Cisco Cisco Identity Services Engine Software Guía De Diseño
© 2015 思科系统公司
第
27 页
安全访问操作指南
系统查询
系统查询根据
ISE 的 NAD 配置中设置的轮询间隔定期执行。所轮询的 MIB 如下所示:
• IF-MIB
• SNMPv2-MIB
• IP-MIB
• CISCO-CDP-MIB
• CISCO-VTP-MIB
• CISCO-STACK-MIB
• BRIDGE-MIB
• OLD-CISCO-INTERFACE-MIB
• CISCO-LWAPP-AP-MIB
• CISCO-LWAPP-DOT11-CLIENT-MIB
• CISCO-AUTH-FRAMEWORK-MIB
• EEE8021-PAE-MIB: RFC IEEE 802.1X
• HOST-RESOURCES-MIB
• LLDP-MIB
所收集的关键属性包括以下条目:
• 网桥、IP (ARP)
• cdpCacheEntry(仅有线)
• lldpLocalSystemData(仅有线)
• lldpLocalSystemData(仅有线)
• lldpRemoteSystemsData(仅有线)
• cLApEntry(仅 WLC)
• cldcClientEntry(仅 WLC)
如果多个策略服务节点都启用了
SNMP 查询,则会在所有可用 PSN 之间分配网络设备的 SNMP 轮询,除非特
定
PSN 已配置为轮询指定网络设备。
在此轮询查询期间,还会收集地址解析协议
(ARP) 表信息,用以构建 ISE 中的 IP-MAC ARP 缓存表。在终端
仅连接至第
2 层交换端口的环境中,如果上游第 3 层设备包含终端的 ARP 表信息,则可能需要将上游第 3 层
设备(例如分支机构路由器或第
3 层分布交换机)配置为 ISE 网络接入设备。在未在接入设备上配置 RADIUS
或
DHCP 探测功能无法收集 IP 到 MAC 绑定数据的部署中,可能只有满足此要求,才能提供 IP 到 MAC 绑定
信息。在示例拓扑(图
21)中,Cisco Catalyst 6500 系列交换机可能被轮询,从而为无线客户端或下游第 2 层
交换机(图中未显示)收集
ARP 信息。
接口查询
接口查询由
RADIUS 记帐开始数据包(需要 RADIUS 探测功能)或 SNMP LinkUp/MAC Notification 陷阱
(需要
SNMP 陷阱探测功能)触发。
最佳实践:
要简化部署并降低 SNMP 陷阱导致的流量开销,在可能的情况下,请使用 RADIUS 探测功能根据 RADIUS 记帐开始消息触发 SNMP
查询。