请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
12
返回列表 发新帖
楼主: xiaocqu

【原创故障案例分享】ASA上添加RADIUS/TACACS+ 优先级

[复制链接]
 楼主| 发表于 2018-9-20 23:39:57 | 显示全部楼层
本帖最后由 xiaocqu 于 2018-9-21 06:27 编辑
wuleihen 发表于 2018-9-20 09:37
抱歉LZ,我看了一遍,没发现哪里有跟如何设置优先级的内容??我看走眼了??

谢谢您的提问。

首先我们先同步一下,什么是RADIUS/TACACS+优先级?

通读一遍ASA的radius configuration guide会发现,全文几乎也没有提到优先级(priority)的概念。常规的设置,就是先配置的aaa-server组中认证服务器条目,优先被选择做为认证服务器。

我的理解,此处的优先级就是为了设置执行顺序。由于优先级的概念通常给我们的印象是设置固定的数值,然后决定先后执行顺序的。但此处并没有出现具体数值,使用“优先级”这个词也不是十分准确,所以我可以理解您的疑问。

若使用默认隐藏配置(reactivation-mode depletion deadtime 10),当第一条认证服务器条目标记为failed后,会直接跳过寻找第二条,具体可以参考本文的【3/--3)--C部分】的log信息。而此时用户并不知道之前第一条认证服务器已经被标记failed,即使第一条认证服务器已经恢复正常,依然被标记failed。除非除该服务器以外所有认证服务器均被标记failed,才开始重新激活第一条认证服务器。此时给人的感觉,认证不是从第一条服务器条目开始,很像随机选择的。

如本文开头提到,用户希望时刻优选使用aaa-server组中认证服务器的条目中第一条。为了实现用户的需求,Cisco引进“ reactivation-mode timed” 当第一条认证服务器被标记failed,30s后,再次reactive。即每次认证优先从第一条检测,即体现优先级


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-19 17:57 , Processed in 0.074056 second(s), 23 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表