Problema al configurar linea vty

Alberto.Tovar · ‎05-27-2019

Buenas tardes amigos!, el problema es el siguiente estoy configurando un router c2900 y al momento de colocar "login local" en las lineas vty no reconoce el comando y las únicas opciones que me presenta el sistema son las siguientes:

-login authentication

-login ctrlc-disable

Que se puede hacer en esta situación, agradecería mucho su ayuda!.

Julio E. Moisa · ‎05-27-2019

Hola

Para utilizar login local, debes deshabilitar el comando: aaa new-model:

enable

conf t

no aaa new-model

exit

line vty 0 15

login local

La unica recomendacion es remover el aaa new-model unicamente si no se esta utilizando, esto es basicamente utilizado para asociarlo con autenticacion con radius, tacacs o ISE, o en algunos casos para usuarios locales, donde este se aplica en las lineas vty a traves del comando: login authentication (el nombre asociado).

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

luis_cordova · ‎05-27-2019

Hola @Alberto.Tovar ,

Como indica @Julio E. Moisa , lo mas seguro es que tengas habilitado el comando aaa new-model.

Este comando activa la autenticación local, por lo que reemplaza al comando login local(por ello este deja de estar disponible).

Mira lo que indica esta guía sobre AAA:

Para activar AAA, debe configurar el comando aaa new-model en configuración global.

Advertencia: El comando aaa new-model aplica inmediatamente la autenticación local a todas las
líneas y interfaces (excepto la línea con 0 de la línea de la consola).

Si se abre una sesión Telnet hacia el router después de habilitar este comando (o si una conexión caduca y debe volver
a conectarse), entonces el usuario debe autenticarse usando la base de datos local del router.
Para no ser bloqueado del router, recomendamos que defina un nombre de usuario y una
contraseña en el servidor de acceso antes de comenzar la configuración AAA.

Proceda como se muestra a continuación:

Router(config)# username xxx password yyy

https://www.cisco.com/c/es_mx/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/10384-security.pdf

Saludos

Edwin Portillo · ‎05-27-2019

El modelo de router que estas utilizando en su haber trae la Serie de Sevicos Integrados (ISR) que bien para temas de Autenticación, Autorización y Contabilidad (AAA) así mismo otros protocolos de seguridad como TACACS+ y RADIUS, es muy conveniente utilizar. Por lo general al activar estos servicios avanzados de seguridad impiden que los niveles de usuarios que comúnmente conocemos: exec, privilegiado y global tomen roles diferentes al momento de auténticarse y configurar un dispositivo.

Lo que te está pasando es que tienes habilidad AAA new-model y eso hace que inmediatamente aplice la Autenticación Local a todas las líneas e interfaces (excepto a la línea de consola 0), lo que debes de hacer es deshabilitarlo para podes usar el comando Login Local en cualquier línea o interface.

ElSalvador(config)# no aaa new-model

ElSalvador(config)# username TuNombre privilege 15 secret cisco

ElSalvador(config)#line vty 0 4

ElSalvador(config-line)# login local

NOTA: los privilegios de usuarios en cuanto a la contraseña son los siguientes:

Privilege 0: permite utilizar los comandos disable, enable, exit, help y logout.

Privilege 1: habilita de manera incial el modo de usuario normal (exec) router>.

Privilege 1 al 14: se pueden personalizar utilizando el AAA, TACACS+ Y RADIUS para garantizar la seguridad en el dispositivo.

Privilege 15: habilitación en la petición de entrada de un usuario con privilegios router#.