Cisco Cisco Identity Services Engine 1.2 设计指南

第

5 页

安全访问操作指南

解决方案概述

思科

ISE 分析服务对与网络连接的终端提供动态检测和分类。ISE 使用 MAC 地址作为唯一标识符，收集每个

网络终端的各种属性，以建立内部终端数据库。分类流程将收集的属性与预置或用户定义的条件进行匹配，
然后将这些属性与丰富的配置文件库进行关联。这些配置文件包括各种设备类型，例如移动客户端（

iPad、

Android 平板电脑、Blackberry 手机等）、桌面操作系统（例如 Windows 7、Mac OS X、Linux 等）和众多非
用户系统（例如打印机、电话、摄像头和游戏控制台

)。

终端经过分类之后，可获得授权访问网络并根据其配置文件获得访问权限。例如，可以将与

IP 电话配置文件

匹配的终端放入使用

MAC 身份验证绕行作为身份验证方法的语音 VLAN。另一个示例是根据所使用的设备

向用户提供不同的网络访问权限。例如，当员工从其公司工作站访问网络时，可以获得完全访问权限。但是，
当员工从个人

iPhone 访问网络时，就只能获得有限网络访问权限。

策略架构和组件

图

3 重点介绍思科 ISE 分析服务的一般策略架构和关键组件。配置过程从在运行策略服务角色的 ISE 设备上

启用特定探测功能开始。

ISE 设备具有各种探测功能，负责收集不同类型的终端属性。这些属性将与各种条件

进行匹配，随后相关条件将与设备类型库或配置文件库中的各种规则进行匹配。每个匹配条件都会根据通用
权重比例分配得到不同的权重或可信度

(CF)，其中可信度是表示相应条件对按照具体配置文件进行设备分类

的影响的相对值。虽然这些条件可能会与多个配置文件匹配，但系统只会将累计

CF 最高的终端所对应的配置

文件分配给相应终端。

图

1. ISE 分析策略架构和组件

要使配置文件支持

ISE 授权策略，管理员必须通过简单选择复选框来配置配置文件，以创建匹配身份组。

通过这个简单的过程，可以终端身份组的形式将配置文件选为授权策略中的条件。