Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
47 页
安全访问操作指南
步骤
5 要用于镜像流量(SPAN/RSPAN/分流器),此接口应该是专用接口(图 35)。
图
33. HTTP 探测功能配置 - 接口
步骤
6 点击 Save 以提交更改。
步骤
7 对已配置分析服务的所有其他策略服务节点重复本程序中的步骤。
注:由于对流量镜像的要求,将多个策略服务节点配置为接收
SPAN 是可能而且切实可行的。如果
镜像相同流量,则可能无需向多个策略服务节点转发相同流量。虽然这样做可以增加一定的冗余,
但是会大幅提高
但是会大幅提高
ISE 节点上的负载,
导致必须在所有其他节点上关联和同步分析数据,形成不必要的
重复
。
向
ISE(网络资源)添加网络设备
当使用
URL 重定向方法捕获 HTTP 数据时,网络接入设备必须已经配置为支持基于 RADIUS 的身份验证,从
而无需执行任何额外的步骤来添加或编辑网络接入设备。
当使用
SPAN 方法捕获 HTTP 数据时,如果不执行基于 RADIUS 的身份验证,则没有向 ISE 添加接入设备的
具体要求。
将
ISE 策略服务节点接口配置为接收重定向的 HTTP 流量
当使用
URL 重定向时,应该在默认千兆以太网 0 接口上启用 HTTP 探测功能。因此,无需进行额外的接口
配置。
将
ISE 策略服务节点接口配置为接收 HTTP SPAN 流量
当使用
SPAN 时,应该在专用 SPAN 接口上将 HTTP 探测功能配置为接收 HTTP 流量。要在 ISE 上配置专用
SPAN 接口,请完成以下步骤:
步骤
1 以物理方式将所需的接口连接至相应的 SPAN 目标端口或网络分流器接口。
步骤
2 访问 ISE PSN 控制台 (CLI)。在所需接口的配置模式下,只需输入 no shutdown,即可启用相应
的接口。
步骤
3 使用 ISE CLI 命令 copy running-config startup-config,保存更改。