Cisco Cisco Identity Services Engine 1.2 设计指南

第

44 页

安全访问操作指南

使用

URL 重定向的 HTTP 探测功能

ISE 将 URL 重定向用于很多用户会话服务，包括集中 Web 身份验证 (CWA)、本地 Web 身份验证 (LWA)、设
备注册

Web 身份验证 (DRW)、客户端调配、安全状态评估和本机请求方调配 (NSP)。在这其中每个使用案例

中，终端的

Web 浏览器都被重定向至 ISE 策略服务节点。在此过称中，ISE 可以捕获 User-Agent 属性。

图

33 中的示例拓扑描述了将 URL 重定向用作终端初始授权的一部分，这样 ISE 可以向接入设备发送一个

URL 重定向（图 33 中以绿色突出显示）。当客户端打开 Web 浏览器时，将被重定向到用于集中 Web 身份验
证等指定服务的策略服务节点（以红色突出显示）。

图

31. HTTP 探测功能示例

URL 重定向可以是网络接入设备 (NAD) 的一个功能。NAD 发起的重定向的一个示例是本地 Web 身份验证，
其中有线交换机或无线控制器将客户端浏览器重定向至

ISE 访客门户，提供 Web 身份验证页面。

URL 重定向也可以启动作为从 ISE 到网络接入设备的一种 RADIUS 授权。由 RADIUS 授权触发的一个 URL
重定向示例即集中

Web 身份验证，其中接入设备帮助进行重定向，但是会在客户端和 ISE 策略服务节点之间

建立实际会话，并且通过唯一会话

ID 跟踪此会话。

使用

SPAN 的 HTTP 探测功能

要在不使用

URL 重定向的情况下使用 HTTP 探测功能，可选的方法是使用 SPAN、RSPAN 或网络分流器等

方法将

Web 流量复制或映射至 ISE 策略服务节点上的接口。此方法主要用于当 URL 重定向不可行或无法使

用时。