ACL uit CSM halen in CSV-indeling via API-methode

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (759.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 januari 2021
Document-id:216550

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de toegangscontrolelijsten (ACL), in CSV-indeling (Comma-Separated Values), van een apparaat kunt extraheren dat door Cisco Security Manager (CSM) wordt beheerd met behulp van de CSM API-methode.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Security Manager (CSM)
    • CSM API
    • API-basiskennis

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • CSM-server
    • CSM API-licentie 
      Product Name: L-CSMPR-API
Product Description: L-CSMPR-API : Cisco Security Manager Pro - License to enable API Access
    • Adaptieve security applicatie (ASA) beheerd door CSM
    • Een API-client. U kunt cURL, Python of Postman gebruiken. Dit artikel toont het hele proces met Postman aan.

      CSM-clienttoepassing moet worden gesloten. Als een CSM-clienttoepassing is geopend, moet deze worden uitgevoerd door een andere gebruiker dan de gebruiker die de API-methode gebruikt. Anders geeft API een fout terug. Voor extra voorwaarden voor het gebruik van de API-functie kunt u de volgende gids gebruiken. API-vereisten

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Cisco Security Manager (CSM) heeft bepaalde functies voor de configuratie van beheerde apparaten die via API moeten worden geïmplementeerd.

    Een van deze configuratieopties is de methode om een lijst te extraheren van de toegangscontrolelijst (ACL) die is geconfigureerd in elk apparaat dat door CSM wordt beheerd. Het gebruik van de CSM API is tot nu toe de enige manier om aan deze eis te voldoen.

    Hiervoor werd Postman gebruikt als API-client en CSM versie 4.19 SP1, ASA 5515 versie 9.8(4).

    Netwerkdiagram

    Installatie/verificatie van CSM API-licentie

    CSM API is een gelicentieerde functie. U kunt controleren of CSM een API-licentie heeft. Ga in de CSM-client naar Gereedschappen > Beveiligingsbeheer > Licentiepagina om te bevestigen dat u een licentie al hebt geïnstalleerd.

    Als er geen API-licentie wordt toegepast maar u hebt al het .lic-bestand waarmee u uw licentie kunt installeren, klikt u op de knop Licentie installeren, dan moet u het licentiebestand opslaan onder dezelfde schijf als waarin de CSM-server zich bevindt.

    Voer de volgende stappen uit om een nieuwere Cisco Security Manager-licentie te installeren:

    Stap 1. Sla het bijgevoegde licentiebestand (.lic) op uit de e-mail die u hebt ontvangen naar uw bestandssysteem.
    Stap 2. Kopieer het opgeslagen licentiebestand naar een bekende locatie op het Cisco Security Manager-serverbestandssysteem.
    Stap 3. Start de Cisco Security Manager-client.
    Stap 4. Navigeer naar Tools ->Security Manager-beheer...
    Stap 5. Selecteer in het venster Cisco Security Manager - Beheer de optie Licentie
    Stap 6. Klik op de knop Licentie installeren.
    Stap 7. Selecteer in het dialoogvenster Licentie installeren de knop Bladeren.
    Stap 8. Navigeer naar het opgeslagen licentiebestand en selecteer dit op het Cisco Security Manager-serverbestandssysteem en selecteer de knop OK.
    Stap 9. Klik in het dialoogvenster Licentie installeren op de knop OK.
    Stap 10. Bevestig de weergegeven Licentieoverzicht en klik op de sluitknop.

    De API-licentie kan alleen worden toegepast op een server die is gelicentieerd voor de CSM Professional Edition. De licentie kan niet worden toegepast op CSM waarop een Standard Edition van de licentie wordt uitgevoerd. API-licentievereisten

    Configuratiestappen

    API-clientinstellingen

    Als u Postman gebruikt zijn er enkele instellingen die u moet configureren, het hangt af van elke API-client maar moet gelijkaardig zijn.

    • Proxy uitgeschakeld
    • SSL-verificatie - OFF

    CSM-instellingen

    • Ingeschakelde API. Onder Gereedschappen > Beveiligingsbeheer > API

    API-instellingen

    Werken met CSM API

    U moet in de API-client de volgende twee oproepen configureren:

    1. Aanmeldingsmethode

    2. ACL-waarden verkrijgen

    Voor verwijzing door het proces:

    CSM-toegangsgegevens die in dit laboratorium worden gebruikt:

    CSM Hostname (IP-adres): 192.168.66.116. In de API gebruiken we de hostnaam in de URL.

                Gebruiker: beheerder

                Password (Wachtwoord): Admin123

    Inlogmethode

    Deze methode moet worden gebruikt voordat een andere methode wordt toegepast op andere diensten.

    CSM API-handleiding: Inloggen methode

    Aanvragen

    1. HTTP-methode : POST

    2. URL: https://<hostname>/nbi/login

    3. Tekst:

    
1.0
123
admin
Admin123
true
https://192.168.66.116/nbi/login

    Waarbij:

    Username: De gebruikersnaam voor de CSM-client die aan de sessie is gekoppeld

    Password (Wachtwoord): Het CSM-clientwachtwoord dat aan de sessie is gekoppeld.

    ReqID: Deze eigenschap identificeert uniek een verzoek dat door de client is gedaan, deze waarde komt overeen met de CSM Server in de bijbehorende respons. Het kan worden ingesteld op alles wat de gebruiker als identificatie wenst te gebruiken.

    hartslagAangevraagd: Deze eigenschap kan naar keuze worden gedefinieerd. Als het kenmerk op true is ingesteld, ontvangt de CSM-client een hartslagcallback van de CSM-server. De server probeert de client te pingen met een frequentie van bijna (inactiviteitstimer) / 2 minuten. Als de client niet op de hartslag reageert, probeert de API de hartslag tijdens het volgende interval opnieuw. Als de hartslag succesvol is, wordt de time-out voor inactiviteit van de sessie opnieuw ingesteld.

    callbackUrl: De URL waarmee de CSM-server de callback maakt. Dit moet worden gespecificeerd als de hartslagVerzocht waar is. Alleen op HTTPS gebaseerde callback-URL’s zijn toegestaan

    4. Verzenden

    Selecteer de optie Ruw om dit voorbeeld te zien.

    Reactie

    De Login API valideert de gebruikersreferenties en retourneert een sessieteken als een beveiligde cookie. De sessiewaarde wordt opgeslagen onder de asCookie sleutel, moet u deze asCookie waarde opslaan.

    ACL-regels verkrijgen

    Methode execDeviceReadOnlyCLICmds. De opdrachten die met deze methode kunnen worden uitgevoerd, zijn alleen-lezen opdrachten zoals statistieken, controleopdrachten die aanvullende informatie geven over de werking van het apparaat in kwestie.  

    Methodegegevens uit de CSM API-gebruikershandleiding

    Aanvragen

    1. HTTP-methode: POST

    2. URL: https://hostname/nbi/utilservice/execDeviceReadOnlyCLICmds

    3. HTTP-header: De cookie die wordt teruggegeven door de inlogmethode die de verificatiesessie identificeert.

    Voer de asCookie waarde in die eerder is verkregen bij Method Login.

    Sleutel: Invoer "asCookie"

    Value: Opgenomen waarde.

    Klik op checkbox om het in te schakelen.

    4. Tekst:

    

1.0
123

192.168.66.1
show
access-list

    Opmerking: De XML-body hierboven kan worden gebruikt om elke 'show'-opdracht uit te voeren, bijvoorbeeld: "toon run all", "toon run object", "toon run nat", etc.
              Het element XML "<deviceReadOnlyCLICmd>" geeft aan dat de opdracht die is opgegeven binnen "<cmd>" en "<argument>" alleen moet worden gelezen.


    Waarbij:

    apparaatIP: Het IP-adres van het apparaat waartegen de opdracht moet worden uitgevoerd.

    CMD: Vaste opdracht "tonen". De regex maakt gemengde behuizing [sS][hH][oO][wW] mogelijk

    argument: De argumenten van het showbevel. Als "lopen"om het lopen te tonen configuratie van het apparaat of "toegang-lijst" om de toegangslijst details te tonen.

    5. Verzend

    Reactie

    Verifiëren

    U hebt de optie om respons op te slaan als een bestand. Navigeer naar Reactie opslaan > Opslaan naar een bestand. Selecteer vervolgens de bestandslocatie en sla deze op als een .csv-type.

    Dan moet u dit .csv bestand bijvoorbeeld met Excel Application kunnen openen. Van het type .csv-bestand kunt u de uitvoer opslaan als andere bestandstypen, zoals PDF, TXT, enzovoort.    

    Problemen oplossen

    Mogelijke storingsreacties met API.

    1. Er is geen API-licentie geïnstalleerd.

    Oorzaak: API-licentie verlopen, niet geïnstalleerd of niet ingeschakeld.

    Mogelijke oplossing: Controleer de verloopdatum van de licentie onder Gereedschappen > Beveiligingsbeheer > Licentiepagina

    Controleer of de API-functie is ingeschakeld onder Gereedschappen > Beveiligingsbeheer > API

    Bevestig instellingen van de sectie Installatie/verificatie van de CSM API-licentie hierboven.

    2. Slecht gebruik van CSM IP-adres voor de API-aanmelding.

    Oorzaak: IP-adres van de CSM-server is onjuist in de URL van de API-oproep.

    Mogelijke oplossing: Controleer in de URL van de API-client dat de hostnaam het juiste IP-adres van de CSM-server is.

    URL: https://<hostname>/nbi/login

    3. Verkeerd ASA IP-adres.

    Oorzaak: Het IP-adres dat in de Tekst is gedefinieerd tussen de tags <deviceIP></deviceIP>, mag niet de juiste zijn.

    Mogelijke oplossing: Bevestig dat het juiste IP-adres van het apparaat is gedefinieerd in de Body Syntax.

    4. Geen verbinding met de firewall.

    Oorzaak: Het apparaat heeft geen verbinding met de CSM

    Mogelijke oplossing: Voer een Test Connectiviteit uit vanaf de CSM-server en los verdere connectiviteit met het apparaat op.

    Voor meer foutcodes en beschrijvingen, kunt u in de volgende link meer informatie vinden in de Cisco Security Manager API Specification Guide.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Berenice Guerra
      Cisco TAC Engineer
    • Raphael Moreno
      Cisco TAC Engineer
    • Ricardo Gutierrez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten