使用IPv6配置Cisco ISE 3.0管理員門戶和CLI
簡介
本文檔介紹使用IPv6為管理員門戶和CLI配置思科身份服務引擎(ISE)的過程。
必要條件
需求
思科建議您瞭解以下主題:
- 身分識別服務引擎 (ISE)
- IPv6
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- ISE版本3.0補丁4。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在大多數情況下,Cisco Identity Services Engine可以配置Ipv4地址以通過使用者介面(GUI)和CLI登入管理門戶管理ISE,但是從ISE版本2.6及更高版本的Cisco ISE可以通過IPv6地址進行管理,並在設定嚮導時通過CLI將IPv6地址配置為Eth0(介面)。配置IPv6地址時,建議為思科ISE節點通訊配置IPv4地址(除了IPv6地址)。因此,需要雙堆疊(IPv4和IPv6的組合)。
可以使用IPv6地址配置安全套接字外殼(SSH)。Cisco ISE支援任何介面上的多個IPv6地址,這些IPv6地址可以使用CLI進行配置和管理。
設定
網路圖表
該圖提供網路圖示範例
ISE 組態
附註:預設情況下,所有ISE介面均啟用ipv6地址選項。如果沒有計畫使用此選項,最好禁用此選項。如果適用,請發出no ipv6 address autoconfig和/或no ipv6 enable。使用show run命令驗證哪些介面已啟用ipv6。
附註:該配置認為cisco ISE已配置了IPv4定址。
ems-ise-mnt001/admin#配置終端
ems-ise-mnt001/admin(config)# int GigabitEthernet 0
ems-ise-mnt001/admin(config-GigabitEthernet)# ipv6 address 2001:420:404a:133::66
%更改IP地址可能導致ise服務重新啟動
是否繼續更改IP地址? Y/N [N]:Y
附註:新增或更改介面上的IP編址會導致服務重新啟動
步驟2.服務重新啟動後,發出show application status ise命令以驗證服務是否正在運行:
ems-ise-mnt001/admin# show application status ise
ISE進程名稱狀態進程ID
--------------------------------------------------------------------
運行1252的資料庫監聽程式
資料庫伺服器運行74個進程
應用程式伺服器運行11134
Profiler資料庫運行6897
ISE索引引擎正在運14121
AD聯結器運行17184
運行6681的M&T會話資料庫
運行Windows的M&T日誌處理11337
證書頒發機構服務正在運行17044
EST服務運行10559
SXP引擎服務已禁用
運行3579的Docker守護程式
TC-NAC服務已禁用
運行9712的PXgrid基礎架構服務
運行9791的PxGrid發佈伺服器訂戶服務
運行9761的PxGrid連線管理器
運行9821的PXgrid控制器
已禁用PassiveID WMI服務
PassiveID系統日誌服務已禁用
PassiveID API服務已禁用
已禁用PassiveID代理服務
已禁用PassiveID終結點服務
已禁用PassiveID SPAN服務
已禁用DHCP伺服器(dhcpd)
已禁用DNS伺服器(已命名)
運行4260的ISE消息服務
運行5805的ISE API網關資料庫服務
運行8973的ISE API網關服務
已禁用分段策略服務
REST身份驗證服務已禁用
SSE聯結器已禁用
步驟3.發出show run命令以驗證已在Eth0(介面)上配置IPv6:
ems-ise-mnt001/admin# show run
正在生成配置……
!
hostname ems-ise-mnt001
!
ip domain-name ise.com
!
ipv6 enable
!
interface GigabitEthernet 0
ip address 10.52.13.175 255.255.255.0
ipv6 address 2001:420:404a:133::66/64
ipv6 address autoconfig
ipv6 enable
!
驗證
Cisco ISE UI
步驟1.開啟一個新的視窗瀏覽器,鍵入https://[2001:420:404a:133::66]。請注意,IPv6地址必須放在方括弧中。
Cisco ISE SSH
附註:本示例中使用的是安全CRT。
步驟1.打開新的SSH會話,鍵入IPv6地址,後跟管理員使用者名稱和密碼。
步驟2.發出show interface gigabitEthernet 0 命令以驗證Eth0(介面)上配置的IPv6地址:
ems-ise-mnt001/admin# show interface gigabitEthernet 0
GigabitEthernet 0
flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.52.13.175 netmask 255.255.255.0 broadcast 10.52.13.255
inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixlen 64 scopeid 0x0<global>
inet6 2001:420:404a:133::66 prefixlen 64 scopeid 0x0<global>
ether 00:50:56:89:74:4f txqueuelen 1000(乙太網)
RX封包17683390 bytes 15013193200(13.9 GiB)
RX錯誤0丟棄7611超出0幀0
TX資料包16604234位元組2712406084(2.5 GiB)
TX錯誤0丟棄0超載0載波0衝突0
步驟3.發出show users命令以驗證源IPv6地址。
ems-ise-mnt001/admin# show users
使用者名稱角色主機TTY登入日期時間
管理管理員10.82.237.218 pts/0 Mon Dec 6 19:47:38 2021
admin Admin 2001:420:c0c4:1005::589 pts/2 Mon Dec 6 20:09:04 20
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
在MacOS上對IPv6地址使用ping進行通訊驗證
步驟1.開啟終端並使用ping6 <IPv6 Address>命令驗證來自ISE的通訊響應
M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66
PING6(56=40+8+8位元組)2001:420:c0c4:1005::589 —> 2001:420:404a:133::66
16個位元組,從2001:420:404a:133::66,icmp_seq=0 hlim=51 time=229.774 ms
16個位元組,從2001:420:404a:133::66,icmp_seq=1 hlim=51 time=231.262 ms
16個位元組,從2001:420:404a:133::66,icmp_seq=2 hlim=51 time=230.545 ms
16個位元組,從2001:420:404a:133::66,icmp_seq=3 hlim=51 time=320.207 ms
16個位元組,從2001:420:404a:133::66,icmp_seq=4 hlim=51 time=236.246
在Windows上對IPv6地址使用ping進行通訊驗證
為了使IPv6 ping命令正常工作,需要在網路配置上啟用Ipv6。
步驟1.選擇開始>設定>控制面板>網路和Internet >網路和共用中心>更改介面卡設定。
步驟2.驗證Internet協定第6版(TCP/IPv6)已啟用,如果此選項處於禁用狀態,請按一下覈取方塊。
步驟3:開啟終端並使用ping<IPv6地址>或ping -6 <ise_node_fqdn> 命令驗證來自ISE的通訊響應
> ping 2001:420:404a:133:66
使用ping驗證IPv6地址的通訊驗證 Linux中的Ping IPv6(Ubuntu、Debian、Mint、CentOS、RHEL).
步驟1.開啟終端並使用ping <IPv6 Address>或ping -6 <ise_node_fqdn> 命令驗證來自ISE的通訊響應
$ ping 2001:420:404a:133:66
使用ping驗證IPv6地址的通訊驗證 Ping Cisco中的IPv6(IOS)
附註:Cisco在exec模式下提供ping命令以檢查與IPv6目標的連線。ping命令需要ipv6引數和目標的IPv6地址。
步驟1.在exec模式下登入到cisco IOS裝置,並發出ping Ipv6 <IPv6 Address>命令以驗證來自ISE的通訊響應
# ping ipv6 2001:420:404a:133:66
附註:此外,您還可以從ISE獲取資料包以驗證收入IPv6流量
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Dec-2021 |
初始版本 |
意見