Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

47 页

安全访问操作指南

步骤

5 要用于镜像流量（SPAN/RSPAN/分流器），此接口应该是专用接口（图 35）。

图

33. HTTP 探测功能配置 - 接口

步骤

6 点击 Save 以提交更改。

步骤

7 对已配置分析服务的所有其他策略服务节点重复本程序中的步骤。

注：由于对流量镜像的要求，将多个策略服务节点配置为接收

SPAN 是可能而且切实可行的。如果

镜像相同流量，则可能无需向多个策略服务节点转发相同流量。虽然这样做可以增加一定的冗余，
但是会大幅提高

ISE 节点上的负载，

导致必须在所有其他节点上关联和同步分析数据，形成不必要的

重复

。

向

ISE（网络资源）添加网络设备

当使用

URL 重定向方法捕获 HTTP 数据时，网络接入设备必须已经配置为支持基于 RADIUS 的身份验证，从

而无需执行任何额外的步骤来添加或编辑网络接入设备。

当使用

SPAN 方法捕获 HTTP 数据时，如果不执行基于 RADIUS 的身份验证，则没有向 ISE 添加接入设备的

具体要求。

将

ISE 策略服务节点接口配置为接收重定向的 HTTP 流量

当使用

URL 重定向时，应该在默认千兆以太网 0 接口上启用 HTTP 探测功能。因此，无需进行额外的接口

配置。

将

ISE 策略服务节点接口配置为接收 HTTP SPAN 流量

当使用

SPAN 时，应该在专用 SPAN 接口上将 HTTP 探测功能配置为接收 HTTP 流量。要在 ISE 上配置专用

SPAN 接口，请完成以下步骤：

步骤

1 以物理方式将所需的接口连接至相应的 SPAN 目标端口或网络分流器接口。

步骤

2 访问 ISE PSN 控制台 (CLI)。在所需接口的配置模式下，只需输入 no shutdown，即可启用相应

的接口。

步骤

3 使用 ISE CLI 命令 copy running-config startup-config，保存更改。