¿Cómo usar un servidor AAA en Packet Tracer?

Packet Tracer es un excelente simulador para practicar los diferentes temas que abarca el CCNA, pues además de que puedes configurar todo lo que abarca esta certificación en switchs capa 2, routers y switchs capa 3 también puedes usar diversos dispositivos finales entre los que se incluyen servidores de diferentes aplicaciones.

Si bien estos servidores en Packet Tracer son una versión muy sencilla de la realidad, nos permiten ver cómo es el comportamiento y la interacción entre las aplicaciones y la infraestructura de una red.

Servidores AAA
Imagina que tienes una red con 20 dispositivos y cada uno de ellos deben tener asegurado el acceso. Eso significa que se tienen que configurar 20 veces las credenciales de los diferentes administradores en los dispositivos. Demasiado trabajo, ¿verdad? Entonces, ¿por qué no centralizar este proceso?

Los servidores AAA (Authentication Authorization Accounting) centralizan el control de los procesos de autenticar, autorizar y registrar. Autenticar se refiere a identificar si el usuario está autorizado para acceder al dispositivo, autorizar se refiere a identificar qué tanto tiene permitido hacer el usuario y registrar se refiere a guardar registros de qué hace el usuario y cuándo lo hace.

El proceso de un usuario que quiere acceder a un dispositivo y este último solicita los servicios de un servidor AAA se muestran en la siguiente imagen:

1. El usuario desde su PC se intenta conectar vía consola, Telnet o SSH al dispositivo.
2. El dispositivo le pide al usuario que introduzca sus credenciales.
3. Una vez el usuario las introduce, el dispositivo se las envía al servidor para que las valide.
4. El servidor recibe las credenciales: si son válidas le comunica al dispositivo que permita el acceso al usuario y si no son válidas le comunica lo contrario.

La comunicación entre el servidor AAA y el cliente (por ejemplo, un router) se realiza con uno de dos protocolos: TACACS+ o RADIUS.

TACACS+
TACACS+ es el acrónimo de Terminal Access Control Access Control Server. Es un protocolo propiedad de Cisco que usa TCP como protocolo de transporte y encripta todos los paquetes. Se caracteriza por separar cada función del resto y permite granular la autorización de comando a comando.

RADIUS
RADIUS es el acrónimo de Remote Authentication Dial-In Usar Service. Es un protocolo estándar en la industria (cualquiera puede utilizarlo) que usa UDP como protocolo de transporte y solo encripta las contraseña. Se caracteriza por combinar muchas funciones de autenticación y autorización, no soporta la granulación de comandos y la función de registro es mucho más detalla que TACACS+.

Configuraciones
Servidor
Al abrir la sección AAA en los servicios de los servidores de Packet Tracer se observa lo siguiente:

Para configurar este servicio, lo primero es encenderlo, pues por defecto viene apagado. Luego en la sección llamada Network Configuration se deben llenar los campos como se indica a continuación:
- Client Name: hostname del cliente.
- Client IP: dirección IP del cliente.
- Secret: contraseña entre el servidor y el cliente.
- ServerType: seleccionar el tipo de servidor RADIUS o TACACS+.

Luego se debe presionar el botón Add para añadir la configuración.

El botón Save sirve para guardar los cambios después de haber modificado una configuración y el botón Remove para eliminar una configuración.

A continuación, en la sección User Setup se deben llenar los campos como se indica a continuación:
- Username: nombre del usuario.
- Password: contraseña.

Luego se debe presionar el botón Add para añadir la configuración.

El botón Save y Remove funcionan igual que en la sección Network Configuration.

Router

Una vez configurado el servicio AAA pasamos a configurar el router. Como el servidor AAA disponible en Packet Tracer solo se le puede configurar la función de autenticación entonces en el router solo se configurará esta función.

Configuraciones en caso de usar un servidor TACACS+:

! Se crea un nuevo modelo de configuraciones AAA.

R1(config)#aaa new-model 

! Se crea una lista de autenticación llamada ORDEN_AUTENTICACION en la que primero el router intentará verificar las credenciales con un servidor TACACS+ (group tacacs+) y en caso de fallo busca en la configuración local (local). Esta lista puede tener varios elementos y con uno solo basta.

R1(config)#aaa authentication login ORDEN_AUTENTICACION group tacacs+ local

! Se le define al router la dirección IP del servidor TACACS+ y la contraseña para comunicarse con el mismo.

R1(config)#tacacs-server host 192.168.56.2 key cisco

! Entrando a las líneas VTY.

R1(config)#line vty 0 4

! Estableciendo que para el login se debe buscar acorde a la lista ORDEN_AUTENTICACION.

R1(config-line)#login authentication ORDEN_AUTENTICACION

Configuraciones en caso de usar un servidor RADIUS:

R1(config)#aaa new-model 

R1(config)#aaa authentication login ORDEN_AUTENTICACION group radius local

R1(config)#radius-server host 192.168.56.2 key cisco

R1(config)#line vty 0 4

R1(config-line)#login authentication ORDEN_AUTENTICACION

¿Qué te parece el post? ¿Ya sabías utilizar los servidores AAA en Packet Tracer? ¿Aprendiste algo nuevo? ¿Hay algo más que agregar? Déjame tu opinión y preguntas en los comentarios.