Introduzione
Questo documento descrive la matrice di supporto per la certificazione USGv6 per ISE 3.3 Patch 4.
Prerequisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Identity Services Engine (ISE) 3.3
- Conoscenze base di IPv6
Premesse
- La struttura USGv6 (U.S. Government IPv6) (https://www.nist.gov/programs-projects/usgv6-program/usgv6) è costituita da una serie di standard tecnici, test e requisiti di acquisto per IPv6 nel governo federale degli Stati Uniti.
- Gli obiettivi del quadro sono i seguenti:
- Progredire nell'adozione dell'IPv6 nel sistema governativo.
- Garantire la corretta integrazione di IPv6.
- Garantire l'installazione sicura dei prodotti certificati in ambienti IPv6
- Il framework USGv6 include:
- Profilo USGv6: Set di specifiche di protocollo che include funzionalità IPv6 di base, requisiti specifici e funzionalità opzionali.
- Programma di test USGv6: Un programma in linea con le iniziative leader del settore in materia di test e certificazione dei prodotti.
- Allineamento con gli sforzi del settore
- Il framework USGv6 è in linea con le iniziative industriali esistenti, quali:
- Predisposto per IPv6
- Forum IPv6
- DODv6
Componenti usati
Patch 4 per Cisco Identity Services Engine 3.3
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Diagramma di flusso ad alto livello
Flusso USGv6
Ulteriori dettagli
- Supportato su Patch 4 3.3 a partire da ora.
- Se abilitato o disabilitato, il sistema viene riavviato dopo aver apportato le modifiche necessarie.
- USGv6 enable EUI64 è l'impostazione predefinita per l'indirizzo ipv6 (utilizzando l'indirizzo MAC di sistema)
- USGv6 enable opaque imposta il segreto stabile per l'indirizzo ipv6.
- L'amministratore può scegliere tra EUI64 e opaco a seconda delle esigenze. Il sistema viene riavviato ogni volta.
- Se abilitato, USGv6 deve essere disabilitato dopo l'aggiornamento.
- Lo stato di USGv6 rimane invariato se il ripristino viene eseguito sul sistema.
Esempio: Qualsiasi backup eseguito da un nodo disabilitato di USG6, se ripristinato in un nodo abilitato per USGv6, lo stato del nodo ripristinato è abilitato solo per USGv6.
Comandi CLI
Completamenti possibili:
disattiva Imposta Usgv6 disattiva
abilita Set Usgv6 enable
stato Mostra stato Usgv6
Completamenti possibili:
EUI64 Imposta Usgv6 abilitato con EUI64
Opaco Impostare Usgv6 abilitare con Opaco
- Usgv6 disable
- Stato Usgv6
- Ulteriori informazioni su EUI64 e Opaque:
EUI-64 (Extended Unique Identifier, identificatore univoco esteso) è un metodo che consente di configurare automaticamente gli indirizzi host IPv6. Un dispositivo IPv6 deve utilizzare l'indirizzo MAC della relativa interfaccia per generare un ID di interfaccia univoco a 64 bit.
Opaco/SLAAC è una funzionalità IPv6 che consente agli host di generare automaticamente i propri indirizzi anziché utilizzare l'indirizzo MAC dell'interfaccia.
Flusso di esecuzione utente
Comandi CLI
Risoluzione dei problemi e registrazione
- Nessun nuovo file di log aggiunto per questa funzionalità.
- I log per l'esecuzione della funzionalità si trovano nel file ADE.log
Frammenti di log:
asc-ise33p4-1640/admin#usgv6 abilitazione EUI64
%WARNING: In questo modo verrà attivata la compatibilità con USGV6 ed EUI64 con il sistema operativo sottostante e verrà inoltre riavviato il nodo.
Continuare (s/n) y?
Il sistema verrà riavviato ora.
Registri ADE:
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 radice: Riavvio del sistema usgv6enable, Opaque
asc-ise33p4-1640/admin#show application status ise
ISE NOME PROCESSO STATO ID PROCESSO
—
Listener del database con 4576 in esecuzione
Server di database che esegue 90 PROCESSES
Server applicazioni non in esecuzione
Database del profiler non in esecuzione
ISE Indexing Engine non in esecuzione
Connettore AD non in esecuzione
Database sessione M&T non in esecuzione
M&T Log Processor non in esecuzione
Servizio Autorità di certificazione non in esecuzione
Servizio EST non in esecuzione
Servizio motore SXP disabilitato
Servizio TC-NAC disabilitato
Servizio WMI PassiveID disabilitato
Servizio syslog ID passivo disabilitato
Servizio API PassiveID disabilitato
Servizio Agente ID passivo disabilitato
Servizio endpoint ID passivo disabilitato
Servizio SPAN ID passivo disabilitato
Server DHCP (dhcpd) disabilitato
Server DNS (denominato) disabilitato
Servizio di messaggistica ISE con 8556
Inizializzazione del servizio di database gateway API ISE
Servizio gateway API ISE non in esecuzione
Il servizio ISE pxGrid Direct non è in esecuzione
Servizio criteri di segmentazione disabilitato
Servizio autenticazione REST disabilitato
Connettore SSE disabilitato
Hermes (agente cloud pxGrid) disabilitato
McTrust (servizio di sincronizzazione Meraki) disabilitato
MFA (Duo Sync Service) disabilitato
ISE Node Exporter non in esecuzione
ISE Prometheus Service non in esecuzione
ISE Grafana Service non in esecuzione
ISE NT LogAnalytics Elasticsearch non in esecuzione
Il servizio ISE Logstash non è in esecuzione
Servizio ISE Kibana non in esecuzione
Servizio IPSec nativo ISE non in esecuzione
Profiler MFC non in esecuzione
stato asc-ise33p4-1640/admin#usgv6
Usgv6 abilitato, EUI64
Domande frequenti
Domanda: L'abilitazione di USGv6 EUI64 implica il riavvio di ISE Node?
Risposta. Sì
Domanda: L'abilitazione di USGv6 Opaque implica il riavvio del nodo ISE?
Risposta. Sì
Domanda: USGv6 è abilitato o disabilitato per impostazione predefinita?
Risposta. Disabled
Domanda: Qual è la prima versione ISE a supportare USGv6?
Risposta. Questa funzione è attualmente supportata su ISE versione 3.3, patch 4.
Riferimento
USGv6 Revisione 1: https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1
Dettagli tecnici di USGv6: https://www.nist.gov/programs-projects/usgv6-program/technical-details