使用靜態主機下載、更新或升級內容安全裝置

簡介

本文檔介紹配置思科內容安全裝置以用於下載、更新和升級的靜態主機所需的IP地址和主機。 這些配置將用於硬體或虛擬思科郵件安全裝置(ESA)、網路安全裝置(WSA)或安全管理裝置(SMA)。

使用靜態主機下載、更新或升級內容安全裝置

思科為具有嚴格防火牆或代理要求的客戶提供靜態主機。請務必注意，如果將裝置配置為使用靜態主機進行下載和更新，則網路上的防火牆和代理中也必須允許相同的靜態主機進行下載和更新。

以下是下載、更新和升級過程中涉及的靜態主機名、IP地址和埠：

• downloads-static.ironport.com
  • 208.90.58.105（埠80）
• updates-static.ironport.com
  • 208.90.58.25（埠80）
  • 184.94.240.106（埠80）

透過GUI更新服務配置

完成以下步驟，以便從GUI更改AsyncOS上的下載、更新或升級配置：

1. 導航到更新設定配置頁面
   1. WSA：System Administration > Upgrade and Update Settings
   2. ESA：安全服務>服務更新
   3. SMA：系統管理>更新設定
2. 按一下Edit Update Settings...。
3. 在更新伺服器（映像）部分中，選擇「本地更新伺服器（更新映像檔案的位置）」。
4. 在Base URL欄位中，輸入http://downloads-static.ironport.com，並在Port欄位中為埠80設定。
5. 將Authentication （可選）欄位留空。
6. (*)僅限ESA -對於主機(McAfee防病毒定義、PXE引擎更新、Sophos防病毒定義、IronPort防垃圾郵件規則、爆發過濾器規則、DLP更新、時區規則和註冊客戶端（用於獲取URL過濾證書）欄位，輸入updates-static.ironport.com。 （埠80是可選的。）
7. 保留更新伺服器（清單）部分以及欄位保留為預設Cisco IronPort更新伺服器。
8. 如果需要透過特定介面進行通訊，請確保已根據需要選擇用於外部通訊的介面。 預設配置將設定為Auto Select。
9. 驗證並更新已配置的代理伺服器（如果需要）。
10. 按一下Submit。
11. 在右上角，按一下Commit Changes。
12. 最後，再次按一下Commit Changes以確認所有配置更改。

請繼續參閱本文檔的「驗證」部分。

透過CLI配置updateconfig

透過裝置上的CLI可以應用相同的更改。 完成以下步驟，以便從CLI更改AsyncOS上的下載、更新或升級配置：

1. 運行CLI命令updateconfig。
2. 輸入命令SETUP。
3. 顯示的第一個配置部分是「功能金鑰更新」。 使用』2年。使用自己的伺服器'並輸入http://downloads-static.ironport.com:80/。
4. (*)僅限ESA -顯示的第二個配置部分是「服務（映像）」。請使用「2」。使用自己的伺服器」並輸入updates-static.ironport.com。
5. 所有其他配置提示可保留為預設值。
6. 如果需要透過特定介面進行通訊，請確保已根據需要選擇用於外部通訊的介面。 預設配置將設定為Auto。
7. 驗證並更新已配置的代理伺服器（如果需要）。
8. 按return返回主CLI提示符。
9. 運行CLI命令COMMIT以儲存所有配置更改。

請繼續參閱本文檔的「驗證」部分。

驗證

更新 

要驗證裝置上的更新，最好從CLI進行驗證。

在CLI上：

1. 運行updatenow。
   1. (*)僅限ESA -您可以運行updatenow force以更新所有服務和規則集。
2. 運行tail updater_logs。

您需要特別注意以下行「http://updates-static.ironport.com/...」  這應該表示與靜態更新程式伺服器的通訊和下載。

例如，從ESA更新思科反垃圾郵件引擎(CASE)和相關規則：

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

只要服務進行通訊、下載並成功更新，就會設定您。

服務更新完成後，updater_logs將顯示：

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

升級

要驗證升級通訊是否成功並完成，請導航到System Upgrade頁並按一下Available Upgrades。如果顯示可用版本清單，則說明您的設定已完成。

從CLI中，只需運行upgrade命令。 選擇download選項以檢視升級清單（如果有可用的升級）。

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

疑難排解

更新

更新失敗時，裝置會傳送通知警報。以下是最常收到的電子郵件通知的示例：

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

您將需要測試從裝置到指定更新程式伺服器的通訊。 在本例中，我們關注with downloads-static.ironport.com。 使用telnet時，裝置應該可以透過埠80進行開放式通訊：

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

同樣，updates-static.ironport.com也應如此：

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

如果您的裝置有多個介面，您可能希望從CLI運行telnet並指定介面，以便驗證是否選擇了正確的介面：

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

升級

嘗試升級時，您可能會看到以下響應：

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

您將需要檢視在裝置上運行的AsyncOS版本，並檢視要升級到的AsyncOS版本的發行版本註釋。 可能沒有從您正在執行的版本到您嘗試升級到的版本的升級路徑。

如果要升級到熱修補程式(HP)、早期部署(ED)或有限部署(LD) AsyncOS版本，可能需要提交支援案例以請求完成適當的調配，以使裝置能夠根據需要檢視升級路徑。

相關資訊

• 思科電子郵件安全裝置-發行版本註釋
• 思科網路安全裝置-版本說明
• 思科安全管理裝置-發行版本註釋
• 技術支援與文件 - Cisco Systems