Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

6 页

安全访问操作指南

由于还会收集到新属性或之前收集的属性被覆盖，配置文件也会相应变化。分析策略变化也会导致其变化。
在有些情况下，可能会自动发生转变

- 例如从通用 HP 设备转变为 HP-Color-LaserJet-4500 等更加具体的配置

文件。在其他情况下，管理员可能需要执行专门的操作，以例外操作的形式绕过默认策略。通过例外操作可
以将终端静态分配给具体分析策略，从而使进一步的属性收集或关联不会影响配置文件和所分配的可选身
份组。

在上述各种情况（配置文件转变和例外操作）下，可能都需要允许

ISE 根据新的配置文件分配对终端执行新

的访问策略。通过

RADIUS 授权更改 (CoA) 可在 ISE 中完成此任务。通过向终端所连接的接入设备发送 CoA

请求，

ISE 可以要求按照身份验证和授权策略重新评估主机。

方案概览

网络拓扑

图

4 显示本指南中使用的网络拓扑的概况。虽然图 1 中描述的所有方案都是 TrustSec 整体架构的组成部分，

但是本文档将只重点介绍适用于分析服务的有线和无线用户方案。由于缺乏必需的

VPN 网关的 MAC 地址

信息，无法关联分析数据与唯一终端，远程访问

VPN 使用案例目前不支持 ISE 分析服务。

图

2. ISE 分析拓扑