使用IPv6配置Cisco ISE 3.0管理门户和CLI
简介
本文档介绍为管理员门户和CLI配置使用IPv6的思科身份服务引擎(ISE)的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎 (ISE)
- IPv6
使用的组件
本文档中的信息基于以下软件和硬件版本:
- ISE版本3.0补丁4。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在大多数情况下,思科身份服务引擎可配置Ipv4地址以通过用户界面(GUI)和CLI登录管理门户管理ISE,但是,从ISE 2.6及更高版本思科ISE可通过IPv6地址进行管理,并在设置向导时将IPv6地址配置为Eth0(接口)以及通过CLI。配置IPv6地址时,建议为Cisco ISE节点通信配置IPv4地址(除IPv6地址外)。因此,需要双协议栈(IPv4和IPv6的组合)。
可以使用IPv6地址配置安全套接字外壳(SSH)。思科ISE支持任何接口上的多个IPv6地址,并且这些IPv6地址可以使用CLI进行配置和管理。
配置
网络图
该图提供网络图示例
ISE配置
注意:默认情况下,在所有ISE接口中启用ipv6 address选项。如果不计划使用此选项,最好禁用此选项,在适用时发出no ipv6 address autoconfig和/或no ipv6 enable命令。使用show run命令验证哪些接口启用了ipv6。
注意:配置认为思科ISE已配置IPv4编址。
ems-ise-mnt001/admin#配置终端
ems-ise-mnt001/admin(config)# int GigabitEthernet 0
ems-ise-mnt001/admin(config-GigabitEthernet)# ipv6 address 2001:420:404a:133::66
%更改IP地址可能导致ise服务重新启动
是否继续更改IP地址? Y/N [N]:Y
注意:在接口上添加或更改IP编址会导致服务重新启动
步骤2.重新启动服务后,发出show application status ise命令以验证服务是否正在运行:
ems-ise-mnt001/admin# show application status ise
ISE进程名称状态进程ID
—
运行1252的数据库侦听程序
运行74个进程的数据库服务器
运行11134的应用服务器
运行6897的分析器数据库
运行14121的ISE索引引擎
运行17184的AD连接器
运行6681的M&T会话数据库
运行11337的M&T日志处理器
证书颁发机构服务运行17044
运行10559的EST服务
SXP引擎服务已禁用
运行3579的Docker守护程序
TC-NAC服务已禁用
运行9712的pxGrid基础设施服务
运行9791的pxGrid发布服务器订用服务
运行9761的pxGrid连接管理器
运行9821的pxGrid控制器
已禁用PassiveID WMI服务
已禁用PassiveID系统日志服务
已禁用PassiveID API服务
已禁用PassiveID代理服务
已禁用PassiveID终端服务
已禁用PassiveID SPAN服务
DHCP服务器(dhcpd)已禁用
DNS服务器(命名)已禁用
运行4260的ISE消息服务
运行5805的ISE API网关数据库服务
运行8973的ISE API网关服务
分段策略服务已禁用
REST身份验证服务已禁用
已禁用SSE连接器
步骤3.发出show run命令以验证Eth0(接口)上已配置IPv6:
ems-ise-mnt001/admin# show run
正在生成配置……
!
hostname ems-ise-mnt001
!
ip domain-name ise.com
!
ipv6 enable
!
接口GigabitEthernet 0
ip address 10.52.13.175 255.255.255.0
ipv6 address 2001:420:404a:133::66/64
ipv6 address autoconfig
ipv6 enable
!
验证
思科ISE UI
步骤1.打开新的窗口浏览器并键入https://[2001:420:404a:133::66]。请注意,IPv6地址必须在方括号中。
思科ISE SSH
注意:本例中使用安全CRT。
步骤1.打开新的SSH会话并键入IPv6 Address,后跟Admin用户名和密码。
步骤2.发出show interface gigabitEthernet 0命令以验证在Eth0(接口)上配置的IPv6地址:
ems-ise-mnt001/admin# show interface gigabitEthernet 0
千兆以太网0
flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.52.13.175网络掩码255.255.255.0广播10.52.13.255
inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixlen 64 scopeid 0x0<global>
inet6 2001:420:404a:133::66 prefixlen 64 scopeid 0x0<global>
ether 00:50:56:89:74:4f txqueuelen 1000(以太网)
RX数据包17683390字节15013193200(13.9 GiB)
RX错误0丢弃7611超限0帧0
TX数据包16604234字节2712406084(2.5 GiB)
TX错误0已丢弃0超限0载波0冲突0
步骤3.发出show users命令以验证源IPv6地址。
ems-ise-mnt001/admin# show users
用户名角色主机TTY登录日期时间
管理员10.82.237.218点/0 2021年12月6日星期一19:47:38 2021
管理员管理员2001:420:c0c4:1005::589分/2周一12月6日20:09:04 20
故障排除
本部分提供的信息可用于对配置进行故障排除。
在MacOS上使用ping命令验证IPv6地址的通信
步骤1.打开终端并使用ping6 <IPv6 Address>命令验证来自ISE的通信响应
M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66
PING6(56=40+8+8字节)2001:420:c0c4:1005::589 —> 2001:420:404a:133::66
2001:420:404a:133::66的16个字节,icmp_seq=0 hlim=51 time=229.774 ms
2001:420:404a:133::66的16个字节,icmp_seq=1 hlim=51 time=231.262 ms
2001:420:404a:133::66的16个字节,icmp_seq=2 hlim=51 time=230.545 ms
2001:420:404a:133::66的16个字节,icmp_seq=3 hlim=51 time=320.207 ms
2001:420:404a:133::66的16个字节,icmp_seq=4 hlim=51 time=236.246
在Windows上使用ping for IPv6地址进行通信验证
要使IPv6 ping命令正常工作,需要在网络配置上启用Ipv6。
步骤1.选择“开始”>“设置”>“控制面板”>“网络和Internet”>“网络和共享中心”>“更改适配器设置”。
步骤2.验证Internet协议第6版(TCP/IPv6)已启用,如果此选项被禁用,请单击复选框。
步骤 3:打开终端,使用ping <IPv6地址>或ping -6 <ise_node_fqdn>命令验证来自ISE的通信响应
> ping 2001:420:404a:133::66
使用ping命令验证IPv6地址 在Linux中Ping IPv6(Ubuntu、Debian、Mint、CentOS、RHEL)。
步骤1.打开终端,使用ping <IPv6 Address>或ping -6 <ise_node_fqdn>命令验证来自ISE的通信响应
$ ping 2001:420:404a:133::66
使用ping命令验证IPv6地址 在Cisco(IOS)中Ping IPv6
注意:Cisco在执行模式下提供ping命令,以检查与IPv6目标的连接。ping命令需要ipv6参数和目标的IPv6地址。
步骤1.在执行模式下登录到Cisco IOS设备并发出ping Ipv6 <IPv6 Address>命令以验证来自ISE的通信响应
# ping ipv6 2001:420:404a:133::66
注意:此外,您还可以从ISE获取大写,以验证收入IPv6流量
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
23-Dec-2021 |
初始版本 |
反馈