Extraer ACL de CSM en formato CSV a través del método API

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (760.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de enero de 2021
ID del documento:216550

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo extraer las listas de control de acceso (ACL), en formato de valores separados por comas (CSV), de un dispositivo administrado por Cisco Security Manager (CSM) a través del método de la API CSM.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Cisco Security Manager (CSM)
    • API CSM
    • Conocimientos básicos de API

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Servidor CSM
    • Licencia de API CSM 
      Product Name: L-CSMPR-API
Product Description: L-CSMPR-API : Cisco Security Manager Pro - License to enable API Access
    • Dispositivo de seguridad adaptable (ASA) gestionado por CSM
    • Un cliente API. Puede utilizar cURL, Python o Postman. Este artículo demuestra todo el proceso con Postman.

      La aplicación cliente CSM debe estar cerrada. Si una aplicación cliente CSM está abierta, debe ser creada por un usuario diferente del que utiliza el método API. De lo contrario, la API devuelve un error. Para obtener requisitos previos adicionales para utilizar la función API, puede utilizar la siguiente guía. Prerrequisitos de API

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Cisco Security Manager (CSM) cuenta con algunas funcionalidades para la configuración de dispositivos administrados que deben implementarse mediante API.

    Una de estas opciones de configuración es el método para extraer una lista de la lista de control de acceso (ACL) configurada en cada dispositivo administrado por CSM. El uso de la API CSM es la única forma de cumplir este requisito hasta el momento.

    Para estos fines, Postman se utiliza como cliente API y CSM versión 4.19 SP1, ASA 5515 versión 9.8(4).

    Diagrama de la red

    Instalación/verificación de la licencia de la API CSM

    La API de CSM es una función con licencia. Puede comprobar que el CSM tiene una licencia de API. En el cliente de CSM, vaya a Herramientas > Administración del administrador de seguridad > Página de licencias para confirmar que ya tiene una licencia instalada.

    Si no se ha aplicado ninguna licencia de API pero ya tiene el archivo .lic para instalar la licencia, haga clic en el botón Install a License (Instalar una licencia), debe almacenar el archivo de licencia en el mismo disco en el que se encuentra el servidor CSM.

    Para instalar una licencia de Cisco Security Manager más reciente, siga estos pasos:

    Paso 1. Guarde el archivo de licencia adjunto (.lic) del correo electrónico que recibió en el sistema de archivos.
    Paso 2. Copie el archivo de licencia guardado en una ubicación conocida del sistema de archivos del servidor de Cisco Security Manager.
    Paso 3. Inicie el cliente de Cisco Security Manager.
    Paso 4. Vaya a Herramientas->Administración del Administrador de seguridad...
    Paso 5. En la ventana Cisco Security Manager - Administration, seleccione Licensing
    Paso 6. Haga clic en el botón Install a License.
    Paso 7. En el cuadro de diálogo Install License, seleccione el botón Browse.
    Paso 8. Desplácese hasta el archivo de licencia guardado y selecciónelo en el sistema de archivos del servidor de Cisco Security Manager y pulse el botón Aceptar.
    Paso 9. En el cuadro de diálogo Install License, haga clic en el botón OK.
    Paso 10. Confirme la información de Resumen de licencia que se muestra y haga clic en el botón Cerrar.

    La licencia API solo se puede aplicar en un servidor con licencia para CSM Professional Edition. La licencia no se puede aplicar a CSM que ejecute una edición Standard de la licencia. Requisitos de licencia de API

    Configuration Steps

    Configuración de cliente de API

    Si utiliza Postman hay algunas configuraciones que necesita configurar, depende de cada cliente API pero debe ser similar.

    • Proxy deshabilitado
    • Verificación de SSL: DESACTIVADA

    Configuración de CSM

    • API habilitada. En Herramientas > Administración del Administrador de seguridad > API

    Configuración de API

    Uso de la API CSM

    Debe configurar en el cliente API las dos llamadas siguientes:

    1. Método de conexión

    2. Obtener valores de ACL

    Para referencia a través del proceso:

    Detalles de acceso a CSM utilizados en este laboratorio:

    Nombre de host CSM (dirección IP): 192.168.66.116. En la API utilizamos el nombre de host en la URL.

                Usuario: admin

                Contraseña Admin123

    Método de inicio de sesión

    Se debe llamar a este método antes que a cualquier otro método llamado en otros servicios.

    Guía de la API CSM: Método Iniciar sesión

    Petición

    1. Método HTTP: POST

    2. URL: https://<hostname>/nbi/login

    3. Cuerpo:

    
1.0
123
admin
Admin123
true
https://192.168.66.116/nbi/login

    Where:

    Nombre de usuario: El nombre de usuario del cliente CSM asociado con la sesión

    Contraseña La contraseña del cliente CSM asociada con la sesión.

    idDeSolicitud: Este atributo identifica de forma única una solicitud realizada por el cliente; este valor es repetido por el servidor CSM en la respuesta asociada. Se puede establecer en cualquier cosa que el usuario desee utilizar como identificador.

    latidoSolicitado: Este atributo puede definirse opcionalmente. Si el atributo se establece en true, el cliente CSM recibe una devolución de llamada de latido del servidor CSM. El servidor intenta hacer ping al cliente con una frecuencia cercana a (tiempo de espera de inactividad) / 2 minutos. Si el cliente no responde al latido, la API reintenta el latido durante el siguiente intervalo. Si el latido es correcto, se restablece el tiempo de espera de inactividad de la sesión.

    callbackUrl: La URL en la que el servidor CSM realiza la devolución de llamada. Esto debe especificarse si heartbeatRequested es true. Solo se permiten URL de devolución de llamada basadas en HTTPS

    4. Envío

    Seleccione la opción sin procesar para ver como en este ejemplo.

    Respuesta

    La API de inicio de sesión valida las credenciales del usuario y devuelve un token de sesión como cookie segura. El valor de sesión se almacena bajo la clave asCookie, debe guardar este valor asCookie.

    Obtener reglas de ACL

    Método execDeviceReadOnlyCLICmds. El conjunto de comandos que puede ejecutar este método son comandos de sólo lectura, como estadísticas y comandos de supervisión, que proporcionan información adicional sobre el funcionamiento de un dispositivo concreto.  

    Detalles del método de la guía del usuario de la API CSM

    Petición

    1. Método HTTP: POST

    2. URL: https://hostname/nbi/utilservice/execDeviceReadOnlyCLICmds

    3. Encabezado HTTP: Cookie devuelta por el método de inicio de sesión que identifica la sesión de autenticación.

    Ingrese comoCookie valor obtenido previamente de Login de Método.

    Clave: Introducir "como cookie"

    Valor: Valor de entrada obtenido.

    Haga clic en la casilla de verificación para activarla.

    4. Cuerpo:

    

1.0
123

192.168.66.1
show
access-list

    Nota: El cuerpo XML anterior se puede utilizar para ejecutar cualquier comando "show", por ejemplo: "show run all", "show run object", "show run nat", etc.
              El elemento XML "<deviceReadOnlyCLICmd>" indica que el comando especificado en "<cmd>" y "<argument>" DEBE ser de sólo lectura.


    Where:

    IP del dispositivo: La dirección IP del dispositivo con la que se debe ejecutar el comando.

    cmd: Comando fijo "show". El regex permite un caso mixto [sS][hH][oO][wW]

    argumento: Argumentos del comando show. Como "run" para mostrar la configuración en ejecución del dispositivo o "access-list" para mostrar los detalles de la lista de acceso.

    5. Envío

    Respuesta

    Verificación

    Tiene la opción de Guardar respuesta como archivo. Vaya a Guardar respuesta > Guardar en un archivo. A continuación, seleccione la ubicación del archivo y guárdelo como un tipo .csv.

    Entonces debe ser capaz de abrir este archivo .csv con la aplicación de Excel, por ejemplo. Desde el tipo de archivo .csv, puede guardar la salida como otros tipos de archivo, como PDF, TXT, etc.    

    Troubleshoot

    Posibles respuestas ante fallos mediante la API.

    1. No hay ninguna licencia de API instalada.

    Causa: Licencia de API caducada, no instalada o no habilitada.

    Posible solución: Verifique la fecha de vencimiento de la licencia, en la página Herramientas > Administración del Administrador de seguridad > Licencias

    Verifique que la función API esté habilitada en Herramientas > Administración del Administrador de seguridad > API

    Confirme la configuración de la sección Instalación/Verificación de Licencia de CSM API que se encuentra arriba de esta guía.

    2. El uso de la dirección IP de CSM para el inicio de sesión de la API es incorrecto.

    Causa: La dirección IP del servidor CSM es incorrecta en la URL de la llamada API.

    Posible solución: Verifique en la URL del cliente API que el nombre de host sea la dirección IP correcta del servidor CSM.

    URL: https://<hostname>/nbi/login

    3. Dirección IP de ASA incorrecta.

    Causa: La dirección IP definida en el cuerpo entre las etiquetas <deviceIP></deviceIP> no debe ser la correcta.

    Posible solución: Confirme que la dirección IP del dispositivo correcto está definida dentro de la sintaxis del cuerpo.

    4. No hay conexión con el firewall.

    Causa: El dispositivo no tiene conexión con el CSM

    Posible solución: Ejecute una prueba de conectividad desde el servidor CSM y solucione problemas de conectividad adicional con el dispositivo.

    Para obtener más información sobre la descripción y los códigos de error, consulte la guía de especificaciones de la API de Cisco Security Manager en el siguiente enlace.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Berenice Guerra
      Cisco TAC Engineer
    • Raphael Moreno
      Cisco TAC Engineer
    • Ricardo Gutierrez
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos