はじめに
このドキュメントでは、CiscoコンテンツセキュリティアプライアンスでのCiscoテクニカルサポートによるリモートアクセスの使用に関するよくある質問(FAQ)に回答しています。 これには、Cisco Eメールセキュリティアプライアンス(ESA)、Cisco Webセキュリティアプライアンス(WSA)、およびCiscoセキュリティ管理アプライアンス(SMA)が含まれます。
前提条件
使用するコンポーネント
このドキュメントの情報は、AsyncOSの任意のバージョンを実行するCiscoコンテンツセキュリティアプライアンスに基づくものです。
リモートアクセスとは
リモートアクセスは、Ciscoコンテンツセキュリティアプライアンスからシスコのセキュアホストへのセキュアシェル(SSH)接続です。 リモートセッションが有効になると、Cisco Customer Assistanceだけがアプライアンスにアクセスできます。 リモートアクセスにより、シスコカスタマーサポートはアプライアンスを分析できます。 サポートは、この手順でアプライアンスとupgrades.ironport.comサーバ間に作成されるSSHトンネルを介してアプライアンスにアクセスします。
リモートアクセスの仕組み
リモートアクセス接続が開始されると、アプライアンスはSSH接続を介して、次のCiscoコンテンツセキュリティサーバの設定/選択ポートに、セキュアでランダムなハイソースポートを開きます。
IP アドレス |
ホスト名 |
利用 |
63.251.108.107 |
upgrades.ironport.com |
すべてのコンテンツセキュリティアプライアンス |
63.251.108.107 |
c.tunnels.ironport.com |
Cシリーズアプライアンス(ESA) |
63.251.108.107 |
x.tunnels.ironport.com |
Xシリーズアプライアンス(ESA) |
63.251.108.107 |
m.tunnels.ironport.com |
Mシリーズアプライアンス(SMA) |
63.251.108.107 |
s.tunnels.ironport.com |
Sシリーズアプライアンス(WSA) |
お客様のファイアウォールは、上記のサーバのいずれかにアウトバウンド接続を許可するように設定する必要がある場合があることに注意してください。ファイアウォールでSMTPプロトコルインスペクションが有効になっている場合、トンネルは確立されません。シスコがリモートアクセス用にアプライアンスからの接続を受け入れるポートは次のとおりです。
- 22
- 25(デフォルト)
- 53
- 80
- 443
- 4766
リモートアクセス接続は、ハードコードされたIPアドレスではなく、ホスト名に対して行われます。 これには、アウトバウンド接続を確立するために、ドメインネームサーバ(DNS)をアプライアンスで設定する必要があります。
顧客のネットワークでは、プロトコル対応ネットワークデバイスの中には、プロトコルとポートの不一致により、この接続をブロックするものがあります。 一部のSimple Mail Transport Protocol(SMTP)対応デバイスでも、接続が中断されることがあります。プロトコル対応デバイスまたはアウトバウンド接続がブロックされている場合は、デフォルト(25)以外のポートを使用する必要があります。トンネルのリモートエンドへのアクセスは、シスコカスタマーサポートのみに制限されます。 アプライアンスのリモートアクセス接続を確立またはトラブルシューティングする際は、ファイアウォール/ネットワークでアウトバウンド接続を確認してください。
注:シスコカスタマーサポートエンジニアがリモートアクセス経由でアプライアンスに接続すると、アプライアンス上のシステムプロンプトに(SERVICE)と表示されます。
リモートアクセスを有効にする方法
注:「シスコテクニカルサポート担当者のためのリモートアクセスの有効化」の手順については、必ず、ご使用のアプライアンスのユーザガイドとAsyncOSのバージョンを参照してください。
注:電子メールでattach@cisco.comに送信される添付ファイルは、送信中にセキュリティ保護されない場合があります。Support Case Managerは、情報をサービスリクエストにアップロードするためのシスコの推奨セキュアオプションです。他のファイルアップロードオプションのセキュリティおよびサイズの制限の詳細については、「Cisco Technical Assistance Centerへのカスタマーファイルアップロード」を参照してください。
インターネットから到達可能なポートを特定します。デフォルトはポート25で、システムがEメールメッセージを送信するためにはそのポートを介した一般的なアクセスも必要とするため、ほとんどの環境で機能します。このポート経由の接続は、ほとんどのファイアウォール設定で許可されます。
CLI を使う場合:
CLIを使用して管理者ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- techsupportコマンドを入力します
- TUNNELを選択します
- ランダムなシード文字列を生成するか、入力します
- 接続のポート番号を指定します
- 「Y」と返信してサービスアクセスを有効にします。
この時点でリモートアクセスが有効になります。 この時点で、アプライアンスはシスコのセキュアな基盤ホストへのセキュアな接続を確立します。 ケースをサポートするTACエンジニアに、アプライアンスのシリアル番号と生成されたシード文字列の両方を提供します。
GUI
GUIを介して管理者ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します
- Enableをクリックします。
- シード文字列のメソッドを選択します
- Initiate connection via secure tunnelチェックボックスにチェックマークを入れて、接続用のポート番号を指定していることを確認します
- [Submit] をクリックします。
この時点でリモートアクセスが有効になります。 この時点で、アプライアンスはシスコのセキュアな基盤ホストへのセキュアな接続を確立します。 ケースをサポートするTACエンジニアに、アプライアンスのシリアル番号と生成されたシード文字列の両方を提供します。
リモートアクセスを無効にする方法
CLI を使う場合:
- techsupportコマンドを入力します
- DISABLEを選択します。
- 「Are you sure to disable service access?」(サービスアクセスを無効にしますか?)というプロンプトが表示されたら、「Y」と返信します。
GUI
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します。
- Disableをクリックします
- GUI出力には「Success — Remote Access has been disabled」と表示されます。
リモートアクセス接続のテスト方法
アプライアンスからシスコへの接続の初期テストを実行するには、次の例を使用します。
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
接続は、22、25、53、80、443、または4766のいずれかのポートでテストできます。接続が失敗した場合は、パケットキャプチャを実行して、アプライアンス/ネットワークのどこで接続が失敗したかを確認する必要があります。
リモートアクセスがSMAで機能しないのはなぜですか。
インターネットに直接アクセスせずにSMAをローカルネットワークに配置すると、SMAでリモートアクセスが有効にならない場合があります。 この例では、ESAまたはWSAでリモートアクセスを有効にし、SMAでSSHアクセスを有効にすることができます。これにより、シスコサポートは、最初にリモートアクセス経由でESA/WSAに接続し、次にSSH経由でESA/WSAからSMAに接続できます。これには、ESA/WSAとSMAの間のポート22での接続が必要になります。
注: 「インターネットに直接接続せずにアプライアンスにリモートアクセスできるようにする」の手順については、ご使用のアプライアンスのユーザーガイドとAsyncOSのバージョンを必ずご確認ください。
CLI を使う場合:
CLIを使用して管理者ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- techsupportコマンドを入力します
- SSHACCESSを選択します。
- ランダムなシード文字列を生成するか、入力します
- 「Y」と返信してサービスアクセスを有効にします。
この時点でリモートアクセスが有効になります。 CLI出力にシード文字列が表示されます。 これをシスコカスタマーサポートエンジニアに提供してください。 CLI出力には、接続ステータスとリモートアクセスの詳細(アプライアンスのシリアル番号を含む)も表示されます。 このシリアル番号をカスタマーサポートエンジニアに提供してください。
GUI
GUIを介して管理者ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します
- Enableをクリックします。
- シード文字列のメソッドを選択します
- Initiate connection via secure tunnelチェックボックスにはチェックマークを入れないでください
- [Submit] をクリックします。
この時点でリモートアクセスが有効になります。 GUI出力には、成功メッセージとアプライアンスのシード文字列が表示されます。 これをシスコカスタマーサポートエンジニアに提供してください。 GUI出力には、接続ステータスとリモートアクセスの詳細(アプライアンスのシリアル番号など)も表示されます。 このシリアル番号をカスタマーサポートエンジニアに提供してください。
SSHACCESSが有効になっている場合にリモートアクセスを無効にする方法
SSHACCESSのリモートアクセスを無効にする手順は、上記と同じです。
トラブルシューティング
アプライアンスでリモートアクセスを有効にできず、表示されているポートの1つを介してupgrades.ironport.comに接続できない場合は、アプライアンスからパケットキャプチャを直接実行して、発信接続の失敗原因を確認する必要があります。
注:「パケットキャプチャの実行」の手順については、ご使用のアプライアンスおよびAsyncOSバージョンのユーザガイドを必ずご確認ください。
シスコカスタマーサポートエンジニアは、レビューとトラブルシューティングの支援のために、.pcapファイルの提供を依頼することがあります。
関連情報