Häufig gestellte Fragen zu Remote-Zugriff auf Cisco ESA/WSA/SMA

Download-Optionen

  • PDF     (264.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (85.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (74.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Dezember 2025
Dokument-ID:117873

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt Antworten auf häufig gestellte Fragen zur Verwendung des Remote-Zugriffs durch das Cisco TAC auf der Cisco E-Mail Security Appliance (ESA), der Cisco Web Security Appliance (WSA) und der Cisco Security Management Appliance (SMA).  

    Voraussetzungen

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Was ist Remote-Zugriff?

    Der Remote-Zugriff ist eine Secure Shell (SSH)-Verbindung, die von einer Cisco Content Security Appliance auf einen sicheren Host bei Cisco aktiviert wird.  Nur der Cisco Kundendienst kann auf die Appliance zugreifen, sobald eine Remote-Sitzung aktiviert wurde.  Mit Remote-Zugriff kann der Cisco Kundensupport eine Appliance analysieren.  Der Support greift über einen SSH-Tunnel, der durch dieses Verfahren zwischen der Appliance und dem upgrades.ironport.com-Server erstellt wird, auf die Appliance zu. 

    Funktionsweise des Remote-Zugriffs

    Wenn eine Remote-Zugriffsverbindung initiiert wird, öffnet die Appliance einen sicheren, zufälligen High-Source-Port über eine SSH-Verbindung der Appliance mit dem konfigurierten/ausgewählten Port eines der folgenden Cisco Content Security-Server:

    IP-Adresse Hostname Nutzung
    63.251.108.107 upgrades.ironport.com Alle Content Security Appliances
    63.251.108.107 c.tunnels.ironport.com Appliances der C-Serie (ESA)
    63.251.108.107 x.tunnels.ironport.com Geräte der X-Serie (ESA)
    63.251.108.107 m.tunnels.ironport.com Appliances der M-Serie (SMA)
    63.251.108.107 s.tunnels.ironport.com Appliances der S-Serie (WSA)

    Beachten Sie, dass Ihre Firewall möglicherweise so konfiguriert werden muss, dass ausgehende Verbindungen zu einem der oben aufgeführten Server zugelassen werden. Wenn die SMTP-Protokollüberprüfung für Ihre Firewall aktiviert ist, wird der Tunnel nicht eingerichtet. Ports, die Cisco für den Remote-Zugriff über die Appliance akzeptiert, sind:

    • 22
    • 25 (Standard)
    • 53
    • 80
    • 443
    • 4766

    Die Remotezugriffsverbindung wird mit einem Hostnamen und nicht mit einer fest codierten IP-Adresse hergestellt.  Dazu muss auf der Appliance der Domain Name Server (DNS) konfiguriert werden, um die ausgehende Verbindung herzustellen.

    In Ihrem Netzwerk können einige protokollsensitive Netzwerkgeräte diese Verbindung aufgrund von Protokoll-/Port-Diskrepanzen blockieren.  Einige SMTP-fähige Geräte (Simple Mail Transport Protocol) können die Verbindung ebenfalls unterbrechen. In Fällen, in denen protokollorientierte Geräte oder ausgehende Verbindungen blockiert werden, kann die Verwendung eines anderen Ports als des Standardports (25) erforderlich sein. Der Zugriff auf das Remote-Ende des Tunnels ist auf den Cisco Kundensupport beschränkt.  Überprüfen Sie Ihre Firewall/Ihr Netzwerk auf ausgehende Verbindungen, wenn Sie versuchen, Remotezugriffsverbindungen für Ihre Appliance herzustellen oder Probleme mit diesen zu beheben.

    Anmerkung: Wenn ein Cisco TAC-Techniker über Remote-Zugriff mit der Appliance verbunden ist, wird die Systemaufforderung auf der Appliance angezeigt (SERVICE).

    So aktivieren Sie den Remote-Zugriff

    Anmerkung: Lesen Sie im Benutzerhandbuch Ihrer Appliance und in der Version von AsyncOS die Anweisungen zum Thema "Aktivieren des Remote-Zugriffs für Mitarbeiter des technischen Supports von Cisco".

    Anmerkung: Anlagen, die per E-Mail an attach@cisco.com gesendet werden, sind möglicherweise nicht sicher bei der Übertragung. Der Support Case Manager ist die von Cisco bevorzugte sichere Option zum Hochladen von Informationen zu Ihrem Ticket. Weitere Informationen zu den Sicherheits- und Größenbeschränkungen anderer Datei-Upload-Optionen: Hochladen von Kundendateien in das Cisco Technical Assistance Center

    Identifizieren Sie einen Port, der vom Internet erreicht werden kann. Der Standardwert ist Port 25, der in den meisten Umgebungen funktioniert, da das System auch allgemeinen Zugriff über diesen Port benötigt, um E-Mail-Nachrichten zu senden. Verbindungen über diesen Port sind in den meisten Firewall-Konfigurationen zulässig.

    CLI

    Um als Administrator eine Remote-Zugriffsverbindung über die CLI herzustellen, gehen Sie wie folgt vor:

    1. Geben Sie den Befehl techsupport ein.
    2. TUNNEL auswählen
    3. Geben Sie die Portnummer für die Verbindung an.
    4. "Y" antworten, um den Dienstzugriff zu aktivieren

    Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert.  Die Appliance kann jetzt eine sichere Verbindung zum Secure Bastion-Host von Cisco herstellen.  Geben Sie die Seriennummer der Appliance und die Ausgangszeichenfolge an, die vom TAC-Techniker für Ihren Fall generiert wird.

    GUI

    Um als Administrator eine Remote-Zugriffsverbindung über die GUI herzustellen, gehen Sie wie folgt vor:

    1. Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
    2. Klicken Sie auf Aktivieren
    3. Stellen Sie sicher, dass Sie das Kontrollkästchen Verbindung über sicheren Tunnel initiieren aktivieren und die Portnummer für die Verbindung angeben.
    4. Klicken Sie auf Submit (Senden).

    Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert.  Die Appliance kann jetzt eine sichere Verbindung zum Secure Bastion-Host von Cisco herstellen.  Geben Sie die Seriennummer der Appliance und die Ausgangszeichenfolge an, die vom TAC-Techniker für Ihren Fall generiert wird.

    So deaktivieren Sie den Remote-Zugriff

    CLI

    1. Geben Sie den Befehl techsupport ein.
    2. DISABLE auswählen
    3. "Y" antworten, wenn Sie gefragt werden "Möchten Sie den Dienstzugriff wirklich deaktivieren?"

    GUI

    1. Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
    2. Klicken Sie auf Deaktivieren
    3. Die GUI gibt "Success — Remote Access has been disabled" aus.

    So testen Sie die Remote-Zugriffsverbindung

    Verwenden Sie dieses Beispiel, um einen ersten Test für die Verbindung von Ihrer Appliance zu Cisco durchzuführen:

    example.run> > telnet upgrades.ironport.com 25

    Trying 63.251.108.107...
    Connected to 63.251.108.107.
    Escape character is '^]'.
    SSH-2.0-OpenSSH_6.2 CiscoTunnels1

    Die Verbindung kann für jeden der oben aufgeführten Ports getestet werden: 22, 25, 53, 80, 443 oder 476.  Wenn die Verbindung ausfällt, müssen Sie möglicherweise eine Paketerfassung ausführen, um festzustellen, wo die Verbindung von Ihrer Appliance bzw. Ihrem Netzwerk ausfällt.

    Warum funktioniert der Remote-Zugriff nicht mit der SMA?


    Der Remote-Zugriff wird auf einer SMA möglicherweise nicht aktiviert, wenn die SMA im lokalen Netzwerk ohne direkten Zugriff auf das Internet platziert wird.  Für diese Instanz kann der Remote-Zugriff auf einer ESA oder WSA und der SSH-Zugriff auf der SMA aktiviert werden. Dadurch kann sich der Cisco Support zunächst per Remote-Zugriff mit der ESA/WSA und dann über SSH von der ESA/WSA zur SMA verbinden.  Dies erfordert eine Verbindung zwischen der ESA/WSA und der SMA an Port 22.

    Anmerkung: Lesen Sie das Benutzerhandbuch Ihrer Appliance und Version von AsyncOS durch, um Anweisungen zum Thema "Aktivieren von Remote-Zugriff auf Appliances ohne direkte Internetverbindung" zu erhalten.

    CLI

    Um als Administrator eine Remote-Zugriffsverbindung über die CLI herzustellen, gehen Sie wie folgt vor:

    1. Geben Sie den Befehl techsupport ein.
    2. SSHACCESS auswählen
    3. "Y" antworten, um den Dienstzugriff zu aktivieren

    Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert.  Die CLI gibt die Seed-Zeichenfolge aus.  Bitte stellen Sie dies dem Cisco TAC-Techniker zur Verfügung.  Die CLI-Ausgabe zeigt außerdem den Verbindungsstatus und Details für den Remote-Zugriff an, einschließlich der Seriennummer der Einheit.  Bitte geben Sie diese Seriennummer an den Cisco TAC-Techniker weiter.

    GUI

    Um als Administrator eine Remote-Zugriffsverbindung über die GUI herzustellen, gehen Sie wie folgt vor:

    1. Navigieren Sie zu Hilfe und Support > Remote Access (für ESA, SMA), Support und Hilfe > Remote Access (für WSA).
    2. Klicken Sie auf Aktivieren
    3. Aktivieren Sie NICHT das Kontrollkästchen Verbindung über sicheren Tunnel initiieren.
    4. Klicken Sie auf Submit (Senden).

    Der Remote-Zugriff wird zu diesem Zeitpunkt aktiviert.  Die GUI-Ausgabe zeigt eine Erfolgsmeldung und den Seed-String des Geräts an.  Bitte stellen Sie dies dem Cisco TAC-Techniker zur Verfügung.  Die GUI-Ausgabe zeigt außerdem den Verbindungsstatus und die Details des Remote-Zugriffs an, einschließlich der Seriennummer der Einheit.  Bitte geben Sie diese Seriennummer an den Cisco TAC-Techniker weiter.

    Deaktivieren des Remotezugriffs bei Aktivierung für SSHACCESS

    Das Deaktivieren des Remote-Zugriffs für SSHACCESS ist mit den oben beschriebenen Schritten identisch.

    Fehlerbehebung

    Wenn die Appliance den Remote-Zugriff nicht aktivieren kann und sich über einen der aufgeführten Ports mit upgrades.ironport.com verbinden kann, müssen Sie möglicherweise eine Paketerfassung direkt von der Appliance ausführen, um zu überprüfen, was den Ausfall der ausgehenden Verbindung verursacht.

    Anmerkung: Lesen Sie das Benutzerhandbuch Ihrer Appliance und die Version von AsyncOS durch, um Anweisungen zum Ausführen einer Paketerfassung zu erhalten.

    Der Cisco TAC-Techniker kann die Bereitstellung der .pcap-Datei anfordern, um die Fehlerbehebung zu überprüfen und Hilfestellung zu leisten.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    16-Dec-2025
    Einige der in CCW ermittelten Verbesserungen und neue Tunnelschritte
    1.0
    03-Jul-2014
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Dennis McCabe Jr
      Cisco Technical Leader
    • Robert Sherwin
      Cisco Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.