簡介
本文檔介紹與思科安全郵件網關(SEG)(也稱為思科郵件安全裝置)的AsyncOS升級過程相關的步驟。
需求
- 在「系統狀態」輸出中,確保裝置RAID狀態為「就緒」或「最佳」。請勿在RAID狀態為「降級」的裝置上啟動升級。聯絡Cisco TAC,為您的裝置啟動退貨授權(RMA)案例。
- 驗證郵件安全裝置(ESA)是獨立裝置還是在群集環境中。如果群集化,請務必正確檢視本文檔的群集升級部分。
- 確保埠80和443上存在來自ESA的Internet連線,並且沒有資料包檢測。
- 需要功能正常的DNS伺服器。
ESA/SMA之間的相容性
在升級之前,請檢查ESA和SMA系統的相容性。較舊版本的AsyncOS for Email Security可能需要多次升級才能達到最新版本。有關升級路徑和裝置調配的確認,請聯絡Cisco TAC。
準備升級
- 將XML配置檔案儲存為出廠設定。如果您由於任何原因需要恢復至升級前版本,可以使用此檔案匯入以前的配置。
- 如果您使用安全清單/阻止清單功能,請將該清單匯出為覈取方塊。
- 掛起所有偵聽程式。如果從CLI執行升級,請使用
suspendlistener
指令。如果從GUI執行升級,監聽程式將自動掛起。
- 等待隊列清空。您可以使用
workqueue
命令檢視工作隊列中的消息數,或在CLI中使用rate命令監控裝置上的消息吞吐量。
下載並安裝升級
從AsyncOS for Email Security 8.0版開始,升級選項更新為現在除了DOWNLOAD之外,還包含DOWNLOADINSTALL。這樣,管理員就能夠靈活地通過單個操作進行下載和安裝,或者在後台下載並在以後安裝。
(Machine host1.example.com)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
有關完整資訊,請參閱使用手冊。
在CLI上升級
- 輸入
status
命令,並確保監聽程式掛起。您可以看到「System status: Receiving suspended」。
- 輸入
upgrade
指令。
- 選擇DOWNLOADINSTALL或DOWNLOAD選項。
- 選擇與所需升級版本關聯的適當號碼。
- 完成所需的問題以儲存當前配置,並在應用升級時批准重新啟動。
- 升級後,登入到CLI,然後輸入
resume
恢復監聽程式並確保其運行。輸入 status
命令並確認「System status: Online(系統狀態:聯機)」。
通過GUI升級
- 選擇系統管理>系統升級。
- 按一下「Upgrade Options...」
- 為「Download and install(下載並安裝)」或「Download(下載)」選擇一個選項。
- 按一下並突出顯示所需的升級版本。
- 選擇適當的升級準備選項。
- 繼續,開始升級並顯示監控的進度條。
- 升級後,登入到CLI並輸入
resume
要恢復監聽程式並確保操作,請選擇系統管理>關閉/掛起>恢復(全部選中)。
- 在「郵件操作」部分中,選擇提交。
群集升級
集群中的ESA從CLI或GUI使用的升級過程與前面幾節中的相同,但有一個例外,即會提示斷開集群中的裝置。
注意:您可以使用CLI或GUI執行升級,但重新連線 clusterconfig
命令只能通過CLI使用。本文說明如何通過CLI升級電腦。
從CLI中看到的示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
在GUI上看到的示例:
注意:這只是管理性斷開連線。這將停止在集群中嘗試從已斷開連線的裝置或到已斷開連線的裝置的任何配置同步。這不會刪除或修改裝置配置。
完成以下步驟,通過CLI升級在群集中運行的ESA:
- 輸入
upgrade
命令將AsyncOS升級到更高版本。當系統詢問您是否要斷開群集時,請用字母進行響應 Y
要繼續,請執行以下操作:
(Machine host1.example.com)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 使用所有升級提示(包括reboot提示)。
- 升級並重新引導群集中的所有電腦後,通過CLI登入群集中的一台電腦,並輸入
clusterconfig
指令。在群集級別重新連線它們以允許配置同步和恢復群集操作。
- 響應
Yes
重新連線。不必提交。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 發出命令
connstatus
確認集群中的所有裝置。此外,發出命令 clustercheck
確認沒有不一致性。
群集升級建議包括:
- 在將所有裝置升級到匹配的版本之前,請勿將ESA重新連線到群集。
- 如果需要,一旦某個ESA完成升級,恢復監聽程式(如果之前已掛起),並允許其作為獨立裝置運行。
- 當ESA與集群斷開連線時,請勿更改或修改配置,以免重新連線到集群級別的升級後配置不一致。
- 將所有裝置升級到相同版本後,在群集級別重新連線這些裝置,以允許配置同步和恢復群集操作。
過帳檢查:
- 如果裝置由SMA管理,則:
- 導航到Management Appliance > Centralized Services > Security Appliances,確保所有服務均已啟動,並且連線顯示「Established」。
- 導航至電子郵件>郵件跟蹤>郵件跟蹤資料可用性,然後檢查所有ESA的狀態是否顯示OK。
- 在每個裝置上,輸入
status
命令並查詢它以聯機形式顯示。
- 輸入
displayalerts
命令並檢查升級後是否出現任何新的警報。
- 如果在集群中,則
clustercheck
命令不得顯示任何不一致,並且 connstatus
命令必須顯示裝置已連線,且沒有錯誤。
- 要驗證郵件流,請輸入
tail mail_logs
命令到CLI。
疑難排解
tail updater_logs
和 tail upgrade_logs
如果升級出現問題,也可以提供相關資訊。
- 如果在下載映像或更新反垃圾郵件或防病毒程式時出現問題,則很可能是因為這些進程無法聯絡並更新服務引擎或規則集。使用vESA無法下載和應用反垃圾郵件或防病毒程式更新中提供的步驟。
- 如果升級由於網路中斷而失敗,則升級過程輸出中可能會出現類似錯誤:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
這通常是由於在ESA和更新伺服器之間傳輸資料期間發生網路中斷所致。調查任何網路防火牆日誌或監控來自ESA的資料包流量以更新伺服器。
如果需要,請參閱ESA資料包捕獲過程以在ESA上啟用資料包捕獲,然後重新嘗試升級過程。
注意:防火牆需要允許空閒連線保持活動狀態,尤其是在升級過程中。
對於需要靜態升級伺服器的嚴格網路防火牆,請參閱內容安全裝置使用靜態伺服器進行升級或更新,瞭解如何配置靜態更新和升級伺服器。
對於硬體裝置,測試與這些動態伺服器的連線:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
對於虛擬裝置,您必須使用以下動態伺服器:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
有關完整的防火牆資訊和埠要求,請參閱使用手冊。
相關資訊