虚拟vmware

www.
cisco.
com思科系统公司思科内容安全虚拟设备安装指南上次更新日期:2014年12月12日目录关于思科内容安全虚拟设备,第1页安装虚拟设备,第3页管理您的思科内容安全虚拟设备,第8页故障排除,第9页更多信息,第10页关于思科内容安全虚拟设备思科内容安全虚拟设备的工作方式与物理硬件设备一样,只是有一些细微的区别,如管理您的思科内容安全虚拟设备,第8页中所述.
思科内容安全虚拟设备型号思科内容安全虚拟设备型号具有与其对应物理硬件设备相似的磁盘布局、队列和缓存大小以及配置.
虚拟设备已预先配置有下表中的值.
虚拟设备磁盘空间内存处理器内核C000V(仅用于评估和演示)200GB4GB1C100V200GB6GB2C300V500GB8GB42思科内容安全虚拟设备安装指南关于思科内容安全虚拟设备支持的AsyncOS版本以下网址中的"CompatibilityMatrix"(兼容性矩阵)详细描述了AsyncOS版本与思科内容安全管理设备的兼容性:http://www.
cisco.
com/en/US/products/ps10155/prod_release_notes_list.
html.
系统要求硬件和虚拟化虚拟机监控程序CiscoUCS服务器(刀片或机架式安装)是该虚拟设备支持的唯一硬件平台.
只有以下VMwareESXi版本才是支持的虚拟化虚拟机监控程序:我们会尽最大努力支持任何其他硬件平台或VMware虚拟机监控程序:我们会尽力帮助您,但由于可能无法重现所有问题,所以我们无法承诺提供解决方案.
其他虚拟化虚拟机监控程序都不受支持.
托管虚拟设备的服务器的最低要求:两个64位x86处理器,每个至少1.
5GHz8GB物理RAM一个10kRPMSAS硬盘C600V500GB8GB8S000V250GB4GB1S100V250GB6GB2S300V1024GB8GB4产品在虚拟设备上运行的版本思科网络安全AsyncOS7.
7.
5及更高版本思科邮件安全AsyncOS8.
0及更高版本虚拟设备磁盘空间内存处理器内核AsyncOS版本支持的VMwareESXi版本AsyncOS8.
5.
x(邮件)AsyncOS8.
0.
x(网络)4.
x、5.
0和5.
1AsyncOS8.
0(邮件)AsyncOS7.
7.
5(网络)4.
x和5.
03思科内容安全虚拟设备安装指南安装虚拟设备基于FlexPod解决方案的部署对于AsyncOS邮件版8.
5及更高版本:有关在FlexPod解决方案中部署虚拟邮件安全设备的更多信息,请参阅http://www.
cisco.
com/c/dam/en/us/products/collateral/security/email-security-appliance/white-paper-c11-731731.
pdf.
您的CCO登录确定您是否有权访问此文档.
有关FlexPod的一般信息,请参阅http://www.
cisco.
com/en/US/netsol/ns1137/index.
html.
VMwareESXi4.
x文件系统设置VMwareESXi4.
x版本附带的文件系统的默认块大小为4MB,它支持最大1TB的虚拟磁盘映像.
但是,更大的思科虚拟安全设备(例如,S300V或C600V)需要的磁盘空间超过1TB.
为运行这些型号,您需要创建新的数据存储器并将其格式化(块大小不低于8MB).
有关块大小的信息及如何新建数据存储器的指令,请参阅位于以下网址的VMware技术文档:http://kb.
vmware.
com/selfservice/microsites/search.
dolanguage=en_US&cmd=displayKC&externalId=1003565.
管理界面的IP地址和DHCP虚拟设备第一次通电时,管理端口从DHCP主机获取IP地址.
如果虚拟设备无法从DHCP服务器获取IP地址,那么它将使用192.
168.
42.
42作为管理界面的IP地址.
当您在虚拟设备上运行"系统安装向导"时,CLI将显示管理界面的IP地址.
安装虚拟设备操作更多信息1.
从思科获得虚拟设备许可证.
虚拟设备许可证,第8页.
2.
从思科下载虚拟设备映像和MD5哈希码.
您需要MD5哈希码来检查设备映像的数据完整性.
下载思科内容安全虚拟设备映像,第4页.
3.
(可选)如果要在网络上运行多个虚拟设备,请克隆映像.
克隆虚拟设备,第4页.
4.
在ESX主机或集群上部署虚拟设备.
部署虚拟设备,第5页.
5.
避免间歇性连接问题.
在虚拟设备上禁用未使用的网卡(NIC).
6.
在虚拟机上配置同步以避免思科内容安全虚拟设备上发生随机故障.
重要提示!
避免随机故障,第5页7.
如果DHCP被禁用,请将该设备安装在您的网络上.
如果DHCP被禁用,请在网络上安装该设备,第6页4思科内容安全虚拟设备安装指南安装虚拟设备下载思科内容安全虚拟设备映像准备工作从思科获取适用于虚拟设备的许可证.
步骤1访问对应虚拟设备的思科下载软件页面:对于邮件安全设备:http://software.
cisco.
com/download/release.
htmlmdfid=284900944&flowid=41782&softwareid=282975113&release=8.
0.
0&relind=AVAILABLE&rellifecycle=GD&reltype=latest对于网络安全设备:http://software.
cisco.
com/download/release.
htmlmdfid=284806698&flowid=41610&softwareid=282975114&release=7.
7.
5&relind=AVAILABLE&rellifecycle=GD&reltype=latest步骤2点击对应您要下载的虚拟设备型号映像的下载(Download)按钮.
步骤3将映像保存到您的本地计算机.
克隆虚拟设备如果要在您的环境中运行多个虚拟安全设备:思科建议您在首次运行虚拟安全设备前对其进行克隆.
如果在安装虚拟安全设备的许可证之后对该虚拟设备进行克隆,会强制许可证到期.
您必须重新安装许可证.
克隆虚拟设备之前,必须关闭该虚拟设备.
如果您要克隆已在使用的虚拟设备,请参阅克隆正在使用的虚拟设备,第7页以了解更多信息.
有关克隆虚拟机的指示信息,请参阅位于以下网址的VMWare技术文档:http://www.
vmware.
com/support/ws55/doc/ws_clone.
html.
8.
安装许可证文件.
安装虚拟设备许可证文件,第6页.
9.
登录设备的网络用户界面并配置设备软件,就像您对物理设备所做的那样.
例如,您可以执行以下操作:运行"系统安装向导"上载配置文件手动配置特性和功能.
在您启用相应的功能后,功能密钥才会激活.
有关访问和配置该设备(包括收集必需信息)的指示信息,请参阅思科内容安全设备的在线帮助或用户指南.
要迁移物理设备上的设置,请参阅最新的AsyncOS邮件版或网络版的安全设备的版本说明(热补丁版本说明除外).
操作更多信息5思科内容安全虚拟设备安装指南安装虚拟设备部署虚拟设备准备工作设置您要部署虚拟设备的ESX主机或集群.
有关更多信息,请参阅系统要求,第2页.
在您的本地计算机上安装VMwarevSphereClient.
按下载思科内容安全虚拟设备映像,第4页中所述下载映像.
步骤1将虚拟设备的压缩文件解压至单独目录,例如,C:\vESA\C100V或:\vWSA\S300V.
步骤2在您的本地计算机上打开VMwarevSphereClient.
步骤3选择您要将虚拟设备部署至的ESX主机或集群.
步骤4选择文件>部署OVF模板(File>DeployOVFtemplate).
步骤5输入指向所创建目录中的OVF文件的路径.
步骤6点击下一步(Next).
步骤7完成向导.
重要提示!
避免随机故障虚拟机有一些固有的计时问题,必须解决这些问题才能避免思科内容安全虚拟设备上发生随机故障.
为避免这些问题,请在虚拟机上启用精准时间戳记计数器同步.
准备工作有关计时基础、虚拟时间戳记计数器及精准同步的更多信息,请参阅位于以下网址的"VMWare'sTimekeepinginVirtualMachines"(VMWare的虚拟机计时)PDF:http://www.
vmware.
com/files/pdf/techpaper/Timekeeping-In-VirtualMachines.
pdf.
适用于您的vSphereClient版本的指示信息可能不同于以下过程.
请将其作为通用指南,并根据需要查看适用于您的客户端的文档.
步骤1在vSphereClient中,请从计算机列表中选择虚拟设备.
步骤2关闭虚拟设备电源.
步骤3右键点击该设备,然后选择编辑设置(EditSettings).
步骤4点击选项(Options)选项卡,然后选择高级>常规(Advanced>General).
步骤5点击配置参数(ConfigurationParameters).
步骤6编辑或添加以下参数:monitor_control.
disable_tsc_offsetting=TRUEmonitor_control.
disable_rdtscopt_bt=TRUEtimeTracker.
forceMonotonicTTAT=TRUE步骤7关闭设置窗口并运行设备.
6思科内容安全虚拟设备安装指南安装虚拟设备如果DHCP被禁用,请在网络上安装该设备注意如果已克隆虚拟安全设备映像,请对每个映像执行以下步骤.
步骤1从vSphere客户端控制台运行interfaceconfig.
步骤2写下虚拟设备管理端口的IP地址.
注意管理端口从DHCP服务器获取IP地址.
如果该设备无法访问DHCP服务器,那么默认情况下它将使用192.
168.
42.
42.
步骤3使用setgateway命令配置默认网关.
步骤4确认更改.
安装虚拟设备许可证文件注意如果已克隆虚拟安全设备映像,请对每个映像执行以下步骤.
准备工作(可选)通过FTP连接至虚拟设备以上载许可证文件.
如果您要将许可证粘贴至终端,那么不必执行此操作.
步骤1通过在终端应用中使用SSH或telnet,以admin/ironport用户身份登录设备的CLI.
注意不能使用vSphere客户端控制台将许可证文件的内容粘贴至CLI.
步骤2运行loadlicense命令.
步骤3使用下列其中一个选项安装许可证文件.
选择"选项1"并将许可证文件的内容粘贴至终端.
如果已使用FTP将许可证文件上载至设备的configuration目录,请选择"选项2"并在configuration目录中装入许可证文件.
步骤4阅读并接受许可协议.
步骤5(可选)运行showlicense以查看许可详细信息.
下一步工作有关管理界面的IP地址的更多信息,请参阅管理界面的IP地址和DHCP,第3页.
请参阅安装虚拟设备,第3页中的其余安装步骤.
7思科内容安全虚拟设备安装指南安装虚拟设备将虚拟设备迁移至另一物理主机可使用VMwareVMotion将正在运行的虚拟设备迁移至另一物理主机.
要求:两台物理主机必须具有相同的网络配置.
两台物理主机必须都能访问虚拟设备上的接口所映射到的同一个已定义网络.
两台物理主机必须都可访问该虚拟设备使用的数据存储器.
此数据存储器可以是存储区域网络(SAN)或网络附加存储(NAS).
邮件安全虚拟设备的队列中不得包含邮件.
有关使用VMotion迁移虚拟机的指示信息,请参阅VMWare技术文档.
克隆正在使用的虚拟设备准备工作有关克隆虚拟机的指示信息,请参阅位于以下网址的VMWare技术文档:http://www.
vmware.
com/support/ws55/doc/ws_clone.
html.
有关如何管理设备的网络设置和安全功能的信息,请参阅适用于您的思科内容安全产品和版本的用户指南.
步骤1如果要克隆邮件安全虚拟设备,请执行以下操作:在CLI中使用suspend命令暂停该设备,然后输入一个足以让该设备传送队列中所有邮件的延迟时间.
步骤2在CLI中,使用shutdown命令关闭虚拟设备.
步骤3克隆虚拟设备作为非原始克隆项.
步骤4使用VMwarevSphereClient启动克隆设备并执行以下操作:在克隆虚拟设备上安装许可证文件.
修改其网络设置.
打开电源时,网络适配器不会自动连接.
重新配置IP地址和主机名.
然后打开网络适配器电源.
对于克隆邮件安全虚拟设备:–删除隔离区中的所有邮件.
–删除邮件跟踪和报告数据.
对于克隆网络安全虚拟设备:–清除代理缓存.
–在CLI中使用authcache>flushall命令清除代理认证缓存.
–在CLI中使用diagnostic>reporting>deletedb命令移除报告和跟踪数据.
–对于"身份验证领域"(AuthenticationRealms),请重新加入域.
–对于"身份验证设置"(AuthenticationSettings),请修改重定向主机名.
–如果原始虚拟设备由安全管理设备管理,请将克隆设备添加至安全管理设备.
步骤5使用VMwarevSphereClient启动原始虚拟设备并继续操作.
确保该设备正确运行.
步骤6在克隆设备上继续操作.
8思科内容安全虚拟设备安装指南管理您的思科内容安全虚拟设备管理您的思科内容安全虚拟设备虚拟设备许可证思科内容安全虚拟设备需要额外许可证以在主机中运行该虚拟设备.
可对多个克隆虚拟设备使用此许可证.
对于AsyncOSforEmailSecurity8.
5.
x:在许可证到期后,该设备将在180天内继续传送邮件,但不提供安全服务.
在此期间,安全服务不会更新.
要配置该设备以便接收有关许可证到期的警报,请参阅适用于您的AsyncOS版本的在线帮助或用户指南.
有关还原AsyncOS版本的影响的信息,请参阅适用于您的AsyncOS版本的在线帮助或用户指南.
对于所有版本:功能密钥包含在虚拟设备许可证中.
功能密钥与许可证同时到期,即使功能尚未被激活.
购买新的功能密钥需要下载并安装新的虚拟设备许可证文件.
因为功能密钥包含在虚拟设备许可证中,所以AsyncOS功能没有30天评估期.
注意安装虚拟设备许可证之后,才能开启"技术支持"通道.
有关"技术支持"通道的信息,请参阅适用于您的AsyncOS版本的用户指南.
相关主题安装虚拟设备许可证文件,第6页更改虚拟设备的硬件配置思科不支持更改思科内容安全虚拟设备的硬件配置,例如,移除IP接口或更改设备的CPU核心或内存大小.
如果进行这类更改,那么设备可能会发送警报.
虚拟设备上的CLI命令思科内容安全虚拟设备包含对现有CLI命令的更新,同时包含一个虚拟设备独有的命令loadlicense.
已进行以下CLI命令更改:命令信息loadlicense此命令允许您对虚拟设备安装许可证.
必须先使用此命令安装许可证,才能在虚拟设备上运行"系统安装向导".
etherconfig虚拟设备上未包含"配对"选项.
version此命令将返回有关虚拟设备的所有信息,但UDI、RAID和BMC信息除外.
resetconfig运行此命令会将虚拟设备许可证和功能密钥留在设备上.
9思科内容安全虚拟设备安装指南故障排除虚拟设备上的SNMP虚拟设备上的AsyncOS不会报告任何硬件相关信息,并且不会生成任何硬件相关陷阱.
查询时将省略以下信息:powerSupplyTabletemperatureTablefanTableraidEventsraidTable故障排除间歇性连接问题问题间歇性连接问题.
解决方案确保在ESXi中禁用所有未使用网卡.
随机故障问题发生没有明显原因的随机故障.
解决方案请参阅重要提示!
避免随机故障,第5页revert从AsyncOS8.
5forEmailSecurity开始:适用于您的设备的在线帮助和用户指南的"系统管理"(SystemAdministration)一章中会描述行为.
reload运行此命令会移除虚拟设备许可证和设备上的所有功能密钥.
此命令仅对网络安全设备可用.
diagnostic以下diagnostic>raid子菜单选项不会返回信息:1.
Rundiskverify2.
Monitortasksinprogress3.
Displaydiskverifyverdict此命令仅对邮件安全设备可用.
showlicense查看许可证详细信息可通过featurekey命令获取其他信息.
命令信息10思科内容安全虚拟设备安装指南更多信息更多信息有关更多信息(包括有关支持选项的信息),请参阅适用于您的AsyncOS版本的版本说明和用户指南或在线帮助.
思科内容安全产品的文档:位于:网络安全设备http://www.
cisco.
com/c/en/us/support/security/web-security-appliance/tsd-products-support-series-home.
html邮件安全设备http://www.
cisco.
com/c/en/us/support/security/email-security-appliance/tsd-products-support-series-home.
html