Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

63 页

安全访问操作指南

在

ISE 分析服务中，NetFlow 通常用于根据终端生成的流量识别终端。反过来，当特定终端生成不具有该终端

特点的流量时，它可以提供关于异常行为的指示。例如，如果

NetFlow 属性反映一开始分析为 IP 电话的终端

开始突然启动与端口

443 上的远程目标通信，则可能表示存在异常情况和潜在欺骗威胁。但是，请注意，将

NetFlow 用于 ISE 分析服务不可视为一种反欺骗功能或解决方案。

NetFlow 专注于对终端的积极分类，在将普通硬件用于任务特定功能的情况下最为有用，在此情况中给终端唯
一分类的唯一信息与流量相关。这些类型的设备示例包括用于制造或医疗行业的设备。例如，医院使用的心
脏监护器可能会使用利用标准硬件技术嵌入的

Windows 操作系统或加固型 Linux 内核，但是可以运行在特定

协议、端口和目标上进行通信的协议。对于这些类型的终端，

NetFlow 可能是唯一可行的选择。

步骤

1 一般来说，不建议随意启用 NetFlow 和/或将 NetFlow 用作通用分析方法。如果不谨慎部署，

NetFlow 可能会对设备资源产生负面影响，具体取决于所使用的平台以及 NetFlow 配置和流量大
小。如果从一个或多个来源持续发送大量流量，则

NetFlow 还可能会在 ISE 策略服务节点上生成高

负载。不同于其他

ISE 探测功能，NetFlow 探测功能不支持优化数据收集和数据库效率的属性过

滤器。

步骤

2 如果 NetFlow 版本 9 在网络设备上可用，为了将 NetFlow 导出至 ISE 策略服务节点，建议使用

NetFlow 版本 9，而不要使用版本 5。版本 9 支持 Flexible NetFlow 和各种增强功能，可过滤收集和
导出至

NetFlow 探测功能的流量数据。虽然采样的 NetFlow 可以降低总流量，但是采样可能会无法

满足所有分析要求，因为有些情景可能要求

NetFlow 探测功能查看所有流量。

NetFlow 探测功能和 IP 到 MAC 地址绑定要求

步骤

1 NetFlow 记录以源和目标 IP 地址之间的通信为基础。因为 NetFlow 流量不包括源或目标终端的

MAC 地址，因此 ISE 策略服务节点在其用于终端的 ARP 缓存表中必须已经有一个 IP 到 MAC 地址
绑定，才能正确关联发送至

NetFlow 探测功能的数据。换句话说，如果 ISE 无法通过终端的 MAC

地址识别终端或没有关联的

IP 地址，则 NetFlow 探测功能识别的分析数据将被废弃，因为没有终

端可让它应用所识别的流量属性。因此，必须在收集

NetFlow 数据之前通过另一个探测功能识别 IP

到

MAC 地址绑定。可用于提供此信息的探测功能如下：

步骤

2 RADIUS（通过 Framed-IP-Address）

步骤

3 DHCP（通过 dhcp-requested-address）

步骤

4 SNMP 查询（通过 SNMP 轮询）

步骤

5 值得注意的是，NetFlow 版本 9 支持将源和目标 MAC 地址包含在流量记录中，而版本 5 则不支

持。但是，所报告的这些

MAC 地址是路径中相邻节点（通常为第 3 层路由器和交换机）的 MAC

地址，而不是距离超过一跳的终端的

MAC 地址。除非终端系统直接连接至 NetFlow 设备，否则此

功能没有多大价值。

最佳实践：

将 NetFlow 用于分析会导致可能向用于解析的 ISE 发送大量数据。仅限在其他探测功能不足以满足要求的情况下使用 NetFlow。如有必

要，建议使用

NetFlow 版本 9，从而充分利用 Flexible NetFlow 中的过滤增强功能。虽然 ISE 不会阻止使用默认接口，但我们强烈建议将

NetFlow 导出至专用于 NetFlow 探测功能的 ISE PSN 接口。

配置

NetFlow 探测功能

步骤

1 要使用 NetFlow 探测功能，则与相应流量流串联的网络设备必须兼容 NetFlow 并且支持 NetFlow

版本

5 或版本 9。将要作为 NetFlow 数据的目标的各个 ISE PSN 上应该使用专用接口。