Cisco Cisco Identity Services Engine 1.2 设计指南
© 2015 思科系统公司
第
128 页
安全访问操作指南
有线网络
- 探测功能最佳实践
表
12 为有线网络中部署的探测功能提供最佳实践建议和指导。
表
12. 探测功能选择 - 有线网络
探测功能(方法)
EDI NII PVI 关键分析属性
备注
RADIUS
1
1
1
•
MAC 地址 (OUI)
•
IP 地址
•
用户名、其他
用于设备检测和启用其他探测功能的基本探测
功能。
带设备传感器的
RADIUS
2
1
1
•
CDP/LLDP
•
DHCP
如果运行具有设备传感器支持的
3000 或 4000 系列
接入交换机,则此探测功能是收集选定属性的理想
和优化方法。
和优化方法。
SNMPTrap
1
1
3
•
LinkUp/Down
陷阱
陷阱
•
MAC 通知陷阱
•
告知
检测终端连接
/触发 SNMP 查询探测功能。
SNMP 查询
1
2
1
•
MAC 地址 (OUI)
•
CDP/LLDP
•
ARP 表
设备
ARP 表的轮询填充 ISE MAC 至 IP 绑定;注
意,由于重新身份验证或临时更新,大量
RADIUS
计帐更新会触发高
SNMP 查询流量。
DHCP
(帮助程序)
2
1
1 •
DHCP 属性
提供
MAC 至 IP 绑定;注意低 DHCP 租赁计时器。
DHCP SPAN
2
3
1 •
DHCP 属性
提供
MAC 至 IP 绑定。
NMAP
1
2
2
•
操作系统
•
通用端口
•
终端
SNMP
数据
SNMP 数据采取 UDP/161 开放和公共字符串。
DNS
1
1
2
•
FQDN
价值取决于是否使用通用命名约定。
HTTP
(重定向)
2
1
2 •
用户代理
值取决于操作系统对于有线接入的相对重要性。
HTTP (SPAN)
2
3
2 •
用户代理
考虑互联网边缘等关键
HTTP 阻塞点的 SPAN;如
有可能,利用智能
SPAN 解决方案和 VACL 捕获。
NetFlow
3
3
2
•
协议
•
源
/目标 IP
•
源
/目标端口
仅建议用于特定使用情况,并非通用分析。