Lange Anmeldeverzögerung beim Booten des Cisco-Geräts


10

Wann immer wir einen Cisco-Router oder -Switch starten oder neu starten, müssen wir einige Minuten warten, bevor wir eine Eingabeaufforderung für den Benutzernamen zur Anmeldung erhalten. Wir erhalten einige Fehlermeldungen

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Nach einigen Minuten wird die folgende Fehlermeldung angezeigt und wir können erfolgreich eine Eingabeaufforderung für den Benutzernamen erhalten, um den Anmeldevorgang zu starten.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Unsere Standard-AAA-Konfiguration wurde vor langer Zeit erstellt, daher muss sie möglicherweise aktualisiert werden, wenn dies die Ursache für unsere Probleme ist.

VRF-Geräte:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Nicht-VRF-Geräte:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!

Welche Art von Switches und Routern? Welche iOS-Versionen? Haben alle von ihnen Management-Ports in einem VRF?
Mike Pennington

Wir haben fast jedes Modell von Catalyst Switch und ISR hergestellt. Wir haben auch eine große Anzahl von IOS-Versionen im Einsatz. Passiert mit altem 2900XL-Code und neuerem 15.0-Code mit 2921s. Nicht alle Geräte verfügen über eine Verwaltungs-VRF, und dies geschieht auch auf diesen Geräten.
Adam Loveless

Dank der von Ihnen geposteten Konfigurationen funktioniert nur in einem VRF ... Sie benötigen eine andere Konfiguration für Tacacs in der globalen Routing-Tabelle
Mike Pennington

Wir haben eine andere Konfigurationsvorlage, wenn keine VRFs vorhanden sind. Ich werde meine Frage mit den notwendigen Informationen aktualisieren.
Adam Loveless

Antworten:


13

Wenn Ihr Switch dies unterstützt (nicht alle IOS-Versionen), sollte der folgende Befehl dies für Sie beheben:

no aaa accounting system guarantee-first

Hier ist ein Artikel, der ausführlicher behandelt wird: Würde es Ihnen etwas ausmachen, 2-3 Minuten in einer Konsole zu warten?

Und ein bisschen aus der Dokumentation von Cisco :

Einrichten einer Sitzung mit einem Router, wenn der AAA-Server nicht erreichbar ist

Der Befehl aaa Accounting System Guarantee First garantiert die Systemabrechnung als ersten Datensatz. Dies ist die Standardbedingung. In einigen Situationen kann verhindert werden, dass Benutzer eine Sitzung über die Konsolen- oder Terminalverbindung starten, bis das System neu geladen wird. Dies kann länger als drei Minuten dauern.

Verwenden Sie den Befehl no aaa Accounting System Guarantee-First, um eine Konsolen- oder Telnet-Sitzung mit dem Router einzurichten, wenn der AAA-Server beim erneuten Laden des Routers nicht erreichbar ist.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.