簡介
本文檔介紹與思科安全郵件網關(SEG)或思科郵件安全裝置的AsyncOS升級過程相關的步驟。
必要條件
需求
- 在「系統狀態」輸出中,確保裝置RAID狀態為「就緒」或「最佳」。請勿在RAID狀態為「降級」的裝置上啟動升級。聯絡Cisco TAC,為您的裝置啟動退貨授權(RMA)案例。
- 驗證郵件安全裝置(ESA)是獨立裝置還是在群集環境中。如果群集化,請務必正確檢視本文檔的群集升級部分。
- 確保埠80和443上存在來自ESA的Internet連線,並且沒有資料包檢測。
- 需要功能正常的DNS伺服器。
注意:從AsyncOS 15.5.0和思科安全郵件網關的所有未來版本/版本開始,必須使用Cisco智慧軟體許可。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
ESA/SMA之間的相容性
在升級之前,請檢查ESA和SMA系統的相容性。較舊版本的AsyncOS for Email Security可能需要多次升級才能達到最新版本。有關升級路徑和裝置調配的確認,請聯絡Cisco TAC。
準備升級
- 將XML配置檔案儲存為出廠設定。如果您由於任何原因需要恢復至升級前版本,可以使用此檔案匯入以前的配置。
- 如果您使用安全清單/阻止清單功能,請將該清單匯出為覈取方塊。
- 掛起所有偵聽程式。如果從CLI執行升級,請使用suspendlistener命令。如果從GUI執行升級,監聽程式將自動掛起。
- 等待隊列清空。您可以使用workqueue命令檢視工作隊列中的消息數量,或使用CLI中的rate命令監控裝置上的消息吞吐量。
下載並安裝升級
自AsyncOS for Email Security 8.0版起,升級選項已更新,現在除了下載外,還包含下載安裝。這樣,管理員就能夠靈活地通過單個操作進行下載和安裝,或者在後台下載並在以後安裝。
(ESA_CLI)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
有關完整資訊,請參閱使用手冊。
在CLI上升級
- 輸入status命令並確保監聽程式已掛起。您可以看到系統狀態:正在接收暫停的郵件。
- 輸入upgrade指令。
- 選擇DOWNLOADINSTALL或DOWNLOAD選項。
- 選擇與所需升級版本關聯的適當編號。
- 完成所需的問題以保存當前配置,並在應用升級時批准重新引導。
- 升級後,登入到CLI,然後輸入resume以恢復監聽程式並確保操作。輸入status命令並確認,System status:線上。
通過GUI升級
- 選擇系統管理>系統升級。
- 按一下「Upgrade Options...」
- 選擇Download and install或Download選項。
- 按一下並突出顯示所需的升級版本。
- 為升級準備選擇適當的選項。
- 繼續,開始升級並顯示監控的進度條。
- 升級後,登入到CLI並輸入resume以恢復監聽程式並確保操作:選擇System Administration > Shutdown/Suspend > Resume(Check All)。
- 在「郵件操作」部分中,選擇提交。
群集升級
集群中的ESA從CLI或GUI使用的升級過程與前面幾節中的相同,但有一個例外,即會提示斷開集群中的裝置。
附註:您可以使用CLI或GUI執行升級,但clusterconfig
reconnectcommands僅可通過CLI使用。本文說明如何通過CLI升級電腦。
從CLI中看到的示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
在GUI上看到的示例:

附註: 這僅是管理斷開連線。這將停止在集群中嘗試從已斷開連線的裝置或到已斷開連線的裝置的任何配置同步。這不會刪除或修改裝置配置。
完成以下步驟,通過CLI升級在群集中運行的ESA:
- 在CLI中輸入upgrade命令將AsyncOS升級到更高的版本。當系統詢問您是否要斷開群集連線時,請用字母Y進行響應:
(ESA_CLI)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 使用所有升級提示(包括重新啟動提示)。
- 升級並重新引導群集中的所有電腦後,通過CLI登入到群集中的一台電腦,並輸入clusterconfig命令。在群集級別重新連線它們以允許配置同步和恢復群集操作。
- 響應Yes重新連線。不必提交。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 發出connstatus命令以確認集群中的所有裝置。此外,發出命令clustercheck以確認不存在不一致。
群集升級建議包括:
- 在將所有裝置升級到匹配的版本之前,請勿將ESA重新連線到群集。
- 如果需要,一旦某個ESA完成升級,恢復監聽程式(如果之前已掛起),並允許其作為獨立裝置運行。
- 當ESA與集群斷開連線時,請勿更改或修改配置,以免重新連線到集群級別的升級後配置不一致。
- 將所有裝置升級到相同版本後,在群集級別重新連線這些裝置,以允許配置同步和恢復群集操作。
過帳檢查:
- 如果裝置由SMA管理,則:
- 導航到Management Appliance > Centralized Services > Security Appliances,並確保所有服務都已啟動,並且連線顯示已建立。導航到Email > Message Tracking > Message Tracking Data Availability,然後檢查所有ESA的狀態是否顯示為OK。
- 在每台裝置上,輸入status命令並查詢該命令以顯示為聯機。
- 輸入displayalerts命令,並檢查升級後出現的任何新警報。
- 如果在集群中,則clustercheck命令不得顯示任何不一致,並且connstatus命令必須顯示裝置為已連線且無錯誤。
- 要驗證郵件流,請在CLI中輸入tail mail_logs命令。
疑難排解
- 如果升級有問題,tail updater_logs和tail upgrade_logs命令也會提供資訊。
- 如果在下載映像或更新反垃圾郵件或防病毒程式時出現問題,則很可能是因為這些進程無法聯絡並更新服務引擎或規則集。使用vESA無法下載和應用反垃圾郵件或防病毒程式更新中提供的步驟。
- 如果升級由於網路中斷而失敗,則升級過程輸出中可能會出現類似錯誤:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
這通常是由於在ESA和更新伺服器之間傳輸資料期間發生網路中斷所致。調查任何網路防火牆日誌或監控來自ESA的資料包流量以更新伺服器。
如果需要,請參閱ESA資料包捕獲過程以在ESA上啟用資料包捕獲,然後重新嘗試升級過程。
附註:防火牆需要允許閒置連線保持活動狀態,尤其是在升級過程中。
對於需要靜態升級伺服器的嚴格網路防火牆,請參閱內容安全裝置使用靜態伺服器進行升級或更新,瞭解如何配置靜態更新和升級伺服器。
對於硬體裝置,測試與這些動態伺服器的連線:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
對於虛擬裝置,您必須使用以下動態伺服器:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
有關完整的防火牆資訊和埠要求,請參閱使用手冊。
相關資訊