Configurazione del portale di amministrazione e della CLI di Cisco ISE 3.0 con IPv6

Opzioni per il download

  • PDF     (684.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (702.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Aggiornato:23 dicembre 2021
ID documento:217608

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la procedura per configurare Cisco Identity Services Engine (ISE) con IPv6 per Admin Portal e CLI.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Identity Services Engine (ISE)
    • IPv6

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Patch 4 per ISE versione 3.0.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Nella maggior parte dei casi, Cisco Identity Services Engine può essere configurato con un indirizzo IPv4 per gestire ISE tramite l'interfaccia utente (GUI) e la CLI per accedere al portale di amministrazione. Tuttavia, da ISE versione 2.6 e successive, Cisco ISE può essere gestito tramite un indirizzo IPv6 e configurare un indirizzo IPv6 su Eth0 (Interface) durante la configurazione guidata e tramite la CLI. Quando è configurato un indirizzo IPv6, si consiglia di configurare un indirizzo IPv4 (oltre all'indirizzo IPv6) per la comunicazione del nodo Cisco ISE. Pertanto, è necessario uno stack doppio (combinazione di IPv4 e IPv6).
    È possibile configurare SSH (Secure Socket Shell) con indirizzi IPv6. Cisco ISE supporta più indirizzi IPv6 su qualsiasi interfaccia e questi indirizzi IPv6 possono essere configurati e gestiti tramite CLI.

    Configurazione

    Esempio di rete

    L'immagine fornisce un esempio di diagramma di rete

    ISE ipv6

    Configurazione di ISE

    Nota: Per impostazione predefinita, l'opzione indirizzo ipv6 è attivata in tutte le interfacce ISE. È buona norma disabilitare questa opzione se non si prevede di utilizzarla con il comando no ipv6 address autoconfig e/o no ipv6 enable ove applicabile. Utilizzare il comando show run per verificare quali interfacce hanno ipv6 abilitato.

    Nota: La configurazione considera cisco ISE già configurato con indirizzamento IPv4.

    ems-ise-mnt001/admin# Configurazione terminale

    ems-ise-mnt001/admin(config)# int Gigabit Ethernet 0

    ems-ise-mnt001/admin(config-Gigabit Ethernet)# indirizzo ipv6 2001:420:404a:133::66

    % La modifica dell'indirizzo IP potrebbe causare il riavvio dei servizi ISE

    Continuare con la modifica dell'indirizzo IP?  Y/N [N]:Y

    Nota: L'aggiunta o la modifica di indirizzi IP su un'interfaccia determina il riavvio dei servizi

    Passaggio 2. Dopo il riavvio dei servizi, eseguire il comando show application status ise per verificare che i servizi siano in esecuzione:

    ems-ise-mnt001/admin# mostra stato applicazione ise

    ISE NOME PROCESSO STATO ID PROCESSO 

    Listener del database con 1252       

    Server di database che esegue 74 PROCESSES

    Application Server con 1134      

    Database Profiler con 6897       

    Motore di indicizzazione ISE con 14121      

    Connettore AD con 17184      

    Database sessione M&T con 6681       

    M&T Log Processor con 11337      

    Servizio Autorità di certificazione in esecuzione 17044      

    Servizio EST con 10559      

    Servizio motore SXP disabilitato                    

    Docker Daemon con 3579       

    Servizio TC-NAC disabilitato       

    Servizio pxGrid Infrastructure con 9712       

    Servizio sottoscrittore del server di pubblicazione pxGrid con 9791 in esecuzione       

    pxGrid Connection Manager con 9761       

    pxGrid Controller con 9821       

    Servizio WMI PassiveID disabilitato                    

    Servizio syslog ID passivo disabilitato                    

    Servizio API PassiveID disabilitato                    

    Servizio Agente ID passivo disabilitato                     

    Servizio endpoint ID passivo disabilitato                    

    Servizio SPAN ID passivo disabilitato                    

    Server DHCP (dhcpd) disabilitato                    

    Server DNS (denominato) disabilitato                    

    ISE Messaging Service con 4260       

    ISE API Gateway Database Service in esecuzione in 5805       

    Servizio ISE API Gateway con 8973 in esecuzione       

    Servizio criteri di segmentazione disabilitato                    

    Servizio autenticazione REST disabilitato                    

    Connettore SSE disabilitato              

    Passaggio 3. Eseguire il comando show run per verificare che IPv6 sia stato configurato su Eth0 (Interface):

    ems-ise-mnt001/admin# show run

    Generazione della configurazione in corso...

    !       

    hostname ems-ise-mnt001

    !       

    ip domain-name ise.com

    !       

    abilitazione ipv6

    !       

    interfaccia Gigabit Ethernet 0

      indirizzo ip 10.52.13.175.255.255.255.0

      indirizzo ipv6 2001:420:404a:133::66/64

      configurazione automatica indirizzi ipv6

      abilitazione ipv6

    !       

    Verifica

    Cisco ISE UI

    Passaggio 1. Aprire una nuova finestra del browser e digitare https://[2001:420:404a:133::66]. L'indirizzo IPv6 deve essere racchiuso tra parentesi. 

    ISE2

    ISE3

    Cisco ISE SSH

    Nota: Nell'esempio viene utilizzato Secure CRT.

    Passaggio 1. Aprire una nuova sessione SSH e digitare l'indirizzo IPv6 seguito dal nome utente e dalla password di amministrazione.

    SSH setup

    SSH credentials

    Passaggio 2. Eseguire il comando show interface gigabit Ethernet 0 per convalidare l'indirizzo IPv6 configurato su Eth0 (Interface):

    ems-ise-mnt001/admin# show interface gigabit Ethernet 0

    Gigabit Ethernet 0

            flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

            inet 10.52.13.175 netmask 255.255.255.0 broadcast 10.52.13.255

            inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefisso 64 ambito 0x0<globale>

            inet6 2001:420:404a:133::66 prefisso 64 ambito 0x0<globale>

            etere 00:50:56:89:74:4f txqueuelen 1000 (Ethernet)

            Pacchetti RX 17683390 byte 15013193200 (13,9 GiB)

            Errori RX 0 eliminati 7611 sovraccarichi 0 frame 0

            Pacchetti TX 1604234 byte 2712406084 (2,5 GiB)

            Errori TX 0 eliminati 0 sovraccarichi 0 portante 0 collisioni 0

    Passaggio 3. Eseguire il comando show users per convalidare l'indirizzo IPv6 di origine.

    ems-ise-mnt001/admin# mostra utenti

    NOME UTENTE RUOLO HOST TTY LOGIN DATETIME           

    admin Admin 10.82.237.218 punti/0 lun dic 6 19:47:38 2021

    admin Admin 2001:420:c0c4:1005:589 punti/2 lun dic 6 20:09:04 20

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    Convalida della comunicazione con l'uso del ping per l'indirizzo IPv6 su MacOS

    Passaggio 1. Aprire un terminale e utilizzare il comando ping6 <Indirizzo IPv6> per convalidare la risposta di comunicazione da ISE

    M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66

    PING6(56=40+8+8 byte) 2001:420:c0c4:1005::589 —> 2001:420:404a:133::66

    16 byte da 2001:420:404a:133::66, icmp_seq=0 hlim=51 time=229.774 ms

    16 byte da 2001:420:404a:133::66, icmp_seq=1 hlim=51 time=231.262 ms

    16 byte da 2001:420:404a:133::66, icmp_seq=2 hlim=51 time=230.545 ms

    16 byte da 2001:420:404a:133::66, icmp_seq=3 hlim=51 time=320.207 ms

    16 byte da 2001:420:404a:133::66, icmp_seq=4 hlim=51 time=236.246

    Convalida della comunicazione con l'utilizzo di ping per l'indirizzo IPv6 in Windows

    Affinché il comando ping IPv6 funzioni correttamente, è necessario abilitare Ipv6 nella configurazione di rete.

    Passaggio 1. Selezionare Start > Impostazioni > Pannello di controllo > Rete e Internet > Centro connessioni di rete e condivisione > Modifica impostazioni scheda.

    Passaggio 2. Verificare che il protocollo Internet versione 6 (TCP/IPv6) sia abilitato, selezionare la casella di controllo se l'opzione è disabilitata.

    IPv6 config

    Passaggio 3: Aprire un terminale e usare il comando ping <Indirizzo IPv6> o ping -6 <ise_node_fqdn> per convalidare la risposta di comunicazione da ISE

    > ping 2001:420:404a:133:66

    Convalida comunicazione con utilizzo di ping per indirizzo IPv6 su Eseguire il ping di IPv6 in Linux (Ubuntu, Debian, Mint, CentOS, RHEL).

    Passaggio 1. Aprire un terminale e usare il comando ping <Indirizzo IPv6> o ping -6 <ise_node_fqdn> per convalidare la risposta di comunicazione dall'ISE

    ping $ 2001:420:404a:133:66

    Convalida comunicazione con utilizzo di ping per indirizzo IPv6 su Eseguire il ping di IPv6 in Cisco (IOS)

    Nota: Cisco fornisce il comando ping in modalità di esecuzione per controllare la connettività alle destinazioni IPv6. Il comando ping richiede il parametro ipv6 e l'indirizzo IPv6 della destinazione.

    Passaggio 1. Accedere al dispositivo cisco IOS in modalità di esecuzione e usare il comando ping Ipv6 <indirizzo IPv6> per convalidare la risposta di comunicazione dall'ISE

    # ping ipv6 2001:420:404a:133:66

    Nota: Inoltre, è possibile utilizzare i pcaps di ISE per convalidare il traffico IPv6 in entrata

    Ulteriori informazioni: https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    23-Dec-2021
    Versione iniziale

    Contributo di

    • Emmanuel Cano
      Cisco Security Problem Manager
    • Berenice Guerra
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti