Ciscoデバイスの起動時に長いログイン遅延

10

Ciscoルーターまたはスイッチを起動または再起動するときはいつでも、ログインのためのユーザー名プロンプトを取得するまで数分待つ必要があります。いくつかの失敗メッセージが表示されます

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

数分後、以下のエラーメッセージが表示され、ログインプロセスを開始するためのユーザー名プロンプトを正常に取得できます。

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

デフォルトのAAA構成はかなり前に作成されたため、問題の原因である場合は更新が必要になる場合があります。

VRFデバイス:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

非VRFデバイス:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!
switch  router  cisco-ios-12  cisco-ios-15  tacacs 
アダムラブレス
ソース
どのようなスイッチとルーターですか?どのiOSバージョンですか?それらすべてにVRFの管理ポートがありますか?
マイクペニントン2013
ほぼすべてのモデルのCatalystスイッチとISRが製造されています。多くのIOSバージョンが使用されています。古い2900XLコードで発生し、2921sでは新しい15.0コードになります。すべてのデバイスに管理VRFがあるわけではなく、それらのデバイスでも発生します。
Adam Loveless 2013
投稿した設定はvrf内でのみ機能するため、グローバルルーティングテーブルでtacacsに別の設定が必要です
Mike Pennington
VRFがない場合は、別の設定テンプレートがあります。必要な情報で質問を更新します。
Adam Loveless 2013

回答:

13

ご使用のスイッチでサポートされている場合(すべてのIOSバージョンがサポートしているわけではありません)、次のコマンドでこれを修正できます。

no aaa accounting system guarantee-first

これは、より深く掘り下げた記事 です。コンソールで2〜3分間待っていただけませんか。

そして、シスコのドキュメントから少し:

AAAサーバーに到達できない場合のルーターとのセッションの確立

aaa accounting system prevent-firstコマンドは、システムアカウンティングをデフォルトの条件である最初のレコードとして保証します。状況によっては、システムのリロードが完了するまで(3分以上かかる場合がある)、ユーザーがコンソールまたはターミナル接続でセッションを開始できない場合があります。

ルータのリロード時にAAAサーバに到達できない場合に、ルータとのコンソールセッションまたはTelnetセッションを確立するには、no aaa accounting systemギャランティ-firstコマンドを使用します。

ピーター
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.