简介
本文档介绍有关思科TAC在思科邮件安全设备(ESA)、思科网络安全设备(WSA)和思科安全管理设备(SMA)上使用远程访问的常见问题的解答。
先决条件
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
什么是远程访问?
远程访问是从思科内容安全设备到思科安全主机的安全外壳(SSH)连接。 启用远程会话后,只有思科客户支持人员才能访问设备。 远程访问允许思科客户支持分析设备。 支持人员通过此过程在设备和upgrades.ironport.com服务器之间创建的SSH隧道访问设备。
远程访问的工作原理
当远程访问连接启动时,设备会通过设备上的SSH连接打开一个安全、随机、高源端口,该端口连接到以下思科内容安全服务器之一已配置/选定的端口:
| IP Address |
主机名 |
使用 |
| 63.251.108.107 |
upgrades.ironport.com |
所有内容安全设备 |
| 63.251.108.107 |
c.tunnels.ironport.com |
C系列设备(ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
X系列设备(ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
M系列设备(SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
S系列设备(WSA) |
请务必注意,可能需要将防火墙配置为允许到上面列出的服务器之一进行出站连接。如果防火墙启用了SMTP协议检测,则不会建立隧道。思科接受来自设备用于远程访问的连接的端口包括:
- 22
- 25 (Default)
- 53
- 80
- 443
- 4766
远程访问连接与主机名而不是硬编码IP地址建立。 这需要在设备上配置域名服务器(DNS)以建立出站连接。
在您的网络中,由于协议/端口不匹配,某些协议感知网络设备可能会阻止此连接。 一些简单邮件传输协议(SMTP) — 感知设备也会中断连接。当存在协议感知设备或出站连接被阻止时,可能需要使用除默认端口(25)以外的端口。只允许思科客户支持人员访问隧道的远程终端。 在尝试建立设备的远程访问连接或对其进行故障排除时,请确保查看防火墙/网络的出站连接。
注意:当思科TAC工程师通过远程访问连接到设备时,设备上的系统提示符会显示(SERVICE)。
如何启用远程访问
注意:请务必查看设备和AsyncOS版本的用户指南,了解有关“为思科技术支持人员启用远程访问”的说明。
注意:通过邮件发送到attach@cisco.com的附件在传输中可能不是安全的。支持案例管理器是思科将信息上传到案例的首选安全选项。要了解有关其他文件上传选项的安全性和大小限制的更多信息,请执行以下操作:向思科技术支持中心上传客户文件
确定可以从Internet访问的端口。默认值为端口25,这在大多数环境中均可使用,因为系统还需要通过该端口进行常规访问才能发送电子邮件。大多数防火墙配置都允许通过此端口进行连接。
CLI
要通过CLI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 输入techsupport命令
- 选择TUNNEL
- 指定连接的端口号
- 回复“Y”以启用服务访问
此时将启用远程访问。 设备现在用于建立与思科安全防御主机的安全连接。 提供设备序列号以及为支持您的案例的TAC工程师生成的种子字符串。
GUI
要通过GUI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 导航到帮助和支持>远程访问(适用于ESA、SMA)、支持和帮助>远程访问(适用于WSA)(适用于WSA)
- 单击Enable
- 确保选中Initiate connection via secure tunnel复选框并指定连接的端口号
- 单击 Submit
此时将启用远程访问。 设备现在用于建立与思科安全防御主机的安全连接。 提供设备序列号以及为支持您的案例的TAC工程师生成的种子字符串。
如何禁用远程访问
CLI
- 输入techsupport命令
- 选择DISABLE
- 当系统提示“Are you sure to disable service access?”时回复“Y”
GUI
- 导航到帮助和支持>远程访问(适用于ESA、SMA),支持和帮助>远程访问(适用于WSA)。
- 单击Disable
- GUI输出“Success — Remote Access has been disabled”
如何测试远程访问连接
使用以下示例对从设备到思科的连接执行初始测试:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
可以测试上面列出的任意端口的连通性:22、25、53、80、443或4766。 如果连接失败,您可能需要运行数据包捕获,查看设备/网络的连接失败的位置。
为什么远程访问在SMA上不起作用?
如果SMA置于本地网络中,不能直接访问Internet,则可能无法在SMA上启用远程访问。 对于此实例,可以在ESA或WSA上启用远程访问,也可以在SMA上启用SSH访问。这样,思科支持人员可以首先通过远程访问连接到ESA/WSA,然后通过SSH从ESA/WSA连接到SMA。 这需要ESA/WSA和端口22上的SMA之间的连接。
注意:请务必查看设备的《用户指南》和AsyncOS版本,了解有关“启用远程访问没有直接互联网连接的设备”的说明。
CLI
要通过CLI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 输入techsupport命令
- 选择SSHACCESS
- 回复“Y”以启用服务访问
此时将启用远程访问。 CLI输出种子字符串。 请将此信息提供给思科TAC工程师。 CLI输出还显示连接状态和远程访问详细信息,包括设备序列号。 请将此序列号提供给思科TAC工程师。
GUI
要通过GUI建立远程访问连接,请以管理员用户的身份完成以下步骤:
- 导航到帮助和支持>远程访问(适用于ESA、SMA)、支持和帮助>远程访问(适用于WSA)(适用于WSA)
- 单击Enable
- 请勿选中Initiate connection via secure tunnel复选框
- 单击 Submit
此时将启用远程访问。 GUI输出显示成功消息和设备的种子字符串。 请将此信息提供给思科TAC工程师。 GUI输出还显示连接状态和远程访问详细信息,包括设备序列号。 请将此序列号提供给思科TAC工程师。
如何为SSHACCESS启用时禁用远程访问
禁用SSHACCESS的远程访问步骤与上述提供的步骤相同。
故障排除
如果设备无法启用远程访问并通过列出的端口之一连接到upgrades.ironport.com,您可能需要直接从设备运行数据包捕获,以查看导致出站连接失败的原因。
注意:请务必查看设备用户指南和AsyncOS版本,了解有关“运行数据包捕获”的说明。
思科TAC工程师可能请求提供.pcap文件,以便查看和帮助进行故障排除。
相关信息
反馈