学过NP的都知道如果配置缺省AAA服务器的话,CISCO设备默认是施加到所有登录类型的不管是tty 还是vty。这个本没错,可我们如果真的这么做了,会出现一些意外情况。最近我就遇到了这样一个意外。
结构:
网络设备-------------------基于域的IAS服务器
网络设备设置default的AAA,并在radius服务器IP后明确指定local。
在IAS上设置策略,指明NAS-Port-Type 这个属性要等于virtual(vpn),设置完毕后,telnet设备可以正常通过服务器认证,且服务器坏掉还能通过本地帐号认证。看上去没问题。
昨天因为特殊情况需要console到设备上,结果让人意外的是总是明确的拒绝我。既然是明确拒绝说明是radius返回的,可以说肯定是策略没匹配上。此时如果网络设备和radius服务器不通的话,肯定也是可以从console登录的,但我又不能让它不通。通过debug和在IAS服务器上查看日志及策略,发现通过console登录的,发送给IAS服务器的消息里:
NAS-Port-Type =Async
显然是这个属性没匹配上,因为之前设置的NAS-Port-Type是等于 vritual(vpn)的。
解决办法是,最好给console明确定义本地,不要使用什么花哨的验证功能,否则真有意外就太麻烦了。
很多东西不是我们想当然的那样,流程、测试、想到范围都要到位。。。工作才能做好。
文章评论