Chinaunix首页 | 论坛 | 博客
  • 博客访问: 632900
  • 博文数量: 825
  • 博客积分: 5000
  • 博客等级: 大校
  • 技术积分: 4980
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-27 14:19
文章分类

全部博文(825)

文章存档

2011年(1)

2008年(824)

我的朋友

分类:

2008-10-27 14:22:23


  Keywords: Troubleshooting TACACS+ 3500 bug
  有些问题,看起来很奇怪,很难,其实往往很简单。
  比如最近我碰到一件事,有位客户因为网络调整的需要,将TACACS+从一个子网移到另一个子网,很简单的事,可是移过来把配置作了相应的修改之后,却不能进行认证了。
  接收RAS(一台器)和TACACS+服务可以互相ping通,从TACACS+服务器telnet登录RAS也没有任何问题,看起来唯一的区别只是原来RAS和TACACS+服务器在同一个子网,现在是在不同的子网里面而已。
  有一点我相当清楚就是,TACACS+使用的是TCP 49号端口进行通讯,不同子网当然没问题。所以我怀疑TACACS+服务配置有问题,但是经过再三验证,TACACS+服务器工作是正常的。
  在RAS上观察debug aaa authentication输出,表明已经向发出了请求,但是总是超时,仔细看从RAS到TACACS+路径上经过的两个路由器,也没有任何防问控制列表...
  Show cdp nei看了一下,意外发现RAS竟然看不到邻居,线有问题?经过检查,原来在RAS和另一台路由器之间有一个工作于透明桥接方式的Neteye!
   
  问题虽然解决了,但浪费了很多时间,教训就是首先要熟悉网络的结构,其次,应该采取系统化的排错技术,如果我早点按照OSI模型,一层层地定性检查,问题早可以发现并解决了。
  如果按照系统化的排错技术,首先应该定义问题:“不能认证”;收集信息:TACACS+服务器配置正确,连接“timeout”,可能是通讯问题。分析问题:有Link、Active信号,物理层没问题。show cdp nei 不能发现邻居,原因是什么...
  系统化的排错技术的好处在于确保排错有一定的效率。当然高排错效率的基础是对技术要有良好的掌握,包括原理、机制和实践经验。说到经验,并不是说一定是来自自身的积累。到BBS参与讨论,可以参加讨论,参与在高手协助下解决难题的过程,学到经验,交到朋友,在此推荐CCO上的 、以及新闻组。
  一些产品和技术中的已知问题往往已经整理成数据库,检索这些资料是快速解决问题的途径之一。如CCO上的Technical Tips、 、Hardware-Software Compatibilty Metric、Bug Toolkit等。象最近有一个网络工作原本正常,但当在接入层35xx机上启用了Uplinkfast之后有时会出现网络中断现象,利用Bug Toolkit,找到了问题的原因以及可能的对策:
  【责编:admin】
--------------------next---------------------

阅读(269) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~