Cisco Cisco Identity Services Engine 1.0.4 设计指南
© 2015 思科系统公司
第
127 页
安全访问操作指南
发现阶段
- 探测功能最佳实践
表
11 为 ISE 部署的发现阶段中探测功能的选择提供了最佳实践和指导。其假设尚需为 RADIUS 端口身份验证
和授权配置网络接入设备。因此,
RADIUS 探测功能等关键探测功能无法收集与网络身份验证相关的数据。
这些建议适用于没有启用
RADIUS 身份验证的其他部署情况,例如需要集成 ISE 分析服务的思科 NAC 设备
安装情况。
表
11. 探测功能选择 - 发现阶段
探测功能(方法)
EDI NII PVI 关键分析属性
备注
RADIUS
-
-
-
•
N/A
不适用,因为
ISE 不属于身份验证控制层面。
带设备传感器的
RADIUS
2
1
1
•
CDP/LLDP
•
DHCP
如果网络支持设备传感器,无论身份验证控制层
面如何,您都可以使用
面如何,您都可以使用
RADIUS 记帐。
SNMPTrap
1
1
1
•
LinkUp/Down
陷阱
陷阱
•
MAC 通知陷阱
•
告知
检测终端连接
/触发 SNMP 查询探测功能。
SNMP 查询
1
2
1
•
MAC 地址 (OUI)
•
CDP/LLDP
•
ARP 表
设备
ARP 表的轮询填充 ISE MA 至 IP 绑定。
请注意,由于重新身份验证或临时更新,大量
RADIUS 计帐更新会触发高 SNMP 查询流量。
DHCP
(帮助程序)
2
1
1
•
DHCP
提供
MAC 至 IP 绑定。网络影响通常很低,但是
请注意低
DHCP 租赁计时器。
DHCP SPAN
2
3
1
•
DHCP
提供
MAC 至 IP 绑定。
NMAP
1
2
2
•
操作系统
•
通用端口
•
终端
SNMP 数据
SNMP 数据采取 UDP/161 开放和公共字符串。
NMAP 的相对值取决于客户网络以及操作系统检
测在有线访问策略中是否属于重要因素。
NMAP 的相对值取决于客户网络以及操作系统检
测在有线访问策略中是否属于重要因素。
DNS
1
1
2
•
FQDN
价值取决于是否使用通用命名约定。
HTTP
(重定向)
-
-
-
•
N/A
不适用,因为
ISE 不属于身份验证控制层面。
HTTP (SPAN)
2
3
2
•
User-Agent
考虑使用智能
SPAN/分流器解决方案和/或 VACL
捕获的服务器或互联网边缘之类的关键
HTTP 阻
塞点的
SPAN。
NetFlow
3
3
2
•
协议
•
源
/目标 IP
•
源
/目标端口
仅建议用于特定使用情况,并非通用分析。