Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
66 页
安全访问操作指南
步骤
5 通过从需要导出 NetFlow 数据的网络设备发送 ICMP ping,验证与新探测功能接口的连接。
步骤
6 使用 CLI 命令 copy running-config startup-config 保存更改。
步骤
7 以物理方式将所需的接口连接至相应的 SPAN 目标端口或网络分流器接口。
注:对于在
VMware 设备上运行的策略服务节点
要为分析使用专用接口,则要求已为虚拟设备配置附加虚拟接口。如果未在安装时完成此操作,则在继续进行
ISE 配置之前,需要为所需的接口关闭
ISE 节点并更新 ESX 设备的硬件和网络配置
将支持
NetFlow 的交换机/路由器配置为将 NetFlow 导出至 ISE PSN
NetFlow 配置特定于支持 NetFlow 的设备。本程序包括 Catalyst 6500 系列交换机的一个配置示例。
步骤
1 在全局配置模式下,启用 NetFlow,配置 NetFlow 版本 9 支持作为 NetFlow 数据的来源的接口
IP 地址,以及导出数据的策略服务节点。注意,ISE 默认端口指定为 UDP 9996。
mls netflow interface
mls flow ip interface-full
mls nde sender
mls nde interface
ip flow-cache timeout active 1
ip flow-export source Vlan100
ip flow-export version 9
ip flow-export destination 10.1.100.5 9996
mls flow ip interface-full
mls nde sender
mls nde interface
ip flow-cache timeout active 1
ip flow-export source Vlan100
ip flow-export version 9
ip flow-export destination 10.1.100.5 9996
注:在前面的示例中,
Catalyst 6500 系列交换机有一个管理引擎 720,在此引擎中策略功能卡 (PFC) 执行基于
硬件的
NetFlow,在软件中执行流向多层交换机功能卡 (MSFC) 的流量。必须使用 mls nde sender 命令将 PFC
配置为执行
NetFlow 数据导出 (NDE)。
步骤
2 可选择配置捕获过滤器,如下所示:
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
步骤
3 在入口接口(面向终端的接口)上启用 NetFlow,如下所示:
interface GigabitEthernet 2/47
description To cat3750x
ip address 10.1.50.1 255.255.255.0
ip flow ingress
!
interface Vlan40
description EMPLOYEE
ip address 10.1.40.1 255.255.255.0
ip helper-address 10.1.100.100
ip helper-address 10.1.100.5
ip flow ingress
!
interface Vlan41
description GUEST
ip address 10.1.41.1 255.255.255.0
description To cat3750x
ip address 10.1.50.1 255.255.255.0
ip flow ingress
!
interface Vlan40
description EMPLOYEE
ip address 10.1.40.1 255.255.255.0
ip helper-address 10.1.100.100
ip helper-address 10.1.100.5
ip flow ingress
!
interface Vlan41
description GUEST
ip address 10.1.41.1 255.255.255.0