Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

46 页

安全访问操作指南

总体上，

HTTP 探测功能为通过 User-Agent 检测客户端操作系统类型提供了更高的检测精度。当要求使用基

于操作系统的策略，特别是针对客户经常需要根据终端属于个人资产还是公司资产提供不同访问权限的无线
环境，建议使用

HTTP 探测功能。

在使用

CP 的 URL 重定向和使用 CWA 的 URL 重定向这两种方案中，ISE 都能够将 User-Agent 属性应用于

MAC 地址，而无需预先设置 IP 到 MAC 地址绑定。HTTP SPAN 方法始终要求有现有的 IP 到 MAC 绑定条
目，除非所镜像的流量来自邻近终端的第

2 层片段。在此特定情况下，数据包源 MAC 地址为实际终端的

MAC 地址，并且可以用于相应地更新终端数据库。

最佳实践：

要获取 User-Agent，请使用 URL 重定向，其中将 HTTP 探测功能用于 CWA 使用情况。当要求使用状态代理或本机请求方调配服务时，

系统自动执行将

URL 重定向用于客户端调配的分析功能，但是在有些情况下，即使不需要使用状态或请求方调配，仍可能需要特意触发

CP。当终端配置文件设置为 Unknown 或 Incomplete 时，可以通过重定向到 CWA（当启用状态代理时）或客户端调配和状态 (CPP) 服务

（状态发现）完成此操作。其目标是捕获流程中的

User-Agent 并且允许生成的安全状态触发授权更改 (CoA)。重新连接之后，可根据更准

确的配置文件匹配分配新的授权策略规则。

如上所述，通常

URL 重定向都优先于 HTTP SPAN，因为与镜像方法相比它允许策略服务节点通过最小的流量负载获取 User-Agent 属

性；在有些特殊情况下还可以在不首先填充

ARP 缓存的情况下进行分析。此外，基于 RADIUS 授权的 URL 重定向可简化高可用性场景，

因为重定向始终是发送到终止

RADIUS 流量的同一 PSN。

但是，在未部署

RADIUS 的接入设备等有些场景下，SPAN 方法可能是唯一可行的方案。

配置

HTTP 探测功能

要将

HTTP 探测功能用于重定向的流量，接入设备必须能够直接（例如通过本地 Web 身份验证）或通过

RADIUS 授权将 HTTP 流量重定向至 ISE。对基于 RADIUS 的重定向，必须使用授权策略规则将 ISE 配置为
返回用于

url-redirect 的思科属性值对 (AVP)，作为授权结果。

要在使用

SPAN 的情况下使用 HTTP 探测功能，网络必须通过专用接口向 ISE PSN 发送多份网络流量，最好

是经过过滤只包含

HTTP 的部分流量。

在

ISE 中启用 HTTP 探测功能

步骤

1 转至 Administration  System  Deployment，并从右侧窗格已部署节点的列表中选择要执行分析的

策略服务节点。

步骤

2 选择 Profiling Configuration 选项卡。要为 HTTP 探测功能添加支持，请选中标记为 HTTP 的复选框

（图

34）。

图

32. HTTP 探测功能配置

步骤

3 选择用于收集 HTTP 流量的接口。

步骤

4 要用于 URL 重定向，则所使用的接口应该为千兆以太网 0，即用于 RADIUS、Web 身份验证、安

全状态等会话服务的相同接口。