De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u de toegangscontrolelijsten (ACL’s), in een CSV-indeling (Comma-Separated Values) van een apparaat dat door Cisco Security Manager (CSM) wordt beheerd door de CSM API-methode.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Product Name: L-CSMPR-API Product Description: L-CSMPR-API : Cisco Security Manager Pro - License to enable API Access
De CSM-clienttoepassing moet worden gesloten. Als een CSM client-toepassing geopend is, moet deze geopend zijn door een andere gebruiker dan de gebruiker die de API-methode gebruikt. Anders geeft API een fout terug. Voor extra vereisten om de API functie te gebruiken kunt u de volgende gids gebruiken. API-voorwaarden
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Cisco Security Manager (CSM) heeft bepaalde functies voor de configuratie van beheerde apparaten die via API moeten worden geïmplementeerd.
Een van deze configuratieopties is de methode om een lijst van de toegangscontrolelijst (ACL) te halen die in elk apparaat dat door CSM wordt beheerd. Het gebruik van CSM API is tot nu toe de enige manier om deze eis te verwezenlijken.
Voor deze doeleinden wordt Postman gebruikt als API-client en CSM versie 4.19 SP1, ASA 5515 versie 9.8(4).
CSM API is een gelicentieerde functie, u kunt controleren of CSM een API-licentie heeft, in de CSM-client navigeer naar Gereedschappen > Beveiligingsbeheer > Licentiepagina om te bevestigen dat u al een licentie hebt geïnstalleerd.
Als er geen API-licentie is toegepast maar u al het .lic-bestand hebt dat u uw licentie kunt installeren, klikt u op de knop Installeer een licentie. U moet het licentibestand dan opslaan op de dezelfde schijf waar de CSM-server zich bevindt.
U kunt een nieuwe Cisco Security Manager-licentie als volgt installeren:
Stap 1. Sla het aangehechte licentieserverbestand (.lic) op uit de e-mail die u naar uw bestandssysteem hebt ontvangen.
Stap 2. Kopieer het opgeslagen licentieserverbestand naar een bekende locatie in het Cisco Security Manager-serversysteem.
Stap 3. Start de Cisco Security Manager-client.
Stap 4. Navigeer naar Gereedschappen ->Security Manager-beheer...
Stap 5. Selecteer Licentie in het venster Cisco Security Manager - Administration in het venster
Stap 6. Klik op de knop Installeer een knop Licentie.
Stap 7. Selecteer in het dialoogvenster Installeer de knop Bladeren.
Stap 8. Navigeer naar het opgeslagen licentieserverbestand in Cisco Security Manager en selecteer de knop OK.
Stap 9. Klik in het dialoogvenster Installeer Licentie op de knop OK.
Stap 10. Bevestig de weergegeven informatie over de Licentie en klik op de knop Sluiten.
De API-licentie kan alleen worden toegepast op een server die onder licentie is geplaatst voor de CSM professionele editie. De licentie kan niet worden toegepast op CSM via een standaardeditie van de licentie. API-licentievereisten
API-clientinstellingen
Als u Postman gebruikt zijn er een aantal instellingen die u moet configureren, hangt het af van elke API-client maar moet deze vergelijkbaar zijn.
CSM-instellingen
U dient de volgende twee oproepen in de API-client te configureren:
1. Aanmelden
2. Verkrijg ACL-waarden
Voor referentie door middel van het proces:
CSM toegangsgegevens in dit laboratorium:
CSM Hostname (IP-adres): 192.168.66.116. In de API gebruiken we de hostname in de URL.
Gebruiker: besturen
Wachtwoord: Admin123
Deze methode moet worden gebruikt vóór elke andere methode die op andere diensten wordt toegepast.
CSM API-gids: Methode om in te loggen
Aanvragen
1. HTTP-methode: POST
2. URL: https://<hostname>/nbi/login
3. Tekst:
1.0
123
admin
Admin123
true
https://192.168.66.116/nbi/login
Wanneer:
Username: De gebruikersnaam van de CSM-client is gekoppeld aan de sessie
Wachtwoord: Het CSM client wachtwoord dat aan de sessie is gekoppeld.
reqID: Deze eigenschap identificeert een verzoek dat door de client wordt gedaan uniek, deze waarde echoën door de CSM Server in de geassocieerde reactie. Het kan worden ingesteld op alles wat de gebruiker als identificator wil gebruiken.
hartslagVereiste: Deze eigenschap kan naar keuze worden gedefinieerd. Als de eigenschap op waar wordt ingesteld, dan ontvangt de CSM client een hartslag callback van de CSM server. De server probeert de client te pingelen met een frequentie dichtbij (inactiviteit tijd uit) / 2 minuten. Als de client niet reageert op de hartslag, dan probeert API de hartslag tijdens het volgende interval opnieuw uit. Als de hartslag succesvol is, dan wordt de sessie-inactiviteit-tijd gereset.
callbackUrl: De URL waarmee de CSM server de callback maakt. Dit moet worden gespecificeerd indien het gevraagde hartslag juist is. Alleen HTTPS gebaseerde callback URL’s zijn toegestaan
4. Verzend
respons
Login API bevestigt de gebruikersreferenties en geeft een sessiemenk terug als een veilig koekje. De waarde van de sessie wordt opgeslagen onder de asCookie-toets, u moet deze als Cookie-waarde opslaan.
Methode execdeviceReadOnlyCLICmds. De reeks opdrachten die door deze methode kunnen worden uitgevoerd, is alleen-lezen opdrachten zoals statistieken, controleopdrachten die aanvullende informatie over de werking van het specifieke apparaat bieden.
Methode details van de CSM API-gebruikersgids
Aanvragen
1. HTTP-methode: POST
2. URL: https://hostname/nbi/utilservice/execDeviceReadOnlyCLICmds
3. HTTP-header: Het cookie die wordt teruggestuurd door de inlogmethode die de authenticatiesessie identificeert.
Eerder verkregen waarde invoeren als Cookie-waarde bij methodevastlegging.
Sleutel: Voer "asCookie" in
Value: Invoerwaarde verkregen.
Klik op een selectieteken om het kinderslot in te schakelen.
4. Tekst:
1.0
123
192.168.66.1
show
access-list
Opmerking: Het XML lichaam hierboven kan gebruikt worden om elke "show" opdracht uit te voeren, bijvoorbeeld: "toon run all", "show run object", "show run nat" enz.
Het XML "<deviceReadOnlyCLICmd>"-element geeft aan dat de opdracht die gespecificeerd is in "<cmd>" en "<argument>" alleen gelezen MOET worden.
Wanneer:
apparaatIP: Het IP-adres van het apparaat waartegen de opdracht moet worden uitgevoerd.
cmd : Vaste opdracht "show". Met regex wordt gemengd geval [sS][hH][oO][wW] toegestaan
argument: De show commandoargumenten. Zoals "run" om de actieve configuratie van het apparaat te tonen of "access-list" om de details van de toegangslijst weer te geven.
5. Verzend
respons
U hebt de optie om respons als bestand op te slaan. Navigeren in om respons op te slaan > Opslaan naar een bestand. Selecteer vervolgens de bestandslocatie en bewaar het als een .csv-type.
U moet dit .csv-bestand bijvoorbeeld met Excel-toepassing kunnen openen. Van het type .csv-bestand kunt u de uitvoer opslaan als andere bestandstypen, zoals PDF, TXT, enzovoort.
Mogelijke mislukkingsreacties met API.
1. Er is geen API-licentie geïnstalleerd.
Oorzaak: API-licentie verlopen, niet geïnstalleerd of niet ingeschakeld.
Mogelijke oplossing: Controleer de verloopdatum van de licentie, onder Gereedschappen > Security Manager Administration > Licensing pagina
Controleer of de API-functie is ingeschakeld onder Gereedschappen > Security Manager Management > API
Controleer de instellingen voor het gedeelte van de installatie/verificatie van de CSM API-licentie boven in deze handleiding.
2. Slecht CSM IP-adres voor de inlognaam van API.
Oorzaak: IP-adres van de CSM Server is fout in de URL van de API-oproep.
Mogelijke oplossing: Controleer in de URL van de API client dat de hostname het juiste IP-adres van de CSM server is.
URL: https://<hostname>/nbi/login
3. Onjuist ASA IP-adres.
Oorzaak: Het IP-adres dat op het lichaam wordt gedefinieerd tussen de <deviceIP></deviceIP>-tags moet niet het juiste zijn.
Mogelijke oplossing: Bevestig dat het juiste IP-adres voor het apparaat is gedefinieerd door de Body Syntax.
4. Geen verbinding met de firewall.
Oorzaak: Het apparaat heeft geen verbinding met CSM
Mogelijke oplossing: Start een Test Connectivity van de CSM server en ontwikkel verdere connectiviteit op het apparaat.
Voor verdere foutcodes en beschrijving vind u meer details in de Cisco Security Manager API Specification Guide in de volgende link.