Domande frequenti per l'accesso remoto su Cisco ESA/WSA/SMA

Opzioni per il download

  • PDF     (262.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 dicembre 2025
ID documento:117873

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento contiene le risposte alle domande frequenti sull'utilizzo dell'accesso remoto da parte di Cisco TAC su Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) e Cisco Security Management Appliance (SMA).  

    Prerequisiti

    Componenti usati

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Informazioni sull'accesso remoto

    L'accesso remoto è una connessione Secure Shell (SSH) abilitata da un'appliance Cisco Content Security a un host sicuro in Cisco.  Solo l'assistenza clienti Cisco può accedere all'accessorio una volta abilitata una sessione remota.  L'accesso remoto consente al Supporto Clienti Cisco di analizzare un accessorio.  Il supporto consente di accedere all'accessorio tramite un tunnel SSH creato con questa procedura tra l'accessorio e il server upgrades.ironport.com. 

    Funzionamento dell'accesso remoto

    Quando si avvia una connessione di accesso remoto, l'accessorio apre una porta protetta, casuale e ad alta sorgente tramite una connessione SSH sull'accessorio alla porta configurata/selezionata uno dei seguenti server Cisco Content Security:

    Indirizzo IP Nome host Utilizzo
    63.251.108.107 upgrades.ironport.com Tutte le appliance di sicurezza dei contenuti
    63.251.108.107 c.tunnels.ironport.com Appliance serie C (ESA)
    63.251.108.107 x.tunnels.ironport.com Appliance serie X (ESA)
    63.251.108.107 m.tunnels.ironport.com Appliance serie M (SMA)
    63.251.108.107 s.tunnels.ironport.com Appliance serie S (WSA)

    È importante notare che potrebbe essere necessario configurare il firewall per consentire le connessioni in uscita a uno dei server sopra elencati. Se nel firewall è attivata l'ispezione del protocollo SMTP, il tunnel non verrà stabilito. Le porte che Cisco accetta le connessioni dall'accessorio per l'accesso remoto sono:

    • 22
    • 25 (Predefinito)
    • 53
    • 80
    • 443
    • 4766

    La connessione di accesso remoto viene effettuata a un nome host e non a un indirizzo IP hardcoded.  Per stabilire la connessione in uscita, è necessario configurare il DNS (Domain Name Server) sull'accessorio.

    Alcuni dispositivi di rete compatibili con il protocollo possono bloccare la connessione a causa di una mancata corrispondenza tra il protocollo e la porta.  Anche alcuni dispositivi compatibili con il protocollo SMTP possono interrompere la connessione. Nei casi in cui vi siano dispositivi compatibili con il protocollo o connessioni in uscita bloccate, potrebbe essere necessario utilizzare una porta diversa da quella predefinita (25). L'accesso all'estremità remota del tunnel è limitato solo al supporto clienti Cisco.  Controllare il firewall o la rete per verificare se sono presenti connessioni in uscita quando si tenta di stabilire o risolvere problemi relativi alle connessioni di accesso remoto per l'accessorio.

    Nota: Quando un tecnico Cisco TAC è collegato all'accessorio tramite accesso remoto, sul prompt del sistema dell'accessorio viene visualizzato (SERVIZIO).

    Come abilitare l'accesso remoto

    Nota: Consultare il Manuale dell'utente dell'accessorio e della versione di AsyncOS per istruzioni su come abilitare l'accesso remoto per il personale del supporto tecnico Cisco.

    Nota: Gli allegati inviati tramite e-mail a attach@cisco.com potrebbero non essere sicuri. Support Case Manager è l'opzione sicura preferita da Cisco per caricare le informazioni nella richiesta. Per ulteriori informazioni sulla protezione e le limitazioni relative alle dimensioni di altre opzioni di caricamento file: Caricamento di file die clienti su Cisco Technical Assistance Center

    Identificare una porta raggiungibile da Internet. Il valore predefinito è la porta 25, che funziona nella maggior parte degli ambienti perché il sistema richiede anche l'accesso generale su quella porta per inviare messaggi e-mail. Le connessioni su questa porta sono consentite nella maggior parte delle configurazioni del firewall.

    CLI

    Per stabilire una connessione di accesso remoto tramite la CLI, come utente Admin, attenersi alla seguente procedura:

    1. Immettere il comando supporto tecnico
    2. Scegli TUNNEL
    3. Specificare il numero di porta per la connessione
    4. Rispondere "Y" per abilitare l'accesso al servizio

    L'accesso remoto verrà attivato in questo momento.  A questo punto, l'appliance è in grado di stabilire una connessione sicura con l'host secure bastion di Cisco.  Fornire il numero di serie dell'accessorio e la stringa di inizializzazione generata al tecnico TAC che supporta la richiesta.

    GUI

    Per stabilire una connessione di accesso remoto tramite la GUI, come utente Admin, attenersi alla seguente procedura:

    1. Selezionare Guida e supporto tecnico > Accesso remoto (per ESA, SMA), Supporto e Guida > Accesso remoto (per WSA)
    2. Fare clic su Attiva
    3. Selezionare la casella di controllo Avvia connessione tramite tunnel protetto e specificare il numero di porta per la connessione
    4. Fare clic su Submit (Invia).

    L'accesso remoto verrà attivato in questo momento.  A questo punto, l'appliance è in grado di stabilire una connessione sicura con l'host secure bastion di Cisco.  Fornire il numero di serie dell'accessorio e la stringa di inizializzazione generata al tecnico TAC che supporta la richiesta.

    Come disabilitare l'accesso remoto

    CLI

    1. Immettere il comando supporto tecnico
    2. Scegliere DISABILITA
    3. Rispondere "S" quando richiesto "Disabilitare l'accesso al servizio?"

    GUI

    1. Selezionare Guida e supporto tecnico > Accesso remoto (per ESA, SMA), Supporto e Guida > Accesso remoto (per WSA).
    2. Fare clic su Disabilita
    3. La GUI restituisce "Success — Remote Access has been disabled" (Operazione riuscita — Accesso remoto disabilitato)

    Come verificare la connettività di accesso remoto

    Utilizzare questo esempio per eseguire un test iniziale della connettività tra l'accessorio e Cisco:

    example.run> > telnet upgrades.ironport.com 25

    Trying 63.251.108.107...
    Connected to 63.251.108.107.
    Escape character is '^]'.
    SSH-2.0-OpenSSH_6.2 CiscoTunnels1

    La connettività può essere verificata per una qualsiasi delle porte elencate sopra: 22, 25, 53, 80, 443 o 4766.  Se la connettività non riesce, potrebbe essere necessario eseguire un'acquisizione dei pacchetti per individuare il punto in cui si è verificato un errore di connessione dall'accessorio o dalla rete.

    Perché l'accesso remoto non funziona sull'SMA?


    L'accesso remoto potrebbe non essere abilitato su uno SMA se lo SMA viene inserito nella rete locale senza accesso diretto a Internet.  In questo caso, l'accesso remoto può essere abilitato su un'ESA o un WSA, mentre l'accesso SSH può essere abilitato sull'SMA. In questo modo, il supporto Cisco può connettersi tramite accesso remoto a ESA/WSA e quindi da ESA/WSA all'SMA tramite SSH.  Ciò richiede la connettività tra ESA/WSA e SMA sulla porta 22.

    Nota: Consultare il Manuale dell'utente dell'accessorio e la versione di AsyncOS per istruzioni su come abilitare l'accesso remoto agli accessori senza una connessione Internet diretta.

    CLI

    Per stabilire una connessione di accesso remoto tramite la CLI, come utente Admin, attenersi alla seguente procedura:

    1. Immettere il comando supporto tecnico
    2. Scegli SSHACCESS
    3. Rispondere "Y" per abilitare l'accesso al servizio

    L'accesso remoto verrà attivato in questo momento.  La CLI restituisce la stringa di inizializzazione.  Inviare questa richiesta al tecnico Cisco TAC.  L'output CLI mostra anche lo stato della connessione e i dettagli dell'accesso remoto, incluso il numero di serie dell'accessorio.  Fornire questo numero di serie al tecnico Cisco TAC.

    GUI

    Per stabilire una connessione di accesso remoto tramite la GUI, come utente Admin, attenersi alla seguente procedura:

    1. Selezionare Guida e supporto tecnico > Accesso remoto (per ESA, SMA), Supporto e Guida > Accesso remoto (per WSA)
    2. Fare clic su Attiva
    3. NON selezionare la casella di controllo Avvia connessione tramite tunnel protetto
    4. Fare clic su Submit (Invia).

    L'accesso remoto verrà attivato in questo momento.  L'output della GUI mostra un messaggio di riuscita e la stringa di inizializzazione del dispositivo.  Inviare questa richiesta al tecnico Cisco TAC.  L'output dell'interfaccia utente mostra anche lo stato della connessione e i dettagli dell'accesso remoto, incluso il numero di serie dell'accessorio.  Fornire questo numero di serie al tecnico Cisco TAC.

    Come disabilitare l'accesso remoto quando è abilitato per SSHACCESS

    La procedura per disabilitare l'accesso remoto per SSHACCESS è la stessa di quella descritta sopra.

    Risoluzione dei problemi

    Se l'accessorio non è in grado di abilitare l'accesso remoto e collegarsi a upgrades.ironport.com tramite una delle porte elencate, potrebbe essere necessario eseguire un'operazione di acquisizione dei pacchetti direttamente dall'accessorio per verificare la causa dell'errore della connessione in uscita.

    Nota: Consultare il Manuale dell'utente dell'accessorio e della versione di AsyncOS per istruzioni su "Esecuzione di un'acquisizione pacchetto".

    Il tecnico Cisco TAC potrebbe richiedere l'inserimento del file .pcap per sottoporlo a revisione e assistenza nella risoluzione dei problemi.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    16-Dec-2025
    Sono stati apportati alcuni miglioramenti in base ai risultati CCW e sono state aggiunte nuove fasi del tunnel.
    1.0
    03-Jul-2014
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Dennis McCabe Jr
      Cisco Technical Leader
    • Robert Sherwin
      Cisco Technical Leader

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti