Cisco Cisco Identity Services Engine 1.2 设计指南

第

74 页

安全访问操作指南

NMAP 探测功能终端扫描

终端扫描是对单个终端触发的扫描。根据分析策略中匹配的规则自动启动此扫描。要运行所触发的扫描，终
端必须与分析策略和分配网络操作的具体条件相匹配。网络扫描操作可根据配置文件规则进行配置，其定义
要执行的具体扫描操作。

默认情况下，可以分配三种

NMAP 操作，作为对匹配的配置文件条件的响应：

•  CommonPortsAndOS-scan（通用端口 + 操作系统扫描）
•  OS-scan（仅操作系统）
•  SNMPPortsAndOS-scan（SNMP 端口 + 操作系统扫描）

图

55 中的示例拓扑描述了此过程。最近的探测功能活动检测出了一个新终端（显示为蓝色）。根据所收集的

配置文件数据，基于来自其

MAC 地址的 OUI 已得出该终端为一台 Apple 设备，但是不知道此终端是 Mac OS

X 工作站、Apple iDevice 还是其他 Apple 终端。其与对 Apple 设备进行针对性操作系统扫描的策略规则匹配

（显示为绿色）。结果发现终端运行的是

Apple iOS，并且其配置文件已更新为移动 Apple 设备的配置文件。

与未知配置文件匹配的终端会使用

SNMP 端口和操作系统扫描自动进行扫描。此响应不可配置。其旨在使

ISE 分析快速获得关于已发现但却未分析的任何终端的更多信息。

注：有些终端已启用个人防火墙或其他代理软件，这会阻止尝试扫描终端。这些终端只能生成少量或根本不
生成任何

NMAP 数据。此外，限制网络访问的任意终端都可能无法接收或响应 NMAP 操作。

NMAP 探测功能和 IP 到 MAC 地址绑定要求

NMAP 以已知 IP 地址为基础。如果 NMAP 探测功能收集了终端的属性，但却无法将其与具体 MAC 地址关
联，则会丢弃那些数据。如果策略服务节点位于其所扫描的终端相同的片段上，则可以根据其本地

ARP 缓存

识别

IP 到 MAC 地址绑定并将该终端直接添加至内部终端数据库。因此，必须在收集 NMAP 数据之前通过另

一个探测功能识别

IP 到 MAC 地址绑定。可用于提供此信息的探测功能如下：

• RADIUS（通过 Framed-IP-Address）

• DHCP（通过 dhcp-requested-address）

• SNMP 查询（通过 SNMP 轮询）

思科最佳实践：

在 ISE 部署的发现阶段中当 ISE 尚未对终端进行身份验证时，可以对大型网络块进行网络扫描，从而扫描和检测终端以及任何相关操

作系统和终端信息。此外，建议在此阶段，对存储终端

ARP 表信息的所有网络设备都启用 SNMP 查询探测功能。这将允许发现终端

MAC 和 IP 地址，包括静态寻址的终端。这反过来可以支持 NMAP 探测功能收集，因为 PSN 此时应该获取了在网络扫描期间发现的
各个

IP 地址的 MAC 地址。