Introducción
Este documento describe la Matriz de soporte de certificación USGv6 para el parche 4 de ISE 3.3.
Requisitos previos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Identity Services Engine (ISE) 3.3
- Conocimientos básicos sobre IPv6
Antecedentes
- El marco USGv6 (IPv6 del gobierno de EE. UU.) (https://www.nist.gov/programs-projects/usgv6-program/usgv6) es un conjunto de estándares técnicos, pruebas y requisitos de compra para IPv6 en el gobierno federal de EE. UU.
- Los objetivos del marco son los siguientes:
- Avanzar en la adopción de IPv6 en el sistema gubernamental.
- Garantizar la integración correcta de IPv6.
- Garantizar que los productos certificados se pueden implementar de forma segura en entornos IPv6
- El marco USGv6 incluye:
- Perfil USGv6: Conjunto de especificaciones de protocolo que incluye funcionalidad básica de IPv6, requisitos específicos y capacidades opcionales.
- Programa de pruebas USGv6: Un programa que se alinea con los esfuerzos actuales liderados por la industria en la prueba y certificación de productos.
- Alineación con los esfuerzos del sector
- El marco USGv6 se alinea con los esfuerzos actuales liderados por el sector, como:
- Preparado para IPv6
- Foro IPv6
- DODv6
Componentes Utilizados
Parche 4 de Cisco Identity Services Engine 3.3
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Diagrama de flujo de alto nivel
Flujo USGv6
Detalles adicionales
- Compatible con 3.3 Parche 4 a partir de ahora.
- Cuando está activado o desactivado, el sistema se reinicia después de realizar los cambios necesarios.
- USGv6 enable EUI64 es el valor predeterminado para la dirección ipv6 (mediante la dirección mac del sistema)
- USGv6 enable opaque establece el secreto estable para la dirección ipv6.
- El administrador puede alternar entre EUI64 y opaco según la necesidad. Cada vez se realiza un reinicio.
- Si está habilitado, USGv6 debe estar deshabilitado después de la actualización.
- El estado del USGv6 permanece en un sistema y permanece igual si la restauración se realiza en el sistema.
Ejemplo: Cualquier copia de seguridad tomada de un nodo USGV6 deshabilitado, si se restaura en un nodo USGv6 habilitado, el estado del nodo restaurado es USGv6 habilitado solamente.
Comandos CLI
Posibles finalizaciones:
disable Set Usgv6 disable
enable Set Usgv6 enable
status Mostrar estado Usgv6
Posibles finalizaciones:
EUI64 Set Usgv6 enable with EUI64
Conjunto opaco Usgv6 enable with Opaque
- Desactivación de Usgv6
- Estado de Usgv6
- Más sobre EUI64 y Opaco:
EUI-64 (identificador único extendido) es un método que puede utilizar para configurar automáticamente direcciones de host IPv6. Un dispositivo IPv6 debe utilizar la dirección MAC de su interfaz para generar un ID de interfaz único de 64 bits.
Opaco/SLAAC es una función de IPv6 que permite a los hosts generar automáticamente sus propias direcciones en lugar de utilizar la dirección MAC de la interfaz.
Flujo de ejecución de usuario
Comandos CLI
Solución de problemas y registro
- No se han agregado nuevos archivos de registro para esta función.
- Los registros para la ejecución de la función se encuentran en ADE.log
Fragmentos de registro:
asc-ise33p4-1640/admin#usgv6 enable EUI64
%WARNING: Esto habilitará la compatibilidad USGV6 y EUI64 con el sistema operativo subyacente y también reiniciará el nodo.
¿Desea continuar (s/n) y
El sistema se va a reiniciar ahora.
Registros de ADE:
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 raíz: Reinicio del sistema usgv6enable, opaco
asc-ise33p4-1640/admin#show application status ise
ID DE PROCESO DE ESTADO DE NOMBRE DE PROCESO ISE
--------------------------------------------------------------------
Database Listener que ejecuta 4576
Servidor de base de datos que ejecuta 90 PROCESOS
Servidor de aplicaciones no en ejecución
La base de datos del analizador no se está ejecutando
El motor de indexación de ISE no se está ejecutando
Conector AD no en ejecución
La base de datos de sesión de M&T no se está ejecutando
El procesador de registro de M&T no funciona
El Servicio de autoridad certificadora no se está ejecutando
El servicio EST no se está ejecutando
Servicio de motor SXP deshabilitado
Servicio TC-NAC deshabilitado
Servicio WMI de PassiveID deshabilitado
Servicio Syslog PassiveID deshabilitado
Servicio API PassiveID deshabilitado
Servicio de agente de PassiveID deshabilitado
PassiveID Endpoint Service deshabilitado
Servicio SPAN de PassiveID deshabilitado
Servidor DHCP (dhcpd) deshabilitado
Servidor DNS (con nombre) deshabilitado
Servicio de mensajería ISE que ejecuta 8556
Inicialización del servicio de base de datos ISE API Gateway
El servicio ISE API Gateway no se está ejecutando
El servicio ISE pxGrid Direct no se está ejecutando
Servicio de políticas de segmentación deshabilitado
Servicio de autenticación REST deshabilitado
Conector SSE deshabilitado
Hermes (pxGrid Cloud Agent) deshabilitado
McTrust (servicio Meraki Sync) desactivado
MFA (Duo Sync Service) desactivado
Exportador de nodo de ISE sin ejecución
El servicio ISE Prometheus no se está ejecutando
El servicio ISE Grafana no se está ejecutando
ISE MNT LogAnalytics Elasticsearch no se está ejecutando
El servicio ISE Logstash no se está ejecutando
El servicio ISE Kibana no se está ejecutando
El servicio IPSec nativo de ISE no se está ejecutando
El analizador de MFC no se está ejecutando
asc-ise33p4-1640/admin#usgv6 status
Usgv6 habilitado, EUI64
Preguntas frecuentes
Pregunta: ¿La activación de USGv6 EUI64 implica un reinicio del nodo ISE?
Respuesta: Yes
Pregunta: ¿La activación de USGv6 Opaco implica un reinicio del nodo ISE?
Respuesta: Yes
Pregunta: ¿Está USGv6 habilitado o deshabilitado de forma predeterminada?
Respuesta: Inhabilitado
Pregunta: ¿Cuál es la primera versión de ISE compatible con USGv6?
Respuesta: Esta función se admite actualmente en el parche 4 de la versión 3.3 de ISE.
Referencia
USGv6 Revisión 1: https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1
Detalles técnicos de USGv6: https://www.nist.gov/programs-projects/usgv6-program/technical-details