購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
8663
閲覧回数
15
いいね!
4
コメント

IronPort 製品のサポート・トンネル

zhaqin
Level 1
Level 1

‎2013-07-08 06:35 PM

IronPort 製品で問題が発生し、シスコのテクニカルアシスタンスセンター(TAC) にお問い合わせする際、担当のサポートエンジニアよりサポート・トンネルを有効にするように依頼することがよくあります。このサポート・トンネルは、シスコのサポートエンジニアが原因調査と障害復旧を行うために重要なツールです。

 

以下、サポート・トンネルの仕組みを説明します。

 

  • サポート・トンネルの技術的な実現方法は、該当IronPort 機器からシスコのターミナルサーバ (upgrades.ironport.com) へのSSH で暗号化されるTCP 通信になります。ただ、TCP/22 番ポートの代わりに、デフォルトで ESA とSMA は TCP/25 番ポート、WSA はTCP/443 番ポートで接続します。サーバ側ではポート 22, 53, 80, 443 と 4766 が開いているので、そちらに指定することもできます。
  • SSH 通信になりますので、該当IronPort 機器にてSSH サービスが全インターフェースにおいて無効になっていると、サポート・トンネルの接続が失敗します。
  • サポート・トンネル接続の際、upgrades.ironport.com というホストの名前解決を行うため、DNS が正常に動作している必要があります。
  • シスコのサポートエンジニアがターミナルサーバにログインし、サポート・トンネル経由で該当IronPort 機器をアクセスする間に、CLI インタフェースに "Service" の文字がコマンドプロンプトに表示されます。しかし、サポートエンジニアによるサポート・トンネルを利用して問題を調査・解決する過程を、お客様が直接確認することはできません。
  • お客様の介入無しで、シスコ側から該当機器にてサポート・トンネルを有効にすることはできません。
  • トラブルシューティング完了後は、サポート・トンネルを無効にすることをお勧めします。

 

Picture2.png

 

サポート・トンネルを有効にする手順は、すべてのIronPort 機器において共通します。ただ、SMA (M シリーズ)の場合、直接インターネットからアクセスできないネットワーク構成がよくあります。その際、通常はインターネットアクセスができる ESA 上でサポート・トンネルを有効し、ESA を介して内部のSMA に SSH アクセスすることになります。

 

以下、CLI にてサポート・トンネルを有効・無効にする手順を説明します。

 

 

CLI 上でサポート・トンネルを有効にする手順

ironport.example.com> techsupport

Service Access currently disabled.

Serial Number: 001234567890AB-1234567          <=== 1. シリアル番号

 

Choose the operation you want to perform:

 

- SSHACCESS - Allow an IronPort customer service representative to remotely access your

system, without establishing a tunnel.

- TUNNEL - Allow an IronPort customer service representative to remotely access your

system, and establish a secure tunnel for communication.

- STATUS - Display the current techsupport status.

 

[]> tunnel

 

Enter a temporary password for customer support to use. This password will not be able to

be used to directly access your system.

- the password must be between 6 and 128 characters long;

- it cannot be blank or consist only of spaces;

- it must be different from the administrator's password.

 

[]> ironport123          <=== 2. 暫定パスワード

 

Enter the port number for tunnel connection:

 

[25]> 25

 

Are you sure you want to enable service access? [N]> y

 

 

Service access has been ENABLED.  Please provide your temporary password to

your IronPortCustomer Support representative.

Waiting for ssh tunnel to connect, Ctrl-C to cancel...

You have enabled the SSH tunnel and it is now connected.

 

サポート・トンネル有効後、上記のシリアル番号および暫定パスワードをサポートエンジニアにお知らせください。なお、暫定パスワードは本番パスワードを生成するためのソルト(Salt) ですので、サポート・トンネルを有効にしても、暫定パスワードを使って該当IronPort 機器にログインすることはできません。

 

 

CLI 上でサポート・トンネルを無効にする手順

 

ironport.example.com> techsupport

Service Access currently ENABLED (0 current service logins).

Tunnel option is not active.

Serial Number: 001234567890AB-1234567

 

 

Choose the operation you want to perform:

- DISABLE - Prevent Cisco IronPort Customer Support representative from

remotely accessing your system.

- STATUS - Display the current techsupport status.

[]> disable

Are you sure you want to disable service access? [N]> y

Service access has been disabled.

Service Access currently disabled.

Serial Number: 001234567890AB-1234567

 

もし何らかの原因で、サポート・トンネルが正常に動作しない場合、担当のサポートエンジニアにお問い合わせください。

コメント
seiji tanaka
Community Member
‎2015-03-23 03:20 PM

サポート・トンネルで接続するホスト名の記載が誤っています。


upgrades.ironprot.com

正しくはupgrades.ironport.comだと思うのですが。

 

修正をお願いします。

 

CiscoJapanModerator
Level 7
Level 7
‎2015-03-24 10:11 AM

コメントありがとうございます。ご指摘の箇所を修正いたしました。これからもご活用いただけますようどうぞよろしくお願いいたします。

サポートコミュニティ事務局

Yoshinori Kimura
Cisco Employee
Cisco Employee
‎2016-10-20 03:00 PM

AsyncOSの更新に伴い、サポートトンネルのアクセス先サーバが"upgrades.ironport.com"から変わっています。

  • 63.251.108.107 - for older AsyncOS builds
  • upgrades.ironport.com - for older AsyncOS builds
  • c.tunnels.ironport.com - for C-Series appliances/ESA
  • x.tunnels.ironport.com - for X-Series appliances/ESA
  • m.tunnels.ironport.com - for M-Series appliances/SMA
  • s.tunnels.ironport.com - for S-Series appliances/WSA 

ご了承ください。

参考:

Troubleshooting TechNotes

Content Security Techsupport Tunnel FAQ

Yoshinori Kimura
Cisco Employee
Cisco Employee
‎2016-10-20 04:11 PM

AsyncOSの更新に伴い、暫定パスワードの指定の際に以下のように自動生成する(1)かユーザが指定する(2)かの選択を行う変更がされています。

[]> tunnel

A random seed string is required for this operation

1. Generate a random string to initialize secure communication (recommended)
2. Enter a random string

[1]>

"1"の自動生成を選択したら設定完了時に "Please provide the string:" の表示の後に

自動生成された暫定パスワードの文字列が表示されますので、サポートエンジニアにはこれを

暫定パスワードとしてシリアル番号と共にお知らせください。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents