はじめに
このドキュメントでは、ダウンロード、更新、およびアップグレード用の静的ホストとともに使用するためにCiscoコンテンツセキュリティアプライアンスを設定するために必要なIPアドレスとホストについて説明します。 これらの設定は、ハードウェアまたは仮想Cisco Eメールセキュリティアプライアンス(ESA)、Webセキュリティアプライアンス(WSA)、またはセキュリティ管理アプライアンス(SMA)のいずれかに使用されます。
スタティック ホストを使用したコンテンツ セキュリティ アプライアンスのダウンロード、アップデートまたはアップグレード
シスコでは、ファイアウォールまたはプロキシの要件が厳しいお客様向けに、静的ホストを提供しています。ダウンロードと更新に静的ホストを使用するようにアプライアンスを設定する場合、ダウンロードと更新に同じ静的ホストをネットワーク上のファイアウォールとプロキシでも許可する必要があることに注意してください。
ダウンロード、更新、およびアップグレードのプロセスに関係する静的ホスト名、IPアドレス、およびポートを次に示します。
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25(ポート80)
- 184.94.240.106(ポート80)
GUIによるサービスアップデートの設定
GUIからAsyncOSのダウンロード、更新、またはアップグレードの設定を変更するには、次の手順を実行します。
- 更新設定の設定ページに移動します
- WSA:System Administration >アップグレードと更新の設定
- ESA:セキュリティサービス>サービスアップデート
- SMA:システム管理>更新設定
- [Edit Update Settings....] をクリックします。
- Update Servers (images)セクションで、Local Update Servers (update image filesの場所)を選択します。
- Base URLフィールドにはhttp://downloads-static.ironport.comと入力し、Portフィールドにはポート80を設定します。
- Authentication (optional)フィールドは空のままにしておきます。
- (*) ESAのみ:Host (McAfee Anti-Virus definitions、PXE Engine updates、Sophos Anti-Virus definitions、IronPort Anti-Spam rules、Outbreak Filters rules、DLP updates、Time zone rules and Enrollment Client (URLフィルタリング用の証明書の取得に使用)フィールドにupdates-static.ironport.comと入力します。 (ポート80はオプションです)。
- Update Servers(リスト)セクションとフィールドはすべて、デフォルトのCisco IronPortアップデートサーバのままにしておきます。
- 特定のインターフェイスを介して通信する必要がある場合は、必要に応じて外部通信用のインターフェイスが選択されていることを確認します。 デフォルト設定は自動選択に設定されます。
- 必要に応じて、設定済みのプロキシサーバを確認して更新します。
- [Submit] をクリックします。
- 右上隅のCommit Changesをクリックします。
- 最後に、Commit Changesをもう一度クリックして、すべての設定変更を確認します。
このドキュメントの「検証」セクションに進んでください。
CLIによるupdateconfigの設定
同じ変更は、アプライアンスのCLIから適用できます。 CLIからAsyncOSのダウンロード、更新、またはアップグレードの設定を変更するには、次の手順を実行します。
- CLIコマンドupdateconfigを実行します。
- コマンドSETUPを入力します。
- 設定する最初のセクションは「機能キーの更新」です。 「2」を使用します。use own server」と入力し、http://downloads-static.ironport.com:80/と入力します。
- (*) ESAのみ – 設定する2番目のセクションは「Service (images)」です。「2」を使用してください。own serverを使用し、updates-static.ironport.comと入力します。
- その他の設定プロンプトはすべて、デフォルトに設定しておくことができます。
- 特定のインターフェイスを介して通信する必要がある場合は、必要に応じて外部通信用のインターフェイスが選択されていることを確認します。 デフォルト設定は自動に設定されます。
- 必要に応じて、設定済みのプロキシサーバを確認して更新します。
- Returnキーを押して、メインCLIプロンプトに戻ります。
- CLIコマンドCOMMITを実行して、すべての設定変更を保存します。
このドキュメントの「検証」セクションに進んでください。
検証
アップデート
アプライアンスのアップデートを検証するには、CLIから検証するのが最適です。
CLI から、
- updatenowを実行します。
- (*) ESAのみ:updatenow forceを実行すると、すべてのサービスとルールセットを更新できます。
- tail updater_logsを実行します。
「http://updates-static.ironport.com/...」の行に特に注意してください。 これは、スタティックアップデータサーバとの通信およびダウンロードを通知する必要があります。
たとえば、ESAからCisco Antispam Engine(CASE)および関連ルールを更新する場合は、次のようになります。
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
サービスが通信し、ダウンロードし、更新が正常に行われる限り、設定は完了します。
サービスの更新が完了すると、updater_logsには次のように表示されます。
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
アップグレード
アップグレード通信が正常に行われ、完了したことを確認するには、System Upgradeページに移動して、Available Upgradesをクリックします。使用可能なバージョンのリストが表示されたら設定は完了です。
CLIから、単にupgradeコマンドを実行できます。 利用可能なアップグレードがある場合は、downloadオプションを選択してアップグレードマニフェストを表示します。
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
トラブルシューティング
アップデート
アップデートが失敗すると、アプライアンスから通知アラートが送信されます。次に、最も一般的に受信される電子メール通知の例を示します。
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
アプライアンスから指定したアップデータサーバへの通信をテストします。 この例では、with downloads-static.ironport.comに関連しています。 telnetを使用して、アプライアンスはポート80経由でオープン通信を行う必要があります。
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
同様に、updates-static.ironport.comについても同じことが確認できます。
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
アプライアンスに複数のインターフェイスがある場合は、適切なインターフェイスが選択されていることを確認するために、CLIからtelnetを実行してインターフェイスを指定できます。
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
アップグレード
アップグレードしようとすると、次の応答が表示されることがあります。
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
ここでは、アプライアンスで実行されているAsyncOSのバージョンを確認し、アップグレード先のAsyncOSバージョンのリリースノートを確認します。 実行しているバージョンからアップグレードしようとしているバージョンへのアップグレードパスがない可能性があります。
ホットパッチ(HP)、早期導入(ED)、または限定導入(LD)AsyncOSバージョンにアップグレードする場合は、適切なプロビジョニングが完了するように要求するためにサポートケースをオープンする必要があります。これにより、アプライアンスは必要に応じてアップグレードパスを確認できます。
関連情報