Revisión C Guía de instalación - kc.mcafee.com · Intel y el logotipo de Intel son marcas...

Guía de instalaciónRevisión C

McAfee Email Gateway 7.xFor use with Blade Servers fitted with 6125G Interconnects

COPYRIGHT

Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Email Gateway 7.x Guía de instalaciónFor use with Blade Servers fitted with 6125G Interconnects

http://www.intelsecurity.com

Contenido

Prefacio 5Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Uso de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . . 7

1 Preparación para la instalación 9Contenido de la caja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Planificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Uso indebido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Condiciones de funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Colocación del servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Consideraciones sobre los modos de red . . . . . . . . . . . . . . . . . . . . . . . . 11

Modo Puente transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Modo Router transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Modo Proxy explícito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Estrategias de despliegue para el uso del dispositivo en una DMZ . . . . . . . . . . . . . . 18Configuración SMTP en una DMZ . . . . . . . . . . . . . . . . . . . . . . . . 18Administración de la carga de trabajo . . . . . . . . . . . . . . . . . . . . . . 21

2 Conexión y configuración del servidor blade 23Instalación estándar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Instalación física del servidor blade . . . . . . . . . . . . . . . . . . . . . . . 25Instalación de las interconexiones para el modo estándar (no resistente) . . . . . . . . 25Alimentación del servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . 27Conexión a la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Instalación del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Orden de instalación de los servidores blade de administración . . . . . . . . . . . . 30Instalación del software en los servidores blade de administración . . . . . . . . . . . 31Instalación del software en un servidor blade de análisis de contenido . . . . . . . . . 32

Uso de la Consola de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 32Realización de una configuración personalizada . . . . . . . . . . . . . . . . . . 33Restauración desde un archivo . . . . . . . . . . . . . . . . . . . . . . . . . 33Configuración solo de cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3 Visita guiada del Panel 35Panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Ventajas de utilizar el Panel . . . . . . . . . . . . . . . . . . . . . . . . . . 36Portlets del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Tarea: desactivación de la advertencia de Comentarios de McAfee Global Threat Intelligencedeshabilitados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Exploración del servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Demostración de la administración de la carga de trabajo y la conmutación en caso de error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

McAfee Email Gateway 7.x Guía de instalaciónFor use with Blade Servers fitted with 6125G Interconnects

3

Comprobación de las funciones de administración del servidor blade . . . . . . . . . . 39Uso de directivas para administrar el análisis de mensajes . . . . . . . . . . . . . . 41Comprobación de la configuración . . . . . . . . . . . . . . . . . . . . . . . . 45Explorar las funciones de McAfee Email Gateway Blade Server . . . . . . . . . . . . 47

4 Funcionamiento en modo resistente 51Utilización del hardware en el modo resistente . . . . . . . . . . . . . . . . . . . . . . 51Decisión de utilizar el modo resistente . . . . . . . . . . . . . . . . . . . . . . . . . 53Pasos preliminares para repetir la configuración y usar el modo resistente . . . . . . . . . . . 53

Información sobre hardware . . . . . . . . . . . . . . . . . . . . . . . . . . 53Direcciones IP requeridas para el modo resistente . . . . . . . . . . . . . . . . . 54Nombres de usuario y contraseñas . . . . . . . . . . . . . . . . . . . . . . . 55

Paso al funcionamiento en modo resistente . . . . . . . . . . . . . . . . . . . . . . . 56Realización de copias de seguridad de la configuración actual . . . . . . . . . . . . . 56Instalación de las interconexiones para el modo resistente . . . . . . . . . . . . . . 57

Configuración de las interconexiones . . . . . . . . . . . . . . . . . . . . . . . . . 59Modificación de la configuración de la carcasa . . . . . . . . . . . . . . . . . . . . . . 60Aplicación de la configuración de modo resistente a todas las interconexiones . . . . . . . . . 62

Descarga y revisión de la configuración generada . . . . . . . . . . . . . . . . . 62Configuración del servidor blade de administración para utilizar el modo resistente . . . . . . . 62Conexiones de modo resistente a la red externa . . . . . . . . . . . . . . . . . . . . . 63Encendido de los servidores blade . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

5 Solución de problemas 67Solución de problemas específicos del servidor blade . . . . . . . . . . . . . . . . . . . 67

Sistemas de supervisión externa . . . . . . . . . . . . . . . . . . . . . . . . 67Estado de la tarjeta de interfaz de red . . . . . . . . . . . . . . . . . . . . . . 67Eventos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

A Apéndices 69Ejemplo de configuración base de las interconexiones . . . . . . . . . . . . . . . . . . . 69Ejemplo de archivo de configuración del chasis . . . . . . . . . . . . . . . . . . . . . 70Procedimientos de cambio de hardware . . . . . . . . . . . . . . . . . . . . . . . . 71

Sustitución de un servidor blade de administración con fallo . . . . . . . . . . . . . 71Sustitución de un servidor blade de administración para conmutación en caso de error con fallo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Sustitución de un servidor blade de análisis con fallo . . . . . . . . . . . . . . . . 72Sustitución de una interconexión con fallo . . . . . . . . . . . . . . . . . . . . . 72Sustitución de un módulo del administrador de tarjeta . . . . . . . . . . . . . . . 73

Índice 75

Contenido


Prefacio

En esta guía se proporciona la información necesaria para instalar el producto de McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios.

La información de esta guía va dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.


5

Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.

Convenciones gráficasEsta información le ayuda a comprender los símbolos gráficos usados en el presente documento.

Servidor blade Internet o redes externas

Servidor de correo Otros servidores (comoservidores DNS)

Equipo cliente o usuario Router

Conmutador Firewall

Zona de red (DMZ o VLAN) Red

Ruta de datos real Ruta de datos percibida

Definición de los términos utilizados en esta guíaConozca algunos de los términos clave utilizados en este documento.

Término Definición

zona desmilitarizada(DMZ)

Un equipo host o una red pequeña introducida como búfer entre una redprivada y la red pública externa. Una DMZ evita el acceso directo de usuariosexternos a la red privada.

archivos DAT Archivos de definición de detecciones (DAT), también denominados archivosde firma, que contienen las definiciones que identifican, detectan y reparanvirus, troyanos, spyware, adware y otros programas potencialmente nodeseados (PUP).

Modo defuncionamiento

3 modos de funcionamiento del producto: modo Proxy explícito, modo Puentetransparente y modo Enrutador transparente.

directiva Recopilación de criterios de seguridad, como opciones de configuración,puntos de referencia y especificaciones de acceso a la red, que define el nivelde conformidad requerido para los usuarios, dispositivos y sistemas. Lasaplicaciones de seguridad de McAfee evalúan y hacen cumplir sus directivas.

PrefacioAcerca de esta guía


Término Definición

Comprobación delservicio dereputación

Parte de la autenticación de remitente Si un remitente no supera lacomprobación del servicio de reputación, el dispositivo está configurado paradetener la conexión y denegar el mensaje. La dirección IP del remitente seañade a una lista de conexiones bloqueadas y se bloqueará automáticamenteen el futuro en el nivel de kernel.

Interconexiones Los módulos de conmutador de blade 6125G de HP utilizados paraproporcionar las conexiones de red para McAfee Email Gateway Blade Server.El término Interconexión se puede considerar sinónimo de Conmutador.

Uso de esta guíaEn este tema se ofrece un breve resumen de la información que contiene este documento.

Esta guía le ayuda a:

• Planificar y realizar la instalación.

• Familiarizarse con el uso de la interfaz.

• Comprobar que el producto funciona correctamente.

• Aplicar los archivos de definición de detecciones más recientes.

• Examinar determinados análisis de directivas, crear informes y obtener información de estado.

• Solucionar problemas básicos.

Podrá encontrar más información sobre las funciones de análisis del producto en la Ayuda online delproducto y en la última versión de la Guía del administrador de McAfee Email Gateway.

Búsqueda de documentación de productosMcAfee le proporciona la información que necesita en cada fase del proceso de implementación delproducto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de unproducto, su información se introduce en la base de datos online KnowledgeBase de McAfee.

Procedimiento1 Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.

2 En Self Service (Autoservicio), acceda al tipo de información que necesite:

Para acceder a... Haga lo siguiente...

Documentación deusuario

1 Haga clic en Product Documentation (Documentación del producto).

2 Seleccione un producto, después seleccione una versión.

3 Seleccione un documento del producto.

KnowledgeBase • Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) paraencontrar respuestas a sus preguntas sobre el producto.

• Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para verlos artículos clasificados por producto y versión.

PrefacioBúsqueda de documentación de productos


7

http://mysupport.mcafee.com

PrefacioBúsqueda de documentación de productos


1Preparación para la instalación

Para asegurarse del funcionamiento seguro del servidor blade de McAfee®

Email Gateway, tenga encuenta lo siguiente antes de comenzar la instalación.

• Conozca los requisitos de alimentación del servidor blade y el sistema de suministro eléctrico.

• Familiarícese con las capacidades y modos operativos. Es importante que elija una configuraciónválida.

• Decida cómo integrar el dispositivo en la red y determine qué información necesita antes deempezar. Por ejemplo, el nombre y la dirección IP del dispositivo.

• Desembale el producto lo más cerca posible de la ubicación que va a tener.

El servidor blade es pesado. Al desembalar el servidor blade, asegúrese de seguir los procedimientosde elevación recomendados.

• Extraiga el producto del embalaje de protección y colóquelo en una superficie plana.

• Lea todas las advertencias de seguridad proporcionadas.

Lea toda la información de seguridad proporcionada y familiarícese con ella.

Contenido Contenido de la caja Planificación de la instalación Uso indebido Condiciones de funcionamiento Colocación del servidor blade Consideraciones sobre los modos de red Estrategias de despliegue para el uso del dispositivo en una DMZ

Contenido de la cajaEsta información le permite asegurarse de que el envío del producto está completo.Para comprobar que el paquete contiene todos los componentes, consulte la lista que se suministrajunto al producto.

1


9

Normalmente, debe incluir lo siguiente:

• Una carcasa del servidor blade

• Un servidor blade de administración

• Un servidor blade de administración para conmutación en caso de error

• Uno o más servidores blade de análisis, según lo solicitado

• Cables de alimentación

• Cables de red

• CD de instalación y recuperación de McAfee Email Gateway

• CD de código fuente de Linux

Si falta algún elemento o está dañado, póngase en contacto con el proveedor.

Planificación de la instalaciónEsta información le ayudará al planificar la instalación del dispositivo.

Antes de desembalar el servidor McAfee Email Gateway Blade Server, es importante planificar lainstalación y el despliegue.

Encontrará información de ayuda en: HP BladeSystem c-Class Site Planning Guide (Guía deplanificación in situ de HP BladeSystem de clase C).

Tenga en cuenta lo siguiente:

• Directrices generales para preparar el sitio.

Descripción de los requisitos generales del sitio para preparar las instalaciones informáticas para elhardware de McAfee Email Gateway Blade Server.

• Requisitos ambientales

Información sobre los requisitos ambientales del sitio, entre los que se incluyen los relacionadoscon la temperatura, la ventilación y el espacio.

• Consideraciones y requisitos de alimentación

Requisitos de alimentación y factores eléctricos que deben tenerse en cuenta antes de lainstalación.

Incluye la instalación de la unidad de distribución de alimentación (PDU).

• Requisitos y especificaciones de hardware

Especificaciones del sistema para la carcasa del servidor blade, los bastidores y las fuentes dealimentación de una y tres fases.

• Situaciones hipotéticas de configuración

• Preparación de la instalación

1 Preparación para la instalaciónPlanificación de la instalación


http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01038153/c01038153.pdf?jumpid=reg_R1002_USEN

http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01038153/c01038153.pdf?jumpid=reg_R1002_USEN

Uso indebidoEsta información le ayuda a evitar usar este producto de forma inadecuada.

McAfee Email Gateway Blade Server:

• No es un firewall: Debe utilizarlo en la organización protegido por un firewall debidamenteconfigurado.

• No es un servidor para almacenar archivos y software adicionales: No instale ningúnsoftware en el dispositivo ni agregue archivos adicionales a menos que así se lo indique ladocumentación del producto o el representante de soporte técnico.

El dispositivo no puede gestionar todos los tipos de tráfico. Si usa el modo proxy explícito, solo losprotocolos que pueden analizarse se enviarán al dispositivo.

Condiciones de funcionamientoEsta información le permite conocer las condiciones ambientales que necesita McAfee Email Gateway.

Temperatura; en funcionamiento De +10 °C a +30 °C o de +10 °C a +35 °C (en función delmodelo) sin que la tasa de cambio máxima no supere los 10 °Cpor hora

Temperatura, sin funcionar De -40 °C a +70 °C

Humedad relativa, sin funcionar 90 %, sin condensación a 35 °C

Vibración, sin embalar De 5 a 500 Hz, 2,20 g RMS aleatorio

Impacto, en funcionamiento Semionda sinusoidal, pico de 2 g, 11 ms

Impacto, trapezoidal sin embalar 25 g, cambio de velocidad 136 pulgadas/s (de ≧40 libras a > 80libras)

Requisito de refrigeración delsistema en BTU/h

1660 BTU/h o 2550 BTU/h (en función del modelo)

Colocación del servidor bladeEsta información le ayudará a saber dónde se debe colocar el servidor McAfee Email Gateway BladeServer.

Instale el servidor blade de modo que pueda controlar el acceso físico a la unidad y el acceso a lospuertos y las conexiones.

Junto con el chasis del servidor blade, se suministra un kit de montaje en bastidor que permiteinstalar el servidor blade en un bastidor de 19 pulgadas.

Consulte HP BladeSystem c7000 Enclosure Quick Setup Instructions.

Consideraciones sobre los modos de red Esta información le ayudará a entender los modos operativos (o de red) en los que puede funcionar eldispositivo.

Antes de instalar y configurar McAfee Email Gateway Blade Server, debe decidir el modo de red que vaa utilizar. El modo que elija determinará la conexión física del dispositivo a la red.

Preparación para la instalaciónUso indebido 1


11

http://h20000.www2.hp.com/bc/docs/support/SupportManual/c00698534/c00698534.pdf

Puede seleccionar uno de los siguientes modos de red:

• Modo Puente transparente: el dispositivo actúa como un puente Ethernet.

• Modo Router transparente: el dispositivo actúa como un router.

• Modo Proxy explícito: el dispositivo actúa como un servidor proxy y un dispositivo deretransmisión de correo.

Si, después de haber leído ésta y las secciones siguientes, sigue sin estar seguro del modo que va autilizar, póngase en contacto con un experto en redes.

Consideraciones acerca de la arquitectura de los modos de red

Las principales consideraciones sobre los modos de red son:

• Si los dispositivos en comunicación conocen la existencia del dispositivo. Es decir, si el dispositivoestá funcionando en uno de los modos transparentes.

• Cómo se conecta físicamente el dispositivo a la red.

• La configuración necesaria para que el dispositivo se incorpore a la red.

• Si la configuración tiene lugar en la red.

Consideraciones previas al cambio de modos de red

En los modos de proxy explícito y router transparente, puede configurar el dispositivo para que sesitúe en más de una red. Para ello, deben configurarse varias direcciones IP para los puertos LAN1 yLAN2.

Si cambia a modo de puente transparente desde el modo de proxy explícito o de router transparente,sólo se transferirán las direcciones IP habilitadas para cada puerto.

Una vez seleccionado un modo de red, no es aconsejable cambiarlo, a menos que mueva el dispositivoo reestructure la red.

Modo Puente transparente Esta información le permite comprender mejor el modo Puente transparente en McAfee EmailGateway.

En el modo de puente transparente, los servidores en comunicación ignoran la existencia deldispositivo: el funcionamiento del dispositivo es transparente para los servidores.

Figura 1-1 Modo de puente transparente: Ruta de datos aparente

En la ilustración, el servidor de correo externo (A) envía mensajes de correo electrónico al servidor decorreo interno (C). El servidor de correo externo ignora que el dispositivo intercepta y analiza elmensaje de correo electrónico (B).

Parece que el servidor de correo externo se comunica directamente con el servidor de correo interno(la ruta se muestra como una línea de puntos). En realidad, el tráfico debe pasar por variosdispositivos de red y el dispositivo debe interceptarlo y analizarlo antes de que llegue al servidor decorreo interno.

1 Preparación para la instalaciónConsideraciones sobre los modos de red


Funcionamiento del dispositivo en modo Puente transparente

En el modo de puente transparente, el dispositivo se conecta a la red mediante los puertos LAN1 yLAN2. El dispositivo analiza el tráfico que recibe y actúa como un puente, conectando dos segmentosde red, pero tratándolos como una única red lógica.

Configuración en modo Puente transparente

El modo de puente transparente requiere menos configuración que los modos de router transparente yde proxy explícito. No necesita volver a configurar todos los clientes, la gateway predeterminada, losregistros MX, el firewall con NAT ni los servidores de correo para enviar tráfico al dispositivo. Debido aque el dispositivo no funciona como router en este modo, no necesita actualizar una tabla deenrutamiento.

Colocación del dispositivo al usar el modo Puente transparente

Por motivos de seguridad, debe utilizar el dispositivo en la organización protegido por un firewall.

Figura 1-2 Colocación en el modo de puente transparente

En el modo de puente transparente, coloque el dispositivo entre el firewall y el router, tal y como semuestra en la ilustración.

En este modo, se conectan físicamente dos segmentos de red al dispositivo y éste los trata como unaúnica red lógica. Como los dispositivos (firewall, dispositivo y router) se encuentran en la misma redlógica, deben tener direcciones IP compatibles en la misma subred.

Preparación para la instalaciónConsideraciones sobre los modos de red 1


13

Los dispositivos de un lado del puente (como un router) que se comunican con los dispositivos del otrolado del puente (como un firewall) ignoran la existencia del puente. Ignoran que el tráfico seintercepta y analiza, razón por la cual se dice que el dispositivo funciona como un puentetransparente.

Figura 1-3 Estructura de red: Modo de puente transparente

Spanning Tree Protocol para administrar la prioridad de puenteConfigure el protocolo de árbol de expansión (STP) para gestionar las prioridades de puente de suservidor blade de Email Gateway. Si se produce un error en el servidor blade, el protocolo de árbol deexpansión dirige el tráfico de red al siguiente servidor blade con prioridad de puente superior.

Antes de empezarPara que Spanning Tree Protocol esté disponible, el servidor blade debe configurarse enmodo de puente transparente.

En el modo de puente transparente, el servidor blade de administración y el servidor blade deadministración para conmutación en caso de error tienen direcciones IP diferentes.

En los modos proxy explícito y enrutador transparente, los dos servidores blade tienen de nuevodirecciones IP diferentes, pero se configuran con las mismas direcciones o dirección IP virtuales.

Normalmente, el servidor blade de administración gestiona el tráfico de correo electrónico. Si seproduce un error en el servidor blade, el servidor blade de administración para conmutación en casode error gestiona el tráfico de correo electrónico.

Cada uno de los servidores blade tiene una prioridad de puente diferente. Puesto que la prioridad delservidor blade de administración es superior (por ejemplo, un valor STP de 100), este servidor sueleadministrar o interceptar el tráfico de la red.



Si se produce un error en el servidor blade de administración, STP dirige el tráfico de red a través dela siguiente ruta con prioridad de puente superior al servidor blade para conmutación en caso de error.Establezca el valor de STP para conmutación en caso de error en 200.

Procedimiento1 Para impedir los bucles de puente, desactive el STP globalmente en todas las interconexiones.

2 Instale el servidor blade de administración para conmutación en caso de error en la ranura 2.

3 Durante la instalación del servidor blade de administración para conmutación en caso de error,defina la prioridad de puente, por ejemplo, 200.

4 Instale el servidor blade de administración en la ranura 1.

5 Durante la instalación del servidor blade de administración, defina la prioridad de puente, porejemplo, 100.

6 Asigne distintas direcciones IP al servidor blade de administración y al servidor blade deadministración para conmutación en caso de error.

Modo Router transparente Esta información le permite comprender mejor el modo Router transparente en McAfee EmailGateway.

En el modo de router transparente, el dispositivo analiza el tráfico de correo electrónico entre dosredes. El dispositivo tiene una dirección IP para el tráfico analizado saliente y debe tener una direcciónIP para el tráfico entrante.

Los servidores de red en comunicación ignoran la intervención del dispositivo: el funcionamiento deldispositivo es transparente para los dispositivos.

Funcionamiento del dispositivo en modo Router transparente

En el modo de router transparente, el dispositivo se conecta a las redes mediante los puertos LAN1 yLAN2. El dispositivo analiza el tráfico que recibe en una red y lo reenvía al siguiente dispositivo de reden una red diferente. El dispositivo actúa como un router, enrutando el tráfico entre las diferentesredes, en función de la información incluida en sus tablas de enrutamiento.

Configuración en modo Router transparente

En el modo de router transparente, no necesita volver a configurar de forma explícita los dispositivosde red para enviar tráfico al dispositivo. Tan sólo es necesario configurar la tabla de enrutamiento deldispositivo y modificar algunos de los datos de enrutamiento de los dispositivos de red a ambos ladosde éste (los dispositivos conectados a sus puertos LAN1 y LAN2). Por ejemplo, puede ser necesariodesignar el dispositivo como gateway predeterminada.

En el modo de router transparente, el dispositivo debe unir dos redes. El dispositivo debe estar situadodentro de la organización junto con un firewall.

el modo de router transparente no es compatible con el tráfico IP multidifusión ni con los protocolos queno sean IP, como NETBEUI o IPX.

Reglas de firewall

En el modo Router transparente, el firewall se conecta a la dirección IP física para la conexión LAN1/LAN2 al servidor blade de administración.



15

Ubicación del dispositivo

Use el dispositivo en modo de router transparente para sustituir un router existente en la red.

Si usa el modo de enrutador transparente y no sustituye un router existente, debe volver a configurarparte de la red para que enrute el tráfico correctamente a través del dispositivo.

Figura 1-4 Estructura de red: Modo de puente transparente

Debe hacer lo que se indica a continuación:

• Configurar los dispositivos cliente para que apunten a la gateway predeterminada.

• Configurar el dispositivo para utilizar la gateway de Internet como gateway predeterminada.

• Asegurarse de que los dispositivos cliente pueden entregar mensajes de correo electrónico a losservidores de correo de la organización.

Modo Proxy explícito En el modo proxy explícito, deben configurarse explícitamente determinados dispositivos de red paraque envíen tráfico a Email Gateway. Así, Email Gateway funciona como un proxy o dispositivo deretransmisión que procesa el tráfico en nombre de los dispositivos.

Figura 1-5 Modo proxy explícito: Ruta de datos aparente

El modo proxy explícito resulta más adecuado en aquellas redes en las que los dispositivos cliente seconectan al dispositivo a través de un único dispositivo ascendente y descendente.

Puede que el modo proxy explícito no sea la mejor opción cuando sea preciso reconfigurar variosdispositivos de red para enviar tráfico al dispositivo.



Configuración de red y de dispositivos

Si el dispositivo está configurado en modo proxy explícito, debe configurar de forma explícita elservidor de correo interno para que retransmita el tráfico de correo electrónico al dispositivo. Eldispositivo analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, alservidor de correo externo. Entonces, el servidor de correo externo reenvía el mensaje de correoelectrónico al destinatario.

De igual forma, la red debe configurarse de manera que los mensajes de correo electrónico entrantesprocedentes de Internet se entreguen al dispositivo en lugar de entregarse al servidor de correointerno.

El dispositivo analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correointerno para la entrega, como se muestra.

Por ejemplo, un servidor de correo externo puede comunicarse directamente con el dispositivo,aunque el tráfico puede pasar por varios servidores de red antes de llegar al dispositivo. La rutapercibida es del servidor de correo externo al dispositivo.

Protocolos

Para analizar un protocolo admitido, SMTP, POP3 o McAfee Secure Web Mail, debe configurar el restode los servidores de red o los equipos cliente para enrutar dicho protocolo a través del dispositivo, deforma que este filtre todo el tráfico.

Reglas de firewall

El modo proxy explícito invalida cualquier regla de firewall configurada para el acceso del cliente aInternet. El firewall solo ve la información de la dirección IP física del dispositivo y no las direccionesIP de los clientes, lo que significa que el firewall no puede aplicar sus reglas de acceso a Internet a losclientes.

Asegúrese de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico de EmailGateway, pero no el tráfico que proviene directamente de los dispositivos cliente.

Ubicación del dispositivo

Configure los dispositivos de red de forma que el tráfico objeto de análisis se envíe a Email Gateway.Esto es más importante que la ubicación de Email Gateway.

El enrutador debe permitir a todos los usuarios conectarse a Email Gateway. Email Gateway debecolocarse dentro de la organización y protegido por un firewall, tal como se muestra a continuación.

Figura 1-6 Colocación en el modo proxy explícito



17

Normalmente, el firewall está configurado para bloquear el tráfico que no proviene directamente deldispositivo. Si tiene alguna duda acerca de la topología de la red y de cómo integrar el dispositivo,consulte a un experto en redes.

Utilice esta configuración en los casos siguientes:

• El dispositivo funciona en modo proxy explícito.

• Usa correo electrónico (SMTP).

En esta configuración, debe:

• Configurar los servidores externos de Domain Name System (DNS) o la conversión de direccionesde red (NAT) en el firewall, de manera que el servidor de correo externo entregue el correo aldispositivo y no al servidor de correo interno.

• Configurar los servidores de correo interno para que envíen mensajes de correo electrónico aldispositivo. Es decir, los servidores de correo interno deben utilizar el dispositivo como un hostinteligente. Asegúrese de que los dispositivos cliente pueden enviar mensajes de correo electrónicoa los servidores de correo en la organización.

• Asegurarse de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico deldispositivo, pero no el tráfico que proviene directamente de los dispositivos cliente. Configurereglas para evitar que tráfico no deseado entre en la organización.

Estrategias de despliegue para el uso del dispositivo en unaDMZ

Esta información le permite obtener información sobre las zonas desmilitarizadas de la red y sobre suuso para proteger los servidores de correo electrónico.

Una zona desmilitarizada (DMZ) es una red separada por un firewall del resto de redes, incluidoInternet y otras redes internas. El objetivo habitual de la implementación de una DMZ es bloquear elacceso a los servidores que proporcionan servicios a Internet, como el correo electrónico.

Los piratas informáticos suelen obtener acceso a las redes mediante la identificación de puertosTCP/UDP en los que las aplicaciones hacen escuchas de solicitudes y se aprovechan de lasvulnerabilidades conocidas de las aplicaciones. Los firewalls reducen en gran medida el riesgo dedichos abusos mediante el control del acceso a puertos específicos de servidores concretos.

El dispositivo puede agregarse fácilmente a una configuración de DMZ. La forma de usar el dispositivoen una DMZ depende de los protocolos que tenga pensado analizar.

Configuración SMTP en una DMZ Esta información le permite saber cómo configurar dispositivos SMTP dentro de una zonadesmilitarizada de la red.

Una DMZ es una buena ubicación para el correo cifrado. Cuando el tráfico de correo llega al firewallpor segunda vez (en su camino desde la DMZ hacia Internet), ya se ha cifrado.

Por regla general, los dispositivos que analizan tráfico SMTP en una DMZ están configurados en modoproxy explícito.

1 Preparación para la instalaciónEstrategias de despliegue para el uso del dispositivo en una DMZ


Los cambios de configuración deben aplicarse únicamente en los registros MX de los servidores decorreo.

NOTA: Cuando analice SMTP en una DMZ, puede utilizar el modo de puente transparente. Sin embargo,si no controla el flujo de tráfico correctamente, el dispositivo analizará todos los mensajes dos veces,una vez en cada dirección. Este es el motivo por el que normalmente se utiliza el modo proxy explícitoen el análisis de SMTP.

Retransmisión de correo

Figura 1-7 Configuración como un retransmisor de correo

Si dispone de un dispositivo de retransmisión de correo ya configurado en la DMZ, puede sustituirlocon el dispositivo.

Para utilizar las directivas de firewall existentes, asigne al dispositivo la misma dirección IP que aldispositivo de retransmisión de correo.

Gateway de correo

SMTP no ofrece ningún método para cifrar mensajes de correo: puede utilizar la Transport LayerSecurity (TLS) para cifrar el vínculo, pero no los mensajes de correo. Como resultado, algunasempresas no permiten ese tipo de tráfico en sus redes internas. Para solucionar este problema, sesuele utilizar una gateway de correo patentada, como Lotus Notes® o Microsoft® Exchange, para cifrarel tráfico de correo antes de que llegue a Internet.

Preparación para la instalaciónEstrategias de despliegue para el uso del dispositivo en una DMZ 1


19

Para implementar una configuración de DMZ mediante una gateway de correo patentada, añada eldispositivo de análisis a la DMZ en el lado SMTP de la gateway.

Figura 1-8 Configuración como una gateway de correo

En esta situación, configure lo siguiente:

• Los registros MX públicos, para indicar a los servidores de correo externos que envíen todos loscorreos entrantes al dispositivo (en lugar de la gateway).

• El dispositivo, para que reenvíe todo el correo entrante a la gateway de correo y entregue todo elcorreo saliente mediante el DNS o un dispositivo de retransmisión externo.

• La gateway de correo, para que reenvíe todo el correo entrante a los servidores de correo internosy el resto del correo (saliente) al dispositivo.

• El firewall, para que permita el correo entrante destinado únicamente al dispositivo.

Los firewalls configurados para utilizar la conversión de direcciones de red (NAT, Network AddressTranslation) y que redirigen el correo entrante a los servidores de correo internos no necesitan quevuelvan a configurarse sus registros MX públicos. Esto se debe a que están dirigiendo el tráfico alfirewall en lugar de a la gateway de correo. En este caso, el firewall debe volver a configurarse paradirigir las solicitudes de correo entrante al dispositivo.

Reglas de firewall específicas para Lotus NotesEsta información le permite identificar aspectos concretos que hay que tener en cuenta a la hora deproteger sistemas de Lotus Notes.

De forma predeterminada, los servidores de Lotus Notes se comunican a través del puerto TCP 1352.Las reglas de firewall usadas normalmente para asegurar los servidores de Notes en una DMZpermiten lo siguiente a través del firewall:

• Solicitudes SMTP entrantes (puerto TCP 25), que se originan desde Internet y están destinadas aldispositivo.

• Solicitudes del puerto TCP 1352, que se originan desde la gateway de Notes y están destinadas aun servidor interno de Notes.



• Solicitudes del puerto TCP 1352, que se originan desde un servidor interno de Notes y estándestinadas a una gateway de Notes.

• Solicitudes SMTP, que se originan desde el dispositivo y están destinadas a Internet.

El resto de solicitudes SMTP y del puerto TCP 1352 se deniegan.

Reglas de firewall específicas de Microsoft ExchangeEsta información le permite identificar aspectos concretos que hay que tener en cuenta a la hora deproteger sistemas de Microsoft Exchange.

Un sistema de correo basado en Microsoft Exchange requiere una gran solución.

Cuando los servidores de Exchange se comunican entre sí, envían sus paquetes iniciales mediante elprotocolo RPC (puerto TCP 135). Sin embargo, una vez establecida la comunicación inicial, se eligendos puertos de forma dinámica y se utilizan para enviar todos los paquetes siguientes durante el restode la comunicación. No puede configurar un firewall para reconocer estos puertos elegidos de formadinámica. Por lo tanto, el firewall no permite el paso de los paquetes.

La solución consiste en modificar el registro de cada uno de los servidores de Exchange que secomunican a través del firewall para utilizar siempre los mismos dos puertos “dinámicos”; acontinuación, abra TCP 135 y estos dos puertos en el firewall.

Mencionamos esta solución para ofrecer una explicación exhaustiva, pero no la recomendamos. Elprotocolo RPC está extendido en redes de Microsoft: abrir la entrada TCP 135 supone una alerta rojapara la mayoría de los profesionales de la seguridad.

Si tiene previsto utilizar esta solución, encontrará información detallada en el siguiente artículo de laKnowledge Base en el sitio web de Microsoft:

http://support.microsoft.com/kb/q176466/

Administración de la carga de trabajoEsta información le permite conocer las funciones de administración de la carga de trabajo de McAfeeEmail Gateway.

Los dispositivos incluyen su propio sistema interno de administración de carga de trabajo, que permitedistribuir uniformemente la carga de análisis entre todos los dispositivos configurados para trabajarjuntos.

No necesita desplegar un dispositivo de equilibrio de carga externo.

Preparación para la instalaciónEstrategias de despliegue para el uso del dispositivo en una DMZ 1


21

http://support.microsoft.com/kb/q176466/



2Conexión y configuración del servidorblade

Esta sección le ayuda a comprender los conceptos, procesos y consideraciones necesarios paraconectar y configurar el servidor blade.McAfee Email Gateway Blade Server se puede conectar a la red y configurarse en los modossiguientes:

• Modo estándar (no resistente)

• Modo resistente

Modo estándar (no resistente)El modo estándar (no resistente) utiliza los mismos componentes y procesos para conectar el servidorblade a la red que se han utilizado para todas las versiones anteriores del producto McAfee EmailGateway Blade Server.

En modo estándar (no resistente), el servidor blade no es inmune a los efectos provocados por fallos delhardware. Para resistir a ellos, plantéese el paso a modo resistente una vez que haya terminado deinstalar, configurar y probar el servidor blade.

Modo resistenteDespués de configurar el servidor blade para que funcione en modo estándar (no resistente), consulteFuncionamiento en modo resistente para obtener más detalles sobre el paso al funcionamiento enmodo resistente.

McAfee Email Gateway Blade Server incluye el funcionamiento en modo resistente del servidor blade.En este modo, todas las conexiones entre la red y el servidor blade, así como las conexiones de lacarcasa del servidor blade, se establecen de modo que se utilicen varias rutas.

Las diversas rutas proporcionan una mayor resistencia frente al fallo de cualquiera de los componentesdel servidor blade, los dispositivos de red o el cableado necesario para transportar el tráfico entre lared y el servidor blade.

Contenido Instalación estándar Instalación del software Uso de la Consola de configuración

2


23

Instalación estándarInstale el servidor blade de Email Gateway mediante la instalación estándar.

La siguiente tabla proporciona una descripción general del proceso para instalar su servidor blade deEmail Gateway.

Los pasos de esta tabla también pueden llevarse a cabo como pasos preliminares en caso de que debavolver a configurar el servidor blade para su funcionamiento en modo resistente.

Tabla 2-1 Pasos de la instalación estándar

Este paso... se describe aquí.

1. Desembale el paquete y compruebe que elcontenido se corresponde con las listas deembalaje de la caja.

Listas de embalaje

2. Monte la carcasa en el bastidor e instaleOnboard Administrator (OA) y todas lasinterconexiones.

Instalación física del servidor bladeInstalación de las interconexiones

Véase también

HP BladeSystem c7000 Enclosure Quick SetupInstructions

HP BladeSystem c7000 Enclosure Setup andInstallation Guide

HP Integrated Lights-Out User Guide (Guía delusuario de Integrated Lights-Out de HP)

3. Conecte los dispositivos periféricos yenciéndalos.

Alimentación del servidor bladeVéase también

HP BladeSystem c7000 Enclosure Quick SetupInstructions

HP BladeSystem c7000 Enclosure Setup andInstallation Guide

HP Integrated Lights-Out User Guide (Guía delusuario de Integrated Lights-Out de HP)

4. Conecte el servidor blade a la red. Conexión a la red

5. Configure HP Onboard Administrator. HP BladeSystem c7000 Enclosure Setup andInstallation Guide (Guía de instalación de lacarcasa HP BladeSystem c7000)HP Integrated Lights-Out User Guide (Guía delusuario de Integrated Lights-Out de HP)

6. Amplíe el firmware del servidor blade a laversión disponible más reciente (consulte elsitio de descargas de McAfee de su producto).

HP BladeSystem c7000 Enclosure Setup andInstallation Guide (Guía de instalación de lacarcasa HP BladeSystem c7000)

7. Instale el software en los servidores blade deadministración.

Instalación del software

8. Lleve a cabo una configuración básica. Uso de la Consola de configuración

9. Instale cada uno de los servidores blade deanálisis de contenido por separado y efectúeel arranque PXE desde el servidor blade deadministración.

Instalación del software en un servidor blade deanálisis de contenido

10. Enrute el tráfico de red de prueba a través delservidor blade y compruebe si se estáanalizando el tráfico de red.

Comprobación de la configuración

2 Conexión y configuración del servidor bladeInstalación estándar




















Tabla 2-1 Pasos de la instalación estándar (continuación)

Este paso... se describe aquí.

11. Configure las directivas y la generación deinformes.

Uso de directivas para administrar el análisis demensajes

12. Configure el tráfico de producción que pasa através del sistema.

Uso de la Consola de configuración

Si conecta el servidor blade a la red, el acceso al correo electrónico o a otros servicios de red puedeverse afectado. Asegúrese de que ha escogido un momento de inactividad de la red para realizar estatarea y de que la planificación se corresponde con períodos de poco uso de la red.

Instalación física del servidor bladeEl servidor McAfee Email Gateway Blade Server debe colocarse e instalarse en la ubicación prevista.

Si desea obtener más información sobre el montaje y desmontaje de los componentes y las carcasasdel blade, consulte HP BladeSystem c7000 Enclosure Quick Setup Instructions y HP BladeSystem c7000Enclosure Setup and Installation Guide.

Procedimiento1 Extraiga el servidor blade del paquete que lo protege y colóquelo en una superficie plana.

Debido a su peso, desembale el servidor blade lo más cerca posible de la ubicación de instalación.

2 Extraiga los componentes frontales, los componentes traseros y el armazón trasero del servidorblade.

3 Vuelva a instalar el armazón trasero, las fuentes de alimentación, los ventiladores de refrigeración,las interconexiones y los componentes del administrador de tarjeta.

Para proporcionar redundancia en caso de que se produzca un fallo en una unidad de refrigeración ofuente de alimentación, es aconsejable instalar y utilizar todas las fuentes de alimentación yventiladores de refrigeración.

4 Conecte un monitor y un teclado al servidor blade.

5 Conecte los cables de alimentación al monitor y al servidor blade, pero no los conecte aún a lafuente de alimentación.

Instalación de las interconexiones para el modo estándar (noresistente)Instale los módulos de interconexión en la carcasa del servidor blade de Email Gateway.

Antes de establecer conexiones, debe instalar y configurar las interconexiones de Ethernet.

Las interconexiones se instalan en la parte trasera, debajo de la fila superior de ventiladores derefrigeración.

Conexión y configuración del servidor bladeInstalación estándar 2


25




La interconexión LAN1 se coloca en el compartimento de interconexión superior izquierdo. Lainterconexión LAN2 se coloca en el compartimento de interconexión inferior izquierdo, situadoinmediatamente debajo de la interconexión 1.

Figura 2-1 Posición de los componentes traseros: modo estándar (no resistente)

Tabla 2-2 Clave

# Descripción

Conexiones de alimentación

Interconexión 1 (se conecta a LAN1)

Interconexión 3 (se conecta a LAN2)

En caso de ampliación de versiones anteriores en el hardware existente, consulte Configuración delas interconexiones al ampliar una versión anterior.

Conexión del administrador de tarjeta

Módulo del administrador de tarjeta

Acceso fuera de banda (puerto 8)

Este puerto solo se activa tras la configuración de las interconexiones.

Asegúrese de hacer lo siguiente:

• Desactivar el protocolo de árbol de expansión (STP, Spanning Tree Protocol) globalmente en todaslas interconexiones (si instala su servidor blade en el modo de puente transparente).

• Configurar las listas de control de acceso (ACL) en las interconexiones para aislar los servidoresblade de análisis de contenido de las direcciones DHCP externas de recepción.



• Configurar las listas de control de acceso (ACL) de modo que los paquetes de latido de blade semantengan en los servidores blade.

• Si el tráfico con etiquetas VLAN va a pasar por el servidor blade, las interconexiones se debenconfigurar para permitir el paso de dicho tráfico.

En la siguiente documentación se proporciona información sobre la configuración de estos ajustes:

• HP 6125 Blade Switch Series Installation Guide (Guía de instalación de conmutadores de red de laserie 6125 de HP)

• HP 6125 Blade Switch Series Installation Guide (Guía de configuración básica del conmutador dered de la serie 6125 de HP)

Si tiene previsto volver a configurar el servidor blade para que funcione en modo resistente, plantéeseinstalar todas las interconexiones requeridas en esta fase. Consulte Instalación de las interconexionespara modo resistente.

Alimentación del servidor bladeConecte y encienda la alimentación de McAfee Email Gateway Blade Server.

Para asegurarse de que todos los servidores blade se encienden, utilice dos circuitos de alimentacióndistintos.

Si solo se utiliza uno y la configuración de administración de alimentación se configura como CAredundante (como se recomienda), algunos servidores blade no se encenderán.

Procedimiento1 Conecte los cables de alimentación del servidor blade a las unidades de alimentación del blade y a

las tomas de alimentación.

Si los cables de alimentación no son adecuados para el país en el que se van a utilizar, póngase encontacto con el proveedor.

2 Encienda el servidor blade con los botones para tal fin de los servidores blade de administraciónpara conmutación en caso de error y de administración.

Uso de las opciones de alimentación de CCAnalice los requisitos de uso de las opciones de alimentación de CC con McAfee Email Gateway BladeServer.

Si adquiere las opciones de alimentación pertinentes, McAfee Email Gateway Blade Server se puedealimentar mediante sistemas de alimentación de corriente continua.



27

http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c03500166/c03500166.pdf


Consulte HP BladeSystem c7000 Carrier-Grade Enclosure Setup and Installation Guide (Guía deinstalación de la carcasa de calidad de operadora HP BladeSystem c7000) para obtener informaciónsobre el uso de alimentación de CC con McAfee Email Gateway Blade Server.

Para minimizar el riesgo de descarga eléctrica o de daños en el equipo, instale la fuente de alimentaciónde CC del sistema HP BladeSystem conforme a las siguientes directrices:

• La conexión de McAfee Email Gateway Blade Server al sistema de alimentación de CCdeberán realizarla únicamente electricistas cualificados con experiencia en sistemas dealimentación de CC.

• Instale el producto en un lugar de acceso restringido únicamente.

• Conecte el producto a una fuente de alimentación de CC que se pueda clasificar comocircuito secundario de acuerdo con los requisitos nacionales aplicables para losequipamientos informáticos.

Por lo general, estos requisitos se basan en el Estándar internacional para la seguridadde los equipos informáticos, IEC 60950-1. La fuente debe disponer de al menos un polo(neutral/de retorno) con referencia a tierra real, de acuerdo con los códigos yreglamentos eléctricos regionales.

• Conecte el producto a un dispositivo de distribución eléctrica que ofrezca un medio paradesconectar la alimentación del circuito de derivación de alimentación. El dispositivo dedistribución eléctrica debe incluir un dispositivo de protección de sobrecorriente quepueda interrumpir la corriente de falla disponible desde la fuente principal, y que cuentecon un valor nominal no superior a 120 A.

• Conecte el cable compuesto verde/amarillo a un terminal de conexión a tierra. No confíeen el chasis del bastidor o armario para garantizar una toma de tierra adecuada.

• Asegúrese siempre de que el equipo cuenta con una conexión a tierra correcta y de quesigue los procedimientos de puesta a tierra adecuados antes de iniciar ningúnprocedimiento de instalación. Una conexión a tierra inadecuada puede provocar dañospor descargas electrostáticas (ESD) en los componentes electrónicos.

Conexión a la redAprenda a conectar su Email Gateway a la red.

Las interconexiones y los cables que utilice para conectar el servidor blade a su red dependen delmodo de red que seleccione para el servidor blade. Para obtener más información acerca de los modosde red, consulte Consideraciones sobre los modos de red.



http://h10032.www1.hp.com/ctg/Manual/c01570075.pdf

En modo estándar, se necesitan las siguientes conexiones entre el servidor blade y los conmutadoresde red:

• Modo de puente transparente: El servidor blade actúa a modo de puente entre dos segmentosde red. Conecte la interconexión 1 (LAN1) a un segmento y la interconexión 3 (LAN2) al otromediante los cables conectados a uno de los puertos 2-7 situados en cada una de las unidades deinterconexión. La conexión de administración fuera de banda se puede realizar y configurar conotro de los puertos LAN2.

• Modo Enrutador transparente: El servidor blade actúa a modo de enrutador, uniendo dos redesseparadas. Conecte la interconexión 1 (LAN1) a una red y la interconexión 3 (LAN2) a la otramediante los cables conectados a uno de los puertos 2-7 situados en cada una de las unidades deinterconexión. La conexión de administración fuera de banda se puede realizar y configurar conotro de los puertos LAN2.

• Modo Proxy explícito: Se necesita una única conexión entre la interconexión 3 (LAN2) y su red(en los sistemas ampliados que utilizan hardware más antiguo, LAN2 se conecta mediante lainterconexión 2). LAN1 se puede utilizar para establecer conexión con la red, pero el máximorendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade (estalimitación no se aplica cuando se utiliza el modo resistente).

Uso de conexiones LAN de cobreSepa cómo conectar el McAfee Email Gateway a la red mediante conexiones de cobre.

Con las conexiones de interconexión de LAN1 y LAN2, y los cables de red proporcionados (o los cablesEthernet Cat 5e o Cat 6 equivalentes), conecte el servidor blade a la red de acuerdo con el modo dered que haya elegido.

Modo Puente transparente

Use los cables LAN de cobre (proporcionados) para conectar los conmutadores de LAN1 y LAN2 deEmail Gateway a la red, de forma que quede insertado en la transmisión de datos.

Modo Enrutador transparente

Email Gateway funciona como un enrutador. Los segmentos LAN conectados a sus dos interfaces dered deben, por tanto, estar en subredes IP distintas. Debe sustituir un enrutador existente o crear unanueva subred en un extremo del dispositivo. Para ello, cambie la dirección IP o la máscara de redusada por los equipos de esa parte.

Modo Proxy explícito

Use un cable LAN de cobre (proporcionado) para conectar el conmutador de LAN1 o LAN2 a la red. Elcable es directo (no cruzado) y conecta el dispositivo a un conmutador de red normal RJ-45 nocruzado.

LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtienecuando se utiliza LAN1 para la red de análisis en el servidor blade (esta limitación no se aplica cuandose utiliza el modo resistente).



29

Uso de conexiones LAN de fibraAprenda a conectar su Email Gateway a la red mediante conexiones de fibra óptica.

Antes de establecer cualquier tipo de conexión, debe instalar los receptores SFP (del inglés, SmallForm-Factor Pluggable) de fibra óptica. Consulte HP 6125 Blade Switch Series FundamentalsConfiguration Guide (Guía de configuración básica del conmutador de red de la serie 6125 de HP) paraobtener más información.

Utilice únicamente receptores SFP de fibra óptica suministrados por HP o McAfee. El uso de receptoresSFP de otros proveedores puede impedir el acceso al servidor blade.

Con los cables de fibra y las interconexiones LAN1 y LAN2, conecte el servidor blade a la red deacuerdo con el modo de red que haya elegido.


Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a su red.

Modo Router transparente

Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a subredes de direcciones IPdiferentes.


Utilice un cable de fibra para conectar las interconexiones LAN2 del servidor blade a la red.

LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtienecuando se utiliza LAN1 para la red de análisis en el servidor blade (esta limitación no se aplica cuandose utiliza el modo resistente).

Instalación del softwareEl software McAfee Email Gateway debe instalarse tanto en el servidor blade de administración comoen el servidor blade de administración para conmutación en caso de error.

Orden de instalación de los servidores blade de administraciónInstale simultáneamente los dos servidores blade de administración.

Instale físicamente tanto el servidor blade de administración para conmutación en caso de error comoel de administración en las ranuras 1 y 2 de la carcasa del servidor blade.

Siga las instrucciones proporcionadas en Instalación del software en los servidores blade deadministración, conecte ambos servidores e instale el software.

Mediante la configuración simultánea de ambos servidores blade de administración no solo se agiliza elproceso, sino que se evita que se asigne una dirección IP al segundo servidor blade de administraciónen la red de análisis cuando el primero inicia su servidor DHCP.

2 Conexión y configuración del servidor bladeInstalación del software




Instalación del software en los servidores blade deadministraciónInstale el software en el servidor blade de administración y en el servidor blade de administración paraconmutación en caso de error.

Antes de empezarCompruebe si hay versiones más recientes del software disponibles en el sitio de descargade McAfee: http://www.mcafee.com/us/downloads/

Necesitará un número de concesión válido.

Puede instalar el software en el servidor blade tanto in situ como de forma remota con la prestaciónIntegrated Lights-Out. La prestación Integrated Lights-Out cuenta con una función multimedia virtualque puede utilizar para instalar de forma remota una unidad física de CD-ROM, un archivo de imageniso o una unidad USB que contiene información de instalación.

Procedimiento1 Introduzca el servidor blade de administración en la posición 1 y el servidor blade de

administración para conmutación en caso de error en la posición 2 de la carcasa del servidor blade.

2 Conéctese al servidor blade:

• Conectando el cable proporcionado, un monitor, un teclado y una unidad de CD-ROM o USB alconector directo del servidor blade de administración para conmutación en caso de error y delservidor blade de administración.

• Para la instalación remota, acceda al módulo Integrated Lights-Out mediante el administradorde tarjeta para establecer una sesión de KVM remota.

3 Arranque el servidor blade de administración o el servidor blade de administración paraconmutación en caso de error desde el CD de recuperación e instalación. El software se instala enel servidor blade seleccionado.

4 Defina la configuración básica. Consulte Uso de la consola de configuración.

Sincronización de cambios en la configuraciónConozca cómo se sincronizan los cambios de configuración entre servidores blade.

Todo cambio realizado en la configuración del servidor blade de administración se sincronizaautomáticamente con el servidor blade de administración para conmutación en caso de error y con losservidores blade de análisis de contenido.

En el Panel, compruebe el estado del servidor blade de administración para conmutación en caso deerror y del servidor blade de administración para asegurarse de que se ha producido la sincronización.

Conexión y configuración del servidor bladeInstalación del software 2


31

http://www.mcafee.com/us/downloads/

Instalación del software en un servidor blade de análisis decontenidoInstale el software en un servidor blade de análisis de contenido.

Procedimiento1 En la interfaz de usuario, seleccione Panel. En la parte inferior de la página aparece Estado de blade.

2 Introduzca el servidor blade de análisis de contenido en la carcasa. El servidor blade aparece en lapágina Estado de blade con el estado INSTALACIÓN. El software se instala automáticamente en elservidor blade de análisis de contenido desde el servidor blade de administración. Para que secomplete este proceso son necesarios unos 10 minutos aproximadamente.

3 La información se actualiza automáticamente. Tras unos minutos, el estado pasa a ARRANQUE,después a SINCRONIZACIÓN y, a continuación, a ACEPTAR.

El nuevo servidor blade de análisis de contenido ya está operativo.

Uso de la Consola de configuración Conozca cómo usar la consola de configuración para configurar McAfee Email Gateway.

Puede configurar McAfee Email Gateway Blade Server desde la Consola de configuración o desde elAsistente de configuración en la interfaz de usuario.

La configuración solo se aplica a los servidores blade de administración y a los servidores blade deadministración para conmutación en caso de error, pero no a los servidores blade de análisis.

La Consola de configuración se inicia automáticamente en la última fase de la secuencia de inicio,después de lo siguiente:

• El inicio de un McAfee Email Gateway sin configurar

• O bien, el restablecimiento de los valores predeterminados de McAfee Email Gateway.

Cuando se inicia la Consola de configuración, esta le proporcionará una serie de opciones para configurar eldispositivo en el idioma que desee desde la consola de McAfee Email Gateway; o bien, instruccionespara que se conecte al Asistente de configuración en la interfaz de usuario desde otro equipo de la mismasubred de clase C (/24). Ambos métodos le proporcionan las mismas opciones para configurar McAfeeEmail Gateway.

En la Consola de configuración, puede configurar una nueva instalación del software del dispositivo. Sinembargo, para configurar el dispositivo con una configuración guardada con anterioridad, necesitainiciar sesión en la interfaz de usuario del dispositivo y ejecutar (Sistema | Asistente de instalación).

Otra novedad de esta versión del software es la configuración automática a través de DHCP para losparámetros siguientes:

• Nombre de host • Servidor DNS

• Nombre de dominio • Concesión de dirección IP

• Gateway predeterminada • Servidor NTP

En la pantalla puede encontrar más información sobre cada página de la Consola de configuración y elAsistente de instalación.

2 Conexión y configuración del servidor bladeUso de la Consola de configuración


Realización de una configuración personalizada Esta información le ayuda a comprender la finalidad de la configuración personalizada.

La opción Configuración personalizada le ofrece mayor control sobre las opciones que puede seleccionar,incluido el modo operativo del dispositivo. Puede optar por proteger el tráfico de correo mediante losprotocolos SMTP y POP3. Utilice esta opción de configuración si necesita configurar IPv6 y realizarotros cambios en la configuración predeterminada.

En el caso de la Configuración personalizada, el asistente incluye las páginas siguientes:

• Configuración de correo electrónico • DNS y enrutamiento

• Configuración básica • Configuración de hora

• Configuración de red • Contraseña

• Administración de clústeres • Resumen

Restauración desde un archivoEsta información le ayuda a comprender la finalidad de realizar una restauración desde un archivo.

Cuando configura el dispositivo con el Asistente de configuración de la interfaz de usuario, la opción Restaurardesde un archivo le permite importar información de configuración guardada anteriormente y aplicarla aldispositivo. Tras importar la información, puede realizar cambios en ella antes de aplicar laconfiguración.

La opción Restaurar desde un archivo no está disponible desde la Consola de configuración. Para usar esta opción,debe iniciar sesión en McAfee Email Gateway y seleccionar Restaurar desde un archivo en el menú Sistema |Asistente de instalación.

Cuando se haya importado la información de configuración, se le dirigirá a las opciones de Configuraciónpersonalizada en el Asistente de configuración (consulte Realización de una configuración personalizada).Todas las opciones importadas se muestran en las páginas del asistente, por lo que puede realizarcorrecciones antes de aplicar la configuración.

Al usar la opción Restaurar desde un archivo, el asistente incluye las páginas siguientes:

• Importar configuración

• Valores para restaurar

Una vez cargada esta información, se le dirigirá a las páginas de Configuración personalizada para quepueda realizar más cambios antes de aplicar la nueva configuración:

• Configuración de correo electrónico • DNS y enrutamiento

• Configuración básica • Configuración de hora

• Configuración de red • Contraseña

• Administración de clústeres • Resumen

Configuración solo de cifradoEsta información le ayuda a comprender la finalidad de las opciones de configuración de solo cifrado.

En el caso de organizaciones de tamaño pequeño y medio, suele bastar con usar el mismo McAfeeEmail Gateway Appliance para realizar las tareas de análisis y también las de cifrado del correoelectrónico.

Conexión y configuración del servidor bladeUso de la Consola de configuración 2


33

No obstante, si forma parte de una organización mayor o trabaja en un sector que requiera que todoslos mensajes de correo electrónico, o un alto porcentaje, se entreguen de forma segura, es posibleque desee configurar uno o varios de los McAfee Email Gateway Appliance como servidoresindependientes de solo cifrado.

En esta situación, las opciones de Configuración de solo cifrado del Asistente de configuración le ofrecen laconfiguración relevante necesaria para el uso de solo cifrado.

2 Conexión y configuración del servidor bladeUso de la Consola de configuración


3Visita guiada del Panel

En esta sección se describe la página Panel y cómo editar sus preferencias.

Contenido Panel Exploración del servidor blade

PanelEl Panel muestra un resumen de la actividad del dispositivo.

Panel

En un blade principal de McAfee Email Gateway Blade Server, esta página le permite ver también unresumen de toda la actividad de los servidores blade de análisis en McAfee Email Gateway BladeServer.

3


35

Ventajas de utilizar el PanelEl panel ofrece una única ubicación para ver resúmenes de la actividad del dispositivo mediante unaserie de portlets.

Figura 3-1 Portlets del panel

En algunos portlets aparecen gráficos que muestran la actividad del dispositivo en los siguientesperíodos de tiempo:

• 1 hora • 2 semanas

• 1 día (valor predeterminado) • 4 semanas

• 1 semana

En el panel, puede realizar ciertos cambios en la información y los gráficos que aparecen:

• Expandir y contraer los datos del portlet con los botones y que aparecen en la esquinasuperior derecha del portlet.

• Profundizar hasta llegar a datos concretos con los botones y .

• Ver un indicador de estado que muestra si hay que prestar atención al elemento:

• Correcto: los elementos sobre los que se informa funcionan con normalidad.

• Requiere atención: se ha superado un umbral de advertencia.

• Requiere atención inmediata: se ha superado un umbral de advertencia crítico.

• Desactivado: no se ha activado un servicio.

• Usar y para acercar y alejar el plazo de una información. Mientras se actualiza la vista, seproduce cierto retraso. De forma predeterminada, el panel muestra los datos relativos al díaanterior.

3 Visita guiada del PanelPanel


• Mueva un portlet a otro lugar en el Panel.

• Haga doble clic en la barra superior de un portlet para expandirla en la parte superior del Panel.

• Configure sus propios umbrales de alerta y advertencia para activar eventos. Para ello, resalte elelemento y haga clic sobre él, edite los campos de umbral de alerta y advertencia y, finalmente,haga clic en Guardar. Cuando el elemento supere el umbral configurado, se activará un evento.

En función del navegador utilizado para visualizar la interfaz de usuario de McAfee Email Gateway, elPanel "recuerda" el estado actual de cada portlet (independientemente de que esté expandido ocontraído, y de si ha profundizado para ver datos concretos) e intenta volver a generar esa visualizaciónsi navega a otra página de la interfaz de usuario y regresa después al Panel en la misma sesión denavegación.

Portlets del panelLos portlets del McAfee Email Gateway Panel proporcionan información sobre el estado del tráfico decorreo electrónico, las detecciones recientes y el estado actual del McAfee Email Gateway.

Opción Definición

Resumen de correoentrante

Muestra la información de entrega y estado de los mensajes enviados a suorganización.

Resumen de correosaliente

Muestra la información de entrega y estado de los mensajes enviados desde suorganización.

Detecciones SMTP Muestra el número total de mensajes que han activado una detección basada enel remitente o la conexión, el destinatario o el contenido, y permite ver datosconcretos del tráfico SMTP entrante o saliente.

Detecciones POP3 Muestra cuántos mensajes han activado una detección basada en amenazas comovirus, compresores o imágenes potencialmente inadecuadas.

Resumen del sistema Muestra información sobre el equilibrio de carga, el espacio en disco usado paracada partición, el uso total de la CPU, la memoria utilizada y disponible, y losdetalles del intercambio.

Resumen de hardware Indicadores de estado para mostrar el estado de las interfaces de red, losservidores SAI, el modo de puente (si está habilitado) y el estado de RAID.

Resumen de red Proporciona información sobre el estado de sus conexiones, el rendimiento de lared y los contadores relacionados con el Bloqueo del modo de kernel.

Servicios Muestra estadísticas de estado de actualización y de servicio basadas enprotocolos y servidores externos que utiliza el dispositivo.

Agrupación Proporciona información sobre todo el clúster cuando el dispositivo forma parte deun clúster o si está usando el hardware del servidor blade.

Tareas Permite acceder directamente mediante vínculos a las áreas de la interfaz deusuario para buscar en la cola de mensajes, ver informes, administrar directivas,establecer la configuración de protocolos de correo, de la red y del sistema, yacceder a las funciones de solución de problemas.

Tarea: desactivación de la advertencia de Comentarios deMcAfee Global Threat Intelligence deshabilitadosPuede desactivar la advertencia que le informa de que los comentarios de McAfee Global ThreatIntelligence están desactivados actualmente en su appliance.De forma predeterminada, el dispositivo muestra un mensaje de advertencia si no ha habilitado loscomentarios de McAfee Global Threat Intelligence (GTI), puesto que McAfee considera que habilitaresta forma de comunicación es el mejor método de trabajo.

No obstante, si se encuentra en un entorno en el que no puede activar los comentarios de McAfeeGlobal Threat Intelligence (GTI), use la siguiente tarea para desactivar el mensaje de advertencia.

Visita guiada del PanelPanel 3


37

Procedimiento1 En el Panel del dispositivo, seleccione Editar en el área Mantenimiento del sistema.

2 Elimine la selección de Mostrar una advertencia si no se activan los comentarios de McAfee GTI.

3 Haga clic en Aceptar.

La advertencia Comentarios de McAfee Global Threat Intelligence deshabilitados ya no estáseleccionada.

Exploración del servidor bladeUtilice tareas y situaciones hipotéticas que muestran las ventajas clave de utilizar un servidor bladepara proteger su tráfico de correo electrónico.

Para realizar las tareas y las situaciones hipotéticas, necesitará algunos de los datos que introdujo enla consola de configuración y el asistente de configuración.

Demostración de la administración de la carga de trabajo y laconmutación en caso de errorVea la administración de redundancia integrada y de administración de la carga de trabajo del servidorblade.

El servidor blade incorpora al menos un servidor blade de análisis de contenido. Puede agregar mássegún sea necesario. En esta prueba se da por supuesto que tiene dos servidores blade de análisis decontenido.

Para obtener información sobre la adición y eliminación de servidores blade de la carcasa, consulte HPBladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de lacarcasa HP BladeSystem c7000).

Procedimiento1 En la página Panel | Blade seleccione la ficha Estado de blade para asegurarse de que el servidor blade

funciona correctamente.

• El servidor blade de administración tiene el nombre que introdujo cuando utilizó la consola deconfiguración. El servidor blade de administración tiene el estado RED.

• El servidor blade de administración para conmutación en caso de error tiene el nombre queintrodujo al utilizar la consola de configuración. El servidor blade de administración paraconmutación en caso de error tiene el estado REDUNDANTE.

• Los servidores blade de análisis de contenido se llaman blade01, blade02, etc., y su estado esCORRECTO.

2 Apague el servidor blade de administración, retírelo de la carcasa y compruebe que el servidorblade sigue funcionando con el servidor blade de administración para conmutación en caso deerror.

• El estado del servidor blade de administración para conmutación en caso de error pasa a Red.

• El servidor blade de administración pasa al estado Error.

3 Visita guiada del PanelExploración del servidor blade




3 En Sistema | Administración de clústeres, seleccione un servidor blade de análisis de contenido y haga clicen Desactivar para deshabilitar el servidor blade de análisis de contenido. El servidor blade sigueanalizando tráfico.

El diseño del servidor blade permite retirar un servidor blade de análisis de contenido de la carcasasin necesidad de detener primero el servidor blade de análisis de contenido. No obstante, McAfee noaconseja hacerlo, pues existe un pequeño riesgo de que se dañe la información de las unidades dedisco.

4 Consulte la columna Mensajes para ver el número de mensajes que procesa cada uno de losservidores blade de análisis de contenido.

5 En Estado de blade, seleccione el servidor blade de análisis de contenido que ha desactivado y hagaclic en Iniciar.

6 Consulte de nuevo la columna Mensajes. El servidor blade analiza más tráfico y equilibraautomáticamente la carga de análisis entre los dos servidores blade.

7 (Opcional) Añada un tercer servidor blade de análisis de contenido a la carcasa y actívelo.

8 Compruebe de nuevo el Estado de blade. El servidor blade analiza aún más mensajes y equilibra lacarga de análisis entre los tres servidores blade.

Comprobación de las funciones de administración del servidorbladeVea cómo reducen la carga de administración del sistema las funciones de administración del servidorblade; el sistema se administra como uno solo, tanto si cuenta con un servidor blade de análisis decontenido como con varios.

Puede obtener información de estado e informes correspondientes a todos los servidores blade através de la información de estado y registros. Puede utilizar el servidor blade de administración paramantener actualizados todos los archivos DAT de todos los servidores blade de análisis de contenido yadministrar la ubicación de cuarentena.

Información sobre el estado del servidor bladeMientras el tráfico pasa a través del servidor blade, puede observar el Panel para obtener informaciónactualizada sobre el funcionamiento, las detecciones y el rendimiento del tráfico totales de cada unode los protocolos.

El panel incluye información específica del servidor blade, como por ejemplo:

• Estado general (servidor blade de administración y servidor blade de administración para conmutaciónen caso de error)

• Estado del hardware (servidor blade de administración)

• Estado de blade (todos los servidores blade)

Esta tabla muestra la información que puede obtener sobre todos los servidores blade.

Visita guiada del PanelExploración del servidor blade 3


39

Velocímetro Rendimiento medio del servidor blade, en función de las mediciones realizadas cadapocos minutos.

Nombre Nombre del blade:• Servidor blade de administración.

• Servidor blade de administración para conmutación en caso de error.

Estos nombres se especifican mediante la consola de configuración.

• Blade <número>: servidores blade de análisis de contenido.

Estado El estado actual de cada blade.

Carga La carga general del sistema de cada blade.

Activo El número de conexiones activas actualmente en cada blade. La fila para el servidorblade de administración muestra el total de los servidores blade de análisis decontenido.

Conexiones El número total de conexiones desde el último restablecimiento de los contadores. Lafila para el servidor blade de administración muestra el total de los servidores bladede análisis de contenido.

Otrascolumnas

Información de la versión del motor antivirus, archivos DAT de antivirus, motorantispam y reglas antispam. Los números de versión son iguales si los servidoresblade están actualizados. Durante la actualización, los valores podrían ser distintos.

Generación de informesMcAfee Email Gateway Blade Server incluye varios informes predefinidos que puede descargar enformato de texto, PDF o HTML. Puede planificar la generación de estos informes y definir a quién seenviarán. También puede crear sus propios informes.

El registro del servidor blade muestra información de los eventos de acuerdo con el tipo de informe yel período que seleccione. Las funciones de generación de informes propias del servidor bladepermiten generar informes o mostrar registros, estadísticas, gráficos y contadores de rendimiento deuna amplia variedad de datos del servidor blade y de sus actividades, como el uso de la memoria y delprocesador.

Por ejemplo, después de ejecutar los pasos de Comprobación del tráfico de correo electrónico y ladetección de virus, haga clic en Informes | Búsqueda de mensajes. Se mostrará el archivo de prueba EICAR.

Más información sobre informes

Puede hacer lo siguiente:

• Guardar el informe en Favoritos. Esto le permitirá ejecutar el mismo informe en el futuro.

• Cambiar entre las diferentes vistas de los datos del informe, cuando sea oportuno.

Realice esta tarea para actualizar los archivos DAT del servidor blade y ver el informe de actualizacióna continuación.

Procedimiento1 Seleccione Sistema | Administración de componentes | Estado de actualización.

2 En Información y actualizaciones de versión, haga clic en Actualizar ahora para consultar cualquier actualizaciónantivirus o antispam.



3 Seleccione Informes | Informes de correo electrónico | Selección | Filtro.

4 Haga clic en Aplicar.

Aparece información sobre las actualizaciones aplicadas al servidor blade.

Uso de directivas para administrar el análisis de mensajesVea las funciones de análisis del servidor blade en acción. Proporciona instrucciones detalladas paracrear y probar algunas directivas de muestra y le indica cómo generar los informes correspondientes.Una directiva es un conjunto de configuraciones y reglas que indican al servidor blade cómo combatiramenazas concretas para la red. Cuando cree directivas de análisis reales para la organización, esimportante que dedique algo de tiempo a investigar y planificar sus necesidades. Consulte la ayudaonline y encontrará directrices que le ayudarán a planificar sus directivas.

Pasos preliminares para la creación de directivasAntes de crear directivas, configure McAfee Email Gateway Blade Server para utilizar McAfeeQuarantine Manager.Todas las acciones de cuarentena están desactivadas de forma predeterminada. Antes de activarlas,configure el servidor blade para utilizar McAfee Quarantine Manager para gestionar la ubicación delcontenido en cuarentena.

Procedimiento1 En la interfaz de usuario, seleccione Correo electrónico | Configuración de cuarentena.

2 Seleccione Usar un servicio remoto de McAfee Quarantine Manager (MQM).

3 Introduzca los detalles de McAfee Quarantine Manager.

Si va a sustituir un dispositivo de McAfee existente con el McAfee Email Gateway Blade Server,asegúrese de utilizar el ID de dispositivo existente. Si utiliza un ID de dispositivo diferente, no podrá liberarningún mensaje que haya puesto en cuarentena el dispositivo anterior.

4 Aplique los cambios.

Creación de una directiva de análisis antivirusLas políticas antivirus le permiten afinar la protección contra virus y malware.Cree una directiva de análisis antivirus para:

• Detectar virus en los mensajes entrantes.

• Poner en cuarentena el correo electrónico original.

• Notificar al destinatario.

• Avisar al remitente.

Utilice esta tarea para ver qué ocurre cuando el archivo de prueba EICAR activa una regla de virus deenvío masivo de correo y qué acciones pueden emprenderse.

Procedimiento1 En el servidor blade, asegúrese de que está usando McAfee Quarantine Manager (Correo electrónico |

Configuración de cuarentena | Opciones de cuarentena).

2 En el dispositivo, seleccione Email | Email Policies | Anti-Virus.

La directiva predeterminada está definida como Limpiar o sustituir por una alerta si la limpieza no se llevaa cabo correctamente.



41

3 Haga clic en Virus: Limpiar o sustituir por una alerta para mostrar la Configuración antivirus predeterminada (SMTP).

4 En Acciones, En caso de detección de virus asegúrese de que la opción Intentar limpiar está seleccionada.

5 En la sección Y también situada bajo la acción, seleccione Entregar un correo electrónico de notificación alremitente y Poner en cuarentena el correo electrónico original.

6 En Si se produce un fallo en la limpieza, seleccione Sustituir el elemento detectado por una alerta.

7 En la sección Y también situada bajo Si se produce un fallo en la limpieza, seleccione Entregar un correo electrónicode notificación al remitente y Poner en cuarentena el correo electrónico original como las acciones secundarias.


9 Seleccione Correo electrónico | Directivas de correo electrónico | Directivas de análisis [Opciones de analizador] --Configuración de la dirección de correo electrónico.

10 En Mensajes de correo electrónico rebotados, asigne la dirección de correo electrónico como la dirección decorreo electrónico del administrador.

Sin esta configuración, el dispositivo no incluirá una dirección De: en la notificación de correoelectrónico. La mayoría de los servidores de correo electrónico no entregan ningún mensaje que notenga la dirección De: .

11 Haga clic en Aceptar y, a continuación, haga clic en la marca de verificación verde.

12 Seleccione Correo electrónico | Directivas de correo electrónico | Directivas de análisis [Antivirus] | Opciones de malwarepersonalizadas.

13 Seleccione Envío masivo de correo y, a continuación, establezca En caso de detección en Denegar conexión(bloquear).

El servidor de correo de envío recibe el mensaje de error Code 550: denied by policy (código 550:denegado por la directiva). El dispositivo conserva una lista de las conexiones a las que no sepermite enviar correo electrónico bajo ninguna circunstancia. Puede ver la lista en Correo electrónico |Configuración de correo electrónico | Recepción de correo electrónico | Permiso y denegación [+] Conexiones permitidas ybloqueadas. La opción Conexiones denegadas se describe en Ayuda online.

14 Compruebe la configuración:

a Envíe un mensaje de correo electrónico de <dirección de correo electrónico de cliente> a<dirección de correo electrónico de servidor>.

b Cree un archivo de texto que incluya la siguiente cadena:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

c Guarde el archivo como eicar.txt.

d Adjunte el archivo al mensaje de correo electrónico.

Email Gateway sustituye el archivo por una alerta y el remitente recibe una notificación de alerta.

15 Vuelva a Opciones de malware personalizadas y haga clic en Nombre de detección específico:.

16 Escriba EICAR.

17 Asegúrese de que la acción principal es Rechazar los datos originales y devolver un código de error (bloquear), acontinuación, haga clic en Aceptar.



18 Desde una cuenta de correo electrónico externa, cree un mensaje y adjunte el archivo de pruebaEICAR.

El cliente de correo electrónico devuelve un mensaje de error 550: denied by policy (código 550:denegado por la directiva). Correo electrónico | Configuración de correo electrónico | Recepción de correo electrónico |Listas de permiso y denegación [+] Conexiones bloqueadas está vacío.

19 En Opciones de malware personalizadas, cambie la acción principal a Denegar la conexión y, a continuación,haga clic en Aceptar.

20 Envíe el mismo mensaje de correo electrónico y compruebe la conexión denegada. Tiene ladirección IP del equipo cliente (dirección IP de ejemplo).

21 Intente enviar un mensaje de correo electrónico no dañino. También se denegará debido a la listade conexiones denegadas. Para el servidor de envío, el servidor parece estar desconectado.

El dispositivo comprueba el mensaje cuando entra en la gateway de correo y detecta que contiene unvirus. Pone en cuarentena el mensaje y notifica al destinatario y al remitente correspondientes que elmensaje está infectado.

Creación de una directiva de análisis antispamConfigure una directiva para proteger su organización de la recepción de mensajes no solicitados.

Antes de empezar

Una directiva como esta protege a los usuarios de la recepción de mensajes de correo electrónico nosolicitados que reducen la productividad y aumentan el tráfico de mensajes a través de los servidores.

Procedimiento1 En el servidor blade, asegúrese de que está usando McAfee Quarantine Manager (Correo electrónico |

Configuración de cuarentena | Opciones de cuarentena).

2 Seleccione Email | Email Policies.

Debe configurar una directiva antispam independiente para los protocolos SMTP y POP3.

3 Establezca la acción principal como Aceptar y suprimir los datos.

4 Establezca la acción secundaria como Poner en cuarentena el correo electrónico original. Cambie la calificaciónde spam a 5.

Si habilita la detección de spam, es aconsejable que también habilite la detección antiphishing. Elrendimiento del análisis no se ve afectado por la realización de las comprobaciones antispam yantiphishing.

Creación de una directiva de conformidadEstablezca una directiva para poner en cuarentena los mensajes entrantes que incluyan contenido nodeseado.

Ahora se puede realizar mediante un asistente que le irá guiando.

Siga los siguientes pasos para configurar un ejemplo de conformidad:

Procedimiento1 En el dispositivo, seleccione Correo electrónico | DLP y conformidad | Diccionarios de conformidad.

2 Seleccione Lista de diccionarios de correo electrónico.

3 Consulte el área Detalles de diccionario de....



43

4 Seleccione Email | Email Policies | Compliance.

5 Seleccione Conformidad.

6 Seleccione Activar conformidad | Sí.


8 En Reglas, haga clic en Crear nueva regla.

9 Introduzca el nombre de la regla.

10 Haga clic en Siguiente.

11 Seleccione los Diccionarios para incluir. Para esta prueba, seleccione los diccionarios financieros.

12 Haga clic en Siguiente.

13 Seleccione los Diccionarios para excluir.

14 Seleccione las acciones que se deben llevar a cabo.

15 Cree un correo electrónico en el servidor desde <dirección de correo electrónico de servidor deejemplo> a <dirección de correo electrónico cliente de ejemplo>. Incluya la frase: Estimadousuario: Debemos valorar el capital acumulado acreditado de su renta. Considere llevar a cabo unarbitraje en caso de que sus activos cuenten con menos capital del esperado.

16 Envíe el mensaje.

17 Utilice Informes | Búsqueda de mensajes para ver los resultados.

El agente de correo electrónico cliente no recibe el correo electrónico. La cuenta del correo electrónicode servidor debe recibir dos mensajes de correo electrónico: una notificación de correo electrónico deque el mensaje no ha superado la prueba de conformidad y una copia del correo electrónico original.

Acerca de la administración de los host virtualesCon los hosts virtuales, un solo dispositivo puede actuar como varios dispositivos.

Cada dispositivo virtual puede administrar tráfico en grupos de direcciones IP especificados, lo quepermite al dispositivo proporcionar servicios de análisis al tráfico de muchos orígenes o clientes.

Ventajas

• Separa el tráfico de cada cliente.

• Se pueden crear directivas para cada cliente o host, lo que simplifica la configuración y evitaconflictos que pueden surgir en directivas complejas.

• Los informes se generan por separado para cada cliente o host, lo que evita tener que llevar a cabola compleja tarea de filtrado.

• Si algún comportamiento sitúa al dispositivo en una lista negra de reputación, solo se verá afectadoun host virtual, no todo el dispositivo.

Configuración de los host virtuales

Esta función solo está disponible para los análisis SMTP. Para especificar el grupo de direcciones IP deentrada y el grupo opcional de direcciones de salida, consulte las páginas Sistema | Alojamiento virtual | HostsVirtuales y Sistema | Alojamiento virtual | Redes virtuales.



Administración de los host virtuales

Función Comportamiento

Directiva de correoelectrónico

Cada host virtual tiene su propia ficha, en la que puede crear susdirectivas de análisis.

Configuración de correoelectrónico

Cada host virtual tiene su propia ficha, en la que puede configurar lasfunciones MTA específicas para ese host.

Correo electrónico en cola Puede ver todo el correo electrónico en cola o solo el correo electrónicoen cola de cada host.

Correo electrónico encuarentena

Puede ver todo el correo electrónico en cuarentena o solo el correoelectrónico en cuarentena de cada host.

Informes Puede ver todos los informes o solo los informes de cada host.

Comportamiento entre el dispositivo y MTA

Cuando el dispositivo recibe correo electrónico enviado al intervalo de direcciones IP del host virtual,este último:

• Responde a la conversación SMTP con su propio banner de bienvenida SMTP.

• Añade, de forma opcional, su propia información de direcciones al encabezado Recibido.

• Analiza el correo electrónico de acuerdo con su propia directiva.

Cuando el dispositivo envía correo electrónico:

• La dirección IP se toma de un grupo de direcciones de salida o de una dirección IP física (si no estáconfigurada).

• El agente de transferencia de mensajes (MTA, Mail Transfer Agent) de recepción ve una dirección IPdel host virtual.

• Si hay un grupo de direcciones, la dirección IP se seleccionará en una operación por turnos.

• La respuesta EHLO llegará al host virtual.

Comprobación de la configuraciónConozca cómo se comprueba si McAfee Email Gateway Blade Server funciona correctamente despuésde la instalación.

McAfee recomienda comprobar los cambios de configuración aconsejados en las áreas Sistema, Red yResumen de hardware en el Panel al iniciar la sesión por primera vez en el servidor blade.

Comprobación de la conectividadCompruebe que hay conectividad hacia el servidor blade y desde este.

El servidor blade verifica si puede comunicarse con la gateway, actualizar servidores y servidores DNS.Además, confirma la validez del nombre y el nombre del dominio.

Procedimiento

1 Para abrir la página Pruebas del sistema, utilice uno de estos métodos:

• En la sección Tareas del Panel, seleccione Ejecutar pruebas del sistema.

• En la barra de navegación, seleccione Solucionar problemas.

2 Haga clic en la ficha Pruebas.

3 Haga clic en Iniciar pruebas. Verifique si cada prueba se realiza correctamente.



45

Actualización de los archivos DATEn cuanto completa la consola de configuración, McAfee Email Gateway Blade Server intenta actualizartodos los analizadores activados.

Realice esta tarea para asegurarse de que el servidor blade tenga los archivos de definición dedetecciones (DAT) más actualizados.

A medida que se familiarice con el uso de McAfee Email Gateway Blade Server, podrá optar poractualizar tipos individuales de archivos de definición y cambiar las actualizaciones planificadaspredeterminadas para que se adapten a sus necesidades.

Puede comprobar el estado de actualización de McAfee Email Gateway Blade Server consultando elportlet Servicios en el Panel.

Procedimiento1 Para abrir la página Actualizaciones, seleccione Sistema | Administración de componentes | Estado de

actualización.

2 Para actualizar todos los archivos DAT, haga clic en Actualizar ahora junto al componente del motorantivirus.

Comprobación del tráfico de correo electrónico y la detección de virusCompruebe que el tráfico de correo electrónico circula adecuadamente por el servidor blade y que lasamenazas se identifican correctamente.

McAfee utiliza el archivo de prueba EICAR (grupo europeo experto en seguridad de TI), un archivoinofensivo que activa una detección de virus.

Procedimiento1 Envíe un mensaje de correo electrónico desde una cuenta de correo electrónico externa (como

Hotmail) a un buzón de correo interno y asegúrese de que ha llegado.

2 Observe Informes | Búsqueda de mensajes. La lista del protocolo utilizado para enviar el mensaje deberíamostrar la recepción de un mensaje.

3 Copie la siguiente frase en un archivo, asegurándose de no introducir ningún espacio ni salto delínea: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*

4 Guarde el archivo con el nombre EICAR.COM.

5 Desde una cuenta de correo electrónico externa (cliente SMTP), cree un mensaje que contenga elarchivo EICAR.COM como datos adjuntos y envíe el mensaje a un buzón de correo interno.

6 Seleccione Informes | Búsqueda de mensajes. Debería ver que se ha detectado un virus.

7 Borre el mensaje cuando haya terminado de comprobar la instalación para no alarmar a usuariosdesprevenidos.



Comprobación de la detección de spamEjecute una GTUBE (General Test mail for Unsolicited Bulk Email, prueba general para el correoelectrónico masivo no solicitado) para comprobar si se detecta el spam entrante.

Procedimiento1 Desde una cuenta de correo electrónico externa (cliente SMTP), cree un nuevo mensaje de correo

electrónico.

2 En el cuerpo del mensaje, copie lo siguiente:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARDANTI-UBE-TEST-EMAIL*C.34X

Asegúrese de no incluir espacios ni saltos de línea.

3 Envíe el nuevo mensaje de correo electrónico a una dirección de un buzón de correo interno. Estesoftware analiza el mensaje, lo reconoce como un mensaje de correo electrónico basura y lo tratacomo tal. La GTUBE anula las listas negras y las listas blancas.

Explorar las funciones de McAfee Email Gateway Blade ServerVea las funciones de análisis de McAfee Email Gateway Blade Server en acción.

Utilice las siguientes tareas para obtener instrucciones detalladas para crear y probar algunasdirectivas de muestra, así como para generar los informes correspondientes.

Directivas de análisis y su repercusión en la redUna directiva es un conjunto de configuraciones y reglas que indican a McAfee Email Gateway BladeServer cómo combatir amenazas concretas para la red.

Cuando cree directivas de análisis reales para la organización, es importante que dedique algo detiempo a investigar y planificar sus necesidades.

Encontrará directrices que le ayudarán a planificar sus directivas en la Ayuda online disponible en lainterfaz del producto.

Análisis de contenido con reglas de conformidad de correo electrónicoUtilice el análisis de conformidad para proporcionar ayuda en cuanto al cumplimiento de lasnormativas y el funcionamiento corporativo.

Puede elegir entre una biblioteca de reglas de conformidad predefinidas y la creación de sus propiosdiccionarios y reglas específicos para su organización.

Las reglas de conformidad pueden variar en lo que se refiere a su complejidad; desde una activaciónsencilla cuando se detecta un término concreto en un diccionario hasta la integración y combinaciónde diccionarios basados en calificaciones que solo se activarán cuando se alcance un umbraldeterminado. Las funciones avanzadas de las reglas de conformidad permiten combinar losdiccionarios a través del uso de operaciones lógicas, como "cualquiera", "todos" o "excepto".

Procedimiento1 Siga estos pasos para bloquear los mensajes de correo electrónico que infrinjan la directiva de

"lenguaje amenazante":

a Vaya a Email | Email Policies y seleccione Conformidad.

b En el cuadro de diálogo Configuración de conformidad predeterminada, haga clic en Sí para activar ladirectiva.

c Haga clic en Crear nueva regla a partir de plantilla para abrir el Asistente de creación de reglas.

d Seleccione la directiva Uso aceptable: lenguaje amenazante y haga clic en Siguiente.



47

e Si lo desea, cambie el nombre de la regla y haga clic en Siguiente.

f Cambie la acción principal a Aceptar y, a continuación, suprimir los datos (Bloquear) y haga clic en Finalizar.

g Haga clic en Aceptar y aplique los cambios.

2 Siga estos pasos para crear una regla personalizada sencilla para bloquear los mensajes de correoelectrónico que contengan números de la Seguridad Social:



c Haga clic en Crear nueva regla para abrir el Asistente de creación de reglas.

d Escriba el nombre de la regla y haga clic en Siguiente.

e En el campo Buscar, escriba social.

f Seleccione el diccionario Número de la Seguridad Social y haga doble clic en Siguiente.

g Seleccione la acción Aceptar y, a continuación, suprimir los datos (Bloquear) y haga clic en Finalizar.

3 Siga estos pasos para crear una regla compleja que se active al detectar tanto el diccionario Acomo el diccionario B, pero no cuando se detecte también el diccionario C:



c Haga clic en Crear nueva regla para abrir el Asistente de creación de reglas.

d Escriba el nombre de la regla y haga clic en Siguiente.

e Seleccione dos diccionarios para su inclusión en la regla y haga clic en Siguiente.

f Seleccione un diccionario que desee excluir de la regla en la lista de exclusiones.

g Seleccione la acción que desea que se lleve a cabo cuando se active la regla.

h En el cuadro desplegable Y condicionalmente, seleccione Todos y haga clic en Finalizar.

4 Siga estos pasos para agregar un diccionario nuevo a una regla existente:


b Amplíe la regla que desea editar.

c Seleccione Agregar diccionario.

d Seleccione el nuevo diccionario que desee incluir y haga clic en Aceptar.

5 Siga estos pasos para configurar una regla "Queja" para supervisar cuando el umbral es bajo ypara bloquear cuando es alto:


b Haga clic en Crear nueva regla, escriba un nombre para la misma, como Queja: bajo y haga clic enSiguiente.

c Seleccione el diccionario Quejas y, en Umbral, introduzca 20.

d Haga clic en Siguiente y en Siguiente nuevamente.



e En Si se activa la regla de conformidad, acepte la acción predeterminada.

f Haga clic en Finalizar.

g Repita los pasos del 2 al 4 para crear otra regla nueva, pero denomínela Queja: alto y asígneleun umbral de 40.

h En Si se activa la regla de conformidad, seleccione Aceptar y, a continuación, suprimir los datos (bloquear).

i Haga clic en Finalizar.

j Haga clic en Aceptar y aplique los cambios.

Prevención de la pérdida de información confidencialAprenda a bloquear el envío de un documento financiero confidencial fuera de la organización.

Procedimiento1 Vaya a Correo electrónico | DLP y conformidad | Documentos registrados y cree una categoría denominada

Finanzas.

2 Vaya a Email | Email Policies y seleccione la directiva Data Loss Prevention de prevención de pérdida dedatos.

3 En el cuadro de diálogo Configuración predeterminada de Data Loss Prevention, haga clic en Sí para habilitar ladirectiva.

4 Haga clic en Crear nueva regla, seleccione la categoría Finanzas y haga clic en Aceptar para que lacategoría aparezca en la lista de reglas.

5 Seleccione la acción asociada con la categoría, cambie la acción principal a Aceptar y, a continuación,suprimir los datos (bloquear) y haga clic en Aceptar.

6 Vuelva a hacer clic en Aceptar y aplique los cambios.

Acerca de los mensajes de cuarentenaMcAfee Email Gateway Blade Server utiliza software de McAfee Quarantine Manager para proporcionaruna solución de cuarentena remota para sus mensajes de correo electrónico.

Para buscar mensajes puestos en cuarentena, consulte la documentación de McAfee QuarantineManager.

Supervisión de la detección de spamSupervise el índice de detección de spam mediante la directiva predefinida de detección de spamSMTP.

En cuanto complete la consola de configuración, estas opciones se activarán para proteger la red y alos usuarios de mensajes spam no deseados. La configuración se explica con más detalle en la Ayudaonline disponible en la interfaz de usuario.

De forma predeterminada, McAfee Email Gateway Blade Server:

• Bloquea los mensajes de phishing.

• Marca como spam los mensajes con una calificación mayor o igual a cinco.



49

• Suprime los mensajes de spam cuya calificación sea mayor o igual a diez.

• Tiene activada la autenticación de remitente. Esta configuración predeterminada permite queMcAfee Email Gateway Blade Server detecte más del 98 % de todos los mensajes spam.

La autenticación de remitente incorpora la reputación de mensajes de McAfee Global ThreatIntelligence. Si un remitente no supera la comprobación de la reputación de mensajes de McAfee GlobalThreat Intelligence, el servidor blade rechaza el correo electrónico, cierra la conexión y deniega ladirección IP del envío. La dirección IP del remitente se añade a una lista de conexiones bloqueadas y sebloquea automáticamente durante diez minutos en el nivel de kernel (puede modificar la duraciónpredeterminada del bloqueo). Las áreas de Detecciones SMTP y Detecciones POP3 del Panel muestran elnúmero de conexiones bloqueadas.

Procedimiento1 Vea la configuración estándar de detección antispam en Email | Email Policies | Spam.

2 Para comprobar si los mensajes spam se identifican correctamente, envíe un mensaje a través deMcAfee Email Gateway Blade Server que active la configuración de detección de spam.

3 Para supervisar la tasa de detección, vuelva al Panel y observe las áreas Detecciones SMTP y DeteccionesPOP3.

La cifras de Spam y phishing y de Autenticación de remitente se incrementan. En la cifra de detecciones deautenticación de remitente se incluye el número de remitentes que no superan la comprobación dereputación de mensajes de McAfee Global Threat Intelligence. Gráficos de correo electrónico ofreceuna representación gráfica de los datos.

4 Para obtener un informe sobre la actividad del correo electrónico, vaya a Informes | Informes de correoelectrónico | Selección | Favoritos y seleccione Ver informes de correo electrónico favoritos.

5 Observe los informes Bloqueados (últimas 24 horas) y Principales remitentes de spam (últimas 24 horas).



4Funcionamiento en modo resistente

McAfee Email Gateway Blade Server incluye el funcionamiento en modo resistente del servidor blade.

En este modo, todas las conexiones entre la red y el servidor blade, así como las conexiones de lacarcasa del servidor blade, se establecen de modo que se utilicen varias rutas.

Las diversas rutas proporcionan una mayor resistencia frente al fallo de cualquiera de los componentesdel servidor blade, los dispositivos de red o el cableado necesario para transportar el tráfico entre lared y el servidor blade.

Contenido Utilización del hardware en el modo resistente Decisión de utilizar el modo resistente Pasos preliminares para repetir la configuración y usar el modo resistente Paso al funcionamiento en modo resistente Configuración de las interconexiones Modificación de la configuración de la carcasa Aplicación de la configuración de modo resistente a todas las interconexiones Configuración del servidor blade de administración para utilizar el modo resistente Conexiones de modo resistente a la red externa Encendido de los servidores blade

Utilización del hardware en el modo resistenteEl modo resistente proporciona la máxima resistencia frente a errores de red y de componentes, ygarantiza que el flujo de tráfico de su correo electrónico no se detenga en caso de que se produzcan

4


51

estos errores. Para proporcionar resistencia, el servidor blade utiliza el hardware de una formadiferente a la del modo estándar (o no resistente).

En el modo resistente, las conexiones de red se dividen en los siguientes segmentos en la carcasa delservidor blade:

• Se utilizan LAN1 y LAN2 para establecer conexión con las redes externas a fin de transportar eltráfico analizado. Estas conexiones se utilizan como dos redes diferentes (para modo Proxyexplícito o modo Enrutador transparente) o como los dos vínculos de un despliegue de modoPuente transparente.

El tráfico analizado siempre se pasa por todas las interconexiones activas para proporcionar unrendimiento y una resistencia máximos.

• La red fuera de banda (OOB) ofrece una forma de separar el tráfico de administración del tráficoanalizado. Cuando se utiliza, se puede configurar el sistema para impedir que se administre desdelas redes LAN1 y LAN2.

• El tráfico entre los servidores blade de administración y los de análisis se gestiona en una VLANindependiente en la carcasa del servidor blade. Esta es una red VLAN privada que se encuentra enla carcasa y que, por lo general, no se proporciona fuera de la misma.

La VLAN de análisis se etiqueta en los servidores blade de administración, pero se desetiqueta enlos servidores blade de análisis. Esta red sin etiquetar permite que la instalación en un entorno deejecución de prearranque (Preboot Execution Environment, PXE) de los servidores blade de análisisfuncione según lo esperado.

La configuración de interconexión difiere en los servidores blade de administración y los de análisis.McAfee recomienda utilizar exclusivamente las ranuras del servidor blade que se recomiendan eneste documento para los servidores blade de análisis y administración a fin de evitar problemas deconfiguración.

Se utilizan cuatro interconexiones en la carcasa para proporcionar resistencia frente a cualquier errorque se pueda producir en cualquiera de las redes descritas. Se proporciona resistencia frente a lossiguientes errores:

• Error en vínculo externo.

La resistencia externa a la carcasa se proporciona mediante soporte para vínculos agregados (loque también se conoce como unión de canales de red, enlace troncal, canal de puertos oEtherChannel). Se pueden unir hasta cinco vínculos para proporcionar la máxima resistencia. Unfallo en cualquiera de los vínculos solo afecta a los paquetes que se estén transportando en elvínculo erróneo en ese determinado momento. La interconexión y la infraestructura adyacentedejarán de utilizar automáticamente el vínculo con fallo.

• Error de vínculo de conexión cruzada.

Los pares de vínculos de conexión cruzada proporcionan conectividad redundante entreinterconexiones adyacentes. Si fallan todos los vínculos externos a la interconexión, el tráficopuede seguir pasando a través de la interconexión adyacente y la conexión cruzada hasta elservidor blade original. Un fallo en un vínculo solo afecta a los paquetes que se esténtransportando en el vínculo erróneo en ese determinado momento. Se utiliza el STP para evitar losbucles de red.

• Error en la tarjeta de interfaz de red (NIC) del servidor blade.

Todos los servidores blade disponen de dos rutas a cada una de las redes. Si falla una tarjeta deinterfaz de red (NIC) (o su conexión con la interconexión), siempre hay una ruta redundante a lared del conmutador. El fallo en una tarjeta de interfaz de red (NIC) solo afecta a los paquetes quese estén transportando justo en el momento en que se produce el error en el vínculo.

4 Funcionamiento en modo resistenteUtilización del hardware en el modo resistente


• Error en el servidor blade de análisis.

Si se produce un error en el servidor blade de análisis, el servidor blade de administración dirige eltráfico de análisis automáticamente a los servidores blade de análisis restantes. Se interrumpen lasconexiones que están activas cuando se produce el error.

• Error en servidor blade de administración.

Si se produce un error en el servidor blade de administración, el servidor blade de administraciónpara conmutación en caso de error asumirá la función de servidor principal e iniciará la distribucióndel tráfico a los servidores blade de análisis. Se interrumpen las conexiones que están activascuando se produce el error.

• Error de interconexión total.

Se gestiona de forma parecida a como se gestiona el error de los vínculos externos e internos.Todo el tráfico fluye directamente a la interconexión restante y a través de ella.

Decisión de utilizar el modo resistenteConsideraciones relativas al modo de despliegue elegido.

En el modo estándar (no resistente), McAfee Email Gateway Blade Server utiliza un solo módulo deinterconexión para cada una de las redes de área local (LAN1 y LAN2) que necesita el servidor blade.

En modo resistente, se utilizan dos módulos de interconexión para cada red de área local (LAN), loque permite que se creen varias rutas de red para cada una de las redes LAN1 y LAN2.

Configurar el servidor blade en modo resistente resulta considerablemente más complicado que utilizarel modo estándar no resistente. Por ello, es aconsejable utilizar el modo resistente solo en caso de sercapaz de realizar los cambios relevantes en la red y otros cambios necesarios.

Si desea configurar McAfee Email Gateway Blade Server para utilizar el modo resistente, esaconsejable instalar en primer lugar el servidor blade en modo estándar (no resistente) y comprobarque dicho servidor blade funciona según lo esperado.

Una vez que haya verificado que todo funciona correctamente, vuelva a configurar el servidor bladepara el funcionamiento en modo resistente. Las siguientes secciones ofrecen información detalladasobre los pasos para configurar el servidor blade en modo estándar (no resistente) y sobre cómocontinuar para realizar los cambios necesarios a fin de utilizar el modo resistente, en caso de que seanecesario.

Pasos preliminares para repetir la configuración y usar el modoresistente

Entienda la importancia que puede tener volver a configurar el servidor blade para el modo resistente.

Antes de comenzar a configurar de nuevo el servidor blade de Email Gateway para que funcione enmodo resistente, debe haber leído y comprendido la información contenida en Planificación de lainstalación.

Información sobre hardwarePara permitir que el hardware se ejecute en modo resistente, se deben cumplir los siguientesrequisitos de hardware:

• El número mínimo de servidores blade.

Funcionamiento en modo resistenteDecisión de utilizar el modo resistente 4


53

La configuración de modo resistente debe facilitar al menos:

• Un servidor blade de administración.

• Un servidor blade de administración para conmutación en caso de error.

• Dos servidores blade de análisis como mínimo.

• El servidor blade de administración se coloca en el compartimento 1 para blade de la carcasa.

• El servidor blade de administración para conmutación en caso de error se coloca en elcompartimento 2 para blade de la carcasa.

• El software Email Gateway se encuentra disponible para su instalación en un CD, una unidad USB oa través del administrador de tarjeta.

• Interconexiones.

• Las interconexiones 6125G de HP se deben colocar en los compartimentos de interconexión del1 al 4.

También se deben colocar los módulos de paso en los compartimentos de interconexión 5 y 6para proporcionar conectividad OOB.

• Módulos del administrador de tarjeta.

Los módulos del administrador de tarjeta (OA, Onboard Administrator) redundantes se debenadaptar y configurar de acuerdo con las instrucciones de HP.

• Alimentación.

Se deben colocar suficientes fuentes de alimentación en la carcasa para proporcionar unfuncionamiento redundante al número planificado de servidores blade, según se recomienda en ladocumentación de HP.

Direcciones IP requeridas para el modo resistenteLa configuración del servidor blade para utilizar el modo resistente requiere la creación de variasdirecciones IP.

Cada carcasa requerirá como mínimo direcciones IP de los siguientes elementos:

Tabla 4-1 Modo resistente: Direcciones IP

Componente Carcasa Servidor blade deadministración

Servidor blade deadministración

para conmutaciónen caso de error

Servidores bladede análisis

Direcciones IP de carcasa

Módulos deladministrador de tarjeta

2

Módulos de IntegratedLights-Out (iLO)(1 por servidor blade)

16

Módulos de interconexión(conmutadores)

4


Interfaz 1 de IP física 1 o más 1 o más

Interfaz 1 de IP virtual(compartida) 1 o más

Interfaz 2 de IP física(opcional)

1 o más 1 o más

4 Funcionamiento en modo resistentePasos preliminares para repetir la configuración y usar el modo resistente


Tabla 4-1 Modo resistente: Direcciones IP (continuación)

Componente Carcasa Servidor blade deadministración

Servidor blade deadministración

para conmutaciónen caso de error

Servidores bladede análisis

Interfaz 2 de IP virtual(compartida) (opcional)

1 o más

Modo Enrutador transparente


Interfaz 1 de IP virtual(compartida) 1 o más


Interfaz 2 de IP virtual(compartida)

1 o más


Interfaz de IP de puente 1 o más 1 o más

Interfaz de IP virtual(compartida) (opcional,cuando se configura unproxy mediante esta IPvirtual).

1 o más

Red de análisis privada

Equilibrio de carga de IP(Privada para la carcasa,no enrutable, controladapor los servidores bladede administración/deadministración paraconmutación en caso deerror, predeterminada en169.254.1.0/24)

1 1 1 por servidorblade de análisis

(asignada desde elservidor blade deadministración)

Nombres de usuario y contraseñasConozca los nombres de usuario y las contraseñas necesarios para configurar el modo resistente.

En esta tabla se muestran los nombres de usuario y las contraseñas predeterminados utilizados porlos diferentes componentes de su servidor blade.

Si ha cambiado alguna contraseña o nombre de usuario con respecto a los valores predeterminados,utilice estos valores modificados en lugar de la información predeterminada proporcionada.

Tabla 4-2 Nombres de usuario y contraseñas por componente

Componente Nombre de usuariopredeterminado

Contraseña predeterminada (oubicación de la contraseña)

HP Onboard Administrator Administrador Consulte el adhesivo de la carcasa

HP interconnects (Sin nombre de usuariopredeterminado)

(Sin contraseña predeterminada)

HP iLO (Se administra mediante HP Onboard Administrator)

Interfaz de usuario delsoftware Email Gateway

Administrador password

Funcionamiento en modo resistentePasos preliminares para repetir la configuración y usar el modo resistente 4


55

Paso al funcionamiento en modo resistenteVea una descripción general de los pasos necesarios para cambiar al modo resistente en el servidorblade.

Después de instalar y configurar el servidor McAfee Email Gateway Blade Server en modo estándar(no resistente), la siguiente tabla proporciona una descripción general del proceso para volver aconfigurar el servidor blade en modo resistente.

Antes de comenzar a configurar el servidor blade en modo resistente, es aconsejable que estéconfigurado y se ejecute en modo estándar (no resistente).

Tabla 4-3 Descripción general de los pasos de instalación del modo resistente

Este paso... se describe aquí...

1. Instale y configure el servidor blade, ycompruebe que se ejecuta correctamente enmodo estándar (no resistente).

Instalación estándar en la página 24

2. Recopile la información de red necesaria. Pasos preliminares para repetir la configuración yusar el modo resistente en la página 53Información sobre hardware en la página 53

Nombres de usuario y contraseñas en la página 55

3. Haga copias de seguridad de la configuraciónactual.

Realización de copias de seguridad de laconfiguración actual

4. Cree la configuración base para lasinterconexiones.

Configuración de las interconexiones

5. Cargue los archivos de configuracióneditados.

Aplicación de la configuración de modo resistentea todas las interconexiones

6. Descargue y revise los archivos deconfiguración de interconexión generados.

Descarga y revisión de la configuración generada

7. Configure el servidor blade de administraciónpara utilizar el modo resistente.

Configuración del servidor blade de administraciónpara utilizar el modo resistente

8. Efectúe los cambios necesarios en el cableadodel servidor blade.

Conexiones de modo resistente a la red externa

9. Encienda los servidores blade. Cómo encender los servidores blade

Si conecta el servidor blade a la red, el acceso a Internet o el acceso a otros servicios de red puedenverse afectados. Asegúrese de que ha escogido un momento de inactividad de la red para ello y de quela planificación se corresponde con períodos de poco uso de la red.

Realización de copias de seguridad de la configuración actualRealice esta tarea para hacer copias de seguridad de la configuración actual del servidor McAfee EmailGateway Blade Server.

Es aconsejable crear una copia de seguridad completa de la configuración del servidor blade antes dellevar a cabo una ampliación, aunque tenga previsto utilizar una de las opciones de ampliación queincluyen una copia de seguridad y restauración de la configuración.

Procedimiento

1 En la interfaz de usuario, vaya a Sistema | Administración del sistema | Administración de configuración.

2 Seleccione los elementos opcionales que desee incluir en la copia de seguridad (pueden variarsegún la versión). Es aconsejable hacer copias de seguridad de todas las opciones antes de ampliarel servidor blade.

4 Funcionamiento en modo resistentePaso al funcionamiento en modo resistente


3 Haga clic en Configuración de copia de seguridad.

4 Tras un breve lapso de tiempo, aparece un cuadro de diálogo que le permite descargar el archivode configuración con copia de seguridad a su equipo local.

Instalación de las interconexiones para el modo resistenteAntes de establecer conexiones, debe instalar y configurar las interconexiones de Ethernet.

Las interconexiones se instalan en la parte trasera, inmediatamente debajo de la fila superior deventiladores de refrigeración.

Las interconexiones LAN1 se colocan en los compartimentos de interconexión superior izquierdo ysuperior derecho. Las interconexiones LAN2 se colocan en los compartimentos de interconexiónsituados inmediatamente debajo de las interconexiones LAN1.

Figura 4-1 Posición de los componentes traseros: modo resistente

Tabla 4-4 Clave para las figuras

# Descripción

Conexiones de alimentación

Interconexiones 1 y 2 (se conectan a LAN1)

Interconexiones 3 y 4 (se conectan a LAN2)

Conexión del administrador de tarjeta

Módulo del administrador de tarjeta

Acceso fuera de banda (puerto 8)

Fuera de banda (paso)

-

Funcionamiento en modo resistentePaso al funcionamiento en modo resistente 4


57

Asegúrese de hacer lo siguiente:

• Asegúrese de desactivar el protocolo de árbol de expansión (STP). (Si está instalando el servidorblade en modo Puente transparente).

• Configurar las listas de control de acceso (ACL) en las interconexiones para aislar los servidoresblade de análisis de contenido de las direcciones DHCP externas de recepción.

• Configurar las listas de control de acceso (ACL) de modo que los paquetes de latido de blade semantengan en los servidores blade.

• Si el tráfico con etiquetas VLAN va a pasar por el servidor blade, las interconexiones se debenconfigurar para permitir el paso de dicho tráfico.

En la siguiente documentación se proporciona información sobre la configuración de estos ajustes:

• HP 6125 Blade Switch Series Installation Guide (Guía de instalación de conmutadores de red de laserie 6125 de HP)

• HP 6125 Blade Switch Series Installation Guide (Guía de configuración básica del conmutador dered de la serie 6125 de HP)

La tabla muestra qué interconexiones se utilizan. De forma predeterminada, los puertos externos 2-7de cada una de las interconexiones se pueden usar para conectar cada una de las redes.

Tabla 4-5 Uso de las interconexiones

Compartimento de interconexión Modo estándar (no resistente) Modo resistente

1 LAN1 LAN1, SCAN

2 No se usa LAN1, SCAN

3 LAN2 LAN2, (OOB)

4 OOB LAN2, (OOB)

5 OOB OOB

6 No se usa OOB

7 No se usa No se usa

8 No se usa No se usa

Nota:

• En modo estándar (no resistente), la red de análisis se superpone directamente en LAN1.

• En modo estándar (no resistente), las conexiones fuera de banda (OOB) indicadas son conexionesindividuales que se excluyen mutuamente y no son resistentes.

• En modo resistente, la red de análisis comparte las mismas tarjetas de interfaz de red (NIC) queLAN1, pero estas tienen etiquetas VLAN para separar el análisis del tráfico LAN1.

• En el modo resistente, la etiqueta de la red de análisis se elimina en las ranuras del servidor bladede análisis para permitir la instalación en PXE de los servidores blade de análisis.

• Los compartimentos de interconexión 5 y 6 contienen módulos de paso, lo que permite unaconexión directa a los servidores blade de administración por conmutación en caso de error y deadministración. Los servidores blade de análisis no disponen de conexiones fuera de banda; estasse consiguen a través del servidor blade de administración y en el servidor blade de análisismediante la red de análisis.

4 Funcionamiento en modo resistentePaso al funcionamiento en modo resistente




• De forma predeterminada, la VLAN de la red fuera de banda se configura para desetiquetarse en elpuerto 8 de todas las interconexiones. Puede utilizar las interconexiones 1 y 2, a través del puerto8 en cada una de las interconexiones, para usar la red fuera de banda para administrar lasinterconexiones en la carcasa. Las interconexiones 3 y 4, a través del puerto 8, se reservan para laadministración fuera de banda del servidor blade.

• Las interconexiones de 6125 disponen de una única conexión cruzada interna. Para proporcionarresistencia, utilice los cables de conexión cruzada de fibra proporcionados para conectar el puerto 1de interconexión 1 al puerto 1 de interconexión 2. Conecte también el puerto 1 de interconexión 3al puerto 1 de interconexión 4.

Configuración de las interconexionesLas interconexiones del servidor blade requieren una configuración específica para permitir que lacarcasa funcione en modo resistente.

El software Email Gateway toma la configuración base de cada una de las interconexiones y la utilizapara generar de forma automática la configuración de interconexión completa necesaria para ejecutarel servidor blade en modo resistente.

Se puede seleccionar el medio mediante el cual se aplica la configuración generada automáticamentea las interconexiones.

Tabla 4-6 Métodos de configuración

Responsabilidad Método de aplicación de laconfiguración de lasinterconexiones

Configuración proporcionada

1. El usuario administra lasinterconexiones.

La configuración se descargadirectamente a la interconexión delsoftware Email Gateway o a unservidor FTP o TFTP externo,aunque bajo el control del usuario.

Sin credenciales en laconfiguración del chasis.Los archivos de la configuraciónbase de las interconexiones secargan al software Email Gateway.

2. El usuario administra lasinterconexiones.

Utilice la interfaz web deinterconexión para localizar ymodificar la configuración.

Sin credenciales en laconfiguración del chasis.Sin configuración base deinterconexiones cargada.

3. El software administralas interconexiones.

La configuración se descargadirectamente a la interconexióndesde el software Email Gatewaysiempre que cambia.

La configuración del chasiscontiene credenciales para lasinterconexiones.Los archivos de la configuraciónbase de las interconexiones secargan al software Email Gateway.

La configuración predeterminada de los módulos de interconexión 6125 incluye valores de configuraciónvacíos no accesibles mediante la red. Consulte Accessing the blade switch for the first time (Acceso alconmutador de blade por primera vez) en HP 6125 Blade Switch Series Installation Guide (Guía deinstalación de conmutadores de red de la serie 6125 de HP) para obtener más información sobre cómocambiar esta configuración.

Consulte el ejemplo de configuración base de las interconexiones y el ejemplo de archivo deconfiguración del chasis para obtener la información necesaria en los archivos de configuración basede las interconexiones y el archivo de configuración del chasis.

Si desea que el software Email Gateway configure automáticamente las interconexiones, utilice estatarea para crear las configuraciones base de las interconexiones.

Funcionamiento en modo resistenteConfiguración de las interconexiones 4


59


Procedimiento1 Descargue la configuración completa de cada una de las interconexiones en su estación de trabajo

mediante el ftp o tftp, iniciando sesión en las interfaces web de cada interconexión, o medianteCLI.

2 Especifique la información exclusiva de cada interconexión. Esta incluye direcciones IP, informaciónde enrutamiento, servidores syslog, servidores horarios y zonas horarias.

3 Elimine las entradas de configuración de todos los puertos, a menos que haya especificado quedesea que el generador de configuración de las interconexiones ignore dichos puertos.

Esta configuración se convierte en la base de cada una de las interconexiones.

4 Guarde los archivos como /config/wsxmlconf/resiliency/interconnect_base.n (donde n representa elnúmero de la interconexión) y añádalos al archivo .zip de configuración con copia de seguridad.

Este archivo .zip de configuración de copia de seguridad también contiene el archivochassisconfig.xml mencionado en Modificación de la configuración de la carcasa.

Modificación de la configuración de la carcasaRealice los cambios necesarios en los archivos de configuración de la carcasa modificando el archivochassisconfig.xml.

El archivo chassisconfig.xml se encuentra en el archivo comprimido de configuración, que se puededescargar y del que se pueden realizar copias de seguridad en Sistema | Administración del sistema |Administración de configuración.

La primera vez que se instale un servidor blade de administración, se generará un archivochassisconfig.xml predeterminado.

Cuando se actualiza el archivo chassisconfig.xml, la configuración de las interconexiones se vuelve agenerar de forma automática con las configuraciones del puerto de interconexión del blade.

Los elementos del archivo chassisconfig.xml que con mayor probabilidad deberán modificarse paracoincidir con los requisitos de la red son los siguientes:

• ScanningVlan (4094 predeterminado)

Es el ID de VLAN que se utiliza en el chasis de la red de análisis.

En circunstancias normales, esta VLAN no aparece en los puertos de interconexión externos.

Esta red se puede unir a puertos utilizando el nombre simbólico scan.

• UntaggedVlan (4093 predeterminado)

Este ID de VLAN se utiliza en el chasis para transportar tramas sin etiquetar de la red externa.

Esta red se puede unir a puertos utilizando el nombre simbólico defuntagged.

Esta VLAN solo se utiliza en las interconexiones; el tráfico que pase al servidor blade deadministración recibe las mismas etiquetas que se encuentren en los vínculos externos.

• OobVlan (4092 predeterminado)

Este ID de VLAN se utiliza en el chasis para separar la red OOB de las demás redes del chasis.

Esta red se puede unir a puertos utilizando el nombre simbólico oob.

4 Funcionamiento en modo resistenteModificación de la configuración de la carcasa


• BridgeVlan (no predeterminado)Esta lista de VLAN se puentea de LAN1 a LAN2 cuando se encuentra en modo Puente transparente.No es necesario especificar las VLAN que se han seleccionado para el análisis en la configuración demodo Puente transparente, puesto que se añadirán de forma automática. Las VLAN especificadasaquí no se analizan, solo se puentean de LAN1 a LAN2.

Si el sistema no está en modo Puente transparente, no se utilizará este elemento. El nombresimbólico “external” hace referencia a la lista de VLAN externas.

• ScanningSTG/ExternalSTG/OobStgEstas configuraciones son para los grupos de árbol de expansión utilizados para el árbol deexpansión en cada una de las redes de análisis, red externa y red OOB respectivamente.

En función de la configuración de STG y la topología de la red externa, puede ser necesariomodificar el campo de prioridad de cada red.

• Servidores bladeEn esta sección se incluye la función de cada una de las ranuras del servidor blade. Se puedeconfigurar una ranura como servidor blade de administración (en caso de que los servidores bladede administración no estén en las ranuras 1 y 2). Si se configura una ranura para ignorarla, no segenera configuración para los puertos de interconexión conectados a dicho servidor blade.

• Credenciales de las interconexionesSi el software Email Gateway aplica automáticamente la configuración de las interconexiones, lascredenciales deben tener añadidos la dirección IP, el nombre de usuario y la contraseña correctos.

Estas credenciales se guardan en texto no cifrado y se pueden leer si el sistema Email Gatewayestá en peligro.

• Puertos de interconexiónEl modo de funcionamiento de los puertos de interconexión se puede definir aquí. La razón másprobable para cambiar la configuración de los puertos de interconexión es activar o desactivar LACPen los puertos externos, o activar o desactivar STP. También puede ser necesario cambiar laconfiguración de los puertos para dedicar los puertos externos a la red de análisis.

La VLAN en la que las tramas sin etiquetar cruzan el puerto se define aquí.

Si los nombres predeterminados que asigna el software Email Gateway a los puertos no sonsuficientes, también puede resultar práctico ponerles nombres representativos.

El generador de configuración del software puede ignorar los puertos. Esta acción provocará unerror si el generador de configuración del software aplica la configuración a ese puerto para una delas ranuras del servidor blade.

• VLAN de interconexionesAquí se define la pertenencia del puerto de VLAN en las interconexiones. Se puede hacer referenciaa los ID de VLAN mediante números o, en el caso de las VLAN relacionadas con Email Gateway, demodo simbólico mediante los nombres indicados.

Otras consideraciones incluyen la configuración de los siguientes elementos:

• El enlace troncal de los puertos de interconexión externos.

• La configuración del árbol de expansión.

• El acceso a sus redes de administración fuera de banda (OOB).

Si desea que el software Email Gateway aplique automáticamente las configuraciones a lasinterconexiones, coloque las direcciones IP y las credenciales de las interconexiones enchassisconfig.xml.

Funcionamiento en modo resistenteModificación de la configuración de la carcasa 4


61

Sin embargo, McAfee recomienda que antes compruebe que la configuración generada de formaautomática funciona correctamente.

Aplicación de la configuración de modo resistente a todas lasinterconexiones

Aplique la configuración del modo resistente a las interconexiones.

Como se indica en Modificación de la configuración de la carcasa en la página 60, es aconsejable noincluir la información de las credenciales y la IP de las interconexiones en los archivos de configuraciónhasta que haya cargado los archivos y los haya comprobado para asegurarse de que la informaciónque contienen es correcta.

Esto impide que se configuren las interconexiones con información incorrecta.

Una vez que haya comprobado que las configuraciones están como se espera, puede agregar lainformación de las credenciales y la IP de las interconexiones y volver a cargarlas. Los archivos deconfiguración se aplicarán a las interconexiones.

Cargue los archivos de configuración modificados al servidor blade de administración mediante lacreación de un archivo .zip de configuración que contenga todos los archivos modificados y, acontinuación, restaure dicho archivo desde Sistema | Administración del sistema | Administración de configuración.Estos incluyen:

• Todos los archivos de configuración base de las interconexiones.

• El archivo chassisconfig.xml.

Debe aplicar los cambios antes de que el servidor blade pueda utilizar la configuración cargada.

Si ha añadido las direcciones IP y las credenciales de las interconexiones al archivo (chassisconfig.xml)de configuración de la carcasa, la configuración del modo resistente se aplicará automáticamente a cadainterconexión.

Descarga y revisión de la configuración generadaDescargue y revise los archivos de configuración interconnect_config.X.n generados.

Asegúrese de que la configuración generada se corresponde con la configuración deseada.

Esto puede comprobarse en Sistema | Administración del sistema | Administración de clústeres | Modo resistente.

Si se detecta algún error en estos archivos, repita los pasos indicados y genere la configuración paracorregir el problema.

Configuración del servidor blade de administración para utilizarel modo resistente

Configure el servidor blade de administración para utilizar el modo resistente.

Procedimiento1 En la interfaz de usuario, vaya a Sistema | Administración del sistema | Administración de clústeres | Modo

resistente.

2 Haga clic en Activar modo resistente.

4 Funcionamiento en modo resistenteAplicación de la configuración de modo resistente a todas las interconexiones


3 Haga clic en Aceptar para confirmar que comprende la Advertencia de activación de modo resistente.

4 Espere a que se apaguen de forma automática el servidor blade de administración, el deadministración para conmutación en caso de error y todos los servidores blade de análisis.

5 Efectúe los cambios que sean necesarios en la interconexión de la red externa al servidor blade.

6 Encienda los servidores blade de administración para conmutación en caso de error y deadministración.

Consulte el Panel para asegurarse de que los servidores blade de administración y de administraciónpara conmutación en caso de error funcionan correctamente y de que están sincronizados.

7 Encienda todos los servidores blade de análisis de contenido por separado.

Conexiones de modo resistente a la red externaConfigure las conexiones que necesita entre su red externa y el servidor blade de Email Gateway.

Las conexiones entre su red externa y el servidor blade de Email Gateway dependen del modo defuncionamiento del servidor blade que haya seleccionado. La configuración de su red externa tambiéndetermina sus conexiones.

Si utiliza el administrador de tarjeta, compruebe que está conectado a él, así como a lasinterconexiones.

Funcionamiento en modo resistenteConexiones de modo resistente a la red externa 4


63

Compruebe que todas las conexiones entre las interconexiones del servidor blade y la red estáncompuestas por vínculos unidos para proporcionar resistencia en caso de que se produzca un fallo enun cable, interconexión o conmutador.

Figura 4-2 Conexiones de red habituales: modo resistente

Vínculos LAN (redes LAN1, LAN2 u OOB)

Red de análisis interna

Vínculos unidos

Vínculos bloqueados normalmente por STP

1. Red externa

2. Infraestructura de red

3. Interconexión 1 (para LAN1), Interconexión 3 (para LAN2 u OOB)

4. Interconexión 2 (para LAN1), Interconexión 4 (para LAN2 u OOB)

4 Funcionamiento en modo resistenteConexiones de modo resistente a la red externa


5. Servidor blade de administración

6. Servidor blade de administración para conmutación en caso de error

7. Servidores blade de análisis

Por motivos de simplicidad, el diagrama muestra únicamente un conjunto de rutas de LAN/OOB. Lasrutas para LAN1, LAN2 y OOB son similares.

Encendido de los servidores bladeEncienda todos los servidores blade de McAfee Email Gateway Blade Server.

Antes de empezarAsegúrese de haber realizado todas las tareas incluidas en Paso al funcionamiento en modoresistente en la página 56.

Procedimiento1 Pulse el botón de encendido del servidor blade de administración.

2 Una vez que el servidor blade de administración haya completado la secuencia de arranque, pulseel botón de encendido del servidor blade de administración para conmutación en caso de error.

3 Una vez que los servidores blade de administración y de administración para conmutación en casode error hayan completado sus secuencias de arranque, puede encender los servidores blade deanálisis de contenido.

Para evitar un pico de tensión, es aconsejable que cada uno de los servidores blade de análisis decontenido complete la secuencia de arranque antes de encender el siguiente servidor blade deanálisis de contenido.

Funcionamiento en modo resistenteEncendido de los servidores blade 4


65

4 Funcionamiento en modo resistenteEncendido de los servidores blade


5Solución de problemas

Encuentre descripciones de problemas que puede experimentar al integrar el dispositivo en una redexistente.

Para utilizar la herramienta de solución de problemas incluida con la interfaz de usuario del dispositivode software McAfee Email Gateway Appliance, seleccione Solucionar problemas en la barra de navegación.

Solución de problemas específicos del servidor bladeEncuentre información específica para solucionar problemas del servidor McAfee Email Gateway BladeServer.

Sistemas de supervisión externaMcAfee recomienda configurar un sistema de supervisión dedicado para ofrecer advertenciasavanzadas sobre los problemas o errores que se producen en las carcasas de McAfee Email GatewayBlade Server.

El estado de la carcasa y las interconexiones se puede supervisar directamente con el protocoloSimple Network Management Protocol (SNMP), y los módulos Integrated Lights-Out se puedenconfigurar para enviar capturas SNMP en caso de que se encuentren condiciones de error. El softwareMcAfee Email Gateway Blade Server también se puede supervisar mediante SNMP.

Estado de la tarjeta de interfaz de redAprenda a comprobar el estado de las tarjetas de interfaz de red (NIC, Network Interface Card).

El estado de los vínculos a todas las tarjetas de interfaz de red de cada servidor blade se puedeconsultar en la interfaz de usuario del software McAfee Email Gateway, en Sistema | Administración delsistema | Administración de clústeres.

Eventos del sistemaSepa dónde ver los eventos del sistema.

Puede utilizar Informes | Informes del sistema en la interfaz de usuario del software McAfee Email Gatewaypara ver información del sistema de supervisión del servidor blade y del sistema de configuración deinterconexión.

5


67

5 Solución de problemasSolución de problemas específicos del servidor blade


AApéndices

Encuentre información que puede resultar práctica al instalar y configurar el servidor blade.

Contenido Ejemplo de configuración base de las interconexiones Ejemplo de archivo de configuración del chasis Procedimientos de cambio de hardware

Ejemplo de configuración base de las interconexionesVea un ejemplo de configuración base de una de las interconexiones utilizadas en el servidor blade.

Al configurar el servidor blade de Email Gateway para utilizar el modo resistente, es necesario unarchivo de configuración base para cada interconexión en la carcasa del servidor blade.

Ejemplo de configuración base de las interconexiones: interconnect_base.n (donden = número de interconexión)

# version 5.20.99, Release 2106# sysname ic1# super password level 3 cipher <encrypted password># irf mac-address persistent timer irf auto-update enable undo irf link-delay# domain default enable system # telnet server enable # password-recovery enable#domain system access-limit disable state active idle-cut disable self-service-url disable#user-group system


69

group-attribute allow-guest#local-user admin password cipher <encrypted password> authorization-attribute level 3 service-type telnet service-type web##interface M-Ethernet0/0/0 ip address dhcp-alloc# ntp-service unicast-server 10.173.0.3# load xml-configuration #user-interface aux 0user-interface vty 0 7 set authentication password cipher <encrypted password>#

Ejemplo de archivo de configuración del chasisVea un ejemplo de archivo de configuración del chasis del servidor blade al ejecutarse en modoresistente.

Ejemplo de archivo chassisconfig.xml parcial donde Interconnect id="1"<?xml version="1.0" encoding="UTF-8"?><Chassis> <Chassis>    <MgmtVlan vlanTag="4095"/>  <ScanningVlan vlanTag="4094"/>  <UntaggedVlan vlanTag="4093"/>  <OobVlan vlanTag="4092"/>  <BridgeVlan/>  <MgmtSTG id="4" priority="61440" enable="no"/> <ScanningSTG id="3" priority="32768" enable="yes"/>   <ExternalSTG id="1" priority="28672" enable="no" resiliencyMode="0"/> <ExternalSTG id="1" priority="28672" enable="yes" resiliencyMode="1"/> <OobSTG id="2" priority="32768" enable="yes"/> </Chassis> <Networks>    <Network id="lan1" bond_mode="balance-alb"/> <Network id="lan2" bond_mode="balance-alb"/> <Network id="scan" bond_mode="balance-alb"/>  <Network id="oob" bond_mode="active-backup"/> </Networks> <Blades>  <Blade id="1" isMgmt="yes"/> <Blade id="2" isMgmt="yes"/>   </Blades>  <Interconnects> <Interconnect id="1">  <Credentials username="admin" password="admin" superpassword="admin"/> <Ports>             <Port id="17" name="CrossConnectAto2" vlanId="defuntagged" enable="no" edgePort="no" lacpEnable="active" lacpKey="100" stpEnable="yes" resiliencyMode="0"/> <Port id="18" name="CrossConnectBto2" vlanId="defuntagged" enable="no" edgePort="no" lacpEnable="active" lacpKey="100" stpEnable="yes" resiliencyMode="0"/> <Port id="17" name="CrossConnectAto2" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="100" stpEnable="yes" resiliencyMode="1"/> <Port id="18" name="CrossConnectBto2" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="100" stpEnable="yes" resiliencyMode="1"/>  <Port id="19" ignore="yes"/>  <Port id="20" name="External20" vlanId="oob" enable="yes" edgePort="no" lacpEnable="active" lacpKey="102" stpEnable="yes"/> <Port id="21" name="External21" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/> <Port id="22" name="External22" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/> <Port id="23" name="External23" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/> <Port id="24" name="External24" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/>  <Port id="25" name="External25" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/> <Port id="26" name="External26" vlanId="defuntagged" enable="yes" edgePort="no" lacpEnable="active" lacpKey="101" stpEnable="yes"/> </Ports> <VLANs>        <VLAN id="oob"> <Port id="17"/> <Port id="18"/> <Port id="20"/> </VLAN>   <VLAN id="scan"> <Port id="17"/> <Port id="18"/> </VLAN>   <VLAN id="external"> <Port id="17"/> <Port id="18"/> <Port id="21"/> <Port id="22"/> <Port id="23"/> <Port id="24"/> <Port id="25"/> <Port id="26"/> </VLAN> </VLANs> </Interconnect>  <Interconnect id="5"/>  <Interconnect id="6"/>  </Interconnects></Chassis>

Procedimientos de cambio de hardwareAprenda a sustituir componentes de hardware con desperfectos.

Sustitución de un servidor blade de administración con falloSustituya el servidor blade de administración si este ha fallado.

Realice esta tarea para sustituir el servidor blade de administración si ha fallado.

Procedimiento1 Apague el servidor blade de administración.

2 Retire el servidor blade de administración antiguo.

3 Introduzca el nuevo servidor blade de administración.

4 Instale el software McAfee Email Gateway.

Consulte Instalación del software en la página 30 para obtener información sobre la reinstalacióndel software y la configuración del servidor blade de administración.

5 Configure el nuevo servidor blade como servidor blade de administración (si es necesario).

ApéndicesProcedimientos de cambio de hardware A


71

Sustitución de un servidor blade de administración paraconmutación en caso de error con falloSustituya el servidor blade de administración para conmutación en caso de error si este ha fallado.

Realice esta tarea para sustituir el servidor blade de administración para conmutación en caso de errorsi ha fallado.

Procedimiento1 Apague el servidor blade de administración para conmutación en caso de error.

2 Retire el servidor blade de administración para conmutación en caso de error antiguo.

3 Introduzca el nuevo servidor blade de administración para conmutación en caso de error.

4 Instale el software Email Gateway.

Consulte Instalación del software para obtener información sobre la reinstalación del software y laconfiguración a partir del servidor blade de administración para conmutación en caso de error.

5 Configure el nuevo servidor blade como servidor blade de administración para conmutación en casode error (si es necesario).

Sustitución de un servidor blade de análisis con falloSustituya un servidor blade de análisis en el que se haya producido un fallo.

Si el nuevo servidor blade tiene unidades de disco duro vacías, instalará automáticamente una imagendel servidor blade de análisis. En caso contrario, siga el procedimiento de Instalación del software enun servidor blade de análisis de contenido para forzar al servidor blade de análisis a reinstalar susoftware.

Procedimiento1 Apague el servidor blade.

Espere a que se apague el servidor blade.

2 Sustituya el servidor blade una vez que se haya apagado.

Sustitución de una interconexión con falloSustituya una interconexión con fallo.

Para sustituir una interconexión, es necesario planificar el tiempo de inactividad del sistema paraconfigurar la interconexión de sustitución in situ o utilizar un segundo servidor blade para configurar lainterconexión por separado con respecto al sistema real.

Es necesario configurar la interconexión de sustitución offline, puesto que la configuraciónpredeterminada puede interferir con la topología de red en ejecución.

Para sustituir una interconexión que no tenga un servidor blade de repuesto disponible:

Procedimiento1 Apague los servidores blade de análisis.

2 Apague el servidor blade para conmutación en caso de error.

3 Descargue el archivo de configuración de interconexión del servidor blade de administración (si nopermite que el software McAfee Email Gateway configure las interconexiones de forma automática).

A ApéndicesProcedimientos de cambio de hardware


4 Desconecte el chasis de todas las redes excepto de la red OOB (si se sustituyen las interconexiones1 o 2), o excepto de la red LAN1 (si se sustituyen las interconexiones 3 o 4) y mantenga solo unainterconexión conectada a la red LAN restante.

5 Sustituya la interconexión y enciéndalo.

6 Asegúrese de que la interconexión tiene una dirección IP correcta. Esto debería producirse deforma automática si la dirección IP de la interconexión se proporciona a través del módulo del OA yDHCP.

7 Si no se permite que el software McAfee Email Gateway configure automáticamente lainterconexión, cargue la configuración de interconexión.

Si se permite que el software McAfee Email Gateway configure la interconexión de formaautomática, utilice el botón “Aplicar configuración de interconexión” de la interfaz gráfica deusuario de McAfee Email Gateway o de la consola de modo de texto, o ejecute el siguientecomando en el servidor blade de administración: scm /opt/NETAwss/resiliency/apply_chassis_config.

8 Compruebe que la interconexión ha aceptado su configuración sin error.

9 Restablezca las conexiones de red.

10 Encienda los servidores blade de análisis y conmutación en caso de error.

Sustitución de un módulo del administrador de tarjetaSustituya un módulo del administrador de tarjeta en el que se haya producido un fallo.

Consulte la documentación de HP para conocer el procedimiento correcto de sustitución del módulo deladministrador de tarjeta.

ApéndicesProcedimientos de cambio de hardware A


73

A ApéndicesProcedimientos de cambio de hardware


Índice

Aacerca de esta guía 5asistente de instalación

personalizada 33

asistente de instalación personalizada 33

Ccolas del correo electrónico 35

comentario sobre amenazas 35

configuración de clústerestadísticas 35

Consola de configuración 32

convenciones tipográficas e iconos utilizados en esta guía 5

Ddetecciones

índices y estadísticas 35

DHCP 32

directivasestado 35

DMZ 18

configuración SMTP 18

documentaciónconvenciones tipográficas e iconos 5destinatarios de esta guía 5específica de producto, buscar 7

Eenrutador transparente, modo 15

estadísticasPanel 35

estado de la red 35

estado del correo electrónico 35

Ggateway de correo electrónico

con una DMZ 18

gráficosestadísticas de red y del correo electrónico 35

MMcAfee Global Threat Intelligence 35

McAfee ServicePortal, acceso 7mensajes de advertencia

Panel 35

mensajes de cambio de configuración 35

modo de puente transparente 12

modo proxy explícito 16

modo resistente 51

modos de redenrutador transparente, modo 15

introducción 11



modos operativosenrutador transparente, modo 15



Oopciones de instalación

instalación personalizada 33

PPanel 35

prioridad de puente 14

Rreglas de firewall


retransmisión de correoen una DMZ 18

SServicePortal, buscar documentación del producto 7Soporte técnico, buscar información del producto 7STP 14

Zzona desmilitarizada

configuración SMTP 18

zona desmilitarizada (DMZ) 18


75

700-3359C02

Date post:	25-Sep-2018
Category:	Documents
Upload:	dinhdiep
View:	216 times
Download:	0 times

Revisión C Guía de instalación - kc.mcafee.com · Intel y el logotipo de Intel son marcas...

Documents