使用ERS API刪除ISE網路裝置
簡介
本文檔介紹使用PostMan作為REST客戶端通過ERS API刪除ISE上的網路訪問裝置(NAD)的過程。
必要條件
需求
思科建議您瞭解以下主題:
- ISE(身份服務引擎)
- ERS(外部REST風格的服務)
- REST的客戶包括郵遞員、REST和失眠等。
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco ISE(身份服務引擎)3.1補丁6
- Postman REST客戶端v10.16
注意:其他ISE版本和REST客戶端的步驟相似或相同。您可以對所有2.x和3.x ISE軟體版本使用這些步驟,除非另有說明。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
啟用ERS(埠9060)
ERS API是僅使用HTTPS的REST API,通過埠443和埠9060運行。埠9060預設關閉,因此需要先將其開啟。如果嘗試訪問此埠的客戶端不首先啟用ERS,則會顯示伺服器超時。因此,第一個要求是從思科ISE管理員UI啟用ERS。
導航到Administration > Settings > API Settings並啟用ERS(讀/寫)切換按鈕。
註:ERS API支援TLS 1.1和TLS 1.2。無論在Cisco ISE GUI的「安全設定」(Security Settings)視窗(Administration > System > Settings > Security Settings)中啟用TLS 1.0,ERS API都不支援TLS 1.0。在「安全設定」視窗中啟用TLS 1.0僅與EAP協定相關,不會影響ERS API。
註:ISE不支援批次刪除操作。NAD刪除必須一次執行一個。
建立ERS管理員
建立思科ISE管理員,分配密碼,然後將使用者作為ERS管理員新增到管理員組。您可以將配置的其餘部分留空。
設定郵遞員
下載或使用線上版Postman 。
- 通過按一下「工作區」(Workspaces)頁籤下的「建立工作區」(Create Workspace)建立使用者並建立工作區。
2.選擇空白工作區,並為工作區分配名稱。您可以新增描述並將其公開。本示例選擇了Personal。
建立工作區後,您現在可以配置我們的API呼叫。
獲取NAD名稱和ID
開始刪除NAD之前,您必須首先知道NAD的名稱或ID。可以從ISE上的NAD清單中輕鬆獲取NAD名稱,但只能從GET API調用獲取ID。同一個API呼叫不僅返回NAD ID,還返回name和說明(如果在NAD配置過程中新增了)。
要配置GET呼叫,請首先訪問ISE ERS SDK(軟體開發工具包)。此工具編譯ISE可以執行的所有API呼叫清單:
- 導航至https://{ise-ip}/ers/sdk
- 使用您的ISE管理員憑據登入。
- 現在展開API文檔
- 向下滾動直到找到Network Device,然後按一下它。
- 在此選項下,您現在可找到可在ISE上為網路裝置執行的所有可用操作。選擇Get-All
6.現在,您可以看到在任何Rest客戶端上執行API呼叫所需的配置,以及預期的響應示例。
7.返回Postman,將基本身份驗證配置為ISE。在Authorization頁籤下,選擇Basic Auth作為身份驗證型別,並新增先前在ISE上建立的ISE ERS使用者憑據。
注意:除非在Postman上配置了變數,否則密碼顯示為明文
8.轉到標頭頁籤,為API呼叫配置所需的標頭,如SDK中所示。本示例使用JSON,但也可使用xml。在本例中,報頭配置必須如下所示:
9.執行GET調用。選擇GET作為方法。在欄位中貼上https://{ISE-ip}/ers/config/networkdevice,然後按一下Send。如果所有配置都正確,您必須看到200 Ok消息和結果。
TESTNAD1和TESTNAD2可以使用2個不同的刪除呼叫刪除。
按ID刪除NAD
使用從GET呼叫收集的ID刪除TESTNAD1。
1.在SDK上的Network Device頁籤下,選擇Delete。如前所述,這是執行呼叫所需的報頭以及預期的響應
2.假設報頭與GET呼叫類似,並且您正在同一ISE上執行DELETE呼叫,請複製上一個呼叫並更改所需的變數。最後,報頭配置必須如下所示:
3.現在刪除TESTNAD1。選擇DELETE作為方法。將https://{ISE-ip}/ers/config/networkdevice/{id}貼上到欄位中,將{id}替換為GET呼叫中看到的需要處理的實際ID,然後按一下Send。如果所有內容都配置正確,您必須看到204 No Content消息,結果為空。
4.通過再次執行GET呼叫或通過檢查ISE和清單來確認是否刪除了NAD。請注意,TESTNAD1不再存在。
按名稱刪除NAD
使用從GET呼叫或ISE GUI的NAD清單中收集的名稱刪除TESTNAD2。
- 在SDK的Network Device頁籤下,選擇Delete-by-Name。如前所述,這是執行呼叫所需的報頭以及預期的響應。
2.假設標頭與GET呼叫類似,並且您正在同一ISE上執行DELETE呼叫,則複製上一個呼叫並更改所需的變數。最後,報頭配置必須如下所示:
3.刪除TESTNAD2。選擇DELETE作為方法。在欄位中貼上https://{ISE-ip}/ers/config/networkdevice/name/{name},將{name}替換為GET呼叫或ISE GUI中看到的實際名稱,然後按一下Send。如果所有內容都配置正確,您必須看到204 No Content消息,結果為空。
4.通過再次執行GET呼叫或通過檢查ISE和清單來確認是否刪除了NAD。 請注意,TESTNAD2不再存在。
驗證
如果您能夠訪問API服務GUI頁面,例如https://{iseip}:{port}/api/swagger-ui/index.html或https://{iseip}:9060/ers/sdk,則表示API服務正在按預期工作。
疑難排解
- 所有REST操作都經過稽核,並且日誌會記錄到系統日誌中。
- 要排除與Open API相關的問題,請在Debug Log Configuration視窗中將apiservice元件的Log Level設定為DEBUG。
- 要排除與ERS API相關的問題,請在Debug Log Configuration視窗中將ers元件的Log Level設定為DEBUG。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>調試嚮導>調試日誌配置。
- 您可以從Download Logs(下載日誌)視窗下載日誌。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>下載日誌。
- 您可以選擇通過按一下頁籤下的Download按鈕,從「Support Bundle」頁籤下載支援捆綁包,或者通過按一下api-service調試日誌的Log File值,從Debug Logs頁籤下載api-service調試日誌。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Sep-2023 |
初始版本 |
意見