Cisco Cisco Identity Services Engine 1.2 产品宣传页

68페이지

보안

액세스 방법 가이드

NetFlow 프로브 및 IP-MAC 주소 바인딩 요구 사항

Step 23

NetFlow 레코드는 소스 및 대상 IP 주소 간의 통신을 기반으로 합니다. NetFlow 트래픽은 소스 또는
대상 엔드포인트의 MAC 주소를 포함하지 않으므로 전송되는 데이터를 NetFlow 프로브와 적절히
상호 연결하려면 ISE 정책 서비스 노드의 ARP 캐시 표에 IP-MAC 주소 바인딩이 있어야 합니다. 즉,
엔드포인트가 해당 MAC 주소로 ISE에 알려지지 않은 경우 또는 연결된 IP 주소가 없는 경우에는
학습된 흐름 특성을 적용할 수 있는 엔드포인트가 없으므로 NetFlow 프로브에서 학습된
프로파일링 데이터가 삭제됩니다. 따라서 NetFlow 데이터를 수집하기 전에 다른 프로브를 통해 IP-
MAC 주소 바인딩을 학습해야 합니다. 이 정보를 제공하는 데 사용할 수 있는 프로브는 다음과
같습니다.

Step 24

RADIUS(Framed-IP-Address를 통해)

Step 25

DHCP(dhcp-requested-address를 통해)

Step 26

SNMP 쿼리(SNMP 폴링을 통해)

Step 27

NetFlow 버전 9는 흐름 레코드 안에 소스 및 대상 MAC 주소를 포함할 수 있는 옵션을 지원하지만
버전 5는 그렇지 않습니다. 그러나 이와 같이 보고된 MAC 주소는 경로에서 두 홉 이상 떨어져 있는
엔드포인트의 MAC 주소가 아니라 인접한 노드(일반적으로 레이어 3 라우터 및 스위치)의
주소입니다. 엔드 시스템이 직접 NetFlow 디바이스에 연결된 경우를 제외하고 이 기능의 값은 매우
작습니다.

모범

사례: 프로파일링에 NetFlow를 사용하면 구문 분석을 위해 잠재적으로 막대한 양의 데이터가 ISE로 전송될 수 있습니다. 다른 프로브로

불충분한

경우에만 NetFlow를 사용하십시오. 필요한 경우 Flexible NetFlow에서 개선된 필터링 기능을 활용하려면 NetFlow 버전 9를

사용하는

것이 좋습니다. ISE에서 기본 인터페이스를 사용할 수 있지만 NetFlow를 NetFlow 프로브 전용 ISE PSN 인터페이스로 내보내는

것이

좋습니다.

NetFlow 프로브 구성

Step 28

NetFlow 프로브를 사용하려면 해당 트래픽 흐름에 부합하는 네트워크 디바이스는 NetFlow를
지원하고 NetFlow 버전 5 또는 버전 9를 지원해야 합니다. NetFlow 데이터의 대상이 되는 각 ISE
PSN에서 전용 인터페이스를 사용해야 합니다.

ISE에서 NetFlow 프로브 활성화

Step 1

Administration(관리)System(시스템)Deployment(구축)로 이동하고 RHS 창의 구축된 노드
목록에서 프로파일링을 수행할 정책 서비스 노드를 선택합니다.

Step 2

Profiling Configuration(프로파일링 컨피그레이션) 탭을 선택하고 NetFlow 프로브를 활성화하기
위한 확인란을 선택합니다(그림 50).

Step 3

NetFlow 트래픽 수집에 사용할 인터페이스를 선택합니다. 이는 라우팅 가능한 IP 주소를 사용하는
전용 인터페이스여야 합니다(그림 50).