簡介
本文檔介紹了測試版客戶和用於測試的預調配裝置的流程,這些客戶需要升級AsyncOS版本,並需要獲取運行Beta和預發佈測試的ESA和SMA的更新。 本檔案直接適用於思科電子郵件安全裝置(ESA)和思科安全管理裝置(SMA)。請記住,暫存伺服器不供標準生產客戶用於生產ESA或SMA。暫存OS版本、服務規則和服務引擎因生產環境而異。
在升級之前,請記住,生產許可證不能升級到Stage版本,因為它們不能透過許可證的驗證和身份驗證。生產VLAN在生成許可證時寫入簽名值,它將與生產許可證服務匹配。暫存許可證具有僅針對暫存許可證服務寫入的單獨簽名。
必要條件
需求
- 管理員已收到有關beta (發行前作業系統)安裝或升級的先前通訊。
- 參與Beta版和發行前測試的客戶已經完成了Beta版應用程式,並且在開始Beta版之前已經閱讀並同意了保密協定。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
為暫存更新配置思科郵件安全和安全管理
注意:如果客戶透過思科獲得了預調配的許可權,且僅使用測試版(預發行版作業系統),則他們應僅使用臨時更新伺服器URL。如果您沒有適用於Beta版使用的有效許可證,裝置將不會從暫存更新伺服器接收更新。這些說明只能用於Beta客戶或參與Beta測試的管理員。
若要接收暫存更新與升級,請執行下列動作:
登入GUI
- 選擇安全服務>服務更新>編輯更新設定……
- 確認所有服務都配置為使用Cisco IronPort更新伺服器
登入到CLI
- 運行updateconfig命令
- 運行隱藏子命令dynamichost
- 輸入以下命令之一:
- 對於硬體ESA/SMA:stage-update-manifests.ironport.com:443
- 對於虛擬ESA/SMA:stage-stg-updates.ironport.com:443
- 按Enter鍵,直到返回主提示符
- 輸入Commit以儲存所有更改
驗證
驗證可以在updater_logs中看到,並且通訊成功到達了適當的階段URL。從裝置上的CLI中,輸入grep stage updater_logs:
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
如果發生任何意外的通訊錯誤,請輸入dig <stage URL>以驗證域名伺服器(DNS)。
範例:
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
驗證裝置能否透過埠80使用telnet,請運行telnet <stage URL> 80命令。
範例:
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
回覆
要恢復為標準生產更新伺服器,請完成以下步驟:
- 輸入命令updateconfig
- 輸入隱藏子命令dynamichost
- 輸入以下命令之一:
- 對於硬體ESA/SMA:update-manifests.ironport.com:443
- 對於虛擬ESA/SMA:update-manifests.sco.cisco.com:443
- 按Enter鍵,直到返回主提示符
- 運行Commit命令以儲存所有更改
注意:硬體裝置(C1x0、C3x0、C6x0和X10x0)應僅使用stage-update-manifests.ironport.com:443或update-manifests.ironport.com:443的動態主機URL。如果存在包含ESA和vESA的集群配置,則必須在電腦級別配置updateconfig,並確認然後相應地設定dynamichost。
URL篩選
AsyncOS 13.0及更高版本
如果裝置上已配置並正在使用URL過濾,則裝置被重定向到使用階段URL進行更新後,還需要將該裝置配置為使用階段伺服器進行URL過濾:
- 透過CLI訪問裝置
- 輸入命令 websecurityadvancedconfig
- 逐步執行配置,然後將Enter the Web security service hostname選項的值更改為v2.beta.sds.cisco.com
- 將選項「輸入未完成請求的閾值」的值從預設值更改為5
- 接受所有其他選項的預設值
- 按Enter鍵,直到返回主提示符
- 運行Commit 命令以儲存所有更改
回覆
要恢復為生產Web安全服務,請完成以下步驟:
- 透過CLI訪問裝置
- 輸入命令websecurityadvancedconfig
- 逐步執行配置,然後將Enter the Web security service hostname選項的值更改為v2.sds.cisco.com
- 接受所有其他選項的預設值
- 按Enter鍵,直到返回主提示符
- 運行Commit命令以儲存所有更改
AsyncOS 13.5及更高版本(使用Cisco Talos服務)
從AsyncOS 13.5郵件安全版本開始,引入了雲URL分析(CUA),並更改了websecurityadvancedconfig選項。 由於現在已在Talos雲中執行URL分析,因此不再需要網路安全服務主機名。 此問題已由talosconfig命令替代。 這僅在ESA的命令列中可用。
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
如果您正在執行Stage授權,您應該指向Talos服務的Stage伺服器。
您可以運行talosupdate和talosstatus來請求所有Talos驅動的服務的更新和當前狀態。
範例:
有關詳細資訊,請參閱《Cisco Email Security Appliance AsyncOS 13.5使用手冊》。
訪問Cisco Talos服務的防火牆設定
您需要為以下主機名或IP地址(請參閱下表)在防火牆上打開HTTPS(輸出) 443埠,將您的電子郵件網關連線到Cisco Talos服務。
主機名 |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Web互動追蹤
Web互動追蹤功能會提供按一下重新寫入的URL的一般使用者資訊,以及與每個使用者按一下相關聯的動作(允許、封鎖或不明)。
視您的需求而定,您可以在下列其中一個全域設定頁面上啟用Web互動追蹤:
- 爆發過濾器。跟蹤點選由爆發過濾器重寫的URL的終端使用者
- URL篩選。跟蹤點選了由策略重寫的URL的終端使用者(使用內容和郵件過濾器)
如果配置了Web互動跟蹤並在使用中,則裝置被重定向到使用階段URL進行更新後,還需要將該裝置配置為使用階段聚合器伺服器:
- 透過CLI訪問裝置
- 輸入命令aggregatorconfig
- 使用EDIT命令並輸入以下值:stage.aggregator.sco.cisco.com
- 按Enter鍵,直到返回主提示符
- 運行Commit以儲存所有更改
如果聚合器未配置為暫存,您將透過管理員電子郵件警報每30分鐘看到一次類似的警報:
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
或者,透過在CLI上運行displayalerts命令:
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
回覆
要恢復為標準生產Aggregator伺服器,請完成以下步驟:
- 透過CLI訪問裝置
- 輸入命令aggregatorconfig
- 使用EDIT命令並輸入以下值:aggregator.cisco.com
- 按Enter鍵,直到返回主提示符
- 運行Commit命令以儲存所有更改
疑難排解
故障排除命令在本文檔的「驗證」部分中列出。
如果在運行upgrade命令時看到以下內容:
Failure downloading upgrade list.
請驗證您是否已更改動態主機。 如果這種情況持續發生,請詢問並驗證您的ESA或SMA是否已正確調配用於Beta或發行前測試。
相關資訊