Cisco Cisco Identity Services Engine 1.2 设计指南

第

122 页

安全访问操作指南

在

7.2.103.0 之前，仍可以分析无线客户端，但是 ISE 无法为配置文件转变应用 CoA。不过，它可以给终端分

类并可选择将其分配给终端身份组以用于资产（可视性）用途。此外，终端重新连接无线网络时，可以根据
当前身份组分配向终端应用授权策略。如果在活动会话期间检测到配置文件更改，则无法更改授权。

最佳实践：确保如上图所示，将

Call Station ID Type 设置为 System MAC Address 以允许分析非 802.1X 客户端。这样可以确保 ISE 能够将终端添

加到数据库中并根据已知

MAC 地址将所接收的其他配置文件数据与同一终端关联。

如果可能，请在部署的早期阶段部署

ISE 分析。ISE 可以分析有线终端，无需网络身份验证或授权即可开始执

行发现过程。这样在可视性和了解尝试连接至网络的终端的类型方面，可以提供巨大的优势。在这些早期阶
段，如果不确定需要为访问网络进行分析的特定终端类型，可以开始形成

ISE 分析策略。

访问策略和设备配置对分析的影响

根据所使用的

802.1X 部署模式（开放式身份验证与封闭模式）以及接入设备上配置的身份验证方法的顺序/

优先级，分析结果有所不同。例如，如果端口处于封闭模式，在端口获得授权之前都无法发送

DHCP 数据

包。如果没有发送某些流量，探测功能可能无法收集制定分析决策所需的数据。使用开放式身份验证（监控
模式和低影响模式）可能允许某些流量在端口授权之前通过。在这任一种情况下都可以调整分析，但是必须
明白具体部署模式对于收集属性的能力和时间的影响。

在灵活身份验证

(FlexAuth) 的情况下，身份验证方法的顺序也会影响收集属性的时间和在授权时分配的配置

文件。例如，如果其顺序设置为首先执行

MAB 身份验证，在监控或低影响模式下执行 802.1X，则 ISE 可能

无法获得充分的配置文件数据来在初始连接时分配所需的策略。当执行

MAB 查找时，终端可能仍处于未知或

普通已分析身份组。如果其顺序设置为首先执行

802.1X，则在 802.1X 超时之前可以收集 DHCP 和其他分析

属性。然后，可以根据在初始连接期间收集的其他属性，利用正确的配置文件，成功完成

MAB 查找。

注：对终端的影响通常仅在于与网络的第一次连接。一旦终端已完全分析，

ISE 可以使用其身份组分配来对后

续与网络的重新连接进行即时策略匹配。

还应注意向端口初始应用的或在中间或最后授权阶段应用的全局访问策略。例如，当终端首次连接至网络
时，可能会根据端口

ACL（假设是低影响模式）或初始 VLAN 获得访问权限。如果终端未知并且 MAB 查找

失败或其安全状态未知，则可能会继续进行集中

Web 身份验证或进入安全状态，这会在端口上设置新的 ACL

或进行

VLAN 分配。Web 身份验证或修复成功之后，端口可能获得新的 ACL 或 VLAN。在每个状态下，将

有不同级别的网络访问权限。如果分析要求收集某些数据，则必须授予该权限。

一个简单的例子是

DHCP。如果不启用 DHCP，则依赖来自 DHCP 探测功能的数据的分析可能会不可用。

如果使用网络扫描，但是端口阻止访问

NMAP 探测功能查询的端口，则该信息也会不可用于制定分析决策。

这包括对

SNMP 端口的访问，即使其在终端上已启用。此外，终端本身也必须允许该流量。常见示例是使用

NMAP 执行操作系统扫描。如果个人防火墙阻止尝试扫描终端，则探测功能不会生成任何结果。

NetFlow 探测功能的使用尤其具有挑战性，因为必须允许终端访问网络通信，才能收集 NetFlow 数据。因此，
策略必须允许数据的初始收集，而无需获得任何终端的完全网络访问权限。一个可能的解决方案是在

VLAN

A 中分析终端，VLAN A 禁止访问处于安全保护下的资源，但并不阻止对指定端口的一般访问。根据匹配的
流量分析终端之后，可以向

VLAN B 重新授权终端，VLAN B 允许对处于安全保护下的资源进行特权访问。