Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
130 页
安全访问操作指南
分析计划
在检查因可视性或基于设备类型的网络访问而要求进行设备分类的不同类型终端并且就收集所需数据的最佳
探测功能达成一致意见之后,下一步是制定分析计划。至少,此计划应包括要分析的所有设备,以及如何将
分析数据用于授权网络访问。该计划还应包括给每个终端分类所要求的唯一属性、用于捕获这些属性的探测
功能或方法,以及收集方法的具体信息。例如,是否使用
探测功能达成一致意见之后,下一步是制定分析计划。至少,此计划应包括要分析的所有设备,以及如何将
分析数据用于授权网络访问。该计划还应包括给每个终端分类所要求的唯一属性、用于捕获这些属性的探测
功能或方法,以及收集方法的具体信息。例如,是否使用
URL 重定向或 SPAN 来捕获 HTTP? 在哪里捕获
这些数据?
哪些 PSN 将接收数据? 该计划的另一个重要方面是如何部署可扩展性和冗余。
注:分析高可用性和可扩展性,包括负载均衡,不在本文档的讨论范围之内。
表
14 显示某示例公司的基本分析计划。
表
14. 示例分析计划
设备配置文件
在身份验证策略规则中
什么地方使用?
什么地方使用?
唯一属性
使用的探测
收集方法
思科
IP 电话
思科
IP 电话 (MAB)
OUI
RADIUS
RADIUS 身份验证
CDP
SNMP 查询 由 RADIUS 开始触发
IP 摄像机
思科
IP 摄像头 (MAB) OUI
RADIUS
RADIUS 身份验证
CDP
SNMP 查询 由 RADIUS 开始触发
打印机
打印机
(MAB)
OUI
RADIUS
RADIUS 身份验证
DHCP 类标识符
DHCP
从本地第
3 层交换机 SVI 使用
IP 帮助程序
销售点
(PoS) 站
点(静态
IP)
POS (MAB)
MAC 地址
RADIUS
(
MAC 地址
发现)
RADIUS 身份验证
MAC 至 IP 映射的
ARP 缓存
ARP 缓存
SNMP 查询 由 RADIUS 开始触发
DNS 名称
DNS
由
IP 发现触发
Apple iDevice
员工个人
(802.1X/CWA)
OUI
RADIUS
RADIUS 身份验证
浏览器用户代理
HTTP
授权策略安全状态重定向至中
心策略服务节点集群
心策略服务节点集群
DHCP 类标识符和
MAC 至 IP 映射
MAC 至 IP 映射
DHCP
从本地第
3 层交换机 SVI 使用
IP 帮助程序