安全邮件网关的升级过程

下载选项

  • PDF     (392.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (91.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (107.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 9 月 14 日
文档 ID:118547

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍与思科安全邮件网关(SEG)(也称为思科邮件安全设备)的AsyncOS升级过程相关的步骤。

    要求

    • 在“系统状态”输出中,确保设备RAID状态为“就绪”或“最佳”。请勿在RAID状态为DEGRADED的设备上启动升级。联系Cisco TAC为您的设备启动退货授权(RMA)案例。
    • 验证邮件安全设备(ESA)是独立设备还是在集群环境中。如果是集群的,请务必正确查看本文档的集群升级部分。
    • 确保端口80和443上存在来自ESA的Internet连接,且无数据包检测。
    • 需要功能正常的DNS服务器。

    ESA/SMA之间的兼容性

    在升级之前,请检查ESA和SMA系统的兼容性。旧版本的AsyncOS for Email Security可能需要多次升级才能升级到最新版本。有关升级路径和设备调配的确认,请联系思科TAC

    准备升级

    1. 将XML配置文件保存在设备外。如果您由于任何原因需要恢复为升级前版本,可以使用此文件导入之前的配置。
    2. 如果您使用安全列表/阻止列表功能,请将该列表导出到设备外。
    3. 挂起所有侦听程序。如果从CLI执行升级,请使用 suspendlistener 命令。如果从GUI执行升级,将自动暂停监听程序。
    4. 等待队列清空。您可以使用 workqueue 命令查看工作队列中的消息数量,或在CLI中使用rate命令监控设备上的消息吞吐量。

    下载并安装升级

    从AsyncOS for Email Security版本8.0开始,升级选项更新为现在除了DOWNLOAD之外还包含DOWNLOADINSTALL。这样,管理员就可以在一次操作中灵活地下载和安装,或者在后台下载并在以后安装。

    (Machine host1.example.com)> upgrade


    Choose the operation you want to perform:
    - DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
    - DOWNLOAD - Downloads the upgrade image.
    []> download

    Upgrades available.
    1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
    2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
    [2]>

    有关完整信息,请参阅用户指南

    在CLI上升级

    1. 输入 status 命令并确保监听程序挂起。您可以看到“System status: Receiving suspended”。
    2. 输入 upgrade 命令。
    3. 选择DOWNLOADINSTALLDOWNLOAD选项。
    4. 选择与所需升级版本关联的相应编号。
    5. 完成所需问题以保存当前配置,并在应用升级时批准重新启动。
    6. 升级后,登录到CLI,然后输入 resume 恢复侦听程序并确保操作。输入 status 命令并确认“System status: Online(系统状态:联机)”。

    通过GUI升级

    1. 选择System Administration > System Upgrade
    2. 单击升级选项……
    3. 选择“下载并安装”或“下载”选项。
    4. 点击并突出显示所需的升级版本。
    5. 选择适当的升级准备选项。
    6. 续,开始升级并显示监控进度条。
    7. 升级后,登录到CLI并输入 resume 要恢复侦听程序并确保操作:选择系统管理>关闭/挂起>恢复(全部检查)
    8. 在“邮件操作”部分中,选择提交

    集群升级

    集群中的ESA从CLI或GUI使用的升级过程与前几节中的相同,但有一个例外,即会提示断开集群中的设备。

    注意:您可以使用CLI或GUI执行升级,但是重新连接 clusterconfig 命令只能通过CLI使用。本文档介绍如何通过CLI升级计算机。

    从CLI看到的示例:

    (Cluster my_cluster)> upgrade

    This command is restricted to run in machine mode of the machine you are logged in to.
     Do you want to switch to "Machine applianceA.local" mode? [Y]> y

    从GUI中看到的示例:

    Cluster Disconnect Warning

    注意:这只是管理断开连接。这将停止在集群中从断开连接的设备或到断开连接的设备的所有配置同步尝试。这不会删除或更改设备配置。

    完成以下步骤,以通过CLI升级在集群中运行的ESA:

    1. 输入 upgrade 命令将AsyncOS升级到更高版本。当系统询问您是否要断开群集时,请用字母做出响应 Y 要继续,请执行以下操作:

      (Machine host1.example.com)> upgrade

      You must disconnect all machines in the cluster in order to upgrade them. Do you wish
      to disconnect all machines in the cluster now? [Y]> Y


    2. 使用所有升级提示(包括重新引导提示)。

    3. 升级并重新启动集群中的所有计算机后,通过CLI登录集群中的一台计算机,并输入 clusterconfig 命令。在集群级别重新连接它们,以允许配置同步和恢复集群操作。
    4. 响应 Yes 重新连接。无需提

      Choose the machine to reattach to the cluster. Separate multiple machines with commas
      or specify a range with a dash.

      1. host2.example.com (group Main)
      2. host3.example.com (group Main)
      3. host4.example.com (group Main)

      [1]> 1-3
    5. 发出命令 connstatus 确认集群中的所有设备。此外,发出命令 clustercheck 确认不存在不一致。

    集群升级建议包括:

    • 将所有设备升级到匹配的版本之前,请勿将ESA重新连接到集群。
    • 如果需要,一旦一个ESA完成升级,请恢复监听程序(如果之前已暂停),并使其作为独立设备运行。
    • 当ESA与集群断开连接时,请勿更改或修改配置,以免重新连接到集群级别的升级后配置不一致。
    • 将所有设备升级到相同版本后,在集群级别重新连接这些设备,以允许配置同步和恢复集群操作。

    检查后:

    • 如果设备由SMA管理,则:
      • 导航到管理设备(Management Appliance)>集中服务(Centralized Services)>安全设备(Security Appliances),并确保所有服务都已启动,并且连接显示“已建立”(Established)。
      • 导航到邮件(Email)>邮件跟踪(Message Tracking)>邮件跟踪数据可用性(Message Tracking Data Availability),并检查所有ESA的状态是否显示OK
      • 在每台设备上,输入 status 命令并查找它以显示为联机。
      • 输入 displayalerts 命令并检查升级后是否出现任何新的警报。
      • 如果在集群中,则 clustercheck 命令不能显示任何不一致,并且 connstatus 命令必须将设备显示为已连接,且没有错误。
      • 要验证邮件流,请输入 tail mail_logs 命令到CLI。

    故障排除

    1. tail updater_logstail upgrade_logs 如果升级出现问题,也可以提供相关信息。
    2. 如果在下载映像或更新反垃圾邮件或防病毒软件时出现问题,则可能是因为这些进程无法联系和更新服务引擎或规则集。使用vESA Is Not Able to Download and Apply Updates for Antispam or Antivirus 中提供的步骤。
    3. 如果升级由于网络中断而失败,则升级过程输出中可能会出现类似错误:
    Reinstalling AsyncOS... 66% 01:05ETA.
    /usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
     Input/output error
    tar: Error exit delayed from previous errors.
    Upgrade failure.

    这通常是由于ESA与更新服务器之间传输数据时可能发生的网络中断所致。调查任何网络防火墙日志或监控来自ESA的数据包流量以更新服务器。

    如果需要,请参阅ESA数据包捕获过程以在ESA上启用数据包捕获,然后重新尝试升级过程。

    注意:防火墙需要允许空闲连接保持活动状态,尤其是在升级过程中。

    对于需要静态升级服务器的严格网络防火墙,请参阅内容安全设备升级或使用静态服务器的更新,了解如何配置静态更新和升级服务器。

    对于硬件设备,请测试与这些动态服务器的连接:

    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80

    对于虚拟设备,您必须使用以下动态服务器:

    • telnet update-manifests.sco.cisco.com 443
    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80  

    有关完整的防火墙信息和端口要求,请参阅用户指南

    相关信息

    修订历史记录

    版本 发布日期 备注
    3.0
    14-Sep-2023
    更新了PII、SEO、简介、机器翻译、样式要求和格式。
    2.0
    28-Jul-2022
    2022年更新
    1.0
    09-Oct-2014
    初始版本
    TAC Authored

    由思科工程师提供

    • Anvitha Prabhu
      思科TAC工程师
    • Dennis McCabe Jr
      思科TAC工程师
    • Matthew Huynh
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品