Lab

Lab - Asegurar el acceso administrativo Uso de AAA y
RADIUS
Topologa
Nota: Los dispositivos ISR G2 utilizan GigabitEthernet las interfaces en lugar de FastEthernet
Interfaces.
Tabla de direccionamiento
Aparato
Interfaz
Direccin IP
Mscara de
subred
Puerta de
enlace
predeterminada
Cambie Puerto
Fa0 / 1
192.168.1.1
255.255.255.0
N/A
S1 Fa0 / 5
S0 / 0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
N/A
S0 / 0/0
10.1.1.2
255.255.255.252
N/A
N/A
S0 / 0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
N/A
Fa0 / 1
192.168.3.1
255.255.255.0
N/A
S3 Fa0 / 5
S0 / 0/1
10.2.2.1
255.255.255.252
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 Fa0 / 6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 Fa0 / 18
R1
R2
R3
Objetivos
Parte 1: Configurar Configuracin de dispositivo bsicos
Configure los ajustes bsicos como nombre de host, las direcciones IP de la interfaz, y
contraseas de acceso.
Configurar el enrutamiento esttico.

Parte 2: Configurar autenticacin local
Configurar un usuario local de base de datos y el acceso local a la consola, vty y aux
lneas.
Prueba de la configuracin.
Parte 3: Configurar la autenticacin local mediante AAA
Configure la base de datos de usuario local mediante Cisco IOS.
Configure AAA autenticacin local mediante Cisco IOS.
Configurar la autenticacin local AAA usando PCCh.
Prueba de la configuracin.
Parte 4: Configurar la autenticacin centralizada Usando AAA y RADIUS
Instalar un servidor RADIUS en un ordenador.
Configurar usuarios en el servidor RADIUS.
Utilice Cisco IOS para configurar los servicios de AAA en un router para acceder al servidor
RADIUS para la autenticacin.
Utilice CCP para configurar los servicios de AAA en un router para acceder al servidor
RADIUS para la autenticacin.
Pruebe la configuracin AAA RADIUS.
Antecedentes / Escenario
La forma ms bsica de la seguridad de acceso del router es crear contraseas para las lneas
de consola, vty y aux. Un usuario se le solicita una contrasea nica al acceder al
router. Configuracin de un modo EXEC privilegiado contrasea secreta de enable mejora an
ms la seguridad, pero an as slo se requiere una contrasea bsica para cada modo de
acceso.
Adems de las contraseas bsicas, nombres de usuarios o cuentas con diferentes niveles de
privilegios especficos pueden ser definidos en la base de datos del router local que puede
aplicar al router en su conjunto. Cuando en la consola, vty, o lneas auxiliares se configuran
para referirse a esta base de datos local, el usuario se le solicita un nombre de usuario y una
contrasea cuando se utiliza cualquiera de estas lneas para acceder al router.
Control adicional sobre el proceso de inicio de sesin se puede lograr mediante la
autenticacin, autorizacin y contabilidad (AAA). Para la autenticacin bsica, la AAA se puede
configurar para acceder a la base de datos local para inicios de sesin de los usuarios, y los
procedimientos de retorno tambin se puede definir. Sin embargo, este enfoque no es muy
escalable, ya que se debe configurar en cada router.Para sacar el mximo provecho de la AAA
y lograr la mxima escalabilidad, AAA se utiliza junto con una base de datos externa TACACS +
o RADIUS servidor. Cuando un usuario intenta iniciar sesin, el router hace referencia a la
base de datos un servidor externo para verificar que el usuario inicia sesin con un nombre de
usuario y una contrasea vlidos.
En este laboratorio, se construye una red multi-router y configurar los routers y hosts. A
continuacin, utilice los comandos de la CLI y herramientas del PCCh para configurar routers
con autenticacin local bsico por medio de AAA. Va a instalar el software de RADIUS en un
ordenador externo y utilizar AAA para autenticar a los usuarios con el servidor RADIUS.
Nota: Los comandos del router y de salida en este laboratorio son de un router Cisco 1841 con
(4) (imagen Servicios Advanced IP) M8 Cisco IOS Release 15.1. Otros routers y versiones de
Cisco IOS se pueden utilizar. Consulte la tabla de resumen de interfaces del router al final del
laboratorio para determinar qu identificadores de interfaz a utilizar en funcin de los equipos
en el laboratorio. Dependiendo del modelo de router y la versin IOS de Cisco, los comandos
disponibles y salida producidos podran variar de lo que se muestra en este laboratorio.
Nota: Asegrese de que los routers y switches se han borrado las configuraciones de inicio.
Recursos necesarios
3 Routers (Cisco 1841 Cisco IOS Release (4) M8 imagen 15.1 servicios IP avanzados o
comparable con)
2 interruptores (Cisco 2960 o comparables)
2 PC (Windows Vista o Windows 7 con CCP 2.5, la ltima versin de Java, Internet
Explorer, y Flash Player y el servidor RADIUS)
Cables de serie y Ethernet, como se muestra en la topologa
Cables de la consola para configurar dispositivos de red Cisco
CCP Notas:
Si el PC en el que est instalado PCCh est ejecutando Windows Vista o Windows 7,

puede ser necesario hacer clic derecho sobre el icono o elemento de men PCCh,
y seleccione Ejecutar como administrador.
E n el fin de ejecutarlo CCP, puede ser necesario desactivar temporalmente los programas
antivirus y cortafuegos S / S. Asegrese de que todos los bloqueadores de ventanas emergentes
estn apagados en el navegador.
1.
Configurar Configuracin de dispositivo bsicos

En la Parte 1 de esta prctica de laboratorio, se configura la topologa de red y configurar los
parmetros bsicos, como las direcciones de interfaz IP, enrutamiento esttico, acceso al
dispositivo, y contraseas.
Todos los pasos deben realizarse en los routers R1 y R3. Slo los pasos 1, 2, 3 y 6 deben
realizarse en R2. El procedimiento para R1 se muestra aqu como un ejemplo.
1.
Cable de la red como se muestra en la topologa.

Coloque los dispositivos como se muestra en el diagrama de topologa, y el cable segn sea
necesario.
2.
Configure los ajustes bsicos para cada router.
a.
Configure los nombres de host como se muestra en la topologa.
b.
tabla de direccionamiento IP.
Configure las direcciones IP de interfaz como se muestra en la
c.
Configure una frecuencia de reloj de los routers con un cable serial
DCE conectado a su interfaz serie.
R1 (config) # interface S0 / 0/0
R1 (config-if) # clock rate 64000
d.
Para evitar que el router de intentar traducir los comandos
introducidos de forma incorrecta como si fueran nombres de host, bsqueda de DNS desactivar.
R1 (config) # no ip domain-lookup
3.
Configurar el enrutamiento esttico en los routers.
a.
R2.
Configurar una ruta esttica por defecto de R1 a R2 y desde R3 a
b.
LAN R3.
Configurar una ruta esttica de R2 a la LAN de R1 y de R2 a la
4.
Configurar ajustes de IP de host PC.

Configurar una direccin IP esttica, mscara de subred y puerta de enlace predeterminada
para PC-A y PC-C, como se muestra en la tabla de direccionamiento IP.
5.
a.
Verifique la conectividad entre el PC-A y R3.

Haga ping desde R1 a R3.
Si los pings no tienen xito, solucionar las configuraciones bsicas del dispositivo antes de
continuar.
b.
Haga ping desde PC-A en el R1 LAN para PC-C en la LAN R3.

Si los pings no tienen xito, solucionar las configuraciones bsicas del dispositivo antes de
continuar.
Nota: Si puede hacer ping desde el PC-A para PC-C, que ha demostrado que el
enrutamiento esttico est configurado y funcionando correctamente. Si no puede hacer
ping pero las interfaces del dispositivo estn en marcha y las direcciones IP son correctos,
utilice elshow run y mostrar los comandos ip route para ayudar a identificar los problemas
relacionados con el protocolo de enrutamiento.
6.
Guarde la configuracin en ejecucin bsica para cada router.
7.
Configurar y cifrar las contraseas en R1 y R3.

Nota: Las contraseas en esta tarea se establece en un mnimo de 10 caracteres, pero son
relativamente simples para el beneficio de llevar a cabo el laboratorio. Contraseas ms
complejas se recomiendan en una red de produccin.
Para este paso, configure los mismos valores para R1 y R3. Router R1 se muestra aqu como
un ejemplo.
a.
Configurar una longitud mnima de la contrasea.

Utilizar el comando contraseas de seguridad para establecer una longitud mnima de
contrasea de 10 caracteres.
Contraseas R1 (config) # seguridad min de longitud 10
b.
Configure la contrasea secreta de enable en ambos routers.

R1 (config) # permiten cisco12345 secreto
c.
Configurar la consola bsica, puerto auxiliar, y las lneas vty.
d.
Configurar una contrasea de la consola y permitir inicio de sesin
para el router R1. Para mayor seguridad, el comandoexec-timeout causa que la lnea para cerrar
la sesin despus de 5 minutos de inactividad. El comando logging synchronous evita que los
mensajes de consola de interrumpir la entrada de comandos.
Nota: Para evitar accesos repetitivos durante este laboratorio, el tiempo de espera
ejecutivo se puede ajustar a 0 0, lo que evita que se expira. Sin embargo, esto no se
considera una buena prctica de seguridad.
R1
R1
R1
R1
R1
(config) # line
(config-line) #
(config-line) #
(config-line) #
(config-line) #
e.
consola 0
password ciscoconpass
exec-timeout 5 0
login
sincrnica tala
Configure una contrasea para el puerto aux para el router R1.
R1
R1
R1
R1
(config) # line
(config-line) #
(config-line) #
(config-line) #
aux 0
password ciscoauxpass
exec-timeout 5 0
login
f.
Configure la contrasea en las lneas vty para el router R1.

R1
R1
R1
R1
(config) # line
(config-line) #
(config-line) #
(config-line) #
g.
vty 0 4
password ciscovtypass
exec-timeout 5 0
login
Cifrar las contraseas de consola, aux, y vty.
R1 (config) # service password-encryption

h.
contraseas vty? Explicar.
Ejecute el comando show run. Puedes leer la consola, aux y
_________________________________________________________________________
___________
_________________________________________________________________________
___________
8.
Configurar un inicio de sesin de advertencia de la bandera en
los routers R1 y R3.
a.
Configurar una advertencia a los usuarios no autorizados mediante
un (MOTD) mensaje-del-da con el comando banner motd. Cuando un usuario se conecta al
router, el banner MOTD aparece antes de la solicitud de inicio de sesin. En este ejemplo, el signo
de dlar ($) se utiliza para iniciar y terminar el mensaje.
R1 (config) # banner motd $ Acceso no autorizado estrictamente
prohibido! $
R1 (config) # exit
b.
Salga del modo EXEC privilegiado mediante el
comando deshabilitar o salida y pulse Intro para empezar.
Si el banner no aparece correctamente, vuelva a crearlo con el comando banner motd.
9.
Guarde las configuraciones bsicas en todos los routers.

Guarde la configuracin en ejecucin en la configuracin de inicio desde el indicador EXEC
privilegiado.
R1 # copy running-config startup-config
2.
Configurar autenticacin local

En la Parte 2 de este laboratorio, se configura un nombre de usuario y una contrasea local y
cambiar el acceso de la consola, aux y las lneas vty hacer referencia a la base de datos local
RouterA s de nombres de usuario y contraseas vlidas. Realice todos los pasos en R1 y
R3.El procedimiento para R1 se muestra aqu.
1.
Configure la base de datos de usuarios local.
a.
contrasea.
Crear una cuenta de usuario local con hash MD5 para cifrar la
R1 (config) # nombre de usuario user01 user01pass secreto

b.
Salga el modo de configuracin global y mostrar la configuracin
en ejecucin. Puedes leer la contrasea del user s?
_________________________________________________________________________
___________
2.
Configurar la autenticacin local para la lnea de la consola y
de inicio de sesin.
a.
Establecer la lnea de consola para utilizar los nombres de usuario
y contraseas de inicio de sesin localmente definidas.
R1 (config) # line consola 0
R1 (config-line) # login locales
b.
Salir a la pantalla inicial del router que aparece:

R1 con0 ya est disponible. Pulse RETURN para empezar.
c.
definida.
Entrar usando la cuenta user01 y contrasea previamente
Cul es la diferencia entre el registro en la consola ahora y anteriormente?

_________________________________________________________________________
___________
_________________________________________________________________________
___________
d.
Despus de iniciar sesin, ejecute el comando show run. Has
podido emitir el comando? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Entre en el modo EXEC privilegiado utilizando el comando enable. Le pedir una
contrasea? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
Telnet.
a.
Prueba de la nueva cuenta ingresando desde una sesin de

Desde PC-A, establecer una sesin Telnet con R1.
PC-A> telnet 192.168.1.1
b.
Le pedir una cuenta de usuario? Explicar.

_________________________________________________________________________
___________
_________________________________________________________________________
___________
c.
Qu contrasea usaste para
entrar? _______________________________
d.
localmente.
Establecer las lneas vty utilizar las cuentas de acceso definidos
R1 (config) # line vty 0 4

e.
De PC-A, telnet a R1 R1 de nuevo.

PC-A> telnet 192.168.1.1
Le pedir una cuenta de usuario? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
f.
Acceder como user01 con la contrasea user01pass.
g.
Mientras est conectado a R1 a travs de Telnet, el acceso al
modo EXEC privilegiado con el comando enable.
Qu contrasea usaste?
_________________________________________________________________________
___________
h.
Para mayor seguridad, establecer el puerto aux utilizar las cuentas
de acceso definidos localmente.
R1 (config) # line aux 0
i.
Poner fin a la sesin de Telnet con el comando exit.
4.
Guarde la configuracin en R1.

privilegiado.
5.
Realice los pasos 1 a 4 en R3 y guardar la configuracin.

privilegiado.
3.
Configurar la autenticacin local mediante AAA en R3
1.
Cisco IOS.
Configure la base de datos de usuarios locales Utilizacin de
Nota: para configurar AAA usando PCC, pase a la Tarea 3.
1.
Configure la base de datos de usuarios local.
a.
contrasea.
Crear una cuenta de usuario local con hash MD5 para cifrar la
R3 (config) # nombre de usuario Admin01 privilegio 15 Admin01pass

secreto
b.
Salga el modo de configuracin global y mostrar la configuracin
en ejecucin. Puedes leer la contrasea del user s?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
2.
Configure AAA Autenticacin local Utilizacin de Cisco IOS.

En R3, habilitar servicios con el comando global nuevo modelo aaa configuracin. Porque va
a implementar la autenticacin local, utilice la autenticacin local como el primer mtodo, y sin
autenticacin como mtodo secundario.
Si se utiliza un mtodo de autenticacin con un servidor remoto, como TACACS + o RADIUS,
deber configurar un mtodo de autenticacin secundaria para alternativa en caso de que el
servidor es inalcanzable. Normalmente, el mtodo secundario es la base de datos local. En
este caso, si no hay nombres de usuario se configuran en la base de datos local, el router
permite a todos los usuarios de inicio de sesin de acceso al dispositivo.
1.
Habilitar servicios de AAA.

R3 (config) # aaa nuevo modelo
2.
Implementar servicios de AAA para el acceso a la consola
usando la base de datos local.
a.
Crear la lista de autenticacin predeterminado de inicio de sesin
mediante la emisin de la autenticacin de inicio de sesin predeterminado aaa metodo1
[metodo2] comando [metodo3] con una lista de mtodos utilizando las palabras clave locales
y ninguno.
R3 (config) # aaa autenticacin de inicio de sesin por defecto
ninguno locales
Nota: Si no se establece una lista de autenticacin de inicio de sesin por defecto, usted
podra conseguir encerrados fuera del router y se ven obligados a utilizar el procedimiento
de recuperacin de la contrasea del router especfico.
b.

R3 con0 ya est disponible
Pulse RETURN para empezar.
Inicie sesin en la consola como Admin01 con la contrasea Admin01pass. Recuerde
que las contraseas distinguen entre maysculas y minsculas. Has podido
ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Nota: Si su sesin con el puerto de consola de los tiempos del router fuera, es posible que
tenga que entrar en el uso de la lista de autenticacin predeterminado.
c.


d.
Intente conectarse a la consola como baduser con cualquier
contrasea. Has podido ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
e.
Si no hay cuentas de usuario se configuran en la base de datos
local, que los usuarios se les permite acceder al dispositivo?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
Crear un perfil de autenticacin AAA para Telnet utilizando la
base de datos local.
a.
Crear una lista de autenticacin nica para el acceso Telnet al
router. Esto no tiene por el repliegue de ninguna autenticacin, as que si no hay nombres de
usuario en la base de datos local, el acceso Telnet est desactivado. Para crear un perfil de
autenticacin que no es el predeterminado, especifique un nombre de la lista de TELNET_LINES y
aplicarlo a las lneas vty.
R3 (config) autenticacin aaa # login TELNET_LINES locales
R3 (config-line) # login TELNET_LINES autenticacin
b.
Compruebe que este perfil de autenticacin se utiliza mediante la
apertura de una sesin de Telnet desde PC-C a R3.
PC-C> telnet 192.168.3.1
Tratando 192.168.3.1 ... Abrir
c.
hacer login? Explicar.
Acceder como Admin01 con la contrasea Admin01pass. Pudo
_________________________________________________________________________
___________
_________________________________________________________________________
___________
d.
nuevo.
Salga de la sesin Telnet con el comando exit, y Telnet a R3
e.
Intente iniciar la sesin como baduser con cualquier
contrasea. Pudo hacer login? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
(Opcional) Configure AAA Autenticacin local Utilizacin de
Cisco CCP.
Tambin puede utilizar CCP para configurar el router para apoyar AAA. Incluso si usted no
realiza esta tarea, leer a travs de los pasos para familiarizarse con el proceso de CCP.
1.
Borrar y recargar el router.

En este paso, restaurar el router de nuevo a la configuracin bsica guardado en las partes 1 y
2.
a.
Conctese a la consola de R3, e ingrese el nombre de
usuario Admin01 y contrasea Admin01pass.
b.
la cisco12345 contrasea.
Entre en el modo EXEC privilegiado con
c.
Actualizar el router.
R3 # reload
La configuracin del sistema se ha
modificado. Guardar? [s / no]: no
Proceda con recarga? [confirm]
2.
Implementar servicios de AAA y el acceso del router HTTP
antes de comenzar PCCh.
a.
modelo de AAA.
Desde el modo de configuracin global CLI, habilite un nuevo

b.
Habilitar el servidor HTTP en R3 para acceder PCCh.

R3 (config) # ip http servidor
Nota: Para mayor seguridad, habilitar el servidor HTTP seguro utilizando el
comando secure-servidor http ip.
c.
Aadir un usuario llamado admin a la base de datos local.

R3 (config) # nombre de usuario administrador de privilegio 15
cisco12345 secreto
d.
sesiones web.
Configure PCCh para utilizar la base de datos local para autenticar
R3 (config) # ip http autenticacin local
3.
Acceso PCCh y descubrimiento R3.
a.
Comience CCP en PC-C. En la ventana Administrar dispositivos,
agregue 192.168.3.1 direccin IP R3 en el primer campo de la direccin IP. Introduzca admin en el
campo Nombre de usuario y cisco12345 en el campo Contrasea.
b.
En el PCCh Dashboard, haga clic en el botn Discover
para descubrir y conectarse a R3. Si la deteccin de falla, haga clic en el botn Descubrimiento
detalles para determinar el problema.
4.
Utilice CCP para crear un usuario administrativo.
a.
pantalla.
Haga clic en el botn Configurar en la parte superior de la
b.
Elija Router> Router de acceso> Cuentas de usuario / Vista.
c.
En la ventana Cuentas de usuario / Ver, haga clic en Agregar.
d.
campo Nombre de usuario.
En la ventana Aadir una cuenta, introduzca Admin01 en el
e.
Introduzca la contrasea Admin01pass en el New Password y
Confirm New Password. (Recuerde que las contraseas distinguen entre maysculas y
minsculas).
f.
Confirme que la contrasea de casilla de verificacin Cifrar
algoritmo hash MD5 utilizando est marcada.
g.
clic en Aceptar.
Seleccione 15 de la lista desplegable Nivel de privilegio y haga
h.
en Enviar.
En la configuracin Entregar a la ventana de Router, haga clic
i.
En la ventana Estado de Comandos Entrega, haga clic en Aceptar.
5.
Crear lista de mtodos AAA para inicio de sesin.
a.
pantalla.
Haga clic en el botn Configurar en la parte superior de la
b.
Elija Router> AAA> Polticas de autenticacin> Identificacin.
c.
Agregar.
En la ventana Inicio de sesin de autenticacin, haga clic en
d.
En el Agregar una lista Mtodo para la autenticacin Entrar
ventana, verifique que por defecto es en el campo Nombre.
e.
Haga clic en Agregar en la seccin Mtodos.
f.
En la lista Mtodo de seleccin central (s) para la autenticacin
Entrar ventana, seleccione local y haga clic en Aceptar.Tome nota de los otros mtodos
enumerados, que incluyen RADIUS (radio del grupo) y TACACS + (grupo TACACS +).
g.
Haga clic en Aceptar para cerrar la ventana.
h.
Repita los pasos 4f y 4g. Elija ninguno como segundo mtodo de
autenticacin y haga clic en el botn O K cuando haya terminado.
i.
en Enviar. En la ventana Estado de Comandos Entrega,haga clic en Aceptar.
j.
Qu comando se enviar al router?

_________________________________________________________________________
___________
_________________________________________________________________________
___________
6.
inicio de sesin.
a.
Verifique el nombre de usuario AAA y perfil para la consola de


b.
Inicie sesin en la consola como Admin01 con la
contrasea Admin01pass. Pudo hacer login? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
c.

d.
login? Explicar.
Intente conectarse a la consola como baduser. Pudo hacer
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Si no hay cuentas de usuario se configuran en la base de datos local, que los usuarios se
les permite acceder al dispositivo?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
e.
Inicie sesin en la consola como Admin01 con la
contrasea Admin01pass. El acceso al modo EXEC privilegiado mediante el
permitir cisco12345 contrasea secreta y luego usar mostrar la orden de marcha para mostrar la
configuracin en ejecucin. Qu comandos se asocian con la sesin del PCCh?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
4.
Observe AAA Autenticacin Utilizacin de Cisco IOS
depuracin.
En esta tarea, se utiliza el comando de depuracin para observar los intentos de autenticacin
exitosos y no exitosos.
1.
Verifique que los sellos del reloj del sistema y el tiempo de
depuracin estn configurados correctamente.
a.
Desde el usuario R3 o indicador del modo EXEC privilegiado,
utilice el comando show clock para determinar lo que la hora actual es para el router. Si la hora y
la fecha son incorrectas, establezca la hora del modo EXEC privilegiado con el reloj de
comandos establece HH: MM:. Mes AAAA SS DD se proporciona un ejemplo aqu para R3.
R3 # reloj fij 14:15:00 26 de diciembre 2008
b.
Verifique que la informacin detallada de sello de tiempo
disponible para el resultado de la depuracin con el comandoshow run. Este comando muestra
todas las lneas en la configuracin en ejecucin que incluyen el texto timestamps .
R3 # show run | Incluye marcas de tiempo
servicio de marcas de tiempo ms depuracin de fecha y hora
marcas de tiempo de servicio de registro de fecha y hora ms
c.
Si el comando de las marcas de tiempo de servicio de
depuracin no est presente, entrar en el modo de configuracin global.
R3 (config) # servicio de marcas de tiempo ms depuracin de fecha y
hora
R3 (config) # exit
d.
Guarde la configuracin en ejecucin en la configuracin de inicio
desde el indicador EXEC privilegiado.
2.
Utilice debug para verificar el acceso de usuarios.
a.
Activar la depuracin para la autenticacin AAA.

R3 # autentificacin de depuracin aaa
AAA Autenticacin de la depuracin est en
b.
Iniciar una sesin de Telnet desde PC-C a R3.
c.
Inicia sesin con nombre de usuario y contrasea Admin01pass
Admin01. Observe los eventos de autenticacin AAA en la ventana de sesin de la
consola. Mensajes de depuracin similar al siguiente se deben mostrar.
R3 #
26 de diciembre 14: 36: 42,323: AAA / BIND (000000A5): Bind i / f
26 de diciembre 14: 36: 42,323: AAA / AUTHEN / LOGIN (000000A5):
Mtodo de Seleccin lista de 'default'
d.
Desde la ventana de Telnet, ingrese al modo EXEC
privilegiado. Utilice la contrasea secreta de enable del cisco12345.Mensajes de depuracin
similar al siguiente se deben mostrar. En la tercera entrada, anote el nombre de usuario (Admin01),
nmero de puerto virtual (tty194), y la direccin del cliente Telnet remoto (192.168.3.3). Tambin
tenga en cuenta que la ltima entrada de estado es PASS.
R3 #
26 de diciembre 14: 40: 54,431: AAA: analizar name = tty194 tipo bid = -1
tty = -1
26 de diciembre 14: 40: 54,431: AAA: banderas name = tty194 = 0x11 type = 5
estantera = 0 ranura = 0 = 0 adaptador de puerto = 194 canal = 0
26 de diciembre 14: 40: 54,431: AAA / MEMORIA: create_user (0x64BB5510)
user = ruser = DS0 'NULL' 'Admin01' = 0 puerto = 'tty194' authen_type
'192.168.3.3' rem_addr = = servicio ASCII = ACTIVAR priv = 15
initial_task_id = '0', VRF = (id = 0)
26 de diciembre 14: 40: 54,431: / AUTHEN / START (2467624222) AAA: port =

lista 'tty194' = '' action = servicio LOGIN = ACTIVAR
26 de diciembre 14: 40: 54,431: AAA / AUTHEN / START (2467624222): no sea
de consola permite "por defecto para activar la contrasea
26 de diciembre 14: 40: 54,431: AAA / AUTHEN / START (2467624222): Mtodo =
ACTIVAR
R3 #
26 de diciembre 14: 40: 54,435: AAA / AUTHEN (2467624222): Estado = GETPASS
R3 #
26 de diciembre 14: 40: 59,275: AAA / AUTHEN / CONT (2467624222):
continue_login (usuario = '(UNDEF)')
26 de diciembre 14: 40: 59,275: AAA / AUTHEN / CONT (2467624222): Mtodo =
ACTIVAR
26 de diciembre 14: 40: 59,287: AAA / AUTHEN (2467624222): Estado = PASS
26 de diciembre 14: 40: 59,287: AAA / MEMORIA: free_user (0x64BB5510) user
= ruser = Puerto 'NULL' 'NULL' = 'tty194' rem_addr authen_type = servicio
ASCII '192.168.3.3' = = ACTIVAR priv = 15 VRF = ( id = 0)
e.
Desde la ventana de Telnet, salir del modo EXEC privilegiado
mediante el comando disable. Trate de entrar en el modo EXEC privilegiado de nuevo, pero utilizar
una contrasea incorrecta en esta ocasin. Observe el resultado de la depuracin en R3, y seal
que el estado es FAIL este momento.
26 de diciembre 15: 46: 54,027: AAA / AUTHEN / CONT (2175919868): Mtodo =
ACTIVAR
26 de diciembre 15: 46: 54,039: AAA / AUTHEN (2175919868): contrasea
incorrecta
26 de diciembre 15: 46: 54,039: AAA / AUTHEN (2175919868): Estado = FALLO
26 de diciembre 15: 46: 54,039: AAA / MEMORIA: free_user (0x6615BFE4) user
= ruser = Puerto 'NULL' 'NULL' = 'tty194' rem_addr authen_type = servicio
ASCII '192.168.3.3' = = ACTIVAR priv = 15 VRF = ( id = 0)
f.
Desde la ventana de Telnet, salga de la sesin de Telnet al
router. A continuacin, intente abrir una sesin Telnet al router de nuevo, pero esta vez tratar de
iniciar sesin con el nombre de usuario Admin01 y una contrasea incorrecta.Desde la ventana de
la consola, el resultado de la depuracin debe ser similar a lo siguiente.
26 de diciembre 15: 49: 32,339: AAA / AUTHEN / LOGIN (000000AA):
Mtodo de Seleccin lista de 'default'
Qu mensaje se mostrar en la pantalla del cliente Telnet?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
g.
Apague todos depuracin mediante el undebug toda comando en
el indicador EXEC privilegiado.
4.
Configurar autenticacin centralizada entication Usando
AAA y RADIUS
En la Parte 4 del laboratorio, de instalar el software del servidor RADIUS en PC-A. A
continuacin, configurar R1 para acceder al servidor RADIUS externo para la autenticacin de
usuario. El WinRadius servidor gratuito se utiliza para esta seccin del laboratorio.
1.
Restaurar R1 a la configuracin bsica.

Para evitar la confusin en cuanto a lo que ya se ha introducido y de la configuracin de AAA
RADIUS, empezar por restaurar el router R1 a su configuracin bsica como se realiz en las
partes 1 y 2 de este laboratorio.
1.
Actualizar y restaurar la configuracin guardada en R1.

En este paso, restaurar el router de nuevo a la configuracin bsica guardado en las partes 1 y
2.
a.
Conectarse a la consola R1, e ingrese el nombre de
usuario Admin01 y contrasea Admin01pass.
b.
Entre en el modo EXEC privilegiado con
c.
la configuracin.
Actualizar el router y no entrar en cuando se le pida para guardar
R1 # reload
La configuracin del sistema se ha
modificado. Guardar? [s / no]: no
Proceda con recarga? [confirm]
2.
Verificar la conectividad.
a.
Probar la conectividad haciendo ping desde el host PC-A a PCC. Si los pings no tienen xito, solucionar las configuraciones del router y PC hasta que estn.
b.
Si usted est en el sistema de la consola, acceder de nuevo
como user01 con contrasea user01pass, y el acceso al modo EXEC privilegiado con
2.
Descargar e instalar un servidor RADIUS en PC-A.

Hay un nmero de servidores RADIUS disponibles, tanto freeware y para el coste. Este
laboratorio utiliza WinRadius, un servidor RADIUS basada en estndares de software gratuito
que funciona en sistemas operativos Windows. La versin gratuita del software puede soportar
slo cinco nombres de usuario.
Nota: un archivo comprimido que contiene el software WinRadius se puede obtener de su
instructor.
1.
Descarga el software WinRadius.
a.
Cree una carpeta denominada WinRadius en el escritorio o en
otra ubicacin en la que almacenar los archivos.
b.
Extraer los archivos comprimidos WinRadius a la carpeta que cre
en el Paso 1a. No hay ninguna configuracin de la instalacin. El archivo WinRadius.exe extrado
es ejecutable.
c.
WinRadius.exe.
Usted puede crear un acceso directo en el escritorio para
Nota: Si WinRadius se utiliza en un PC que utiliza el sistema operativo Microsoft Windows

Vista o el sistema operativo Microsoft Windows 7, ODBC puede dejar de crear con xito, ya
que no puede escribir en el registro.
Posibles soluciones:
a.
Configuracin de compatibilidad:
1.
y seleccione Propiedades.
Haga clic derecho sobre el icono WinRadius.exe
2.
Mientras que en el cuadro de dilogo Propiedades,
seleccione la pestaa Compatibilidad. En esta ficha, seleccione la casilla de verificacin Ejecutar
este programa en modo de compatibilidad para. Luego, en el men desplegable a continuacin
hacia abajo, elija Windows XP (Service Pack 3), por ejemplo, si es apropiado para su sistema.
3.
b.
Haga clic en Aceptar.

Ejecutar como configuracin del administrador:
1.
Haga clic derecho sobre el icono
WinRadius.exe y seleccione Propiedades.
2.
Mientras que en el cuadro de dilogo Propiedades,
seleccione la pestaa Compatibilidad. En esta ficha, seleccione la casilla de verificacin Ejecutar
este programa como administrador en la seccin Nivel de privilegio.
3.
c.
Haga clic en Aceptar.

Ejecutar como Administracin para cada lanzamiento:
1.
Haga clic derecho sobre el icono
WinRadius.exe y seleccione Ejecutar como una ADEL.
2.
Cuando WinRadius lanza, haga clic en S en el cuadro de
dilogo Control de cuentas de usuario.
2.
Configure la base de datos del servidor WinRadius.
a.
Inicie la aplicacin WinRadius.exe. WinRadius utiliza una base de
datos local en el que se almacena la informacin del usuario. Cuando se inicia la aplicacin por
primera vez, se muestran los siguientes mensajes:
Por favor, vaya a la Settings / base de datos y crear el ODBC
para su base de datos RADIUS.
Fall Lanzamiento ODBC.
b.
Elija Ajustes> Base de datos en el men principal. Se mostrar la
siguiente pantalla. Haga clic en la Configuracin de ODBC A y utomatically botn y
luego haga clic en Aceptar. Usted debe ver un mensaje que el ODBC se ha creado
correctamente. Salga WinRadius y reiniciar la aplicacin para que los cambios surtan efecto.
c.
Cuando WinRadius comienza de nuevo, debera ver mensajes
similares a la siguiente pantalla.
Aviso sobre WinRadius Servidor:
La versin gratuita de WinRadius slo admite cinco nombres de usuario. Si el primer

mensaje en la pantalla de arriba muestra algo distinto de 0 usuarios fueron cargados,
entonces usted tendr que quitar los usuarios agregados previamente de la base de datos
WinRadius.
Para determinar qu nombres de usuario estn en la base de datos, haga clic en la
Operacin> Consulta a continuacin, haga clic en Aceptar. Una lista de nombres de
usuario que figuran en la base de datos se muestra en la seccin inferior de la ventana
WinRadius.
Para eliminar un usuario, haga clic en la Operacin> Eliminar usuario, a continuacin,
introduzca el nombre de usuario exactamente como se indica. Los nombres de usuario
distinguen entre maysculas y minsculas.
d.
autenticacin y contabilidad?
En los puertos que est escuchando WinRadius para la
_________________________________________________________________________
___________
_________________________________________________________________________
___________
3.
Configurar usuarios y contraseas en el servidor WinRadius.
a.
usuario.
En el men principal, seleccione Funcionamiento> Agregar
b.
Introduzca el nombre de usuario RadUser con la
contrasea RadUserpass. Recuerde que las contraseas distinguen entre maysculas y
minsculas.
c.
Haga clic en Aceptar. Usted debe ver un mensaje en la pantalla de
registro que se ha agregado correctamente al usuario.
4.
Borrar la pantalla de registro.

En el men principal, elija Registro> Borrar.
5.
WinRadius.
Pruebe el nuevo usuario aadi el uso de la utilidad de prueba
a.
Una utilidad de las pruebas WinRadius est incluido en el archivo
zip descargado. Vaya a la carpeta donde ha descomprimido el archivo WinRadius.zip y localice el
archivo denominado RadiusTest.exe.
b.
Inicie la aplicacin RadiusTest, e introduzca la direccin IP de este
servidor RADIUS (192.168.1.3), nombre de usuarioRadUser y contrasea RadUserpass como se
muestra. No cambie el valor por defecto RADIUS nmero de puerto 1813 y la contrasea RADIUS
de WinRadius.
c.
Haga clic en Enviar y usted debera ver un mensaje Enviar
ACCESS_REQUEST que indica el servidor en 192.168.1.3, el nmero de puerto 1813, recibi 44
caracteres hexadecimales.
d.
autenticado correctamente.
Revise los WinRadius registro para comprobar que RadUser
e.
Cierre la aplicacin RadiusTest.
3.
Configurar R1 AAA Servicios y acceder al servidor RADIUS
Utilizacin de Cisco IOS
Nota: para configurar AAA usando CCP, proceda a la Tarea 5.
1.
Habilitar AAA en R1.

Utilice el comando aaa nuevo modelo en el modo de configuracin global para habilitar AAA.
2.
predeterminado.
Configurar la lista de autenticacin de inicio de sesin
a.
Configurar la lista para usar primero RADIUS para el servicio de
autenticacin, y entonces ninguno. Si no hay un servidor RADIUS puede ser alcanzado y la
autenticacin no puede realizarse, el router permite a nivel mundial el acceso sin autenticacin. Se
trata de una medida de salvaguardia en caso de que el router se pone en marcha sin conectividad
a un servidor RADIUS activo.
R1 (config) # aaa autenticacin de inicio de sesin grupo
predeterminado ninguno radio
b.
Usted puede configurar alternativamente autenticacin local como
mtodo de autenticacin de copia de seguridad en su lugar.
Nota: Si no se establece una lista de autenticacin de inicio de sesin por defecto, usted
podra conseguir encerrados fuera del router y la necesidad de utilizar el procedimiento de
recuperacin de la contrasea del router especfico.
3.
Especifique un servidor RADIUS.
a.
Utilice el nombre de host anfitrin radio-servidor Tecla comando
para que apunte al servidor RADIUS. El argumento de nombre de host acepta un nombre de host o
una direccin IP. Utilice la direccin IP del servidor RADIUS, PC-A(192.168.1.3). La llave es una
contrasea secreta compartida entre el servidor RADIUS y el cliente RADIUS (R1 en este caso) y
se utiliza para autenticar la conexin entre el router y el servidor antes de que el proceso de
autenticacin de usuario lleva a cabo. El cliente de RADIUS puede ser un servidor de acceso de
red (NAS), pero router R1 juega ese papel en este laboratorio. Utilice la opcin predeterminada
NAS contrasea secreta de WinRadius especificado en el servidor RADIUS (ver Tarea 2, Paso
5). Recuerde que las contraseas distinguen entre maysculas y minsculas.
R1 (config) # radio-server 192.168.1.3 anfitrin clave WinRadius
4.
Prueba de la configuracin de RADIUS AAA.
1.
servidor RADIUS.
Verifique la conectividad entre R1 y el equipo que ejecuta el
Haga ping desde R1 a PC-A.

R1 # ping 192.168.1.3
Si los pings no tuvieron xito, solucionar problemas de la configuracin del PC y el router antes
de continuar.
2.
Pon a prueba tu configuracin.
a.
Si ha reiniciado el servidor WinRadius, debe volver a crear
el RadUser usuario con una contrasea de RadUserpasseligiendo Funcionamiento> Agregar
usuario.
b.
Borrar en el men principal.
Borre el registro en el servidor WinRadius eligiendo Registro>
c.
En R1, salida a la pantalla inicial del router que aparece:

d.
Pon a prueba tu configuracin accediendo a la consola en R1
utilizando el nombre de usuario y la contrasea RadUserde RadUserpass. Has podido tener
acceso al modo EXEC del usuario y, si es as, hubo algn retraso?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
e.

f.
Pon a prueba tu configuracin de nuevo iniciando sesin en la
consola en R1 utilizando el nombre de usuario inexistente de Userxxx y la contrasea
de Userxxxpass. Has podido tener acceso al modo EXEC usuario? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
g.
Fueron los mensajes que aparecen en el registro del servidor
RADIUS, ya sea para acceso? ______________________
h.
Por qu fue un nombre de usuario inexistente poder acceder al
router y no hay mensajes se visualizan en la pantalla de registro del servidor RADIUS?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
i.
Cuando el servidor RADIUS no est disponible, los mensajes
similares al siguiente se muestran tpicamente despus de los intentos de inicio de sesin.
* 26 de diciembre 16: 46: 54,039:% RADIUS-4-RADIUS_DEAD: servidor RADIUS
192.168.1.3:1645,1646 no responde.
* 26 de diciembre 15: 46: 54,039:% RADIUS-4-RADIUS_ALIVE: servidor RADIUS

192.168.1.3:1645,1646 est siendo marcada con vida.
3.
Solucionar problemas de comunicacin del servidor de
enrutador a RADIUS.
a.
Compruebe los nmeros de puerto de Cisco IOS RADIUS UDP por
defecto utilizados en R1 con el comando de acogida radio-servidor y la funcin de ayuda del IOS
de Cisco.
R1 (config) # radio-server 192.168.1.3 anfitrin?
Acct-puerto puerto UDP para RADIUS alojamiento / servidor unting (por
defecto es 1646)
alias 1-8 alias para este servidor (mx. 8)
auth-port puerto UDP para el servidor de autenticacin RADIUS (por defecto
es 1645)
<Salida omite>
b.
Compruebe la configuracin de R1 en ejecucin para las lneas
que contienen el radio mando.
R1 # show run
autenticacin
ninguno
radius-server
1,646 clave 7
| Incluye radio
de inicio de sesin predeterminado aaa radio grupo
192.168.1.3 anfitrin auth-port 1645 ctas puertos
097B47072B04131B1E1F
<Salida omite>
Cules son los nmeros de puerto R1 Cisco IOS UDP por defecto para el servidor
RADIUS?
_________________________________________________________________________
___________
4.
Compruebe los nmeros de puerto por defecto en el servidor
WinRadius en PC-A.
En el men principal WinRadius, seleccione Configuracin> Sistema.
Cules son los nmeros de puerto UDP WinRadius

defecto? _____________________________
Nota: RFC 2865 nmeros de puerto asignados oficialmente 1812 y 1813 para RADIUS.
5.
Cambiar los nmeros de puerto RADIUS en R1 para que
coincida con el servidor WinRadius.
A menos que se especifique lo contrario, los valores predeterminados de configuracin de
Cisco IOS RADIUS a los nmeros de puerto UDP 1645 y 1646. Cualquiera de los nmeros de
puerto de Cisco IOS del router se deben cambiar para que coincida con el nmero de puerto
del servidor RADIUS o los nmeros de puerto del servidor RADIUS debe ser cambiado para
que coincida con el puerto nmeros del router Cisco IOS.
a.
Retire la configuracin anterior con el siguiente comando.
R1 (config) # no radius-server 192.168.1.3 anfitrin auth-port 1645

ctas puertos 1646
b.
Emita el anfitrin de radio-servidor comando de nuevo y esta
vez especificar nmeros de puerto 1812 y 1813, junto con la direccin IP y la clave secreta para
el servidor RADIUS.
R1 (config) # radio-server 192.168.1.3 anfitrin auth-port 1812
ctas puertos 1,813 clave WinRadius
6.
Pon a prueba tu configuracin, acceda a la consola en R1.
a.
Salir a la pantalla inicial del router que aparece: R1 con0 ya est
disponible, Pulse RETURN para empezar.
b.
Entra de nuevo con el nombre de usuario de RadUser y la
contrasea de RadUserpass. Pudo hacer login? Hubo alguna demora esta vez?
_______________________________________________________________________________
_____
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
c.
RADIUS.
El siguiente mensaje debe aparecer en el registro del servidor
Usuario (RadUser) autenticar Aceptar.

d.

R1 con0 ya est disponible, Pulse RETURN para empezar.
e.
Entra de nuevo utilizando un nombre de usuario vlido
de Userxxx y la contrasea de Userxxxpass. Pudo hacer login?
_________________________________________________________________________
___________
_________________________________________________________________________
___________
Qu mensaje se visualiza en el router?
_________________________________________________________________________
___________
Los siguientes mensajes deben mostrar en el registro del servidor RADIUS.
Motivo: Desconocido nombre de usuario
Usuario (Userxxx) autenticar fracas
7.
probarlo.
Crear una lista de mtodos de autenticacin para Telnet y
a.
Crear una lista mtodo de autenticacin nica para el acceso
Telnet al router. Esto no tiene por el repliegue de ninguna autenticacin, as que si no hay acceso al
servidor RADIUS, el acceso Telnet est desactivado. Nombra los autenticacin lista
mtodo TELNET_LINES.
R1 (config) # aaa radio de grupo de inicio de sesin de
autenticacin TELNET_LINES
b.
Aplicar la lista para las lneas vty en el router con el comando de
autenticacin de inicio de sesin.
R1 (config-line) # de inicio de sesin de autenticacin
TELNET_LINES
c.
Telnet desde PC-A a R1, e inicie sesin con el nombre de
usuario RadUser y la contrasea de RadUserpass. Has podido acceder a ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
d.
Salga de la sesin Telnet, y telnet del PC-A a R1 nuevo. Inicia
sesin con el nombre de usuario Userxxx y la contrasea de Userxxxpass. Has podido
ingresar? Explicar.
_________________________________________________________________________
___________
_________________________________________________________________________
___________
5.
(Opcional) Configure R1 AAA Servicios y acceder al servidor
RADIUS Usando CCP
Tambin puede utilizar CCP para configurar el router para acceder al servidor RADIUS externo.
Nota: Si ha configurado R1 para acceder al servidor RADIUS externo utilizando Cisco
IOS en la Tarea 3, puede omitir esta tarea. Si ha realizado tareas 3 y desea realizar esta
tarea, restaurar el router a su configuracin bsica, como se describe Tarea 1 de esta parte, a
excepcin de registro en un principio como RadUser con la contrasea RadUserpass. Si el
servidor RADIUS no est disponible en este momento, usted todava ser capaz de iniciar
sesin en la consola.
Si no se realiza esta tarea, leer a travs de los pasos para familiarizarse con el proceso de
CCP.
1.
Implementar servicios de AAA y el acceso del router HTTP
antes de comenzar PCCh.
a.
modelo de AAA.
Desde el modo de configuracin global CLI, habilite un nuevo

b.
Habilitar el servidor HTTP en R1.

R1 (config) # ip http servidor
c.
local.
Aadir un usuario llamado administrador de la base de datos

R1 (config) # nombre de usuario administrador de privilegio 15
cisco12345 secreto
d.
sesiones web.
Configure PCCh para utilizar la base de datos local para autenticar
R1 (config) # ip http autenticacin local
2.
Acceso PCCh y descubrimiento R1.
a.
Comience CCP en PC-C. En la ventana Administrar dispositivos,
agregue la direccin R1 IP 192.168.1.1 en el primer campo de la direccin
IP. Introduzca administrador en el campo Nombre de usuario y cisco12345 en el campo
Contrasea.
b.
En el PCCh Dashboard, haga clic en el Discover botn para
descubrir y conectarse a R3. Si la deteccin de falla, haga clic en el Descubrimiento
detalles botn para determinar el problema.
3.
Configurar R1 AAA para acceder al servidor WinRadius.
a.
pantalla.
Haga clic en el Configurar botn en la parte superior de la
b.
Elija Router> AAA> Servidores AAA y Grupos> Servidores.
c.
En la ventana de servidores AAA, haga clic en Aadir.
d.
En el cuadro Agregar servidor AAA ventana, verifique
que RADIUS es en el campo Tipo de servidor.
e.
A, 192.168.1.3.
En el campo IP del servidor o host, escriba la direccin IP del PC-
f.
Cambie el puerto Autorizacin a partir 1645 a una mil
ochocientos doce, y cambiar el puerto de Contabilidad a partir de 1646 una mil ochocientos
trece para que coincida con los ajustes del nmero de puerto del servidor RADIUS.
g.
Compruebe la clave Configurar casilla de verificacin.
h.
campos clave.
Introduzca WinRadius tanto en la nueva clave y Confirmar
i.
en Enviar y, en la ventana Estado Comandos de entrega, haga clic en Aceptar.
j.
Qu comando se enviar al router?

_________________________________________________________________________
___________
_________________________________________________________________________
___________
4.
RADIUS.
Configurar la lista de mtodos de entrada R1 AAA para
a.
pantalla.
Haga clic en el Configurar botn en la parte superior de la
b.
Elija Router> AAA> Polticas de autenticacin> Ingresar.
c.
en Aadir.
En la ventana Inicio de sesin de autenticacin, haga clic
d.
Entrar ventana, seleccione radio de grupo y haga clic en Aceptar.
e.
Entrar ventana, seleccione locales como un segundo mtodo y haga clic en Aceptar.
f.
en Enviar y en la ventana de estado de entrega Comandos, haga clic en Aceptar.
g.
Qu comando (s) se enviar al router?

_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
_________________________________________________________________________
___________
5.
Pon a prueba tu configuracin.
a.
Si ha reiniciado el servidor RADIUS, debe volver a crear el
usuario RadUser con la contrasea RadUserpass eligiendoOperacin> Agregar Uso r.
b.
Borre el registro en el servidor WinRadius eligiendo Entrar> Borrar.
c.
de Telnet desde PC-A a R1.
Pon a prueba tu configuracin mediante la apertura de una sesin
C:> telnet 192.168.1.1

d.
En el indicador de inicio de sesin, introduzca el nombre de
usuario RadUser definido en el servidor RADIUS y una contrasea de RadUserpass.
Has podido acceder a R1? ____________________
Reflexin
1.
Por qu una organizacin que desee utilizar un servidor de autenticacin
centralizado en lugar de la configuracin de usuarios y contraseas en cada router individual?
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
2.
Contrasta la autenticacin local y la autenticacin local con AAA.

____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
3.
Sobre la base de la Academia en el curso online de contenidos, investigacin de la
tela, y el uso de RADIUS en este laboratorio, comparan y contrastan con RADIUS TACACS +.
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
____________________________________________________________________________
___________
Resumen Router Interface Tabla
Router Interfaz Resumen

Router Modelo
Interfaz Ethernet # 1
Interfaz Ethernet # 2
Interfaz Serial # 1
Interfaz Serial # 2
1800
Fast Ethernet 0/0

(Fa0 / 0)
Fast Ethernet 0/1

(Fa0 / 1)
Serial 0/0/0 (S0 /

0/0)
Serial 0/0/1 (S0 /

0/1)
1900
Gigabit Ethernet 0/0

(G0 / 0)

(G0 / 1)
Serial 0/0/0 (S0 /

0/0)
Serial 0/0/1 (S0 /

0/1)
2801
Fast Ethernet 0/0

(Fa0 / 0)
Fast Ethernet 0/1

(Fa0 / 1)
Serial 0/1/0 (S0 /

1/0)
Serial 0/1/1 (S0 /

1/1)
2811
Fast Ethernet 0/0

(Fa0 / 0)
Fast Ethernet 0/1

(Fa0 / 1)
Serial 0/0/0 (S0 /

0/0)
Serial 0/0/1 (S0 /

0/1)
2900

(G0 / 0)

(G0 / 1)
Serial 0/0/0 (S0 /

0/0)
Serial 0/0/1 (S0 /

0/1)
Nota: Para saber cmo est configurado el router, consulte las interfaces para identificar el tipo de router
y la cantidad de interfaces de router tiene. No hay manera efectiva a la lista de todas las combinaciones de
configuraciones para cada clase de router. Esta tabla incluye identificadores de las posibles combinaciones de
Ethernet e interfaces seriales en el dispositivo. La tabla no incluye ningn otro tipo de interfaz, a pesar de que un
router especfico puede contener uno. Un ejemplo de esto podra ser una interfaz ISDN BRI. La cadena entre
parntesis es la abreviatura legal que se puede utilizar en los comandos IOS de Cisco para representar la
interfaz.
2015 Cisco y / o sus filiales. Reservados todos los derechos.Este documento es Informacin pblica de Cisco. Pgina
de 27
2015 Cisco y / o sus filiales. Reservados todos los derechos.Este documento es Informacin pblica de Cisco. Pgina
de 27

Lab

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Lab

Caricato da

Copyright:

Formati disponibili

Lab - Asegurar el acceso administrativo Uso de AAA y

Configurar el enrutamiento esttico.

Configure la base de datos de usuario local mediante Cisco IOS.

Configure AAA autenticacin local mediante Cisco IOS.

Configurar la autenticacin local AAA usando PCCh.

Instalar un servidor RADIUS en un ordenador.

Configurar usuarios en el servidor RADIUS.

Pruebe la configuracin AAA RADIUS.

2 interruptores (Cisco 2960 o comparables)

Cables de serie y Ethernet, como se muestra en la topologa

Cables de la consola para configurar dispositivos de red Cisco

Si el PC en el que est instalado PCCh est ejecutando Windows Vista o Windows 7,

Configurar Configuracin de dispositivo bsicos

Cable de la red como se muestra en la topologa.

Configure los ajustes bsicos para cada router.

Configure los nombres de host como se muestra en la topologa.

Configure las direcciones IP de interfaz como se muestra en la

Configurar el enrutamiento esttico en los routers.

Configurar una ruta esttica por defecto de R1 a R2 y desde R3 a

Configurar una ruta esttica de R2 a la LAN de R1 y de R2 a la

Configurar ajustes de IP de host PC.

Verifique la conectividad entre el PC-A y R3.

Haga ping desde PC-A en el R1 LAN para PC-C en la LAN R3.

Guarde la configuracin en ejecucin bsica para cada router.

Configurar y cifrar las contraseas en R1 y R3.

Configurar una longitud mnima de la contrasea.

Configure la contrasea secreta de enable en ambos routers.

Configurar la consola bsica, puerto auxiliar, y las lneas vty.

Configure la contrasea en las lneas vty para el router R1.

R1 (config) # service password-encryption

Ejecute el comando show run. Puedes leer la consola, aux y

Guarde las configuraciones bsicas en todos los routers.

Configurar autenticacin local

Configure la base de datos de usuarios local.

R1 (config) # nombre de usuario user01 user01pass secreto

Salir a la pantalla inicial del router que aparece:

Entrar usando la cuenta user01 y contrasea previamente

Cul es la diferencia entre el registro en la consola ahora y anteriormente?

Prueba de la nueva cuenta ingresando desde una sesin de

Le pedir una cuenta de usuario? Explicar.

Establecer las lneas vty utilizar las cuentas de acceso definidos

R1 (config) # line vty 0 4

De PC-A, telnet a R1 R1 de nuevo.

Acceder como user01 con la contrasea user01pass.

Poner fin a la sesin de Telnet con el comando exit.

Guarde la configuracin en R1.

Realice los pasos 1 a 4 en R3 y guardar la configuracin.

Configurar la autenticacin local mediante AAA en R3

Configure la base de datos de usuarios locales Utilizacin de

Nota: para configurar AAA usando PCC, pase a la Tarea 3.

Configure la base de datos de usuarios local.

R3 (config) # nombre de usuario Admin01 privilegio 15 Admin01pass

Configure AAA Autenticacin local Utilizacin de Cisco IOS.

Habilitar servicios de AAA.

Salir a la pantalla inicial del router que aparece:

Salir a la pantalla inicial del router que aparece:

Pulse RETURN para empezar.

Acceder como Admin01 con la contrasea Admin01pass. Pudo

Salga de la sesin Telnet con el comando exit, y Telnet a R3

Borrar y recargar el router.

Entre en el modo EXEC privilegiado con

Desde el modo de configuracin global CLI, habilite un nuevo

R3 (config) # aaa nuevo modelo

Habilitar el servidor HTTP en R3 para acceder PCCh.