ISE 3.3パッチ4でのUSGv6認定サポートの確認

はじめに

このドキュメントでは、ISE 3.3パッチ4のUSGv6認定サポートマトリックスについて説明します。

前提条件

次の項目に関する知識があることが推奨されます。

• Cisco Identity Services Engine(ISE)3.3
• IPv6に関する基礎知識

背景説明

• USGv6(U.S. Government IPv6)(https://www.nist.gov/programs-projects/usgv6-program/usgv6)フレームワークは、米国連邦政府におけるIPv6の一連の技術標準、テスト、および購入要件です。
• フレームワークの目標は次のとおりです。
  1. 政府システムへのIPv6の導入を推進する。
  2. IPv6の統合が正常に行われることを確認します。
  3. 認定製品をIPv6環境に安全に導入できるようにする

• USGv6フレームワークには次のものが含まれます。
  1. USGv6プロファイル：基本的なIPv6機能、特定の要件、およびオプションの機能を含むプロトコル仕様のセット。
  2. USGv6 Test Program：製品のテストと認定に関する既存の業界主導の取り組みに合わせたプログラム。
  3. 業界の取り組みとの整合性

• USGv6フレームワークは、次のような既存の業界主導の取り組みと連携します。
  
  1. IPv6対応
  2. IPv6フォーラム
  3. DODv6

使用するコンポーネント

Cisco Identity Services Engine 3.3パッチ4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

高レベル フロー図

USGv6フロー

その他の詳細事項

• 現時点では、3.3パッチ4でサポートされています。
• 有効または無効にすると、必要な変更を行った後でシステムがリブートします。
• USGv6 enable EUI64は、ipv6アドレスのデフォルトです（システムMACアドレスを使用）
• USGv6 enable opaqueはipv6アドレスの安定したシークレットを設定します。
• 管理者は、必要に応じてEUI64とopaqueの両方を切り替えることができます。毎回リブートが実行されます。
• 有効にした場合、アップグレード後にUSGv6を無効にする必要があります。
• システム上でリストアが実行された場合、システム上のUSGv6の状態は変わりません。

          例：USGV6が無効なノードから取得されたバックアップがUSGv6が有効なノードで復元された場合、復元されたノードの状態はUSGv6が有効な状態のみです。

CLI コマンド

• Usgv6

            実行可能な完了：

       無効Set Usgv6 disable

       enable Set Usgv6 enable

       ステータスUsgv6ステータスの表示

•       Usgv6有効

                実行可能な完了：

       EUI64 EUI64を使用したUsgv6の有効化の設定

       Opaque Set Usgv6 enable with Opaque（不透明セットUsgv6の有効化と不透明による無効化）

• Usgv6の無効化
• Usgv6ステータス
• EUI64とOpaqueの詳細：

  EUI-64（拡張一意識別子）は、IPv6ホストアドレスを自動的に構成するために使用できる方法です。IPv6デバイスは、インターフェイスのMACアドレスを使用して、一意の64ビットインターフェイスIDを生成する必要があります。

  Opaque/SLAACは、ホストがインターフェイスのMACアドレスを使用する代わりに独自のアドレスを自動的に生成できるようにするIPv6機能です。

ユーザ実行フロー

CLI コマンド

トラブルシューティングとロギング

• この機能では、新しいログファイルは追加されません。
• 機能実行のログはADE.logにあります

ログのスニペット

asc-ise33p4-1640/admin#usgv6 enable EUI64
%WARNING：これにより、基盤となるOSとのUSGV6、EUI64互換性が有効になり、ノードも再起動します。
続行しますか(y/n) y
システムを今すぐ再起動します。

ADEログ：
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 root: Rebooting system usgv6enable, Opaque

asc-ise33p4-1640/admin#show application status ise

ISEプロセス名状態プロセスID
--------------------------------------------------------------------
4576を実行しているデータベースリスナー
90のプロセスを実行するデータベース・サーバ
アプリケーションサーバーが実行されていません
プロファイラデータベースが実行されていません
ISEインデックスエンジンが実行されていません
ADコネクタが実行されていません
M&Tセッションデータベースが実行されていません
M&Tログプロセッサが実行されていません
認証局サービスが実行されていません
ESTサービスが実行されていません
SXPエンジンサービスが無効
TC-NACサービスが無効
PassiveID WMIサービスが無効です
PassiveID Syslogサービスが無効
PassiveID APIサービスが無効
PassiveIDエージェントサービスが無効
PassiveIDエンドポイントサービスが無効
PassiveID SPANサービスが無効
DHCPサーバー(dhcpd)が無効
DNSサーバー（名前付き）が無効です
8556を実行するISEメッセージングサービス
ISE API Gateway Database Serviceの初期化
ISE API Gatewayサービスが実行されていない
ISE pxGrid Directサービスが実行されていません
Segmentation Policy Serviceが無効
REST認証サービスが無効
SSEコネクタが無効
Hermes (pxGrid Cloud Agent)が無効
McTrust （Meraki同期サービス）が無効
MFA (Duo Sync Service)が無効です
ISEノードエクスポータが実行されていない
ISE Prometheusサービスが実行されていません
ISE Grafanaサービスが実行されていません
ISE MNT LogAnalytics Elasticsearchが実行されていません
ISE Logstashサービスが実行されていません
ISE Kibanaサービスが実行されていません
ISEネイティブIPSecサービスが実行されていない
MFCプロファイラが実行されていません

asc-ise33p4-1640/admin#usgv6ステータス
Usgv6対応、EUI64

FAQ

質問：USGv6 EUI64を有効にするには、ISEノードをリブートする必要がありますか。

正解：はい

質問：USGv6 Opaqueを有効にするには、ISEノードをリブートする必要がありますか。

正解：はい

質問：USGv6はデフォルトで有効になっていますか、無効になっていますか。

正解：無効

質問：USGv6をサポートする最初のISEバージョンはどれですか。

正解：この機能は現在、ISEバージョン3.3パッチ4でサポートされています。

参考

USGv6リビジョン1:https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1

USGv6技術詳細：https://www.nist.gov/programs-projects/usgv6-program/technical-details