Cisco Cisco Identity Services Engine Software Guía De Diseño
© 2015 思科系统公司
第
92 页
安全访问操作指南
步骤
6 在全局配置模式下开始为 DHCP 属性定义过滤器:
cat3750x(config)# device-sensor filter-list dhcp list my_dhcp_list
cat3750x(config-sensor-dhcplist)# option name host-name
cat3750x(config-sensor-dhcplist)# option name default-ip-ttl
cat3750x(config-sensor-dhcplist)# option name requested-address
cat3750x(config-sensor-dhcplist)# option name parameter-request-list
cat3750x(config-sensor-dhcplist)# option name class-identifier
cat3750x(config-sensor-dhcplist)# option name client-identifier
cat3750x(config)# device-sensor filter-spec dhcp include list my_dhcp_list
cat3750x(config-sensor-dhcplist)# option name host-name
cat3750x(config-sensor-dhcplist)# option name default-ip-ttl
cat3750x(config-sensor-dhcplist)# option name requested-address
cat3750x(config-sensor-dhcplist)# option name parameter-request-list
cat3750x(config-sensor-dhcplist)# option name class-identifier
cat3750x(config-sensor-dhcplist)# option name client-identifier
cat3750x(config)# device-sensor filter-spec dhcp include list my_dhcp_list
步骤
7 可以按照名称或编号输入 DHCP 选项。相关的一些常用选项如下:
class-identifier 类别标识符
client-fqdn 客户端 FQDN
client-identifier 客户端标识符
default-ip-ttl 默认 IP 有效时间
domain-name 域名
host-name 主机名
server-identifier 服务器 ID
user-class-id 用户类别 ID
…
最佳实践:
针对 CDP、LLDP 和 DHCP 显示的示例,过滤器提供了对于大多数使用情况来说合理的选择。要了解哪些属性可用,请使用适用
于
CDP 和 LLDP 的 show 命令来查看网络中终端显示的是哪些 TLV 并确定任何特定属性是否会协助对终端进行唯一分类。也可以在
Administration Identity Management Identities 下,在无过滤器的情况下对设备传感器进行初始部署,查看向 ISE 显示哪些属性。
可以根据被确定为匹配客户终端分析条件所需的那些过滤器来应用相应的过滤器。
可以根据被确定为匹配客户终端分析条件所需的那些过滤器来应用相应的过滤器。
注:输入特定
TLV 或选项值并不表示终端在传输此信息。根据终端向交换机或网络显示的属性应用过滤器。
例如,如果过滤器选择包含
DHCP 选项 client-fqdn,但是 DHCP 客户端未请求该选项,则有关该选项的任何
信息对于设备传感器或
ISE 都不可用。
步骤
8 如下所示,在 RADIUS 计帐中启用要发送的传感器数据:
cat3750x(config)# device-sensor accounting
cat3750x(config)# device-sensor notify all-changes
cat3750x(config)# device-sensor notify all-changes
步骤
9 禁用本地分析器,防止向 ISE 发送重复的更新:
cat3750x(config)# no macro auto monitor
cat3750x(config)# access-session template monitor
cat3750x(config)# access-session template monitor