故障現(xiàn)象

某地M6000-S開(kāi)啟TACACS+賬號(hào)登錄認(rèn)證后，發(fā)現(xiàn)設(shè)備登錄經(jīng)常會(huì)上報(bào)用戶密碼錯(cuò)誤，過(guò)一段時(shí)間才恢復(fù)正常。

故障分析

設(shè)備登錄時(shí)上報(bào)用戶密碼錯(cuò)誤，可能原因包括：

TACACS+服務(wù)器機(jī)制問(wèn)題。

M6000-S TACACS+配置問(wèn)題。

故障處理

1. 檢查M6000-S設(shè)備TACACS+配置及賬號(hào)信息配置，暫未發(fā)現(xiàn)問(wèn)題。

2. 協(xié)調(diào)TACACS+側(cè)檢查服務(wù)器配置，暫未發(fā)現(xiàn)問(wèn)題。

3. 因?yàn)椴皇敲看蔚卿浂际?，進(jìn)行了多次登錄測(cè)試，發(fā)現(xiàn)了規(guī)律：第一次密碼輸入錯(cuò)誤后，再輸入正確密碼登錄就會(huì)報(bào)賬號(hào)密碼錯(cuò)，并且持續(xù)大概5分鐘。

4. 在報(bào)賬號(hào)密碼錯(cuò)誤時(shí)，M6000-S上查看TACACS+狀態(tài)，發(fā)現(xiàn)是dead狀態(tài)。

5. 基本可以判斷出頻繁登錄失敗原因，第一次密碼輸入錯(cuò)誤后，M6000-S上的TACACS+狀態(tài)變?yōu)榱薲ead，導(dǎo)致進(jìn)行了本地認(rèn)證，本地?zé)o此賬號(hào)，因此上報(bào)了賬號(hào)密碼錯(cuò)誤。

6. 繼續(xù)排查T(mén)ACACS+認(rèn)證密碼輸入錯(cuò)誤就會(huì)dead的原因，檢查M6000-S TACACS+ deadtime配置，發(fā)現(xiàn)默認(rèn)為5分鐘，這和賬號(hào)5分鐘無(wú)法登錄時(shí)間一致。

7. 仔細(xì)檢查，發(fā)現(xiàn)TACACS+賬號(hào)認(rèn)證失敗后，M6000-S顯示的是認(rèn)證timeout，而不是認(rèn)證失敗。

8. 聯(lián)系TACACS+側(cè)抓包進(jìn)行分析，發(fā)現(xiàn)在輸入密碼錯(cuò)誤的情況下，TACACS+服務(wù)器不回復(fù)認(rèn)證失敗消息。

9. 目前可以判斷故障原因：當(dāng)M6000-S上的登錄密碼輸錯(cuò)后，TACACS+服務(wù)器不回復(fù)認(rèn)證失敗信息，設(shè)備等待TACACS+ timeout時(shí)間到期后，認(rèn)為T(mén)ACACS+服務(wù)器故障，將該服務(wù)器置為dead狀態(tài)，按照默認(rèn)配置，時(shí)間為5分鐘。

10. 故障解決方法有兩種：

(1)要求TACACS+服務(wù)器側(cè)恢復(fù)認(rèn)證失敗消息。

(2)在M6000-S上將dead時(shí)間置為0。

通過(guò)溝通，TACACS+服務(wù)器側(cè)修改了配置，在用戶密碼輸錯(cuò)時(shí)回復(fù)認(rèn)證失敗消息，問(wèn)題得到了解決。第一次輸入密碼后，上報(bào)認(rèn)證失敗，再次輸入正確密碼后可以正常登錄。

故障總結(jié)

只有一個(gè)TACACS+服務(wù)器的情況下，建議M6000-S的tacacs-server deadtime設(shè)置為0。