Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

57 页

安全访问操作指南

以下探测功能可用于确定终端的

IP 地址：

• 通过 Framed-IP-Address 运行的 RADIUS 探测功能

• 通过 cdpCacheAddress 运行的 SNMP 探测功能
• 通过 SourceIP 运行的 HTTP 探测功能

• 通过 dhcp-requested-address 运行的 DHCP 探测功能

除了要求拥有已知

IP 地址，使用反向 DNS 查找还有很多其他要求：

• 在 DNS 中，每个终端都要求有一个地址或 A 记录（主机名）以及一个指针或 PTR 记录

（

IP 地址）。

•  假设终端使用 DHCP，则必须在 DHCP 服务器上配置动态 DNS (DDNS)。
•  根据 DHCP 服务器配置，终端可能需要配置为请求动态更新。
•  ISE 策略服务节点必须配置为解析动态更新的 DNS 服务器提供的地址。

• 假设 DDNS 已配置并正常运行，则 DNS 探测功能可以检索 FQDN。否则，如果反向查找失败，

就不会添加任何属性。

如果为特定终端部署了标准主机名、域名或

FQDN 命名约定，则可以使用这些属性对终端分类。例如，如果

所有

Windows XP 客户端都分配了一个名称（例如 jsmith-winxp），则在某个条件下可以使用 host-name 属性

或

client-fqdn 属性来给 Windows CP 终端分类。同样地，如果此约定为将公司终端的主机名填充为 jsmith-

corp-dept 之类的内容，则可以将其用于验证公司资产。

必须注意，不要将配置文件属性混淆为身份，但是属性可以提高确定终端为某个类型的可信度。例如，授权
策略可用于分析，拒绝向

PC 的 host-name 属性（如匹配的终端身份组所示）不包含预期值的员工授予完全访

问权限。注：本指南将在后面章节论述配置文件和终端身份组之间的关系。

如此处论述所示，可能会可以使用其他探测功能收集

FQDN 或其组件。因此，如果已经可以通过其他方式获

得相同的信息或部分

FQDN，则可能不必要使用 DNS 探测功能。但是，DDNS 可以配置得更安全，从而使得

通过

DHCP 客户端数据包检索的信息没有向受信任的 DNS 服务器进行反向查找那么可靠。

图

44 显示的是使用 DNS 探测功能的示例拓扑。如图所示，ISE 策略服务节点使用多种方法中的一种方法识别

终端的

IP 地址。然后 PSN 发起对 IP 地址的反向查找。如果收到响应，则 ISE 分析服务会使用 FQDN 属性更

新终端记录。