Appliance de sécurité du contenu Télécharge, met à jour ou met à niveau à l'aide d'un hôte statique

Options de téléchargement

  • PDF     (264.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (78.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 août 2017
ID du document:117854

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit les adresses IP et les hôtes nécessaires pour configurer votre appliance de sécurité du contenu Cisco en vue d'une utilisation avec un hôte statique pour les téléchargements, les mises à jour et les mises à niveau.  Ces configurations doivent être utilisées pour le matériel ou l'appliance de sécurité de la messagerie électronique (ESA), l'appliance de sécurité Web (WSA) ou l'appliance de gestion de la sécurité (SMA) Cisco virtuels.

Appliance de sécurité du contenu Télécharge, met à jour ou met à niveau à l'aide d'un hôte statique

Cisco propose des hôtes statiques pour les clients ayant des exigences strictes en matière de pare-feu ou de proxy. Il est important de noter que si vous configurez votre appliance pour utiliser les hôtes statiques pour les téléchargements et les mises à jour, les mêmes hôtes statiques pour les téléchargements et les mises à jour doivent également être autorisés dans le pare-feu et le proxy sur le réseau.

Voici le ou les noms d'hôte statiques, les adresses IP et les ports impliqués dans les processus de téléchargement, de mise à jour et de mise à niveau :

  • downloads-static.ironport.com
    • 208.90.58.105 (port 80)
  • updates-static.ironport.com
    • 208.90.58.25 (port 80)
    • 184.94.240.106 (port 80)

Configuration de Service Update via GUI

Complétez ces étapes afin de modifier la configuration de téléchargement, de mise à jour ou de mise à niveau sur AsyncOS à partir de l'interface utilisateur graphique :

  1. Accédez à la page de configuration des paramètres de mise à jour
    1. WSA : Administration système > Paramètres de mise à niveau et de mise à jour
    2. ESA : Services de sécurité > Mises à jour des services
    3. SMA : Administration système > Paramètres de mise à jour
  2. Cliquez sur Modifier les paramètres de mise à jour...
  3. Dans la section Serveurs de mise à jour (images), sélectionnez "Serveurs de mise à jour locaux (emplacement des fichiers d'image de mise à jour)".
  4. Pour le champ URL de base, entrez dans http://downloads-static.ironport.com et pour le champ Port, définissez pour le port 80.
  5. Laissez les champs Authentification (facultatif) vides.
  6. (*) ESA uniquement : pour le champ Hôte (définitions antivirus McAfee, mises à jour du moteur PXE, définitions antivirus Sophos, règles antispam IronPort, règles de filtrage des attaques, mises à jour DLP, règles de fuseau horaire et client d'inscription (utilisé pour extraire les certificats pour le filtrage URL), saisissez updates-static.ironport.com.  (Le port 80 est facultatif.)
  7. Laissez la section Serveurs de mise à jour (liste) et les champs définis sur les serveurs de mise à jour Cisco IronPort par défaut.
  8. Assurez-vous que l'interface est sélectionnée comme nécessaire pour la communication externe, si nécessaire pour communiquer sur une interface spécifique.  La configuration par défaut sera définie sur Sélection automatique.
  9. Vérifiez et mettez à jour les serveurs proxy configurés, si nécessaire.
  10. Cliquez sur Submit.
  11. Dans l'angle supérieur droit, cliquez sur Valider les modifications.
  12. Enfin, cliquez à nouveau sur Commit Changes afin de confirmer toutes les modifications de configuration.

Passez à la section Vérification de ce document.

Configuration de la configuration de mise à jour via CLI

Les mêmes modifications peuvent être appliquées via l'interface de ligne de commande de l'appliance.  Complétez ces étapes afin de modifier la configuration de téléchargement, de mise à jour ou de mise à niveau sur AsyncOS à partir de l'interface de ligne de commande :

  1. Exécutez la commande CLI updateconfig.
  2. Entrez la commande SETUP.
  3. La première section à configurer est « Mises à jour des clés de fonction ».  Utilisez '2. Utilisez votre propre serveur' et entrez http://downloads-static.ironport.com:80/.
  4. (*) ESA uniquement : la deuxième section présentée pour la configuration est « Service (images) ». Utilisez « 2 ». Utilisez votre propre serveur et entrez updates-static.ironport.com.
  5. Toutes les autres invites de configuration peuvent être conservées par défaut.
  6. Assurez-vous que l'interface est sélectionnée comme nécessaire pour la communication externe, si nécessaire pour communiquer sur une interface spécifique.  La configuration par défaut sera définie sur Auto.
  7. Vérifiez et mettez à jour le serveur proxy configuré, si nécessaire.
  8. Appuyez sur retour pour revenir à l'invite de l'interface de ligne de commande principale.
  9. Exécutez la commande CLI COMMIT pour enregistrer toutes les modifications de configuration.

Passez à la section Vérification de ce document.

Vérification

Mises à jour 

Pour vérifier les mises à jour sur l'appliance, il est préférable de procéder à une validation à partir de l'interface de ligne de commande.

À partir de la CLI :

  1. Exécutez updatenow.
    1. (*) ESA uniquement : vous pouvez exécuter updatenow force pour que tous les services et ensembles de règles soient mis à jour.
  2. Exécutez tail_updater_logs.

Vous voudrez prêter une attention particulière aux lignes suivantes "http://updates-static.ironport.com/..."  Cela devrait signaler la communication et le téléchargement avec le serveur de mise à jour statique.

Par exemple, à partir d'une ESA mettant à jour le moteur antispam Cisco (CASE) et les règles associées :

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

Tant que le service communique, télécharge, puis met à jour correctement, vous êtes défini.

Une fois la mise à jour du service terminée, le fichier updater_logs affiche :

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

Mises à niveau

Afin de vérifier que la communication de mise à niveau est réussie et se termine, naviguez vers la page System Upgrade et cliquez sur Available Upgrades. Si la liste des versions disponibles s'affiche, votre configuration est terminée.

À partir de l'interface de ligne de commande, vous pouvez simplement exécuter la commande upgrade.  Choisissez l'option download pour afficher le manifeste de mise à niveau, s'il y a des mises à niveau disponibles.

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

Dépannage

Mises à jour

L'appliance envoie des alertes de notification lorsque les mises à jour échouent. Voici un exemple de notification par e-mail la plus fréquemment reçue :

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

Vous souhaitez tester la communication entre l'appliance et le serveur de mise à jour spécifié.  Dans le cas présent, nous sommes inquiets with downloads-static.ironport.com.  Avec Telnet, la solution matérielle-logicielle doit avoir une communication ouverte sur le port 80 :

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Il en va de même pour updates-static.ironport.com :

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

Si votre appliance comporte plusieurs interfaces, vous pouvez exécuter telnet à partir de l'interface de ligne de commande et spécifier l'interface, afin de valider que l'interface appropriée est sélectionnée :

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Mises à niveau

Lors d'une tentative de mise à niveau, la réponse suivante peut s'afficher :

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

Vous souhaiterez vérifier la version d'AsyncOS en cours d'exécution sur l'appliance, ainsi que les notes de version de la version d'AsyncOS vers laquelle vous effectuez la mise à niveau.  Il est possible qu'il n'y ait pas de chemin de mise à niveau de la version que vous exécutez vers la version vers laquelle vous essayez d'effectuer la mise à niveau.

Si vous effectuez une mise à niveau vers une version AsyncOS Hot Patch (HP), Early Deployment (ED) ou Limited Deployment (LD), vous devrez peut-être ouvrir un dossier d'assistance pour demander que le provisionnement approprié soit effectué, afin que votre appliance puisse voir le chemin de mise à niveau si nécessaire.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
26-Jun-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Robert Sherwin
    Ingénieur TAC

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits