Está en la página 1de 25

CCNA Security

Capítulo 3 Lab A, Asegurando el Acceso Administrativo


Utilizando AAA y RADIUS
Topología

Tabla de direccionamiento IP

Máscara de Gateway por Puerto del


Dispositivo Interfaz Dirección IP Subred defecto Switch
R1 FA0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
S0/0/0 10.1.1.1 255.255.255.252 N/A N/A
(DCE)
R2 S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
S0/0/1 10.2.2.2 255.255.255.252 N/A N/A
(DCE)
R3 FA0/1 192.168.3.1 255.255.255.0 N/A S3 FA0/5
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 FA0/6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 FA0/18

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 1 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Objetivos
Parte 1: Configuración Básica de los Dispositivos de la Red
• Realizar la configuración básica, como nombre de host, direcciones IP de las interfaces, y contraseñas
de acceso.
• Configurar el enrutamiento estático.
Parte 2: Configurar la Autenticación Local
• Configurar un usuario de la base de datos local y un acceso local para las líneas de consola, vty
y aux.
• Probar la configuración.
Parte 3: Configurar la Autenticación Local Utilizando AAA
• Configurar la base de datos de usuarios local utilizando el IOS.
• Configurar la autenticación local AAA utilizando el IOS.
• Configurar la autenticación local AAA utilizando el SDM.
• Probar la configuración.
Parte 4: Configurar la Autenticación Centralizada Utilizando AAA y RADIUS
• Instalar un servidor RADIUS en una computadora.
• Configurar usuarios en el servidor RADIUS.
• Configurar servicios AAA en un router para acceder al servidor RADIUS para autenticación con
IOS.
• Configurar servicios AAA en un router para acceder al servidor RADIUS para la autenticación
con SDM.
• Probar la configuración de RADIUS con AAA.

Escenario
La forma más básica de seguridad de acceso a un router consiste en crear contraseñas de acceso para las
líneas de consola, vty y aux. Al usuario se le solicita una única contraseña cuando intenta accede al router.
Configurando la contraseña secreta de modo EXEC privilegiado aumenta el nivel de seguridad, pero aún así
se requiere una única contraseña para cada modo de acceso.
Además de las contraseñas básicas, es posible definir nombres de usuario o cuentas específicas con
diferentes niveles de privilegios en la base de datos del router local, que pueden aplicarse a todo el router.
Cuando se configuran las líneas de consola, vty o aux para referirse a esta base de datos local, al usuario se
le solicitan un nombre de usuario y una contraseña al intentar acceder cualquiera de estas líneas para
acceder al router.
Es posible obtener un control adicional sobre el proceso de login utilizando AAA. Para la autenticación
básica, AAA puede ser configurado para acceder a la base de datos local de usuarios, y también pueden
definirse procedimientos de respaldo. Sin embargo, esta solución no es muy escalable ya que debe ser
configurada en cada router. Para aprovechar al máximo AAA y obtener la mayor escalabilidad, es utilizado en
conjunto con la base de datos de un servidor TACACS+ o RADIUS externo. Cuando un usuario intenta
ingresar, el router referencia a la base de datos del servidor externo para verificar que el nombre de usuario y
la contraseña sean válidos.
En esta práctica de laboratorio, usted construirá una red con múltiples routers, y configurará los routers y los
hosts. Utilizará diferentes comandos de la CLI y las herramientas del SDM para configurar los routers con
autenticación local utilizando AAA. Instalará un servidor RADIUS en una computadora externa y utilizará AAA
para autenticar a los usuarios con dicho servidor.
Nota: Los comandos y salida del router en esta práctica de laboratorio corresponden con un equipo Cisco
1841 con un IOS versión 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qué
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 2 de 25
Este documento es Información Pública de Cisco.
CCNA Security

identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versión del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta práctica de laboratorio.
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Recursos Requeridos
• 3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versión 12.4(20)T1 o equivalente)
• 2 switches (Cisco 2960 o equivalente)
• PC-A: Windows XP, Vista, o Windows Server con un servidor RADIUS disponible
• PC-C: Windows XP o Vista
• Cables Serial y Ethernet de acuerdo a la topología
• Cables Rollover para configurar los routers a través de la consola

Parte 1: Configuración Básica de los Dispositivos de la Red


En la Parte 1 de esta práctica de laboratorio, usted conectará la topología de la red y realizará la
configuración básica, como las direcciones IP de las interfaces, el enrutamiento estático, el acceso a los
dispositivos y las contraseñas.
Todos los pasos deben realizarse en los routers R1 y R3. Sólo los pasos 1, 2, 3 y 6 deben realizarse en el
router R2. El procedimiento para R1 se muestra aquí como ejemplo.

Paso 1: Cablear la red de acuerdo a la topología.


Conectar los dispositivos de acuerdo al diagrama de la topología.

Paso 2: Realizar la configuración básica de cada router.


a. Configurar los nombres de host de acuerdo a la topología.
b. Configurar las direcciones IP de las interfaces de acuerdo a la tabla de direccionamiento IP.
c. Configurar el clock rate de los routers con un cable serial DCE conectado a sus interfaces seriales.
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000
d. Para evitar que el router intente traducir los comandos ingresados en forma incorrecta como si se
tratara de nombres de host, deshabilitar la búsqueda DNS.
R1(config)#no ip domain-lookup

Paso 3: Configurar el enrutamiento estático de los routers.


a. Configurar la ruta estática por defecto desde R1 hacia R2 y desde R3 hacia R2.
b. Configurar una ruta estática desde R2 hacia la LAN de R1 y desde R2 hacia la LAN de R3.

Paso 4: Configurar las opciones IP de las PCs.


Configurar una dirección IP estática, mascara de subred, y gateway por defecto para PC-A y PC-C, de
acuerdo a la tabla de direccionamiento IP.

Paso 5: Verificar la conectividad entre PC-A y R3.


a. Ejecutar un ping desde R1 hacia R3.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 3 de 25
Este documento es Información Pública de Cisco.
CCNA Security

¿Fue el ping exitoso? _____


Si el ping no fue exitoso, realizar la resolución de problemas básica de los dispositivos antes de
continuar.
b. Ejecutar un ping desde PC-A en la LAN de R1 hacia PC-C en la LAN de R3.
¿Fue el ping exitoso? _____
Si el ping no fue exitoso, realizar la resolución de problemas básica de los dispositivos antes de
continuar.
Nota: Si puede ejecutar un ping desde PC-A hasta PC-C, ha demostrado que el enrutamiento estático se
encuentra configurado y funciona correctamente. Si no puede ejecutar el ping, pero las interfaces de los
dispositivos y las direcciones IP son correctos, utilizar los comandos show run y show ip route para
identificar los problemas relacionados con el enrutamiento.

Paso 6: Guardar la configuración básica de cada router.


Utilizar la opción Transfer > Capture text de HyperTerminal o algún otro método para capturar la
configuración actual de cada router. Guardar los tres archivos para utilizarlos luego en la restauración de
los dispositivos.

Paso 7: Configurar y cifrar las contraseñas de R1 y R3.


Nota: Las contraseñas de esta actividad están configuradas con un mínimo de 10 caracteres, pero son
relativamente simples para beneficio de la ejecución de la práctica. Se recomienda utilizar contraseñas
más complejas en las redes en producción.
En este paso, realizar la misma configuración que para R1 y R3. Se muestra aquí el router R1 como
ejemplo.
a. Configurar una longitud mínima de contraseña.
Utilizar el comando security passwords para configurar una longitud mínima de 10 caracteres.
R1(config)#security passwords min-length 10
b. Configurar la contraseña secreta de modo enable en ambos routers.
R1(config)#enable secret cisco12345
c. Configurar las líneas básicas de consola, aux y vty.
d. Configurar una contraseña de consola y habilitar el login en el router R1. Para mayor seguridad, el
comando exec-timeout provoca la desconexión de la línea luego de 5 minutos de inactividad. El
comando logging synchronous previene la aparición de mensajes de consola que interrumpan la
entrada de comandos.
e. Nota: Para evitar la reiteración de logins durante esta actividad, el comando exec-timeout puede
ser configurado con 0 0, lo cual evita que expire. Sin embargo, esto no es considerado una buena
práctica de seguridad.
R1(config)#line console 0
R1(config-line)#password ciscoconpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
f. Configurar una contraseña para el Puerto aux en el router R1.
R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 4 de 25
Este documento es Información Pública de Cisco.
CCNA Security

g. Configurar la contraseña de las líneas vty para el router R1.


R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
g. Cifrar las contraseñas de consola, aux y vty..
R1(config)#service password-encryption
h. Ejecutar el comando show run. ¿Puede leer ahora las contraseñas de consola, aux y vty? ¿Por qué
sí o por qué no?
________________________________________________________________________

Paso 8: Configurar un banner de advertencia para el login de los routers R1 y R3.


a. Configurar una advertencia para el uso no autorizado, utilizando un banner MOTD (message-of-the-
day) con el comando banner motd. Cuando un usuario se conecta al router, el banner MOTD
aparece antes del prompt de login. En este ejemplo, el signo de dólares ($) es utilizado para
comenzar y terminar el mensaje.
R1(config)#banner motd $Unauthorized access strictly prohibited and
prosecuted to the full extent of the law$
R1(config)#exit
b. Ejecutar el comando show run. ¿En qué es convertido el signo $? _____________________
c. Salir del modo EXEC privilegiado utilizando el comando disable o exit y presionar Enter para
comenzar. ¿El banner MOTD se ve como lo esperaba? _____
Nota: Si la respuesta es no, recrearlo utilizando nuevamente el comando banner motd.

Paso 9: Guardar la configuración básica.


Guardar la configuración actual del router.
R1#copy running-config startup-config

Parte 2: Configurar la Autenticación Local


En la Parte 2 de esta práctica de laboratorio, usted configurará un nombre de usuario local y una contraseña, y
cambiará el acceso de las líneas de consola, aux y vty para referenciar a la base de datos local de usuarios y
contraseñas del router. Realizar todos los pasos sobre R1 y R3. A continuación se muestran los pasos para R1.

Paso 1: Configurarla base de datos local de usuarios.


a. Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contraseña.
R1(config)#username user01 secret user01pass
b. Salir del modo de configuración global y mostrar la configuración actual. ¿Puede leer la contraseña
del usuario? ________________________

Paso 2: Configurar la autenticación local para la línea de consola e ingresar.


a. Configurar la línea de consola para que utilice los nombre de usuario y contraseñas definidos
localmente.
R1(config)#line console 0
R1(config-line)#login local

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 5 de 25
Este documento es Información Pública de Cisco.
CCNA Security

b. Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
c. Ingresar utilizando la cuenta user01 y la contraseña previamente definida.
d. ¿Cuál es la diferencia entre ingresar a la consola ahora y antes?
________________________________________________________________________________
e. Luego de ingresar, ejecutar el comando show run. ¿Fue capaz de ejecutar el comando? ¿Por qué
sí o por qué no? __________________________________
f. Ingresar al modo EXEC privilegiado utilizando el comando enable. ¿Le fue solicitada una
contraseña? Por qué sí o por qué no?
______________________________________________________________________

Paso 3: Probar la nueva cuenta ingresando desde una sesión Telnet.


a. Desde la PC-A, establecer una sesión Telnet con R1.
PC-A>telnet 192.168.1.1
b. ¿Le fue solicitada una cuenta de usuario? ¿Por qué sí o por qué no?
__________________________________
c. ¿Qué contraseña utilizó para ingresar? _________________________
d. Configurar las líneas vty para que utilicen las cuentas de login definidas localmente.
R1(config)#line vty 0 4
R1(config-line)#login local
e. Desde PC-A, conectarte mediante telnet con R1 nuevamente.
PC-A>telnet 192.168.1.1
f. ¿Se le solicitó una cuenta de usuario? ¿Por qué sí o por qué no? ____________________________
g. Ingresar como user01 con la contraseña user01pass.
h. Mientras está conectado a R1 mediante Telnet, acceder al modo EXEC privilegiado con el comando
enable.
i. ¿Qué contraseña utilizó? ____________________________
j. Para mayor seguridad, configurar el puerto aux para que utilice las cuentas de login definidas
localmente.
R1(config)#line aux 0
R1(config-line)#login local
k. Finalizar la sesión de Telnet con el comando exit.

Paso 4: Guardar la configuración de R1.


a. Guardar la configuración actual del router.
R1#copy running-config startup-config
b. Utilizar HyperTerminal u otro medio para resguardar la configuración de R1 de las Partas 1 y 2 de
esta práctica de laboratorio y editara para que pueda ser utilizada en la restauración de la
configuración de R1 más adelante.
Nota: Remover todas las ocurrencias de “- - More - -.” Remover cualquier comando que no se relacione
con los ítems configurados en las Partes 1 y 2 de la práctica de laboratorio, tales como el número de
versión del IOS, etc. Muchos comandos son ingresados en forma automática por el IOS. Además,
reemplace las contraseñas cifradas con las correctas especificadas anteriormente.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 6 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Paso 5: Ejecutar los pasos 1 a 4 en R3 y guardar la configuración


a. Guardar la configuración actual del router.
R3#copy running-config startup-config
b. Utilizar HyperTerminal u otro medio para resguardar la configuración de R3 de las Partas 1 y 2 de
esta práctica de laboratorio y editara para que pueda ser utilizada en la restauración de la
configuración de R3 más adelante.

Parte 3: Configurar la Autenticación Local Utilizando AAA en R3


Tarea 1: Configurar la Base de Datos Local de Usuarios Utilizando el IOS
Nota: Si desea configurar AAA utilizando el SDM, pase a la Tarea 3.

Paso 1: Configurar la base de datos local de usuarios.


a. Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contraseña.
R3(config)#username Admin01 privilege 15 secret Admin01pass
b. Salir del modo de configuración global y mostrar la configuración actual. ¿Puede leer la contraseña
del usuario? _________________________________________________________________

Tarea 2: Configurar la Autenticación Local AAA Utilizando el IOS


Paso 1: Habilitar los servicios AAA.
a. En R3, habilitar los servicios con el comando de configuración global aaa new-model. Debido a
que se está implementando la autenticación local, utilizar autenticación local como primer método, y
sin autenticación como método secundario.
Si estuviera utilizando un método de autenticación con un servidor remoto, como TACACS+ o
RADIUS, se debería configurar un método de autenticación secundario de respaldo, si el servidor se
encontrara inaccesible. En general, el método secundario es la base de datos local. En este caso, si
no se configuran nombres de usuario en la base de datos local, el router permite el ingreso de todos
los usuarios con acceso al dispositivo.
b. Habilitar los servicios AAA.
R3(config)#aaa new-model

Paso 2: Implementar los servicios AAA para el acceso por consola utilizando la base de datos
local.
a. Crear una lista de autenticación de login por defecto ejecutando el comando aaa authentication
login default method1[method2][method3] con una lista de métodos utilizando las palabras
clave local y none.
R3(config)#aaa authentication login default local none
Nota: Si no ha configurado una lista de autenticación de login por defecto, puede quedar bloqueado
fuera del router y verse forzado a utilizar el procedimiento de recuperación de contraseñas para
dicho equipo.
b. Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 7 de 25
Este documento es Información Pública de Cisco.
CCNA Security

c. Ingresar a la consola como Admin01 con la contraseña Admin01pass. Recordar que las contraseñas
son sensibles a las mayúsculas. ¿Pudo ingresar al sistema? ¿Por qué sí o por qué no?
_______________________________________________________________________________
Nota: Si su sesión con el Puerto de consola del router expira, puede ser necesario que vuelva a
ingresar utilizando la lista de autenticación por defecto.
d. Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.
e. Intentar ingresar a la consola como baduser con cualquier contraseña. ¿Pudo ingresar al sistema?
¿Por qué sí o por qué no?
____________________________________________________________________________
f. Si no se configura ninguna cuenta de usuario en la base de datos local, ¿qué usuarios tienen
permido para acceder al dispositivo?
__________________________________________________________________________

Paso 3: Crear un perfil de autenticación AAA para Telnet utilizando la base de datos local.
a. Crear una lista única de autenticación para el acceso por Telnet al router. Esto no posee el respaldo
del ingreso sin autenticación, por lo que si no existen usuarios definidos en la base de datos local, el
acceso por Telnet se encuentra deshabilitado. Para crear un perfil de autenticación que no sea el
perfil por defecto, especificar la lista de nombre TELNET_LINES y aplicarla a las líneas vty.
R3(config)#aaa authentication login TELNET_LINES local
R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
b. Verificar que este perfil de autenticación sea utilizado para abrir una sesión Telnet desde PC-C a R3.
PC-C>telnet 192.168.3.1
Trying 192.168.10.1 ... Open
c. Ingresar como Admin01 con la contraseña Admin01pass. ¿Pudo ingresar al sistema? ¿Por qué sí o
por qué no? ______________________________________________________________________
d. Salir de la sesión Telnet utilizando el comando exit, y conectarse a R3 por telnet nuevamente.
e. Intentar ingresar como baduser con cualquier contraseña. ¿Pudo ingresar al sistema? ¿Por qué sí o
por qué no? ______________________________________________________________________

Tarea 3: (Opcional) Configurar la Autenticación Local AAA Utilizando el SDM


También es posible utilizar el SDM para configurar el soporte de AAA en el router.
Nota: Si ha configurado la autenticación AAA en R3 utilizando los comandos del IOS en las Tareas 1 y 2,
puede saltear esta tarea. Si ha realizado las Tareas 1 y 2 y desea realizar esta Tarea, debe restaurar la
configuración básica de R3. Ver la Parte 4, Paso 1, para el procedimiento sobre cómo restaurar a R3 a su
configuración básica.
Incluso si no realiza esta tarea, lea los pasos para familiarizarse con el proceso SDM

Paso 1: Implementar los servicios AAA y el acceso HTTP al router antes de iniciar el SDM.
a. Desde el modo de configuración global del CLI, habilitar un nuevo modelo AAA.
R3(config)#aaa new-model
b. Habilitar el servidor HTTP en R3 para acceder al SDM.
R3(config)#ip http server
Nota: Para mayor seguridad, habilitar el servidor de http seguro utilizando el comando ip http
secure-server.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 8 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Paso 2: Acceder al SDM y configurar las preferencias de entrega de comandos.


a. Abrir un navegador web en PC-C e iniciar el SDM ingresando la dirección IP de R3 (192.168.3.1) en
el campo de dirección.
b. Ingresar sin nombre de usuario y con la contraseña secreta de modo enable cisco12345.
c. En el cuadro de diálogo Password Needed – Networking, ingresar cisco12345 en el campo
Password y hacer click sobre Yes.
d. Configurar el SDM para realizar una vista previa de los comandos antes de enviarlos al router.
Seleccionar Edit > Preferences.
e. En la ventana User Preferences, seleccionar la opción Preview commands before delivering to
router y hacer click sobre OK.

Paso 3: Crear un usuario administrativo con el SDM.


a. Hacer click sobre el botón Configure en la parte superior de la ventana.
b. Seleccionar Additional Tasks > Router Access > User Accounts/View.
c. En la ventana User Accounts/View, hacer click sobre Add.
d. En la ventana Add an Account, ingresar Admin01 en el campo Username.
e. Ingresar la contraseña Admin01pass en los campos New Password y Confirm New Password.
(Recordar que las contraseñas son sensibles a las mayúsculas.)
f. Confirmar que la opción Encrypt Password using MD5 Hash Algorithm está seleccionada.
g. Seleccionar 15 en la lista desplegable Privilege Level y hacer click sobre OK.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 9 de 25
Este documento es Información Pública de Cisco.
CCNA Security

h. En la ventana Deliver Configuration to Router, asegurarse de que la opción Save running config to
router’s startup config se encuentra seleccionada, y hacer click sobre Deliver.
i. En la ventana Commands Delivery Status, hacer click sobre OK.

Paso 4: Crear la lista de métodos AAA para el login.


a. Hacer click sobre el botón Configure en la parte superior de la ventana.
b. Seleccionar Additional Tasks > AAA > Authentication Policies > Login.
c. En la ventana Authentication Login, hacer click sobre Add.
d. En la ventana Add a Method List for Authentication Login, verificar que la opción Default se
encuentra seleccionada en el campo Name.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 10 de 25
Este documento es Información Pública de Cisco.
CCNA Security

e. Hacer click sobre Add en la sección Methods.


f. En la ventana Select Method List(s) for Authentication Login, seleccionar local y hacer click sobre
OK. Tomar nota de los otros métodos listados, los cuales incluyen RADIUS (group radius) y
TACACS+ (group tacacs+).

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 11 de 25
Este documento es Información Pública de Cisco.
CCNA Security

g. Hacer click sobre OK para cerrar la ventana.


h. Repetir los pasos 4f y 4g, y seleccionar none como Segundo método de autenticación.
i. En la ventana Deliver Configuration to Router, asegurarse de que la opción Save running config to
router's startup config se encuentra seleccionada, y hacer click sobre Deliver. En la ventana
Commands Delivery Status, hacer click sobre OK.
j. ¿Qué comandos fueron enviados al router?
________________________________________________________________________________

Paso 5: Verificar el perfil y el nombre de usuario AAA para el login de consola.


a. Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.
b. Ingresar a la consola como Admin01 con la contraseña Admin01pass. ¿Pudo ingresar al sistema?
¿Por qué sí o por qué no? ___________________________________________________________
c. Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.
d. Intentar ingresar a la consola como baduser. ¿Pudo ingresar al sistema? ¿Por qué sí o por qué no?
________________________________________________________________________________
Si no existen cuentas de usuario configuradas en la base de daros local, ¿qué usuarios tienen
permiso de acceso al dispositivo? ____________________________________________________
e. Ingresar a la consola como Admin01 con la contraseña Admin01pass. Ingresar al modo EXEC
privilegiado utilizando la contraseña secreta de modo enable cisco12345 y luego ver la configuración
actual. ¿Qué comandos se encuentran asociados a la sesión del SDM?
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 12 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Tarea 4: Observas la Autenticación AAA Utilizando el Debug del IOS


En esta tarea, utilizará el comando debug para observar los intentos exitosos y fallidos de autenticación.

Paso 1: Verificar que el reloj del sistema y las marcas de tiempo del debug están configurados
correctamente.
a. Desde el usuario o modo EXEC privilegiado de R3, utilizar el comando show clock para determinar
la hora actual del router. Si la fecha y hora son incorrectas, configurar el reloj con el comando de
modo EXEC privilegiado clock set HH:MM:SS DD month YYYY. A continuación se provee un
ejemplo para R3.
R3#clock set 14:15:00 26 December 2008
b. Verificar que la información detallada de timestamp se encuentra disponible en la salida de debug
utilizando el comando show run. El siguiente comando muestra todas las líneas de la configuración
actual que incluyan el texto “timestamps”.
R3#show run | include timestamps

service timestamps debug datetime msec


service timestamps log datetime msec
c. Si el comando service timestamps debug no estuviera presente, ingresarlo en el modo de
configuración global.
R3(config)#service timestamps debug datetime msec
R3(config)#exit
d. Guardar la configuración actual desde el modo EXEC privilegiado.
R3#copy running-config startup-config

Paso 2: Utilizar el modo degub para verificar el acceso de usuarios.


a. Activar el debug para la autenticación AAA.
R3#debug aaa authentication
AAA Authentication debugging is on
b. Iniciar una sesión Telnet desde PC-C a R3.
c. Ingresar con el nombre de usuario Admin01 y la contraseña Admin01pass. Observar los eventos de
autenticación AAA en la ventana de la sesión de consola. Los mensajes de debug deben verse
similares a los siguientes.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list
'default'
d. Desde la ventana de Telnet, ingresar al modo EXEC privilegiado. Utilizar la contraseña secreta de
modo enable cisco12345. Deben mostrarse mensajes de debug similares a los siguientes. En el
tercer mensaje, notar el nombre de usuario (Admin01), el número de puerto virtual (tty194), y la
dirección del cliente remoto Telnet (192.168.3.3). Además notar que el estado del último mensaje es
“PASS.”
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510)
user='Admin01' ruser=' NULL' ds0=0 port='tty194' rem_addr='192.168.3.3'

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 13 de 25
Este documento es Información Pública de Cisco.
CCNA Security

authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf=


(id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): port='tty194'
list='' action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non-console enable
– default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN(2467624222): Status=GETPASS
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL' port='tty194' rem_addr='192.168.3.3' authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
e. Desde la ventana de Telnet, salir del modo EXEC privilegiado utilizando el comando disable. Intentar
ingresar nuevamente al modo EXEC privilegiado, pero utilizando una contraseña errónea esta vez.
Observar la salida de debug en R3, notando que el estado esta vez indica “FAIL”.
Dec 26 15:46:54.027: AAA/AUTHEN(2175919868): Status=GETPASS
Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL
Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'
ruser='NULL'
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)
f. Desde la ventana de Telnet, salir de la sesión Telnet del router. Luego, intentar abrir una nueva
sesión Telnet con el router, pero esta vez ingresando con el nombre de usuario Admin01 y una
contraseña incorrecta. Desde la ventana de consola, la salida de debug debe verse similar a la
siguiente..
Dec 26 15:49:32.339: AAA/AUTHEN/LOGIN (000000AA): Pick method list
'default'
¿Qué mensaje se muestra en la pantalla del cliente Telnet? ________________________________
g. Desactivar el debugging utilizando el comando undebug all en el modo EXEC privilegiado.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 14 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Parte 4: Configurar la Autenticación Centralizada Utilizando AAA y RADIUS


En la Parte 4 de la práctica de laboratorio, usted instalará un servidor RADIUS en PC-A. Luego configurará el
router R1 para acceder al servidor RADIUS externo para la autenticación de usuarios. En esta sección de la
práctica de laboratorio se utiliza el servidor gratuito WinRadius.

Tarea 1: Recuperar la Configuración Básica del Router R1


Para evitar las confusiones sobre la configuración previamente realizada de AAA y RADIUS, comenzar
restaurando la configuración básica de R1 realizada en las Partes 1 y 2 de esta práctica de laboratorio.

Paso 1: Borrar y recargar el router.


a. Conectarse a la consola de R1, e ingresar con el nombre de usuario Admin01 y la contraseña
Admin01pass.
b. Ingresar al modo EXEC privilegiado con la contraseña cisco12345.
c. Borrar la configuración almacenada y ejecutar el comando reload para reiniciar el router.

Paso 2: Restaurar la configuración básica.


a. Cuando el router reinicie, ingresar al modo EXEC privilegiado con el comando enable, e ingresar
luego al modo de configuración global. Utilizar la función de HyperTerminal Transfer > Send File,
copiar y pegar o utilizar otro método para cargar la configuración inicial básica para R1 creada y
guardada previamente en la Parte 2 de esta práctica de laboratorio.
b. Probar la conectividad ejecutando un ping desde PC-A hacia PC-C. Si el ping no es exitoso, realizar
la resolución de problemas de configuración en la PC y en el router.
c. Si ha salido de la consola, ingresar nuevamente como user01 con la contraseña user01pass, y
acceder al modo EXEC privilegiado con la contraseña cisco12345.
d. Guardar la configuración actual con el comando copy run start.

Tarea 2: Descargar e Instalar un Servidor RADIUS en PC-A


Existen diferentes servidores RADIUS disponibles, tanto gratuitos como pagos. Esta práctica de laboratorio
utiliza WinRadius, un servidor RADIUS gratuito basado en estándares, el cual se ejecuta sobre Windows XP
y la mayoría de las demás versiones de Windows. La versión gratuita del servidor puede soportar sólo cinco
nombres de usuarios.

Paso 1: Descargar el software Winradius.


a. Crear una carpeta llamada WinRadius en el escritorio u otra ubicación donde se almacenen archivos.
b. Descargar la última versión desde http://www.suggestsoft.com/soft/itconsult2000/winradius/.
El editor solicita una dirección de email y el envío de datos de uso una vez instalado el producto.
Puede saltear la encuesta si así lo desea.
c. Guardar el archivo zip descargado en la carpeta creada en el Paso 1ª, y extraer los archivos
comprimidos dentro de la misma carpeta. No existe un programa de instalación. El archivo
WinRadius.exe extraído es ejecutable.
d. Puede crear un acceso directo en el escritorio hacia el archivo WinRadius.exe.

Paso 2: Configurar la base de datos del servidor WinRadius.


a. Iniciar la aplicación WinRadius.exe. WinRadius utiliza una base de datos local en la que almacena la
información de los usuarios. Cuando se inicia la aplicación por primera vez, se presenta el mensaje

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 15 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Please go to “Settings/Database and create the ODBC for your RADIUS


database.
Launch ODBC failed.
b. Seleccionar Settings > Database en el menú principal, y se mostrará la siguiente pantalla. Hacer
click sobre el botón Configure ODBC automatically y luego hacer click sobre OK. Debe ver un
mensaje indicando que la ODBC fue creada con éxito. Salir de WinRadius y reiniciar la aplicación
para que los cambios tengan efecto.

c. Cuando WinRadius inicie de nuevo, debe ver un mensaje similar al siguiente.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 16 de 25
Este documento es Información Pública de Cisco.
CCNA Security

d. ¿En qué puertos se encuentra escuchando WinRadius para la autenticación y los registros de
auditoría? ________________________________________________________________________

Paso 3: Configurar los usuarios y contraseñas en el servidor WinRadius.


Nota: La versión gratuita de WinRadius puede soportar hasta cinco nombres de usuario. Los nombres de
usuario se pierden si la aplicación se cierra y vuelve a iniciarse. Cualquier nombre de usuario creado en
sesiones previas debe ser creado nuevamente. Notar que el primer mensaje en la pantalla anterior
muestra que se cargaron cero usuarios. Previamente, no se crearon usuarios, pero este mensaje es
mostrado cada vez que se inicia WinRadius, sin tener en cuenta si se habían creado usuarios
previamente.
a. Desde el menú principal, seleccionar Operation > Add User.
b. Ingresar el nombre de usuario RadUser con la contraseña RadUserpass. Recordar que las
contraseñas son sensibles a las mayúsculas.

c. Hacer click sobre OK. Debe ver un mensaje en la ventana de registro indicando que el usuario ha
sido creado correctamente.

Paso 4: Limpiar la ventana de log.


Desde el menú principal, seleccionar Log > Clear.

Paso 5: Probar el nuevo usuario utilizando la herramienta de pruebas de WinRadius.


a. El archivo zip descargado incluye una herramienta de pruebas de WinRadius. Recorrer la carpeta
donde se colocaron los archivos descomprimidos y buscar un archivo llamado RadiusTest.exe.
b. Iniciar la aplicación RadiusTest, e ingresar la dirección IP de este servidor RADIUS (192.168.1.3), el
nombre de usuario RadUser, y la contraseña RadUserpass como se muestra aquí. No modificar el
número de puerto 1813 ni la contraseña.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 17 de 25
Este documento es Información Pública de Cisco.
CCNA Security

c. Hacer click sobre Send para ver un mensaje Send Access_Request indicando que el servidor en
192.168.1.3, con número de puerto 1813, recibió 44 caracteres hexadecimales. En la ventana de
registro de WinRadius, debe ver también un mensaje indicando que el usuario RadUser fue
autenticado con éxito.

d. Cerrar la aplicación RadiusTest.

Tarea 3: Configurar los Servicios AAA y el Acceso al Servidor RADIUS en R1


utilizando el IOS
Nota: Si desea configurar AAA utilizando el SDM, ir a la Tarea 5.
Paso 1: Habilitar AAA en R1.
Utilizar el comando de configuración global aaa new-model para habilitar AAA.
R1(config)#aaa new-model
Paso 2: Configurar la lista default login authentication list.
a. Configurar la lista que utilizará primero el servicio de autenticación RADIUS. Si no puede alcanzarse
ningún servidor RADIUS y no puede realizarse la autenticación, el router permite el acceso global sin
autenticación. Esta es una medida de seguridad en el caso en que el router se inicie sin conectividad
con un servidor RADIUS activo.
R1(config)#aaa authentication login default group radius none
b. En forma alternativa, puede configurar la autenticación local como método de autenticación de
respaldo.
Nota: Si no configura una lista por defecto de autenticación de login, puede quedar bloqueado fuera del
router, y puede ser necesario realizar el procedimiento de recuperación de contraseñas.

Paso 3: Especificar un servidor RADIUS.


Utilizar el comando radius-server host hostname key key para apuntar al servidor RADIUS. El
parámetro hostname acepta un nombre de host o una dirección IP. Utilizar la dirección IP del servidor
RADIUS, PC-A (192.168.1.3). La clave es una contraseña secreta compartida entre en servidor RADIUS

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 18 de 25
Este documento es Información Pública de Cisco.
CCNA Security

y el cliente RADIUS (R1 en este caso), que es utilizada para autenticar la conexión entre el router y el
servidor antes de que el proceso de autenticación se realice. El cliente RADIUS puede ser un NAS
(Network Access Server), pero el router R1 juega ese rol en esta práctica de laboratorio. Utilizar la clave
secreta por defecto del NAS especificada en el servidor RADIUS (ver Tarea 2, paso 5). Recordar que las
contraseñas son sensibles a las mayúsculas.
R1(config)#radius-server host 192.168.1.3 key WinRadius

Tarea 4: Probar la Configuración de AAA con RADIUS


Paso 1: Verificar la conectividad entre R1 y la computadora que ejecuta el servidor RADIUS.
Ejecutar un ping desde R1 hacia PC-A.
R1#ping 192.168.1.3
Si el ping no es exitoso, realizar la resolución de problemas de configuración en la PC y el router.

Paso 2: Probar la configuración.


a. Si se reinició el servidor WinRadius, debe volver a crearse el usuario RadUser con la contraseña
RadUserpass seleccionando Operation > Add User.
b. Limpiar el log del servidor WinRadius seleccionando Log > Clear en el menú principal.
c. En R1, salid a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN
to get started.
d. Probar la configuración ingresando en la consola de R1 con el nombre de usuario RadUser y la
contraseña RadUserpass. ¿Pudo ingresar al modo EXEC? En caso afirmativo, ¿hubo algún retraso?
________________________________________________________________
e. Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
f. Probar la configuración nuevamente ingresando a la consola de R1 con el nombre de usuario no
existente Userxxx y la contraseña Userxxxpass. ¿Pudo ingresar al modo EXEC? ¿Por qué sí o por
qué no? ________________________________________________________________
g. ¿Se generaron mensajes en la ventana de log del servidor RADIUS para cada ingreso? _____
h. ¿Por qué fue posible ingresar al router con un nombre de usuario no existente, y no se mostró
ningún mensaje en la ventana de log del servidor RADIUS?
________________________________________________________
i. Cuando el servidor RADIUS no se encuentra disponible, se presentan mensajes similares a los
siguientes luego de los intentos de login.
*Dec 26 16:46:54.039: %RADIUS-4-RADIUS_DEAD: RADIUS server
192.168.1.3:1645,1646 is not responding.
*Dec 26 15:46:54.039: %RADIUS-4-RADIUS_ALIVE: RADIUS server
192.168.1.3:1645,1646 is being marked alive.

Paso 3: Resolver problemas de comunicación entre el router y el servidor RADIUS.


a. Comprobar que los números de puerto UDP por defecto de RADIUS del IOS se encuentran en uso
con el comando radius-server host y la función de ayuda del IOS.
R1(config)#radius-server host 192.168.1.3 ?
acct-port UDP port for RADIUS accounting server (default is 1646)
alias 1-8 aliases for this server (max. 8)
auth-port UDP port for RADIUS authentication server (default is 1645)
< Output omitted >

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 19 de 25
Este documento es Información Pública de Cisco.
CCNA Security

b. Comprobar la configuración actual de R1 para las líneas que contengan el comando radius. El
siguiente comando muestra todas las líneas de configuración que incluyen el texto “radius”.
R1#show run | incl radius
aaa authentication login default group radius none
radius-server host 192.168.1.3 auth-port 1645 acct-port 1646 key 7
097B47072B04131B1E1F
< Output omitted >
c. ¿Cuáles son los números de puerto UDP por defecto del IOS de R1 para el servidor RADIUS?
________________________________________________________________________________

Paso 4: Verificar los números de puerto por defecto en el servidor WinRadius en PC-A.
a. Desde el menú principal de WinRadius, seleccionar Settings > System.

b. ¿Cuáles son los números de puerto UDP por defecto de WinRadius? ________________________
Nota: El primer desarrollo de RADIUS fue realizado utilizando el número de puerto UDP 1645 para
autenticación y 1646 para el registro de auditoría, lo que entra en conflicto con el servicio de métrica de
datos. Debido a este conflicto, la RFC 2855 asignó oficialmente los números de puerto 1812 y 1813 para
RADIUS.

Paso 5: Cambiar los números de puerto de RADIUS en R1 para que coincidan con los del
servidor WinRadius.
A menos que se especifique de otra forma, la configuración por defecto de RADIUS del IOS utiliza los
números de puerto UDP 1645 y 1646. Por lo tanto, deben cambiarse los números de puerto del IOS para que
coincidan con los del servidor RADIUS, o los puertos del servidor RADIUS deben cambiarse para que
coincidan con los del IOS del router. En este paso, se modificarán los números de puerto del IOS por los del
servidor RADIUS, de acuerdo a lo especificado en la RFC 2865.
a. Remover la configuración previa utilizando el siguiente comando.
R1(config)#no radius-server host 192.168.1.3 auth-port 1645 acct-port
1646
b. Ejecutar el comando radius-server host nuevamente y esta vez especificar los números de
puerto 1812 y 1813, junto con la dirección IP y la clave secreta del servidor RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port 1813
key WinRadius

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 20 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Paso 6: Probar la configuración ingresando a la consola de R1.


a. Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
b. Ingresar nuevamente con el nombre de usuario RadUser y la contraseña RadUserpass. ¿ûdo
ingresar? ¿Hubo retardo esta vez? ___________________________________________________
c. El log del servidor RADIUS debe mostrar el siguiente mensaje.
User (RadUser) authenticate OK.
d. Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
e. Ingresar con el nombre de usuario inválido Userxxx y la contraseña Userxxxpass. ¿Pudo ingresar?
_________________________________________________________________________
¿Qué mensaje se muestra en el router? ___________________________________________
El log del servidor RADIUS debe mostrar los siguientes mensajes.
Reason: Unknown username
User (Userxxx) authenticate failed

Paso 7: Crear una lista de métodos de autenticación para Telnet y probarla.


a. Crear una lista de métodos de autenticación única para el acceso por Telnet al router. Esto no tiene
un respaldo de no autenticación, por lo que si no es posible acceder al servidor RADIUS, el acceso
por Telnet queda deshabilitado. Nombrar a la lista de métodos de autenticación TELNET_LINES.
R1(config)#aaa authentication login TELNET_LINES group radius
b. Aplicar la lista a las líneas vty del router utilizando el comando de autenticación de login.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
c. Conectarse con Telnet desde PC-A hacia R1, e ingresar con el nombre de usuario RadUser y la
contraseña RadUserpass. ¿Pudo ingresar al router? _____________________________________
d. Salir de la sesión, y conectarse con telnet desde PC-A hacia R1 nuevamente. Ingresar con el nombre
de usuario Userxxx y la contraseña Userxxxpass. ¿Pudo ingresar al router? ____________________

Tarea 5: (Opcional) Configurar los Servicios AAA y el Acceso al Servidor Radius


en R1 Utilizando el SDM
También es posible utilizar el SDM para configurar el acceso al servidor RADIUS externo en el router.
Nota: Si configuró el acceso al servidor RADISU externo en R1 utilizando el IOS en la tarea 3, puede saltear
esta tarea. Si realizó la Tarea 3 y desea realizar esta tarea, restaure la configuración básica del router como
se describe en la Tarea 1 de esta Parte, exceptuando ingresar inicialmente como RadUser con la contraseña

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 21 de 25
Este documento es Información Pública de Cisco.
CCNA Security

RadUserpass. Si el servidor RADIUS no se encuentra disponible en este momento, todavía será capaz de
ingresar a través de la consola.
Si no realiza esta tarea, lea los pasos para familiarizarse con el proceso del SDM.

Paso 1: Implementar los servicios AAA y el acceso al router por HTTP antes de iniciar el SDM.
a. Desde el modo de configuración global de la CLI, habilitar un nuevo modelo AAA.
R1(config)#aaa new-model
b. Habilitar el servidor HTTP en R1.
R1(config)#ip http server

Paso 2: Acceder al SDM y habilitar la opción de vista previa de comandos.


a. Abrir un navegador web en PC-A. Iniciar el SDM ingresando la dirección IP de R1 (192.168.1.1) en el
campo de dirección.
b. Ingresar sin nombre de usuario y con la contraseña de modo enable cisco12345.
c. En el cuadro de diálogo Password Needed – Networking, ingresar cisco12345 en el campo
Password y hacer click sobre Yes.
d. Configurar el SDM para que permita realizar una vista previa de los comandos antes de enviarlos al
router. Seleccionar Edit > Preferences.
e. En la ventana User Preferences, seleccionar la opción Preview commands before delivering to
router y hacer click sobre OK.

Paso 3: Configurar el servicio AAA de R1 para acceder al servidor WinRadius.


a. Hacer click sobre el botón Configure en la parte superior de la pantalla.
b. Seleccionar Additional Tasks > AAA > AAA Servers and Groups > AAA Servers.
c. En la ventana AAA Servers, hacer click sobre Add.
d. En la ventana Add AAA Server, verificar que el campo Server Type indique RADIUS.
e. En el campo Server IP or Host, ingresar la dirección IP de PC-A, 192.168.1.3.
f. Cambiar el campo Authorization Port de 1645 a 1812, y cambiar el campo Accounting Port de
1646 a 1813 para coincidir con los números de puerto del servidor RADIUS.
g. Seleccionar la opción Configure Key.
h. Ingresar WinRadius en los campos New Key y Confirm Key.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 22 de 25
Este documento es Información Pública de Cisco.
CCNA Security

i. En la ventana Deliver Configuration to Router, hacer click sobre Deliver, y en la ventana Commands
Delivery Status, hacer click sobre OK.
j. ¿Qué comandos fueron enviados al router?
________________________________________________________________________________

Paso 4: Configurar la lista de métodos de login para RADIUS de AAA en R1.


a. Hacer click sobre el botón Configure en la parte superior de la pantalla.
b. Seleccionar Additional Tasks > AAA > Authentication Policies > Login.
c. En la ventana Authentication Login, hacer click sobre Add.
d. En la ventana Select Method List(s) for Authentication Login, seleccionar group radius y hacer
click sobre OK.
e. En la ventana Select Method List(s) for Authentication Login, seleccionar local como segundo
método y hacer click sobre OK.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 23 de 25
Este documento es Información Pública de Cisco.
CCNA Security

f. En la ventana Deliver Configuration to Router, hacer click sobre Deliver y en la ventana Commands
Delivery Status, hacer click sobre OK.
g. ¿Qué comando(s) se enviaron al router?
________________________________________________________________________________

Paso 5: Probar la configuración.


a. Si se reinició el servidor RADIUS, es necesario recrear el usuario RadUser con la contraseña
RadUserpass seleccionando Operation > Add User.
b. Limpiar el log del servidor WinRadius seleccionando Log > Clear.
c. Probar la configuración abriendo una sesión Telnet desde PC-A hacia R1.
C:>telnet 192.168.1.1
d. Ingresar con el nombre de usuario RadUser definido en el servidor RADIUS y la contraseña
RadUserpass.
e. ¿Pudo ingresar a R1? _____

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 24 de 25
Este documento es Información Pública de Cisco.
CCNA Security

Tarea 6. Reflexión
a. ¿Por qué una organización puede desear utilizar un servidor centralizado de autenticación en lugar
de configurar usuarios y contraseñas en cada router individual?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
b. Comparar la autenticación local y la autenticación local con AAA.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
c. En base al contenido online de la Academia, a la investigación web, y a la utilización de RADIUS en
esta práctica de laboratorio, comparar y contrastar RADIUS con TACACS+.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________

Tabla de Resumen de Interfaces del Router

Resumen de Interfaces del Router


Modelo de Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz Serial Interfaz Serial
Router #1 #2
1700 Fast Ethernet 0 Fast Ethernet 1 Serial 0 (S0) Serial 1 (S1)
(FA0) (FA1)
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(FA0/0) (FA0/1) (S0/0/0) (S0/0/1)
2600 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1)
(FA0/0) (FA0/1)
2800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(FA0/0) (FA0/1) (S0/0/0) (S0/0/1)
Note: Para identificar cómo se encuentra configurado el router, mire las interfaces para identificar
el tipo de router y cuántas interfaces posee. No existe un método para listar de forma efectiva
todas las combinaciones de configuración para cada clase de router. Esta tabla incluye los
identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La
tabla no incluye otros tipos de interfaces, incluso cuando un router específico puede tener una. Un
ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre paréntesis es la abreviatura legal
que puede utilizarse en los comandos del IOS para representar a la interfaz.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 25 de 25
Este documento es Información Pública de Cisco.