Cisco Cisco Identity Services Engine 1.2 设计指南

第

45 页

安全访问操作指南

最佳实践：

在基于 RADIUS 的环境等适用情况下，URL 重定向方法优先于 HTTP SPAN。在重定向期间只捕获 User-Agent 属性可以减少 ISE 策略

服务节点上的总体流量负载，检查和解析来自

HTTP 数据包的属性。

如果

URL 重定向不适用，例如在不使用基于 RADIUS 的身份验证的思科 NAC 设备部署中，或在尚需向接入设备部署 RADIUS 的终端发

现阶段，则优先使用

SPAN 方法，因为其允许捕获 User-Agent 而不要求 RADIUS 或 URL 重定向。

图

33 中的示例拓扑说明的是使用 SPAN 或网络分流器从 WLC 所连接的无线客户端将数据包复制到策略服务

节点上的专用接口（以蓝色突出显示）。因为

SPAN 目标端口可能会有多个特殊属性限制收发以 PSN 为目标

的正常流量，所以需要使用专用接口。此外，我们不希望镜像流量导致

RADIUS 等 PSN 的其他关键接口出现

拥塞。使用

SPAN 方法，可能会向 SPAN 端口发送超出其处理能力的更多数据，从而导致关键流量出现丢包

或延迟。

HTTP 探测功能和 IP 到 MAC 地址绑定要求

因为

HTTP 流量不包括终端的 MAC 地址，因此 ISE 策略服务节点在其用于终端的 ARP 缓存表中必须已经有

一个

IP 到 MAC 地址绑定，才能将发送的数据与 HTTP 探测功能正确关联。换句话说，如果 ISE 无法通过终

端的

MAC 地址识别终端或没有关联的 IP 地址，则 HTTP 探测功能识别的分析数据将被废弃，因为没有终端

可让它应用所识别的

User-Agent 属性。因此，必须在收集 HTTP 数据之前通过另一个探测功能识别 IP 到 MAC

地址绑定。可用于提供此信息的探测功能如下：

• RADIUS（通过 Framed-IP-Address 属性）
• DHCP（通过 dhcp-requested-address 属性）

• SNMP 查询（通过 SNMP 轮询）

有为

IP 到 MAC 绑定要求提供特例的特殊 HTTP 分析方案。其中包括：

• 用于客户端调配的 URL 重定向

• 用于集中 Web 身份验证的 URL 重定向

用于客户端调配的

URL 重定向

客户端调配

(CP) 是一种 ISE 会话服务，为终端提供代理和配置文件的动态下载，从而启用状态代理和本机请

求方调配

(NSP) 服务。客户端调配依赖于 URL 重定向。在 CP 过程中，策略服务节点必须通过其用户代理确

定客户端操作系统，从而了解要应用哪项调配策略。例如，如果终端检测为

Windows 客户端，则应该为状态

支持选择

Windows 状态代理。同样，如果终端检测为一台 Android 客户端，则应该在终端上安装用于 Android

客户端的请求方调配文件。

当客户端调配服务获取

User-Agent 属性时，ISE 将使用此信息更新分析服务，运用这种识别。此外，由于客

户端调配是活动会话的一部分，

ISE 能够将此信息应用于从会话缓存检索的 MAC 地址 (Calling-Station-ID)。

因此，可以使用这一个流程，完全分析很多终端。

用于集中

Web 身份验证的 URL 重定向

集中

Web 身份验证 (CWA) 依赖于 URL 重定向。在 CWA 过程中，HTTP 探测功能能够在策略服务节点上解

密之后根据重定向的

HTTP 数据包捕获 User-Agent 属性。类似于客户端调配服务，访客流量是活动会话的一

部分，

ISE 能够通过此会话从会话缓存检索 MAC 地址 (Calling-Station-ID)。此过程使 HTTP 探测功能可以识

别

User-Agent 和填充终端数据库所需的关联 MAC 地址。