WHAT: 定义与隐喻
定义: Cisco Identity Services Engine (ISE) 是新一代身份与访问控制策略平台。它超越了传统 RADIUS 服务器的范畴,是企业构建零信任 (Zero Trust) 架构的决策大脑。
隐喻 - "大楼智能安防中控":
如果将企业网络比作一座现代化大楼,ISE 就是大楼的智能安防中控中心 。它不只是门口的保安(Radius),而是掌管所有门禁卡权限、监控摄像头和报警系统的总脑。无论你是员工、访客还是 IoT 设备(摄像头),ISE 决定你能进大门(接入网络)后,具体能去哪一层、哪个房间(VLAN/SGT)。
WHY: 核心痛点与挑战
在“万物互联”且网络边界消失的时代:
1. 攻击面扩大:
2. 东西向流量威胁:
3. 静态策略失效:
零信任原则: "Never Trust, Always Verify" (永不信任,持续验证)。
HOW: 闭环策略执行能力
ISE 作为 AAA 中心,与 NAD (交换机/WLC/VPN) 联动形成闭环。
1. 收集 (Visibility)
Who (用户), What (设备), Where (位置), When (时间)
2. 决策 (Decision)
匹配认证/授权策略 (Context-Based Policy)
3. 执行 (Enforcement)
下发 VLAN, dACL, SGT (Security Group Tag)
商业价值 (Business Value)
实现全面的网络可见性 (Comprehensive Visibility)
随着 BYOD 和 IoT 设备的激增,许多组织对网络设备缺乏清晰认知。ISE 强大的设备画像 (Profiling) 功能,能自动识别和分类每一个连接终端,提供“谁、什么、何时、何地、如何”的清晰视图。这种深度可见性是实施任何有效安全策略的前提。
执行最小权限原则 (Least Privilege Access)
ISE 通过动态策略,确保用户和设备仅被授予完成工作所需的最低权限。权限不再是静态的,而是基于实时上下文(角色、设备类型、位置、合规性)动态授予。这极大地缩小了攻击面,限制了潜在威胁的活动范围。
建立持续的信任评估 (Continuous Trust Assessment)
信任并非一次性授予。ISE 不仅在接入时验证身份与合规性,还会持续监控会话状态。一旦设备姿态 (Posture) 发生变化(如杀毒软件过期)或检测到异常,ISE 可通过 CoA 动态调整权限,确保信任的持续有效性。
加速威胁遏制与响应 (Rapid Threat Containment)
ISE 与安全生态系统(如 Cisco Secure Network Analytics)深度集成。当检测到可疑流量时,可自动指示 ISE 隔离相关终端。这种自动化的闭环响应能力,能有效阻止威胁蔓延,大幅减少平均修复时间 (MTTR)。
01 / 13
Zero Trust 三大支柱
ISE 完美契合 Forrester 和 NIST 的零信任原则:
1. 显式验证 (Verify Explicitly)
始终基于所有可用数据点进行认证与授权。
ISE 映射:
多因素认证 (MFA) 集成 (Duo)
802.1X 高强认证
设备指纹识别 (Profiling)
终端安全态势 (Posture)
2. 最小权限 (Use Least Privilege)
仅授予刚好够用的访问权限 (JIT/JEA)。
ISE 映射:
动态 VLAN 下发
SGT (Security Group Tag)
基于时间的 ACL (dACL)
3. 假设被攻陷 (Assume Breach)
最小化爆炸半径,分段网络。
ISE 映射:
软件定义微分段 (TrustSec)
快速威胁遏制 (RTC)
NIST CSF 2.0 Mapping
ISE 的功能直接映射到 NIST 网络安全框架的五大核心功能。
Function
ISE Capability
Technical Implementation
IDENTIFY (识别)
资产管理 (Asset Management)
Profiling: DHCP/HTTP/NMAP 探针识别设备类型。Context: 收集用户、位置、时间信息。
PROTECT (保护)
访问控制 (Access Control)
AAA: RADIUS/TACACS+ 强认证。TrustSec: 基于 SGT 的微分段策略。Posture: 确保端点安全基线合规。
DETECT (检测)
异常行为监测
MnT (Monitoring): 实时 RADIUS 认证日志。Anomaly Detection: 检测 MAC 地址欺骗。
RESPOND (响应)
缓解与隔离
CoA (Change of Authorization): 强制踢下线或重认证。RTC (Rapid Threat Containment): 接收 FMC/Stealthwatch 警报,自动隔离中毒主机。
RECOVER (恢复)
访问恢复
Remediation: 引导不合规用户修复(如更新病毒库)后自动恢复网络权限。
02 / 13
1. PAN (Policy Administration Node)
"大脑 / 配置中心"
单一配置管理界面。
处理所有 GUI 操作并同步配置到其他节点。
负责许可证管理 (Licensing)。
最佳实践: 生产环境建议主备 (Primary/Secondary) 高可用部署。
2. MnT (Monitoring & Troubleshooting)
"眼睛 / 日志中心"
收集并关联所有节点的日志。
提供实时监控 (Live Logs) 和报表。
关键点: 硬盘 I/O 要求高,用于审计和合规追踪。
3. PSN (Policy Service Node)
"手脚 / 执行引擎"
直接处理网络设备 (NAD) 的 RADIUS/TACACS+ 请求。
做出策略决策 (Permit/Deny/VLAN/SGT)。
运行 Profiling 探针和 Posture 服务。
扩展性: 通过负载均衡器 (F5/Citrix) 进行横向扩展。
4. pxGrid (Platform Exchange Grid)
"嘴巴 / 生态枢纽"
基于 Pub/Sub 机制的高性能上下文共享总线。
与 FMC, WSA, Stealthwatch, Splunk 等第三方集成。
实现身份与上下文信息的双向交换。
分布式部署架构拓扑 (Distributed Deployment)
pxGrid Controller
Policy Service Layer (PSNs)
PSN 1
PSN 2
PSN 3
PSN 4
Load Balancer (VIP)
Switch
WLC
VPN
PSN 节点通过 RADIUS 协议服务 NAD,同时通过复制通道与 PAN/MnT 同步配置和日志。
03 / 13
AAA 模型
AAA 是网络安全的基石框架:
Authentication (认证): "你是谁?" (Who are you?) 验证用户或设备的身份凭证(密码、证书)。 Authorization (授权): "你能做什么?" (What can you do?) 基于身份下发权限(VLAN 10, dACL, SGT)。 Accounting (记账): "你做了什么?" (What did you do?) 记录会话时长、流量、计费信息,用于审计。
RADIUS vs TACACS+
特性
RADIUS (Network Access)
TACACS+ (Device Admin)
主要用途
网络接入控制 (802.1X, VPN)
设备管理 (登录交换机 CLI)
协议
UDP (1812/1813)
TCP (49)
加密
仅加密密码字段
加密整个 Payload (更安全)
架构
认证授权结合
AAA 分离 (更灵活)
802.1X 协议详解
IEEE 802.1X 是基于端口的访问控制标准,涉及三个核心角色:
Supplicant (请求者)
终端设备 (PC, 手机)
运行 802.1X 客户端软件
Authenticator (认证者)
网络接入设备 (Switch, WLC)
充当代理,透传 EAP 报文
Authentication Server (AS)
Cisco ISE
验证凭据,下发策略
协议交互流程 (EAP encapsulation)
← Switch →
ISE
RADIUS (EAP over UDP)
Switch Configuration Example (IOS-XE)
aaa new-model
aaa group server radius ISE-GROUP
server name ISE-PSN1
!
aaa authentication dot1x default group ISE-GROUP
aaa authorization network default group ISE-GROUP
aaa accounting dot1x default start-stop group ISE-GROUP
!
interface GigabitEthernet1/0/1
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
04 / 13
EAP (Extensible Authentication Protocol) 家族
EAP 是认证框架,ISE 支持多种内部认证方法:
EAP 类型
安全性
客户端证书
应用场景
EAP-TLS 最高
必须
企业资产电脑,最高安全需求。基于 PKI,双向证书验证。
PEAP (MSCHAPv2) 高
不需要
最常用。仅服务器端证书,客户端用账号密码。
EAP-FAST 高
不需要
Cisco 专有 (Tunneling),使用 PAC (Protected Access Credential)。
EAP-TTLS 中
不需要
非 Windows 环境较常用。支持 PAP/CHAP/MSCHAP。
MAB (MAC Authentication Bypass)
原理: 针对不支持 802.1X 的哑终端(打印机、摄像头、医疗设备)。交换机等到 802.1X 超时后,将设备 MAC 地址作为用户名和密码发送给 ISE。
局限性: 容易被 MAC 欺骗。建议结合 Profiling (设备画像) 策略使用(例如:必须是 MAC 地址匹配且 Profiling 结果为 "Printer" 才允许接入)。
Web Authentication (WebAuth)
用于访客或未安装客户端的场景。基于浏览器重定向。
CWA (Centralized Web Auth): 推荐模式。交换机重定向流量到 ISE 门户,ISE 处理认证。支持访客自注册、设备指纹识别、姿态评估等高级功能。LWA (Local Web Auth): 交换机托管网页(已过时,不推荐)。功能有限。
Flow: MAB Fail -> AuthZ Profile (Redirect URL + dACL) -> User hits Web -> Login -> CoA -> Full Access
CoA (Change of Authorization) - RFC 5176
ISE 向 NAD 发送指令以动态修改活动会话的属性,无需用户重新插入网线。
CoA Terminate:
强制切断连接(踢下线)。用于发现威胁、设备丢失或管理员手动操作时。
CoA Re-Auth:
保持连接但强制重新进行策略评估。用于 Posture 状态变更(如从 Non-Compliant 变为 Compliant)后升级权限。
! Switch Config required for CoA
aaa server radius dynamic-author
client server-key
port 1700 ! Cisco Default
! port 3799 ! RFC Standard
05 / 13
ISE 采用分层策略模型 (Policy Sets)。流量首先匹配顶层策略集,然后进入内部的认证和授权策略。
1. Policy Sets (策略集选择)
根据顶层条件将流量分类。例如:Wired, Wireless, VPN。
Condition: Device Type = WLC
Allowed Protocols: Default Network Access
2. Authentication Policy (认证策略)
"你是谁?" 验证身份源 (Identity Source)。
Rule Name
Condition
Identity Store
Dot1x
Wired_802.1x
AD_Join_Points
MAB
Wired_MAB
Internal Endpoints
3. Authorization Policy (授权策略)
"你能做什么?" 只有认证通过后才执行此步。自上而下匹配 (First Match Wins) 。
Rule
Conditions (If...)
Permissions (Then...) / Authorization Profile
Admin Access User_Group = "IT_Admins" AND Device_Type = "Corporate"
VLAN 10 Full_Access_DACL
Staff Access User_Group = "Employees" AND Posture = "Compliant"
VLAN 20 Internet_Only_DACL
Non-Compliant User_Group = "Employees" AND Posture != "Compliant"
Quarantine_VLAN Web_Redirection
Default Any
Deny
Authorization Profile (结果容器)
包含具体下发给网络设备的属性:
Common Tasks: VLAN, ACL, Voice Domain
Advanced: AV-Pair (url-redirect, sgt)
Matching Logic
一旦匹配到第一条规则,后续规则将被忽略。因此,具体的规则 (Specific) 放在顶部,通用的规则 (Generic) 放在底部 。
06 / 13
1
Network Access
用户连接 Wi-Fi 或插入网线。NAD 发送 RADIUS Request 到 ISE。
2
Authentication
ISE 检查身份存储 (AD/LDAP)。
3
Profiling
分析 DHCP/HTTP 探针。将设备分类为 "iPad", "Cisco-Phone" 等 Endpoint Group。
4
Authorization
结合 Who (User) + What (Profile) + Where (Location) 匹配策略规则。
5
Enforcement
ISE 发送 RADIUS Accept,携带属性 (VLAN/SGT)。设备获得访问权限。
特殊流程:Post-Auth Enforcement
Posture (Compliance):
如果授权规则要求 Posture,初始权限通常被限制为 "Redirect to Client Provisioning Portal"。Agent 扫描后,ISE 通过 CoA 升级权限。
Guest (CWA):
初始权限限制为重定向到 Guest Portal。用户登录成功后,ISE 通过 CoA 升级权限。
07 / 13
场景概述
为访客、承包商或合作伙伴提供临时的、受控的互联网访问权限。核心机制是 CWA (Centralized Web Auth) 。
常见门户类型 (Portals)
Hotspot: 仅需点击“接受条款”,无需账号密码。常见于公共 Wi-Fi。Self-Registered: 访客自行填写表单注册,可选择短信/邮件接收密码。Sponsored: 需要企业内部员工(Sponsor)批准后访客才能上网。
CWA 详细工作流
初始连接 (MAB): 访客连接 Wi-Fi,MAC 地址不在数据库中。First AuthZ: ISE 返回 MAB 成功,但下发 url-redirect 和 pre-auth ACL (允许 DNS/DHCP 和通往 ISE Portal 的流量)。Redirection: 访客打开浏览器访问任意 HTTP 网站,WLC 将其劫持并重定向到 ISE Guest Portal。Login: 访客在 Portal 输入账号密码。CoA: ISE 验证成功,向 WLC 发送 CoA (Re-Authenticate)。Final AuthZ: WLC 重新发起请求,ISE 识别出该会话已通过 Web 认证,下发最终访问权限 (Internet Only)。
关键配置点
1. WLC ACL (Pre-Auth)
config acl create flex_acl
config acl rule add flex_acl 1 permit udp any any eq 53
config acl rule add flex_acl 2 permit tcp any host eq 8443
config acl rule add flex_acl 3 deny ip any any
2. Authorization Profile
Web Redirection (CWA):
Type: Centralized
ACL: flex_acl
Value: Guest_Portal
Tip: 确保 WLC 和 ISE 之间的 HTTPS 证书受信任,否则重定向时会弹出证书警告,影响用户体验。
08 / 13
BYOD 核心价值
允许员工使用个人设备访问企业资源,同时自动完成设备配置(Wi-Fi Profile, 证书安装),无需 IT 人工干预。
NSP (Native Supplicant Provisioner): ISE 提供的工具,引导用户安装描述文件 (iOS/macOS) 或配置向导 (Android/Windows)。
单 SSID vs 双 SSID
Dual SSID (推荐):
Single SSID:
BYOD 流程 (Dual SSID 模式)
1. Connect Open SSID
员工连接名为 "BYOD-Setup" 的开放网络。
2. Login & Download
被重定向到 BYOD Portal。输入 AD 账号。ISE 生成个人数字证书。
3. Provisioning
NSP 自动配置 Wi-Fi 设置并安装证书到设备信任区。
4. EAP-TLS Connect
设备自动切换连接 "Corporate-Secure" SSID,使用证书无感认证。
My Devices Portal
ISE 提供自助服务门户,员工可以查看自己已注册的设备,并在设备丢失时标记为 "Lost" (将被加入黑名单,证书吊销)。
09 / 13
什么是 Posture?
在允许访问网络之前,检查端点的“健康状况”。
常见检查项 (Conditions):
杀毒软件是否安装/更新
Windows补丁/Hotfix
硬盘是否加密 (BitLocker)
防火墙是否开启
注册表/文件检查
USB 存储禁用
部署模式
AnyConnect (Secure Client) Agent: (推荐) 持续监控,功能最全。Temporal Agent: 临时运行,一次性检查,无需安装。Stealth Mode: 静默检查,用户无感知。
Remediation (修复)
当设备不合规时,ISE 可以自动提供修复措施:
Link: 提供下载链接更新 AV。File: 强制下发文件。WSUS: 强制触发 Windows Update。
Posture 状态流 (State Flow)
State: Unknown
初始连接
Redirect to Provisioning
→
Provisioning
Agent 扫描中...
Limited Access
→
Compliant
符合要求
CoA -> Full Access
or ↘
Non-Compliant
不合规
Remediation VLAN
10 / 13
传统 ACL vs TrustSec
传统 ACL (IP-Based): 依赖 IP 地址。网络拓扑变更导致策略失效。ACL 列表庞大难以维护。
TrustSec (Group-Based):
Classification: 用户登录时,ISE 赋予其 SGT (Security Group Tag),例如 "HR"=10, "Eng"=20。
Propagation: 网络设备在数据包中携带 SGT 标签传输。
Enforcement: 目的端设备根据 SGACL 矩阵执行策略 (Source Tag -> Dest Tag)。
SGT Exchange Protocol (SXP)
如果网络中有不支持硬件打标 (Tagging) 的旧设备,使用 SXP 协议通过 TCP 64999 传输 IP-to-SGT 映射表。
Speaker: ISE 或汇聚层交换机。
Listener: 接入层交换机或防火墙。
TrustSec Policy Matrix (策略矩阵)
策略不再是复杂的命令行列表,而是一个简单的二维矩阵。
Destination SGT
Source SGT
Servers (100)
Internet (200)
PCI_Zone (300)
IoT (400)
HR (10)
Permit
Permit
Deny
Deny
Engineer (20)
Permit SSH
Permit
Deny
Permit
Guest (99)
Deny
Permit HTTP
Deny
Deny
SGACL Example on Switch:
ip access-list role-based PERMIT_SSH
permit tcp dst eq 22
!
cts role-based permissions from 20 to 100 PERMIT_SSH
11 / 13
ISE 核心枢纽
CONTEXT EXCHANGE
pxGrid
REST API
共享: ISE 推送 "User-to-IP" 和 SGT。策略: 基于用户组写规则,而非 IP。遏制: IPS 发现攻击 -> 自动隔离终端。
上下文: 提供 "Who is IP?" 身份详情。检测: 发现数据窃取或异常流量。响应: 指示 ISE 实施 Quarantine。
设计: 图形化设计策略矩阵 (SGACL)。执行: 策略自动同步并推送到全网。保障: ISE 提供客户端连接健康数据。
MFA: 管理员登录或 VPN 接入触发 Duo。合规: 查询 Intune/Jamf。"Non-Compliant" 拒绝接入。
可视: 统一查看 ISE 用户会话数据。行动: SOC 分析师一键触发 ISE 隔离。
"通过与更广泛的生态系统集成,ISE 将网络从单纯的传输层转变为安全执行者。"
12 / 13
Executive Summary
Cisco ISE 在现代企业安全体系中扮演着不可或缺的核心角色。它早已超越了传统 NAC 的定义,演变为一个集全面可见性 、动态分段 和自动化控制 于一体的统一策略平台。通过对每一个接入网络的实体进行持续的身份验证和情景感知,ISE 将零信任的理念深植于网络的基础架构之中,是构建一个富有弹性、智能且自动化的零信任安全架构的坚实基石。
Licensing (ISE 3.0+ Tiered Model)
ISE 3.0 引入了嵌套式许可模型。高层级包含低层级所有功能。
1. Essentials
替换旧版 Base
AAA (Authentication/Authorization)
802.1X & MAB
Guest Access (Hotspot/Sponsored)
Easy Connect
TrustSec (SGT Classification only)
2. Advantage
替换旧版 Plus (包含 Essentials)
Profiling (AI/ML based)BYOD (Onboarding)Share Context via pxGrid (to FMC/SNA)
TrustSec Enforcement (SGACL)
Real-Time Communications
3. Premier
替换旧版 Apex (包含 Adv + Ess)
Posture (Compliance Checks)Threat Centric NAC (TC-NAC)MDM Integration
Deployment Options
Appliance (SNS)
SNS-3700 系列硬件服务器。适合高性能需求的本地部署。
Virtual Machine
VMware ESXi, KVM, Hyper-V, Nutanix。最灵活的部署方式。
Cloud (AWS/Azure)
通过 VMware Cloud 或 Native Cloud Installs (ISE 3.1+)。
Device Administration (TACACS+) License:
这是一个独立的附加许可证 (Add-on),用于开启 TACACS+ 设备管理功能。每个部署 (Deployment) 仅需一个,不按端点数量计费。
13 / 13