Za każdym razem, gdy uruchamiamy lub ponownie uruchamiamy router lub przełącznik Cisco, musimy poczekać kilka minut, zanim otrzymamy monit o podanie nazwy użytkownika w celu zalogowania. Otrzymujemy kilka komunikatów o błędach
Press RETURN to get started.
% Authentication failed
% Authentication failed
% Authentication failed
Press RETURN to get started.
Po kilku minutach pojawia się poniższy komunikat o błędzie i możemy z powodzeniem uzyskać monit o nazwę użytkownika, aby rozpocząć proces logowania.
Aug 9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system
Nasza domyślna konfiguracja AAA została stworzona dawno temu, więc może wymagać aktualizacji, jeśli jest to przyczyną naszych problemów.
Urządzenia VRF:
!
aaa new-model
aaa group server tacacs+ tacacs1
server-private <IP> key 7 <key>
server-private <IP> key 7 <key>
ip vrf forwarding <vrf-name>
ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!
Urządzenia inne niż VRF:
!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
jakie przełączniki i routery? jakie wersje iOS? czy wszystkie mają porty zarządzania w vrf?
—
Mike Pennington
Mamy prawie każdy model przełącznika Catalyst i ISR. Mamy również w użyciu wiele wersji IOS. Zdarza się na starym kodzie 2900XL na nowszym kodzie 15.0 na 2921s. Nie wszystkie urządzenia mają VRF do zarządzania i zdarza się to również na tych urządzeniach.
—
Adam Loveless,
dzięki konfiguracje, które opublikowałeś działają tylko wewnątrz vrf ... potrzebujesz innej konfiguracji dla tacacs w globalnej tabeli routingu
—
Mike Pennington
Mamy inny szablon konfiguracji, jeśli nie ma VRF. Zaktualizuję moje pytanie o niezbędne informacje.
—
Adam Loveless,