组网拓扑:
LCJ-CSR1000V#sho run | se tacacs aaa authentication login lcjise group tacacs+ local none aaa authorization exec lcjise group tacacs+ local none tacacs server lcjise address ipv4 10.22.2.96 key cisco LCJ-CSR1000V#sho run | be line line con 0 stopbits 1 line vty 0 4 exec-timeout 30 0 privilege level 15 authorization exec lcjise login authentication lcjise transport input all
ISE端的配置:
1、将CSR1K作为NAD配置到ISE
2、在ISE本地常见一个user,这里是user1
3、开启ISE的设备管理服务
4、配置TACACS的允许的协议
5、配置TACACS的profile
6、配置授权的command set
7、配置Policy Set
认证部分默认选择all user或者internal user,只要符合我们创建的用户组就可以。主要展示授权策略部分。
匹配条件为所有设备类型,设备的IP地址为10.22.2.99,另外,给授权的命令集是刚才运行的所有命令,shell profile默认授权15级。
测试:
看ISE侧认证的log:
