Introdução
Este documento descreve as respostas às perguntas mais frequentes sobre o uso do acesso remoto pelo Cisco TAC no Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) e Cisco Security Management Appliance (SMA).
Pré-requisitos
Componentes Utilizados
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O que é acesso remoto?
O acesso remoto é uma conexão Secure Shell (SSH) que é habilitada de um dispositivo Cisco Content Security para um host seguro na Cisco. Somente a Assistência ao cliente da Cisco pode acessar o dispositivo quando uma sessão remota estiver habilitada. O acesso remoto permite que o Suporte ao cliente da Cisco analise um dispositivo. O suporte acessa o dispositivo por meio de um túnel SSH criado por esse procedimento entre o dispositivo e o servidor upgrades.ironport.com.
Como funciona o acesso remoto
Quando uma conexão de acesso remoto é iniciada, o equipamento abre uma porta segura, aleatória e de alta origem por meio de uma conexão SSH no equipamento para a porta configurada/selecionada em um dos seguintes servidores Cisco Content Security:
| IP Address |
Hostname |
Uso |
| 63.251.108.107 |
upgrades.ironport.com |
Todos os dispositivos de segurança de conteúdo |
| 63.251.108.107 |
c.tunnels.ironport.com |
Dispositivos C-Series (ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
Dispositivos X-Series (ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
Dispositivos M-Series (SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
Dispositivos S-Series (WSA) |
É importante observar que o firewall pode precisar ser configurado para permitir conexões de saída com um dos servidores listados acima. Se a inspeção do protocolo SMTP estiver habilitada no firewall, o túnel não será estabelecido. As portas que a Cisco aceita conexões do dispositivo para acesso remoto são:
- 22
- 25 (Padrão)
- 53
- 80
- 443
- 4766
A conexão de acesso remoto é feita a um nome de host e não a um endereço IP codificado. Isso exige que o Servidor de Nome de Domínio (DNS) seja configurado no dispositivo para estabelecer a conexão de saída.
Em sua rede, alguns dispositivos de rede com reconhecimento de protocolo podem bloquear essa conexão devido à incompatibilidade de protocolo/porta. Alguns dispositivos com reconhecimento de SMTP (Simple Mail Transport Protocol) também podem interromper a conexão. Nos casos em que há dispositivos com reconhecimento de protocolo ou conexões de saída bloqueadas, o uso de uma porta diferente do padrão (25) pode ser necessário. O acesso à extremidade remota do túnel é restrito somente ao Suporte ao cliente da Cisco. Verifique se o firewall/rede está em busca de conexões de saída ao tentar estabelecer ou solucionar problemas de conexões de acesso remoto para o equipamento.
Note: Quando um engenheiro do TAC da Cisco está conectado ao dispositivo por acesso remoto, o prompt do sistema no dispositivo mostra (SERVICE).
Como habilitar o acesso remoto
Note: Leia o Guia do usuário do seu dispositivo e a versão do AsyncOS para obter instruções sobre como "Habilitar o acesso remoto para a equipe de suporte técnico da Cisco".
Note: Os anexos enviados por e-mail para attach@cisco.com podem não ser seguros durante o transporte. O Support Case Manager é a opção segura preferida da Cisco para carregar informações em seu caso. Para saber mais sobre as limitações de segurança e tamanho de outras opções de upload de arquivo: Carregamentos de arquivo do cliente no Cisco Technical Assistance Center
Identifique uma porta que possa ser acessada a partir da Internet. O padrão é a porta 25, que funciona na maioria dos ambientes porque o sistema também exige acesso geral nessa porta para enviar mensagens de e-mail. As conexões por essa porta são permitidas na maioria das configurações de firewall.
CLI
Para estabelecer uma conexão de acesso remoto via CLI, como um usuário Admin, siga estas etapas:
- Insira o comando techsupport
- Escolher TÚNEL
- Especifique o número da porta para a conexão
- Responda "Y" para habilitar o acesso ao serviço
O acesso remoto será habilitado neste momento. O dispositivo agora trabalha para estabelecer a conexão segura com o bastião seguro host na Cisco. Forneça o número de série do dispositivo e a string de seed que é gerada para o engenheiro de TAC que apoia o seu caso.
GUI
Para estabelecer uma conexão de acesso remoto através da GUI, como um usuário Admin, conclua estas etapas:
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA)
- Clique em Habilitar
- Certifique-se de marcar a caixa de seleção Iniciar conexão via túnel seguro e especificar o número da porta para a conexão
- Clique em Submit
O acesso remoto será habilitado neste momento. O dispositivo agora trabalha para estabelecer a conexão segura com o bastião seguro host na Cisco. Forneça o número de série do dispositivo e a string de seed que é gerada para o engenheiro de TAC que apoia o seu caso.
Como desativar o acesso remoto
CLI
- Insira o comando techsupport
- Escolha DISABLE
- Responda "Y" quando solicitado "Tem certeza de que deseja desativar o acesso ao serviço?"
GUI
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA).
- Clique em Disable (Desativar)
- A GUI exibe "Success — Remote Access has been disabled" (Êxito — O acesso remoto foi desativado)
Como testar a conectividade de acesso remoto
Use este exemplo para executar um teste inicial de conectividade do seu dispositivo com a Cisco:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
A conectividade pode ser testada para qualquer uma das portas listadas acima: 22, 25, 53, 80, 443 ou 4766. Se a conectividade falhar, talvez seja necessário executar uma captura de pacotes para ver onde a conexão está falhando em seu dispositivo/rede.
Por que o acesso remoto não funciona no SMA?
O acesso remoto pode não ser habilitado em um SMA se o SMA for colocado na rede local sem acesso direto à Internet. Para esta instância, o acesso remoto pode ser habilitado em um ESA ou WSA, e o acesso SSH pode ser habilitado no SMA. Isso permite que o Suporte da Cisco se conecte primeiro via acesso remoto ao ESA/WSA e depois do ESA/WSA ao SMA via SSH. Isso exige conectividade entre o ESA/WSA e o SMA na porta 22.
Note: Leia o Guia do usuário do seu equipamento e a versão do AsyncOS para obter instruções sobre como "Habilitar o acesso remoto a aplicativos sem uma conexão direta com a Internet".
CLI
Para estabelecer uma conexão de acesso remoto via CLI, como um usuário Admin, siga estas etapas:
- Insira o comando techsupport
- Escolha SSHACCESS
- Responda "Y" para habilitar o acesso ao serviço
O acesso remoto será habilitado neste momento. A CLI gera a string de seed. Forneça isso ao engenheiro do TAC da Cisco. A saída da CLI também mostra o status da conexão e os detalhes de acesso remoto, incluindo o número de série do equipamento. Forneça esse número de série ao engenheiro do TAC da Cisco.
GUI
Para estabelecer uma conexão de acesso remoto através da GUI, como um usuário Admin, conclua estas etapas:
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA)
- Clique em Habilitar
- NÃO marque a caixa de seleção Iniciar conexão via túnel seguro
- Clique em Submit
O acesso remoto será habilitado neste momento. A saída da GUI mostra uma mensagem de êxito e a string de seed do dispositivo. Forneça isso ao engenheiro do TAC da Cisco. A saída da GUI também mostra o status da conexão e os detalhes do acesso remoto, incluindo o número de série do equipamento. Forneça esse número de série ao engenheiro do TAC da Cisco.
Como desativar o acesso remoto quando ativado para SSHACCESS
Desabilitar o acesso remoto para SSHACCESS é a mesma etapa fornecida acima.
Troubleshooting
Se o equipamento não puder habilitar o acesso remoto e se conectar a upgrades.ironport.com por uma das portas listadas, talvez seja necessário executar uma captura de pacotes diretamente do equipamento para analisar o que está causando a falha da conexão de saída.
Note: Verifique o Guia do usuário do seu dispositivo e a versão do AsyncOS para obter instruções sobre como executar uma captura de pacote.
O engenheiro do TAC da Cisco pode solicitar que o arquivo .pcap seja fornecido para revisar e ajudar na solução de problemas.
Informações Relacionadas
Feedback