简介
本文档提供有关思科技术支持在思科内容安全设备上使用远程访问的常见问题的解答。 其中包括思科邮件安全设备(ESA)、思科网络安全设备(WSA)和思科安全管理设备(SMA)。
先决条件
使用的组件
本文档中的信息基于运行任何版本AsyncOS的思科内容安全设备。
什么是远程访问?
远程访问是思科内容安全设备与思科安全主机之间的安全外壳(SSH)连接。 启用远程会话后,只有思科客户支持才能访问设备。 远程访问允许思科客户支持分析设备。 支持人员通过此过程在设备和upgrades.ironport.com服务器之间创建的SSH隧道访问设备。
远程访问的工作原理
当远程访问连接启动时,设备会通过设备上的SSH连接打开一个安全、随机、高源端口,该端口连接到以下思科内容安全服务器之一已配置/选定的端口:
IP Address |
主机名 |
使用 |
63.251.108.107 |
upgrades.ironport.com |
所有内容安全设备 |
63.251.108.107 |
c.tunnels.ironport.com |
C系列设备(ESA) |
63.251.108.107 |
x.tunnels.ironport.com |
X系列设备(ESA) |
63.251.108.107 |
m.tunnels.ironport.com |
M系列设备(SMA) |
63.251.108.107 |
s.tunnels.ironport.com |
S系列设备(WSA) |
请务必注意,可能需要将客户防火墙配置为允许到上面列出的服务器的出站连接。如果防火墙已启用SMTP协议检测,则不会建立隧道。思科将接受来自设备的用于远程访问的连接的端口包括:
- 22
- 25 (Default)
- 53
- 80
- 443
- 4766
远程访问连接到主机名而不是硬编码的IP地址。 这需要在设备上配置域名服务器(DNS)才能建立出站连接。
在客户网络中,由于协议/端口不匹配,某些协议感知网络设备可能会阻止此连接。 某些可感知简单邮件传输协议(SMTP)的设备也可能中断连接。在存在阻塞的协议感知设备或出站连接的情况下,可能需要使用除默认端口(25)以外的端口。对隧道远程端的访问仅限于思科客户支持。 在尝试为设备建立远程访问连接或排除远程访问连接故障时,请确保查看防火墙/网络的出站连接。
注意:当思科客户支持工程师通过远程访问连接到设备时,设备上的系统提示符显示(SERVICE)。
如何启用远程访问
注意:请务必查看设备用户指南和AsyncOS版本,了解有关“为思科技术支持人员启用远程访问”的说明。
注意:通过邮件发送到attach@cisco.com的附件在传输过程中可能并不安全。支持案例管理器是思科用于将信息上传到案例的首选安全选项。要了解有关其他文件上传选项的安全性和大小限制的详细信息,请将客户文件上传到思科技术支持中心
确定可以从Internet访问的端口。默认值为端口25,该端口适用于大多数环境,因为系统还需要通过该端口进行常规访问才能发送电子邮件。大多数防火墙配置都允许通过此端口进行连接。
CLI
要通过CLI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 输入techsupport命令
- 选择隧道
- 选择生成或输入随机种子字符串
- 指定连接的端口号
- 回复“Y”以启用服务访问
此时将启用远程访问。 设备现在用于建立与思科安全堡垒主机的安全连接。 提供设备序列号和向支持案例的TAC工程师生成的种子字符串。
GUI
要通过GUI建立远程访问连接,请以Admin用户的身份完成以下步骤:
- 导航到帮助和支持>远程访问(对于ESA、SMA)、支持和帮助>远程访问(对于WSA)
- 单击Enable
- 选择种子字符串的方法
- 确保选中Initiate connection via secure tunnel复选框并指定连接的端口号
- 单击 Submit
此时将启用远程访问。 设备现在用于建立与思科安全堡垒主机的安全连接。 提供设备序列号和向支持案例的TAC工程师生成的种子字符串。
如何禁用远程访问
CLI
- 输入techsupport命令
- 选择禁用
- 在提示“Are you sure to disable service access?”时回复“Y”
GUI
- 导航到帮助和支持>远程访问(对于ESA、SMA)、支持和帮助>远程访问(对于WSA)。
- 点击禁用
- GUI输出将显示“Success — Remote Access has been disabled”
如何测试远程访问连接
请使用此示例对从设备到思科的连接执行初始测试:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
可以针对上面列出的任何端口测试连接:22、25、53、80、443或4766。如果连接失败,您可能需要运行数据包捕获来查看从您的设备/网络进行连接失败的位置。
为什么远程访问在SMA上不起作用?
如果将SMA置于本地网络中,无法直接访问Internet,则可能无法在SMA上启用远程访问。 对于此实例,可以在ESA或WSA上启用远程访问,也可以在SMA上启用SSH访问。这允许Cisco支持首先通过远程访问连接到ESA/WSA,然后通过SSH从ESA/WSA连接到SMA。这将需要端口22上的ESA/WSA和SMA之间的连接。
注意:请务必查看设备用户指南和AsyncOS版本,以获取有关“启用对没有直接互联网连接的设备的远程访问”的说明。
CLI
要通过CLI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 输入techsupport命令
- 选择SSHACCESS
- 选择生成或输入随机种子字符串
- 回复“Y”以启用服务访问
此时将启用远程访问。 CLI输出将显示种子字符串。 请将此信息提供给思科客户支持工程师。 CLI输出还将显示连接状态和远程访问详细信息,包括设备序列号。 请将此序列号提供给客户客户支持工程师。
GUI
要通过GUI建立远程访问连接,请以Admin用户的身份完成以下步骤:
- 导航到帮助和支持>远程访问(对于ESA、SMA)、支持和帮助>远程访问(对于WSA)
- 单击Enable
- 选择种子字符串的方法
- 请勿选中Initiate connection via secure tunnel复选框
- 单击 Submit
此时将启用远程访问。 GUI输出将显示成功消息和设备的种子字符串。 请将此信息提供给思科客户支持工程师。 GUI输出还将显示连接状态和远程访问详细信息,包括设备序列号。 请将此序列号提供给客户客户支持工程师。
启用SSHACCESS时如何禁用远程访问
禁用SSHACCESS的远程访问步骤与上述提供的步骤相同。
故障排除
如果设备无法启用远程访问并通过列出的端口之一连接到upgrades.ironport.com,则需要直接从设备运行数据包捕获以查看导致出站连接失败的原因。
注意:请务必查看设备用户指南和AsyncOS版本,了解有关“运行数据包捕获”的说明。
思科客户支持工程师可能会请求提供.pcap文件,以便查看并协助进行故障排除。
相关信息