Autenticacin AAA basada en

servidor (RADIUS) en Router Cisco

Published 08/15/2012 CCNA , CISCO , Linux , MySQL , Networking 5 Comments
Etiquetas: Alberto Castillo Estebas, CISCO, debian, linux

En

la

anterior

entrada Servidor

RADIUS

con

Debian,

FreeRADIUS

MySQLcompletamos la configuracin de un servidor Radius para que fuese capaz de

autenticar a clientes remotos. En esta nueva entrada, vamos a completar el proceso
configurando lo necesario para que un cliente remoto, en este caso un Router Cisco, realice
la

autenticacin

En

de

primer

usuarios

lugar

vamos

traves

proceder

de

nuestro

a configurar

el

servidor
Router

Radius.

Cisco

para

autenticacin AAA basada en servidor:

Comenzamos por las configuracines bsicas, contrasea del modo enable y la ip del
Router:
R1(config)#

enable

R1(config)#

secret

interface

R1(config-if)#

ip

cisco

fastethernet

address

1/0

10.1.1.254

R1(config-if)#

255.255.255.0

no

shutdown

R1(config-if)# exit
Ahora habilitamos AAA en el Router, para ello:
1.

Primero creamos un usuario y contresea.

2.

Activamos AAA con el comando aaa new-model.

3.

Establecemos los metodos de autenticacin, en este caso establecemos que se

autentique mediante el servidor RADIUS y en caso de que no se pueda establecer conexin
con el servidor, establecemos como metodo secundario la base de datos local del Router.

4.

Le indicamos la interface a la que esta conectado el servidor RADIUS.

5.

Por

ltimo, agregamos

el

servidor

RADIUS,

indicando

la ip,

el puerto de

autenticacin y la key (clave secreta compartida con el servidor).

R1(config)#

username

R1(config)#
R1(config)#
R1(config)#

local

password

local

aaa
aaa
ip

authentication
radius

login

new-model
default

source-interface

group

radius

local

fastethernet

1/0

R1(config)# radius-server host 10.1.1.5 auth-port 1812 key radius

Ahora procedemos a configurar las lineas vty, para establecer las conexiones remotas, en
el ejemplo le indicamos que el mtodo de autenticacin ser la lista por defecto que hemos
creado en el apartado anterior:
R1(config)#

line

R1(config-line)#

vty

login

authentication

default

R1(config-line)# exit
Y con esto hemos completado la configuracin en el Router.

Ahora accedemos al servidor FreeRADIUS e introducimos los datos del Router

Cisco:
Para ello accedemos a la base de datos radius:
# mysql -u root -p radius
Insertamos los datos del Router:
mysql

>

INSERT

INTO

nas

(nasname,

shortname,

type,

secret)

VALUES (10.1.1.254, R1, cisco, radius);

Lo

vemos

en

la

imagen:

(En

la

entrada anterior tenis una breve explicacin de cada campo que acabamos de insertar).
Reiniciamos el servidor FreeRADIUS:
# service freeradius restart
Y ya tenemos todo listo as que desde un pc intentamos acceder al router por telnet y nos
logueamos con un usuario y contrasea que hayamos introducido en la base de datos del
servidor Radius
# telnet 10.1.1.254
Si todo va bien podremos loguearnos sin problemas como vemos en la imagen:

Si queremos comprobar las sesiones que hay iniciadas en el router podemos usar el siguiente
comando:
R1# show aaa sessions
Y nos mostrara una salida similar a la imagen, en la que nos muestra entre otros datos, los
usuarios

que

tienen

iniciada

sesion

la

ip

desde

donde

conectan: