การเข้าสู่ระบบล่าช้าเป็นเวลานานเมื่ออุปกรณ์ cisco ถูกบูท


10

เมื่อใดก็ตามที่เราบูตหรือรีบู๊ตเราเตอร์ของซิสโก้หรือสวิตช์เราต้องรอหลายนาทีก่อนที่เราจะได้รับพรอมต์ชื่อผู้ใช้สำหรับการเข้าสู่ระบบ เราได้รับข้อความที่ล้มเหลวเล็กน้อย

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

หลังจากผ่านไปสองสามนาทีข้อความแสดงข้อผิดพลาดด้านล่างจะปรากฏขึ้นและเราจะสามารถรับพร้อมท์ชื่อผู้ใช้เพื่อเริ่มกระบวนการเข้าสู่ระบบได้

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

การกำหนดค่าเริ่มต้น AAA ของเราถูกสร้างขึ้นมานานแล้วดังนั้นจึงอาจจำเป็นต้องมีการอัปเดตบางอย่างหากเป็นสาเหตุของปัญหาของเรา

อุปกรณ์ VRF:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

อุปกรณ์ที่ไม่ใช่ VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!

สวิตช์และเราเตอร์ชนิดใด iOS รุ่นใด ทุกคนมีพอร์ตการจัดการใน vrf หรือไม่?
Mike Pennington

เรามีสวิตช์ Catalyst ทุกรุ่นและ ISR ที่ผลิต เรามี IOS เวอร์ชันต่าง ๆ ที่ใช้งานอยู่เช่นกัน เกิดขึ้นกับรหัส 2900XL เก่าไปเป็นรหัส 15.0 ที่ใหม่กว่าใน 2921s อุปกรณ์บางอย่างอาจมี VRF ที่จัดการและเกิดขึ้นกับอุปกรณ์เหล่านั้นเช่นกัน
อดัมปราศจากความรัก

ขอบคุณการตั้งค่าที่คุณโพสต์จะทำงานภายใน vrf เท่านั้น ... คุณต้องกำหนดค่า tacac ต่าง ๆ ในตารางเส้นทางทั่วโลก
Mike Pennington

เรามีเทมเพลตการตั้งค่าที่แตกต่างกันหากไม่มี VRF ฉันจะอัปเดตคำถามของฉันพร้อมข้อมูลที่จำเป็น
อดัมปราศจากความรัก

คำตอบ:


13

หากสวิตช์ของคุณรองรับ (ไม่ใช่ IOS ทุกรุ่น) คำสั่งต่อไปนี้ควรแก้ไขให้คุณ:

no aaa accounting system guarantee-first

นี่คือบทความที่มีเนื้อหาครอบคลุมมากขึ้น: คุณจะรอ 2-3 นาทีในคอนโซลไหม

และเล็กน้อยจากเอกสารของ Cisco :

การสร้างเซสชันด้วยเราเตอร์ถ้าเซิร์ฟเวอร์ AAA ไม่สามารถเข้าถึงได้

ระบบบัญชี aaa รับประกันคำสั่งก่อนรับประกันระบบบัญชีเป็นบันทึกแรกซึ่งเป็นเงื่อนไขเริ่มต้น ในบางสถานการณ์ผู้ใช้อาจถูกป้องกันไม่ให้เริ่มเซสชันบนคอนโซลหรือการเชื่อมต่อเทอร์มินัลจนกระทั่งหลังจากรีโหลดระบบซึ่งอาจใช้เวลานานกว่าสามนาที

หากต้องการสร้างคอนโซลหรือเซสชันเทลเน็ตกับเราเตอร์หากเซิร์ฟเวอร์ AAA ไม่สามารถเข้าถึงได้เมื่อเราเตอร์โหลดใหม่ให้ใช้คำสั่ง no aaa ระบบบัญชีรับประกันคำสั่งแรก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.