Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

115 页

安全访问操作指南

例外操作

默认情况下，有三种预定义的非可配置例外操作。转至

Policy  Policy Elements  Results  Profiling 

Exception Action，查看列表（图 94）。

图

92. 例外操作

EndpointDelete 在终端被删除或从已分析配置文件转变为未知配置文件（无分析策略匹配项）时发送 CoA。

FirstTimeProfile 在终端从未知分析文件转变为具体的分析策略分配时生成 CoA。如果终端是在已知配置文件
之间转变（例如从

Apple-Device 转变成 Apple-iPod），则此例外操作不会触发 CoA。

如果终端从动态配置文件分配静态分配至某个配置文件，则

StaticAssignment 会导致生成 CoA。分配至静态

策略分配之后，就无法再分配新的终端分析策略，即使分析属性通常会指示可以转变。

对于各项例外操作，所发送的默认

CoA 类型在全局设置中在 Administration  System  Settings 

Profiling 下进行配置（图 95）。

图

93. 全局分析器 CoA 配置

章节详细介绍了全局分析设置的配置。当通过同一交换端口连接多个会话时，

Port

Bounce 设置降低为 Reauth 设置，以最大程度地减少对其他会话的干扰。

系统定义的例外操作不可配置，且无法分配为分析策略下的操作。它们会根据所定义的转变自动触发。但
是，管理员可以定义自定义例外操作。这些用户定义的例外操作可用于分析策略中，以应用静态分析策略分
配和指定是否发送

CoA。

如果授权策略更改，自动在配置文件转变时发送

CoA

在思科

ISE 软件版本 1.1.1 之前，例外操作通常用于为配置文件内的转变（也就是从一个已知配置文件转变为

另一个已知配置文件）强制实施

CoA，通常会对向分析策略静态分配终端产生不利负面影响。从 ISE 1.1.1 开

始，只要配置文件转变导致依据授权策略规则更改终端访问权限，

ISE 策略服务节点就会发送 CoA。其判定

逻辑以终端身份组的变更为基础，其中此身份组用于授权策略规则中。此增强功能消除了使用例外操作处理
为配置文件内转变发送

CoA 的要求。此外，它还允许终端维护动态配置文件分配，从而允许根据分析属性和

策略配置进行额外转变。