从身份出发,以上下文驱动,让网络自身成为安全传感器与执行者。
一份面向网络与安全工程师的全方位技术参考指南。
从"What — Why — How"黄金圈出发,理解 Cisco ISE 为何是企业零信任架构的核心基石。
Cisco Identity Services Engine(ISE)是 Cisco 下一代 身份与访问控制策略平台。 它远不止于一台传统的 RADIUS 服务器——ISE 是整个企业网络的 "中央决策大脑(Central Policy Decision Point)", 是零信任架构(Zero Trust Architecture)中连接身份、设备、上下文和策略的核心枢纽[1]。
ISE 的核心定位可以用一句话概括:在正确的时间,基于充分的上下文,将正确的访问权限赋予正确的实体,并在威胁出现时即时撤回这些权限。 它同时承担着 AAA(Authentication认证、Authorization授权、Accounting审计) 三大职责, 与网络接入设备(NAD,Network Access Device——交换机、无线控制器、VPN 集中器等)紧密协作, 实现从端到端的安全策略统一管理与自动化执行。
在技术架构层面,ISE 以 策略服务节点(PSN) 作为分布式执行引擎处理 RADIUS/TACACS+ 请求, 以 策略管理节点(PAN) 作为集中配置中心, 以 监控节点(MnT) 汇聚日志与报告, 并通过 pxGrid 节点与 Cisco 及第三方安全生态实现双向上下文交换[4]。 这些节点可以灵活组合部署——从小型单机模式(Standalone)到支撑 200 万并发终端 的大型分布式高可用集群[5]。
在传统的"城堡与护城河"安全模型中,企业信赖一条明确的网络边界:防火墙内部即可信,外部即不可信。 然而今天的企业网络正经历着根本性的变革——边界已经不复存在。
IoT/OT 设备(摄像头、传感器、PLC、医疗设备)大量涌入企业网络。这些设备往往不支持 802.1X,缺乏补丁机制,成为攻击者的首选跳板。 据统计,企业网络中超过 30% 的终端是"非托管"设备[6],对 IT 团队而言完全是黑箱。
80% 的安全事件源于网络内部,而非外部边界突破[7]。 一旦攻击者突破某个薄弱环节(如一台未打补丁的打印机),便可在扁平网络中自由横向移动, 接触核心业务系统、数据库和知识产权。传统 VLAN 分段粒度粗、管理复杂,难以有效遏制。
员工携带个人笔记本、手机、平板接入企业网络已成常态。这些设备安全状态参差不齐—— 可能未安装防病毒、操作系统过期、甚至已被恶意软件感染。如何在不影响用户体验的前提下确保安全合规?
GDPR、HIPAA、PCI-DSS、等保 2.0 等法规要求企业能够精准回答: 谁在何时从何处访问了什么资源?每个终端是否满足安全基线? 没有集中化的身份与策略平台,合规审计将耗费巨大的人力成本。
ISE 的工作机制可以抽象为一个持续运转的 "收集 → 决策 → 执行" 闭环。 它不是静态的规则引擎,而是一个上下文感知(Context-Aware)的动态策略平台[1]。
ISE 的决策质量取决于它收集的上下文信息的丰富程度。ISE 像一位经验丰富的安保主管,不会只看你的工牌(身份), 还会观察你穿什么(设备类型)、从哪个门进来(接入位置)、是否通过安检(健康状态)。 以下是 ISE 可以收集和利用的六大上下文维度[1][4]:
用户名、组成员、角色。来自 AD、LDAP、SAML、ODBC、Entra ID 等。支持证书 (EAP-TLS) 和多因素链式认证 (EAP Chaining)。
设备类型、OS、制造商、型号。通过 Profiling(DHCP/HTTP/DNS/SNMP/NetFlow 等探针 + AI/ML Smart Grouping)自动识别。
接入类型(有线 / 无线 / VPN)、NAD IP、接口、SSID、Location 属性。支持基于网络设备组(NDG)进行位置感知策略匹配。
时间条件(工作日/非工作日/时段)。可限定如"仅工作时间允许访客 Wi-Fi"或"非工作时间限制敏感系统访问"。
认证方法(802.1X、MAB、WebAuth)、EAP 类型(TLS/PEAP/TEAP/FAST)。不同方法反映不同信任级别,影响授权结果。
终端合规检查:防病毒更新、OS 补丁级别、磁盘加密、防火墙状态。支持 Agent (AnyConnect ISE Posture) 与 Agentless 模式。
当 ISE 完成决策后,它通过 RADIUS Access-Accept 消息向 NAD 下发以下一种或多种执行指令[1][4]:
| 执行手段 | 机制说明 | 典型应用场景 |
|---|---|---|
| VLAN 分配 | 通过 Tunnel-Private-Group-ID 属性将终端放入指定 VLAN |
访客放入隔离 VLAN、员工设备入生产 VLAN、不合规设备入修复 VLAN |
| dACL Downloadable ACL |
ISE 将 ACL 通过 RADIUS 下发到 NAD 端口,实现细粒度 L3/L4 过滤 | BYOD 设备仅允许访问互联网 + 内部 Web 门户,阻止访问核心服务器网段 |
| SGT Security Group Tag |
为每个会话打上安全组标签(16-bit),在整个网络 fabric 中传播,由 SGACL 执行策略[7] | TrustSec 微分段:Employee(SGT=5) 可访问 Server(SGT=100),Contractor(SGT=8) 不可访问 |
| URL 重定向 | 通过 cisco-av-pair 属性指示 NAD 将 HTTP 流量重定向至 ISE Portal |
Guest Web 认证、Posture 合规检查、BYOD 设备注册引导 |
| CoA Change of Authorization |
ISE 主动向 NAD 发送 RFC 5176 消息,动态修改或终止活动会话[2] | Posture 检查通过后提权;威胁检测后立即隔离;访客账户过期后断开 |
| Reauthentication Timer | 设置会话定期重新认证间隔,确保持续验证 | 每 4 小时重新评估终端状态,确保持续合规 |
ISE 的价值不仅体现在安全性提升,更体现在运营效率和合规成本的显著优化[5]。
通过 Profiling 探针 + AI/ML Smart Grouping + pxGrid 生态,ISE 能够自动发现并分类网络中所有终端—— 从笔记本电脑到 IP 摄像头,从医疗输液泵到工业 PLC。你无法保护你看不见的东西[6]。
ISE 确保每个实体只获得完成其任务所需的最小网络权限。 通过 TrustSec SGT 微分段,员工无法访问财务系统,承包商无法触及研发网络, IoT 设备被限制在其功能所需的最小通信范围内[7]。
信任不是一次性给予——ISE 通过 Posture 持续评估、CoA 动态响应、会话超时重认证, 确保终端在整个会话生命周期内始终满足安全策略要求。 "零信任不仅持续评估信任,还能实时隔离威胁"[5]。
ISE 审计日志详细记录每一次认证与授权事件,天然满足合规审计需求。 结合 Rapid Threat Containment(通过 pxGrid 与 Secure Network Analytics / Firepower 联动), 威胁从检测到隔离可在秒级完成[8]——无需人工介入。
ISE 并非孤立产品,它是落地 Zero Trust、NIST CSF 2.0 和 MITRE ATT&CK 防御的关键执行层。
根据 Cisco、CISA 和 NIST SP 800-207 对零信任的定义,其核心原则可归纳为: "永不隐式信任,持续显式验证,最小权限授予"。 零信任不是一款产品,而是一种架构策略——而 ISE 是这个策略在网络层落地的核心引擎[1][5]。
CISA 零信任成熟度模型定义了五大支柱:Identity(身份)、Device(设备)、Network(网络)、Application & Workload(应用与工作负载)、Data(数据)。ISE 直接覆盖前三大支柱,并通过 pxGrid 与生态系统间接影响后两个支柱[1][9]。
MITRE ATT&CK 框架描述了攻击者从初始接入到数据窃取的完整战术与技术链。 ISE 作为网络层策略执行点,能够在攻击链的多个阶段施加防御[1][7][8]:
| ATT&CK 战术 | 攻击者行为 | ISE 防御能力 | ISE 机制 |
|---|---|---|---|
| Initial Access 初始接入 |
攻击者将非授权设备物理连接至网络端口,或利用被盗凭证接入 Wi-Fi | 802.1X 强制认证阻止未授权接入;MAB 仅允许已知设备白名单;Profiling 自动检测异常设备 | 802.1X MAB Profiling |
| Execution 执行 |
在已入网设备上执行恶意代码或脚本 | Posture 合规检查确保终端安装最新补丁和防恶意软件;不合规设备被隔离至修复 VLAN | Posture CoA |
| Lateral Movement 横向移动 |
利用扁平网络在不同系统间横向扩散 | TrustSec SGT 微分段将网络切割为最小权限区域;同一 VLAN 内不同 SGT 的设备也受 SGACL 控制 | SGT SGACL |
| Credential Access 凭证获取 |
中间人攻击截获认证凭证 | EAP-TLS 基于证书认证无密码传输;TEAP 支持隧道内证书链式认证;TACACS+ over TLS 1.3(ISE 3.5)[11] | EAP-TLS TEAP |
| Discovery 侦察探测 |
攻击者扫描网络拓扑、枚举资产 | dACL 限制已授权设备可达范围;SGT 隔离阻止跨安全组通信 | dACL SGT |
| Command & Control 命令控制 |
被控设备与外部 C2 服务器建立通信 | Secure Network Analytics(Stealthwatch)检测异常流量 → pxGrid 通知 ISE → CoA 隔离[8] | RTC pxGrid |
| Exfiltration 数据窃取 |
将敏感数据传输至外部 | 微分段限制数据服务器仅可被授权 SGT 访问;异常大流量触发 SNA 告警 → ISE 自动隔离 | SGACL CoA |
NIST Cybersecurity Framework(CSF)2.0 定义了六大核心功能:Govern(治理)、Identify(识别)、Protect(保护)、Detect(检测)、Respond(响应)、Recover(恢复)。 ISE 在其中扮演着贯穿始终的角色[1][5]:
| CSF 功能 | 目标 | ISE 能力映射 | 具体技术/功能 |
|---|---|---|---|
|
GV Govern 治理 |
建立和监控组织的网络安全风险管理策略 | ISE 提供集中化策略管理平台(PAN),统一定义、分发和审计所有网络访问策略。策略版本控制与变更审计。 | Policy Sets、PAN HA、RBAC 管理员角色分离、Smart Licensing 合规追踪 |
|
ID Identify 识别 |
了解组织的资产、风险和供应链 | Profiling 自动发现和分类所有网络终端;AI/ML Smart Grouping 识别未知设备类型;pxGrid Direct 同步 CMDB 资产数据[3][9] | Profiling 探针、Feed Service、Endpoint Dashboard、pxGrid Direct(ServiceNow CMDB 集成) |
|
PR Protect 保护 |
实施保障措施确保关键服务交付 | 802.1X 强制认证、TrustSec SGT 微分段、Posture 合规基线检查、VLAN/dACL 动态权限控制 | 802.1X、MAB、VLAN、dACL、SGT/SGACL、Posture Agent/Agentless、BYOD 注册流程 |
|
DE Detect 检测 |
及时发现网络安全事件 | MnT 节点聚合所有 RADIUS 认证/授权/审计日志;Profiling 异常检测(设备类型突变);pxGrid 接收 SNA/FMC 威胁情报 | MnT 日志分析、Profiler Anomaly Detection、TC-NAC、pxGrid 2.0 事件订阅[8] |
|
RS Respond 响应 |
对检测到的事件采取行动 | CoA 实时隔离/降权/弹出受感染终端;Rapid Threat Containment 自动化响应流程;Endpoint Purge 清除被盗用终端记录 | CoA (RFC 5176)、Adaptive Network Control (ANC)、EPS (Endpoint Protection Services)、pxGrid → SNA/FMC 联动[2][8] |
|
RC Recover 恢复 |
恢复因事件受损的能力 | 隔离修复后通过 Posture 重新评估→ CoA 恢复正常权限;PAN HA 双节点保障策略服务可用性;配置备份/恢复机制 | Posture Remediation → CoA Re-Auth、PAN Active/Standby Failover、ISE Config Backup/Restore |
图:NIST CSF 2.0 六大功能与 ISE 能力映射 — ISE 覆盖从资产识别到事件恢复的完整安全生命周期
深入 ISE 的内部架构、核心概念、策略结构和执行流水线——掌握引擎的每一个齿轮。
ISE 是一个分布式、多角色的平台。一台 ISE 节点在逻辑上可以承担一个或多个"角色(Persona)", 每个角色负责不同的功能域。在小型部署中一台节点可以身兼数职(Standalone), 在大型环境中则建议将角色分离部署以优化性能和可用性[1][3][4]。
PAN 是 ISE 部署的"大脑和中枢神经",负责所有配置管理与策略分发。 管理员通过 PAN 的 Web GUI(TCP/443)访问 ISE 管理控制台,进行策略配置、节点注册、许可管理等操作[1][14]。
MnT 是 ISE 的"黑匣子和仪表盘"——汇聚来自所有 PSN 的认证/授权/审计日志, 提供实时 Dashboard、历史报告和告警功能[1][4]。
M&T Session DB(会话数据库)和 Log Processor(日志处理器)等关键服务。相关日志文件包括 ise-elasticsearch(搜索索引)和 collector.log[4]。PSN 是 ISE 的"一线战士"——它直接面对 NAD(交换机/WLC/VPN),处理所有 RADIUS 和 TACACS+ 请求, 执行认证、授权、Profiling、Posture 和 Guest Portal 等核心业务功能[1][3]。
Calling-Station-ID 做粘性,而非 Source IP)分散 PSN 负载[6]。pxGrid 是 ISE 的"外交部和情报共享中心"——它使 ISE 能够与 Cisco 及第三方安全产品双向共享上下文信息, 构建统一的安全生态系统[3][8]。
ISE 部署模式从单机到全球分布式集群,灵活适应不同规模的企业需求。 以下矩阵基于 Cisco 官方 Validated Design(CVD)和 Cisco Live 演示内容[3][6]:
| 部署规模 | 终端数量 | 推荐节点组合 | 典型架构 | 关键注意事项 |
|---|---|---|---|---|
| Small | < 5,000 | 1× Standalone(PAN+MnT+PSN 同节点) | 单节点或 2 节点 HA | 适合 PoC 或小型分支;非生产环境可用 Evaluation(90天试用) |
| Medium | 5,000 – 25,000 | 2× PAN (HA) + 2× MnT + 2–4× PSN | 分布式部署,角色分离 | PSN 建议使用 LB;启用 Endpoint Attribute Filter 优化 Profiling 性能[6] |
| Large | 25,000 – 500,000 | 2× PAN + 2× MnT + 5–20× PSN + 2× pxGrid | 多站点分布式,区域 PSN 集群 | pxGrid 角色建议独立部署;考虑地理就近性降低 RADIUS 时延[3] |
| Very Large | 500K – 2,000,000 | 2× PAN + 2× MnT + 20–50× PSN + 2× pxGrid | 全球分布式,最多 50 PSN | 节点间延迟 < 300ms[14];ISE 3.3+ 建议禁用 Endpoint Replication 以降低 DB 负载[13] |
ISE 节点间的通信依赖多个 TCP/UDP 端口。部署在防火墙分隔环境中时,务必确保以下端口畅通[3][14]:
| 端口 | 协议 | 方向 | 用途 |
|---|---|---|---|
TCP/443 |
HTTPS | Admin → PAN | 管理 GUI 访问、节点注册初始化 |
TCP/12001 |
ISE Sync | PAN ↔ Secondary | 配置数据库同步(节点注册后数据复制)[14] |
TCP/8671 |
ISE Messaging (RabbitMQ) | 所有节点 ↔ 所有节点 | 内部消息总线(策略更新推送、pxGrid 事件传递)[4] |
TCP/15672 |
RabbitMQ Mgmt | 内部 | 消息队列管理接口(诊断用途)[14] |
TCP/6379 |
Redis | PSN ↔ PSN | Light Data Distribution (LDD) — 会话状态、Posture 状态在 PSN 间轻量同步[12][13] |
TCP/8910 |
pxGrid 2.0 | 外部系统 → pxGrid Node | pxGrid WebSocket/REST 订阅与发布 |
UDP/1812-1813 |
RADIUS | NAD → PSN | RADIUS 认证 (1812) 与审计 (1813) |
TCP/49 |
TACACS+ | NAD → PSN | 设备管理认证与命令授权 |
TCP/8443 |
HTTPS | 终端 → PSN | Guest / Sponsor / BYOD / Client Provisioning Portal |
图:ISE 分布式部署架构 — PAN 管理配置,PSN 处理 RADIUS/TACACS+ 请求,MnT 收集日志,pxGrid 对外共享上下文
ISE 对虚拟化资源有严格要求——必须 100% 预留 CPU 和内存,禁止使用 VM 快照[6]。以下是官方推荐规格:
| VM 规格 | vCPU | RAM | HDD | 适用角色 | 典型容量 |
|---|---|---|---|---|---|
| Extra Small | 4 vCPU | 16 GB | 300 GB | 评估 / PoC | ~2,000 终端 |
| Small | 8 vCPU | 32 GB | 600 GB | PSN / PAN(小型) | ~10,000 终端 |
| Medium | 16 vCPU | 64 GB | 600 GB | PSN / PAN / MnT | ~25,000 终端 |
| Large | 16 vCPU | 96 GB | 1.2 TB | MnT(大型)/ 全功能 | ~50,000+ 终端 |
理解 ISE 的核心概念,就像学习一门语言的语法——只有掌握了这些基本构件, 才能读懂 ISE 策略引擎的"语句"并编写出精确的安全策略。 以下我们用第一性原理,从最底层的 AAA 概念出发,逐步构建完整的认知体系[1][4]。
认证 · "你是谁?"
授权 · "你能做什么?"
审计 · "你做了什么?"
ISE 同时支持 RADIUS 和 TACACS+ 两种 AAA 协议,但它们的设计目标截然不同[1]:
| 对比维度 | RADIUS | TACACS+ |
|---|---|---|
| 核心用途 | 网络接入控制(Network Access) 用户/设备连接有线、无线、VPN 时的认证与授权 |
设备管理(Device Administration) 网络管理员登录路由器/交换机时的认证与命令级授权 |
| 传输协议 | UDP(端口 1812/1813 或 1645/1646) | TCP(端口 49);ISE 3.5 支持 TACACS+ over TLS 1.3[11] |
| AAA 分离 | 认证 + 授权 合并在同一报文中 | 认证、授权、审计 完全分离,可独立配置 |
| 加密范围 | 仅加密密码字段,其余属性明文 | 整个报文体加密(共享密钥),安全性更高 |
| 命令授权 | 不支持(无命令级别粒度) | 支持逐条命令授权(如允许 show,禁止 config terminal) |
| 多协议支持 | 原生支持 PPP、EAP、802.1X | 专为 Cisco IOS 设计,不支持 802.1X |
| ISE 许可 | 包含在所有许可层级 | 需要单独的 Device Admin License[10] |
| 典型场景 | 员工 Wi-Fi、BYOD、Guest、VPN 接入 | 网络管理员 SSH/Console 登录、命令审批 |
IEEE 802.1X 是端口级网络访问控制的行业标准。它定义了三个角色[1]:
终端设备上的 802.1X 客户端软件。
如 Windows 原生客户端、AnyConnect NAM、
macOS 原生、SecureW2 等。
NAD — 交换机或 WLC。
控制端口的"开关"。
转发 EAP 消息至 RADIUS 服务器。
ISE PSN — 做出最终认证和授权决策。
查验身份 → 匹配策略 → 返回权限。
EAP(Extensible Authentication Protocol,可扩展认证协议)是 802.1X 的认证框架。 ISE 支持多种 EAP 方法,每种方法在安全性、部署复杂度和适用场景上各有侧重[1][10]:
| EAP 方法 | 认证方式 | 安全等级 | 需要证书 | 适用场景 | 特殊说明 |
|---|---|---|---|---|---|
| EAP-TLS | 双向证书(客户端 + 服务器) | 最高 | ✅ 双端证书 | 企业托管设备、高安全环境 | 需要 PKI 基础设施;ISE 3.5 支持 Entra ID EAP-TLS[11] |
| PEAP-MSCHAPv2 | TLS 隧道内传输用户名/密码 | 高 | 仅服务器证书 | 最常见的企业部署方式 | 依赖 AD 密码;Windows 原生支持 |
| TEAP RFC 7170 |
TLS 隧道 + 内层多方法链式认证 | 最高 | 服务器证书 + 可选客户端证书 | 用户 + 机器双重认证 | ISE 3.5 支持 TEAP-TLS 链式 Entra ID 认证[11];替代 EAP-FAST 的推荐方案 |
| EAP-FAST | PAC (Protected Access Credential) 隧道 | 高 | 可选(PAC 替代) | Cisco 专有;传统环境兼容 | 逐步被 TEAP 取代;仍支持 EAP Chaining(用户+机器同时认证) |
| EAP-GTC | 通用令牌卡(一次性密码等) | 中 | 仅服务器证书 | 搭配 PEAP 内层;OTP 场景 | PEAP 内层方法之一;Windows 不原生支持 |
MAB(MAC Authentication Bypass)是针对无法运行 802.1X Supplicant 的设备(如 IP 打印机、IP 电话、摄像头、IoT 传感器、PLC 等)的后备认证方式[1]。
CWA(Central Web Authentication)是 ISE 的 Web 门户认证方式。 当终端未通过 802.1X 或 MAB 获得完全授权时,ISE 指示 NAD 将其 HTTP 流量 重定向至 ISE 托管的 Portal 页面[1]。
典型应用:访客接入(Guest Access)、BYOD 自助注册、Posture 合规引导(Client Provisioning Portal)。 ISE 内置多种可定制的 Portal 模板,支持多语言和品牌自定义[10]。
CoA(RFC 5176)是 ISE 最强大的"实时响应武器"——它允许 ISE 在终端会话进行中 主动向 NAD 发送指令,动态修改、降级甚至终止该终端的网络访问权限[2]。 这是零信任"持续验证"原则的技术基础。
触发 NAD 对该会话重新认证。ISE 用新策略结果替换原权限。
场景:Posture 检查通过后"提权"、BYOD 注册完成后升级权限。
强制断开指定会话,终端被踢出网络。
场景:检测到严重安全威胁、管理员手动隔离。
关闭并重新打开 NAD 端口,迫使终端完全重新连接。
场景:需要终端获取新 VLAN/IP 地址时使用。
cisco-av-pair:termination-action-modifier=1 属性确保 NAD 在 CoA 重认证时
复用原始认证方法(而不是重新走 802.1X),保障用户无感知的权限升降[12]。
Posture 状态通过 LDD(Light Data Distribution)在 PSN 之间轻量同步[12]。
| 触发来源 | 场景 | CoA 动作 |
|---|---|---|
| Posture 模块 | 终端完成合规检查(Compliant ↔ Non-Compliant) | Reauthenticate(提权/降权) |
| Profiler | 设备类型重新分类(如 "Unknown" → "Cisco-IP-Phone") | Reauthenticate(应用新 Profile 对应策略) |
| pxGrid(外部系统) | Secure Network Analytics 检测到 C2 通信/DGA 域名 | Session Terminate / Quarantine[8] |
| 管理员手动 | 通过 ISE GUI "Live Sessions" 页面手动隔离终端 | 任意 CoA 动作 |
| ANC 策略 | Adaptive Network Control — 标记终端为 Quarantine/Shutdown | 根据 ANC 策略自动执行 |
| Guest 账户过期 | 访客账户到达预设有效期 | Session Terminate |
| Dynamic Reauthorization Scheduler | ISE 3.5 — 预设会话过期日期/时间[10] | Reauthenticate / Terminate |
ISE 的策略体系采用三层嵌套结构:Policy Set → Authentication Policy → Authorization Policy。 这种设计使得策略管理既有宏观的组织性(按场景分组), 又有微观的精确性(按条件逐规则匹配)[1]。
图:ISE 三层策略架构 — Policy Set 按场景分组,Authentication Policy 验证身份,Authorization Policy 授予权限
Wired_802.1X、Wireless_MAB、VPN 等预置条件Cisco:cisco-av-pair(如 url-redirect-acl、url-redirect、profile-name)| 条件类别 | 条件属性 | 说明 | 示例值 |
|---|---|---|---|
| 网络访问 | Network Access:EapAuthentication |
EAP 认证方式 | EAP-TLS、PEAP、TEAP |
| 网络访问 | Radius:NAS-Port-Type |
接入端口类型 | Ethernet (15)、Wireless (19)、Virtual (5) |
| 身份 | AD:ExternalGroups |
AD 组成员 | domain.com/Groups/IT-Staff |
| 终端 | EndPoints:BYODRegistration |
BYOD 注册状态 | Yes / No |
| 终端画像 | EndPoints:LogicalProfile |
Profiling 匹配结果 | Cisco-IP-Phone、Apple-Device、Windows-Workstation |
| 合规 | Session:PostureStatus |
Posture 评估结果 | Compliant、NonCompliant、Unknown、NotApplicable |
| 位置 | Device:Location |
NAD 所属位置(NDG) | All Locations > Asia > Shanghai |
| 时间 | TimeAndDate:WeekDay |
星期几 | Monday–Friday |
| SGT | Session:SecurityGroup |
已分配的安全组标签 | Employees (0005)、Contractors (0008) |
当一台终端接入网络时,从物理链路建立到最终获得授权,ISE 内部经历了一系列精密的处理步骤。 以下流水线展示了一个完整的 802.1X + Profiling + Posture 场景的端到端流程[1][3][12]:
图:ISE 策略执行完整流水线 — 从终端接入到持续监控的八步闭环流程
NAD(交换机/WLC)端的配置决定了认证流程的起点。以 IOS-XE 交换机为例,关键配置包括[1]:
! AAA 基础配置
aaa new-model
aaa group server radius ISE-GROUP
server name ISE-PSN1
server name ISE-PSN2
!
aaa authentication dot1x default group ISE-GROUP
aaa authorization network default group ISE-GROUP
aaa accounting dot1x default start-stop group ISE-GROUP
!
! 全局启用 802.1X
dot1x system-auth-control
!
! 接口配置示例
interface GigabitEthernet1/0/1
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
IOS-XE
关键参数:authentication order dot1x mab 指定先尝试 802.1X,超时后 fallback 到 MAB。
multi-auth 允许同一端口多终端独立认证(如 IP Phone + PC 串联场景)。
ISE 策略引擎在收到 RADIUS 请求后的内部处理顺序[1]:
Posture 合规检查是零信任"持续验证"的核心体现[12]。完整流程:
Session:PostureStatus=Compliant 条件重新评估授权策略 → 匹配到完全访问权限
无线漫游场景:终端在 WLC 间漫游时,Posture 状态通过 LDD(Light Data Distribution)
在 PSN 之间同步[12],避免重复评估。
cisco-av-pair:termination-action-modifier=1 确保 CoA 重认证时复用原始认证方法[12]。
认证完成后,ISE 持续监控每个活动会话[13]:
ISE 的真正价值在于落地——以下九大场景覆盖从有线/无线接入到威胁遏制的完整安全运营闭环。
authentication order dot1x mab一次性在全网启用 802.1X 强制认证风险极高。Cisco 推荐的最佳实践是三阶段渐进部署[6]:
每家企业都有访客——客户来访、合作伙伴驻场、供应商维护。他们需要网络接入,但绝不能触碰内部敏感资源。 ISE 提供完整的访客生命周期管理,从注册到过期的每一步都有安全控制[1][10]。
无需凭证,接受使用条款(AUP)即可接入。
适合:大厅公共 Wi-Fi、展会、零售门店。
权限:仅互联网,完全隔离内网。
访客通过 Portal 填写个人信息获取临时凭证。
可选 SMS/Email 验证、时间限制。
适合:中等安全需求的临时访客。
内部员工(Sponsor)通过 Sponsor Portal 为访客创建账户。
支持审批流程、自定义有效期、凭证通知。
适合:高安全环境、长期驻场合作伙伴。
员工的个人手机、平板、笔记本需要接入企业网络——但这些设备不受 IT 部门管控,安全状态无法保证。 ISE 的 BYOD 流程在不侵犯员工隐私的前提下,实现设备注册、证书下发和差异化授权[1][10]。
"你无法保护你看不见的东西。" Profiling 是 ISE 的"眼睛"——它自动发现、分类和持续监控网络中的每一台终端设备, 从企业笔记本到 IP 打印机、从医疗输液泵到工业 PLC[3][13]。
| 探针类型 | 数据来源 | 收集属性 | 部署要求 |
|---|---|---|---|
| DHCP | DHCP Request/ACK 报文 | dhcp-class-identifier、hostname、options | ip helper-address 指向 ISE 或 DHCP Relay SPAN |
| HTTP | HTTP User-Agent 头 | OS 类型、浏览器、设备型号 | 需要 URL Redirect 或 SPAN |
| RADIUS | RADIUS Accounting 报文 | Framed-IP、NAS-Port、SSID、Calling-Station-ID | NAD 启用 Accounting |
| Device Sensor | CDP/LLDP/DHCP (交换机本地解析) | 设备类型、平台、能力 | 交换机 device-sensor 启用[3] |
| SNMP Query | ISE 主动查询 NAD MIB | CDP Cache、ARP Table、Interface | ISE 3.5 增强 SNMP Scan(IoT/网络设备)[11] |
| NetFlow | 流量元数据 | 通信模式、目标端口、协议分布 | NAD 导出 NetFlow 至 ISE |
| NMAP | ISE 主动端口扫描 | 开放端口、OS 指纹、服务版本 | 仅对未知设备触发,需谨慎配置 |
| pxGrid / MFC | 外部系统或 Cisco Cloud | Cloud MFC Profiler 匹配结果[10] | ISE 3.x Cloud MFC 订阅 |
ISE 3.x 引入的机器学习功能,可以对未匹配任何已知 Profile的终端进行智能归类[3]。 基于设备的通信行为模式(通信对端、协议分布、流量模式)自动创建设备组,减少管理员手动创建 Custom Profile 的负担。
在大规模部署中,某些终端(如 IP Phone)可能每隔数秒就更新属性("chatty endpoints"),导致 PSN 过载。 ISE 3.5+ 可自动检测并抑制这些频繁更新,保护 PSN 性能[13]。 同时建议启用 Endpoint Attribute Filter / Whitelist 仅收集策略相关属性[6]。
零信任的"持续验证"不仅验证身份,还要持续检查终端的安全健康状态。 ISE Posture 服务就是企业网络的"体检中心"——只有通过体检的终端才能获得完全访问权限[12][10]。
通过 AnyConnect ISE Posture Module 进行深度检查。
支持:Windows / macOS / Linux。
可检查注册表、文件、服务、应用版本。
Stealth 模式:预装 Agent,无需用户交互[3]。
ISE 通过管理凭证远程连接终端检查。
支持:Windows(WMI/PowerShell)/ macOS(SSH)。
无需安装任何软件。
适合:临时承包商、无法安装 Agent 的设备[3]。
一次性运行的轻量 Agent(通过 Portal 下载)。
执行完毕后自动删除。
适合:BYOD 设备、访客设备的快速合规检查。
不会在设备上留存任何软件。
传统 VLAN/ACL 分段方式管理复杂、扩展困难。TrustSec 用软件定义的安全组标签(SGT)替代 IP/VLAN, 实现"基于角色的微分段"——策略跟着身份走,而不是跟着 IP 地址走[7]。
ISE 在认证/授权时为每个终端分配 SGT(16-bit 标签)。
例:Employee=SGT:5、Contractor=SGT:8、IoT-Camera=SGT:15、Server=SGT:100。
也可通过 IP-SGT Mapping 静态定义或从 ACI/vCenter 动态学习。
SGT 标签在网络中传播的两种方式:
Inline Tagging:SGT 嵌入以太帧 CMD 头(需硬件支持,如 Catalyst 9K)
SXP(SGT Exchange Protocol):IP-SGT 绑定通过 TCP 传输(适用于不支持 inline 的设备)[7]
SGACL(Security Group ACL):在出口交换机上基于 Source-SGT → Destination-SGT 矩阵执行。
ISE 集中管理 SGACL 矩阵并下发至 NAD。
也可在 FMC/Firepower 上执行 SGT-based 防火墙规则[7]。
| 源 SGT ↓ / 目标 SGT → | Server (100) | Printer (15) | Internet (999) | SCADA (200) |
|---|---|---|---|---|
| Employee (5) | Permit | Permit | Permit | Deny |
| Contractor (8) | Limited | Deny | Permit | Deny |
| IoT-Camera (15) | Limited | Deny | Deny | Deny |
| Guest (50) | Deny | Deny | Permit | Deny |
Rapid Threat Containment(RTC)是 ISE 与安全生态联动的杀手级功能—— 当威胁检测系统发现异常终端时,ISE 可在秒级内自动隔离该终端,无需人工干预[8]。
TC-NAC 是 ISE 内置的威胁情报消费引擎[10]。它可以接收来自以下来源的威胁评分/漏洞信息,并自动调整终端权限:
除了终端接入控制,ISE 还承担着网络设备自身的管理面安全。 通过 TACACS+ 协议,ISE 控制"谁可以登录交换机/路由器/WLC"以及"登录后可以执行哪些命令"[1][10]。
show *,禁止 config *! NAD TACACS+ 配置示例
aaa new-model
aaa group server tacacs+ ISE-TACACS
server name ISE-PSN1
!
aaa authentication login default group ISE-TACACS local
aaa authorization exec default group ISE-TACACS local
aaa authorization commands 15 default group ISE-TACACS local
aaa accounting commands 15 default start-stop group ISE-TACACS
IOS-XElocal 作为 fallback 身份源——当 ISE 不可达时,管理员仍可通过本地账户登录。
ISE 的价值不仅在于自身的策略引擎,更在于它作为安全上下文的"交换中心"—— 通过 pxGrid 2.0 和 REST API,ISE 将丰富的身份/设备/安全上下文共享给整个安全生态[3][8]。
| 集成目标 | 接口 | ISE → 目标(发布) | 目标 → ISE(消费/动作) |
|---|---|---|---|
| SNA (Stealthwatch) | pxGrid 2.0 | Session Context(IP-User-SGT 映射) | 异常检测 → Quarantine CoA[8] |
| FMC / Firepower | pxGrid 2.0 / SXP | SGT Mapping → Identity Firewall 规则 | IPS 告警 → RTC 隔离 |
| Cisco Duo | RADIUS Proxy | — | MFA Push 验证 → 增强认证 |
| Cisco XDR | pxGrid / API | 终端上下文、威胁评分 | 跨域关联分析 → 自动响应 Playbook |
| ServiceNow | pxGrid Direct[3] | 终端信息同步至 CMDB | CMDB 资产数据 → ISE Profiling 增强 |
| Cyber Vision | pxGrid / API | — | OT 设备资产发现 → ISE Profiling[3] |
| SD-Access (Catalyst Center) | 原生集成 | SGT / Policy 定义 | Fabric 自动化部署 → ISE 策略自动生成 |
从架构设计、性能调优到常见陷阱规避——来自数百个企业实战项目的经验结晶。
| 调优领域 | 推荐做法 | 原因与影响 |
|---|---|---|
| VM 资源预留 | CPU 和内存 100% 预留(Reservation),禁止 Overcommit[6] | ISE 实时处理 RADIUS 请求,资源竞争会导致认证超时和会话丢失 |
| VM 快照 | 严禁拍摄运行中 ISE VM 的快照 | 快照会冻结磁盘 I/O,导致数据库损坏、时钟漂移和证书问题[6] |
| Endpoint Replication | ISE 3.3+ 环境中禁用 Endpoint Replication,改用 LDD[13] | 全量终端数据库同步在大规模环境中消耗大量 PAN 和 PSN 资源;LDD 仅同步活动会话状态 |
| Profiling 优化 | 启用 Endpoint Attribute Filter / Whitelist[6] | 仅收集策略所需属性,减少 Profiling 数据库写入量 50%+ |
| RADIUS Accounting | Interim Accounting 间隔设为 ≥ 30 分钟(默认值通常过低) | 过短的 Interim 间隔会在大规模环境中产生海量无价值 Accounting 请求,消耗 PSN 和 MnT 资源 |
| AD 集成优化 | 启用 DNS 缓存(service cache enable hosts ttl 180);配置 AD Sites & Services[6] |
减少 AD 查询延迟,防止 PSN 因 AD DC 响应慢而认证超时 |
| 负载均衡 | 粘性(Persistence)基于 Calling-Station-ID,非 Source IP[6] | 同一终端的所有 RADIUS 请求(包括 CoA 回复)必须由同一 PSN 处理,否则会话状态丢失 |
| Profiler Resiliency | ISE 3.5+ 启用自动抑制 chatty endpoints[13] | 防止 IP Phone 等频繁更新属性的设备导致 Profiling Queue 溢出 |
| MnT 日志管理 | 配置日志 Purge Policy(保留天数/最大容量);外发至 SIEM | MnT 磁盘空间满会导致日志丢失和性能下降 |
现象:802.1X 认证失败,终端报"Server Certificate Not Trusted"。
根因:ISE EAP 服务器证书链不完整(缺少中间 CA)或证书已过期。
规避:① 上传完整证书链至 ISE;② 监控证书过期日期(提前 30 天告警);③ 使用 Shadow Certificate 机制零中断更换[6]。
现象:ISE GUI 报 Queue Link Error,节点间通信异常。
根因:ISE Messaging 内部证书损坏或 TCP/8671 端口被防火墙阻断[4]。
规避:① 确保节点间 8671 端口双向畅通;② 如证书损坏,重新生成 ISE Internal CA 和 Messaging Certificate。
现象:PSN 告警"Profiler Queue Size Limit Reached",终端分类延迟或丢失。
根因:大量 IoT 设备频繁更新属性(chatty endpoints)或 Accounting Interim 间隔过短[13]。
规避:① 启用 Endpoint Attribute Filter;② 增加 Accounting Interim 间隔至 ≥ 30 分钟;③ ISE 3.5+ 启用 Profiler Resiliency。
现象:802.1X 认证间歇性超时(尤其是高峰期)。
根因:ISE 到 AD DC 的 DNS 查询慢或 AD DC 过载[6]。
规避:① 启用 ISE DNS 缓存(service cache enable hosts ttl 180);② 在 AD Sites & Services 中正确配置 ISE 站点归属;③ 部署本地 AD DC(与 PSN 同网段)。
现象:Posture 通过后终端权限不变;pxGrid 隔离指令无效。
根因:NAD 未配置 CoA(aaa server radius dynamic-author),或 CoA 密钥不匹配,或防火墙阻断 UDP 1700。
规避:① 确认 NAD 上配置 dynamic-author 并指向 ISE;② 验证共享密钥一致;③ 确保 ISE → NAD 的 UDP/1700 端口畅通。
现象:新 ISE 节点无法加入部署,注册卡在"In Progress"。
根因:NTP 时间偏差 > 5 分钟、DNS 解析失败或所需端口未开放(443/12001/8671/15672/6379)[14]。
规避:① 确保 NTP 同步精确;② 验证 FQDN 正反向解析;③ 开放所有 ISE 节点间端口;④ 检查 ise-psc.log 和 ADE.log。
工业/OT 环境对网络安全有独特需求——高可靠、低时延、设备不可中断。 这些设备(PLC、SCADA、HMI、工业传感器)通常不支持 802.1X,且对网络中断零容忍。 ISE 在工业场景中的部署需要特殊考量[3]:
ISE 3.5 是一个重要的功能增强版本,带来了 IPv6、云集成、安全协议和运维工具等多方面的提升[11]:
ISE 3.5 首次支持完全单栈 IPv6部署——Portal、RADIUS、API 均可在纯 IPv6 环境下运行[11]。对于 IPv6-first 的企业和政府机构意义重大。
TACACS+ 传统上依赖共享密钥加密。3.5 引入 TLS 1.3 传输层加密, 全报文保护,适合穿越不可信网络的设备管理场景[11]。
支持 Entra ID (Azure AD) 的 EAP-TLS 和 TEAP-TLS 认证链式[11]。 Cloud-first 企业无需本地 AD 也能实现证书强认证。
新增 SNMP Scan Profiling 探针,专为 IoT 和网络基础设施设备设计[11]。 主动查询设备 MIB,收集系统描述、型号、固件版本等。
新一代硬件平台 SNS 3800 提供更强的计算能力和更大内存/存储[11], 适配超大规模部署和 AI/ML Profiling 的计算需求。
RADKit 允许 Cisco TAC 工程师在客户授权后远程安全访问 ISE 进行诊断[11], 大幅缩短 Troubleshooting 周期。
当认证出现问题时,ISE 提供了丰富的诊断手段。以下是最常用的工具和日志文件索引[4][10]:
| 日志文件 | 用途 |
|---|---|
prrt-server.log | RADIUS 引擎核心日志 |
ise-psc.log | 节点注册 & 同步[14] |
catalina.out | Application Server 启动日志[4] |
profiler.log | Profiling 引擎处理日志 |
ADE.log | 底层 ADE-OS 系统日志 |
replication.log | 数据库复制日志[14] |
collector.log | MnT 日志收集器[4] |
# 查看应用状态
show application status ise
# 验证节点注册与角色
show run | include hostname
# 检查 ISE 内部 CA 证书
show crypto certificates
# 实时查看 RADIUS 认证(debug,谨慎使用)
debug radius authentication
# DNS 缓存状态
show cache hosts
# 数据库同步状态
show sync status
# MnT 节点磁盘使用
show logging application ise-elasticsearch
ISE CLIISE 的力量在于"不是一个人在战斗"——通过 pxGrid 和 API,它成为整个安全架构的上下文枢纽。
SD-Access 是 Cisco 的基于 Intent 的网络(IBN)解决方案。 在 SDA 架构中,ISE 是不可替代的策略引擎——Catalyst Center(原 DNA Center)负责 Fabric 自动化编排, ISE 负责身份验证和 SGT 策略执行[3]。
FMC / Firepower Threat Defense (FTD) 通过订阅 ISE 的 pxGrid Session Topic, 获取 IP-User-SGT 映射,实现 Identity-Based Firewall(身份防火墙)规则[3][8]。
IF SourceSGT=Contractor AND DestSGT=FinanceServer → DenySNA(原 Stealthwatch)是 Cisco 的网络流量分析平台,扮演着"Network as a Sensor"的角色。 ISE + SNA 的组合实现了 "看见 → 分析 → 响应" 的完整闭环[8]:
Common Policy 是 ISE 的策略归一化框架——将来自不同域(Campus / Branch / DC / Cloud)、 不同维度(用户 / 设备 / 工作负载)的上下文统一归一化为 SGT, 实现"Create Once, Apply Everywhere"[9][10]。
图:Common Policy Framework — 多源上下文经 ISE 归一化为 SGT,跨域统一执行
ISE 提供多种 API 接口,支持 Infrastructure as Code(IaC)和 NetDevOps 工作流[3]:
| API 类型 | 版本支持 | 主要功能 | 使用场景 |
|---|---|---|---|
| ERS API External RESTful Services |
ISE 2.x+ | CRUD 操作:EndpointGroup、NetworkDevice、GuestUser、SGT、SGACL、AuthZ Profile 等 | 自动化终端注册、批量 NAD 导入、Guest 账户批量创建 |
| OpenAPI | ISE 3.1+[3] | 新一代 RESTful API,Swagger 文档齐全。覆盖 Policy、System Config、Node 管理等 | CI/CD Pipeline 集成、Terraform Provider、GitOps 策略版本控制 |
| MnT API | ISE 2.x+ | 查询 Session 数据、Authentication 日志、Profiler 数据 | 构建自定义 Dashboard、报告自动化、SIEM 集成 |
| pxGrid 2.0 | ISE 3.1+[3] | Pub/Sub 实时上下文共享(Session/SXP/TrustSec/Profiler Topic) | SIEM 实时 Enrichment、SOAR Playbook、自动化隔离 |
# ansible-playbook add_nad.yml
- name: Add Network Device to ISE
hosts: ise_pan
gather_facts: false
tasks:
- name: Create NAD via ERS API
cisco.ise.network_device:
ise_hostname: "{{ ise_host }}"
ise_username: "{{ ise_user }}"
ise_password: "{{ ise_pass }}"
state: present
name: "SW-Floor3-01"
ipAddress: "10.10.30.1"
sharedSecret: "{{ radius_secret }}"
profileName: "Cisco"
coaPort: 1700
networkDeviceGroup:
- "Location#All Locations#Shanghai#Building-A"
- "Device Type#All Device Types#Switch"
Ansible YAMLISE 可与 Cisco Duo 集成实现 MFA(Multi-Factor Authentication)—— 在 802.1X 或 VPN 认证时叠加 Duo Push / SMS / Token 验证,提升身份可信度。
Cisco XDR 聚合来自多个安全产品(ISE、Secure Endpoint、Umbrella、SNA 等)的遥测数据, 进行跨域关联分析和自动化响应编排。
Cyber Vision 是 Cisco 针对工业/OT 环境的资产发现与安全监控平台。 它深度解析工业协议(如 Modbus、EtherNet/IP、PROFINET), 识别 PLC、SCADA、HMI 等 OT 设备的型号、固件版本和通信行为[3]。
| 集成类别 | 产品/平台 | 接口 | 数据方向 | 核心价值 |
|---|---|---|---|---|
| 网络自动化 | Catalyst Center (SDA) | pxGrid + ERS API | 双向 | Fabric 自动化 + SGT 策略执行 |
| 防火墙 | FMC / Firepower / FTD | pxGrid + SXP | 双向 | Identity Firewall + RTC |
| 流量分析 | Secure Network Analytics | pxGrid 2.0 | 双向 | 行为异常检测 + 自动隔离[8] |
| MFA | Cisco Duo | RADIUS Proxy | ISE → Duo | 多因素认证增强 |
| XDR | Cisco XDR | pxGrid + API | 双向 | 跨域关联分析 + SOAR |
| 终端安全 | Secure Endpoint (AMP) | TC-NAC | AMP → ISE | 威胁评分 → 自动隔离 |
| 漏洞管理 | Qualys / Rapid7 / Tenable | TC-NAC | Scanner → ISE | CVSS 评分 → 策略调整 |
| OT 安全 | Cisco Cyber Vision | pxGrid + API | CV → ISE | OT 资产发现 → 增强 Profiling[3] |
| ITSM | ServiceNow | pxGrid Direct[3] | 双向 | CMDB 同步 + 终端数据 Enrichment |
| SIEM | Splunk / QRadar / Sentinel | Syslog + pxGrid | ISE → SIEM | 日志聚合 + 合规报告 |
| MDM/EMM | Intune / WS1 / JAMF | MDM API (ISE) | MDM → ISE | 设备管理状态 → 授权条件 |
| 数据中心 | ACI | pxGrid + SXP | 双向 | SGT ↔ EPG 映射,跨域微分段[9] |
重申 ISE 的战略价值,厘清许可模型,规划下一步行动——从认知到落地。
Profiling + AI/ML + pxGrid 生态让你看见网络中每一台设备
SGT 微分段 + 动态策略确保每个实体只拥有必要的最小访问权限
CoA + Posture + RTC 实现持续验证与秒级威胁响应
ISE 3.x 采用基于终端数量的分层订阅许可模型,通过 Cisco Smart Licensing 管理。 三个层级逐步解锁更高级的功能集[10]:
TACACS+ 设备管理功能需要独立许可,不包含在终端许可层级中[10]。 按 NAD 设备数量计费(而非终端数),适用于所有通过 TACACS+ 管理的路由器、交换机和 WLC。
ISE 3.x 通过 Cisco Smart Software Manager (CSSM) 进行许可管理。 支持在线直连和离线 Satellite 模式。许可为订阅制(1/3/5/7 年期), 可随时添加终端数量或升级层级。90 天评估许可可免费试用全部功能。
| 需求场景 | 推荐许可 | 理由 |
|---|---|---|
| 仅需 802.1X 认证 + 访客管理 | Essentials | 满足基本 AAA 和 Guest 需求,成本最优 |
| 需要完整终端可视性(Profiling)+ BYOD | Advantage | Profiling + BYOD + pxGrid 解锁设备可视性和生态集成 |
| 需要 TrustSec 微分段 + SD-Access | Advantage | SGT/SGACL/SXP 包含在 Advantage 层 |
| 需要终端合规检查(Posture) | Premier | Posture 仅在 Premier 层提供 |
| 需要威胁自动隔离(RTC / TC-NAC) | Premier | TC-NAC + RTC 需要 Premier 许可 |
| 需要 TACACS+ 设备管理 | Device Admin | 独立许可,可叠加在任何终端许可层之上 |
SNS 3600 / 3700 / 3800[11]
即开即用,性能确定性最高
VMware / KVM / Hyper-V / Nutanix
灵活弹性,需 100% 资源预留
AWS / Azure / OCI / OpenShift[3][10]
适合云端终端和混合架构
本文涉及的所有专业术语,中英对照,附简要解释。
| 缩写 | 英文全称 | 中文 | 简要解释 |
|---|---|---|---|
| ISE | Identity Services Engine | 身份服务引擎 | Cisco 下一代身份与访问控制策略平台,零信任架构核心 |
| AAA | Authentication, Authorization, Accounting | 认证、授权、审计 | 安全访问控制的三大基础功能 |
| RADIUS | Remote Authentication Dial-In User Service | 远程认证拨号用户服务 | AAA 协议,主要用于网络接入控制(UDP 1812/1813) |
| TACACS+ | Terminal Access Controller Access-Control System Plus | 终端访问控制器访问控制系统增强版 | AAA 协议,主要用于网络设备管理认证和命令授权(TCP 49) |
| 802.1X | IEEE 802.1X Port-Based Network Access Control | 基于端口的网络访问控制 | 有线/无线网络端口级认证标准 |
| EAP | Extensible Authentication Protocol | 可扩展认证协议 | 802.1X 使用的认证框架,支持多种方法(TLS/PEAP/TEAP 等) |
| MAB | MAC Authentication Bypass | MAC 认证旁路 | 针对不支持 802.1X 的设备,使用 MAC 地址作为认证凭证 |
| CWA | Central Web Authentication | 中央 Web 认证 | 通过重定向至 ISE Portal 进行 Web 页面认证 |
| CoA | Change of Authorization | 授权变更 | RFC 5176 — ISE 动态修改活动会话的访问权限 |
| PAN | Policy Administration Node | 策略管理节点 | ISE 集中配置管理和策略分发的核心节点 |
| MnT | Monitoring and Troubleshooting Node | 监控与诊断节点 | ISE 日志收集、报告和诊断功能节点 |
| PSN | Policy Service Node | 策略服务节点 | ISE 处理 RADIUS/TACACS+ 请求的执行引擎节点 |
| pxGrid | Platform Exchange Grid | 平台交换网格 | ISE 的双向上下文共享框架(2.0 基于 WebSocket/REST) |
| SGT | Security Group Tag (Scalable Group Tag) | 安全组标签 | TrustSec 中为终端/用户分配的 16-bit 身份标签 |
| SGACL | Security Group Access Control List | 安全组访问控制列表 | 基于 Source-SGT → Dest-SGT 矩阵的访问控制策略 |
| SXP | SGT Exchange Protocol | SGT 交换协议 | 通过 TCP 在不支持 inline tagging 的设备间传播 IP-SGT 映射 |
| dACL | Downloadable ACL | 可下载访问控制列表 | ISE 通过 RADIUS 下发至 NAD 端口的动态 ACL |
| NAD | Network Access Device | 网络接入设备 | 交换机、WLC、VPN 网关等控制终端网络接入的设备 |
| TEAP | Tunnel Extensible Authentication Protocol | 隧道可扩展认证协议 | RFC 7170 — 支持隧道内多方法链式认证 |
| LDD | Light Data Distribution | 轻量数据分发 | ISE PSN 间轻量级会话状态同步机制(替代全量 Endpoint Replication) |
| RTC | Rapid Threat Containment | 快速威胁遏制 | ISE + 安全生态联动实现秒级自动化威胁隔离 |
| TC-NAC | Threat-Centric Network Access Control | 威胁中心网络访问控制 | ISE 消费外部威胁情报(AMP/Qualys 等)自动调整终端权限 |
| ANC | Adaptive Network Control | 自适应网络控制 | ISE 端点保护策略(Quarantine/Shutdown/Port Bounce) |
| NSP | Native Supplicant Provisioning | 原生请求方配置 | ISE 为 BYOD 设备自动下发 Wi-Fi Profile 和证书 |
| SDA | Software-Defined Access | 软件定义访问 | Cisco 基于 Intent 的网络自动化解决方案 |
| SNA | Secure Network Analytics | 安全网络分析 | 原 Stealthwatch,基于 NetFlow 的行为分析与异常检测平台 |
| FMC | Firepower Management Center | Firepower 管理中心 | Cisco NGFW 集中管理平台 |
| ERS | External RESTful Services | 外部 RESTful 服务 | ISE 的 REST API 接口,用于自动化管理 |
| CSSM | Cisco Smart Software Manager | Cisco 智能软件管理器 | Cisco 统一许可管理平台 |
| MFA | Multi-Factor Authentication | 多因素认证 | 结合两种或以上认证因素(密码 + Push / Token 等)验证身份 |