简介
本文档介绍测试版客户和用于测试的预调配设备的流程,这些客户需要升级AsyncOS版本并获取运行Beta和预发行测试的ESA和SMA的更新。 本文档直接涉及思科邮件安全设备(ESA)和思科安全管理设备(SMA)。请记住,标准生产客户不会为生产ESA或SMA使用登台服务器。登台操作系统版本、服务规则和服务引擎因生产而异。
在升级之前,另请注意,生产许可证不能升级到阶段版本,因为它们无法通过许可证的验证和身份验证。生产VLAN的签名值在生成许可证时写入,它将与生产许可证服务匹配。暂存许可证具有仅为暂存许可证服务写入的单独签名。
先决条件
要求
- 管理员之前已收到有关试用版(预发行版操作系统)安装或升级的通信。
- 参与Beta和预发行测试的客户已经完成了Beta应用程序,并且在开始Beta之前已经阅读并同意了保密协议。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
为临时更新配置思科邮件安全和安全管理
注意:如果客户仅获得通过思科进行预调配的访问权限,以便使用测试版(预发行版操作系统),则只能使用临时更新服务器URL。如果您没有适用于Beta版使用的有效许可证,设备将不会从临时更新服务器接收更新。这些说明仅适用于Beta客户或参与Beta测试的管理员。
要接收临时更新和升级,请执行以下操作:
登录到GUI
- 选择安全服务>服务更新>编辑更新设置……
- 确认所有服务均配置为使用Cisco IronPort更新服务器
登录到CLI
- 运行命令updateconfig
- 运行隐藏子命令dynamichost
- 输入以下命令之一:
- 对于硬件ESA/SMA:stage-update-manifests.ironport.com:443
- 对于虚拟ESA/SMA:stage-stg-updates.ironport.com:443
- 按Enter键,直到返回主提示符
- 输入Commit以保存所有更改
验证
在updater_logs中可以看到相应阶段URL的验证和通信成功。从设备上的CLI输入grep stage updater_logs:
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
如果出现任何意外的通信错误,请输入dig <stage URL>以验证域名服务器(DNS)。
示例:
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
验证设备是否能够通过端口80 telnet,运行命令telnet <stage URL> 80。
示例:
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
恢复
要恢复为标准生产更新服务器,请完成以下步骤:
- 输入命令updateconfig
- 输入隐藏子命令dynamichost
- 输入以下命令之一:
- 对于硬件ESA/SMA:update-manifests.ironport.com:443
- 对于虚拟ESA/SMA:update-manifests.sco.cisco.com:443
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
注意:硬件设备(C1x0、C3x0、C6x0和X10x0)应仅使用stage-update-manifests.ironport.com:443或update-manifests.ironport.com:443的动态主机URL。如果存在同时包含ESA和vESA的集群配置,则必须在计算机级别配置updateconfig,并确认然后相应地设置dynamichost。
URL 过滤
AsyncOS 13.0及更低版本
如果设备上配置了URL过滤且正在使用,则设备重定向以使用阶段URL进行更新后,还需要将该设备配置为使用阶段服务器进行URL过滤:
- 通过CLI访问设备
- 输入命令 websecurityadvancedconfig
- 逐步完成配置,然后将输入网络安全服务主机名选项的值更改为v2.beta.sds.cisco.com
- 将Enter the threshold value for outstanding requests(输入未处理请求的阈值)选项的值从默认值更改为5
- 接受所有其他选项的默认值
- 按Enter键,直到返回主提示符
- 运行Commit 命令以保存所有更改
恢复
要恢复为生产Web安全服务,请完成以下步骤:
- 通过CLI访问设备
- 输入命令websecurityadvancedconfig
- 逐步完成配置,然后将输入网络安全服务主机名选项的值更改为v2.sds.cisco.com
- 接受所有其他选项的默认值
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
AsyncOS 13.5及更高版本(使用Cisco Talos服务)
从AsyncOS 13.5邮件安全版本开始,引入云URL分析(CUA)并更改了websecurityadvancedconfig选项。 由于现在已在Talos云中执行URL分析,因此不再需要网络安全服务主机名。 这已被talosconfig命令取代。 这仅在ESA的命令行中可用。
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
如果您正在运行Stage许可证,则应该指向Talos服务的阶段服务器。
您可以运行talosupdate和talosstatus来请求更新所有Talos驱动的服务和当前状态。
示例:
有关详细信息,请参阅《思科邮件安全设备AsyncOS 13.5用户指南》。
用于访问Cisco Talos服务的防火墙设置
您需要为以下主机名或IP地址(请参阅下表)在防火墙上打开HTTPS (Out) 443端口,将您的邮件网关连接到Cisco Talos服务。
主机名 |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Web交互跟踪
网络交互跟踪功能提供有关点击重写的URL的最终用户的信息,以及与每个用户点击相关联的操作(允许、阻止或未知)。
根据您的要求,可以在以下某个全局设置页面上启用网络交互跟踪:
- 爆发过滤器。跟踪点击了爆发过滤器重写的URL的最终用户
- URL 过滤.跟踪点击了由策略重写的URL的最终用户(使用内容和邮件过滤器)
如果配置了Web交互跟踪并且正在使用中,则设备重定向到使用阶段URL进行更新后,还需要将该设备配置为使用阶段聚合器服务器:
- 通过CLI访问设备
- 输入命令aggregatorconfig
- 使用EDIT命令并输入以下值:stage.aggregator.sco.cisco.com
- 按Enter键,直到返回主提示符
- 运行Commit以保存所有更改
如果聚合器未配置为暂存,则每30分钟会通过管理员邮件警报看到类似的警报:
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
或者,通过在CLI上运行displayalerts命令:
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
恢复
要恢复为标准生产聚合器服务器,请完成以下步骤:
- 通过CLI访问设备
- 输入命令aggregatorconfig
- 使用EDIT命令并输入以下值:aggregator.cisco.com
- 按Enter键,直到返回主提示符
- 运行命令Commit以保存所有更改
故障排除
本文的“验证”部分列出了故障排除命令。
如果在运行upgrade命令时看到以下内容:
Failure downloading upgrade list.
请验证是否已更改动态主机。 如果这种情况持续下去,请询问并验证您的ESA或SMA是否已正确调配用于测试或预发行测试。
相关信息