AAA es el marco de seguridad que controla quién accede a los dispositivos y recursos de red, qué puede hacer cada usuario y qué queda registrado. En redes Cisco, la implementación de AAA se apoya en dos protocolos principales: RADIUS y TACACS+.
Conocer sus diferencias, saber configurar cada uno en Cisco IOS y entender cuándo aplicar uno u otro es un requisito directo del examen CCNA 200-301 (objetivos 5.8 y 2.8 del examen CCNA 200-301).
TACACS+ usa TCP (puerto 49), cifra el cuerpo completo del paquete y separa los tres servicios AAA de forma independiente — lo que lo hace ideal para la administración de dispositivos Cisco. RADIUS usa UDP (puertos 1812/1813), cifra solo la contraseña y combina autenticación y autorización, siendo el único protocolo compatible con 802.1X. Elegir entre uno u otro depende del caso de uso: administración de dispositivos o acceso a la red.
- ¿Qué es AAA en redes Cisco?
- Autenticación, Autorización y Contabilidad: cómo funciona cada componente
- RADIUS: características y funcionamiento
- TACACS+: características y funcionamiento
- TACACS+ vs RADIUS: tabla comparativa completa
- Flujo de paquetes: cómo se comunica el cliente AAA con el servidor
- Cuándo usar TACACS+ y cuándo usar RADIUS
- Configuración AAA en Cisco IOS: RADIUS y TACACS+
- Verificación y troubleshooting de AAA en Cisco IOS
- Seguridad adicional: bloqueo por intentos fallidos
- Preguntas tipo examen CCNA sobre TACACS+ y RADIUS
¿Qué es AAA en redes Cisco?
Para garantizar la seguridad de la red, es necesario controlar el acceso de los usuarios a distintos elementos: dispositivos de red, servidores, aplicaciones o segmentos de la red. Existen dos tipos principales de AAA:
- Administración de dispositivos de red: gestiona quién tiene acceso para ingresar a la consola del dispositivo, sesión de Telnet, sesión SSH u otro método.
- Acceso a la red: identifica al usuario o dispositivo antes de proporcionarle acceso a la red.
Con AAA, las acciones del usuario son verificadas contra un servidor central según la política definida, con posibilidad de fallback a métodos locales si el servidor no está disponible. Las ventajas son concretas:
- Login seguro — el servidor AAA no está expuesto directamente a los usuarios
- Gestión centralizada en uno o varios servidores
- Posibilidad de aceptar o rechazar comandos específicos
- Registro completo de cada comando ejecutado para auditoría posterior
La única desventaja relevante es que requiere un servidor con capacidad suficiente para manejar el tráfico de autenticación.
Autenticación, Autorización y Contabilidad: cómo funciona cada componente
Autenticación (Authentication)
Es el proceso de confirmar que el usuario es quien dice ser. Se realiza mediante combinaciones de nombre de usuario y contraseña, entre otros métodos.
En términos de red, el usuario se conecta al dispositivo de acceso (NAS) e ingresa sus credenciales. El NAS forma y envía una solicitud de autenticación al servidor AAA y espera la respuesta. El servidor verifica el login y la contraseña contra su base de datos. Si la autenticación es aprobada, el NAS permite al usuario entrar a la red.
Autorización (Authorization)
Es el proceso de decidir a qué recursos puede acceder el usuario autenticado y qué acciones puede realizar.
En dispositivos de red, los derechos de acceso definen la lista de comandos que puede ejecutar el usuario autenticado. Por ejemplo, un ingeniero con nivel de acceso 1 puede solo ejecutar comandos show, mientras que uno con nivel 2 puede realizar cambios. La autorización se produce inmediatamente después de la autenticación exitosa.
Sin configurar la autorización AAA, aunque la autenticación funcione correctamente, el usuario accede al nivel de privilegios 1 sin importar el nivel configurado en su cuenta. Por eso la autorización AAA es obligatoria cuando se implementa AAA con servidor.
Contabilidad (Accounting)
Registra en el log cuándo, quién y qué hizo. Se ejecuta en paralelo a la autenticación y autorización.
La contabilidad es importante desde el punto de vista de la seguridad y el control de acceso, ya que permite detectar amenazas potenciales y encontrar vulnerabilidades en el sistema. Se utiliza también para auditorías y facturación.
RADIUS: características y funcionamiento
RADIUS (Remote Authentication Dial-In User Service) es un estándar IETF para AAA. Se utiliza desde principios de la década de 1990 y originalmente se aplicaba para conexiones de módem por dial-up. Tiene amplia difusión y es soportado por la mayoría de los fabricantes de dispositivos y desarrolladores de software.
Utiliza UDP (puertos 1812/1813 para autenticación y contabilidad, o los legados 1645/1646), cifra solo la contraseña, y combina autenticación y autorización en un mismo paquete. Su área principal de uso es el acceso a la red.
Nota importante: El único servidor de autenticación que puede utilizarse con 802.1X es RADIUS. TACACS+ y Kerberos no son compatibles con 802.1X.
TACACS+: características y funcionamiento
TACACS+ (Terminal Access Controller Access-Control System Plus) fue desarrollado por Cisco como evolución de las versiones anteriores TACACS y XTACACS. A pesar de la similitud de nombres, TACACS+ fue fuertemente modificado y no tiene compatibilidad con versiones anteriores de TACACS. Está descrito en RFC 8907 (RFC 1492 describe versiones anteriores del protocolo TACACS original).
El área principal de uso de TACACS+ es la administración de dispositivos de red. Utiliza TCP puerto 49 — mayor confiabilidad que UDP gracias a los mecanismos de control de flujo, retransmisión y confirmación (ACK) propios de TCP — cifra el cuerpo del paquete completo mediante un mecanismo basado en MD5 (el encabezado TACACS+ queda en texto claro), y separa completamente los tres servicios AAA, lo que permite llevar cada uno a un servidor independiente o utilizar otro protocolo.
Soporta 15 niveles de privilegio, autorización y accounting a nivel de comando, autenticación de dispositivos de red, y soporte multiprotocolo.
TACACS+ vs RADIUS: tabla comparativa completa
La principal diferencia entre TACACS+ y RADIUS se resume en tres ejes: protocolo de transporte, nivel de cifrado y separación de los servicios AAA.
| Ítem | RADIUS | TACACS+ |
|---|---|---|
| Significado | Remote Authentication Dial-In User Service | Terminal Access Controller Access-Control System Plus |
| Documentación | RFC 2865 | RFC 8907 |
| Protocolo de transporte | UDP | TCP |
| Puertos | UDP 1812/1645 (autenticación), UDP 1813/1646 (contabilidad) | TCP 49 |
| Cifrado | Solo la contraseña | Cuerpo del paquete (mecanismo MD5; encabezado en texto claro) |
| Servicios AAA | Autenticación y autorización combinadas; contabilidad separada | Autenticación, autorización y contabilidad completamente separadas |
| Autorización de comandos | No soporta autorización granular de comandos de forma nativa | Control granular a nivel de comando |
| Accounting de comandos | No soporta accounting de comandos | Registro completo de comandos |
| Niveles de privilegio | Solo modo privilegiado (1 nivel) | 15 niveles de privilegio |
| Estándar | Protocolo abierto, soportado por todos los fabricantes | Protocolo propietario de Cisco |
| Soporte 802.1X | Sí | No |
| Autenticación de dispositivos de red | No | Sí |
| Soporte multiprotocolo | Solo IP | IP, Novell, NetBIOS, Apple, X.25 |
| Uso principal | Acceso a la red | Administración de dispositivos |
| Consumo de recursos | Ligero | Más pesado |
Flujo de paquetes: cómo se comunica el cliente AAA con el servidor
Flujo RADIUS
En RADIUS, la autenticación y la autorización se gestionan dentro del proceso de Access-Request / Access-Accept, donde los atributos de autorización se entregan en la respuesta del servidor. La secuencia es la siguiente:
- El usuario intenta conectarse al dispositivo (NAS)
- El NAS envía un paquete Access-Request al servidor RADIUS, que incluye: nombre de usuario, contraseña, dirección IP del NAS y número de puerto del NAS
- El servidor RADIUS compara la clave compartida (Shared Secret) enviada en el Access-Request con el valor configurado (RFC 2865). Si coinciden, compara el nombre de usuario y la contraseña con la información en su base de datos
- Si coinciden, el servidor envía un paquete Access-Accept con los atributos de la sesión (como VLAN o ACL)
- La fase de contabilidad comienza como proceso independiente después de finalizar la autenticación y autorización
Flujo TACACS+
En TACACS+, los tres componentes están completamente separados. La notación →→→ indica el flujo desde el NAS hacia el servidor TACACS+; ←←← indica el flujo desde el servidor hacia el NAS.
Authentication (Autenticación)
① →→→ Send Start — Usuario intentando conectarse
② ←←← Get User — Servidor solicita nombre de usuario
③ →→→ CONTINUE — NAS entrega el nombre de usuario
④ ←←← Get Pass — Servidor solicita contraseña
⑤ →→→ CONTINUE — NAS entrega la contraseña
⑥ ←←← Pass / Fail — Servidor indica el resultado
Authorization (Autorización)
① →→→ Request — Para service=shell
② ←←← Response — Estado aprobado/fallido
③ →→→ Request — Para comando y argumento de comando
④ ←←← Response — Estado aprobado/fallido
Accounting (Contabilidad)
① →→→ Request — Para start-exec
② ←←← Response — Confirmación de registro recibido
③ →→→ Request — Para comando
④ ←←← Response — Confirmación de registro recibido
⑤ →→→ Request — Para stop-exec
⑥ ←←← Response — Confirmación de registro recibido
Cuándo usar TACACS+ y cuándo usar RADIUS
La elección del protocolo depende del caso de uso:
- TACACS+ es la mejor opción para la administración de dispositivos de red (routers, switches, firewalls Cisco). Su autorización granular a nivel de comando, el registro completo de comandos y los 15 niveles de privilegio lo hacen superior para este escenario.
- RADIUS es la opción más universal para el acceso a la red. Su amplia compatibilidad con todos los fabricantes, el soporte de 802.1X y su velocidad lo hacen ideal para autenticar usuarios finales que acceden a la red.
Con el protocolo correcto elegido, el siguiente paso es la configuración en Cisco IOS.
Configuración AAA en Cisco IOS: RADIUS y TACACS+
Topología de referencia para todos los ejemplos: Los comandos de esta sección asumen la siguiente topología:
- Dispositivo Cisco (cliente AAA): switch o router con IOS 12 o IOS 15
- Servidor RADIUS:
192.168.1.2o192.168.1.100(según el ejemplo)- Servidor TACACS+:
10.10.10.1o192.168.1.100(según el ejemplo)- El administrador accede al dispositivo Cisco por SSH o Telnet desde la red de gestión
Activar AAA: aaa new-model
En los dispositivos Cisco, la compatibilidad con AAA está desactivada por defecto. En la configuración se puede ver:
! no aaa new-model !
Para activarla:
Router(config)# aaa new-model
Puntos críticos al activar AAA:
- Antes de introducir este comando, ningún otro comando AAA está disponible. Si no se puede introducir algún comando AAA, lo primero es verificar la presencia de
aaa new-modelen la configuración. - Inmediatamente después de introducir este comando, la autenticación por defecto cambia automáticamente al uso de la base de datos local para todas las líneas, excepto la consola. Esto es una protección contra la pérdida total de acceso: si el comando se introduce sin un usuario local configurado, aún se puede acceder por consola.
Antes de activar AAA, siempre se debe configurar credenciales locales como respaldo:
Router(config)# enable secret LOCAL_PASSWORD
Router(config)# username admin privilege 15 secret ADMIN_PASSWORD
Nota: Si se tiene solo la contraseña de enable configurada y no hay usuario local, al activar aaa new-model el acceso remoto fallará porque no hay usuario en la base de datos local.
Comportamiento al activar y desactivar AAA
Al activar AAA, el comando login en las líneas VTY desaparece de la configuración y solo funciona el comando login authentication. Si posteriormente se desactiva AAA con no aaa new-model, el IOS advertirá que no puede revertir automáticamente a la configuración anterior — aunque el comando login vuelve a aparecer en la configuración.
Regla importante: si se han configurado comandos AAA y luego se desactiva AAA, todos esos comandos desaparecen de la configuración. Al volver a activar AAA, los comandos reaparecen.
Configuración de autenticación: default vs list-name
El comando base es:
Router(config)# aaa authentication login { default | list-name } method1 [method2] [method3] [method4]
Opción default: el conjunto de métodos se aplica automáticamente a todas las líneas (incluyendo consola) inmediatamente después de introducir el comando. Es la opción recomendada cuando se utiliza el mismo conjunto de métodos para todas las líneas.
Opción list-name: el conjunto de métodos no se aplica a ninguna línea tras introducir el comando. Se debe especificar manualmente en cada línea requerida, y sustituye a default si este está configurado:
Router(config)# line vty 0 4
Router(config-line)# login authentication NOMBRE_LISTA
La razón de usar list-name es cuando se necesitan diferentes métodos de autenticación para diferentes líneas. Por ejemplo: autenticación con servidor RADIUS para VTY, pero autenticación local para consola.
Métodos disponibles:
| Método | Descripción |
|---|---|
enable | Utiliza la contraseña de enable para autenticación |
local | Base de datos local (sin distinción de mayúsculas) |
local-case | Base de datos local (con distinción de mayúsculas en el nombre de usuario) |
none | Sin autenticación — acceso permitido para todos. Solo para pruebas, nunca en producción |
group radius | Lista de todos los servidores RADIUS configurados |
group tacacs+ | Lista de todos los servidores TACACS+ configurados |
group group-name | Servidores RADIUS o TACACS+ de un grupo específico |
Lógica de los métodos:
- Los métodos se utilizan en orden, de izquierda a derecha
- Si el primer método da error (servidor no disponible), se pasa al siguiente método
- Si el primer método da rechazo (contraseña incorrecta), no se pasan los siguientes métodos — la autenticación falla directamente
El conjunto de métodos más común es:
group radius local
Primero se consulta al servidor RADIUS. Si el servidor no responde (está caído), se usa la base de datos local. Si el servidor responde pero el usuario no existe en él, no se retrocede a la base de datos local — la autenticación falla con el mensaje % Authentication failed.
Ejemplo de configuración de autenticación AAA con RADIUS
Los siguientes pasos son la secuencia completa para configurar autenticación AAA con RADIUS:
1. Habilitar AAA globalmente:
Switch(config)# aaa new-model
2. Configurar el servidor RADIUS:
Switch(config)# radius-server host 192.168.1.2 key MySecretP@ssword
Si se necesita especificar los puertos manualmente:
Switch(config)# radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key MySecretP@ssword
Sintaxis completa del comando:
Switch(config)# radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ] [ alias { hostname | ip-address } ]
3. Configurar la autenticación:
Switch(config)# aaa authentication login default group radius local
El método default aplica a todas las líneas (tty, vty, console, aux). group radius local significa: primero RADIUS; si no responde, base de datos local.
4. Si se usa list-name en lugar de default:
Switch(config)# aaa authentication login MY_AUTHEN_GROUP group radius local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication MY_AUTHEN_GROUP
5. Crear usuario local de respaldo:
Para contraseña en texto plano (no recomendado):
Switch(config)# username User1 password CCNA_cisco
Para contraseña encriptada (recomendado):
Switch(config)# username test2 secret Pa55w0rd
Configuración completa resumida:
Switch(config)# username test2 secret Pa55w0rd
Switch(config)# aaa new-model
Switch(config)# radius-server host 192.168.1.2 key MySecretP@ssword
Switch(config)# aaa authentication login MY_AUTHEN_GROUP group radius local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication MY_AUTHEN_GROUP
Ejemplo de configuración de autenticación con TACACS+
aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host 10.10.10.1
tacacs-server key login@pass!
Con esta configuración, al hacer login la contraseña se verifica primero contra el servidor TACACS+. Si el servidor no está disponible, se utiliza la base de datos local.
Configuración de autorización
El comando base es:
Router(config)# aaa authorization exec { default | list-name } method1 [method2] [method3] [method4]
La opción exec controla el acceso al modo de ejecución de comandos (EXEC shell). Sin este comando, aunque la autenticación sea exitosa, el usuario siempre accede al nivel de privilegios 1 — independientemente del nivel configurado en su cuenta.
Otras opciones importantes:
network— autorización a través de protocolos de red (como PPP):
Router(config)# aaa authentication ppp default group radius
Router(config)# aaa authorization network group radius
commands 0-15— autoriza la ejecución de comandos de un nivel determinado. Se utiliza junto con TACACS+.
Al usar aaa authorization exec con servidor AAA, el usuario obtiene derechos de acuerdo con la política del servidor. Si solo ve parte de la configuración o tiene acceso limitado a comandos, debe iniciar sesión con otra cuenta de mayor privilegio.
Configuración de contabilidad
Mecanismo de contabilidad
Cuando un usuario accede a un dispositivo con AAA, a su sesión se le asigna un identificador único (session ID). El proceso es:
- Tras la autenticación, el proceso de contabilidad genera un mensaje Accounting Start con: ID del usuario, punto de entrada a la red, dirección IP e ID de sesión. Se envía al servidor AAA.
- Durante la sesión se recopilan atributos: recursos accedidos, duración, cambios realizados.
- Al cerrar la sesión, se genera un mensaje Accounting Stop con todos los datos: duración total, información enviada, número de paquetes, comandos EXEC, motivo de desconexión.
- El servidor confirma el fin de la sesión con un mensaje de acknowledgement.
Tipos de datos que se recopilan:
- Operaciones de red: sesiones PPP, número de paquetes y bytes
- Conexiones: conexiones salientes establecidas (SSH, Telnet)
- EXEC: sesión de trabajo — nombre de usuario, fecha, hora de inicio y fin, dirección IP
- Operaciones del sistema: eventos a nivel del sistema, como reinicio del dispositivo
- Comandos: comandos ejecutados en modo privilegiado y en modo de configuración global — nombre de usuario, fecha y hora
Configuración del comando aaa accounting
Router(config)# aaa accounting exec { default | list-name } { start-stop | stop-only | none } [broadcast] method1 [method2] [method3] [method4]
Disparadores disponibles:
start-stop— envía notificación “start” al inicio del proceso y “stop” al finalizarstop-only— envía solo la notificación “stop”, en todos los casos incluyendo errores de autenticaciónnone— desactiva la contabilidad en la línea o interfaz
La palabra clave broadcast habilita el envío de registros de contabilidad a varios servidores AAA simultáneamente. Si el primer servidor no está disponible, se produce conmutación por error usando los servidores de respaldo definidos en el grupo.
Configuración del servidor RADIUS: IOS 12 vs IOS 15
La sintaxis del comando difiere según la versión de IOS.
Para IOS 12:
IOS12(config)# radius-server host IP key key [ auth-port { 0-65536 } acct-port { 0-65536 } ]
Grupo de servidores en IOS 12:
IOS12(config)# aaa group server radius group-name
IOS12(config-sg-radius)# server { IP1 | hostname1 }
IOS12(config-sg-radius)# server { IP2 | hostname2 }
Para IOS 15:
IOS15(config)# radius server name
IOS15(config-radius-server)# address { ipv4 | ipv6 } { IP | hostname } [ auth-port { 0-65536 } acct-port { 0-65536 } ]
IOS15(config-radius-server)# key password
Grupo de servidores en IOS 15:
IOS15(config)# aaa group server radius group-name
IOS15(config-sg-radius)# server { IP1 | hostname1 | name1 }
IOS15(config-sg-radius)# server { IP2 | hostname2 | name2 }
Notas importantes:
- La contraseña (key) inicializa la sesión entre el dispositivo de red y el servidor — el dispositivo confirma su autenticidad al servidor mediante esta clave
- Si se utiliza hostname, debe definirse previamente en la configuración con
ip host hostname IPo resolverse vía DNS - Si los puertos no se definen manualmente, se utilizan por defecto 1645/1646
- En lugar de
radius/radius-serverse puede utilizartacacs+/tacacs-servercon la misma estructura
En plataformas modernas con IOS XE (ISR 4000, Catalyst 9000), la sintaxis es equivalente a IOS 15. Para el examen CCNA 200-301 y Packet Tracer, los comandos de esta sección son completamente aplicables.
Parámetros de timeout y retransmit
Dos parámetros controlan la comunicación con el servidor AAA:
timeout— tiempo en segundos que el router espera respuesta del servidor RADIUS antes de retransmitir (por defecto: 1 segundo)retransmit— número de veces que se reenvía la solicitud si el servidor no responde (por defecto: 3)
Si la línea de comunicación entre el dispositivo y el servidor AAA es lenta o inestable, aumentar estos parámetros hace que el login sea más estable:
Router(config)# radius server RAD1
Router(config-radius-server)# retransmit 5
Configuración AAA local: sin servidor externo
En la variante de AAA local no hay servidor externo. Todo funciona de forma similar al método de base de datos local, pero con ventajas adicionales de respaldo.
Ejemplo de configuración AAA local:
IOS15(config)# aaa new-model
IOS15(config)# aaa authentication login default local-case
IOS15(config)# aaa authorization exec default local
Con local-case, el nombre de usuario distingue entre mayúsculas y minúsculas — proporciona protección adicional frente a ataques de adivinación.
Sin configurar la autorización (aaa authorization exec default local), el usuario accede al nivel 1 aunque tenga privilege 15 configurado. Para que la autorización funcione también desde la consola, se necesita el comando adicional:
IOS15(config)# aaa authorization console
Escenario de recuperación: usuario eliminado por error
La ventaja real del AAA local frente al método de base de datos local es el respaldo. Si el usuario administrador se elimina accidentalmente:
IOS15(config)# aaa authentication login default local-case enable
IOS15(config)# aaa authorization exec default local if-authenticated
Con esta configuración, si el usuario local no existe, el sistema pasa al método enable. Se introduce la contraseña de enable y el acceso se concede de igual manera. El método if-authenticated permite la autorización si el usuario se autenticó exitosamente por cualquier método previo.
Verificación y troubleshooting de AAA en Cisco IOS
Probar la autenticación AAA
Para verificar que AAA se autentica correctamente contra el servidor:
do test aaa group radius REMOTE_USER REMOTE_PASSWORD new-code
o:
do test aaa group tacacs+ REMOTE_USER REMOTE_PASSWORD legacy
El usuario REMOTE_USER con contraseña REMOTE_PASSWORD debe estar creado previamente en el servidor.
Comandos de verificación
show users
show aaa sessions
show aaa user
show users— muestra los usuarios actualmente conectados al dispositivoshow aaa sessions— muestra el ID de sesión y los atributos de las sesiones AAA activasshow aaa user— muestra los atributos actuales del usuario autenticado
Comandos de debug
do debug aaa authentication
do debug radius
do debug tacacs
Estos comandos muestran en tiempo real el proceso de autenticación, permitiendo identificar si el problema está en la comunicación con el servidor, en las credenciales o en la configuración de los métodos.
Seguridad adicional: bloqueo por intentos fallidos
AAA permite bloquear cuentas locales tras un número configurable de intentos fallidos:
Router(config)# aaa local authentication attempts max-fail <1-65535>
Nota importante: este comando solo se aplica a usuarios con nivel de privilegios inferior a 15, es decir, a todos excepto los administradores.
Al alcanzar el número máximo de intentos, la cuenta queda bloqueada hasta que un administrador ejecute:
Router# clear aaa local user lockout
Para ver los usuarios bloqueados:
Router# show aaa local user lockout
Ejemplo:
IOS15(config)# aaa local authentication attempts max-fail 2
IOS15(config)# username user secret User4567
Tras dos intentos fallidos:
*Jun 7 03:30:34.565: %AAA-5-USER_LOCKED: Usuario «user» bloqueado por fallo de autenticación
IOS15# show aaa local user lockout
Tiempo de bloqueo del usuario local: 03:30:34 UTC, domingo 7 de junio de 2020
Preguntas tipo examen CCNA sobre TACACS+ y RADIUS
Pregunta 1
Se configura lo siguiente:
aaa authentication login NO_AUTH none
line console 0
login authentication NO_AUTH
¿Qué credenciales de login se requieren al conectarse al puerto de consola?
Respuesta: El puerto de consola está autenticado con la lista NO_AUTH. Esta lista no contiene ningún método de autenticación (usa none), por lo que no se requiere autenticación al conectarse al puerto de consola.
Pregunta 2
Router(config)# aaa authentication login default group radius local line
¿Qué credenciales se requieren al conectarse al puerto VTY?
Respuesta: Se usa la lista default, que se aplica automáticamente a todas las conexiones. El grupo de métodos es radius, local y line. El dispositivo contacta primero al servidor RADIUS; si no responde, usa el username local; si tampoco está disponible, usa la contraseña de línea. Como se usa default, la autenticación se aplica automáticamente a todas las líneas (tty, vty, console y aux).
Pregunta 3
Router(config)# aaa authentication login default tacacs+ enable
¿Qué credenciales se requieren al conectarse al puerto VTY?
Respuesta: El router intenta primero usar TACACS+ para la autenticación. Si no puede contactar al servidor TACACS+, usa la contraseña de enable como método de respaldo.
