ملاحظة فنية حول الأسئلة المتداولة حول الوصول عن بعد من Cisco ESA/WSA/SMA

المقدمة

يقدم هذا المستند إجابات على الأسئلة المتداولة حول إستخدام الوصول عن بعد من قبل دعم Cisco التقني على أجهزة أمان المحتوى من Cisco.  وهذا يتضمن جهاز أمان البريد الإلكتروني من Cisco (ESA) وأجهزة أمان الويب (WSA) من Cisco وأجهزة إدارة الأمان (SMA) من Cisco.  

المتطلبات الأساسية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى أجهزة أمان المحتوى من Cisco التي تشغل أي إصدار من AsyncOS.

ما هو الوصول عن بعد؟

الوصول عن بعد هو اتصال Secure Shell (SSH) يتم تمكينه من جهاز أمان المحتوى من Cisco إلى مضيف آمن في Cisco.  لا يمكن الوصول إلى الجهاز إلا من خلال مساعدة عملاء Cisco بمجرد تمكين جلسة عمل عن بعد.  يسمح الوصول عن بعد ل Cisco Customer Support بتحليل جهاز.  يعمل الدعم على الوصول إلى الجهاز من خلال نفق SSH الذي ينشئه هذا الإجراء بين الجهاز وخادم upgrades.ironport.com. 

كيفية عمل الوصول عن بعد

عند بدء اتصال الوصول عن بعد، يقوم الجهاز بفتح منفذ آمن وعشوائي وعالي المصدر عبر اتصال SSH على الجهاز إلى المنفذ الذي تم تكوينه/تحديده أحد خوادم أمان المحتوى التالية من Cisco:

عنوان IP	اسم المضيف	إستخدام
63.251.108.107	upgrades.ironport.com	جميع أجهزة أمان المحتوى
63.251.108.107	c.tunnels.ironport.com	أجهزة الفئة C (ESA)
63.251.108.107	x.tunnels.ironport.com	أجهزة سلسلة X (ESA)
63.251.108.107	m.tunnels.ironport.com	أجهزة الفئة M (SMA)
63.251.108.107	s.tunnels.ironport.com	أجهزة سلسلة S (WSA)

من المهم ملاحظة أنه قد يلزم تكوين جدار حماية العميل للسماح بالاتصالات الصادرة بأحد الخوادم المدرجة أعلاه. إذا تم تمكين فحص بروتوكول SMTP لجدار الحماية، فلن يقوم النفق بإنشاء. المنافذ التي تقبل Cisco الاتصالات من الجهاز للوصول عن بعد هي:

• 22
• 25 (افتراضي)
• 53
• 80
• 443
• 4766

يتم إجراء اتصال الوصول عن بعد لاسم مضيف وليس لعنوان IP مرمز بشكل ثابت.  يتطلب هذا تكوين خادم اسم المجال (DNS) على الجهاز لإنشاء الاتصال الصادر.

على شبكة العميل، قد تقوم بعض أجهزة الشبكة المتوافقة مع البروتوكول بحظر هذا الاتصال بسبب عدم تطابق البروتوكول/المنفذ.  قد تقوم بعض الأجهزة الحساسة لبروتوكول نقل البريد البسيط (SMTP) بمقاطعة الاتصال أيضا. في الحالات التي تكون فيها هناك أجهزة واعية للبروتوكول أو إتصالات صادرة محظورة، قد يكون إستخدام منفذ آخر غير المنفذ الافتراضي (25) مطلوبا. يقتصر الوصول إلى الطرف البعيد من النفق على دعم عملاء Cisco فقط.  يرجى التأكد من مراجعة جدار الحماية/الشبكة للاتصالات الصادرة عند محاولة إنشاء إتصالات الوصول عن بعد للجهاز أو أستكشاف أخطائها وإصلاحها.

ملاحظة: عند اتصال مهندس دعم عملاء Cisco بالجهاز عبر الوصول عن بعد موجه أمر النظام على عرض الجهاز (SERVICE).

كيفية تمكين الوصول عن بعد

ملاحظة: يرجى التأكد من مراجعة دليل المستخدم الخاص بالجهاز لديك وإصدار نظام التشغيل AsyncOS للحصول على تعليمات حول "تمكين الوصول عن بعد لموظفي الدعم الفني في Cisco".

ملاحظة: قد لا تكون المرفقات التي يتم إرسالها عبر البريد الإلكتروني إلى attach@cisco.com آمنة أثناء النقل. مدير حالة الدعم هو الخيار الآمن المفضل من Cisco لتحميل المعلومات إلى حالتك. لمعرفة المزيد حول قيود الأمان والحجم لخيارات تحميل الملفات الأخرى: تحميل ملفات العميل إلى مركز المساعدة التقنية ل Cisco

حدد منفذا يمكن الوصول إليه من الإنترنت. الإعداد الافتراضي هو المنفذ 25، والذي سيعمل في معظم البيئات لأن النظام يتطلب أيضا وصول عام عبر ذلك المنفذ لإرسال رسائل البريد الإلكتروني. يسمح بالاتصالات عبر هذا المنفذ في معظم تكوينات جدار الحماية.

CLI

لإنشاء اتصال وصول عن بعد عبر واجهة سطر الأوامر (CLI)، كمستخدم مسؤول، أكمل الخطوات التالية:

1. أدخل الأمر techSupport
2. إختيار النفق
3. أختر إنشاء أو إدخال سلسلة بذرة عشوائية
4. تحديد رقم المنفذ للاتصال
5. الرد على Y" لتمكين الوصول إلى الخدمة

سيتم تمكين الوصول عن بعد في هذا الوقت.  يعمل الجهاز الآن لإنشاء الاتصال الآمن بمضيف Secure Bastion في Cisco.  قم بتوفير كل من الرقم التسلسلي للجهاز وسلسلة البداية التي يتم إنشاؤها إلى مهندس TAC الذي يدعم حالتك.

واجهة المستخدم الرسومية

لإنشاء اتصال وصول عن بعد عبر واجهة المستخدم الرسومية (GUI)، كمستخدم مسؤول، أكمل الخطوات التالية:

1. انتقل إلى التعليمات والدعم > الوصول عن بعد (ل ESA و SMA) والدعم والمساعدة > الوصول عن بعد (ل WSA)
2. طقطقة يمكن
3. أختر الأسلوب لسلسلة البذور
4. تأكد من تحديد خانة الاختيار بدء الاتصال عبر نفق آمن وحدد رقم المنفذ للاتصال
5. انقر على إرسال

سيتم تمكين الوصول عن بعد في هذا الوقت.  يعمل الجهاز الآن لإنشاء الاتصال الآمن بمضيف Secure Bastion في Cisco.  قم بتوفير كل من الرقم التسلسلي للجهاز وسلسلة البداية التي يتم إنشاؤها إلى مهندس TAC الذي يدعم حالتك.

كيفية تعطيل الوصول عن بعد

CLI

1. أدخل الأمر techSupport
2. أخترت يعجز
3. رد "Y" عند مطالبتك "هل تريد بالتأكيد تعطيل الوصول إلى الخدمة؟ "

واجهة المستخدم الرسومية

1. انتقل إلى التعليمات والدعم > الوصول عن بعد (ل ESA و SMA) والدعم والمساعدة > الوصول عن بعد (ل WSA).
2. انقر على تعطيل
3. سيظهر إخراج واجهة المستخدم الرسومية (GUI) "نجاح - تم تعطيل الوصول عن بعد"

كيفية إختبار اتصال الوصول عن بعد

أستخدم هذا المثال لتنفيذ إختبار أولي للاتصال من الجهاز الخاص بك إلى Cisco:

example.run> > telnet upgrades.ironport.com 25

Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1

يمكن إختبار الاتصال لأي من المنافذ المذكورة أعلاه: 22 أو 25 أو 53 أو 80 أو 443 أو 4766.  إذا فشل الاتصال، فقد تحتاج إلى تشغيل التقاط حزمة لمعرفة مكان فشل الاتصال من الجهاز/الشبكة.

لماذا لا يعمل الوصول عن بعد مع SMA؟

قد لا يتم تمكين الوصول عن بعد على SMA إذا تم وضع SMA في الشبكة المحلية دون الوصول المباشر إلى الإنترنت.  على سبيل المثال، يمكن تمكين الوصول عن بعد على ESA أو WSA، ويمكن تمكين وصول SSH على SMA. وهذا يسمح لدعم Cisco بالاتصال أولا عبر الوصول عن بعد إلى وحدة الوصول ESA/WSA، ومن ثم من ESA/WSA إلى SMA عبر SSH.  سيتطلب ذلك الاتصال بين ESA/WSA و SMA على المنفذ 22.

ملاحظة: يرجى التأكد من مراجعة دليل المستخدم الخاص بجهاز الكمبيوتر لديك وإصدار نظام التشغيل AsyncOS للحصول على تعليمات حول "تمكين الوصول عن بعد إلى الأجهزة بدون اتصال إنترنت مباشر".

CLI

لإنشاء اتصال وصول عن بعد عبر واجهة سطر الأوامر (CLI)، كمستخدم مسؤول، أكمل الخطوات التالية:

1. أدخل الأمر techSupport
2. إختيار SSHACCESS
3. أختر إنشاء أو إدخال سلسلة بذرة عشوائية
4. الرد على Y" لتمكين الوصول إلى الخدمة

سيتم تمكين الوصول عن بعد في هذا الوقت.  سيظهر إخراج واجهة سطر الأوامر (CLI) سلسلة البداية.  يرجى تقديم هذا الأمر إلى مهندس دعم العملاء من Cisco.  كما سيعرض إخراج واجهة سطر الأوامر (CLI) حالة الاتصال وتفاصيل الوصول عن بعد، بما في ذلك الرقم التسلسلي للجهاز.  يرجى تقديم هذا الرقم التسلسلي إلى مهندس دعم العملاء.

واجهة المستخدم الرسومية

لإنشاء اتصال وصول عن بعد عبر واجهة المستخدم الرسومية (GUI)، كمستخدم مسؤول، أكمل الخطوات التالية:

1. انتقل إلى التعليمات والدعم > الوصول عن بعد (ل ESA و SMA) والدعم والمساعدة > الوصول عن بعد (ل WSA)
2. طقطقة يمكن
3. أختر الأسلوب لسلسلة البذور
4. لا تقم بتحديد خانة الاختيار بدء الاتصال عبر نفق آمن
5. انقر على إرسال

سيتم تمكين الوصول عن بعد في هذا الوقت.  سيظهر لك إخراج واجهة المستخدم الرسومية رسالة نجاح وسلسلة البداية الخاصة بالجهاز.  يرجى تقديم هذا الأمر إلى مهندس دعم العملاء من Cisco.  سيظهر إخراج واجهة المستخدم الرسومية (GUI) أيضا حالة الاتصال وتفاصيل الوصول عن بعد، بما في ذلك الرقم التسلسلي للجهاز.  يرجى تقديم هذا الرقم التسلسلي إلى مهندس دعم العملاء.

كيفية تعطيل الوصول عن بعد عند تمكينه ل SSHACCESS

تعطيل الوصول عن بعد ل SSHaccess هو نفس الخطوات كما هو موضح أعلاه.

استكشاف الأخطاء وإصلاحها

إذا لم يكن الجهاز قادرا على تمكين الوصول عن بعد والاتصال ب upgrades.ironport.com عبر أحد المنافذ المدرجة، فستحتاج إلى تشغيل التقاط حزمة مباشرة من الجهاز لمراجعة ما يتسبب في فشل الاتصال الصادر.

ملاحظة: يرجى التأكد من مراجعة دليل المستخدم الخاص بالجهاز وإصدار AsyncOS للحصول على تعليمات حول "تشغيل التقاط الحزمة".

قد يطلب مهندس دعم العملاء من Cisco توفير ملف .pcap من أجل مراجعة أستكشاف الأخطاء وإصلاحها والمساعدة في ذلك.

معلومات ذات صلة

• أسئلة متداولة عن وكالة الفضاء الأوروبية: ما هي مستويات الوصول الإداري المتاحة على وكالة الفضاء الأوروبية؟
• دعم منتجات أجهزة أمان البريد الإلكتروني Cisco Email Security Appliance
• دعم منتجات أمان الويب من Cisco
• دعم منتجات أجهزة إدارة أمان المحتوى من Cisco
• الدعم التقني والمستندات - Cisco Systems