简介
本文档介绍适用于ISE 3.3补丁4的USGv6认证支持矩阵。
前提条件
Cisco 建议您了解以下主题:
- 思科身份服务引擎(ISE)3.3
- 有关IPv6的基本知识
背景信息
- USGv6框架包括:
- USGv6配置文件:一组协议规范,包括基本IPv6功能、特定要求和可选功能。
- USGv6测试计划:一项与行业主导的现有产品测试和认证工作相一致的计划。
- 与行业努力保持一致
- USGv6框架与行业主导的现有工作保持一致,例如:
- IPv6就绪
- IPv6-Forum
- DODv6
使用的组件
思科身份服务引擎3.3补丁4
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
高级流程图
USGv6流
其他详细信息
- 目前支持3.3补丁4。
- 启用或禁用时,系统在进行必要的更改后进行重新启动。
- USGv6 enable EUI64是ipv6地址的默认值(使用系统mac地址)
- USGv6 enable opaque为ipv6地址设置稳定密钥。
- 管理员可以根据需要在EUI64和不透明之间切换。每次都会执行重新引导。
- 如果启用,升级后必须禁用USGv6。
- 如果在系统上执行恢复,则USGv6的状态将保持不变。
示例:从USGv6禁用的节点获取的任何备份,如果恢复在启用USGv6的节点上,则恢复节点的状态仅启用USGv6。
CLI命令
可能完成的任务:
disable Set Usgv6 disable
enable Set Usgv6 enable
status Show Usgv6 status
可能完成的任务:
EUI64 Set Usgv6 enable with EUI64
Opaque Set Usgv6 enable with Opaque
- Usgv6 disable
- Usgv6状态
- 有关EUI64和不透明的详细信息:
EUI-64(扩展唯一标识符)是一种可用于自动配置IPv6主机地址的方法。IPv6设备必须使用其接口的MAC地址生成唯一的64位接口ID。
Opaque/SLAAC是一项IPv6功能,它允许主机自动生成自己的地址,而不是使用接口MAC地址。
用户执行流程
CLI命令
故障排除和日志记录
- 没有为此功能添加新的日志文件。
- 功能执行的日志位于ADE.log中
日志片段:
asc-ise33p4-1640/admin#usgv6 enable EUI64
%警告:这将启用USGV6、EUI64与底层操作系统的兼容性,并将重新启动节点。
是否要继续(y/n)y
系统将立即重新启动。
ADE日志:
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640根:重新启动系统usgv6enable,不透明
asc-ise33p4-1640/admin#show application status ise
ISE进程名称状态进程ID
--------------------------------------------------------------------
运行4576的数据库监听程序
运行90个进程的数据库服务器
应用程序服务器未运行
Profiler数据库未运行
ISE索引引擎未运行
AD连接器未运行
M&T会话数据库未运行
M&T日志处理器未运行
证书颁发机构服务未运行
EST服务未运行
SXP引擎服务已禁用
TC-NAC服务已禁用
已禁用PassiveID WMI服务
PassiveID系统日志服务已禁用
已禁用PassiveID API服务
已禁用PassiveID代理服务
已禁用PassiveID终端服务
已禁用PassiveID SPAN服务
DHCP服务器(dhcpd)已禁用
已禁用DNS服务器(已命名)
运行8556的ISE消息服务
ISE API网关数据库服务初始化
ISE API网关服务未运行
ISE pxGrid直接服务未运行
已禁用分段策略服务
REST身份验证服务已禁用
SSE连接器已禁用
Hermes(pxGrid云代理)已禁用
McTrust(Meraki同步服务)已禁用
MFA(双同步服务)已禁用
ISE节点导出器未运行
ISE Prometheus服务未运行
ISE Grafana服务未运行
ISE MNT日志分析弹性搜索未运行
ISE Logstash服务未运行
ISE Kibana服务未运行
ISE本地IPSec服务未运行
MFC分析器未运行
asc-ise33p4-1640/admin#usgv6状态
Usgv6已启用,EUI64
常见问题
问题:启用USGv6 EUI64是否涉及重新启动ISE节点?
回答:Yes
问题:启用USGv6 Opaque是否涉及重新启动ISE节点?
回答:Yes
问题:默认情况下是启用还是禁用USGv6?
回答:禁用
问题:哪个ISE版本支持USGv6?
回答:ISE版本3.3补丁4当前支持此功能。
参考
USGv6修订版1:https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1
USGv6技术详细信息:https://www.nist.gov/programs-projects/usgv6-program/technical-details