Objetivos

Implementar y configurar AAA RADIUS/TACACS en Cisco Packet Tracer (CPT)

Información básica

Los servidores AAA (Autorización, Autenticación y Accounting)

Se utilizan para una mayor seguridad en el acceso dentro de una red, centralizando y asegurando el acceso a dispositivos de red.

Existen dos protocolos principales que son RADIUS y TACACS

Parte 1: Laboratorio

• El laboratorio que vamos a implementar en CPT, está conformado por:
  • 2 router
  • 1 pc cliente
  • 1 servidor Radius
  • 1 servidor Tacacs
• Topología por usar

Parte 2: Configuración de Servidores en CPT

• Servidor RADIUS
  • Dirección IP 192.168.1.200/24

• Servicio AAA RADIUS
  • Service: On
  • Client Name: R2
  • Client IP: 192.168.1.2
  • Server Type: Radius
  • Secret: psw (Password compartida entre servidor Radius y dispositivos de red (R2))
  • Username: user1 (usuario de acceso por Radius en R2)
  • Password: psw1 (clave de acceso por Radius en R2)

• Servidor TACACS
  • Dirección IP 192.168.1.100/24

• Servicio AAA TACACS
  • Service: On
  • Client Name: R1
  • Client IP: 192.168.1.1
  • Server Type: Tacacs
  • Secret: psw (Password compartida entre servidor Radius y dispositivos de red (R1))
  • Username: user1 (usuario de acceso por Tacacs en R1)
  • Password: psw1 (clave de acceso por Tacacs en R1)

Parte 3: Configuración de los router en CPT

• Router R2
  • hostname R2
  • enable secret cisco
  • username cisco secret cisco
  • aaa new-model
  • aaa authentication login Acceso_Telnet group radius local (Este comando indica primero que se hará la autenticación por Radius y si falla se hará local (username cisco secret cisco))
  • radius-server host 192.168.1.200 key psw (Password compartida entre servidor Radius y dispositivos de red (R2))
  • interface GigabitEthernet0/0
    • ip address 192.168.1.2 255.255.255.0
  • line vty 0 15
    • login authentication Acceso_Telnet

• Router R1
  • hostname R1
  • enable secret cisco
  • username cisco secret cisco
  • aaa new-model
  • aaa authentication login Acceso_Telnet group tacacs+ local (Este comando indica primero que se hará la autenticación por Tacacs y si falla se hará local (username cisco secret cisco))
  • tacacs-server host 192.168.1.100 key psw (Password compartida entre servidor Tacacs y dispositivos de red (R1))
  • interface GigabitEthernet0/0
  • ip address 192.168.1.1 255.255.255.0
  • line vty 0 15
  • login authentication Acceso_Telnet

Parte 4: Configuración de PC cliente

• PC0
  • Dirección IP 192.168.1.10/24

Parte 5: Pruebas de acceso RADIUS

• Acceso telnet desde PC0 a R2

C:\>telnet 192.168.1.2

Trying 192.168.1.2 …Open

User Access Verification

Username: user1

Password:

R2>ena

Password:

R2#

Parte 6: Pruebas de acceso TACACS

• Acceso telnet desde PC0 a R1

C:\>telnet 192.168.1.1

Trying 192.168.1.1 …Open

User Access Verification

Username: user1

Password:

R1>ena

Password:

R1#

Parte 7: Pruebas de acceso cuando falla el servidor RADIUS

• Vamos a simular una falla del Servidor Radius, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch

C:\>telnet 192.168.1.2

Trying 192.168.1.2 …Open

User Access Verification

Username: user1  (Falla la cuenta AAA porque el Servidor Radius está afuera)

Password:

% Login invalid

Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)

Password:

R2>ena

Password:

R2#

Parte 8: Pruebas de acceso cuando falla el servidor TACACS

• Vamos a simular una falla del Servidor Tacacs, por lo que vamos a requerir de usar la cuenta local (cisco/cisco). Para esto podemos bajar el servicio AAA o desconectar el server del switch

C:\>telnet 192.168.1.1

Trying 192.168.1.1 …Open

User Access Verification

Username: user1 (Falla la cuenta AAA porque el Servidor Tacacs está afuera)

Password:

% Login invalid

Username: cisco (Entonces puedo usar la cuenta cisco con clave cisco)

Password:

R1>ena

Password:

R1#

Pack Cisco CCNA 200-301, con oferta de descuento aquí