Einleitung
In diesem Dokument wird die USGv6-Zertifizierungs-Unterstützungsmatrix für ISE 3.3 Patch 4 beschrieben.
Voraussetzungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco Identity Services Engine (ISE) 3.3
- Grundlegende Informationen zu IPv6
Hintergrundinformationen
- Das USGv6 (U.S. Government IPv6) (https://www.nist.gov/programs-projects/usgv6-program/usgv6) Framework besteht aus einer Reihe von technischen Standards, Tests und Kaufanforderungen für IPv6 in der US-Regierung.
- Die Rahmenziele lauten:
- Vorantreiben der Einführung von IPv6 in Regierungssystemen
- Erfolgreiche Integration von IPv6
- Sichere Bereitstellung zertifizierter Produkte in IPv6-Umgebungen
- Das USGv6-Framework umfasst:
- USGv6-Profil: Eine Reihe von Protokollspezifikationen, die grundlegende IPv6-Funktionen, spezifische Anforderungen und optionale Funktionen umfassen.
- USGv6-Testprogramm: Ein Programm, das auf bestehende, von der Branche initiierte Bemühungen um Produkttests und -zertifizierungen abgestimmt ist.
- Anpassung an branchenspezifische Anforderungen
- Das USGv6-Framework orientiert sich an bestehenden branchenorientierten Initiativen, z. B.:
- IPv6-fähig
- IPv6-Forum
- DODv6
Verwendete Komponenten
Patch 4 der Cisco Identity Services Engine 3.3
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Übergeordnetes Flussdiagramm
USGv6-Fluss
Weitere Details
- Ab sofort unterstützt auf 3.3 Patch 4.
- Wenn das System aktiviert oder deaktiviert ist, wird es nach den erforderlichen Änderungen neu gestartet.
- USGv6 enable EUI64 ist der Standardwert für die IPv6-Adresse (unter Verwendung der System-MAC-Adresse).
- USGv6 enable opaque legt den stabilen Schlüssel für die IPv6-Adresse fest.
- Der Administrator kann je nach Bedarf zwischen EUI64 und undurchsichtig wechseln. Jedes Mal wird ein Neustart durchgeführt.
- Wenn diese Option aktiviert ist, muss USGv6 nach dem Upgrade deaktiviert werden.
- Der Status des USGv6 bleibt auf einem System gleich, wenn eine Wiederherstellung auf dem System durchgeführt wird.
Beispiel: Alle Backups von einem USGv6-deaktivierten Knoten. Wenn sie auf einem USGv6-aktivierten Knoten wiederhergestellt werden, ist der Status des wiederhergestellten Knotens nur USGv6-aktiviert.
CLI-Befehle
Mögliche Ergänzungen:
Deaktivieren Sie Usgv6 festlegen, deaktivieren
Aktivieren Sie "Set" Usgv6 aktivieren.
Status Usgv6-Status anzeigen
Mögliche Ergänzungen:
EUI64-Set Usgv6-fähig mit EUI64
Opak Set Usgv6 aktivieren mit Opak
- USGV6-Deaktivierung
- Status des USGVs 6
- Weitere Informationen zu EUI64 und Opaque:
EUI-64 (Extended Unique Identifier) ist eine Methode, mit der Sie IPv6-Hostadressen automatisch konfigurieren können. Ein IPv6-Gerät muss die MAC-Adresse seiner Schnittstelle verwenden, um eine eindeutige 64-Bit-Schnittstellen-ID zu generieren.
Opak/SLAAC ist eine IPv6-Funktion, mit der Hosts automatisch ihre eigenen Adressen generieren können, anstatt die MAC-Adresse der Schnittstelle zu verwenden.
Ablauf der Benutzerausführung
CLI-Befehle
Fehlerbehebung und Protokollierung
- Für diese Funktion werden keine neuen Protokolldateien hinzugefügt.
- Protokolle für die Ausführung der Funktion finden Sie in der Datei ADE.log.
Protokollausschnitte:
asc-ise33p4-1640/admin#usgv6 enable EUI64
%WARNUNG: Dadurch wird die USGV6- und EUI64-Kompatibilität mit dem zugrunde liegenden Betriebssystem aktiviert, und der Knoten wird neu gestartet.
Möchten Sie fortfahren (J/N) J
Das System wird jetzt neu gestartet.
ADE-Protokolle:
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 root: Neustarten des Systems usgv6enable, undurchsichtig
asc-ise33p4-1640/admin#show application status ise
ISE PROZESSNAME STATUS PROZESS-ID
--------------------------------------------------------------------
Datenbank-Listener mit 4576
Datenbankserver mit 90 PROZESSEN
Anwendungsserver wird nicht ausgeführt
Profilerdatenbank wird nicht ausgeführt
ISE-Indexmodul wird nicht ausgeführt
AD-Connector wird nicht ausgeführt
M&T-Sitzungsdatenbank wird nicht ausgeführt
M&T-Protokollprozessor wird nicht ausgeführt
Der Zertifizierungsstellendienst wird nicht ausgeführt.
EST-Dienst wird nicht ausgeführt
SXP-Moduldienst deaktiviert
TC-NAC-Dienst deaktiviert
PassiveID WMI-Dienst deaktiviert
PassiveID-Syslog-Dienst deaktiviert
PassiveID API-Dienst deaktiviert
PassiveID-Agent-Dienst deaktiviert
PassiveID-Endpunktdienst deaktiviert
PassiveID SPAN-Dienst deaktiviert
DHCP-Server (DHCP) deaktiviert
DNS-Server (mit Namen) deaktiviert
ISE Messaging Service unter 8556
Initialisierung des ISE API-Gateway-Datenbankdiensts
ISE-API-Gateway-Dienst wird nicht ausgeführt
ISE pxGrid Direct Service wird nicht ausgeführt
Segmentierungsrichtliniendienst deaktiviert
REST-Auth-Dienst deaktiviert
SSE-Connector deaktiviert
Hermes (pxGrid Cloud-Agent) deaktiviert
McTrust (Meraki-Synchronisierungsdienst) deaktiviert
MFA (Duo Sync Service) deaktiviert
ISE Node Exporter wird nicht ausgeführt
ISE-Prometheus-Dienst wird nicht ausgeführt
ISE Grafana-Dienst wird nicht ausgeführt
ISE MNT LogAnalytics Elastische Suche wird nicht ausgeführt
ISE-Protokolldienst wird nicht ausgeführt
ISE Kibana-Dienst wird nicht ausgeführt
ISE Nativer IPSec-Dienst wird nicht ausgeführt
MFC Profiler wird nicht ausgeführt
asc-ise33p4-1640/admin#usgv6 status
USGV6-fähig, EUI64
Häufig gestellte Fragen
Frage: Erfordert die Aktivierung von USGv6 EUI64 einen Neustart des ISE-Knotens?
Antwort: Ja
Frage: Erfordert die Aktivierung von USGv6 Opaque einen Neustart des ISE-Knotens?
Antwort: Ja
Frage: Ist USGv6 standardmäßig aktiviert oder deaktiviert?
Antwort: Deaktiviert
Frage: Welche ist die erste ISE-Version, die USGv6 unterstützt?
Antwort: Diese Funktion wird derzeit von ISE Version 3.3 Patch 4 unterstützt.
Referenz
USGv6 Revision 1: https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1
Technische Details zu USGv6: https://www.nist.gov/programs-projects/usgv6-program/technical-details