Столкнулись с проблемой при настройке на S5720-52P-PWR-LI-AC функции accounting с внешним сервером TACACS+ работающим на CentOS 7. Из функций ААА корректно работают authorization и authentication но с функцией accounting возникли проблемы.
Был снят пакетный дамп, где видно что коммутатор и сервер TACACS+ нормально обмениваются billing-сообщениями. Однако на TACACS+ не приходит информация о действиях пользователей на коммутаторе.
Таким образом, billing-сообщения отправляются коммутатором, но в них ничего нет.
Значит нужно проверить настройки коммутатора.
Текущие настройки:
hwtacacs-server template tacacs
hwtacacs-server authentication 172.X.X.235
hwtacacs-server authorization 172.X.X.235
hwtacacs-server accounting 172.X.X.235
undo hwtacacs-server user-name domain-included
#
aaa
authentication-scheme tacacs
authorization-scheme tacacs
accounting-scheme tacacs
domain XXX
authentication-scheme tacacs
accounting-scheme tacacs
authorization-scheme tacacs
hwtacacs-server tacacs
Собранная диагностика:
<5720>display hwtacacs-server template tacacs
---------------------------------------------------------------------------
HWTACACS-server template name : tacacs
Primary-authentication-server : 172.X.X.235:49:-
Primary-authorization-server : 172.X.X.235:49:-
Primary-accounting-server : 172.X.X.235:49:-
Secondary-authentication-server : 0.0.0.0:0:-
Secondary-authorization-server : 0.0.0.0:0:-
Secondary-accounting-server : 0.0.0.0:0:-
Current-authentication-server : 172.X.X.235:49:-
Current-authorization-server : 172.X.X.235:49:-
Current-accounting-server : 172.X.X.235:49:-
Source-IP-address : 0.0.0.0
Shared-key : ****************
Quiet-interval(min) : 5
Response-timeout-Interval(sec) : 5
Domain-included : No
Traffic-unit : B
<5720>display hwtacacs-server accounting-stop-packet all
Info: The accounting stop packet does not exist.
Проблема в неполных настройках.
http://support.huawei.com/hedex/pages/EDOC1000135317AEG0221R/09/EDOC1000135317AEG0221R/09/resources/dc/dc_cfg_aaa_1032.html?ft=0&fe=10&hib=12.4.12.3.9.5&id=dc_cfg_aaa_1032&text=(Optional) Configuring a Recording Scheme&docid=EDOC1000135317
На коммутаторе необходимо добавить Recording Scheme.
[5720-aaa] recording-scheme scheme0
[5720-aaa-recording-scheme0] recording-mode hwtacacs hw1
[5720-aaa-recording-scheme0] quit
[5720-aaa] cmd recording-scheme scheme0
