Introduction
Ce document décrit la matrice de prise en charge de la certification USGv6 pour ISE 3.3 Patch 4.
Conditions préalables
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco Identity Services Engine (ISE) 3.3
- Connaissances de base sur IPv6
Informations générales
- Le cadre USGv6 (U.S. Government IPv6) (https://www.nist.gov/programs-projects/usgv6-program/usgv6) est un ensemble de normes techniques, de tests et d'exigences d'achat pour IPv6 au sein du gouvernement fédéral américain.
- Les objectifs du cadre sont les suivants :
- Faire progresser l'adoption de l'IPv6 dans le système gouvernemental.
- Assurez l'intégration réussie d'IPv6.
- S'assurer que les produits certifiés peuvent être déployés en toute sécurité dans les environnements IPv6
- L'infrastructure USGv6 inclut :
- Profil USGv6 : Ensemble de spécifications de protocole incluant des fonctionnalités IPv6 de base, des exigences spécifiques et des fonctionnalités facultatives.
- Programme de test USGv6 : Un programme qui s'aligne sur les efforts actuels du secteur en matière de test et de certification des produits.
- Alignement sur les efforts du secteur
- L'infrastructure USGv6 s'aligne sur les efforts existants menés par le secteur, tels que :
- Prêt pour IPv6
- IPv6-Forum
- DODv6
Composants utilisés
Correctif 4 de Cisco Identity Services Engine 3.3
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Diagramme de flux de haut niveau
Flux USGv6
Détails supplémentaires
- Pris en charge sur 3.3 Patch 4 à partir de maintenant.
- Lorsque cette option est activée ou désactivée, le système redémarre après avoir effectué les modifications nécessaires.
- USGv6 enable EUI64 est la valeur par défaut de l'adresse ipv6 (à l'aide de l'adresse MAC système)
- USGv6 enable opaque définit le secret stable de l'adresse ipv6.
- L'administrateur peut basculer entre EUI64 et opaque en fonction des besoins. Un redémarrage est effectué à chaque fois.
- Si cette option est activée, USGv6 doit être désactivé après la mise à niveau.
- L'état de l'USGv6 reste le même sur un système si la restauration est effectuée sur le système.
Exemple : Toute sauvegarde effectuée à partir d'un noeud USGV6 désactivé, si elle est restaurée sur un noeud activé par USGv6, l'état du noeud restauré est uniquement activé par USGv6.
Commandes CLI
Achèvement possible :
disable Set Usgv6 disable
enable Set Usgv6 enable
status Afficher l'état Usgv6
Achèvement possible :
EUI64 Set Usgv6 enable avec EUI64
Opaque Set Usgv6 enable avec opaque
- Désactivation Usgv6
- État Usgv6
- En savoir plus sur EUI64 et opaque :
EUI-64 (Extended Unique Identifier) est une méthode que vous pouvez utiliser pour configurer automatiquement les adresses d'hôte IPv6. Un périphérique IPv6 doit utiliser l'adresse MAC de son interface pour générer un ID d'interface 64 bits unique.
Opaque/SLAAC est une fonctionnalité IPv6 qui permet aux hôtes de générer automatiquement leurs propres adresses au lieu d'utiliser l'adresse MAC de l'interface.
Flux d'exécution utilisateur
Commandes CLI
Dépannage et consignation
- Aucun nouveau fichier journal n'est ajouté pour cette fonctionnalité.
- Les journaux d'exécution de la fonctionnalité se trouvent dans le fichier ADE.log
Extraits du journal :
asc-ise33p4-1640/admin#usgv6 enable EUI64
%AVERTISSEMENT : Cela active la compatibilité USGV6, EUI64 avec le système d'exploitation sous-jacent et redémarre également le noeud.
Voulez-vous continuer (o/n) o
Le système va redémarrer maintenant.
Journaux ADE :
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 racine : Redémarrage du système usgv6enable, Opaque
asc-ise33p4-1640/admin#show application status ise
NOM DU PROCESSUS ISE ÉTAT ID DU PROCESSUS
--------------------------------------------------------------------
Écouteur de base de données 4576
Serveur de base de données exécutant 90 PROCESSUS
Serveur d'applications inactif
Base de données Profiler non exécutée
Moteur d'indexation ISE inactif
Connecteur AD inactif
Base de données de session M&T non exécutée
M&T Log Processor non exécuté
Service d'autorité de certification non actif
Service EST non exécuté
Service du moteur SXP désactivé
TC-NAC Service désactivé
Service WMI PassiveID désactivé
Service Syslog PassiveID désactivé
Service d'API PassiveID désactivé
Service d'agent PassiveID désactivé
Service de point de terminaison PassiveID désactivé
Service SPAN PassiveID désactivé
Serveur DHCP (dhcpd) désactivé
Serveur DNS (nommé) désactivé
Service de messagerie ISE exécutant 8556
ISE API Gateway Database Service initialisation
Service de passerelle d'API ISE non exécuté
Service direct ISE pxGrid non exécuté
Service de stratégie de segmentation désactivé
Service d'authentification REST désactivé
Connecteur SSE désactivé
Hermes (pxGrid Cloud Agent) désactivé
McTrust (Service de synchronisation Meraki) désactivé
MFA (Duo Sync Service) désactivé
Exportateur de noeud ISE non exécuté
Le service Prometheus ISE ne fonctionne pas
Service ISE Grafana non exécuté
ISE MNT LogAnalytics Elasticsearch non exécuté
Le service ISE Logstash ne fonctionne pas
Le service ISE Kibana ne fonctionne pas
Service IPSec natif ISE non exécuté
MFC Profiler non exécuté
asc-ise33p4-1640/admin#usgv6 status
Usgv6 activé, EUI64
Forum aux questions
Question : L'activation d'USGv6 EUI64 implique-t-elle un redémarrage du noeud ISE ?
Réponse : Oui
Question : L'activation d'USGv6 Opaque implique-t-elle un redémarrage du noeud ISE ?
Réponse : Oui
Question : USGv6 est-il activé ou désactivé par défaut ?
Réponse : Désactivé
Question : Quelle est la première version ISE à prendre en charge USGv6 ?
Réponse : Cette fonctionnalité est actuellement prise en charge par ISE version 3.3 Patch 4.
Référence
USGv6 Révision 1 : https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1
Détails techniques de USGv6 : https://www.nist.gov/programs-projects/usgv6-program/technical-details