Downloads voor Content Security-applicatie, updates of upgrades met een statische host

Inleiding

Dit document beschrijft de IP-adressen en -hosts die nodig zijn om uw Cisco Content Security Appliance te configureren voor gebruik met een statische host voor downloads, updates en upgrades.  Deze configuraties moeten worden gebruikt voor hardware of virtuele Cisco e-mail security applicatie (ESA), web security applicatie (WSA) of security Management-applicatie (SMA).

Downloads voor Content Security-applicatie, updates of upgrades met een statische host

Cisco biedt statische hosts voor klanten die over strikte firewall of proxy-vereisten beschikken. Het is belangrijk om op te merken dat als u uw apparaat vormt om de statische gastheren voor downloads en updates te gebruiken, de zelfde statische hosts voor downloads en updates ook in de firewall en de proxy op het netwerk moeten zijn toegestaan.

Hier zijn de statische hostname(en), IP-adres(sen) en poorten die bij de download-, update- en upgrade-processen betrokken zijn:

• downloads-static.ironport.com
  • 208.90.58.105 (poort 80)
• updates-static.ironport.com
  • 208.90.58.25 (poort 80)
  • 184.94.240.106 (poort 80)

Configuratie van serviceupdate via GUI

Voltooi deze stappen om de configuratie van de download-, update- of upgrade-configuratie op AsyncOS vanuit de GUI te wijzigen:

1. Navigeren in naar de configuratiepagina voor de update instellingen
   1. WSA: Systeembeheer > Instellingen voor upgrade en update
   2. ESA: Security services > Service updates
   3. SMA: Systeembeheer > Instellingen bijwerken
2. Klik op Instellingen update bewerken....
3. Selecteer in het gedeelte Uploadservers (afbeeldingen) "Local Update Server (locatie van uploadbestanden)".
4. Typ voor het veld Base URL in http://downloads-static.ironport.com en voor het veld Port, ingesteld voor poort 80.
5. Laat de verificatie (optioneel) velden leeg.
6. (*) alleen ESA - Voor de Host (McAfee Anti-Virus definities, PXE Engine updates, Sofs Anti-Virus definities, IronPort Anti-Spam-regels, regels voor outbreak Filters, DLP-updates, regels voor de tijdzone en client voor inschrijving (gebruikt om certificaten voor URL Filtering op te halen) voert u updates-statische.ironport.com in.  (Port 80 is optioneel.)
7. Laat de sectie (lijst) en de velden van de update servers (alle) in de standaard Cisco IronPort Update Server staan.
8. Zorg ervoor dat u de interface hebt geselecteerd zoals nodig voor externe communicatie, indien vereist om over een specifieke interface te communiceren.  De standaardinstelling wordt ingesteld op Auto Select.
9. Controleer en update de geconfigureerde Proxyservers, indien nodig.
10. Klik op Inzenden.
11. Klik in de rechterbovenhoek op Aanpassen.
12. Klik tot slot nogmaals op Commit Wijzigingen om alle configuratieveranderingen te bevestigen.

Ga verder naar het gedeelte Verificatie van dit document.

Configuratie van updates via de CLI

Dezelfde wijzigingen kunnen ook worden toegepast via de CLI op het apparaat.  Voltooi deze stappen om de configuratie van de download, update of upgrade op AsyncOS vanaf de CLI te wijzigen:

1. Start de CLI opdracht update econfig.
2. Voer in de opdracht SETUP in.
3. Het eerste deel dat wordt gepresenteerd voor de configuratie is "Functie Belangrijkste updates".  Gebruik '2. Gebruik een eigen server' en voer http://downloads-static.ironport.com:80/ in.
4. (*) alleen ESA - De tweede aangeboden sectie is "Service (Images)". Gebruik '2. Gebruik een eigen server' en voer updates-statische.ironport.com in.
5. Alle andere configuratie aanwijzingen kunnen standaard ingesteld worden.
6. Zorg ervoor dat u de interface hebt geselecteerd zoals nodig voor externe communicatie, indien vereist om over een specifieke interface te communiceren.  De standaardinstelling wordt ingesteld op Auto.
7. Controleer en update de geconfigureerde Proxyserver, indien nodig.
8. Terugkeren naar de belangrijkste CLI-melding.
9. Start de CLI opdracht COMMIT om alle configuratiewijzigingen op te slaan.

Ga verder naar het gedeelte Verificatie van dit document.

Verificatie

updates 

Voor de verificatie van updates op het apparaat is het het beste om deze vanuit de CLI te valideren.

Van de CLI:

1. Start updates.
   1. (*) alleen ESA - je kunt update van de kracht uitvoeren om alle services en set regels bij te werken.
2. Start tail update_logs.

U wilt de volgende regels aandachtig volgen "http://updates-static.ironport.com/..."  Dit moet een signaal zijn voor communicatie en het downloaden van de statische update server.

Bijvoorbeeld, van een ESA dat de Cisco Antispam Engine (CASE) en de bijbehorende regels bijwerkt:

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

Zolang de service communiceert, downloads en vervolgens succesvolle updates uitvoert, wordt u ingesteld.

Zodra de service update is voltooid, laten de update_logs zien:

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

upgrades

Om te controleren of de upgradecommunicatie succesvol is en voltooid is, navigeer naar de pagina System Upgrade en klik op Beschikbare upgrades. Als de lijst met beschikbare versies wordt weergegeven, is uw instellingen voltooid.

U kunt de upgradeopdracht eenvoudig uitvoeren vanuit de CLI.  Kies de download optie om het verbeteringsmanifest te bekijken, als er beschikbare upgrades zijn.

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

Probleemoplossing

updates

Het apparaat stuurt meldingen wanneer de updates niet werken. Hier volgt een voorbeeld van het meest ontvangen e-mailbericht:

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

U wilt de communicatie van het apparaat naar de gespecificeerde update server testen.  In dit geval zijn we bezig met downloads-statische.ironport.com.  Het apparaat moet met behulp van telnet beschikken over open communicatie via poort 80:

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Op dezelfde manier zou hetzelfde moeten worden gezien voor updates-statische.ironport.com:

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

Als uw apparaat meerdere interfaces heeft, kunt u telnet vanuit de CLI uitvoeren en de interface specificeren om te bevestigen dat de juiste interface is geselecteerd:

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

upgrades

Bij een upgrade kunt u de volgende respons zien:

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

U wilt de versie van AsyncOS die op het apparaat actief is, bekijken en ook de Releaseopmerkingen van de versie van AsyncOS bekijken waaraan u een upgrade uitvoert.  Het is mogelijk dat er geen upgradepad is vanaf de versie waarop u draait naar de versie waarop u probeert te upgraden.

Als u opwaarderen naar een Hot Patch (HP), vroege implementatie (ED) of Beperkte implementatie (LD) AsyncOS-versie, moet u mogelijk een ondersteuningscase openen om te kunnen vragen dat de juiste provisioning wordt voltooid, zodat uw apparaat het upgradepad naar wens kan zien.

Gerelateerde informatie

• Cisco e-mail security applicatie - release Notes
• Cisco web security applicatie - release Notes
• Cisco Security Management-applicatie - release Notes
• Technische ondersteuning en documentatie – Cisco Systems