簡介
本文檔提供有關思科技術支援在思科內容安全裝置上使用遠端訪問功能的常見問題解答。 其中包括思科郵件安全裝置(ESA)、思科網路安全裝置(WSA)和思科安全管理裝置(SMA)。
必要條件
採用元件
本文檔中的資訊基於運行任何版本的AsyncOS的思科內容安全裝置。
什麼是遠端訪問?
遠端訪問是一種安全外殼(SSH)連線,它支援從思科內容安全裝置到思科安全主機的連線。 啟用遠端會話後,只有思科客戶幫助才能訪問裝置。 遠端訪問允許思科客戶支援分析裝置。 支援透過此過程在裝置和upgrades.ironport.com伺服器之間建立的SSH隧道訪問裝置。
遠端訪問的工作原理
當遠端訪問連線啟動時,裝置透過裝置上的SSH連線打開一個安全、隨機、高源埠,該埠連線到以下思科內容安全伺服器之一已配置/選定的埠:
| IP 位址 |
主機名 |
使用 |
| 63.251.108.107 |
upgrades.ironport.com |
所有內容安全裝置 |
| 63.251.108.107 |
c.tunnels.ironport.com |
C系列裝置(ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
X系列裝置(ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
M系列裝置(SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
S系列裝置(WSA) |
請務必注意,可能需要配置客戶防火牆,以便允許到上面列出的伺服器之一進行出站連線。如果您的防火牆已啟用SMTP通訊協定檢查,將不會建立通道。思科將接受來自裝置用於遠端訪問的連線的埠包括:
- 22
- 25 (預設)
- 53
- 80
- 443
- 4766
遠端訪問連線與主機名而不是硬編碼IP地址建立。 這需要在裝置上配置域名伺服器(DNS)才能建立出站連線。
在客戶網路中,由於協定/埠不匹配,某些協定感知網路裝置可能會阻止此連線。 某些可感知簡單郵件傳輸協定(SMTP)的裝置也可能中斷連線。在存在被阻止的協定感知裝置或出站連線的情況下,可能需要使用除預設埠(25)之外的埠。對隧道遠端端的訪問僅限於Cisco客戶支援。 在嘗試為您的裝置建立遠端訪問連線或排除遠端訪問連線故障時,請確保檢視防火牆/網路的出站連線。
注意:當Cisco客戶支援工程師透過遠端訪問連線到裝置時,裝置上的系統提示會顯示(SERVICE)。
如何啟用遠端存取
注意:請務必檢視您的裝置和AsyncOS版本的使用手冊,以瞭解有關「為Cisco技術支援人員啟用遠端訪問」的說明。
附註:透過電子郵件傳送至attach@cisco.com的附件在傳送過程中可能並不安全。支援案件管理器是思科偏好的安全選項,可將資訊上傳到您的案件。要瞭解有關其他檔案上傳選項的安全性和大小限制的更多資訊,請參閱客戶檔案上傳到思科技術支援中心
確定可從Internet訪問的埠。預設為連線埠25,可在大多數環境中使用,因為系統也要求透過該連線埠進行一般存取才能傳送電子郵件訊息。大多數防火牆配置都允許透過此埠進行連線。
CLI
要透過CLI建立遠端訪問連線,請以Admin使用者身份完成以下步驟:
- 輸入techsupport命令
- 選擇隧道
- 選擇產生或輸入隨機種子字串
- 指定連線的埠號
- 回覆「Y」以啟用服務訪問
此時將啟用遠端訪問。 裝置現在用於建立與思科安全防禦主機的安全連線。 提供裝置序列號和生成的種子字串,這些字串將提供給支援您的案例的TAC工程師。
GUI
要透過GUI建立遠端訪問連線,請以Admin使用者身份完成以下步驟:
- 導航到幫助和支援>遠端訪問(對於ESA、SMA),支援和幫助>遠端訪問(對於WSA)
- 按一下Enable
- 選擇種子字串的方法
- 確保選中Initiate connection via secure tunnel覈取方塊並指定連線的埠號
- 點選提交
此時將啟用遠端訪問。 裝置現在用於建立與思科安全防禦主機的安全連線。 提供裝置序列號和生成的種子字串,這些字串將提供給支援您的案例的TAC工程師。
如何停用遠端訪問
CLI
- 輸入techsupport命令
- 選擇停用
- 當系統提示「Are you sure to disable service access?」時回覆「Y」
GUI
- 導航到幫助和支援>遠端訪問(對於ESA、SMA),支援和幫助>遠端訪問(對於WSA)。
- 點選停用
- GUI輸出將顯示「Success — Remote Access has been disabled」
如何測試遠端訪問連線
使用以下示例對從您的裝置到思科的連線執行初始測試:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
可以測試上面列出的任何埠的連通性:22、25、53、80、443或4766。如果連通性失敗,您可能需要運行資料包捕獲來檢視從您的裝置/網路進行連線失敗的位置。
為什麼遠端訪問在SMA上不起作用?
如果將SMA置於本地網路中,但無法直接訪問網際網路,則無法在SMA上啟用遠端訪問。 例如,可以在ESA或WSA上啟用遠端訪問,也可以在SMA上啟用SSH訪問。這允許Cisco支援首先透過遠端訪問連線到ESA/WSA,然後透過SSH從ESA/WSA連線到SMA。這將需要ESA/WSA和埠22上的SMA之間的連線。
注意:請務必檢視裝置使用手冊和AsyncOS版本,瞭解有關啟用沒有直接網際網路連線的裝置的遠端訪問說明。
CLI
要透過CLI建立遠端訪問連線,請以Admin使用者身份完成以下步驟:
- 輸入techsupport命令
- 選擇SSHACCESS
- 選擇產生或輸入隨機種子字串
- 回覆「Y」以啟用服務訪問
此時將啟用遠端訪問。 CLI輸出將顯示種子字串。 請將此資訊提供給思科客戶支援工程師。 CLI輸出還將顯示連線狀態和遠端訪問詳細資訊,包括裝置序列號。 請將此序列號提供給客戶客戶支援工程師。
GUI
要透過GUI建立遠端訪問連線,請以Admin使用者身份完成以下步驟:
- 導航到幫助和支援>遠端訪問(對於ESA、SMA),支援和幫助>遠端訪問(對於WSA)
- 按一下Enable
- 選擇種子字串的方法
- 請勿選中Initiate connection via secure tunnel覈取方塊
- 點選提交
此時將啟用遠端訪問。 GUI輸出將顯示成功消息和裝置的種子字串。 請將此資訊提供給思科客戶支援工程師。 GUI輸出還將顯示連線狀態和遠端訪問詳細資訊,包括裝置序列號。 請將此序列號提供給客戶客戶支援工程師。
啟用SSHACCESS時如何停用遠端訪問
停用SSHACCESS的遠端訪問與上面提供的步驟相同。
疑難排解
如果裝置無法啟用遠端訪問並透過列出的埠之一連線到upgrades.ironport.com,您將需要直接從裝置運行資料包捕獲來檢視導致出站連線失敗的原因。
注意:請務必檢視裝置和AsyncOS版本的《使用手冊》,瞭解有關「運行資料包捕獲」的說明。
思科客戶支援工程師可能會要求提供.pcap檔案,以便檢閱並協助進行疑難排解。
相關資訊
意見