引导思科设备时的长登录延迟

10

每当我们启动或重启Cisco路由器或交换机时,我们都必须等待几分钟,然后我们才能获得用户名提示登录。我们收到一些失败消息

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

几分钟后,出现以下错误消息,然后我们可以成功获取用户名提示,以启动登录过程。

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

我们的默认AAA配置是很久以前创建的,因此如果这是导致我们出现问题的原因,则可能需要进行一些更新。

VRF设备:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

非VRF设备:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
switch  router  cisco-ios-12  cisco-ios-15  tacacs 
亚当·洛夫莱斯(Adam Loveless)
source
什么样的交换机和路由器?哪些ios版本?它们都在vrf中具有管理端口吗?
Mike Pennington
我们几乎生产了每种型号的Catalyst交换机和ISR。我们也使用了许多IOS版本。发生在旧的2900XL代码到2921的新的15.0代码上。并非所有设备都具有管理VRF,它也发生在这些设备上。
Adam Loveless 2013年
感谢您发布的配置只能在vrf内使用...您需要为全局路由表中的tacacs配置不同的配置
Mike Pennington 2013年
如果没有VRF,我们确实有不同的配置模板。我将用必要的信息更新我的问题。
Adam Loveless

Answers:

13

如果您的交换机支持(并非所有IOS版本都支持),则以下命令应为您解决此问题:

no aaa accounting system guarantee-first

这是一篇更深入的文章: 您介意在控制台中等待2-3分钟吗?

还有一点来自思科的文档

如果AAA服务器无法访问,则与路由器建立会话

aaa accounting system guarantee-first命令将系统计费作为第一条记录,这是默认条件。在某些情况下,直到重新加载系统之后,才可能阻止用户在控制台或终端连接上启动会话,这可能需要三分钟以上的时间。

如果在重新加载路由器时无法访问AAA服务器,则要与路由器建立控制台或telnet会话,请使用no aaa accounting system guarantee-first命令。

彼得
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.