Já tem uma conta?
  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Exigências e instalação do conjunto ESA

Opções de download

  • PDF     (92.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (68.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (71.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Dezembro de 2016
ID do documento:200885
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve os princípios de um conjunto, exigências e como estabelecer um conjunto em uma ferramenta de segurança do email de Cisco (ESA).

  

Problema

Frequentemente, há uma necessidade de centralizar a configuração entre um grande grupo de ESA e de mantê-los toda sincronizados para evitar a tarefa de ter que mudar a configuração um cada dispositivo cada vez que uma alteração menor ou principal é feita.

Que é um conjunto no ESA?

A característica do gerenciamento centralizado ESA permite você controle e configure dispositivos múltiplos ao mesmo tempo, fornecer o aumento da confiabilidade, a flexibilidade, e a escalabilidade dentro de sua rede, permitindo que você controle globalmente ao seguir com as políticas local. 

Um conjunto consiste em um grupo de máquinas com informação de configuração comum.  Dentro de cada conjunto, os dispositivos podem mais ser divididos nos grupos da máquina, onde uma única máquina pode ser um membro de somente um grupo de cada vez. 

Os conjuntos são executados em uma arquitetura peer-to-peer - sem o mestre/relação escrava.  Você pode registrar em toda a máquina para controlar e administrar o conjunto ou o grupo inteiro.  Isto permite que o administrador configure elementos diferentes do sistema base em uma amplo cluster, a nível de grupo, ou da por-máquina, com baseado em seus próprios agrupamentos lógicos

Requisitos

Para ser capaz de começar, a capacidade para juntar-se a dispositivos em um conjunto (gerenciamento centralizado) que você precisará de se assegurar de que o seguinte esteja encontrado:

  • Todos os ESA DEVEM ter as mesmas versões de AsyncOS (para baixo à revisão).

Note: Na versão 8.5+ a chave do gerenciamento centralizado é exigida já não e igualmente já não será visível quando adicionada porque é uma característica incorporada dentro do AsyncOS.

  • Se você está criando um conjunto para se usar a porta 22 (mais fácil configurar) assegura-se de que não haja nenhuma Firewall ou questão de roteamento entre os dispositivos no tráfego da porta 22.
  • Se você está criando um conjunto para se usar a porta 2222 (serviço de comunicação do conjunto) assegura-se de que as regras do Firewall estejam feitas para permitir que o tráfego nesta porta esteja disponível sem inspeção ou interrupção.
  • _configuração de grânulos as opção dever estar fazer através do CLI on no ESA e poder não estar criar ou juntar GUI.
  • Se você escolhe usar o hostname para uma comunicação, assegure-se de que os servidores DNS ajustados nos dispositivos possam resolver todos os dispositivos restantes em sua rede.
  • Assegure nas relações, na porta exigida e no serviço do seu dispositivo é permitido (SSH ou CCS).

Criando o conjunto

Para começar com o processo uma vez que todas as exigências são cumpridas criar o conjunto você precisará de começar na linha de comando do primeiro dispositivo.

Tip: Suporte sua configuração atual em seu dispositivo antes de configurar seu conjunto.  Do GUI, a administração do sistema > arquivo de configuração.  a Un-verificação a caixa de senha mascarada e salvar a configuração localmente a seu PC.

Criando o conjunto sobre o SSH

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
1.1.1.1 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

Criando o conjunto sobre o CCS

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 1.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 1.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

Uma vez que esta etapa é executada, você terá um conjunto e todas suas configurações serão movidas da máquina para aglomerar o nível.  Esta será a configuração que todas máquinas restantes herdarão em cima da junta. 

Juntando-se a um conjunto existente com o SSH ou o CCS

Esta seção cobrirá adicionar todo o dispositivo novo em seu conjunto existente que você apenas criou ou criado previamente.  Juntar-se a um conjunto existente por um ou outro método será similar na aproximação, o único ponto chave da diferença é CCS exige uma etapa extra finalizá-la para permitir que o conjunto aceite o dispositivo mais novo.

Junta através do SSH

Note:  A seção indicada em corajoso nas etapas abaixo das necessidades de ser seguido exatamente, como nós estamos usando o SSH, você não deve dizer “Y” à possibilidade CCS.

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

Uma vez que esta verificação é feita, o dispositivo juntar-se-á agora ao conjunto com sucesso.

Junta através do CCS

Isto será similar na aproximação, a única diferença é antes que você decida permitir o dispositivo novo no conjunto existente, você precisa de registrar no dispositivo que é ativo no conjunto.

No dispositivo ativo no conjunto:

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


Uma vez que você inscreve a impressão digital SSH (que está obtida registrando no dispositivo que tenta se juntar a seu conjunto e que usa o comando do “cópia do prepjoin clusterconfig”) no acima e inscreve uma linha em branco, terminará a preparação junta-se.


Então você pode começar o processo de junta no dispositivo que tenta juntar-se dentro, para esta referência, nos chamá-la-á "ESA2.lab" para combinar isso da etapa acima.

Note: A chave SSH-DSS no exemplo abaixo

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (1.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 1.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "1.1.1.1", not the normal admin ssh port.
[2222]>

Uma vez que isto é confirmado, você estará mostrado a chave SSH-DSS, se o combina aceita os termos e o conjunto estará juntado com sucesso.

O que é migrado em uma configuração de grânulos

O conjunto trará todos os ajustes configurados da política, filtros satisfeitos, recursos do texto, dicionários satisfeitos, configurações ldap, anti-Spam e configurações globais anti-vírus, ajustes do ouvinte, ajustes da rota S TP, ajustes DNS.

O que não é migrado em uma configuração de grânulos

  • Nome de host local do dispositivo.
  • Interfaces IP configuradas.
  • Tabelas de roteamento configuradas.
  • Configuração local da quarentena do Spam.
  • Configurações da quarentena da política local, do vírus e da manifestação
  • Ajustes sob o comando do “websecurityadvancedconfig” na linha de comando (para versões 8.5 mais recente). 

Note:  Se você tem os filtros satisfeitos que estão provendo as quarentena que não são existentes, serão invalidadas até que a quarentena provida da política esteja configurada na máquina.

TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Deixe-nos ajudar

Discussões relacionadas ao produto na comunidade de suporte

Este documento se refere a estes produtos

SOBRE A CISCO
FALE CONOSCO
TRABALHE CONOSCO