تكوين مدخل مسؤول Cisco ISE 3.0 و CLI باستخدام IPv6

المقدمة

يصف هذا المستند إجراء تكوين محرك خدمات تعريف Cisco (ISE) باستخدام IPv6 لمدخل المسؤول و CLI (واجهة سطر الأوامر).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• محرك خدمات الهوية (ISE)
• IPv6

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• ISE الإصدار 3. 0 Patch 4.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

في معظم الحالات، يمكن تكوين Cisco Identity Services Engine باستخدام عنوان IPv4 لإدارة ISE من خلال واجهة المستخدم (GUI) وسجل الدخول إلى واجهة سطر الأوامر (CLI) في مدخل المسؤول، ومع ذلك، من ISE الإصدار 2.6 وما فوق Cisco ISE يمكن إدارتها عبر عنوان IPv6، وتكوين عنوان IPv6 إلى ETH0 (الواجهة) عند معالج الإعداد وكذلك من خلال CLI. عند تكوين عنوان IPv6، يوصى بتكوين عنوان IPv4 (بالإضافة إلى عنوان IPv6) للاتصال بعقدة Cisco ISE. وبالتالي، يلزم توفر مكدس مزدوج (يضم كلا من IPv4 و IPv6).
من الممكن تكوين "طبقة مأخذ التوصيل الآمنة" (SSH) باستخدام عناوين IPv6. يدعم Cisco ISE عناوين IPv6 متعددة على أي واجهة ويمكن تكوين عناوين IPv6 هذه وإدارتها باستخدام CLI (واجهة سطر الأوامر).

التكوين

الرسم التخطيطي للشبكة

تقدم الصورة مثالا على الرسم التخطيطي للشبكة

تكوين ISE

ملاحظة: يتم تمكين خيار عنوان IPv6 بشكل افتراضي في جميع واجهات ISE. من أفضل الممارسات تعطيل هذا الخيار في حالة عدم التخطيط لاستخدامه قم بإصدار الأمر no ipV6 address autoconfig و/أو no ipV6 enable حيثما ينطبق ذلك. أستخدم الأمر show run للتحقق من الواجهات التي تم تمكين IPv6 لها.

ملاحظة: يعتبر التكوين أن Cisco ISE تم تكوينها بالفعل باستخدام عنونة IPv4.

EMS-ISE-MNT001/admin# تكوين الوحدة الطرفية

ms-ise-mnt001/admin(config)# int gigabitEthernet 0

ms-ise-mnt001/admin(config-gigabitEthernet)# عنوان IPv6 2001:420:404a:133::66

٪ قد يؤدي تغيير عنوان IP إلى إعادة تشغيل خدمات ISE

هل تريد المتابعة مع تغيير عنوان IP؟  ص/ن [ن]:ص

ملاحظة: تتسبب إضافة عنونة IP أو تغييرها على واجهة في إعادة تشغيل الخدمات

الخطوة 2. بمجرد إعادة تشغيل الخدمات، قم بإصدار الأمر show application status ise للتحقق من تشغيل الخدمات:

EMS-ISE-MNT001/admin# show application status ise

معرف عملية حالة اسم عملية ISE 

—

مستمع قاعدة البيانات الذي يشغل 1252       

خادم قاعدة البيانات الذي يقوم بتشغيل 74 عملية

خادم التطبيق الذي يتم تشغيله 11134      

قاعدة بيانات منشئ ملفات التعريف التي يتم تشغيلها 6897       

محرك الفهرسة ISE الذي يشغل 14121      

موصل AD قيد التشغيل 17184      

قاعدة بيانات جلسات M&T التي يتم تشغيلها 6681       

معالج M&T Log الذي يشغل 11337      

خدمة المرجع المصدق التي يتم تشغيلها عام 17044      

خدمة EST التي يتم تشغيلها عام 10559      

تم تعطيل خدمة محرك SXP                    

برنامج تشغيل Docker Daemon الذي يعمل بنظام التشغيل 3579       

تم تعطيل خدمة TC-NAC       

خدمة PxGrid Infrastructure Service التي يتم تشغيلها 9712       

خدمة مشترك PxGrid Publisher التي يتم تشغيلها 9791       

مدير اتصال pxGrid الذي يشغل 9761       

وحدة التحكم في شبكة pxGrid التي تشغل 9821       

تم تعطيل خدمة PassiveID WMI                    

تم تعطيل خدمة PassiveID Syslog                    

تم تعطيل خدمة PassiveID API                    

تم تعطيل خدمة عامل PassiveID                     

تم تعطيل خدمة نقطة نهاية PassiveID                    

PassiveID SPAN أعجزت خدمة                    

تم تعطيل خادم DHCP (DHCP)                    

تم تعطيل خادم DNS (المسمى)                    

خدمة ISE Messaging التي يتم تشغيلها 4260       

خدمة قاعدة بيانات عبارة ISE التي يتم تشغيلها 5805       

خدمة عبارة ISE API التي يتم تشغيلها 8973       

تم تعطيل خدمة نهج التجزئة                    

تم تعطيل خدمة مصادقة الراحة                    

تم تعطيل موصل SSE              

الخطوة 3. قم بإصدار الأمر show run للتحقق من تكوين IPv6 على Eth0 (الواجهة):

عرض EMS-ISE-MNT001/admin# تشغيل

يتم الآن إنشاء التكوين...

!       

hostname ems-ise-mnt001

!       

ip domain-name ise.com

!       

تمكين IPv6

!       

الواجهة GigabitEthernet 0

  عنوان IP 10.52.13.175 255.255.255.0

  عنوان IPv6 2001:420:404a:133::66/64

  التكوين التلقائي لعنوان IPv6

  تمكين IPv6

!       

التحقق من الصحة

ISE UI من Cisco

الخطوة 1. افتح مستعرض نافذة جديد واكتب https://[2001:420:404a:133::66]. الرجاء ملاحظة أنه يجب وضع عنوان IPv6 بين أقواس. 

Cisco ISE SSH

ملاحظة: يتم إستخدام CRT الآمن في هذا المثال.

الخطوة 1. افتح جلسة SSH جديدة واكتب عنوان IPv6 الذي يتبعه اسم مستخدم المسؤول وكلمة المرور.

الخطوة 2. قم بإصدار الأمر show interface gigabitEthernet 0 للتحقق من عنوان IPv6 الذي تم تكوينه على ETH0 (الواجهة):

EMS-ISE-MNT001/admin# show interface gigabitEthernet 0

GigabitEthernet 0

        العلامات=4163<up، broadcast، running، multicast> mtu 1500

        بث INET 10.52.13.175 NetMask 255.255.255.0 10.52.13.255

        inet6:420:404a:133:117:4cd6:4dfe:811 prefix 64 scopeid 0x0<global>

        inet6 2001:420:404a:133::66 بادئة 64 دقيقة 0x0<global>

        ether 00:50:56:89:74:4f txqueuelen 1000 (Ethernet)

        RX Packet 17683390 بايت 15013193200 (13.9 GiB)

        تجاوز أخطاء RX 0 التي تم إسقاطها 7611 الإطار 0

        حزم TX 16604234 بايت 2712406084 (2.5 GiB)

        TX خطأ 0 إسقاط 0 تجاوز 0 حامل 0 تصادمات 0

الخطوة 3. قم بإصدار الأمر show users للتحقق من عنوان IPv6 المصدر.

مستخدمو عرض EMS-ISE-MNT001/admin#

تاريخ تسجيل دخول tty ل Username Role Host           

admin 10.82.237.218 pts/0 mon في ديسمبر 6:47:38 2021

admin 2001:420:c0c4:1005::589 جزء/2 يوم 6 ديسمبر 20:09:04 20

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

التحقق من الاتصال باستخدام إختبار الاتصال لعنوان IPv6 على MacOS

الخطوة 1. افتح وحدة طرفية واستخدم الأمر ping6 <IPv6 Address> للتحقق من إستجابة الاتصال من ISE

الطراز M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66

ping6(56=40+8+8 بايت) 2001:420:c0c4:1005::589 —> 2001:420:404a:133::66

16 بايت من 2001:420:404a:133::66، icmp_seq=0 hlim=51 time=229.774 مللي ثانية

16 بايت من 2001:420:404a:133::66، icmp_seq=1 hlim=51 time=231.262 مللي ثانية

16 بايت من 2001:420:404a:133::66، icmp_seq=2 hlim=51 time=230.545 مللي ثانية

16 بايت من 2001:420:404a:133::66، icmp_seq=3 hlim=51 time=320.207 مللي ثانية

16 بايت من 2001:420:404a:133::66، icmp_seq=4 hlim=51 time=236.246

التحقق من الاتصال باستخدام إختبار الاتصال لعنوان IPv6 على Windows

لكي يعمل الأمر ipV6 ping، يلزم تمكين IPv6 على تكوين الشبكة.

الخطوة 1. حدد ابدأ > إعدادات > لوحة التحكم > الشبكة والإنترنت > مركز الشبكات والمشاركة > تغيير إعدادات المحول.

الخطوة 2. تم تمكين التحقق من صحة بروتوكول الإنترنت الإصدار 6 (TCP/IPv6)، انقر فوق خانة الاختيار في حالة تعطيل هذا الخيار.

الخطوة 3: افتح وحدة طرفية واستخدم الأمر ping <عنوان IPv6> أو الأمر ping -6 <ise_node_fqdn> للتحقق من إستجابة الاتصال من ISE

> إختبار الاتصال 2001:420:404a:133::66

التحقق من الاتصال باستخدام إختبار الاتصال لعنوان IPv6 على إختبار الإصدار السادس من بروتوكول الإنترنت (IP) من نظام التشغيل Linux (نظام التشغيل Ubuntu و Debian و Mint و CentOS و RHEL).

الخطوة 1. افتح وحدة طرفية واستخدم الأمر ping <IPv6 Address> أو الأمر ping -6 <ise_node_fqdn> للتحقق من إستجابة الاتصال من ISE

$ ping 2001:420:404a:133::66

التحقق من الاتصال باستخدام إختبار الاتصال لعنوان IPv6 على إختبار اتصال IPv6 في Cisco (IOS)

ملاحظة: توفر Cisco الأمر ping في وضع EXEC للتحقق من الاتصال بأهداف IPv6. يتطلب الأمر ping معلمة IPv6 وعنوان IPv6 للهدف.

الخطوة 1. قم بتسجيل الدخول إلى جهاز Cisco IOS في وضع EXEC وأصدر الأمر ping IPv6 <IPv6 Address> للتحقق من إستجابة الاتصال من ISE

# ipV6 إختبار الاتصال 2001:420:404a:133::66

ملاحظة: بالإضافة إلى ذلك، يمكنك أيضا أخذ أحرف كبيرة من ISE للتحقق من حركة مرور IPv6 للدخل

مرجع إضافي: https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300