Cisco Cisco Identity Services Engine 1.3 设计指南
© 2015 思科系统公司
第
64 页
安全访问操作指南
在
ISE 中启用 NetFlow 探测功能
步骤
1 转至 Administration System Deployment,并从右侧窗格已部署节点的列表中选择要执行分析的
策略服务节点。
步骤
2 选择 Profiling Configuration 选项卡,并且选中启用 NetFlow 探测功能的复选框(图 50)。
步骤
3 选择用于收集 NetFlow 流量的接口,这应该是带可路由 IP 地址的一个专用接口(图 50)
图
48. NetFlow 探测功能配置
步骤
4 选择 UDP 端口侦听导出的 NetFlow。此值应与 NetFlow 导出设备上配置的值相同。默认端口为
UDP/9996。
步骤
5 点击 Save 以提交更改。
步骤
6 对已配置分析服务的所有其他策略服务节点重复本程序中的步骤。
注:很多支持
NetFlow 功能的路由器和交换机都仅支持将单个目标用于 NetFlow 导出。因此,必须考虑高可
用性问题。此外,我们还建议由同一个策略服务节点接收特定节点的所有配置文件数据。由于网络配置和其
他限制,通常很难实现这一点。
他限制,通常很难实现这一点。
向
ISE(网络资源)添加网络设备
接入设备也可能支持
NetFlow,但无明确要求将能够向 NetFlow 探测功能发送 NetFlow 流量的其他网络设备都
配置为
ISE 中的网络设备。
将
ISE 策略服务节点接口配置为接收 NetFlow 流量
应该在专用接口上将
NetFlow 探测功能配置为接收 NetFlow 流量。要在 ISE 上配置专用 NetFlow 接口,请完
成以下步骤:
步骤
1 以物理方式将所需接口与网络交换端口连接。
步骤
2 访问 ISE PSN 控制台 (CLI)。如图 51 所示,启用相应接口并分配有效的 IP 地址。