Cisco Cisco Identity Services Engine 1.0.4 设计指南

第

110 页

安全访问操作指南

层次结构一般用于匹配

OUI。例如，所有 Apple 设备都有一个等于 Apple 的 OUI。因此，不必为 iPad、iPod、

iPhone 等重复此条件。要与 Apple-iPhone 配置文件匹配，就要求该终端也有一个 Apple OUI。这就是为什么
使用名称为

User Agent Switch 的简单 Firefox 浏览器插件（其将单独模拟其他浏览器 User-Agent 字符串）将

不会达到

Apple iPhone 的配置文件条件的原因。没有 Apple MAC 地址，父条件无法通过测试。如本指南前文

所述，分析并不是一种防监听解决方案，但是此解决方案的有些功能确实可以自然地消除某些监听活动。

层次结构也有利于简化身份组分配的匹配。如果父策略映射至身份组，则不必将所有子策略都映射至身份组。
例如，对于思科

IP 电话就有很多预置配置文件。通过为思科 IP 电话（默认设置）创建匹配的身份组，可以根

据其父级创建授权策略，而无需为每个子策略逐一创建身份组。这可以大幅简化授权策略规则。除非具体型
号的

IP 电话要求特殊处理，否则都可以通过引用父配置文件和身份组分配统一处理。

为分析策略创建匹配的身份组

步骤

1 在本程序中，为用户定义的配置文件策略创建了一个名称为 APC-UPS 的身份组。

步骤

2 转至 Policy  Profiling 并从配置文件列表选择 APC-UPS。

步骤

3 选择选项 Create Matching Identity Group，然后点击 Save，提交更改。

步骤

4 返回 Administration  Identity Management  Identities  Endpoints 下的 Internal Endpoints 列表，

再从已分配至

APC-UPS 配置文件的终端中选择一个终端（图 86）。

图

84. 用户定义的配置文件的终端身份组示例

注：

Identity Group Assignment 已从 Unknown 改为 APC-UPS。

步骤

5 转至 Administration  Identity Management  Groups ，然后在左侧窗格中点击 Endpoint Identity

Groups 左边的箭头( )，展开其内容，如图 87 所示。