Cisco Cisco Identity Services Engine 1.3 기술 매뉴얼
从 5.5/5.6 版本思科安全 ACS 进行迁移的准备工作
我们建议您在从思科安全 ACS 成功迁移之后不要更改为 Simple 模式。 否则,您可能会丢失思科 ISE
中的所有已迁移的策略。 您无法恢复这些已迁移的策略,但是您可以从 Simple 模式切换至 Policy
Set 模式。
中的所有已迁移的策略。 您无法恢复这些已迁移的策略,但是您可以从 Simple 模式切换至 Policy
Set 模式。
在您开始将思科安全 ACS 数据迁移至思科 ISE 之前,必须考虑以下事项:
• 在 1.4 版本思科 ISE 中,只能在 Policy Set 模式下迁移 5.5/5.6 版本思科安全 ACS 数据。
• 请在新安装的 1.4 版本思科 ISE 上进行迁移。
• 在服务选择策略 (SSP) 中每启用一条规则,都生成一个策略集,并按照 SSP 规则的顺序进行排
列。
SSP 默认规则产生的服务在 1.4 版本思科 ISE 中会成为默认策略集。 对于在迁移过程创建的所有
策略集,第一个匹配的策略集就是匹配的类型。
策略集,第一个匹配的策略集就是匹配的类型。
注释
策略服务迁移指南
您必须执行以下检查,确保策略服务从思科安全 ACS 迁移至思科 ISE:
• 服务选择策略 (SSP) 包含 5.5/5.6 版本思科安全 ACS 中禁用或监控的 SSP 规则,则无法迁移至
思科 ISE。
• 服务选择策略 (SSP) 包含在 5.5/5.6 版本思科安全 ACS 中启用的 SSP 规则
如果请求设备管理服务,则无法迁移至思科 ISE。 (思科 ISE 不支持设备管理。)
如果请求网络访问服务,而且此服务包括组映射策略,则无法迁移至思科 ISE。 (思科
ISE 不支持组映射策略。)
ISE 不支持组映射策略。)
如果请求服务而且其身份策略包含规则,这些规则导致使用 RADIUS 身份服务器,则无法
迁移至思科 ISE。 (思科 ISE 与之不同,其使用 RADIUS 身份服务器进行身份验证。)
迁移至思科 ISE。 (思科 ISE 与之不同,其使用 RADIUS 身份服务器进行身份验证。)
如果请求服务而且此服务具有使用思科 ISE 不支持的属性或策略元素的策略,则无法迁移
至思科 ISE。
至思科 ISE。
策略服务迁移指南
本节说明从 5.5/5.6 版本思科安全 ACS 迁移至 1.4 版本思科 ISE 后每项策略服务的变化,因为在 1.4
版本思科 ISE 的 Policy Set 模式下,只能迁移 5.3 版本思科安全 ACS 数据。
版本思科 ISE 的 Policy Set 模式下,只能迁移 5.3 版本思科安全 ACS 数据。
1.4 版本思科身份服务引擎迁移工具指南
21
数据迁移原则
从 5.5/5.6 版本思科安全 ACS 进行迁移的准备工作