Команда ip tacacs source-interface задает исходный интерфейс (и его IP-адрес), с которого будут отправляться все исходящие пакеты TACACS+ с сетевого устройства (коммутатора, маршрутизатора).
Это нужно для двух основных целей:
- Обеспечение предсказуемости и безопасности: Все запросы идут с одного известного IP-адреса.
- Решение проблем с асимметричной маршрутизацией: Ответ от TACACS+ сервера всегда будет корректно возвращаться на устройство.
Подробное объяснение "для чего это"
- Идентификация устройства на сервере (как "имя"):
TACACS+ сервер видит запросы по исходному IP-адресу.
На сервере настраиваются правила доступа (permit, deny) и ключи (key) именно для этого IP-адреса.
Если IP "плавает" (например, используется IP-адрес того интерфейса, который ближе к серверу), сервер не сможет надежно идентифицировать устройство. Представьте, что вы звоните другу каждый раз с нового номера — он не будет знать, кто звонит. - Устранение проблем с маршрутизацией:
У сетевого устройства много интерфейсов с разными IP-адресами.
Если запрос на TACACS+ сервер ушел с IP-адреса интерфейса GigabitEthernet0/1, а ответ сервера пришел на интерфейс GigabitEthernet0/0 (из-за таблицы маршрутизации на стороне сервера), устройство может "не узнать" свой же запрос и сбросить соединение.
Фиксация исходного интерфейса гарантирует, что ответ всегда будет приходить на него, и сессия установится. - Управляемость и best practice:
Администратор всегда знает, с какого IP-адреса устройство "стучится" на серверы аутентификации.
Это упрощает настройку ACL (Access Control List) на фаерволе для разрешения TACACS+ трафика только с конкретных, доверенных IP-адресов.
Примеры конфигурации
Пример 1: Базовый на коммутаторе или маршрутизаторе
Допустим, у вас есть коммутатор, и вы хотите, чтобы весь TACACS+ трафик исходил из VLAN управления (Management VLAN), интерфейс которого Vlan10 имеет адрес 10.10.10.5.
Что происходит:
Теперь, когда пользователь пытается войти на устройство по SSH/Telnet или перейти в привилегированный режим (enable), все запросы к серверу 10.10.10.100 будут идти с IP-адреса 10.10.10.5. Сервер 10.10.10.100 должен быть сконфигурирован принимать запросы с этого адреса и использовать тот же ключ (MySecretKey123).
Пример 2: Настройка на файрволе Cisco ASA / FTD
На платформах ASA/FTD команда немного отличается, но логика та же.
Альтернатива и важный нюанс
- Альтернатива ip tacacs source-interface — использование команды ip radius source-interface. Для протокола RADIUS используется аналогичная команда. Часто для обоих протоколов настраивают один и тот же интерфейс для единообразия.
- Настройка на самом TACACS+ сервере (например, Cisco ISE):
На сервере должна быть корректная маршрутизация до того IP-адреса, который вы указали в source-interface. Если вы указали Loopback0 с адресом 192.168.1.1, то сеть 192.168.1.1/32 должна быть маршрутизируема с TACACS+ сервера до вашего устройства. Поэтому часто в качестве источника выбирают интерфейс из основной управляющей сети (Management VLAN), а не абстрактный Loopback, если с маршрутизацией могут быть проблемы.
Итог
Рекомендация: Всегда используйте эту команду в production-среде. В качестве источника лучше всего использовать выделенный Loopback-интерфейс (так как он никогда не бывает "down" физически) или интерфейс управляющей VLAN (Management Vlan).