Telemetry 客户端数据收集问题解决方案:避免 TCP 会话拆分
我已经查看了您提供的资料,并且认为在使用 Telemetry 客户端进行数据收集时,用户对身份验证和授权进行操作和流程,以及在本地或远程进行操作的配置是相同的。
详细情况如下: ■ 问题:在 hard-uqr soft-16.0.R5 中无法进行文件操作,在 CPM 切换后可以恢复。无法访问 telnet 等 SR。 ■ 原因:在使用 Telemetry 客户端进行数据收集时,如果一个命令包含多个路径,则 TACACS 服务器在进行认证 (authentication) 后,会将授权用的 TCP 会话拆分为每个路径,随着数量的增加,SR 无法同时处理多个 TCP 会话,无法立即发送 RST,导致 TCP 会话保持在 CLOSE_WAIT 状态下无法释放。如果积累了大量会话,将无法处理后续的连接会话。 ■ 解决方案:避免拆分授权用的 TCP 会话。 ■ 操作: ① 如果 Authentication-order 是 tacplus local
- 在 SR 上创建 gRPC 用户
- 将步骤 1 中创建的用户的默认操作配置为 permit-all 的相应配置文件
- 在 TACACS 服务器上删除步骤 1 中创建的用户配置 ※ 但是,限制是认证的顺序是 tacplus local,所以在首次向 SR 进行认证之前,应该配置为先访问 TACACS 服务器,如果 TACACS 服务器的认证失败,则返回 SR 进行认证。 ※ 无法为每个用户设置首次认证位置的配置。
② 如果 Authentication-order 是 local tacplus
- 在 SR 上创建 gRPC 用户
- 将步骤 1 中创建的用户的默认操作配置为 permit-all
■ 补充说明:关于配置文件的默认操作值为 deny-all、permit-all 和 none,请参考 System Management Guide 16.0.R5.pdf(P233):
- 如果第一个配置文件的设置值为 permit-all,则不会进行下一个配置文件的评估。
- 如果第一个配置文件的设置值为 none,并且没有匹配的条目,那么会进行下一个配置文件的评估。
- 如果最后一个配置文件的设置值为 none,并且没有匹配的条目,那么 deny-all 将起作用。
总之,解决方案需要根据客户的环境进行考虑。
原文地址: https://www.cveoy.top/t/topic/bmIs 著作权归作者所有。请勿转载和采集!