<hfslc-ywm-S6805-54HF-leaf22>*Jul 1 16:13:18:257 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Processing TACACS authentication.
*Jul 1 16:13:18:257 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Session successfully created.
*Jul 1 16:13:18:257 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Getting available server, server-ip=10.120.33.34, server-port=49, VPN instance=MGMT.
*Jul 1 16:13:18:258 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Connection created, src port = 44391.
*Jul 1 16:13:18:258 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Connecting to server...
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Epoll event=4, src port = 44391.
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Reply SocketFd received EPOLLOUT event.
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Connection succeeded, server-ip=10.120.33.34, port=49, VPN instance=MGMT.
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Connection established successfully, src port = 44391.
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Encapsulating authentication request packet.
*Jul 1 16:13:18:281 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/send_packet:
version: 0xc0 type: AUTHEN_REQUEST seq_no: 1 flag: ENCRYPTED_FLAG
session-id: 0x8ba0f041
length of payload: 58
action: LOGIN priv_lvl: 0 authen_type: ASCII service: LOGIN
user_len: 6 port_len: 22 rem_len: 11 data_len: 11
user: stlin3
port: M-GigabitEthernet0/0/0
rem_addr: 10.254.0.84
data: ******
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Epoll event=25, src port = 0.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Reply SocketFd received EPOLLIN event.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/ERROR: PAM_TACACS: Received packet with length error, length=-1, error code=104.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Reply SocketFd received EPOLLERR/EPOLLHUP event.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Connection closed, src port = 0.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Reply message successfully sent.
*Jul 1 16:13:18:305 2026 hfslc-ywm-S6805-54HF-leaf22 TACACS/7/EVENT: PAM_TACACS: Processing TACACS authentication.
%Jul 1 16:13:18:307 2026 hfslc-ywm-S6805-54HF-leaf22 SSHS/6/SSHS_AUTH_PWD_FAIL: Authentication failed for user stlin3@network.local from 10.254.0.84 port 52006 because of invalid username or wrong password.
%Jul 1 16:13:19:463 2026 hfslc-ywm-S6805-54HF-leaf22 SSHS/6/SSHS_DISCONNECT: SSH user stlin3@network.local (IP: 10.254.0.84) disconnected from the server.
交换机对接TACAS服务器,ssh认证方式,这个报错是什么原因
10.120.33.34:49 建立 TCP 连接;stlin3 的认证请求报文正常发出;Received packet with length error, length=-1, error code=104,连接直接被服务器断开;error code=104 = TCP 连接被对端强制关闭(Connection reset by peer)
TACACS 服务器收到交换机请求后,直接断开 TCP 通道,没有返回合法 TACACS 应答包,导致交换机判定认证失败。ENCRYPTED_FLAG 加密标识,交换机和 TACACS 服务器配置的tacacs shared-key 密钥不一样:display current-configuration | include tacacs server
stlin3;10.254.0.0/24 未加入服务器白名单;
TCP 握手能建立,但业务报文回复被拦截,连接被重置。tacacs authentication scheme,仅发包无完整协商;tacacs server 10.120.33.34 vpn-instance MGMT
mtu 1400
stlin3 存在、密码正常、具备 network 设备登录权限、未锁定。invalid username or wrong password 是兜底提示:
交换机收不到 TACACS 合法应答,无法区分是密钥错、用户不存在还是服务断开,统一返回账号密码错误,不要被这句日志误导,优先排查共享密钥。暂无评论
根据你提供的日志,这个报错的核心原因是:交换机与TACACS服务器之间的通信出现问题,导致认证过程失败,最终SSH提示“用户名或密码错误”。
TACACS/7/ERROR: PAM_TACACS: Received packet with length error, length=-1, error code=104:这是最关键的错误。它表明交换机虽然连上了服务器,但收到的TACACS回应报文格式不正确,无法解析。error code=104通常意味着连接被对方重置(Connection reset by peer)。
%Jul 1 16:13:18:307 2026 ... SSHS/6/SSHS_AUTH_PWD_FAIL: Authentication failed for user stlin3@network.local from 10.254.0.84 port 52006 because of invalid username or wrong password.:这是最终呈现给用户的错误。因为TACACS认证流程失败,交换机便将其视为认证失败。
导致上述错误的最常见原因,是交换机与TACACS服务器上的配置不一致,特别是共享密钥(Key)不匹配。
当密钥不一致时,服务器无法正确解密交换机发来的认证请求,或者交换机无法解密服务器的回应,就会导致报文解析错误,连接被中断。
建议按照以下顺序逐步排查:
核对共享密钥(Key):这是最可能的原因。请检查交换机上的TACACS方案(hwtacacs scheme)里配置的key authentication,与TACACS服务器上为该交换机配置的共享密钥是否完全一致,注意大小写敏感。
检查TACACS服务器上的用户:确认服务器上已正确创建了用户stlin3,且密码正确。
核对TACACS服务器配置:确保服务器上为该交换机设置的认证、授权、计费端口(默认都是49)与交换机侧一致。
检查网络连通性:虽然日志显示连接成功,但仍需确认网络稳定,没有防火墙或ACL规则干扰了TACACS的通信。
检查交换机配置:确认TACACS方案已正确应用到login认证上。可以参考以下标准配置片段:
抓包分析(终极手段):如果以上步骤都无法解决,需要在交换机与TACACS服务器之间进行抓包。然后用Wireshark分析,看TACACS报文是否能被正确解密,这能直接判断密钥是否一致。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论