使用ERS API刪除ISE網路裝置
簡介
本文檔介紹使用PostMan作為REST客戶端透過ERS API刪除ISE上的網路訪問裝置(NAD)的過程。
必要條件
需求
思科建議您瞭解以下主題:
- ISE (身份服務引擎)
- ERS (外部RESTful服務)
- REST客戶包括Postman、REST、Insomnia等。
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco ISE (身份服務引擎) 3.1修補6
- Postman REST客戶端v10.16
注意:此過程對於其他ISE版本和REST客戶端相似或相同。除非另有說明,否則您可以在所有2.x和3.x ISE軟體版本上使用這些步驟。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
啟用ERS (埠9060)
ERS API是僅適用於HTTPS的REST API,透過埠443和埠9060運行。埠9060預設關閉,因此需要首先打開。如果嘗試存取此連線埠的從屬端未先啟用ERS,就會出現伺服器逾時。因此,第一個要求是從思科ISE管理UI啟用ERS。
導航到管理>設定> API設定並啟用ERS(讀/寫)切換按鈕。
註:ERS API支援TLS 1.1和TLS 1.2。ERS API不支援TLS 1.0,無論在思科ISE GUI的「安全設定」(Security Settings)窗口(管理(Administration) >系統(System) >設定(Settings) >安全設定(Security Settings))中啟用TLS 1.0。在「保全性設定」視窗中啟用TLS 1.0僅與EAP通訊協定有關,且不會影響ERS API。
注意:ISE不支援批次刪除操作。必須一次執行一個需求刪除。
建立ERS管理員
建立思科ISE管理員,分配密碼,然後將使用者作為ERS管理員增加到管理員組。您可以將配置的其餘部分留空。
設定Postman
下載或使用線上版Postman 。
- 按一下「工作區」標簽底下的「建立工作區」來建立使用者和建立工作區。
2. 選擇空白工作區並為工作區分配名稱。您可以增加描述並將其公之於眾。本示例選擇了Personal。
建立工作區後,您現在可以配置我們的API呼叫。
獲取NAD名稱和ID
在開始刪除NAD之前,您必須先知道NAD的名稱或ID。可以從ISE上的NAD清單輕鬆獲取NAD名稱,但ID只能透過GET API呼叫獲取。同一API呼叫不僅返回NAD ID,還返回名稱和說明(如果在NAD配置過程中增加了NAD ID)。
要配置GET呼叫,請首先訪問ISE ERS SDK(軟體開發工具包)。此工具編譯ISE可以執行的所有API呼叫清單:
- 導航到https://{ise-ip}/ers/sdk
- 使用您的ISE管理員憑證登入。
- 現在展開API文檔
- 向下滾動直至找到Network Device,然後按一下它。
- 在此選項下,您現在可找到可在ISE上為網路裝置執行的所有可用操作。選擇全部獲取
6. 現在您可以看到在任何Rest客戶端上執行API呼叫所需的配置以及預期的響應示例。
7. 返回Postman,配置基本身份驗證到ISE。在授權頁籤下,選擇基本身份驗證作為身份驗證型別,並增加以前在ISE上建立的ISE ERS使用者憑證。
注意:除非在Postman上配置了變數,否則口令顯示為明文
8. 移至標頭頁籤,並為API呼叫配置所需的標頭,如SDK中所示。本例使用JSON,但也可使用xml。對於此示例,報頭配置必須如下所示:
9. 執行GET呼叫。選擇GET作為方法。在欄位中貼上https://{ISE-ip}/ers/config/networkdevice,然後按一下傳送。如果已正確配置所有內容,則您必須看到200 Ok消息和結果。
TESTNAD1和TESTNAD2可使用2個不同的delete呼叫進行刪除。
按ID刪除NAD
使用從GET呼叫收集的ID刪除TESTNAD1。
1. 在SDK上的網路裝置頁籤下選擇刪除。如前所述,這是執行呼叫所需的報頭以及預期的響應
2. 假設報頭與GET 呼叫類似,並且您在同一ISE上執行DELETE呼叫,請重複上一個呼叫並更改所需的變數。最後,報頭配置必須如下所示:
3. 現在刪除TESTNAD1。選擇DELETE作為方法。在欄位中貼上https://{ISE-ip}/ers/config/networkdevice/{id},用GET呼叫中顯示的NAD的實際標識替換{id},然後按一下傳送。如果已正確配置所有內容,則您必須看到一條204無內容消息,並且結果為空。
4. 透過再次執行GET呼叫或透過檢查ISE NAD清單確認是否刪除了NAD。請注意,TESTNAD1不再存在。
按名稱刪除NAD
使用name(從GET呼叫或ISE GUI的NAD清單中收集)刪除TESTNAD2。
- 在SDK上的Network Device頁籤下,選擇Delete-by-Name。如前所述,這是執行呼叫所需的報頭以及預期的響應。
2. 假設報頭與GET 呼叫類似,並且您在同一ISE上執行DELETE呼叫,請重複上一個呼叫並更改所需的變數。最後,報頭配置必須如下所示:
3. 刪除TESTNAD2。選擇DELETE作為方法。在欄位中貼上https://{ISE-ip}/ers/config/networkdevice/name/{name},用GET呼叫或ISE GUI中顯示的NAD的實際名稱替換{name},然後按一下Send。如果已正確配置所有內容,則您必須看到一條204無內容消息,並且結果為空。
4. 透過再次執行GET呼叫或透過檢查ISE NAD清單確認是否刪除了NAD。 請注意,TESTNAD2不再存在。
驗證
如果能夠訪問API服務GUI頁,例如https://{iseip}:{port}/api/swagger-ui/index.html或https://{iseip}:9060/ers/sdk,則表示API服務正在按預期工作。
疑難排解
- 所有REST操作都經過稽核,並且日誌記錄在系統日誌中。
- 要排除與打開API相關的問題,請在調試日誌配置窗口中將apiservice元件的日誌級別設定為調試。
- 要排除與ERS API相關的問題,請在調試日誌配置窗口中將ers元件的日誌級別設定為調試。要檢視此窗口,請導航到思科ISE GUI,點選選單圖示並選擇操作>故障排除>調試嚮導>調試日誌配置。
- 您可以從下載日誌窗口下載日誌。要檢視此窗口,請導航到Cisco ISE GUI,點選Menu圖示並選擇Operations > Troubleshoot > Download Logs。
- 您可以選擇從Support Bundle頁籤下載支援捆綁包(透過按一下頁籤下的Download按鈕),或透過按一下api-service debug log日誌的Log File值從Debug Logs頁籤下載api-service debug logs。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Sep-2023 |
初始版本 |
意見