訪問您的Cloud Email Security(CES)解決方案的命令列介面(CLI)

簡介

本文檔介紹如何在Windows或Linux/macOS平台上利用Secure Shell(SSH)訪問CES裝置的CLI。

作者：Dennis McCabe Jr，思科TAC工程師。

背景資訊

要訪問CES郵件安全裝置(ESA)或安全管理裝置(SMA)的CLI，需要完成兩個階段，下面將詳細討論這兩個階段。

1. 生成SSH金鑰對
2. 配置SSH客戶端

注意：以下說明應涵蓋在野外使用的大部分作業系統；但是，如果您使用的內容未列出或您仍需要幫助，請聯絡Cisco TAC，我們將盡最大努力提供具體說明。這些只是可用於完成此任務的可用工具和客戶端的一個小片段。 

定義

請熟悉本文將要使用的一些術語。 

代理伺服器

這些是CES SSH代理伺服器，用於啟動與CES例項的SSH連線。您需要使用特定於裝置所在區域的代理伺服器。例如，如果您的登入主機名是esa1.test.iphmx.com，則您將使用US區域中的iphmx.com代理伺服器之一。 

• 美聯社(ap.iphmx.com)
  • f15-ssh.ap.iphmx.com
  • f16-ssh.ap.iphmx.com
• AWS(r1.ces.cisco.com)
  • p3-ssh.r1.ces.cisco.com
  • p4-ssh.r1.ces.cisco.com
• CA(ca.iphmx.com)
  
  • f13-ssh.ca.iphmx.com
  • f14-ssh.ca.iphmx.com
• 歐盟(c3s2.iphmx.com)
  • f10-ssh.c3s2.iphmx.com
  • f11-ssh.c3s2.iphmx.com
• 歐盟(eu.iphmx.com)
  • f17-ssh.eu.iphmx.com
  • f18-ssh.eu.iphmx.com
• 美國(iphmx.com)
  • f4-ssh.iphmx.com
  • f5-ssh.iphmx.com

登入主機名

這是CES ESA或SMA的非代理主機名，將以esa1或sma1之類的名稱開頭，當您登入到Web使用者介面(WUI)時，可以在網頁的右上角找到該名稱。 格式應如下所示：esa[1-20].<allocation>.<datacenter>.com或sma[1-20].<allocation>.<datacenter>.com。

生成SSH金鑰對

為了開始訪問您的CES裝置，您需要做的第一件事是生成一個私有/公共SSH金鑰對，然後向Cisco TAC提供公共金鑰。Cisco TAC匯入您的公鑰後，您可以繼續下一步。請勿共用您的私鑰。

對於以下任一步驟，金鑰類型應為RSA，標準位長為2048。

對於Windows:

可以使用PuTTYgen或類似工具來生成金鑰對。如果您使用Windows Subsystem for Linux(WSL)，也可以遵循以下說明。 

對於Linux/macOS:

您可以在新的終端視窗中運行ssh-keygen以建立金鑰對。

範例：  

ssh-keygen -t rsa -b 2048 -f ~/.ssh/mykey 

其中：

ssh-keygen -t 
     
     
     
     
       -b 
      
        -f 
        
       
     

一旦建立了SSH金鑰對，請將您的公鑰提供給Cisco TAC進行匯入，然後繼續客戶端配置。不要共用您的私鑰。

配置SSH客戶端

注意：用於CLI訪問的SSH連線不是直接連線到CES裝置，而是通過SSH隧道通過直接連線到我們的SSH代理的本地主機進行轉發。連線的第一部分將連線到我們的一個代理伺服器，第二部分將連線到您的本地主機上的SSH隧道轉發埠。 

對於Windows:

我們將使用PuTTY作為示例，因此請注意，如果使用其他客戶端，可能需要略微修改步驟。此外，請確保您正在使用的任何客戶端都已更新到最新可用版本。 

Windows — 步驟1 — 連線到SSH代理並開啟轉發埠

1. 在hostname中，輸入適用於CES分配的代理伺服器。 
2. 展開Connection，按一下Data，然後輸入dh-user作為自動登入使用者名稱。
3. 在Connection仍然展開的情況下，按一下SSH並選中以啟用Don't start a shell or command all。
4. 展開SSH，按一下Auth，然後瀏覽到您新建立的私鑰。 
5. 在SSH仍然展開的情況下，按一下Tunnels，為local forwarding提供源埠（裝置上的任何可用埠），輸入CES裝置的login hostname（不是以dh開頭的主機名），然後按一下Add。
   1. 如果您想新增多個裝置(即：esa1、esa2和sma1)，您可以新增其他源埠和主機名。然後，啟動此會話時，將轉發所有新增的埠。
6. 完成上述步驟後，請返回到session類別，然後命名並保存您的會話。 

Windows — 步驟2 — 連線到CES裝置的CLI

1. 開啟並連線到您剛剛建立的會話。
2. 在保持SSH代理伺服器會話處於開啟狀態的同時，通過按一下右鍵視窗並選擇New Session開啟新的PuTTY會話，輸入127.0.0.1作為IP地址，輸入source port以前在步驟5中使用，然後按一下Open。
3. 按一下Open後，系統將提示您輸入您的CES憑證，然後您應有權訪問CLI。（這些憑證將與用於訪問WUI的憑證相同）

對於Linux/macOS:

Linux/macOS  — 步驟1 — 連線到SSH代理和開放轉發埠

1. 在新終端視窗中，輸入以下命令：

ssh -i ~/.ssh/id_rsa -l dh-user -N -f f4-ssh.iphmx.com -L 2200:esa1.test.iphmx.com:22

其中： 

ssh -i 
     
     
     
     
       -l dh-user -N -f 
      
        -L 
       : 
       
         :22 
        
       
     

這將開啟本地客戶端上的埠，將其轉發到給定主機和遠端端的埠。 

Linux/macOS — 步驟2 — 連線到CES裝置的CLI

1. 在相同或新的終端視窗中，輸入以下命令。
   1. 輸入後，系統將提示您輸入您的CES密碼，然後您應該能夠訪問CLI。（這些憑據與訪問WUI所使用的憑據相同）

ssh dmccabej@127.0.0.1 -p 2200

其中：

ssh 
     
     
     
     
       @127.0.0.1 -p