CCNA Security

Asegurando el Acceso Administrativo Utilizando AAA y RADIUS

Topologa

Tabla de direccionamiento IP

Dispositivo
R1

Interfaz
FA0/1

Direccin IP
192.168.1.1

Mscara
de
Subred
255.255.255.0

Gateway
defecto
N/A

por

Puerto
del
Switch
S1 FA0/5

10.1.1.1

255.255.255.252

N/A

N/A

R2

S0/0/0
(DCE)
S0/0/0

10.1.1.2

255.255.255.252

N/A

N/A

10.2.2.2

255.255.255.252

N/A

N/A

R3

S0/0/1
(DCE)
FA0/1

192.168.3.1

255.255.255.0

N/A

S3 FA0/5

S0/0/1

10.2.2.1

255.255.255.252

N/A

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

S1 FA0/6

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

S3 FA0/18

CCNA Security

Objetivos
Parte 1: Configuracin Bsica de los Dispositivos de la Red

Realizar la configuracin bsica, como nombre de host, direcciones IP de las interfaces, y contraseas
de acceso.

Configurar el enrutamiento esttico.

Parte 2: Configurar la Autenticacin Local

Configurar un usuario de la base de datos local y un acceso local para las lneas de consola, vty y aux.

Probar la configuracin.

Parte 3: Configurar la Autenticacin Local Utilizando AAA

Configurar la base de datos de usuarios local utilizando el IOS.

Configurar la autenticacin local AAA utilizando el IOS.

Configurar la autenticacin local AAA utilizando el SDM.

Probar la configuracin.

Parte 4: Configurar la Autenticacin Centralizada Utilizando AAA y RADIUS

Instalar un servidor RADIUS en una computadora.

Configurar usuarios en el servidor RADIUS.

Configurar servicios AAA en un router para acceder al servidor RADIUS para autenticacin con IOS .

Configurar servicios AAA en un router para acceder al servidor RADIUS para la autenticacin con SDM .

Probar la configuracin de RADIUS con AAA.

Escenario
La forma ms bsica de seguridad de acceso a un router consiste en crear contraseas de acceso para las
lneas de consola, vty y aux. Al usuario se le solicita una nica contrasea cuando intent a accede al router.
Configurando la contrasea secreta de modo EXEC privilegiado aumenta el nivel de seguridad, pero an as
se requiere una nica contrasea para cada modo de acceso.
Adems de las contraseas bsicas, es posible definir nombres de usuario o cuentas especficas con
diferentes niveles de privilegios en la base de datos del router local, que pueden aplicarse a todo el router.
Cuando se configuran las lneas de consola, vty o aux para referirse a esta base de datos local, al usuario se
le solicitan un nombre de usuario y una contrasea al intentar acceder cualquiera de estas lneas para
acceder al router.
Es posible obtener un control adicional sobre el proceso de login utilizando AAA. Para la autenticacin
bsica, AAA puede ser configurado para acceder a la base de datos local de usuarios, y tambin pueden
definirse procedimientos de respaldo. Sin embargo, esta solucin no es muy escalable ya que debe ser
configurada en cada router. Para aprovechar al mximo AAA y obtener la mayor escalabilidad, es utilizado en
conjunto con la base de datos de un servidor TACACS+ o RADIUS externo. Cuando un usuario intenta
ingresar, el router referencia a la base de datos del servidor externo para verificar que el nombre de usuario y
la contrasea sean vlidos.
En esta prctica de laboratorio, usted construir una red con mltiples routers, y configurar los routers y los
hosts. Utilizar diferentes comandos de la CLI y las herramientas del SDM para configurar los routers con
autenticacin local utilizando AAA. Instalar un servidor RADIUS en una computadora externa y utilizar AAA
para autenticar a los usuarios con dicho servidor.
Nota: Los comandos y salida del router en esta prctica de laboratorio corresponden con un equipo Cisco
1841 con un IOS versin 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta prctica de laboratorio.

CCNA Security
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Recursos Requeridos

3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versin 12.4(20)T1 o equivalente)

2 switches (Cisco 2960 o equivalente)

PC-A: Windows XP, Vista, o Windows Server con un servidor RADIUS disponible

PC-C: Windows XP

Cables Serial y Ethernet de acuerdo a la topologa

Cables Rollover para configurar los routers a travs de la consola

Parte 1: Configuracin Bsica de los Dispositivos de la Red

En la Parte 1 de esta prctica de laboratorio, usted conectar la topologa de la red y realizar la
configuracin bsica, como las direcciones IP de las interfaces, el enrutamiento esttico, el acceso a los
dispositivos y las contraseas.
Todos los pasos deben realizarse en los routers R1 y R3. Slo los pasos 1, 2, 3 y 6 deben realizarse en el
router R2. El procedimiento para R1 se muestra aqu como ejemplo.

Paso 1: Cablear la red de acuerdo a la topologa.

Conectar los dispositivos de acuerdo al diagrama de la topologa.

Paso 2: Realizar la configuracin bsica de cada router.

a.

Configurar los nombres de host de acuerdo a la topologa.

b.

Configurar las direcciones IP de las interfaces de acuerdo a la tabla de direccionamiento IP.

c.

Configurar el clock rate de los routers con un cable serial DCE conectado a sus interfaces seriales.
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000

d.

Para evitar que el router intente traducir los comandos ingresados en forma incorrecta como si se
tratara de nombres de host, deshabilitar la bsqueda DNS.
R1(config)#no ip domain-lookup

Paso 3: Configurar el enrutamiento esttico de los routers.

a.

Configurar la ruta esttica por defecto desde R1 hacia R2 y desde R3 hacia R2.

b.

Configurar una ruta esttica desde R2 hacia la LAN de R1 y desde R2 hacia la LAN de R3.

Paso 4: Configurar las opciones IP de las PCs.

Configurar una direccin IP esttica, mascara de subred, y gateway por defecto para PC-A y PC-C, de
acuerdo a la tabla de direccionamiento IP.

Paso 5: Verificar la conectividad entre PC-A y R3.

a.

Ejecutar un ping desde R1 hacia R3.

Fue el ping exitoso? _____
Si el ping no fue exitoso, realizar la resolucin de problemas bsica de los dispositivos antes de
continuar.

CCNA Security
b.

Ejecutar un ping desde PC-A en la LAN de R1 hacia PC-C en la LAN de R3.

Fue el ping exitoso? _____
Si el ping no fue exitoso, realizar la resolucin de problemas bsica de los dispositivos antes de
continuar.

Nota: Si puede ejecutar un ping desde PC-A hasta PC-C, ha demostrado que el enrutamiento esttico se
encuentra configurado y funciona correctamente. Si no puede ejecutar el ping, pero las interfaces de los
dispositivos y las direcciones IP son correctos, utilizar los comandos show run y show ip route para
identificar los problemas relacionados con el enrutamiento.

Paso 6: Guardar la configuracin bsica de cada router.

Utilizar la opcin Transfer > Capture text de HyperTerminal o algn otro mtodo para capturar la
configuracin actual de cada router. Guardar los tres archivos para utilizarlos luego en la restauracin de
los dispositivos.

Paso 7: Configurar y cifrar las contraseas de R1 y R3.

Nota: Las contraseas de esta actividad estn configuradas con un mnimo de 10 caracteres, pero son
relativamente simples para beneficio de la ejecucin de la prctica. Se recomienda utilizar contraseas
ms complejas en las redes en produccin.
En este paso, realizar la misma configuracin que para R1 y R3. Se muestra aqu el router R1 como
ejemplo.
a.

Configurar una longitud mnima de contrasea.

Utilizar el comando security passwords para configurar una longitud mnima de 10 caracteres.
R1(config)#security passwords min-length 10

b.

Configurar la contrasea secreta de modo enable en ambos routers .

R1(config)#enable secret cisco12345

c.

Configurar las lneas bsicas de consola, aux y vty.

d.

Configurar una contrasea de consola y habilitar el login en el router R1. Para mayor seguridad, el
comando exec-timeout provoca la desconexin de la lnea luego de 5 minutos de inactividad. El
comando logging synchronous previene la aparicin de mensajes de consola que interrumpan la
entrada de comandos.

e.

Nota: Para evitar la reiteracin de logins durante esta actividad, el comando exec-timeout puede
ser configurado con 0 0, lo cual evita que expire. Sin embargo, esto no es considerado una buena
prctica de seguridad.
R1(config)#line console 0
R1(config-line)#password ciscoconpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous

f.

Configurar una contrasea para el Puerto aux en el router R1.

R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

g.

Configurar la contrasea de las lneas vty para el router R1.

R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0

CCNA Security
R1(config-line)#login
g.

Cifrar las contraseas de consola, aux y vty..

R1(config)#service password-encryption

h.

Ejecutar el comando show run. Puede leer ahora las contraseas de consola, aux y vty? Por qu
s o por qu no?
________________________________________________________________________

Paso 8: Configurar un banner de advertencia para el login de los routers R1 y R3.

a.

Configurar una advertencia para el uso no autorizado, utilizando un banner MOTD (message-of-theday) con el comando banner motd. Cuando un usuario se conecta al router, el banner MOTD
aparece antes del prompt de login. En este ejemplo, el signo de dlares ($) es utilizado para
comenzar y terminar el mensaje.
R1(config)#banner motd $Unauthorized access
prosecuted to the full extent of the law$
R1(config)#exit

strictly

proh ibited

and

b.

Ejecutar el comando show run. En qu es convertido el signo $? _____________________

c.

Salir del modo EXEC privilegiado utilizando el comando disable o exit y presionar Enter para
comenzar. El banner MOTD se ve como lo esperaba? _____
Nota: Si la respuesta es no, recrearlo utilizando nuevamente el comando banner motd.

Paso 9: Guardar la configuracin bsica.

Guardar la configuracin actual del router.
R1#copy running-config startup-config

Parte 2: Configurar la Autenticacin Local

En la Parte 2 de esta prctica de laboratorio, usted configurar un nombre de usuario local y una contrasea, y
cambiar el acceso de las lneas de consola, aux y vty para referenciar a la base de datos local de usuarios y
contraseas del router. Realizar todos los pasos sobre R1 y R3. A continuacin se muestran los pasos para R1.

Paso 1: Configurarla base de datos local de usuarios.

a.

Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contrasea.
R1(config)#username user01 secret user01pass

b.

Salir del modo de configuracin global y mostrar la configuracin actual. Puede leer la contrasea
del usuario? ________________________

Paso 2: Configurar la autenticacin local para la lnea de consola e ingresar.

a.

Configurar la lnea de consola para que utilice los nombre de usuario y contraseas definidos
localmente.
R1(config)#line console 0
R1(config-line)#login local

b.

Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.

c.

Ingresar utilizando la cuenta user01 y la contrasea previamente definida.

d.

Cul es la diferencia entre ingresar a la consola ahora y antes?

________________________________________________________________________________

CCNA Security
e.

Luego de ingresar, ejecutar el comando show run. Fue capaz de ejecutar el comando? Por qu
s o por qu no? __________________________________

f.

Ingresar al modo EXEC privilegiado utilizando el comando enable. Le fue solicitada una
contrasea? Por qu s o por qu no?
______________________________________________________________________

Paso 3: Probar la nueva cuenta ingresando desde una sesin Telnet.

a.

Desde la PC-A, establecer una sesin Telnet con R1.

PC-A>telnet 192.168.1.1

b.

Le fue solicitada una cuenta de usuario? Por qu s o por qu no?

__________________________________

c.

Qu contrasea utiliz para ingresar? _________________________

d.

Configurar las lneas vty para que utilicen las cuentas de login definidas localmente.
R1(config)#line vty 0 4
R1(config-line)#login local

e.

Desde PC-A, conectarte mediante telnet con R1 nuevamente.

PC-A>telnet 192.168.1.1

f.

Se le solicit una cuenta de usuario? Por qu s o por qu no? ____________________________

g.

Ingresar como user01 con la contrasea user01pass.

h.

Mientras est conectado a R1 mediante Telnet, acceder al modo EXEC privilegiado con el comando
enable.

i.

Qu contrasea utiliz? ____________________________

j.

Para mayor seguridad, configurar el puerto aux para que utilice las cuentas de login definidas
localmente.
R1(config)#line aux 0
R1(config-line)#login local

k.

Finalizar la sesin de Telnet con el comando exit.

Paso 4: Guardar la configuracin de R1.

a.

Guardar la configuracin actual del router.

R1#copy running-config startup-config

b.

Utilizar HyperTerminal u otro medio para resguardar la configuracin de R1 de las Partas 1 y 2 de

esta prctica de laboratorio y editara para que pueda ser utilizada en la restauracin de la
configuracin de R1 ms adelante.

Nota: Remover todas las ocurrencias de - - More - -. Remover cualquier comando que no se relacione
con los tems configurados en las Partes 1 y 2 de la prctica de laboratorio, tales como el nmero de
versin del IOS, etc. Muchos comandos son ingresados en forma automtica por el IOS. Adems,
reemplace las contraseas cifradas con las correctas especificadas anteriormente.

CCNA Security

Paso 5: Ejecutar los pasos 1 a 4 en R3 y guardar la configuracin

a.

Guardar la configuracin actual del router.

R3#copy running-config startup-config

b.

Utilizar HyperTerminal u otro medio para resguardar la configuracin de R3 de las Partas 1 y 2 de

esta prctica de laboratorio y editara para que pueda ser utilizada en la restauracin de la
configuracin de R3 ms adelante.

Parte 3: Configurar la Autenticacin Local Utilizando AAA en R3

Tarea 1: Configurar la Base de Datos Local de Usuarios Utilizando el IOS
Nota: Si desea configurar AAA utilizando el SDM, pase a la Tarea 3.

Paso 1: Configurar la base de datos local de usuarios.

a.

Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contrasea.
R3(config)#username Admin01 privilege 15 secret Admin01pass

b.

Salir del modo de configuracin global y mostrar la configuracin actual. Puede leer la contrasea
del usuario? _________________________________________________________________

Tarea 2: Configurar la Autenticacin Local AAA Utilizando el IOS

Paso 1: Habilitar los servicios AAA.
a.

En R3, habilitar los servicios con el comando de configuracin global aaa new-model. Debido a
que se est implementando la autenticacin local, utilizar autenticacin local como primer mtodo, y
sin autenticacin como mtodo secundario.
Si estuviera utilizando un mtodo de autenticacin con un servidor remoto, como TACACS+ o
RADIUS, se debera configurar un mtodo de autenticacin secundario de respaldo, si el servidor se
encontrara inaccesible. En general, el mtodo secundario es la base de datos local. En este caso, si
no se configuran nombres de usuario en la base de datos local, el router permite el ingreso de todos
los usuarios con acceso al dispositivo.

b.

Habilitar los servicios AAA.

R3(config)#aaa new-model

Paso 2: Implementar los servicios AAA para el acceso por consola utilizando la base de datos
local.
a.

Crear una lista de autenticacin de login por defecto ejecutando el comando aaa authentication
login default method1[method2][method3] con una lista de mtodos utilizando las palabras
clave local y none.
R3(config)#aaa authentication login default local none
Nota: Si no ha configurado una lista de autenticacin de login por defecto, puede quedar bloqueado
fuera del router y verse forzado a utilizar el procedimiento de recuperacin de contraseas para
dicho equipo.

b.

Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.

c.

Ingresar a la consola como Admin01 con la contrasea Admin01pass. Recordar que las contraseas
son sensibles a las maysculas. Pudo ingresar al sistema? Por qu s o por qu no?
_______________________________________________________________________________

CCNA Security
Nota: Si su sesin con el Puerto de consola del router expira, puede ser necesario que vuelva a
ingresar utilizando la lista de autenticacin por defecto.
d.

Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.

e.

Intentar ingresar a la consola como baduser con cualquier contrasea. Pudo ingresar al sistema?
Por qu s o por qu no?
____________________________________________________________________________

f.

Si no se configura ninguna cuenta de usuario en la base de datos local, qu usuarios tienen

permido para acceder al dispositivo?
__________________________________________________________________________

Paso 3: Crear un perfil de autenticacin AAA para Telnet utilizando la base de datos local.
a.

Crear una lista nica de autenticacin para el acceso por Telnet al router. Esto no posee el respaldo
del ingreso sin autenticacin, por lo que si no existen usuarios definidos en la base de datos local, el
acceso por Telnet se encuentra deshabilitado. Para crear un perfil de autenticaci n que no sea el
perfil por defecto, especificar la lista de nombre TELNET_LINES y aplicarla a las lneas vty.
R3(config)#aaa authentication login TELNET_LINES local
R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES

b.

Verificar que este perfil de autenticacin sea utilizado para abrir una sesin Telnet desde PC-C a R3.
PC-C>telnet 192.168.3.1
Trying 192.168.10.1 ... Open

c.

Ingresar como Admin01 con la contrasea Admin01pass. Pudo ingresar al sistema? Por qu s o
por qu no? ______________________________________________________________________

d.

Salir de la sesin Telnet utilizando el comando exit, y conectarse a R3 por telnet nuevamente.

e.

Intentar ingresar como baduser con cualquier contrasea. Pudo ingresar al sistema? Por qu s o
por qu no? ______________________________________________________________________

Tarea 3: (Opcional) Configurar la Autenticacin Local AAA Utilizando el SDM

Tambin es posible utilizar el SDM para configurar el soporte de AAA en el router.
Nota: Si ha configurado la autenticacin AAA en R3 utilizando los comandos del IOS en las Tareas 1 y 2,
puede saltear esta tarea. Si ha realizado las Tareas 1 y 2 y desea realizar esta Tarea, debe restaurar la
configuracin bsica de R3. Ver la Parte 4, Paso 1, para el procedimiento sobre cmo restaurar a R3 a su
configuracin bsica.
Incluso si no realiza esta tarea, lea los pasos para familiarizarse con el proceso SDM

Paso 1: Implementar los servicios AAA y el acceso HTTP al router antes de iniciar el SDM.
a.

Desde el modo de configuracin global del CLI, habilitar un nuevo modelo AAA.
R3(config)#aaa new-model

b.

Habilitar el servidor HTTP en R3 para acceder al SDM.

R3(config)#ip http server

Nota: Para mayor seguridad, habilitar el servidor de http seguro utilizando el comando ip http
secure-server.

CCNA Security

Paso 2: Acceder al SDM y configurar las preferencias de entrega de comandos.

a.

Abrir un navegador web en PC-C e iniciar el SDM ingresando la direccin IP de R3 (192.168.3.1) en

el campo de direccin.

b.

Ingresar sin nombre de usuario y con la contrasea secreta de modo enable cisco12345.

c.

En el cuadro de dilogo Password Needed Networking, ingresar cisco12345 en el campo

Password y hacer click sobre Yes.

d.

Configurar el SDM para realizar una vista previa de los comandos antes de enviarlos al router.
Seleccionar Edit > Preferences.

e.

En la ventana User Preferences, seleccionar la opcin Preview commands before delivering to

router y hacer click sobre OK.

Paso 3: Crear un usuario administrativo con el SDM.

a.

Hacer click sobre el botn Configure en la parte superior de la ventana.

b.

Seleccionar Additional Tasks > Router Access > User Accounts/View .

c.

En la ventana User Accounts/View, hacer click sobre Add.

d.

En la ventana Add an Account, ingresar Admin01 en el campo Username.

e.

Ingresar la contrasea Admin01pass en los campos New Password y Confirm New Password.
(Recordar que las contraseas son sensibles a las maysculas .)

f.

Confirmar que la opcin Encrypt Password using MD5 Hash Algorithm est seleccionada.

g.

Seleccionar 15 en la lista desplegable Privilege Level y hacer click sobre OK.

CCNA Security

h.

En la ventana Deliver Configuration to Router, asegurarse de que la opcin Save running config to
routers startup config se encuentra seleccionada, y hacer click sobre Deliver.

i.

En la ventana Commands Delivery Status, hacer click sobre OK.

Paso 4: Crear la lista de mtodos AAA para el login.

a.

Hacer click sobre el botn Configure en la parte superior de la ventana.

b.

Seleccionar Additional Tasks > AAA > Authentication Policies > Login.

c.

En la ventana Authentication Login, hacer click sobre Add.

d.

En la ventana Add a Method List for Authentication Login, verificar que la opcin Default se
encuentra seleccionada en el campo Name.

CCNA Security

e.

Hacer click sobre Add en la seccin Methods.

f.

En la ventana Select Method List(s) for Authentication Login, seleccionar local y hacer click sobre
OK. Tomar nota de los otros mtodos listados, los cuales incluyen RADIUS (group radius) y
TACACS+ (group tacacs+).

CCNA Security

g.

Hacer click sobre OK para cerrar la ventana.

h.

Repetir los pasos 4f y 4g, y seleccionar none como Segundo mtodo de autenticacin.

i.

En la ventana Deliver Configuration to Router, asegurarse de que la opcin Save running config to
router's startup config se encuentra seleccionada, y hacer click sobre Deliver. En la ventana
Commands Delivery Status, hacer click sobre OK.

j.

Qu
comandos
fueron
enviados
al
router?
________________________________________________________________________________

Paso 5: Verificar el perfil y el nombre de usuario AAA para el login de consola.

a.

Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.

b.

Ingresar a la consola como Admin01 con la contrasea Admin01pass. Pudo ingresar al sistema?
Por qu s o por qu no? ___________________________________________________________

c.

Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.

d.

Intentar ingresar a la consola como baduser. Pudo ingresar al sistema? Por qu s o por qu no?
________________________________________________ ________________________________
Si no existen cuentas de usuario configuradas en la base de daros local, qu usuarios tienen
permiso de acceso al dispositivo? ____________________________________________________

e.

Ingresar a la consola como Admin01 con la contrasea Admin01pass. Ingresar al modo EXEC
privilegiado utilizando la contrasea secreta de modo enable cisco12345 y luego ver la configuracin
actual. Qu comandos se encuentran asociados a la sesin del SDM?
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________

CCNA Security

Tarea 4: Observas la Autenticacin AAA Utilizando el Debug del IOS

En esta tarea, utilizar el comando debug para observar los intentos exitosos y fallidos de autenticacin.

Paso 1: Verificar que el reloj del sistema y las marcas de tiempo del debug estn configurados
correctamente.
a.

Desde el usuario o modo EXEC privilegiado de R3, utilizar el comando show clock para determinar
la hora actual del router. Si la fecha y hora son incorrectas, configurar el reloj con el comando de
modo EXEC privilegiado clock set HH:MM:SS DD month YYYY. A continuacin se provee un
ejemplo para R3.
R3#clock set 14:15:00 26 December 2008

b.

Verificar que la informacin detallada de timestamp se encuentra disponible en la salida de debug

utilizando el comando show run. El siguiente comando muestra todas las lneas de la configuracin
actual que incluyan el texto timestamps.
R3#show run | include timestamps
service timestamps debug datetime msec
service timestamps log datetime msec

c.

Si el comando service timestamps debug no estuviera presente, ingresarlo en el modo de

configuracin global.
R3(config)#service timestamps debug datetime msec
R3(config)#exit

d.

Guardar la configuracin actual desde el modo EXEC privilegiado.

R3#copy running-config startup-config

Paso 2: Utilizar el modo degub para verificar el acceso de usuarios.

a.

Activar el debug para la autenticacin AAA.

R3#debug aaa authentication
AAA Authentication debugging is on

b.

Iniciar una sesin Telnet desde PC-C a R3.

c.

Ingresar con el nombre de usuario Admin01 y la contrasea Admin01pass. Observar los eventos de
autenticacin AAA en la ventana de la sesin de consola. Los mensajes de debug deben verse
similares a los siguientes.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5):
'default'

d.

Pick

method

list

Desde la ventana de Telnet, ingresar al modo EXEC privilegiado. Utilizar la contrasea secreta de
modo enable cisco12345. Deben mostrarse mensajes de debug similares a los siguientes. En el
tercer mensaje, notar el nombre de usuario (Admin01), el nmero de puerto virtual (tty194), y la
direccin del cliente remoto Telnet (192.168.3.3). Adems notar que el estado del ltimo mensaje es
PASS.
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec
26
14:40:54.431:
AAA/MEMORY:
create_user
(0x64BB5510)
user='Admin01' ruser=' NULL' ds0=0 port='tty194' rem_addr='192.168.3.3'

CCNA Security
authen_type=ASCII
service=ENABLE
priv=15
initial_task_id='0',
vrf=
(id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222) : port='tty194'
list='' action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non -console enable
default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN(2467624222): Status=GETPASS
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL'
port='tty194'
rem_addr='192.168.3.3'
authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
e.

Desde la ventana de Telnet, salir del modo EXEC privilegiado utilizando el comando disable. Intentar
ingresar nuevamente al modo EXEC privilegiado, pero utilizando una contrasea errnea esta vez.
Observar la salida de debug en R3, notando que el estado esta vez indica FAIL.
Dec 26 15:46:54.027: AAA/AUTHEN(2175919868): Status=GETPASS
Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL
Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'
ruser='NULL'
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)

f.

Desde la ventana de Telnet, salir de la sesin Telnet del router. Luego, intentar abrir una nueva
sesin Telnet con el router, pero esta vez ingresando con el nombre de usuario Admin01 y una
contrasea incorrecta. Desde la ventana de consola, la salida de debug debe verse similar a la
siguiente..
Dec 26 15:49:32.339:
'default'

AAA/AUTHEN/LOGIN

(000000AA):

Pick

method

list

Qu mensaje se muestra en la pantalla del cliente Telnet? ________________________________

g.

Desactivar el debugging utilizando el comando undebug all en el modo EXEC privilegiado.

CCNA Security

Parte 4: Configurar la Autenticacin Centralizada Utilizando AAA y RADIUS

En la Parte 4 de la prctica de laboratorio, usted instalar un servidor RADIUS en PC-A. Luego configurar el
router R1 para acceder al servidor RADIUS externo para la autenticacin de usuarios. En esta seccin de la
prctica de laboratorio se utiliza el servidor gratuito WinRadius.

Tarea 1: Recuperar la Configuracin Bsica del Router R1

Para evitar las confusiones sobre la configuracin previamente realizada de AAA y RADIUS, comenzar
restaurando la configuracin bsica de R1 realizada en las Partes 1 y 2 de esta prctica de laboratorio.

Paso 1: Borrar y recargar el router.

a.

Conectarse a la consola de R1, e ingresar con el nombre de usuario Admin01 y la contrasea

Admin01pass.

b.

Ingresar al modo EXEC privilegiado con la contrasea cisco12345.

c.

Borrar la configuracin almacenada y ejecutar el comando reload para reiniciar el router.

Paso 2: Restaurar la configuracin bsica.

a.

Cuando el router reinicie, ingresar al modo EXEC privilegiado con el comando enable, e ingresar
luego al modo de configuracin global. Utilizar la funcin de HyperTerminal Transfer > Send File,
copiar y pegar o utilizar otro mtodo para cargar la configuracin inicial bsica para R1 creada y
guardada previamente en la Parte 2 de esta prctica de laboratorio.

b.

Probar la conectividad ejecutando un ping desde PC-A hacia PC-C. Si el ping no es exitoso, realizar
la resolucin de problemas de configuracin en la PC y en el router.

c.

Si ha salido de la consola, ingresar nuevamente como user01 con la contrasea user01pass, y

acceder al modo EXEC privilegiado con la contrasea cisco12345.

d.

Guardar la configuracin actual con el comando copy run start.

Tarea 2: Descargar e Instalar un Servidor RADIUS en PC-A

Existen diferentes servidores RADIUS disponibles, tanto gratuitos como pagos. Esta prctica de laboratorio
utiliza WinRadius, un servidor RADIUS gratuito basado en estndares, el cual se ejecuta sobre Windows XP
y la mayora de las dems versiones de Windows. La versin gratuita del servidor puede soportar slo cinco
nombres de usuarios.

Paso 1: Descargar el software Winradius.

a.

Crear una carpeta llamada WinRadius en el escritorio u otra ubicacin donde se almacenen archivos.

b.

Descargar la ltima versin desde http://www.suggestsoft.com/soft/itconsult2000/winradius/.

El editor solicita una direccin de email y el envo de datos de uso una vez instalado el producto.
Puede saltear la encuesta si as lo desea.

c.

Guardar el archivo zip descargado en la carpeta creada en el Paso 1, y extraer los archivos
comprimidos dentro de la misma carpeta. No existe un programa de instalacin. El archivo
WinRadius.exe extrado es ejecutable.

d.

Puede crear un acceso directo en el escritorio hacia el archivo WinRadius.exe.

Paso 2: Configurar la base de datos del servidor WinRadius.

a. Iniciar la aplicacin WinRadius.exe. WinRadius utiliza una base de datos local en la que almacena la
informacin de los usuarios. Cuando se inicia la aplicacin por primera vez, se presenta el mensaje

CCNA Security
Please go
database.

to

Settings/Database

and

create

the

ODBC

for

your

RADIUS

Launch ODBC failed.

b.

Seleccionar Settings > Database en el men principal, y se mostrar la siguiente pantalla. Hacer
click sobre el botn Configure ODBC automatically y luego hacer click sobre OK. Debe ver un
mensaje indicando que la ODBC fue creada con xito. Salir de WinRadius y reiniciar la aplicacin
para que los cambios tengan efecto.

c.

Cuando WinRadius inicie de nuevo, debe ver un mensaje similar al siguiente.

CCNA Security
d.

En qu puertos se encuentra escuchando WinRadius para la autenticacin y los registros de

auditora? ________________________________________________________________________

Paso 3: Configurar los usuarios y contraseas en el servidor WinRadius.

Nota: La versin gratuita de WinRadius puede soportar hasta cinco nombres de usuario. Los nombres de
usuario se pierden si la aplicacin se cierra y vuelve a iniciarse. Cualquier nombre de usuario creado en
sesiones previas debe ser creado nuevamente. Notar que el primer mensaje en la pantalla ant erior
muestra que se cargaron cero usuarios. Previamente, no se crearon usuarios, pero este mensaje es
mostrado cada vez que se inicia WinRadius, sin tener en cuenta si se haban creado usuarios
previamente.
a.

Desde el men principal, seleccionar Operation > Add User.

b.

Ingresar el nombre de usuario RadUser con la contrasea RadUserpass. Recordar que las
contraseas son sensibles a las maysculas.

c.

Hacer click sobre OK. Debe ver un mensaje en la ventana de registro indicando que el usuario ha
sido creado correctamente.

Paso 4: Limpiar la ventana de log.

Desde el men principal, seleccionar Log > Clear.

Paso 5: Probar el nuevo usuario utilizando la herramienta de pruebas de WinRadius.

a.

El archivo zip descargado incluye una herramienta de pruebas de WinRadius. Recorrer la carpeta
donde se colocaron los archivos descomprimidos y buscar un archivo llamado RadiusTest.exe.

b.

Iniciar la aplicacin RadiusTest, e ingresar la direccin IP de este servidor RADIUS (192.168.1.3), el

nombre de usuario RadUser, y la contrasea RadUserpass como se muestra aqu. No modificar el
nmero de puerto 1813 ni la contrasea.

CCNA Security
c.

Hacer click sobre Send para ver un mensaje Send Access_Request indicando que el servidor en
192.168.1.3, con nmero de puerto 1813, recibi 44 caracteres hexadecimales. En la ventana de
registro de WinRadius, debe ver tambin un mensaje indicando que el usuario RadUser fue
autenticado con xito.

d.

Cerrar la aplicacin RadiusTest.

Tarea 3: Configurar los Servicios AAA y el Acceso al Servidor RADIUS en R1

utilizando el IOS
Nota: Si desea configurar AAA utilizando el SDM, ir a la Tarea 5.

Paso 1: Habilitar AAA en R1.

Utilizar el comando de configuracin global aaa new-model para habilitar AAA.
R1(config)#aaa new-model
Paso 2: Configurar la lista default login authentication list.
a.

Configurar la lista que utilizar primero el servicio de autenticacin RADIUS. Si no puede alcanzarse
ningn servidor RADIUS y no puede realizarse la autenticacin, el router permite el acceso global sin
autenticacin. Esta es una medida de seguridad en el caso en que el router se inicie sin conectividad
con un servidor RADIUS activo.
R1(config)#aaa authentication login default group radius none

b.

En forma alternativa, puede configurar la autenticacin local como mtodo de autenticacin de

respaldo.

Nota: Si no configura una lista por defecto de autenticacin de login, puede quedar bloqueado fuera del
router, y puede ser necesario realizar el procedimiento de recuperacin de contraseas.

Paso 3: Especificar un servidor RADIUS.

Utilizar el comando radius-server host hostname key key para apuntar al servidor RADIUS. El
parmetro hostname acepta un nombre de host o una direccin IP. Utilizar la direccin IP del servidor
RADIUS, PC-A (192.168.1.3). La clave es una contrasea secreta compartida entre en servidor RADIUS

CCNA Security
y el cliente RADIUS (R1 en este caso), que es utilizada para autenticar la conexin entre el router y el
servidor antes de que el proceso de autenticacin se realice. El cliente RADIUS puede ser un NAS
(Network Access Server), pero el router R1 juega ese rol en esta prctica de laboratorio. Utilizar la clave
secreta por defecto del NAS especificada en el servidor RADIUS (ver Tarea 2, paso 5). Recordar que las
contraseas son sensibles a las maysculas.
R1(config)#radius-server host 192.168.1.3 key WinRadius

Tarea 4: Probar la Configuracin de AAA con RADIUS

Paso 1: Verificar la conectividad entre R1 y la computadora que ejecuta el servidor RADIUS.
Ejecutar un ping desde R1 hacia PC-A.
R1#ping 192.168.1.3
Si el ping no es exitoso, realizar la resolucin de problemas de configuracin en la PC y el router.

Paso 2: Probar la configuracin.

a.

Si se reinici el servidor WinRadius, debe volver a crearse el usuario RadUser con la contrasea
RadUserpass seleccionando Operation > Add User.

b.

Limpiar el log del servidor WinRadius seleccionando Log > Clear en el men principal.

c.

En R1, salid a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN
to get started.

d.

Probar la configuracin ingresando en la consola de R1 con el nombre de usuario RadUser y la

contrasea RadUserpass. Pudo ingresar al modo EXEC? En caso afirmativo, hubo algn retraso?
________________________________________________________________

e.

Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.

f.

Probar la configuracin nuevamente ingresando a la consola de R1 con el nombre de usuario no

existente Userxxx y la contrasea Userxxxpass. Pudo ingresar al modo EXEC? Por qu s o por
qu no? ________________________________________________________________

g.

Se generaron mensajes en la ventana de log del servidor RADIUS para cada ingreso? _____

h.

Por qu fue posible ingresar al router con un nombre de usuario no existente, y no se mostr
ningn
mensaje
en
la
ventana
de
log
del
servidor
RADIUS?
________________________________________________________

i.

Cuando el servidor RADIUS no se encuentra disponible, se presentan mensajes similares a los

siguientes luego de los intentos de login.
*Dec
26
16:46:54.039:
%RADIUS-4-RADIUS_DEAD:
192.168.1.3:1645,1646 is not responding.
*Dec
26
15:46:54.039:
%RADIUS-4-RADIUS_ALIVE:
192.168.1.3:1645,1646 is being marked alive.

RADIUS

server

RADIUS

server

Paso 3: Resolver problemas de comunicacin entre el router y el servidor RADIUS.

a.

Comprobar que los nmeros de puerto UDP por defecto de RADIUS del IOS se encuentran en uso
con el comando radius-server host y la funcin de ayuda del IOS.
R1(config)#radius-server host 192.168.1.3 ?
acct-port UDP port for RADIUS accounting server (default is 1646)
alias 1-8 aliases for this server (max. 8)
auth-port UDP port for RADIUS authentication server (default is 1645)
< Output omitted >

CCNA Security
b.

Comprobar la configuracin actual de R1 para las lneas que contengan el comando radius. El
siguiente comando muestra todas las lneas de configuracin que incluyen el texto radius.
R1#show run | incl radius
aaa authentication login default group radius none
radius-server host 192.168.1.3 auth-port 1645 acct-port
097B47072B04131B1E1F

1646

key

< Output omitted >

c.

Cules son los nmeros de puerto UDP por defecto del IOS de R1 para el servidor RADIUS ?
________________________________________________________________________________

Paso 4: Verificar los nmeros de puerto por defecto en el servidor WinRadius en PC-A.
a.

Desde el men principal de WinRadius, seleccionar Settings > System.

b.

Cules son los nmeros de puerto UDP por defecto de WinRadius ? ________________________

Nota: El primer desarrollo de RADIUS fue realizado utilizando el nmero de puerto UDP 1645 para
autenticacin y 1646 para el registro de auditora, lo que entra en conflicto con el servicio de mtrica de
datos. Debido a este conflicto, la RFC 2855 asign oficialmente los nmeros de puerto 1812 y 1813 para
RADIUS.

Paso 5: Cambiar los nmeros de puerto de RADIUS en R1 para que coincidan con los del
servidor WinRadius.
A menos que se especifique de otra forma, la configuracin por defecto de RADIUS del IOS utiliza los
nmeros de puerto UDP 1645 y 1646. Por lo tanto, deben cambiarse los nmeros de puerto del IOS para que
coincidan con los del servidor RADIUS, o los puertos del servidor RADIUS deben cambiarse para que
coincidan con los del IOS del router. En este paso, se modificarn los nmeros de puerto del IOS por los del
servidor RADIUS, de acuerdo a lo especificado en la RFC 2865.
a.

Remover la configuracin previa utilizando el siguiente comando.

R1(config)#no radius-server host 192.168.1.3 auth-port 1645 acct-port
1646

b.

Ejecutar el comando radius-server host nuevamente y esta vez especificar los nmeros de
puerto 1812 y 1813, junto con la direccin IP y la clave secreta del servidor RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port 1813
key WinRadius

CCNA Security

Paso 6: Probar la configuracin ingresando a la consola de R1.

a.

Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.

b.

Ingresar nuevamente con el nombre de usuario RadUser y la contrasea RadUserpass. do

ingresar? Hubo retardo esta vez? _________________________________________________ __

c.

El log del servidor RADIUS debe mostrar el siguiente mensaje.

User (RadUser) authenticate OK.

d.

Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.

e.

Ingresar con el nombre de usuario invlido Userxxx y la contrasea Userxxxpass. Pudo ingresar?
_________________________________________________________________________
Qu mensaje se muestra en el router? ___________________________________________

El log del servidor RADIUS debe mostrar los siguientes mensajes.

Reason: Unknown username
User (Userxxx) authenticate failed

Paso 7: Crear una lista de mtodos de autenticacin para Telnet y probarla.

a.

Crear una lista de mtodos de autenticacin nica para el acceso por Telnet al router. Esto no tiene
un respaldo de no autenticacin, por lo que si no es posible acceder al servidor RADIUS, el acceso
por Telnet queda deshabilitado. Nombrar a la lista de mtodos de autenticacin TELNET_LINES.
R1(config)#aaa authentication login TELNET_LINES group radius

b.

Aplicar la lista a las lneas vty del router utilizando el comando de autenticacin de login.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES

c.

Conectarse con Telnet desde PC-A hacia R1, e ingresar con el nombre de usuario RadUser y la
contrasea RadUserpass. Pudo ingresar al router? _____________________________________

d.

Salir de la sesin, y conectarse con telnet desde PC-A hacia R1 nuevamente. Ingresar con el nombre
de usuario Userxxx y la contrasea Userxxxpass. Pudo ingresar al router? ____________________

Tarea 5: (Opcional) Configurar los Servicios AAA y el Acceso al Servidor Radius

en R1 Utilizando el SDM
Tambin es posible utilizar el SDM para configurar el acceso al servidor RADIUS externo en el router.
Nota: Si configur el acceso al servidor RADISU externo en R1 utilizando el IOS en la tarea 3, puede saltear
esta tarea. Si realiz la Tarea 3 y desea realizar esta tarea, restaure la configuracin bsica del router como
se describe en la Tarea 1 de esta Parte, exceptuando ingresar inicialmente como RadUser con la contrasea

CCNA Security
RadUserpass. Si el servidor RADIUS no se encuentra disponible en este momento, todava ser capaz de
ingresar a travs de la consola.
Si no realiza esta tarea, lea los pasos para familiarizarse con el proces o del SDM.

Paso 1: Implementar los servicios AAA y el acceso al router por HTTP antes de iniciar el SDM .
a.

Desde el modo de configuracin global de la CLI, habilitar un nuevo modelo AAA.

R1(config)#aaa new-model

b.

Habilitar el servidor HTTP en R1.

R1(config)#ip http server

Paso 2: Acceder al SDM y habilitar la opcin de vista previa de comandos.

a.

Abrir un navegador web en PC-A. Iniciar el SDM ingresando la direccin IP de R1 (192.168.1.1) en el

campo de direccin.

b.

Ingresar sin nombre de usuario y con la contrasea de modo enable cisco12345.

c.

En el cuadro de dilogo Password Needed Networking, ingresar cisco12345 en el campo

Password y hacer click sobre Yes.

d.

Configurar el SDM para que permita realizar una vista previa de los comandos antes de enviarlos al
router. Seleccionar Edit > Preferences.

e.

En la ventana User Preferences, seleccionar la opcin Preview commands before delivering to

router y hacer click sobre OK.

Paso 3: Configurar el servicio AAA de R1 para acceder al servidor WinRadius.

a.

Hacer click sobre el botn Configure en la parte superior de la pantalla.

b.

Seleccionar Additional Tasks > AAA > AAA Servers and Groups > AAA Servers.

c.

En la ventana AAA Servers, hacer click sobre Add.

d.

En la ventana Add AAA Server, verificar que el campo Server Type indique RADIUS.

e.

En el campo Server IP or Host, ingresar la direccin IP de PC-A, 192.168.1.3.

f.

Cambiar el campo Authorization Port de 1645 a 1812, y cambiar el campo Accounting Port de
1646 a 1813 para coincidir con los nmeros de puerto del servidor RADIUS.

g.

Seleccionar la opcin Configure Key.

h.

Ingresar WinRadius en los campos New Key y Confirm Key.

CCNA Security

i.

En la ventana Deliver Configuration to Router, hacer click sobre Deliver, y en la ventana Commands
Delivery Status, hacer click sobre OK.

j.

Qu comandos fueron enviados al router?

________________________________________________________________________________

Paso 4: Configurar la lista de mtodos de login para RADIUS de AAA en R1.

a.

Hacer click sobre el botn Configure en la parte superior de la pantalla.

b.

Seleccionar Additional Tasks > AAA > Authentication Policies > Login.

c.

En la ventana Authentication Login, hacer click sobre Add.

d.

En la ventana Select Method List(s) for Authentication Login, seleccionar group radius y hacer
click sobre OK.

e.

En la ventana Select Method List(s) for Authentication Login, seleccionar local como segundo
mtodo y hacer click sobre OK.

CCNA Security

f.

En la ventana Deliver Configuration to Router, hacer click sobre Deliver y en la ventana Commands
Delivery Status, hacer click sobre OK.

g.

Qu comando(s) se enviaron al router?

________________________________________________________________________________

Paso 5: Probar la configuracin.

a.

Si se reinici el servidor RADIUS, es necesario recrear el usuario RadUser con la contrasea

RadUserpass seleccionando Operation > Add User.

b.

Limpiar el log del servidor WinRadius seleccionando Log > Clear.

c.

Probar la configuracin abriendo una sesin Telnet desde PC-A hacia R1.
C:>telnet 192.168.1.1

d.

Ingresar con el nombre de usuario RadUser definido en el servidor RADIUS y la contrasea

RadUserpass.

e.

Pudo ingresar a R1? _____

CCNA Security

Tarea 6. Reflexin
a.

Por qu una organizacin puede desear utilizar un servidor centralizado de autenticacin en lugar
de configurar usuarios y contraseas en cada router individual?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
____________________________________________________________________________

b.

Comparar la autenticacin local y la autenticacin local con AAA .

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
____________________________________________________________________________

c.

En base al contenido online de la Academia, a la investigacin web, y a la utilizacin de RADIUS en

esta prctica de laboratorio, comparar y contrastar RADIUS con TACACS+ .
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
____________________________________________________________________________

Tabla de Resumen de Interfaces del Router

Resumen de Interfaces del Router
Modelo
Router

de

Interfaz Ethernet #1
Ethernet

Interfaz Ethernet #2

1700

Fast
(FA0)

Fast
(FA1)

Ethernet

1800

Fast Ethernet
(FA0/0)

0/0

Fast Ethernet
(FA0/1)

2600

Fast Ethernet
(FA0/0)

0/0

2800

Fast Ethernet
(FA0/0)

0/0

Interfaz
#1
1

Serial

Interfaz
#2

Serial

Serial 0 (S0)

Serial 1 (S1)

0/1

Serial
(S0/0/0)

Serial
(S0/0/1)

Fast Ethernet
(FA0/1)

0/1

Serial 0/0 (S0/0)

Serial 0/1 (S0/1)

Fast Ethernet
(FA0/1)

0/1

Serial
(S0/0/0)

Serial
(S0/0/1)

0/0/0

0/0/0

0/0/1

0/0/1

Nota: Para identificar cmo se encuentra configurado el router, mire las interfaces para identificar
el tipo de router y cuntas interfaces posee. No existe un mtodo para listar de forma efectiva
todas las combinaciones de configuracin para cada clase de router. Esta tabla incluye los
identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La
tabla no incluye otros tipos de interfaces, incluso cuando un router especfico puede tener una. Un
ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre parntesis es la abreviatura legal
que puede utilizarse en los comandos del IOS para representar a la interfaz.