Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

66 页

安全访问操作指南

步骤

5 通过从需要导出 NetFlow 数据的网络设备发送 ICMP ping，验证与新探测功能接口的连接。

步骤

6 使用 CLI 命令 copy running-config startup-config 保存更改。

步骤

7 以物理方式将所需的接口连接至相应的 SPAN 目标端口或网络分流器接口。

注：对于在

VMware 设备上运行的策略服务节点

要为分析使用专用接口，则要求已为虚拟设备配置附加虚拟接口。如果未在安装时完成此操作，则在继续进行

ISE 配置之前，需要为所需的接口关闭

ISE 节点并更新 ESX 设备的硬件和网络配置

将支持

NetFlow 的交换机/路由器配置为将 NetFlow 导出至 ISE PSN

NetFlow 配置特定于支持 NetFlow 的设备。本程序包括 Catalyst 6500 系列交换机的一个配置示例。

步骤

1 在全局配置模式下，启用 NetFlow，配置 NetFlow 版本 9 支持作为 NetFlow 数据的来源的接口

IP 地址，以及导出数据的策略服务节点。注意，ISE 默认端口指定为 UDP 9996。

mls netflow interface
mls flow ip interface-full
mls nde sender
mls nde interface
ip flow-cache timeout active 1
ip flow-export source Vlan100
ip flow-export version 9
ip flow-export destination 10.1.100.5 9996

注：在前面的示例中，

Catalyst 6500 系列交换机有一个管理引擎 720，在此引擎中策略功能卡 (PFC) 执行基于

硬件的

NetFlow，在软件中执行流向多层交换机功能卡 (MSFC) 的流量。必须使用 mls nde sender 命令将 PFC

配置为执行

NetFlow 数据导出 (NDE)。

步骤

2 可选择配置捕获过滤器，如下所示：

ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses

步骤

3 在入口接口（面向终端的接口）上启用 NetFlow，如下所示：

interface GigabitEthernet 2/47
description To cat3750x
ip address 10.1.50.1 255.255.255.0
ip flow ingress
!
interface Vlan40
description EMPLOYEE
ip address 10.1.40.1 255.255.255.0
ip helper-address 10.1.100.100
ip helper-address 10.1.100.5
ip flow ingress
!
interface Vlan41
description GUEST
ip address 10.1.41.1 255.255.255.0