Larga demora de inicio de sesión cuando se inicia el dispositivo Cisco

10

Cada vez que iniciamos o reiniciamos un enrutador o conmutador Cisco, tenemos que esperar varios minutos antes de que podamos obtener un mensaje de nombre de usuario para iniciar sesión. Recibimos algunos mensajes de error

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Después de unos minutos, aparece el siguiente mensaje de error y luego podemos obtener con éxito una solicitud de nombre de usuario para iniciar el proceso de inicio de sesión.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Nuestra configuración AAA predeterminada se creó hace mucho tiempo, por lo que puede necesitar alguna actualización si es la causa de nuestros problemas.

Dispositivos VRF:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Dispositivos no VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
Adam Loveless
fuente
¿Qué tipo de conmutadores y enrutadores? ¿Qué versiones de iOS? ¿Todos tienen puertos de administración en un vrf?
Mike Pennington el
Tenemos casi todos los modelos de switch Catalyst e ISR hechos. También tenemos una gran cantidad de versiones de IOS en uso. Ocurre en el antiguo código 2900XL con el nuevo código 15.0 en 2921s. No todos los dispositivos tienen un VRF de gestión y también sucede en esos dispositivos.
Adam Loveless el
gracias las configuraciones que publicaste solo funcionan dentro de un vrf ... necesitas una configuración diferente para tacacs en la tabla de enrutamiento global
Mike Pennington
Tenemos una plantilla de configuración diferente si no hay VRF. Actualizaré mi pregunta con la información necesaria.
Adam Loveless

Respuestas:

13

Si su conmutador lo admite (no todas las versiones de IOS lo hacen), el siguiente comando debería solucionarlo por usted:

no aaa accounting system guarantee-first

Aquí hay un artículo que profundiza: ¿Te importaría esperar 2-3 minutos en una consola?

Y un poco de la documentación de Cisco :

Establecer una sesión con un enrutador si el servidor AAA no es accesible

El comando aaa sistema de contabilidad garantía-primero garantiza la contabilidad del sistema como el primer registro, que es la condición predeterminada. En algunas situaciones, se puede impedir que los usuarios inicien una sesión en la consola o en la conexión del terminal hasta después de que el sistema se vuelva a cargar, lo que puede llevar más de tres minutos.

Para establecer una sesión de consola o telnet con el enrutador si el servidor AAA no es accesible cuando el enrutador se recarga, utilice el comando de garantía de sistema de contabilidad no aaa.

Peter
fuente