Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

123 页

安全访问操作指南

还有一种方案是在一开始允许流量，但是在检测出异常流量之后，匹配更改端口授权的更具体配置文件。例
如，如果某个过程控制终端与意外端口通信，则可以应用特例操作，将端口分配至隔离身份组和策略。再次
申明，

ISE 分析的目的并不是用作反监听解决方案，但是可以用于根据异常流量或其他分析属性强制执行策

略。在包含关键设备的环境中，通常会锁定或将访问限制于已知的一系列终端。在这些情况下，分析的值可
能是为了获得可视性，确保匹配特定分析策略的所有终端显示与那些设备类型一致的属性。

在需要执行静态策略分配的情况下，使用特例操作不失为一种方法。但是，请注意终端被静态分配至某个配
置文件后，就只有管理员可以更改那种分配。

探测功能选择最佳实践

对于每种部署，可以使用不同的探测功能。本节重点介绍每个探测功能可以提供的信息并根据部署类型在探
测功能选择过程方面提供指导。

探测功能属性

在确定在网络中启用哪些探测功能时，最好要了解每个探测功能可以收集哪些属性。表

8 总结了不同的探测

功能所收集的关键属性以及合适的使用案例。

表

8. 探测功能和关键属性

探测功能

关键分析属性

常见终端分析使用案例

RADIUS

•

MAC 地址 (OUI)

•

IP 地址

MAC Address 

OUI = 指示设备供应商。如果供应商只制造特定设

备，则可以单独使用此属性分析某些终端。例如：第三方

IP 电话、

移动设备、游戏控制台；

MAC 至 IP 绑定和探测功能支持。

带设备传感器
的

RADIUS

•

CDP/LLDP

•

DHCP

有关

CDP/LLDP 信息，请参阅 SNMP 探测功能。

有关

DHCP 信息，请参阅 DHCP 探测功能。

SNMP

•

MAC 地址/OUI

•

CDP/LLDP

•

ARP 表

对于使用

CDP/LLDP 的任何供应商非常有价值。例如，思科 IP 电

话、摄像头、接入点、设备。

DHCP（参阅 DHCP 探测功能信息）

MAC 地址（参阅 RADIUS 探测功能）

设备

ARP 表的轮询填充 ISE MAC 至 IP 绑定。

DHCP

•

DHCP

硬件和软件的唯一供应商

ID。操作系统检测的 DHCP 指纹。通用名

称模式的主机名

/FQDN 可能会指示操作系统或设备类型。额外提供

MAC 至 IP 绑定以支持其他探测功能。