安全電子郵件網關的升級過程

下載選項

  • PDF     (417.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (91.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (108.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 9 月 14 日
文件 ID:118547

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹與思科安全郵件網關(SEG)(也稱為思科郵件安全裝置)的AsyncOS升級過程相關的步驟。

    需求

    • 在「系統狀態」輸出中,確保裝置RAID狀態為「就緒」或「最佳」。請勿在RAID狀態為「降級」的裝置上啟動升級。聯絡Cisco TAC,為您的裝置啟動退貨授權(RMA)案例。
    • 驗證郵件安全裝置(ESA)是獨立裝置還是在群集環境中。如果群集化,請務必正確檢視本文檔的群集升級部分。
    • 確保埠80和443上存在來自ESA的Internet連線,並且沒有資料包檢測。
    • 需要功能正常的DNS伺服器。

    ESA/SMA之間的相容性

    在升級之前,請檢查ESA和SMA系統的相容性。較舊版本的AsyncOS for Email Security可能需要多次升級才能達到最新版本。有關升級路徑和裝置調配的確認,請聯絡Cisco TAC

    準備升級

    1. 將XML配置檔案儲存為出廠設定。如果您由於任何原因需要恢復至升級前版本,可以使用此檔案匯入以前的配置。
    2. 如果您使用安全清單/阻止清單功能,請將該清單匯出為覈取方塊。
    3. 掛起所有偵聽程式。如果從CLI執行升級,請使用 suspendlistener 指令。如果從GUI執行升級,監聽程式將自動掛起。
    4. 等待隊列清空。您可以使用 workqueue 命令檢視工作隊列中的消息數,或在CLI中使用rate命令監控裝置上的消息吞吐量。

    下載並安裝升級

    從AsyncOS for Email Security 8.0版開始,升級選項更新為現在除了DOWNLOAD之外,還包含DOWNLOADINSTALL。這樣,管理員就能夠靈活地通過單個操作進行下載和安裝,或者在後台下載並在以後安裝。

    (Machine host1.example.com)> upgrade


    Choose the operation you want to perform:
    - DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
    - DOWNLOAD - Downloads the upgrade image.
    []> download

    Upgrades available.
    1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
    2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
    [2]>

    有關完整資訊,請參閱使用手冊

    在CLI上升級

    1. 輸入 status 命令,並確保監聽程式掛起。您可以看到「System status: Receiving suspended」。
    2. 輸入 upgrade 指令。
    3. 選擇DOWNLOADINSTALLDOWNLOAD選項。
    4. 選擇與所需升級版本關聯的適當號碼。
    5. 完成所需的問題以儲存當前配置,並在應用升級時批准重新啟動。
    6. 升級後,登入到CLI,然後輸入 resume 恢復監聽程式並確保其運行。輸入 status 命令並確認「System status: Online(系統狀態:聯機)」。

    通過GUI升級

    1. 選擇系統管理>系統升級
    2. 按一下「Upgrade Options...」
    3. 為「Download and install(下載並安裝)」或「Download(下載)」選擇一個選項。
    4. 按一下並突出顯示所需的升級版本。
    5. 選擇適當的升級準備選項。
    6. 續,開始升級並顯示監控的進度條。
    7. 升級後,登入到CLI並輸入 resume 要恢復監聽程式並確保操作,請選擇系統管理>關閉/掛起>恢復(全部選中)
    8. 在「郵件操作」部分中,選擇提交

    群集升級

    集群中的ESA從CLI或GUI使用的升級過程與前面幾節中的相同,但有一個例外,即會提示斷開集群中的裝置。

    注意:您可以使用CLI或GUI執行升級,但重新連線 clusterconfig 命令只能通過CLI使用。本文說明如何通過CLI升級電腦。

    從CLI中看到的示例:

    (Cluster my_cluster)> upgrade

    This command is restricted to run in machine mode of the machine you are logged in to.
     Do you want to switch to "Machine applianceA.local" mode? [Y]> y

    在GUI上看到的示例:

    Cluster Disconnect Warning

    注意:這只是管理性斷開連線。這將停止在集群中嘗試從已斷開連線的裝置或到已斷開連線的裝置的任何配置同步。這不會刪除或修改裝置配置。

    完成以下步驟,通過CLI升級在群集中運行的ESA:

    1. 輸入 upgrade 命令將AsyncOS升級到更高版本。當系統詢問您是否要斷開群集時,請用字母進行響應 Y 要繼續,請執行以下操作:

      (Machine host1.example.com)> upgrade

      You must disconnect all machines in the cluster in order to upgrade them. Do you wish
      to disconnect all machines in the cluster now? [Y]> Y


    2. 使用所有升級提示(包括reboot提示)。

    3. 升級並重新引導群集中的所有電腦後,通過CLI登入群集中的一台電腦,並輸入 clusterconfig 指令。在群集級別重新連線它們以允許配置同步和恢復群集操作。
    4. 響應 Yes 重新連線。不必提

      Choose the machine to reattach to the cluster. Separate multiple machines with commas
      or specify a range with a dash.

      1. host2.example.com (group Main)
      2. host3.example.com (group Main)
      3. host4.example.com (group Main)

      [1]> 1-3
    5. 發出命令 connstatus 確認集群中的所有裝置。此外,發出命令 clustercheck 確認沒有不一致性。

    群集升級建議包括:

    • 在將所有裝置升級到匹配的版本之前,請勿將ESA重新連線到群集。
    • 如果需要,一旦某個ESA完成升級,恢復監聽程式(如果之前已掛起),並允許其作為獨立裝置運行。
    • 當ESA與集群斷開連線時,請勿更改或修改配置,以免重新連線到集群級別的升級後配置不一致。
    • 將所有裝置升級到相同版本後,在群集級別重新連線這些裝置,以允許配置同步和恢復群集操作。

    過帳檢查:

    • 如果裝置由SMA管理,則:
      • 導航到Management Appliance > Centralized Services > Security Appliances,確保所有服務均已啟動,並且連線顯示「Established」。
      • 導航至電子郵件>郵件跟蹤>郵件跟蹤資料可用性,然後檢查所有ESA的狀態是否顯示OK
      • 在每個裝置上,輸入 status 命令並查詢它以聯機形式顯示。
      • 輸入 displayalerts 命令並檢查升級後是否出現任何新的警報。
      • 如果在集群中,則 clustercheck 命令不得顯示任何不一致,並且 connstatus 命令必須顯示裝置已連線,且沒有錯誤。
      • 要驗證郵件流,請輸入 tail mail_logs 命令到CLI。

    疑難排解

    1. tail updater_logstail upgrade_logs 如果升級出現問題,也可以提供相關資訊。
    2. 如果在下載映像或更新反垃圾郵件或防病毒程式時出現問題,則很可能是因為這些進程無法聯絡並更新服務引擎或規則集。使用vESA無法下載和應用反垃圾郵件或防病毒程式更新中提供的步驟
    3. 如果升級由於網路中斷而失敗,則升級過程輸出中可能會出現類似錯誤:
    Reinstalling AsyncOS... 66% 01:05ETA.
    /usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
     Input/output error
    tar: Error exit delayed from previous errors.
    Upgrade failure.

    這通常是由於在ESA和更新伺服器之間傳輸資料期間發生網路中斷所致。調查任何網路防火牆日誌或監控來自ESA的資料包流量以更新伺服器。

    如果需要,請參閱ESA資料包捕獲過程以在ESA上啟用資料包捕獲,然後重新嘗試升級過程。

    注意:防火牆需要允許空閒連線保持活動狀態,尤其是在升級過程中。

    對於需要靜態升級伺服器的嚴格網路防火牆,請參閱內容安全裝置使用靜態伺服器進行升級或更新,瞭解如何配置靜態更新和升級伺服器。

    對於硬體裝置,測試與這些動態伺服器的連線:

    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80

    對於虛擬裝置,您必須使用以下動態伺服器:

    • telnet update-manifests.sco.cisco.com 443
    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80  

    有關完整的防火牆資訊和埠要求,請參閱使用手冊

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    3.0
    14-Sep-2023
    更新的PII、SEO、簡介、機器翻譯、樣式要求和格式。
    2.0
    28-Jul-2022
    2022年更新
    1.0
    09-Oct-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Anvitha Prabhu
      Cisco TAC Engineer
    • Dennis McCabe Jr
      Cisco TAC Engineer
    • Matthew Huynh
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品