ESA 및 SMA에서 중앙 집중식 PVO 격리 문제 해결

다운로드 옵션

  • PDF     (293.1 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.3 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (67.8 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 8월 26일
문서 ID:200068

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 중앙 집중식 정책, 바이러스 및 Outbreak 격리가 활성화된 경우 전달 및 연결 문제를 해결하는 방법에 대해 설명합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • AsyncOS 8.1 이상이 포함된 ESA(Email Security Appliance)
  • AsyncOS 8.0 이상이 포함된 SMA(Security Management Appliance)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

PVO(Centralized Policy, Virus and Outbreak) 격리 기능은 ESA(AsyncOS 8.0)/8.1(SMA)에 도입되었습니다. 이 기능에는 추가 네트워크 연결 요구 사항이 있으며 트러블슈팅에 대한 몇 가지 새로운 문제가 있습니다.

커뮤니케이션 이해

  • CPQ 통신은 SMTP를 사용하지만, 메타데이터 전송을 위한 몇 가지 추가 명령이 있음
  • SMA는 Centralized Services(중앙 집중식 서비스) -> Policy, Virus, and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)에 정의된 포트 및 인터페이스에서 연결을 수신합니다.  기본적으로 포트는 7025이지만 이는 관리자 사용자가 변경한 것일 수 있습니다.
  • ESA는 Security Services(보안 서비스) -> Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)에 정의된 인터페이스와 포트에서 연결을 수신합니다.  다시 한 번 말하지만, 기본적으로 포트는 7025이지만 이는 관리자 사용자에 의해 변경되었을 수 있습니다!
  • 또한 SMA는 SSH(명령 클라이언트를 통해)를 사용하여 ESA에서 컨피그레이션 정보를 가져옵니다.  특히 SMA가 릴리스된 이메일을 ESA에 전달할 때 사용됩니다. SMA는 SSH를 사용하여 ESA 구성을 쿼리하고 릴리스된 이메일을 전달할 인터페이스/포트를 결정합니다.

리스너

  • ESA와 SMA에는 모두 지정된 포트에서 수신 대기하는 'cpq_listener'라는 숨겨진 수신기가 있습니다.
  • 이러한 리스너는 컨피그레이션 파일에서 볼 수 있습니다.  예를 들면 다음과 같습니다.

    <listener>
          <listener_name>cpq_listener</listener_name>
          <protocol>CPQ</protocol>
          <interface_name>Incoming Mail</interface_name>
          <port>7025</port>
          <listen_queue_size>50</listen_queue_size>
          <type>private</type>
          <hat>
    $RELAYED
        RELAY {}
    $BLOCKED
        REJECT {}
    RELAYLIST:
        10.1.2.3
            $RELAYED (Only select hosts can relay from this box)
    ALL
        $BLOCKED (Everyone else)
          </hat>
          <rat>
            <rat_entry>
              <rat_address>ALL</rat_address>
              <access>ACCEPT</access>
            </rat_entry>
          </rat>

  • 관리자 사용자가 'suspendlisteners all' 또는 'suspend'를 사용하는 경우 이러한 리스너는 일시 중단됩니다.  포트에서 연결을 수락하지 않는 경우 시스템 상태가 '오프라인'인지 확인하고 필요한 경우 다시 시작해야 합니다.

ESA에서 SMA로 전달되는 문제 해결

  • ESA가 구성된 포트 및 인터페이스에서 SMA에 연결할 수 있는지 확인합니다.  텔넷을 사용하여 이 작업을 수행할 수 있습니다.  통신이 성공하면 220 배너를 받아야 합니다.
  • ESA에는 'the.cpq.host'라는 대상 개체가 있습니다. 이 대상 개체는 SMA로 배달되기 위해 대기열에 있는 동안 메시지를 포함합니다. 'tophosts' 또는 Monitor -> Delivery Status를 사용하여 이를 볼 수 있습니다.   'hoststatus'는 함께 사용할 수 없지만 필요한 경우 'showrecipients' 및 'deleterecipients'를 사용할 수 있습니다.

SMA에서 ESA로 전달되는 문제 해결

  • SMA가 구성된 포트 및 인터페이스의 ESA에 연결할 수 있는지 확인합니다.  텔넷을 사용할 수 있으며 성공하면 220 배너가 표시됩니다.
  • 클러스터를 사용할 때 Security Services(보안 서비스) -> Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 보안 침해 격리) 아래의 클러스터 레벨에서 정의된 인터페이스가 시스템 레벨의 모든 어플라이언스에 대해 존재해야 합니다.  (Network(네트워크) -> IP Interfaces(IP 인터페이스)를 선택합니다.)
  • SMA에는 릴리스된 메시지가 ESA로 전송되기 위해 대기열에 있는 동안 이를 포함하는 'the.cpq.release.host'라는 대상 개체가 있습니다. 'tophosts'를 사용하여 이를 확인할 수 있습니다.  'hoststatus' 또는 'showrecipients'에서 작동하지 않는 것 같습니다. 'deleterecipients'를 함께 테스트한 적이 없지만 이 역시 작동하지 않을 수 있습니다.
  • SMA와 ESA 간의 SSH 통신에 문제가 있을 수도 있습니다. 이러한 문제는 CSCus29647 같이 반드시 네트워크를 기반으로 하는 것은 아니며 SMA의 내부 구성 요소가 작동하지 않습니다.  이러한 문제는 일반적으로 메일 로그에 애플리케이션 결함으로 나타나며, 일반적으로 SMA를 재부팅하여 해결할 수 있습니다.

TLS/인증서

  • 어느 방향의 모든 CPQ 연결은 TLS에 의존하므로 암호화 컨피그레이션이 역할을 할 수 있습니다.
  • TLS 연결이 성공하려면 연결을 여는 장치가 수신 장치가 현재 사용 중인 CPQ 인증서를 사용하고 있는지 확인할 수 있어야 합니다.  어플라이언스가 익명 암호를 협상하는 경우 이 오류가 발생할 수 있습니다.  이는 로그에 다음과 같이 표시됩니다.

    Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
    Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
    Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated

  • 이 문제는 발신 전달 암호 목록에서 익명 암호를 제거하기만 하면 해결할 수 있습니다. 이 작업은 암호 목록의 끝에 ':-aNULL'을 추가하여 수행합니다.  예: HIGH:MEDIUM:-aNULL

로그 파일

  • SMA에 메일 로그 서브스크립션이 있는 경우(기본적으로 제공됨) 메일 로그를 검토하여 추가 정보를 수집할 수 있습니다.
  • CPQ 수신 이벤트는 SMA에 격리되는 메시지와 ESA에 릴리스되는 메시지에 대해 이와 같습니다

    New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no

  • grep를 사용하여 이러한 이벤트를 검색할 수 있습니다. 예: grep "CPQ ICID" mail_logs
  • ESA에서 쿼런틴을 수행하고 SMA에서 쿼런틴을 해제하는 CPQ 전송 이벤트는 사용자 지정 포트가 나열되고 일부 행에 '중앙 집중식 정책 쿼런틴'이 포함된다는 점을 제외하고는 다른 전송과 비슷합니다. 아래 예:

    Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
    Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
    Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
    Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
    Fri Sep 13 15:08:07 2013 Info: DCID 12345 close

  • grep를 사용하여 포트에 대한 검색을 수행하여 이러한 이벤트를 찾을 수 있습니다(예: grep "port 7025" mail_logs)

ESA 'Enable' 버튼 사용 안 함

ESA에서 PVO를 활성화하려고 시도할 때 모든 사전 요구 사항 컨피그레이션이 완료되었음에도 불구하고 'Enable' 버튼이 회색으로 표시될 수 있습니다. ESA는 PVO 페이지를 표시할 때 포트 7025를 통해 SMA와 통신하여 컨피그레이션을 활성화할 준비가 되었는지 확인합니다.  이 통신이 실패하면 '사용' 단추가 비활성화됩니다.  ESA에서 "포트 7025"를 선택하여 ESA -> SMA 포트 7025 통신과 마찬가지로 이 문제를 해결할 수 있습니다. 자세한 내용은 관련 정보에 나열된 TechNote를 참조하십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
25-Aug-2015
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품