Cisco Cisco Identity Services Engine 1.2 设计指南

第

35 页

安全访问操作指南

除了

dhcp-client-identifier 和 dhcp-requested-address，其他关键属性还包括 dhcp-class-identifier、dhcp-user-

class-id 和 dhcp-parameters-request-list。类别标识符通常用于传输平台或操作系统信息。可以在 Mac OS 和
Microsoft Windows 等有些客户端操作系统上将类别标识符以及用户类别 ID 自定义为用作的分析唯一企业标
识符，或供

DHCP 服务器返回唯一范围值。

dhcp-parameters-request-list 提供可能唯一的设备类型指示符，因为所请求的参数的值和序列对于单个或有限
个设备类型通常是唯一的。例如

dhcp-parameters-request-list 值 1, 3, 6, 15, 119, 252 代表 iPad、iPod 或 iPhone

等

Apple iOS 设备。

如果为特定终端部署了标准主机名、域名或完全限定域名

(FQDN) 命名约定，可以使用这些属性对终端进行

分类。例如，如果所有

Windows XP 客户端都分配了一个名称（例如 jsmith-winxp），则在某个条件下可以使

用

host-name 属性或 client-fqdn 属性来给 Windows XP 终端进行分类。同样地，如果约定将公司终端的 host-

name 填为 jsmith-corp-dept 之类的内容，则可将此属性用于验证公司资产。

必须注意，不要将配置文件属性混淆为身份，但是属性可以提高确定终端为某个类型的可信度。例如，授权
策略可用于分析，拒绝向

PC 的 host-name 属性（如匹配的终端身份组所示）不包含预期值的员工授予完全访

问权限。

一般来说，

DHCP 具有很多分析优势，而且通常是任何环境中大部分终端分类的基础，因为大多数终端都提

供包含详细平台信息的

DHCP“指纹”。

配置

DHCP 和 DHCP SPAN 探测功能

要使用

DHCP 探测功能，必须将接入设备（或仅限第 2 层的接入设备的下一跳网关）配置为向配置用于分析

服务的

ISE PSN 发送 DHCP 中继或 DHCP 代理数据包。要使用 DHCP SPAN 探测功能，网络必须通过专用接

口向

ISE PSN 发送多份网络流量，最好是经过过滤只包含 DHCP 的部分流量。

要使基于

DHCP 的探测功能有效，还有一个要求是相应终端必须使用 DHCP 获取其 IP 地址。这个可能看起来

很明显，但是很多客户可能使用的是具有静态

IP 地址分配的无客户端设备。在这些情况下，可以部署静态

DHCP 保留，从而允许终端保持一个特定 IP 地址，同时允许对 IP 寻址进行集中管理并通过 DHCP 为 ISE 分
析提供支持。

在

ISE 中启用 DHCP 探测功能

步骤

1 转至 Administration  System  Deployment，并从右侧窗格已部署节点的列表中选择要执行分析的

策略服务节点。

步骤

2 选择 Profiling Configuration 选项卡。

步骤

3 要添加对 DHCP 探测功能（例如用于 IP 帮助程序）的支持，请选中标记为 DHCP 的复选框，

如图

27 左上角所示。