排除ESA和SMA上的集中式PVO隔离故障

简介

本文档介绍在启用集中策略、病毒和爆发隔离区时，如何解决传输和连接问题。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 带有AsyncOS 8.1或更高版本的邮件安全设备(ESA)
• 带AsyncOS 8.0或更高版本的安全管理设备(SMA)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

AsyncOS 8.0 (ESA)/8.1 (SMA)中引入了集中策略、病毒和爆发(PVO)隔离区功能。此功能具有额外的网络连接要求，并为故障排除带来一些新的挑战。

了解通信

• CPQ通信使用SMTP，但使用一些额外的命令来传输元数据
• SMA将侦听在“集中服务”(Centralized Services) ->“策略、病毒和爆发隔离区”(Policy， Virus and Outbreak Quarantines)下定义的接口和端口上的连接。  默认情况下，端口为7025，但管理员用户可能已更改了该端口！
• ESA将侦听在“安全服务”(Security Services) ->“策略”(Policy)、“病毒和爆发隔离区”(Virus and Outbreak Quarantines)下定义的接口和端口上的连接。  同样，默认情况下，端口为7025，但管理员用户可能已更改了此值！
• SMA还使用SSH（通过命令客户端）从ESA获取配置信息。  特别是，当SMA将已释放的电子邮件传送到ESA时，将使用此选项。SMA将使用SSH查询ESA配置并确定要将已释放电子邮件传送到的接口/端口。

监听程序

• ESA和SMA都将有一个名为“cpq_listener”的隐藏侦听程序，该侦听程序将在指定端口上侦听。
• 这些侦听程序可在配置文件中看到。  例如：
  
  

  <listener>
        <listener_name>cpq_listener</listener_name>
        <protocol>CPQ</protocol>
        <interface_name>Incoming Mail</interface_name>
        <port>7025</port>
        <listen_queue_size>50</listen_queue_size>
        <type>private</type>
        <hat>
  $RELAYED
      RELAY {}
  $BLOCKED
      REJECT {}
  RELAYLIST:
      10.1.2.3
          $RELAYED (Only select hosts can relay from this box)
  ALL
      $BLOCKED (Everyone else)
        </hat>
        <rat>
          <rat_entry>
            <rat_address>ALL</rat_address>
            <access>ACCEPT</access>
          </rat_entry>
        </rat>
  
  

• 如果管理员用户使用“suspendlisteners all”或“suspend”，则这些侦听程序将被暂停。  如果端口不接受连接，则应检查系统状态是否为“脱机”，并在需要时恢复。

排除从ESA到SMA的传输故障

• 检查ESA是否可以在配置的端口和接口上连接到SMA。  这可以通过telnet来实现。  如果通信成功，您应该会收到220条标语。
• ESA将有一个名为“the.cpq.host”的目标对象，该对象包含排队等待传递到SMA的消息。您可以使用“tophosts”或“监控->传递状态”来查看此信息。   不能将“hoststatus”与其一起使用，但必要时可以使用“showrecipients”和“deleterecipients”。

排除从SMA到ESA的传输故障

• 检查SMA是否可以在配置的端口和接口上连接到ESA。  同样，您可以使用telnet，如果成功，您将看到220横幅。
• 使用集群时，对于“安全服务”(Security Services) ->“策略、病毒和爆发隔离区”(Policy， Virus and Outbreak Quarantines)下的所有设备，在集群级别定义的接口对于计算机级别的所有设备都存在是很重要的。  （选中Network -> IP Interfaces）。
• SMA将有一个名为“the.cpq.release.host”的目标对象，该对象包含排队等待传递到ESA的已释放消息。可以使用“tophosts”来查看这种情况。  这似乎不能与“hoststatus”或“showrecipients”一起使用，而且我还未使用它测试“deleterecipients”，但这可能也不起作用。
• SMA和ESA之间也可能存在SSH通信问题。这些问题不一定总是基于网络的，例如，在CSCus29647中，SMA的内部组件会停止运行。  此类问题通常会在邮件日志中显示为应用程序故障，并且通常可以通过重新启动SMA来解决。

TLS/证书

• 任一方向的所有CPQ连接都依赖于TLS，因此密码配置可以发挥作用。
• 要使TLS连接成功，打开连接的设备必须能够验证接收设备正在使用我们的隐藏CPQ证书。  如果设备协商匿名密码，此操作可能会失败。  日志中会显示如下内容：
  
  

  Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated
  
  

• 要解决这些问题，只需从传出传递加密列表中删除匿名密码，即在加密列表末尾添加“：-aNULL”即可完成此操作。  例如：HIGH：MEDIUM：-aNULL

日志文件

• 如果SMA订用邮件日志（默认情况下订用），您可以查看邮件日志以收集其他信息。
• 对于隔离到SMA的邮件和释放到ESA的邮件，CPQ接收事件将如下所示
  
  

  New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
  
  

• 可以使用grep搜索这些事件，例如：grep "CPQ ICID" mail_logs
• 从ESA隔离和从SMA隔离的CPQ传送事件看起来与其他任何传送类似，不同之处在于列出了自定义端口，并且几行包含“集中策略隔离”(Centralized Policy Quarantine)措辞。以下示例：
  
  

  Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
  Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
  Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
  Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
  Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
  
  

• 可使用grep搜索端口来查找这些事件，例如grep "port 7025" mail_logs

已禁用ESA“启用”按钮

尝试在ESA上启用PVO时，您可能会发现“启用”按钮呈灰色显示，尽管所有必备配置都已完成。当ESA显示PVO页面时，它会通过端口7025与SMA通信，以验证配置是否已准备好启用。  如果此通信失败，将禁用“启用”按钮。  您可以像任何ESA -> SMA端口7025通信一样对此进行故障排除，方法是在ESA上获取“端口7025”。有关详细信息，请参阅相关信息中列出的TechNote。

相关信息

• ESA集群时PVO迁移向导的要求
• 无法启用ESA集中策略、病毒和爆发隔离区(PVO)