概要
このドキュメントでは、Cisco コンテンツ セキュリティ アプライアンスでの Techsupport トンネルの使用について、よく寄せられる質問(FAQ)に回答します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco E メール セキュリティ アプライアンス(ESA)
- Cisco Web セキュリティ アプライアンス(WSA)
- Cisco セキュリティ管理アプライアンス(SMA)
- AsyncOS
使用するコンポーネント
このドキュメントの情報は、任意のバージョンの AsyncOS を実行している Cisco コンテンツ セキュリティ アプライアンスに基づきます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
Techsupport トンネルとは何ですか
Techsupport トンネルとは、Cisco コンテンツ セキュリティ アプライアンスから Cisco コンテンツ セキュリティの本社に置かれた要塞ホストに対して作成されるセキュア シェル(SSH)接続のことです。 トンネルにより、シスコ カスタマー サポートおよびアプリケーション エンジニアがシステムを分析し、修復することができます。
Techsupport トンネルはどのように機能するのですか
Techsupport トンネルは変更を加えなくても、ほとんどのファイアウォールで動作します。 トンネル接続が開始されると、アプライアンスは無作為のハイソース ポートから、以下の Cisco セキュア サーバのいずれかに指定されたポートに対して、SSH 接続を作成します。
- 63.251.108.107:古い AsyncOS ビルドの場合
- upgrades.ironport.com:古い AsyncOS ビルドの場合
- c.tunnels.ironport.com:C シリーズ アプライアンス/ESA の場合
- x.tunnels.ironport.com:X シリーズ アプライアンス/ESA の場合
- m.tunnels.ironport.com:M シリーズ アプライアンス/SMA の場合
- s.tunnels.ironport.com:S シリーズ アプライアンス/WSA の場合
Cisco セキュア トンネル サーバで使用可能なポートは、22、25、53、80、443、および 4766 です。 接続はハードコーティングされた IP アドレスではなくホスト名に対して行われるため、トンネルを確立するには、アクティブなドメイン ネーム サーバ(DNS)が必要です。
一部のプロトコル対応デバイスは、プロトコル/ポートの不一致により接続をブロックし、一部の Simple Mail Transfer Protocol (SMTP) 対応デバイスは接続を中断します。 ブロックされるプロトコル対応デバイスまたはアウトバウンド接続がある場合、デフォルト(25)以外のポートの使用が必要になることがあります。 トンネルのリモート エンドにアクセスできるのは、シスコ カスタマー サポートおよびアプリケーション エンジニアだけです。
注: シスコ サポートまたはアプリケーション エンジニアがトンネルに接続されると、アプライアンス上のシステム プロンプトに(SERVICE)と表示されます。
ヒント: ネットワークが停止したり、アプライアンスが再起動されたりすると、トンネルは自動的に自身の再接続試行を行います。
Techsupport トンネルを確立する方法を教えてください
管理ユーザとしてアプライアンスの CLI で Techsupport トンネル接続を確立するには、次の手順を実行します。
- techsupport コマンドを入力します。
- [Tunnel] を選択します。
- プロンプトに従います。
注: トンネルを有効にする際は、仮パスワードを入力し、そのパスワードをシスコ カスタマー サポート エンジニアに知らせる必要があります。 このパスワードは直接使用されるのではなく、マシン固有のパスワードを生成するために使用されます。
アプライアンスの管理 GUI からトンネルを確立するには、次の手順を実行します。
- [System Administration] > [Remote Access] に移動します。
- [Allow remote access to this appliance] および [Initiate connection via secure tunnel] チェックボックスの両方がオンになっていることを確認します。
- フォームを送信します。
重要な点として、すべてのファイアウォールが upgrades.ironport.com へのアウトバウンド接続を許可するように設定されている必要があります。 ファイアウォールの SMTP プロトコル インスペクションが有効になっていると、トンネルは確立されません。 その場合、代替ポートを指定する必要があります。 以下のリストから最適なポートを選択します。
注: ポート 25 は、デフォルトの宛先ポートとして使用されます。
ヒント: 必要のなくなったトンネルを無効にするには、techsupport コマンドを入力し、[Disable]を選択します。
Techsupport トンネルの接続をテストする方法を教えてください
以下の例を使用して、ファイアウォールを介した接続の初期テストを実行します。
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
Techsupport トンネルがセキュリティ管理アプライアンス(SMA)で機能しない理由を教えてください
たとえば、SMA がローカル ネットワークに配置されていて、インターネットに直接アクセスできない場合、前述のポートを介して Techsupport トンネルを確立することはできません。 この場合、代わりに ESA で Techsupport トンネルを有効にし、SMA で SSH アクセスを有効にするという方法があります。 こうすることにより、シスコ サポートは最初に Techsupport トンネルを介して ESA に接続し、ESA から SSH を使用して SMA に接続できます。ただし、ポート 22 で ESA と SMA が接続できることが条件となります。
管理ユーザとして SMA CLI から SSH アクセスを確立する方法
- techsupport コマンドを入力します。
- [SSHACCESS] を選択します。
- プロンプトに従います。
注: 有効にした後、シスコ サポートに ESA と SMA のシリアル番号ならびにサービス パスワードを通知してください。
フィードバック