FAQ sur le déploiement virtuel ESA/SMA

Introduction

Ce document fournit des réponses aux questions fréquemment posées concernant le déploiement, la migration et la configuration des périphériques ESA (Email Security Appliance) virtuels et SMA (Virtual Security Management Appliance). 

Contribué par Dennis McCabe Jr et Vibhor Amrodia, ingénieurs du TAC Cisco.

Ressources recommandées

Cisco vous recommande de vous familiariser avec ces ressources avant le déploiement, la configuration et la migration de votre ESA/SMA virtuel.

• Meilleures pratiques pour les licences Virtual ESA, Virtual WSA ou Virtual SMA

• Guide d'installation de l'appliance virtuelle de sécurité du contenu Cisco
• Guides d'utilisation ESA (sections Configuration et installation)
• Guides d'utilisation SMA (sections Setup and Installation)
• Téléchargement du logiciel ESA virtuel
• Téléchargement du logiciel SMA virtuel

Forum aux questions

Lors du remplacement d'une appliance matérielle (par exemple C190, M690), comment savoir quel modèle virtuel sélectionner ?

En général, vous devez remplacer le modèle matériel par un modèle virtuel commençant par le même nombre. Par exemple, vous pouvez remplacer un C190 par un C100V ou un M690 par un M600V. Plus d'informations sur le dimensionnement sont disponibles ici pour ESA et ici pour SMA. En cas de doute, contactez votre équipe de compte ou revendeur Cisco et ils pourront vous fournir des recommandations de taille supplémentaires. Si vous utilisez des données qui doivent être migrées (par exemple, la quarantaine PVO), il est également essentiel de tenir compte de l'espace disque nécessaire lors de la sélection du modèle. 

Quand dois-je déployer et/ou migrer vers un ESA/SMA virtuel ?

Vous pouvez déployer un ESA/SMA virtuel à tout moment et il est recommandé si vous avez besoin de périphériques supplémentaires pour la distribution de charge ou pour la sauvegarde des données SMA centralisées. Cependant, il serait extrêmement avantageux et important de passer à un ESA/SMA virtuel si votre appliance matérielle est en fin de vie (EoL) ou en fin de prise en charge (EoS). 

Vous trouverez ci-dessous les notifications EoL/EoS pour ESA et SMA :

• EoL/EoS pour ESA
• EoL/EoS pour SMA

Vous pouvez également vérifier le matériel pris en charge dans les notes de version respectives des versions dans les sections Matériel pris en charge pour cette version :

• Notes de version ESA
• Notes de version SMA

Comment obtenir et installer une licence pour un ESA/SMA virtuel ?

Si vous disposez d'une licence matérielle existante, vous avez droit à une licence virtuelle pour un ESA et/ou SMA respectivement. Vous pouvez obtenir un fichier de licence virtuelle en suivant les étapes de l'article suivant :

• Meilleures pratiques pour les licences Virtual ESA, Virtual WSA ou Virtual SMA

Si vous rencontrez une erreur de « licence mal formée » lors de l'installation des licences virtuelles, consultez le document de dépannage suivant :

• Erreur de « licence mal formée » lors de la tentative d'installation d'un fichier de licence sur Virtual

Combien de périphériques puis-je déployer à l'aide de ma licence ESA/SMA virtuelle ?

Vous pouvez en faire autant que vous voulez. Contrairement à une licence matérielle liée à un appareil physique spécifique, la licence virtuelle peut être utilisée et réutilisée pour n'importe quel nombre de périphériques virtuels que vous déployez. 

Un ESA/SMA virtuel prend-il en charge Smart Licensing ?

Les licences Smart sont prises en charge. Vous pouvez consulter ce document pour plus d'informations sur la façon d'activer Smart Licensing sur un ESA/SMA virtuel : 

• Présentation des licences Smart et meilleures pratiques pour la sécurité de la messagerie électronique et du web Cisco (ESA, WSA, SMA)

Note: Après avoir activé Smart Licensing, vous pouvez recevoir le message suivant : "Échec de récupération dynamique du manifeste : Échec de l'authentification avec les erreurs du serveur manifeste sur les périphériques ESA/SMA virtuels. Ce problème est connu et est documenté ici : Avis sur le terrain : FN - 70490

Comment planifier une migration d'un périphérique matériel hérité vers un nouvel ESA virtuel ?

Le processus et la présentation des étapes incluses dans la planification de la migration de la configuration des périphériques ESA existants vers les périphériques virtuels seraient similaires aux étapes documentées dans cet article :

• Migration d'une configuration d'un ancien modèle matériel (Cx70) vers un nouveau modèle matériel (Cx95)

Bien que l'article concerne principalement la migration d'un périphérique matériel EoL x70 vers un nouveau x95 pris en charge, la section Utilisation d'un vESA à la configuration Bridge vers un nouveau matériel (Cx95) peut être utilisée pour déployer un nouvel ESA virtuel et le joindre à un cluster existant. Une fois joint à un cluster existant et que le nouvel ESA virtuel dispose d'une copie de votre configuration actuelle, vous pouvez décider si vous souhaitez conserver tout en l'état ou si vous voulez procéder à la désaffectation de votre matériel hérité. Si cette dernière option est utilisée, vous pouvez alors supprimer le matériel hérité du cluster.

Comment vérifier que mon ESA/SMA virtuel utilise le serveur de mise à jour approprié ?

Les périphériques matériels et virtuels utilisent différents serveurs hôtes dynamiques lors de la récupération des mises à jour (par exemple, antispam, antivirus, etc.). 

Vous pouvez utiliser la sous-commande dynamichost sous updateconfig dans l'interface de ligne de commande pour examiner la configuration actuelle. Notez qu'il s'agit d'une commande masquée.

esa.lab.local> updateconfig

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> dynamichost

Enter new manifest hostname:port
[update-manifests.sco.cisco.com:443]>

Les modèles matériels et virtuels utilisent respectivement les serveurs hôtes dynamiques suivants :

Manifeste matériel : update-manifests.ironport.com:443
Manifeste virtuel : update-manifests.sco.cisco.com:443

Si votre ESA virtuel ne peut pas télécharger de mises à jour, vous pouvez suivre les étapes des articles ci-dessous pour confirmer que tout est configuré correctement :

• vESA ne peut pas télécharger et appliquer les mises à jour
• Procédure de mise à niveau et de dépannage AsyncOS ESA

Note: Les appliances virtuelles (par exemple x100V, x300V, x600V) doivent UNIQUEMENT utiliser l'URL hôte dynamique de update-manifests.sco.cisco.com:443. S'il existe une configuration de cluster avec les appliances matérielles et virtuelles, updateconfig doit être configuré au niveau de l'ordinateur, puis confirmer que dynamichost est défini en conséquence.

Comment exporter un fichier de configuration d'un ESA/SMA et l'importer dans un autre ?

Les articles suivants peuvent être référencés pour l'exportation et l'importation de fichiers de configuration :

• Comment charger ou migrer la configuration ESA sur un ESA de remplacement
• Enregistrement et exportation des paramètres de configuration (guide de l'utilisateur ESA)
• Enregistrement et importation des paramètres de configuration (Guide de l'utilisateur SMA)

Note: Impossible de charger les fichiers de configuration exportés avec des phrases de passe masquées. Ils doivent être exportés à l'aide de l'option Plain ou Encrypt.

Comment charger une configuration partielle ?

Lors de la migration d'une appliance matérielle vers un ESA/SMA virtuel, ou entre différents types de modèles, il est courant que vous ne puissiez pas simplement exporter la configuration d'une et importer dans une autre sans modification. Ceci est dû à la taille différente du disque, au nombre d'interfaces, à la version AsyncOS, etc. 

Si cela se produit, vous pouvez contacter le centre d'assistance technique de Cisco pour obtenir de l'aide ou essayer de charger une partie de la configuration en procédant comme suit :

• Comment importer des configurations partielles dans l'ESA ?