Configurar o portal administrativo do Cisco ISE 3.0 e CLI com IPv6

Introduction

Este documento descreve o procedimento para configurar o Cisco Identity Services Engine (ISE) com IPv6 para o Portal Admin e CLI.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Identity services engine (ISE)
• IPv6

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Patch 4 do ISE versão 3.0.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Na maioria dos casos, o Cisco Identity Services Engine pode ser configurado com um endereço Ipv4 para gerenciar o ISE por meio da interface do usuário (GUI) e do CLI no Portal Admin, no entanto, a partir do ISE versão 2.6 e superior, o Cisco ISE pode ser gerenciado por um endereço IPv6 e configurar um endereço IPv6 para Eth0 (Interface) quando o assistente de configuração e a CLI. Quando configurado o endereço IPv6, é recomendável ter um endereço IPv4 configurado (além do endereço IPv6) para a comunicação de nó do Cisco ISE. Portanto, é necessária uma pilha dupla (combinação de IPv4 e IPv6).
É possível configurar o Secure Socket Shell (SSH) com endereços IPv6. O Cisco ISE suporta vários endereços IPv6 em qualquer interface e esses endereços IPv6 podem ser configurados e gerenciados usando CLI.

Configurar

Diagrama de Rede

A imagem fornece um exemplo de um diagrama de rede

Configuração do ISE

Note: Por padrão, a opção de endereço ipv6 é ativada em todas as interfaces ISE. É uma prática recomendada desativar essa opção se não estiver planejado para ser usado, emita o no ipv6 address autoconfig e/ou no ipv6 enable quando aplicável. Use o comando show run para validar quais interfaces têm ipv6 habilitado.

Note: A configuração considera que o Cisco ISE já está configurado com o endereçamento IPv4.

ems-ise-mnt001/admin# Configurar terminal

ems-ise-mnt001/admin(config)# int GigabitEthernet 0

ems-ise-mnt001/admin(config-GigabitEthernet)# endereço ipv6 2001:420:404a:133::66

% Alterar o endereço IP pode fazer com que os serviços ise sejam reiniciados

Continuar com a alteração de endereço IP? S/N [N]:Y

Note: Adicionar ou alterar o endereçamento IP em uma interface faz com que os serviços sejam reiniciados

Etapa 2. Depois que os serviços tiverem sido reiniciados, emita o comando show application status ise para validar se os serviços estão em execução:

ems-ise-mnt001/admin# show application status ise

ID DO PROCESSO DE ESTADO DO NOME DO PROCESSO DO ISE 

—

Database Listener em execução 1252       

Servidor de banco de dados executando 74 PROCESSOS

Application Server executando 11134      

Banco de dados do perfil executando 6897       

Mecanismo de indexação do ISE executando 14121      

Conector AD em execução 17184      

Banco de dados da sessão M&T executando 6681       

Processador de log M&T executando 11337      

Certificate Authority Service em execução 17044      

EST Service em execução em 10559      

Serviço de mecanismo SXP desabilitado                    

Docker Daemon executando 3579       

Serviço TC-NAC desabilitado       

pxGrid Infrastructure Service executando 9712       

pxGrid Publisher Subscriber Service em execução 9791       

pxGrid Connection Manager executando 9761       

Controlador pxGrid executando 9821       

Serviço WMI PassiveID desabilitado                    

Serviço de Syslog PassiveID desabilitado                    

Serviço de API PassiveID desativado                    

Serviço de agente PassiveID desabilitado                     

Serviço de ponto de extremidade Passivo desabilitado                    

Serviço SPAN PassiveID desabilitado                    

Servidor DHCP (dhcpd) desativado                    

Servidor DNS (nomeado) desativado                    

Serviço de mensagens do ISE executando 4260       

Serviço de Banco de Dados de Gateway de API ISE executando 5805       

Serviço de Gateway de API do ISE executando 8973       

Serviço de política de segmentação desabilitado                    

Serviço de Autenticação REST desabilitado                    

Conector SSE desativado              

Etapa 3. Emita o comando show run para validar se o IPv6 foi configurado em Eth0 (Interface):

ems-ise-mnt001/admin# show run

Gerando configuração...

!       

hostname ems-ise-mnt001

!       

ip domain-name ise.com

!       

ipv6 enable

!       

interface GigabitEthernet 0

  endereço ip 10.52.13.175 255.255.255.0

  endereço ipv6 2001:420:404a:133::66/64

  ipv6 address autoconfig

  ipv6 enable

!       

Verificar

IU do Cisco ISE

Etapa 1. Abra um novo navegador de janelas e digite https://[2001:420:404a:133::66]. Observe que o endereço IPv6 deve estar entre colchetes. 

SSH do Cisco ISE

Note: O CRT seguro é usado neste exemplo.

Etapa 1. Abra uma nova sessão SSH e digite o endereço IPv6 seguido de nome de usuário e senha do administrador.

Etapa 2. Emita o comando show interface gigabitEthernet 0 para validar o endereço IPv6 configurado em Eth0 (Interface):

ems-ise-mnt001/admin# show interface gigabitEthernet 0

GigabitEthernet 0

        flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

        inet 10.52.13.175 netmask 255.255.255.0 broadcast 10.52.13.255

        inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixo 64 scopeid 0x0<global>

        inet6 2001:420:404a:133::66 prefixo 64 scopeid 0x0<global>

        éter 00:50:56:89:74:4f txqueuelen 1000 (Ethernet)

        Pacotes RX 17683390 bytes 15013193200 (13,9 GiB)

        Erros de RX 0 descartados 7611 superam 0 quadro 0

        Pacotes TX 16604234 bytes 2712406084 (2,5 GiB)

        Erros de TX 0 descartados 0 superam 0 colisões 0 da portadora 0

Etapa 3. Emita o comando show users para validar o endereço IPv6 de origem.

ems-ise-mnt001/admin# show users

DATA E HORA DE LOGON TTY DO HOST DA FUNÇÃO DE NOME DE USUÁRIO           

admin Admin 10.82.237.218 pts/0 Mon Dez 6 19:47:38 2021

admin Admin 2001:420:c0c4:1005::589 pts/2 Mon Dez 6 20:09:04 20

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Validação de comunicação com uso de ping para endereço IPv6 no MacOS

Etapa 1. Abra um terminal e use o comando ping6 <endereço IPv6> para validar a resposta de comunicação do ISE

M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66

PING6(56=40+8+8 bytes) 2001:420:c0c4:1005::589 —> 2001:420:404a:133::66

16 bytes de 2001:420:404a:133::66, icmp_seq=0 hlim=51 time=229,774 ms

16 bytes de 2001:420:404a:133::66, icmp_seq=1 hlim=51 time=231.262 ms

16 bytes de 2001:420:404a:133::66, icmp_seq=2 hlim=51 time=230,545 ms

16 bytes de 2001:420:404a:133::66, icmp_seq=3 hlim=51 time=320.207 ms

16 bytes de 2001:420:404a:133::66, icmp_seq=4 hlim=51 time=236.246

Validação de comunicação com uso de ping para endereço IPv6 no Windows

Para que o comando ping IPv6 funcione, o Ipv6 precisa ser ativado na configuração de rede.

Etapa 1. Selecione Iniciar > Configurações > Painel de Controle > Rede e Internet > Central de Rede e Compartilhamento > Alterar as configurações do adaptador.

Etapa 2. A opção Validate Internet Protocol Version 6 (TCP/IPv6) (Validar protocolo da Internet versão 6 (TCP/IPv6) está ativada. Clique na caixa de seleção caso esta opção esteja desativada.

Passo 3: Abra um terminal e use o comando ping <endereço IPv6> ou ping -6 <ise_node_fqdn> para validar a resposta de comunicação do ISE

> ping 2001:420:404a:133::66

Validação de comunicação com uso de ping para endereço IPv6 em Faça ping do IPv6 no Linux (Ubuntu, Debian, Mint, CentOS, RHEL).

Etapa 1. Abra um terminal e use o comando ping <endereço IPv6> ou ping -6 <ise_node_fqdn> para validar a resposta de comunicação do ISE

$ ping 2001:420:404a:133::66

Validação de comunicação com uso de ping para endereço IPv6 em Faça ping do IPv6 no Cisco (IOS)

Note: A Cisco fornece o comando ping no modo exec para verificar a conectividade com os destinos IPv6. O comando ping requer o parâmetro ipv6 e o endereço IPv6 do destino.

Etapa 1. Faça login no dispositivo Cisco IOS no modo exec e emita o comando ping Ipv6 <Endereço IPv6> para validar a resposta de comunicação do ISE

# ping ipv6 2001:420:404a:133::66

Note: Além disso, você também pode tirar fotos do ISE para validar o tráfego IPv6 de renda

Referência adicional: https://community.cisco.com/t5/security-documents/cisco-ise-identity-services-engine-ipv6-support/ta-p/4480704#toc-hId-1800166300