Cisco

TACACS+ - Cisco 路由器 - 故障轉移到本地數據庫未正常執行

  • September 15, 2016

我有 TACACS+ 工作,現在我正在嘗試對其進行設置,以便在 TACACS+ 伺服器不可用時在本地進行故障轉移。

我的目標是首先檢查 TACACS 伺服器,如果無法聯繫,則進行故障轉移。

據我了解,下面的配置行將實現這一點,在“group tacacs+”命令之後出現“local”這個詞來實現這一點:

aaa 身份驗證登錄 vtymethod 組 tacacs+ 本地

測試:我禁用伺服器上的 TACACS 服務並嘗試與本地使用者進行身份驗證,並被告知該使用者不在一個組中(就像它被 TACACS 拒絕一樣)。

我可以使用以下命令行來實現上述最終目標:

aaa 身份驗證登錄 vtymethod 本地組 tacacs+

所以它首先檢查使用者是否首先在本地可用……我總是理解將它放在最後將允許它進行故障轉移並希望首先檢查 TACACS……

關於我在這裡出錯的任何提示?

實際上,我已經在使用各種 Cisco 交換機和路由器來執行此操作。以下是 IOS 配置中的相關程式碼行。

aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host **redacted**
tacacs-server directed-request
tacacs-server **redacted**

如您所見,是的,您在“tacacs+”後面加上“local”。

至於故障轉移需要多長時間,當您嘗試驗證 TACACS 源時,路由器必須至少 15 秒(超時 5 秒,嘗試聯繫伺服器 3 次)無法訪問 TACACS 源,然後驗證源才會更改為本地。https://supportforums.cisco.com/discussion/11350726/two-acs-server-failover

引用自:https://serverfault.com/questions/513285