إزالة أجهزة شبكة ISE باستخدام واجهة برمجة تطبيقات ERS
المقدمة
يصف هذا المستند عملية حذف أجهزة الوصول إلى الشبكة (NADs) على ISE عبر واجهة برمجة تطبيقات ERS باستخدام PostMan كعميل REST.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- ISE (محرك خدمات الهوية)
- ERS (خدمات الراحة الخارجية)
- راحة العملاء مثل Postman، راحة، أرق، وهكذا.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- حزمة تصحيح Cisco ISE (Identity Services Engine) 3.1 6
- Postman REST Client الإصدار 10.16
ملاحظة: يكون الإجراء مماثلا أو متطابقا مع إصدارات ISE الأخرى وعملاء REST. يمكنك إستخدام هذه الخطوات على جميع إصدارات برامج 2.x و 3.x ISE ما لم ينص على خلاف ذلك.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تمكين ERS (المنفذ 9060)
واجهات برمجة تطبيقات ERS هي واجهات برمجة تطبيقات REST الخاصة ب HTTPS فقط التي تعمل عبر المنفذ 443 والمنفذ 9060. يتم إغلاق المنفذ 9060 بشكل افتراضي، لذلك يلزم فتحه أولا. يتم تقديم مهلة من الخادم إذا لم يقم العملاء الذين يحاولون الوصول إلى هذا المنفذ بتمكين ERS أولا. لذلك، فإن المتطلب الأول هو تمكين ERS من واجهة مستخدم إدارة Cisco ISE.
انتقل إلى إدارة > إعدادات > إعدادات واجهة برمجة التطبيقات وقم بتمكين زر تبديل ERS (قراءة/كتابة).
ملاحظة: تدعم واجهات برمجة التطبيقات (API) لنظام ERS TLS 1.1 و TLS 1.2. لا تدعم واجهات برمجة التطبيقات (APIs) TLS 1.0 بغض النظر عن تمكين TLS 1.0 في نافذة إعدادات الأمان من واجهة المستخدم الرسومية (GUI) Cisco ISE (الإدارة > النظام > الإعدادات > إعدادات الأمان). يرتبط تمكين TLS 1.0 في نافذة إعدادات التأمين ببروتوكول EAP فقط ولا يؤثر على واجهات ERS APIs.
ملاحظة: عمليات الحذف المجمع غير معتمدة من قبل ISE. ويجب إجراء الحذف مرة واحدة في كل مرة.
Create ERS admin
قم بإنشاء مسؤول Cisco ISE، وقم بتعيين كلمة مرور، ثم قم بإضافة مستخدم إلى مجموعة الإدارة كمسؤول ERS. يمكنك ترك بقية التكوين فارغة.
إعداد ساعي البريد
قم بتنزيل الإصدار المتوفر عبر الإنترنت من Postman أو إستخدامه .
- قم بإنشاء مستخدم وإنشاء مساحة عمل بالنقر فوق إنشاء مساحة عمل ضمن علامة التبويب مساحات العمل.
2. حدد مساحة عمل فارغة وقم بتعيين اسم لمساحة العمل. يمكنك إضافة وصف وجعله عاما. لهذا المثال، يتم تحديد شخصي.
بمجرد إنشاء مساحة العمل، يمكنك الآن تكوين مكالمات API الخاصة بنا.
الحصول على اسم ومعرف NAD
قبل أن تبدأ في حذف NADs يجب أن تعرف أولا اسم أو معرف NAD. يمكن الحصول على اسم NAD بسهولة من قائمة NAD الموجودة على ISE، ولكن يمكن الحصول على المعرف فقط من مكالمة GET API. لا ترجع مكالمة API نفسها معرف NAD فقط بل ترجع أيضا الاسم وكذلك الوصف إذا تم إضافة أي معرف أثناء تكوين NAD.
لتكوين مكالمة GET، قم بالوصول أولا إلى ISE ERS SDK (مجموعة أدوات تطوير البرامج). تقوم هذه الأداة بتجميع القائمة الكاملة لمكالمات API ISE التي يمكن تنفيذها:
- انتقل إلى https://{ise-ip}/ers/sdk
- تسجيل الدخول باستخدام بيانات اعتماد مسؤول ISE.
- قم الآن بتوسيع وثائق واجهة برمجة التطبيقات
- قم بالتمرير لأسفل حتى تجد جهاز الشبكة وانقر عليه.
- تحت هذا الخيار يمكنك الآن العثور على جميع العمليات المتاحة التي يمكنك تنفيذها لأجهزة الشبكة على ISE. تحديد الحصول على الكل
6. يمكنك الآن الاطلاع على التكوين المطلوب لتنفيذ إستدعاء واجهة برمجة التطبيقات (API) على أي عميل REST بالإضافة إلى مثال إستجابة متوقع.
7. عد إلى Postman، قم بتكوين المصادقة الأساسية ل ISE. تحت علامة التبويب التخويل، حدد المصادقة الأساسية كنوع المصادقة وأضفت مسوغات مستخدم ISE ERS التي تم إنشاؤها مسبقا على ISE.
ملاحظة: تظهر كلمة المرور كنص واضح ما لم يتم تكوين متغيرات على ساعي البريد
8. انقل إلى علامة التبويب الرؤوس وقم بتكوين الرؤوس المطلوبة لاستدعاء API كما هو موضح في SDK. على سبيل المثال، يتم إستخدام JSON ولكن يمكن إستخدام xml أيضا. على سبيل المثال، يجب أن يبدو تكوين الرأس كما يلي:
9. قم بإجراء المكالمة GET. حدد GET كطريقة. الصق https://{ISE-ip}/ers/config/networkdevice في الحقل وانقر فوق إرسال. إذا تم تكوين كل شيء بشكل صحيح، يجب أن ترى رسالة 200 OK والنتيجة.
يمكن حذف Testnad1 وTestnad2 باستخدام مكالمتين حذف مختلفتين.
حذف NAD حسب المعرف
احذف Testnad1 باستخدام المعرف الذي تم تجميعه من مكالمة GET.
1. في SDK ضمن علامة التبويب جهاز الشبكة، حدد حذف. كما يظهر من قبل هنا، الرؤوس المطلوبة لإجراء المكالمة بالإضافة إلى الاستجابة المتوقعة
2.نظرا لأن الرؤوس مماثلة لاستدعاء GET وأنك تقوم بتنفيذ إستدعاء DELETE على نفس ISE، قم بمضاعفة الاستدعاء السابق وقم بتغيير المتغيرات المطلوبة. في النهاية، يجب أن يبدو تكوين الرأس كما يلي:
3. الآن، احذف TESTNAD1. حدد حذف كطريقة. الصق https://{ISE-ip}/ers/config/networkdevice/{id} في الحقل، واستبدل {id} بالمعرف الفعلي ل NAD الذي تمت مشاهدته من مكالمة GET، وانقر فوق إرسال. إذا تم تكوين كل شيء بشكل صحيح، يجب أن ترى رسالة 204 No Content والنتيجة فارغة.
4. تأكد مما إذا كان قد تم حذف NAD من خلال إجراء مكالمة GET مرة أخرى أو من خلال التحقق من قائمة ISE NAD. لاحظ أن TESTNAD1 لم يعد موجودا.
حذف NAD بالاسم
احذف TESTNAD2 باستخدام الاسم الذي تم تجميعه من مكالمة GET أو من قائمة NAD الخاصة بواجهة المستخدم الرسومية (ISE).
- في SDK تحت علامة التبويب جهاز الشبكة، حدد حذف بالاسم. كما يظهر من قبل، الرؤوس المطلوبة لإجراء المكالمة بالإضافة إلى الاستجابة المتوقعة.
2. بما أن الرؤوس مماثلة لاستدعاء GET وأنك تقوم بتنفيذ إستدعاء DELETE على نفس ISE، قم بمضاعفة الاستدعاء السابق وقم بتغيير المتغيرات المطلوبة. في النهاية، يجب أن يبدو تكوين الرأس كما يلي:
3. احذف TESTNAD2. حدد حذف كطريقة. الصق https://{ISE-ip}/ers/config/networkDevice/name/{name} في الحقل، واستبدل {name} بالاسم الفعلي ل NAD الذي تمت مشاهدته من مكالمة GET أو من واجهة المستخدم الرسومية (ISE)، وانقر فوق Send. إذا تم تكوين كل شيء بشكل صحيح، يجب أن ترى رسالة 204 No Content والنتيجة فارغة.
4. تأكد مما إذا كان قد تم حذف NAD من خلال إجراء مكالمة GET مرة أخرى أو من خلال التحقق من قائمة ISE NAD. لاحظ أن TESTNAD2 لم يعد موجودا.
التحقق من الصحة
إذا كنت قادرا على الوصول إلى صفحة واجهة المستخدم الرسومية (GUI) لخدمة API، على سبيل المثال، https://{iseip}:{port}/api/swagger-ui/index.html أو https://{iseip}:9060/ers/sdk، فهذا يعني أن خدمة API تعمل كما هو متوقع.
استكشاف الأخطاء وإصلاحها
- وتتم مراجعة جميع عمليات REST ويتم تسجيل السجلات في سجلات النظام.
- لاستكشاف المشاكل المتعلقة بواجهات برمجة التطبيقات المفتوحة وإصلاحها، قم بتعيين مستوى السجل لمكون apiservice إلى debug في نافذة تكوين سجل تصحيح الأخطاء.
- لاستكشاف المشاكل المتعلقة بواجهات برمجة تطبيقات ERS وإصلاحها، قم بتعيين مستوى السجل لمكون ers على تصحيح الأخطاء في نافذة تكوين سجل تصحيح الأخطاء. لعرض هذا الإطار، انتقل إلى واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة واختر عمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل الأخطاء.
- يمكنك تنزيل السجلات من نافذة تنزيل السجلات. لعرض هذا الإطار، انتقل إلى واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة واختر عمليات > أستكشاف الأخطاء وإصلاحها > سجلات التنزيل.
- يمكنك إختيار تنزيل إما حزمة دعم من علامة التبويب حزمة الدعم بالنقر فوق الزر تنزيل ضمن علامة التبويب، أو تنزيل سجلات تصحيح الأخطاء خدمة API من علامة التبويب تصحيح الأخطاء" بالنقر فوق قيمة ملف السجل لسجل تصحيح أخطاء خدمة API.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
28-Sep-2023 |
الإصدار الأولي |
التعليقات