简介
本文档介绍与思科安全邮件网关(SEG)(也称为思科邮件安全设备)的AsyncOS升级过程相关的步骤。
要求
- 确保设备RAID状态在系统状态输出为“就绪”或“最佳”。请勿在RAID状态为DEGRADED的设备上启动升级。联系Cisco TAC为您的设备启动退货授权(RMA)请求。
- 验证邮件安全设备(ESA)是独立设备还是集群环境中。如果进行了群集,请确保正确查看本文档的群集升级部分。
- 确保端口80和443上存在来自ESA的Internet连接,并且没有数据包检测。
- 需要正常运行的DNS服务器。
ESA/SMA之间的兼容性
在升级之前,请查看ESA和SMA系统的兼容性。旧版本的AsyncOS for Email Security可能需要多次升级才能获得最新版本。有关升级路径和设备设置的确认,请联系Cisco TAC。
准备升级
- 将XML配置文件保存在机下。如果出于任何原因需要恢复到升级前的版本,可以使用此文件导入以前的配置。
- 如果使用安全列表/阻止列表功能,请将该列表导出到机外。
- 挂起所有侦听程序。如果从CLI执行升级,请使用
suspendlistener命令。如果从GUI执行升级,将自动暂停监听程序。
- 等待队列清空。可以使用
workqueue 命令查看工作队列中的邮件数,也可以使用CLI中的rate命令监控设备上的邮件吞吐量。
下载并安装升级
自AsyncOS for Email Security版本8.0开始,升级选项更新为除DOWNLOAD之外还包括了DOWNLOADINSTALL。这样,管理员就可以在一个操作中灵活地下载和安装,或者在后台下载并在以后安装。
(Machine host1.example.com)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
有关完整信息,请参阅用户指南。
在CLI上升级
- 输入
status命令,并确保监听程序挂起。您可以看到“System status: Receiving suspended”。
- 输入
upgrade命令。
- 为DOWNLOADINSTALL或DOWNLOAD选择一个选项。
- 选择与所需升级版本关联的相应编号。
- 完成所需问题以保存当前配置,并在应用升级时批准重新启动。
- 升级后,登录CLI并输入
resume以恢复侦听程序并确保操作。输入status命令,并确认“System status: Online”。
通过GUI升级
- 选择System Administration > System Upgrade。
- 单击Upgrade Options...
- 选择“下载并安装”或“下载”选项。
- 点击并突出显示所需的升级版本。
- 选择适当的升级准备选项。
- Proceed,开始升级并显示监控的进度条。
- 升级后,登录到CLI并输入
resume以恢复侦听程序并确保操作:选择系统管理>关闭/暂停>恢复(全部选中)。
- 在Mail Operations部分中,选择Commit。
集群升级
集群中的ESA从CLI或GUI使用的升级过程与前几节中的升级过程相同,但有一个例外,即会提示断开集群的设备。
注意:您可以使用CLI或GUI执行升级,但是reconnectclusterconfig命令只能通过CLI使用。本文档介绍如何通过CLI升级计算机。
从CLI看到的示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
从GUI中看到的示例:
注意:这只是管理断开连接。这将停止跨集群从断开连接的设备或到断开连接的设备的任何配置同步尝试。这不会删除或修改设备配置。
要通过CLI升级在集群中运行的ESA,请完成以下步骤:
- 在CLI中输入
upgrade命令,将AsyncOS升级到更高的版本。当系统询问您是否要断开集群连接时,请回复字母 Y 以继续:
(Machine host1.example.com)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 使用所有升级提示(包括重启提示)。
- 升级并重新启动集群中的所有计算机后,通过CLI登录集群中的其中一台计算机,然后输入
clusterconfig 命令。在群集级别重新连接它们,以允许配置同步和恢复群集操作。
- 响应
Yes以重新连接。不需要提交。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 发出命令
connstatus以确认所有设备都位于集群中。此外,发出命令 clustercheck 以确认不存在不一致。
集群升级建议包括:
- 在所有设备升级到匹配的版本之前,请勿将ESA重新连接到集群。
- 如果需要,一旦一个ESA完成升级,请恢复侦听程序(如果之前已暂停),并允许其作为独立设备运行。
- 当ESA与集群断开连接时,请勿更改或修改配置,以免在重新连接到集群级升级后出现配置不一致。
- 将所有设备升级到同一版本后,请在群集级别重新连接它们,以允许配置同步和恢复群集操作。
后检查:
- 如果设备由SMA管理,则:
- 导航到管理设备>集中服务>安全设备,确保所有服务均已启用且连接显示“已建立”。
- 导航到邮件>邮件跟踪>邮件跟踪数据可用性,并检查所有ESA的状态是否显示正常。
- 在每台设备上,输入
status命令,然后查找该命令是否显示为联机。
- 输入
displayalerts命令,并检查升级后是否出现任何新警报。
- 如果在集群中,则
clustercheck 命令不能显示任何不一致,并且 connstatus 命令必须显示设备已连接且没有错误。
- 要验证邮件流,请在CLI中输入
tail mail_logs 命令。
故障排除
tail updater_logs 和 tail upgrade_logs 还可以在升级出现问题时提供信息。
- 如果在下载映像或更新反垃圾邮件或防病毒软件时出现问题,则可能是因为这些进程无法联系和更新服务引擎或规则集。请使用vESA无法下载和应用反垃圾邮件或防病毒更新中提供的步骤。
- 如果升级由于网络中断而失败,则升级过程输出中可能会出现类似错误:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
这通常是由于ESA和更新服务器之间传输数据时可能发生网络中断所致。调查任何网络防火墙日志或监控来自ESA的数据包流量以更新服务器。
如果需要,请参阅ESA数据包捕获过程以在ESA上启用数据包捕获,然后重试升级过程。
注意:防火墙需要允许空闲连接保持活动状态,尤其是在升级过程中。
对于需要静态升级服务器的严格网络防火墙,请参阅内容安全设备升级或静态服务器更新,了解如何配置静态更新和升级服务器。
对于硬件设备,测试与这些动态服务器的连接:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
对于虚拟设备,您必须使用以下动态服务器:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
有关完整的防火墙信息和端口要求,请参阅用户指南。
相关信息