Długie opóźnienie logowania po uruchomieniu urządzenia Cisco

10

Za każdym razem, gdy uruchamiamy lub ponownie uruchamiamy router lub przełącznik Cisco, musimy poczekać kilka minut, zanim otrzymamy monit o podanie nazwy użytkownika w celu zalogowania. Otrzymujemy kilka komunikatów o błędach

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Po kilku minutach pojawia się poniższy komunikat o błędzie i możemy z powodzeniem uzyskać monit o nazwę użytkownika, aby rozpocząć proces logowania.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Nasza domyślna konfiguracja AAA została stworzona dawno temu, więc może wymagać aktualizacji, jeśli jest to przyczyną naszych problemów.

Urządzenia VRF:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Urządzenia inne niż VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
Adam Loveless
źródło
jakie przełączniki i routery? jakie wersje iOS? czy wszystkie mają porty zarządzania w vrf?
Mike Pennington
Mamy prawie każdy model przełącznika Catalyst i ISR. Mamy również w użyciu wiele wersji IOS. Zdarza się na starym kodzie 2900XL na nowszym kodzie 15.0 na 2921s. Nie wszystkie urządzenia mają VRF do zarządzania i zdarza się to również na tych urządzeniach.
Adam Loveless,
dzięki konfiguracje, które opublikowałeś działają tylko wewnątrz vrf ... potrzebujesz innej konfiguracji dla tacacs w globalnej tabeli routingu
Mike Pennington
Mamy inny szablon konfiguracji, jeśli nie ma VRF. Zaktualizuję moje pytanie o niezbędne informacje.
Adam Loveless,

Odpowiedzi:

13

Jeśli Twój przełącznik go obsługuje (nie wszystkie wersje IOS), następujące polecenie powinno to naprawić:

no aaa accounting system guarantee-first

Oto artykuł, który pogłębia się: czy mógłbyś poczekać 2-3 minuty w konsoli?

I trochę z dokumentacji Cisco :

Ustanawianie sesji z routerem, jeśli serwer AAA jest nieosiągalny

Komenda aaa system gwarancja-pierwsza gwarantuje księgowość systemu jako pierwszy rekord, co jest warunkiem domyślnym. W niektórych sytuacjach użytkownicy mogą nie mieć możliwości rozpoczęcia sesji na konsoli lub połączeniu terminalu do czasu ponownego załadowania systemu, co może potrwać dłużej niż trzy minuty.

Aby ustanowić konsolę lub sesję telnet z routerem, jeśli serwer AAA jest nieosiągalny po ponownym załadowaniu routera, użyj polecenia „gwarancja bez systemu księgowego”.

Piotr
źródło