IPv6を使用したCisco ISE 3.0管理ポータルおよびCLIの設定

概要

このドキュメントでは、Admin PortalおよびCLI用にIPv6を使用してCisco Identity Services Engine(ISE)を設定する手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Identity Services Engine（ISE）
• IPv6

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• ISEバージョン3.0パッチ4。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

ほとんどの場合、Cisco Identity Services Engine(ISE)は、ユーザインターフェイス(GUI)およびCLIを介して管理するIpv4アドレスを使用して設定できます。ただし、ISEバージョン2.6以降では、IPv6アドレスを使用して管理でき、セットアップウィザードとしてEth0（インターフェイス）に設定できますCLIを使用することもできます。IPv6アドレスを設定する場合は、Cisco ISEノード通信用に（IPv6アドレスに加えて）IPv4アドレスを設定することをお勧めします。したがって、デュアルスタック（IPv4とIPv6の両方の組み合わせ）が必要です。
IPv6アドレスを使用してSecure Socket Shell(SSH)を設定できます。Cisco ISEは、任意のインターフェイスで複数のIPv6アドレスをサポートし、これらのIPv6アドレスはCLIを使用して設定および管理できます。

設定

ネットワーク図

次の図は、ネットワークダイアグラムの例を示しています

ISE の設定

注：デフォルトでは、すべてのISEインターフェイスでipv6 addressオプションが有効になっています。このオプションを使用する予定がない場合は、必要に応じてno ipv6 address autoconfigまたはno ipv6 enableを発行することをお勧めします。show runコマンドを使用して、どのインターフェイスでipv6が有効になっているかを確認します。

注：この設定では、cisco ISEがすでにIPv4アドレッシングで設定されていると見なされます。

ems-ise-mnt001/admin#ターミナルの設定

ems-ise-mnt001/admin(config)# int GigabitEthernet 0

ems-ise-mnt001/admin(config-GigabitEthernet)# ipv6 address 2001:420:404a:133::66

% Changing the IP address might cause ISE services to restart

Continue with IP address change?  Y/N [N]:Y

注：インターフェイスにIPアドレスを追加または変更すると、サービスが再起動します

ステップ2：サービスが再起動したら、show application status iseコマンドを発行して、サービスが実行されていることを確認します。

ems-ise-mnt001/admin# show application status ise

ISEプロセス名状態プロセスID 

—

1252を実行しているデータベースリスナー       

74個のプロセスを実行するデータベース・サーバ

11134を実行するアプリケーションサーバ      

6897を実行しているプロファイラデータベース       

14121を実行するISEインデックスエンジン      

17184を実行するADコネクタ      

6681を実行するM&Tセッションデータベース       

11337を実行するM&Tログプロセッサ      

17044を実行する認証局サービス      

10559を実行するESTサービス      

SXPエンジンサービスが無効                    

3579を実行するDockerデーモン       

TC-NACサービス無効       

9712を実行するpxGridインフラストラクチャサービス       

9791を実行するpxGridパブリッシャサブスクライバサービス       

9761を実行するpxGrid接続マネージャ       

9821を実行するpxGridコントローラ       

PassiveID WMIサービスが無効です                    

PassiveID Syslog Serviceが無効                    

PassiveID APIサービスが無効                    

PassiveID Agent Serviceが無効                     

PassiveID Endpointサービスが無効です                    

PassiveID SPANサービスが無効                    

DHCPサーバ(dhcpd)が無効                    

DNSサーバ（名前付き）が無効                    

4260を実行するISEメッセージングサービス       

5805を実行するISE APIゲートウェイデータベースサービス       

8973を実行するISE APIゲートウェイサービス       

セグメンテーションポリシーサービスが無効                    

REST認証サービスが無効                    

SSEコネクタが無効              

ステップ3:show runコマンドを発行して、Eth0（インターフェイス）にIPv6が設定されていることを確認します。

ems-ise-mnt001/admin# show run

構成を生成しています…

!       

hostname ems-ise-mnt001

!       

ip domain-name ise.com

!       

ipv6 enable

!       

interface GigabitEthernet 0

  ip address 10.52.13.175 255.255.255.0

  ipv6 address 2001:420:404a:133::66/64

  ipv6 address autoconfig

  ipv6 enable

!       

確認

Cisco ISE UI

ステップ1：新しいウィンドウブラウザを開き、https://[2001:420:404a:133::66]と入力します。IPv6アドレスはカッコで囲む必要があります。 

Cisco ISE SSH

注：この例では、Secure CRTを使用しています。

ステップ1：新しいSSHセッションを開き、IPv6アドレスの後に管理者ユーザ名とパスワードを入力します。

ステップ2:show interface gigabitEthernet 0コマンドを発行して、Eth0（インターフェイス）に設定されているIPv6アドレスを検証します。

ems-ise-mnt001/admin# show interface gigabitEthernet 0

ギガビットイーサネット0

        flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

        inet 10.52.13.175 netmask 255.255.255.0 broadcast 10.52.13.255

        inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixlen 64 scopeid 0x0<global>

        inet6 2001:420:404a:133::66 prefixlen 64 scopeid 0x0<global>

        ether 00:50:56:89:74:4f txqueuelen 1000（イーサネット）

        RXパケット17683390バイト15013193200(13.9 GiB)

        RXエラー0ドロップ7611オーバーラン0フレーム0

        TXパケット16604234バイト2712406084(2.5 GiB)

        TXエラー0ドロップ0オーバーラン0キャリア0コリジョン0

ステップ3:show usersコマンドを発行して、送信元IPv6アドレスを検証します。

ems-ise-mnt001/admin# show users

ユーザ名ロールホストTTYログイン日時           

admin 10.82.237.218 pts/0 Mon Dec 6 19:47:38 2021

admin 2001:420:c0c4:1005::589 pts/2 Mon Dec 6 20:09:04 20

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

MacOS上のIPv6アドレスに対してpingを使用した通信検証

ステップ1：端末を開き、ping6 <IPv6 Address>コマンドを使用してISEからの通信応答を検証します

M-65PH:～ ecanogut$ ping6 2001:420:404a:133::66

PING6（56=40+8+8バイト） 2001:420:c0c4:1005::589 —> 2001:420:404a:133::66

2001:420:404a:133::66、icmp_seq=0 hlim=51 time=229.774 msから16バイト

2001:420:404a:133::66、icmp_seq=1 hlim=51 time=231.262 msから16バイト

2001:420:404a:133::66、icmp_seq=2 hlim=51 time=230.545 msから16バイト

2001:420:404a:133::66、icmp_seq=3 hlim=51 time=320.207 msから16バイト

2001:420:404a:133::66、icmp_seq=4 hlim=51 time=236.246から16バイト

WindowsのIPv6アドレスに対してpingを使用した通信の検証

IPv6 pingコマンドが機能するには、ネットワーク設定でIpv6を有効にする必要があります。

ステップ1:[スタート] > [設定] > [コントロールパネル] > [ネットワークとインターネット] > [ネットワークと共有センター] > [アダプターの設定の変更]を選択します。

ステップ2:インターネットプロトコルバージョン6(TCP/IPv6)が有効であることを確認します。このオプションが無効になっている場合は、チェックボックスをオンにします。

ステップ 3：端末を開き、ping <IPv6 Address>またはping -6 <ise_node_fqdn>コマンドを使用してISEからの通信応答を検証します

> ping 2001:420:404a:133::66

IPv6アドレスに対してpingを使用した通信の検証 LinuxでのIPv6へのping(Ubuntu、Debian、Mint、CentOS、RHEL).

ステップ1：端末を開き、ping <IPv6 Address>またはping -6 <ise_node_fqdn>コマンドを使用してISEからの通信応答を検証します

$ ping 2001:420:404a:133::66

IPv6アドレスに対してpingを使用した通信の検証 Cisco(IOS)のIPv6へのping

注：シスコでは、IPv6ターゲットへの接続を確認するために、execモードでpingコマンドを提供しています。pingコマンドには、ipv6パラメータとターゲットのIPv6アドレスが必要です。

ステップ1:execモードでcisco IOSデバイスにログインし、ping Ipv6 <IPv6 Address>コマンドを発行して、ISEからの通信応答を検証します

# ping ipv6 2001:420:404a:133::66

注：さらに、ISEから大文字を取り出して、所得IPv6トラフィックを検証することもできます

その他の参考資料： https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300