IP 接口和访问设备

本章包含以下部分:

IP 接口和访问设备

您可以通过各种服务访问在思科内容安全设备上创建的任何 IP 接口。

默认情况下,在每个接口上启用或禁用以下服务:

Table 1. 默认情况下在 IP 接口上启用的服务

默认启用?

服务

默认端口

管理接口

您创建的新 IP 接口

FTP

21

不兼容

Telnet

23

SSH

22

HTTP

80

HTTPS

443

IP接口

IP 接口包含到网络的各个连接所需要的网络配置数据。可以向物理以太网接口配置多个 IP 接口。您还可以通过 IP 接口配置对垃圾邮件隔离区的访问权限。对于邮件传送和虚拟网关,每个 IP 接口都用作一个具有特定 IP 地址和主机名的虚拟网关地址。也可以将接口“连接”到不同组中(通过 CLI),系统在传输邮件时将遍历这些组。连接或组合虚拟网关,对于在多个接口之间均衡大型邮件活动的负载非常有用。还可以创建 VLAN,并像配置任何其他接口(通过 CLI)一样配置它们。有关更多信息,请参阅邮件安全设备用户指南或在线帮助中的“高级网络”章节。

配置 IP 接口

使用“管理设备”(Management Appliance) >“网络”(Web) >“IP 接口”(IP Interfaces) 页面(和 interface config 命令)可以添加、编辑或删除 IP 接口。


Note
不能更改安全管理设备上与管理接口相关联的名称或以太网端口。此外,安全管理设备不支持下面讨论的所有功能(例如,虚拟网关)。

配置 IP 接口时需要以下信息:

Table 2. IP 接口组件

名称

接口的别名。

IP 地址

无法在单独的物理以太网接口上配置相同子网内的 IP 地址。

网络掩码(或子网掩码)

您可以用标准点分八位二进制数格式(例如 255.255.255.0)或十六进制格式(例如 0xffffff00)输入网络掩码。默认网络掩码为 255.255.255.0,这是常用 C 类值。

广播地址

AsyncOS 根据 IP 地址和网络掩码自动计算默认广播地址。

主机名

与接口相关的主机名。此主机名用于在 SMTP 会话期间标识服务器。您负责输入与每个 IP 地址关联的有效主机名。此软件不检查 DNS 是否将主机名正确解析为匹配的 IP 地址,也不检查反向 DNS 是否解析为给定的主机名。

允许的服务

可以在接口上启用或禁用 FTP、SSH、Telnet、垃圾邮件隔离区、HTTP 和 HTTPS。您可以为每项服务配置端口。您可以为垃圾邮件隔离区指定 HTTP/HTTPS、端口和 URL。


Note
如果已按设置、安装和基本配置所述完成系统设置向导并提交更改,则设备上应该已配置管理接口。

使用 GUI 创建 IP 接口

Procedure

Step 1

[仅限新 Web 界面] 在安全管理设备中,点击 加载旧 Web 界面。

Step 2

依次选择管理设备 (Management Appliance) > 网络 (Network) > IP 接口 (IP Interfaces)

Step 3

点击添加 IP 接口 (Add IP Interface)

Step 4

输入接口的名称。

Step 5

选择以太网端口并输入 IP 地址。

Step 6

输入 IP 地址的网络掩码。

Step 7

输入接口的主机名。

Step 8

选中要在此 IP 接口上启用的每项服务旁边的复选框。必要时更改相应的端口。

Step 9

选择是否启用将 HTTP 重定向至 HTTPS,以便在接口上进行设备管理。

Step 10

如果您使用垃圾邮件隔离区,可以选择 HTTP 和/或 HTTPS 并分别指定端口号。您还可以选择是否将 HTTP 请求重定向至 HTTPS。最后,您可以指定 IP 接口是否是垃圾邮件隔离区的默认接口,以及是将主机名用作 URL 还是提供自定义 URL。

Step 11

提交并确认更改。

通过 FTP 访问设备


Caution

通过使用“管理设备”>“网络”>“IP 接口”页或 interfaceconfig 命令禁用服务,您可断开自己与 GUI 或 CLI 的连接,具体取决于您如何连接到设备。如果无法使用其他协议、串行接口或管理端口上的默认设置重新连接到设备,请勿使用此命令禁用服务。

Procedure

Step 1

[仅限新 Web 界面] 在安全管理设备中,点击 加载旧 Web 界面。

Step 2

选择管理设备 (Management Appliance) > 网络 (Web) > IP 接口 (IP Interfaces) 页面或(interfaceconfig 命令)为接口启用 FTP 访问。

Note

 
请记得在进行下一步之前提交您所做的更改。

Step 3

通过 FTP 访问接口。确保使用的是接口的正确 IP 地址。

示例:ftp 192.168.42.42

许多浏览器还允许通过 FTP 访问接口。

示例:ftp://192.10.10.10

Step 4

浏览到尝试完成的特定任务所在的目录。通过 FTP 访问接口后,可以浏览以下目录以复制和添加(“GET”和“PUT”)文件。请参阅下表

Table 3. 可供访问的目录

目录名称

说明

/avarchive

/bounces

/cli_logs

/delivery

/error_logs

/ftpd_logs

/gui_logs

/mail_logs

/rptd_logs

/sntpd.logs

/status

/system_logs

通过“管理设备”(Management Appliance) >“系统管理”(System Administration) >“日志订用”(Log Subscriptions) 页面或 logconfig 和 rollovernow 命令自动创建 以进行日志记录。有关每个日志的详细说明,请参阅邮件安全设备用户指南或在线帮助中的“日志记录”章节。

有关各个日志文件类型之间的差异,请参阅“日志记录”章节中的“日志文件类型比较”。

/configuration

来自下列页面和命令的数据导出到此目录,并且/或者从此目录导入(保存):

  • 虚拟网关映射 (altsrchost)
  • XML 格式的配置数据 (saveconfig, loadconfig)
  • 主机访问表 (HAT) 页 (hostaccess)
  • 收件人访问表 (RAT) 页 (rcptaccess)
  • SMTP 路由页 (smtproutes)
  • 别名表 (aliasconfig)
  • 伪装表 (masquerade)
  • 邮件过滤器 (filters)
  • 全局取消订用数据 (unsubscribe)
  • trace 命令的测试消息

/MFM

“邮件流监控”(Mail Flow Monitoring) 数据库目录包含 GUI 提供的邮件流监控功能的数据。每个子目录包含一个说明每个文件的记录格式的自述 (README) 文件。

您可以将这些文件复制到不同的计算机以便保存记录,或将文件加载到数据库中并创建您自己的分析应用。所有目录中的所有文件的记录格式均相同;此格式在未来的版本中可能发生变化。

/periodic_reports

系统上配置的所有已存档报告均存储在此目录中。

Step 5

使用 FTP 程序将文件上传和下载到相应的目录以及从中上传和下载。

安全复制 (scp) 访问权限

如果您的客户端操作系统支持安全复制 ( scp ) 命令,您可以将文件复制到可用于访问的目录表中列出的目录,或者从这些目录中复制文件。例如,在以下示例中,文件 /tmp/test.txt 会从客户端复制主机名为 mail3.example.com 的设备的配置目录中。


Note
用户口令(管理员)的命令提示符。此示例仅供参考;您的操作系统的安全复制实施可能有所不同。 

% scp /tmp/test.txt admin@mail3.example.com:configuration
The authenticity of host 'mail3.example.com (192.168.42.42)' can't be established.
DSA key fingerprint is 69:02:01:1d:9b:eb:eb:80:0c:a1:f5:a6:61:da:c8:db.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'mail3.example.com ' (DSA) to the list of known hosts.
admin@mail3.example.com's passphrase: (type the passphrase)
test.txt             100% |****************************|  1007       00:00
%

在本例中,从设备复制了相同文件到客户机: 


% scp admin@mail3.example.com:configuration/text.txt .
admin@mail3.example.com's passphrase: (type the passphrase)
test.txt             100% |****************************|  1007       00:00

您可以用安全复制 (scp) 命令替代 FTP,在内容安全设备之间传输文件。


Note
只有操作员或管理员组的用户可以使用安全复制 (scp) 访问设备。有关详细信息,请参阅 关于恢复到 AsyncOS 的某个较早版本

通过串行连接访问

如果通过串行连接连接至设备,请针对控制台端口使用以下信息。

有关此端口的完整信息,请参阅设备的硬件安装指南。

相关主题

80 和 90 系列硬件的串行端口引脚详细信息

Figure 1. 80 和 90 系列硬件的串行端口引脚详细信息


70 系列硬件的串行端口引脚详细信息

下图展示串行端口连接器的引脚编号,串行端口引脚分配表定义串行端口连接器的引脚分配情况和接口信号。

Figure 2. 串行端口的引脚编号


Table 4. 串行端口引脚分配

引脚

信号

I/O

定义

1

DCD

数据载体检测

2

SIN

串行输入

3

SOUT

串行输出

4

DTR

数据终端就绪

5

GND

n/a

信号接地

6

DSR

数据设置就绪

7

RTS

请求发送

8

CTS

允许发送

9

RI

振铃指示器

外壳

n/a

n/a

机箱接地