Inleiding
Dit document beschrijft het IP-adres en de hosts die nodig zijn om uw Cisco Content Security Applicatie te configureren voor gebruik met een statische host voor downloads, updates en upgrades. Deze configuraties moeten worden gebruikt voor hardware of virtuele Cisco e-mail security applicatie (ESA), Web security applicatie (WSA) of Security Management applicatie (SMA).
Downloads, updates of upgrades van Content Security Applicatie met een statische host
Cisco biedt statische hosts voor klanten die strikte firewall- of proxyvereisten hebben. Het is belangrijk om op te merken dat als u uw apparaat configureert om de statische hosts voor downloads en updates te gebruiken, dezelfde statische hosts voor downloads en updates ook moeten worden toegestaan in de firewall en proxy op het netwerk.
Hier zijn de statische hostnamen, IP-adres(sen) en poorten die betrokken zijn bij het downloaden, bijwerken en upgraden:
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25 (poort 80)
- 184.94.240.106 (poort 80)
Configuratie van serviceupdates via GUI
Voltooi deze stappen om de download-, update- of upgrade-configuratie op AsyncOS te wijzigen via de GUI:
- Navigeer naar de configuratiepagina van de update-instellingen
- WAAS: Systeembeheer > upgrade- en update-instellingen
- ESA: Beveiligingsservices > Service updates
- SMA: Systeembeheer > Instellingen bijwerken
- Klik op Update-instellingen bewerken....
- Selecteer in de sectie Updateservers (afbeeldingen) de optie "Local Update Servers (locatie van updateafbeeldingsbestanden)".
- Voor het veld Base URL voert u http://downloads-static.ironport.com in en voor het veld Port, ingesteld voor poort 80.
- Laat de velden Verificatie (optioneel) leeg.
- (*) Alleen ESA - Voor de Host (McAfee Anti-Virus definities, PXE Engine updates, Sophos Anti-Virus definities, IronPort Anti-Spam regels, Uitbraakfilters regels, DLP updates, Tijdzone regels en Inschrijvingsclient (gebruikt om certificaten voor URL-filtering te halen) veld, voer updates-statistat.ironport.com in. (Port 80 is optioneel.)
- Laat de sectie Update Servers (lijst) en de velden allemaal ingesteld op de standaard Cisco IronPort Update Servers.
- Zorg ervoor dat u de interface hebt geselecteerd die nodig is voor externe communicatie, indien nodig om via een specifieke interface te communiceren. De standaardconfiguratie wordt ingesteld op Auto Select.
- Controleer en update de ingestelde Proxyservers, indien nodig.
- Klik op Verzenden.
- Klik in de rechterbovenhoek op Wijzigingen vastleggen.
- Klik tot slot nogmaals op Commit Changes om alle configuratiewijzigingen te bevestigen.
Ga verder naar het gedeelte Verificatie van dit document.
Configuratie van updateconfig via de CLI
Dezelfde wijzigingen kunnen worden toegepast via de CLI op het apparaat. Voltooi deze stappen om de download, update, of verbeteringsconfiguratie op AsyncOS van CLI te veranderen:
- Voer de CLI-opdracht updateconfig uit.
- Voer de opdracht SETUP in.
- De eerste sectie die wordt gepresenteerd om te configureren is "Feature Key updates". Gebruik "2. Gebruik eigen server' en voer http://downloads-static.ironport.com:80/ in.
- (*) Alleen ESA - Het tweede gedeelte dat wordt weergegeven voor de configuratie is "Service (images)". Gebruik '2. Gebruik eigen server' en voer updates-stable.ironport.com in.
- Alle andere configuratieaanwijzingen kunnen op de standaardinstelling worden gezet.
- Zorg ervoor dat u de interface hebt geselecteerd die nodig is voor externe communicatie, indien nodig om via een specifieke interface te communiceren. De standaardconfiguratie wordt ingesteld op Auto.
- Controleer en update de ingestelde Proxyserver, indien vereist.
- Hit return om terug te gaan naar de belangrijkste CLI-prompt.
- Voer de CLI-opdracht COMMIT uit om alle configuratiewijzigingen op te slaan.
Ga verder naar het gedeelte Verificatie van dit document.
Verificatie
Updates
Voor verificatie van updates op het apparaat is het het beste om te valideren vanaf de CLI.
Van de CLI:
- Voer nu updates uit.
- (*) Alleen ESA - u kunt updatenow kracht uitvoeren om alle diensten en regel sets update te hebben.
- Start tail updater_logs.
U wilt de volgende regels goed in de gaten houden: "http://updates-static.ironport.com/..." Dit zou communicatie en download met de statische updaterserver moeten signaleren.
Bijvoorbeeld, van een ESA dat de Cisco Antispam Engine bijwerkt (CASE) en bijbehorende regels:
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
Zolang de service communiceert, downloads en met succes updates uitvoert, wordt u ingesteld.
Wanneer de service update is voltooid, wordt het volgende getoond:
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
Upgrades
Ga naar de pagina Systeemupgrade en klik op Beschikbare upgrades om te controleren of de upgrade succesvol is en is voltooid. Als de lijst met beschikbare versies wordt weergegeven, is de installatie voltooid.
Vanuit de CLI kunt u de upgrade-opdracht uitvoeren. Kies de download optie om de upgrade-manifest te bekijken, als er beschikbare upgrades zijn.
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
Probleemoplossing
Updates
Het apparaat verstuurt waarschuwingsberichten wanneer de updates mislukken. Hier is een voorbeeld van het meest ontvangen e-mailbericht:
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
U wilt de communicatie tussen het apparaat en de gespecificeerde updaterserver testen. In dit geval maken we ons zorgen with downloads-static.ironport.com. Gebruik van telnet dient het apparaat te beschikken over open communicatie via poort 80:
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
Hetzelfde kan worden gezegd van updates-static.ironport.com:
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
Als uw apparaat meerdere interfaces heeft, kunt u telnet vanuit de CLI uitvoeren en de interface specificeren om te bevestigen dat de juiste interface is geselecteerd:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
Upgrades
Bij een upgrade ziet u mogelijk de volgende reacties:
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
U kunt de versie van AsyncOS bekijken die op het apparaat wordt uitgevoerd en ook de Releaseopmerkingen bekijken van de versie van AsyncOS waarop u een upgrade uitvoert. Het is mogelijk dat er geen upgradepad is van de versie die u gebruikt naar de versie die u probeert te upgraden.
Als u een upgrade uitvoert naar een Hot Patch (HP), Vroege Implementatie (ED) of Beperkte Implementatie (LD) AsyncOS-versie, moet u mogelijk een ondersteuningscase openen als u wilt dat de juiste provisioning is voltooid, zodat uw apparaat het upgradepad naar wens kan zien.
Gerelateerde informatie