驗證ISE 3.3補丁4上的USGv6認證支援

簡介

本文檔介紹適用於ISE 3.3補丁4的USGv6認證支援矩陣。

前提條件

思科建議您瞭解以下主題：

• 思科身分識別服務引擎(ISE)3.3
• 有關IPv6的基本知識

背景資訊

• USGv6（美國政府IPv6）(https://www.nist.gov/programs-projects/usgv6-program/usgv6)框架是美國聯邦政府IPv6的一套技術標準、測試和購買要求。
• 框架目標是：
  1. 推動政府系統採用IPv6。
  2. 確保IPv6的成功整合。
  3. 確保在IPv6環境中可以安全地部署經認證的產品

• USGv6框架包括：
  1. USGv6配置檔案：一組協定規範，包括基本IPv6功能、特定要求和可選功能。
  2. USGv6測試計畫：與現有的由行業主導的產品測試和認證工作相一致的計畫。
  3. 與行業努力保持一致

• USGv6框架與現有行業主導的努力相一致，例如：
  
  1. IPv6就緒
  2. IPv6 — 論壇
  3. DODv6

採用元件

思科身分識別服務引擎3.3補丁4

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

高級流程圖

USGv6流量

其他詳細資訊

• 目前在3.3補丁4上受支援。
• 啟用或禁用時，系統在進行必要的更改後進行重新啟動。
• USGv6啟用EUI64是ipv6地址的預設值（使用系統mac地址）
• USGv6 enable opaque為ipv6地址設定穩定金鑰。
• 管理員可以根據需要在EUI64和不透明之間切換。每次都執行重新引導。
• 如果啟用，則升級後必須禁用USGv6。
• 如果在系統上執行恢復，則USGv6的狀態將保持不變。

          範例：從禁用了USGv6的節點進行的任何備份，如果在啟用了USGv6的節點上恢復，則恢復後的節點的狀態僅啟用USGv6。

CLI命令

• Usgv6

            可能的完成：

       disable Set Usgv6 disable

       enable Set Usgv6 enable

       狀態顯示Usgv6狀態

•       Usgv6 enable

                可能的完成：

       EUI64設定USGV6啟用EUI64

       Opaque Set Usgv6 enable with Opaque

• Usgv6禁用
• Usgv6狀態
• 關於EUI64和Opaque的更多資訊：

  EUI-64（擴展唯一識別符號）是一種可用於自動配置IPv6主機地址的方法。IPv6裝置必須使用其介面的MAC地址生成唯一的64位介面ID。

  OPAQUE/SLAAC是一種IPv6功能，允許主機自動生成自己的地址，而不是使用介面MAC地址。

使用者執行流程

CLI命令

疑難排解和記錄

• 沒有為此功能新增新的日誌檔案。
• 用於執行功能的日誌位於ADE.log中

日誌片段：

asc-ise33p4-1640/admin#usgv6 enable EUI64
%警告：這將啟用USGV6、EUI64與底層作業系統的相容性，並將重新啟動節點。
是否要繼續(y/n)y
系統將立即重新啟動。

ADE日誌：
2025-03-17T15:43:39.166258+00:00 asc-ise33p4-1640根：重新引導系統usgv6enable, Opaque

asc-ise33p4-1640/admin#show application status ise

ISE進程名稱狀態進程ID
--------------------------------------------------------------------
運行4576的資料庫監聽程式
資料庫伺服器運行90個進程
應用程式伺服器未運行
Profiler資料庫未運行
ISE索引引擎未運行
AD聯結器未運行
M&T會話資料庫未運行
M&T日誌處理器未運行
證書頒發機構服務未運行
EST服務未運行
SXP引擎服務已禁用
TC-NAC服務已禁用
已禁用PassiveID WMI服務
PassiveID系統日誌服務已禁用
已禁用PassiveID API服務
已禁用PassiveID代理服務
已禁用PassiveID終結點服務
已禁用PassiveID SPAN服務
已禁用DHCP伺服器(dhcpd)
已禁用DNS伺服器（已命名）
運行8556的ISE消息服務
ISE API網關資料庫服務初始化
ISE API網關服務未運行
ISE pxGrid直接服務未運行
已禁用分段策略服務
REST身份驗證服務已禁用
已禁用SSE聯結器
Hermes（pxGrid雲代理）已禁用
McTrust（Meraki同步服務）已禁用
MFA(Duo Sync Service)已禁用
ISE節點匯出器未運行
ISE Prometheus服務未運行
ISE Grafana服務未運行
ISE MNT日誌分析彈性搜尋未運行
ISE Logstash服務未運行
ISE Kibana服務未運行
ISE本地IPSec服務未運行
MFC探查器未運行

asc-ise33p4-1640/admin#usgv6狀態
支援USGV6,EUI64

常見問題

問題：啟用USGv6 EUI64是否涉及重新啟動ISE節點？

答案：是

問題：啟用USGv6 Opaque是否涉及重新啟動ISE節點？

答案：是

問題：預設情況下是啟用還是禁用USGv6?

答案：已停用

問題：哪個ISE版本支援USGv6?

答案：ISE版本3.3 Patch 4當前支援此功能。

參考

USGv6修訂版1:https://www.nist.gov/programs-projects/usgv6-program/usgv6-revision-1

USGv6技術詳細資訊：https://www.nist.gov/programs-projects/usgv6-program/technical-details