Cisco Cisco Identity Services Engine 1.2 产品宣传页
© 2015 思科系统公司
第
43 页
安全访问操作指南
设备分析
概述
思科
ISE 分析器负责 ISE 平台上的终端检测和分类。它使用一系列探针(传感器)来收集有关终端的属性,
并使用基于策略的机制来评估属性,以便将终端与预定义的配置文件相匹配。随后,分析器的收集和分类结
果将用作身份验证和授权策略中的条件。分析的分类结果可以用来调用其他授权结果。有关探针的更多详情,
请参阅
果将用作身份验证和授权策略中的条件。分析的分类结果可以用来调用其他授权结果。有关探针的更多详情,
请参阅
操作指南
-30-
分析设计指南
。
下图举例说明基于分析的有区别的设备策略。
图
25. 基于分析的设备策略
EAP 身份验证完成后,使用相同 SSID 的用户可与不同的有线 VLAN 接口相关联。
• 使用企业手提电脑的员工,其 AD 用户 ID 被分配到 VLAN 30,可获得完全访问网络的权限
• 使用个人 iPad/iPhone 的员工,其 AD 用户 ID 被分配到 VLAN 40,只能访问互联网
• 使用个人 iPad/iPhone 的员工,其 AD 用户 ID 被分配到 VLAN 40,只能访问互联网
ISE 配置 - 启用设备分析探针
在此阶段,我们将在思科
ISE 设备上启用分析探针。在分布式部署中,通常会在所有策略服务节点(PSN,
有时也称为策略决策点或
PDP)上启用分析探针。具体要启用何种探针(以及在何处启用)可能比较复杂,
应该在概要设计过程中解决。
注:本指南不介绍如何启用
NetFlow 探针。NetFlow 是一款强大的工具,但是否实施该工具必须经过慎重
考虑。在某些思科安全访问实施中,
NetFlow 非常关键。但是,NetFlow 的一个重要方面是确定要发送哪些
基础设施数据。
要启用分析探针,请执行以下步骤:
步骤
1
导航至
Administration > System > Deployment。
步骤
2
选择策略服务节点。