Navigation durch API-Explorer der Secure Firewall demonstrieren

Download-Optionen

  • PDF     (2.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.8 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. Dezember 2023
Dokument-ID:221219

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Navigation durch den API-Explorer (Application Programming Interface) von Cisco FMC und Cisco FDM beschrieben.

    Voraussetzungen

    Grundlegendes Verständnis der REST-API.

    Anforderungen

    Für diese Demonstration ist der Zugriff auf die Benutzeroberfläche des Firepower Management Center (FMC) mit mindestens einem von diesem Firepower Management Center (FMC) verwalteten Gerät erforderlich. Für den FDM-Teil dieser Demonstration ist eine lokale Verwaltung einer FirePOWER Threat Defense (FTD) erforderlich, um Zugriff auf die FDM-GUI zu erhalten.

    Verwendete Komponenten

    • FMC V
    • FTDv
    • FTDv Lokal verwaltet

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Navigation durch FMC API-Explorer überprüfen

    Um auf den FMC API Explorer zuzugreifen, navigieren Sie zur nächsten URL:

    https://<FMC_mgmt_IP>/api/api-explorer

    Sie müssen sich mit denselben Anmeldeinformationen anmelden, die auch für die FMC-GUI verwendet werden. Diese Anmeldeinformationen werden in einem Fenster eingegeben, das dem nächsten ähnelt, wenn Sie die API-Explorer-URLs eingeben.

    Anmeldebildschirm

    Nach der Anmeldung wird deutlich, dass die API-Abfragen nach Kategorien unterteilt sind, die den möglichen Aufrufen entsprechen, die Sie mithilfe von APIs durchführen können.

    note-icon

    Hinweis: Nicht alle über die GUI oder CLI verfügbaren Konfigurationsfunktionen sind über die APIs verfügbar.

    Offene API-Spezifikation für Cisco Firewall Management Center

    Wenn Sie auf eine Kategorie klicken, wird sie erweitert und zeigt Ihnen die verschiedenen Anrufe an, die für diese Kategorie verfügbar sind. Diese Aufrufe werden zusammen mit den jeweiligen REST-Methoden und dem URI (Universal Resource Identifier) dieses Aufrufs angezeigt.

    Unterschiedliche Anrufe für die Kategorie verfügbar

    Im nächsten Beispiel fordern Sie an, die im FMC konfigurierten Zugriffsrichtlinien anzuzeigen. Klicken Sie auf die entsprechende Methode, um sie zu erweitern, und klicken Sie dann auf die Schaltfläche "Try it out".

    Hervorzuheben ist, dass Sie Ihre Abfragen mit den verfügbaren Parametern in jedem API-Aufruf parametrisieren können. Nur solche mit roten Sternchen sind obligatorisch, die anderen können leer gelassen werden.

    Abfragen parametrieren

    Die domainUUID ist beispielsweise für alle API-Aufrufe obligatorisch, wird jedoch im API-Explorer automatisch ausgefüllt.

    Als Nächstes klicken Sie auf Ausführen, um diesen Anruf zu tätigen.

    DomainUUID ist für alle API-Aufrufe obligatorisch

    Bevor Sie auf "Ausführen" klicken, werden Ihnen Beispiele von Antworten auf die Anrufe angezeigt, um einen Eindruck davon zu erhalten, welche Antworten Sie erhalten können, je nachdem, ob die Anfrage richtig ist oder nicht.

    Beispiele für Reaktionen auf Anrufe

    Nachdem der API-Aufruf ausgeführt wurde, erhalten Sie zusammen mit der Antwortnutzlast den Antwortcode. In diesem Fall 200, was einer OK-Anfrage entspricht. Sie erhalten auch die cURL und die URL des Anrufs, den Sie gerade getätigt haben. Diese Informationen sind nützlich, wenn Sie diesen Anruf mit einem externen Client/einer externen Software tätigen möchten.

    Die erhaltene Antwort gibt die im FMC konfigurierten ACPs zusammen mit ihrer Objekt-ID zurück. In diesem Fall werden diese Informationen im roten Feld im nächsten Bild angezeigt:

    Antwortcode

    Diese objectID ist der Wert, den Sie in Aufrufen eingeben, die einen Verweis auf diesen ACP erfordern. Zum Beispiel, um eine Regel innerhalb dieses ACP zu erstellen.

    Die URIs, die Werte zwischen geschweiften Klammern enthalten {}, sind Werte, die für diesen Aufruf erforderlich sind.  Denken Sie daran, dass domainUUID der einzige Wert ist, der automatisch gefüllt wird.

    In Anrufe einzugebende Objekt-ID, die einen Verweis auf diesen ACP erfordert

    Die für diese Aufrufe erforderlichen Werte sind in der Aufrufbeschreibung angegeben. Um Regeln für einen ACP zu erstellen, benötigen Sie die policy-ID, wie im nächsten Bild zu sehen ist:

    Die für diese Anrufe erforderlichen Werte werden in der Anrufbeschreibung angegeben.

    Diese policyID wird in das als containerUUID angegebene Feld eingegeben. Ein weiteres erforderliches Feld für POST-Methoden ist der Payload- oder Anforderungstext. Anhand der Beispiele können Sie Ihre Anforderungen anpassen.

    PolicyID, die in dem als ContainerUUID angegebenen Feld eingegeben wurde

    Beispiel für eine geänderte Nutzlast:

    { "action": "ALLOW", "enabled": true, "type": "AccessRule", "name": "Testing API rule", "sendEventsToFMC": false, "logFiles": false, "logBegin": false, "logEnd": false, "sourceZones": { "objects": [ { "name": "Inside_Zone", "id": "8c1c58ec-8d40-11ed-b39b-f2bc2b448f0d", "type": "SecurityZone" } ] }, "destinationZones": { "objects": [ { "name": "Outside_Zone", "id": "c5e0a920-8d40-11ed-994a-900c72fc7112", "type": "SecurityZone" } ] }, "newComments": [ "comment1", "comment2" ] }

    note-icon

    Hinweis: Die verfügbaren Zonen können zusammen mit ihren IDs mit der nächsten Abfrage abgerufen werden.

    Anruf durchführen

    Wenn Sie den vorherigen Aufruf ausführen, erhalten Sie einen Antwortcode 201, der angibt, dass die Anforderung erfolgreich war und zur Erstellung der Ressource geführt hat.

    Get 201-Antwortcode

    Schließlich müssen Sie eine Bereitstellung vornehmen, damit diese Änderungen in der FTD wirksam werden, deren ACP geändert wurde.

    Dazu müssen Sie eine Liste der Geräte abrufen, für die Änderungen bereitgestellt werden können.

    Liste aller Geräte mit Konfigurationsänderungen

    Das Beispiel enthält ein Gerätepaar, das in Hochverfügbarkeit konfiguriert ist. Sie müssen die ID dieser HA erhalten. Wenn Sie ein eigenständiges Gerät sind, müssen Sie die ID dieses Geräts erhalten.

    Hochverfügbares Gerät

    Die Abfrage, die zum Abrufen der Geräte-ID der HA erforderlich ist, lautet wie folgt:

    Abfrage zum Abrufen der Geräte-ID der HA erforderlichAntwort Code 200

    Mit der Geräte-ID und der Bereitstellungsversionsnummer können Sie die Nutzlast des nächsten Anrufbeispiels ändern, um den Anruf für diese Bereitstellung zu tätigen.

    Anforderung zum Bereitstellen von KonfigurationsänderungenÄndern der Payload

    Sobald dieser Aufruf ausgeführt wird, wenn alles korrekt ist, erhalten Sie eine Antwort mit Code 202.

    Navigation in FDM API Explorer überprüfen

    Um auf den FDM API Explorer zuzugreifen, können Sie eine Schaltfläche auf der FDM-GUI verwenden, um direkt darauf zuzugreifen, wie im folgenden Bild gezeigt:

    Zugriff auf den FDM API Explorer

    Sobald Sie den API Explorer aufgerufen haben, werden die Abfragen auch in Kategorien unterteilt.

    In Kategorien unterteilte Abfragen

    Um eine Kategorie zu erweitern, müssen Sie auf sie klicken. Anschließend können Sie jede der Operationen durch Klicken auf eine der Kategorien erweitern. Das erste, was in jeder Operation gefunden wird, ist ein Beispiel für eine OK-Antwort für diesen Anruf.

    Vorgänge durch Klicken auf ein Element erweitern

    Als Nächstes sehen Sie die verfügbaren Parameter, mit denen Sie die Antworten auf Ihren Anruf beschränken können. Denken Sie daran, dass nur die als erforderlich markierten Felder für einen solchen Anruf erforderlich sind.

    Verfügbare Parameter zur Begrenzung der Antworten des von Ihnen getätigten Anrufs

    Schließlich finden Sie die möglichen Antwortcodes, die dieser Anruf zurückgeben kann.

    Antwortnachrichten

    Wenn Sie diesen Anruf tätigen möchten, klicken Sie auf Try It Out. Um diese Schaltfläche zu finden, müssen Sie nach unten blättern, bis Sie diese Schaltfläche finden, da sie sich am unteren Ende jedes Anrufs befindet.

    Klicken Sie auf die Schaltfläche

    Wenn Sie auf die Schaltfläche "Try It Out" klicken und es sich um einen Anruf handelt, für den keine weiteren Felder erforderlich sind, wird der Anruf sofort ausgeführt, und Sie erhalten eine Antwort.

    Anruf wird ausgeführt

    Fehlerbehebung

    Jeder Anruf generiert einen HTTP-Antwortcode und einen Antworttext. So können Sie leichter erkennen, wo der Fehler liegt.

    Der nächste Fehler tritt häufig auf, wenn die Sitzung abgelaufen ist. Er weist darauf hin, dass das Token ungültig ist, da es abgelaufen ist.

    Fehler 401

    Im Folgenden finden Sie Beispiele für HTTP-Antwortcodes, die Aufrufe zurückgeben können:

    • Serie 2xx: Erfolg Es gibt mehrere Statuscodes: 200 (GET und PUT), 201 (POST), 202, 204 (DELETE). Sie zeigen einen erfolgreichen API-Aufruf an.
    • 30x-Serie: Umleitung. Kann verwendet werden, wenn ein Client ursprünglich HTTP verwendet hat und zu HTTPS umgeleitet wurde.
    • 4xx-Serie: Client-seitiger Fehler im API-Aufruf, der vom Client an den Server gesendet wurde. Zwei Beispiele umfassen einen 401-Statuscode, der angibt, dass die Sitzung nicht authentifiziert ist, und einen 403-Code, der einen unzulässigen Zugriffsversuch anzeigt.
    • 5xx-Serie: Server-, Geräte- oder serviceseitiger Fehler. Dies kann daran liegen, dass der Geräte-API-Dienst deaktiviert wurde oder über das IP-Netzwerk nicht darauf zugegriffen werden kann.
      •

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    05-Dec-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Cesar Chanes Motta
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.