ISE 3.3 패치 4에서 USGv6 인증 지원 확인

소개

이 문서에서는 ISE 3.3 패치 4용 USGv6 Certification Support Matrix에 대해 설명합니다.

전제 조건

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco ISE(Identity Services Engine) 3.3
• IPv6에 대한 기본 지식

배경 정보

• USGv6(미국 정부 IPv6)(https://www.nist.gov/programs-projects/usgv6-program/usgv6) 프레임워크는 미국 연방 정부의 IPv6에 대한 기술 표준, 테스트 및 구매 요구 사항 집합입니다.
• 프레임워크의 목표는 다음과 같습니다.
  1. 정부 시스템에서 IPv6 도입을 촉진합니다.
  2. IPv6의 성공적인 통합을 보장합니다.
  3. 인증 제품을 IPv6 환경에 안전하게 배포할 수 있는지 확인

• USGv6 프레임워크에는 다음이 포함됩니다.
  1. USGv6 프로파일: 기본 IPv6 기능, 특정 요구 사항 및 선택적 기능을 포함하는 프로토콜 사양 집합입니다.
  2. USGv6 테스트 프로그램: 제품 테스트 및 인증에 대한 기존의 업계 주도의 노력에 부합하는 프로그램입니다.
  3. 업계 노력과 일치

• USGv6 프레임워크는 다음과 같이 기존 업계 주도의 노력과 일치합니다.
  
  1. IPv6 지원
  2. IPv6 포럼
  3. DODv6

사용되는 구성 요소

Cisco Identity Services Engine 3.3 패치 4

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

상위 레벨 흐름도

USGv6 흐름

추가 세부 정보

• 현재 3.3 패치 4에서 지원됩니다.
• 활성화하거나 비활성화하면 필요한 변경을 수행한 후 시스템이 재부팅됩니다.
• USGv6 enable EUI64는 ipv6 주소의 기본값입니다(시스템 mac 주소 사용)
• USGv6 enable opaque는 ipv6 주소의 안정적인 암호를 설정합니다.
• 관리자는 필요에 따라 EUI64와 불투명 간을 전환할 수 있습니다. 재부팅은 매번 수행됩니다.
• 활성화된 경우 업그레이드 후 USGv6를 비활성화해야 합니다.
• USGv6 상태는 시스템에서 복원을 수행하는 경우 시스템에서 그대로 유지됩니다.

          예: USGV6가 비활성화된 노드에서 가져온 백업은 USGv6가 활성화된 노드에서 복원된 경우, 복원된 노드의 상태는 USGv6가 활성화된 전용입니다.

CLI 명령

• Usgv6

            가능한 완료:

       disable Set Usgv6 disable

       enable Set Usgv6 enable

       상태 Show Usgv6 status

•       Usgv6 사용

                가능한 완료:

       EUI64 Set Usgv6 enable with EUI64

       불투명 세트 Usgv6 Enable with Opaque

• Usgv6 사용 안 함
• Usgv6 상태
• EUI64 및 Opaque에 대한 추가 정보:

  EUI-64(Extended Unique Identifier)는 IPv6 호스트 주소를 자동으로 구성하는 데 사용할 수 있는 방법입니다. IPv6 디바이스는 고유한 64비트 인터페이스 ID를 생성하기 위해 인터페이스의 MAC 주소를 사용해야 합니다.

  Opaque/SLAAC는 호스트가 인터페이스 MAC 주소를 사용하는 대신 자체 주소를 자동으로 생성할 수 있도록 하는 IPv6 기능입니다.

사용자 실행 흐름

CLI 명령

문제 해결 및 로깅

• 이 기능에 대한 새 로그 파일이 추가되지 않았습니다.
• 기능 실행에 대한 로그는 ADE.log에 있습니다

로그 조각:

asc-ise33p4-1640/admin#usgv6 enable EUI64
%경고: 이렇게 하면 기본 OS에 대한 USGV6, EUI64 호환성이 활성화되고 노드도 재부팅됩니다.
계속하시겠습니까(y/n) y
시스템이 지금 재부팅됩니다.

ADE 로그:
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640 루트: 재부팅 시스템 usgv6enable, Opaque

asc-ise33p4-1640/admin#show application status ise

ISE 프로세스 이름 상태 프로세스 ID
--------------------------------------------------------------------
4576을 실행하는 데이터베이스 리스너
90개 프로세스를 실행하는 데이터베이스 서버
응용 프로그램 서버가 실행되고 있지 않습니다.
프로파일러 데이터베이스가 실행되고 있지 않습니다.
ISE 인덱싱 엔진이 실행되고 있지 않음
AD 커넥터가 실행되고 있지 않습니다.
M&T 세션 데이터베이스가 실행되고 있지 않음
M&T 로그 프로세서가 실행되고 있지 않음
인증 기관 서비스가 실행되고 있지 않습니다.
EST 서비스가 실행되고 있지 않음
SXP 엔진 서비스 사용 안 함
TC-NAC 서비스 사용 안 함
PassiveID WMI 서비스를 사용할 수 없습니다.
PassiveID Syslog 서비스 사용 안 함
PassiveID API 서비스 사용 안 함
PassiveID 에이전트 서비스 사용 안 함
PassiveID 엔드포인트 서비스 사용 안 함
PassiveID SPAN 서비스 사용 안 함
DHCP 서버(dhcpd) 사용 안 함
DNS 서버(명명된) 사용 안 함
8556을 실행하는 ISE 메시징 서비스
ISE API 게이트웨이 데이터베이스 서비스 초기화 중
ISE API 게이트웨이 서비스가 실행되고 있지 않음
ISE pxGrid Direct 서비스가 실행되고 있지 않음
세그먼테이션 정책 서비스 사용 안 함
REST 인증 서비스 사용 안 함
SSE 커넥터 사용 안 함
Hermes(pxGrid Cloud Agent) 비활성화
McTrust(Meraki 동기화 서비스) 사용 안 함
MFA(Duo Sync Service) 사용 안 함
ISE 노드 엑스포터가 실행되지 않음
ISE Prometheus 서비스가 실행되고 있지 않음
ISE Grafana 서비스가 실행되고 있지 않음
ISE MNT LogAnalytics Elasticsearch가 실행되지 않음
ISE Logstash 서비스가 실행되고 있지 않음
ISE Kibana Service가 실행되지 않음
ISE 네이티브 IPSec 서비스가 실행되고 있지 않음
MFC 프로파일러가 실행되고 있지 않음

asc-ise33p4-1640/admin#usgv6 상태
Usgv6 지원, EUI64

FAQ

질문: USGv6 EUI64를 활성화하려면 ISE 노드를 재부팅해야 합니까?

답변: 예

질문: USGv6 Opaque 활성화에는 ISE 노드의 재부팅이 포함됩니까?

답변: 예

질문: USGv6는 기본적으로 활성화되어 있습니까 아니면 비활성화되어 있습니까?

답변: 비활성화됨

질문: USGv6를 지원하는 첫 번째 ISE 버전은 무엇입니까?

답변: 이 기능은 현재 ISE 버전 3.3 패치 4에서 지원됩니다.

참조

USGv6 개정판 1: https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1

USGv6 기술 세부사항: https://www.nist.gov/programs-projects/usgv6-program/technical-details