Objetivos
Implementar y configurar AAA RADIUS/TACACS en Cisco Packet Tracer (CPT)
Información básica
Los servidores AAA (Autorización, Autenticación y Accounting)
Se utilizan para una mayor seguridad en el acceso dentro de una red, centralizando y asegurando el acceso a dispositivos de red.
Existen dos protocolos principales que son RADIUS y TACACS
Parte 1: Laboratorio
- El laboratorio que vamos a implementar en CPT, está conformado por:
- 2 router
- 1 pc cliente
- 1 servidor Radius
- 1 servidor Tacacs
- Topología por usar
Parte 2: Configuración de Servidores en CPT
- Servidor RADIUS
- Dirección IP 192.168.1.200/24
- Servicio AAA RADIUS
- Service: On
- Client Name: R2
- Client IP: 192.168.1.2
- Server Type: Radius
- Secret: psw (Password compartida entre servidor Radius y dispositivos de red (R2))
- Username: user1 (usuario de acceso por Radius en R2)
- Password: psw1 (clave de acceso por Radius en R2)
- Servidor TACACS
- Dirección IP 192.168.1.100/24
- Servicio AAA TACACS
- Service: On
- Client Name: R1
- Client IP: 192.168.1.1
- Server Type: Tacacs
- Secret: psw (Password compartida entre servidor Radius y dispositivos de red (R1))
- Username: user1 (usuario de acceso por Tacacs en R1)
- Password: psw1 (clave de acceso por Tacacs en R1)
Parte 3: Configuración de los router en CPT
- Router R2
- hostname R2
- enable secret cisco
- username cisco secret cisco
- aaa new-model
- aaa authentication login Acceso_Telnet group radius local (Este comando indica primero que se hará la autenticación por Radius y si falla se hará local (username cisco secret cisco))
- radius-server host 192.168.1.200 key psw (Password compartida entre servidor Radius y dispositivos de red (R2))
- interface GigabitEthernet0/0
- ip address 192.168.1.2 255.255.255.0
- line vty 0 15
- login authentication Acceso_Telnet
- Router R1
- hostname R1
- enable secret cisco
- username cisco secret cisco
- aaa new-model
- aaa authentication login Acceso_Telnet group tacacs+ local (Este comando indica primero que se hará la autenticación por Tacacs y si falla se hará local (username cisco secret cisco))
- tacacs-server host 192.168.1.100 key psw (Password compartida entre servidor Tacacs y dispositivos de red (R1))
- interface GigabitEthernet0/0
- ip address 192.168.1.1 255.255.255.0
- line vty 0 15
- login authentication Acceso_Telnet
Parte 4: Configuración de PC cliente
- PC0
- Dirección IP 192.168.1.10/24
Parte 5: Pruebas de acceso RADIUS
- Acceso telnet desde PC0 a R2
C:\>telnet 192.168.1.2
Trying 192.168.1.2 …Open
User Access Verification
Username: user1
Password:
R2>ena
Password:
R2#
Parte 6: Pruebas de acceso TACACS
- Acceso telnet desde PC0 a R1
C:\>telnet 192.168.1.1
Trying 192.168.1.1 …Open
User Access Verification
Username: user1
Password:
R1>ena
Password:
R1#
Parte 7: Pruebas de acceso cuando falla el servidor RADIUS
- Vamos a simular una falla del Servidor Radius, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch
C:\>telnet 192.168.1.2
Trying 192.168.1.2 …Open
User Access Verification
Username: user1 (Falla la cuenta AAA porque el Servidor Radius está afuera)
Password:
% Login invalid
Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)
Password:
R2>ena
Password:
R2#
Parte 8: Pruebas de acceso cuando falla el servidor TACACS
- Vamos a simular una falla del Servidor Tacacs, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch
C:\>telnet 192.168.1.1
Trying 192.168.1.1 …Open
User Access Verification
Username: user1 (Falla la cuenta AAA porque el Servidor Tacacs está afuera)
Password:
% Login invalid
Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)
Password:
R1>ena
Password:
R1#
genial
Gracias Jean
Saludos
gracias por tus aportes!!!
De nada!!!
……
….
la mejor explicacion que he visto, gracias.
De nada 🙂
Muchas gracias muy bueno el tema y bien explicado, saludos desde Madrid
Gracias Franklin, saludos
una pregunta, porque me bota error al colocarle aaa new-model ( obviamente antes le hice conf t para entrar a configurar ) le agradezco su ayuda.
Hola David, que error te da?
Muchas gracias, sencillo y claro!
Gracias