Всякий раз, когда мы загружаем или перезагружаем маршрутизатор или коммутатор Cisco, нам нужно подождать несколько минут, прежде чем мы сможем получить запрос имени пользователя для входа в систему. Мы получаем несколько сообщений об ошибках
Press RETURN to get started.
% Authentication failed
% Authentication failed
% Authentication failed
Press RETURN to get started.
Через несколько минут появится сообщение об ошибке, показанное ниже, и мы сможем успешно получить запрос имени пользователя, чтобы начать процесс входа в систему.
Aug 9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system
Наша конфигурация AAA по умолчанию была создана давно, поэтому может потребоваться ее обновление, если это является причиной наших проблем.
VRF устройства:
!
aaa new-model
aaa group server tacacs+ tacacs1
server-private <IP> key 7 <key>
server-private <IP> key 7 <key>
ip vrf forwarding <vrf-name>
ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!
Устройства без VRF:
!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
что за свитчи и роутеры? какие версии ios? у всех них есть порты управления в VRF?
—
Майк Пеннингтон
У нас есть практически все модели коммутаторов Catalyst и ISR. У нас также есть большое количество версий IOS. Бывает от старого кода 2900XL до более нового кода 15.0 на 2921-м. Не все устройства имеют VRF управления, и это также происходит на этих устройствах.
—
Адам Лавлесс
спасибо, что опубликованные вами конфиги работают только внутри vrf ... вам нужен другой конфиг для tacacs в глобальной таблице маршрутизации
—
Майк Пеннингтон,
У нас есть другой шаблон конфигурации, если нет VRF. Я обновлю свой вопрос необходимой информацией.
—
Адам Лавлесс