Cisco Cisco Identity Services Engine 1.2 设计指南

第

120 页

安全访问操作指南

分析设计和最佳实践

本节介绍适用于各种部署和使用情况的一般分析设计以及最佳实践建议。

分析设计注意事项

当规划

ISE 分析要求时，首先必须了解需要分类的终端的类型，才能支持网络访问策略。例如，如果您知道

很多特定类型的网络设备不支持

802.1X 或基于 Web 的身份验证，则很可能这些设备要求根据设备分类通过

授权进行

MAB 身份验证。必须列出可能需要为网络访问进行分析的所有已知设备类型。

分析已知设备类型

在

ISE 规划阶段，请确定需要进行设备分类的终端（根据配置文件属性进行授权）并确定分析这些终端所需

的属性。如果已知要求授权的设备类型，接下来就要确定充分分析这些设备所需的属性和相关探测功能。

大多数常见终端在

ISE 配置文件库中都有预置的策略。通过查看这些默认 ISE 配置文件确定属性和探测功能

要求。例如，了解配置文件

X 包含条件 A、B 和 C，您就可以推断出所需的属性和收集该数据所需的探测功

能。如果配置文件库中没有特定匹配项，请参考相似类型的设备的配置文件。通常，类似类型的设备具有类
似的分析要求。

如果无现有配置文件，可以临时启用探测功能以收集关于终端的属性。通常通过重置终端或断开然后重新连
接网络，管理员可以捕获在正常启动时可用于设备的属性。

ISE 中显示的属性通常会揭示可以给终端进行唯一

分类的相关属性。某些设备可能需要执行数据包捕获等流量分析，从而确定用于

OUI、DHCP 选项、用户代

理、

TCP/UDP 端口或 DNS 命名的唯一属性。

以下示例（图

102）显示如何查找用于匹配 Apple iPod 配置文件的属性。可以看出该配置文件是基于 DHCP

属性或

User-Agent

。因此，为了分析

Apple iPod，建议使用 DHCP 和 HTTP。