Autenticación AAA basada en servidor (RADIUS) en Router Cisco

En la anterior entrada “Servidor RADIUS con Debian, FreeRADIUS y MySQL” completamos la configuración de un servidor Radius para que fuese capaz de autenticar a clientes remotos. En esta nueva entrada, vamos a completar el proceso configurando lo necesario para que un cliente remoto, en este caso un Router Cisco, realice la autenticación de usuarios a traves de nuestro servidor Radius.

  • En primer lugar vamos a proceder a  configurar el Router Cisco para autenticación AAA basada en servidor:

Comenzamos por las configuraciónes básicas, contraseña del modo enable y la ip del Router:

R1(config)# enable secret cisco
R1(config)# interface fastethernet 1/0
R1(config-if)# ip address 10.1.1.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit

Ahora habilitamos AAA en el Router, para ello:

  1. Primero creamos un usuario y contreseña.
  2. Activamos AAA con el comando aaa new-model.
  3. Establecemos los metodos de autenticación, en este caso establecemos que se autentique mediante el servidor RADIUS y en caso de que no se pueda establecer conexión con el servidor, establecemos como metodo secundario la base de datos local del Router.
  4. Le indicamos la interface a la que esta conectado el servidor RADIUS.
  5. Por último, agregamos el servidor RADIUS, indicando la ip, el puerto de autenticación y la key (clave secreta compartida con el servidor).

R1(config)# username local password local
R1(config)# aaa new-model
R1(config)# aaa authentication login default group radius local
R1(config)# ip radius source-interface fastethernet 1/0
R1(config)# radius-server host 10.1.1.5 auth-port 1812 key radius

Ahora procedemos a configurar las lineas vty, para establecer las conexiones remotas, en el ejemplo le indicamos que el método de autenticación será la lista por defecto que hemos creado en el apartado anterior:

R1(config)# line vty 0 4
R1(config-line)# login authentication default
R1(config-line)# exit

Y con esto hemos completado la configuración en el Router.

  • Ahora accedemos al servidor FreeRADIUS e introducimos los datos del Router Cisco:

Para ello accedemos a la base de datos radius:

# mysql -u root -p radius

Insertamos los datos del Router:

mysql > INSERT INTO nas (nasname, shortname, type, secret)
VALUES (‘10.1.1.254’, ‘R1’, ‘cisco’, ‘radius’);

Lo vemos en la imagen:
(En la entrada anterior tenéis una breve explicación de cada campo que acabamos de insertar).

Reiniciamos el servidor FreeRADIUS:

# service freeradius restart

Y ya tenemos todo listo así que desde un pc intentamos acceder al router por telnet y nos logueamos con un usuario y contraseña que hayamos introducido en la base de datos del servidor Radius

# telnet 10.1.1.254

Si todo va bien podremos loguearnos sin problemas como vemos en la imagen:

Si queremos comprobar las sesiones que hay iniciadas en el router podemos usar el siguiente comando:

R1# show aaa sessions

Y nos mostrara una salida similar a la imagen, en la que nos muestra entre otros datos, los usuarios que tienen iniciada sesion y la ip desde donde conectan:

Anuncios

8 Responses to “Autenticación AAA basada en servidor (RADIUS) en Router Cisco”


  1. 1 Anónimo 10/19/2012 en 3:56

    muy bueno muchas gracias es lo que estaba buscando.

  2. 3 Gousak 05/09/2013 en 10:50

    Hola muy buenas, una pregunta, sorve para cualquier router cisco? Y otra pregunta:
    El tutorial en si se basa para autentificarse contra el servidor freeradius por cable? Un saludo, gracias por contestar.

  3. 4 navarro 05/14/2013 en 20:22

    Hola muy buenas, tengo una pequeña consulta. Resulta que tengo un router cisco con dos bocas, la 0/0 y la 0/1. Configura la boca 0/0 con la ip 10.2.205.254 y le asigno a la mimsa boca el servidor freeradius que tiene la 10.2.205.31. Hago ping y se ven. Entonces configuro otro cliente a l aboca 0/1, y a la hora de la conexion telenet, me dice que conexion refused, alguna idea?. Gracias agradecería la ayuda

  4. 5 Anónimo 06/05/2013 en 20:41

    QUisiera implementar Radius en un router pero para una red wifi…. que primero tenga que darle click a un boton llamado aceptar y despues navegar, sin que pueda cambiar el url hasta darle clic en aceptar… el portal que tiene el boton esta basado en aspx y visual basic…. AYUDA!!!!!

  5. 6 Anonimo 05/14/2015 en 17:04

    me parece muy interezante y me ayudo mucho

  6. 7 Danko 08/11/2015 en 16:17

    Muy bueno el post. Me surge una duda, ¿podria de alguna manera identificar a un usuario en el NAS ?

    Se intenta conectar un usuario al NAS (ejemplo: pepe@azul y pepe@rojo) y segun sea @azul o @rojo mandarlo a un radius distinto.

    Es decir si viene con @azul, mandar la AAA al Radius Azul, pero si viene con el @rojo, mandarlo la AAA al Radius Rojo.

    Gracias

  7. 8 Milo Torres 11/07/2015 en 1:50

    Hola, muy buenas explicaciones, tengo funcional un servidor con Freeradius + Daloradius, en local funciona bien con todo el rango de mis direcciones IP locales 192.168.0.0/8, me gustaria saber como agregar entonces un NAS remoto con su IP publica totalmente ajeno a mi red local, como se haria esto :


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




TELDAT CTI

TELDAT CTI

VCA-DCV
JNCIA
CCNA

Introduce tu correo electrónico y recibe todas las actualizaciones

Únete a otros 147 seguidores

agosto 2012
L M X J V S D
« Jul   Sep »
 12345
6789101112
13141516171819
20212223242526
2728293031  

Actualizaciones de Twitter

Blog Stats

  • 472,271 Visitas
Creative Commons

A %d blogueros les gusta esto: