取消
显示结果 
搜索替代 
您的意思是: 
cancel
2654
查看次数
0
有帮助
4
回复

【请教贴】关于N9K 三A异常,查看原因的思路及命令,

linwei22403
Spotlight
Spotlight
目前四台N9K,均加了三A,命令是一样的,后来不知道改了什么,有一台 三A怎么也起不来了,只能本地登录,能否查看原因的命令或思路,再次感谢
配置如下
tacacs-server host 10.67.8.90 key 7 "fewhg"
aaa group server tacacs+ acs
server 10.67.8.90
aaa authentication login default group acs
aaa authentication login console local
1 个已接受解答

已接受的解答

ilay
VIP
VIP
linwei22403 发表于 2021-1-13 14:08
1感谢你的回答目前我只能用本地账号登录 通过.show logging last 50 发现三A登录失败 server 无响应
2021 ...

acs上面的认证记录显示的是什么错误信息?
9k上面有配置ip tacacs source-interface xxx (ip radius source-interface xxx // Radius 使此命令)来指定发送认证数据的源接口吗?
感觉还是得从地址上入手。如果没有配置source-interface ,那得查询一下是不是路由的问题了,默认情况下发送认证请求使用的是去往目的地址最近的那个接口的接口地址。
如果配置了source-interface,建议看下acs上的认证记录,看下acs上的消息是什么
另外,回复消息的时候点击我回复的那个楼层的那个“回复”按钮来输入消息,这样我这里能收到通知,单独在一个楼层里写消息我这里是看不到通知的。

在原帖中查看解决方案

4 条回复4

ilay
VIP
VIP
linwei22403 发表于 2021-1-13 14:08
1感谢你的回答目前我只能用本地账号登录 通过.show logging last 50 发现三A登录失败 server 无响应
2021 ...

acs上面的认证记录显示的是什么错误信息?
9k上面有配置ip tacacs source-interface xxx (ip radius source-interface xxx // Radius 使此命令)来指定发送认证数据的源接口吗?
感觉还是得从地址上入手。如果没有配置source-interface ,那得查询一下是不是路由的问题了,默认情况下发送认证请求使用的是去往目的地址最近的那个接口的接口地址。
如果配置了source-interface,建议看下acs上的认证记录,看下acs上的消息是什么
另外,回复消息的时候点击我回复的那个楼层的那个“回复”按钮来输入消息,这样我这里能收到通知,单独在一个楼层里写消息我这里是看不到通知的。

ilay
VIP
VIP
登录这台9k之后使用test aaa group 或者 test aaa server 测试一下这台9k到acs的验证情况。
show logging last 50 查看最新的50条log信息有无认证失败的相关log
如果有权限登录acs,在查询一下这台9k的地址是不没有在network device的列表里面。或者是否曾经更换过9k的地址, acs的认证记录中应该也可以查到相关的认证信息。
9k中有条隐藏的命令“aaa authentication login default fallback error local ”保证你在acs或者其他radius/tacas失败时候能够使用本地账户登录进去。

linwei22403
Spotlight
Spotlight
1感谢你的回答目前我只能用本地账号登录 通过.show logging last 50 发现三A登录失败 server 无响应
2021 Jan 9 08:44:23 C9332C_FIWO_Core_66.0.2 %AUTHPRIV-3-SYSTEM_MSG: pam_aaa:Authentication failed from 10.67.7.163 - login
2021 Jan 9 08:44:26 C9332C_FIWO_Core_66.0.2 %TACACS-3-TACACS_ERROR_MESSAGE: All servers failed to respond。
2.三A服务器中加的是这个网段1个C的地址段,并且其他三台都正常

linwei22403
Spotlight
Spotlight
gengchunlin 发表于 2021-1-13 09:06
acs上面的认证记录显示的是什么错误信息?
9k上面有配置ip tacacs source-interface xxx (ip radius sou ...

ip tacacs source-interface xxx 这个敲上 就好了。非常感谢你,希望以后我有疑问请教你,还能不吝赐教,感谢!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接