Cisco Cisco Identity Services Engine 1.2 设计指南

第

9 页

安全访问操作指南

分析服务要求

许可

ISE 分析要求在策略管理节点 (PAN) 上安装以下一种许可证：

高级终端许可证（适用于有线或无线部署）

仅无线许可证（仅适用于无线部署）

主动对网络执行身份验证并且使用分析数据做出授权策略决策的各个终端都需要安装一个高级终端许可证。
不考虑安全状态评估等要求安装高级终端许可证的其他服务，静态分配给配置文件的终端无需使用高级许可
证。如果不使用配置文件信息向终端授权，则无需为每个终端安装高级终端许可证，即可分析多个终端并了
解所连接的设备及其分类信息。高级终端许可证或仅无线许可证的最小数量为

100 个。

设备要求

ISE 分析服务只能在为策略服务角色配置的 ISE 设备上运行。表 2 显示关于策略服务专用设备可以分析的活动
终端的数量的一般指导信息。基于

VMware 的设备的规模应根据等同于或高于基于硬件的设备的同等规格的

原则加以确定。

表

2. ISE 设备规模

ISE 设备

最大终端数

EPS - 分析（分析

现有终端）

EPS - 保存（分析

新的终端）

ACS1121/NAC3315/ISE3315 3000

43 33

NAC3355/ISE3355 6000

不可用

NAC3395/ISE3395 10,000

100 5

VMware 3000/6000/10,000

取决于

VMware 配置

取决于

VMware 配置

此外，每个设备在每秒能处理的新事件

(EPS) 的速率方面都有限制。此值取决于所接收的分析数据是用于新

发现的终端，还是用于现有终端。现有终端的分析速率如表

2 中“EPS - 分析”栏所示。“EPS - 保存”栏显

示的是向数据库添加新发现的终端并进行分析的速率。

可以通过向多个

ISE 设备分配服务，扩展 ISE 分析服务。运行分析服务的 ISE 策略服务节点也可能是用于在

负载均衡器后面群集策略服务的节点组中的一个成员。