FAQ van ESA/SMA virtuele implementatie

Inleiding

Dit document geeft antwoorden op vaak gestelde vragen over de implementatie, migratie en configuratie van virtuele e-mail security applicatie (ESA) en virtuele security applicatie (SMA). 

Bijgedragen door Dennis McCabe Jr, en Vibhor Amrodia, Cisco TAC-engineers.

Aanbevolen bronnen

Cisco raadt u aan bekend te maken met deze bronnen voordat u uw virtuele ESA/SMA-configuratie instelt, configuratie en migratie.

• Best Practices voor Virtual ESA, Virtual WSA of Virtual SMA-licenties

• Cisco virtuele applicatie - handleiding voor content security
• ESA-gebruikershandleidingen (installatie- en installatiesecties)
• Gebruikershandleidingen (installatie- en installatiesecties)
• Virtual ESA-software downloaden
• Virtual SMA-softwaredownloads

Veelgestelde vragen

Hoe weet ik welk virtueel model moet worden geselecteerd bij het vervangen van een hardwareapparaat (bijvoorbeeld C190, M690)?

In het algemeen wilt u het hardwaremodel vervangen door een virtueel model dat met hetzelfde nummer begint. Als voorbeeld kunt u een C190 vervangen door een C100V of een M690 door een M600V. Meer informatie over grootte is hier te vinden voor ESA en hier voor SMA. Bij twijfel kunt u contact opnemen met uw Cisco-accountteam of Reseller en u kunt aanvullende aanbevelingen voor de grootte geven. Bij het werken met gegevens die moeten worden gemigreerd (bv. PVO-quarantaine) is het ook van essentieel belang om tijdens de modelselectie rekening te houden met de benodigde schijfruimte. 

Wanneer moet ik inzetten en/of migreren naar een virtuele ESA/SMA?

U kunt op elk moment een virtuele ESA/SMA instellen en deze wordt aanbevolen als u extra apparaten nodig hebt voor de taakverdeling of voor het maken van back-ups van gecentraliseerde SMA-gegevens. Het zou echter zeer nuttig en belangrijk zijn om over te stappen op een virtuele ESA/SMA als uw hardwareapparaat end-of-support (EoL) of end-of-support (EoS) gaat. 

U vindt de EoL/EoS-meldingen voor ESA en SMA hieronder:

• EoL/EoS voor ESA
• EoL/EoS voor SMA

U kunt ook de ondersteunde hardware controleren in de respectievelijke versie(s) release-opmerkingen in de Ondersteunde hardware voor deze release-secties:

• Releaseopmerkingen van ESA
• SMA-release opmerkingen

Hoe verkrijgen en installeren ik een licentie voor een virtuele ESA/SMA?

Als u een bestaande hardwarelicentie hebt, hebt u recht op een virtuele licentie voor respectievelijk een ESA en/of SMA. U kunt een virtueel licentiestatusbestand verkrijgen via de stappen in het volgende artikel:

• Best Practices voor Virtual ESA, Virtual WSA of Virtual SMA-licenties

Als u bij het installeren van de virtuele licentie(s) een fout hebt gemaakt bij de "Malforma licentie", raadpleegt u het volgende document over probleemoplossing:

• Fout bij installeren van licentibestand op virtueel bestand

Hoeveel apparaten kan ik inzetten met mijn virtuele ESA/SMA licentie?

Je kunt zoveel als je wilt draaien. Anders dan een hardwarelicentie die aan een specifiek fysiek apparaat is gekoppeld, kan de virtuele licentie worden gebruikt en hergebruikt voor een aantal virtuele apparaten dat u implementeert. 

Steunt een virtuele ESA/SMA slimme licenties?

Smart Licensing wordt ondersteund. U kunt naar dit document verwijzen voor meer informatie over hoe u slimme licenties via een virtuele ESA/SMA kunt instellen: 

• Smart Licensing Overzicht en beste praktijken voor Cisco Email Security en Web Security (ESA, WSA, SMA)

Opmerking: Na het inschakelen van Smart Licensing zou u "Dynamische kennelijke zoekfout kunnen ontvangen: Fout bij authenticeren met de kennelijke server" fouten op de virtuele ESA/SMA-apparaten. Dit is een bekend probleem en wordt hier gedocumenteerd: Veldmelding: FN - 70490

Hoe zou ik een migratie van een 'legacy hardware'-apparaat naar een nieuwe virtuele ESA plannen?

De procedure en het overzicht van de stappen die zijn opgenomen bij de planning van de migratie van de configuratie van de oude ESA-apparaten naar virtuele apparaten, zouden vergelijkbaar zijn met de in dit artikel beschreven stappen:

• Een configuratie verplaatsen van een ouder HW-model (CX70) naar een nieuw HW-model (CX95)

Hoewel het artikel voornamelijk is bedoeld voor het overschakelen van een x70 EoL-hardwareapparaat naar een nieuwere ondersteunde x95, kan het gedeelte Gebruik van een vESA om Brug Configuration naar New HW (Cx95) te gebruiken voor de implementatie van een nieuw virtueel ESA en voor de aansluiting ervan op een bestaand cluster. Als u eenmaal lid bent van een bestaand cluster en de nieuwe virtuele ESA een kopie van uw huidige configuratie heeft, kunt u vervolgens beslissen of u alles zoals het is wilt behouden of als u dan wilt doorgaan met het ontmantelen van uw legacy hardware. Als de laatste, kun je de legacy hardware dan uit het cluster verwijderen.

Hoe controleer ik of mijn virtuele ESA/SMA de juiste update server gebruikt?

Op hardware- en virtuele apparaten worden verschillende dynamische servers gebruikt bij het opvragen van updates (bv. anti-spam, anti-virus, enz.). 

U kunt de subopdracht dynamica gebruiken onder update econfig in de CLI om de huidige configuratie te bekijken. Let erop dat het een verborgen opdracht is.

esa.lab.local> updateconfig

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> dynamichost

Enter new manifest hostname:port
[update-manifests.sco.cisco.com:443]>

Op hardware- en virtuele modellen worden de volgende dynamische servers gebruikt:

Hardware manifest: update-manifest.ironport.com:443
Virtueel manifest: update-manifest.sco.cisco.com:443

Als uw virtuele ESA geen updates kan downloaden, kunt u de stappen in de onderstaande artikelen volgen om te bevestigen dat alles correct is geconfigureerd:

• vESA is niet in staat om updates te downloaden en toe te passen
• ESA AsyncOS-upgrade en probleemoplossing

Opmerking: Virtuele apparaten (bv. x100V, x300V, x600V) mogen ALLEEN de dynamische host-URL van update-manifests.sco.cisco.com:43 gebruiken. Als er een clusterconfiguratie met zowel hardware als virtuele apparaten is, moet update-configuratie op machineniveau worden geconfigureerd en dynamichost wordt dienovereenkomstig ingesteld .

Hoe kan ik een configuratiebestand van de ene ESA/SMA exporteren en in een ander importeren?

De volgende artikelen kunnen worden gebruikt voor het exporteren en importeren van configuratiebestanden:

• ESA-configuratie laden of verplaatsen op een vervangende ESA
• Configuratie-instellingen opslaan en uitvoeren (ESR-gebruikershandleiding)
• Configuratie-instellingen opslaan en importeren (SMA-gebruikersgids)

Opmerking: De configuratiebestanden die met gemaskerde passferen zijn geëxporteerd, kunnen niet worden geladen. In plaats daarvan moeten ze worden geëxporteerd met de optie Plain- of Encrypt wachtwoord.

Hoe laad ik een gedeeltelijke configuratie?

Wanneer u zich van een hardwareapparaat naar een virtuele ESA/SMA verplaatst, of tussen verschillende modeltypen, is het gebruikelijk dat u de configuratie niet zonder wijziging van het ene apparaat kunt exporteren en naar het andere kunt importeren. Dit is het gevolg van verschillende formaten van schijf, het aantal interfaces, de AsyncOS-versie, enzovoort. 

Als dit gebeurt, kunt u contact opnemen met Cisco TAC om te helpen, of u kunt proberen een deel van de configuratie te laden met de onderstaande stappen:

• Hoe de gedeeltelijke configuraties in de ESA importeren?