行至水穷处 坐看“云”起时

Cloud Native ADN -> CNadn.Net

【原创】一个关于缺省AAA验证下,CONSOLE登录被拒绝的问题!

学过NP的都知道如果配置缺省AAA服务器的话,CISCO设备默认是施加到所有登录类型的不管是tty 还是vty。这个本没错,可我们如果真的这么做了,会出现一些意外情况。最近我就遇到了这样一个意外。

结构:

网络设备——————-基于域的IAS服务器

网络设备设置default的AAA,并在radius服务器IP后明确指定local。

在IAS上设置策略,指明NAS-Port-Type 这个属性要等于virtual(vpn),设置完毕后,telnet设备可以正常通过服务器认证,且服务器坏掉还能通过本地帐号认证。看上去没问题。

昨天因为特殊情况需要console到设备上,结果让人意外的是总是明确的拒绝我。既然是明确拒绝说明是radius返回的,可以说肯定是策略没匹配上。此时如果网络设备和radius服务器不通的话,肯定也是可以从console登录的,但我又不能让它不通。通过debug和在IAS服务器上查看日志及策略,发现通过console登录的,发送给IAS服务器的消息里:

NAS-Port-Type =Async

显然是这个属性没匹配上,因为之前设置的NAS-Port-Type是等于 vritual(vpn)的。

解决办法是,最好给console明确定义本地,不要使用什么花哨的验证功能,否则真有意外就太麻烦了。

很多东西不是我们想当然的那样,流程、测试、想到范围都要到位。。。工作才能做好。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注