F9006防火墙AAA认证问题
- 0关注
- 0收藏,1024浏览
问题描述:
2台F9006防火墙做堆叠,客户反馈:AAA认证、授权、计费,其中一个认证跑到了备框上,另外2个授权、认证在主框上,上面state状态显示Block静默状态,导致telnet不了,配置了:session synchronization enable。
解决:最后重启了一下认证服务器就有恢复了。但在这种情况经常会发生,有什么办法解决AAA认证跑到备框的情况吗?
Block说明认证服务器故障吗?
- 2022-10-19提问
- 举报
-
(0)
Blocked指静默状态
只能说明认证是不成功的,两个框双主跑的话,设备没法选择跑那个框,根据上行设备路由来的,如果只想在主上做认证,可以做主备状态
- 2022-10-19回答
- 评论(1)
- 举报
-
(0)
两个框双主跑的话,设备没法选择跑那个框,根据上行设备路由来的-------这个有学习资料吗?根据上下设备路由来,可以讲具体点吗
没法解决主备,可以通过会话同步,接口保持上一跳功能。
interface GigabitEthernet1/0/1
ip last-hop hold
# 显示所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
All-server-block action : Attempt the top-priority server
------------------------------------------------------------------
表1-7 display hwtacacs scheme命令显示信息描述表
字段 | 描述 |
Total 1 HWTACACS schemes | 共计1个HWTACACS方案 |
HWTACACS Scheme Name | HWTACACS方案的名称 |
Index | HWTACACS方案的索引号 |
Primary Auth Server | 主HWTACACS认证服务器 |
Primary Author Server | 主HWTACACS授权服务器 |
Primary Acct Server | 主HWTACACS计费服务器 |
Secondary Auth Server | 从HWTACACS认证服务器 |
Secondary Author Server | 从HWTACACS授权服务器 |
Secondary Acct Server | 从HWTACACS计费服务器 |
IP | HWTACACS服务器的IP地址 未配置时,显示为Not configured |
Port | HWTACACS服务器的端口号 未配置时,显示缺省值 |
State | HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
VPN Instance | HWTACACS服务器或HWTACACS方案所在的VPN 未配置时,显示为Not configured |
Single-connection | 单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
NAS IP Address | 配置的发送HWTACACS报文的源IP地址 未配置时,显示为Not configured |
Server Quiet Period(minutes) | 主HWTACACS服务器恢复激活状态的时间(分钟) |
Realtime Accounting Interval(minutes) | 实时HWTACACS计费更新报文的发送间隔(分钟) |
Response Timeout Interval(seconds) | HWTACACS服务器超时时间(秒) |
Username Format | 用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
Data flow unit | 数据流的单位 |
Packet unit | 数据包的单位 |
All-server-block action | 当前方案中的服务器都处于block状态后 · Attempt the top-priority server:尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme:跳过当前方案中的所有服务器 |
【相关命令】
· reset hwtacacs statistics
- 2022-10-19回答
- 评论(3)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
两个框双主跑的话,设备没法选择跑那个框,根据上行设备路由来的-------这个有学习资料吗?根据上下设备路由来,可以讲具体点吗