验证ISE 3.3补丁4上的USGv6认证支持

下载选项

  • PDF     (671.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (426.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (267.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 3 月 18 日
文档 ID:222848

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍适用于ISE 3.3补丁4的USGv6认证支持矩阵。

    前提条件

    Cisco 建议您了解以下主题:

    • 思科身份服务引擎(ISE)3.3
    • 有关IPv6的基本知识

    背景信息

    • USGv6(美国政府IPv6)(https://www.nist.gov/programs-projects/usgv6-program/usgv6)框架是美国联邦政府针对IPv6提出的一组技术标准、测试和购买要求。
    • 框架目标是:
      1. 推动政府系统采用IPv6。
      2. 确保IPv6成功集成。
      3. 确保在IPv6环境中可以安全地部署经认证的产品
    • USGv6框架包括:
      1. USGv6配置文件:一组协议规范,包括基本IPv6功能、特定要求和可选功能。
      2. USGv6测试计划:一项与行业主导的现有产品测试和认证工作相一致的计划。
      3. 与行业努力保持一致
    • USGv6框架与行业主导的现有工作保持一致,例如:
      1. IPv6就绪
      2. IPv6-Forum
      3. DODv6

    使用的组件

    思科身份服务引擎3.3补丁4

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    高级流程图

    USGv6 FlowUSGv6流

    其他详细信息

    • 目前支持3.3补丁4。
    • 启用或禁用时,系统在进行必要的更改后进行重新启动。
    • USGv6 enable EUI64是ipv6地址的默认值(使用系统mac地址)
    • USGv6 enable opaque为ipv6地址设置稳定密钥。
    • 管理员可以根据需要在EUI64和不透明之间切换。每次都会执行重新引导。
    • 如果启用,升级后必须禁用USGv6。
    • 如果在系统上执行恢复,则USGv6的状态将保持不变。

              示例:从USGv6禁用的节点获取的任何备份,如果恢复在启用USGv6的节点上,则恢复节点的状态仅启用USGv6。

    CLI命令

    • Usgv6

                可能完成的任务:

           disable Set Usgv6 disable

           enable Set Usgv6 enable

           status Show Usgv6 status

    •       Usgv6 enable

                    可能完成的任务:

           EUI64 Set Usgv6 enable with EUI64

           Opaque Set Usgv6 enable with Opaque

    • Usgv6 disable
    • Usgv6状态
    • 有关EUI64和不透明的详细信息:

      EUI-64(扩展唯一标识符)是一种可用于自动配置IPv6主机地址的方法。IPv6设备必须使用其接口的MAC地址生成唯一的64位接口ID。

      Opaque/SLAAC是一项IPv6功能,它允许主机自动生成自己的地址,而不是使用接口MAC地址。

    用户执行流程

    CLI CommandsCLI命令

    故障排除和日志记录

    • 没有为此功能添加新的日志文件。
    • 功能执行的日志位于ADE.log中

    日志片段:

    asc-ise33p4-1640/admin#usgv6 enable EUI64
    %警告:这将启用USGV6、EUI64与底层操作系统的兼容性,并将重新启动节点。
    是否要继续(y/n)y
    系统将立即重新启动。

    ADE日志:
    2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640根:重新启动系统usgv6enable,不透明


    asc-ise33p4-1640/admin#show application status ise

    ISE进程名称状态进程ID
    --------------------------------------------------------------------
    运行4576的数据库监听程序
    运行90个进程的数据库服务器
    应用程序服务器未运行
    Profiler数据库未运行
    ISE索引引擎未运行
    AD连接器未运行
    M&T会话数据库未运行
    M&T日志处理器未运行
    证书颁发机构服务未运行
    EST服务未运行
    SXP引擎服务已禁用
    TC-NAC服务已禁用
    已禁用PassiveID WMI服务
    PassiveID系统日志服务已禁用
    已禁用PassiveID API服务
    已禁用PassiveID代理服务
    已禁用PassiveID终端服务
    已禁用PassiveID SPAN服务
    DHCP服务器(dhcpd)已禁用
    已禁用DNS服务器(已命名)
    运行8556的ISE消息服务
    ISE API网关数据库服务初始化
    ISE API网关服务未运行
    ISE pxGrid直接服务未运行
    已禁用分段策略服务
    REST身份验证服务已禁用
    SSE连接器已禁用
    Hermes(pxGrid云代理)已禁用
    McTrust(Meraki同步服务)已禁用
    MFA(双同步服务)已禁用
    ISE节点导出器未运行
    ISE Prometheus服务未运行
    ISE Grafana服务未运行
    ISE MNT日志分析弹性搜索未运行
    ISE Logstash服务未运行
    ISE Kibana服务未运行
    ISE本地IPSec服务未运行
    MFC分析器未运行

    asc-ise33p4-1640/admin#usgv6状态
    Usgv6已启用,EUI64

    常见问题

    问题:启用USGv6 EUI64是否涉及重新启动ISE节点?

    回答:Yes

    问题:启用USGv6 Opaque是否涉及重新启动ISE节点?

    回答:Yes

    问题:默认情况下是启用还是禁用USGv6?

    回答:禁用

    问题:哪个ISE版本支持USGv6?

    回答:ISE版本3.3补丁4当前支持此功能。

    参考

    USGv6修订版1:https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1

    USGv6技术详细信息:https://www.nist.gov/programs-projects/usgv6-program/technical-details

    修订历史记录

    版本 发布日期 备注
    1.0
    18-Mar-2025
    初始版本
    TAC Authored

    由思科工程师提供

    • 马伊尔·拉杰·奇丹巴拉姆
      客户交付工程技术主管

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品