为Umbrella虚拟设备配置按需技术支持SSH隧道

简介

本文档介绍如何为Umbrella虚拟设备配置按需技术支持SSH隧道。

按需技术支持SSH隧道

支持工程师可以请求远程访问您的虚拟设备(VA)，以进一步诊断支持案例，并可能审核或更新设置以提高VA可用性。为了使Umbrella支持工程师能够访问您所在位置的Umbrella VA，必须遵循以下准则。  

注意：此信息仅适用于版本为2.1.0或更高版本的VA。

先决条件

• 必须满足设置文档中在VMWare或Hyper-V上配置VA的所有要求。
• 必须配置任何防火墙以允许到s.tunnels.ironport.com的出站连接。
• VA尝试连续连接TCP端口22、25、53、80、443或4766。

要测试连通性，您可以telnet至支持隧道：

telnet s.tunnels.ironport.com 25

正在尝试63.251.108.107...

已连接到s.tunnels.ironport.com。

转义字符为“^]”。

SSH-2.0-OpenSSH_6.2思科隧道1

启用隧道

SSH隧道连接到s.tunnels.ironport.com。连接的持续时间可配置，默认值为72小时。

在VMware和Hyper-V上托管的虚拟设备上启用隧道 

可以使用键盘命令“CTRL+T”从VA的控制台启用隧道。  

出现提示时，选择Yes:

115013855903

首先，您需要定义隧道会话的长度：

115013856003

选择OK，此时将显示一个窗口，其中显示支持隧道的序列号和密码。此信息必须发送给支持技术人员。选择OK后，VA尝试与支持的隧道服务器建立连接:

115013853243

单击OK关闭窗口。  验证VA控制台是否显示“Remote Support Tunnel:已连接”。

360000820923

在其他平台上托管的虚拟设备上启用隧道

通过SSH连接到VA，然后按如下所示使用config命令：

• 要启用支持隧道，请输入config tunnel enable <duration in hours>。
• 要禁用支持隧道，请输入config tunnel disable。
• 要检查支持隧道的状态，请输入config tunnel status。
• 要查看这些选项，请输入config tunnel help。

获取要与支持人员共享的凭据

在VA的控制台或使用config tunnel status命令时显示的序列号和密码必须提供给支持技术人员。 

注意：您检索并与支持人员共享的密码不能直接用于访问VA。出于安全考虑，实际密码是从您看到的密码以加密方式派生的。要从VA控制台获取序列号和密码，请在启用Ctl+T隧道后截图。确保屏幕截图可人工读取。

禁用/重新启用隧道

默认情况下，隧道将保持72小时的建立状态，但是您确实能够使用Re-enable（重新启用）选项延长隧道持续时间。

在VMware和Hyper-V上，可以随时使用CTRL-T键盘命令禁用或重新启用隧道：

115013688906

注意：由于隧道正常关闭而不是终止，因此无论在UI还是后端中，隧道状态都可能需要一分钟时间从“已连接”更改为“已禁用”。

在其他平台上，您可以使用以下命令：

• config tunnel reenable <的持续时间（小时）>

如果在禁用隧道后立即尝试重新启用它，可能会导致出现奇怪的情况和错误消息，因为隧道在此阶段未完全禁用。

重新启用隧道不会更改VA现有隧道会话的密码。默认情况下，选择Re-enable选项会从当前时间增加72小时的隧道持续时间。

隧道状态

已连接

启用隧道后，状态将从Disabled更改为Connected。如果连接成功，请注意，当VA尝试与服务器建立隧道时，状态会保持为连接模式大约一分钟左右。 

禁用

如果尚未显式启用隧道，则会显示Disabled状态。请注意，明确禁用隧道后，隧道状态从Connected更改为Disabled大约需要一分钟。

连接

在连接状态下，VA尝试建立隧道（依次尝试端口22、25、53、80、443和4766），每次尝试之间有5分钟的延迟。VA将一直保持此状态，直到建立连接，或者30分钟后，未成功建立连接。

连接可能由于网络问题（例如端口阻塞）而失败。

超时

如果VA无法与远程服务器建立连接，则状态变为超时。超时发生在VA尝试与远程服务器建立隧道后大约30分钟。

隧道持久性

启用支持隧道后，即使VA重新启动或升级，VA也会尊重输入的持续时间值。您无需执行其他操作。如果VA重新启动或升级，并且时间仍在指定的持续时间内，则VA会尝试自动重新连接到SSH隧道服务器。