Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

34 页

安全访问操作指南

可以在思科设备上将多个

IP 帮助程序目标配置为允许多个 ISE 策略服务节点接收 DHCP 请求副本。

注：

ISE DHCP 探测功能可以解析来自 DHCP 中继和 DHCP 代理的流量。这些方法之间的一个主要区别是通

过

ip helper-address 命令的 DHCP 中继能够向多个目标发送流量，因此允许多台实际 DHCP 服务器和 ISE 策略

服务节点接收

DHCP 请求的副本。另一方面，DHCP 代理将只向主要 DHCP 服务器发送请求，而且只有在没

有收到有效响应的情况下，才会退回其他已配置的

DHCP 目标。虽然可以将 ISE 节点配置为第一个条目，从

而允许退回实际

DHCP 服务器，但是这种配置会延迟终端获取 IP 地址所需的时间。这会影响用户体验，还可

能导致客户端在等待响应的时候出现超时。

DHCP SPAN 探测功能

DHCP SPAN 探测功能旨在用于使用交换端口分析器 (SPAN)、远程 SPAN (RSPAN) 或网络分流器等方法将流
量镜像于

ISE 策略服务节点上的接口的情况。此方法主要用于使用 DHCP 中继的基本 DHCP 探测功能不可用

或无法使用的情况。

最佳实践：

对于任何给定的 DHCP 流量，都只应选择一个探测功能来从该流量搜集属性。在同时使用 DHCP（IP 帮助程序）和 DHCP SPAN 探测功

能从同一

DHCP 流量收集属性方面，价值有限。

如果

DHCP 探测功能可用，建议使用 DHCP 探测功能而不要使用 DHCP SPAN 探测功能。仅通过 DHCP 中继发送 DHCP 数据包可以减

少用于检查和解析来自

DHCP 数据包的属性的 ISE 策略服务节点上的总流量负载。

DHCP SPAN 探测功能也可用于从本地子网广播捕获 DHCP 流量，而使用 DHCP 探测功能只能捕获上游网关
中继的

DHCP 流量。当第 3 层网关同时作为本地客户端的 DHCP 服务器时，就有这种必要。如果思科 IOS

DHCP 服务器也配置成为该子网提供 DHCP 服务，则不会中继 DHCP 任何片段。

示例拓扑说明的是使用

SPAN 或网络分流器从连接 WLC 的无线客户端将数据包复制到策略服务节点上的专用

接口（图

26 中以蓝色突出显示）。因为 SPAN 目标端口可能会有多个特殊属性限制收发以 PSN 为目标的正

常流量，所以需要使用专用接口。此外，我们不希望镜像流量导致

RADIUS 等 PSN 的其他关键接口出现拥

塞。使用

SPAN 方法，可能会向 SPAN 端口发送超出其处理能力的更多数据，从而导致关键流量出现丢包或

延迟。

DHCP 属性

DHCP 探测功能和 DHCP SPAN 探测功能都向 ISE 提供相同的关键分析属性，包括以下一些属性：

• dhcp-class-identifier

• dhcp-user-class-id

• dhcp-client-identifier

• dhcp-message-type

• dhcp-parameter-request-list

• dhcp-requested-address

• host-name

• domain-name

• client-fqdn

因为

DHCP 既提供 MAC 地址 (dhcp-client-identifier)，又提供 IP 地址 (dhcp-requested-address)，所以还可以

为

ISE ARP 缓存表建立 IP 到 MAC 地址绑定。这对于支持依赖 IP 地址而非 MAC 地址的其他探测功能很有

用。要应用就特定终端提供的属性并将这些属性保存到

ISE 数据库中，需要根据 MAC 地址将 IP 地址与具体

终端关联。