Domande frequenti sull'installazione virtuale ESA/SMA

Introduzione

Questo documento contiene le risposte alle domande frequenti relative all'implementazione, alla migrazione e alla configurazione di dispositivi ESA (Virtual Email Security Appliance) e SMA (Virtual Security Management Appliance). 

Contributo di Dennis McCabe Jr e Vibhor Amrodia, Cisco TAC Engineers.

Risorse consigliate

Cisco consiglia di acquisire familiarità con queste risorse prima dell'implementazione, della configurazione e della migrazione dell'ESA/SMA virtuale.

• Procedure ottimali per le licenze Virtual ESA, Virtual WSA o Virtual SMA

• Guida all'installazione di Cisco Content Security Virtual Appliance
• Guide per l'utente ESA (sezioni Setup e Installation)
• Guide per l'utente SMA (sezioni Installazione e Configurazione)
• Download del software ESA virtuale
• Download del software SMA virtuale

Domande frequenti

Quando si sostituisce un accessorio hardware (ad esempio C190, M690), come è possibile sapere quale modello virtuale selezionare?

In generale, è consigliabile sostituire il modello hardware con un modello virtuale che inizia con lo stesso numero. Ad esempio, è possibile sostituire un C190 con un C100V o un M690 con un M600V. Ulteriori informazioni sul dimensionamento sono disponibili qui per ESA e qui per SMA. In caso di dubbi, contattare il team amministrativo o il rivenditore Cisco per ulteriori suggerimenti sul dimensionamento. Se si lavora con dati che devono essere migrati (ad esempio, quarantena PVO), è anche essenziale tenere conto dello spazio su disco necessario durante la selezione del modello. 

Quando è necessario eseguire l'installazione e/o la migrazione a un'ESA/SMA virtuale?

È possibile installare un ESA/SMA virtuale in qualsiasi momento ed è consigliabile se sono necessari dispositivi aggiuntivi per la distribuzione del carico o per il backup di dati SMA centralizzati. Tuttavia, il passaggio a un'ESA/SMA virtuale sarebbe estremamente vantaggioso e importante se l'appliance hardware non è più commercializzata (EoL) o non è più supportata (EoS). 

Di seguito sono riportate le notifiche EoL/EoS per ESA e SMA:

• EoL/EoS per ESA
• EoL/EoS per SMA

È inoltre possibile verificare l'hardware supportato nelle rispettive note di rilascio nelle sezioni Hardware supportato per questa release:

• Note release ESA
• Note sulla release di SMA

Come posso ottenere e installare una licenza per un'ESA/SMA virtuale?

Se si dispone di una licenza hardware esistente, si ha diritto a una licenza virtuale per un'ESA e/o SMA rispettivamente. È possibile ottenere un file di licenza virtuale eseguendo la procedura descritta nell'articolo seguente:

• Procedure ottimali per le licenze Virtual ESA, Virtual WSA o Virtual SMA

Se si verifica un errore di "Licenza non valida" durante l'installazione delle licenze virtuali, consultare il seguente documento per la risoluzione dei problemi:

• Errore "Licenza non valida" durante il tentativo di installare un file di licenza su Virtual

Quanti dispositivi è possibile installare utilizzando la licenza ESA/SMA virtuale?

Puoi girarne tanti quanti ne vuoi. A differenza di una licenza hardware legata a un dispositivo fisico specifico, la licenza virtuale può essere utilizzata e riutilizzata per un numero qualsiasi di dispositivi virtuali installati. 

Un'ESA/SMA virtuale supporta le licenze Smart?

Smart Licensing è supportato. Per ulteriori informazioni su come abilitare le licenze Smart su un'ESA/SMA virtuale, consultare il documento: 

• Panoramica delle licenze Smart e best practice per Cisco Email e Web Security (ESA, WSA, SMA)

Nota: Dopo aver abilitato Smart Licensing, potrebbe venire visualizzato il messaggio "Errore di recupero dinamico del manifesto: Impossibile eseguire l'autenticazione con gli errori del server di manifesto nei dispositivi ESA/SMA virtuali. Si tratta di un problema noto documentato qui: Notifica: FN - 70490

Come pianificare una migrazione da un dispositivo hardware legacy a una nuova ESA virtuale?

Il processo e la panoramica dei passaggi inclusi nella pianificazione della migrazione della configurazione dai dispositivi ESA legacy ai dispositivi virtuali sono simili ai passaggi documentati in questo articolo:

• Migrazione di una configurazione da un modello hardware precedente (Cx70) a un nuovo modello hardware (Cx95)

Mentre l'articolo è principalmente destinato alla migrazione da un dispositivo hardware EoL x70 a un x95 supportato più recente, la sezione Utilizzo di una vESA per il collegamento della configurazione al nuovo hardware (Cx95) può essere utilizzata per l'installazione di una nuova ESA virtuale e il suo collegamento a un cluster esistente. Una volta aggiunta a un cluster esistente e la nuova ESA virtuale dispone di una copia della configurazione corrente, è possibile decidere se si desidera mantenere tutto così com'è o se si desidera procedere con lo smantellamento dell'hardware legacy. In questo caso, è possibile rimuovere l'hardware legacy dal cluster.

Come verificare se l'ESA/SMA virtuale utilizza il server di aggiornamento corretto?

I dispositivi hardware e virtuali utilizzano server dinamichost diversi durante il recupero degli aggiornamenti (ad esempio, antispam, antivirus, ecc.). 

È possibile usare il sottocomando dynamichost in updateconfig nella CLI per rivedere la configurazione corrente. Si noti che si tratta di un comando nascosto.

esa.lab.local> updateconfig

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> dynamichost

Enter new manifest hostname:port
[update-manifests.sco.cisco.com:443]>

I modelli hardware e virtuali utilizzano rispettivamente i seguenti server dynamichost:

Manifesto hardware: update-manifests.ironport.com:443
Manifesto virtuale: update-manifests.sco.cisco.com:443

Se l'ESA virtuale non è in grado di scaricare gli aggiornamenti, è possibile seguire i passaggi negli articoli seguenti per verificare che tutto sia configurato correttamente:

• vESA non è in grado di scaricare e applicare gli aggiornamenti
• Procedura di aggiornamento e risoluzione dei problemi ESA AsyncOS

Nota: Le appliance virtuali (ad esempio x100V, x300V, x600V) devono utilizzare SOLO l'URL dell'host dinamico update-manifests.sco.cisco.com:443. Se è presente una configurazione cluster con hardware e appliance virtuali, è necessario configurare updateconfig a livello di computer e quindi verificare che dynamichost sia impostato di conseguenza.

Come esportare un file di configurazione da un ESA/SMA e importarlo in un altro?

È possibile fare riferimento ai seguenti articoli per l'esportazione e l'importazione dei file di configurazione:

• Come caricare o migrare la configurazione ESA su un'ESA sostitutiva
• Salvataggio ed esportazione delle impostazioni di configurazione (Guida dell'utente ESA)
• Salvataggio e importazione delle impostazioni di configurazione (Guida dell'utente di SMA)

Nota: Impossibile caricare i file di configurazione esportati con passphrase mascherate. Al contrario, devono essere esportate usando l'opzione Plain o Encrypt passphrase.

Come si carica una configurazione parziale?

Quando si esegue la migrazione da un dispositivo hardware a un'ESA/SMA virtuale o tra diversi tipi di modelli, non è possibile esportare la configurazione da un dispositivo e importarla in un altro senza apportare modifiche. Ciò è dovuto alle diverse dimensioni del disco, al numero di interfacce, alla versione AsyncOS, ecc. 

In questo caso, è possibile contattare Cisco TAC per assistenza, oppure provare a caricare una parte della configurazione utilizzando la procedura seguente:

• Come importare configurazioni parziali nell'ESA?