启动 cisco 设备时登录延迟很长

网络工程 转变 路由器 cisco-ios-12 cisco-ios-15 塔卡克斯
2021-07-28 19:01:43

每当我们启动或重新启动 Cisco 路由器或交换机时,我们都必须等待几分钟才能获得登录用户名提示。我们收到一些失败消息

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

几分钟后,出现以下错误消息,然后我们可以成功获得用户名提示以开始登录过程。

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

我们的默认 AAA 配置是很久以前创建的,因此如果它是我们问题的原因,则可能需要进行一些更新。

VRF设备:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

非 VRF 设备:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
1个回答

如果您的交换机支持(并非所有 IOS 版本都支持),则以下命令应该会为您解决此问题:

no aaa accounting system guarantee-first

这是一篇更深入的文章: 您介意在控制台中等待 2-3 分钟吗?

还有一点来自Cisco 的文档

如果 AAA 服务器不可达,则与路由器建立会话

aaa accounting system Guarantee-first 命令保证系统计费为第一条记录,这是默认条件。在某些情况下,在系统重新加载之前,可能会阻止用户在控制台或终端连接上启动会话,这可能需要三分钟以上的时间。

如果 AAA 服务器在路由器重新加载时无法访问,要与路由器建立控制台或 telnet 会话,请使用 no aaa accounting system Guarantee-first 命令。

其它你可能感兴趣的问题
上一篇为什么 Cisco ios 会乱序保存和显示访问列表条目? 下一篇Cisco IOS:显示 ip 路由输出顺序