Introduction
Ce document décrit les réponses aux questions fréquemment posées sur l'utilisation de l'accès à distance par le TAC Cisco sur l'appareil de sécurité de la messagerie électronique (ESA), l'appareil de sécurité Web (WSA) et l'appareil de gestion de la sécurité (SMA) de Cisco.
Conditions préalables
Composants utilisés
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Qu'est-ce que l'accès distant ?
L'accès à distance est une connexion SSH (Secure Shell) qui est activée à partir d'un dispositif de sécurité du contenu Cisco vers un hôte sécurisé chez Cisco. Seule l'Assistance à la clientèle Cisco peut accéder à l'appliance une fois qu'une session à distance est activée. L'accès à distance permet au support client Cisco d'analyser un appareil. La prise en charge accède à l'appliance via un tunnel SSH que cette procédure crée entre l'appliance et le serveur upgrades.ironport.com.
Fonctionnement de l'accès distant
Lorsqu'une connexion d'accès à distance démarre, l'appliance ouvre un port sécurisé, aléatoire et de source élevée via une connexion SSH sur l'appliance au port configuré/sélectionné de l'un des serveurs Cisco Content Security suivants :
| Adresse IP |
Nom de l'hôte |
Utilisation |
| 63.251.108.107 |
upgrades.ironport.com |
Tous les appareils de sécurité du contenu |
| 63.251.108.107 |
c.tunnels.ironport.com |
Appareils de la série C (ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
Appareils de la gamme X (ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
Appareils de la gamme M (SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
Appareils de la gamme S (WSA) |
Il est important de noter que votre pare-feu doit peut-être être configuré pour autoriser les connexions sortantes vers l'un des serveurs répertoriés ci-dessus. Si l'inspection du protocole SMTP est activée sur votre pare-feu, le tunnel ne s'établit pas. Les ports que Cisco accepte les connexions de l'appliance pour l'accès à distance sont les suivants :
- 22
- 25 (Default)
- 53
- 80
- 443
- 4766
La connexion d'accès à distance est établie avec un nom d'hôte et non avec une adresse IP codée en dur. Ceci ne nécessite pas la configuration du serveur de noms de domaine (DNS) sur l'appliance afin d'établir la connexion sortante.
Sur votre réseau, certains périphériques réseau sensibles au protocole peuvent bloquer cette connexion en raison d'une non-correspondance entre le protocole et le port. Certains périphériques prenant en charge le protocole SMTP (Simple Mail Transport Protocol) peuvent également interrompre la connexion. Dans les cas où des périphériques sensibles au protocole ou des connexions sortantes sont bloquées, l'utilisation d'un port autre que le port par défaut (25) peut être nécessaire. L'accès à l'extrémité distante du tunnel est limité à l'assistance à la clientèle Cisco. Assurez-vous que vous recherchez les connexions sortantes dans votre pare-feu/réseau lorsque vous essayez d'établir ou de dépanner des connexions d'accès à distance pour votre appliance.
Remarque : Lorsqu'un ingénieur TAC Cisco est connecté à l'appliance via un accès à distance, l'invite système de l'appliance affiche (SERVICE).
Comment activer l'accès à distance
Remarque : Consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS pour obtenir des instructions sur l'activation de l'accès à distance pour le personnel du support technique Cisco.
Remarque : Les pièces jointes envoyées par e-mail à attach@cisco.com risquent de ne pas être sécurisées lors du transfert. Support Case Manager est l'option sécurisée préférée de Cisco pour télécharger des informations sur votre dossier. Pour en savoir plus sur la sécurité et les limites de taille des autres options de téléchargement de fichiers : Téléversement de fichiers des clients au Cisco Technical Assistance Center (TAC, Centre d’assistance technique de Cisco)
Identifiez un port accessible à partir d'Internet. Le port par défaut est le port 25, qui fonctionne dans la plupart des environnements, car le système requiert également un accès général sur ce port pour envoyer des e-mails. Les connexions sur ce port sont autorisées dans la plupart des configurations de pare-feu.
CLI
Pour établir une connexion d'accès à distance via l'interface de ligne de commande, en tant qu'utilisateur Admin, procédez comme suit :
- Entrez la commande techsupport
- Choisir un TUNNEL
- Spécifiez le numéro de port de la connexion
- Répondez "Y" pour activer l'accès au service
L'accès à distance sera activé à ce moment-là. L'appliance fonctionne désormais pour établir la connexion sécurisée à l'hôte bastion sécurisé chez Cisco. Fournissez le numéro de série de l'appliance et la chaîne d'amorçage qui est générée à l'ingénieur du centre d'assistance technique prenant en charge votre dossier.
IUG
Afin d'établir une connexion d'accès à distance via l'interface utilisateur graphique, en tant qu'utilisateur Admin, complétez ces étapes :
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA)
- Cliquez sur Activer
- Assurez-vous que vous cochez la case Initiate connection via secure tunnel et spécifiez le numéro de port pour la connexion
- Cliquez sur Submit
L'accès à distance sera activé à ce moment-là. L'appliance fonctionne désormais pour établir la connexion sécurisée à l'hôte bastion sécurisé chez Cisco. Fournissez le numéro de série de l'appliance et la chaîne d'amorçage qui est générée à l'ingénieur du centre d'assistance technique prenant en charge votre dossier.
Comment désactiver l'accès à distance
CLI
- Entrez la commande techsupport
- Sélectionnez DISABLE
- Répondez "Y" lorsque le message "Voulez-vous vraiment désactiver l'accès au service ?" s'affiche.
IUG
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA).
- Cliquez sur Désactiver
- Les résultats de l'interface utilisateur graphique « Success — Remote Access has been disabled »
Comment tester la connectivité d'accès à distance
Utilisez cet exemple afin d'effectuer un test initial pour la connectivité de votre appliance à Cisco :
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
La connectivité peut être testée pour l'un des ports répertoriés ci-dessus : 22, 25, 53, 80, 443 ou 476. Si la connectivité échoue, vous devrez peut-être exécuter une capture de paquets pour voir où la connexion échoue à partir de votre appliance/réseau.
Pourquoi l'accès à distance ne fonctionne-t-il pas sur le SMA ?
L'accès à distance peut ne pas être activé sur un SMA si le SMA est placé sur le réseau local sans accès direct à Internet. Dans ce cas, l'accès à distance peut être activé sur un ESA ou un WSA, et l'accès SSH peut être activé sur le SMA. Cela permet au support Cisco de se connecter d'abord via un accès à distance à l'ESA/WSA, puis de l'ESA/WSA au SMA via SSH. Cela nécessite une connectivité entre l'ESA/WSA et le SMA sur le port 22.
Remarque : Pour obtenir des instructions sur l'activation de l'accès à distance aux appliances sans connexion Internet directe, consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS.
CLI
Pour établir une connexion d'accès à distance via l'interface de ligne de commande, en tant qu'utilisateur Admin, procédez comme suit :
- Entrez la commande techsupport
- Choisir SHACCESS
- Répondez "Y" pour activer l'accès au service
L'accès à distance sera activé à ce moment-là. La CLI affiche la chaîne d'amorce. Veuillez le fournir à l'ingénieur du centre d'assistance technique Cisco. La sortie CLI indique également l'état de la connexion et les détails de l'accès à distance, y compris le numéro de série du matériel. Veuillez fournir ce numéro de série à l'ingénieur du centre d'assistance technique Cisco.
IUG
Afin d'établir une connexion d'accès à distance via l'interface utilisateur graphique, en tant qu'utilisateur Admin, complétez ces étapes :
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA)
- Cliquez sur Activer
- Ne cochez PAS la case Initiate connection via secure tunnel
- Cliquez sur Submit
L'accès à distance sera activé à ce moment-là. Le résultat de l'interface utilisateur graphique affiche un message de réussite et la chaîne d'amorçage du périphérique. Veuillez le fournir à l'ingénieur du centre d'assistance technique Cisco. Le résultat de l'interface utilisateur graphique indique également l'état de la connexion et les détails de l'accès à distance, y compris le numéro de série du matériel. Veuillez fournir ce numéro de série à l'ingénieur du centre d'assistance technique Cisco.
Comment désactiver l'accès à distance lorsqu'il est activé pour SHACCESS
La désactivation de l'accès à distance pour SHACCESS s'effectue comme indiqué ci-dessus.
Dépannage
Si la solution matérielle-logicielle ne parvient pas à activer l'accès à distance et à se connecter à upgrades.ironport.com via l'un des ports répertoriés, vous devrez peut-être exécuter une capture de paquets directement à partir de la solution matérielle-logicielle pour vérifier les causes de l'échec de la connexion sortante.
Remarque : Consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS pour obtenir des instructions sur l'exécution d'une capture de paquets.
L'ingénieur du centre d'assistance technique de Cisco peut demander que le fichier .pcap soit fourni afin d'examiner et d'aider au dépannage.
Informations connexes
Commentaires