故障現(xiàn)象

某地M6000-S開啟TACACS+賬號登錄認(rèn)證后，發(fā)現(xiàn)設(shè)備登錄經(jīng)常會上報用戶密碼錯誤，過一段時間才恢復(fù)正常。

故障分析

設(shè)備登錄時上報用戶密碼錯誤，可能原因包括：

TACACS+服務(wù)器機制問題。

M6000-S TACACS+配置問題。

故障處理

1. 檢查M6000-S設(shè)備TACACS+配置及賬號信息配置，暫未發(fā)現(xiàn)問題。

2. 協(xié)調(diào)TACACS+側(cè)檢查服務(wù)器配置，暫未發(fā)現(xiàn)問題。

3. 因為不是每次登錄都失敗，進(jìn)行了多次登錄測試，發(fā)現(xiàn)了規(guī)律：第一次密碼輸入錯誤后，再輸入正確密碼登錄就會報賬號密碼錯，并且持續(xù)大概5分鐘。

4. 在報賬號密碼錯誤時，M6000-S上查看TACACS+狀態(tài)，發(fā)現(xiàn)是dead狀態(tài)。

5. 基本可以判斷出頻繁登錄失敗原因，第一次密碼輸入錯誤后，M6000-S上的TACACS+狀態(tài)變?yōu)榱薲ead，導(dǎo)致進(jìn)行了本地認(rèn)證，本地?zé)o此賬號，因此上報了賬號密碼錯誤。

6. 繼續(xù)排查TACACS+認(rèn)證密碼輸入錯誤就會dead的原因，檢查M6000-S TACACS+ deadtime配置，發(fā)現(xiàn)默認(rèn)為5分鐘，這和賬號5分鐘無法登錄時間一致。

7. 仔細(xì)檢查，發(fā)現(xiàn)TACACS+賬號認(rèn)證失敗后，M6000-S顯示的是認(rèn)證timeout，而不是認(rèn)證失敗。

8. 聯(lián)系TACACS+側(cè)抓包進(jìn)行分析，發(fā)現(xiàn)在輸入密碼錯誤的情況下，TACACS+服務(wù)器不回復(fù)認(rèn)證失敗消息。

9. 目前可以判斷故障原因：當(dāng)M6000-S上的登錄密碼輸錯后，TACACS+服務(wù)器不回復(fù)認(rèn)證失敗信息，設(shè)備等待TACACS+ timeout時間到期后，認(rèn)為TACACS+服務(wù)器故障，將該服務(wù)器置為dead狀態(tài)，按照默認(rèn)配置，時間為5分鐘。

10. 故障解決方法有兩種：

(1)要求TACACS+服務(wù)器側(cè)恢復(fù)認(rèn)證失敗消息。

(2)在M6000-S上將dead時間置為0。

通過溝通，TACACS+服務(wù)器側(cè)修改了配置，在用戶密碼輸錯時回復(fù)認(rèn)證失敗消息，問題得到了解決。第一次輸入密碼后，上報認(rèn)證失敗，再次輸入正確密碼后可以正常登錄。

故障總結(jié)

只有一個TACACS+服務(wù)器的情況下，建議M6000-S的tacacs-server deadtime設(shè)置為0。