en ccnas v11 ch03 traducido sena

8/19/2019 En CCNAS v11 Ch03 Traducido SENA

1/71

© 2012 Cisco and/or its affiliates. All rights reserved. 1

De autenticación,

autorización ycontabilidad


2/71


• La gestión de acceso a la infraestructura administrativa escrucial. Métodos: – Sólo contraseña

– Base de datos local

– AAA Autenticación local (AAA autónomo)

– Basado en servidor AAA

tipo deacceso

modos network accessserver puertos

elemento de uso aaacomando

accesoadmin

remoto

modalidadcaracteres(línea o modo

exec)

tty, vty, auxiliar, yla consola

login, exec y activarcomandos

acceso a lared a

distancia

paquete(modo de

interfaz)

dial-up y elacceso vpnincluyendo

asíncrona y rdsi(bri y pri)

comandos de red y ppp


3/71


R1(config)# line vty 0 4

R1(config-line)# password cisco

R1(config-line)# login

Internet

Modo User EXEC o privilegiado con contraseña de acceso es limitadoy no escala bien.

User Access Verification

Password: cisco

Password: cisco1

Password: cisco12

% Bad passwords


4/71


• Proporciona mayor seguridad que una contraseña simple.

• Es costosa efectiva solución de seguridad y de fácil implementación.

R1(config)# username Admin secret Str0ng5rPa55w0rd


R1(config-line)# login local

Internet

Welcome to SPAN Engineering


Username adminPassword: cisco


Username: Admin

Password: cisco1

% Login invalid

Username: Admin

Password: cisco12

% Login invalid


5/71


– El problema es que esta base de datos local tiene que ser replicado en variosdispositivos ...

– Una solución mejor escalable es utilizar AAA.


6/71


• AAA es un marco arquitectónico para la configuración:


7/71 © 2012 Cisco and/or its affiliates. All rights reserved. 7

ContabilidadQue es lo que pasa en?

AutenticaciónQuien es usted? AutorizacionCuanto puede gastar?



• Routers Cisco IOS pueden implementar AAA utilizando:

Nombre de usuario local ycontraseña

local

Control de Cisco Secure Access Server (ACS)



– También llamado "AAA autónomo", que proporciona el método deidentificación de los usuarios:

• Incluye acceso y contraseña de diálogo, desafío y respuesta,soporte de mensajería, ... – Es configurado por:

– Definir una lista de "llamada" de los métodos de autenticación.

• La aplicación de la lista a varias interfaces (consola, aux, vty).

• La única excepción es la lista de método por defecto ("default"), que se aplica automáticamente a todas las

interfaces si no hay otra lista de método está definido.



• El nombre o el método de autenticación predeterminado define:

• Los tipos de autenticación que se deben realizar.

• La secuencia en la que se llevarán a cabo.

•

Debe aplicarse a una interfaz específica antes que cualquiera delos métodos de autenticación definidos se llevará a cabo.



• El cliente establece una conexión con el router.

• El router AAA solicita al usuario un nombre de usuario ycontraseña.

• El router autentifica el nombre de usuario y la contraseñautilizando la base de datos local y el usuario está autorizado para

acceder a la red en función de la información en la base de datoslocal.

1

23

AAARouter

Cliente remoto



• Utilización de Cisco de control de acceso del servidor (SCA) esmás escalable ya que todos los dispositivos de la infraestructurade acceso acuden al servidor central. – Tolerancia a fallas debido a múltiples ACS se puede configurar.

– Solución Enterprise.

• El servidor real puede ser:

• Cisco Secure ACS para Windows Server:• Servicios de AAA en los contactos del router en un sistema Cisco Secure Access

Control de Server (ACS) para la autenticación de usuarios y de administrador..

– Cisco Secure ACS Solution Engine:

• Servicios de AAA en el router o el contacto de un NAS Secure ACS Solution EngineCisco externo para la autenticación de usuarios y administrador.



1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y contraseña.3. El router autentifica el nombre de usuario y la contraseña utilizando un servidor

AAA remoto.

4. El usuario está autorizado para acceder a la red en función de la informaciónsobre la AAA Server remoto.

1

24

AAARouter

Cisco Secure

ACS

Servidor

3

Cliente remoto


14/71


• Proporciona el método para el control de acceso remoto. – Incluyendo la autorización una sola vez o una autorización para cada

servicio, la lista y el perfil de cada usuario son su cuenta,

• Una vez que un usuario se ha autenticado, servicios deautorización determinan que:

– A que recursos el usuario puede acceder. – Que operaciones se permite le permiten al usuario realizar.

• Por ejemplo, "Usuario" estudiante "puede acceder serverXYZ host utilizando sóloTelnet."

• Al igual que con la autenticación, autorización AAA se configuramediante la definición de una lista de "llamada" de los métodosde autorización y, a continuación, la aplicación de esa lista convarias interfaces.


15/71


1.Usuario se ha autenticado y una sesión se ha establecido con elservidor AAA.

2.Cuando el usuario intenta introducir comandos del modo EXECprivilegiado, el router solicita la autorización de un servidor AAApara verificar que el usuario tiene el derecho de utilizarla.

3.El servidor AAA devuelve una respuesta "PASS / FAIL".

AAARouter

Cliente remotoCisco Secure

ACS

Servidor

1

2

3


16/71


• Proporciona el método para la recogida y envío de la informacióndel servidor de seguridad.

• Se utiliza para la facturación, auditoría y presentación deinformes, tales como las identidades de usuario, hora de inicio ysalida, ejecución de comandos, el número de paquetes / bytes, ...

• Con la contabilidad AAA activado, el router informa la actividaddel usuario en el servidor TACACS + garantía en la forma de losregistros contables.

• Contabilidad se configura mediante la definición de una listade "llamada" de los métodos de contabilidad y, a continuación, laaplicación de esa lista a varias interfaces.


17/71


1.Cuando un usuario se ha autenticado, el proceso contable AAAgenera un mensaje de inicio para iniciar el proceso decontabilidad.

2.Cuando el usuario cierra la sesión, un mensaje de detención se

registra y se termina el proceso de contabilidad.

AAARouter

Cliente remotoCisco Secure

ACS

Servidor

2

1


18/71


• Mayor flexibilidad y control de la configuración de acceso

• Escalabilidad

• Sistemas de copia de seguridad múltiples

• Métodos de autenticación estandarizados

–

RADIUS, TACACS+ y Kerberos


19/71


• AAA se implementa típicamente usando un servidor dedicado ACS para guardar usuarios / contraseñas en una base de datoscentralizada.

• La información se introduce centralmente/modificado a diferencia

de una base de datos local que debe configurarse en cada router.


20/71


• Tolerancia a fallos puede ser configurado en una secuencia derespaldo. – Consulte a un servidor de seguridad ...

– Si el error permanece, o no existen consultar bases de datos locales, ...


21/71


• AAA compatible con los protocolos de seguridad estandarizados.

– TACACS+

• Sistema de control de acceso de Terminal Access Controller Plus

• Sustituye protocolos heredados TACACS y XTACACS

–

RADIUS• Autenticación remota Dial-In User Service


22/71


Implementar autenticación AAALocal


23/71


1. Habilitar AAA mediante el comando de configuración global:

– aaa new-model

2. Definir las listas de métodos de autenticación usando:

– aaa authentication

1. Aplicar las listas de método a una interfaz o línea (si esnecesario) de manera particular.


24/71


• El comando aaa new-model permite la función de AAA.

– Comandos AAA ahora se pueden configurar.

– Para desactivar la AAA, utilice el comando no aaa new-model.

• PRECAUCIÓN: no ejecute el comando a menos que estéspreparado para configurar la autenticación AAA. Si lo hace,podría obligar a los usuarios de Telnet para autenticarse con unnombre de usuario, incluso si no se configura ninguna base dedatos de nombre de usuario o método de autenticación.

R1(config)# aaa new-model


25/71


• Especifique el tipo de autenticación para configurar: – Iniciar sesión - permite AAA para inicios de sesión de TTY, VTY, y console 0.

– Enable - habilita AAA para el acceso al modo EXEC.

– PPP - permite AAA para inicios de sesión en PPP (transferencia de paquetes).


26/71


• Liste los métodos por defecto se aplica automáticamente a todaslas interfaces si no hay otra lista.

• Listas con nombre deben aplicarse a una interfaz específicaantes que cualquiera de los métodos de autenticación definidos


27/71


• Métodos enumeran los tipos de autenticación que se va a realizar y la secuencia en la que se llevarán a cabo, ejemplo: – Contraseñas predefinidas (por ejemplo, locales, habilitar o línea)

– Consultar a un servidor TACACS + / RADIUS / Kerberos (s)


28/71


métodos descripción

enable utiliza la contraseña de activación para la autenticación.line utiliza la contraseña de línea para la autenticación.

local utiliza la base de datos de nombre de usuario local para la autenticación.

local-case utiliza la autenticación de nombre de usuario local de mayúsculas yminúsculas.

none

no utiliza la autenticación.cache group-name utiliza un grupo de servidores de caché para la autenticación.

group radius utiliza la lista de todos los servidores radius para la autenticación

group tacacs+ utiliza la lista de todos los servidores tacacs + para la autenticación.

group group-name utiliza un subconjunto de radius o tacacs + para la autenticación deservidores definido por el servidor radius aaa grupo o servidor

tacacs + grupo comando aaa.


29/71


• Opcionalmente, para bloquear las cuentas que tienen intentosfallidos excesivos, utilice:

– aaa local authentication attempts max-fail number-of-

unsuccessful-attempts.

– Para eliminar el número de intentos fallidos que se estableció, utilice

la forma no de este comando.

palabra clave descripción

number-of-unsuccessful-

attempts

número de intentos de autenticación fallidos antes de queuna conexión se interrumpe.

aaa local authentication attempts max-fail [number-of-unsuccessful-attempts ]

Router(config)#


30/71


• Este comando cierra la cuenta de usuario si falla la autenticacióny la cuenta permanece bloqueada hasta que el administrador laactive usando:

– clear aaa local user lockout {username username | all}

• El comando difiere del comando login delay en la forma enque maneja los intentos fallidos.

– El comando login delay introduce un retraso entre losintentos fallidos de acceso sin bloquear la cuenta.


31/71


• Añadir nombres de usuario y contraseñas para la base de datosdel router local para los usuarios que necesitan accesoadministrativo al router.

• Habilitar AAA a nivel global en el router.

• Configure los parámetros de AAA en el router.

• Confirmar y solucionar problemas de la configuración de AAA.

R1# conf t

R1(config)# username JR-ADMIN secret Str0ngPa55w0rd

R1(config)# username ADMIN secret Str0ng5rPa55w0rd


R1(config)# aaa authentication login default local-case

R1(config)# aaa local authentication attempts max-fail 10


32/71


• Una lista predeterminada o una lista con nombre pueden ser definidos.

– Una lista predeterminada se aplica automáticamente a todas las interfaces sino hay otra lista de acceso definida.

– Una lista con nombre debe ser aplicada a una interfaz específica antes decualquiera de los métodos de autenticación definidos se llevará a cabo.

R1# conf t




R1(config)# aaa authentication login default local-case enable

R1(config)# aaa authentication login TELNET-LOGIN local-case


R1(config-line)# login authentication TELNET-LOGIN


33/71


R1# show aaa sessions

Total sessions since last reload: 4

Session Id: 1

Unique Id: 175

User Name: ADMIN

IP Address: 192.168.1.10

Idle Time: 0

CT Call Handle: 0

R1# show aaa local user lockout

Local-user Lock time

JR-ADMIN 04:28:49 UTC Sat Dec 27 2008


34/71


Implementar autenticación AAAbasada en servidor


35/71



36/71


El apoyo de Cisco ACS: – Terminal de Control de Acceso Control de Acceso Server Plus

(TACACS +)

– protocolos de Acceso a los Servicios de Usuario (RADIUS) remoto


37/71


• Ambos protocolos se pueden utilizar para la comunicación entreel cliente y los servidores AAA.

• TACACS + se considera el protocolo más seguro porque todoslos intercambios están cifradas.

• Radius sólo encripta la contraseña de usuario.

– No cifra los nombres de usuario, información contable, o cualquier otra

información contenida en el mensaje de radio.


38/71


• TACACS + es un protocolo de Cisco que ofrece servicios de AAAseparados.

– La separación de los servicios de AAA proporciona flexibilidad en laaplicación, debido a que es posible utilizar TACACS + para la autorización yla contabilidad, mejor que cualquier otro método de autenticación.

Conectar Nombre de usuario

pedirá?

Nombre de Usuario? Utilice "Nombre de usuario"

JR-ADMIN JR-ADMIN

Contraseña?

Petición contraseña?

Str0ngPa55w0rd

Utilizar la contraseña?

Aceptar / Rechazar

Str0ngPa55w0rd


39/71


• RADIUS, desarrollado por Livingston Enterprises, es un protocolo AAA abierto IETF estándar para aplicaciones tales como acceso

a la red o movilidad IP.

– RADIUS se define actualmente por los RFC 2865, 2866, 2867 y 2868.

• El protocolo RADIUS oculta las contraseñas durante latransmisión, pero el resto del paquete se envía en texto claro.


40/71


• RADIUS combina la autenticación y autorización como unproceso que significa que cuando un usuario es autenticado, a

ese usuario está también autorizado.

– RADIUS utiliza el puerto UDP 1645 o 1812 para la autenticación y el puertoUDP 1646 o 1813 para la contabilidad.

Nombre de Usuario?

JR-ADMIN

Contraseña?

Str0ngPa55w0rd

Solicitud de Acceso(JR_ADMIN, Str0ngPa55w0rd

)

De aceptación de acceso


41/71


• RADIUS es ampliamente utilizado por los proveedores deservicios de VoIP porque pasa las credenciales de acceso de un

protocolo de iniciación de sesión (SIP) de punto final, como unteléfono de banda ancha, a un registrador SIP utilizando laautenticación implícita, y luego a un servidor RADIUS medianteRADIUS.

– RADIUS es también un protocolo de autenticación común que es utilizadapor el estándar de seguridad 802.1X.

• El Protocolo de diámetro es la sustitución prevista para RADIUS.

– DIÁMETRO utiliza un nuevo protocolo de transporte llamado Protocolo deControl de Transmisión Corriente (SCTP) y TCP en vez de UDP.


42/71


CARACTERISTICA TACACS+ RADIUS

Funcionalidad

separa aaa según la arquitecturaaaa, lo que permite la modularidadde la implementación del servidor

de seguridad

combina la autenticación y laautorización, sino que separa a la

contabilidad, lo que permite menos

flexibilidad en la aplicación detacacs +.

Estándar mayormente cisco apoya estándar abierto / rfc

Protocolo detransporte

el puerto tcp 49

el puerto udp 1645 o 1812 para laautenticaciónpuerto udp 1646 o 1813 para lacontabilidad

CHAPdesafío y respuesta bidireccionaltal como se utiliza en chap

desafío unidireccional y larespuesta desde el servidor de

seguridad de radius para el clienteradius.

Compatibilidadcon el protocolo

soporte multiprotocolo no se ara, sin netbeui

Confidencialidad todo el paquete de cifrado Sólo se cifra la contraseña

Personalización

proporciona la autorización de loscomandos del router en una ofunción de cada usuario y por

grupo.

no tiene opción de autorizar loscomandos del router en una ofunción de cada usuario y por

grupo.

Contabilidad limitado extenso


43/71


Cisco Secure ACS


44/71


• Muchos servidores de autenticación a nivel de empresase encuentran en el mercado hoy en día, incluyendo:

– Servidor Steel-Belted RADIUS de Funk

– Livingston Enterprises RADIUS de autenticación de Gerente de Facturación

– RADIUS Mérito Networks

– Cisco Secure ACS para Windows Server (ACS)

• Cisco ACS es una solución única que ofrece servicios de AAAutilizando TACACS + o RADIUS.


45/71


Facilidad de

uso

• una interfaz de usuario basada en web simplifica la configuración de los perfilesde usuario, perfiles de grupo y la configuración de acs.

Escalabilidad

• acs está construida para proporcionar grandes entornos de red, incluyendo

servidores redundantes, bases de datos remotas, y la replicación de bases dedatos y servicios de copia de seguridad.

Extensibilidad • soporta la autentificación de los perfiles de usuario que se almacenan en los

directorios del directorio vendors líderes, como sun, novell y microsoft.

Administració

n

• compatibilidad con active directory consolida nombre de usuario y laadministración de contraseñas.

Administració

n

• capacidad de los dispositivos de red de grupo juntos hacen que sea más fácil ymás flexible para el control de la aplicación y los cambios para todos losdispositivos en una red.

Flexibilidad

del producto

• cisco secure acs está disponible en tres opciones: cisco secure acs solutionengine, cisco secure acs express y cisco secure acs para windows.

Integración • acoplamiento apretado con los routers cisco ios y soluciones vpn.

Ayuda de

tercera

persona

• cisco secure acs ofrece soporte de servidor token para cualquier proveedor deuna sola vez la contraseña (otp) que proporciona una interfaz radius compatiblecon rfc, como rsa, passgo, secure computing, activecard, vasco o cripto.

Control • Proporciona cuotas dinámicos para restringir el acceso basado en la hora del

día, el uso de la red, el número de sesiones registrados, y el día de la seman


46/71


Cisco Secure ACS Express 5.0

– de nivel de entrada de acs con el conjunto de características simplificada

– admite hasta 50 dispositivos aaa y un máximo de 350 conexiones de id de

usuario únicos en un período de 24 horas

cisco secure acs para Windows se puede instalar en:

– Windows 2000 server con Service pack 4

– windows 2000 advanced server con service pack 4 – 2003 standard o windows server enterprise edition

– windows server 2008 standard o enterprise edition

Cisco Secure ACS Solution Engine

– una plataforma dedicada altamente escalable que sirve como un ACS de

alto rendimiento – 1RU, montaje en rack

– instalado de fábrica con un software de Windows seguridad reforzada,cisco secure acs software

– soporte para más de 350 usuarios


47/71



48/71



49/71



50/71



51/71



52/71



53/71


• ACSv5 Demo

– http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html

http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html


54/71


AAA

autenticaciónbasada enservidor

Configuración


55/71


1. Habilitar AAA utilizando el comando de configuración global: – aaa new-model

2. Configurar los parámetros del protocolo de seguridad: – Dirección IP del servidor y la clave

3. Definir las listas de métodos de autenticación usando: – aaa authentication

4. Aplicar las listas de método a una interfaz o línea (si esnecesario) en particular.

5. Opcionalmente configurar la autorización mediante el comandoglobal:

–

aaa authorization

6. Opcionalmente configurar la contabilidad usando el comandoglobal:

– aaa accounting


56/71


1. Especifique la ubicación del servidor AAA que proporcionaráservicios de AAA.

2. Configurar la clave de cifrado necesaria para cifrar latransmisión de datos entre el servidor de acceso a la red yCisco Secure ACS.


57/71


Comando Descripción

tacacs-server host

ip-address

single-connection

•

indica la dirección del servidor cisco secure acs yespecifica el uso de la función de una sola conexióntcp de cisco secure acs.

• Esta característica mejora el rendimiento mediante elmantenimiento de una única conexión tcp para lavida de la sesión entre el servidor de acceso a la red

y el servidor cisco secure acs, en lugar de abrir ycerrar conexiones tcp para cada sesión (por defecto).

tacacs-server key key

• Establece la clave de cifrado secreta compartidaentre el servidor de acceso a la red y el servidorcisco secure acs.

radius-server host ip-

address • Especifica un servidor aaa RADIUS.

radius-server key key • Especifica una clave de cifrado para ser utilizado con

el servidor aaa radius.


58/71


R1

192.168.1.100

192.168.1.101

Cisco Secure ACSSolution Engine

using TACACS+

Cisco Secure ACSfor Windows

using RADIUS


R1(config)#

R1(config)# tacacs-server host 192.168.1.101 single-connectionR1(config)# tacacs-server key TACACS+Pa55w0rd

R1(config)#

R1(config)# radius-server host 192.168.1.100

R1(config)# radius-server key RADIUS-Pa55w0rd

R1(config)#


59/71


R1(config)# aaa authentication login default ?

enable Use enable password for authentication.

group Use Server-groupkrb5 Use Kerberos 5 authentication.

krb5-telnet Allow logins only if already authenticated via Kerberos V

Telnet.

line Use line password for authentication.

local Use local username authentication.

local-case Use case-sensitive local username authentication.

none NO authentication.

passwd-expiry enable the login list to provide password aging support

R1(config)# aaa authentication login default group ?

WORD Server-group name

radius Use list of all Radius hosts.

tacacs+ Use list of all Tacacs+ hosts.

R1(config)# aaa authentication login default group


60/71


Parámetro Descripción

default

• Este comando crea un valor predeterminado que se aplicaautomáticamente a todas las líneas y las interfaces,especificando el método o la secuencia de los métodos deautenticación.

group group-name

group radius

group tacacs+

• Estos métodos especifican el uso de un servidor aaa.• El radio del grupo y tacacs grupo + métodos se refieren a

radius previamente definido o servidores tacacs +.• La cadena de nombre-grupo permite el uso de un grupo

predefinido de radius o tacacs + para servidores deautenticación (creada con el servidor radius aaa grupo oservidor tacacs + grupo comando aaa).

R1(config)# aaa authentication login default group tacacs+ group radius local-case


61/71


R1

192.168.1.100

192.168.1.101

Cisco Secure ACSSolution Engine

using TACACS+

Cisco Secure ACSfor Windows

using RADIUS


R1(config)#

R1(config)# tacacs-server host 192.168.1.101 single-connection

R1(config)# tacacs-server key TACACS+Pa55w0rd

R1(config)#

R1(config)# radius-server host 192.168.1.100

R1(config)# radius-server key RADIUS-Pa55w0rd

R1(config)#

R1(config)# aaa authentication login default group tacacs+ group radius local-case

R1(config)#


62/71


Autorizaciónbasada enservidor


63/71


• Se utiliza para limitar los servicios disponibles para un usuario.

•

Router utiliza la información del perfil del usuario, que seencuentra ya sea en la base de datos local o en el servidor deseguridad, para configurar la sesión del usuario. – Usuario entonces se concede el acceso a un servicio solicitado sólo si la

información en el perfil de usuario lo permite.

aaa authorization type { default | list-name } method1 … [method4]

Router(config)#


64/71


Ver versión

JR-ADMIN, comando "show versión"?

Aceptar

JR-ADMIN

La pantalla muestra unasalida de la versión

configure terminal

Autorización de comandos para el usuarioJR-ADMIN, comando "config Terminal"?

Rechazar No permita

que "configure terminal"


65/71


R1(config)# aaa authorization ?

auth-proxy For Authentication Proxy Services

cache For AAA cache configuration

commands For exec (shell) commands.

config-commands For configuration mode commands.

configuration For downloading configurations from AAA server

console For enabling console authorization

exec For starting an exec (shell).

ipmobile For Mobile IP services.

multicast For downloading Multicast configurations from an AAA server

network For network services. (PPP, SLIP, ARAP)

prepaid For diameter prepaid services.

reverse-access For reverse access connectionstemplate Enable template authorization

R1(config)# aaa authorization exec ?

WORD Named authorization list.

default The default authorization list.

R1(config)# aaa authorization exec default ?

group Use server-group.

if-authenticated Succeed if user has authenticated.

krb5-instance Use Kerberos instance privilege maps.

local Use local database.none No authorization (always succeeds).

R1(config)# aaa authorization exec default group ?





66/71


R1# conf t




R1(config)# aaa authentication login default group tacacs+


R1(config)# aaa authorization exec default group tacacs+

R1(config)# aaa authorization network default group tacacs+


R1(config-line)# login authentication TELNET-LOGINR1(config-line)# ^Z


67/71


Contabilidadbasada enservidor


68/71


• Define la forma en que se llevará a cabo la contabilidad y lasecuencia en que se realizan.

• Listas con nombre permiten designar un protocolo de seguridadespecial para ser utilizado en las líneas específicas o interfacespara los servicios de contabilidad.Router(config)#

aaa accounting type { default | list-name } record-type method1 … [method2]


69/71


R1(config)# aaa accounting ?

auth-proxy For authentication proxy events.

commands For exec (shell) commands.

connection For outbound connections. (telnet, rlogin)

delay-start Delay PPP Network start record until peer IP address is known.

exec For starting an exec (shell).

gigawords 64 bit interface counters to support Radius attributes 52 & 53.

multicast For multicast accounting.

nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP

record.

network For network services. (PPP, SLIP, ARAP)

resource For resource events.

send Send records to accounting server.

session-duration Set the preference for calculating session durations

suppress Do not generate accounting records for a specific type of user.system For system events.

update Enable accounting update records.

R1(config)# aaa accounting exec ?

WORD Named Accounting list.

default The default accounting list.

R1(config)# aaa accounting exec default ?

none No accounting.

start-stop Record start and stop without waiting

stop-only Record stop when service terminates.

R1(config)# aaa accounting exec default start-stop?

broadcast Use Broadcast for Accounting

group Use Server-group

R1(config)# aaa accounting exec default start-stop group ?





70/71


R1# conf t




R1(config)# aaa authentication login default group tacacs+


R1(config)# aaa authorization exec group tacacs+

R1(config)# aaa authorization network group tacacs+

R1(config)# aaa accounting exec start-stop group tacacs+

R1(config)# aaa accounting network start-stop group tacacs+


R1(config-line)# login authentication TELNET-LOGINR1(config-line)# ^Z


71/71

en ccnas v11 ch03 traducido sena

Documents