Ogni volta che eseguiamo l'avvio o il riavvio di un router o switch Cisco, dobbiamo attendere alcuni minuti prima di poter ricevere un nome utente per l'accesso. Riceviamo alcuni messaggi di errore
Press RETURN to get started.
% Authentication failed
% Authentication failed
% Authentication failed
Press RETURN to get started.
Dopo alcuni minuti viene visualizzato il seguente messaggio di errore e possiamo quindi ottenere correttamente un prompt del nome utente per avviare il processo di accesso.
Aug 9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system
La nostra configurazione AAA predefinita è stata creata molto tempo fa, quindi potrebbe essere necessario un aggiornamento se è la causa dei nostri problemi.
Dispositivi VRF:
!
aaa new-model
aaa group server tacacs+ tacacs1
server-private <IP> key 7 <key>
server-private <IP> key 7 <key>
ip vrf forwarding <vrf-name>
ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!
Dispositivi non VRF:
!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
che tipo di switch e router? quali versioni di iOS? tutte hanno porte di gestione in un vrf?
—
Mike Pennington,
Abbiamo praticamente fatto ogni modello di interruttore Catalyst e ISR. Abbiamo anche un ampio numero di versioni di IOS in uso. Succede sul vecchio codice 2900XL con il codice 15.0 più recente sui 2921s. Non tutti i dispositivi hanno una gestione VRF e ciò accade anche su quei dispositivi.
—
Adam Loveless,
grazie le configurazioni che hai pubblicato funzionano solo all'interno di un vrf ... hai bisogno di una configurazione diversa per i tacac nella tabella di routing globale
—
Mike Pennington
Abbiamo un modello di configurazione diverso se non ci sono VRF. Aggiornerò la mia domanda con le informazioni necessarie.
—
Adam Loveless,