使用静态主机下载、更新或升级内容安全设备

简介

本文档介绍配置思科内容安全设备以便与静态主机一起用于下载、更新和升级所需的IP地址和主机。 这些配置将用于硬件或虚拟思科邮件安全设备(ESA)、网络安全设备(WSA)或安全管理设备(SMA)。

使用静态主机下载、更新或升级内容安全设备

思科为具有严格防火墙或代理要求的客户提供静态主机。请注意，如果将设备配置为使用静态主机进行下载和更新，则网络上的防火墙和代理也必须允许相同的静态主机进行下载和更新。

以下是下载、更新和升级过程中涉及的静态主机名、IP地址和端口：

• downloads-static.ironport.com
  • 208.90.58.105（端口80）
• updates-static.ironport.com
  • 208.90.58.25（端口80）
  • 184.94.240.106（端口80）

通过GUI配置服务更新

要从GUI更改AsyncOS上的下载、更新或升级配置，请完成以下步骤：

1. 导航到更新设置配置页面
   1. WSA：系统管理>升级和更新设置
   2. ESA：安全服务(Security Services) >服务更新(Service Updates)
   3. SMA：系统管理>更新设置
2. 点击编辑更新设置……
3. 在更新服务器（映像）部分中，选择“本地更新服务器（更新映像文件的位置）”。
4. 在Base URL字段中，输入http://downloads-static.ironport.com，并在Port字段中为端口80设置。
5. 将身份验证（可选）字段留空。
6. (*)仅ESA -对于主机(McAfee防病毒定义、PXE引擎更新、Sophos防病毒定义、IronPort反垃圾邮件规则、爆发过滤器规则、DLP更新、时区规则和注册客户端（用于为URL过滤获取证书）字段，输入updates-static.ironport.com。 （端口80是可选的。）
7. 保留Update Servers (list)部分和字段全部设置为默认Cisco IronPort更新服务器。
8. 如果需要通过特定接口进行通信，请确保根据需要为外部通信选择接口。 默认配置将设置为自动选择。
9. 如果需要，验证和更新已配置的代理服务器。
10. 单击“Submit”。
11. 在右上角，单击Commit Changes。
12. 最后，再次单击Commit Changes以确认所有配置更改。

前进到本文档的“验证”部分。

通过CLI配置updateconfig

相同的更改可以通过设备上的CLI应用。 要从CLI更改AsyncOS上的下载、更新或升级配置，请完成以下步骤：

1. 运行CLI命令updateconfig。
2. 输入命令SETUP。
3. 显示的第一个配置部分是“功能密钥更新”。 使用’2。使用自己的服务器’并输入http://downloads-static.ironport.com:80/。
4. (*)仅限ESA -要配置的第二部分是“服务（映像）”。使用“2”。使用自己的服务器’并输入updates-static.ironport.com。
5. 所有其他配置提示都可以保留为默认值。
6. 如果需要通过特定接口进行通信，请确保根据需要为外部通信选择接口。 默认配置将设置为自动。
7. 如果需要，验证和更新已配置的代理服务器。
8. 点击return返回至主CLI提示符。
9. 运行CLI命令COMMIT以保存所有配置更改。

前进到本文档的“验证”部分。

确认

更新 

要验证设备上的更新，最好从CLI进行验证。

从CLI：

1. 运行updatenow。
   1. (*)仅限ESA -您可以运行updatenow force 以更新所有服务和规则集。
2. 运行tail updater_logs。

您需要密切注意以下行“http://updates-static.ironport.com/...”  这应该表示与静态更新程序服务器的通信和下载。

例如，从ESA更新思科反垃圾邮件引擎(CASE)和相关规则：

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

只要该服务能够通信、下载并成功更新，就会设置好您。

服务更新完成后，updater_logs将显示：

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

升级

要验证升级通信是否成功并完成，请导航到System Upgrade页面并单击Available Upgrades。如果显示可用版本列表，则说明您的设置已完成。

从CLI中，您只需运行upgrade命令即可。 如果有可用的升级，请选择download选项以查看升级清单。

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

故障排除

更新

更新失败时，设备会发送通知警报。下面是最常见的电邮通知示例：

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

您将要测试从设备到指定更新程序服务器的通信。 在本例中，我们关注with downloads-static.ironport.com。 使用telnet时，设备应该能够通过端口80进行开放式通信：

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

同样，updates-static.ironport.com也应如此：

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

如果设备有多个接口，您可能希望从CLI运行telnet，并指定接口，以验证是否选择了正确的接口：

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

升级

尝试升级时，您可能会看到以下响应：

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

您需要查看设备上运行的AsyncOS版本，并查看您要升级到的AsyncOS版本的发行版本注释。 可能没有从您正在运行的版本到您正在尝试升级到的版本的升级路径。

如果要升级到热补丁程序(HP)、早期部署(ED)或有限部署(LD) AsyncOS版本，可能需要提交支持案例以请求完成适当的调配，以使设备能够根据需要查看升级路径。

相关信息

• 思科邮件安全设备-版本说明
• 思科网络安全设备-版本说明
• 思科安全管理设备-版本说明
• 技术支持和文档 - Cisco Systems