Xác thực VRF của Tacacs


7

Chúng ta vừa có một Trình giám sát mới với os 3.4.1. Tôi đang cố gắng định cấu hình xác thực bằng tacacs và tôi không thể hiểu làm thế nào để nó hoạt động. Cấu hình này hoạt động trên các thiết bị chuyển mạch khác của chúng tôi, nhưng nó không hoạt động trên 4500 này.

aaa new-model
username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1
tacacs-server host 10.4.25.8 key ourKeyIsSecret
aaa authentication login default group tacacs+ local
line vty 0 15
 login authen default

Chúng tôi chỉ có thể đăng nhập với mật khẩu dự phòng. Công tắc thậm chí không cố gắng liên lạc với tacacs.

Có ai giúp được không?


1
Bạn có thể ping máy chủ tacacs + không? show tacacssẽ tiết lộ một số thông tin cũng như debug tacacs events.
generalnetworkerror

#ping vrf mgmtVrf 10.4.25.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.25.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Nachos

Câu trả lời:


8

Cấu hình này hoạt động trên các thiết bị chuyển mạch khác của chúng tôi, nhưng nó không hoạt động trên 4500 này.

Bạn đang sử dụng cổng Sup7 FastEthernet trên bo mạch, vì vậy đây là vấn đề của bạn:

aaa authentication login default group tacacs+ local
                                 ^^^^^^^^^^^^^

Cổng O7 Sup7 nằm trong VRF ; do đó, bạn phải định cấu hình Tacacs + trong VRF

aaa new-model
!
no tacacs-server host 10.4.25.8
!
aaa group server tacacs+ TacacsVrf
  server-private 10.4.25.8 key 7 ourKeyIsSecret
  ip vrf forwarding mgmtVrf
  ip tacacs source FastEthernet1
!
aaa authentication login default group TacacsVrf local

1

Đây là một phần của cấu hình tôi đang sử dụng trên 4506 chạy 12.2

username failsafe secret [local password]
aaa new-model
!
!
aaa authentication attempts login 3
aaa authentication fail-message ^Your fail message here.^
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+
! 
!
!
aaa session-id common
tacacs-server host [IP address]
tacacs-server timeout 10
no tacacs-server directed-request
tacacs-server key [key]

Không có gì trên VTY để đăng nhập. Hy vọng nó giúp.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.