IPv6를 사용하여 Cisco ISE 3.0 관리 포털 및 CLI 구성

소개

이 문서에서는 관리 포털 및 CLI용 IPv6를 사용하여 Cisco ISE(Identity Services Engine)를 구성하는 절차에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Identity Services Engine(ISE)
• IPv6

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ISE 버전 3.0 패치 4.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

대부분의 경우 Cisco Identity Services Engine은 GUI(사용자 인터페이스)를 통해 ISE를 관리하고 CLI를 관리 포털에 로그인하도록 Ipv4 주소로 구성할 수 있지만, ISE 버전 2.6 이상에서는 IPv6 주소를 통해 관리할 수 있으며 설정 마법사와 CLI를 통해 IPv6 주소를 Eth0(인터페이스)으로 구성할 수 있습니다. IPv6 주소를 구성할 때 Cisco ISE 노드 통신에 IPv6 주소 이외에 IPv4 주소를 구성하는 것이 좋습니다. 따라서 이중 스택(IPv4와 IPv6의 조합)이 필요합니다.
IPv6 주소로 SSH(Secure Socket Shell)를 구성할 수 있습니다. Cisco ISE는 모든 인터페이스에서 여러 IPv6 주소를 지원하며 CLI를 사용하여 이러한 IPv6 주소를 구성 및 관리할 수 있습니다.

구성

네트워크 다이어그램

이 이미지는 네트워크 다이어그램의 예를 제공합니다.

ISE 컨피그레이션

참고: 기본적으로 ipv6 주소 옵션은 모든 ISE 인터페이스에서 활성화되어 있습니다. no ipv6 address autoconfig 및/또는 no ipv6 enable을 사용할 계획이 없는 경우 이 옵션을 비활성화하는 것이 좋습니다. show run 명령을 사용하여 ipv6이 활성화된 인터페이스를 확인합니다.

참고: 컨피그레이션에서는 cisco ISE가 IPv4 주소 지정을 사용하여 이미 구성된 것으로 간주합니다.

ems-ise-mnt001/admin# 터미널 구성

ems-ise-mnt001/admin(config)# int GigabitEthernet 0

ems-ise-mnt001/admin(config-GigabitEthernet)# ipv6 주소 2001:420:404a:133::66

% IP 주소를 변경하면 ise 서비스가 다시 시작될 수 있습니다.

IP 주소 변경을 계속하시겠습니까?  Y/N [N]:Y

참고: 인터페이스에서 IP 주소 지정을 추가하거나 변경하면 서비스가 다시 시작됩니다.

2단계. 서비스가 다시 시작되면 show application status ise 명령을 실행하여 서비스가 실행 중인지 확인합니다.

ems-ise-mnt001/admin# 애플리케이션 상태 ise 표시

ISE 프로세스 이름 상태 프로세스 ID 

—

1252를 실행하는 데이터베이스 리스너       

74개의 프로세스를 실행하는 데이터베이스 서버

11134를 실행하는 응용 프로그램 서버      

6897을 실행하는 프로파일러 데이터베이스       

14121을 실행하는 ISE 인덱싱 엔진      

17184를 실행하는 AD 커넥터      

6681을 실행하는 M&T 세션 데이터베이스       

11337을 실행하는 M&T 로그 프로세서      

Certificate Authority Service 실행 17044      

10559를 실행하는 EST 서비스      

SXP 엔진 서비스 사용 안 함                    

3579를 실행하는 Docker 데몬       

TC-NAC 서비스 사용 안 함       

9712를 실행하는 pxGrid Infrastructure Service       

9791을 실행하는 pxGrid 게시자 구독자 서비스       

9761을 실행하는 pxGrid Connection Manager       

9821을 실행하는 pxGrid 컨트롤러       

PassiveID WMI 서비스 사용 안 함                    

PassiveID Syslog 서비스 사용 안 함                    

PassiveID API 서비스 사용 안 함                    

PassiveID 에이전트 서비스 사용 안 함                     

PassiveID 끝점 서비스 사용 안 함                    

PassiveID SPAN 서비스 사용 안 함                    

DHCP 서버(dhcpd) 사용 안 함                    

DNS 서버(명명된) 사용 안 함                    

4260을 실행하는 ISE 메시징 서비스       

5805를 실행하는 ISE API Gateway Database Service       

8973을 실행하는 ISE API Gateway Service       

세그멘테이션 정책 서비스 사용 안 함                    

REST 인증 서비스 사용 안 함                    

SSE 커넥터 사용 안 함              

3단계. show run 명령을 실행하여 IPv6이 Eth0(인터페이스)에서 구성되었는지 확인합니다.

ems-ise-mnt001/admin# show run

구성을 생성하는 중...

!       

hostname ems-ise-mnt001

!       

ip domain-name ise.com

!       

ipv6 활성화

!       

인터페이스 GigabitEthernet 0

  ip 주소 10.52.13.175 255.255.255.0

  ipv6 주소 2001:420:404a:133::66/64

  ipv6 주소 자동 구성

  ipv6 활성화

!       

다음을 확인합니다.

Cisco ISE UI

1단계. 새 창 브라우저를 열고 https://[2001:420:404a:133::66]을 입력합니다. IPv6 주소는 대괄호로 묶어야 합니다. 

Cisco ISE SSH

참고: 이 예에서는 보안 CRT가 사용됩니다.

1단계. 새 SSH 세션을 열고 IPv6 주소 다음에 Admin 사용자 이름과 비밀번호를 입력합니다.

2단계. show interface gigabitEthernet 0 명령을 실행하여 Eth0(인터페이스)에 구성된 IPv6 주소를 검증합니다.

ems-ise-mnt001/admin# show interface gigabitEthernet 0

기가비트 이더넷 0

        flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

        inet 10.52.13.175 넷마스크 255.255.255.0 브로드캐스트 10.52.13.255

        inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixlen 64 scopeid 0x0<global>

        inet6 2001:420:404a:133::66 prefixlen 64 scopeid 0x0<global>

        ether 00:50:56:89:74:4f txqueuelen 1000(이더넷)

        RX 패킷 17683390바이트 15013193200(13.9 GiB)

        RX 오류 0이(가) 7611 오버런을 삭제함 0 프레임 0

        TX 패킷 16604234바이트 2712406084(2.5 GiB)

        TX 오류 0 0이(가) 0개 초과 실행 0개 캐리어 0 충돌 0개 삭제됨

3단계. 소스 IPv6 주소를 검증하려면 show users 명령을 실행합니다.

ems-ise-mnt001/admin# show users

사용자 이름 역할 호스트 TTY 로그인 날짜/시간           

admin 10.82.237.218 pts/0 월 12월 6일 19:47:38 2021년

관리자 2001:420:c0c4:1005::589/2 월 6일 월요일 20:09:04 20

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

MacOS에서 IPv6 주소에 대해 ping을 사용하여 통신 검증

1단계. 터미널을 열고 ping6 <IPv6 Address> 명령을 사용하여 ISE의 통신 응답을 확인합니다.

M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66

PING6(56=40+8+8바이트) 2001:420:c0c4:1005::589 —> 2001:420:404a:133::66

2001:420:404a:133::66, icmp_seq=0 hlim=51 time=229.774ms

2001:420:404a:133::66, icmp_seq=1 hlim=51 time=231.262ms

2001:420:404a:133::66, icmp_seq=2 hlim=51 time=230.545ms

2001:420:404a:133::66, icmp_seq=3 hlim=51 time=320.207ms

2001:420:404a:133::66, icmp_seq=4 hlim=51 time=236.246

Windows에서 IPv6 주소에 대해 ping을 사용하여 통신 검증

IPv6 ping 명령이 작동하려면 네트워크 컨피그레이션에서 IPv6를 활성화해야 합니다.

1단계. 시작 > 설정 > 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유 센터 > 어댑터 설정 변경을 선택합니다.

2단계. 인터넷 프로토콜 버전 6(TCP/IPv6)이 활성화되었는지 확인하려면 이 옵션이 비활성화된 경우 확인란을 클릭합니다.

3단계: 터미널을 열고 ping <IPv6 Address> 또는 ping -6 <ise_node_fqdn> 명령을 사용하여 ISE의 통신 응답을 확인합니다.

> ping 2001:420:404a:133::66

의 IPv6 주소에 대해 ping을 사용하여 통신 검증 Linux에서 Ping IPv6(Ubuntu, Debian, Mint, CentOS, RHEL).

1단계. 터미널을 열고 ping <IPv6 Address> 또는 ping -6 <ise_node_fqdn> 명령을 사용하여 ISE에서 통신 응답을 검증합니다.

$ ping 2001:420:404a:133::66

의 IPv6 주소에 대해 ping을 사용하여 통신 검증 Cisco에서 IPv6 ping(IOS)

참고: Cisco는 IPv6 대상과의 연결을 확인하기 위해 exec 모드에서 ping 명령을 제공합니다. ping 명령을 사용하려면 ipv6 매개 변수와 대상의 IPv6 주소가 필요합니다.

1단계. exec 모드에서 cisco IOS 디바이스에 로그인하고 ping Ipv6 <IPv6 Address> 명령을 실행하여 ISE의 통신 응답을 검증합니다.

ping ipv6 2001:420:404a:133::66

참고: 또한 ISE에서 PCAPS를 가져와 수입 IPv6 트래픽을 검증할 수도 있습니다

추가 참조: https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300