Cisco CCNP Security Implementing and Configuring Cisco Identity Services Engine (300-715 SISE)
Cisco 300-715 SISE exam prep covering ISE deployment, 802.1X, policy configuration, profiling, posture, guest access, TrustSec, pxGrid, and TACACS+. Includes 292+ practice questions with explanations, a 120-minute exam format, a passing score of 825/1000, and a $330 exam fee.
Cisco 店里做 NAC / 802.1X / 零信任内网准入的资深网工 — SISE 是 CCNP Security 里 ISE 深度最高的一门,金融/医疗/政府有线无线接入控制场景含金量极高;非 Cisco ISE 店没必要碰。
JR Academy Membership
Unlock all certifications, courses & tools at a fraction of the cost
- All certification exam prep included
- Course discounts up to 50%
- AI tools & Chrome extensions
- Priority 1-on-1 coaching
What this certification covers
This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.
Cisco 300-715 SISE (Implementing and Configuring Cisco Identity Services Engine) 是 CCNP Security 的 Concentration 考试,必须和 Core 350-701 SCOR 组合才能拿 CCNP Security 证书。考试 60 题左右 / 90 分钟 / 及格 825/1000 / 考试费 $300 USD,证书有效期 3 年。
SISE 在 CCNP Security 里的定位:2020 年 2 月 Cisco 改版后 CCNP Security 走 "1 Core + 1 Concentration" 双考模式。SCOR 是入口覆盖安全全景,SISE 是 6 门 Concentration 里唯一只深挖 Identity Services Engine (ISE) 的。其他 Concentration(SNCF Firepower / SVPN VPN / SESA Email / SWSA Web / SAUTO Automation)虽然也涉及 ISE,但都是蜻蜓点水 — 只有 SISE 会深度考到 Profiling policy、Posture condition、TrustSec SGT matrix、pxGrid API 订阅这种细粒度配置。
真实场景里 ISE 有多重要:ISE 是 Cisco 内网准入控制 (NAC) 的旗舰产品,也是 Cisco 零信任架构 (ZTNA) 在园区/分支有线无线接入层的核心。一个典型中大型 Cisco 企业客户的部署:交换机/AP 当 NAD (Network Access Device),员工笔记本通过 802.1X + EAP-TLS 证书认证,手机和哑终端走 MAB + Profiling,访客走 Guest Portal,IoT/打印机按 Profiling 自动分 VLAN,合规检查通过 Posture + AnyConnect,最终用 TrustSec SGT 替代传统 VLAN/ACL 做东西向微隔离。SISE 考的就是这整条链路每一段的配置。
考纲六大领域(官方 v1.0 权重):Architecture and Deployment 20% / Policy Enforcement 25% / Web Auth and Guest Services 15% / Profiler 15% / BYOD 10% / Endpoint Compliance 10% / Network Access Device Administration 5%。Policy Enforcement 是大头(25%),这一块就是 802.1X + MAB + Authorization Policy 的组合 — Conditions (Identity / EndpointPurpose / NetworkAccess / 自定义)、Results (dACL / VLAN / SGT / URL Redirect) 的配对逻辑是考试最集中的火力点。
平台和版本:考纲锁定 ISE 3.x(当前是 3.3),和老 2.x 的 Java Web Start Admin Portal 差异很大 — 3.x 全面 HTML5、加入 Context Visibility 和 ISE-PIC 独立许可、支持 IPv6 management、pxGrid 2.0 WebSocket 取代旧的 XMPP。如果你用的还是 ISE 2.4/2.6 的文档备考,很多 UI 路径和特性名称会对不上号。
经验门槛:Cisco 官方推荐 3-5 年 ISE 实施经验,CCNA 是默认起点。SISE 最硬核的地方不是概念本身,而是 "知道某个按钮藏在 ISE Admin GUI 的哪一层菜单" — 没真机点过的人光靠看书背不下来 Policy Set > Authentication Policy > Authorization Policy > Authorization Profile 这四层嵌套的配置逻辑。Cisco dCloud 免费提供 ISE 3.x lab(需要 CCO 账号),备考必用。
You will work with
After preparation
- Prepare for the Cisco 300-715 SISE exam with a structured path
- Deploy and administer Cisco ISE in enterprise environments
- Configure access control, profiling, posture, and guest access policies
- Integrate ISE with TrustSec, pxGrid, and TACACS+
Exam details
Who should take it
Good fit
- Network security engineers deploying Cisco ISE
- Identity and access management specialists working with NAC
- Cisco practitioners moving toward the CCNP Security track
- IT professionals building policy-based access control skills
Before you start
- Basic networking, authentication, and security knowledge is expected
- Hands-on experience with Cisco switching or wireless access control is helpful
- You should be familiar with Active Directory or another directory service
- Lab access to Cisco ISE will make the material easier to retain
Is it worth it? Career value
Salary ranges, target job titles, and the real career impact of holding Cisco SISE.
SISE 的真实市场定位
SISE 不是通用 cloud / DevSecOps 方向的简历金字招牌,它是 "Cisco 店里做 NAC 和零信任园区接入" 这个具体岗位的硬通货。谁在招?—— 银行和证券公司内网团队(合规强制要求所有终端 802.1X + Posture)、医院 HIS 网络(医疗设备 Profiling + 分段)、政府和军队园区(TrustSec 微隔离替代老旧 ACL)、澳洲 Telstra Purple / Kyndryl / NTT 的托管网络服务、美国 WWT 和 Presidio 做 Cisco 集成的专业服务团队、制造业 OT/IT 融合的 IEC 62443 合规项目。这些客户已经重度投资 Cisco Catalyst 交换机 + Meraki / C9800 无线控制器 + ISE 集群,迁移到别的 NAC 平台(Aruba ClearPass / Fortinet FortiNAC / Forescout)成本极高。
Salary.com / Levels.fyi 2026 数据:美国 Network Access Control Engineer / ISE Specialist 中位数 ~$135K USD,叠加 CCNP Security 标签 25-75 分位 $115K-$165K。澳洲 Canberra / Sydney 金融和政府项目里有 ISE 实战经验的 Senior 拿到 $140-170K AUD 很常见,带 Baseline/NV1 clearance 能再 +$15K。新加坡 DBS、OCBC 等银行内网团队 ISE 岗位 $120-145K SGD。中东 ADNOC、Saudi Aramco 给驻场 ISE 顾问开 $160K+ USD 免税包。
SISE 最适合的三类人
-
Cisco 店里负责园区有线/无线接入的 Senior 网工:你已经在生产环境上跑着 Catalyst 9000 + C9800 + ISE,但日常只会点 GUI 复制已有 policy,没系统梳理过 Authorization Profile 里 dACL / VLAN / SGT / URL Redirect 的优先级和叠加逻辑。SISE 强制你把碎片化运维经验重新结构化,顺带解锁 CCNP Security 头衔。
-
瞄准 CCIE Security Lab 的候选人:CCIE Security Lab 有整整一个 module 专门考 ISE(大约占 25% 工时),考场上要你在 2 小时内配出一套 PSN 集群 + 802.1X + Profiling + Posture + pxGrid 到 Firepower 的完整集成。SISE 考纲基本是这个 module 的理论版,先过 SISE 再上 CCIE rack 会省至少 40 小时摸索时间。
-
MSSP / 系统集成商的 NAC 交付工程师:每周给不同客户部署 ISE,但没 CCNP Security 头衔,公司投不了 Cisco Gold Partner 或 Advanced Security Architecture Specialization 需要的 RFP。考完直接给团队凑证书数,公司通常全额报销 + $500-1500 USD 通过奖金。
不适合考 SISE 的三类人
-
纯云 / SaaS 方向:你的工作全在 Zscaler ZPA、Cloudflare Access、Tailscale、Okta Workforce Identity 这类 SASE/ZTNA 平台上。ISE 里 80% 的内容(802.1X RADIUS、MAB、有线/无线 NAD 集成、TrustSec SGT)在纯云环境完全用不上。应该走 Zscaler ZDTA、SC-300 Identity and Access Administrator 或 Okta Certified Administrator。
-
Aruba ClearPass / Fortinet FortiNAC / Forescout 店的 NAC 工程师:虽然 802.1X 和 RADIUS 是标准协议,但 SISE 80% 的考点是 Cisco ISE GUI 的具体菜单路径、Cisco 私有的 TrustSec SGT/SGACL、pxGrid 2.0 API、CoA 和 ERS API 格式。日常只会 ClearPass 的话应该考 ACMP;Fortinet 店应该走 NSE 6 FortiNAC。
-
纯开发 / Security Engineer 偏 AppSec:SISE 考的是网络层准入控制,和 SAST/DAST、代码审计、SBOM 这些 AppSec 话题没有任何交集。应该走 CSSLP 或 Practical DevSecOps。
Study preparation
With hands-on AWS
From scratch
Daily pace
Learning path preview
6 chaptersStep-by-step preparation
A concrete week-by-week plan from past test-takers — not generic advice.
第一阶段:OCG 通读 + ISE 架构打底(3-4 周)
官方教材是 Aaron Woland 等人的 *CCNP Security Identity Services Engine SISE 300-715 Official Cert Guide*(Cisco Press,约 750 页)。每天 30-40 页,第一遍重点吃透 **ISE Persona/Node 架构**(PAN / MnT / PSN / pxGrid 四种角色的职责和分布式部署拓扑)和 **RADIUS Access-Request / Access-Accept / CoA-Request 消息结构** — 这是整个 SISE 的地基。配合 Katherine McNamara 在 Cisco Live 的 BRKSEC-2500 (ISE 最佳实践) 和 BRKSEC-3229 (ISE 深度排错) 视频交叉印证(Cisco Live 网站免费)。每章末的 DIKTA 题错了就把对应章节重读一遍。
第二阶段:ISE 3.x 实验 — Policy Set / Profiling / Guest / BYOD(3-5 周)
光看书记不住 GUI 菜单路径,必须上 lab。**首选 Cisco dCloud** 里的 "ISE 3.3 Sandbox" 或 "ISE Lab with Catalyst 9300" 场景(免费,CCO 账号登录),自带 ISE + 9300 交换机 + Windows 10 终端。**必须亲手配完的 6 个场景**:(1) 802.1X with PEAP-MSCHAPv2 打 AD,Authorization Policy 按 AD 组分配 dACL;(2) EAP-TLS 证书认证,ISE 签发用户证书 + 部署 SCEP;(3) MAB + Profiling,让 ISE 用 DHCP + HTTP + RADIUS 探测自动识别打印机和 IP 电话;(4) Self-Registered Guest Portal 完整生命周期(访客注册 → Sponsor 审批 → VLAN 分配 → 到期自动清理);(5) BYOD Single-SSID flow,员工首次连 WiFi 自动下发证书到手机 (My Devices Portal);(6) Posture with AnyConnect,检查 AV 开启 + 系统补丁,不合规走 Remediation VLAN。每个场景都要会看 **Live Logs / Live Sessions / RADIUS Authentication Report** 排错,这比背 policy 理论重要 10 倍。
第三阶段:TrustSec + pxGrid + TACACS+ 设备管理(2-4 周)
**TrustSec**:在 dCloud 上配 SGT Assignment (Static IP-SGT / Dynamic through Authorization) + SGACL Matrix + SXP (SGT Exchange Protocol) 传播到不支持 inline tagging 的老设备;理解 **SGT inline vs SXP 的适用场景** — Catalyst 9000 和 ASR1K 支持 inline,Catalyst 3750 只能 SXP。**pxGrid 2.0**:订阅 Session Directory topic,观察 ISE 把 user-IP-SGT 绑定推送给 Firepower / StealthWatch / ThousandEyes 的完整消息流;熟悉 pxGrid 2.0 从 XMPP 切到 WebSocket + REST 的架构变化。**TACACS+ 设备管理**:配 Device Admin Policy Set,用 Shell Profile 下发 privilege level,用 Command Set 白名单/黑名单限制网工能执行的 IOS 命令 — 这是很多企业做 SOX / ISO 27001 合规的硬性要求。**ERS API / OpenAPI**:SISE 3.2+ 考纲加入了通过 REST API 管理 ISE 内部对象(endpoints、identity groups、authorization profiles),动手调用一次 Postman collection。
第四阶段:Boson ExSim + 排错冲刺 + 考纲盲点回扫(2-3 周)
**Boson ExSim-Max for 300-715**($99 USD)是 SISE 模考的金标准,稳定 80%+ 再去真考。ExamTopics 题库只用来补题感,v1.0 考纲后很多老题和 ISE 2.x 强绑定已经不适用。**排错冲刺**:吃透 ISE **Live Logs** 里每个 failure reason 的含义,特别是 `22056 Subject not found in the applicable identity store`、`24408 User authentication against Active Directory failed`、`11007 Could not locate Network Device or AAA Client`、`15039 Rejected per authorization profile` 这四个高频错。**盲点回扫清单**:(1) Policy Set → Authentication Policy → Authorization Policy 三层匹配顺序和 first-match 逻辑;(2) Authorization Profile 里 dACL vs VLAN vs SGT vs URL Redirect 同时下发时的冲突规则;(3) Profiling 的 5 种探测方式(DHCP / RADIUS / HTTP User-Agent / NMAP / SNMP)对比;(4) Guest Portal 三种类型(Hotspot / Sponsored / Self-Registered)的账号生命周期;(5) Posture 的 Initial / Compliant / NonCompliant 状态迁移和 CoA 触发;(6) TrustSec SGT 在 inline-tagged 和 SXP 两种传播方式下的报文差异。考前 72 小时只看这份清单,不再碰新内容。
Real test-taker experiences
What it actually took for real candidates to pass — prep time, scores, and lessons learned.
我们银行合规要求所有员工终端必须 802.1X + EAP-TLS + Posture,ISE 集群有 2 PAN + 2 MnT + 8 PSN 跑了 4 年。我运维了 3 年 ISE 但从没系统学过 **Profiling**,因为日常只用 AD 组做认证,很少碰哑终端。考前被 Profiling 15% 权重逼着认真刷了一遍,结果发现我们生产环境里 VoIP 电话用错了 Profiling condition(用 OUI 而不是更精确的 CDP/LLDP),改完后 false positive 降到接近零。SISE 对我最大价值不是证书本身,而是把日常碎片知识重新结构化。建议:**生产环境运维派一定要把 Profiling 和 Posture 当重点学**,因为这两块平时最容易偷懒跳过。
客户是迪拜一家主权财富基金,要求全站 TrustSec SGT 微隔离替代传统 VLAN ACL。我作为 Cisco 顾问交付 ISE + Catalyst 9500 + C9800,顺便把 SISE 考了。备考最痛的是 **TrustSec 的 SXP 和 inline-tagged 传播模式对比** — 客户核心是 9500 支持 inline,接入层一部分老 3850 只能 SXP,设计时 SGT propagation path 必须两种混用。考题里有 4 道直接问 "某个拓扑里 SGT 丢失最可能的原因",答案基本都是 SXP speaker/listener 角色配反或者 inline 模式被某台不支持的中间设备剥掉。建议:**画一张你自己客户网络的 SGT propagation path 图**,比背书有用 10 倍。考场 60 题我 55 分钟做完,剩 35 分钟检查标记的 12 道题。
公司要凑 Cisco Advanced Security Architecture Specialization,需要 3 张 CCNP Security。我已经有 SCOR 和 SVPN,最后一张选了 SISE。本以为 8 年 ISE 实施经验轻松过,结果被 **ISE 3.x 的新特性** 和 **pxGrid 2.0 架构变化** 狠狠教育 — 我客户项目大部分还在 ISE 2.7,考纲却全面切到 3.x,Context Visibility、ISE-PIC 独立许可模型、pxGrid 从 XMPP 切 WebSocket 这些变化全是考点。还有 **ISE 的 ERS API 和 OpenAPI 双 API 体系** 区别(ERS 是旧 XML,OpenAPI 是新 REST+JSON,3.1+ 才有),考了 2 道。教训:**老 ISE 工程师最容易栽在版本差异上**,别以为经验多就能裸考,先用 dCloud 最新版 ISE 3.3 把新功能点一遍再上考场。
Certification comparison
| Cisco SISE | Cisco CCNA | Cisco SCOR | |
|---|---|---|---|
| Provider | Cisco | Cisco | Cisco |
| Level | 专业级 | 助理级 | 专业级 |
| Fee | $330 | $330 | $330 |
| Duration | 120 min | 120 min | 120 min |
| Question count | 65 | 100 | 65 |
| Validity | 3 yrs | 3 yrs | 3 yrs |
Study tips and common mistakes
**不能回头改题**:和所有 Cisco CCNP 一样,点 Next 之后不能返回。多选题和 drag-drop 题每道确认好再提交,别手快。
**时间分配**:60 题 / 90 分钟 = 90 秒一题,比 SCOR 略紧。选择题压到 60-70 秒,留 25-30 分钟给 2-3 道 lab-based sim 题(在模拟 ISE GUI 里点击配 policy)或 drag-drop 拓扑题。
**lab-based sim 必看 Live Logs**:sim 题大部分答案藏在 Live Logs 的 **Failure Reason** 和 **Detailed Steps** 里 — failure code (11xxx / 12xxx / 15xxx / 22xxx / 24xxx) 对应不同故障类别。考前一周把常见 10 个 failure code 背熟。
**认证方法选型题关键词反推**:题目出现 "无 supplicant 的哑终端 + 自动识别" → MAB + Profiling;"证书双向认证 + 无密码" → EAP-TLS;"AD 域用户 + 密码单因素" → PEAP-MSCHAPv2;"访客自助注册 + Sponsor 审批" → Self-Registered Guest Portal;"BYOD 单 SSID 自动下发证书" → BYOD Single-SSID flow with Native Supplicant Provisioning。
**Authorization 结果叠加题**:看到题目同时出现 dACL + VLAN + SGT + URL Redirect,先判断 Posture 阶段(pre-posture 时 URL Redirect 限制流量到 ISE,post-posture 才放开),再判断 dACL 和端口 ACL 叠加顺序(dACL 是 per-user 叠加在端口 ACL 之上)。
**ISE 3.x vs 2.x 版本差异题**:考纲明确 3.x,看到 Context Visibility、ISE-PIC 独立许可、pxGrid 2.0 WebSocket、OpenAPI (新 REST)、SAML for Sponsor/MyDevices Portal 这些关键词都是 3.x 特有,直接选对应选项;看到老的 Java Admin Portal / pxGrid 1.0 XMPP 这些描述就是陷阱项。
**母语非英语申请 ESL +30 分钟**:Pearson VUE 报名时 Accommodations 里申请,免费。90 + 30 = 120 分钟能明显降低 GUI 截图题和长场景题的时间压力。
**考前 72 小时只看盲点清单**:(1) Policy Set → Authentication → Authorization 三层匹配顺序;(2) Authorization Profile dACL/VLAN/SGT/URL Redirect 叠加规则;(3) MAB / 802.1X / EAP-TLS / PEAP 选型;(4) Profiling 5 种探测方式准确度;(5) TrustSec SGT 传播(inline vs SXP);(6) Posture 状态迁移和 CoA 触发;(7) 常见 Live Log failure code。新内容这时候进去只会冲乱已熟的。
**Policy Set 匹配顺序记反** — ISE 的 Policy Set 是 **first-match top-down**,每个 Policy Set 内部又分 **Authentication Policy → Authorization Policy** 两层,也都是 first-match。考题常给 4-5 条 Policy Set 规则问某个会话命中哪一条。关键坑:**Policy Set Condition 通常用 `Device:Device Type` 或 `Radius:NAS-Port-Type`**(有线 vs 无线),写反会导致无线会话掉到有线 Policy Set 里,Authorization 全错。记死:**Policy Set 是入口分流,别在里面写用户组条件,用户组条件放到 Authorization Policy 里**。
**Authorization Profile 里 dACL / VLAN / SGT / URL Redirect 同时下发时的叠加规则** — 一个 Authorization Profile 可以同时返回 dACL + VLAN + SGT + URL Redirect,但不是所有组合都生效。**VLAN 下发覆盖交换机端口原 VLAN**;**dACL 叠加在端口 ACL 之上(per-user ACL)**;**SGT 通过 RADIUS AVP 传给 NAD,再由 TrustSec 标签 propagate**;**URL Redirect 只在 Central Web Auth 或 Posture 未完成时生效,Posture 过了就自动移除**。考题会给一个 profile 问用户连接后实际能访问什么 IP,很多人忘了 URL Redirect 的 **pre-posture 阶段只开 DNS + DHCP + ISE IP 三条通路** 这个细节。
**MAB 和 802.1X 谁优先搞错** — 交换机端口默认 `authentication order dot1x mab`,意思是 **先尝试 802.1X,失败后 fallback 到 MAB**。很多人以为 MAB 比 802.1X "简单"所以应该先走 — 错。正确逻辑是 802.1X 有真实身份凭证优先,没有 supplicant 或超时才 fallback 到基于 MAC 的 MAB。考题会给端口配置问哑终端 (IP 电话) 多久能上线,答案和 **dot1x timeout tx-period** + **dot1x max-reauth-req** 两个定时器相关,默认要等 90 秒才 fallback 到 MAB,这在生产环境是个大坑 — IP 电话启动慢会被用户抱怨。解决方案是配 **authentication order mab dot1x + authentication priority dot1x mab**(order 先 MAB 加速上线,priority 仍让 802.1X 抢占)。
**Profiling 的 5 种探测方式和准确度顺序** — DHCP (Class-Identifier / fingerprint) → RADIUS (Calling-Station-Id / Framed-IP) → HTTP (User-Agent) → NMAP (主动扫描) → SNMP Query (从 NAD 拉 CDP/LLDP/ARP)。**准确度从高到低大致是 CDP/LLDP > DHCP > HTTP User-Agent > OUI > NMAP**,但准确度最高的 CDP/LLDP 需要 SNMP 探测器主动去拉交换机(需 SNMP community),默认不开。考题常问 "IP 电话识别不准最可能原因",答案往往是 **SNMP Query 探测器没启用** 或者 **ISE 没配 SNMP trap 接收器**,而不是 DHCP fingerprint 库不够新。另外记死:**Profiling 只影响 Endpoint Identity Group 归属,不直接决定授权结果**,授权还要 Authorization Policy 配合用 `EndPoints:LogicalProfile` 或 `EndPoints:EndPointPolicy` 条件匹配。
**EAP-TLS 证书信任链配置漏装** — EAP-TLS 双向证书认证要求 **ISE 信任客户端证书的签发 CA**(不是 Root CA 一键信任就完事),也要求 **客户端信任 ISE 的 EAP 证书链**。常见故障:ISE 只导入了 Root CA 忘了 Intermediate CA,导致客户端证书链断裂,Live Log 报 `12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain`。解决:在 **Administration > System > Certificates > Trusted Certificates** 里把完整证书链(Root + 所有 Intermediate)都导入,并勾上 "Trust for client authentication and Syslog"。考题会给一段 Live Log 输出问故障点,看到 `unknown CA` 就选证书链不完整。
**TrustSec SXP Speaker/Listener 角色配反** — SXP 是 **单向推送**协议:**Speaker** 把本地 IP-SGT 映射推给 **Listener**。考点:ISE 作为 SGT 的权威源,通常是 **Speaker**,把 Authorization 结果(user-IP-SGT 绑定)推给不支持 inline tagging 的老交换机(作为 Listener);而支持 inline 的新核心交换机通常不需要 SXP。配反会导致 SGT 不传播但 ISE 和 NAD 都看不到错误日志。记死:**SGT 源头是 Speaker,消费者是 Listener,SGT 跟着流量方向传播不是反向**。
**Posture Agent 类型和能力差异** — ISE 支持三种 Posture agent:**AnyConnect ISE Posture Module**(持久安装,能力最全,支持 patch check / file check / registry / AV/AS / firewall state)、**Temporal Agent**(浏览器下载运行一次,会话结束自动删除,能力受限)、**Stealth Mode**(完全无 agent,用 HTTP probe 做最基础检查,ISE 3.x 才有)。考题会给一个 "BYOD 设备不愿装持久 agent 但要做 AV 检查" 的场景问用哪种,答 Temporal Agent;"员工企业笔记本要做 patch level + registry 检查" 答 AnyConnect Posture。很多人把 **Stealth Mode 当成万能方案**,它其实只能做最简单的 OS 判断,不能做 AV 状态检查。
**TACACS+ Shell Profile 和 Command Set 职责混淆** — TACACS+ 设备管理有两个授权结果对象:**Shell Profile** 下发 **privilege level**(0-15)和自定义属性(IOS 命令 `privilege exec level X ...` 对应);**Command Set** 定义具体能执行的 **命令白名单/黑名单**(正则匹配)。典型配置:给网工组下发 Shell Profile privilege=15(能进 enable 模式)+ Command Set 黑名单 `deny "reload"` 和 `deny "erase startup-config"`(防误操作)。考题会给一个 "允许运维进 enable 但不能 reload 设备" 的需求问怎么配,答案必须 **两个对象一起下发**:Shell Profile 给 privilege,Command Set 限制具体命令。很多人以为 Shell Profile 本身就能限制命令 — 错。
FAQ
Frequently Asked Questions
If you plan to take Cisco SISE, start with real practice.
292+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.
Go to exam prepFrom $29 · 2 free chapters