Veelgestelde vragen over externe toegang op Cisco ESA/WSA/SMA

Downloadopties

  • PDF     (262.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (73.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 december 2025
Document-id:117873

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden antwoorden beschreven op veelgestelde vragen over het gebruik van externe toegang door Cisco TAC op de Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) en de Cisco Security Management Appliance (SMA).  

    Voorwaarden

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Wat is externe toegang?

    Externe toegang is een Secure Shell (SSH)-verbinding die wordt ingeschakeld vanaf een Cisco Content Security-toestel voor een beveiligde host bij Cisco.    Alleen Cisco Customer Assistance heeft toegang tot het toestel wanneer een externe sessie is ingeschakeld.    Met externe toegang kan Cisco Customer Support een toestel analyseren.    Support krijgt via een SSH-tunnel die door deze procedure wordt gemaakt tussen het toestel en de server upgrades.ironport.com server toegang tot het toestel. 

    Hoe externe toegang werkt

    Wanneer een verbinding voor externe toegang wordt gestart, opent het toestel een beveiligde, willekeurige high-source poort via een SSH-verbinding op het toestel voor de geconfigureerde/geselecteerde poort één van de volgende Cisco Content Security-servers:

    IP-adres Hostnaam Gebruik
    63.251.108.107 upgrades.ironport.com Alle Content Security-toestellen
    63.251.108.107 c.tunnels.ironport.com C-Series toestellen (ESA)
    63.251.108.107 x.tunnels.ironport.com X-Series toestellen (ESA)
    63.251.108.107 m.tunnels.ironport.com M-Series toestellen (SMA)
    63.251.108.107 s.tunnels.ironport.com S-Series toestellen (WSA)

    Het is belangrijk op te merken dat uw firewall mogelijk moet worden geconfigureerd om uitgaande verbindingen met een van de hierboven genoemde servers mogelijk te maken. Als uw firewall SMTP-protocolinspectie heeft ingeschakeld, wordt de tunnel niet ingesteld. Poorten waarop Cisco verbindingen van het toestel voor externe toegang accepteert, zijn:

    • 22
    • 25 (Standaard)
    • 53
    • 80
    • 443
    • 4766

    De verbinding voor externe toegang wordt gemaakt naar een hostnaam en niet naar een in code vastgelegd IP-adres.    Hiervoor is vereist dat Domain Name Server (DNS) wordt geconfigureerd op het toestel om de uitgaande verbinding op te zetten.

    Op uw netwerk kunnen sommige netwerkapparaten die zich bewust zijn van het protocol deze verbinding blokkeren als gevolg van de protocol-/poortmismatch.  Sommige Simple Mail Transport Protocol (SMTP) - bewuste apparaten kunnen ook de verbinding onderbreken. In gevallen waarin er protocolbewuste apparaten of uitgaande verbindingen zijn die worden geblokkeerd, kan het gebruik van een andere poort dan de standaardpoort (25) vereist zijn. Toegang tot het externe uiteinde van de tunnel is beperkt tot Cisco Customer Support.    Zorg ervoor dat u uw firewall/netwerk controleert op uitgaande verbindingen als u probeert verbindingen voor externe toegang voor uw toestel op te zetten of hiervoor probleemoplossing uit te voeren.

    Opmerking: Wanneer een Cisco TAC Engineer is aangesloten op het toestel via externe toegang, wordt de systeemprompt op het toestel weergegeven (SERVICE).

    Externe toegang inschakelen

    Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Inschakelen van externe toegang voor technisch ondersteuningspersoneel van Cisco'.

    Opmerking: bijlagen die via e-mail naar attach@cisco.com worden verzonden, zijn mogelijk niet veilig tijdens het transport. Support Case Manager is de voorkeursoptie van Cisco voor beveiliging om informatie te uploaden naar uw case. Meer informatie over de beveiliging en groottebeperkingen van andere bestandsuploadopties: Klantbestandsuploads naar Cisco Technical Assistance Center

    Identificeer een poort die vanuit het internet kan worden bereikt. De standaardpoort is 25, die in de meeste omgevingen werkt omdat het systeem ook algemene toegang via die poort nodig heeft om e-mailberichten te verzenden. Verbindingen via deze poort zijn in de meeste firewallconfiguraties toegestaan.

    CLI

    Als u een verbinding voor externe toegang wilt opzetten via de CLI, moet u als Admin-gebruiker deze stappen voltooien:

    1. Ga naar de opdracht techsupport
    2. Kies TUNNEL
    3. Geef het poortnummer voor op voor de verbinding
    4. Antwoord met 'Y' om servicetoegang in te schakelen

    Op dit moment wordt externe toegang ingeschakeld.    Het toestel is nu bezig om de beveiligde verbinding naar de beveiligde bastion-host bij Cisco op te zetten.    Geef zowel het serienummer van het toestel als de seed-tekenreeks op die wordt gegenereerd voor de TAC Engineer die uw case behandelt.

    GUI

    Als u een verbinding voor externe toegang wilt opzetten via de GUI, moet u als Admin-gebruiker deze stappen voltooien:

    1. Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
    2. Klik op Inschakelen
    3. Zorg ervoor dat u het selectievakje Verbinding initiëren via beveiligde tunnel inschakelt en het poortnummer voor de verbinding opgeeft
    4. Klik op Submit (Verzenden)

    Op dit moment wordt externe toegang ingeschakeld.    Het toestel is nu bezig om de beveiligde verbinding naar de beveiligde bastion-host bij Cisco op te zetten.    Geef zowel het serienummer van het toestel als de seed-tekenreeks op die wordt gegenereerd voor de TAC Engineer die uw case behandelt.

    Externe toegang uitschakelen

    CLI

    1. Ga naar de opdracht techsupport
    2. Kies UITSCHAKELEN
    3. Reageer met 'Y' als u wordt gevraagd 'Weet u zeker dat u servicetoegang wilt uitschakelen?'

    GUI

    1. Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
    2. Klik op Uitschakelen
    3. De GUI voert "Succes — Externe toegang is uitgeschakeld" uit

    De connectiviteit van externe toegang testen

    Gebruik dit voorbeeld om een initiële test uit te voeren voor connectiviteit vanaf uw toestel naar Cisco:

    example.run> > telnet upgrades.ironport.com 25

    Trying 63.251.108.107...
    Connected to 63.251.108.107.
    Escape character is '^]'.
    SSH-2.0-OpenSSH_6.2 CiscoTunnels1

    Connectiviteit kan worden getest voor elk van de hierboven genoemde poorten: 22, 25, 53, 80, 443 of 4766. Als de connectiviteit uitvalt, moet u mogelijk een pakketopname uitvoeren om te zien waar de verbinding uitvalt vanaf uw toestel/netwerk.

    Waarom werkt de externe toegang niet op de SMA?


    Externe toegang is mogelijk niet ingeschakeld op een SMA als de SMA in het lokale netwerk is geplaatst zonder directe toegang tot internet.    Voor dit exemplaar kan externe toegang worden ingeschakeld op een ESA of WSA, en SSH-toegang kan worden ingeschakeld op de SMA. Hierdoor kan Cisco Support eerst via externe toegang verbinding maken met de ESA/WSA en vervolgens van de ESA/WSA naar de SMA via SSH. Hiervoor is connectiviteit tussen de ESA/WSA en de SMA op poort 22 vereist.

    Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Inschakelen van externe toegang voor toestellen zonder een directe internetverbinding'.

    CLI

    Als u een verbinding voor externe toegang wilt opzetten via de CLI, moet u als Admin-gebruiker deze stappen voltooien:

    1. Ga naar de opdracht techsupport
    2. Kies SSHACCESS
    3. Antwoord met 'Y' om servicetoegang in te schakelen

    Op dit moment wordt externe toegang ingeschakeld.  De CLI voert de seed string uit.  Geef dit door aan de Cisco TAC Engineer.  De CLI-uitvoer toont ook de verbindingsstatus en gegevens over externe toegang, waaronder het serienummer van het toestel.  Geef dit serienummer op aan de Cisco TAC Engineer.

    GUI

    Als u een verbinding voor externe toegang wilt opzetten via de GUI, moet u als Admin-gebruiker deze stappen voltooien:

    1. Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
    2. Klik op Inschakelen
    3. Schakel het selectievakje Verbinding starten via beveiligde tunnel NIET in
    4. Klik op Submit (Verzenden)

    Op dit moment wordt externe toegang ingeschakeld.  De GUI-uitvoer toont u een succesbericht en de seed-string van het apparaat.  Geef dit door aan de Cisco TAC Engineer.  De GUI-uitvoer toont ook de verbindingsstatus en de gegevens voor externe toegang, waaronder het serienummer van het toestel.  Geef dit serienummer op aan de Cisco TAC Engineer.

    Externe toegang uitschakelen wanneer ingeschakeld voor SSHACCESS

    Voor het uitschakelen van externe toegang voor SSHACCESS gebruikt u dezelfde stappen als hierboven beschreven.

    Probleemoplossing

    Als het toestel geen externe toegang kan krijgen en geen verbinding kan maken met upgrades.ironport.com via een van de vermelde poorten, moet u mogelijk rechtstreeks vanuit het toestel een pakketopname uitvoeren om te controleren wat de oorzaak is van het falen van de uitgaande verbinding.

    Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Een pakketopname uitvoeren'.

    De Cisco TAC Engineer kan vragen om het .pcap-bestand te laten verstrekken om problemen te bekijken en te helpen oplossen.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    16-Dec-2025
    Heeft enkele verbeteringen aangebracht volgens CCW-bevindingen en nieuwe tunnelstappen toegevoegd.
    1.0
    03-Jul-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Dennis McCabe Jr
      Cisco Technical Leader
    • Robert Sherwin
      Cisco Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten