Objetivos

Configure una cuenta de usuario local en R1 y configure la autenticación en la consola y en las

líneas vty utilizando la función local.
AAA.
Verifique la autenticación local AAA desde la consola R1 y el cliente PC-A.
Packet Tracer - Configurar autenticación AAA en routers Cisco

 Configure la autenticación AAA basada en servidor utilizando TACACS+.

 Verifique la autenticación AAA basada en servidor desde el cliente PC-B.
 Configure la autenticación AAA basada en servidor utilizando RADIUS.
 Verifique la autenticación AAA basada en servidor desde el cliente PC-C.

Antecedentes / Escenario

La topología de la red muestra los enrutadores R1, R2 y R3. Actualmente, toda la seguridad
administrativa se basa en
Conocimiento de la contraseña secreta habilitada. Su tarea es configurar y probar AAA locales y
basados en servidor.Soluciones.

Creará una cuenta de usuario local y configurará AAA local en el enrutador R1 para probar la
consola y los inicios de sesión de vty.

 Cuenta de usuario: Admin1 y contraseña admin1pa55

A continuación, configurará el enrutador R2 para que admita la autenticación basada en servidor

utilizando el protocolo TACACS+. El El servidor TACACS+ ha sido pre-configurado con lo siguiente:

 Cliente: R2 usando la palabra clave tacacspa55

 Cuenta de usuario: Admin2 y contraseña admin2pa55

Por último, configurará el enrutador R3 para que admita la autenticación basada en servidor
utilizando el protocolo RADIUS. El El servidor RADIUS ha sido pre-configurado con lo siguiente:

 Cliente: R3 usando la palabra clave radiuspa55

 Cuenta de usuario: Admin3 y contraseña admin3pa55

Los routers también han sido preconfigurados con lo siguiente:

 Habilitar contraseña secreta: ciscoenpa55

 Protocolo de enrutamiento OSPF con autenticación MD5 mediante contraseña: MD5pa55

Nota: La consola y las líneas vty no han sido preconfiguradas.

Nota: La versión 15.3 de IOS utiliza SCRYPT como un algoritmo de cifrado seguro.que actualmente
está soportado en Packet Tracer utiliza MD5. Utilice siempre la opción más segura disponible en su
equipo.
Parte 1: Configuración de la autenticación local AAA para el acceso a
la consola en R1

Paso 1: Pruebe la conectividad.

Ping de PC-A a PC-B.

Ping de PC-A a PC-C.
Ping de PC-B a PC-C.

Paso 2: Configurar un nombre de usuario local en R1.

Configure un nombre de usuario de Admin1 con una contraseña secreta de admin1pa55.

R1(config)# username Admin1 secret admin1pa55

Paso 3: Configurar la autenticación local AAA para el acceso a la consola en R1.

Habilite AAA en R1 y configure la autenticación AAA para que el inicio de sesión de la consola
utilice la base de datos local.
R1(config)# aaa new-model
R1(config)# aaa authentication login default local

Paso 4: Configure la consola de línea para utilizar el método de autenticación AAA definido.

Habilite AAA en R1 y configure la autenticación AAA para que el inicio de sesión de la consola
utilice la lista de métodos predeterminada.
R1(config)# line console 0
R1(config-line)# login authentication default

Paso 5: Verificar el método de autenticación AAA.

Verifique el inicio de sesión del usuario EXEC utilizando la base de datos local.

R1(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R1# exit

R1 con0 is now available

Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin1
Password: admin1pa55
R1>
Parte 2: Configurar autenticación local AAA para líneas vty en R1

Paso 1: Configurar el nombre de dominio y la clave criptográfica para su uso con SSH.

a. Use ccnasecurity.com como el nombre de dominio en R1.

R1(config)# ip domain-name ccnasecurity.com
b. Crear una clave criptográfica RSA usando 1024 bits
R1(config)# crypto key generate rsa

Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Paso 2: Configurar un método de autenticación AAA de lista con nombre para las líneas vty en
R1.

Configure una lista con nombre llamada SSH-LOGIN para autenticar los inicios de sesión utilizando
AAA local.
R1(config)# aaa authentication login SSH-LOGIN local

Paso 3: Configure las líneas vty para utilizar el método de autenticación AAA definido.

Configure las líneas vty para que usen el método AAA y sólo permita SSH para el acceso remoto.

R1(config)# line vty 0 4

R1(config-line)# login authentication SSH-LOGIN
R1(config-line)# transport input ssh
R1(config-line)# end

Paso 4: Verifique el método de autenticación AAA.

Verifique la configuración SSH de SSH a R1 desde la línea de comandos de PC-A...

PC> ssh –l Admin1 192.168.1.1

Open
Password: admin1pa55
Parte 3: Configurar autenticación AAA basada en servidor usando
TACACS+ en R2

Paso 1: Configure una entrada de la base de datos local de copia de seguridad llamada Admin.

Para realizar una copia de seguridad, configure un nombre de usuario local de Admin2 y una
contraseña secreta de admin2pa55.
R2(config)# username Admin2 secret admin2pa55

Paso 2: Verificar la configuración del servidor TACACS+.

Haga clic en el Servidor TACACS+. En la ficha Servicios, haga clic en AAA. Observe que hay una
entrada de configuración de red para R2 y una entrada de configuración de usuario para Admin2.

Paso 3: Configurar las especificaciones del servidor TACACS+ en R2.

Configurar la dirección IP y la clave secreta del servidor AAA TACACS en R2.

Nota: Los comandos tacacs-server host y tacacs-server key son obsoletos. Actualmente, Packet
Tracer no soporta el nuevo comando tacacs server.
R2(config)# tacacs-server host 192.168.2.2
R2(config)# tacacs-server key tacacspa55

Paso 4: Configure la autenticación de inicio de sesión AAA para el acceso a la consola en R2.

Habilitar AAA en R2 y configurar todos los logins para autenticarse usando el servidor AAA
TACACS+. Si no está disponible, utilice la base de datos local.

R2(config)# aaa new-model

R2(config)# aaa authentication login default group tacacs+ local

Paso 5: Configure la consola de línea para utilizar el método de autenticación AAA definido.

Configure la autenticación AAA para el inicio de sesión de la consola para utilizar el método de
autenticación AAA predeterminado.

R2(config)# line console 0

R2(config-line)# login authentication default

Paso 6: Verificar el método de autenticación AAA.

Verificar el login del usuario EXEC utilizando el servidor AAA TACACS+.

R2(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R2# exit
R2 con0 is now available
Press RETURN to get started.
 ************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin2
Password: admin2pa55
R2>

Parte 4: Configurar la autenticación AAA basada en servidor

utilizando RADIUS en R3

Paso 1: Configure una entrada de la base de datos local de copia de seguridad llamada Admin.

Para realizar una copia de seguridad, configure un nombre de usuario local de Admin3 y una
contraseña secreta de admin3pa55.

R3(config)# username Admin3 secret admin3pa55

Paso 2: Verifique la configuración del servidor RADIUS.

Haga clic en el servidor RADIUS. En la ficha Servicios, haga clic en AAA. Observe que hay una
entrada de configuración de red para R3 y una entrada de configuración de usuario para Admin3.

Paso 3: Configure las especificaciones del servidor RADIUS en R3.

Configure la dirección IP y la clave secreta del servidor AAA RADIUS en R3.

Nota: Los comandos radius-server host y radius-server key son obsoletos. Actualmente Packet
Tracer no soporta el nuevo servidor de radio de comandos.

R3(config)# radius-server host 192.168.3.2

R3(config)# radius-server key radiuspa55

Paso 4: Configure la autenticación de inicio de sesión AAA para el acceso a la consola en R3.

Habilite AAA en R3 y configure todos los inicios de sesión para autenticarse utilizando el servidor
AAA RADIUS. Si no está disponible, utilice la base de datos local.

R3(config)# aaa new-model

R3(config)# aaa authentication login default group radius local
Paso 5: Configure la consola de línea para utilizar el método de autenticación AAA definido.

Configure la autenticación AAA para el inicio de sesión de la consola para utilizar el método de
autenticación AAA predeterminado.

R3(config)# line console 0

R3(config-line)# login authentication default

Paso 6: Verificar el método de autenticación AAA.

Verifique el inicio de sesión del usuario EXEC utilizando el servidor AAA RADIUS.

R3(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R3# exit
R3 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin3
Password: admin3pa55
R3>

Paso 7: Compruebe los resultados.

Su porcentaje de finalización debe ser del 100%. Haga clic en Comprobar resultados para ver los
comentarios y la verificación de los componentes necesarios que se han completado.

!!!Script for R1
!!!Part 1
config t
username Admin1 secret admin1pa55
aaa new-model
aaa authentication login default local
line console 0
login authentication default

!!!Part 2
ip domain-name ccnasecurity.com
crypto key generate rsa
1024
aaa authentication login SSH-LOGIN local
line vty 0 4
login authentication SSH-LOGIN
transport input ssh
!!!!Script for R2
conf t
username Admin2 secret admin2pa55
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
aaa new-model
aaa authentication login default group tacacs+ local
line console 0
login authentication default

!!!!Script for R3
conf t
username Admin3 secret admin3pa55
radius-server host 192.168.3.2
radius-server key radiuspa55
aaa new-model
aaa authentication login default group radius local
line console 0
login authentication default