设为首页收藏本站language 语言切换
查看: 1543|回复: 1
收起左侧

使用IPv6配置Cisco ISE 3.0管理门户和CLI

[复制链接]
 成长值: 63445
发表于 2023-1-18 22:04:21 | 显示全部楼层 |阅读模式
背景信息
在大多数情况下,思科身份服务引擎可配置Ipv4地址以通过用户界面(GUI)和CLI登录管理门户管理ISE,但是,从ISE 2.6及更高版本思科ISE可通过IPv6地址进行管理,并在设置向导时将IPv6地址配置为Eth0(接口)以及通过CLI。配置IPv6地址时,建议为Cisco ISE节点通信配置IPv4地址(除IPv6地址外)。因此,需要双协议栈(IPv4和IPv6的组合)。
可以使用IPv6地址配置安全套接字外壳(SSH)。思科ISE支持任何接口上的多个IPv6地址,并且这些IPv6地址可以使用CLI进行配置和管理。
配置网络图
该图提供网络图示例

                               
登录/注册后可看大图
ISE配置
注意:默认情况下,在所有ISE接口中启用ipv6 address选项。如果不计划使用此选项,最好禁用此选项,在适用时发出no ipv6 address autoconfig和/或no ipv6 enable命令。使用show run命令验证哪些接口启用了ipv6。
注意:配置认为思科ISE已配置IPv4编址。
ems-ise-mnt001/admin#配置终端
ems-ise-mnt001/admin(config)# int GigabitEthernet 0
ems-ise-mnt001/admin(config-GigabitEthernet)# ipv6 address 2001:420:404a:133::66
%更改IP地址可能导致ise服务重新启动
是否继续更改IP地址?  Y/N [N]:Y
注意:在接口上添加或更改IP编址会导致服务重新启动
步骤2.重新启动服务后,发出show application status ise命令以验证服务是否正在运行:
ems-ise-mnt001/admin# show application status ise
ISE进程名称状态进程ID
运行1252的数据库侦听程序      
运行74个进程的数据库服务器
运行11134的应用服务器      
运行6897的分析器数据库      
运行14121的ISE索引引擎      
运行17184的AD连接器      
运行6681的M&T会话数据库      
运行11337的M&T日志处理器      
证书颁发机构服务运行17044      
运行10559的EST服务      
SXP引擎服务已禁用                    
运行3579的Docker守护程序      
TC-NAC服务已禁用      
运行9712的pxGrid基础设施服务      
运行9791的pxGrid发布服务器订用服务      
运行9761的pxGrid连接管理器      
运行9821的pxGrid控制器      
已禁用PassiveID WMI服务                    
已禁用PassiveID系统日志服务                    
已禁用PassiveID API服务                    
已禁用PassiveID代理服务                     
已禁用PassiveID终端服务                    
已禁用PassiveID SPAN服务                    
DHCP服务器(dhcpd)已禁用                    
DNS服务器(命名)已禁用                    
运行4260的ISE消息服务      
运行5805的ISE API网关数据库服务      
运行8973的ISE API网关服务      
分段策略服务已禁用                    
REST身份验证服务已禁用                    
已禁用SSE连接器              
步骤3.发出show run命令以验证Eth0(接口)上已配置IPv6:
ems-ise-mnt001/admin# show run
正在生成配置……
!      
hostname ems-ise-mnt001
!      
ip domain-name ise.com
!      
ipv6 enable
!      
接口GigabitEthernet 0
  ip address 10.52.13.175 255.255.255.0
  ipv6 address 2001:420:404a:133::66/64
  ipv6 address autoconfig
  ipv6 enable
!      
验证
思科ISE UI
步骤1.打开新的窗口浏览器并键入https://[2001:420:404a:133::66]。请注意,IPv6地址必须在方括号中。

                               
登录/注册后可看大图

                               
登录/注册后可看大图
思科ISE SSH
注意:本例中使用安全CRT。
步骤1.打开新的SSH会话并键入IPv6 Address,后跟Admin用户名和密码。

                               
登录/注册后可看大图

                               
登录/注册后可看大图
步骤2.发出show interface gigabitEthernet 0命令以验证在Eth0(接口)上配置的IPv6地址:
ems-ise-mnt001/admin# show interface gigabitEthernet 0
千兆以太网0
        flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 10.52.13.175网络掩码255.255.255.0广播10.52.13.255
        inet6 2001:420:404a:133:117:4cd6:4dfe:811 prefixlen 64 scopeid 0x0<global>
        inet6 2001:420:404a:133::66 prefixlen 64 scopeid 0x0<global>
        ether 00:50:56:89:74:4f txqueuelen 1000(以太网)
        RX数据包17683390字节15013193200(13.9 GiB)
        RX错误0丢弃7611超限0帧0
        TX数据包16604234字节2712406084(2.5 GiB)
        TX错误0已丢弃0超限0载波0冲突0
步骤3.发出show users命令以验证源IPv6地址。
ems-ise-mnt001/admin# show users
用户名角色主机TTY登录日期时间           
管理员10.82.237.218点/0 2021年12月6日星期一19:47:38 2021
管理员管理员2001:420:c0c4:1005::589分/2周一12月6日20:09:04 20
故障排除
本部分提供的信息可用于对配置进行故障排除。
在MacOS上使用ping命令验证IPv6地址的通信
步骤1.打开终端并使用ping6 <IPv6 Address>命令验证来自ISE的通信响应
M-65PH:~ ecanogut$ ping6 2001:420:404a:133::66
PING6(56=40+8+8字节)2001:420:c0c4:1005::589 —> 2001:420:404a:133::66
2001:420:404a:133::66的16个字节,icmp_seq=0 hlim=51 time=229.774 ms
2001:420:404a:133::66的16个字节,icmp_seq=1 hlim=51 time=231.262 ms
2001:420:404a:133::66的16个字节,icmp_seq=2 hlim=51 time=230.545 ms
2001:420:404a:133::66的16个字节,icmp_seq=3 hlim=51 time=320.207 ms
2001:420:404a:133::66的16个字节,icmp_seq=4 hlim=51 time=236.246
在Windows上使用ping for IPv6地址进行通信验证
要使IPv6 ping命令正常工作,需要在网络配置上启用Ipv6。
步骤1.选择“开始”>“设置”>“控制面板”>“网络和Internet”>“网络和共享中心”>“更改适配器设置”。
步骤2.验证Internet协议第6版(TCP/IPv6)已启用,如果此选项被禁用,请单击复选框。

                               
登录/注册后可看大图
步骤 3:打开终端,使用ping <IPv6地址>或ping -6 <ise_node_fqdn>命令验证来自ISE的通信响应
> ping 2001:420:404a:133::66
使用ping命令验证IPv6地址 在Linux中Ping IPv6(Ubuntu、Debian、Mint、CentOS、RHEL)。
步骤1.打开终端,使用ping <IPv6 Address>或ping -6 <ise_node_fqdn>命令验证来自ISE的通信响应
$ ping 2001:420:404a:133::66
使用ping命令验证IPv6地址 在Cisco(IOS)中Ping IPv6
注意:Cisco在执行模式下提供ping命令,以检查与IPv6目标的连接。ping命令需要ipv6参数和目标的IPv6地址。
步骤1.在执行模式下登录到Cisco IOS设备并发出ping Ipv6 <IPv6 Address>命令以验证来自ISE的通信响应
# ping ipv6 2001:420:404a:133::66
注意:此外,您还可以从ISE获取大写,以验证收入IPv6流量

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-5 17:55 , Processed in 0.063269 second(s), 13 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表