Objetivos

Implementar y configurar AAA RADIUS/TACACS en Cisco Packet Tracer (CPT)

 

Información básica

Los servidores AAA (Autorización, Autenticación y Accounting)

Se utilizan para una mayor seguridad en el acceso dentro de una red, centralizando y asegurando el acceso a dispositivos de red.

Existen dos protocolos principales que son RADIUS y TACACS

 

 

Parte 1: Laboratorio

 

  • El laboratorio que vamos a implementar en CPT, está conformado por:
    • 2 router
    • 1 pc cliente
    • 1 servidor Radius
    • 1 servidor Tacacs
  • Topología por usar

aaa_tacacs_cisco-01-eclassvirtual

 

 

Parte 2: Configuración de Servidores en CPT

 

  • Servidor RADIUS
    • Dirección IP 192.168.1.200/24

aaa_tacacs_cisco-02-eclassvirtual

 

 

  • Servicio AAA RADIUS
    • Service: On
    • Client Name: R2
    • Client IP: 192.168.1.2
    • Server Type: Radius
    • Key: psw (Password compartida entre servidor Radius y dispositivos de red (R2))
    • Username: user1 (usuario de acceso por Radius en R2)
    • Password: psw1 (clave de acceso por Radius en R2)

aaa_tacacs_cisco-03-eclassvirtual

 

  • Servidor TACACS
    • Dirección IP 192.168.1.100/24

aaa_tacacs_cisco-04-eclassvirtual

 

  • Servicio AAA TACACS
    • Service: On
    • Client Name: R1
    • Client IP: 192.168.1.1
    • Server Type: Tacacs
    • Key: psw (Password compartida entre servidor Radius y dispositivos de red (R1))
    • Username: user1 (usuario de acceso por Tacacs en R1)
    • Password: psw1 (clave de acceso por Tacacs en R1)

aaa_tacacs_cisco-05-eclassvirtual

 

 

Parte 3: Configuración de los router en CPT

 

  • Router R2
    • hostname R2
    • enable secret cisco
    • username cisco secret cisco
    • aaa new-model
    • aaa authentication login Acceso_Telnet group radius local (Este comando indica primero que se hará la autenticación por Radius y si falla se hará local (username cisco secret cisco))
    • radius-server host 192.168.1.200 key psw (Password compartida entre servidor Radius y dispositivos de red (R2))
    • interface GigabitEthernet0/0
      • ip address 192.168.1.2 255.255.255.0
    • line vty 0 15
      • login authentication Acceso_Telnet

 

  • Router R1
    • hostname R1
    • enable secret cisco
    • username cisco secret cisco
    • aaa new-model
    • aaa authentication login Acceso_Telnet group tacacs+ local (Este comando indica primero que se hará la autenticación por Tacacs y si falla se hará local (username cisco secret cisco))
    • tacacs-server host 192.168.1.100 key psw (Password compartida entre servidor Tacacs y dispositivos de red (R1))
    • interface GigabitEthernet0/0
      • ip address 192.168.1.1 255.255.255.0
    • line vty 0 15
      • login authentication Acceso_Telnet

 

Parte 4: Configuración de PC cliente

 

  • PC0
    • Dirección IP 192.168.1.10/24

aaa_tacacs_cisco-066-eclassvirtual

Parte 5: Pruebas de acceso RADIUS

 

  • Acceso telnet desde PC0 a R2

C:\>telnet 192.168.1.2

Trying 192.168.1.2 …Open

User Access Verification

Username: user1

Password:

R2>ena

Password:

R2#

 

 

Parte 6: Pruebas de acceso TACACS

 

  • Acceso telnet desde PC0 a R1

C:\>telnet 192.168.1.1

Trying 192.168.1.1 …Open

User Access Verification

Username: user1

Password:

R1>ena

Password:

R1#

 

Parte 7: Pruebas de acceso cuando falla el servidor RADIUS

 

  • Vamos a simular una falla del Servidor Radius, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch

C:\>telnet 192.168.1.2

Trying 192.168.1.2 …Open

User Access Verification

Username: user1  (Falla la cuenta AAA porque el Servidor Radius está afuera)

 Password:

% Login invalid

 

 Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)

 Password:

R2>ena

Password:

R2#

 

 

 

Parte 8: Pruebas de acceso cuando falla el servidor TACACS

 

  • Vamos a simular una falla del Servidor Tacacs, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch

C:\>telnet 192.168.1.1

Trying 192.168.1.1 …Open

 

User Access Verification

Username: user1 (Falla la cuenta AAA porque el Servidor Tacacs está afuera)

Password:

% Login invalid

 

Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)

Password:

R1>ena

Password:

R1#