Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

82 页

安全访问操作指南

在本例中，明显已完成

NMAP 扫描。EndPointSource 属性表示执行最后一次更新的 RADIUS。这是可行的，

因为随着不同来源提供分析数据，该值会不断变化。

LastNmapScanTime 和 NmapScanCount 属性对于设备分类并不十分重要，但是已突出显示以显示由 NMAP
探测功能添加的属性。

OUI 属性是 Apple，但现在所分配的配置文件为 Apple-iDevice 而不是更通用的 Apple-Device 的配置文件。
这是因为与已触发的

NMAP 扫描的结果匹配，此结果揭示终端操作系统为 Apple iOS。如果您在 Policy 

Profiling 下查看 Apple-iDevice 配置文件的内容，您会发现此配置文件可以根据 NMAP 操作系统扫描结果与两
个条件之一匹配（图

66）。

图

64. Apple iDevice 的分析策略

步骤

7 如果 NMAP 扫描返回包含 Apple iOS 或 Apple iPhone OS 的 operating-system 属性值，则与此配置

文件匹配。在本例中，它匹配的是

Apple iOS。

步骤

8 总之，在根据由操作系统扫描确定的终端操作系统对终端进行分类时，NMAP 探测功能很有用。

许多无客户端设备都支持可以接收设备分类查询的

SNMP 代理。其他设备可根据其开放端口进行分

类，而且策略可以控制运行特定服务的某些设备应该获得更多还是更少的限制权限。无论授权策略
分配情况如何，每个探测功能都会增加可视性，这对于整个网络的运行和安全管理都有价值。