Documente Academic
Documente Profesional
Documente Cultură
RADIUS
Topologa
Nota: Los dispositivos ISR G2 utilizan GigabitEthernet las interfaces en lugar de FastEthernet
Interfaces.
Tabla de direccionamiento
Aparato
Interfaz
Direccin IP
Mscara de
subred
Puerta de
enlace
predeterminada
Cambie Puerto
Fa0 / 1
192.168.1.1
255.255.255.0
N/A
S1 Fa0 / 5
S0 / 0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
N/A
S0 / 0/0
10.1.1.2
255.255.255.252
N/A
N/A
S0 / 0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
N/A
Fa0 / 1
192.168.3.1
255.255.255.0
N/A
S3 Fa0 / 5
S0 / 0/1
10.2.2.1
255.255.255.252
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 Fa0 / 6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 Fa0 / 18
R1
R2
R3
Objetivos
Parte 1: Configurar Configuracin de dispositivo bsicos
Configure los ajustes bsicos como nombre de host, las direcciones IP de la interfaz, y
contraseas de acceso.
Configurar un usuario local de base de datos y el acceso local a la consola, vty y aux
lneas.
Prueba de la configuracin.
Parte 3: Configurar la autenticacin local mediante AAA
Prueba de la configuracin.
Parte 4: Configurar la autenticacin centralizada Usando AAA y RADIUS
Utilice Cisco IOS para configurar los servicios de AAA en un router para acceder al servidor
RADIUS para la autenticacin.
Utilice CCP para configurar los servicios de AAA en un router para acceder al servidor
RADIUS para la autenticacin.
Antecedentes / Escenario
La forma ms bsica de la seguridad de acceso del router es crear contraseas para las lneas
de consola, vty y aux. Un usuario se le solicita una contrasea nica al acceder al
router. Configuracin de un modo EXEC privilegiado contrasea secreta de enable mejora an
ms la seguridad, pero an as slo se requiere una contrasea bsica para cada modo de
acceso.
Adems de las contraseas bsicas, nombres de usuarios o cuentas con diferentes niveles de
privilegios especficos pueden ser definidos en la base de datos del router local que puede
aplicar al router en su conjunto. Cuando en la consola, vty, o lneas auxiliares se configuran
para referirse a esta base de datos local, el usuario se le solicita un nombre de usuario y una
contrasea cuando se utiliza cualquiera de estas lneas para acceder al router.
Control adicional sobre el proceso de inicio de sesin se puede lograr mediante la
autenticacin, autorizacin y contabilidad (AAA). Para la autenticacin bsica, la AAA se puede
configurar para acceder a la base de datos local para inicios de sesin de los usuarios, y los
procedimientos de retorno tambin se puede definir. Sin embargo, este enfoque no es muy
escalable, ya que se debe configurar en cada router.Para sacar el mximo provecho de la AAA
y lograr la mxima escalabilidad, AAA se utiliza junto con una base de datos externa TACACS +
o RADIUS servidor. Cuando un usuario intenta iniciar sesin, el router hace referencia a la
base de datos un servidor externo para verificar que el usuario inicia sesin con un nombre de
usuario y una contrasea vlidos.
En este laboratorio, se construye una red multi-router y configurar los routers y hosts. A
continuacin, utilice los comandos de la CLI y herramientas del PCCh para configurar routers
con autenticacin local bsico por medio de AAA. Va a instalar el software de RADIUS en un
ordenador externo y utilizar AAA para autenticar a los usuarios con el servidor RADIUS.
Nota: Los comandos del router y de salida en este laboratorio son de un router Cisco 1841 con
(4) (imagen Servicios Advanced IP) M8 Cisco IOS Release 15.1. Otros routers y versiones de
Cisco IOS se pueden utilizar. Consulte la tabla de resumen de interfaces del router al final del
laboratorio para determinar qu identificadores de interfaz a utilizar en funcin de los equipos
en el laboratorio. Dependiendo del modelo de router y la versin IOS de Cisco, los comandos
disponibles y salida producidos podran variar de lo que se muestra en este laboratorio.
Nota: Asegrese de que los routers y switches se han borrado las configuraciones de inicio.
Recursos necesarios
3 Routers (Cisco 1841 Cisco IOS Release (4) M8 imagen 15.1 servicios IP avanzados o
comparable con)
2 PC (Windows Vista o Windows 7 con CCP 2.5, la ltima versin de Java, Internet
Explorer, y Flash Player y el servidor RADIUS)
CCP Notas:
E n el fin de ejecutarlo CCP, puede ser necesario desactivar temporalmente los programas
antivirus y cortafuegos S / S. Asegrese de que todos los bloqueadores de ventanas emergentes
estn apagados en el navegador.
1.
1.
2.
a.
b.
tabla de direccionamiento IP.
c.
Configure una frecuencia de reloj de los routers con un cable serial
DCE conectado a su interfaz serie.
R1 (config) # interface S0 / 0/0
R1 (config-if) # clock rate 64000
d.
Para evitar que el router de intentar traducir los comandos
introducidos de forma incorrecta como si fueran nombres de host, bsqueda de DNS desactivar.
R1 (config) # no ip domain-lookup
3.
a.
R2.
b.
LAN R3.
4.
5.
a.
Si los pings no tienen xito, solucionar las configuraciones bsicas del dispositivo antes de
continuar.
b.
6.
7.
a.
b.
c.
d.
Configurar una contrasea de la consola y permitir inicio de sesin
para el router R1. Para mayor seguridad, el comandoexec-timeout causa que la lnea para cerrar
la sesin despus de 5 minutos de inactividad. El comando logging synchronous evita que los
mensajes de consola de interrumpir la entrada de comandos.
Nota: Para evitar accesos repetitivos durante este laboratorio, el tiempo de espera
ejecutivo se puede ajustar a 0 0, lo que evita que se expira. Sin embargo, esto no se
considera una buena prctica de seguridad.
R1
R1
R1
R1
R1
(config) # line
(config-line) #
(config-line) #
(config-line) #
(config-line) #
e.
consola 0
password ciscoconpass
exec-timeout 5 0
login
sincrnica tala
Configure una contrasea para el puerto aux para el router R1.
R1
R1
R1
R1
(config) # line
(config-line) #
(config-line) #
(config-line) #
aux 0
password ciscoauxpass
exec-timeout 5 0
login
f.
(config) # line
(config-line) #
(config-line) #
(config-line) #
g.
vty 0 4
password ciscovtypass
exec-timeout 5 0
login
Cifrar las contraseas de consola, aux, y vty.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
8.
Configurar un inicio de sesin de advertencia de la bandera en
los routers R1 y R3.
a.
Configurar una advertencia a los usuarios no autorizados mediante
un (MOTD) mensaje-del-da con el comando banner motd. Cuando un usuario se conecta al
router, el banner MOTD aparece antes de la solicitud de inicio de sesin. En este ejemplo, el signo
de dlar ($) se utiliza para iniciar y terminar el mensaje.
R1 (config) # banner motd $ Acceso no autorizado estrictamente
prohibido! $
R1 (config) # exit
b.
Salga del modo EXEC privilegiado mediante el
comando deshabilitar o salida y pulse Intro para empezar.
Si el banner no aparece correctamente, vuelva a crearlo con el comando banner motd.
9.
2.
1.
a.
contrasea.
Crear una cuenta de usuario local con hash MD5 para cifrar la
_________________________________________________________________________
___________
2.
Configurar la autenticacin local para la lnea de la consola y
de inicio de sesin.
a.
Establecer la lnea de consola para utilizar los nombres de usuario
y contraseas de inicio de sesin localmente definidas.
R1 (config) # line consola 0
R1 (config-line) # login locales
b.
c.
definida.
3.
Telnet.
a.
b.
c.
Qu contrasea usaste para
entrar? _______________________________
d.
localmente.
f.
g.
Mientras est conectado a R1 a travs de Telnet, el acceso al
modo EXEC privilegiado con el comando enable.
Qu contrasea usaste?
_________________________________________________________________________
___________
h.
Para mayor seguridad, establecer el puerto aux utilizar las cuentas
de acceso definidos localmente.
R1 (config) # line aux 0
R1 (config-line) # login locales
i.
4.
5.
3.
1.
Cisco IOS.
1.
a.
contrasea.
Crear una cuenta de usuario local con hash MD5 para cifrar la
b.
Salga el modo de configuracin global y mostrar la configuracin
en ejecucin. Puedes leer la contrasea del user s?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
2.
1.
2.
Implementar servicios de AAA para el acceso a la consola
usando la base de datos local.
a.
Crear la lista de autenticacin predeterminado de inicio de sesin
mediante la emisin de la autenticacin de inicio de sesin predeterminado aaa metodo1
[metodo2] comando [metodo3] con una lista de mtodos utilizando las palabras clave locales
y ninguno.
R3 (config) # aaa autenticacin de inicio de sesin por defecto
ninguno locales
Nota: Si no se establece una lista de autenticacin de inicio de sesin por defecto, usted
podra conseguir encerrados fuera del router y se ven obligados a utilizar el procedimiento
de recuperacin de la contrasea del router especfico.
b.
c.
3.
Crear un perfil de autenticacin AAA para Telnet utilizando la
base de datos local.
a.
Crear una lista de autenticacin nica para el acceso Telnet al
router. Esto no tiene por el repliegue de ninguna autenticacin, as que si no hay nombres de
usuario en la base de datos local, el acceso Telnet est desactivado. Para crear un perfil de
autenticacin que no es el predeterminado, especifique un nombre de la lista de TELNET_LINES y
aplicarlo a las lneas vty.
R3 (config) autenticacin aaa # login TELNET_LINES locales
R3 (config) # line vty 0 4
R3 (config-line) # login TELNET_LINES autenticacin
b.
Compruebe que este perfil de autenticacin se utiliza mediante la
apertura de una sesin de Telnet desde PC-C a R3.
PC-C> telnet 192.168.3.1
Tratando 192.168.3.1 ... Abrir
c.
hacer login? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
d.
nuevo.
e.
Intente iniciar la sesin como baduser con cualquier
contrasea. Pudo hacer login? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
(Opcional) Configure AAA Autenticacin local Utilizacin de
Cisco CCP.
Tambin puede utilizar CCP para configurar el router para apoyar AAA. Incluso si usted no
realiza esta tarea, leer a travs de los pasos para familiarizarse con el proceso de CCP.
1.
a.
Conctese a la consola de R3, e ingrese el nombre de
usuario Admin01 y contrasea Admin01pass.
b.
la cisco12345 contrasea.
c.
Actualizar el router.
R3 # reload
La configuracin del sistema se ha
modificado. Guardar? [s / no]: no
Proceda con recarga? [confirm]
2.
Implementar servicios de AAA y el acceso del router HTTP
antes de comenzar PCCh.
a.
modelo de AAA.
c.
d.
sesiones web.
3.
a.
Comience CCP en PC-C. En la ventana Administrar dispositivos,
agregue 192.168.3.1 direccin IP R3 en el primer campo de la direccin IP. Introduzca admin en el
campo Nombre de usuario y cisco12345 en el campo Contrasea.
b.
En el PCCh Dashboard, haga clic en el botn Discover
para descubrir y conectarse a R3. Si la deteccin de falla, haga clic en el botn Descubrimiento
detalles para determinar el problema.
4.
a.
pantalla.
b.
c.
d.
campo Nombre de usuario.
e.
Introduzca la contrasea Admin01pass en el New Password y
Confirm New Password. (Recuerde que las contraseas distinguen entre maysculas y
minsculas).
f.
Confirme que la contrasea de casilla de verificacin Cifrar
algoritmo hash MD5 utilizando est marcada.
g.
clic en Aceptar.
h.
en Enviar.
i.
5.
a.
pantalla.
b.
c.
Agregar.
d.
En el Agregar una lista Mtodo para la autenticacin Entrar
ventana, verifique que por defecto es en el campo Nombre.
e.
f.
En la lista Mtodo de seleccin central (s) para la autenticacin
Entrar ventana, seleccione local y haga clic en Aceptar.Tome nota de los otros mtodos
enumerados, que incluyen RADIUS (radio del grupo) y TACACS + (grupo TACACS +).
g.
h.
Repita los pasos 4f y 4g. Elija ninguno como segundo mtodo de
autenticacin y haga clic en el botn O K cuando haya terminado.
i.
En la configuracin Entregar a la ventana de Router, haga clic
en Enviar. En la ventana Estado de Comandos Entrega,haga clic en Aceptar.
j.
6.
inicio de sesin.
a.
d.
login? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Si no hay cuentas de usuario se configuran en la base de datos local, que los usuarios se
les permite acceder al dispositivo?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
e.
Inicie sesin en la consola como Admin01 con la
contrasea Admin01pass. El acceso al modo EXEC privilegiado mediante el
permitir cisco12345 contrasea secreta y luego usar mostrar la orden de marcha para mostrar la
configuracin en ejecucin. Qu comandos se asocian con la sesin del PCCh?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
4.
Observe AAA Autenticacin Utilizacin de Cisco IOS
depuracin.
En esta tarea, se utiliza el comando de depuracin para observar los intentos de autenticacin
exitosos y no exitosos.
1.
Verifique que los sellos del reloj del sistema y el tiempo de
depuracin estn configurados correctamente.
a.
Desde el usuario R3 o indicador del modo EXEC privilegiado,
utilice el comando show clock para determinar lo que la hora actual es para el router. Si la hora y
la fecha son incorrectas, establezca la hora del modo EXEC privilegiado con el reloj de
comandos establece HH: MM:. Mes AAAA SS DD se proporciona un ejemplo aqu para R3.
R3 # reloj fij 14:15:00 26 de diciembre 2008
b.
Verifique que la informacin detallada de sello de tiempo
disponible para el resultado de la depuracin con el comandoshow run. Este comando muestra
todas las lneas en la configuracin en ejecucin que incluyen el texto timestamps .
R3 # show run | Incluye marcas de tiempo
servicio de marcas de tiempo ms depuracin de fecha y hora
marcas de tiempo de servicio de registro de fecha y hora ms
c.
Si el comando de las marcas de tiempo de servicio de
depuracin no est presente, entrar en el modo de configuracin global.
R3 (config) # servicio de marcas de tiempo ms depuracin de fecha y
hora
R3 (config) # exit
d.
Guarde la configuracin en ejecucin en la configuracin de inicio
desde el indicador EXEC privilegiado.
R3 # copy running-config startup-config
2.
a.
b.
c.
Inicia sesin con nombre de usuario y contrasea Admin01pass
Admin01. Observe los eventos de autenticacin AAA en la ventana de sesin de la
consola. Mensajes de depuracin similar al siguiente se deben mostrar.
R3 #
26 de diciembre 14: 36: 42,323: AAA / BIND (000000A5): Bind i / f
26 de diciembre 14: 36: 42,323: AAA / AUTHEN / LOGIN (000000A5):
Mtodo de Seleccin lista de 'default'
d.
Desde la ventana de Telnet, ingrese al modo EXEC
privilegiado. Utilice la contrasea secreta de enable del cisco12345.Mensajes de depuracin
similar al siguiente se deben mostrar. En la tercera entrada, anote el nombre de usuario (Admin01),
nmero de puerto virtual (tty194), y la direccin del cliente Telnet remoto (192.168.3.3). Tambin
tenga en cuenta que la ltima entrada de estado es PASS.
R3 #
26 de diciembre 14: 40: 54,431: AAA: analizar name = tty194 tipo bid = -1
tty = -1
26 de diciembre 14: 40: 54,431: AAA: banderas name = tty194 = 0x11 type = 5
estantera = 0 ranura = 0 = 0 adaptador de puerto = 194 canal = 0
26 de diciembre 14: 40: 54,431: AAA / MEMORIA: create_user (0x64BB5510)
user = ruser = DS0 'NULL' 'Admin01' = 0 puerto = 'tty194' authen_type
'192.168.3.3' rem_addr = = servicio ASCII = ACTIVAR priv = 15
initial_task_id = '0', VRF = (id = 0)
e.
Desde la ventana de Telnet, salir del modo EXEC privilegiado
mediante el comando disable. Trate de entrar en el modo EXEC privilegiado de nuevo, pero utilizar
una contrasea incorrecta en esta ocasin. Observe el resultado de la depuracin en R3, y seal
que el estado es FAIL este momento.
26 de diciembre 15: 46: 54,027: AAA / AUTHEN (2175919868): Estado = GETPASS
26 de diciembre 15: 46: 54,027: AAA / AUTHEN / CONT (2175919868): Mtodo =
ACTIVAR
26 de diciembre 15: 46: 54,039: AAA / AUTHEN (2175919868): contrasea
incorrecta
26 de diciembre 15: 46: 54,039: AAA / AUTHEN (2175919868): Estado = FALLO
26 de diciembre 15: 46: 54,039: AAA / MEMORIA: free_user (0x6615BFE4) user
= ruser = Puerto 'NULL' 'NULL' = 'tty194' rem_addr authen_type = servicio
ASCII '192.168.3.3' = = ACTIVAR priv = 15 VRF = ( id = 0)
f.
Desde la ventana de Telnet, salga de la sesin de Telnet al
router. A continuacin, intente abrir una sesin Telnet al router de nuevo, pero esta vez tratar de
iniciar sesin con el nombre de usuario Admin01 y una contrasea incorrecta.Desde la ventana de
la consola, el resultado de la depuracin debe ser similar a lo siguiente.
26 de diciembre 15: 49: 32,339: AAA / AUTHEN / LOGIN (000000AA):
Mtodo de Seleccin lista de 'default'
Qu mensaje se mostrar en la pantalla del cliente Telnet?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
g.
Apague todos depuracin mediante el undebug toda comando en
el indicador EXEC privilegiado.
4.
Configurar autenticacin centralizada entication Usando
AAA y RADIUS
En la Parte 4 del laboratorio, de instalar el software del servidor RADIUS en PC-A. A
continuacin, configurar R1 para acceder al servidor RADIUS externo para la autenticacin de
usuario. El WinRadius servidor gratuito se utiliza para esta seccin del laboratorio.
1.
1.
a.
Conectarse a la consola R1, e ingrese el nombre de
usuario Admin01 y contrasea Admin01pass.
b.
la cisco12345 contrasea.
c.
la configuracin.
R1 # reload
La configuracin del sistema se ha
modificado. Guardar? [s / no]: no
Proceda con recarga? [confirm]
2.
Verificar la conectividad.
a.
Probar la conectividad haciendo ping desde el host PC-A a PCC. Si los pings no tienen xito, solucionar las configuraciones del router y PC hasta que estn.
b.
Si usted est en el sistema de la consola, acceder de nuevo
como user01 con contrasea user01pass, y el acceso al modo EXEC privilegiado con
la cisco12345 contrasea.
2.
1.
a.
Cree una carpeta denominada WinRadius en el escritorio o en
otra ubicacin en la que almacenar los archivos.
b.
Extraer los archivos comprimidos WinRadius a la carpeta que cre
en el Paso 1a. No hay ninguna configuracin de la instalacin. El archivo WinRadius.exe extrado
es ejecutable.
c.
WinRadius.exe.
Configuracin de compatibilidad:
1.
y seleccione Propiedades.
2.
Mientras que en el cuadro de dilogo Propiedades,
seleccione la pestaa Compatibilidad. En esta ficha, seleccione la casilla de verificacin Ejecutar
este programa en modo de compatibilidad para. Luego, en el men desplegable a continuacin
hacia abajo, elija Windows XP (Service Pack 3), por ejemplo, si es apropiado para su sistema.
3.
b.
1.
Haga clic derecho sobre el icono
WinRadius.exe y seleccione Propiedades.
2.
Mientras que en el cuadro de dilogo Propiedades,
seleccione la pestaa Compatibilidad. En esta ficha, seleccione la casilla de verificacin Ejecutar
este programa como administrador en la seccin Nivel de privilegio.
3.
c.
1.
Haga clic derecho sobre el icono
WinRadius.exe y seleccione Ejecutar como una ADEL.
2.
Cuando WinRadius lanza, haga clic en S en el cuadro de
dilogo Control de cuentas de usuario.
2.
a.
Inicie la aplicacin WinRadius.exe. WinRadius utiliza una base de
datos local en el que se almacena la informacin del usuario. Cuando se inicia la aplicacin por
primera vez, se muestran los siguientes mensajes:
Por favor, vaya a la Settings / base de datos y crear el ODBC
para su base de datos RADIUS.
Fall Lanzamiento ODBC.
b.
Elija Ajustes> Base de datos en el men principal. Se mostrar la
siguiente pantalla. Haga clic en la Configuracin de ODBC A y utomatically botn y
luego haga clic en Aceptar. Usted debe ver un mensaje que el ODBC se ha creado
correctamente. Salga WinRadius y reiniciar la aplicacin para que los cambios surtan efecto.
c.
Cuando WinRadius comienza de nuevo, debera ver mensajes
similares a la siguiente pantalla.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
a.
usuario.
b.
Introduzca el nombre de usuario RadUser con la
contrasea RadUserpass. Recuerde que las contraseas distinguen entre maysculas y
minsculas.
c.
Haga clic en Aceptar. Usted debe ver un mensaje en la pantalla de
registro que se ha agregado correctamente al usuario.
4.
5.
WinRadius.
a.
Una utilidad de las pruebas WinRadius est incluido en el archivo
zip descargado. Vaya a la carpeta donde ha descomprimido el archivo WinRadius.zip y localice el
archivo denominado RadiusTest.exe.
b.
Inicie la aplicacin RadiusTest, e introduzca la direccin IP de este
servidor RADIUS (192.168.1.3), nombre de usuarioRadUser y contrasea RadUserpass como se
muestra. No cambie el valor por defecto RADIUS nmero de puerto 1813 y la contrasea RADIUS
de WinRadius.
c.
Haga clic en Enviar y usted debera ver un mensaje Enviar
ACCESS_REQUEST que indica el servidor en 192.168.1.3, el nmero de puerto 1813, recibi 44
caracteres hexadecimales.
d.
autenticado correctamente.
e.
3.
Configurar R1 AAA Servicios y acceder al servidor RADIUS
Utilizacin de Cisco IOS
Nota: para configurar AAA usando CCP, proceda a la Tarea 5.
1.
2.
predeterminado.
a.
Configurar la lista para usar primero RADIUS para el servicio de
autenticacin, y entonces ninguno. Si no hay un servidor RADIUS puede ser alcanzado y la
autenticacin no puede realizarse, el router permite a nivel mundial el acceso sin autenticacin. Se
trata de una medida de salvaguardia en caso de que el router se pone en marcha sin conectividad
a un servidor RADIUS activo.
R1 (config) # aaa autenticacin de inicio de sesin grupo
predeterminado ninguno radio
b.
Usted puede configurar alternativamente autenticacin local como
mtodo de autenticacin de copia de seguridad en su lugar.
Nota: Si no se establece una lista de autenticacin de inicio de sesin por defecto, usted
podra conseguir encerrados fuera del router y la necesidad de utilizar el procedimiento de
recuperacin de la contrasea del router especfico.
3.
a.
Utilice el nombre de host anfitrin radio-servidor Tecla comando
para que apunte al servidor RADIUS. El argumento de nombre de host acepta un nombre de host o
una direccin IP. Utilice la direccin IP del servidor RADIUS, PC-A(192.168.1.3). La llave es una
contrasea secreta compartida entre el servidor RADIUS y el cliente RADIUS (R1 en este caso) y
se utiliza para autenticar la conexin entre el router y el servidor antes de que el proceso de
autenticacin de usuario lleva a cabo. El cliente de RADIUS puede ser un servidor de acceso de
red (NAS), pero router R1 juega ese papel en este laboratorio. Utilice la opcin predeterminada
NAS contrasea secreta de WinRadius especificado en el servidor RADIUS (ver Tarea 2, Paso
5). Recuerde que las contraseas distinguen entre maysculas y minsculas.
R1 (config) # radio-server 192.168.1.3 anfitrin clave WinRadius
4.
1.
servidor RADIUS.
2.
a.
Si ha reiniciado el servidor WinRadius, debe volver a crear
el RadUser usuario con una contrasea de RadUserpasseligiendo Funcionamiento> Agregar
usuario.
b.
Borrar en el men principal.
c.
d.
Pon a prueba tu configuracin accediendo a la consola en R1
utilizando el nombre de usuario y la contrasea RadUserde RadUserpass. Has podido tener
acceso al modo EXEC del usuario y, si es as, hubo algn retraso?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
e.
f.
Pon a prueba tu configuracin de nuevo iniciando sesin en la
consola en R1 utilizando el nombre de usuario inexistente de Userxxx y la contrasea
de Userxxxpass. Has podido tener acceso al modo EXEC usuario? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
g.
Fueron los mensajes que aparecen en el registro del servidor
RADIUS, ya sea para acceso? ______________________
h.
Por qu fue un nombre de usuario inexistente poder acceder al
router y no hay mensajes se visualizan en la pantalla de registro del servidor RADIUS?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
i.
Cuando el servidor RADIUS no est disponible, los mensajes
similares al siguiente se muestran tpicamente despus de los intentos de inicio de sesin.
* 26 de diciembre 16: 46: 54,039:% RADIUS-4-RADIUS_DEAD: servidor RADIUS
192.168.1.3:1645,1646 no responde.
3.
Solucionar problemas de comunicacin del servidor de
enrutador a RADIUS.
a.
Compruebe los nmeros de puerto de Cisco IOS RADIUS UDP por
defecto utilizados en R1 con el comando de acogida radio-servidor y la funcin de ayuda del IOS
de Cisco.
R1 (config) # radio-server 192.168.1.3 anfitrin?
Acct-puerto puerto UDP para RADIUS alojamiento / servidor unting (por
defecto es 1646)
alias 1-8 alias para este servidor (mx. 8)
auth-port puerto UDP para el servidor de autenticacin RADIUS (por defecto
es 1645)
<Salida omite>
b.
Compruebe la configuracin de R1 en ejecucin para las lneas
que contienen el radio mando.
R1 # show run
autenticacin
ninguno
radius-server
1,646 clave 7
| Incluye radio
de inicio de sesin predeterminado aaa radio grupo
192.168.1.3 anfitrin auth-port 1645 ctas puertos
097B47072B04131B1E1F
<Salida omite>
Cules son los nmeros de puerto R1 Cisco IOS UDP por defecto para el servidor
RADIUS?
_________________________________________________________________________
___________
4.
Compruebe los nmeros de puerto por defecto en el servidor
WinRadius en PC-A.
En el men principal WinRadius, seleccione Configuracin> Sistema.
5.
Cambiar los nmeros de puerto RADIUS en R1 para que
coincida con el servidor WinRadius.
A menos que se especifique lo contrario, los valores predeterminados de configuracin de
Cisco IOS RADIUS a los nmeros de puerto UDP 1645 y 1646. Cualquiera de los nmeros de
puerto de Cisco IOS del router se deben cambiar para que coincida con el nmero de puerto
del servidor RADIUS o los nmeros de puerto del servidor RADIUS debe ser cambiado para
que coincida con el puerto nmeros del router Cisco IOS.
a.
6.
a.
Salir a la pantalla inicial del router que aparece: R1 con0 ya est
disponible, Pulse RETURN para empezar.
b.
Entra de nuevo con el nombre de usuario de RadUser y la
contrasea de RadUserpass. Pudo hacer login? Hubo alguna demora esta vez?
_______________________________________________________________________________
_____
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
c.
RADIUS.
e.
Entra de nuevo utilizando un nombre de usuario vlido
de Userxxx y la contrasea de Userxxxpass. Pudo hacer login?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Qu mensaje se visualiza en el router?
_________________________________________________________________________
___________
Los siguientes mensajes deben mostrar en el registro del servidor RADIUS.
Motivo: Desconocido nombre de usuario
Usuario (Userxxx) autenticar fracas
7.
probarlo.
a.
Crear una lista mtodo de autenticacin nica para el acceso
Telnet al router. Esto no tiene por el repliegue de ninguna autenticacin, as que si no hay acceso al
servidor RADIUS, el acceso Telnet est desactivado. Nombra los autenticacin lista
mtodo TELNET_LINES.
R1 (config) # aaa radio de grupo de inicio de sesin de
autenticacin TELNET_LINES
b.
Aplicar la lista para las lneas vty en el router con el comando de
autenticacin de inicio de sesin.
R1 (config) # line vty 0 4
R1 (config-line) # de inicio de sesin de autenticacin
TELNET_LINES
c.
Telnet desde PC-A a R1, e inicie sesin con el nombre de
usuario RadUser y la contrasea de RadUserpass. Has podido acceder a ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
d.
Salga de la sesin Telnet, y telnet del PC-A a R1 nuevo. Inicia
sesin con el nombre de usuario Userxxx y la contrasea de Userxxxpass. Has podido
ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
5.
(Opcional) Configure R1 AAA Servicios y acceder al servidor
RADIUS Usando CCP
Tambin puede utilizar CCP para configurar el router para acceder al servidor RADIUS externo.
Nota: Si ha configurado R1 para acceder al servidor RADIUS externo utilizando Cisco
IOS en la Tarea 3, puede omitir esta tarea. Si ha realizado tareas 3 y desea realizar esta
tarea, restaurar el router a su configuracin bsica, como se describe Tarea 1 de esta parte, a
excepcin de registro en un principio como RadUser con la contrasea RadUserpass. Si el
servidor RADIUS no est disponible en este momento, usted todava ser capaz de iniciar
sesin en la consola.
Si no se realiza esta tarea, leer a travs de los pasos para familiarizarse con el proceso de
CCP.
1.
Implementar servicios de AAA y el acceso del router HTTP
antes de comenzar PCCh.
a.
modelo de AAA.
c.
local.
d.
sesiones web.
2.
a.
Comience CCP en PC-C. En la ventana Administrar dispositivos,
agregue la direccin R1 IP 192.168.1.1 en el primer campo de la direccin
IP. Introduzca administrador en el campo Nombre de usuario y cisco12345 en el campo
Contrasea.
b.
En el PCCh Dashboard, haga clic en el Discover botn para
descubrir y conectarse a R3. Si la deteccin de falla, haga clic en el Descubrimiento
detalles botn para determinar el problema.
3.
a.
pantalla.
b.
c.
d.
En el cuadro Agregar servidor AAA ventana, verifique
que RADIUS es en el campo Tipo de servidor.
e.
A, 192.168.1.3.
f.
Cambie el puerto Autorizacin a partir 1645 a una mil
ochocientos doce, y cambiar el puerto de Contabilidad a partir de 1646 una mil ochocientos
trece para que coincida con los ajustes del nmero de puerto del servidor RADIUS.
g.
h.
campos clave.
i.
En la configuracin Entregar a la ventana de Router, haga clic
en Enviar y, en la ventana Estado Comandos de entrega, haga clic en Aceptar.
j.
4.
RADIUS.
a.
pantalla.
b.
c.
en Aadir.
d.
En la lista Mtodo de seleccin central (s) para la autenticacin
Entrar ventana, seleccione radio de grupo y haga clic en Aceptar.
e.
En la lista Mtodo de seleccin central (s) para la autenticacin
Entrar ventana, seleccione locales como un segundo mtodo y haga clic en Aceptar.
f.
En la configuracin Entregar a la ventana de Router, haga clic
en Enviar y en la ventana de estado de entrega Comandos, haga clic en Aceptar.
g.
5.
a.
Si ha reiniciado el servidor RADIUS, debe volver a crear el
usuario RadUser con la contrasea RadUserpass eligiendoOperacin> Agregar Uso r.
b.
c.
de Telnet desde PC-A a R1.
Reflexin
1.
Por qu una organizacin que desee utilizar un servidor de autenticacin
centralizado en lugar de la configuracin de usuarios y contraseas en cada router individual?
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
2.
3.
Sobre la base de la Academia en el curso online de contenidos, investigacin de la
tela, y el uso de RADIUS en este laboratorio, comparan y contrastan con RADIUS TACACS +.
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
Interfaz Ethernet # 1
Interfaz Ethernet # 2
Interfaz Serial # 1
Interfaz Serial # 2
1800
1900
2801
2811
2900
Nota: Para saber cmo est configurado el router, consulte las interfaces para identificar el tipo de router
y la cantidad de interfaces de router tiene. No hay manera efectiva a la lista de todas las combinaciones de
configuraciones para cada clase de router. Esta tabla incluye identificadores de las posibles combinaciones de
Ethernet e interfaces seriales en el dispositivo. La tabla no incluye ningn otro tipo de interfaz, a pesar de que un
router especfico puede contener uno. Un ejemplo de esto podra ser una interfaz ISDN BRI. La cadena entre
parntesis es la abreviatura legal que se puede utilizar en los comandos IOS de Cisco para representar la
interfaz.
2015 Cisco y / o sus filiales. Reservados todos los derechos.Este documento es Informacin pblica de Cisco. Pgina
de 27
2015 Cisco y / o sus filiales. Reservados todos los derechos.Este documento es Informacin pblica de Cisco. Pgina
de 27