Cisco
TACACS+ - Cisco 路由器 - 故障轉移到本地數據庫未正常執行
我有 TACACS+ 工作,現在我正在嘗試對其進行設置,以便在 TACACS+ 伺服器不可用時在本地進行故障轉移。
我的目標是首先檢查 TACACS 伺服器,如果無法聯繫,則進行故障轉移。
據我了解,下面的配置行將實現這一點,在“group tacacs+”命令之後出現“local”這個詞來實現這一點:
aaa 身份驗證登錄 vtymethod 組 tacacs+ 本地
測試:我禁用伺服器上的 TACACS 服務並嘗試與本地使用者進行身份驗證,並被告知該使用者不在一個組中(就像它被 TACACS 拒絕一樣)。
我可以使用以下命令行來實現上述最終目標:
aaa 身份驗證登錄 vtymethod 本地組 tacacs+
所以它首先檢查使用者是否首先在本地可用……我總是理解將它放在最後將允許它進行故障轉移並希望首先檢查 TACACS……
關於我在這裡出錯的任何提示?
實際上,我已經在使用各種 Cisco 交換機和路由器來執行此操作。以下是 IOS 配置中的相關程式碼行。
aaa new-model aaa authentication login default group tacacs+ local tacacs-server host **redacted** tacacs-server directed-request tacacs-server **redacted**
如您所見,是的,您在“tacacs+”後面加上“local”。
至於故障轉移需要多長時間,當您嘗試驗證 TACACS 源時,路由器必須至少 15 秒(超時 5 秒,嘗試聯繫伺服器 3 次)無法訪問 TACACS 源,然後驗證源才會更改為本地。https://supportforums.cisco.com/discussion/11350726/two-acs-server-failover