Troubleshooting TACACS_ 3500

 

有些问题，看起来很奇怪，很难，其实往往很简单。
比如最近我碰到一件事，有位客户因为网络调整的需要，将TACACS+服务器从一
个子网移到另一个子网，很简单的事，可是移过来把配置作了相应的修改之后，却
不能进行认证了。
接收服务器RAS（一台路由器）和TACACS+服务可以互相ping通，从TACACS+
服务器telnet 登录RAS 也没有任何问题，看起来唯一的区别只是原来RAS 和
TACACS+服务器在同一个子网，现在是在不同的子网里面而已。
有一点我相当清楚就是，TACACS+使用的是TCP 49号端口进行通讯，不同子网当
然没问题。所以我怀疑TACACS+服务配置有问题，但是经过再三验证，TACACS+
服务器工作是正常的。
在RAS上观察debug aaa authentication 输出，表明已经向发出了请求，但是总是
超时，仔细看从RAS到TACACS+路径上经过的两个路由器，也没有任何防问控制
列表...
Show cdp nei看了一下，意外发现RAS竟然看不到邻居，线有问题？经过检查，
原来在RAS和另一台路由器之间有一个工作于透明桥接方式的Neteye 防火墙！
问题虽然解决了，但浪费了很多时间，教训就是首先要熟悉网络的结构，其次，应
该采取系统化的排错技术，如果我早点按照OSI模型，一层层地定性检查，问题早
可以发现并解决了。
如果按照系统化的排错技术，首先应该定义问题：“不能认证”；收集信息：TACACS+
服务器配置正确，连接“timeout”,可能是通讯问题。分析问题：有Link、Active信号,
物理层没问题。show cdp nei 不能发现邻居,原因是什么...
系统化的排错技术的好处在于确保排错有一定的效率。当然高排错效率的基础是对
技术要有良好的掌握，包括原理、机制和实践经验。说到经验，并不是说一定是来
自自身的积累。到BBS参与讨论，可以参加讨论，参与在高手协助下解决难题的过
程，学到经验，交到朋友，在此推荐CCO 上的Networking Perfessionals
Connection、以及新闻组comp.dcom.sys.cisco。
一些产品和技术中的已知问题往往已经整理成数据库，检索这些资料是快速解决问
题的途径之一。如CCO 上的Technical Tips、Error message decorder 、
Hardware-Software Compatibilty Metric、Bug Toolkit等。象最近有一个交换网络
工作原本正常，但当在接入层35xx交换机上启用了Uplinkfast之后有时会出现网络
中断现象，利用Bug Toolkit，找到了问题的原因以及可能的对策:
CSCdv41819 Bug Details
Headline: uplinkfast may cause short spanning tree loops
Product: cat3500xl Model: c3548xl-en
Component: firmware Duplicate of:
Severity: 2 Status: Verified
First Found-in Version: 12.0(5.4)WC First Fixed-in Version:
Symptom:
If a switch running uplinkfast is hearing BPDUs from the root on multiple
ports, then if the root configuration message ever ages out on the root
port before they have aged out on all of the blocking ports the switch
will undergo an uplink fast transition on one of the blocking ports without
blocking the previous root port. This may cause a temporary spanning tree
loop.
The switch will multicast frames using source addresses out of its MAC
address table at the time it undergoes the UplinkFast transition. This
is to enable the other switches in the network to learn the new locations
these MAC addresses have after the network reconfiguration, and is intended
to prevent black holes that would last until other switches in the network
either purge these addresses from their address table or hear new frames
directly from the devices owning the MAC addresses.
This problem occurs in version 12.0(5)XW and 12.0(5)WC1
Workaround:
There is no workaround that preserves UplinkFast functionality.
The only workaround is to disable uplink fast or to ensure that the switch
running uplink fast does not have redundant connections that root BPDUs
may be heard on
使用状态良好的检测调试工具是解决问题的重要保障，如前面文章中介绍过的利用
ttcpw程序测试网络吞吐能力的方法，由于该程序运行在普通的PC上，受机器状态
影响较大，这点请大家要注意。
最后要有信心，问题的答案也许离你只有一点点微小的距离了，相信自己！