使用靜態主機的內容安全裝置下載、更新或升級

簡介

本文檔介紹配置思科內容安全裝置以便與靜態主機一起用於下載、更新和升級所需的IP地址和主機。 這些配置將用於硬體或虛擬思科郵件安全裝置(ESA)、網路安全裝置(WSA)或安全管理裝置(SMA)。

使用靜態主機的內容安全裝置下載、更新或升級

思科為有嚴格防火牆或代理要求的客戶提供靜態主機。必須注意的是，如果將裝置配置為使用靜態主機進行下載和更新，則防火牆和網路代理中也必須允許相同的靜態主機進行下載和更新。

以下是下載、更新和升級過程中涉及的靜態主機名、IP地址和埠：

• downloads-static.ironport.com
  • 208.90.58.105（埠80）
• updates-static.ironport.com
  • 208.90.58.25（埠80）
  • 184.94.240.106（埠80）

通過GUI更新服務配置

完成以下步驟，以便從GUI更改AsyncOS上的下載、更新或升級配置：

1. 導航到更新設定配置頁
   1. WSA:系統管理>升級和更新設定
   2. ESA:安全服務>服務更新
   3. SMA:系統管理>更新設定
2. 按一下編輯更新設定…….
3. 在更新伺服器（映像）部分中，選擇「本地更新伺服器（更新映像檔案的位置）」。
4. 在「Base URL」欄位中，輸入http://downloads-static.ironport.com，並在「Port」欄位中設定連線埠80。
5. 將Authentication(可選)欄位留為空。
6. (*)僅限ESA — 對於主機(McAfee防病毒定義、PXE引擎更新、Sophos防病毒定義、IronPort反垃圾郵件規則、爆發過濾器規則、DLP更新、時區規則和註冊客戶端（用於為URL過濾獲取證書）字段，請輸入updates-static.ironport.com。 （埠80是可選的。）
7. 保留Update Servers(list)部分和欄位全部設定為預設Cisco IronPort Update Servers。
8. 如果需要通過特定介面進行通訊，請確保根據外部通訊需要選擇介面。 預設配置將設定為Auto Select。
9. 如果需要，驗證並更新已配置的代理伺服器。
10. 按一下Submit。
11. 在右上角，按一下Commit Changes。
12. 最後，再次按一下Commit Changes以確認所有配置更改。

繼續檢視本文檔的「驗證」部分。

通過CLI配置updateconfig

通過裝置上的CLI可以應用相同的更改。 完成以下步驟，以便從CLI更改AsyncOS上的下載、更新或升級配置：

1. 運行CLI命令updateconfig。
2. 輸入命令SETUP。
3. 呈現給配置的第一部分是「功能金鑰更新」。 使用「2.使用自己的服務器」並輸入http://downloads-static.ironport.com:80/。
4. (*)僅限ESA — 顯示的配置第二部分為「服務（映像）」。使用「2.使用自己的服務器」並輸入updates-static.ironport.com。
5. 所有其他配置提示都可以保留為預設值。
6. 如果需要通過特定介面進行通訊，請確保根據外部通訊需要選擇介面。 預設配置將設定為自動。
7. 如果需要，驗證並更新已配置的代理伺服器。
8. 按return返回主CLI提示。
9. 運行CLI命令COMMIT以儲存所有配置更改。

繼續檢視本文檔的「驗證」部分。

驗證

更新 

要驗證裝置上的更新，最好通過CLI進行驗證。

在CLI上：

1. 運行updatenow。
   1. (*)僅限ESA — 您可以運行updatenow force以更新所有服務和規則集。
2. 運行tail updater_logs。

您需密切注意以下行「http://updates-static.ironport.com/...」  這應發出與靜態更新程式伺服器的通訊訊號和下載。

例如，從ESA更新思科反垃圾郵件引擎(CASE)和相關規則：

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

只要服務能夠通訊、下載，然後成功更新，系統就會設定您。

服務更新完成後，updater_logs將顯示：

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

升級

若要確認升級通訊是否成功且完成，請導覽至System Upgrade頁面，然後按一下Available Upgrades。如果顯示可用版本清單，則說明您的設定已完成。

您可以在CLI中直接執行upgrade指令。 選擇download選項以檢視升級清單（如果有可用的升級）。

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

疑難排解

更新

更新失敗時，裝置會傳送通知警報。以下是最常見電子郵件通知的示例：

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

您將需要測試從裝置到指定更新程式伺服器的通訊。 在這種情況下，我們擔心with downloads-static.ironport.com。 使用telnet時，裝置應該能夠通過埠80進行開放式通訊：

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

同樣，updates-static.ironport.com也應該如此：

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

如果您的裝置有多個介面，您可能希望從CLI執行telnet並指定介面，以便驗證是否選擇了正確的介面：

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

升級

嘗試升級時，您可能會看到以下響應：

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

您將需要檢視裝置上運行的AsyncOS版本，並檢視要升級到的AsyncOS版本的發行說明。 可能沒有從您執行的版本到您嘗試升級到的版本的升級路徑。

如果要升級到熱補丁程式(HP)、早期部署(ED)或有限部署(LD)AsyncOS版本，您可能需要開啟支援案例，以請求完成正確的調配，以便裝置根據需要檢視升級路徑。

相關資訊

• 思科電子郵件安全裝置 — 版本說明
• 思科網路安全裝置 — 版本說明
• 思科安全管理裝置 — 版本說明
• 技術支援與文件 - Cisco Systems