思科IOS XE结合ISE配置TACACS认证

组网拓扑：

 

 

LCJ-CSR1000V#sho run | se tacacs
aaa authentication login lcjise group tacacs+ local none
aaa authorization exec lcjise group tacacs+ local none 
tacacs server lcjise
 address ipv4 10.22.2.96
 key cisco
LCJ-CSR1000V#sho run | be line
line con 0
 stopbits 1
line vty 0 4
 exec-timeout 30 0
 privilege level 15
 authorization exec lcjise
 login authentication lcjise
 transport input all

ISE端的配置：

1、将CSR1K作为NAD配置到ISE

 

 2、在ISE本地常见一个user，这里是user1

 

 3、开启ISE的设备管理服务

 

 4、配置TACACS的允许的协议

 

 5、配置TACACS的profile

 

6、配置授权的command set

 

 7、配置Policy Set

认证部分默认选择all user或者internal user，只要符合我们创建的用户组就可以。主要展示授权策略部分。

 

 匹配条件为所有设备类型，设备的IP地址为10.22.2.99，另外，给授权的命令集是刚才运行的所有命令，shell profile默认授权15级。

测试：

 

 看ISE侧认证的log：