Cisco Cisco Identity Services Engine 1.3 デザインガイド
© 2015 思科系统公司
第
131 页
安全访问操作指南
设备
X
关键设备
X
(MAB)
MAC 地址
RADIUS
(
MAC 地址
发现)
RADIUS 身份验证
MAC 至 IP 映射所要
求的
求的
IP 地址
DHCP
DHCP 服务器端口的 RSPAN 至
本地策略服务节点
本地策略服务节点
可选,用于获取
MAC 至 IP 映射的
ARP 缓存
ARP 缓存
SNMP 查询 由 RADIUS 计帐开始触发
流量至目标端口
/IP NetFlow
从
Distribution 6500 交换机至
中心策略服务节点的
NetFlow
导出
分析最佳实践和建议总结
以下是对
ISE 分析的最佳实践建议的总结:
尽可能使用设备传感器以优化数据收集。
• 如果可能,请确保特定终端的配置文件数据发送至同一策略服务节点。否则,多个 PSN 可能导致
终端数据大量更新。
• 在很多情况下,ISE 会自动处理此问题:
• SNMP 查询将由接收 RADIUS 计帐开始或 SNMP 陷阱数据包的相同 PSN 发出。
• SNMP 查询将由接收 RADIUS 计帐开始或 SNMP 陷阱数据包的相同 PSN 发出。
• URL 重定向导致的 HTTP 流量发送至处理 RADIUS 会话的 PSN。
• 可以向不止一个 PSN 发送 DHCP 帮助程序,因此建议发送至与为特定接入设备的 RADIUS 配置的
相同
PSN。
• DNS 查询由收集 IP 地址的同一 PSN 发送。此 PSN 通常是处理 RADIUS 会话的那个 PSN,其从来
自
RADIUS 计帐的 Framed-IP-Address 或从来自 DHCP 的 dhcp-requested-address 接收 IP 地址,或
从
cdpCacheAddress 的已触发 SNMP 查询获取 IP 地址。
• 已触发的 NMAP 扫描由接收策略规则匹配中产生的分析数据的同一 PSN 收集。例如,如果根据
OUI 匹配向配置文件规则条件分配某个 NMAP 操作,则通过 RADIUS、DHCP 或其他探测功能接
收终端
收终端
MAC 地址的第一个 PSN 将是收集 NMAP 扫描的那个 PSN。
• 在其他情况下,例如使用 DHCP SPAN、HTTP SPAN 或 NetFlow 的情况,无法始终确保流量到达
分布式部署中的相同
PSN。
HTTP 探测功能:
• 使用 URL 重定向而不是 SPAN 集中收集并减少与 SPAN/RSPAN 相关的流量负载。
• 总之,尽量避免使用 HTTP SPAN 收集数据。如果使用:
• 查找关键流量阻塞点,例如互联网边缘或无线控制器连接。
• 总之,尽量避免使用 HTTP SPAN 收集数据。如果使用:
• 查找关键流量阻塞点,例如互联网边缘或无线控制器连接。
• 使用智能 SPAN/分流器选项或 VACL 捕获限制向 IS 发送的数据量。
• 无智能网络分流器基础设施,可能难以为 SPAN 提供高可用性。
• 无智能网络分流器基础设施,可能难以为 SPAN 提供高可用性。