Einleitung
In diesem Dokument finden Sie Antworten auf häufig gestellte Fragen zur Nutzung des Remote-Zugriffs durch den technischen Support von Cisco auf Cisco Content Security-Appliances. Dazu gehören die Cisco Email Security Appliance (ESA), die Cisco Web Security Appliance (WSA) und die Cisco Security Management Appliance (SMA).
Voraussetzungen
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den Cisco Content Security Appliances, auf denen eine beliebige Version von AsyncOS ausgeführt wird.
Was ist Remote-Zugriff?
Der Remote-Zugriff ist eine Secure Shell (SSH)-Verbindung, die von einer Cisco Content Security Appliance auf einen sicheren Host bei Cisco aktiviert wird. Nur der Cisco Kundendienst kann auf die Appliance zugreifen, sobald eine Remote-Sitzung aktiviert wurde. Mit Remote-Zugriff kann der Cisco Kundensupport eine Appliance analysieren. Der Support greift über einen SSH-Tunnel, der durch dieses Verfahren zwischen der Appliance und dem upgrades.ironport.com-Server erstellt wird, auf die Appliance zu.
Funktionsweise des Remote-Zugriffs
Wenn eine Remote-Zugriffsverbindung initiiert wird, öffnet die Appliance einen sicheren, zufälligen High-Source-Port über eine SSH-Verbindung der Appliance mit dem konfigurierten/ausgewählten Port eines der folgenden Cisco Content Security-Server:
| IP-Adresse |
Hostname |
Nutzung |
| 63.251.108.107 |
upgrades.ironport.com |
Alle Content Security Appliances |
| 63.251.108.107 |
c.tunnels.ironport.com |
Appliances der C-Serie (ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
Geräte der X-Serie (ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
Appliances der M-Serie (SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
Appliances der S-Serie (WSA) |
Beachten Sie, dass möglicherweise eine Kunden-Firewall konfiguriert werden muss, um ausgehende Verbindungen zu einem der oben aufgeführten Server zuzulassen. Wenn die SMTP-Protokollüberprüfung für Ihre Firewall aktiviert ist, wird der Tunnel nicht eingerichtet. Ports, die Cisco für den Remote-Zugriff Verbindungen von der Appliance akzeptiert, sind:
- 22
- 25 (Standard)
- 53
- 80
- 443
- 4766
Die Remotezugriffsverbindung wird mit einem Hostnamen und nicht mit einer fest codierten IP-Adresse hergestellt. Dazu muss auf der Appliance der Domain Name Server (DNS) konfiguriert werden, um die ausgehende Verbindung herzustellen.
In einem Kundennetzwerk blockieren möglicherweise einige protokollsensitive Netzwerkgeräte diese Verbindung aufgrund einer Protokoll/Port-Diskrepanz. Einige SMTP-fähige Geräte (Simple Mail Transport Protocol) unterbrechen möglicherweise ebenfalls die Verbindung. In Fällen, in denen protokollorientierte Geräte oder ausgehende Verbindungen blockiert werden, kann die Verwendung eines anderen Ports als des Standardports (25) erforderlich sein. Der Zugriff auf das Remote-Ende des Tunnels ist auf den Cisco Kundensupport beschränkt. Überprüfen Sie Ihre Firewall/Ihr Netzwerk auf ausgehende Verbindungen, wenn Sie versuchen, Remotezugriffsverbindungen für Ihre Appliance herzustellen oder Probleme mit diesen zu beheben.
Hinweis: Wenn ein Cisco Customer Support Engineer über Remote-Zugriff mit der Appliance verbunden ist, erscheint die Systemaufforderung auf der Appliance (SERVICE).
So aktivieren Sie den Remote-Zugriff
Hinweis: Lesen Sie im Benutzerhandbuch Ihrer Appliance und in der Version von AsyncOS die Anweisungen zum Thema "Aktivieren des Remote-Zugriffs für Mitarbeiter des technischen Supports von Cisco".
Hinweis: Anlagen, die per E-Mail an attach@cisco.com gesendet werden, sind möglicherweise nicht sicher bei der Übertragung. Der Support Case Manager ist die von Cisco bevorzugte sichere Option zum Hochladen von Informationen zu Ihrem Ticket. Weitere Informationen zu den Sicherheits- und Größenbeschränkungen anderer Datei-Upload-Optionen finden Sie unter Datei-Uploads von Kunden an das Cisco Technical Assistance Center.
Identifizieren Sie einen Port, der vom Internet erreicht werden kann. Der Standardwert ist Port 25, der in den meisten Umgebungen funktioniert, da das System auch allgemeinen Zugriff über diesen Port benötigt, um E-Mail-Nachrichten zu senden. Verbindungen über diesen Port sind in den meisten Firewall-Konfigurationen zulässig.
CLI
Um als Administrator eine Remote-Zugriffsverbindung über die CLI herzustellen, gehen Sie wie folgt vor:
- Geben Sie den Befehl techsupport ein.
- TUNNEL auswählen
- Auswählen, um eine zufällige Seed-Zeichenfolge zu generieren oder einzugeben
- Geben Sie die Portnummer für die Verbindung an.
- "Y" antworten, um den Dienstzugriff zu aktivieren
Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert. Die Appliance kann jetzt eine sichere Verbindung zum Secure Bastion-Host von Cisco herstellen. Geben Sie die Seriennummer der Appliance und die Seed-Zeichenfolge an, die vom TAC-Techniker für Ihren Fall generiert wird.
GUI
Um als Administrator eine Remote-Zugriffsverbindung über die GUI herzustellen, gehen Sie wie folgt vor:
- Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
- Klicken Sie auf Aktivieren
- Wählen Sie die Methode für die Seed-Zeichenfolge aus.
- Stellen Sie sicher, dass Sie das Kontrollkästchen Verbindung über sicheren Tunnel initiieren aktivieren und die Portnummer für die Verbindung angeben.
- Klicken Sie auf Submit (Senden).
Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert. Die Appliance kann jetzt eine sichere Verbindung zum Secure Bastion-Host von Cisco herstellen. Geben Sie die Seriennummer der Appliance und die Seed-Zeichenfolge an, die vom TAC-Techniker für Ihren Fall generiert wird.
So deaktivieren Sie den Remote-Zugriff
CLI
- Geben Sie den Befehl techsupport ein.
- DISABLE auswählen
- "Y" antworten, wenn Sie gefragt werden "Möchten Sie den Dienstzugriff wirklich deaktivieren?"
GUI
- Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
- Klicken Sie auf Deaktivieren
- In der GUI-Ausgabe wird angezeigt: "Success — Remote Access has been disabled" (Erfolg - RAS wurde deaktiviert).
So testen Sie die Remote-Zugriffsverbindung
Verwenden Sie dieses Beispiel, um einen ersten Test für die Verbindung von Ihrer Appliance zu Cisco durchzuführen:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
Die Verbindung kann für jeden der oben aufgeführten Ports getestet werden: 22, 25, 53, 80, 443 oder 4766. Wenn die Verbindung ausfällt, müssen Sie möglicherweise eine Paketerfassung ausführen, um festzustellen, wo die Verbindung von Ihrer Appliance/Ihrem Netzwerk ausfällt.
Warum funktioniert der Remote-Zugriff nicht mit der SMA?
Der Remote-Zugriff kann auf einer SMA nicht aktiviert werden, wenn die SMA im lokalen Netzwerk ohne direkten Zugriff auf das Internet platziert wird. Für diese Instanz kann der Remote-Zugriff auf einer ESA oder WSA und der SSH-Zugriff auf der SMA aktiviert werden. Dies ermöglicht es dem Cisco Support, zunächst über Remote-Zugriff eine Verbindung zur ESA/WSA herzustellen und dann über SSH von der ESA/WSA zur SMA. Dies erfordert eine Verbindung zwischen der ESA/WSA und der SMA an Port 22.
Hinweis: Lesen Sie im Benutzerhandbuch Ihrer Appliance und Version von AsyncOS die Anweisungen zum Thema "Aktivieren von Remote-Zugriff auf Appliances ohne direkte Internetverbindung" durch.
CLI
Um als Administrator eine Remote-Zugriffsverbindung über die CLI herzustellen, gehen Sie wie folgt vor:
- Geben Sie den Befehl techsupport ein.
- SSHACCESS auswählen
- Auswählen, um eine zufällige Seed-Zeichenfolge zu generieren oder einzugeben
- "Y" antworten, um den Dienstzugriff zu aktivieren
Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert. In der CLI-Ausgabe wird die Seed-Zeichenfolge angezeigt. Bitte stellen Sie dies dem Cisco Kundensupporttechniker zur Verfügung. Die CLI-Ausgabe zeigt außerdem den Verbindungsstatus und Details für den Remote-Zugriff an, einschließlich der Seriennummer der Einheit. Bitte geben Sie diese Seriennummer an den Kundensupporttechniker des Kunden weiter.
GUI
Um als Administrator eine Remote-Zugriffsverbindung über die GUI herzustellen, gehen Sie wie folgt vor:
- Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
- Klicken Sie auf Aktivieren
- Wählen Sie die Methode für die Seed-Zeichenfolge aus.
- Aktivieren Sie NICHT das Kontrollkästchen Verbindung über sicheren Tunnel initiieren.
- Klicken Sie auf Submit (Senden).
Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert. Die GUI-Ausgabe zeigt eine Erfolgsmeldung und die Seed-Zeichenfolge der Appliance an. Bitte stellen Sie dies dem Cisco Kundensupporttechniker zur Verfügung. Die GUI-Ausgabe zeigt außerdem den Verbindungsstatus und die Details für den Remote-Zugriff an, einschließlich der Seriennummer der Einheit. Bitte geben Sie diese Seriennummer an den Kundensupporttechniker des Kunden weiter.
Deaktivieren des Remotezugriffs bei Aktivierung für SSHACCESS
Das Deaktivieren des Remote-Zugriffs für SSHACCESS ist mit den oben beschriebenen Schritten identisch.
Fehlerbehebung
Wenn die Appliance den Remote-Zugriff nicht aktivieren kann und sich über einen der aufgeführten Ports mit upgrades.ironport.com verbinden kann, müssen Sie eine Paketerfassung direkt von der Appliance ausführen, um zu überprüfen, was den Ausfall der ausgehenden Verbindung verursacht.
Hinweis: Lesen Sie das Benutzerhandbuch Ihrer Appliance und die Version von AsyncOS für Anweisungen zum Ausführen einer Paketerfassung.
Der Cisco Customer Support-Techniker kann um die Bereitstellung der .pcap-Datei bitten, um die Fehlerbehebung überprüfen und unterstützen zu können.
Zugehörige Informationen
Feedback