maken via CCS

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    Zodra deze stap is voltooid, hebt u een cluster en worden al uw configuraties verplaatst van het systeem naar het clusterniveau. Dit is de configuratie die alle andere machines erven wanneer ze worden samengevoegd.

    Deelnemen aan een huidige cluster via SSH of CCS

    In dit gedeelte wordt beschreven hoe u nieuwe apparaten kunt toevoegen aan uw huidige cluster die u eerder hebt gemaakt of net hebt gemaakt. Sluit u aan bij een bestaand cluster met een van beide methoden die qua benadering vergelijkbaar is. Het enige belangrijke verschilpunt is dat CCS een extra stap vereist om het cluster te voltooien zodat het nieuwe toestel door het cluster kan worden geaccepteerd.

    Deelnemen via SSH

    Opmerking: het vetgedrukte gedeelte in deze volgende stappen moet precies worden uitgevoerd. Met SSH moet u geen ja zeggen tegen het inschakelen van CCS.

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    Na de controle sluit het toestel zich succesvol aan bij het cluster.

    Meedoen via CCS

    Dit is vergelijkbaar in benadering, het enige verschil is dat voordat u besluit om het nieuwe toestel toe te staan in het huidige cluster, u moet inloggen bij het toestel dat actief is in het cluster.

    Op het actieve toestel in het cluster:

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    Nadat u de SSH-vingerafdruk (die wordt verkregen wanneer u zich aanmeldt bij het toestel dat probeert deel te nemen aan uw cluster en met de opdrachtclusterconfig prepjoin print) in het vorige codevoorbeeld hebt ingevoerd en een lege regel hebt ingevoerd, wordt de prep-join voltooid.

    Opmerking: Als u de optie PREPJOIN uitvoert, moet u uw wijzigingen vastleggen voor de primaire ESA voordat u clusterconfig op de secundaire ESA uitvoert en dat toestel aan uw nieuw geconfigureerde cluster toevoegt.  Dit wordt opgemerkt vanaf de uitvoer tijdens de hele bewerking: om dit toestel aan te sluiten op een cluster met vooraf gedeelde sleutels, meldt u zich aan bij het clustersysteem, voert u de opdracht clusterconfig > prepjoin > new uit, voert u de volgende details in en legt u uw wijzigingen vast.

    Vervolgens kunt u beginnen met het join-proces op het toestel dat probeert mee te doen, ter referentie, noem het ESA2.lab om overeen te komen met die van de vorige stap.

    Opmerking: De SSH-DSS-sleutel bevindt zich in het volgende voorbeeld.

    ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (10.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 10.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port.
[2222]>

    Zodra dit is bevestigd, ziet u de SSH-DSS-sleutel. Als deze overeenkomst wordt gevonden, kunt u de voorwaarden accepteren en wordt het cluster met succes toegevoegd.

    Wat wordt gemigreerd in een clusterconfiguratie

    Clusterconfiguratie migreert:

    • Geconfigureerde beleidsinstellingen
    • Inhoudsfilters
    • Tekstbronnen
    • inhoudswoordenboeken
    • LDAP-instellingen
    • Anti-spam en anti-virus
    • Globale instellingen
    • Luisterinstellingen
    • SMTP-routeinstellingen
    • DNS-instellingen

    Wat wordt niet gemigreerd in een clusterconfiguratie

    Clusterconfiguratie migreert niet:

    • lokale hostnaam van het toestel
    • Geconfigureerde IP-interfaces
    • Geconfigureerde routeringstabel.
    • Configuratie lokale spamquarantaine
    • Configuraties voor lokaal beleid, virussen en uitbraakquarantaine
    • Instellingen onder de opdracht websecurityadvanced config in de opdrachtregel (voor versie 8.5 en nieuwer). 
    note-icon

    Opmerking: als u inhoudsfilters hebt die verwijzen naar quarantaines die niet bestaan, worden deze ongeldig gemaakt totdat de betreffende beleidsquarantaine(s) op het systeem is/zijn geconfigureerd.

    Hoe worden groepen geconfigureerd in een ESA-cluster

    In bepaalde scenario's kan worden vereist dat slechts weinig ETA's in het cluster op een bepaalde manier werken dan de rest. Om dit te bereiken, hoeft u geen nieuw cluster te maken en kunt u doorgaan met het maken van groepen.

    note-icon

    Opmerking: de configuraties die op groepsniveau worden gemaakt, hebben voorrang op de configuratie op clusterniveau.

    Voor het aanmaken van Groepen maakt u deze aan op basis van de ESA CLI. Om de configuratie te starten, gebruikt u de opdracht clusterconfig --> ADDGROUP:

    (Machine esalab.cisco.com)> clusterconfig 

    Deze opdracht is beperkt tot de clustermodus.  Wilt u switches naar de clustermodus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADDGROUP - Een clustergroep toevoegen.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Een clustergroep hernoemen.

    - DELETEGROUP - Een clustergroep verwijderen.

    - REMOVEMACHINE - Verwijder een machine uit het cluster.

    - SETNAME - De clusternaam instellen.

    - LIJST - Geef de machines in het cluster weer.

    - CONNSTATUS - De status van verbindingen tussen machines in het cluster weergeven.

    - COMMUNICATIE - Configureer hoe machines binnen het cluster communiceren.

    - VERBINDING VERBREKEN - Machines tijdelijk loskoppelen van het cluster.

    - OPNIEUW VERBINDEN - Verbindingen herstellen met machines die eerder waren losgekoppeld.

    - PREPJOIN - Bereid de toevoeging van een nieuwe machine over CCS voor.

    []> GROEP TOEVOEGEN

    Voer de naam in van de nieuwe clustergroep die u wilt maken.

    []> New_Group

    Clustergroep New_Group gemaakt.

    Als u ESA's uit het huidige cluster wilt toevoegen aan de nieuwe groep die is gemaakt, gebruikt u de opdracht SETGROUP:

    (Machine esalab.cisco.com)> clusterconfig

    Deze opdracht is beperkt tot de clustermodus. Wilt u switches naar de clustermodus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADDGROUP - Een clustergroep toevoegen.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Een clustergroep hernoemen.

    - DELETEGROUP - Een clustergroep verwijderen.

    - REMOVEMACHINE - Verwijder een machine uit het cluster.

    - SETNAME - De clusternaam instellen.

    - LIJST - Geef de machines in het cluster weer.

    - CONNSTATUS - De status van verbindingen tussen machines in het cluster weergeven.

    - COMMUNICATIE - Configureer hoe machines binnen het cluster communiceren.

    - VERBINDING VERBREKEN - Machines tijdelijk loskoppelen van het cluster.

    - OPNIEUW VERBINDEN - Verbindingen herstellen met machines die eerder waren losgekoppeld.

    - PREPJOIN - Bereid de toevoeging van een nieuwe machine over CCS voor.

    []> SETGROUP

    Kies de machine om naar een andere groep te gaan.  Scheid meerdere machines met komma's.

    1. esalab.cisco.com (groep ESA_Group)

    [1]> 1

    Kies de groep waarvan esalab.cisco.com lid moet zijn.

    1. ESA_Group

    2. NEW_GROUP

    [1]> 2

    esalab.cisco.com is ingesteld op groep New_Group.

    Gebruik de opdracht RENAMEGROUP om de naam van een huidige groep in het ESA-cluster te wijzigen:

    (Machine esalab.cisco.com)> clusterconfig

    Deze opdracht is beperkt tot de clustermodus. Wilt u switches naar de clustermodus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADDGROUP - Een clustergroep toevoegen.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Een clustergroep hernoemen.

    - DELETEGROUP - Een clustergroep verwijderen.

    - REMOVEMACHINE - Verwijder een machine uit het cluster.

    - SETNAME - De clusternaam instellen.

    - LIJST - Geef de machines in het cluster weer.

    - CONNSTATUS - De status van verbindingen tussen machines in het cluster weergeven.

    - COMMUNICATIE - Configureer hoe machines binnen het cluster communiceren.

    - VERBINDING VERBREKEN - Machines tijdelijk loskoppelen van het cluster.

    - OPNIEUW VERBINDEN - Verbindingen herstellen met machines die eerder waren losgekoppeld.

    - PREPJOIN - Bereid de toevoeging van een nieuwe machine over CCS voor.

    []> GROEPSNAAM WIJZIGEN

    Kies de groep waarvan u de naam wilt wijzigen.

    1. ESA_Group

    2. NEW_GROUP

    [1]> 2

    Voer de nieuwe naam van de groep in.

    [New_Group]> Cluster_Group

    Groep New_Group hernoemd naar Cluster_Group.

    Als u een huidige groep uit het ESA-cluster wilt verwijderen, gebruikt u de opdracht  DELETEGROUP

    (Machine esalab.cisco.com)> clusterconfig

    Deze opdracht is beperkt tot de clustermodus.Wilt u switches naar de clustermodus? [Y]>

    Cluster Cisco

    Kies de bewerking die u wilt uitvoeren:

    - ADDGROUP - Een clustergroep toevoegen.

    - SETGROUP - Stel de groep in waar machines lid van zijn.

    - RENAMEGROUP - Een clustergroep hernoemen.

    - DELETEGROUP - Een clustergroep verwijderen.

    - REMOVEMACHINE - Verwijder een machine uit het cluster.

    - SETNAME - De clusternaam instellen.

    - LIJST - Geef de machines in het cluster weer.

    - CONNSTATUS - De status van verbindingen tussen machines in het cluster weergeven.

    - COMMUNICATIE - Configureer hoe machines binnen het cluster communiceren.

    - VERBINDING VERBREKEN - Machines tijdelijk loskoppelen van het cluster.

    - OPNIEUW VERBINDEN - Verbindingen herstellen met machines die eerder waren losgekoppeld.

    - PREPJOIN - Bereid de toevoeging van een nieuwe machine over CCS voor.

    []> GROEP VERWIJDEREN

    Kies welke groep je wilt verwijderen.

    1. Cluster_groep

    2. ESA_Group

    [1]> 1

    Kies de groep waarnaar machines in Cluster_Group moeten worden verplaatst.

    1. ESA_Group

    [1]> 1

    Groepscluster_groep verwijderd.

    note-icon

    Opmerking: wanneer u machines in Cluster toevoegt/verwijdert, zijn de wijzigingen direct van toepassing op de apparaten zonder committussenkomst van een. Overwegende dat voor ESA-groepen alle daarmee verband houdende acties pas na een commitjaar op de ESA's worden toegepast.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    05-May-2025
    Bijgewerkte stijlvereisten, koppelingsdoel en opmaak.
    3.0
    09-Apr-2024
    hercertificering
    1.0
    12-Dec-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Matthew Huynh
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten