Длинная задержка входа при загрузке устройства cisco


10

Всякий раз, когда мы загружаем или перезагружаем маршрутизатор или коммутатор Cisco, нам нужно подождать несколько минут, прежде чем мы сможем получить запрос имени пользователя для входа в систему. Мы получаем несколько сообщений об ошибках

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Через несколько минут появится сообщение об ошибке, показанное ниже, и мы сможем успешно получить запрос имени пользователя, чтобы начать процесс входа в систему.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Наша конфигурация AAA по умолчанию была создана давно, поэтому может потребоваться ее обновление, если это является причиной наших проблем.

VRF устройства:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Устройства без VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!

что за свитчи и роутеры? какие версии ios? у всех них есть порты управления в VRF?
Майк Пеннингтон

У нас есть практически все модели коммутаторов Catalyst и ISR. У нас также есть большое количество версий IOS. Бывает от старого кода 2900XL до более нового кода 15.0 на 2921-м. Не все устройства имеют VRF управления, и это также происходит на этих устройствах.
Адам Лавлесс

спасибо, что опубликованные вами конфиги работают только внутри vrf ... вам нужен другой конфиг для tacacs в глобальной таблице маршрутизации
Майк Пеннингтон,

У нас есть другой шаблон конфигурации, если нет VRF. Я обновлю свой вопрос необходимой информацией.
Адам Лавлесс

Ответы:


13

Если ваш коммутатор поддерживает это (не все версии IOS), следующая команда должна это исправить:

no aaa accounting system guarantee-first

Вот статья, которая углубляется: не могли бы вы подождать 2-3 минуты в консоли?

И немного из документации Cisco :

Установление сеанса с маршрутизатором, если сервер AAA недоступен

Команда гарантии первой учетной записи aaa гарантирует системный учет в качестве первой записи, что является условием по умолчанию. В некоторых ситуациях пользователям может быть запрещено запускать сеанс на подключении к консоли или терминалу до тех пор, пока система не перезагрузится, что может занять более трех минут.

Чтобы установить сеанс консоли или telnet с маршрутизатором, если сервер AAA недоступен при перезагрузке маршрутизатора, используйте команду no-aaa account system system first-гарантия.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.