はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)、Cisco Webセキュリティアプライアンス(WSA)、およびCiscoセキュリティ管理アプライアンス(SMA)でのCisco TACによるリモートアクセスの使用に関するよくある質問(FAQ)に対する回答を示します。
前提条件
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
リモートアクセスとは
リモートアクセスは、Ciscoコンテンツセキュリティアプライアンスからシスコのセキュアホストへのセキュアシェル(SSH)接続です。 リモートセッションが有効になると、Cisco Customer Assistanceのみがアプライアンスにアクセスできます。 リモートアクセスにより、シスコカスタマーサポートはアプライアンスを分析できます。 サポートは、アプライアンスとupgrades.ironport.comサーバの間に作成されるSSHトンネルを介してアプライアンスにアクセスします。
リモートアクセスの仕組み
リモートアクセス接続が開始されると、アプライアンスはSSH接続を介して、次のCisco Content Securityサーバの設定/選択されたポートに、セキュアでランダムなハイソースポートを開きます。
| IP アドレス |
ホスト名 |
利用 |
| 63.251.108.107 |
upgrades.ironport.com |
すべてのコンテンツセキュリティアプライアンス |
| 63.251.108.107 |
c.tunnels.ironport.com |
Cシリーズアプライアンス(ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
Xシリーズアプライアンス(ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
Mシリーズアプライアンス(SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
Sシリーズアプライアンス(WSA) |
上記のいずれかのサーバへのアウトバウンド接続を許可するようにファイアウォールを設定する必要がある場合があることに注意してください。ファイアウォールでSMTPプロトコルインスペクションが有効になっている場合、トンネルは確立されません。シスコがリモートアクセス用にアプライアンスからの接続を受け入れるポートは次のとおりです。
- 22
- 25(デフォルト)
- 53
- 80
- 443
- 4766
リモートアクセス接続は、ハードコードされたIPアドレスではなく、ホスト名に対して行われます。 これには、アウトバウンド接続を確立するために、ドメインネームサーバ(DNS)をアプライアンスで設定する必要があります。
ネットワーク上では、プロトコル/ポートの不一致により、一部のプロトコル対応ネットワークデバイスでこの接続がブロックされる場合があります。 一部のSimple Mail Transport Protocol(SMTP)対応デバイスでも、接続が中断される可能性があります。ブロックされるプロトコル対応デバイスまたはアウトバウンド接続がある場合、デフォルト(25)以外のポートの使用が必要になることがあります。トンネルのリモートエンドへのアクセスは、シスコカスタマーサポートのみに制限されています。 アプライアンスのリモートアクセス接続を確立またはトラブルシューティングする際は、ファイアウォール/ネットワークでアウトバウンド接続を確認してください。
注:Cisco TACエンジニアがリモートアクセス経由でアプライアンスに接続すると、アプライアンスのシステムプロンプトに(SERVICE)と表示されます。
リモートアクセスを有効にする方法
注:「シスコテクニカルサポートの担当者のためのリモートアクセスの有効化」の手順については、ご使用のアプライアンスのユーザガイドとAsyncOSのバージョンを必ずご確認ください。
注:電子メールでattach@cisco.comに送信される添付ファイルは、送信中にセキュリティ保護されない可能性があります。Support Case Managerは、ケースに情報をアップロードするためのシスコ推奨の安全なオプションです。他のファイルアップロードオプションのセキュリティおよびサイズの制限の詳細については、「Cisco Technical Assistance Centerへのカスタマーファイルアップロード」を参照してください。
インターネットから到達可能なポートを特定します。デフォルトはポート25で、ほとんどの環境で機能します。これは、システムがEメールメッセージを送信するためにそのポートを介した一般的なアクセスも必要とするためです。このポート経由の接続は、ほとんどのファイアウォール設定で許可されています。
CLI を使う場合:
CLIを使用して管理ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- techsupportコマンドを入力します
- TUNNELを選択します。
- 接続のポート番号を指定します
- 「Y」と返信してサービスアクセスを有効にします。
この時点でリモートアクセスが有効になります。 アプライアンスは、シスコのセキュアな基地局ホストへのセキュアな接続を確立します。 お客様のケースをサポートするTACエンジニアに、生成されたアプライアンスのシリアル番号とシードストリングの両方を提供します。
GUI
GUIを介して管理ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します
- Enableをクリックします。
- Initiate connection via secure tunnelチェックボックスにチェックマークを入れて、接続にポート番号を指定していることを確認します
- [Submit] をクリックします。
この時点でリモートアクセスが有効になります。 アプライアンスは、シスコのセキュアな基地局ホストへのセキュアな接続を確立します。 お客様のケースをサポートするTACエンジニアに、生成されたアプライアンスのシリアル番号とシードストリングの両方を提供します。
リモートアクセスを無効にする方法
CLI を使う場合:
- techsupportコマンドを入力します
- DISABLEを選択します。
- 「Are you sure to disable service access?」(サービスアクセスを無効にしますか?)というプロンプトが表示されたら、「Y」と返信します。
GUI
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します。
- Disableをクリックします
- GUI出力が「Success — Remote Access has been disabled」になる
リモートアクセス接続をテストする方法
アプライアンスからシスコへの接続の初期テストを実行するには、次の例を使用します。
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
接続は、22、25、53、80、443、または4766のいずれかのポートでテストできます。接続が失敗した場合、アプライアンス/ネットワークから接続が失敗した場所を確認するためにパケットキャプチャを実行する必要があります。
リモートアクセスがSMAで機能しないのはなぜですか。
インターネットに直接アクセスできないローカルネットワークにSMAを配置すると、SMAでリモートアクセスが有効にならない場合があります。 この例では、ESAまたはWSAでリモートアクセスを有効にし、SMAでSSHアクセスを有効にすることができます。これにより、シスコサポートは、最初にリモートアクセス経由でESA/WSAに接続し、次にSSH経由でESA/WSAからSMAに接続できます。これには、ESA/WSAとSMAの間のポート22での接続が必要です。
注: 「インターネットに直接接続せずにアプライアンスにリモートアクセスできるようにする」の手順については、ご使用のアプライアンスのユーザーガイドとAsyncOSのバージョンを必ずご確認ください。
CLI を使う場合:
CLIを使用して管理ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- techsupportコマンドを入力します
- SSHACCESSを選択します
- 「Y」と返信してサービスアクセスを有効にします。
この時点でリモートアクセスが有効になります。 CLIはシードストリングを出力します。 これをCisco TACエンジニアに提供してください。 CLI出力には、接続ステータスとリモートアクセスの詳細(アプライアンスのシリアル番号を含む)も表示されます。 このシリアル番号をCisco TACエンジニアに連絡してください。
GUI
GUIを介して管理ユーザとしてリモートアクセス接続を確立するには、次の手順を実行します。
- Help and Support > Remote Access(ESA、SMAの場合)、Support and Help > Remote Access(WSAの場合)の順に移動します
- Enableをクリックします。
- Initiate connection via secure tunnelチェックボックスにチェックマークを付けないでください
- [Submit] をクリックします。
この時点でリモートアクセスが有効になります。 GUIの出力には、デバイスの成功メッセージとシード文字列が表示されます。 これをCisco TACエンジニアに提供してください。 GUIの出力には、接続ステータスとリモートアクセスの詳細(アプライアンスのシリアル番号を含む)も表示されます。 このシリアル番号をCisco TACエンジニアに連絡してください。
SSHACCESSが有効になっている場合にリモートアクセスを無効にする方法
SSHACCESSのリモートアクセスを無効にする手順は、上記と同じです。
トラブルシューティング
アプライアンスでリモートアクセスを有効にできず、表示されているポートの1つを介してupgrades.ironport.comに接続できない場合は、アプライアンスから直接パケットキャプチャを実行して、アウトバウンド接続が失敗する原因を確認する必要があります。
注:「パケットキャプチャの実行」の手順については、ご使用のアプライアンスとAsyncOSのバージョンのユーザガイドを必ずご確認ください。
Cisco TACエンジニアは、レビューとトラブルシューティングの支援のために、.pcapファイルの提供を依頼することがあります。
関連情報
フィードバック