組網拓撲:
LCJ-CSR1000V#sho run | se tacacs aaa authentication login lcjise group tacacs+ local none aaa authorization exec lcjise group tacacs+ local none tacacs server lcjise address ipv4 10.22.2.96 key cisco LCJ-CSR1000V#sho run | be line line con 0 stopbits 1 line vty 0 4 exec-timeout 30 0 privilege level 15 authorization exec lcjise login authentication lcjise transport input all
ISE端的配置:
1、將CSR1K作爲NAD配置到ISE
2、在ISE本地常見一個user,這裏是user1
3、開啓ISE的設備管理服務
4、配置TACACS的允許的協議
5、配置TACACS的profile
6、配置授權的command set
7、配置Policy Set
認證部分默認選擇all user或者internal user,只要符合我們創建的用戶組就可以。主要展示授權策略部分。
匹配條件爲所有設備類型,設備的IP地址爲10.22.2.99,另外,給授權的命令集是剛纔運行的所有命令,shell profile默認授權15級。
測試:
看ISE側認證的log: