简介
本文档介绍有关从硬件ESA/SMA到虚拟ESA/SMA的部署、迁移和配置的最佳实践。
基本步骤
步骤1:下载虚拟ESA映像并部署VM
迁移配置之前,建议让虚拟安全邮件网关(ESA)/安全管理设备(SMA)在与硬件相同的AsyncOS版本上运行。您可以选择与设备上运行的版本最接近的AsyncOS版本,并在之后进行升级(如果需要),或下载最新版本的AsyncOS。
支持在这些平台上进行部署 — Microsoft Hyper-V、键盘/视频/鼠标(KVM)和VMWare ESXi。有关详细信息,请查看安装指南:https://www.cisco.com/c/dam/en/us/td/docs/security/content_security/virtual_appliances/Cisco_Content_Security_Virtual_Appliance_Install_Guide.pdf。
您可以从以下链接下载虚拟映像:https://software.cisco.com/download/home/284900944/type/282975113/release/15.0.0。
第二步:获取虚拟ESA/SMA的许可证
为了能够升级虚拟ESA/SMA,必须先安装其许可证 — 您可以将来自硬件的现有许可证与新的虚拟ESA共享(两个ESA可以一起运行)。
对于传统许可证,在为vESA/vSMA成功共享物理许可证后,您收到许可证,请打开您通过NotePad++或WordPad收到的文件.XML
。选择all,然后使用命令通过vESA/vSMA CLI复制/粘贴loadlicense
。有关详细信息,请参阅链接:https://www.cisco.com/c/en/us/support/docs/security/email-security-virtual-appliance/118301-technote-esa-00.html。
对于智能许可证,请在智能帐户中添加新的vESA/vSMA,生成令牌后,根据文章中提到的流程注册设备:https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/214614-smart-licensing-overview-and-best-practi.html。
第三步:将虚拟ESA/SMA升级到硬件ESA/SMA的精确AsyncOS版本(如果需要)
迁移之前,硬件和虚拟设备必须处于同一版本。您可以在上述链接上检查SMA和ESA的兼容性矩阵,以将ESA升级到正确的版本:https://www.cisco.com/c/dam/en/us/td/docs/security/security_management/sma/sma_all/email-compatibility/index.html。
第四步:将现有配置从硬件ESA/SMA迁移到虚拟ESA/SMA
虚拟ESA/SMA可通过以下方式配置:
- 如果现有硬件即将达到寿命终止(EOL)/支持终止(EOS)或已升级vESA/SMA映像,或者必须配置多台设备,请从头配置设备。
- 如果硬件设备已在集群中,请将新的vESA/vSMA添加到集群中。新设备从集群获取现有配置的副本。
- 如果硬件设备是独立设备,请启用集群配置并将新的虚拟ESA/SMA添加到集群以获取现有配置的副本。
注意:虚拟ESA/SMA获得当前配置后,您可以选择断开设备与集群的连接,或根据需要保持设备不变。硬件设备可以从集群配置中删除并停用。
第五步:更正虚拟ESA/SMA上的更新服务器
虚拟和硬件ESA/SMA使用不同的升级服务器,在迁移配置后,服务器会发生更改。为了能够进一步升级vESA/vSMA,您可以按照以下步骤通过vESA/vSMA CLI更正服务器:
- 运行命令
updateconfig
,然后运行子命dynamichost
令。
- 将服务器更改为
update−manifests.sco.cisco.com:443
。
- 提交更改。
有关迁移的其他常见问题,请参阅以下链接:https://www.cisco.com/c/en/us/support/docs/security/email-security-virtual-appliance/215466-esa-sma-virtual-deployment-faq.pdf。