Cisco ACS 5.4(或任何其他版本)是否可以在多租户环境中工作?
我想要两台 ACS 服务器,一台主服务器,一台辅助服务器,路由完全不同(但显然要保持相互访问以进行复制)。
这将允许我对 ACS 进行集中管理,但我需要 ACS 接受来自潜在重叠 IP 地址的客户端设备请求。
当我尝试使用 ACS5.4 时,它只是抱怨第二个客户端设备的 IP 与第一个发生冲突。
多租户 TACACS 服务器
网络工程
思科
2021-07-13 01:25:31
3个回答
我不能代表 ACS,因为我只使用开源 TACACS 守护程序,但我们使用 SQL 后端,它允许不同的框具有完全不同的路由/策略,但仍保持一致的用户数据库。
所以基本上,这在 Cisco ACS(或我相信的 ISE)上绝对不可能,因此选项是:
- ACS 的多个实例
- NAT 隐藏 IP
根据情况,两者都有效。感谢您的意见收到!
就我所见:
1) 对重叠的 IP 地址使用策略 NAT。添加设备时包括 NAT 前和 NAT 后地址。我不知道这里的许可,但根据我的经验,这样做的成本与添加两个不同设备的成本相同。
2) 对重叠的 IP 使用共同的共享秘密。坏主意,因为它会违反政策规则。