Überprüfen der USGv6-Zertifizierungsunterstützung für ISE 3.3 Patch 4

Download-Optionen

  • PDF     (565.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (431.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (274.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. März 2025
Dokument-ID:222848

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die USGv6-Zertifizierungs-Unterstützungsmatrix für ISE 3.3 Patch 4 beschrieben.

    Voraussetzungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Identity Services Engine (ISE) 3.3
    • Grundlegende Informationen zu IPv6

    Hintergrundinformationen

    • Das USGv6 (U.S. Government IPv6) (https://www.nist.gov/programs-projects/usgv6-program/usgv6) Framework besteht aus einer Reihe von technischen Standards, Tests und Kaufanforderungen für IPv6 in der US-Regierung.
    • Die Rahmenziele lauten:
      1. Vorantreiben der Einführung von IPv6 in Regierungssystemen
      2. Erfolgreiche Integration von IPv6
      3. Sichere Bereitstellung zertifizierter Produkte in IPv6-Umgebungen
    • Das USGv6-Framework umfasst:
      1. USGv6-Profil: Eine Reihe von Protokollspezifikationen, die grundlegende IPv6-Funktionen, spezifische Anforderungen und optionale Funktionen umfassen.
      2. USGv6-Testprogramm: Ein Programm, das auf bestehende, von der Branche initiierte Bemühungen um Produkttests und -zertifizierungen abgestimmt ist.
      3. Anpassung an branchenspezifische Anforderungen
    • Das USGv6-Framework orientiert sich an bestehenden branchenorientierten Initiativen, z. B.:
      1. IPv6-fähig
      2. IPv6-Forum
      3. DODv6

    Verwendete Komponenten

    Patch 4 der Cisco Identity Services Engine 3.3

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Übergeordnetes Flussdiagramm

    USGv6 FlowUSGv6-Fluss

    Weitere Details

    • Ab sofort unterstützt auf 3.3 Patch 4.
    • Wenn das System aktiviert oder deaktiviert ist, wird es nach den erforderlichen Änderungen neu gestartet.
    • USGv6 enable EUI64 ist der Standardwert für die IPv6-Adresse (unter Verwendung der System-MAC-Adresse).
    • USGv6 enable opaque legt den stabilen Schlüssel für die IPv6-Adresse fest.
    • Der Administrator kann je nach Bedarf zwischen EUI64 und undurchsichtig wechseln. Jedes Mal wird ein Neustart durchgeführt.
    • Wenn diese Option aktiviert ist, muss USGv6 nach dem Upgrade deaktiviert werden.
    • Der Status des USGv6 bleibt auf einem System gleich, wenn eine Wiederherstellung auf dem System durchgeführt wird.

              Beispiel: Alle Backups von einem USGv6-deaktivierten Knoten. Wenn sie auf einem USGv6-aktivierten Knoten wiederhergestellt werden, ist der Status des wiederhergestellten Knotens nur USGv6-aktiviert.

    CLI-Befehle

    • USVv6

                Mögliche Ergänzungen:

           Deaktivieren Sie Usgv6 festlegen, deaktivieren

           Aktivieren Sie "Set" Usgv6 aktivieren.

           Status Usgv6-Status anzeigen

    •       Usgv6 aktivieren

                    Mögliche Ergänzungen:

           EUI64-Set Usgv6-fähig mit EUI64

           Opak Set Usgv6 aktivieren mit Opak

    • USGV6-Deaktivierung
    • Status des USGVs 6
    • Weitere Informationen zu EUI64 und Opaque:

      EUI-64 (Extended Unique Identifier) ist eine Methode, mit der Sie IPv6-Hostadressen automatisch konfigurieren können. Ein IPv6-Gerät muss die MAC-Adresse seiner Schnittstelle verwenden, um eine eindeutige 64-Bit-Schnittstellen-ID zu generieren.

      Opak/SLAAC ist eine IPv6-Funktion, mit der Hosts automatisch ihre eigenen Adressen generieren können, anstatt die MAC-Adresse der Schnittstelle zu verwenden.

    Ablauf der Benutzerausführung

    CLI CommandsCLI-Befehle

    Fehlerbehebung und Protokollierung

    • Für diese Funktion werden keine neuen Protokolldateien hinzugefügt.
    • Protokolle für die Ausführung der Funktion finden Sie in der Datei ADE.log.

    Protokollausschnitte:

    asc-ise33p4-1640/admin#usgv6 enable EUI64
    %WARNUNG: Dadurch wird die USGV6- und EUI64-Kompatibilität mit dem zugrunde liegenden Betriebssystem aktiviert, und der Knoten wird neu gestartet.
    Möchten Sie fortfahren (J/N) J
    Das System wird jetzt neu gestartet.

    ADE-Protokolle:
    2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 root: Neustarten des Systems usgv6enable, undurchsichtig


    asc-ise33p4-1640/admin#show application status ise

    ISE PROZESSNAME STATUS PROZESS-ID
    --------------------------------------------------------------------
    Datenbank-Listener mit 4576
    Datenbankserver mit 90 PROZESSEN
    Anwendungsserver wird nicht ausgeführt
    Profilerdatenbank wird nicht ausgeführt
    ISE-Indexmodul wird nicht ausgeführt
    AD-Connector wird nicht ausgeführt
    M&T-Sitzungsdatenbank wird nicht ausgeführt
    M&T-Protokollprozessor wird nicht ausgeführt
    Der Zertifizierungsstellendienst wird nicht ausgeführt.
    EST-Dienst wird nicht ausgeführt
    SXP-Moduldienst deaktiviert
    TC-NAC-Dienst deaktiviert
    PassiveID WMI-Dienst deaktiviert
    PassiveID-Syslog-Dienst deaktiviert
    PassiveID API-Dienst deaktiviert
    PassiveID-Agent-Dienst deaktiviert
    PassiveID-Endpunktdienst deaktiviert
    PassiveID SPAN-Dienst deaktiviert
    DHCP-Server (DHCP) deaktiviert
    DNS-Server (mit Namen) deaktiviert
    ISE Messaging Service unter 8556
    Initialisierung des ISE API-Gateway-Datenbankdiensts
    ISE-API-Gateway-Dienst wird nicht ausgeführt
    ISE pxGrid Direct Service wird nicht ausgeführt
    Segmentierungsrichtliniendienst deaktiviert
    REST-Auth-Dienst deaktiviert
    SSE-Connector deaktiviert
    Hermes (pxGrid Cloud-Agent) deaktiviert
    McTrust (Meraki-Synchronisierungsdienst) deaktiviert
    MFA (Duo Sync Service) deaktiviert
    ISE Node Exporter wird nicht ausgeführt
    ISE-Prometheus-Dienst wird nicht ausgeführt
    ISE Grafana-Dienst wird nicht ausgeführt
    ISE MNT LogAnalytics Elastische Suche wird nicht ausgeführt
    ISE-Protokolldienst wird nicht ausgeführt
    ISE Kibana-Dienst wird nicht ausgeführt
    ISE Nativer IPSec-Dienst wird nicht ausgeführt
    MFC Profiler wird nicht ausgeführt

    asc-ise33p4-1640/admin#usgv6 status
    USGV6-fähig, EUI64

    Häufig gestellte Fragen

    Frage: Erfordert die Aktivierung von USGv6 EUI64 einen Neustart des ISE-Knotens?

    Antwort: Ja

    Frage: Erfordert die Aktivierung von USGv6 Opaque einen Neustart des ISE-Knotens?

    Antwort: Ja

    Frage: Ist USGv6 standardmäßig aktiviert oder deaktiviert?

    Antwort: Deaktiviert

    Frage: Welche ist die erste ISE-Version, die USGv6 unterstützt?

    Antwort: Diese Funktion wird derzeit von ISE Version 3.3 Patch 4 unterstützt.

    Referenz

    USGv6 Revision 1: https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1

    Technische Details zu USGv6: https://www.nist.gov/programs-projects/usgv6-program/technical-details

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    18-Mar-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mayil Raj Chidambaram
      Technischer Leiter bei Customer Delivery Engineering

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.