Безопасность : устройства безопасности электронной почты Cisco ESA

Обновите базовую процедуру AsyncOS и общие сценарии

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет дополнительное понимание и шаги, привязанные к процессу обновления AsyncOS для Безопасности электронной почты на Cisco Email Security Appliance (ESA).

Внесенный Мэтью Хуинхом, специалистом службы технической поддержки Cisco.

Требования

  • Гарантируйте, что статус RAID устройства ГОТОВ или OPTIMAL в выходных данных System Status. Не инициируйте обновление на устройстве со статусом RAID DEGRADED. Свяжитесь с Центром технической поддержки Cisco для инициирования случая RMA для устройства.
  • Проверьте, является ли ESA отдельным устройством или в кластерной среде. Если кластеризовано, несомненно, должным образом рассмотрят раздел Обновления кластера этого документа.
  • Гарантируйте интернет-соединение от ESA на порту 80 и 443 без проверок пакетов.
  •  Сервер (серверы) Функциональных DN требуется.
  • Рассмотрите совместимость ESA и систем SMA перед обновлением.

Более старые версии AsyncOS для Безопасности электронной почты могут потребовать нескольких обновлений для получения до последней версии. Для подтверждения пути повышения и устройства, настраивающего, свяжитесь с Центром технической поддержки Cisco.

Подготовка к обновлению

  1. Сохраните конфигурационный XML-файл отдельно. Если необходимо вернуться к выпуску предобновления по какой-либо причине, вам будет нужен этот файл.
  2. При использовании функцию Безопасного списка/Черного списка, экспортируете список отдельно.
  3. Временно отстраните всех слушателей. При выполнении обновления от CLI используйте suspendlistener команду. При выполнении обновления от GUI временное отстранение слушателя происходит автоматически.
  4. Ждите очереди для освобождения. Можно использовать workqueue команду для просмотра количества сообщений в рабочем списке или команды скорости в CLI для мониторинга пропускной способности сообщения на устройстве.
  5. Если рекомендуется Cisco, отключите создание отчетов. Отключение создания отчетов может только быть выполнено от CLI устройства:   
> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
[]> reporting

The reporting system is currently enabled.

Choose the operation you want to perform:
- DELETEDB - Reinitialize the reporting database.
- DISABLE - Disable the reporting system.
[]> disable

Disabling reporting......The reporting system is currently disabled.

Загрузите и установите обновление

С AsyncOS для версии 8.0 Безопасности электронной почты параметры обновления обновлены, чтобы теперь включать DOWNLOADINSTALL, кроме того , для ЗАГРУЖЕНИЯ. Это дает гибкость администратора, чтобы загрузить и установить в одиночной операции или загрузке в фоновом режиме и установить позже.

C370.lab> upgrade

Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.5.0 build 035 upgrade For Email, 2015-04-04
2. AsyncOS 9.5.0 build 067 upgrade For Email, 2015-04-22
3. AsyncOS 9.5.0 build 201 upgrade For Email, 2015-05-26 This release is for Limited Deployment
4. AsyncOS 9.6.0 build 042 upgrade For Email, 2015-07-15 this release is for General Deployment
5. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[5]>

См. Руководство пользователя для полной информации. 

Обновление на CLI

  1. Выполните команду обновления.
  2. Выберите опцию для DOWNLOADINSTALL или ЗАГРУЗКИ.
  3. Выберите соответствующий номер, привязанный к желаемому обновлению версии.
  4. Завершите необходимые вопросы для сохранения текущей конфигурации и утвердите перезагрузку, когда будет применено обновление.
  5. Постобновление, войдите к CLI и выполните резюме, чтобы возобновить слушателей и гарантировать операцию.
  6. При отключении создания отчетов ранее гарантируйте, что оно включено в это время путем выполнения диагностики> сообщающий> команды enable.

Обновление на GUI

  1. Администрирование системы > Обновление системы
  2. Нажмите Upgrade Options...
  3. Выберите опцию для Загрузки и установки или Загрузки.
  4. Нажмите и выделите желаемое обновление версии.
  5. Выберите нужные варианты для Подготовки к Обновлению.
  6. Продолжитесь, чтобы начать обновление и отобразить индикатор выполнения для вашего мониторинга.
  7. Постобновление, войдите к CLI и выполните резюме, чтобы возобновить слушателей и гарантировать операцию: Администрирование системы> Завершает работу/Приостанавливает> Резюме (Проверка Все).
  8. В Почтовом разделе Операций выберите Commit.
  9. При отключении создания отчетов ранее гарантируйте, что оно включено в это время путем пересматривания CLI и выполнения диагностики> сообщающий> команды enable.

Обновление кластера

ESA в кластере будут придерживаться того же процесса обновления от CLI или GUI как выше за одним исключением, что будет приглашение для отключения устройств от кластера. Пример, как замечено по CLI:

(Cluster my_cluster)> upgrade

This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y

Пример, как замечено по GUI:

Примечание: Это - административное разъединение только. Это остановит устройства от только синхронизации конфигурации на кластерном уровне. Это не удаляет или изменяет конфигурацию устройства.

Рекомендации обновления кластера:

  • Не повторно подключайте ESA на кластерном уровне, пока устройства ALL не будут обновлены к соответствующей версии.
  • В случае необходимости, как только один ESA завершил обновление, возобновите слушателя, если ранее приостановлено, и позвольте ему функционировать как отдельное устройство.
  • Не изменяйте конфигурацию или модификации, когда ESA будут разъединены от кластера. Это избежит несогласованности конфигурации, когда повторно подключено для объединения в кластеры постобновления уровня.
  • Как только устройства ALL обновлены к той же версии, повторно подключают их на кластерном уровне для разрешения синхронизования конфигурации и операции кластера резюме.

Устранение неполадок

Если сбой обновления из-за отказов сети, подобные ошибки могут быть замечены во время выходных данных процесса обновления:

Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.

Это происходит, как правило, из-за отказа сети, который, возможно, произошел в во время передачи данных между ESA и серверами обновления. Исследуйте любые журналы межсетевого экрана или трафик пакетов монитора от ESA для обновления серверов.

В случае необходимости, см. Процедуры Захвата пакета ESA, чтобы включить захват пакета на ESA, и затем повторно делать попытку процесса обновления.

Примечание: Межсетевые экраны должны позволить неиспользуемым соединениям оставаться активными, специально для процесса обновления.

Для строгих межсетевых экранов, требующих статических серверов обновления, см. Обновления Устройства Безопасности содержания или Обновления со Статическим Сервером для того, чтобы установить статическое обновление и серверы обновления.

Для совместимостей оборудования, тестовых подключений к следующим динамическим серверам:

  • обновление-manifests.ironport.com:443 telnet
  • обновления ironport.com:80 telnet
  • загрузки ironport.com:80 telnet  
Для виртуальных устройств необходимо будет использовать следующие динамические серверы:
  • обновление-manifests.sco.cisco.com:443 telnet
  • обновления ironport.com:80 telnet
  • загрузки ironport.com:80 telnet  
См. Руководство пользователя для завершенных информационных требований межсетевого экрана и требований порта. 
 

Дополнительные сведения



Document ID: 118547