Preguntas frecuentes sobre implementación virtual de ESA/SMA

Introducción

Este documento proporciona respuestas a las preguntas más frecuentes sobre la implementación, migración y configuración de dispositivos virtuales Email Security Appliance (ESA) y dispositivos virtuales Security Management Appliance (SMA). 

Colaborado por Dennis McCabe Jr y Vibhor Amrodia, Ingenieros del TAC de Cisco.

Recursos recomendados

Cisco recomienda que se familiarice con estos recursos antes de implementar, configurar y migrar su ESA/SMA virtual.

• Prácticas recomendadas para licencias ESA virtuales, WSA virtual o SMA virtual

• Guía de instalación de Cisco Content Security Virtual Appliance
• Guías de usuario ESA (secciones Configuración e instalación)
• Guías de usuario de SMA (secciones Configuración e Instalación)
• Descarga de software ESA virtual
• Descarga de software SMA virtual

Preguntas Frecuentes

Al sustituir un dispositivo de hardware (por ejemplo, C190, M690), ¿cómo puedo saber qué modelo virtual seleccionar?

En general, querrá reemplazar el modelo de hardware por un modelo virtual que comience con el mismo número. A modo de ejemplo, puede reemplazar un C1 90 por un C1 00V o un M6 90 por un M6 00V. Puede encontrar más información sobre el dimensionamiento aquí para la ESA y aquí para SMA. En caso de duda, póngase en contacto con su Cisco Account Team o distribuidor y podrán ofrecerle recomendaciones de tamaño adicionales. Si trabaja con datos que deben migrarse (por ejemplo, cuarentena de PVO), también es esencial tener en cuenta el espacio necesario en disco durante la selección del modelo. 

¿Cuándo debería implementar o migrar a un ESA/SMA virtual?

Puede implementar un ESA/SMA virtual en cualquier momento y se recomienda si necesita dispositivos adicionales para la distribución de carga o para realizar copias de seguridad de los datos SMA centralizados. Sin embargo, sería extremadamente beneficioso e importante migrar a un ESA/SMA virtual si su dispositivo de hardware se encuentra en el fin de ciclo de vida (EoL) o de soporte (EoS). 

A continuación, encontrará los avisos de EoL/EoS para ESA y SMA:

• EoL/EoS para ESA
• EoL/EoS para SMA

También puede verificar el hardware soportado en las respectivas versiones de las notas de la versión en las secciones Hardware Soportado para esta versión:

• Notas de la versión de ESA
• Notas de la versión de SMA

¿Cómo obtengo e instalo una licencia para un ESA/SMA virtual?

Si tiene una licencia de hardware existente, tendrá derecho a una licencia virtual para un ESA y/o SMA respectivamente. Puede obtener un archivo de licencia virtual mediante los pasos del siguiente artículo:

• Prácticas recomendadas para licencias ESA virtuales, WSA virtual o SMA virtual

Si detecta un error de "licencia mal formada" al instalar las licencias virtuales, revise el siguiente documento de resolución de problemas:

• Error de "licencia mal formada" al intentar instalar un archivo de licencia en virtual

¿Cuántos dispositivos puedo implementar con mi licencia ESA/SMA virtual?

Puede girar tanto como desee. A diferencia de una licencia de hardware vinculada a un dispositivo físico específico, la licencia virtual se puede utilizar y reutilizar para cualquier número de dispositivos virtuales que se implemente. 

¿Admite un ESA/SMA virtual las licencias inteligentes?

Se admite la licencia inteligente. Puede consultar este documento para obtener más información sobre cómo habilitar Smart Licensing en un ESA/SMA virtual: 

• Descripción general de las licencias inteligentes y prácticas recomendadas para Cisco Email and Web Security (ESA, WSA, SMA)

Nota: Después de habilitar Smart Licensing, puede recibir "Falla de captura de manifiesto dinámica: No se pudo autenticar con los errores del servidor de manifiesto en los dispositivos ESA/SMA virtuales. Este es un problema conocido y se documenta aquí: Aviso Práctico: FN - 70490

¿Cómo planearía una migración de un dispositivo de hardware antiguo a un nuevo ESA virtual?

El proceso y la descripción general de los pasos incluidos en la planificación de la migración de la configuración de los dispositivos ESA antiguos a los dispositivos virtuales serían similares a los pasos documentados en este artículo:

• Migración de una configuración de un modelo de hardware antiguo (Cx70) a un nuevo modelo de hardware (Cx95)

Si bien el artículo se centra principalmente en la migración de un dispositivo de hardware EoL x70 a un x95 compatible más nuevo, la sección Utilización de una configuración de puente vESA a una nueva configuración de hardware (Cx95) se puede utilizar para implementar un nuevo ESA virtual y unirlo a un clúster existente. Una vez que se ha unido a un clúster existente y el nuevo ESA virtual tiene una copia de su configuración actual, puede decidir si desea mantener todo tal cual o si desea proceder a la retirada del servicio del hardware antiguo. Si es ésta última, puede quitar el hardware heredado del clúster.

¿Cómo verifico que mi ESA/SMA virtual esté utilizando el servidor de actualización correcto?

El hardware y los dispositivos virtuales utilizan diferentes servidores dinámicos host al buscar actualizaciones (por ejemplo, Anti-Spam, Anti-Virus, Etc.). 

Puede utilizar el subcomando dynamichost bajo updateconfig en la CLI para revisar la configuración actual. Tenga en cuenta que se trata de un comando oculto.

esa.lab.local> updateconfig

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> dynamichost

Enter new manifest hostname:port
[update-manifests.sco.cisco.com:443]>

Los modelos de hardware y virtuales utilizan los siguientes servidores host dinámicos, respectivamente:

Manifiesto de hardware: update-manifiests.ironport.com:443
Manifiesto virtual: update-manifiests.sco.cisco.com:443

Si su ESA virtual no puede descargar actualizaciones, puede seguir los pasos que se indican a continuación para confirmar que todo está configurado correctamente:

• vESA no puede descargar ni aplicar actualizaciones
• Procedimiento de Upgrade y Troubleshooting de AsyncOS ESA

Nota: Los dispositivos virtuales (por ejemplo, x100V, x300V, x600V) SÓLO deben utilizar la URL dinámica del host de update-manifiests.sco.cisco.com:443. Si hay una configuración de clúster tanto con el hardware como con los dispositivos virtuales, updateconfig debe configurarse en el nivel de máquina y luego confirmar que dinamichost está configurado en consecuencia.

¿Cómo se exporta un archivo de configuración desde un ESA/SMA y se importa en otro?

Se puede hacer referencia a los siguientes artículos para exportar e importar archivos de configuración:

• Cómo cargar o migrar la configuración ESA en un ESA de reemplazo
• Guardar y exportar configuraciones (guía del usuario ESA)
• Almacenamiento e importación de parámetros de configuración (guía del usuario de SMA)

Nota: No se pueden cargar los archivos de configuración exportados con frases de contraseña enmascaradas. En su lugar, deben exportarse utilizando la opción Plain o Encrypt passphrase.

¿Cómo se carga una configuración parcial?

Al migrar de un dispositivo de hardware a un ESA/SMA virtual, o entre diferentes tipos de modelos, es común que no pueda simplemente exportar la configuración de uno e importarla a otro sin modificarla. Esto se debe a un tamaño de disco diferente, el número de interfaces, la versión AsyncOS, etc. 

Si esto sucede, puede ponerse en contacto con el TAC de Cisco para obtener ayuda o puede intentar cargar una parte parcial de la configuración mediante los pasos siguientes:

• ¿Cómo se importan las configuraciones parciales al ESA?