Introdução
Este documento descreve as etapas associadas ao processo de atualização do AsyncOS para o Cisco Secure Email Gateway (SEG) ou o Cisco Email Security Appliance.
Pré-requisitos
Requisitos
- Verifique se o status do RAID do equipamento é READY (Pronto) ou OPTIMAL (Ideal) na saída System Status (Status do sistema). Não inicie uma atualização em um dispositivo com um status de RAID DEGRADED. Entre em contato com o Cisco TAC para iniciar um caso de autorização de devolução de material (RMA) para seu dispositivo.
- Verifique se o ESA (Email Security Appliance) é um dispositivo autônomo ou em um ambiente em cluster. Se estiver em cluster, certifique-se de revisar corretamente a seção Atualização de Cluster deste documento.
- Verifique se há conectividade com a Internet a partir do ESA nas portas 80 e 443 sem inspeções de pacotes.
- É necessário um servidor DNS funcional.
Cuidado: o uso do Cisco Smart Software Licensing é obrigatório a partir da próxima versão do AsyncOS (todas as versões posteriores à versão 15.0 do AsyncOS) para o Cisco Secure Email Gateway.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Compatibilidade entre ESA/SMA
Analise a compatibilidade dos sistemas ESA e SMA antes de atualizar. As versões mais antigas do AsyncOS para Email Security podem exigir mais de uma atualização para obter a versão mais recente. Para confirmação do caminho de atualização e provisionamento do dispositivo, entre em contato com o Cisco TAC.
Preparação para o Upgrade
- Salve o arquivo de configuração XML fora da caixa. Se você precisar reverter para a versão pré-upgrade por qualquer motivo, você pode usar esse arquivo para importar a configuração anterior.
- Se você usar o recurso Lista de permissão/bloqueio, exporte a lista para fora da caixa.
- Suspender todos os ouvintes. Se você executar o upgrade a partir da CLI, use o comando suspendlistener. Se você executar a atualização a partir da GUI, a suspensão do ouvinte ocorrerá automaticamente.
- Aguarde até que a fila fique vazia. Você pode usar o comando workqueue para exibir o número de mensagens na fila de trabalho ou o comando rate na CLI para monitorar o throughput de mensagens no seu equipamento.
Baixe e instale a atualização
A partir do AsyncOS para Email Security versão 8.0, as opções de atualização são atualizadas para incluir agora DOWNLOADINSTALL além de DOWNLOAD. Isso dá ao administrador flexibilidade para baixar e instalar em uma única operação, ou baixar em segundo plano e instalar mais tarde.
(ESA_CLI)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
Consulte o Guia do usuário para obter informações completas.
Atualizar na CLI
- Insira o comando status e verifique se o ouvinte está suspenso. Você pode ver Status do sistema: Recebendo mensagem suspensa.
- Digite o comando upgrade.
- Escolha uma opção para DOWNLOADINSTALL ou DOWNLOAD.
- Escolha o número apropriado associado à versão de atualização desejada.
- Responda às perguntas necessárias para salvar a configuração atual e aprovar a reinicialização quando a atualização for aplicada.
- Após a atualização, faça login na CLI e insira resume para continuar os ouvintes e garantir a operação. Insira o comando status e confirme, Status do sistema: Online.
Atualizar via GUI
- Selecione Administração do sistema > Atualização do sistema.
- Clique em Opções de atualização...
- Escolha uma opção para Download e instalar ou Download.
- Clique e realce a versão de atualização desejada.
- Escolha as opções apropriadas para Preparação da Atualização.
- Continue, para iniciar a atualização e exibir a barra de progresso do monitoramento.
- Após o upgrade, faça login na CLI e digite resume para retomar os ouvintes e garantir a operação: Selecione System Administration > Shutdown/Suspend > Resume (Check All).
- Na seção Operações de E-mail, escolha Confirmar.
Atualização de cluster
Os ESAs em um cluster usariam o mesmo processo de atualização da CLI ou da GUI como nas seções anteriores, com a única exceção de que haveria um prompt para desconectar dispositivos do cluster.
Observação: você pode executar a atualização com a CLI ou a GUI, mas os comandosclusterconfig
reconnectestão disponíveis somente via CLI. Este documento descreve como atualizar as máquinas através da CLI.
Exemplo como visto na CLI:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
Exemplo conforme visto na GUI:
Observação: esta é apenas uma desconexão administrativa. Isso interromperia todas as tentativas de sincronização da configuração no cluster de ou para os dispositivos desconectados. Isso não remove nem altera a configuração do equipamento.
Conclua estas etapas para atualizar os ESAs que são executados em um cluster através da CLI:
- Insira o comando upgrade na CLI para atualizar o AsyncOS para uma versão posterior. Quando for perguntado se você deseja desconectar o cluster, responda com a letra Y para continuar:
(ESA_CLI)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- Use todos os prompts de atualização (prompt de reinicialização incluído).
- Depois que todas as máquinas no cluster forem atualizadas e reinicializadas, faça login em uma das máquinas no cluster via CLI e insira o comando clusterconfig. Reconecte-os no nível do cluster para permitir a sincronização da configuração e continuar a operação do cluster.
- Responda Yes para se reconectar. Não é necessário comprometer-se.
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- Emita o comando connstatus para confirmar se todos os dispositivos estão no cluster. Além disso, emita o comando clustercheck para confirmar que não há inconsistência.
As recomendações de atualização de cluster são:
- Não reconecte os ESAs ao cluster até que TODOS os dispositivos sejam atualizados para uma versão correspondente.
- Se necessário, depois que um ESA tiver concluído uma atualização, retome o ouvinte, se tiver sido suspenso anteriormente, e permita que ele funcione como um dispositivo independente.
- Não faça alterações ou modificações de configuração quando os ESAs forem desconectados de um cluster para ajudar a evitar inconsistências de configuração quando forem reconectados ao nível do cluster após a atualização.
- Quando TODOS os dispositivos forem atualizados para a mesma versão, reconecte-os no nível do cluster para permitir a sincronização da configuração e retomar a operação do cluster.
Pós-verificações:
- Se os dispositivos forem gerenciados pelo SMA:
- Navegue para Management Appliance > Centralized Services > Security Appliances e verifique se todos os serviços estão ativos e se a conexão mostra Established.Navegue para Email > Message Tracking > Message Tracking Data Availability e verifique se o status mostra OK para todos os ESAs.
- Em cada equipamento, insira o comando status e procure que ele seja exibido como on-line.
- Insira o comando displayalerts e verifique se há novos alertas vistos após a atualização.
- Se estiver em um cluster, o comando clustercheck não deve mostrar inconsistências e o comando connstatus deve mostrar os dispositivos como conectados sem erros.
- Para verificar o fluxo de e-mail, digite o comando tail mail_logs na CLI.
Troubleshooting
- Os comandos tail updater_logs e tail upgrade_logs também podem fornecer informações se houver um problema com a atualização.
- Se houver um problema quando você fizer o download da imagem ou quando atualizar o antispam ou o antivírus, é provável que os processos não consigam alcançar e atualizar o mecanismo de serviço ou os conjuntos de regras. Use as etapas fornecidas em O vESA não pode baixar e aplicar atualizações para antispam ou antivírus.
- Se a atualização falhar devido a interrupções da rede, erros semelhantes poderão ser vistos durante a saída do processo de atualização:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
Isso geralmente ocorre devido a uma interrupção na rede que pode ter ocorrido durante a transmissão de dados entre o ESA e os servidores de atualização. Investigue todos os registros de firewall de rede ou monitore o tráfego de pacotes do ESA para atualizar os servidores.
Se necessário, consulte Procedimentos de captura de pacotes ESA para ativar a captura de pacotes no ESA e tente novamente o processo de atualização.
Observação: os firewalls precisam permitir que conexões ociosas permaneçam ativas, especialmente para o processo de atualização.
Para firewalls de rede rigorosos que exigem servidores de atualização estáticos, consulte Atualizações do dispositivo de segurança de conteúdo ou Atualizações com um servidor estático para saber como configurar servidores de atualização e atualização estáticos.
Para dispositivos de hardware, teste as conexões com estes servidores dinâmicos:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
Para dispositivos virtuais, você deve usar estes servidores dinâmicos:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
Consulte o Guia do usuário para obter informações completas sobre o firewall e requisitos de porta.
Informações Relacionadas