思科IOSXE与ISE集成实现TACACS认证配置

网络拓扑：

在本示例中，我们将使用思科CSR1000V设备与ISE集成，实现TACACS认证。

首先，在CSR1000V上配置TACACS认证：

LCJ-CSR1000V#show running-config | include tacacs
aaa authentication login lcjise group tacacs+ local none
aaa authorization exec lcjise group tacacs+ local none
tacacs server lcjise
 address ipv4 10.22.2.96
 key cisco

接下来，配置VTY线路以启用TACACS认证：

LCJ-CSR1000V#show running-config | begin line
line con 0
 stopbits 1
line vty 0 4
 exec-timeout 30 0
 privilege level 15
 authorization exec lcjise
 login authentication lcjise
 transport input all

在ISE端进行配置：

1. 将CSR1000V设备作为NAD（Network Access Device）添加到ISE中：

2. 在ISE中创建一个本地用户，例如user1：

3. 启用ISE的设备管理服务：

4. 配置ISE允许的TACACS协议：

5. 配置TACACS的Profile：

6. 配置授权的命令集：

7. 配置Policy Set，主要展示授权策略部分：

匹配条件为所有设备类型，设备的IP地址为10.22.2.99，授权的命令集为之前配置的命令集，shell profile默认授权15级。

测试配置是否成功：

查看ISE侧的认证日志：

通过以上步骤，您可以成功地在思科IOS XE设备上配置TACACS认证，并通过ISE进行用户管理和授权。希望本文对您有所帮助，祝您学习顺利，不断进步！