Gua del usuario de Cisco Router and Security Device
Manager2.4.1
Sede central para Amrica Cisco Systems, Inc. 170 West Tasman
Drive San Jose, CA 95134-1706 EE.UU. http://www.cisco.com Tel: 408
526-4000 800 553-NETS (6387) Fax: 408 527-0883Nmero de pedido del
cliente: Nmero de parte de texto: OL-9963-04
LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE
ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN PREVIO AVISO. TODAS LAS
DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE
MANUAL SE CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN
SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA. LA APLICACIN DE
CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS. LA
LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE LA
ACOMPAA SE ESTABLECEN EN EL PAQUETE DE INFORMACIN SUMINISTRADO CON
EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA
REFERENCIA. SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA
LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE DE CISCO PARA
OBTENER UNA COPIA. La implantacin de Cisco de la compresin de
encabezados TCP es una adaptacin de un programa desarrollado por la
Universidad de California, Berkeley (UCB) como parte de la versin
de dominio publico de la UCB del sistema operativo UNIX. Todos los
derechos reservados. Copyright 1981, Regents of the University of
California. A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE
DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y SOFTWARE DE ESTOS
PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y
LOS PROVEEDORES MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA,
EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES, LAS DE
COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO
INFRACCIN O LAS QUE PUEDAN SURGIR DEL TRATO, USO O PRCTICA
COMERCIAL. EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN
RESPONSABLES DE NINGN DAO INDIRECTO, ESPECIAL, CONSECUENTE O
FORTUITO, INCLUYENDO, SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS
PERDIDOS O DAADOS, QUE PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO
DE ESTE MANUAL, INCLUSO EN CASO DE QUE CISCO O SUS PROVEEDORES
HAYAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS.
Ninguna direccin de Protocolo de Internet (IP) utilizada en este
documento es real. Todo ejemplo, resultado de visualizacin de
comandos y figura incluido en el documento se muestran slo con
fines ilustrativos. El uso de cualquier direccin IP en contenido
ilustrativo es mera coincidencia. Gua del usuario de Cisco Router
and Security Device Manager 2.4 2007 Cisco Systems, Inc. Todos los
derechos reservados.
CONTENIDOPgina de inicio 1 Asistente para LAN 1 Configuracin de
Ethernet 3 Asistente para LAN: Seleccionar una interfaz 3 Asistente
para LAN: Direccin IP/mscara de subred 3 Asistente para LAN:
Activar Servidor DHCP 4 Asistente para LAN: Conjuntos de
direcciones DHCP 4 Opciones de DHCP 5 Asistente para LAN: Modo VLAN
6 Asistente para LAN: Puerto del switch 6 Puente IRB 7 Configuracin
BVI 8 Conjunto DHCP para BVI 8 IRB para Ethernet 9 Configuracin de
Ethernet Nivel 3 9 Configuracin 802.1Q 9 Configuracin del enlace o
enrutamiento 10 Mdulo de configuracin del dispositivo del switch 10
Configurar interfaz de Ethernet de gigabits 10 Resumen 11
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
iii
Contenido
Cmo... 11 Cmo se configura una ruta esttica? 11 Como se
visualiza la actividad en la interfaz LAN? 12 Cmo se activa o
desactiva una interfaz? 13 Cmo se visualizan los comandos de IOS
que se envan al router? 14 Cmo inicio la Aplicacin inalmbrica de
Cisco SDM? 14 Autenticacin 802.1x 1 Asistente para LAN:
Autenticacin 802.1x (puertos de switch) 2 Opciones avanzadas 3
Asistente para LAN: Servidores RADIUS para autenticacin 802.1x 5
Editar autenticacin 802.1x (puertos de switch) 7 Asistente para
LAN: Autenticacin 802.1x (VLAN o Ethernet) 8 Listas de excepciones
de 802.1x 10 Autenticacin 802.1x en interfaces de capa 3 11 Editar
la autenticacin 802.1x 13 Cmo... 14 Cmo configuro autenticacin
802.1x en ms de un puerto Ethernet? 14 Asistentes para crear
conexiones 1 Crear conexin 1 Ventana de bienvenida de la interfaz
del asistente para WAN Ventana de bienvenida del mdem analgico 3
Ventana de bienvenida de la conexin de reserva auxiliar 3
Seleccionar la interfaz 4 Encapsulacin: PPPoE 4 Direccin IP: ATM o
Ethernet con PPPoE/PPPoA 5 Direccin IP: ATM con enrutamiento RFC
1483 63
Ventana de bienvenida de la interfaz del asistente para ISDN
(RDSI) 3
Gua del usuario de Cisco Router and Security Device Manager
2.4
iv
OL-9963-04
Contenido
Direccin IP: Ethernet sin PPPoE 7 Direccin IP: serie con
Protocolo punto a punto 7 Direccin IP: serie con HDLC o Frame Relay
8 Direccin IP: ISDN (RDSI) BRI o mdem analgico 9 Autenticacin 10
Tipo de switch y SPID 11 Cadena de marcacin 12 Configuracin de la
conexin de reserva 13 Configuracin de la conexin de reserva:
Direcciones IP de la interfaz principal y del prximo salto (next
hop) 13 Configuracin de la conexin de reserva: Nombre de host o
direccin IP objeto del seguimiento 14 Opciones avanzadas 14
Encapsulacin 15 PVC17
Configuracin de LMI y DLCI 19 Configuracin del reloj 20 Eliminar
conexin 22 Resumen24
Pruebas y resolucin de problemas de la conectividad 25 Cmo... 29
Cmo se visualizan los comandos de IOS que se envan al router? 29
Cmo se configura una interfaz WAN no admitida? 29 Cmo se activa o
desactiva una interfaz? 30 Como se visualiza la actividad en la
interfaz WAN? 30 Cmo se configura NAT en una interfaz WAN? 31 Cmo
se configura NAT en una interfaz no admitida? 32 Cmo se configura
un protocolo de enrutamiento dinmico? 32
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
v
Contenido
Cmo se configura el enrutamiento de marcacin a peticin para la
interfaz asncrona o ISDN? 33 Cmo se edita una Configuracin de
interfaz de radio? 34 Editar interfaz/conexin 1 Conexin: Ethernet
para IRB 6 Conexin: Ethernet para enrutamiento 7 Mtodos existentes
de DNS dinmico 8 Agregar Mtodo de DNS dinmico 9 Inalmbrica 10
Asociacin NAT 13 Editar puerto del switch 13 Servicio de aplicacin
15 General 16 Seleccionar el tipo de configuracin Ethernet 18
Conexin: VLAN 19 Lista de subinterfaces 20 Agregar/Editar una
interfaz BVI 20 Agregar o editar una interfaz de retrobucle 21
Conexin: Interfaz de plantilla virtual 21 Conexin: LAN Ethernet
Conexin: WAN Ethernet22 23 10
Ethernet Properties (Propiedades de Ethernet) 25 Conexin:
Ethernet sin encapsulacin 27 Conexin: ADSL 28 Conexin: ADSL sobre
ISDN (RDSI) 31 Conexin: G.SHDSL 34
Gua del usuario de Cisco Router and Security Device Manager
2.4
vi
OL-9963-04
Contenido
Configurar controlador DSL 38 Agregar una conexin G.SHDSL 40
Conexin: Interfaz de serie, encapsulacin Frame Relay 43 Conexin:
Interfaz de serie, encapsulacin PPP 46 Conexin: Interfaz de serie,
encapsulacin HDLC 48 Agregar o editar un tnel GRE 49 Conexin: ISDN
(RDSI) BRI 51 Conexin: Mdem analgico 54 Conexin: (Reserva AUX.) 56
Autenticacin 59 Informacin de SPID 60 Opciones de marcacin 61
Configuracin de la copia de seguridad 63 Crear un firewall 1
Asistente de configuracin para firewall bsico 4 Configuracin de la
interfaz de firewall bsico 4 Configuracin del firewall para acceso
remoto 5 Asistente de configuracin para firewall avanzado 5
Configuracin de la interfaz de firewall avanzado 5 Configuracin del
servicio DMZ de firewall avanzado 6 Configuracin de servicio DMZ 7
Configuracin de seguridad de la aplicacin 8 Configuracin del
servidor del nombre del dominio 9 Configuracin del servidor de
filtro URL 9 Seleccionar la zona de interfaz 10 Zonas internas de
ZPF 10 Resumen 10 Alerta de SDM: Acceso a SDM 12Gua del usuario de
Cisco Router and Security Device Manager 2.4 OL-9963-04
vii
Contenido
Cmo... 14 Como se visualiza la actividad en el firewall? 14 Cmo
se configura un firewall en una interfaz no compatible? 16 Cmo se
configura un firewall despus de configurar una VPN? 17 Cmo se puede
permitir que pase determinado trfico por una interfaz DMZ? 17 Cmo
se modifica un firewall existente para permitir el trfico
procedente de una nueva red o host? 18 Cmo se configura NAT en una
interfaz no admitida? 19 Cmo se configura el paso de NAT (NAT
Passthrough) para un firewall? 19 Cmo se permite que el trfico
llegue al concentrador Easy VPN a travs del firewall? 20 Cmo se
asocia una regla a una interfaz? 21 Cmo se anula la asociacin de
una regla de acceso con una interfaz? 22 Cmo se elimina una regla
que est asociada a una interfaz? 23 Cmo se crea una regla de acceso
para una lista Java? 23 Cmo se permite que trfico determinado entre
en la red si no se dispone de una red DMZ? 24 Poltica de firewall 1
Editar poltica de firewall/Lista de control de acceso 1 Seleccionar
un flujo de trfico 3 Examinar el diagrama de trfico y seleccionar
una direccin de trfico 5 Realizar cambios a las reglas de acceso 7
Realizar cambios a las reglas de inspeccin 11 Agregar entrada de
aplicacin nombre_aplicacin 13 Agregar entrada de aplicacin RPC 14
Agregar entrada de aplicacin de fragmento 15 Agregar o editar
entrada de aplicacin HTTP 16 Bloqueo del subprograma Java 17
Advertencia de Cisco SDM: Regla de inspeccin 18 Advertencia de
Cisco SDM: Firewall 18Gua del usuario de Cisco Router and Security
Device Manager 2.4
viii
OL-9963-04
Contenido
Editar poltica de firewall 19 Agregar una nueva regla 22 Agregar
trfico 23 Inspeccin de aplicacin 25 Filtro URL 25 Calidad de
servicio (QoS) 25 Parmetro de inspeccin 25 Seleccionar trfico 26
Eliminar regla 26 Seguridad de la Aplicacin 1 Ventanas de Seguridad
de la Aplicacin 2 Ninguna Poltica de Seguridad de la Aplicacin 3
Correo electrnico 4 Mensajera Instantnea 6 Aplicaciones Par-a-Par 7
Filtrado de URL 7 HTTP 8 Opciones del encabezado 10 Opciones del
contenido 11 Aplicaciones y Protocolos 13 Tiempos de inactividad y
umbrales para mapas de parmetros de inspeccin y CBAC 15 Asociar
Poltica con una Interfaz 18 Editar la Regla de Inspeccin 18
Controles Permitir, Bloquear y Alerta 20
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
ix
Contenido
VPN sitio a sitio 1 Gua de diseo de VPN 1 Crear VPN sitio a
sitio 1 Asistente para VPN sitio a sitio 4 Ver valores por defecto
6 Informacin acerca de la conexin VPN 6 Propuestas IKE 8 Conjunto
de transformacin 11 Trfico para proteger 13 Resumen de la
configuracin 15 Configuracin de spoke 15 Tnel GRE seguro (GRE sobre
IPSec) 16 Informacin acerca del tnel GRE 17 Informacin de
autenticacin VPN 18 Informacin acerca del tnel GRE de reserva 19
Informacin de enrutamiento 20 Informacin sobre el enrutamiento
esttico 22 Seleccionar el protocolo de enrutamiento 24 Resumen de
la configuracin 24 Editar VPN sitio a sitio 25 Agregar nueva
conexin 28 Agregar mapa criptogrfico 28 Asistente para mapas
criptogrficos: Bienvenido 29 Asistente para mapas criptogrficos:
Resumen de la configuracin 30 Eliminar conexin 30 Ping 31 Generar
el reflejo... 31 Advertencia de Cisco SDM: Reglas NAT con ACL
32
Gua del usuario de Cisco Router and Security Device Manager
2.4
x
OL-9963-04
Contenido
Cmo... 33 Cmo se crea una VPN para ms de un sitio? 33 Despus de
configurar una VPN, cmo se configura la VPN en el router del par?
35 Cmo se edita un tnel VPN existente? 37 Cmo se puede confirmar
que mi VPN funciona? 37 Cmo se configura un par de reserva para mi
VPN? 38 Cmo se acomodan varios dispositivos con diferentes niveles
de admisin de VPN? 39 Cmo se configura una VPN en una interfaz no
compatible? 40 Cmo se configura una VPN despus de configurar un
firewall? 40 Cmo se configura el paso de NAT (NAT Passthrough) para
una VPN? 40 Easy VPN remoto 1 Creacin de Easy VPN remoto 1
Configurar un cliente de Easy VPN remoto 1 Informacin del servidor
2 Autenticacin 3 Interfaces y configuracin de conexiones 5 Resumen
de la configuracin 6 Editar Easy VPN remoto 7 Agregar o Editar Easy
VPN remoto 13 Agregar o Editar Easy VPN remoto: Configuracin de
Easy VPN 16 Agregar o Editar Easy VPN remoto: Informacin de
autenticacin 18 Especificar credenciales para SSH 21 Ventana
Conexin a XAuth 21 Agregar o Editar Easy VPN remoto: Configuracin
general 21 Opciones de la Extensin de la Red 23 Agregar o Editar
Easy VPN remoto: Informacin de autenticacin 24 Agregar o Editar
Easy VPN remoto: Interfaces y conexiones 26
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xi
Contenido
Cmo... 28 Cmo se edita una conexin Easy VPN existente? 28 Cmo
configuro una conexin de respaldo para una conexin de la Easy VPN?
28 Servidor Easy VPN 1 Crear un servidor Easy VPN 1 Bienvenido al
asistente para servidores Easy VPN 2 Interfaz y Autenticacin 2
Bsqueda de Poltica de grupos y Autorizacin de grupos 3 Autenticacin
de usuario (XAuth) 4 Cuentas de usuario para XAuth 5 Agregar
servidor RADIUS 6 Autorizacin de grupo: Polticas de grupos de
usuarios 6 Informacin General del Grupo 7 Configuracin de DNS y
WINS 9 Divisin de la arquitectura de tneles 10 Configuraciones del
Cliente 12 Elija las Configuraciones del Proxy del Explorador 15
Agregar o Editar Configuraciones del Proxy del Explorador 16
Autenticacin de usuario (XAuth) 17 Actualizacin del Cliente 18
Agregar o Editar Entrada de Actualizacin del Cliente 19 Resumen 21
Configuraciones del Proxy del Explorador 21 Agregar o Editar el
Servidor de la Easy VPN 23 Agregar o editar conexin de servidor
Easy VPN 24 Restringir Acceso 25 Configuracin de polticas de grupo
26
Gua del usuario de Cisco Router and Security Device Manager
2.4
xii
OL-9963-04
Contenido
Conjuntos IP 29 Agregar o editar conjunto local IP 30 Agregar
intervalo de direcciones IP 30 Enhanced Easy VPN 1 Interfaz y
Autenticacin 1 Servidores RADIUS 2 Polticas de Grupo de usuarios y
Autorizacin de grupos 4 Agregar o Editar servidor Easy VPN: Ficha
General 5 Agregar o Editar servidor Easy VPN: Ficha IKE 5 Agregar o
Editar servidor Easy VPN: Ficha IPSec 7 Crear interfaz de tnel
virtual 8 DMVPN 1 Red privada virtual multipunto dinmica (DMVPN) 1
Asistente para hubs de red privada virtual multipunto dinmica 2
Tipo de hub 3 Configurar la clave previamente compartida 3
Configuracin de la interfaz de tnel GRE de hub 4 Configuracin
avanzada para la interfaz de tnel 5 Hub principal 7 Seleccionar el
protocolo de enrutamiento 7 Informacin de enrutamiento 8 Asistente
para spokes de privada virtual multipunto dinmica 10 Topologa de
red DMVPN 10 Especificar la informacin del hub 11 Configuracin de
la interfaz de tnel GRE de spoke 11 Advertencia de Cisco SDM: DMVPN
Dependency (Dependencia DMVPN) 13
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xiii
Contenido
Editar VPN multipunto dinmica (DMVPN) 13 Panel General 15 Panel
NHRP 17 Configuracin del mapa NHRP 18 Panel Enrutamiento 19 Cmo se
configura una red DMVPN manualmente? 21 Configuracin VPN global 1
Configuracin VPN global 1 Configuracin VPN global: IKE 3
Configuracin VPN global: IPSec 4 Configuracin del cifrado de la
clave VPN 5 Seguridad IP 1 Polticas IPSec 1 Agregar una poltica
IPSec/Editar la poltica IPSec 4 Agregar o editar el mapa
criptogrfico: General 5 Agregar o editar el mapa criptogrfico:
Informacin del par 7 Agregar o editar el mapa criptogrfico:
Conjuntos de transformacin Agregar o editar el mapa criptogrfico:
Trfico de proteccin 10
7
Conjuntos de mapas criptogrficos dinmicos 12 Agregar un conjunto
de mapas criptogrficos dinmicos/Editar el conjunto de mapas
criptogrficos dinmicos 12 Asociar mapas criptogrficos a esta
poltica IPSec 13 Perfiles IPsec 13 Agregar o editar un perfil IPSec
14 Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa
criptogrfico dinmico 16 Conjunto de transformacin 17 Agregar/Editar
conjunto de transformacin 20 Reglas IPSec 23Gua del usuario de
Cisco Router and Security Device Manager 2.4
xiv
OL-9963-04
Contenido
Intercambio de claves por Internet 1 Intercambio de claves por
Internet (IKE) 1 Polticas IKE 2 Agregar o editar una poltica IKE 4
Claves previamente compartidas de IKE 6 Agregar una nueva clave
previamente compartida/Editar la clave previamente compartida 8
Perfiles IKE 9 Agregar o editar un perfil IKE 10 Infraestructura de
clave pblica 1 Asistentes para certificados 1 Bienvenido al
Asistente para SCEP 3 Informacin acerca de la Autoridad
certificadora (CA) 3 Opciones avanzadas 4 Atributos del nombre de
asunto del certificado 5 Otros atributos de asunto 6 Claves RSA 7
Resumen 8 Certificado de servidor de la CA 9 Estado de suscripcin 9
Bienvenido al Asistente para cortar y pegar 10 Tarea de suscripcin
10 Solicitud de suscripcin 11 Continuar con la suscripcin sin
terminar 11 Importar el certificado de la CA 12 Importar el o los
certificados de router 12
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xv
Contenido
Certificados digitales 13 Informacin acerca del punto de
confianza 15 Detalles del certificado 16 Comprobar revocacin 16
Comprobar revocacin de CRL nicamente 17 Ventana Claves RSA 17
Generar par de claves RSA 18 Credenciales del token USB 20 Tokens
USB 20 Agregar o Editar un token USB 21 Abrir Firewall 23 Abrir
detalles del firewall 24 Servidor de la autoridad certificadora 1
Crear servidor de la CA 1 Tareas previas para configuraciones de
PKI 2 Asistente para el servidor de la CA: Bienvenido 3 Asistente
para el servidor de la CA: Informacin acerca de la Autoridad
certificadora 4 Opciones avanzadas 5 Asistente para el servidor de
la CA: Claves RSA 7 Abrir Firewall 8 Asistente para el servidor de
la CA: Resumen 9 Administrar servidor de la CA 10 Servidor de la CA
de reserva 12 Administrar servidor de la CA: Restaurar ventana 12
Restaurar servidor de la CA 12 Editar configuracin del servidor de
la CA: Ficha General 13 Editar configuracin del servidor de la CA:
Ficha Avanzado 13 Administrar servidor de la CA: Servidor de la CA
no configurado 14Gua del usuario de Cisco Router and Security
Device Manager 2.4
xvi
OL-9963-04
Contenido
Administrar certificados 14 Solicitudes pendientes 14
Certificados revocados 16 Revocar certificado 17 VPN con SSL de
Cisco IOS 1 Enlaces de VPN con SSL de Cisco IOS en Cisco.com 2
Crear SSL VPN 3 Certificado con firma automtica permanente 5
Bienvenido 6 Gateways SSL VPN 6 Autenticacin del Usuario 7
Configurar sitios Web de la intranet 9 Agregar o editar URL 9
Personalizar el portal SSL VPN 10 Configuracin de paso por SSL VPN
10 Poltica de usuarios 11 Detalles de la poltica de grupo de SSL
VPN: Policyname 11 Seleccionar el grupo de usuarios de SSL VPN 12
Seleccionar funciones avanzadas 12 Cliente ligero (mapeo de
puertos) 13 Agregar o editar un servidor 13 Ms detalles acerca de
los servidores de mapeo de puertos 14 Tnel completo 15 Buscar el
paquete de instalacin de Cisco SDM 17 Activar Cisco Secure Desktop
19 Sistema de archivos de Internet comn 20 Activar Citrix sin
cliente 21 Resumen 21 Editar SSL VPN 21
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xvii
Contenido
Contexto de SSL VPN 23 Designar interfaces como internas o
externas 25 Seleccionar un gateway 25 Contexto: Polticas de grupo
25 Ms detalles acerca de las polticas de grupo 26 Poltica de grupo:
Ficha General 27 Poltica de grupo: Ficha Sin clientes 27 Poltica de
grupo: Ficha Cliente ligero 28 Poltica de grupo: Ficha Cliente VPN
con SSL (tnel completo) 29 Opciones avanzadas de tnel 30 Ms
detalles acerca de la divisin de la arquitectura de tneles 33
Servidores DNS y WINS 34 Contexto: Configuracin HTML 34 Seleccionar
color 35 Contexto: Listas de servidores de nombres NetBIOS 36
Agregar o editar una lista de servidores de nombres NetBIOS 36
Agregar o editar un servidor NBNS 36 Contexto: Listas de mapeo de
puertos 37 Agregar o editar una lista de mapeo de puertos 37
Contexto: Listas de direcciones URL 37 Agregar o editar una lista
de direcciones URL 38 Contexto: Cisco Secure Desktop 38 Gateways
SSL VPN 39 Agregar o editar un gateway SSL VPN 40 Paquetes 41
Instalar paquete 42 Contextos, gateways y polticas VPN con SSL de
Cisco IOS 42
Gua del usuario de Cisco Router and Security Device Manager
2.4
xviii
OL-9963-04
Contenido
Cmo... 49 Cmo puedo confirmar que VPN con SSL de Cisco IOS
funciona? 49 Cmo se configura una VPN con SSL de Cisco IOS despus
de configurar un firewall? 50 Cmo puedo asociar una instancia de
VRF con un contexto de VPN con SSL de Cisco IOS? 50 Resolucin de
problemas de VPN 1 Resolucin de problemas de VPN1
Resolucin de problemas de VPN: Especificar el cliente Easy VPN 4
Resolucin de problemas de VPN: Generar trfico 4 Resolucin de
problemas de VPN: Generar trfico GRE 6 Advertencia de Cisco SDM:
SDM activar depuraciones del router 7 Auditora de seguridad 1 Pgina
de bienvenida 4 Pgina de seleccin de la interfaz 5 Pgina Tarjeta de
informes 5 Pgina Repararlo 6 Desactivar el servicio Finger 7
Desactivar el servicio PAD 8 Desactivar el servicio de pequeos
servidores TCP 8 Desactivar el servicio de pequeos servidores UDP 9
Desactivar el servicio del servidor IP bootp 10 Desactivar el
servicio IP ident 10 Desactivar CDP 11 Desactivar la ruta de origen
IP 11 Activar el servicio de cifrado de contraseas 12 Activar los
paquetes keep-alive de TCP para sesiones telnet entrantes 12
Activar los paquetes keep-alive de TCP para sesiones telnet
salientes 13
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xix
Contenido
Activar nmeros de secuencia y marcadores de hora en depuraciones
13 Activar IP CEF 14 Desactivar Gratuitous ARP de IP 14 Definir la
longitud mnima de la contrasea a menos de 6 caracteres 15 Definir
la proporcin de fallos de autenticacin a menos de 3 intentos 15
Definir la hora TCP Synwait 16 Definir anuncio 16 Activar registro
17 Definir activacin de la contrasea secreta 18 Desactivar SNMP 18
Definir el intervalo del Programador 19 Definir asignacin del
Programador 19 Definir usuarios 20 Activar configuracin Telnet 20
Activar cambio a NetFlow 21 Desactivar redireccionamiento IP 21
Desactivar ARP Proxy IP 22 Desactivar difusin dirigida IP 22
Desactivar servicio MOP 23 Desactivar IP de destino inalcanzable 23
Desactivar respuesta de mscara IP 24 Desactivar IP de destino
inalcanzable en interfaz NULA 24 Activar RPF unidifusin en todas
las interfaces externas 25 Activar firewall en todas las interfaces
externas 26 Definir la clase de acceso en el servicio de servidor
HTTP 26 Definir la clase de acceso en lneas VTY 27 Activar SSH para
acceder al router 27 Activar AAA 28 Pantalla Resumen de la
configuracin 28 Cisco SDM y AutoSecure de Cisco IOS 28Gua del
usuario de Cisco Router and Security Device Manager 2.4
xx
OL-9963-04
Contenido
Configuraciones de seguridad que Cisco SDM puede deshacer 31 Cmo
deshacer las correcciones de la Auditora de seguridad 32 Pantalla
Agregar/Editar una cuenta Telnet/SSH 32 Configurar cuentas de
usuario para Telnet/SSH 33 Pgina Enable Secret and Banner (Activar
contrasea secreta y anuncio) 34 Pgina Registro 35 Enrutamiento 1
Agregar ruta esttica de IP/Editar la ruta esttica de IP 4
Agregar/Editar una ruta RIP 5 Agregar o editar una ruta OSPF 6
Agregar o editar una ruta EIGRP 7 Traduccin de direcciones de red 1
Asistentes de traduccin de direcciones de la red 1 Asistente de NAT
bsica: Bienvenido 2 Asistente de NAT bsica: Conexin 2 Resumen 3
Asistente de NAT avanzada: Bienvenido 3 Asistente de NAT avanzada:
Conexin 4 Agregar direccin IP 4 Asistente de NAT avanzada: Redes 4
Agregar redes 5 Asistente de NAT avanzada: Direcciones IP pblicas
del servidor 6 Agregar o editar Regla de traduccin de direcciones 6
Asistente de NAT avanzada: Conflicto ACL 8 Detalles 8 Reglas de
traduccin de direcciones de la red 8 Designar interfaces NAT 13
Configuracin del lmite de tiempo para la traduccin 13Gua del
usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xxi
Contenido
Editar mapa de ruta 15 Editar entrada del mapa de ruta 16
Conjuntos de direcciones 17 Agregar/Editar conjunto de direcciones
18 Agregar o editar regla de traduccin de direcciones estticas: De
interna a externa 19 Agregar o editar regla de traduccin de
direcciones estticas: De externa a interna 22 Agregar o editar
regla de traduccin de direcciones dinmicas: De interna a externa 25
Agregar o editar regla de traduccin de direcciones dinmicas: De
externa a interna 28 Cmo. . . 30 Cmo configuro la Traduccin de
direcciones de externa a interna? 31 Cmo configuro NAT con una LAN
y mltiples WAN? 31 Cisco IOS IPS 1 Crear IPS 2 Crear IPS:
Bienvenido 3 Crear IPS: Seleccionar interfaces 3 Crear IPS:
Ubicacin SDF 3 Crear IPS: Archivo de firma 4 Crear IPS: Ubicacin y
categora del archivo de configuracin 6 Agregar o editar una
ubicacin de configuracin 6 Seleccin de directorio 7 Archivo de
firma 7 Crear IPS: Resumen 8 Crear IPS: Resumen 9 Editar IPS 10
Editar IPS: Polticas IPS 11 Activar o editar IPS en una interfaz
14Gua del usuario de Cisco Router and Security Device Manager
2.4
xxii
OL-9963-04
Contenido
Editar IPS: Configuraciones globales 15 Editar configuracin
global 17 Agregar o editar una ubicacin de firma 19 Editar IPS:
Mensajes SDEE 20 Texto de los mensajes SDEE 21 Editar IPS:
Configuraciones globales 23 Editar configuracin global 24 Editar
requisitos previos de IPS 26 Agregar clave pblica 27 Editar IPS:
Actualizacin automtica 27 Editar IPS: Configuracin SEAP 29 Editar
IPS: Configuracin SEAP: ndice de valor de destino 29 Agregar ndice
de valor de destino 31 Editar IPS: Configuracin SEAP: Anulaciones
de accin de evento 31 Agregar o editar una anulacin de accin de
evento 33 Editar IPS: Configuracin SEAP: Filtros de accin de evento
34 Agregar o editar un filtro de accin de evento 36 Editar IPS:
Firmas 39 Editar IPS: Firmas 45 Editar firma 50 Seleccin de
archivos 53 Asignar acciones 54 Importar firmas 55 Agregar, editar
o duplicar firma 57 Cisco Security Center 59 Archivos de definicin
de firmas entregados con IPS 59 Panel de seguridad 61 Migracin IPS
64 Asistente para migracin: Bienvenido 64
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xxiii
Contenido
Asistente para migracin: Seleccione el archivo de firma de copia
de seguridad de IOS IPS 64 Archivo de firma 65 Java Heap Size 65
Gestin del mdulo de red 1 Gestin del mdulo de red IDS 1 Direccin IP
de la interfaz del sensor IDS 3 Determinacin de la direccin IP 4
Lista de verificacin de la configuracin del mdulo de red IDS 5
Configuracin de supervisin de la interfaz del mdulo de red IDS 7
Inicio de sesin del mdulo de red 7 Funcin No disponible 7 Seleccin
de interfaz del mdulo de switch 7 Calidad de servicio (QoS) 1 Crear
poltica de QoS 1 Asistente para QoS 2 Seleccin de Interfaz2
Generacin de la poltica de QoS 3 Resumen de la configuracin de
QoS 3 Editar poltica de QoS 5 Asociar o anular asociacin de la
poltica de QoS 8 Agregar o editar una clase de QoS 8 Editar valores
DSCP de coincidencia 10 Editar valores de protocolo de coincidencia
10 Agregar protocolos personalizados 11 Editar ACL de coincidencia
11 Editar valores DSCP de coincidencia 11
Gua del usuario de Cisco Router and Security Device Manager
2.4
xxiv
OL-9963-04
Contenido
Control de Admisin a la Red 1 Ficha Crear NAC 2 Otras Tareas en
una Implementacin del NAC 3 Bienvenido 4 Servidores de Polticas del
NAC 5 Seleccin de Interfaz 7 Lista de excepcin de NAC 8 Agregar o
Editar una Entrada de la Lista de Excepcin 9 Elegir una Poltica de
Excepcin 9 Agregar Poltica de Excepcin 10 Poltica de Hosts sin
Agentes 11 Configurar el NAC para el Acceso Remoto 12 Modificar el
firewall 12 Ventana Detalles 13 Resumen de la configuracin 13 Ficha
Editar NAC 14 Componentes del NAC 15 Ventana Lista de Excepcin 16
Ventana Polticas de Excepcin 16 Lmites de tiempo del NAC 17
Configurar la Poltica del NAC 18 Cmo... 20 Cmo Configuro un
Servidor de Poltica del NAC? 20 Cmo Instalo y Configuro un Agente
de gestin de estado en un Host? 20 Propiedades del router 1
Propiedades del dispositivo 1 Fecha y hora: Propiedades del reloj 3
Propiedades de fecha y hora 3 NTP 5 Agregar/Editar detalles del
servidor NTP 6Gua del usuario de Cisco Router and Security Device
Manager 2.4 OL-9963-04
xxv
Contenido
SNTP 7 Agregar detalles del servidor NTP 8 Registro 9 SNMP 10
Netflow 11 Usuarios de Netflow 12 Acceso a router 13 Cuentas de
usuario: Configurar cuentas de usuario para el acceso al router 13
Agregar/Editar un nombre de usuario 14 Contrasea de la vista 16
Configuracin VTY 17 Editar lneas vty 18 Configurar polticas de
acceso a la gestin 19 Agregar/Editar una poltica de gestin 21
Mensajes de error de acceso a la gestin 23 SSH 25 Configuracin DHCP
26 Conjuntos DHCP 26 Agregar o Editar conjunto DHCP 27 Asociaciones
DHCP 28 Agregar o Editar la Asociacin DHCP 30 Propiedades de DNS 31
Mtodos DNS dinmicos 31 Agregar o Editar un mtodo DNS dinmico 32
Gua del usuario de Cisco Router and Security Device Manager
2.4
xxvi
OL-9963-04
Contenido
Editor ACL 1 Procedimientos tiles para las reglas de acceso y
firewalls 3 Ventanas de reglas 4 Agregar/Editar una regla 8 Asociar
con una interfaz 11 Agregar una entrada de regla estndar 12 Agregar
una entrada de regla ampliada 14 Seleccionar una regla 19 Asignacin
puerto a aplicacin 1 Asignaciones puerto a aplicacin 1 Agregar o
editar entrada de asignacin de puerto 3 Firewall de poltica basado
en zonas 1 Ventana de zona 2 Agregar o editar una zona 3 Reglas
generales de la poltica basada en zonas 4 Pares de zonas 5 Agregar
o editar un par de zonas 6 Agregar una zona 6 Seleccionar una zona
7 Authentication, Authorization and Accounting (AAA) 1 Ventana
principal de AAA 2 Grupos y servidores AAA 3 Ventana Servidores AAA
3 Agregar o editar un servidor TACACS+ 4 Agregar o editar un
servidor RADIUS 5 Editar configuracin global 6 Ventana Grupos de
servidores AAA 7 Agregar o editar grupo de servidores AAA 8Gua del
usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xxvii
Contenido
Polticas de Autenticacin y Autorizacin 8 Ventanas de
Autenticacin y Autorizacin 9 Autenticacin de NAC 10 Autenticacin de
802.1x 11 Agregar o Editar una lista de mtodos para autenticar o
autorizar 12 Provisionamiento del router 1 Secure Device
Provisioning 1 Provisionamiento del router desde el USB 2
Provisionamiento del router desde USB (cargar archivo) 2
Sugerencias para la resolucin de problemas SDP 3 Lenguaje de
poltica de clasificacin comn de Cisco 1 Mapa de poltica 1 Ventanas
de mapa de poltica 2 Agregar o editar un mapa de poltica de QoS 3
Agregar un mapa de poltica de inspeccin 4 Mapa de poltica de capa 7
4 Inspeccin de aplicacin 5 Configurar inspeccin profunda de
paquetes 5 Mapas de clase 6 Asociar mapa de clase 7 Opciones
avanzadas del mapa de clase 7 Mapa de clase de QoS 8 Agregar o
editar un mapa de clase de QoS 9 Agregar o editar un mapa de clase
de QoS 9 Seleccionar un mapa de clase 9 Inspeccin profunda 9
Gua del usuario de Cisco Router and Security Device Manager
2.4
xxviii
OL-9963-04
Contenido
Ventanas Mapa de clase y Grupos de servicio de aplicacin 9
Agregar o editar un mapa de clase de inspeccin 12 Asociar mapa de
parmetro 13 Agregar un mapa de clase de inspeccin HTTP 13
Encabezado de solicitud HTTP 14 Campos de encabezado de solicitud
HTTP 15 Cuerpo de solicitud HTTP 16 Argumentos de encabezado de
solicitud HTTP 16 Mtodo HTTP 17 Uso incorrecto del puerto de
solicitud 17 URI de solicitud 17 Encabezado de respuesta 18 Campos
de encabezado de respuesta 18 Cuerpo de respuesta HTTP 19 Lnea de
estado de respuesta HTTP 20 Criterios de encabezado de
solicitud/respuesta 21 Campos de encabezado de solicitud/respuesta
HTTP 21 Cuerpo de solicitud/respuesta 22 Infraccin del protocolo de
solicitud/respuesta 23 Agregar o editar un mapa de clase IMAP 23
Agregar o editar un mapa de clase SMTP 24 Agregar o editar un mapa
de clase SUNRPC 24 Agregar o editar un mapa de clase de mensajera
instantnea 24 Agregar o editar un mapa de clase punto a punto 24
Agregar regla P2P 26 Agregar o editar un mapa de clase de POP3 26
Mapas de parmetros 26 Ventanas de mapa de parmetros 27 Agregar o
editar un mapa de parmetro para informacin de protocolo 27 Agregar
o editar una entrada del servidor 28Gua del usuario de Cisco Router
and Security Device Manager 2.4 OL-9963-04
xxix
Contenido
Agregar o editar expresin regular 28 Agregar un patrn 29 Generar
expresin regular 30 Metacaracteres de expresin regular 33 Filtrado
de URL 1 Ventana de filtrado de URL 2 Editar configuracin global 2
Configuracin general para el filtrado de URL 4 Lista de URL local 6
Agregar o editar URL local 7 Importar lista de URL 8 Servidores de
filtro de URL 8 Agregar o editar el servidor de filtro de URL
Preferencia del filtrado de URL 10 Gestin de configuracin 1 Edicin
manual del archivo de configuracin 1 Editor de configuracin 2
Restablecer los valores por defecto de fbrica 3 Esta funcin no se
admite 6 Informacin adicional acerca de... 1 Direcciones IP y
mscaras de subred 1 Campos de host y red 3 Configuraciones de
interfaz disponibles 4 Conjuntos de direcciones DHCP 5 Significados
de las palabras clave permit y deny 6 Servicios y puertos 7
9
Gua del usuario de Cisco Router and Security Device Manager
2.4
xxx
OL-9963-04
Contenido
Informacin adicional acerca de NAT 14 Escenarios de traduccin de
direcciones estticas 14 Escenarios de traduccin de direcciones
dinmicas 17 Motivos por los cuales Cisco SDM no puede modificar una
regla NAT 19 Informacin adicional acerca de VPN 20 Recursos de
Cisco.com 20 Informacin adicional acerca de conexiones VPN y
polticas IPSec 21 Informacin adicional acerca de IKE 23 Informacin
adicional acerca de las polticas IKE 24 Combinaciones de
transformacin permitidas 25 Motivos por los cuales una configuracin
de interfaz o subinterfaz de serie puede ser de slo lectura 27
Motivos por los cuales una configuracin de interfaz o subinterfaz
ATM puede ser de slo lectura 28 Motivos por los cuales una
configuracin de interfaz Ethernet puede ser de slo lectura 29
Motivos por los cuales una configuracin de interfaz ISDN (RDSI) BRI
puede ser de slo lectura 29 Motivos por los cuales una configuracin
de interfaz de mdem analgico puede ser de slo lectura 30 Escenario
de utilizacin de polticas de firewall 32 Recomendaciones para la
configuracin de DMVPN 32 Informes tcnicos sobre Cisco SDM 33 Pasos
iniciales 1 Qu novedades trae esta versin? 2 Versiones de Cisco IOS
admitidas 3
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xxxi
Contenido
Visualizar la informacin del router 1 Aspectos generales 2
Estado de la interfaz 6 Estado de firewall 10 Estado del firewall
de poltica basado en zonas 11 Estado de la red VPN 13 Tneles IPSec
13 Tneles DMVPN 15 Servidor Easy VPN 16 IKE SA 18 Componentes de
SSL VPN 19 Contexto de SSL VPN 20 Sesiones de usuario 21 Truncado
de URL 22 Mapeo de puertos 22 CIFS 22 Tnel completo 22 Lista de
usuarios 23 Estado del trfico 25 Usuarios ms activos de Netflow 25
Protocolos ms activos 25 Usuarios ms activos 26 Calidad de servicio
(QoS) 27 Trfico de aplicaciones/protocolos 29 Estado de la red NAC
30 Registro 31 Syslog 32 Registro de firewall 34 Registro de
Seguridad de la aplicacin 37 Registro de mensajes SDEE 38Gua del
usuario de Cisco Router and Security Device Manager 2.4
xxxii
OL-9963-04
Contenido
Estado de la red IPS 39 Estadsticas de firmas de IPS 41
Estadsticas de alertas de IPS 42 Estado de la autenticacin 802.1x
43 Comandos del men Archivo 1 Guardar configuracin en ejecucin en
el PC 1 Enviar configuracin al router 1 Escribir en la configuracin
de inicio 2 Restablecer los valores por defecto de fbrica 2 Gestin
de archivos 3 Cambiar nombre 6 Nueva carpeta 6 Guardar SDF a PC 6
Salir 6 No se ha podido realizar la compresin de flash 7 Comandos
del men Editar 1 Preferencias 1 Comandos del men Ver 1 Inicio 1
Configurar 1 Supervisar 1 Configuracin en ejecucin 2 Mostrar
comandos 2 Reglas de Cisco SDM por defecto 3 Actualizar 4
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
xxxiii
Contenido
Comandos del men Herramientas 1 Ping 1 Telnet 1 Auditora de
seguridad 1 Configuracin de PIN del token USB 2 Aplicacin
inalmbrica 3 Actualizar Cisco SDM 3 Inicio de sesin en CCO 5
Comandos del men Ayuda 1 Temas de Ayuda 1 Cisco SDM en CCO 1 Matriz
de hardware/software 1 Acerca de este router... 2 Acerca de Cisco
SDM 2
Gua del usuario de Cisco Router and Security Device Manager
2.4
xxxiv
OL-9963-04
CAPTULO
1
Pgina de inicioLa pgina de inicio proporciona informacin bsica
acerca del hardware, el software y la configuracin del router. Esta
pgina contiene las secciones siguientes:
Nombre de hostEl nombre configurado del router.
Acerca de su routerMuestra informacin bsica sobre el hardware y
el software del router y contiene los campos siguientes:
HardwareTipo de modelo
Software Muestra el nmero de modelo del router. RAM totalVersin
de IOS
La versin del software Cisco IOS vigente en el router. Router
and Security Device Manager (Cisco SDM) vigente en el router.
Disponible / Memoria total RAM disponible /
Versin de Cisco SDM La versin del software Cisco
Capacidad de flash total Disponibilidad de funciones
Flash + Webflash (si es aplicable) Las funciones disponibles en
la imagen de Cisco IOS que el router utiliza aparecen marcadas. Las
funciones que Cisco SDM comprueba son: IP, Firewall, VPN, IPS y
NAC.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
1-1
Captulo 1
Pgina de inicio
Ms...
El enlace Ms... muestra una ventana emergente que proporciona
detalles de hardware y software adicionales.
Detalles de hardware: adems de la informacin presentada en la
seccin Acerca de su router, esta muestra ficha la siguiente
informacin: Si el router arranca desde el archivo Flash o desde la
configuracin. Si el router tiene aceleradores; por ejemplo,
aceleradores VPN. Una diagrama de configuracin de hardware
incluyendo la memoria flash
y los dispositivos instalados tales como flash USB y tokens
USB.
Detalles de software: adems de la informacin presentada en la
seccin Acerca de su router, esta ficha muestra la siguiente
informacin: Los grupos de funciones incluidos en la imagen del IOS.
La versin de Cisco SDM en ejecucin.
Aspectos generales de configuracinEsta seccin de la pgina de
inicio resume los parmetros de configuracin que se han
definido.
Nota
Si en la pgina de inicio no encuentra informacin sobre las
funciones que se describen en este tema de ayuda, la imagen de
Cisco IOS no admite la funcin. Por ejemplo, si el router est
ejecutando una imagen de Cisco IOS que no admite funciones de
seguridad, las secciones Poltica de firewall, VPN y Prevencin de
intrusiones no aparecern en la pgina de inicio.Ver configuracin
vigente
Haga clic en este botn para mostrar la configuracin actual del
router.
Gua del usuario de Cisco Router and Security Device Manager
2.4
1-2
OL-9963-04
Captulo 1
Pgina de inicio
Interfaces y conexionesLAN totales admitidas
Punta de flecha doble: Activas (n): el nmero Inactivas (n): el
nmero de conexiones haga clic aqu para mostrar de conexiones LAN y
WAN que estn activas. LAN y WAN que estn u ocultar los detalles.
inactivas. El nmero total de interfaces LAN que se encuentran en el
router. WAN totales admitidas El nmero de interfaces WAN admitidas
por Cisco SDM que se encuentran en el router. El nmero total de
conexiones WAN admitidas por Cisco SDM que se encuentran en el
router.
Interfaz de LAN configurada
El nmero de interfaces Conexiones WAN totales LAN admitidas que
se encuentran configuradas en el router. Configurado/ No
configurado Si se configura un grupo, la direccin inicial y la
direccin final del grupo DHCP. Si se han configurado varios grupos,
la lista de los nombres de los grupos configurados.N de clientes
DHCP (vista detallada)
Servidor DHCP Grupo DHCP (vista detallada)
Nmero actual de clientes que ceden direcciones.
Interfaz
Tipo
IP/Mscara
Descripcin
Nombre de la interfaz configurada
Tipo de interfaz
Direccin IP y mscara Descripcin de la interfaz de subred
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
1-3
Captulo 1
Pgina de inicio
Polticas de firewall
Activo/inactivo
Fiable (n)
No fiable (n)
DMZ (n)
Activo: un firewall El nmero de interfaces fiables est en
servicio. (internas). Inactivo: no hay ningn firewall en
servicio.Interfaz Icono de firewall NAT
El nmero de interfaces no fiables (externas).
El nmero de interfaces DMZ.
Regla de inspeccin
Regla de acceso
El nombre de la interfaz a la que se ha aplicado el firewall
Si la interfaz se ha designado como interfaz interna o
externa.
El nombre o nmero de la regla NAT que se ha aplicado a esta
interfaz.
Los nombres o nmeros de las reglas de inspeccin entrantes y
salientes.
Los nombres o nmeros de las reglas de acceso entrantes y
salientes.
VPNIPSec (sitio a sitio)
Activas (n): el nmero de conexiones VPN activas.GRE sobre IPSec
El nmero de conexiones VPN sitio a sitio que se han configurado.
Easy VPN remoto El nmero de conexiones Easy VPN que esperan un
inicio de sesin de autenticacin ampliada (Xauth). Vase la nota.
El nmero de conexiones GRE sobre IPSec que se han configurado.
El nmero de conexiones del tipo Easy VPN remoto que se han
configurado.
Conexin a Xauth necesaria
N de clientes DMVPN
Si el router est configurado como hub DMVPN, el nmero de
clientes DMVPN.
N de clientes VPN activos Si este router funciona
como servidor Easy VPN, el nmero de clientes Easy VPN con
conexiones activas.
Gua del usuario de Cisco Router and Security Device Manager
2.4
1-4
OL-9963-04
Captulo 1
Pgina de inicio
VPNInterfaz
Activas (n): el nmero de conexiones VPN activas.Tipo Poltica
IPSec Descripcin
El nombre de una interfaz con una conexin VPN configurada
El tipo de conexin VPN configurada en la interfaz.
El nombre de la poltica Breve descripcin de la conexin. IPSec
asociada a la conexin VPN.
Nota
Algunos concentradores o servidores VPN autentican a los
clientes mediante la autenticacin ampliada (Xauth). Aqu se muestra
el nmero de tneles VPN que esperan un inicio de sesin de
autenticacin ampliada (Xauth). Si un tnel Easy VPN espera un inicio
de sesin con ese tipo de autenticacin, se muestra un panel de
mensajes independiente con el botn Conexin. Al hacer clic en
Conexin se permite al usuario especificar las credenciales para el
tnel. Si se ha configurado Xauth para un tnel, ste no empezar a
funcionar hasta que se haya proporcionado la conexin y la
contrasea. No existe ningn lmite de tiempo tras el cual se detenga
la espera; esta informacin se esperar de forma indefinida.
Polticas NACColumna Interfaz
Activo o InactivoColumna de Poltica NAC
El nombre de la interfaz a la que se le aplica la poltica. Por
ejemplo, FastEthernet 0, o Ethernet 0/0.
El nombre de la poltica NAC.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
1-5
Captulo 1
Pgina de inicio
EnrutamientoN de rutas estticas
Prevencin de intrusiones El nmero total de rutas estticas
configuradas en el router.Firmas activas
El nmero de firmas activas que utiliza el router. stas pueden
estar incorporadas, o cargarse desde una ubicacin remota. El nmero
de interfaces del router con IPS activado.
Protocolos de Muestra una lista de enrutamiento todos los
protocolos dinmico de enrutamiento
N de interfaces con IPS activada
dinmico que estn configurados en el router.Versin SDF
La versin de los archivos SDF de este router. Un enlace al Panel
de seguridad de IPS en el que se pueden visualizar e implementar
las diez firmas principales.
Panel de seguridad
Gua del usuario de Cisco Router and Security Device Manager
2.4
1-6
OL-9963-04
CAPTULO
2
Asistente para LANEl Asistente para LAN de Cisco Router and
Security Device Manager (Cisco SDM) le gua por el proceso de
configuracin de una interfaz LAN. La pantalla proporciona una lista
de las interfaces LAN del router. Puede seleccionar cualquiera de
las interfaces que se indican en la ventana y hacer clic en
Configurar para convertir la interfaz en una LAN y configurarla. En
esta ventana se proporciona una lista de las interfaces del router
que se han designado como interfaces internas en la configuracin de
inicio, as como una lista de las interfaces Ethernet y de los
puertos de switch que an no se han configurado como interfaces WAN.
La lista incluye las interfaces que ya se han configurado. Al
configurar una interfaz como LAN, Cisco SDM inserta el texto de
descripcin $ETH-LAN$ en el archivo de configuracin, para que en el
futuro pueda reconocerla como una interfaz LAN.
InterfazEl nombre de la interfaz.
ConfigurarHaga clic en este botn para configurar una interfaz
seleccionada. Si la interfaz nunca se ha configurado, Cisco SDM le
guiar por el Asistente para LAN para ayudarle a configurarla. Si la
interfaz se ha configurado mediante Cisco SDM, Cisco SDM muestra
una ventana de edicin que permite cambiar los ajustes de
configuracin. Si la interfaz LAN ha recibido una configuracin no
compatible con Cisco SDM, es posible que el botn Configurar est
desactivado. Para obtener una lista de este tipo de
configuraciones, consulte Motivos por los cuales una configuracin
de interfaz Ethernet puede ser de slo lectura.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-1
Captulo 2
Asistente para LAN
Qu desea hacer?
Si desea: Configurar o editar una interfaz o puerto de switch
LAN.
Haga lo siguiente: Seleccione la interfaz o puerto de switch LAN
de la lista y haga clic en Configurar. Si la interfaz no se ha
configurado o si ha seleccionado un puerto de switch, Cisco SDM, le
guiar por el Asistente para LAN que se puede utilizar para
configurar la interfaz. Si la interfaz ya se ha configurado y no se
trata de un puerto de switch, al hacer clic en Configurar, aparecer
una ventana de edicin que permite cambiar la configuracin de la
LAN.
Volver a configurar la direccin IP, la Seleccione una interfaz
que disponga de una direccin IP y mscara o las propiedades de DHCP
de haga clic en Configurar. una interfaz que ya se ha configurado.
En la barra de categoras de Cisco SDM, haga clic en Realizar
configuraciones especficas Interfaces y conexiones, seleccione la
ficha Editar relacionadas con la LAN para interfaz/conexin y cambie
la configuracin. elementos como, por ejemplo, los servidores DHCP o
los ajustes de unidad de transmisin mxima (MTU). Ver cmo realizar
tareas de configuracin relacionadas. Consulte uno de los
procedimientos siguientes:
Cmo se configura una ruta esttica? Como se visualiza la
actividad en la interfaz LAN? Cmo se activa o desactiva una
interfaz? Cmo se visualizan los comandos de IOS que se envan al
router? Cmo inicio la Aplicacin inalmbrica de Cisco SDM?
Puede volver a esta pantalla siempre que sea necesario para
configurar interfaces LAN adicionales.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-2
OL-9963-04
Captulo 2
Asistente para LAN Configuracin de Ethernet
Configuracin de EthernetEl asistente le gua por la configuracin
de una interfaz Ethernet en la LAN. Usted debe proporcionar la
informacin siguiente:
Una direccin IP y mscara de subred para la interfaz Ethernet Un
conjunto de direcciones DHCP en el caso de utilizar DHCP en esta
interfaz Las direcciones de los servidores DNS y WINS de la WAN Un
nombre de dominio
Asistente para LAN: Seleccionar una interfazEn esta ventana
puede seleccionar la interfaz en la que desea configurar una
conexin LAN. La misma incluye una lista de las interfaces
compatibles con las configuraciones LAN Ethernet.
Asistente para LAN: Direccin IP/mscara de subredEsta ventana
permite configurar una direccin IP y mscara de subred para la
interfaz Ethernet que se elija en la ventana anterior.
Direccin IPEspecifique la Direccin IP de la interfaz en formato
de decimales con puntos. El administrador de redes debe determinar
las direcciones IP de las interfaces LAN. Para obtener ms
informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subredEspecifique la mscara de subred. Obtenga este
valor del administrador de redes. La mscara de subred permite que
el router determine qu porcin de la direccin IP se utilizar para
definir la parte de red y de host de la direccin. De manera
alternativa, seleccione el nmero de bits de red. Este valor se
utiliza para calcular la mscara de subred. El administrador de
redes le puede proporcionar el nmero de bits de red que debe
especificar.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-3
Captulo 2 Asistente para LAN: Activar Servidor DHCP
Asistente para LAN
Asistente para LAN: Activar Servidor DHCPEsta pantalla permite
activar un servidor DHCP en el router. Un servidor DHCP asigna
automticamente a los dispositivos de la LAN direcciones IP que se
pueden volver a utilizar. Cuando un dispositivo se activa en la
red, el servidor DHCP le concede una Direccin IP. Cuando el
dispositivo abandona la red, la direccin IP se devuelve al conjunto
para que la pueda utilizar otro dispositivo.Para activar un
servidor DHCP en el router:
Haga clic en S.
Asistente para LAN: Conjuntos de direcciones DHCPEsta pantalla
permite configurar el conjunto de direcciones IP de DHCP. Las
direcciones IP que el servidor DHCP asigna se obtienen de un
conjunto comn que se ha configurado mediante la especificacin de
las direcciones IP inicial y final del intervalo. Para obtener ms
informacin, consulte Conjuntos de direcciones DHCP.
Nota
Si en el router se han configurado conjuntos de direcciones
discontinuos, los campos de direccin IP inicial e IP final sern de
slo lectura.
IP inicialEspecifique el inicio del intervalo de direcciones IP
que debe utilizar el servidor DHCP al asignar direcciones a los
dispositivos de la LAN. Se trata de la direccin IP con el nmero ms
bajo del intervalo.
IP finalEspecifique la Direccin IP con el nmero ms alto del
intervalo de direcciones IP.
Campos Servidor DNS y Servidor WINSSi en esta ventana aparecen
los campos Servidor DNS y Servidor WINS, puede hacer clic en
Opciones de DHCP para obtener informacin acerca de ellos.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-4
OL-9963-04
Captulo 2
Asistente para LAN Opciones de DHCP
Opciones de DHCPUtilice esta ventana para establecer las
opciones de DHCP que se enviarn a los hosts de la LAN que solicitan
direcciones IP del router. No se trata de opciones que se definen
para el router que est configurando, sino de parmetros que se
enviarn a los hosts solicitantes de la LAN. Si desea establecer
estas propiedades para el router, haga clic en Tareas adicionales
de la barra de categoras de Cisco SDM, seleccione DHCP y configure
estos ajustes en la ventana Conjuntos DHCP.
Servidor DNS 1El servidor DNS normalmente es un servidor que
asigna un nombre de dispositivo conocido con su direccin IP. Si la
red dispone de un servidor DNS configurado, especifique aqu la
direccin IP del mismo.
Servidor DNS 2Si la red dispone de un servidor DNS adicional, en
este campo puede especificar la direccin IP de ste.
Nombre de dominioEl servidor DHCP que est configurando en este
router proporcionar servicios a otros dispositivos dentro de este
dominio. Especifique el nombre del dominio.
Servidor WINS 1Es posible que algunos clientes requieran el WINS
(Windows Internet Naming Service) para conectarse a dispositivos en
Internet. Si la red dispone de un servidor WINS, en este campo
especifique la direccin IP del mismo.
Servidor WINS 2Si la red dispone de un servidor WINS adicional,
en este campo especifique la direccin IP de dicho servidor.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-5
Captulo 2 Asistente para LAN: Modo VLAN
Asistente para LAN
Asistente para LAN: Modo VLANEsta pantalla permite determinar el
tipo de informacin de LAN virtual que se transmitir a travs del
puerto de switch. Los puertos de switch pueden designarse en modo
de acceso, en cuyo caso reenviarn solamente los datos destinados a
la LAN virtual a la que estn asignados, o bien en modo de enlace
troncal, en cuyo caso reenviarn los datos destinados para todas las
LAN virtuales, incluida la LAN virtual a la que estn asignados. Si
este puerto de switch se conecta a un dispositivo de cliente como,
por ejemplo, un PC o telfono IP nico, o si este dispositivo se
conecta a un puerto en un dispositivo de red como, por ejemplo,
otro switch, que es un puerto de modo de acceso, seleccione
Dispositivo de cliente. Si este puerto de switch se conecta a un
puerto en un dispositivo de red como, por ejemplo, otro switch, que
est en modo de enlace, seleccione Dispositivo de red.
Asistente para LAN: Puerto del switchEsta pantalla permite
asignar un nmero de LAN virtual existente al puerto de switch o
crear una nueva interfaz de LAN virtual que debe asignarse al
puerto de switch de LAN virtual.
LAN virtual existenteSi desea asignar el puerto de switch a una
LAN virtual definida como, por ejemplo, la LAN virtual por defecto
(LAN virtual 1), especifique el nmero de ID de LAN virtual en el
campo Identificador (LAN virtual) de la red.
Nueva LAN virtualSi desea crear una nueva interfaz de LAN
virtual a la que se asignar el puerto de switch, especifique el
nuevo nmero de ID de LAN virtual en el campo Nueva LAN virtual y, a
continuacin, especifique la direccin IP y la mscara de subred de la
nueva interfaz lgica de LAN virtual en los campos
correspondientes.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-6
OL-9963-04
Captulo 2
Asistente para LAN Puente IRB
Incluya esta VLAN en un puente IRB que formar un puente con la
red inalmbrica. (Utilice una aplicacin inalmbrica para
completar).Si marca esta casilla, el puerto del switch formar parte
de un bridge con la red inalmbrica. La otra parte del bridge debe
configurarse utilizando la Aplicacin inalmbrica. La direccin IP y
los campos para la direccin IP y la mscara de subred bajo la Nueva
LAN virtual estn desactivados cuando esta casilla est seleccionada.
Despus de completar esta configuracin LAN, haga lo siguiente para
iniciar la Aplicacin inalmbrica y completar la configuracin de la
interfaz inalmbrica.Paso 1 Paso 2
Seleccione Aplicacin inalmbrica del men Herramientas de Cisco
SDM. La Aplicacin inalmbrica se abre en otra ventana del
explorador. En la Aplicacin inalmbrica, haga clic en Seguridad
rpida inalmbrica, y luego haga clic en Bridge para proporcionar
informacin para completar la configuracin de la interfaz
inalmbrica.
Puente IRBSi est configurando una VLAN para que sea parte de un
bridge IRB, el bridge debe ser un miembro del grupo bridge. Para
crear un nuevo grupo bridge del que esta interfaz ser parte, haga
clic en Crear un nuevo grupo bridge y especifique un valor en el
rango de 1 a 255. Para que esta LAN virtual sea miembro de un grupo
bridge existente, haga clic en nase a un grupo bridge existente y
seleccione un grupo bridge.
Nota
Cuando haya completado la configuracin de la interfaz inalmbrica
en la Aplicacin inalmbrica, debe utilizar el mismo nmero de grupo
bridge especificado en esta pantalla.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-7
Captulo 2 Configuracin BVI
Asistente para LAN
Configuracin BVIAsigne una direccin IP y una mscara de subred a
la interfaz BVI. Si seleccion un grupo bridge existente en la
pantalla anterior, la direccin IP y la mscara de subred aparecern
en la pantalla. Puede modificar los valores o dejarlos como
estn.
Direccin IPEspecifique la Direccin IP de la interfaz en formato
de decimales con puntos. El administrador de redes debe determinar
las direcciones IP de las interfaces LAN. Para obtener ms
informacin, consulte Direcciones IP y mscaras de subred.
Mscara de redEspecifique la mscara de subred. Obtenga este valor
del administrador de redes. La mscara de subred permite que el
router determine qu porcin de la direccin IP se utilizar para
definir la parte de red y de host de la direccin.
Net Bits (Bits de red)De manera alternativa, seleccione el nmero
de bits de red. Este valor se utiliza para calcular la mscara de
subred. El administrador de redes le puede proporcionar el nmero de
bits de red que debe especificar.
Conjunto DHCP para BVIAl configurar el router como servidor
DHCP, puede crear un conjunto de direcciones IP que pueden ser
utilizadas por los clientes de la red. Cuando un cliente se
desconecta de la red, la direccin que estaba utilizando es devuelta
al conjunto para uso de otro host.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-8
OL-9963-04
Captulo 2
Asistente para LAN IRB para Ethernet
Configuracin del servidor DHCPHaga clic en la casilla si desea
que el router funcione como servidor DHCP. Luego, especifique las
direcciones IP inicial y final en el conjunto. Asegrese de
especificar la direccin IP que se encuentren en la misma subred que
la direccin IP que le dio a la interfaz. Por ejemplo, si le dio a
la interfaz la direccin IP 10.10.22.1, con la mscara de subred
255.255.255.0, tiene ms de 250 direcciones disponibles para el
conjunto, y debe especificar la Direccin IP inicial 10.10.22.2 y la
Direccin IP final 10.10.22.253.
IRB para EthernetSi su router tiene una interfaz inalmbrica,
puede utilizar Enrutamiento y establecimiento de bridge integrado
para hacer que esta interfaz forme parte de un bridge a una LAN
inalmbrica y permitir que el trfico destinado para la red
inalmbrica sea enrutado por esta interfaz. Haga clic en S si desea
configurar esta interfaz de Nivel 3 para Enrutamiento o
establecimiento de bridge integrado. Si no desea que esta interfaz
sea utilizada como bridge a la interfaz inalmbrica, haga clic en
No. Todava podr configurarla como una interfaz regular del
router.
Configuracin de Ethernet Nivel 3Cisco SDM admite la configuracin
de Ethernet Nivel 3 en los routers con mdulos de switch 3750
instalados. Usted puede crear configuraciones de VLAN y designar
las interfaces de Ethernet del router como servidores DHCP.
Configuracin 802.1QPuede configurar una VLAN que no use el
protocolo de encapsulacin 802.1Q usado para conexiones de enlace.
Suministre un nmero de identificacin de la VLAN, y marque la opcin
VLAN nativa si no desea que la VLAN use el etiquetado 802.1Q. Si
usted desea usar el etiquetado 802.1Q, deje el cuadro VLAN nativa
sin marcar.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-9
Captulo 2 Configuracin de Ethernet Nivel 3
Asistente para LAN
Configuracin del enlace o enrutamientoUsted puede configurar
interfaces de Ethernet Nivel 3 para el enlace 802.1Q o para
enrutamiento bsico. Si usted configura la interfaz para el enlace
802.1Q, podr configurar VLANs en la interfaz, y podr configurar una
VLAN nativa que no use el protocolo de encapsulacin 802.1q. Si
usted configura la interfaz para enrutamiento, no podr configurar
las subinterfaces o VLANs adicionales en la interfaz.
Mdulo de configuracin del dispositivo del switchSi usted est
configurando una interfaz de Ethernet de Gigabits para
enrutamiento, podr suministrar informacin sobre el mdulo del switch
en esta ventana. No se requiere que proporcione esta informacin.
Usted podr suministrar una direccin IP y una mscara de subred para
el mdulo del switch, y las credenciales de inicio de sesin
requeridas para ingresar a la interfaz del mdulo del switch. Marque
la casilla al final de la pantalla si desea entrar al mdulo del
switch despus de suministrar informacin en este asistente y
entregar la configuracin al router.
Configurar interfaz de Ethernet de gigabitsProporcione
informacin de la direccin IP y la mscara de subred para las
interfaces Gigabit Ethernet en esta ventana. Para obtener ms
informacin sobre las direcciones IP y las mscaras de subred,
consulte Asistente para LAN: Direccin IP/mscara de subred.
Direccin IP de la interfaz fsicaSuministre la direccin IP y la
mscara de subred para la interfaz de Ethernet de Gigabits fsica en
estos campos.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-10
OL-9963-04
Captulo 2
Asistente para LAN Resumen
Direccin IP de la subinterfaz de la VLANSuministre la direccin
IP y la mscara de subred para la subinterfaz de la VLAN que desee
crear en la interfaz fsica. Estos campos aparecen si usted est
configurando esta interfaz para el enrutamiento. Estos campos no
aparecen si usted est configurando esta interfaz para el
enrutamiento y bridge integrado (IRB, Integrated Routing and
Bridging).
ResumenEn esta ventana se proporciona un resumen de los cambios
en la configuracin que ha realizado para la interfaz
seleccionada.
Para guardar esta configuracin en la configuracin en ejecucin
del router y salir de este asistente:Haga clic en Finalizar. Cisco
SDM guarda los cambios de configuracin en la configuracin en
ejecucin del router. Aunque los cambios se aplican inmediatamente,
los mismos se perdern si se apaga el router. Si ha marcado la opcin
Obtener una vista previa de los comandos antes de enviarlos al
router de la ventana Preferencias del usuario, aparecer la ventana
Enviar. Esta ventana permite ver los comandos CLI que se envan al
router.
Cmo...En esta seccin se incluyen procedimientos para las tareas
que el asistente no le ayuda a llevar a cabo.
Cmo se configura una ruta esttica?Para configurar una ruta
esttica:Paso 1 Paso 2
En la barra de categoras, haga clic en Enrutamiento. En el grupo
Enrutamiento esttico, haga clic en Agregar... Aparecer el cuadro de
dilogo Agregar ruta esttica de IP.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-11
Captulo 2 Cmo...
Asistente para LAN
Paso 3 Paso 4 Paso 5 Paso 6
En el campo Prefijo, especifique la direccin IP de la red de
destino de la ruta esttica. En el campo Mscara de prefijo,
especifique la mscara de subred de la red de destino. Si desea que
esta ruta esttica sea la ruta por defecto, marque la casilla de
verificacin Convierta esta ruta en la ruta por defecto. En el grupo
Envo, seleccione si se debe identificar una interfaz de router o la
direccin IP del router de destino como el mtodo para enviar datos
y, a continuacin, seleccione la interfaz del router de envo o
especifique la direccin IP del router de destino. De manera
opcional, en el campo Distance Metric (Distancia mtrica),
especifique la distancia mtrica que debe almacenarse en la tabla de
enrutamiento. Si desea configurar esta ruta esttica como la ruta
permanente, lo que significa que no se eliminar incluso si se
desactiva la interfaz o si el router no se puede comunicar con el
router siguiente, marque la casilla de verificacin Ruta permanente.
Haga clic en Aceptar.
Paso 7 Paso 8
Paso 9
Como se visualiza la actividad en la interfaz LAN?La actividad
de una interfaz LAN puede visualizarse mediante el modo Supervisin
en Cisco SDM. El mencionado modo puede mostrar estadsticas sobre la
interfaz LAN, incluido el nmero de paquetes y bytes que la interfaz
ha enviado o recibido y el nmero de errores en dichos procesos.
Para ver las estadsticas sobre una interfaz LAN:Paso 1 Paso 2 Paso
3
En la barra de herramientas, haga clic en Supervisar. En el
panel izquierdo, haga clic en Estado de la interfaz. En el campo
Seleccione una interfaz, elija la interfaz LAN cuyas estadsticas
desee visualizar.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-12
OL-9963-04
Captulo 2
Asistente para LAN Cmo...
Paso 4
Para seleccionar el elemento o elementos de datos que desee
visualizar, marque las casillas de verificacin correspondientes.
Puede ver un mximo de cuatro estadsticas a la vez. Para ver las
estadsticas de todos los elementos de datos seleccionados, haga
clic en Iniciar Supervisin. Aparecer la ventana Detalles de la
interfaz que muestra todas las estadsticas seleccionadas. Por
defecto, la ventana muestra los datos en tiempo real, de modo que
sondea el router cada 10 segundos. Si la interfaz est activa y se
transmiten datos sobre ella, deber observar un aumento en el nmero
de paquetes y bytes que se transfieren a travs de la misma.
Paso 5
Cmo se activa o desactiva una interfaz?Una interfaz puede
desactivarse sin quitar su configuracin. Tambin es posible
reactivar una interfaz desactivada.Paso 1 Paso 2 Paso 3 Paso 4
En la barra de categoras, haga clic en Interfaces y conexiones.
Haga clic en la ficha Editar interfaz/conexin. Seleccione la
interfaz que desee desactivar o activar. Si la interfaz est
activada, aparecer el botn Desactivar debajo de la lista de
interfaces. Haga clic en dicho botn para activar la interfaz. Si la
interfaz est desactivada, aparecer el botn Activar debajo de la
lista de interfaces. Haga clic en dicho botn para activar la
interfaz.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
2-13
Captulo 2 Cmo...
Asistente para LAN
Cmo se visualizan los comandos de IOS que se envan al router?Si
est finalizando un asistente para configurar una funcin, puede ver
los comandos de Cisco IOS que se envan al router haciendo clic en
Finalizar.Paso 1 Paso 2 Paso 3
En el men Editar de Cisco SDM, seleccione Preferencias. Marque
la casilla Obtener una vista previa de los comandos antes de
enviarlos al router. Haga clic en Aceptar.
La prxima vez que utilice un asistente para configurar el router
y haga clic en Finalizar en la ventana Resumen, aparecer la ventana
Enviar. En esta ventana puede ver los comandos que est enviando a
la configuracin del router. Cuando haya terminado de revisar los
comandos, haga clic en Enviar. Si est editando una configuracin, la
ventana Enviar aparece al hacer clic en Aceptar en la ventana del
cuadro de dilogo. Esta ventana permite ver los comandos de Cisco
IOS que se envan al router.
Cmo inicio la Aplicacin inalmbrica de Cisco SDM?Utilice el
siguiente procedimiento para iniciar la aplicacin inalmbrica de
Cisco SDM.Paso 1 Paso 2
Vaya al men Herramientas de Cisco SDM y seleccione Aplicacin
inalmbrica. La Aplicacin inalmbrica se inicia en otra ventana del
explorador. En el panel izquierdo, haga clic en el ttulo de la
pantalla de configuracin en la que desea trabajar. Para obtener
ayuda para cualquier pantalla, haga clic en el icono de ayuda en la
esquina superior derecha. Este icono es un libro abierto con un
signo de pregunta.
Gua del usuario de Cisco Router and Security Device Manager
2.4
2-14
OL-9963-04
CAPTULO
3
Autenticacin 802.1xLa autenticacin 802.1x permite que un router
remoto de Cisco IOS conecte usuarios VPN autenticados a una red
segura mediante un tnel VPN que est constantemente activado. El
router de Cisco IOS autenticar los usuarios mediante un servidor
RADIUS en la red segura. La autenticacin 802.1x se aplica a puertos
de switch o puertos Ethernet (enrutados), pero no a ambos tipos de
interfaces. Si la autenticacin 802.1x se aplica a un puerto
Ethernet, los usuarios no autenticados se pueden enrutar a Internet
afuera del tnel VPN. La autenticacin 802.1x se configura en las
interfaces utilizando el asistente para LAN. Sin embargo, antes de
que pueda activar 802.1x en alguna interfaz, debe activar AAA en el
router de Cisco IOS. Si intenta usar el asistente para LAN antes de
activar AAA, aparece una ventana que le solicita su confirmacin
para activar AAA. Si elige activar AAA, las pantallas de
configuracin de 802.1x aparecen como parte del asistente para LAN.
Si elige no activar AAA, las pantallas de configuracin de 802.1x no
aparecen.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-1
Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de
switch)
Autenticacin 802.1x
Asistente para LAN: Autenticacin 802.1x (puertos de switch)Esta
ventana le permite activar la autenticacin 802.1x en el o los
puertos de switch que seleccion para configuracin, utilizando el
asistente para LAN.
Activar autenticacin 802.1xMarque Activar autenticacin 802.1x
para activar la autenticacin 802.1x en el puerto de switch.
Modo hostElija nico o Mltiple. El modo nico permite el acceso de
slo un cliente autenticado. El modo mltiple permite el acceso de
varios clientes despus de la autenticacin de un cliente.
Nota
Los puertos en los routers Cisco 85x y Cisco 87x se pueden
definir slo en modo host mltiple. El modo nico est desactivado para
estos routers.
VLAN de invitadoMarque VLAN de invitado para activar una red
VLAN para clientes que no tienen soporte 802.1x. Si activa esta
opcin, elija una red VLAN desde la lista desplegable de VLAN.
Fallos de autenticacin de VLANMarque Fallos de autenticacin de
VLAN para activar una red VLAN para clientes que no tienen
autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde
la lista desplegable de VLAN.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-2
OL-9963-04
Captulo 3
Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x
(puertos de switch)
Reautenticacin peridicaMarque Reautenticacin peridica para
imponer la reautenticacin de los clientes 802.1x en un intervalo
regular. Elija configurar el intervalo localmente o permitir que el
servidor RADIUS defina el intervalo. Si elige configurar el
intervalo de reautenticacin localmente, especifique un valor entre
1 y 65535 segundos. El valor por defecto es 3600 segundos.
Opciones avanzadasHaga clic en Opciones avanzadas para abrir una
ventana con parmetros de autenticacin 802.1x adicionales.
Opciones avanzadasEsta ventana le permite cambiar los valores
por defecto para varios parmetros de autenticacin 802.1x.
Lmite de tiempo de servidor RADIUSEspecifique el tiempo, en
segundos, que el router Cisco IOS espera antes de alcanzar el lmite
de tiempo de su conexin al servidor RADIUS. Los valores deben estar
entre 1 y 65535 segundos. El valor por defecto es 30 segundos.
Lmite de tiempo de respuesta del supplicantEspecifique el
tiempo, en segundos, que el router Cisco IOS espera una respuesta
de un cliente 802.1x antes de alcanzar el lmite de tiempo de su
conexin a ese cliente. Los valores deben estar entre 1 y 65535
segundos. El valor por defecto es 30 segundos.
Lmite de tiempo de reintentos del supplicantEspecifique el
tiempo, en segundos, que el router Cisco IOS reintenta un cliente
802.1x antes de alcanzar el lmite de tiempo de su conexin a ese
cliente. Los valores deben estar entre 1 y 65535 segundos. El valor
por defecto es 30 segundos.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-3
Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de
switch)
Autenticacin 802.1x
Perodo tranquiloEspecifique el tiempo, en segundos, que el
router Cisco IOS espera entre la conexin inicial a un cliente y el
envo de una solicitud de inicio de sesin. Los valores deben estar
entre 1 y 65535 segundos. El valor por defecto es 60 segundos.
Perodo lmite de velocidadLos valores deben estar entre 1 y 65535
segundos. Sin embargo, el valor por defecto es 0 segundos, lo que
desactiva el Perodo lmite de velocidad.
Mximo de intentos de reautenticacinEspecifique el nmero mximo de
veces que el router Cisco IOS intenta reautenticar un cliente
802.1x. Los valores deben estar entre 1 y 10. El valor por defecto
es 2.
Mximo de reintentosEspecifique el nmero mximo de solicitudes de
inicio de sesin que se pueden enviar al cliente. Los valores deben
estar entre 1 y 10. El valor por defecto es 2.
Restablecer valores por defectoHaga clic en Restablecer valores
por defecto para restablecer todas las opciones avanzadas a sus
valores por defecto.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-4
OL-9963-04
Captulo 3
Autenticacin 802.1x Asistente para LAN: Servidores RADIUS para
autenticacin 802.1x
Asistente para LAN: Servidores RADIUS para autenticacin 802.1xLa
informacin de autenticacin 802.1x se configura y guarda en una base
de datos de polticas que reside en servidores RADIUS que ejecutan
Cisco Secure ACS, versin 3.3. El router debe validar las
credenciales de los clientes 802.1x comunicndose con un servidor
RADIUS. Utilice esta ventana para proporcionar la informacin que el
router necesita para contactarse con uno o ms servidores RADIUS.
Cada servidor RADIUS que usted especifique deber tener el software
de ACS Seguro de Cisco versin 3.3, instalado y configurado.
Nota
Todas las interfaces del router Cisco IOS activadas con
autorizacin 802.1x utilizarn los servidores RADIUS configurados en
esta ventana. Cuando configure una nueva interfaz, ver nuevamente
esta pantalla. Sin embargo, no se deben realizar adiciones o
cambios a la informacin del servidor RADIUS.
Seleccionar el origen de cliente RADIUSConfigurar el origen
RADIUS le permite especificar la direccin IP del origen que se
enviar en paquetes RADIUS con destino al servidor RADIUS. Si
necesita ms informacin sobre una interfaz, escoja la interfaz y
haga clic en el botn Detalles. La direccin IP del origen en los
paquetes RADIUS enviados desde el router debe configurarse como la
direccin IP del NAD en la versin 3.3 o superior de Cisco ACS. Si
selecciona El router elige el origen, la direccin IP del origen en
los paquetes RADIUS ser la direccin de la interfaz a travs de la
cual los paquetes RADIUS saldrn del router. Si elige una interfaz,
la direccin IP del origen en los paquetes RADIUS ser la direccin de
la interfaz que usted escoja como el origen de cliente RADIUS.
Nota
El software Cisco IOS permite que una interfaz de origen RADIUS
nica se configure en el router. Si el router ya tiene configurado
un origen RADIUS y usted elige un origen diferente, la direccin IP
del origen colocada en los paquetes enviados al servidor RADIUS
cambia a la direccin IP del nuevo origen, y es probable que no
coincida con la direccin IP del NAD configurada en Cisco ACS.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-5
Captulo 3 Asistente para LAN: Servidores RADIUS para
autenticacin 802.1x
Autenticacin 802.1x
DetallesSi necesita una visin rpida de la informacin sobre una
interfaz antes de seleccionarla, haga clic en Detalles. La pantalla
le mostrar la direccin IP y la mscara de subred, las reglas de
acceso y las reglas de inspeccin aplicadas a la interfaz, la
poltica de IPSec y la poltica de QoS aplicadas, y si hay una
configuracin de Easy VPN en la interfaz.
Columnas de Servidor IP, Lmite de tiempo y ParmetrosColumnas de
Servidor IP, Lmite de tiempo y parmetros contienen la informacin
que el router usa para comunicarse con un servidor RADIUS. Si no
hay informacin del servidor RADIUS relacionada con la interfaz
elegida, estas columnas quedarn en blanco.
Casilla de verificacin Usar para 802.1xMarque esta casilla si
desea utilizar el servidor RADIUS que aparece en la lista para
802.1x. El servidor debe tener configurada la informacin de
autorizacin de 802.1x requerida si 802.1x se utiliza
correctamente.
Agregar, editar y enviar un pingPara suministrar informacin a un
servidor RADIUS, haga clic en el botn Agregar e introduzca la
informacin en la pantalla mostrada. Elija una fila y haga clic en
Editar para modificar la informacin para un servidor RADIUS. Escoja
una fila y haga clic en Ping para probar la conexin entre el router
y el servidor RADIUS.
Nota
Cuando se est efectuando una prueba de ping, introduzca la
direccin IP de la interfaz del origen RADIUS en el campo de origen
en el dilogo de ping. Si usted elige El router elige el origen, no
necesitar proporcionar ningn valor en el campo de origen del dilogo
de ping. Los botones Editar y Ping se desactivan cuando no hay
ninguna informacin del servidor RADIUS disponible para la interfaz
elegida.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-6
OL-9963-04
Captulo 3
Autenticacin 802.1x Editar autenticacin 802.1x (puertos de
switch)
Editar autenticacin 802.1x (puertos de switch)Esta ventana le
permite activar y configurar parmetros de autenticacin 802.1x. Si
el mensaje 802.1x no se puede configurar para un puerto que
funciona en modo de enlace. aparece en lugar de los parmetros de
autenticacin 802.1x, el switch no puede tener activada la
autenticacin 802.1x. Si los parmetros de autenticacin 802.1x
aparecen pero estn desactivados, entonces una de las siguientes
afirmaciones es verdadera:
AAA no se ha activado. Para activar AAA, vaya a Configurar >
Tareas adicionales > AAA. AAA se activ, pero no se ha
configurado una poltica de autenticacin 802.1x. Para configurar una
poltica de autenticacin 802.1x, vaya a Configurar > Tareas
adicionales > AAA > Polticas de autenticacin > 802.1x.
Activar autenticacin 802.1xMarque Activar autenticacin 802.1x
para activar la autenticacin 802.1x en este puerto de switch.
Modo hostElija nico o Mltiple. El modo nico permite el acceso de
slo un cliente autenticado. El modo mltiple permite el acceso de
varios clientes despus de la autenticacin de un cliente.
Nota
Los puertos en los routers Cisco 87x se pueden definir slo en
modo host mltiple. El modo nico est desactivado para estos
routers.
VLAN de invitadoMarque VLAN de invitado para activar una red
VLAN para clientes que no tienen soporte 802.1x. Si activa esta
opcin, elija una red VLAN desde la lista desplegable de VLAN.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-7
Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o
Ethernet)
Autenticacin 802.1x
Fallos de autenticacin de VLANMarque Fallos de autenticacin de
VLAN para activar una red VLAN para clientes que no tienen
autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde
la lista desplegable de VLAN.
Reautenticacin peridicaMarque Reautenticacin peridica para
imponer la reautenticacin de los clientes 802.1x en un intervalo
regular. Elija configurar el intervalo localmente o permitir que el
servidor RADIUS defina el intervalo. Si elige configurar el
intervalo de reautenticacin localmente, especifique un valor entre
1 y 65535 segundos. El valor por defecto es 3600 segundos.
Opciones avanzadasHaga clic en Opciones avanzadas para abrir una
ventana con parmetros de autenticacin 802.1x adicionales.
Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)Esta
ventana le permite activar la autenticacin 802.1x en el puerto
Ethernet que seleccion para configuracin, utilizando el asistente
para LAN. Para routers Cisco 87x, esta ventana est disponible para
configurar una VLAN con autenticacin 802.1x.
Nota
Antes de configurar 802.1x en la VLAN, asegrese de que 802.1x no
est configurado en ningn puerto de switch de VLAN. Asegrese tambin
de que la VLAN est configurada para DHCP.
Utilizar autenticacin 802.1x para separar trfico fiable y no
fiable en la interfazMarque Utilizar autenticacin 802.1x para
separar el trfico fiable y no fiable en la interfaz para activar
autenticacin 802.1x.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-8
OL-9963-04
Captulo 3
Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x
(VLAN o Ethernet)
Conjunto de direcciones IP de DHCP para clientes 802.1x que no
son fiablesPara activar una conexin a Internet para clientes que no
tienen autenticacin 802.1x, a cada cliente no fiable se le debe
asignar una direccin IP nica. Estas direcciones IP pueden venir de
un conjunto de direcciones IP nuevo o existente, pero los conjuntos
usados no se pueden superponer con las direcciones IP de alguna de
las interfaces existentes del router Cisco IOS.
Nota
El conjunto de direcciones IP se puede superponer con la
direccin IP utilizada para una interfaz de retrobucle. Sin embargo,
se le solicitar que confirme dicha superposicin antes de que se
permita. Elija Crear un conjunto nuevo para configurar un nuevo
conjunto de direcciones IP para emitir direcciones IP a clientes
que no son fiables. Los campos siguientes pueden estar completos
con informacin ingresada anteriormente, pero usted puede cambiarlos
o llenarlos:Red
Especifique la direccin de red IP desde la cual se deriva el
conjunto de direcciones IP. Especifique la mscara de subred para
definir la red y las partes de host de la direccin IP especificada
en el campo Red. El servidor DNS es un servidor que asigna un
nombre de dispositivo conocido a su direccin IP. Si se configura un
servidor DNS para su red, especifique la direccin IP para ese
servidor. Si hay un servidor DNS adicional en la red, especifique
la direccin IP para ese servidor.
Mscara de subred
Servidor DNS 1
Servidor DNS 2
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-9
Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o
Ethernet)
Autenticacin 802.1x
Servidor WINS 1
Algunos clientes pueden necesitar Windows Internet Naming
Service (WINS) para conectarse a dispositivos de Internet. Si hay
un servidor WINS en la red, especifique la direccin IP para ese
servidor. Si hay un servidor WINS adicional en la red, especifique
la direccin IP para ese servidor.
Servidor WINS 2
Si hay un conjunto de direcciones IP existente que desea usar
para emitir direcciones IP a clientes que no son fiables, elija
Seleccionar un conjunto existente. Elija el conjunto existente
desde el men desplegable. Para ver ms informacin acerca de un
conjunto existente, haga clic en Detalles.
Listas de excepcionesHaga clic en Listas de excepciones para
crear o editar una lista de excepciones. Una lista de excepciones
exime de autenticacin 802.1x a determinados clientes mientras les
permite usar el tnel VPN.
Eximir a los telfonos Cisco IP de autenticacin 802.1xMarque
Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a
los telfonos Cisco IP de autenticacin 802.1x mientras les permite
usar el tnel VPN.
Listas de excepciones de 802.1xUna lista de excepciones exime de
autenticacin 802.1x a determinados clientes mientras les permite
usar el tnel VPN. Los clientes eximidos se identifican por sus
direcciones MAC.
AgregarHaga clic en Agregar para abrir una ventana donde pueda
agregar la direccin MAC de un cliente. La direccin MAC debe estar
en el formato que coincida con uno de estos ejemplos:
0030.6eb1.37e4
00-30-6e-b1-37-e4
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-10
OL-9963-04
Captulo 3
Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa
3
Cisco SDM rechaza direcciones MAC que tienen formato incorrecto,
excepto direcciones MAC ms cortas que los ejemplos dados. Las
direcciones MAC ms cortas se rellenarn con un 0 (cero) por cada
dgito que falte.
Nota
La funcin 802.1x de Cisco SDM no admite la opcin CLI que asocia
polticas con direcciones MAC, y no se incluir en las direcciones
MAC de la lista de excepciones que tienen una poltica asociada con
ellas.
EliminarHaga clic en Eliminar para eliminar un cliente
seleccionado de la lista de excepciones.
Autenticacin 802.1x en interfaces de capa 3Esta ventana le
permite configurar autenticacin 802.1x. en una Interfaz de capa 3.
Enumera puertos Ethernet e interfaces VLAN que se han configurado o
que se pueden configurar con autenticacin 802.1x, le permite
seleccionar una interfaz de plantilla virtual para clientes no
fiables y crea una lista de excepciones para que los clientes
omitan la autenticacin 802.1x.
Nota
Si las polticas se han definido utilizando la CLI, aparecern
como informacin de slo lectura en esta ventana. En este caso, slo
se permite activar o desactivar 802.1x en esta ventana.
Tareas previasSi aparece una tarea previa en la ventana, sta
debe finalizarse antes de que la autenticacin 802.1x se pueda
configurar. Se muestra un mensaje que explica la tarea previa,
junto con un enlace a la ventana donde se puede finalizar la
tarea.
Activar globalmente la autenticacin 802.1xMarque Activar
globalmente la autenticacin 802.1x para activar la autenticacin
802.1x en todos los puertos Ethernet.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-11
Captulo 3 Autenticacin 802.1x en interfaces de capa 3
Autenticacin 802.1x
Tabla de interfacesLa tabla de interfaces tiene las siguientes
columnas: Interfaz: muestra el nombre de la interfaz Ethernet o
VLAN. Autenticacin 802.1x: indica si la autenticacin 802.1x est
activada para el puerto Ethernet.
EditarHaga clic en Editar para abrir una ventana con parmetros
de autenticacin 802.1x editables. Los parmetros son los ajustes de
autenticacin 802.1x para la interfaz elegida en la tabla de
interfaces.
Poltica de usuarios no fiablesElija una interfaz de plantilla
virtual desde la lista desplegable. La interfaz de plantilla
virtual elegida representa la poltica que se aplica a clientes que
no tienen autenticacin 802.1x. Para ver ms informacin acerca de la
interfaz de plantilla virtual elegida, haga clic en el botn
Detalles.
Lista de excepcionesPara obtener ms informacin acerca de la
lista de excepciones, consulte Listas de excepciones de 802.1x.
Eximir a los telfonos Cisco IP de autenticacin 802.1xMarque
Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a
los telfonos Cisco IP de autenticacin 802.1x mientras les permite
usar el tnel VPN.
Aplicar cambiosHaga clic en Aplicar cambios para que los cambios
realizados se apliquen.
Descartar cambiosHaga clic en Descartar cambios para borrar los
cambios realizados que no se aplicaron.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-12
OL-9963-04
Captulo 3
Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa
3
Editar la autenticacin 802.1xEsta ventana le permite activar y
cambiar los valores por defecto para varios parmetros de
autenticacin 802.1x.
Activar la autenticacin 802.1xMarque Activar la autenticacin
802.1x para activar la autenticacin 802.1x en el puerto
Ethernet.
Reautenticacin peridicaMarque Reautenticacin peridica para
imponer la reautenticacin de los clientes de 802.1x en un intervalo
regular. Elija configurar el intervalo localmente o permitir que el
servidor RADIUS defina el intervalo. Si elige configurar el
intervalo de reautenticacin localmente, especifique un valor entre
1 y 65535 segundos. El valor por defecto es 3600 segundos.
Opciones avanzadasHaga clic en Opciones avanzadas para ver
descripciones de los campos en el cuadro Opciones avanzadas.
Gua del usuario de Cisco Router and Security Device Manager 2.4
OL-9963-04
3-13
Captulo 3 Cmo...
Autenticacin 802.1x
Cmo...Esta seccin contiene procedimientos para tareas que el
asistente no le ayuda a finalizar.
Cmo configuro autenticacin 802.1x en ms de un puerto
Ethernet?Una vez que configure la autenticacin 802.1x en una
interfaz, el asistente para LAN ya no mostrar ninguna opcin 802.1x
para puertos Ethernet, porque Cisco SDM utiliza la configuracin
802.1x de manera global.
Nota
Para configurar switches, el asistente para LAN continuar
mostrando las opciones 802.1x. Si desea editar la configuracin de
autenticacin 802.lx en un puerto Ethernet, vaya a Configurar >
Tareas adicionales > 802.1x.
Gua del usuario de Cisco Router and Security Device Manager
2.4
3-14
OL-9963-04
CAPTULO
4
Asistentes para crear conexionesLos asistentes para crear
conexiones permiten configurar conexiones LAN y WAN para todas las
interfaces compatibles con Cisco SDM.
Crear conexinEsta ventana permite crear nuevas conexiones LAN y
WAN.Nota
Cisco SDM no puede utilizarse para crear conexiones WAN para los
routers Cisco de la serie 7000.
Crear nueva conexinEscoja un tipo de conexin para configurar en
las interfaces fsicas disponibles en su router. Slo estn
disponibles las interfaces que no han sido configuradas. Cuando
usted hace clic en el botn de opcin para un tipo de conexin, un
diagrama del escenario del caso aparecer para ilustrar ese tipo de
conexin. Si todas las interfaces han sido configuradas, no se
mostrar esta rea de la ventana. Si el router tiene interfaces