本帖最后由 xiaocqu 于 2018-10-12 01:25 编辑

1/ 平台和版本说明：
（1）ASA硬件型号：ASA5555
（2）ASA软件版本：9.4.4
（3）ACS版本: 5.8.1.4
2/ ASA配置：
ciscoasa# sh run aaa
aaa authentication ssh console ACS LOCAL
aaa authentication http console ACS LOCAL
aaa authentication telnet console ACS LOCAL
aaa authentication enable console ACS LOCAL
aaa authorization command ACS LOCAL
aaa accounting ssh console ACS
aaa accounting telnet console ACS
aaa accounting command ACS
aaa authentication secure-http-client
aaa authorization exec authentication-server auto-enable
ciscoasa# sho run aaa-server
aaa-server ACS protocol tacacs+
aaa-server ACS (inside) host X.X.X.X
3/ 场景再现：
（1）通过测试，使用ACS账户可以正常访问ASA。
（2）现在模拟ACS服务器down，手动切断ACS服务器网络（即shutdown 交换机对应端口），然后再恢复ACS服务器网络（即no shutdown交换机对应端口）。
（3）再次使用ACS账户访问ASA，由于已经设置了线下保护，发现10分钟内只能使用本地账户的信息，10分钟之后才可以使用ACS的账户。
4/ 问题：
当ACS服务器恢复后，是否可以取消等待时间？
5/ 解决方案：
通过查看aaa-server状态如下：
ciscoasa# show run all aaa-server
aaa-server ACS protocol tacacs+
accounting-mode single
reactivation-mode depletion deadtime 10
max-failed-attempts 3
aaa-server ACS (inside) host X.X.X.X
timeout 10
server-port 49
proxy-auth_map sdi next-code "Enter Next PASSCODE"
proxy-auth_map sdi new-pin-sup "Please remember your new PIN"
proxy-auth_map sdi new-pin-meth "Do you want to enter your own pin"
proxy-auth_map sdi new-pin-req "Enter your new"
proxy-auth_map sdi new-pin-reenter "Reenter PIN:"
proxy-auth_map sdi new-pin-sys-ok "New PIN Accepted"
proxy-auth_map sdi next-ccode-and-reauth "new PIN with the next card code"
proxy-auth_map sdi ready-for-sys-pin "ACCEPT A SYSTEM GENERATED PIN"
通过修改‘reactivation-mode depletion deadtime 10’ 值设置为1
注：
1）deadtime 默认是 10mins
2）该deadtime设置为0的时候，使用本地账户就有问题了，使用本地账户的时候，每次操作一条命令，都必须要等待30s时间，建议设置为1
参考连接：
https://www.cisco.com/c/en/us/td ... ml#ID-2115-000000a9