Preguntas frecuentes sobre Acceso remoto en Cisco ESA/WSA/SMA

Opciones de descarga

  • PDF     (263.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (73.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de diciembre de 2025
ID del documento:117873

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe las respuestas a las preguntas más frecuentes sobre el uso del acceso remoto por parte del Cisco TAC en Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Security Management Appliance (SMA).  

    Prerequisites

    Componentes Utilizados

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    ¿Qué es el acceso remoto?

    El acceso remoto es una conexión de Secure Shell (SSH) que se habilita desde un dispositivo de seguridad de contenido de Cisco a un host seguro en Cisco.  Solo Cisco Customer Assistance puede acceder al dispositivo una vez que se ha activado una sesión remota.  El acceso remoto permite al servicio de atención al cliente de Cisco analizar un dispositivo.  El soporte accede al dispositivo a través de un túnel SSH que este procedimiento crea entre el dispositivo y el servidor upgrades.ironport.com. 

    Cómo funciona el acceso remoto

    Cuando se inicia una conexión de acceso remoto, el dispositivo abre un puerto seguro, aleatorio y de origen alto a través de una conexión SSH en el dispositivo al puerto configurado/seleccionado de uno de los siguientes servidores de Cisco Content Security:

    IP Address Hostname Uso
    63.251.108.107 upgrades.ironport.com Todos los dispositivos de seguridad de contenido
    63.251.108.107 c.tunnels.ironport.com Dispositivos de la serie C (ESA)
    63.251.108.107 x.tunnels.ironport.com Dispositivos de la serie X (ESA)
    63.251.108.107 m.tunnels.ironport.com Dispositivos de la serie M (SMA)
    63.251.108.107 s.tunnels.ironport.com Dispositivos de la serie S (WSA)

    Es importante tener en cuenta que es posible que el firewall deba configurarse para permitir conexiones salientes a uno de los servidores enumerados anteriormente. Si el firewall tiene activada la inspección del protocolo SMTP, el túnel no se establecerá. Los puertos que Cisco acepta conexiones del dispositivo para el acceso remoto son:

    • 22
    • 25 (Default)
    • 53
    • 80
    • 443
    • 4766

    La conexión de acceso remoto se realiza a un nombre de host y no a una dirección IP codificada de forma rígida.  Esto requiere que el servidor de nombres de dominio (DNS) se configure en el dispositivo para establecer la conexión saliente.

    En su red, algunos dispositivos de red con reconocimiento de protocolos pueden bloquear esta conexión debido a la discordancia entre protocolo y puerto.  Algunos dispositivos compatibles con el protocolo simple de transferencia de correo (SMTP) también pueden interrumpir la conexión. En los casos en los que haya dispositivos con reconocimiento de protocolos o conexiones salientes bloqueadas, puede ser necesario el uso de un puerto distinto del predeterminado (25). El acceso al extremo remoto del túnel está restringido únicamente a la atención al cliente de Cisco.  Asegúrese de revisar el firewall/red en busca de conexiones salientes cuando intente establecer o solucionar problemas de conexiones de acceso remoto para su dispositivo.

    Nota: Cuando un ingeniero del TAC de Cisco se conecta al dispositivo a través del acceso remoto, se muestra el mensaje del sistema en el dispositivo (SERVICE).

    Cómo activar el acceso remoto

    Nota: No olvide consultar la guía del usuario del dispositivo y la versión de AsyncOS para obtener instrucciones sobre la habilitación del acceso remoto para el personal de asistencia técnica de Cisco.

    Nota: Es posible que los archivos adjuntos enviados por correo electrónico a attach@cisco.com no sean seguros durante el envío. Support Case Manager es la opción segura preferida de Cisco para cargar información en su caso. Para obtener más información sobre las limitaciones de seguridad y tamaño de otras opciones de carga de archivos: Cargas de archivos del cliente al Centro de Asistencia Técnica de Cisco

    Identifique un puerto al que se pueda acceder desde Internet. El valor predeterminado es el puerto 25, que funciona en la mayoría de los entornos porque el sistema también requiere acceso general a través de ese puerto para enviar mensajes de correo electrónico. Las conexiones a través de este puerto están permitidas en la mayoría de las configuraciones de firewall.

    CLI

    Para establecer una conexión de acceso remoto a través de la CLI, como usuario administrador, siga estos pasos:

    1. Ingrese el comando techsupport
    2. Elija TUNNEL
    3. Especifique el número de puerto para la conexión
    4. Responda "Y" para habilitar el acceso al servicio

    El acceso remoto se activará en este momento.  El dispositivo ahora trabaja para establecer la conexión segura con el host seguro del bastión en Cisco.  Proporcione el número de serie del dispositivo y la cadena de inicialización que se genera al ingeniero del TAC que apoya su caso.

    GUI

    Para establecer una conexión de acceso remoto a través de la GUI, como usuario administrador, siga estos pasos:

    1. Vaya a Help and Support > Remote Access (for ESA, SMA), Support and Help > Remote Access (for WSA)
    2. Haga clic en Enable
    3. Asegúrese de marcar la casilla de verificación Iniciar conexión a través de un túnel seguro y especifique el número de puerto para la conexión
    4. Haga clic en Submit (Enviar)

    El acceso remoto se activará en este momento.  El dispositivo ahora trabaja para establecer la conexión segura con el host seguro del bastión en Cisco.  Proporcione el número de serie del dispositivo y la cadena de inicialización que se genera al ingeniero del TAC que apoya su caso.

    Cómo deshabilitar el acceso remoto

    CLI

    1. Ingrese el comando techsupport
    2. Elija DISABLE.
    3. Responda "Y" cuando se le pregunte "¿Está seguro de que desea desactivar el acceso al servicio?"

    GUI

    1. Vaya a Help and Support > Remote Access (para ESA, SMA), Support and Help > Remote Access (para WSA).
    2. Haga clic en Desactivar
    3. La GUI muestra "Success — Remote Access has been disabled"

    Cómo probar la conectividad de acceso remoto

    Utilice este ejemplo para realizar una prueba inicial de conectividad desde su dispositivo a Cisco:

    example.run> > telnet upgrades.ironport.com 25

    Trying 63.251.108.107...
    Connected to 63.251.108.107.
    Escape character is '^]'.
    SSH-2.0-OpenSSH_6.2 CiscoTunnels1

    La conectividad se puede probar para cualquiera de los puertos enumerados anteriormente: 22, 25, 53, 80, 443 o 4766.  Si la conectividad falla, es posible que deba ejecutar una captura de paquetes para ver dónde falla la conexión de su dispositivo/red.

    ¿Por qué el acceso remoto no funciona en el SMA?


    Es posible que el acceso remoto no se habilite en un SMA si el SMA se coloca en la red local sin acceso directo a Internet.  Por ejemplo, el acceso remoto se puede habilitar en un ESA o WSA, y el acceso SSH se puede habilitar en el SMA. Esto permite al Soporte de Cisco conectarse primero a través del acceso remoto al ESA/WSA, y luego desde el ESA/WSA al SMA a través de SSH.  Esto requiere conectividad entre ESA/WSA y SMA en el puerto 22.

    Nota: No olvide consultar la guía del usuario del dispositivo y la versión de AsyncOS para obtener instrucciones sobre la habilitación del acceso remoto a dispositivos sin conexión directa a Internet.

    CLI

    Para establecer una conexión de acceso remoto a través de la CLI, como usuario administrador, siga estos pasos:

    1. Ingrese el comando techsupport
    2. Elija SHACCESS
    3. Responda "Y" para habilitar el acceso al servicio

    El acceso remoto se activará en este momento.  La CLI genera la cadena de inicialización.  Proporcione esto al ingeniero del TAC de Cisco.  El resultado de CLI también muestra el estado de la conexión y los detalles de acceso remoto, incluido el número de serie del dispositivo.  Proporcione este número de serie al ingeniero del TAC de Cisco.

    GUI

    Para establecer una conexión de acceso remoto a través de la GUI, como usuario administrador, siga estos pasos:

    1. Vaya a Help and Support > Remote Access (for ESA, SMA), Support and Help > Remote Access (for WSA)
    2. Haga clic en Enable
    3. NO marque la casilla de verificación Iniciar conexión mediante túnel seguro
    4. Haga clic en Submit (Enviar)

    El acceso remoto se activará en este momento.  El resultado de la GUI muestra un mensaje de éxito y la cadena de inicialización del dispositivo.  Proporcione esto al ingeniero del TAC de Cisco.  La salida de la GUI también muestra el estado de la conexión y los detalles del acceso remoto, incluido el número de serie del dispositivo.  Proporcione este número de serie al ingeniero del TAC de Cisco.

    Cómo deshabilitar el acceso remoto cuando está habilitado para SHACCESS

    La desactivación del acceso remoto para SHACCESS se realiza en los mismos pasos que se proporcionaron anteriormente.

    Resolución de problemas

    Si el dispositivo no puede habilitar el acceso remoto y conectarse a upgrades.ironport.com a través de uno de los puertos enumerados, es posible que deba ejecutar una captura de paquetes directamente desde el dispositivo para revisar qué está causando el error de la conexión saliente.

    Nota: Asegúrese de revisar la guía del usuario de su dispositivo y la versión de AsyncOS para obtener instrucciones sobre cómo ejecutar una captura de paquetes.

    El ingeniero del TAC de Cisco puede solicitar que se le proporcione el archivo .pcap para revisar y ayudar con la resolución de problemas.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    16-Dec-2025
    Se realizaron algunas mejoras según los resultados de CCW y se añadieron nuevos pasos de túnel.
    1.0
    03-Jul-2014
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Dennis McCabe Jr
      Cisco Technical Leader
    • Robert Sherwin
      Cisco Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos