Introduction
Ce document décrit le processus pour de bêtas clients, et les appliances pré-provisioned utilisées pour le test, qui doivent améliorer des versions d'AsyncOS et obtenir des mises à jour pour l'exécution ESA et SMA bêta et le test de pré-version. Ce document concerne directement l'appliance de sécurité du courrier électronique de Cisco (ESA) et l'appliance de Gestion de sécurité Cisco (SMA). Maintenez dans l'esprit, les serveurs de mise en place ne doivent pas être utilisés par des clients de production en série pour la production ESA ou SMA. Les releases de SYSTÈME D'EXPLOITATION, les règles de services, et les engines de présentation de services varient de la production.
Avant que vous étant, satisfassiez également maintenez dans l'esprit que les permis de production ne pourront pas améliorer pour présenter des releases car ils ne peuvent pas passer la vérification et l'authentification du permis. Une production VLN a une valeur de signature écrite quand le permis pendant la génération, qui appariera le service de permis de production. Les permis d'étape ont une signature distincte écrite seulement pour le service de permis de mise en place.
Conditions préalables
Exigences
- L'administrateur a reçu la transmission antérieure concernant la bêta installation ou mises à jour (de SYSTÈME D'EXPLOITATION de pré-version).
- Les clients participant test au bêta et de pré-version se sont terminés une bêta application et ils ont lu et ont été d'accord sur un accord de non-divulgation avant le début de bêta.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Configurez la sécurité du courrier électronique et la Gestion de la sécurité de Cisco pour les mises à jour de présentation
Remarque: Les clients devraient seulement utiliser le serveur URLs de mise à jour de mise en place s'ils ont accédé au pré-provisionnement par Cisco pour la bêta utilisation (de SYSTÈME D'EXPLOITATION de pré-version) seulement. Si vous n'avez pas un permis valide appliqué pour le bêta usage, votre appliance ne recevra pas des mises à jour des serveurs de mise à jour de mise en place. Ces instructions devraient seulement être utilisées pour de bêtas clients ou par les administrateurs qui participent à l'essai pilote.
Afin de recevoir des mises à jour et des mises à jour de mise en place :
Procédure de connexion au GUI
- Choisissez les Services de sécurité > les mises à jour de services > éditent des configurations de mise à jour…
- Confirmez que tous les services sont configurés pour utiliser des serveurs de mise à jour d'IronPort Cisco
Procédure de connexion au CLI
- Exécutez l'updateconfig de commande
- Exécutez le dynamichost masqué de commande secondaire
- Sélectionnez une de ces commandes :
- Pour le matériel ESA/SMA : stage-update-manifests.ironport.com:443
- Pour ESA/SMA virtuel : stage-stg-updates.ironport.com:443
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Entrez dans la validation afin de sauvegarder toutes les modifications
Vérifiez
La vérification peut être vue dans les updater_logs avec la transmission réussissant pour l'URL approprié d'étape. Du CLI sur l'appliance, écrivez les updater_logs d'étape de grep :
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
S'il y a des erreurs de communication inattendues, entrez dans l'URL> de <stage de fouille afin de vérifier le Domain Name Server (DN).
Exemple :
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
Vérifiez que l'appliance peut au telnet au-dessus du port 80, exécutez l'URL> 80 de <stage de telnet de commande.
Exemple :
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
Retournez
Afin de revenir aux serveurs de mise à jour de production en série, terminez-vous ces étapes :
- Écrivez l'updateconfig de commande
- Écrivez le dynamichost masqué de commande secondaire
- Sélectionnez une de ces commandes :
- Pour le matériel ESA/SMA : update-manifests.ironport.com:443
- Pour ESA/SMA virtuel : update-manifests.sco.cisco.com:443
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Exécutez la validation de commande afin de sauvegarder toutes les modifications
Remarque: Les appliances de matériel (C1x0, C3x0, C6x0, et X10x0) devraient SEULEMENT utiliser l'hôte dynamique URLs de stage-update-manifests.ironport.com:443 ou d'update-manifests.ironport.com:443. S'il y a une configuration du cluster avec l'ESA et le vESA, l'updateconfig doit être configuré au niveau d'ordinateur et confirmer que le dynamichost est alors placé en conséquence.
Filtrage des URL
AsyncOS 13.0 et plus vieux
Si le Filtrage URL est configuré et en service sur l'appliance, une fois qu'une appliance a été réorientée pour utiliser l'URL d'étape pour des mises à jour, l'appliance devra également être configurée pour utiliser le serveur de mise en place pour le Filtrage URL :
- Accédez à l'appliance par l'intermédiaire du CLI
- Écrivez le websecurityadvancedconfig de commande
- L'étape par la configuration et changent la valeur pour l'option entrent dans l'adresse Internet de service de sécurité Web à v2.beta.sds.cisco.com
- Changez la valeur pour l'option écrivent la valeur seuil pour les demandes en attente du par défaut de 50 à 5
- Recevez les par défaut pour toutes autres options
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Exécutez la validation de commande afin de sauvegarder toutes les modifications
Retournez
Afin de revenir au service de sécurité Web de production, terminez-vous ces étapes :
- Accédez à l'appliance par l'intermédiaire du CLI
- Écrivez le websecurityadvancedconfig de commande
- L'étape par la configuration et changent la valeur pour l'option entrent dans l'adresse Internet de service de sécurité Web à v2.sds.cisco.com
- Recevez les par défaut pour toutes autres options
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Exécutez la validation de commande afin de sauvegarder toutes les modifications
AsyncOS 13.5 et plus nouveaux (utilisant des services de Cisco Talos)
Commençant dans AsyncOS 13.5 pour la sécurité du courrier électronique, l'analyse URL de nuage (CUA) a été introduite et a changé les options de websecurityadvancedconfig. Pendant que l'analyse URL est maintenant exécutée dans le nuage de Talos, l'adresse Internet de services de sécurité Web n'est plus exigée. Ceci a été remplacé par la commande de talosconfig. C'est disponible seulement sur la ligne de commande de l'ESA.
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
Si vous exécutez un permis d'étape, vous devriez être indiqué le serveur d'étape pour des services de Talos.
Vous pouvez exécuter le talosupdate et le talosstatus pour demander une mise à jour et un état actuel de tous les services pilotés par Talos.
Exemple :

Le pour en savoir plus, voient le guide utilisateur pour AsyncOS 13.5 pour des appliances de sécurité du courrier électronique de Cisco.
Paramètres du pare-feu pour accéder à des services de Cisco Talos
Vous devez ouvrir le port 443 HTTPS () sur le Pare-feu pour les adresses Internet ou les adresses IP suivantes (référez-vous à la table ci-dessous) pour connecter votre passerelle d'email aux services de Cisco Talos.
Nom de l'hôte |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Cheminement d'interaction de Web
La fonctionnalité de suivi d'interaction de Web fournit des informations au sujet des utilisateurs qui ont cliqué sur l'URLs en fonction réécrit et l'action (laissé, bloqué, ou inconnu) associée avec chaque clic d'utilisateur.
Selon vos conditions requises, vous pouvez activer l'interaction de Web dépistant sur une des pages de paramètres généraux :
- Filtres d'épidémie. Dépistez les utilisateurs qui ont cliqué sur l'URLs réécrit par des filtres d'épidémie
- Filtrage URL. Dépistez les utilisateurs qui ont cliqué sur l'URLs réécrit par des stratégies (utilisant des filtres de contenu et de message)
Si le cheminement d'interaction de Web est configuré et en service, une fois qu'une appliance a été réorientée pour utiliser l'URL d'étape pour des mises à jour, l'appliance devra également être configurée pour utiliser le serveur d'agrégateur de mise en place :
- Accédez à l'appliance par l'intermédiaire du CLI
- Écrivez l'aggregatorconfig de commande
- Utilisez la commande d'ÉDITER et écrivez cette valeur : stage.aggregator.sco.cisco.com
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Exécutez la validation afin de sauvegarder toutes les modifications
Si l'agrégateur n'est pas configuré pour la présentation, vous verrez que semblable alerte toutes les 30 minutes par l'intermédiaire des alertes par courrier électronique d'admin :
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
Ou, en s'exécutant les displayalerts commandent sur le CLI :
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
Retournez
Afin de revenir au serveur d'agrégateur de production en série, terminez-vous ces étapes :
- Accédez à l'appliance par l'intermédiaire du CLI
- Écrivez l'aggregatorconfig de commande
- Utilisez la commande d'ÉDITER et écrivez cette valeur : aggregator.cisco.com
- La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
- Exécutez la validation de commande afin de sauvegarder toutes les modifications
Dépanner
Des commandes de dépannage sont répertoriées dans « vérifient » la section de ce document.
Si vous voyez le suivant en exécutant la commande de mise à jour :
Failure downloading upgrade list.
Vérifiez s'il vous plaît que vous avez changé l'hôte dynamique. Si ceci continue, veuillez demandent et valident que votre ESA ou SMA provisioned correctement pour test le bêta ou de pré-version.