简介
本文档介绍测试版客户和用于测试的预调配设备的流程,这些设备需要升级AsyncOS版本并获取运行Beta和预发行版测试的ESA和SMA的更新。 本文档直接涉及思科邮件安全设备(ESA)和思科安全管理设备(SMA)。 请记住,标准生产客户不要使用登台服务器来生产ESA或SMA。 暂存操作系统版本、服务规则和服务引擎因生产而异。
在升级之前,请记住,生产许可证将无法升级到阶段版本,因为它们无法通过许可证的验证和身份验证。生产VLAN在生成许可证时写入了签名值,该签名值将与生产许可证服务匹配。阶段许可证只为阶段许可证服务编写单独的签名。
先决条件
要求
- 管理员已收到有关试用版(预发行版操作系统)安装或升级的先前通知。
- 参与Beta和预发行测试的客户已经完成了Beta版应用程序,在开始进行Beta版测试之前,他们已阅读并同意了保密协议。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
为临时更新配置思科邮件安全和安全管理
注意:如果客户通过思科获得预调配访问权限仅用于Beta(预发行版OS),则他们应仅使用登台更新服务器URL。如果您没有适用于Beta版使用的有效许可证,设备将不会从暂存更新服务器接收更新。这些说明只适用于Beta客户或参与Beta测试的管理员。
要接收临时更新和升级,请执行以下操作:
登录到GUI
- 选择安全服务>服务更新>编辑更新设置……
- 确认所有服务都配置为使用Cisco IronPort更新服务器
登录到CLI
- 运行命令updateconfig
- 运行隐藏的子命令dynamichost
- 输入以下命令之一:
- 对于硬件ESA/SMA:stage-update-manifests.ironport.com:443
- 对于虚拟ESA/SMA:stage-stg-updates.ironport.com:443
- 按Enter键,直到返回主提示符
- 输入Commit以保存所有更改
验证
在updater_logs中可以看到验证,对相应阶段URL的通信成功。从设备的CLI中,输入grep stage updater_logs:
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
如果存在任何意外的通信错误,请输入dig <stage URL>以验证域名服务器(DNS)。
示例:
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
验证设备能够通过端口80 telnet,运行命令telnet <stage URL> 80。
示例:
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
恢复
要恢复为标准生产更新服务器,请完成以下步骤:
- 输入命令updateconfig
- 输入隐藏的子命令dynamichost
- 输入以下命令之一:
- 对于硬件ESA/SMA:update-manifests.ironport.com:443
- 对于虚拟ESA/SMA:update-manifests.sco.cisco.com:443
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
注意:硬件设备(C1x0、C3x0、C6x0和X10x0)应仅使用stage-update-manifests.ironport.com:443或update-manifests.ironport.com:443的动态主机URL。如果同时使用ESA和vESA进行集群配置,则必须在计算机级别配置updateconfig,并确认随后相应地设置dynamichost。
URL 过滤
AsyncOS 13.0及更高版本
如果设备上配置了URL过滤并正在使用,则设备重定向以使用阶段URL进行更新后,还需要配置设备以使用阶段服务器进行URL过滤:
- 通过CLI访问设备
- 输入命令 websecurityadvancedconfig
- 逐步执行配置,将Enter the Web security service hostname选项的值更改为v2.beta.sds.cisco.com
- 将选项Enter the threshold value for outstanding requests的值从默认值50更改为5
- 接受所有其他选项的默认值
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
恢复
要恢复为生产Web安全服务,请完成以下步骤:
- 通过CLI访问设备
- 输入命令websecurityadvancedconfig
- 逐步执行配置,将Enter the Web security service hostname选项的值更改为v2.sds.cisco.com
- 接受所有其他选项的默认值
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
AsyncOS 13.5及更高版本(利用Cisco Talos服务)
从用于邮件安全的AsyncOS 13.5开始,引入了云URL分析(CUA)并更改了websecurityadvancedconfig选项。 由于URL分析现在在Talos云中执行,因此不再需要Web安全服务主机名。 这已被talosconfig命令取代。 这仅在ESA的命令行中可用。
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
如果您正在运行Stage许可证,您应该指向Talos服务的阶段服务器。
您可以运行talosupdate和talosstatus来请求所有Talos驱动服务的更新和当前状态。
示例:

有关详细信息,请参阅《思科邮件安全设备AsyncOS 13.5用户指南》。
访问思科Talos服务的防火墙设置
您需要打开防火墙上的HTTPS(Out)443端口,以获取以下主机名或IP地址(请参阅下表),将您的电子邮件网关连接到Cisco Talos服务。
主机名 |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Web交互跟踪
网络交互跟踪功能提供有关点击重写的URL的最终用户以及与每个用户点击关联的操作(允许、阻止或未知)的信息。
根据您的要求,可以在以下全局设置页面之一启用Web交互跟踪:
- 爆发过滤器。跟踪点击由爆发过滤器重写的URL的最终用户
- URL 过滤.跟踪点击了由策略重写的URL的最终用户(使用内容和邮件过滤器)
如果配置了Web交互跟踪并在使用中,则设备重定向到使用阶段URL进行更新之后,还需要将设备配置为使用暂存聚合器服务器:
- 通过CLI访问设备
- 输入命令aggregatorconfig
- 使用EDIT命令并输入以下值:stage.aggregator.sco.cisco.com
- 按Enter键,直到返回主提示符
- 运行Commit以保存所有更改
如果聚合器未配置为暂存,您将通过管理员邮件警报每30分钟看到类似的警报:
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
或者,通过在CLI上运行displayalerts命令:
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
恢复
要恢复为标准生产聚合器服务器,请完成以下步骤:
- 通过CLI访问设备
- 输入命令aggregatorconfig
- 使用EDIT命令并输入以下值:aggregator.cisco.com
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
故障排除
故障排除命令在本文档的“验证”部分中列出。
如果在运行upgrade命令时看到以下内容:
Failure downloading upgrade list.
请验证是否已更改动态主机。 如果这种情况持续下去,请询问并验证您的ESA或SMA是否已正确调配用于试用版或预发行测试。
相关信息