驗證Cisco ESA上的AsyncOS升級並對其進行故障排除

簡介

本文檔介紹用於驗證AsyncOS升級是否成功以及解決思科安全郵件網關(SEG)(以前稱為思科郵件安全裝置(ESA))上的常見問題的升級後步驟。 

採用元件

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

必要條件

需求

• 在「系統狀態」輸出中，裝置RAID狀態必須是「就緒」或「最佳」；如果狀態為降級，請勿啟動升級，並與Cisco TAC聯絡以獲得退貨授權(RMA)。
• 通過在GUI的系統管理>警報下檢視系統警報，或在CLI中運行displayalerts命令，確認不存在重大錯誤，特別是網路連線或DNS問題。
• 確定ESA是作為獨立裝置運行還是作為群集運行，並檢視本文檔中針對群集環境的「群集升級」部分。
• 驗證功能正常的DNS伺服器配置，並確保埠80和443上的Internet連線，而無需資料包檢測。

附註：當防火牆訪問基於FQDN時，確保ESA和防火牆使用同一個DNS伺服器進行正確的主機名到IP對映。升級和更新URL(包括downloads.ironport.com、upgrades.ironport.com、updates.ironport.com和清單URL)託管在Akamai CDN網路上。

注意：從AsyncOS 15.5.x和思科安全郵件網關的所有未來版本開始，必須使用Cisco智慧軟體許可。

ESA和SMA之間的相容性

在開始升級之前，必須檢視ESA和SMA之間的相容性表。某些版本需要多次升級才能達到最新版本。有關升級路徑確認和裝置調配，請聯絡Cisco TAC。

準備和完成AsyncOS升級

有關AsyncOS升級要求和步驟，請參閱使用手冊。在繼續操作之前，請熟悉這些步驟。 

執行升級後檢查

• 如果裝置由SMA管理：
• 請轉到管理裝置>集中服務>安全裝置以確保所有服務都已啟動。
• 檢查電子郵件>郵件跟蹤>郵件跟蹤資料可用性以瞭解所有ESA上的OK狀態。
• 在每個裝置上，運行status並確認「Online」狀態。
• 在升級後運行displayalerts以檢視任何新警報。
• 在群集中，clustercheck必須顯示任何不一致，而connstatus必須顯示連線的所有裝置。
• 要驗證郵件流，請使用CLI命令tail mail_logs來觀察即時處理。

疑難排解升級問題

1. 從CLI運行tail updater_logs和tail upgrade_logs以瞭解升級問題的詳細資訊。
2. 如果映像下載或反垃圾郵件/防病毒更新失敗，請檢查與更新伺服器的網路連線。
3. 如果升級由於網路中斷而失敗，則可能會出現以下錯誤：

Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data: Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.

1. 這通常是由於ESA和更新伺服器之間的資料傳輸期間網路中斷導致的。
2. 檢查防火牆日誌或監控封包流量是否有問題。
3. 要在ESA上捕獲網路資料包，請使用GUI或CLI中的資料包捕獲工具。

附註：在升級過程中，防火牆必須允許空閒連線保持活動狀態。

對於硬體裝置，請使用以下命令測試與動態伺服器的連線：

• telnet updates.ironport.com 80
• telnet downloads.ironport.com 80

對於虛擬裝置，請使用以下命令測試與這些伺服器的連線：

• telnet update-manifests.sco.cisco.com 443
• telnet updates.ironport.com 80
• telnet downloads.ironport.com 80

有關防火牆和埠要求，請參閱《使用手冊》。

相關資訊

• 思科內容安全管理裝置的相容性表
• ESA封包擷取程式
• 內容安全裝置使用靜態伺服器進行升級或更新
• 瞭解 Email Security 和 Web Security 的 Smart Licensing 概覽和最佳作法