Einleitung
In diesem Dokument wird der Prozess zum Löschen von Netzwerkzugriffsgeräten (Network Access Devices, NADs) auf der ISE über die ERS-API mit PostMan als REST-Client beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- ISE (Identity Services Engine)
- ERS (externe RESTful-Services)
- REST-Clients wie Postman, RESTED, Insomnia usw.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
- Cisco ISE (Identity Services Engine) 3.1 Patch 6
- Postman-REST-Client v10.16
Hinweis: Das Verfahren ist für andere ISE-Versionen und REST-Clients ähnlich oder identisch. Sofern nicht anders angegeben, können Sie diese Schritte für alle ISE-Softwareversionen der Versionen 2.x und 3.x ausführen.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
ERS aktivieren (Port 9060)
ERS-APIs sind reine HTTPS-REST-APIs, die über Port 443 und Port 9060 betrieben werden. Port 9060 ist standardmäßig geschlossen, daher muss er zuerst geöffnet werden. Wenn Clients, die versuchen, auf diesen Port zuzugreifen, ERS nicht zuerst aktivieren, wird eine Zeitüberschreitung vom Server angezeigt. Daher muss ERS zuerst über die Cisco ISE-Administrations-Benutzeroberfläche aktiviert werden.
Navigieren Sie zu Administration > Settings > API Settings, und aktivieren Sie die Umschaltfläche ERS (Read/Write).
Hinweis: Die ERS-APIs unterstützen TLS 1.1 und TLS 1.2. ERS-APIs unterstützen TLS 1.0 nicht, unabhängig davon, ob TLS 1.0 im Fenster Sicherheitseinstellungen der Cisco ISE-GUI aktiviert wurde (Administration > System > Einstellungen > Sicherheitseinstellungen). Die Aktivierung von TLS 1.0 im Fenster "Security Settings" (Sicherheitseinstellungen) bezieht sich nur auf das EAP-Protokoll und hat keine Auswirkungen auf ERS APIs.
Hinweis: Massenlöschvorgänge werden von der ISE nicht unterstützt. NAD-Löschung muss einzeln durchgeführt werden.
ERS-Administrator erstellen
Erstellen Sie einen Cisco ISE-Administrator, weisen Sie ein Kennwort zu, und fügen Sie der Admin-Gruppe einen Benutzer als ERS-Administrator hinzu. Sie können den Rest der Konfiguration leer lassen.
Postbote einrichten
Downloaden oder nutzen Sie die Online-Version von Postman .
- Erstellen Sie einen Benutzer, und erstellen Sie einen Arbeitsbereich, indem Sie auf der Registerkarte Arbeitsbereiche auf Arbeitsbereich erstellen klicken.
2. Wählen Sie Leerer Arbeitsbereich und weisen Sie dem Arbeitsbereich einen Namen zu. Sie können eine Beschreibung hinzufügen und veröffentlichen. Für dieses Beispiel ist Personal ausgewählt.
Nachdem Sie den Arbeitsbereich erstellt haben, können Sie jetzt unsere API-Aufrufe konfigurieren.
NAD-Name und -ID abrufen
Bevor Sie mit dem Löschen von NADs beginnen, müssen Sie zunächst den Namen oder die ID des NAD kennen. Der NAD-Name kann leicht aus der NAD-Liste der ISE abgerufen werden, die ID ist jedoch nur über einen GET-API-Aufruf erhältlich. Derselbe API-Aufruf gibt nicht nur die NAD-ID zurück, sondern auch den Namen und die Beschreibung, falls diese während der NAD-Konfiguration hinzugefügt wurde.
Zum Konfigurieren des GET-Anrufs greifen Sie zunächst auf das ISE ERS SDK (Software Developer Kit) zu. Dieses Tool erstellt die gesamte Liste der API-Aufrufe, die die ISE ausführen kann:
- Navigieren Sie zu https://{ise-ip}/ers/sdk.
- Melden Sie sich mit Ihren ISE-Administratoranmeldeinformationen an.
- Erweitern Sie jetzt die API-Dokumentation
- Blättern Sie nach unten, bis Sie Netzwerkgerät gefunden haben, und klicken Sie darauf.
- Unter dieser Option finden Sie nun alle verfügbaren Vorgänge, die Sie für Netzwerkgeräte auf der ISE ausführen können. Alle auswählen
6. Sie können nun die Konfiguration sehen, die erforderlich ist, um den API-Aufruf für einen beliebigen Rest-Client auszuführen, sowie ein erwartetes Antwortbeispiel.
7. Zurück zu Postman, konfigurieren grundlegende Authentifizierung zu ISE. Wählen Sie auf der Registerkarte Autorisierung die Option Einfache Authentifizierung als Authentifizierungstyp aus, und fügen Sie die zuvor auf der ISE erstellten ISE ERS-Benutzeranmeldeinformationen hinzu.
Hinweis: Das Kennwort wird als Klartext angezeigt, es sei denn, die Variablen wurden auf Postman konfiguriert.
8. Wechseln Sie zur Registerkarte Headers, und konfigurieren Sie die erforderlichen Header für den API-Aufruf, wie im SDK dargestellt. In diesem Beispiel wird JSON verwendet, es kann jedoch auch xml verwendet werden. In diesem Beispiel muss die Header-Konfiguration wie folgt aussehen:
9. Führen Sie den GET-Anruf aus. Wählen Sie GET als Methode aus. Fügen Sie https://{ISE-ip}/ers/config/network device in das Feld ein, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, müssen Sie eine Meldung 200 OK und das Ergebnis sehen.
TESTNAD1 und TESTNAD2 können mit zwei verschiedenen Löschaufrufen gelöscht werden.
NAD nach ID löschen
Löschen Sie TESTNAD1 mit der ID, die Sie beim GET-Anruf gesammelt haben.
1. Wählen Sie im SDK auf der Registerkarte Netzwerkgerät die Option Löschen. Wie bereits gezeigt, sind hier die Header aufgeführt, die für den Anruf und die erwartete Antwort erforderlich sind.
2.Da die Header dem GET-Aufruf ähneln und Sie den DELETE-Aufruf auf derselben ISE durchführen, duplizieren Sie den vorherigen Aufruf und ändern die benötigten Variablen. Am Ende muss die Header-Konfiguration wie folgt aussehen:
3. Löschen Sie jetzt TESTNAD1. Wählen Sie als Methode DELETE aus. Fügen Sie https://{ISE-ip}/ers/config/network device/{id} in das Feld ein, ersetzen Sie {id} durch die tatsächliche ID der NAD, die Sie aus dem GET-Anruf sehen können, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, muss die Meldung 204 No Content (Keine Inhalte) angezeigt werden, und das Ergebnis ist leer.
4. Bestätigen Sie, ob die NAD gelöscht wurde, indem Sie den GET-Anruf erneut durchführen oder die ISE-NAD-Liste überprüfen. Beachten Sie, dass TESTNAD1 nicht mehr vorhanden ist.
NAD nach Name löschen
Löschen Sie TESTNAD2 unter Verwendung des Namens, der aus dem GET-Anruf oder der NAD-Liste der ISE-GUI erfasst wurde.
- Wählen Sie im SDK auf der Registerkarte Netzwerkgerät die Option Nach Namen löschen aus. Wie bereits gezeigt, sind hier die Header aufgeführt, die für den Anruf und die erwartete Antwort erforderlich sind.
2. Da die Header dem GET-Aufruf ähneln und Sie den DELETE-Aufruf auf derselben ISE durchführen, duplizieren Sie den vorherigen Aufruf und ändern die benötigten Variablen. Am Ende muss die Header-Konfiguration wie folgt aussehen:
3. Löschen Sie TESTNAD2. Wählen Sie als Methode DELETE aus. Fügen Sie https://{ISE-ip}/ers/config/network/device/name/{name} in das Feld ein, ersetzen Sie {name} durch den tatsächlichen NAD-Namen, der beim GET-Anruf oder in der ISE-GUI zu sehen ist, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, muss die Meldung 204 No Content (Keine Inhalte) angezeigt werden, und das Ergebnis ist leer.
4. Bestätigen Sie, ob die NAD gelöscht wurde, indem Sie den GET-Anruf erneut durchführen oder die ISE-NAD-Liste überprüfen. Beachten Sie, dass TESTNAD2 nicht mehr existiert.
Überprüfung
Wenn Sie auf die GUI-Seite des API-Diensts zugreifen können, z. B. https://{iseip}:{port}/api/swagger-ui/index.html oder https://{iseip}:9060/ers/sdk, bedeutet dies, dass der API-Dienst wie erwartet funktioniert.
Fehlerbehebung
- Alle REST-Vorgänge werden überwacht, und die Protokolle werden in den Systemprotokollen protokolliert.
- Um Probleme zu beheben, die sich auf die offenen APIs beziehen, legen Sie die Protokollstufe für die apiservice-Komponente im Fenster Konfiguration des Debug-Protokolls auf DEBUG fest.
- Um Probleme im Zusammenhang mit den ERS APIs zu beheben, legen Sie die Protokollstufe für die ers-Komponente im Fenster zur Konfiguration des Debug-Protokolls auf DEBUG fest. Um dieses Fenster anzuzeigen, navigieren Sie zur Cisco ISE-Benutzeroberfläche, klicken Sie auf das Menüsymbol und wählen Sie Vorgänge > Fehlerbehebung > Debug-Assistent > Debug-Protokollkonfiguration aus.
- Sie können die Protokolle aus dem Fenster Download Logs (Protokolle herunterladen) herunterladen. Um dieses Fenster anzuzeigen, navigieren Sie zur Cisco ISE-GUI, klicken Sie auf das Menü-Symbol, und wählen Sie Operations > Troubleshoot > Download Logs.
- Sie können entweder ein Support-Paket von der Registerkarte Support Bundle herunterladen, indem Sie auf die Schaltfläche Download unter der Registerkarte klicken, oder Sie laden die api-service-Debug-Protokolle von der Registerkarte Debug Logs herunter, indem Sie auf den Wert Log File (Protokolldatei) für das api-service-Debug-Protokoll klicken.