簡介
本文檔介紹虛擬郵件安全裝置(vESA)在虛擬裝置獲得正確許可的情況下,何時不能下載並應用思科反垃圾郵件引擎(CASE)或Sophos和/或McAfee防病毒軟體的更新。
必要條件
需求
思科建議您瞭解以下主題:
- 電子郵件安全裝置(ESA)
- vESA、虛擬網路安全裝置(vWSA)、虛擬安全管理裝置(vSMA)
- AysncOS
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 運行AsyncOS 8.0.0及更高版本的vESA
- 運行AsyncOS 7.7.5及更高版本的vWSA
- vSMA,運行AsyncOS 9.0.0及更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
vESA無法下載並應用反垃圾郵件或防病毒更新
更新反垃圾郵件或防病毒程式時,即使您輸入update force命令,這些程式也無法聯絡和更新服務引擎或規則集。
以下命令之一可能直接從vESA上的CLI輸入:
> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force
運行tail updater_logs時,看到的錯誤與以下類似:
Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response
這表示與更新配置關聯的動態主機URL無法正確到達正確的更新程式清單。動態主機URL在updateconfig命令中設定。子命令dynamichost在updateconfig中是隱藏命令,在此處突出顯示:
myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>
設定裝置以使用正確的動態主機URL
根據客戶透過思科的關聯方式,可以使用兩種不同的動態主機URL:
- update-manifests.sco.cisco.com:443
- stage-stg-updates.ironport.com:443
注意:硬體裝置(C1x0、C3x0、C6x0和X10x0)應僅使用update-manifests.ironport.com:443的動態主機URL。如果存在包含ESA和vESA的集群配置,則必須在電腦級別配置updateconfig,然後確認已相應地設定dynamichost。
注意:如果客戶已經透過思科獲得預調配的許可權,且只能用於試用版,則他們應僅使用臨時更新伺服器URL。如果您沒有適用於Beta版使用的有效許可證,裝置將不會從暫存更新伺服器接收更新。
作為updateconfig和dynamichost子命令的後續,請根據需要輸入動態主機URL,返回主CLI提示符並提交更改:
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>
myesa.local> commit
驗證
要驗證裝置現在是否連線到正確的動態主機URL並且更新是否成功,請完成以下步驟:
- 增加updater_logs以進行調試。
Currently configured logs:> logconfig
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. antispam Anti-Spam Logs Manual Download None
[SNIP FOR BREVITY]
28. updater_logs Updater Logs Manual Download None
29. upgrade_logs Upgrade Logs Manual Download None
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> edit
Enter the number of the log you wish to edit.
[]> 28 [NOTE, log # will be different on a per/appliance basis]
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[SNIP FOR BREVITY]
myesa_2.local> commit
- 對反垃圾郵件(antispamupdate force)或防病毒(antivirusupdate force)運行強制更新。
myesa.local> antivirusupdate force
Sophos Anti-Virus updates:
Requesting forced update of Sophos Anti-Virus.
- 最後,使用tail updater_logs並確保裝置能夠按如下所示訪問dynamichost:
Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443
疑難排解
完成以下步驟以排除任何問題:
- 確保使用預設的updateconfig。如果vESA或主機位於防火牆之後,請確保使用靜態伺服器的更新正在使用中。
- 確保您可以按照選擇的telnet 到動態主機URL:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.16.6.165/24: myesa_2.local)
3. new_data (192.168.1.10/24: myesa.local_data1)
[1]>
Enter the remote hostname or IP address.
[]> stage-stg-updates.ironport.com
Enter the remote port.
[25]> 443
Trying 208.90.58.24...
Connected to stage-stg-updates.ironport.com.
Escape character is '^]'.
^] ["CTRL + ]"]
telnet> quit
Connection closed.
相關資訊