Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

105 页

安全访问操作指南

图

77. 分析策略规则示例

即使

CF 达到 60，从技术角度看，终端仍可能与另一个 CF 值高于 60 的策略的条件匹配。如果满足所有其他

条件，终端会被分配至该配置文件，即使它满足

Android 策略的所有条件。

通常，应将预定义策略的

CF 值保留为默认值。有时候需要修改默认值，从而确保根据网络策略或首选项特定

策略优先于其他策略。在那种情况下，请在首选策略中将适用规则的

CF 值增加最小量，从而满足您所需的分

析目标。

同样，如果您创建新配置文件，请将初始

CF 值设置为相对低的值（例如 10 或 20），然后监控策略分配，验

证是否得到想要的结果。如果初始值设置得太高，当与其他策略相比，某个配置文件的规则设置的

CF 值异常

高时，根据

CF 计算值可能无法应用与实际终端可能更接近的其他配置文件。

例如，如果某个终端与自定义配置文件

A 的单个规则匹配，导致 CF 值增至 100，即使该终端与配置文件 B

的四条规则匹配，但是每个匹配项仅将

CF 值提高 20，该终端始终无法分配至配置文件 B。甚至有可能，配

置文件

A 中的规则与配置文件 B 中的规则完全一样，但是分配的 CF 值却不一致。因此，一般都建议在所有

策略规则中使用一致的

CF 评分。

思科最佳实践：

一般都建议将 CF 值保持默认设置。如果需要修改默认设置，从而确保特定配置文件分配享有优先权，仅将首选配置文件中规则的值

增加至影响所需策略分配的最低值即可。

如果创建自定义配置文件，请保持较低的

CF 初始值，或将其设置为与其他配置文件相同的值。