USG6650双机热备hwtacacs同步故障

发布时间:  2016-03-06 浏览次数:  172 下载次数:  0
问题描述

   两台USG6650做双机热备,采用主备模式。在主设备做aaa认证,采用hwtacacs做认证。

首先在主设备上做如下配置:

hwtacacs-server template cpic

 hwtacacs-server authentication 10.193.16.61

 hwtacacs-server authentication 10.193.16.66 secondary

 hwtacacs-server authorization 10.193.16.61

 hwtacacs-server authorization 10.193.16.66 secondary

 hwtacacs-server source-ip 10.183.116.1

 hwtacacs-server shared-key %$%$ZQ{T!tXx,5"us"Gn'M;#ETKB%$%$

并且在设备保存配置,登录到备用设备发现配置为:

hwtacacs-server template cpic

 hwtacacs-server authentication 10.193.16.61

 hwtacacs-server authentication 10.193.16.66 secondary

 hwtacacs-server authorization 10.193.16.61

 hwtacacs-server authorization 10.193.16.66 secondary

 hwtacacs-server source-ip 10.183.116.1

 hwtacacs-server shared-key %$%$ZQ{T!tXx,5"us"Gn'M;#ETKB%$%$

由于双机热备USG6650的hwtacacs配置同步,会导致备设备的source-ip为主设备source-ip地址,使备设备aaa认证不成功。

处理过程


1,USG6650 hwtacacs-server source-ip 只能跟ip地址,不能跟接口作为源ip地址。

2,备设备关闭运行vrrp端口,同时关闭备份设备心跳端口。

3,在备份设备上做hwtacacs配置,同时保存配置。配置如下:

hwtacacs-server template cpic

 hwtacacs-server authentication 10.193.16.61

 hwtacacs-server authentication 10.193.16.66 secondary

 hwtacacs-server authorization 10.193.16.61

 hwtacacs-server authorization 10.193.16.66 secondary

 hwtacacs-server source-ip 10.183.116.2

 hwtacacs-server shared-key %$%$ZQ{T!tXx,5"us"Gn'M;#ETKB%$%$

4,在主用设备上做hwtacacs配置,同时保存配置。发现

配置如下:

hwtacacs-server template cpic

 hwtacacs-server authentication 10.193.16.61

 hwtacacs-server authentication 10.193.16.66 secondary

 hwtacacs-server authorization 10.193.16.61

 hwtacacs-server authorization 10.193.16.66 secondary

 hwtacacs-server source-ip 10.183.116.1

 hwtacacs-server shared-key %$%$ZQ{T!tXx,5"us"Gn'M;#ETKB%$%$

5,在备用设备打开主设备运行vrrp端口和心跳端口。恢复双机热备状态。

6,在主设备存配置,同时使用手动同步配置。查看主备份设备,发现source-ip还是同步。配置如下:

hwtacacs-server template cpic

 hwtacacs-server authentication 10.193.16.61

 hwtacacs-server authentication 10.193.16.66 secondary

 hwtacacs-server authorization 10.193.16.61

 hwtacacs-server authorization 10.193.16.66 secondary

 hwtacacs-server source-ip 10.183.116.1

 hwtacacs-server shared-key %$%$ZQ{T!tXx,5"us"Gn'M;#ETKB%$%$

7,确认,目前usg 6650的版本V100R001C30SPC200不支持hwtacacs-server source-ip不同步。



根因

USG6650的版本 V100R001C30SPC200不支持hwtacacs-server source-ip配置不同步问题。

解决方案

1,升级到V100R001C30SPC600。

2,通过添加vrrp的虚地址作为hwtacacs-server source-ip的源地址,但是这样aaa认证就只能在当前作为主的设备上生效。


END