验证并排除Cisco ESA上的AsyncOS升级故障

简介

本文档介绍用于验证AsyncOS升级是否成功以及解决思科安全邮件网关(SEG)(通常称为思科邮件安全设备(ESA))上的常见问题的升级后步骤。 

使用的组件

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

先决条件

要求

• 在System Status输出中，设备RAID状态必须为READY或OPTIMAL;如果状态为“已降级”，请勿启动升级，并联系思科TAC获取退货授权(RMA)。
• 通过在GUI中的System Administration > Alerts下查看系统警报，或在CLI中运行displayalerts命令，确认不存在重大错误，特别是网络连接或DNS问题。
• 确定ESA是作为独立设备运行还是在集群中运行，并查看本文档的集群升级部分以了解集群环境。
• 验证正常运行的DNS服务器配置，并确保端口80和443上的Internet连接，而不需要数据包检测。

注意：当防火墙访问基于FQDN时，确保ESA和防火墙使用同一DNS服务器进行正确的主机名到IP映射。升级和更新URL(包括downloads.ironport.com、upgrades.ironport.com、updates.ironport.com和清单URL)托管在Akamai CDN网络上。

警告：从AsyncOS 15.5.x和思科安全邮件网关的所有未来版本开始，必须使用思科智能软件许可。

ESA和SMA之间的兼容性

在开始升级之前，必须查看ESA和SMA之间的兼容性表。某些版本需要多次升级才能达到最新版本。有关升级路径确认和设备调配，请联系思科TAC。

准备和完成AsyncOS升级

有关AsyncOS升级要求和步骤，请参阅用户指南。在继续之前，请熟悉这些步骤。 

执行升级后检查

• 如果设备由SMA管理：
• 转至Management Appliance > Centralized Services > Security Appliances以确保所有服务都已启动。
• 在所有ESA上，检查邮件(Email)>邮件跟踪(Message Tracking)>邮件跟踪数据可用性(Message Tracking Data Availability)以获取OK状态。
• 在每台设备上，运行status并确认“Online”状态。
• 在升级后运行displayalerts以查看任何新警报。
• 在集群中，clustercheck必须显示无不一致，connstatus必须显示连接的所有设备。
• 要验证邮件流，请使用CLI命令tail mail_logs监视实时处理。

解决升级问题

1. 从CLI运行tail updater_logs和tail upgrade_logs以了解升级问题的详细信息。
2. 如果映像下载或反垃圾邮件/防病毒更新失败，请检查与更新服务器的网络连接。
3. 如果升级由于网络中断而失败，可能会出现以下错误：

Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data: Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.

1. 这通常是由于ESA和更新服务器之间的数据传输期间网络中断导致的。
2. 检查防火墙日志或监控数据包流量是否存在问题。
3. 要在ESA上捕获网络数据包，请在GUI或CLI中使用数据包捕获工具。

注意：在升级过程中，防火墙必须允许空闲连接保持活动状态。

对于硬件设备，请使用以下命令测试与动态服务器的连接：

• telnet updates.ironport.com 80
• telnet downloads.ironport.com 80

对于虚拟设备，请使用以下命令测试与这些服务器的连接：

• telnet update-manifests.sco.cisco.com 443
• telnet updates.ironport.com 80
• telnet downloads.ironport.com 80

有关防火墙和端口要求，请参阅用户指南。

相关信息

• 思科内容安全管理设备的兼容性矩阵
• ESA数据包捕获过程
• 使用静态服务器进行内容安全设备升级或更新
• 了解智能许可概述和电邮与Web安全的最佳实践