Long délai de connexion lorsque le périphérique Cisco est démarré

10

Chaque fois que nous démarrons ou redémarrons un routeur ou un commutateur Cisco, nous devons attendre un certain nombre de minutes avant d'obtenir une invite de nom d'utilisateur pour la connexion. Nous recevons quelques messages d'échec

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Après quelques minutes, le message d'erreur ci-dessous s'affiche et nous pouvons ensuite obtenir avec succès une invite de nom d'utilisateur pour démarrer le processus de connexion.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Notre configuration AAA par défaut a été créée il y a longtemps, il peut donc être nécessaire de la mettre à jour si elle est à l'origine de nos problèmes.

Appareils VRF:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Appareils non VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
Adam Loveless
la source
quel type de commutateurs et de routeurs? quelles versions d'ios? tous ont-ils des ports de gestion dans un vrf?
Mike Pennington
Nous avons à peu près tous les modèles de commutateurs Catalyst et ISR. Nous avons également un grand nombre de versions IOS. Se produit sur l'ancien code 2900XL vers le nouveau code 15.0 sur les 2921s. Tous les appareils n'ont pas de VRF de gestion et cela se produit également sur ces appareils.
Adam Loveless
merci les configs que vous avez publiées ne fonctionnent qu'à l'intérieur d'un vrf ... vous avez besoin d'une config différente pour les tacacs dans la table de routage globale
Mike Pennington
Nous avons un modèle de configuration différent s'il n'y a pas de VRF. Je mettrai à jour ma question avec les informations nécessaires.
Adam Loveless

Réponses:

13

Si votre commutateur le prend en charge (pas toutes les versions IOS le font), la commande suivante devrait résoudre ce problème pour vous:

no aaa accounting system guarantee-first

Voici un article qui va plus en profondeur: cela vous dérangerait d'attendre 2-3 minutes dans une console?

Et un peu de la documentation de Cisco :

Établir une session avec un routeur si le serveur AAA est inaccessible

La commande aaa accounting system Guarantee-First garantit la comptabilité du système en tant que premier enregistrement, ce qui est la condition par défaut. Dans certaines situations, les utilisateurs peuvent être empêchés de démarrer une session sur la connexion de la console ou du terminal avant le rechargement du système, ce qui peut prendre plus de trois minutes.

Pour établir une session console ou telnet avec le routeur si le serveur AAA est inaccessible lors du rechargement du routeur, utilisez la commande no aaa accounting system Guarantee-First.

Peter
la source