소개
이 문서에서는 AsyncOS 버전을 업그레이드해야 하고 베타 및 시험판 테스트를 실행하는 ESA 및 SMA에 대한 업데이트를 받아야 하는 베타 고객 및 테스트에 사용된 사전 프로비저닝된 어플라이언스의 프로세스에 대해 설명합니다. 이 문서는 Cisco ESA(Email Security Appliance) 및 Cisco SMA(Security Management Appliance)와 직접 관련이 있습니다. 스테이징 서버는 표준 프로덕션 고객이 프로덕션 ESA 또는 SMA에 사용할 수 없습니다. 스테이징 OS 릴리스, 서비스 규칙 및 서비스 엔진은 프로덕션에 따라 다릅니다.
프로덕션 라이센스는 라이센스 확인 및 인증을 통과할 수 없으므로 Stage 릴리스로 업그레이드할 수 없습니다. 프로덕션 VLN에는 생성 중에 라이센스가 작성될 때 서명된 값이 있으며, 이는 프로덕션 라이센스 서비스와 일치합니다. 스테이지 라이센스에는 스테이징 라이센스 서비스에 대해서만 별도의 서명이 작성됩니다.
사전 요구 사항
요구 사항
- 관리자는 베타(릴리스 전 OS) 설치 또는 업그레이드에 대한 이전 연락을 받았습니다.
- 베타 및 사전 출시 테스트에 참여하는 고객은 베타 응용 프로그램을 완료했으며 베타 시작 전에 비공개 계약을 읽고 동의했습니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
스테이징 업데이트를 위한 Cisco Email Security and Security Management 구성
참고: 고객은 Cisco for Beta(시험판 OS)를 통해 사전 프로비저닝에 액세스할 수 있는 경우에만 스테이징 업데이트 서버 URL을 사용해야 합니다. 베타 사용에 대해 적용된 유효한 라이센스가 없는 경우 어플라이언스는 스테이징 업데이트 서버에서 업데이트를 수신하지 않습니다. 이 지침은 베타 고객 또는 베타 테스트에 참여하는 관리자에게만 사용해야 합니다.
스테이징 업데이트 및 업그레이드를 받으려면
GUI에 로그인
- Security Services(보안 서비스) > Services Updates(서비스 업데이트) > Edit Update Settings(업데이트 설정 편집)...를 선택합니다.
- 모든 서비스가 Cisco IronPort 업데이트 서버를 사용하도록 구성되었는지 확인합니다.
CLI에 로그인
- updateconfig 명령을 실행합니다.
- 숨겨진 하위 명령 dynamichost 실행
- 다음 명령 중 하나를 입력합니다.
- 하드웨어 ESA/SMA: stage-update-manifests.ironport.com:443
- 가상 ESA/SMA의 경우: stage-stg-updates.ironport.com:443
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit을 입력합니다.
다음을 확인합니다.
확인은 적절한 단계 URL에 대해 통신을 성공한 updater_logs에서 확인할 수 있습니다. 어플라이언스의 CLI에서 grep stage updater_logs를 입력합니다.
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
예기치 않은 통신 오류가 있는 경우 dig <stage URL>을 입력하여 DNS(Domain Name Server)를 확인합니다.
예:
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
어플라이언스가 포트 80을 통해 텔넷할 수 있는지 확인하고, telnet <stage URL> 명령 80을 실행합니다.
예:
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
되돌리기
표준 프로덕션 업데이트 서버로 돌아가려면 다음 단계를 완료하십시오.
- updateconfig 명령을 입력합니다
- 숨겨진 하위 명령 dynamichost를 입력합니다
- 다음 명령 중 하나를 입력합니다.
- 하드웨어 ESA/SMA: update-manifests.ironport.com:443
- 가상 ESA/SMA의 경우: update-manifests.sco.cisco.com:443
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다
참고: 하드웨어 어플라이언스(C1x0, C3x0, C6x0, X10x0)는 stage-update-manifests.ironport.com:443 또는 update-manifests.ironport.com:443의 동적 호스트 URL만 사용해야 합니다. ESA와 vESA가 모두 포함된 클러스터 컨피그레이션이 있는 경우 시스템 레벨에서 updateconfig를 구성하고 동적 호스트가 적절하게 설정되었는지 확인해야 합니다.
URL 필터링
AsyncOS 13.0 이상
URL 필터링이 구성되어 어플라이언스에서 사용 중인 경우, 어플라이언스가 단계 URL을 업데이트용으로 사용하도록 리디렉션되면 URL 필터링에 스테이징 서버를 사용하도록 어플라이언스를 구성해야 합니다.
- CLI를 통해 어플라이언스에 액세스
- 명령을 입력합니다 websecurityadvancedconfig
- 컨피그레이션을 단계별로 수행하고 웹 보안 서비스 호스트 이름 입력 옵션의 값을 v2.beta.sds.cisco.com으로 변경합니다
- 옵션의 값을 변경합니다. 미해결 요청의 임계값을 기본값 50에서 5로 입력합니다.
- 다른 모든 옵션의 기본값을 수락합니다.
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다
되돌리기
프로덕션 Web Security 서비스로 되돌아가려면 다음 단계를 완료하십시오.
- CLI를 통해 어플라이언스에 액세스
- websecurityadvancedconfig 명령을 입력합니다
- 컨피그레이션을 단계별로 수행하고 웹 보안 서비스 호스트 이름 입력 옵션의 값을 v2.sds.cisco.com으로 변경합니다
- 다른 모든 옵션의 기본값을 수락합니다.
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다
AsyncOS 13.5 이상(Cisco Talos Services 사용)
AsyncOS 13.5 for Email Security부터 CUA(Cloud URL Analysis)가 도입되어 websecurityadvancedconfig 옵션을 변경했습니다. 이제 URL 분석이 Talos 클라우드에서 수행되므로 웹 보안 서비스 호스트 이름이 더 이상 필요하지 않습니다. 이는 talosconfig 명령으로 대체된 것입니다. 이 기능은 ESA의 명령줄에서만 사용할 수 있습니다.
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
Stage 라이센스를 실행 중인 경우 Talos 서비스용 Stage 서버를 가리켜야 합니다.
talosupdate 및 talosstatus를 실행하여 모든 Talos 기반 서비스의 업데이트 및 현재 상태를 요청할 수 있습니다.
예:
자세한 내용은 AsyncOS 13.5 for Cisco Email Security Appliances 사용 설명서를 참조하십시오.
Cisco Talos 서비스에 액세스하기 위한 방화벽 설정
이메일 게이트웨이를 Cisco Talos 서비스에 연결하려면 다음 호스트 이름 또는 IP 주소에 대한 방화벽의 HTTPS(Out) 443 포트를 열어야 합니다(아래 표 참조).
호스트 이름 |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
웹 상호작용 추적
웹 상호작용 추적 기능은 재작성된 URL을 클릭한 최종 사용자 및 각 사용자 클릭과 관련된 작업(허용, 차단 또는 알 수 없음)에 대한 정보를 제공합니다.
요구 사항에 따라 전역 설정 페이지 중 하나에서 웹 상호 작용 추적을 활성화할 수 있습니다.
- Outbreak Filter. Outbreak Filter에서 재작성한 URL을 클릭한 최종 사용자 추적
- URL 필터링. 정책에 의해 재작성된 URL을 클릭한 최종 사용자 추적(콘텐츠 및 메시지 필터 사용)
웹 상호 작용 추적이 구성되어 사용 중인 경우, 어플라이언스가 단계 URL을 사용하여 업데이트를 하도록 리디렉션된 후 스테이징 어그리게이터 서버를 사용하도록 어플라이언스를 구성해야 합니다.
- CLI를 통해 어플라이언스에 액세스
- aggregatorconfig 명령을 입력합니다
- EDIT 명령을 사용하고 다음 값을 입력합니다. stage.aggregator.sco.cisco.com
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit 실행
집계가 스테이징에 대해 구성되지 않은 경우 관리자 이메일 알림을 통해 30분마다 유사한 알림을 볼 수 있습니다.
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
또는 CLI에서 displayalerts 명령을 실행하여 다음을 수행합니다.
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
되돌리기
표준 Production Aggregator 서버로 돌아가려면 다음 단계를 수행하십시오.
- CLI를 통해 어플라이언스에 액세스
- aggregatorconfig 명령을 입력합니다
- EDIT 명령을 사용하고 aggregator.cisco.com 값을 입력합니다.
- 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다
- 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다
문제 해결
문제 해결 명령은 이 문서의 "확인" 섹션에 나와 있습니다.
upgrade 명령 실행 시 다음과 같은 메시지가 나타나면
Failure downloading upgrade list.
동적 호스트를 변경했는지 확인하십시오. 이 과정이 계속되는 경우, ESA 또는 SMA가 베타 또는 사전 릴리스 테스트를 위해 올바르게 프로비저닝되었는지 질문하고 검증하십시오.
관련 정보