配置郵件安全裝置(ESA)集群

簡介

本檔案介紹如何在思科電子郵件安全裝置(ESA)上設定集群。

必要條件 

需求

思科建議您瞭解以下主題：

• 如何將裝置加入集群（集中管理）。
• 所有ESA必須具有相同的AsyncOS版本（一直到修訂版本）。

附註：在8.5+版中，不再需要集中管理金鑰，新增集中管理金鑰時也不再可見，因為它是AsyncOS內的一項整合功能。

• 如果建立群集以使用埠22（更易於配置），請確保埠22流量上的裝置之間不存在防火牆或路由問題。
• 如果建立群集以使用埠222（群集通訊服務），請確保制定防火牆規則以允許該埠上的通訊在不被檢查或中斷的情況下可用。
• 群集配置選項必須通過ESA上的CLI完成，並且無法在GUI中建立或加入。
• 如果選擇使用主機名進行通訊，請確保裝置上設定的DNS伺服器能夠解析您網路中的所有其他裝置，並且主機名解析的IP地址已分配給配置為偵聽所選通訊埠的介面。
• 確保在裝置介面上啟用所需的埠和服務（SSH或CCS）。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

問題在於，每當需要集中化大組ESA之間的配置並保持同步時，都避免在每個裝置上持續進行修改。

ESA上的群集

ESA集中管理功能允許您同時管理和配置多個裝置，以提高網路可靠性、靈活性和可擴充性。這樣，您就可以在遵守本地策略的同時進行全域性管理。 

群集由一組具有通用配置資訊的電腦組成。在每個集群中，裝置可以進一步劃分為電腦組，其中一台電腦一次只能是一個組的成員。 

集群在不具有主/次關係的對等體系結構中實施。您可以登入到任何電腦以控制和管理整個群集或組。  這允許管理員在集群範圍、組範圍或每台電腦的基礎上，基於自己的邏輯組配置系統的不同元素

建立集群

滿足所有要求後，要建立集群，需要在第一個裝置的命令列(CLI)中開始。

提示：在配置集群之前，先在裝置上備份當前配置。在GUI上，選擇System Administration > Configuration File。 取消選中遮蔽的密碼框，並將配置本地儲存到PC。

通過SSH建立集群

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

通過CCS建立集群

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

完成此步驟後，您就擁有了一個群集，並且所有配置都將從電腦級別移至群集級別。這是所有其它電腦加入時繼承的配置。

通過SSH或CCS加入當前群集

本節介紹如何將之前或剛剛建立的所有新裝置新增到當前群集中。使用任何一種方法加入當前集群的方法都類似，唯一的區別是CCS需要執行額外的步驟才能完成該步驟，以允許集群接受較新的裝置。

通過SSH加入

附註： 接下來的步驟中用粗體表示的部分需要正確完成。使用SSH時，您不得對CCS啟用表示是。

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

檢查後，裝置將成功加入群集。

通過CCS加入

這在方法上類似，唯一的區別是，在決定允許新裝置進入當前群集之前，您需要登入到群集中處於活動狀態的裝置。

在群集中的活動裝置上：

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
"clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

在上一代碼示例中輸入SSH指紋(在登入到嘗試加入集群的裝置時通過命令clusterconfig prepjoin print)並輸入空白行後，準備加入即完成。

附註：如果運行PREPJOIN選項，則需要在從屬ESA上運行clusterconfig並將該裝置加入到新配置的群集之前，將更改提交至主ESA。  從整個操作中的輸出中可看到以下內容：若要將此裝置加入具有預共用金鑰的群集，請登入到群集電腦，運行clusterconfig > prepjoin > new命令，輸入next 詳細資訊，然後提交更改。

然後，可以在嘗試加入的裝置上開始加入過程，例如，將其命名為ESA2.lab以匹配上一步驟。

附註：SSH-DSS金鑰在下一個示例中。

ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  
On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (10.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 10.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "10.1.1.1", 
not the normal admin ssh port.
[2222]>

一旦確認這一點，您就會看到SSH-DSS金鑰。如果匹配，您可以接受這些術語，集群已成功加入。

在群集配置中遷移的內容

群集配置遷移：

• 配置的策略設定
• 內容過濾器
• 文字資源
• 內容詞典
• LDAP設定
• 反垃圾郵件和防病毒
• 全域性設定
• 監聽程式設定
• SMTP路由設定
• DNS設定

群集配置中未遷移的內容

群集配置不遷移：

• 裝置本地主機名
• 已配置的IP介面
• 配置的路由表。
• 本地垃圾郵件隔離區配置
• 本地策略、病毒和爆發隔離區配置
• 命令列中websecurityadvancedconfig命令的設定（適用於8.5版及更新版本）。 

附註：如果您具有引用不存在的隔離區的內容過濾器，則在電腦上配置引用的策略隔離區之前，這些內容過濾器將失效。

如何在ESA群集中配置組

在某些情形中，可能需要集群中很少的ESA以特定方式工作，而不是其他的ESA。為此，無需建立新群集，即可繼續建立組。

附註：在組級別進行的配置優先於群集級別配置。

要建立組，請從ESA CLI建立組。若要開始組態，請使用命令 clusterconfig --> ADDGROUP:

(電腦esalab.cisco.com)> clusterconfig 

此命令僅限於群集模式。  是否要切換到群集模式？[Y]>

集群思科

選擇要執行的操作：

- ADDGROUP — 新增群集組。

- SETGROUP — 設定電腦所屬的組。

- RENAMEGROUP — 重新命名群集組。

- DELETEGROUP — 刪除群集組。

- REMOVEMEMACHINE — 從群集中刪除電腦。

- SETNAME — 設定群集名稱。

- LIST — 列出群集中的電腦。

- CONNSTATUS — 顯示群集中電腦之間的連線狀態。

- COMMUNICATION — 配置電腦在集群內的通訊方式。

- DISCONNECT — 暫時將電腦從群集分離。

- RECONNECT — 恢復與先前已斷開的電腦的連線。

- PREPJOIN — 準備在CCS上新增新電腦。

[]>ADDGROUP

輸入要建立的新群集組的名稱。

[]>新組

已建立群集組New_Group。

要從當前群集向新建立的組新增ESA，請使用命令SETGROUP:

(電腦esalab.cisco.com)> clusterconfig

此命令僅限於群集模式。是否要切換到群集模式？[Y]>

集群思科

選擇要執行的操作：

- ADDGROUP — 新增群集組。

- SETGROUP — 設定電腦所屬的組。

- RENAMEGROUP — 重新命名群集組。

- DELETEGROUP — 刪除群集組。

- REMOVEMEMACHINE — 從群集中刪除電腦。

- SETNAME — 設定群集名稱。

- LIST — 列出群集中的電腦。

- CONNSTATUS — 顯示群集中電腦之間的連線狀態。

- COMMUNICATION — 配置電腦在集群內的通訊方式。

- DISCONNECT — 暫時將電腦從群集分離。

- RECONNECT — 恢復與先前已斷開的電腦的連線。

- PREPJOIN — 準備在CCS上新增新電腦。

[]>設定組

選擇要移動到其他組的電腦。  用逗號分隔多台電腦。

1.esalab.cisco.com（組ESA_Group）

[1]> 1

選擇esalab.cisco.com必須屬於的組。

1. ESA_Group

2. New_Group

[1]> 2

esalab.cisco.com設定為組New_Group。

要重新命名ESA集群中的當前組，請使用命令RENAMEGROUP:

(電腦esalab.cisco.com)> clusterconfig

此命令僅限於群集模式。是否要切換到群集模式？[Y]>

集群思科

選擇要執行的操作：

- ADDGROUP — 新增群集組。

- SETGROUP — 設定電腦所屬的組。

- RENAMEGROUP — 重新命名群集組。

- DELETEGROUP — 刪除群集組。

- REMOVEMEMACHINE — 從群集中刪除電腦。

- SETNAME — 設定群集名稱。

- LIST — 列出群集中的電腦。

- CONNSTATUS — 顯示群集中電腦之間的連線狀態。

- COMMUNICATION — 配置電腦在集群內的通訊方式。

- DISCONNECT — 暫時將電腦從群集分離。

- RECONNECT — 恢復與先前已斷開的電腦的連線。

- PREPJOIN — 準備在CCS上新增新電腦。

[]>重新命名組

選擇要重新命名的組。

1. ESA_Group

2. New_Group

[1]> 2

輸入組的新名稱。

[New_Group]> Cluster_Group

組New_Group已重新命名為Cluster_Group。

要從ESA集群中刪除當前組，請使用命令  DELETEGROUP

(電腦esalab.cisco.com)> clusterconfig

此命令僅限於群集模式。是否要切換到群集模式？[Y]>

集群思科

選擇要執行的操作：

- ADDGROUP — 新增群集組。

- SETGROUP — 設定電腦所屬的組。

- RENAMEGROUP — 重新命名群集組。

- DELETEGROUP — 刪除群集組。

- REMOVEMEMACHINE — 從群集中刪除電腦。

- SETNAME — 設定群集名稱。

- LIST — 列出群集中的電腦。

- CONNSTATUS — 顯示群集中電腦之間的連線狀態。

- COMMUNICATION — 配置電腦在集群內的通訊方式。

- DISCONNECT — 暫時將電腦從群集分離。

- RECONNECT — 恢復與先前已斷開的電腦的連線。

- PREPJOIN — 準備在CCS上新增新電腦。

[]> DELETEGROUP

選擇要刪除的組。

1. Cluster_Group

2. ESA_Group

[1]> 1

選擇必須在Cluster_Group中移動電腦的組。

1. ESA_Group

[1]> 1

組Cluster_Group已刪除。

附註：當您在群集中新增/刪除電腦時，更改會立即應用到裝置，而不commit是。而對於ESA組，與其相關的任何操作僅在發生後應用到commitESA。

相關資訊

• 思科技術支援與下載