分享是一种生活态度,求知,求真,分享工作,分享生活!

N7k tacacs认证失败案例分析

Cisco iqianyue 1460次浏览 0个评论 扫描二维码

案例介绍

用户配置了AAA 以及tacacs+认证,以前一直运行正常,某一天突然远程登录失败,但从console可以登录(console口本地认证)。基本配置如下:

问题分析思路

从现象来看,基本可以肯定问题出现在AAA TACACS+认证这一块,到底是什么原因导致认证失败呢?是N7K工作不正常,还是认证主机有问题?基本查错过程如下:

查看log信息,显示tacacs server没有响应。

从console口登录N7K后,ping 认证主机,没有问题,说明IP连通性并没有问题。

在tacacs server端抓包,可以抓到ping报文,但抓不到tacacs认证报文,说明问题还是出现在N7K端。

用N7K内置的ethanalyzer工具,抓从CPU发出到management接口的报文,也抓不到tacacs报文,说明该报文根本就没有出CPU,问题可能出现在tacacs进程上。

查看tacacs process,发现有多个tacacs进程。

Debug tacacs aaa-request 显示一些具体的失败信息:

用如上信息在TAC case库里查找,发现匹配一个software bug:

CSCud02139
The tacacsd process spawns child processes which get stuck. This reaches a maximum of 32 processes and it is unable to spawn any more to pass the authentication.

该bug将在如下版本中解决。

5.2(9)及更高
6.1(3)及更高

有3种临时解决方案:

  1. 去掉相关AAA/tacacs+配置,重启tacacs+ feature,然后再重新加上相关配置
  2. 如果双引擎,可以做一次引擎切换
  3. 重启该VDC。

问题总结

当N7K出现和认证服务器的通讯问题时,我们可以先借助于抓包定位是哪端的问题,然后通过debug信息及进程信息,收集到认证失败的具体原因,这些原因对我们最终找到root cause非常重要。

经验总结

无。

相关命令


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址