思科adobe

思科系统公司www.
cisco.
com思科身份服务引擎版本1.
4版本说明修订日期:2016年7月15日目录这些版本说明介绍了思科身份服务引擎(ISE)版本1.
4的功能、局限性和限制(警告)以及相关信息,是对产品硬件和软件版本附带的思科ISE文档的补充,涵盖以下主题:简介(第2页)部署术语、节点类型和角色(第2页)系统要求(第4页)安装思科ISE软件(第7页)升级思科ISE软件(第8页)从CiscoSecureACS迁移至思科ISE(第12页)思科ISE许可证信息(第12页)CA与思科ISE实现互通性的要求(第12页)思科ISE版本1.
4的新增功能(第13页)思科ISE版本1.
4的已知问题(第15页)思科ISE安装文件、更新和客户端资源(第15页)尚未解决和已解决的缺陷(第18页)文档更新(第21页)相关文档(第22页)2思科身份服务引擎版本1.
4版本说明简介简介思科ISE平台是一款基于情景的下一代综合访问控制解决方案.
它不仅提供经过身份验证的网络访问、分析、安全状态、自带设备(BYOD)自行激活服务(原生请求方和证书调配)、访客管理和安全组访问服务,还在一个统一物理或虚拟设备上提供监控、报告和故障排除功能.
思科ISE可以在两款具有不同性能特征的物理设备上提供,也可以作为软件在VMware服务器上运行.
您可以向部署中添加更多设备,以增强性能、可扩展性和恢复能力.
思科ISE具有支持独立式和分布式部署的可扩展架构,该架构同时提供集中配置和管理.
它还允许配置和管理不同角色和服务.
通过这一功能,您可以根据网络中的具体需求创建并应用服务,但是仍然作为一个完整且协调的系统来运行思科ISE部署.
部署术语、节点类型和角色思科ISE提供支持独立式和分布式部署的可扩展架构.
节点类型和角色思科ISE网络具有以下类型的节点:可承担以下任意角色的思科ISE节点:–管理-允许您为思科ISE执行所有管理操作.
此节点处理与诸如身份验证、授权和审核等功能有关的所有系统相关配置.
在分布式环境中,您可以有一个节点,或者最多两个运行管理角色且配置为一主一辅的节点.
如果主要管理节点出现故障,您可以手动升级辅助管理节点,也可以为管理角色配置自动故障切换.
有关配置自动故障切换的更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中的"为主要管理节点配置自动故障切换"部分.
–策略服务-提供网络访问、安全状态、自带设备(BYOD)自行激活服务(原生请求方和证书调配)、访客接入以及分析服务.
此角色评估策略并作出所有决策.
您可以让多个节点承担此角色.
通常,在分布式部署中会有多个策略服务角色.
驻留在负载均衡器后面的所有策略服务角色可以组合在一起,形成一个节点组.
如果节点组中的一个节点发生故障,组中的其他节点会处理故障节点收到的请求,从而实现高可用性.

表1思科ISE部署术语术语说明服务角色提供的特定功能,例如网络访问、分析器、安全状态、安全组访问和监控.
节点运行思科ISE软件的单个实例.
思科ISE可作为设备提供,也可以作为软件在VMware服务器上运行.
运行思科ISE软件的各个实例都叫作节点,不管这些实例是在思科ISE设备上还是在VMware服务器上运行.
角色确定节点提供的服务.
思科ISE节点可以承担以下任意或所有角色:管理、策略服务、监控和内联状态.
部署模式决定您的部署是独立式、高可用性独立式(基本双节点部署)还是分布式部署.
3思科身份服务引擎版本1.
4版本说明部署术语、节点类型和角色注分布式设置中至少有一个节点应当承担策略服务角色.
–监控-使思科ISE能够充当日志收集器,并存储网络中思科ISE节点上的所有管理和策略服务角色产生的日志消息.
此角色提供高级监控和故障排除工具,可用于有效地管理网络和资源.
承担此角色的节点会将其收集的数据汇聚并关联,以提供有意义的报告.
思科ISE最多允许存在一主一辅两个承担此角色的节点,以实现高可用性.
主要和辅助监控角色均会收集日志消息.
如果主要监控角色出现故障,辅助监控角色会自动承担起主要监控角色的职责.
注在分布式设置中,至少应有一个节点承担监控角色.
建议在独立的专用节点上配置监控角色,以便提高数据收集和报告的性能.
–pxGrid-通过CiscopxGrid方法,网络和安全设备可使用安全发布和订用机制与其他设备共享数据.
这些服务适用于在ISE外部使用以及与pxGrid连接的应用.
pxGrid服务可在网络中共享情景信息,以便识别策略并共享公共策略对象.
这有助于扩展策略管理.

内联状态节点是位于网络上的无线局域网控制器(WLC)和VPN集中器等网络接入设备后方的网守节点.
内联状态节点在用户通过身份验证并获得访问权限后实施访问策略,还会处理WLC或VPN无法应对的授权变更(CoA)请求.
思科ISE允许在一个部署中配置最多10,000个内联状态节点.
您可以将两个内联状态节点配置为故障切换对,以实现高可用性.

注内联状态节点仅用于内联状态服务,不能与其他思科ISE服务同时运行.
同样,由于其服务的专业化性质,内联状态节点无法承担任何角色.
VMware服务器系统不支持内联状态节点.
注部署中的每个思科ISE节点都可以同时承担多个角色:管理、策略服务、监控或pxGrid,而每个内联状态节点仅可作为专用网守角色运行.
您可以更改节点的角色.
有关如何在思科ISE节点上配置角色的信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中的"在分布式环境中设置思科ISE"一章.
表2分布式部署中的建议节点和角色数量节点/角色部署中的最小数量部署中的最大数量管理12(配置为高可用性对)监控器12(配置为高可用性对)策略服务12-当管理/监控/策略服务角色配置于相同的主要/辅助设备上时5-当管理和监控角色配置于相同的设备上时40-当每个角色配置于专用设备上时pxGrid02(配置为高可用性对)内联状态010000个,以便每个部署支持尽可能多的网络接入设备(NAD)4思科身份服务引擎版本1.
4版本说明系统要求系统要求支持的硬件(第4页)支持的虚拟环境(第6页)支持的浏览器(第6页)支持的硬件和代理(第6页)支持的防病毒和反间谍软件产品(第7页)注有关思科ISE硬件平台和安装的更多信息,请参阅《思科身份服务引擎版本1.
4硬件安装指南》.
支持的硬件思科ISE软件与设备或安装映像文件一同提供.
以下平台附带思科ISE版本1.
4.
安装后,您可以为思科ISE配置指定的组件角色(管理、策略服务、监控以及pxGrid),或者在表3所列平台中将其配置为内联状态节点.
表3支持的硬件和角色硬件平台角色配置CiscoSNS-3415-K9(小型)任意CiscoUCS1C220M3单插槽英特尔E5-26092.
4-GHzCPU,共4个内核,4个线程16-GBRAM1个600-GB磁盘嵌入式软件RAID04GE网络接口CiscoSNS-3495-K92(大型)管理策略服务监控器pxGridCiscoUCSC220M3双插槽英特尔E5-26092.
4-GHzCPU,共8个内核,8个线程32-GBRAM2个600-GB磁盘RAID0+14GE网络接口思科ISE-3315-K9(小型)3任意1个至强2.
66-GHz四核处理器4GBRAM2个250GBSATA4HDD54个1GBNIC65思科身份服务引擎版本1.
4版本说明系统要求如果您是从思科安全访问控制系统(ACS)或思科NAC设备迁移至思科ISE,请注意思科NAC3315设备支持小型部署,思科NAC3355设备支持中型部署,而思科NAC3395设备支持大型部署.
CiscoSecureACS34xx以及思科NAC34xx系列设备也支持思科ISE.
思科ISE-3355-K9(中型)任意1个Nehalem2.
0-GHz四核处理器4GBRAM2个300GB2.
5英寸SATAHDDRAID7(禁用)4个1GBNIC冗余交流电源思科ISE-3395-K9(大型)任意2个Nehalem2.
0-GHz四核处理器4GBRAM4个300GB2.
5英寸SASIIHDDRAID14个1GBNIC冗余交流电源思科ISE-VM-K9(VMware)独立式管理、监控、策略服务和pxGrid服务(无内联状态)有关CPU和内存建议,请参阅《思科身份服务引擎版本1.
4硬件安装指南》中的"关于确定VMware设备规格的建议"部分.
8有关硬盘大小的建议,请参阅《思科身份服务引擎版本1.
4硬件安装指南》中的"硬盘空间要求"部分.
NIC-需要1GBNIC接口卡(最多可安装4个NIC).
支持的VMware版本包括:–ESXi5.
x1.
CiscoUnifiedComputingSystem(UCS)2.
内联状态是32位系统,不支持对称多处理(SMP).
因此,其不适用于SNS-3495平台.
3.
在思科ISE3315中,在启用内部CA时运行自带设备(BYOD)可能导致节点不同步.
4.
SATA=串行高级技术5.
HDD=硬盘驱动器6.
NIC=网络接口卡7.
RAID=独立磁盘冗余阵列8.
任何VMware设备配置均不支持分配小于4GB的内存.
如果出现思科ISE行为问题,请所有用户首先尝试分配至少4GB的内存,然后再向思科技术支持中心提交支持请求.
表3支持的硬件和角色(续)硬件平台角色配置6思科身份服务引擎版本1.
4版本说明系统要求支持的虚拟环境思科ISE支持以下VMware服务器和客户端:适用于ESXi5.
x的VMware版本8(标配)适用于ESXi6.
0的VMware版本11(标配,需要安装思科ISE1.
4补丁3)支持的浏览器思科ISE版本1.
4的管理用户界面支持通过以下支持HTTPS的浏览器使用Web界面:MozillaFirefox版本31.
xESR、36.
x和37.
xMicrosoftInternetExplorer10.
x和11.
x运行客户端浏览器的系统必须安装AdobeFlashPlayer11.
1.
0.
0或更高版本.
查看管理门户及实现更佳用户体验所需的最低屏幕分辨率为1280x800像素.
支持的硬件和代理有关支持的设备、浏览器及代理的信息,请参阅思科身份服务引擎网络组件兼容性.

思科NAC代理互通性思科NAC代理版本4.
9.
4.
3及更高版本可用于思科网络准入控制设备版本4.
9(1)、4.
9(3)、4.
9(4)和思科ISE版本1.
1.
3补丁11、1.
1.
4补丁11、1.
2.
0、1.
2.
1、1.
3以及1.
4.
在用户需要在ISE和NAC部署之间漫游的环境中部署NAC代理时,建议使用上述型号.
注思科NAC代理版本4.
9.
5.
8和Web代理版本4.
9.
5.
4支持Windows10.
合规性模块版本3.
6.
10120.
2支持Windows10.
支持MicrosoftInternetExplorer11.
不支持适用于Windows10的MicrosoftEdge浏览器.
思科网络准入控制设备和思科NAC代理软件已宣布终止销售(EoS)/寿命终止(EoL).
有关详细信息,请访问以下链接参阅EoS/EoL通知:http://www.
cisco.
com/c/en/us/products/security/nac-appliance-clean-access/eos-eol-notice-listing.
html支持MicrosoftActiveDirectory思科ISE版本1.
4在所有功能级别均支持MicrosoftActiveDirectory服务器2003、2008、2008R2、2012以及2012R2.
思科ISE不支持MicrosoftActiveDirectory版本2000或其功能级别.
此外,思科ISE1.
4支持与ActiveDirectory基础设施的多林/多域集成,以在大型企业网中支持身份验证和属性集合.
思科ISE1.
4支持最多50个域连接点.
7思科身份服务引擎版本1.
4版本说明安装思科ISE软件支持的防病毒和反间谍软件产品有关思科NAC代理及思科NACWeb代理支持的特定防病毒和反间谍软件产品的详细信息,请参阅以下链接:http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-release-notes-list.
html思科NACWeb代理还具有静态合规性模块,这些模块在升级Web代理后方可升级.
下表列出的是Web代理版本和兼容的合规性模块版本.
安装思科ISE软件要在思科SNS-3415和SNS-3495硬件平台上安装思科ISE版本1.
4软件,请启动新设备,并配置思科集成管理控制器(CIMC).
随后,您即可使用CIMC或可引导USB通过网络安装思科ISE版本1.
4.
注若使用虚拟机(VM),我们建议先使用NTP服务器正确设置访客VM的时间,然后才在VM上安装.
ISO映像.
根据《思科身份服务引擎版本1.
4硬件安装指南》中的相关说明,对思科ISE进行初始配置.
运行安装程序之前,请确保您已了解表5中列出的配置参数.
表4Web代理及合规性模块版本思科NACWeb代理版本合规性模块版本4.
9.
5.
33.
6.
9845.
24.
9.
5.
23.
6.
9186.
24.
9.
4.
33.
6.
8194.
24.
9.
0.
10073.
5.
5980.
24.
9.
0.
10053.
5.
5980.
2表5思科ISE网络安装配置参数提示说明示例Hostname不得超过19个字符.
有效字符包括字母数字(A–Z、a–z、0–9)和连字符(-).
第一个字符必须是字母.
isebeta1(eth0)Ethernetinterfaceaddress必须是千兆以太网0(eth0)接口的有效IPv4地址.
10.
12.
13.
14Netmask必须是有效的IPv4网络掩码.
255.
255.
255.
0Defaultgateway必须是默认网关的有效IPv4地址.
10.
12.
13.
1DNSdomainname不能是IP地址.
有效字符包括ASCII字符、任意数字、连字符(-)和句点(.
).
mycompany.
comPrimarynameserver必须是主要域名服务器的有效IPv4地址.
10.
15.
20.
258思科身份服务引擎版本1.
4版本说明升级思科ISE软件注有关配置和管理思科ISE的更多信息,请参阅版本特定文档(第22页),以查看思科ISE文档集中的其他文档.
升级思科ISE软件思科身份服务引擎(ISE)仅支持从CLI升级.
支持的升级路径包括:思科ISE版本1.
2补丁14或更高版本思科ISE版本1.
2.
1补丁5或更高版本思科ISE版本1.
3或更高版本下表列出的是思科ISE版本,以及您需要执行什么操作才能从相应版本升级至思科ISE版本1.
4:Add/Editanothernameserver必须是其他域名服务器的有效IPv4地址.
(可选)允许您配置多个域名服务器.
为此,请输入y以继续.
PrimaryNTPserver必须是网络时间协议(NTP)服务器的有效IPv4地址或主机名.
clock.
nist.
govAdd/EditanotherNTPserver必须是有效的NTP域.
(可选)允许您配置多个NTP服务器.
为此,请输入y以继续.
SystemTimeZone必须是有效时区.
有关详细信息,请参阅《思科身份服务引擎版本1.
4CLI参考指南》,该指南中提供有思科ISE支持的时区列表.
例如,对于太平洋夏季时间(PST),系统时区为PST8PDT(或协调世界时[UTC]减8小时).
参照的时区均为最常用的时区.
您可以从思科ISECLI运行showtimezones命令,获取受支持时区的完整列表.
注我们建议您将所有思科ISE节点都设置为UTC时区.
此设置可确保来自部署中各种节点的报告、日志和安全状态代理日志文件始终与时间戳同步.
UTC(默认值)Username标识用于对思科ISE系统进行CLI访问的管理用户名.
如果选择不使用默认值(admin),则必须创建新用户名.
用户名的长度必须为三至八个字符,并且由有效的字母数字字符(A–Z、a–z或0–9)组成.
admin(默认值)Password标识用于对思科ISE系统进行CLI访问的管理密码.
您必须创建此密码(无默认值).
密码长度必须至少为六个字符,并且至少包含一个小写字母(a–z)、一个大写字母(A–Z)和一个数字(0–9).
MyIseYPass2表5思科ISE网络安装配置参数(续)提示说明示例9思科身份服务引擎版本1.
4版本说明升级思科ISE软件遵循《思科身份服务引擎版本1.
4升级指南》中的升级说明,将产品升级至思科ISE版本1.
4.
注升级至思科ISE版本1.
4后,您可能需要打开之前版本的思科ISE中未使用的网络端口.
有关详细信息,请参阅思科身份服务引擎硬件安装指南,版本1.
4中的"思科SNS-3400系列设备端口参考"部分.
升级注意事项和要求在升级至思科ISE版本1.
4之前,请阅读以下部分:ISE控制面板中关于补丁安装的冲突警报(第10页)思科ISE1.
4中的iPEP支持(第10页)必须开放用于通信的防火墙端口(第10页)VMware操作系统将更换为RHEL6(64位)(第10页)管理员用户在升级后无法访问ISE登录页面(第11页)将思科ISE重新加入ActiveDirectory(第11页)表6思科ISE1.
4升级路线图思科ISE版本升级路径思科ISE版本1.
0或1.
0.
x1.
升级至思科ISE版本1.
1.
0.
2.
应用最新的思科ISE版本1.
1.
0补丁.
3.
升级至思科ISE版本1.
2.
4.
升级至思科ISE版本1.
3.
5.
升级至思科ISE版本1.
4.
思科ISE版本1.
11.
应用最新的思科ISE版本1.
1.
0补丁.
2.
升级至思科ISE版本1.
2.
3.
升级至思科ISE版本1.
3.
4.
升级至思科ISE版本1.
4.
思科ISE版本1.
1.
x1.
应用最新的思科ISE版本1.
1.
x补丁.
2.
升级至思科ISE版本1.
2.
3.
升级至思科ISE版本1.
3.
4.
升级至思科ISE版本1.
4.
思科ISE版本1.
21.
应用最新的思科ISE版本1.
2补丁.
2.
升级至思科ISE版本1.
4.
思科ISE版本1.
2.
11.
应用最新的思科ISE版本1.
2.
1补丁.
2.
升级至思科ISE版本1.
4.
思科ISE版本1.
3升级至思科ISE版本1.
4.
10思科身份服务引擎版本1.
4版本说明升级思科ISE软件发起人登录失败(第11页)为新的访客类型更新授权策略(第11页)对UCS和IBM设备的网络接口卡(NIC)进行排序(第11页)其他已知升级注意事项和问题(第11页)ISE控制面板中关于补丁安装的冲突警报在向若干辅助PSN节点应用补丁时,PSN可能显示补丁应用失败,但随后很快又应用成功.
PAN应用补丁后,会将补丁传播给辅助节点.
如果出现网络迟延或服务器问题,PAN可能会认为PSN未成功应用补丁,并报告错误,即便PSN当时仍在应用补丁.
若发生此现象,请再等待15分钟,然后再次检查"补丁管理"(PatchManagement)页面.
思科ISE1.
4中的iPEP支持使用随版本1.
4一同提供的思科ISE1.
2.
1版IPN,可将思科ISE版本1.
4安装在iPEP节点上.
必须开放用于通信的防火墙端口思科ISE版本1.
4中的复制端口已发生变化.
如果您在主要管理节点与任何其他节点之间部署了防火墙,则在升级至版本1.
4之前必须开放以下端口:TCP1521-用于主管理节点与监控节点之间的通信.
TCP443-用于主管理节点与所有其他辅助节点之间的通信.
TCP12001-用于全球群集复制.
TCP7800和7802-(仅在节点组中包含策略服务节点时适用)用于PSN组群集.
有关思科ISE版本1.
4使用的端口的完整列表,请参阅思科SNS-3400系列设备端口参考.
VMware操作系统将更换为RHEL6(64位)思科ISE版本1.
4具有64位架构.
若思科ISE节点在虚拟机上运行,请确保虚拟机的硬件与64位系统兼容:注在进行相应更改前,您必须关闭虚拟机,并在完成更改后再启动虚拟机.
确保选择Linux作为访客操作系统,而版本则应选择RedHatEnterpriseLinux6(64位).
有关更多信息,请参阅http://kb.
vmware.
com/selfservice/microsites/search.
dolanguage=en_US&cmd=displayKC&externalId=1005870.
11思科身份服务引擎版本1.
4版本说明升级思科ISE软件管理员用户在升级后无法访问ISE登录页面如果在升级前为思科ISE的管理访问启用了基于证书的身份验证(管理[Administration]>管理员访问[AdminAccess]),并使用ActiveDirectory作为您的身份源,则升级后您将无法启动ISE登录页面,这是因为升级期间会丢失与ActiveDirectory的连接.
解决方法从思科ISECLI使用下列命令以安全模式启动ISE应用:applicationstartisesafe该命令可在安全模式下启动思科ISE节点,并且您可以使用内部管理员用户凭证登录ISEGUI.
登录后,您可以将ISE连接至ActiveDirectory.
将思科ISE重新加入ActiveDirectory如果使用ActiveDirectory作为外部身份源,请确保您拥有ActiveDirectory凭证.
升级后,可能会丢失ActiveDirectory连接.
如果发生此问题,您必须将思科ISE重新加入ActiveDirectory.
重新加入后,请执行外部身份源调用流程以确保连接.
发起人登录失败升级流程并不会迁移所有发起人组.
在访客角色的创建中未使用的发起人组不会被迁移.
由于此变更,升级到版本1.
4后,部分发起人(内部数据库或ActiveDirectory用户)可能无法登录.
请检查发起人组映射,查看哪些发起人无法登录发起人门户,然后将他们映射到适当的发起人组.

为新的访客类型更新授权策略升级至思科ISE1.
4后,创建的新访客类型与升级后的授权策略不匹配.
您需确保根据新的访客类型更新授权策略.
对UCS和IBM设备的网络接口卡(NIC)进行排序网络接口卡(NIC)与思科UCSSNS3415和思科UCSSNS3495以及IBM思科ISE3315设备连接的顺序可能会对升级到ISE1.
4有所影响.
您应确保执行升级前的检查,然后再对NIC进行排序.
对UCS和IBM设备的NIC进行升级前检查,确保UCS设备上的英特尔NIC使用端口eth0和eth1,以及IBM设备上的BroadcomNIC使用端口eth2和eth3.
请参阅《思科身份服务引擎版本1.
4升级指南》中的"对UCS和IBM设备的网络接口卡(NIC)进行排序"部分.
其他已知升级注意事项和问题有关其他已知升级注意事项和问题,请参阅《思科身份服务引擎版本1.
4升级指南》.
12思科身份服务引擎版本1.
4版本说明从CiscoSecureACS迁移至思科ISE从CiscoSecureACS迁移至思科ISE您仅可以从CiscoSecureACS版本5.
5和5.
6迁移至思科ISE版本1.
4.
在尝试迁移至思科ISE版本1.
4之前,您必须将CiscoSecureACS部署升级至版本5.
5或5.
6.
思科ISE并不对ACS5.
5/5.
6中可用的所有功能提供全奇偶校验,特别是策略.
迁移后,您可能会发现现有数据类型和元素在新思科ISE环境中的显示方式有所不同.
我们建议您使用迁移工具从ACS迁移特定对象(例如网络设备、内部用户和身份存储区定义).
迁移完成后,您可以手动定义适用于思科ISE的相关功能的策略.
有关从CiscoSecureACS5.
5/5.
6数据库迁移至思科ISE版本1.
4的完整说明,请参阅《思科身份服务引擎版本1.
4迁移工具指南》.
思科ISE许可证信息思科ISE许可提供管理应用功能和访问权限的功能,例如,可以使用思科ISE网络资源的并发终端的数量.
许可证仅适用于无线及VPN,或在LAN部署中仅适用于有线.
许可证通过各种软件包提供,例如Base、Plus、PlusAC、Apex、ApexAC、Mobility以及MobilityUpgrade.
所有思科ISE设备均附带一个90天的Evaluation许可证.
要在90天的Evaluation许可证到期后继续使用思科ISE服务,并且要在网络上支持超过100个并发终端,必须根据系统上的并发用户数量获取和注册Base许可证.
如果需要附加功能,则需要Plus和/或Apex许可证才能启用该功能.
有关思科ISE许可证类型以及如何获取许可证的信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中的"思科ISE许可证"部分.
思科ISE版本1.
4支持带两个UID的许可证.
您可以根据主要和辅助管理节点的UID获取许可证.
有关思科ISE版本1.
4许可证的更多信息,请参阅思科身份服务引擎许可说明.
CA与思科ISE实现互通性的要求配合思科ISE使用CA服务器时,请确保满足以下要求:密钥大小应为1024、2048或更高.
在CA服务器中,密钥大小使用证书模板定义.
您可以使用请求方配置文件在思科ISE上定义密钥大小.
密钥使用应允许在扩展中应用签名和加密.
通过SCEP协议使用GetCACapabilities时,应支持加密算法和请求散列.
建议使用RSA+SHA1.
支持在线证书状态协议(OCSP).
虽然这在自带设备(BYOD)中并不会直接使用,但是可以使用能充当OCSP服务器的CA来撤销证书.
13思科身份服务引擎版本1.
4版本说明思科ISE版本1.
4的新增功能思科ISE版本1.
4的新增功能思科ISE版本1.
4提供以下功能和服务.
有关更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》.
访客(第13页)证书管理(第13页)分析器(第13页)将SAMLv2身份提供程序作为外部身份源(第14页)管理(第14页)MDM(第14页)FIPS(第14页)补丁(第14页)终端和AnyConnect(第15页)访客访客定期接受AUP-您可以创建授权规则,要求访客用户在经过特定小时数后接受AUP,以让会话保持打开.
访客最大会话数-限制一名访客用户可打开的并发会话数,这可在"访客类型"(GuestType)中配置.
SAML-可使用SAML服务器对访客用户进行身份验证.
发起人门户-发起人现在可以在编辑现有访客用户帐户时更改访客类型.
访客类型-对访客类型的更改(自定义字段除外)现在将应用至现有访客帐户.
证书管理这一版本的思科ISE提供以下与证书相关的增强功能:您现在可以创建通用证书签名请求,并指定在稍后使用.
您可以通过编辑证书,指定在绑定时使用或者稍后使用.
从管理员门户编辑通配符证书时,更改将被复制到部署中的所有节点上.

您现在可以从管理员门户删除不再需要的系统证书.
您现在可以将默认门户证书组标签重新分配至CA签名的证书.
您还可以通过"系统证书"(SystemCertificates)页面查看使用该标签的门户列表.
分析器"分析器源"(ProfilerFeed)按钮-"分析器源"(ProfilerFeed)页面已添加了一个测试按钮,用于测试与思科源服务器的连接.
14思科身份服务引擎版本1.
4版本说明思科ISE版本1.
4的新增功能将SAMLv2身份提供程序作为外部身份源思科ISE支持以下门户的SAML单点登录(SSO):访客门户(发起人管理或自助注册)发起人门户我的设备门户身份提供者存储并验证用户凭证,并生成SAML响应以允许用户访问门户.
无需输入不同的用户名和密码组合,降低了密码管理难度.
注在ISE1.
4中,只有Oracle访问管理器(OAM)和Oracle身份联合(OIF)支持SAMLSSO功能.
管理思科ISE支持管理角色的自动故障切换.
要启用自动故障切换功能,分布式设置中至少有两个节点应承担管理角色,一个节点应承担非管理角色.
如果主管理节点(PAN)关闭,则会启动辅助管理节点的自动升级.
为此,系统将非管理辅助节点指定为每个管理节点的运行状况检查节点.
运行状况检查节点按配置的时间间隔检查PAN的运行状况.
如果收到的关于PAN运行状况的运行状况检查响应由于PAN关闭或无法访问而不理想,则运行状况检查节点会启动辅助管理节点升级,从而在等待已配置的阈值对应的时间后接管主角色.
在辅助管理节点进行自动故障切换后,有些功能不可用.
思科ISE不支持回退到原始PAN.
MDM思科ISE1.
4允许您在网络上运行多个活动MDM服务器,包括来自不同供应商的MDM服务器.
您可以根据位置或设备类型等设备因素,将不同的终端路由到不同的MDM服务器.
您可以为网络上的每个MDM服务器设置一个MDM门户.
思科ISE1.
4还支持通过MDM让设备通过VPN访问网络,但需要借助AnyConnect和思科ASA9.
3.
2或更高版本.
思科ISE1.
4现在支持Meraki提供的MDM服务器.
FIPSFIPS模式支持-这一版本的思科ISE兼容FIPS.
思科身份服务引擎产品使用经过FIPS140-2验证的嵌入式加密模块-思科通用加密模块(证书编号1643和2100).
有关FIPS合规性要求的详细信息,请参阅FIPS合规性证书.
补丁思科ISE支持状态补丁管理和补丁修复功能,以便您主动管理软件补丁.
您可以使用OpswatOESIS库来检测和修复补丁管理应用,从而为WindowsOS和MacOSX添加补丁管理合规性检查和修复支持.
您可以为供应商支持的各种产品选择安装、"启用"(Enabled)和"最新"(UptoDate)属性.
通过状态补丁管理修复功能,您可以启用补丁管理软件、安装缺失补丁或在终端上激活补丁管理软件GUI.
补丁管理和补丁修复功能受众多供应商支持,包括MicrosoftWindowsServerUpdateServices(WSUS)、SystemManagementServer(SMS)和SystemCenterConfigurationManager(SCCM)服务器.
15思科身份服务引擎版本1.
4版本说明思科ISE版本1.
4的已知问题终端和AnyConnectSOURCEfire的高级恶意软件防护(AMP)可在发生攻击事件之前、之中以及之后为终端软件提供全方位的保护.
它可提供您所需的可视性与可控性,帮助阻止未被其他安全层发现的高级威胁.

您应从SOURCEfire门户下载此软件,以便将AMPEnabler配置文件添加到思科ISE的客户端调配资源中.
您必须下载两个映像,即,为WindowsOS的终端软件下载AMP的可再分发版本,为MacOSX的终端软件下载AMP.
已下载的软件托管在一台可从企业网络访问的服务器上.
AnyConnectAMPEnabler模块使用URL将文件下载到终端上.
思科ISE版本1.
4的已知问题LDAP导入的访客帐户无法从版本1.
2升级(第15页)LDAP发起人创建的访客用户在从版本1.
2升级后不可见(第15页)LDAP导入的访客帐户无法从版本1.
2升级在升级到1.
3、1.
4、2.
0或2.
1期间,无法迁移由通过LDAP身份验证的发起人在版本1.
2中导入的访客.
LDAP发起人创建的访客用户在从版本1.
2升级后不可见从版本1.
2升级到1.
3、1.
4、2.
0或2.
1时,由通过LDAP身份验证的发起人创建的访客仅对直接发起人可见.
相同发起人组中的其他发起人将看不到这些访客.
思科ISE安装文件、更新和客户端资源您可以使用以下三种资源下载文件,为思科ISE调配和提供策略服务:从"下载软件"(DownloadSoftware)中心获取思科ISE下载文件(第15页)思科ISE实时更新(第16页)思科ISE离线更新(第17页)从"下载软件"(DownloadSoftware)中心获取思科ISE下载文件除新装思科ISE所需的.
ISO安装软件包之外(请参阅安装思科ISE软件(第7页)的说明),您还可以通过"下载软件"(DownloadSoftware)网页获取其他思科ISE软件元素,例如Windows和MacOSX代理安装程序以及AV/AS合规性模块.
下载的代理文件可用于在支持的终端中执行手动安装,也可通过第三方软件分发软件包进行大规模部署.
16思科身份服务引擎版本1.
4版本说明思科ISE安装文件、更新和客户端资源要访问思科"下载软件"(DownloadSoftware)中心并下载必要的软件:步骤1转到"下载软件"(DownloadSoftware)网页:http://www.
cisco.
com/cisco/software/navigator.
htmla=a&i=rpm.
您可能需要提供登录凭证.

步骤2依次转到产品(Products)>安全性(Security)>访问控制和策略(AccessControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware).
从以下思科ISE安装程序和可供下载的软件包中进行选择:思科ISE安装程序.
ISO映像适用于Windows和MacOSX原生请求方的请求方调配向导Windows客户机代理安装文件(包括用于执行动手调配的MST和MSI版本)MacOSX客户机代理安装文件AnyConnect代理安装文件AV/AS合规性模块步骤3点击下载(Download)或加入购物车(AddtoCart).
思科ISE实时更新通过思科ISE实时更新位置,您能够让系统自动下载请求方调配向导、适用于Windows和MacOSX的思科NAC代理、AV/AS支持(合规性模块)以及支持客户端调配和状态策略服务的代理安装程序包.
您应于初次部署时在思科ISE中配置这些实时更新门户,以便直接从Cisco.
com为思科ISE设备获取最新的客户端调配和状态软件.
前提条件:如果无法访问默认的更新源URL,且您的网络要求使用代理服务器,您可能需要在管理(Administration)>系统(System)>设置(Settings)>代理(Proxy)中配置代理设置,然后才能访问实时更新位置.
如果启用了代理设置以便访问分析器和状态/客户端调配源,则与MDM服务器的连接可能被中断,因为思科ISE无法为MDM通信绕过代理服务.
为解决此问题,您可以将代理服务配置为允许与MDM服务器通信.
有关代理设置的更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中"管理思科ISE"一章的"在思科ISE中指定代理设置"部分.
客户端调配和状态实时更新门户:客户端调配门户-https://www.
cisco.
com/web/secure/pmbu/provisioning-update.
xml此URL提供以下软件元素:–适用于Windows和MacOSX原生请求方的请求方调配向导–Windows版最新思科ISE永久代理和临时代理–MacOSX版最新思科ISE永久代理–ActiveX和Java小应用程序的安装程序帮助工具–AV/AS合规性模块文件有关自动为思科ISE下载此门户提供的软件包的更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中"配置客户端调配"一章的"自动下载客户端调配资源"部分.

17思科身份服务引擎版本1.
4版本说明思科ISE安装文件、更新和客户端资源状态门户-https://www.
cisco.
com/web/secure/pmbu/posture-update.
xml此URL提供以下软件元素:–思科预定义的检查和规则–Windows和MacOSXAV/AS支持图表–思科ISE操作系统支持有关自动为思科ISE下载此门户提供的软件包的更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中"配置客户端状态策略"一章的"自动下载状态更新"部分.

如果不启用上述自动下载功能,您可以选择离线下载更新.
请参阅思科ISE离线更新(第17页).
思科ISE离线更新通过思科ISE离线更新,您可以手动下载请求方调配向导、代理、AV/AS支持、合规性模块以及支持客户端调配和状态策略服务的代理安装程序包.
通过这一选项,您可以在无法从思科ISE设备通过互联网直接访问Cisco.
com或者安全性策略不允许通过互联网直接访问该网站时,上传客户端调配和状态更新.
离线更新不适用于分析器源服务.
要上传离线客户端调配资源,请完成以下步骤:步骤1转到"下载软件"(DownloadSoftware)网页:http://www.
cisco.
com/cisco/software/navigator.
htmla=a&i=rpm.
您可能需要提供登录凭证.

步骤2依次转到产品(Products)>安全性(Security)>访问控制和策略(AccessControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware).
从以下可供下载的离线安装程序包中进行选择:win_spw--isebundle.
zip-适用于Windows的离线SPW安装程序包mac-spw-.
zip-适用于MacOSX的离线SPW安装程序包compliancemodule--isebundle.
zip-离线合规性模块安装程序包macagent--isebundle.
zip-离线Mac代理安装程序包nacagent--isebundle.
zip-离线NAC代理安装程序包webagent--isebundle.
zip-离线Web代理安装程序包步骤3点击下载(Download)或加入购物车(AddtoCart).
有关向思科ISE添加已下载的安装程序包的更多信息,请参阅《思科身份服务引擎版本1.
4管理员指南》中"配置客户端调配"一章的"从本地机器添加客户端调配资源"部分.

您可以使用状态更新,以离线方式通过本地系统上的存档为Windows和Macintosh操作系统更新检查、操作系统信息以及防病毒和反间谍软件支持图表.
要进行离线更新,您需要确保存档文件版本与配置文件中的版本一致.
您可以在已配置思科ISE且想要为状态策略服务启用动态更新时使用离线状态更新.
18思科身份服务引擎版本1.
4版本说明尚未解决和已解决的缺陷要上传离线状态更新,请完成以下步骤:步骤1转至https://www.
cisco.
com/web/secure/pmbu/posture-offline.
html.
将posture-offline.
zip文件保存到本地系统.
此文件用于为Windows和Macintosh操作系统更新操作系统信息、检查、规则以及防病毒和反间谍软件支持图表.
步骤2访问思科ISE管理员用户界面,然后依次选择管理(Administration)>系统(System)>设置(Settings)>状态(Posture).
步骤3点击箭头以查看状态设置.
步骤4选择更新(Updates).
系统将显示"状态更新"(PostureUpdates)页面.
步骤5从"状态更新"(PostureUpdates)页面,选择离线(Offline)选项.
步骤6从"待更新文件"(Filetoupdate)字段,点击浏览(Browse),以从您的系统的本地文件夹中找到单个存档文件(posture-offline.
zip).
注"待更新文件"(Filetoupdate)字段是必填字段.
您仅可选择包含相应文件的单个存档文件(.
zip).
不支持.
zip之外的其他存档文件,例如.
tar和.
gz.
步骤7点击现在更新(UpdateNow)按钮.
更新后,"状态更新"(PostureUpdates)页面的"更新信息"(UpdateInformation)下将显示当前思科更新版本的信息.
尚未解决和已解决的缺陷可通过思科缺陷搜索工具查看这一版本中尚未解决和已解决的缺陷.
通过这一基于Web的工具,您可以访问思科缺陷追踪系统,其中记录了关于此本产品和其他思科硬件及软件产品的缺陷和漏洞信息.
注您必须拥有Cisco.
com帐户才能登录并访问思科缺陷搜索工具.
如果您还没有此帐户,请注册一个帐户.
有关思科缺陷搜索工具的更多信息,请参阅"缺陷搜索工具帮助和常见问题解答"(BugSearchToolHelp&FAQ).
思科ISE版本1.
4.
0.
253-累积性补丁7中已解决的问题表7中列出的是思科身份服务引擎版本1.
4.
0.
253累积性补丁7中已解决的问题.
要为思科ISE版本1.
4获取必要的补丁文件以应用补丁,请登录思科"下载软件"(DownloadSoftware)网站(http://www.
cisco.
com/cisco/software/navigator.
htmla=a&i=rpm)(您可能需要提供Cisco.
com登录凭证),依次转到安全性(Security)>访问控制和策略(AccessControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后将一份补丁文件副本保存到本地计算机中.
补丁7可能不兼容较低版本的SPW,用户需要升级SPW.
19思科身份服务引擎版本1.
4版本说明尚未解决和已解决的缺陷然后参阅《思科身份服务引擎版本1.
4管理员指南》中"管理思科ISE"一章的"安装软件补丁"部分,了解如何为系统应用补丁.
注该补丁不适用于使用FIPS模式的客户.
思科ISE版本1.
4.
0.
253-累积性补丁6中已解决的问题表8中列出的是思科身份服务引擎版本1.
4.
0.
253累积性补丁6中已解决的问题.
要为思科ISE版本1.
4获取必要的补丁文件以应用补丁,请登录思科"下载软件"(DownloadSoftware)网站(http://www.
cisco.
com/cisco/software/navigator.
htmla=a&i=rpm)(您可能需要提供Cisco.
com登录凭证),依次转到安全性(Security)>访问控制和策略(AccessControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后将一份补丁文件副本保存到本地计算机中.
补丁6可能不兼容较低版本的SPW,用户需要升级SPW.
然后参阅《思科身份服务引擎版本1.
4管理员指南》中"管理思科ISE"一章的"安装软件补丁"部分,了解如何为系统应用补丁.
表7思科ISE补丁版本1.
4.
0.
253补丁7的已解决警告警告说明CSCuy34700更新glibc软件包以解决CVE-2015-7547.
CSCuy53020在访客相关门户的首份Appscan报告中发现了SQL盲注攻击.
CSCut775412015年4月,NTPd版本已针对CVEIDCVE-2015-1798和CVE-2015-1799更新至4.
2.
6p5-3.
el6.
x86_64.
CSCuy20317ISE1.
3/4补丁5中发现"已达到分析器队列限制"(ProfilerQueuelimitreached)错误.
CSCux41407对OpenSSL2015年12月的漏洞进行状态评估.
表8思科ISE补丁版本1.
4.
0.
253补丁6的已解决警告警告说明CSCur40082自助注册门户无法隐藏访问者及其用户名和密码.
CSCus54412当密码不符合密码策略时,ISE1.
3不提示远程客户端.
CSCus79596网络接入:IdentityAccessRestricted未能正确授权.
CSCut56171在发起人门户中添加的自定义字段无法删除.
CSCut95631新的发起人用户无法通过邮件获得访客凭证摘要.
CSCuu11893ISE1.
3中显示复制缓慢的警报.
CSCuu12335ISE1.
3补丁2:无法为活动终端重置InactiveDays属性.
CSCuu30079在AMPEnabler配置文件中执行添加、编辑和复制操作时存在问题.
CSCuu32547发起人用户无法管理ISE1.
3中的所有帐户.
CSCuu39225偶发性身份验证故障-与域控制器的通信失败.
CSCuu45021在实时验证页面中点击DACL条目的身份验证详情时会发生HTTP500错误.
20思科身份服务引擎版本1.
4版本说明尚未解决和已解决的缺陷CSCuu52655在NSP配置文件中同时为PEAP和TLS指定MACOSX时,MAC自带设备(BYOD)流会发生问题.
CSCuu85800身份验证域-许多域缺失林.
CSCuu92630ISE1.
2在修改策略后SGT复制失败.
CSCuv52944SWD-xxxLSQ-xxxISE无法发送停止记帐命令;这会影响Lancope用户.
CSCuv53534在分析器数据库中查找终端速度慢.
CSCuv54014非公共顶级域的CRL/OCSPURL验证失败.
CSCuv71811ISE1.
3身份验证延迟每小时均会增加.
CSCuv88011在ISE1.
4使用分析器源服务时,源服务更新会覆盖管理员创建的同名规则.
CSCuv97343创建新的访客帐户时,ISE1.
3会缓存上一个发起人的邮件地址.
CSCuw02111ISE1.
4补丁3:收到ASA发出的记帐停止命令后,会话不清除.
CSCuw09138在ISE1.
3补丁3中,在PSN上观察到较高的内存利用率.
CSCuw15139ISE报告发生错误:无法连接到操作数据库.
CSCuw21758对MyDevicesAUP页面设置的更改无法生效.
CSCuw29108ISE1.
3访客门户访问的嵌入式状态检查和Web代理流失败.
CSCuw31016"我的设备"(MyDevices)门户无法从访客流正确映射门户用户名称.
CSCuw31568当状态策略设置为MAC10.
11时,CP策略失败.
CSCuw32233ISE1.
3补丁4中"显示实时会话"(ShowLiveSessions)页面为空白.
CSCuw34448ISE1.
4补丁3:SMS网关配置要求填写可选字段.
CSCuw40899在更改SSID后,ISE1.
4终端身份组无法更新.
CSCuw51376DHCP属性无法在PSN所有权发生变更后获得确认.
CSCuw74703并发错误.
无法在从1.
2.
1升级到1.
4期间更新终端.
CSCuw78737即便执行了清除操作,GuestEndpoint仍卡在HotSpotAUP门户循环中.
CSCuw99899ISE1.
3补丁5:即便在收到记帐停止命令后,MNT会话也未清空.
CSCux03119已发起自带设备(BYOD)支持.
CSCux10424ISE中的ActiveDirectory黑名单未按预期频率刷新.
CSCux18771在自助注册后,因为发生内部错误而无法成功使用其他用户登录.
CSCux24703管理会话ID不应记录在系统日志审核记录中.
CSCux26799从身份组中删除热点访客终端后,无法再次连接至热点.
CSCux53910在ISE1.
3补丁5中增加系统内存会导致身份验证延迟.
CSCux91475在ISE1.
4补丁6中执行手动更新后,无法更新源服务.
表8思科ISE补丁版本1.
4.
0.
253补丁6的已解决警告警告说明21思科身份服务引擎版本1.
4版本说明文档更新思科ISE版本1.
4.
0.
253-累积性补丁5思科ISE版本1.
4(0.
253)-累积性补丁5中已解决的问题以下搜索中包含ISE1.
4(0.
905)的所有已解决缺陷:1.
4(0.
905)的已解决缺陷搜索以下搜索中包含ISE1.
4(0.
905)中所有尚未解决的缺陷:1.
4(0.
905)中尚未解决的缺陷搜索思科ISE版本1.
4.
0.
253-累积性补丁3新功能和已解决问题思科ISE版本1.
4.
0.
253累积性补丁3提供以下新功能:支持Windows10操作系统(第21页)支持VMwareESXi6.
0(第21页)支持Windows10操作系统思科ISE版本1.
4.
0.
253累积性补丁3支持运行Windows10操作系统的客户机和个人设备.
支持VMwareESXi6.
0思科ISE版本1.
4.
0.
253累积性补丁3支持ESXi6.
0的VMware版本11(默认).
思科ISE版本1.
4(0.
253)-累积性补丁3中已解决的问题以下搜索中包含ISE1.
4(0.
903)的所有已解决缺陷:1.
4(0.
903)的已解决缺陷搜索以下搜索中包含ISE1.
4(0.
903)中所有尚未解决的缺陷:1.
4(0.
903)中尚未解决的缺陷搜索思科ISE版本1.
4以下搜索中包含ISE1.
4(0.
253)的所有已解决缺陷:1.
4(0.
253)的已解决缺陷搜索以下搜索中包含思科ISE1.
4(0.
253)中所有尚未解决的严重性为3或更高的缺陷:1.
4(0.
253)中尚未解决的缺陷搜索文档更新表9更新至思科身份服务引擎版本1.
4版本说明日期说明2015年5月1日思科身份服务引擎,版本1.
422思科身份服务引擎版本1.
4版本说明相关文档相关文档版本特定文档思科ISE的一般产品信息位于http://www.
cisco.
com/go/ise.
最终用户文档位于Cisco.
com上的http://www.
cisco.
com/en/US/products/ps11640/tsd_products_support_series_home.
html.
表10思科身份服务引擎的产品文档文档标题位置思科身份服务引擎版本1.
4版本说明http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-release-notes-list.
html思科身份服务引擎版本1.
4管理指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.
html思科身份服务引擎版本1.
4硬件安装指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.
html思科身份服务引擎版本1.
4升级指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.
html思科身份服务引擎版本1.
4迁移工具指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.
html思科身份服务引擎版本1.
4发起人门户用户指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-user-guide-list.
html思科身份服务引擎版本1.
4CLI参考指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-command-reference-list.
html思科身份服务引擎版本1.
4API参考指南http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-command-reference-list.
html思科ISE与ActiveDirectory的集成http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.
html思科身份服务引擎3300系列设备、思科安全访问控制系统1121设备、思科网络准入控制设备、CiscoNACGuestServer以及思科NAC分析器的监管合规性和安全信息http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.
html思科ISE设备内文档和中国RoHS指针卡http://www.
cisco.
com/c/en/us/support/security/identity-services-engine/products-documentation-roadmaps-list.
html23思科身份服务引擎版本1.
4版本说明获取文档和提交服务请求平台特定文档其他平台特定文档的链接位于以下位置:思科ISEhttp://www.
cisco.
com/c/en/us/support/security/identity-services-engine/tsd-products-support-series-home.
html思科UCSC系列服务器http://www.
cisco.
com/en/US/docs/unified_computing/ucs/overview/guide/UCS_rack_roadmap.
htmlCiscoSecureACShttp://www.
cisco.
com/c/en/us/support/security/secure-access-control-system/tsd-products-support-series-home.
html思科NAC设备http://www.
cisco.
com/c/en/us/support/security/nac-appliance-clean-access/tsd-products-support-series-home.
html思科NAC分析器http://www.
cisco.
com/c/en/us/support/security/nac-profiler/tsd-products-support-series-home.
html思科NAC访客服务器http://www.
cisco.
com/c/en/us/support/security/nac-guest-server/tsd-products-support-series-home.