路由器TACACS+账号登录时经常报用户密码错误的问题分析

故障现象

某地M6000-S开启TACACS+账号登录认证后，发现设备登录经常会上报用户密码错误，过一段时间才恢复正常。

故障分析

设备登录时上报用户密码错误，可能原因包括：

TACACS+服务器机制问题。

M6000-S TACACS+配置问题。

故障处理

1. 检查M6000-S设备TACACS+配置及账号信息配置，暂未发现问题。

2. 协调TACACS+侧检查服务器配置，暂未发现问题。

3. 因为不是每次登录都失败，进行了多次登录测试，发现了规律：第一次密码输入错误后，再输入正确密码登录就会报账号密码错，并且持续大概5分钟。

4. 在报账号密码错误时，M6000-S上查看TACACS+状态，发现是dead状态。

5. 基本可以判断出频繁登录失败原因，第一次密码输入错误后，M6000-S上的TACACS+状态变为了dead，导致进行了本地认证，本地无此账号，因此上报了账号密码错误。

6. 继续排查TACACS+认证密码输入错误就会dead的原因，检查M6000-S TACACS+ deadtime配置，发现默认为5分钟，这和账号5分钟无法登录时间一致。

7. 仔细检查，发现TACACS+账号认证失败后，M6000-S显示的是认证timeout，而不是认证失败。

8. 联系TACACS+侧抓包进行分析，发现在输入密码错误的情况下，TACACS+服务器不回复认证失败消息。

9. 目前可以判断故障原因：当M6000-S上的登录密码输错后，TACACS+服务器不回复认证失败信息，设备等待TACACS+ timeout时间到期后，认为TACACS+服务器故障，将该服务器置为dead状态，按照默认配置，时间为5分钟。

10. 故障解决方法有两种：

(1)要求TACACS+服务器侧恢复认证失败消息。

(2)在M6000-S上将dead时间置为0。

通过沟通，TACACS+服务器侧修改了配置，在用户密码输错时回复认证失败消息，问题得到了解决。第一次输入密码后，上报认证失败，再次输入正确密码后可以正常登录。

故障总结

只有一个TACACS+服务器的情况下，建议M6000-S的tacacs-server deadtime设置为0。