Cisco Cisco Identity Services Engine 1.3 设计指南
© 2015 思科系统公司
第
29 页
安全访问操作指南
配置
SNMP 查询探测功能
要使用
SNMP 查询探测功能,网络设备必须配置为使用只读 (RO) 社区接受来自 ISE 策略服务节点的 SNMP
请求。
ISE 还必须具有配置为网络设备的 SNMP 设备以及相应的 SNMP 社区字符串。要实现触发的查询,则
必须启用
RADIUS 探测功能或 SNMP 陷阱探测功能,而且必须正确配置关联的组件。最后,要检索 CDP 或
LLDP 信息,终端必须支持 CDP 或 LLDP,而且必须在接入交换机上启用其中一个或两个协议。
在
ISE 中启用 SNMP 查询探测功能
步骤
1 转至 Administration System Deployment,并从右侧窗格已部署节点的列表中选择要执行分析的
策略服务节点。
步骤
2 选择 Profiling Configuration 选项卡,并且选中启用 SNMP 查询探测功能的复选框(图 22)。
图
20. SNMP 查询探测功能配置
注:不需要为
SNMP 查询探测功能配置任何接口。系统将根据设备路由表向接入设备发送 SNMP 查询。
步骤
3 将 Retries、Timeout 和 Event Timeout 保留默认值:
步骤
4 Timeout:用于指定等待 SNMP 响应的时间量(单位:毫秒)。
步骤
5 Retries:用于指定策略服务节点在初始尝试失败之后,尝试建立 SNMP 会话的次数。
步骤
6 EventTimeout:用于指定在 RADIUS 计帐开始或 SNMP 陷阱触发之后、向接入设备发送批量查询
之前的等待时间(单位:秒)。
步骤
7 对于触发的接口查询,请验证是否已启用 RADIUS 探测功能。如果在网络接入设备上未配置
RADIUS,请验证是否已启用 SNMP 陷阱探测功能。
步骤
8 点击 Save 以提交更改。
步骤
9 对已配置分析服务的所有其他策略服务节点重复本程序中的步骤。
在
ISE(网络资源)中配置网络设备
通常,通过
RADIUS 对终端进行身份验证的所有网络接入设备都将在 ISE 中进行配置,因此所有必须要做的
工作就是为这些接入设备逐一验证
SNMP 设置。如果为未部署 RADIUS 身份验证的网络配置 SNMP 查询探测
功能,您必须向
ISE 网络设备列表添加各个接入设备,而且可以选择第 3 层设备(以获取 ARP 信息)。
步骤
1 转至 Administration Network Resources Network Devices。如果要使用 SNMP 查询的设备已经
存在,则只需从列表中选择该设备,或从右侧窗格点击
Add 即可。
步骤
2 对于新设备,请输入设备名称和 IP 地址信息。