S9300交换机从V100R001C02B125升级到V100R002C00SPC200后管理用户不能登录

发布时间:  2014-09-12 浏览次数:  505 下载次数:  6
问题描述
现网S9300版本为V100R001C02B125,设备登录采用先radius认证再本地认证的方式,在对设备进行版本升级操作(升级到V100R002C00SPC200)后,出现设备通过console口和远程telnet方式都无法登录的情况,输入用户名和密码后设备提示认证失败,如下
Username:cmcc
Password:
Error: Failed to authenticate.
告警信息

处理过程
在domain default_admin域下添加绑定radius服务器的配置后,设备可以正常登录。确认为两个版本对于登录用户的缺省认证域不同,导致升级后不能登录。
根因
1、由于其他同样认证方式的设备都可以登录,所以排除radius认证系统故障的可能。
2、确认登录帐号密码和radius服务器上的一致,且发现radius服务器在设备登录失败时并没有收到设备的帐号密码信息,也就是说设备很可能就没有进入radius认证的流程。
3、从输入密码后设备很快显示出错信息,也可以看出设备并不存在radius登录无响应(需要一定时间超时)后转本地认证的情况,这一点和设备现网配置所预期的情况不一致。
4、仔细比较设备升级前后的配置,发现在AAA部分有一点不同,升级前对于登录用户缺省是在domain default域下面认证,而升级后多出了一个domain default_admin域,怀疑跟这个变动有关。(配置见附件)
5、经验证,的确是升级前后管理用户的缺省认证域发生了变化,新的认证域为default_admin,而这个域下并没有绑定radius服务器,也没有配置相关用户信息,所以登录用户在进行本地认证时出错。
建议与总结
在一些网络中,对于设备的登录可能采用radius认证的方式,建议在升级设备时提前针对版本差异做好相关准备,避免麻烦。

END