CISCO ISE 架构深度解析

BYOD 端到端架构知识地图

从第一性原理出发,以 Story Telling 的方式,完整拆解 Cisco ISE BYOD 的业务需求、六大 Portal、端到端消息流与配置架构

1为什么企业需要 BYOD 策略
从第一性原理出发:安全与用户体验的终极平衡

🎯 核心矛盾:不受信任的设备 vs 企业数据安全

当员工携带个人手机、平板、笔记本电脑接入企业网络时,企业面临一个根本性的矛盾:

  • 员工诉求:用自己最熟悉的设备办公,提升效率和满意度。
  • 安全诉求:这些设备没有预装企业安全软件、可能携带恶意软件、一旦丢失可能泄露企业数据。
文档原文:"When supporting personal devices on a corporate network, you must protect network services and enterprise data by authenticating and authorizing users (employees, contractors, and guests) and their devices. Cisco ISE provides the tools you need to allow employees to securely use personal devices on a corporate network." b_ISE_admin_byod.pdf · P1 · Personal Devices on a Corporate Network

❌ 体验妥协方案:PEAP + 密码

让用户用 AD 域账号密码连接 Wi-Fi。优点是简单;缺点是密码可被共享泄露,离职换密码时所有设备断连,且无法绑定到具体设备。

✅ ISE BYOD 方案:EAP-TLS + 自动证书

使用数字证书进行认证是最安全的方式——证书可嵌入设备 MAC 地址和用户名,且不怕密码泄露。

ISE BYOD 的核心价值:"将复杂的 PKI 证书申请过程自动化"。ISE 通过 BYOD Portal + Native Supplicant 向导,自动为终端签发证书、配置 Wi-Fi 配置文件,实现了高级别安全与傻瓜式体验的完美平衡
2Cisco ISE 六大设备 Portal 全景图
ISE 提供了完整的 Portal 矩阵,覆盖 BYOD 生命周期的每一个环节 b_ISE_admin_byod.pdf · P2 · Personal Device Portals
📱

BYOD Portal

用途:员工不直接访问此门户,而是在首次接入时被自动重定向到此门户,完成设备注册与 Native Supplicant 配置。

关键细节:支持 iOS 的 OTA 配置文件推送、Windows/macOS 的 NSA 下载、Android 的 Google Play NSA App 下载。

⚠️ "BYOD flow is not supported when a device is connected to a network using Network Access Manager (NAM)." P4
🖥️

My Devices Portal

用途:员工直接访问此门户,管理所有已注册的个人设备——添加 MAC 认证设备(如打印机、物联网设备)、标记丢失/被盗设备、重新激活设备。

关键细节:当同一设备有有线和无线两个 MAC 地址时,ISE 的 Profiler 会通过 hostname 合并为一条记录。

"Employees can add and manage new devices by entering the MAC address for the device. When employees add devices using the My Devices portal, Cisco ISE adds the devices to the Endpoints window as members of the RegisteredDevices endpoint identity group." P5
🚫

Blocked List Portal

用途:员工不直接访问。当丢失/被盗的设备被加入黑名单后,如果有人试图用该设备接入网络,会被重定向至此门户,提示设备已被阻止。

关键细节:默认端口 8444,支持 IPv4 和 IPv6。如果设备找回,员工可在 My Devices Portal 恢复 (reinstate),无需重新注册。P3

📜

Certificate Provisioning Portal

用途:员工直接访问。为无法走 BYOD 流程的设备(如 POS 收银终端)手动申请证书。支持单个或批量 CSV 请求。

访问权限:Super Admin / ERS Admin 角色可为他人申请;普通用户仅能为自己申请。P3 · P18

🛡️

Client Provisioning Portal

用途:员工不直接访问。在接入网络前,设备被重定向至此门户,下载 Posture Agent 进行合规检查(如杀毒软件、操作系统版本)。

关键细节:除了常规的 8443 端口,还使用 8905 和 8909 端口。支持 IPv4/IPv6。P4

📲

MDM Portal

用途:员工不直接访问,被重定向至此门户注册外部 MDM 系统(如 Microsoft Intune、VMware Workspace ONE 等)。

关键细节:ISE 允许为所有 MDM 系统配置统一门户,也可以为每个 MDM 系统单独创建门户。支持 IPv4/IPv6。P4-5

📐 分布式架构中的角色分工

PAN(Policy Administration Node):所有 Portal 配置写入 PAN。
PSN(Policy Service Node):Portal 实际运行在 PSN 上,处理所有会话流量(网络访问、Client Provisioning、Guest 服务、Posture、Profiling)。PSN 节点组中某节点故障时,其他节点检测故障并重置挂起会话。
MnT(Monitoring Node):收集、聚合、报告用户和设备在 My Devices、Sponsor、Guest Portal 上的活动数据。主 MnT 故障时,备 MnT 自动接管。 P1-2 · End-User Device Portals in a Distributed Environment
3单 SSID BYOD 端到端五阶段流程
以 Single-SSID 部署为例,完整还原从"一台全新个人手机"到"获得完整网络权限"的毫秒级时间线 P6-8 · BYOD Deployment Options and Status Flow
Phase 1

初次连接 — The Unknown State

  1. 802.11 关联 & EAP 认证:员工使用个人手机连接企业 SSID(如 Corp-WiFi),输入 AD 域账号和密码,使用 PEAP-MSCHAPv2 完成首次认证。
  2. ISE 策略匹配:ISE 收到 RADIUS Access-Request,认证成功后进入 Authorization Policy。
  3. 状态判定:ISE 检查内部数据库,发现该设备 MAC 地址对应的 BYODRegistration 属性为 Unknown(未注册)。
  4. 下发重定向:ISE 命中 BYOD Onboarding 规则,返回 RADIUS Access-Accept,携带两个关键属性:
    • url-redirect = 指向 ISE BYOD Portal 的 URL
    • url-redirect-acl = WLC 本地的拦截 ACL(如 NSP-ACL
Phase 2

BYOD Portal — 重定向与自服务登记

  1. 流量劫持:设备获取受限 IP 后,打开浏览器。HTTP 请求命中 WLC 上 NSP-ACL 的 Deny 规则,WLC 返回 HTTP 302 重定向到 ISE BYOD Portal。
  2. SSO 单点登录:由于之前已完成 802.1X PEAP 认证,ISE 实现 SSO,用户无需再次输入账号。
  3. 设备登记 & AUP:用户在 Portal 上确认设备信息(MAC 地址已预填),可输入设备名称和描述(如 "Bob 的个人 iPad"),同意《可接受使用协议》(AUP)。
"The first time employees attempt to access the network using a personal device, they may be prompted to manually download and launch the Network Setup Assistant (NSA) wizard and be guided through registering and installing the native supplicant." P4
Phase 3

证书签发与 Supplicant Provisioning(按 OS 分流)

ISE 的 Client Provisioning 引擎根据探针识别的操作系统,下发不同的配置资源:

操作系统配置方式详细说明
Apple iOS / iPadOS OTA 配置文件 ISE 利用苹果原生 Over-The-Air API,生成包含 SCEP 载荷的 .mobileconfig 推送。用户点击安装后,iOS 后台自动生成密钥对、通过 SCEP 向 ISE Internal CA 申请证书,并自动将 Wi-Fi 配置修改为 EAP-TLS。签发的证书嵌入 MAC 地址和用户名。P6-7
Windows / macOS NSA 下载安装 ISE 提示用户下载 Network Setup Assistant (NSA) 小程序。NSA 自动完成 CSR 生成、证书拉取、网卡配置文件修改。
注意:macOS 10.15+ 用户必须手动允许 SPW 下载。Windows 设备用户必须有管理员权限才能安装 NSA;否则需要使用 GPO 推送证书。P6
Android Google Play NSA App ISE 提示并路由用户到 Google Play Store 下载 Cisco NSA App。安装后打开 App 运行设置向导,完成证书拉取和 Supplicant 配置。P7
⚠️ Android 10 特殊处理:"Because Android 10 generates a random MAC address whenever a new connection profile is created, you must modify the default rule to remove BYOD_is_Registered and MAC_in_SAN conditions from the authorization profile for the BYOD flow to work with Android clients." P7

⚠️ iOS 单/双 SSID 注意:"Check the Enable if Target Network is Hidden check box only when the actual Wi-Fi network is hidden. Otherwise, Wi-Fi network configuration may not be provisioned properly for certain iOS devices, especially in the single SSID flow." P7
Phase 4

重新连接与动态提权 — CoA & EAP-TLS

  1. 触发重连:证书安装完毕后,NSA/iOS 配置文件自动断开当前连接,或 ISE 主动发送 RADIUS CoA (Change of Authorization) 迫使设备断线。
  2. EAP-TLS 高级认证:设备使用刚刚获得的 CA 签发证书,发起 EAP-TLS 认证。
  3. ISE 提权放行:ISE 校验终端证书成功,检查数据库发现 BYODRegistration = Yes,命中最高权限规则,向 WLC 下发 PermitAccess(完整网络权限、指定 VLAN 或 SGT)。
"After the user goes through the onboarding flow, Cisco ISE initiates a Change of Authorization (CoA). This causes the macOS, Windows, and Android devices to reconnect to the secure 802.1X network. For single SSID, iOS devices also connect automatically, but for dual SSID, the wizard prompts iOS users to manually connect to the new network." P7
Phase 5

持续管理 — 设备生命周期

  • My Devices Portal:员工随时可管理名下所有设备。
  • 丢失 / 被盗标记:标记为 Stolen 时,ISE 立即吊销证书、将 MAC 移入 Blocked List、触发 CoA 踢下线。标记为 Lost 时,设备进入 Blocked List 但证书不被吊销。
  • 找回恢复:恢复后状态变为 Not Registered,需要删除后重新添加以触发 onboarding。
  • 设备数量限制:默认每人最多注册 5 台设备,可配置为 1~999。P2 · P8 · P26
4端点属性状态机详解
理解 BYODRegistration 和 DeviceRegistrationStatus 两个核心属性的状态转换是精确编写授权策略的基础 P7-8

🔑 BYODRegistration 属性状态

Unknown
未知
设备从未经历过 BYOD 流程。这是初始默认状态。
Yes
已注册
设备已成功完成 BYOD 流程并注册。
No
未注册(曾注册后被删除)
设备曾经历过 BYOD 流程,但已从 My Devices 删除或被标记为丢失/被盗。

🔑 DeviceRegistrationStatus 属性状态

Not Registered
未注册
默认状态,设备从未经历 BYOD 流程。
Pending
待确认
设备已完成 BYOD 流程并注册,但 ISE 尚未在网络上检测到该设备。存在约 20 分钟的延迟后转为 Registered。
Registered
已注册
设备完成 BYOD 流程,且 ISE 已在网络上检测到它。
Stolen
被盗
用户在 My Devices Portal 标记为 Stolen。ISE 吊销证书 + 加入 Blocked List。
Lost
丢失
用户在 My Devices Portal 标记为 Lost。设备加入 Blocked List,但证书不被吊销。BYODRegistration 设为 No。
⚠️ Lost 设备默认仍有网络访问:必须手动创建授权策略阻止丢失设备。例如:
IF Endpoint Identity Group = Blocked List AND EndPoints:BYODRegistration = No THEN BYOD_Redirect
或更精细地加上 NetworkAccess:EAPAuthenticationMethod = PEAP/EAP-TLSInternalUser:IdentityGroup 条件。P8
5端到端消息流图(Message Flow Chart)
以 SVG 图形呈现单 SSID BYOD 流程中 Employee Device / WLC / ISE 三方的精密协同
Employee Device Cisco WLC 9800 Cisco ISE (PDP & CA) ── Phase 1: 初次连接 (The Unknown State) ── ① 802.11 Assoc + EAP (PEAP + AD 域账号密码) ISE 认证成功 检测 BYODRegistration = Unknown ② Access-Accept (url-redirect + url-redirect-acl=NSP-ACL) ── Phase 2: BYOD Portal 重定向与自服务登记 ── ③ HTTP GET (cisco.com) ④ HTTP 302 Redirect (WLC 拦截) ⑤ TLS 会话 (TCP 8443) → 登录 BYOD Portal,SSO 免密 用户同意 AUP,设备登记完成 ── Phase 3: 证书签发 & Supplicant Provisioning ── ⑥ 下发 NSA / iOS .mobileconfig (TCP 8905) 设备本地生成密钥对 (Key Pair) 准备 CSR 证书签名请求 ⑦ SCEP CSR Request (设备→ISE Internal CA) ⑧ SCEP Response (CA 签发证书,嵌入 MAC+用户名) 安装证书,配置 EAP-TLS Profile ── Phase 4: 重新连接与动态提权 (CoA & EAP-TLS) ── ⑨ RADIUS CoA (Port Bounce) ⑩ Deauth — 强制断连 ⑪ 802.11 Re-Assoc + EAP-TLS (使用新签发的证书) ISE 验证证书成功 BYODRegistration = Yes ✓ ⑫ Access-Accept (PermitAccess + Full VLAN/SGT) ── Phase 5: 持续管理 — 设备生命周期 ── 🎉 员工获得完整企业网络安全访问权限 📱 My Devices Portal 查看/管理名下所有设备 🚨 标记 Lost / Stolen 加入 Blocked List + 吊销证书 🔄 找回恢复 / 续期 恢复后需重新 Onboarding 图例说明: Device → ISE 方向 ISE → Device 方向 CoA / Deauth 强制操作 成功 来源:b_ISE_admin_byod.pdf · P6-8 · BYOD Deployment Options and Status Flow;结合 CVD 最佳实践编制
6ISE 配置架构深度拆解
要实现上述流程,ISE 的策略逻辑需要像齿轮一样精密咬合——以下是四大必须配置的模块

6.1 全局设置 (Global Settings)

路径:Administration > Device Portal Management > Settings P2

参数说明默认值
Employee Registered Devices 限制每位员工可注册的最大设备数,范围 1~999,此限制跨所有 Portal 生效 5 台
Retry URL 设备在 onboarding 过程中遇到问题时,自动重新连接互联网时将使用此 URL 重定向回 ISE 以重新启动注册流程 192.0.2.123
"Once you configure these general settings, they apply to all BYOD and My Devices portals that you set up for your company." P2

6.2 证书配置 (Certificates / SCEP)

路径:Administration > System > Certificates > System Certificates P12

  1. 确保 ISE Internal CA 已启用,用于为 BYOD 签发终端证书。
  2. 添加系统证书并分配 Certificate Group Tag(默认为 Default Portal Certificate Group)。
  3. 在创建/编辑 Portal 时,选择对应的 Certificate Group Tag。
⚠️ "BYOD does not support certificate chains longer than three certificates." P12
⚠️ "During BYOD onboarding, certificates are issued twice for iOS devices." P12
⚠️ "The Subject Alternative Name field for BYOD certificates must include both the DNS name and the IP address." P6

6.3 Identity 配置三件套

① 外部身份源 (External Identity Sources) P13

路径:Administration > Identity Management > External Identity Sources

支持的外部身份源类型包括:

  • Active Directory(最常见的 BYOD 场景)
  • LDAP、RADIUS Token、RSA SecurID
  • Certificate Authentication Profile(证书认证必需)
  • SAML IdP(如 Oracle Access Manager)
  • Social Login(如 Facebook)
  • REST ID Store(如 Microsoft Entra ID)

② 身份源序列 (Identity Source Sequences) P13-14

路径:Administration > Identity Management > Identity Source Sequences > Add

  • 定义 ISE 搜索身份源的优先顺序。
  • 可勾选 Certificate Authentication Profile 用于 EAP-TLS 场景。
  • 当某身份存储不可达时,有两个选项:停止搜索并返回 ProcessError,或视为"用户未找到"并继续搜索下一个存储。

③ 端点身份组 (Endpoint Identity Groups) P14

路径:Administration > Identity Management > Groups > Endpoint Identity Groups

ISE 预定义了多个系统身份组(不可删除,仅可编辑描述),关键组包括:

  • RegisteredDevices:通过 My Devices Portal 或 BYOD Portal 注册的设备默认加入此组。
  • Blocked List(原 Blacklist):被标记为 Lost/Stolen 的设备被移入此组。
  • 你可以创建自定义组并关联到特定 Portal。

6.4 授权策略 (Authorization Profile & Policy)

① 创建授权配置文件 (Authorization Profile) P23-24

路径:Policy > Policy Elements > Results > Authorization > Authorization Profiles

  • 创建 NSP_Redirect_Profile:配置 Web Authentication 类型为 Supplicant Provisioning,关联 BYOD Portal 名称,ACL 填入 WLC 上的 NSP-ACL 名称。
  • 创建 PermitAccess 或自定义 Profile:用于最终放行(分配 VLAN/SGT)。

② 创建授权策略规则 (Authorization Policy Rules) P24

路径:Policy > Policy Sets(在 Standard Policies 下创建规则)

优先级规则名称条件 (IF)结果 (THEN)
Rule 1 BYOD-Success EAPAuthentication = EAP-TLS AND BYODRegistration = Yes PermitAccess(完整网络权限)
Rule 2 BYOD-Blocked Endpoint Identity Group = Blocked List DenyAccess 或重定向至 Blocked List Portal
Rule 3 BYOD-Onboarding EAPAuthentication = PEAP AND BYODRegistration = Unknown NSP_Redirect_Profile(重定向至 BYOD Portal)
策略顺序至关重要:ISE 自顶向下匹配规则,一旦命中即停止。因此已注册成功的设备(Rule 1)必须排在 Onboarding 规则(Rule 3)之上,否则已完成注册的设备每次都会被重新重定向。
⚠️ "While creating an authorization condition using a dictionary attribute with the MAC option enabled, such as RADIUS.Calling-Station-ID, you must use a Mac operator (for example, Mac_equals) to support different MAC formats." P25

6.5 各 Portal 配置任务矩阵

以下表格总结了配置各 Portal 所需的必选 (Required) 与可选 (Optional) 任务:P10-11

配置任务 Blocked List BYOD Client Provisioning MDM My Devices
Enable Policy Services✅ 必需✅ 必需✅ 必需✅ 必需✅ 必需
Add Certificates✅ 必需✅ 必需✅ 必需✅ 必需✅ 必需
External Identity Sources不需要不需要不需要不需要✅ 必需
Identity Source Sequences不需要不需要不需要不需要✅ 必需
Endpoint Identity Groups不需要✅ 必需不需要✅ 必需✅ 必需
Create Authorization Profiles不适用✅ 必需✅ 必需✅ 必需不需要
Customize Portal⚙️ 可选⚙️ 可选⚙️ 可选⚙️ 可选⚙️ 可选
7WLC 侧配置要点 (The Enforcement Point)
WLC 是底层执行器——如果配置不完美,重定向根本无法生效

7.1 Portal 端口规划 P15-16

所有 Portal 的 HTTPS 端口必须在 8000~8999 范围内。相同端口 + 相同接口的 Portal 必须使用相同的 Certificate Group Tag。

Portal默认端口备注
BYOD / My Devices / MDM / Client Provisioning / Certificate Provisioning8443
Blocked List Portal8444唯一默认不同端口
Client Provisioning (Posture)8905, 8909仅 Posture 评估使用
"We recommend that you use interface 0 for Guest services for best performance." 可使用 ip host CLI 命令将 hostname/FQDN 映射到 interface 0 的 IP。P16

7.2 Redirect ACL (重定向访问控制列表)

这是最容易出错的地方。当设备获得 IP 但还没拿到证书时,WLC 必须拦截 HTTP/HTTPS 流量以触发 302 重定向。在 C9800 上创建 Extended ACL(如 NSP-ACL):

! 第一性原理:放行基础设施通信,阻断其他所有以触发重定向
10 permit udp any any eq bootpc bootps domain  ! 必须放行 DHCP 和 DNS
20 permit ip any host <ISE-PSN-IP>             ! 放行去往 ISE (8443, 8905) 的流量
30 permit ip any host <Google-Play-IPs>         ! (仅安卓) 放行 Google Play 下载 NSA
40 permit icmp any any                           ! (可选) 允许 ping 测试
50 deny   tcp any any eq www                     ! 核心:拦截 HTTP(80) 触发重定向
60 deny   tcp any any eq 443                     ! 拦截 HTTPS(443)
70 deny   ip any any                              ! 阻断去往内网的任何其他流量
⚠️ CVD 最佳实践:由于 Apple CNA 和 Google Play 的 IP 经常变动,现代 WLC 广泛使用 URL/DNS ACL 放行域名(如 *.apple.complay.google.com)。

7.3 WLAN Profile 关键配置

配置项要求原因
Layer 2 Security WPA2/WPA3 + 802.1X BYOD 基于 802.1X 认证框架
AAA Override 必须开启 允许 ISE 通过 RADIUS 属性动态覆盖 WLAN 默认权限(ACL、VLAN)
NAC State 必须设为 ISE NAC (RADIUS NAC) 如果不开启,ISE 发送 CoA 踢用户下线时 WLC 无法响应,导致设备卡在死循环

7.4 Allowed Interfaces(Portal 接口选择) P16

  • 选择 PSN 的哪些接口可以运行 Portal。Ethernet 接口必须使用不同子网的 IP 地址。
  • 这些接口必须在所有 PSN(包括 VM)上可用(因为任何 PSN 都可能被用于重定向)。
  • Portal 证书的 Subject Name 或 SAN 必须解析到接口 IP 地址。使用 ip host x.x.x.x yyy.domain.com CLI 命令映射辅助接口 IP 到 FQDN。
  • NIC Teaming/Bonding:如果物理 NIC 和 Bonded NIC 同时配置,PSN 优先使用 Bond 接口。若 Bond 未建立,则回退到物理接口。
8设备生命周期管理
员工注册的个人设备需要持续管理——理解完整生命周期是运维的关键 P25-27

8.1 查看员工名下的设备

路径:Work Centers > Network Access > Identities > Endpoints

  1. 点击端点列表右上角的 Settings 图标。
  2. 启用 Portal User 列的显示。
  3. 使用 Quick Filter,在 Portal User 字段输入员工用户名,即可筛选出该员工名下所有设备。
"When two MAC addresses from one device are entered into the My Devices portal by a user, profiling determines that they have the same hostname, and they are merged together as a single entry in Cisco ISE." P5

8.2 常见运维场景与处理方式

场景处理方式注意事项
设备被盗 (Stolen) 员工在 My Devices Portal 标记为 Stolen → ISE 吊销证书 + 将 MAC 加入 Blocked List + CoA 踢下线 找回后状态变为 Not Registered,必须删除后重新添加设备以重新 onboarding
设备丢失 (Lost) 员工标记为 Lost → 加入 Blocked List,但证书不吊销,BYODRegistration 设为 No 默认仍有网络访问!必须创建授权策略明确阻止 Blocked List 组的设备
员工删除设备 从 My Devices Portal 删除 → 设备从员工列表消失,但仍保留在 ISE Endpoints 数据库中 管理员需要在 Work Centers > Endpoints 中永久删除 P26
设备已被其他人注册 新员工无法添加已在数据库中的设备 推荐通过 BYOD Portal(而非 My Devices Portal)添加,可覆盖注册信息;MAB 设备(如打印机)需管理员先从数据库删除 P26
Context Visibility 导入的端点 不自动关联到 BYOD 用户账户 "They must follow the usual BYOD registration process to be added to the My Devices portal." P5

8.3 通过 Credentialed Guest Portal 注册设备 P9

员工也可以通过 Credentialed Guest Portal 完成 BYOD 注册。启用方式:

  1. 路径:Work Centers > Guest Access > Portals & Components > Guest Portals
  2. 选择目标 Credentialed Guest Portal → Edit → Portal Behavior and Flow Settings
  3. BYOD Settings 下勾选 "Allow employees to use personal devices on the network"

前提条件:必须先创建好 Native Supplicant Profile。

9监控与报告
Cisco ISE 提供丰富的报告系统,覆盖设备注册活动和用户操作审计 P27-28

📊 My Devices 登录和审计报告

路径:Operations > Reports > Reports > Guest > My Devices Login and Audit

这是一份合并报告,同时追踪:

  • 员工在 My Devices Portal 的登录活动
  • 员工在 Portal 中执行的设备操作(添加、删除、标记丢失/被盗等)

📊 已注册端点报告

路径:Operations > Reports > Reports > Endpoints and Users > Registered Endpoints

提供所有由员工注册的端点的详细信息,支持按以下属性过滤:

  • Identity(用户身份)
  • Endpoint ID(端点 ID)
  • Identity Group(身份组)
  • Endpoint Profile(端点配置文件)

还可以查询 Portal User ≠ null 的端点来获取特定用户的注册记录。

📋 报告的运行方式

  • 支持按需运行定时调度
  • 使用 Filters 下拉列表选择搜索数据维度。
  • 使用 Time Range 选择时间窗口。
  • 点击 Run 生成报告。
架构全景总结

🏛️ Cisco ISE BYOD 架构核心公式

🔐
安全层

EAP-TLS 证书认证
自动 SCEP 签发
证书嵌入 MAC + 用户名

🎯
策略层

ISE Authorization Policy
BYODRegistration 状态机
CoA 动态提权

🖥️
Portal 层

BYOD / My Devices / Blocked List
Certificate / Client Provisioning / MDM
六大 Portal 全生命周期覆盖

📡
执行层

WLC Redirect ACL
AAA Override + RADIUS NAC
HTTP 302 重定向引擎

一句话总结:Cisco ISE BYOD 的本质,是通过 RADIUS 协议编排策略 + SCEP 自动签发证书 + Portal 引导用户体验,在 WLC 执行点上实现了"不受信任的个人设备 → 证书级安全的企业接入"这一优雅的身份转换。