Seguridad : Cisco Email Security Appliance

Procedimiento básico y escenarios frecuentes de AsyncOS de la actualización

24 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento proporciona la penetración adicional y los pasos asociados al proceso de actualización de AsyncOS para la Seguridad del correo electrónico en Cisco envían por correo electrónico el dispositivo de seguridad (ESA).

Contribuido por Matthew Huynh, ingeniero de Cisco TAC.

Requisitos

  • Asegúrese que el estatus RAID del dispositivo sea LISTO o ÓPTIMO en la salida del estado del sistema. No inicie por favor una actualización en un dispositivo con un estatus RAID de DEGRADADO. Entre en contacto por favor el TAC de Cisco para iniciar un caso RMA para su dispositivo.
  • Verifique si el ESA es un dispositivo solo del soporte o en un entorno agrupado. Si está agrupado, esté por favor seguro de revisar correctamente la sección de la actualización de clústerss de este documento.
  • Asegure la conectividad a Internet del ESA en el puerto 80 y 443 sin las inspecciones de paquetes.
  • Se requiere el servidor de los DNS funcionales.
  • Revise la compatibilidad de los sistemas ESA y S A antes de actualizar.

Las versiones anteriores de AsyncOS para la Seguridad del correo electrónico pueden requerir más de una actualización para conseguir a la última versión. Para la confirmación del trayecto de actualización y del dispositivo provisioning por favor entre en contacto el TAC de Cisco.

Prepárese para actualizar

  1. Salve el apagado-cuadro del archivo de configuración XML. Si usted necesita invertir a la versión de la PRE-actualización por cualquier motivo, usted necesitará este archivo.
  2. Si usted está utilizando la característica Safelist/Blocklist, exporte el apagado-cuadro de la lista.
  3. Suspenda a todos los módulos de escucha. Si usted realiza la actualización del CLI, utilice el comando del suspendlistener. Si usted realiza la actualización del GUI, la suspensión del módulo de escucha ocurre automáticamente.
  4. Espera para que la cola vacie. Usted puede utilizar el comando del workqueue de ver el número de mensajes en la cola de trabajo o el comando rate en el CLI de monitorear la producción del mensaje en su dispositivo.
  5. Si es recomendado por Cisco, inhabilite la información. Inhabilitar la información se puede realizar solamente del dispositivo CLI:   
> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
[]> reporting

The reporting system is currently enabled.

Choose the operation you want to perform:
- DELETEDB - Reinitialize the reporting database.
- DISABLE - Disable the reporting system.
[]> disable

Disabling reporting......The reporting system is currently disabled.

Descargue y instale la actualización

A partir de AsyncOS para la versión 8.0 de la Seguridad del correo electrónico, se pone al día la opción de actualización ahora de incluir DOWNLOADINSTALL además de la DESCARGA.  Esto da el administrador la flexibilidad para descargar y para instalar en una única operación, o a descarga en el fondo y para instalar más adelante.

C370.lab> upgrade

Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.5.0 build 035 upgrade For Email, 2015-04-04
2. AsyncOS 9.5.0 build 067 upgrade For Email, 2015-04-22
3. AsyncOS 9.5.0 build 201 upgrade For Email, 2015-05-26 This release is for Limited Deployment
4. AsyncOS 9.6.0 build 042 upgrade For Email, 2015-07-15 this release is for General Deployment
5. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[5]>

Refiera por favor al guía del usuario para la Información completa. 

Actualización en el CLI

  1. Funcione con el comando upgrade.
  2. Elija una opción para DOWNLOADINSTALL DESCARGUELA.
  3. Seleccione el número apropiado asociado a la versión de actualización deseada.
  4. Complete las preguntas necesarias para guardar la configuración actual y apruebe la reinicialización cuando la actualización es aplicada.
  5. la Poste-actualización, inicia sesión por favor al CLI y funciona con el curriculum vitae para reanudar a los módulos de escucha y para asegurar la operación.
  6. Si usted el señalar discapacitado anterior, asegura es habilitado ahora ejecutando el de diagnóstico > información > los comandos enable.

Actualización en el GUI

  1. Actualización de la administración del sistema > del sistema
  2. Opción de actualización del tecleo
  3. Elija una opción para la descarga y instalela o descarguela.
  4. Haga clic y resalte la versión de actualización deseada.
  5. Seleccione la opción adecuada para la preparación de la actualización.
  6. Proceda, a comenzar la actualización y a visualizar la barra de progreso para su supervisión.
  7. la Poste-actualización, inicia sesión por favor al CLI y funciona con el curriculum vitae para reanudar a los módulos de escucha y para asegurar la operación: La administración del sistema > apaga/suspende > curriculum vitae (marque todos).
  8. En el correo las operaciones seccionan, cometer selecto.
  9. Si usted el señalar discapacitado anterior, asegura es habilitado ahora revisitando el CLI y el funcionamiento el de diagnóstico > información > los comandos enable.

Actualización de clústerss

Los ESA en el cluster seguirán el mismo proceso de actualización del CLI o del GUI que arriba, con la una excepción que habrá un prompt para desconectar los dispositivos del cluster.  Ejemplo según lo visto del CLI:

(Cluster my_cluster)> upgrade

This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y

Ejemplo según lo visto del GUI:

Nota:  Esto es una desconexión administrativa solamente. Esto parará los dispositivos solamente de la configuración syncing en el nivel del cluster. Esto no quita ni altera la configuración del aparato.

Las recomendaciones de la actualización de clústerss son:

  • No vuelva a conectar los ESA en el nivel del cluster hasta que TODOS LOS dispositivos se actualicen a la versión que corresponde con.
  • Si es necesario, una vez que un ESA ha completado una actualización, reanude al módulo de escucha, si está suspendido previamente, y permita que funcione como un dispositivo solo del soporte.
  • No haga por favor los cambios de configuración o las modificaciones cuando los ESA son disconnected del cluster.  Esto evitará las incoherencias de configuración cuando está vuelta a conectar para agrupar la poste-actualización llana.
  • Una vez que TODOS LOS dispositivos se actualizan a la misma versión, vuélvalos a conectar en el cluster llano para permitir la operación del cluster de la sincronización de la configuración y del curriculum vitae.

Troubleshooting

Si la actualización falla debido a las interrupciones de la red, los errores similares se pueden considerar durante el proceso de actualización hecho salir:

Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.

Esto es típicamente debido a una interrupción de la red que pudo haber ocurrido en durante la transición transmisión de datos entre el ESA y los servidores de actualización. Investigue cualquier registro del escudo de protección de la red o monitoree el tráfico de paquetes del ESA a los servidores de actualización.

Refiera si es necesario, por favor a los procedimientos de la captura de paquetes ESA para habilitar a la captura de paquetes en el ESA, y entonces a la re-tentativa el proceso de actualización.

Nota: Los Firewall necesitan permitir que las conexiones inactivas permanezcan activas, especialmente para el proceso de actualización.

Para los escudos de protección de la red estrictos que requieren los servidores estáticos de la actualización, refiera por favor a las actualizaciones o a las actualizaciones contentas del dispositivo de seguridad con un servidor estático para configurar los servidores estáticos de la actualización y de la actualización.

Para los dispositivos de hardware, conexiones de prueba a los servidores dinámicos siguientes:

  • telnet update-manifests.ironport.com:443
  • telnet updates.ironport.com:80
  • telnet downloads.ironport.com:80  
Para los dispositivos virtuales usted necesitará utilizar los servidores dinámicos siguientes:
  • telnet update-manifests.sco.cisco.com:443
  • telnet updates.ironport.com:80
  • telnet downloads.ironport.com:80  
Refiera por favor al guía del usuario para la información completa del Firewall y vire los requisitos hacia el lado de babor. 
 

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118547