Eliminación de dispositivos de red ISE mediante la API ERS

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de septiembre de 2023
ID del documento:220992

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso para eliminar dispositivos de acceso a la red (NAD) en ISE a través de la API ERS usando PostMan como cliente REST. 

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • ISE (Identity Services Engine)
    • ERS (servicios RESTful externos)
    • Clientes de REST como Postman, RESTED, Insomnio, etc.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • Parche 6 de Cisco ISE (Identity Services Engine) 3.1
    • Postman REST client v10.16
    icono de nota

    Nota: el procedimiento es similar o idéntico para otras versiones de ISE y clientes REST. Puede seguir estos pasos en todas las versiones de software 2.x y 3.x ISE, a menos que se indique lo contrario.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Activar ERS (puerto 9060)

    Las API ERS son API REST solo HTTPS que funcionan a través de los puertos 443 y 9060. El puerto 9060 está cerrado de forma predeterminada, por lo que debe abrirse primero. Se presenta un tiempo de espera del servidor si los clientes que intentan acceder a este puerto no habilitan ERS primero. Por lo tanto, el primer requisito es habilitar ERS desde la interfaz de usuario de administración de Cisco ISE.

    Vaya a Administration > Settings > API Settings y active el botón de alternancia ERS (lectura/escritura).

    Activar ERS

    icono de nota

    Nota: Las API ERS admiten TLS 1.1 y TLS 1.2. Las API ERS no admiten TLS 1.0 independientemente de que se habilite TLS 1.0 en la ventana Security Settings (Parámetros de seguridad) de la GUI de Cisco ISE (Administración > Sistema > Configuración > Parámetros de seguridad). La habilitación de TLS 1.0 en la ventana Security Settings está relacionada solamente con el protocolo EAP y no afecta a las API ERS.

    icono de nota

    Nota: ISE no admite las operaciones de eliminación masiva. La eliminación de NAD debe realizarse de una en una.

    Crear administrador ERS

    Cree un administrador de Cisco ISE, asigne una contraseña y, a continuación, agregue un usuario al grupo de administradores como administrador ERS. Puede dejar el resto de la configuración vacía.

    Creación de un usuario ERS

    Configuración de Postman

    Descargue o utilice la versión en línea de Postman .

    1. Cree un usuario y un espacio de trabajo haciendo clic en Create Workspace en la pestaña Workspaces.

    Crear espacio de trabajo de Postman

    2. Seleccione Espacio de Trabajo en Blanco y asígnele un nombre. Puede agregar una descripción y hacerla pública. Para este ejemplo, Personal está seleccionado.

    Crear nombre de espacio de trabajo y tipo de acceso

    Una vez creado el espacio de trabajo, ya puede configurar las llamadas de API.

    Obtener nombre e ID de NAD

    Antes de empezar a eliminar los NAD, debe conocer el nombre o la ID del NAD. El nombre NAD se obtiene fácilmente de la lista NAD en ISE, pero la ID solo se puede obtener de una llamada de API GET. La misma llamada API no solo devuelve el ID de NAD, sino también el nombre y la descripción, si se ha agregado alguno durante la configuración de NAD.  

    Para configurar la llamada GET, acceda primero a ISE ERS SDK (Software Developer Kit). Esta herramienta recopila la lista completa de llamadas API que ISE puede realizar:

    1. Vaya a https://{ise-ip}/ers/sdk
    2. Inicie sesión con sus credenciales de administrador de ISE.
    3. Ahora expanda la documentación de la API
    4. Desplácese hacia abajo hasta que encuentre Network Device y haga clic en él.
    5. Con esta opción, ahora puede encontrar todas las operaciones disponibles que puede realizar para los dispositivos de red en ISE. Seleccione Get-All.

    Vaya a Documentación de API

    6. Ahora puede ver la configuración necesaria para realizar la llamada API en cualquier cliente de resto, así como un ejemplo de respuesta esperada.

    Detalles de API

    7. Vuelva a Postman, configure la autenticación básica en ISE. En la pestaña Authorization, seleccione Basic Auth como tipo de autenticación y agregue las credenciales de usuario ERS de ISE creadas anteriormente en ISE.

    icono de nota

    Nota: Las contraseñas se muestran como texto sin cifrar a menos que las variables se configuren en Postman

    Configurar la autorización básica

    8. Vaya a la pestaña Headers y configure los encabezados necesarios para la llamada a la API como se ve en el SDK. En este ejemplo se utiliza JSON, pero también se puede utilizar xml. Para este ejemplo, la configuración del encabezado debe ser similar a la siguiente:

    Configuración del encabezado

    9. Realice la llamada GET. Seleccione GET como método. Pegue https://{ISE-ip}/ers/config/networkdevice en el campo y haga clic en Enviar. Si todo fue configurado correctamente, debe ver un mensaje 200 Ok y el resultado.

    TESTNAD1 y TESTNAD2 se pueden eliminar utilizando 2 llamadas diferentes de eliminación.

    Resultados de API GET

    Eliminar NAD por ID

    Elimine TESTNAD1 con el ID recopilado de la llamada GET.

    1. En el SDK, en la pestaña Dispositivo de red, seleccione Eliminar. Como se ha visto anteriormente, aquí se muestran los encabezados necesarios para realizar la llamada, así como la respuesta esperada

    Detalles de API

    2. Dado que los encabezados son similares a la llamada GET y que está realizando la llamada DELETE en el mismo ISE, duplique la llamada anterior y cambie las variables necesarias. Al final, la configuración del encabezado debe verse de la siguiente manera:

    Configuración del encabezado

    3. Ahora, elimine TESTNAD1. Seleccione DELETE como método. Pegue https://{ISE-ip}/ers/config/networkdevice/{id} en el campo, reemplace {id} por el ID real del NAD visto en la llamada GET y haga clic en Send. Si todo se configuró correctamente, debe ver un mensaje 204 No Content y el resultado estará vacío.  

    Resultados de API DELETE

    4. Confirme si se eliminó el NAD realizando la llamada GET de nuevo o comprobando la lista de ISE NAD. Observe que TESTNAD1 ya no existe. 

    Resultados de API GET

    Validación de GUI de ISE

    Eliminar NAD por nombre

    Elimine TESTNAD2 con el nombre recopilado de la llamada GET o de la lista NAD de la GUI de ISE.

    1. En el SDK, en la ficha Dispositivo de red, seleccione Eliminar por nombre. Como se ha visto anteriormente, aquí se muestran los encabezados necesarios para realizar la llamada, así como la respuesta esperada.

    Detalles de API

    2. Dado que los encabezados son similares a la llamada GET y que está realizando la llamada DELETE en el mismo ISE, duplique la llamada anterior y cambie las variables necesarias. Al final, la configuración del encabezado debe verse de la siguiente manera:

    Configuración del encabezado

    3. Suprímase TESTNAD2. Seleccione DELETE como método. Pegue https://{ISE-ip}/ers/config/networkdevice/name/{name} en el campo, reemplace {name} por el nombre real del NAD visto desde la llamada GET o desde la GUI de ISE, y haga clic en Enviar. Si todo se configuró correctamente, debe ver un mensaje 204 No Content y el resultado estará vacío.  

    Resultados de API DELETE

    4. Confirme si se eliminó el NAD realizando la llamada GET de nuevo o comprobando la lista de ISE NAD. Observe que TESTNAD2 ya no existe.

    Resultados de API GET

    Validación de GUI de ISE

    Verificación

     Si puede acceder a la página de la GUI del servicio API, por ejemplo, https://{iseip}:{port}/api/swagger-ui/index.html o https://{iseip}:9060/ers/sdk, significa que el servicio API está funcionando como se esperaba.

    Troubleshoot

    • Todas las operaciones REST se auditan y los registros se registran en los registros del sistema.
    • Para resolver problemas relacionados con las API abiertas, establezca el Nivel de registro para el componente apiservice en DEBUG en la ventana Debug Log Configuration.
    • Para resolver problemas relacionados con las API ERS, establezca el Nivel de registro para el componente ers en DEBUG en la ventana Debug Log Configuration. Para ver esta ventana, navegue hasta la GUI de Cisco ISE, haga clic en el icono Menú y elija Operaciones > Solución de problemas > Asistente de depuración > Configuración del registro de depuración.
    • Puede descargar los registros desde la ventana Download Logs (Descargar registros). Para ver esta ventana, navegue hasta la GUI de Cisco ISE, haga clic en el icono Menú y elija Operaciones > Solucionar problemas > Descargar registros.
    • Puede descargar un paquete de soporte de la pestaña Paquete de soporte haciendo clic en el botón Descargar debajo de la pestaña, o descargar los registros de depuración api-service de la pestaña Registros de depuración haciendo clic en el valor de Archivo de registro para el registro de depuración api-service.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    28-Sep-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Andres Bolanos
      Cisco AAA Escalation Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos