多租户TACACS服务器

Question

Cisco 5.4 (或任何其他版本)可以在多租户环境中工作吗？

我希望有两个ACS服务器，一个主服务器，一个辅助服务器，具有完全不同的路由(但显然要保持对彼此的访问以进行复制)。

这将允许我对ACS进行集中管理，但我需要ACS接受来自潜在重叠IP地址的客户端设备请求。

当我试用ACS5.4时，它只是简单地抱怨第二个客户端设备的IP与第一个客户机设备的IP冲突。

Answer 1

因此，基本上，这在Cisco ACS (或者ISE，我相信)上是绝对不可能的，所以选择如下：

1. ACS的多个实例
2. NAT把IP藏起来

两者都是有效的，视情况而定。感谢您的输入！

Answer 2

我不能代表ACS说话，因为我只使用了开源的TACACS守护进程，但是我们使用了一个SQL后端，它允许不同的框具有完全不同的路由/策略，但仍然保持一致的用户DB。

Answer 3

据我所知：

1)对重叠IP地址使用策略NAT。在添加设备时包括预NAT地址和后NAT地址.我不知道这里的授权，但根据我的经验，这样做的代价与添加两种不同的设备相同。

2)对重叠的IP使用共同的共享秘密，这会违反策略规则，这是错误的。