시스코 장치 부팅시 긴 로그인 지연

Cisco 라우터 또는 스위치를 부팅 또는 재부팅 할 때마다 몇 분 동안 기다려야 로그인을위한 사용자 이름 프롬프트가 표시됩니다. 몇 가지 실패 메시지가 나타납니다.

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

몇 분 후 아래 오류 메시지가 나타나고 로그인 프로세스를 시작하기위한 사용자 이름 프롬프트가 표시됩니다.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

기본 AAA 구성은 오래 전에 생성되었으므로 문제의 원인 인 경우 업데이트가 필요할 수 있습니다.

VRF 장치 :

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

비 VRF 장치 :

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!

— 아담 러브리스
소스

어떤 종류의 스위치와 라우터? 어떤 iOS 버전? 그들 모두 vrf에 관리 포트가 있습니까?

— Mike Pennington

우리는 거의 모든 촉매 스위치 모델과 ISR을 만들었습니다. 우리는 많은 IOS 버전도 사용하고 있습니다. 이전 2900XL 코드에서 2921s의 최신 15.0 코드로 발생합니다. 모든 장치에 관리 VRF가있는 것은 아니며 해당 장치에서도 발생합니다.

— Adam Loveless

감사합니다. vrf 내부에서만 작동하는 구성 덕분에 글로벌 라우팅 테이블에서 tacac에 대한 다른 구성이 필요합니다

— Mike Pennington

VRF가 없으면 다른 구성 템플릿이 있습니다. 필요한 정보로 질문을 업데이트하겠습니다.

— Adam Loveless

스위치가 지원하는 경우 (일부 IOS 버전은 아님) 다음 명령으로이를 해결해야합니다.

no aaa accounting system guarantee-first

좀 더 깊이있는 기사가 있습니다 : 콘솔에서 2-3 분을 기다리시겠습니까?

그리고 시스코의 문서 에서 약간 :

AAA 서버에 접근 할 수없는 경우 라우터와의 세션 설정

aaa accounting system guarantee-first 명령은 시스템 계정을 기본 조건 인 첫 번째 레코드로 보장합니다. 경우에 따라 사용자는 시스템이 다시로드 될 때까지 콘솔 또는 터미널 연결에서 세션을 시작하지 못할 수 있으며,이 과정은 3 분 이상 걸릴 수 있습니다.

라우터가 다시로드 될 때 AAA 서버에 도달 할 수없는 경우 라우터와의 콘솔 또는 텔넷 세션을 설정하려면 no aaa accounting system guarantee-first 명령을 사용하십시오.

— 베드로
소스