Cisco Cisco Identity Services Engine Express License Bundle Guía De Diseño
© 2015 思科系统公司
第
63 页
安全访问操作指南
在
ISE 分析服务中,NetFlow 通常用于根据终端生成的流量识别终端。反过来,当特定终端生成不具有该终端
特点的流量时,它可以提供关于异常行为的指示。例如,如果
NetFlow 属性反映一开始分析为 IP 电话的终端
开始突然启动与端口
443 上的远程目标通信,则可能表示存在异常情况和潜在欺骗威胁。但是,请注意,将
NetFlow 用于 ISE 分析服务不可视为一种反欺骗功能或解决方案。
NetFlow 专注于对终端的积极分类,在将普通硬件用于任务特定功能的情况下最为有用,在此情况中给终端唯
一分类的唯一信息与流量相关。这些类型的设备示例包括用于制造或医疗行业的设备。例如,医院使用的心
脏监护器可能会使用利用标准硬件技术嵌入的
一分类的唯一信息与流量相关。这些类型的设备示例包括用于制造或医疗行业的设备。例如,医院使用的心
脏监护器可能会使用利用标准硬件技术嵌入的
Windows 操作系统或加固型 Linux 内核,但是可以运行在特定
协议、端口和目标上进行通信的协议。对于这些类型的终端,
NetFlow 可能是唯一可行的选择。
步骤
1 一般来说,不建议随意启用 NetFlow 和/或将 NetFlow 用作通用分析方法。如果不谨慎部署,
NetFlow 可能会对设备资源产生负面影响,具体取决于所使用的平台以及 NetFlow 配置和流量大
小。如果从一个或多个来源持续发送大量流量,则
小。如果从一个或多个来源持续发送大量流量,则
NetFlow 还可能会在 ISE 策略服务节点上生成高
负载。不同于其他
ISE 探测功能,NetFlow 探测功能不支持优化数据收集和数据库效率的属性过
滤器。
步骤
2 如果 NetFlow 版本 9 在网络设备上可用,为了将 NetFlow 导出至 ISE 策略服务节点,建议使用
NetFlow 版本 9,而不要使用版本 5。版本 9 支持 Flexible NetFlow 和各种增强功能,可过滤收集和
导出至
导出至
NetFlow 探测功能的流量数据。虽然采样的 NetFlow 可以降低总流量,但是采样可能会无法
满足所有分析要求,因为有些情景可能要求
NetFlow 探测功能查看所有流量。
NetFlow 探测功能和 IP 到 MAC 地址绑定要求
步骤
1 NetFlow 记录以源和目标 IP 地址之间的通信为基础。因为 NetFlow 流量不包括源或目标终端的
MAC 地址,因此 ISE 策略服务节点在其用于终端的 ARP 缓存表中必须已经有一个 IP 到 MAC 地址
绑定,才能正确关联发送至
绑定,才能正确关联发送至
NetFlow 探测功能的数据。换句话说,如果 ISE 无法通过终端的 MAC
地址识别终端或没有关联的
IP 地址,则 NetFlow 探测功能识别的分析数据将被废弃,因为没有终
端可让它应用所识别的流量属性。因此,必须在收集
NetFlow 数据之前通过另一个探测功能识别 IP
到
MAC 地址绑定。可用于提供此信息的探测功能如下:
步骤
2 RADIUS(通过 Framed-IP-Address)
步骤
3 DHCP(通过 dhcp-requested-address)
步骤
4 SNMP 查询(通过 SNMP 轮询)
步骤
5 值得注意的是,NetFlow 版本 9 支持将源和目标 MAC 地址包含在流量记录中,而版本 5 则不支
持。但是,所报告的这些
MAC 地址是路径中相邻节点(通常为第 3 层路由器和交换机)的 MAC
地址,而不是距离超过一跳的终端的
MAC 地址。除非终端系统直接连接至 NetFlow 设备,否则此
功能没有多大价值。
最佳实践:
将 NetFlow 用于分析会导致可能向用于解析的 ISE 发送大量数据。仅限在其他探测功能不足以满足要求的情况下使用 NetFlow。如有必
要,建议使用
NetFlow 版本 9,从而充分利用 Flexible NetFlow 中的过滤增强功能。虽然 ISE 不会阻止使用默认接口,但我们强烈建议将
NetFlow 导出至专用于 NetFlow 探测功能的 ISE PSN 接口。
配置
NetFlow 探测功能
步骤
1 要使用 NetFlow 探测功能,则与相应流量流串联的网络设备必须兼容 NetFlow 并且支持 NetFlow
版本
5 或版本 9。将要作为 NetFlow 数据的目标的各个 ISE PSN 上应该使用专用接口。