Servidor TACACS multicliente

7

¿Es posible que Cisco ACS 5.4 (o cualquier otra versión) funcione en un entorno de arrendamiento múltiple?

Me gustaría tener dos servidores ACS, uno primario, uno secundario, con enrutamiento completamente diferente (pero obviamente mantener el acceso entre sí para la replicación).

Esto me permitiría tener una administración centralizada de ACS, pero necesito que ACS acepte la solicitud de dispositivos del cliente proveniente de direcciones IP potencialmente superpuestas.

Cuando pruebo ACS5.4, simplemente se queja de los conflictos de IP del segundo dispositivo cliente con el primero.

cisco Steve Wright
fuente
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

3

No puedo hablar por ACS, ya que solo he usado el demonio TACACS de código abierto, pero utilizamos un backend de SQL que permite que diferentes cuadros tengan políticas / enrutamiento completamente diferentes, pero sigo manteniendo una base de datos de usuario coherente.

David Rothera
fuente
En este caso, todavía estarías ejecutando 2 demonios TACACS, ¿correcto? Usamos tac_plus y no veo ninguna manera fácil de permitir direcciones IP duplicadas para clientes sin configurar múltiples reinos en diferentes puertos. Esto aún permitiría una base de datos de usuario unificada, pero requeriría personalización en el cliente para comunicarse con un puerto no predeterminado.
Smith
Esto no me importaría, ya que los dos conjuntos de dispositivos cliente (en mi ejemplo básico) se conectarían a un servidor TACACS. Entonces, siempre que la base de datos pueda contener: CustArouter1 = IP 192.168.1.1 CustBrouter1 = IP 192.168.1.1 y tener una política basada en el enrutador (¿o grupo en el que está el enrutador?) Que funcionaría para mí. Aunque sospecho que estoy atado a usar el ACS de Cisco ...
Steve Wright
0

Por lo que yo veo:

1) Use la política NAT para las direcciones IP superpuestas. Incluya direcciones pre-NAT y post-NAT al agregar el dispositivo. No sé acerca de las licencias aquí, pero por mi experiencia, hacer esto le costará lo mismo que agregar dos dispositivos diferentes.

2) Use un secreto compartido común para la superposición de IP. Mala idea, ya que romperá las reglas de la política.

sergejv
fuente
1) NAT puede no ser una opción para nosotros debido al volumen de dispositivos 2) Diferentes secretos compartidos no serían un problema para nosotros.
Steve Wright