Keywords: Troubleshooting TACACS+ 3500 bug
　　有些问题，看起来很奇怪，很难，其实往往很简单。
　　比如最近我碰到一件事，有位客户因为网络调整的需要，将TACACS+从一个子网移到另一个子网，很简单的事，可是移过来把配置作了相应的修改之后，却不能进行认证了。
　　接收RAS（一台器）和TACACS+服务可以互相ping通，从TACACS+服务器telnet登录RAS也没有任何问题，看起来唯一的区别只是原来RAS和TACACS+服务器在同一个子网，现在是在不同的子网里面而已。
　　有一点我相当清楚就是，TACACS+使用的是TCP 49号端口进行通讯，不同子网当然没问题。所以我怀疑TACACS+服务配置有问题，但是经过再三验证，TACACS+服务器工作是正常的。
　　在RAS上观察debug aaa authentication输出，表明已经向发出了请求，但是总是超时，仔细看从RAS到TACACS+路径上经过的两个路由器，也没有任何防问控制列表...
　　Show cdp nei看了一下，意外发现RAS竟然看不到邻居，线有问题？经过检查，原来在RAS和另一台路由器之间有一个工作于透明桥接方式的Neteye！
　　　
　　问题虽然解决了，但浪费了很多时间，教训就是首先要熟悉网络的结构，其次，应该采取系统化的排错技术，如果我早点按照OSI模型，一层层地定性检查，问题早可以发现并解决了。
　　如果按照系统化的排错技术，首先应该定义问题：“不能认证”；收集信息：TACACS+服务器配置正确，连接“timeout”,可能是通讯问题。分析问题：有Link、Active信号,物理层没问题。show cdp nei 不能发现邻居,原因是什么...
　　系统化的排错技术的好处在于确保排错有一定的效率。当然高排错效率的基础是对技术要有良好的掌握，包括原理、机制和实践经验。说到经验，并不是说一定是来自自身的积累。到BBS参与讨论，可以参加讨论，参与在高手协助下解决难题的过程，学到经验，交到朋友，在此推荐CCO上的 、以及新闻组。
　　一些产品和技术中的已知问题往往已经整理成数据库，检索这些资料是快速解决问题的途径之一。如CCO上的Technical Tips、 、Hardware-Software Compatibilty Metric、Bug Toolkit等。象最近有一个网络工作原本正常，但当在接入层35xx机上启用了Uplinkfast之后有时会出现网络中断现象，利用Bug Toolkit，找到了问题的原因以及可能的对策:
　　【责编:admin】
--------------------next---------------------