安全邮件网关的升级过程

下载选项

  • PDF     (404.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (93.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (114.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 11 月 1 日
文档 ID:118547

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍与思科安全邮件网关(SEG)或思科邮件安全设备的AsyncOS升级过程相关的步骤。

    先决条件

    要求

    • 确保设备RAID状态在系统状态输出为“就绪”或“最佳”。请勿在RAID状态为DEGRADED的设备上启动升级。联系Cisco TAC为您的设备启动退货授权(RMA)请求。
    • 验证邮件安全设备(ESA)是独立设备还是集群环境中。如果是集群的,请务必正确查看本文档的集群升级部分。
    • 确保端口80和443上存在来自ESA的Internet连接,并且没有数据包检测。
    • 需要正常运行的DNS服务器。

    注意:从思科安全邮件网关的下一个AsyncOS版本(AsyncOS 15.0版本之后的所有版本)开始,必须使用思科智能软件许可。

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    ESA/SMA之间的兼容性

    在升级之前,请查看ESA和SMA系统的兼容性。旧版本的AsyncOS for Email Security可能需要多次升级才能获得最新版本。有关升级路径和设备设置的确认,请联系Cisco TAC

    准备升级

    1. 将XML配置文件保存在机下。如果出于任何原因需要恢复到升级前的版本,可以使用此文件导入以前的配置。
    2. 如果使用安全列表/阻止列表功能,请将该列表导出到机外。
    3. 挂起所有侦听程序。如果从CLI执行升级,请使用suspendlistener命令。如果从GUI执行升级,将自动暂停监听程序。
    4. 等待队列清空。可以使用workqueue命令查看工作队列中的邮件数,也可以使用CLI中的rate命令监控设备上的邮件吞吐量。

    下载并安装升级

    从AsyncOS for Email Security版本8.0开始,升级选项更新为现在除了下载之外还包含DOWNLOADINSTALL。这样,管理员就可以在一个操作中灵活地下载和安装,或者在后台下载并在以后安装。

    (ESA_CLI)> upgrade


    Choose the operation you want to perform:
    - DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
    - DOWNLOAD - Downloads the upgrade image.
    []> download

    Upgrades available.
    1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
    2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
    [2]>

    有关完整信息,请参阅用户指南

    在CLI上升级

    1. 输入status命令并确保侦听程序已挂起。您可以看到“System status: Receiving suspended”消息。
    2. 输入upgrade命令。
    3. DOWNLOADINSTALLDOWNLOAD选择一个选项。
    4. 选择与所需升级版本关联的适当编号
    5. 完成所需问题以保存当前配置并在应用升级时批准重新启动。
    6. 升级后,请登录到CLI并输入resume以恢复侦听程序并确保操作。输入status命令并确认,System status: Online。

    通过GUI升级

    1. 选择System Administration > System Upgrade
    2. 单击Upgrade Options...
    3. 选择DownloadinstallDownload选项。
    4. 单击并突出显示所需的升级版本
    5. 为升级准备选择适当的选项
    6. Proceed,开始升级并显示监控的进度条。
    7. 升级后,登录到CLI并输入resume以恢复侦听程序并确保操作:选择System Administration > Shutdown/Suspend > Resume (Check All)
    8. 在Mail Operations部分中,选择Commit

    集群升级

    集群中的ESA从CLI或GUI使用的升级过程与前几节中的升级过程相同,但有一个例外,即会提示断开集群的设备。

    注意:您可以使用CLI或GUI执行升级,但clusterconfigreconnectt命令只能通过CLI使用。本文档介绍如何通过CLI升级计算机。

    从CLI看到的示例:

    (Cluster my_cluster)> upgrade

    This command is restricted to run in machine mode of the machine you are logged in to.
     Do you want to switch to "Machine applianceA.local" mode? [Y]> y

    从GUI中看到的示例:

    Cluster Disconnect Warning

    注意:这只是管理断开连接。这将停止跨集群从断开连接的设备或到断开连接的设备的任何配置同步尝试。这不会删除或修改设备配置。

    要通过CLI升级在集群中运行的ESA,请完成以下步骤:

    1. 在CLI中输入upgrade命令,以便将AsyncOS升级到更高的版本。当系统询问您是否要断开集群连接时,请用字母Y进行响应,以继续:

      (ESA_CLI)> upgrade

      You must disconnect all machines in the cluster in order to upgrade them. Do you wish
      to disconnect all machines in the cluster now? [Y]> Y


    2. 使用所有升级提示(包括重新启动提示)。
    3. 升级并重新启动集群中的所有计算机后,通过CLI登录集群中的其中一台计算机,然后输入clusterconfig命令。在群集级别重新连接它们,以允许配置同步和恢复群集操作。
    4. 响应Yes以重新连接。不需要提交。

      Choose the machine to reattach to the cluster. Separate multiple machines with commas
      or specify a range with a dash.

      1. host2.example.com (group Main)
      2. host3.example.com (group Main)
      3. host4.example.com (group Main)

      [1]> 1-3
    5. 发出命令connstatus确认集群中的所有设备。此外,发出命令clustercheck确认没有不一致。

    集群升级建议包括:

    • 在所有设备升级到匹配的版本之前,请勿将ESA重新连接到集群。
    • 如果需要,一旦一个ESA完成升级,请恢复侦听程序(如果之前已暂停),并允许其作为独立设备运行。
    • 当ESA与集群断开连接时,请勿更改或修改配置,以免在重新连接到集群级升级后出现配置不一致。
    • 将所有设备升级到同一版本后,请在群集级别重新连接它们,以允许配置同步和恢复群集操作。

    后检查:

    • 如果设备由SMA管理,则:
      • 导航到管理设备>集中服务>安全设备,确保所有服务均已启动且连接显示已建立。导航到邮件>邮件跟踪>邮件跟踪数据可用性,并检查所有ESA的状态是否显示“正常”。
      • 在每台设备上,输入status命令,并查找它以显示为联机。
      • 输入displayalerts命令,并检查升级后是否有发现的任何新警报。
      • 如果在集群中,则clustercheck命令不能显示任何不一致,并且connstatus命令必须显示设备已连接且没有错误。
      • 要验证邮件流,请在CLI中输入tail mail_logs命令。

    故障排除

    1. 如果升级出现问题,tail updater_logstail upgrade_logs命令也会提供相关信息。
    2. 如果在下载映像或更新反垃圾邮件或防病毒软件时出现问题,则可能是因为这些进程无法联系和更新服务引擎或规则集。请使用vESA无法下载和应用反垃圾邮件或防病毒更新中提供的步骤。
    3. 如果升级由于网络中断而失败,则升级过程输出中可能会出现类似错误:
    Reinstalling AsyncOS... 66% 01:05ETA.
    /usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
     Input/output error
    tar: Error exit delayed from previous errors.
    Upgrade failure.

    这通常是由于ESA和更新服务器之间传输数据时可能发生网络中断所致。调查任何网络防火墙日志或监控来自ESA的数据包流量以更新服务器。

    如果需要,请参阅ESA数据包捕获过程以在ESA上启用数据包捕获,然后重试升级过程。

    注意:防火墙需要允许空闲连接保持活动状态,尤其是在升级过程中。

    对于需要静态升级服务器的严格网络防火墙,请参阅内容安全设备升级或静态服务器更新,了解如何配置静态更新和升级服务器。

    对于硬件设备,测试与这些动态服务器的连接:

    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80

    对于虚拟设备,您必须使用以下动态服务器:

    • telnet update-manifests.sco.cisco.com 443
    • telnet updates.ironport.com 80
    • telnet downloads.ironport.com 80 

    有关完整的防火墙信息和端口要求,请参阅用户指南

    相关信息

    修订历史记录

    版本 发布日期 备注
    4.0
    01-Nov-2024
    添加的注意对于版本15+和使用的组件部分,智能许可证是必需的。 更新的SMA兼容性和相关信息链接以及格式。
    3.0
    14-Sep-2023
    更新了PII、SEO、简介、机器翻译、风格要求和格式。
    2.0
    28-Jul-2022
    2022年更新
    1.0
    09-Oct-2014
    初始版本
    TAC Authored

    由思科工程师提供

    • 安维塔·普拉布
      客户交付主管
    • 小丹尼斯·麦凯比
      客户交付工程技术主管
    • 马修·休因
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品