簡介
本文檔介紹配置思科內容安全裝置以便與靜態主機一起用於下載、更新和升級所需的IP地址和主機。 這些配置將用於硬體或虛擬思科郵件安全裝置(ESA)、網路安全裝置(WSA)或安全管理裝置(SMA)。
使用靜態主機的內容安全裝置下載、更新或升級
思科為有嚴格防火牆或代理要求的客戶提供靜態主機。必須注意的是,如果將裝置配置為使用靜態主機進行下載和更新,則防火牆和網路代理中也必須允許相同的靜態主機進行下載和更新。
以下是下載、更新和升級過程中涉及的靜態主機名、IP地址和埠:
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25(埠80)
- 184.94.240.106(埠80)
通過GUI更新服務配置
完成以下步驟,以便從GUI更改AsyncOS上的下載、更新或升級配置:
- 導航到更新設定配置頁
- WSA:系統管理>升級和更新設定
- ESA:安全服務>服務更新
- SMA:系統管理>更新設定
- 按一下編輯更新設定…….
- 在更新伺服器(映像)部分中,選擇「本地更新伺服器(更新映像檔案的位置)」。
- 在「Base URL」欄位中,輸入http://downloads-static.ironport.com,並在「Port」欄位中設定連線埠80。
- 將Authentication(可選)欄位留為空。
- (*)僅限ESA — 對於主機(McAfee防病毒定義、PXE引擎更新、Sophos防病毒定義、IronPort反垃圾郵件規則、爆發過濾器規則、DLP更新、時區規則和註冊客戶端(用於為URL過濾獲取證書)字段,請輸入updates-static.ironport.com。 (埠80是可選的。)
- 保留Update Servers(list)部分和欄位全部設定為預設Cisco IronPort Update Servers。
- 如果需要通過特定介面進行通訊,請確保根據外部通訊需要選擇介面。 預設配置將設定為Auto Select。
- 如果需要,驗證並更新已配置的代理伺服器。
- 按一下Submit。
- 在右上角,按一下Commit Changes。
- 最後,再次按一下Commit Changes以確認所有配置更改。
繼續檢視本文檔的「驗證」部分。
通過CLI配置updateconfig
通過裝置上的CLI可以應用相同的更改。 完成以下步驟,以便從CLI更改AsyncOS上的下載、更新或升級配置:
- 運行CLI命令updateconfig。
- 輸入命令SETUP。
- 呈現給配置的第一部分是「功能金鑰更新」。 使用「2.使用自己的服務器」並輸入http://downloads-static.ironport.com:80/。
- (*)僅限ESA — 顯示的配置第二部分為「服務(映像)」。使用「2.使用自己的服務器」並輸入updates-static.ironport.com。
- 所有其他配置提示都可以保留為預設值。
- 如果需要通過特定介面進行通訊,請確保根據外部通訊需要選擇介面。 預設配置將設定為自動。
- 如果需要,驗證並更新已配置的代理伺服器。
- 按return返回主CLI提示。
- 運行CLI命令COMMIT以儲存所有配置更改。
繼續檢視本文檔的「驗證」部分。
驗證
更新
要驗證裝置上的更新,最好通過CLI進行驗證。
在CLI上:
- 運行updatenow。
- (*)僅限ESA — 您可以運行updatenow force以更新所有服務和規則集。
- 運行tail updater_logs。
您需密切注意以下行「http://updates-static.ironport.com/...」 這應發出與靜態更新程式伺服器的通訊訊號和下載。
例如,從ESA更新思科反垃圾郵件引擎(CASE)和相關規則:
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
只要服務能夠通訊、下載,然後成功更新,系統就會設定您。
服務更新完成後,updater_logs將顯示:
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
升級
若要確認升級通訊是否成功且完成,請導覽至System Upgrade頁面,然後按一下Available Upgrades。如果顯示可用版本清單,則說明您的設定已完成。
您可以在CLI中直接執行upgrade指令。 選擇download選項以檢視升級清單(如果有可用的升級)。
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
疑難排解
更新
更新失敗時,裝置會傳送通知警報。以下是最常見電子郵件通知的示例:
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
您將需要測試從裝置到指定更新程式伺服器的通訊。 在這種情況下,我們擔心with downloads-static.ironport.com。 使用telnet時,裝置應該能夠通過埠80進行開放式通訊:
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
同樣,updates-static.ironport.com也應該如此:
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
如果您的裝置有多個介面,您可能希望從CLI執行telnet並指定介面,以便驗證是否選擇了正確的介面:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
升級
嘗試升級時,您可能會看到以下響應:
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
您將需要檢視裝置上運行的AsyncOS版本,並檢視要升級到的AsyncOS版本的發行說明。 可能沒有從您執行的版本到您嘗試升級到的版本的升級路徑。
如果要升級到熱補丁程式(HP)、早期部署(ED)或有限部署(LD)AsyncOS版本,您可能需要開啟支援案例,以請求完成正確的調配,以便裝置根據需要檢視升級路徑。
相關資訊