Atraso de login longo quando o dispositivo Cisco é inicializado

Sempre que inicializamos ou reinicializamos um roteador ou switch Cisco, precisamos aguardar alguns minutos antes de obtermos um prompt de nome de usuário para o login. Recebemos algumas mensagens de falha

Press RETURN to get started.
% Authentication failed

% Authentication failed

% Authentication failed

Press RETURN to get started.

Depois de alguns minutos, a mensagem de erro abaixo é exibida e, em seguida, podemos obter um prompt de nome de usuário para iniciar o processo de login.

Aug  9 09:48:25.719: %AAA-3-DROPACCTFAIL: Accounting record dropped, send to server failed: system

Nossa configuração padrão do AAA foi criada há muito tempo, portanto, pode ser necessário atualizar se for a causa dos nossos problemas.

Dispositivos VRF:

!
aaa new-model
aaa group server tacacs+ tacacs1
 server-private <IP> key 7 <key>
 server-private <IP> key 7 <key>
 ip vrf forwarding <vrf-name>
 ip tacacs source-interface <interface>
aaa authentication login default group tacacs1 local
aaa authentication login no_tacacs enable
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication ppp default group tacacs1
aaa authorization exec default group tacacs1 local
aaa authorization network default group tacacs1 local
aaa accounting exec default start-stop group tacacs1
aaa accounting commands 1 default stop-only group tacacs1
aaa accounting commands 15 default start-stop group tacacs1
aaa accounting network default start-stop group tacacs1
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting connection default start-stop group tacacs1
aaa accounting system default start-stop group tacacs1
aaa session-id common
!

Dispositivos não VRF:

!
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization network default group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
tacacs-server host <ip>
tacacs-server host <ip>
tacacs-server directed-request
tacacs-server key 7 <key>
!

Se o seu switch suportar (nem todas as versões do IOS suportam), o seguinte comando deve corrigir isso para você:

no aaa accounting system guarantee-first

Aqui está um artigo que aborda mais detalhadamente: você se importaria de esperar de 2 a 3 minutos em um console?

E um pouco da documentação da Cisco :

Estabelecendo uma sessão com um roteador se o servidor AAA estiver inacessível

O comando aaa sistema de contabilidade garante-primeiro garante a contabilidade do sistema como o primeiro registro, que é a condição padrão. Em algumas situações, os usuários podem ser impedidos de iniciar uma sessão no console ou na conexão do terminal até o sistema ser recarregado, o que pode levar mais de três minutos.

Para estabelecer uma sessão de console ou telnet com o roteador, se o servidor AAA estiver inacessível quando o roteador for recarregado, use o comando no aaa accounting system garant-first.