Keywords: Troubleshooting TACACS+ 3500 bug
有些问题,看起来很奇怪,很难,其实往往很简单。
比如最近我碰到一件事,有位客户因为网络调整的需要,将TACACS+从一个子网移到另一个子网,很简单的事,可是移过来把配置作了相应的修改之后,却不能进行认证了。
接收RAS(一台器)和TACACS+服务可以互相ping通,从TACACS+服务器telnet登录RAS也没有任何问题,看起来唯一的区别只是原来RAS和TACACS+服务器在同一个子网,现在是在不同的子网里面而已。
有一点我相当清楚就是,TACACS+使用的是TCP 49号端口进行通讯,不同子网当然没问题。所以我怀疑TACACS+服务配置有问题,但是经过再三验证,TACACS+服务器工作是正常的。
在RAS上观察debug aaa authentication输出,表明已经向发出了请求,但是总是超时,仔细看从RAS到TACACS+路径上经过的两个路由器,也没有任何防问控制列表...
Show cdp nei看了一下,意外发现RAS竟然看不到邻居,线有问题?经过检查,原来在RAS和另一台路由器之间有一个工作于透明桥接方式的Neteye!
问题虽然解决了,但浪费了很多时间,教训就是首先要熟悉网络的结构,其次,应该采取系统化的排错技术,如果我早点按照OSI模型,一层层地定性检查,问题早可以发现并解决了。
如果按照系统化的排错技术,首先应该定义问题:“不能认证”;收集信息:TACACS+服务器配置正确,连接“timeout”,可能是通讯问题。分析问题:有Link、Active信号,物理层没问题。show cdp nei 不能发现邻居,原因是什么...
系统化的排错技术的好处在于确保排错有一定的效率。当然高排错效率的基础是对技术要有良好的掌握,包括原理、机制和实践经验。说到经验,并不是说一定是来自自身的积累。到BBS参与讨论,可以参加讨论,参与在高手协助下解决难题的过程,学到经验,交到朋友,在此推荐CCO上的 、以及新闻组。
一些产品和技术中的已知问题往往已经整理成数据库,检索这些资料是快速解决问题的途径之一。如CCO上的Technical Tips、 、Hardware-Software Compatibilty Metric、Bug Toolkit等。象最近有一个网络工作原本正常,但当在接入层35xx机上启用了Uplinkfast之后有时会出现网络中断现象,利用Bug Toolkit,找到了问题的原因以及可能的对策:
【责编:admin】
--------------------next---------------------
阅读(269) | 评论(0) | 转发(0) |