Cisco Cisco Identity Services Engine 1.3 Design Guide

第

121 页

安全访问操作指南

图

100. Apple-iPod 的分析条件示例

查看配置文件库（在

Policy



Profiling 下）并且查看分析器条件（在 Policy



Policy Elements



Conditions



Profiling 下）（图 103），可以充分了解所使用的属性和分析那些终端或类似终端所需的探测功能。

图

101. 探测功能和分析器条件

已知关键分析属性之后，请从可用的探测功能中确定收集所需配置文件数据的最佳探测功能和其他收集方
法。有关支持每个类型的探测功能的具体要求，请参阅关于

ISE 探测功能配置的各个章节。本节结尾处将提

供有关探测功能选择最佳实践的其他建议。

分析未知设备类型

要分析的终端的列表可以包括网络打印机、传真机、电话、摄像头、存储设备，或任意数量支持

IP 的终端。

有时候会已知关键设备的列表，例如在拥有大型

IP 电话部署的环境中。在其他情况下，可能会有各种未知主

机，有必要首先发现这些终端。分阶段的

ISE 部署通常是最佳实践，首先从监控模式开始。这使得管理员可

以了解连接至网络的终端的类型和在已将交换端口设置为强制模式的情况下可能已被拒绝访问网络的终端的
类型。

无线接入没有“监控模式”，但是仍可将无线分析用于为使用

802.1X、Web 身份验证或 MAC 过滤功能的终

端进行分类。从思科无线局域网控制器软件版本

7.0.116.0 开始，ISE 支持分析无线 802.1X 终端。从 WLC 版

本

7.2.103.0 开始，ISE 支持分析使用 MAC 过滤的无线终端，包括使用集中 Web 身份验证进行身份验证的那

些终端。这是因为这些

WLAN 身份验证方法都引入了 CoA 支持。