Руководство По Проектированию для Cisco Cisco Identity Services Engine 1.2

第

131 页

安全访问操作指南

设备

关键设备

(MAB)

MAC 地址

RADIUS

（

MAC 地址

发现）

RADIUS 身份验证

MAC 至 IP 映射所要
求的

IP 地址

DHCP

DHCP 服务器端口的 RSPAN 至
本地策略服务节点

可选，用于获取

MAC 至 IP 映射的
ARP 缓存

SNMP 查询由 RADIUS 计帐开始触发

流量至目标端口

/IP NetFlow

从

Distribution 6500 交换机至

中心策略服务节点的

NetFlow

导出

分析最佳实践和建议总结

以下是对

ISE 分析的最佳实践建议的总结：

尽可能使用设备传感器以优化数据收集。

• 如果可能，请确保特定终端的配置文件数据发送至同一策略服务节点。否则，多个 PSN 可能导致

终端数据大量更新。

• 在很多情况下，ISE 会自动处理此问题：
• SNMP 查询将由接收 RADIUS 计帐开始或 SNMP 陷阱数据包的相同 PSN 发出。

• URL 重定向导致的 HTTP 流量发送至处理 RADIUS 会话的 PSN。

• 可以向不止一个 PSN 发送 DHCP 帮助程序，因此建议发送至与为特定接入设备的 RADIUS 配置的

相同

PSN。

• DNS 查询由收集 IP 地址的同一 PSN 发送。此 PSN 通常是处理 RADIUS 会话的那个 PSN，其从来

自

RADIUS 计帐的 Framed-IP-Address 或从来自 DHCP 的 dhcp-requested-address 接收 IP 地址，或

从

cdpCacheAddress 的已触发 SNMP 查询获取 IP 地址。

• 已触发的 NMAP 扫描由接收策略规则匹配中产生的分析数据的同一 PSN 收集。例如，如果根据

OUI 匹配向配置文件规则条件分配某个 NMAP 操作，则通过 RADIUS、DHCP 或其他探测功能接
收终端

MAC 地址的第一个 PSN 将是收集 NMAP 扫描的那个 PSN。

• 在其他情况下，例如使用 DHCP SPAN、HTTP SPAN 或 NetFlow 的情况，无法始终确保流量到达

分布式部署中的相同

PSN。

HTTP 探测功能：

•  使用 URL 重定向而不是 SPAN 集中收集并减少与 SPAN/RSPAN 相关的流量负载。
•  总之，尽量避免使用 HTTP SPAN 收集数据。如果使用：
•  查找关键流量阻塞点，例如互联网边缘或无线控制器连接。

• 使用智能 SPAN/分流器选项或 VACL 捕获限制向 IS 发送的数据量。
• 无智能网络分流器基础设施，可能难以为 SPAN 提供高可用性。