Cisco ISE 3.0 Admin Portal en CLI met IPv6 configureren
Inhoud
Inleiding
Dit document beschrijft de procedure om Cisco Identity Services Engine (ISE) te configureren met IPv6 voor Admin Portal en CLI.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Identity Services Engine (ISE)
- IPv6
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ISE versie 3.0 Patch 4.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
In de meeste gevallen kan Cisco Identity Services Engine worden geconfigureerd met een IPv4-adres om ISE te beheren via gebruikersinterface (GUI) en CLI-inloggen in Admin Portal, maar vanaf ISE versie 2.6 en hoger Cisco ISE kunnen worden beheerd via een IPv6-adres en een IPv6-adres naar Eth0 (interface) configureren, zowel als via CLI. Wanneer het geconfigureerd IPv6-adres is, wordt aanbevolen een IPv4-adres in te stellen (naast IPv6-adres) voor de communicatie van Cisco ISE-knooppunten. Daarom is dubbele stack (combinatie van IPv4 en IPv6) vereist.
Het is mogelijk om Secure Socket Shell (SSH) te configureren met IPv6-adressen. Cisco ISE ondersteunt meerdere IPv6-adressen op elke interface en deze IPv6-adressen kunnen worden geconfigureerd en beheerd met CLI.
Configureren
Netwerkdiagram
Het beeld geeft een voorbeeld van een netwerkdiagram
ISE-configuratie
Opmerking: Standaard is ipv6-adresoptie ingeschakeld voor alle ISE-interfaces. Het is een beste praktijk om deze optie uit te schakelen indien het niet gepland is om te worden gebruikt de geen ipv6-adres in te stellen en/of geen ipv6 waar van toepassing toelaat. Gebruik de opdracht show run om te valideren welke interfaces ipv6 hebben ingeschakeld.
Opmerking: De configuratie is van mening dat cisco ISE reeds met IPv4-adressering is geconfigureerd.
ems-ise-mnt001/admin# terminal configureren
ems-ise-mnt001/admin (configuratie)# int Gigabit Ethernet 0
ems-ise-mnt001/admin (configuratie-Gigabit Ethernet)# ipv6-adres 2001:420:404a:133:66
% Een wijziging van het IP-adres kan ertoe leiden dat de diensten opnieuw worden gestart
Doorgaan met verandering van IP-adres? Y/N [N]:Y
Opmerking: Wanneer IP-adressering op een interface wordt toegevoegd of gewijzigd, worden de services opnieuw opgestart
Stap 2. Zodra de services opnieuw zijn opgestart, geeft u de opdracht voor de statuswijziging van de show uit om te bevestigen dat de services worden uitgevoerd:
ems-ise-mnt001/admin# tonen toepassingsstatus
ISE PROCESS NAME STATE PROCESS-ID
—
Databasenlijster met 1252
Databaseserver met 74 PROCESSEN
Toepassingsserver met 1134
Profiler database met 6897
ISE-Indexmotor 14121
AD-connector versie 17184
M&T Sessiedatabase met 6681
M&T-logprocessor met 1337
Service van certificeringsinstanties met 17044
EST-service: 1059
SXP Engine Service uitgeschakeld
Docker Daemon actief 3579
TC-NAC-service uitgeschakeld
PxGrid-infrastructuurservice: 9712
PxGrid-abonnementsservice voor uitgevers 9791
PxGrid Connection Manager met 9761
PxGrid-controller met 9821
PassiveID WMI-service uitgeschakeld
PassiveID Syslog-service uitgeschakeld
PassiveID API-service uitgeschakeld
Passive-ID Agent-service uitgeschakeld
PassiveID Endpoint Service uitgeschakeld
Passive-ID SPAN-service uitgeschakeld
DHCP-server (dhcpd) uitgeschakeld
DNS-server (genaamd) uitgeschakeld
ISE-Messaging Service: 4260
ISE API-gateway Database Service die 5805 draait
ISE API-gateway voor servicemodule met 8973
Segmenteringsbeleid uitgeschakeld
REST-auteur uitgeschakeld
SSE-connector uitgeschakeld
Stap 3. Geef de opdracht show run uit om IPv6 te valideren is ingesteld op Eth0 (interface):
ems-ise-mnt001/admin# tonen run
Configuratie genereren...
!
hostname-ise-mnt001
!
ip-domeinnaam ise.com
!
ipv6-schakelsysteem
!
interface Gigabit Ethernet 10
ip-adres 10.52.13.175 255.255.255.0
ipv6-adres 2001:420:404a:133:66/64
ipv6-adresautorisatie
ipv6-schakelsysteem
!
Verifiëren
Cisco ISE UI
Stap 1 . Open een nieuwe browser van het venster en type https://[2001:420:404a:133::66]. Let erop dat het IPv6-adres tussen haakjes moet staan.
Cisco ISE SSH
Opmerking: Secure CRT wordt in dit voorbeeld gebruikt.
Stap 1. Open een nieuwe SSH-sessie en type het IPv6-adres, gevolgd door Admin-gebruikersnaam en -wachtwoord.
Stap 2. Geef het opdracht Show interface gigabitEthernet 0 uit om IPv6-adres te valideren dat op Eth0 (interface) is geconfigureerd:
ems-ise-mnt001/admin# toont interface Gigabit Ethernet 0
Gigabit Ethernet 900
vlaggen=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
10.52.13.175 netmask 255.255.255.0 uitzending 10.52.13.255
inet 6.2001:420:404a:133:117:4cd6:4dfe:811 voorfixlen 64 met verdiepingen van 0x0<global>
inet 6.2001:420:404a:133:66 voorfixeermiddelen 64 scopeid 0x0<global>
Ether 00:50:56:89:74:4f txwachtrij 1000 (Ethernet)
RX-pakketten 1768390 bytes 15013193200 (13.9 GiB)
RX fouten 0 laten vallen 7611 overschrijdingen 0 frame 0
TX-pakketten 1604234 bytes 2712406084 (2,5 GiB)
TX fouten 0 die 0 overschrijdingen 0 drager 0 botsingen 0
Stap 3. Geef de opdracht van de show gebruikers uit om het IPv6-adres van de bron te valideren.
ems-ise-mnt001/admin# toont gebruikers
HOST TTY LOGIN DATETIJD VOOR USERNAME
Admin Admin 10.82.237.218 punten/0 min. 6 19:47:38 2021
Admin Admin 2001:420:c0c4:1005:589 punten/2 min. 6 20:09:04 20
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Communicatievalidatie met gebruik van ping voor IPv6-adres op MacOS
Stap 1 . Open een terminal en gebruik de opdracht ping6 <IPv6 Address> om de communicatiereactie van ISE te valideren
M-65PH:~ ecanogut$ ping6 2001:420:404a:133:66
PING6(56=40+8+8 bytes) 2001:420:c0c4:1005:589 —> 2001:420:404a:133:66
16 bytes van 2001:420:404a:133:66, icmp_seq=0 hlim=51 tijd=229.774 ms
16 bytes van 2001:420:404a:133:66, icmp_seq=1 hlim=51 tijd=231.262 ms
16 bytes van 2001:420:404a:133:66, icmp_seq=2 hlim=51 tijd=230,545 ms
16 bytes van 2001:420:404a:133:66, icmp_seq=3 hlim=51 time=320.207 ms
16 bytes van 2001:420:404a:133:66, icmp_seq=4 hlim=51 time=236.246
Communicatievalidatie met gebruik van ping voor IPv6-adres in Windows
IPv6 kan alleen worden uitgevoerd als de IPv6-ping-opdracht werkt als IPv6 is ingeschakeld in de netwerkconfiguratie.
Stap 1. Selecteer Start > Instellingen > Configuratiescherm > Netwerk en Internet > Netwerk en Verdelen Center > Instellingen adapter wijzigen.
Stap 2. Verifieer Internet Protocol, versie 6 (TCP/IPv6) is ingeschakeld, klik op het selectieteken voor het geval deze optie wordt uitgeschakeld.
Stap 3: Open een terminal en gebruik ping <IPv6-adres> of ping-6 opdracht <ise_Nokter_fqdn>om de communicatiereactie van ISE te valideren
> ping 2001:420:404
Communicatievalidatie met gebruik van ping voor IPv6-adres op IPv6 pingen in Linux (Ubuntu, Debian, Mint, CentOS, RHEL).
Stap 1. Open een terminal en gebruik ping <IPv6-adres> of ping-6 <ise_knoop_fqdn> opdracht om de communicatiereactie van ISE te valideren
$ ping 2001:420:404
Communicatievalidatie met gebruik van ping voor IPv6-adres op IPv6 pingen in Cisco (IOS)
Opmerking: Cisco biedt de ping-opdracht in exec-modus om de connectiviteit op de IPv6-doelstellingen te controleren. De ping-opdracht vereist ipv6-parameter en het IPv6-adres van het doel.
Stap 1. Meld u aan bij cisco IOS-apparaat in de absolute modus en geeft de opdracht ping IPv6 <IPv6-adres> uit om de communicatiereactie van ISE te valideren
# ping ipv6 2001:420:404
Opmerking: Daarnaast kunt u ook capsules van ISE nemen om het inkomen IPv6 verkeer te valideren
Extra verwijzing: https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
23-Dec-2021 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)