Servidor TACACS de multilocação

7

É possível que o Cisco ACS 5.4 (ou qualquer outra versão) funcione em um ambiente de multilocação?

Eu gostaria de ter dois servidores ACS, um primário e um secundário, com roteamento completamente diferente (mas, obviamente, mantenha acesso um ao outro para replicação).

Isso me permitiria ter um gerenciamento centralizado do ACS, mas preciso que o ACS aceite solicitações de dispositivos clientes provenientes de endereços IP potencialmente sobrepostos.

Quando tento o ACS5.4, ele simplesmente reclama o primeiro conflito de IP do segundo dispositivo cliente.

Steve Wright
fonte
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

3

Não posso falar pelo ACS, pois só utilizei o daemon TACACS de código aberto, mas utilizamos um back-end SQL que permite que caixas diferentes tenham roteamento / políticas completamente diferentes, mas ainda mantenham um banco de dados consistente do usuário.

David Rothera
fonte
Nesse caso, você ainda estaria executando 2 daemons TACACS, correto? Usamos tac_plus e não vejo nenhuma maneira fácil de permitir endereços IP duplicados para clientes sem configurar várias regiões em portas diferentes. Isso ainda permitiria um banco de dados de usuário unificado, mas exigiria personalização no cliente para falar com uma porta não padrão.
21713 Smith
Isso não importaria para mim, pois os dois conjuntos de dispositivos clientes (no meu exemplo básico) se conectariam a um servidor TACACS. Desde que o banco de dados possa aguentar: CustArouter1 = IP 192.168.1.1 CustBrouter1 = IP 192.168.1.1 e tenha uma política baseada no roteador (ou no grupo em que o roteador está?) Que funcionaria para mim. Eu suspeito que eu estou amarrado em usar ACS da Cisco embora ...
Steve Wright
0

Tanto quanto eu vejo:

1) Use a política NAT para os endereços IP sobrepostos. Inclua endereços pré-NAT e pós-NAT ao adicionar o dispositivo. Não sei sobre o licenciamento aqui, mas, pela minha experiência, isso custará o mesmo que adicionar dois dispositivos diferentes.

2) Use um segredo compartilhado comum para sobrepor IPs. Má ideia, uma vez que violará as regras de política.

sergejv
fonte
1) NAT pode não ser uma opção para nós devido ao volume de dispositivos 2) Segredo compartilhado diferente não seria um problema para nós.
Steve Wright