Einleitung
In diesem Dokument werden die IP-Adressen und Hosts beschrieben, die für die Konfiguration der Cisco Content Security Appliance zur Verwendung mit einem statischen Host für Downloads, Updates und Upgrades benötigt werden. Diese Konfigurationen werden für Hardware oder virtuelle Cisco E-Mail Security Appliances (ESAs), Web Security Appliances (WSAs) oder Security Management Appliances (SMAs) verwendet.
Herunterladen, Aktualisieren oder Aktualisieren von Content Security Appliances über einen statischen Host
Cisco bietet statische Hosts für Kunden an, die strenge Firewall- oder Proxy-Anforderungen haben. Wenn Sie Ihre Appliance so konfigurieren, dass die statischen Hosts für Downloads und Updates verwendet werden, müssen dieselben statischen Hosts für Downloads und Updates auch in der Firewall und dem Proxy im Netzwerk zugelassen werden.
Nachfolgend sind der/die statische(n) Hostname(n), die statische(n) IP-Adresse(n) und die Ports aufgeführt, die am Download-, Update- und Upgrade-Prozess beteiligt sind:
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25 (Port 80)
- 184.94.240.106 (Port 80)
Service Update-Konfiguration über GUI
Gehen Sie wie folgt vor, um die Konfiguration von AsyncOS über die Benutzeroberfläche herunterzuladen, zu aktualisieren oder zu aktualisieren:
- Navigieren Sie zur Konfigurationsseite für die Aktualisierungseinstellungen.
- WSA: System Administration > Upgrade and Update Settings
- ESA: Sicherheitsdienste > Service-Updates
- SMA: Systemverwaltung > Aktualisierungseinstellungen
- Klicken Sie auf Aktualisierungseinstellungen bearbeiten...
- Wählen Sie im Abschnitt Aktualisierungsserver (Images) die Option Lokale Aktualisierungsserver (Speicherort der Aktualisierungsabbilddateien) aus.
- Geben Sie im Feld Base URL (Basis-URL) in http://downloads-static.ironport.com ein, und im Feld Port (Port) den Wert für Port 80.
- Lassen Sie die Felder für die Authentifizierung (optional) leer.
- (*) Nur ESA: Geben Sie für den Host (McAfee Anti-Virus-Definitionen, PXE-Modul-Updates, Sophos Anti-Virus-Definitionen, IronPort Anti-Spam-Regeln, Outbreak-Filterregeln, SvD-Updates, Zeitzonenregeln und Registrierungsclient (zum Abrufen von Zertifikaten für URL-Filterung) das Feld updates-static.ironport.com ein. (Port 80 ist optional.)
- Verlassen Sie den Abschnitt Update Servers (list), und legen Sie in allen Feldern fest, dass die Cisco IronPort Standard-Update-Server eingestellt sind.
- Stellen Sie sicher, dass Sie die Schnittstelle bei Bedarf für die externe Kommunikation ausgewählt haben, falls diese für die Kommunikation über eine bestimmte Schnittstelle erforderlich ist. Die Standardkonfiguration wird auf "Auto Select" (Automatische Auswahl) festgelegt.
- Überprüfen und aktualisieren Sie ggf. die konfigurierten Proxy-Server.
- Klicken Sie auf Senden.
- Klicken Sie in der oberen rechten Ecke auf Änderungen übernehmen.
- Klicken Sie abschließend erneut auf Änderungen bestätigen, um alle Konfigurationsänderungen zu bestätigen.
Fahren Sie mit dem Abschnitt Überprüfung dieses Dokuments fort.
Konfiguration der Aktualisierungskonfiguration über die CLI
Die gleichen Änderungen können über die CLI auf die Appliance angewendet werden. Gehen Sie wie folgt vor, um die Konfiguration von AsyncOS über die CLI herunterzuladen, zu aktualisieren oder zu aktualisieren:
- Führen Sie den CLI-Befehl updateconfig aus.
- Geben Sie den Befehl SETUP ein.
- Der erste Abschnitt zur Konfiguration lautet "Feature Key updates" (Aktualisierungen der Feature-Schlüssel). Verwenden Sie "2". Eigenen Server verwenden' und geben Sie http://downloads-static.ironport.com:80/ ein.
- (*) Nur ESA - Der zweite Abschnitt zur Konfiguration lautet "Service (Images)". Verwenden Sie "2. Verwenden Sie einen eigenen Server', und geben Sie updates-static.ironport.com ein.
- Alle anderen Konfigurationsaufforderungen können auf die Standardeinstellung gesetzt bleiben.
- Stellen Sie sicher, dass Sie die Schnittstelle bei Bedarf für die externe Kommunikation ausgewählt haben, falls diese für die Kommunikation über eine bestimmte Schnittstelle erforderlich ist. Die Standardkonfiguration wird auf Auto eingestellt.
- Überprüfen und aktualisieren Sie ggf. den konfigurierten Proxy-Server.
- Drücken Sie return (Zurück), um zur CLI-Eingabeaufforderung zurückzukehren.
- Führen Sie den CLI-Befehl COMMIT aus, um alle Konfigurationsänderungen zu speichern.
Fahren Sie mit dem Abschnitt Überprüfung dieses Dokuments fort.
Verifizierung
Updates
Zur Überprüfung von Updates auf der Appliance empfiehlt es sich, die Validierung über die CLI durchzuführen.
Über die CLI:
- Führen Sie updatenow aus.
- (*) Nur ESA: Sie können updatenow force ausführen, um alle Services und Regelsätze zu aktualisieren.
- Führen Sie tail updater_logs aus.
Beachten Sie folgende Zeilen: "http://updates-static.ironport.com/..." Dies sollte die Kommunikation signalisieren und mit dem statischen Aktualisierungsserver herunterladen.
Beispiel aus einer ESA, die die Cisco Antispam Engine (CASE) aktualisiert, und zugehörige Regeln:
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
Solange der Dienst kommuniziert, herunterlädt und dann erfolgreich aktualisiert, sind Sie festgelegt.
Nach Abschluss des Service-Updates wird in updater_logs Folgendes angezeigt:
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
Upgrades
Um zu überprüfen, ob die Upgrade-Kommunikation erfolgreich war und abgeschlossen wurde, navigieren Sie zur Seite System Upgrade und klicken Sie auf Available Upgrades. Wenn die Liste der verfügbaren Versionen angezeigt wird, ist Ihre Einrichtung abgeschlossen.
Über die CLI können Sie einfach den Befehl upgrade ausführen. Wählen Sie die Download-Option, um das Upgrade-Manifest anzuzeigen, wenn verfügbare Upgrades vorhanden sind.
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
Fehlerbehebung
Updates
Die Appliance sendet Benachrichtigungen, wenn die Updates fehlschlagen. Nachfolgend finden Sie ein Beispiel für die am häufigsten erhaltenen E-Mail-Benachrichtigungen:
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
Sie möchten die Kommunikation von der Appliance mit dem angegebenen Aktualisierungsserver testen. In diesem Fall sind wir besorgt with downloads-static.ironport.com. Die Appliance sollte unter Verwendung von Telnet über offene Kommunikation über Port 80 verfügen:
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
Dasselbe gilt für updates-static.ironport.com:
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
Wenn Ihre Appliance über mehrere Schnittstellen verfügt, können Sie Telnet über die CLI ausführen und die Schnittstelle angeben, um zu überprüfen, ob die richtige Schnittstelle ausgewählt ist:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
Upgrades
Beim Versuch, ein Upgrade durchzuführen, wird möglicherweise die folgende Antwort angezeigt:
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
Sie sollten die auf der Appliance ausgeführte Version von AsyncOS sowie die Versionshinweise der Version von AsyncOS, auf die Sie aktualisieren, überprüfen. Es ist möglich, dass es keinen Upgrade-Pfad von der aktuellen Version auf die Version gibt, auf die Sie aktualisieren möchten.
Wenn Sie ein Upgrade auf eine Hot Patch (HP)-, Early Deployment (ED)- oder Limited Deployment (LD) AsyncOS-Version durchführen, müssen Sie möglicherweise ein Support-Ticket erstellen, um die ordnungsgemäße Bereitstellung anzufordern, damit Ihre Appliance den Upgrade-Pfad bei Bedarf sehen kann.
Zugehörige Informationen
Feedback