简介
本文档介绍与思科安全邮件网关(SEG)(也称为思科邮件安全设备)的AsyncOS升级过程相关的步骤。
要求
- 在“系统状态”输出中,确保设备RAID状态为“就绪”或“最佳”。请勿在RAID状态为DEGRADED的设备上启动升级。联系Cisco TAC为您的设备启动退货授权(RMA)案例。
- 验证邮件安全设备(ESA)是独立设备还是在集群环境中。如果是集群的,请务必正确查看本文档的集群升级部分。
- 确保端口80和443上存在来自ESA的Internet连接,且无数据包检测。
- 需要功能正常的DNS服务器。
ESA/SMA之间的兼容性
在升级之前,请检查ESA和SMA系统的兼容性。旧版本的AsyncOS for Email Security可能需要多次升级才能升级到最新版本。有关升级路径和设备调配的确认,请联系思科TAC。
准备升级
- 将XML配置文件保存在设备外。如果您由于任何原因需要恢复为升级前版本,可以使用此文件导入之前的配置。
- 如果您使用安全列表/阻止列表功能,请将该列表导出到设备外。
- 挂起所有侦听程序。如果从CLI执行升级,请使用
suspendlistener
命令。如果从GUI执行升级,将自动暂停监听程序。
- 等待队列清空。您可以使用
workqueue
命令查看工作队列中的消息数量,或在CLI中使用rate命令监控设备上的消息吞吐量。
下载并安装升级
从AsyncOS for Email Security版本8.0开始,升级选项更新为现在除了DOWNLOAD之外还包含DOWNLOADINSTALL。这样,管理员就可以在一次操作中灵活地下载和安装,或者在后台下载并在以后安装。
(Machine host1.example.com)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
有关完整信息,请参阅用户指南。
在CLI上升级
- 输入
status
命令并确保监听程序挂起。您可以看到“System status: Receiving suspended”。
- 输入
upgrade
命令。
- 选择DOWNLOADINSTALL或DOWNLOAD选项。
- 选择与所需升级版本关联的相应编号。
- 完成所需问题以保存当前配置,并在应用升级时批准重新启动。
- 升级后,登录到CLI,然后输入
resume
恢复侦听程序并确保操作。输入 status
命令并确认“System status: Online(系统状态:联机)”。
通过GUI升级
- 选择System Administration > System Upgrade。
- 单击升级选项……
- 选择“下载并安装”或“下载”选项。
- 点击并突出显示所需的升级版本。
- 选择适当的升级准备选项。
- 继续,开始升级并显示监控进度条。
- 升级后,登录到CLI并输入
resume
要恢复侦听程序并确保操作:选择系统管理>关闭/挂起>恢复(全部检查)。
- 在“邮件操作”部分中,选择提交。
集群升级
集群中的ESA从CLI或GUI使用的升级过程与前几节中的相同,但有一个例外,即会提示断开集群中的设备。
注意:您可以使用CLI或GUI执行升级,但是重新连接 clusterconfig
命令只能通过CLI使用。本文档介绍如何通过CLI升级计算机。
从CLI看到的示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
从GUI中看到的示例:
注意:这只是管理断开连接。这将停止在集群中从断开连接的设备或到断开连接的设备的所有配置同步尝试。这不会删除或更改设备配置。
完成以下步骤,以通过CLI升级在集群中运行的ESA:
- 输入
upgrade
命令将AsyncOS升级到更高版本。当系统询问您是否要断开群集时,请用字母做出响应 Y
要继续,请执行以下操作:
(Machine host1.example.com)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 使用所有升级提示(包括重新引导提示)。
- 升级并重新启动集群中的所有计算机后,通过CLI登录集群中的一台计算机,并输入
clusterconfig
命令。在集群级别重新连接它们,以允许配置同步和恢复集群操作。
- 响应
Yes
重新连接。无需提交。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 发出命令
connstatus
确认集群中的所有设备。此外,发出命令 clustercheck
确认不存在不一致。
集群升级建议包括:
- 将所有设备升级到匹配的版本之前,请勿将ESA重新连接到集群。
- 如果需要,一旦一个ESA完成升级,请恢复监听程序(如果之前已暂停),并使其作为独立设备运行。
- 当ESA与集群断开连接时,请勿更改或修改配置,以免重新连接到集群级别的升级后配置不一致。
- 将所有设备升级到相同版本后,在集群级别重新连接这些设备,以允许配置同步和恢复集群操作。
检查后:
- 如果设备由SMA管理,则:
- 导航到管理设备(Management Appliance)>集中服务(Centralized Services)>安全设备(Security Appliances),并确保所有服务都已启动,并且连接显示“已建立”(Established)。
- 导航到邮件(Email)>邮件跟踪(Message Tracking)>邮件跟踪数据可用性(Message Tracking Data Availability),并检查所有ESA的状态是否显示OK。
- 在每台设备上,输入
status
命令并查找它以显示为联机。
- 输入
displayalerts
命令并检查升级后是否出现任何新的警报。
- 如果在集群中,则
clustercheck
命令不能显示任何不一致,并且 connstatus
命令必须将设备显示为已连接,且没有错误。
- 要验证邮件流,请输入
tail mail_logs
命令到CLI。
故障排除
tail updater_logs
和 tail upgrade_logs
如果升级出现问题,也可以提供相关信息。
- 如果在下载映像或更新反垃圾邮件或防病毒软件时出现问题,则可能是因为这些进程无法联系和更新服务引擎或规则集。使用vESA Is Not Able to Download and Apply Updates for Antispam or Antivirus 中提供的步骤。
- 如果升级由于网络中断而失败,则升级过程输出中可能会出现类似错误:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
这通常是由于ESA与更新服务器之间传输数据时可能发生的网络中断所致。调查任何网络防火墙日志或监控来自ESA的数据包流量以更新服务器。
如果需要,请参阅ESA数据包捕获过程以在ESA上启用数据包捕获,然后重新尝试升级过程。
注意:防火墙需要允许空闲连接保持活动状态,尤其是在升级过程中。
对于需要静态升级服务器的严格网络防火墙,请参阅内容安全设备升级或使用静态服务器的更新,了解如何配置静态更新和升级服务器。
对于硬件设备,请测试与这些动态服务器的连接:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
对于虚拟设备,您必须使用以下动态服务器:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
有关完整的防火墙信息和端口要求,请参阅用户指南。
相关信息