组网拓扑:
LCJ-CSR1000V#sho run | se tacacs
aaa authentication login lcjise group tacacs+ local none
aaa authorization exec lcjise group tacacs+ local none
tacacs server lcjise
address ipv4 10.22.2.96
key cisco
LCJ-CSR1000V#sho run | be line
line con 0
stopbits 1
line vty 0 4
exec-timeout 30 0
privilege level 15
authorization exec lcjise
login authentication lcjise
transport input all
ISE端的配置:
1、将CSR1K作为NAD配置到ISE
2、在ISE本地常见一个user,这里是user1
3、开启ISE的设备管理服务
4、配置TACACS的允许的协议
5、配置TACACS的profile
6、配置授权的command set
7、配置Policy Set
认证部分默认选择all user或者internal user,只要符合我们创建的用户组就可以。主要展示授权策略部分。
匹配条件为所有设备类型,设备的IP地址为10.22.2.99,另外,给授权的命令集是刚才运行的所有命令,shell profile默认授权15级。
测试:
看ISE侧认证的log: