簡介
本文檔介紹與思科安全郵件網關(SEG)或思科郵件安全裝置的AsyncOS升級過程相關的步驟。
必要條件
需求
- 確定在「系統狀態」輸出中的裝置RAID狀態為「就緒」或「最佳」。請勿在RAID狀態為DEGRADED的裝置上啟動升級。聯絡Cisco TAC 為您的裝置啟動退貨授權(RMA)案例。
- 驗證郵件安全裝置(ESA)是獨立裝置還是群集環境。如果叢集化,請務必正確地檢閱本檔案的「叢集升級」一節。
- 確保埠80和443上的ESA具有Internet連線,且無資料包檢測。
- 需要功能正常的DNS伺服器。
注意:從AsyncOS的下一版本(AsyncOS 15.0版本後的所有版本)開始,必須使用Cisco Secure Email Gateway的Cisco智慧軟體許可。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
ESA/SMA之間的相容性
在升級之前,請檢查ESA和SMA系統的相容性。較舊版本的AsyncOS for Email Security可能需要多次升級才能獲取最新版本。有關升級路徑和裝置設定的確認,請與Cisco TAC聯絡。
準備升級
- 將XML組態檔案儲存為預設檔案。如果出於任何原因需要恢復為升級前版本,可以使用此檔案導入以前的配置。
- 如果您使用安全清單/阻止清單功能,請將清單導出為出廠設定。
- 暫停所有監聽器。如果從CLI執行升級,請使用suspendlistener命令。如果從GUI執行升級,偵聽程式將自動掛起。
- 等待佇列變空。可以使用workqueue命令檢視工作隊列中的消息數量,或使用CLI中的rate命令監控裝置上的消息吞吐量。
下載並安裝升級
從AsyncOS for Email Security版本8.0開始,升級選項將更新為現在除了DOWNLOAD之外還包含DOWNLOADINSTALL。這樣,管理員就能夠靈活地透過單一操作下載和安裝,或者在後台下載並在以後安裝。
(ESA_CLI)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
有關完整資訊,請參閱使用手冊。
在CLI上升級
- 輸入status命令並確保監聽程式掛起。您可以看到「系統狀態:接收暫停訊息」。
- 輸入upgrade命令。
- 選擇DOWNLOADINSTALL或DOWNLOAD選項。
- 選擇與所需升級版本關聯的適當編號。
- 完成所需問題以儲存當前配置並在應用升級時批准重新啟動。
- 升級後,登入到CLI並輸入resume以恢復偵聽程式並確保操作。輸入status命令並確認,System status: Online。
透過GUI升級
- 選擇System Administration > System Upgrade。
- 按一下Upgrade Options...
- 選擇Download和install或Download選項。
- 按一下並突出顯示所需的升級版本。
- 為升級準備選擇相應的選項。
- Proceed以開始升級並顯示監控的進度列。
- 升級後,登入到CLI並輸入resume以恢復監聽程式並確保正常運行:選擇System Administration > Shutdown/Suspend > Resume (Check All)。
- 在Mail Operations部分中,選擇Commit。
叢集升級
集群中的ESA會使用與前面部分相同的從CLI或GUI升級過程,但有一個例外,即會出現提示斷開集群的裝置。
註:您可以使用CLI或GUI執行升級,但clusterconfig
reconnectt命令只能透過CLI使用。本文檔介紹如何透過CLI升級電腦。
從CLI看到的示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
在GUI中看到的示例:
注意:這僅是管理斷開連線。這將停止跨集群從斷開連線的裝置或到斷開連線的裝置的所有配置同步嘗試。這不會移除或修改裝置配置。
完成以下步驟,透過CLI升級在集群中運行的ESA:
- 在CLI中輸入upgrade命令,將AsyncOS升級到更高的版本。當系統詢問您是否要斷開集群時,請用字母Y進行響應,以繼續:
(ESA_CLI)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 使用所有升級提示(包括重新引導提示)。
- 升級並重新啟動集群中的所有電腦後,透過CLI登入到集群中的其中一台電腦並輸入clusterconfig命令。在叢集層級重新連線它們,以允許配置同步和恢復叢集作業。
- 響應Yes以重新連線。不必提交。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 發出命令connstatus確認集群中的所有裝置。此外,發出命令clustercheck確認沒有不一致。
群集升級建議包括:
- 在將所有裝置升級到匹配的版本之前,請勿將ESA重新連線到集群。
- 如果需要,一旦一個ESA完成升級,恢復偵聽程式(如果之前被暫停),並允許其作為獨立裝置運行。
- 當ESA與集群斷開連線時,請勿更改或修改配置,以免在重新連線到集群級升級後出現配置不一致。
- 將ALL裝置升級到相同版本後,請在群集級別重新連線這些裝置,以允許配置同步和恢復群集操作。
過帳檢查:
- 如果裝置由SMA管理,則:
- 導航到管理裝置>集中服務>安全裝置,確保所有服務都處於啟用狀態且連線顯示「已建立」。導航到郵件>郵件跟蹤>郵件跟蹤資料可用性,並檢查所有ESA的狀態是否均為「正常」。
- 在每台裝置上輸入status命令,並查詢是否顯示為online。
- 輸入displayalerts命令,並檢查升級後是否出現任何新警報。
- 如果在集群中,則clustercheck命令不得顯示任何不一致,並且connstatus命令必須顯示裝置為已連線且無錯誤。
- 要驗證郵件流,請在CLI中輸入tail mail_logs命令。
疑難排解
- 如果升級出現問題,tail updater_logs和tail upgrade_logs命令也會提供相關資訊。
- 如果下載映像、更新反垃圾郵件或防病毒程式時出現問題,則可能是因為進程無法聯絡和更新服務引擎或規則集。請使用vESA無法下載和應用反垃圾郵件或防病毒更新中提供的步驟。
- 如果升級因網路中斷而失敗,則升級程式輸出中可能會出現類似錯誤:
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
這通常是由於ESA和更新伺服器之間資料傳輸期間發生網路中斷所致。調查任何網路防火牆日誌或監控來自ESA的資料包流量以更新伺服器。
如果需要,請參閱ESA資料包捕獲過程以在ESA上啟用資料包捕獲,然後重試升級過程。
注意:防火牆需要允許空閒連線保持活動狀態,尤其是在升級過程中。
對於需要靜態升級伺服器的嚴格網路防火牆,請參閱內容安全裝置升級或使用靜態伺服器進行更新,瞭解如何配置靜態更新和升級伺服器。
對於硬體裝置,測試與這些動態伺服器的連線:
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
對於虛擬裝置,您必須使用以下動態伺服器:
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
有關完整的防火牆資訊和埠要求,請參閱使用手冊。
相關資訊