El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo extraer las listas de control de acceso (ACL), en formato de valores separados por comas (CSV), de un dispositivo administrado por Cisco Security Manager (CSM) a través del método de la API CSM.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Product Name: L-CSMPR-API Product Description: L-CSMPR-API : Cisco Security Manager Pro - License to enable API Access
La aplicación cliente CSM debe estar cerrada. Si una aplicación cliente CSM está abierta, debe ser creada por un usuario diferente del que utiliza el método API. De lo contrario, la API devuelve un error. Para obtener requisitos previos adicionales para utilizar la función API, puede utilizar la siguiente guía. Prerrequisitos de API
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Cisco Security Manager (CSM) cuenta con algunas funcionalidades para la configuración de dispositivos administrados que deben implementarse mediante API.
Una de estas opciones de configuración es el método para extraer una lista de la lista de control de acceso (ACL) configurada en cada dispositivo administrado por CSM. El uso de la API CSM es la única forma de cumplir este requisito hasta el momento.
Para estos fines, Postman se utiliza como cliente API y CSM versión 4.19 SP1, ASA 5515 versión 9.8(4).
La API de CSM es una función con licencia. Puede comprobar que el CSM tiene una licencia de API. En el cliente de CSM, vaya a Herramientas > Administración del administrador de seguridad > Página de licencias para confirmar que ya tiene una licencia instalada.
Si no se ha aplicado ninguna licencia de API pero ya tiene el archivo .lic para instalar la licencia, haga clic en el botón Install a License (Instalar una licencia), debe almacenar el archivo de licencia en el mismo disco en el que se encuentra el servidor CSM.
Para instalar una licencia de Cisco Security Manager más reciente, siga estos pasos:
Paso 1. Guarde el archivo de licencia adjunto (.lic) del correo electrónico que recibió en el sistema de archivos.
Paso 2. Copie el archivo de licencia guardado en una ubicación conocida del sistema de archivos del servidor de Cisco Security Manager.
Paso 3. Inicie el cliente de Cisco Security Manager.
Paso 4. Vaya a Herramientas->Administración del Administrador de seguridad...
Paso 5. En la ventana Cisco Security Manager - Administration, seleccione Licensing
Paso 6. Haga clic en el botón Install a License.
Paso 7. En el cuadro de diálogo Install License, seleccione el botón Browse.
Paso 8. Desplácese hasta el archivo de licencia guardado y selecciónelo en el sistema de archivos del servidor de Cisco Security Manager y pulse el botón Aceptar.
Paso 9. En el cuadro de diálogo Install License, haga clic en el botón OK.
Paso 10. Confirme la información de Resumen de licencia que se muestra y haga clic en el botón Cerrar.
La licencia API solo se puede aplicar en un servidor con licencia para CSM Professional Edition. La licencia no se puede aplicar a CSM que ejecute una edición Standard de la licencia. Requisitos de licencia de API
Configuración de cliente de API
Si utiliza Postman hay algunas configuraciones que necesita configurar, depende de cada cliente API pero debe ser similar.
Configuración de CSM
Debe configurar en el cliente API las dos llamadas siguientes:
1. Método de conexión
2. Obtener valores de ACL
Para referencia a través del proceso:
Detalles de acceso a CSM utilizados en este laboratorio:
Nombre de host CSM (dirección IP): 192.168.66.116. En la API utilizamos el nombre de host en la URL.
Usuario: admin
Contraseña Admin123
Se debe llamar a este método antes que a cualquier otro método llamado en otros servicios.
Guía de la API CSM: Método Iniciar sesión
Petición
1. Método HTTP: POST
2. URL: https://<hostname>/nbi/login
3. Cuerpo:
1.0
123
admin
Admin123
true
https://192.168.66.116/nbi/login
Where:
Nombre de usuario: El nombre de usuario del cliente CSM asociado con la sesión
Contraseña La contraseña del cliente CSM asociada con la sesión.
idDeSolicitud: Este atributo identifica de forma única una solicitud realizada por el cliente; este valor es repetido por el servidor CSM en la respuesta asociada. Se puede establecer en cualquier cosa que el usuario desee utilizar como identificador.
latidoSolicitado: Este atributo puede definirse opcionalmente. Si el atributo se establece en true, el cliente CSM recibe una devolución de llamada de latido del servidor CSM. El servidor intenta hacer ping al cliente con una frecuencia cercana a (tiempo de espera de inactividad) / 2 minutos. Si el cliente no responde al latido, la API reintenta el latido durante el siguiente intervalo. Si el latido es correcto, se restablece el tiempo de espera de inactividad de la sesión.
callbackUrl: La URL en la que el servidor CSM realiza la devolución de llamada. Esto debe especificarse si heartbeatRequested es true. Solo se permiten URL de devolución de llamada basadas en HTTPS
4. Envío
Seleccione la opción sin procesar para ver como en este ejemplo.
Respuesta
La API de inicio de sesión valida las credenciales del usuario y devuelve un token de sesión como cookie segura. El valor de sesión se almacena bajo la clave asCookie, debe guardar este valor asCookie.
Método execDeviceReadOnlyCLICmds. El conjunto de comandos que puede ejecutar este método son comandos de sólo lectura, como estadísticas y comandos de supervisión, que proporcionan información adicional sobre el funcionamiento de un dispositivo concreto.
Detalles del método de la guía del usuario de la API CSM
Petición
1. Método HTTP: POST
2. URL: https://hostname/nbi/utilservice/execDeviceReadOnlyCLICmds
3. Encabezado HTTP: Cookie devuelta por el método de inicio de sesión que identifica la sesión de autenticación.
Ingrese comoCookie valor obtenido previamente de Login de Método.
Clave: Introducir "como cookie"
Valor: Valor de entrada obtenido.
Haga clic en la casilla de verificación para activarla.
4. Cuerpo:
1.0
123
192.168.66.1
show
access-list
Nota: El cuerpo XML anterior se puede utilizar para ejecutar cualquier comando "show", por ejemplo: "show run all", "show run object", "show run nat", etc.
El elemento XML "<deviceReadOnlyCLICmd>" indica que el comando especificado en "<cmd>" y "<argument>" DEBE ser de sólo lectura.
Where:
IP del dispositivo: La dirección IP del dispositivo con la que se debe ejecutar el comando.
cmd: Comando fijo "show". El regex permite un caso mixto [sS][hH][oO][wW]
argumento: Argumentos del comando show. Como "run" para mostrar la configuración en ejecución del dispositivo o "access-list" para mostrar los detalles de la lista de acceso.
5. Envío
Respuesta
Tiene la opción de Guardar respuesta como archivo. Vaya a Guardar respuesta > Guardar en un archivo. A continuación, seleccione la ubicación del archivo y guárdelo como un tipo .csv.
Entonces debe ser capaz de abrir este archivo .csv con la aplicación de Excel, por ejemplo. Desde el tipo de archivo .csv, puede guardar la salida como otros tipos de archivo, como PDF, TXT, etc.
Posibles respuestas ante fallos mediante la API.
1. No hay ninguna licencia de API instalada.
Causa: Licencia de API caducada, no instalada o no habilitada.
Posible solución: Verifique la fecha de vencimiento de la licencia, en la página Herramientas > Administración del Administrador de seguridad > Licencias
Verifique que la función API esté habilitada en Herramientas > Administración del Administrador de seguridad > API
Confirme la configuración de la sección Instalación/Verificación de Licencia de CSM API que se encuentra arriba de esta guía.
2. El uso de la dirección IP de CSM para el inicio de sesión de la API es incorrecto.
Causa: La dirección IP del servidor CSM es incorrecta en la URL de la llamada API.
Posible solución: Verifique en la URL del cliente API que el nombre de host sea la dirección IP correcta del servidor CSM.
URL: https://<hostname>/nbi/login
3. Dirección IP de ASA incorrecta.
Causa: La dirección IP definida en el cuerpo entre las etiquetas <deviceIP></deviceIP> no debe ser la correcta.
Posible solución: Confirme que la dirección IP del dispositivo correcto está definida dentro de la sintaxis del cuerpo.
4. No hay conexión con el firewall.
Causa: El dispositivo no tiene conexión con el CSM
Posible solución: Ejecute una prueba de conectividad desde el servidor CSM y solucione problemas de conectividad adicional con el dispositivo.
Para obtener más información sobre la descripción y los códigos de error, consulte la guía de especificaciones de la API de Cisco Security Manager en el siguiente enlace.