安全電子郵件網關的升級過程

下載選項

  • PDF     (434.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (94.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (115.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2025 年 4 月 17 日
文件 ID:118547

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹與思科安全郵件網關(SEG)或思科郵件安全裝置的AsyncOS升級過程相關的步驟。

    必要條件

    需求

    • 在「系統狀態」輸出中,確保裝置RAID狀態為「就緒」或「最佳」。請勿在RAID狀態為「降級」的裝置上啟動升級。聯絡Cisco TAC,為您的裝置啟動退貨授權(RMA)案例。
    • 驗證郵件安全裝置(ESA)是獨立裝置還是在群集環境中。如果群集化,請務必正確檢視本文檔的群集升級部分。
    • 確保埠80和443上存在來自ESA的Internet連線,並且沒有資料包檢測。
    • 需要功能正常的DNS伺服器。

    注意:從AsyncOS 15.5.0和思科安全郵件網關的所有未來版本/版本開始,必須使用Cisco智慧軟體許可。

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    ESA/SMA之間的相容性

    在升級之前,請檢查ESA和SMA系統的相容性。較舊版本的AsyncOS for Email Security可能需要多次升級才能達到最新版本。有關升級路徑和裝置調配的確認,請聯絡Cisco TAC

    準備升級

    1. 將XML配置檔案儲存為出廠設定。如果您由於任何原因需要恢復至升級前版本,可以使用此檔案匯入以前的配置。
    2. 如果您使用安全清單/阻止清單功能,請將該清單匯出為覈取方塊。
    3. 掛起所有偵聽程式。如果從CLI執行升級,請使用suspendlistener命令。如果從GUI執行升級,監聽程式將自動掛起。
    4. 等待隊列清空。您可以使用workqueue命令檢視工作隊列中的消息數量,或使用CLI中的rate命令監控裝置上的消息吞吐量。

    下載並安裝升級

    自AsyncOS for Email Security 8.0版起,升級選項已更新,現在除了下載外,還包含下載安裝。這樣,管理員就能夠靈活地通過單個操作進行下載和安裝,或者在後台下載並在以後安裝。

    (ESA_CLI)> upgrade


    Choose the operation you want to perform:
    - DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
    - DOWNLOAD - Downloads the upgrade image.
    []> download

    Upgrades available.
    1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
    2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
    [2]>

    有關完整資訊,請參閱使用手冊

    在CLI上升級

    1. 輸入status命令並確保監聽程式已掛起。您可以看到系統狀態:正在接收暫停的郵件。
    2. 輸入upgrade指令。
    3. 選擇DOWNLOADINSTALLDOWNLOAD選項。
    4. 選擇與所需升級版本關聯的適當編號。
    5. 完成所需的問題以保存當前配置,並在應用升級時批准重新引導。
    6. 升級後,登入到CLI,然後輸入resume以恢復監聽程式並確保操作。輸入status命令並確認,System status:線上。

    通過GUI升級

    1. 選擇系統管理>系統升級
    2. 按一下「Upgrade Options...」
    3. 選擇Download and installDownload選項。
    4. 按一下並突出顯示所需的升級版本。
    5. 為升級準備選適當的選項。
    6. 續,開始升級並顯示監控的進度條。
    7. 升級後,登入到CLI並輸入resume以恢復監聽程式並確保操作:選擇System Administration > Shutdown/Suspend > Resume(Check All)
    8. 在「郵件操作」部分中,選擇提交

    群集升級

    集群中的ESA從CLI或GUI使用的升級過程與前面幾節中的相同,但有一個例外,即會提示斷開集群中的裝置。

    附註:您可以使用CLI或GUI執行升級,但clusterconfigreconnectcommands僅可通過CLI使用。本文說明如何通過CLI升級電腦。

    從CLI中看到的示例:

    (Cluster my_cluster)> upgrade

    This command is restricted to run in machine mode of the machine you are logged in to.
     Do you want to switch to "Machine applianceA.local" mode? [Y]> y

    在GUI上看到的示例:

    Cluster Disconnect Warning

    附註: 這僅是管理斷開連線。這將停止在集群中嘗試從已斷開連線的裝置或到已斷開連線的裝置的任何配置同步。這不會刪除或修改裝置配置。

    完成以下步驟,通過CLI升級在群集中運行的ESA:

    1. 在CLI中輸入upgrade命令將AsyncOS升級到更高的版本。當系統詢問您是否要斷開群集連線時,請用字母Y進行響應:

      (ESA_CLI)> upgrade

      You must disconnect all machines in the cluster in order to upgrade them. Do you wish
      to disconnect all machines in the cluster now? [Y]> Y


    2. 使用所有升級提示(包括重新啟動提示)。
    3. 升級並重新引導群集中的所有電腦後,通過CLI登入到群集中的一台電腦,並輸入clusterconfig命令。在群集級別重新連線它們以允許配置同步和恢復群集操作。
    4. 響應Yes重新連線。不必提交。

      Choose the machine to reattach to the cluster. Separate multiple machines with commas
      or specify a range with a dash.

      1. host2.example.com (group Main)
      2. host3.example.com (group Main)
      3. host4.example.com (group Main)

      [1]> 1-3
    5. 發出connstatus命令以確認集群中的所有裝置。此外,發出命令clustercheck以確認不存在不一致。

    群集升級建議包括:

    • 在將所有裝置升級到匹配的版本之前,請勿將ESA重新連線到群集。
    • 如果需要,一旦某個ESA完成升級,恢復監聽程式(如果之前已掛起),並允許其作為獨立裝置運行。
    • 當ESA與集群斷開連線時,請勿更改或修改配置,以免重新連線到集群級別的升級後配置不一致。
    • 將所有裝置升級到相同版本後,在群集級別重新連線這些裝置,以允許配置同步和恢復群集操作。

    過帳檢查:

    • 如果裝置由SMA管理,則:
      • 導航到Management Appliance > Centralized Services > Security Appliances,並確保所有服務都已啟動,並且連線顯示已建立。導航到Email > Message Tracking > Message Tracking Data Availability,然後檢查所有ESA的狀態是否顯示為OK。
      • 在每台裝置上,輸入status命令並查詢該命令以顯示為聯機。
      • 輸入displayalerts命令,並檢查升級後出現的任何新警報。
      • 如果在集群中,則clustercheck命令不得顯示任何不一致,並且connstatus命令必須顯示裝置為已連線且無錯誤。
      • 要驗證郵件流,請在CLI中輸入tail mail_logs命令。

    疑難排解

    1. 如果升級有問題,tail updater_logstail upgrade_logs命令也會提供資訊。
    2. 如果在下載映像或更新反垃圾郵件或防病毒程式時出現問題,則很可能是因為這些進程無法聯絡並更新服務引擎或規則集。使用vESA無法下載和應用反垃圾郵件或防病毒程式更新中提供的步驟
    3. 如果升級由於網路中斷而失敗,則升級過程輸出中可能會出現類似錯誤:
    Reinstalling AsyncOS... 66% 01:05ETA.
    /usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
     Input/output error
    tar: Error exit delayed from previous errors.
    Upgrade failure.

    這通常是由於在ESA和更新伺服器之間傳輸資料期間發生網路中斷所致。調查任何網路防火牆日誌或監控來自ESA的資料包流量以更新伺服器。

    如果需要,請參閱ESA資料包捕獲過程以在ESA上啟用資料包捕獲,然後重新嘗試升級過程。

    附註:防火牆需要允許閒置連線保持活動狀態,尤其是在升級過程中。

    對於需要靜態升級伺服器的嚴格網路防火牆,請參閱內容安全裝置使用靜態伺服器進行升級或更新,瞭解如何配置靜態更新和升級伺服器。

    對於硬體裝置,測試與這些動態伺服器的連線:

    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80

    對於虛擬裝置,您必須使用以下動態伺服器:

    • telnet update-manifests.sco.cisco.com 443
    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80 

    有關完整的防火牆資訊和埠要求,請參閱使用手冊

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    5.0
    17-Apr-2025
    新增的注意對於版本15+和使用的元件部分,智慧許可證是強制性的。已更新SMA相容性及相關資訊連結和格式。
    3.0
    14-Sep-2023
    更新的PII、SEO、簡介、機器翻譯、樣式要求和格式。
    2.0
    28-Jul-2022
    2022年更新
    1.0
    09-Oct-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Anvitha Prabhu
      Customer Delivery Leader
    • Dennis McCabe Jr
      Customer Delivery Engineering Technical Leader
    • Matthew Huynh
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品