Cisco Cisco Identity Services Engine 1.3 디자인 가이드

 

 

 

© 2015 思科系统公司 

第

 27 页 

安全访问操作指南

系统查询

系统查询根据

 ISE 的 NAD 配置中设置的轮询间隔定期执行。所轮询的 MIB 如下所示：  

•  IF-MIB 

•  SNMPv2-MIB 

•  IP-MIB 

•  CISCO-CDP-MIB 

•  CISCO-VTP-MIB 

•  CISCO-STACK-MIB 

•  BRIDGE-MIB 

•  OLD-CISCO-INTERFACE-MIB 

•  CISCO-LWAPP-AP-MIB 

•  CISCO-LWAPP-DOT11-CLIENT-MIB 

•  CISCO-AUTH-FRAMEWORK-MIB 

•  EEE8021-PAE-MIB: RFC IEEE 802.1X 

•  HOST-RESOURCES-MIB 

•  LLDP-MIB 

所收集的关键属性包括以下条目：

 

•  网桥、IP (ARP) 

•  cdpCacheEntry（仅有线） 
•  lldpLocalSystemData（仅有线） 

•  lldpRemoteSystemsData（仅有线） 

•  cLApEntry（仅 WLC） 

•  cldcClientEntry（仅 WLC） 

如果多个策略服务节点都启用了

 SNMP 查询，则会在所有可用 PSN 之间分配网络设备的 SNMP 轮询，除非特

定

 PSN 已配置为轮询指定网络设备。 

在此轮询查询期间，还会收集地址解析协议

 (ARP) 表信息，用以构建 ISE 中的 IP-MAC ARP 缓存表。在终端

仅连接至第

 2 层交换端口的环境中，如果上游第 3 层设备包含终端的 ARP 表信息，则可能需要将上游第 3 层

设备（例如分支机构路由器或第

 3 层分布交换机）配置为 ISE 网络接入设备。在未在接入设备上配置 RADIUS 

或

 DHCP 探测功能无法收集 IP 到 MAC 绑定数据的部署中，可能只有满足此要求，才能提供 IP 到 MAC 绑定

信息。在示例拓扑（图

 21）中，Cisco Catalyst 6500 系列交换机可能被轮询，从而为无线客户端或下游第 2 层

交换机（图中未显示）收集

 ARP 信息。 

接口查询

接口查询由

 RADIUS 记帐开始数据包（需要 RADIUS 探测功能）或 SNMP LinkUp/MAC Notification 陷阱

（需要

 SNMP 陷阱探测功能）触发。 

最佳实践：

 要简化部署并降低 SNMP 陷阱导致的流量开销，在可能的情况下，请使用 RADIUS 探测功能根据 RADIUS 记帐开始消息触发 SNMP  

查询。