-
Sede central para AmricaCisco Systems, Inc.170 West Tasman
DriveSan Jose, CA 95134-1706EE.UU.http://www.cisco.comTel: 408
526-4000
800 553-NETS (6387)Fax: 408 527-0883
Gua del usuario de Cisco Router and Security Device
Manager2.4.1
Nmero de pedido del cliente: Nmero de parte de texto:
OL-9963-04
http://www.cisco.com
-
LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE
ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN PREVIO AVISO. TODAS LAS
DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE
MANUAL SE CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN
SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA. LA APLICACIN DE
CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS.
LA LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE
LA ACOMPAA SE ESTABLECEN EN EL PAQUETE DE INFORMACIN SUMINISTRADO
CON EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA
REFERENCIA. SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA
LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE DE CISCO PARA
OBTENER UNA COPIA.
La implantacin de Cisco de la compresin de encabezados TCP es
una adaptacin de un programa desarrollado por la Universidad de
California, Berkeley (UCB) como parte de la versin de dominio
publico de la UCB del sistema operativo UNIX. Todos los derechos
reservados. Copyright 1981, Regents of the University of
California.
A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE
DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y SOFTWARE DE ESTOS
PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y
LOS PROVEEDORES MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA,
EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES, LAS DE
COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO
INFRACCIN O LAS QUE PUEDAN SURGIR DEL TRATO, USO O PRCTICA
COMERCIAL.
EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN RESPONSABLES DE
NINGN DAO INDIRECTO, ESPECIAL, CONSECUENTE O FORTUITO, INCLUYENDO,
SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS PERDIDOS O DAADOS, QUE
PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO DE ESTE MANUAL, INCLUSO
EN CASO DE QUE CISCO O SUS PROVEEDORES HAYAN SIDO ADVERTIDOS DE LA
POSIBILIDAD DE TALES DAOS.
Ninguna direccin de Protocolo de Internet (IP) utilizada en este
documento es real. Todo ejemplo, resultado de visualizacin de
comandos y figura incluido en el documento se muestran slo con
fines ilustrativos. El uso de cualquier direccin IP en contenido
ilustrativo es mera coincidencia.
Gua del usuario de Cisco Router and Security Device Manager 2.4
2007 Cisco Systems, Inc. Todos los derechos reservados.
-
GOL-9963-04
C O N T E N I D O
Pgina de inicio 1
Asistente para LAN 1
Configuracin de Ethernet 3
Asistente para LAN: Seleccionar una interfaz 3
Asistente para LAN: Direccin IP/mscara de subred 3
Asistente para LAN: Activar Servidor DHCP 4
Asistente para LAN: Conjuntos de direcciones DHCP 4
Opciones de DHCP 5
Asistente para LAN: Modo VLAN 6
Asistente para LAN: Puerto del switch 6
Puente IRB 7
Configuracin BVI 8
Conjunto DHCP para BVI 8
IRB para Ethernet 9
Configuracin de Ethernet Nivel 3 9Configuracin 802.1Q
9Configuracin del enlace o enrutamiento 10Mdulo de configuracin del
dispositivo del switch 10Configurar interfaz de Ethernet de
gigabits 10
Resumen 11
iiiua del usuario de Cisco Router and Security Device Manager
2.4
-
Contenido
Cmo... 11Cmo se configura una ruta esttica? 11Como se visualiza
la actividad en la interfaz LAN? 12Cmo se activa o desactiva una
interfaz? 13Cmo se visualizan los comandos de IOS que se envan al
router? 14Cmo inicio la Aplicacin inalmbrica de Cisco SDM? 14
Autenticacin 802.1x 1
Asistente para LAN: Autenticacin 802.1x (puertos de switch)
2Opciones avanzadas 3
Asistente para LAN: Servidores RADIUS para autenticacin 802.1x
5
Editar autenticacin 802.1x (puertos de switch) 7
Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)
8Listas de excepciones de 802.1x 10
Autenticacin 802.1x en interfaces de capa 3 11Editar la
autenticacin 802.1x 13
Cmo... 14Cmo configuro autenticacin 802.1x en ms de un puerto
Ethernet? 14
Asistentes para crear conexiones 1
Crear conexin 1
Ventana de bienvenida de la interfaz del asistente para WAN
3
Ventana de bienvenida de la interfaz del asistente para ISDN
(RDSI) 3
Ventana de bienvenida del mdem analgico 3
Ventana de bienvenida de la conexin de reserva auxiliar 3
Seleccionar la interfaz 4
Encapsulacin: PPPoE 4
Direccin IP: ATM o Ethernet con PPPoE/PPPoA 5
Direccin IP: ATM con enrutamiento RFC 1483 6
ivGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Direccin IP: Ethernet sin PPPoE 7
Direccin IP: serie con Protocolo punto a punto 7
Direccin IP: serie con HDLC o Frame Relay 8
Direccin IP: ISDN (RDSI) BRI o mdem analgico 9
Autenticacin 10
Tipo de switch y SPID 11
Cadena de marcacin 12
Configuracin de la conexin de reserva 13Configuracin de la
conexin de reserva: Direcciones IP de la interfaz principal y del
prximo salto (next hop) 13Configuracin de la conexin de reserva:
Nombre de host o direccin IP objeto del seguimiento 14
Opciones avanzadas 14
Encapsulacin 15
PVC 17
Configuracin de LMI y DLCI 19
Configuracin del reloj 20
Eliminar conexin 22
Resumen 24
Pruebas y resolucin de problemas de la conectividad 25
Cmo... 29Cmo se visualizan los comandos de IOS que se envan al
router? 29Cmo se configura una interfaz WAN no admitida? 29Cmo se
activa o desactiva una interfaz? 30Como se visualiza la actividad
en la interfaz WAN? 30Cmo se configura NAT en una interfaz WAN?
31Cmo se configura NAT en una interfaz no admitida? 32Cmo se
configura un protocolo de enrutamiento dinmico? 32
vGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Cmo se configura el enrutamiento de marcacin a peticin para la
interfaz asncrona o ISDN? 33Cmo se edita una Configuracin de
interfaz de radio? 34
Editar interfaz/conexin 1
Conexin: Ethernet para IRB 6
Conexin: Ethernet para enrutamiento 7Mtodos existentes de DNS
dinmico 8Agregar Mtodo de DNS dinmico 9
Inalmbrica 10
Asociacin 10
NAT 13
Editar puerto del switch 13
Servicio de aplicacin 15
General 16
Seleccionar el tipo de configuracin Ethernet 18
Conexin: VLAN 19
Lista de subinterfaces 20
Agregar/Editar una interfaz BVI 20
Agregar o editar una interfaz de retrobucle 21
Conexin: Interfaz de plantilla virtual 21
Conexin: LAN Ethernet 22
Conexin: WAN Ethernet 23
Ethernet Properties (Propiedades de Ethernet) 25
Conexin: Ethernet sin encapsulacin 27
Conexin: ADSL 28
Conexin: ADSL sobre ISDN (RDSI) 31
Conexin: G.SHDSL 34
viGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Configurar controlador DSL 38
Agregar una conexin G.SHDSL 40
Conexin: Interfaz de serie, encapsulacin Frame Relay 43
Conexin: Interfaz de serie, encapsulacin PPP 46
Conexin: Interfaz de serie, encapsulacin HDLC 48
Agregar o editar un tnel GRE 49
Conexin: ISDN (RDSI) BRI 51
Conexin: Mdem analgico 54
Conexin: (Reserva AUX.) 56
Autenticacin 59
Informacin de SPID 60
Opciones de marcacin 61
Configuracin de la copia de seguridad 63
Crear un firewall 1
Asistente de configuracin para firewall bsico 4Configuracin de
la interfaz de firewall bsico 4Configuracin del firewall para
acceso remoto 5
Asistente de configuracin para firewall avanzado 5Configuracin
de la interfaz de firewall avanzado 5Configuracin del servicio DMZ
de firewall avanzado 6
Configuracin de servicio DMZ 7Configuracin de seguridad de la
aplicacin 8Configuracin del servidor del nombre del dominio
9Configuracin del servidor de filtro URL 9Seleccionar la zona de
interfaz 10Zonas internas de ZPF 10Resumen 10
Alerta de SDM: Acceso a SDM 12
viiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Cmo... 14Como se visualiza la actividad en el firewall? 14Cmo se
configura un firewall en una interfaz no compatible? 16Cmo se
configura un firewall despus de configurar una VPN? 17Cmo se puede
permitir que pase determinado trfico por una interfaz DMZ? 17Cmo se
modifica un firewall existente para permitir el trfico procedente
de una nueva red o host? 18Cmo se configura NAT en una interfaz no
admitida? 19Cmo se configura el paso de NAT (NAT Passthrough) para
un firewall? 19Cmo se permite que el trfico llegue al concentrador
Easy VPN a travs del firewall? 20Cmo se asocia una regla a una
interfaz? 21Cmo se anula la asociacin de una regla de acceso con
una interfaz? 22Cmo se elimina una regla que est asociada a una
interfaz? 23Cmo se crea una regla de acceso para una lista Java?
23Cmo se permite que trfico determinado entre en la red si no se
dispone de una red DMZ? 24
Poltica de firewall 1
Editar poltica de firewall/Lista de control de acceso
1Seleccionar un flujo de trfico 3Examinar el diagrama de trfico y
seleccionar una direccin de trfico 5Realizar cambios a las reglas
de acceso 7Realizar cambios a las reglas de inspeccin 11Agregar
entrada de aplicacin nombre_aplicacin 13Agregar entrada de
aplicacin RPC 14Agregar entrada de aplicacin de fragmento 15Agregar
o editar entrada de aplicacin HTTP 16Bloqueo del subprograma Java
17Advertencia de Cisco SDM: Regla de inspeccin 18Advertencia de
Cisco SDM: Firewall 18
viiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Editar poltica de firewall 19Agregar una nueva regla 22
Agregar trfico 23Inspeccin de aplicacin 25Filtro URL 25Calidad
de servicio (QoS) 25Parmetro de inspeccin 25Seleccionar trfico
26Eliminar regla 26
Seguridad de la Aplicacin 1
Ventanas de Seguridad de la Aplicacin 2
Ninguna Poltica de Seguridad de la Aplicacin 3
Correo electrnico 4
Mensajera Instantnea 6
Aplicaciones Par-a-Par 7
Filtrado de URL 7
HTTP 8Opciones del encabezado 10Opciones del contenido 11
Aplicaciones y Protocolos 13Tiempos de inactividad y umbrales
para mapas de parmetros de inspeccin y CBAC 15Asociar Poltica con
una Interfaz 18Editar la Regla de Inspeccin 18Controles Permitir,
Bloquear y Alerta 20
ixGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
VPN sitio a sitio 1
Gua de diseo de VPN 1
Crear VPN sitio a sitio 1Asistente para VPN sitio a sitio 4Ver
valores por defecto 6Informacin acerca de la conexin VPN
6Propuestas IKE 8Conjunto de transformacin 11Trfico para proteger
13Resumen de la configuracin 15
Configuracin de spoke 15Tnel GRE seguro (GRE sobre IPSec)
16Informacin acerca del tnel GRE 17Informacin de autenticacin VPN
18Informacin acerca del tnel GRE de reserva 19Informacin de
enrutamiento 20Informacin sobre el enrutamiento esttico 22
Seleccionar el protocolo de enrutamiento 24Resumen de la
configuracin 24
Editar VPN sitio a sitio 25Agregar nueva conexin 28Agregar mapa
criptogrfico 28Asistente para mapas criptogrficos: Bienvenido
29Asistente para mapas criptogrficos: Resumen de la configuracin
30Eliminar conexin 30Ping 31Generar el reflejo... 31Advertencia de
Cisco SDM: Reglas NAT con ACL 32
xGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Cmo... 33Cmo se crea una VPN para ms de un sitio? 33Despus de
configurar una VPN, cmo se configura la VPN en el router del par?
35Cmo se edita un tnel VPN existente? 37Cmo se puede confirmar que
mi VPN funciona? 37Cmo se configura un par de reserva para mi VPN?
38Cmo se acomodan varios dispositivos con diferentes niveles de
admisin de VPN? 39Cmo se configura una VPN en una interfaz no
compatible? 40Cmo se configura una VPN despus de configurar un
firewall? 40Cmo se configura el paso de NAT (NAT Passthrough) para
una VPN? 40
Easy VPN remoto 1
Creacin de Easy VPN remoto 1Configurar un cliente de Easy VPN
remoto 1Informacin del servidor 2Autenticacin 3Interfaces y
configuracin de conexiones 5Resumen de la configuracin 6
Editar Easy VPN remoto 7Agregar o Editar Easy VPN remoto
13Agregar o Editar Easy VPN remoto: Configuracin de Easy VPN
16Agregar o Editar Easy VPN remoto: Informacin de autenticacin
18Especificar credenciales para SSH 21Ventana Conexin a XAuth
21Agregar o Editar Easy VPN remoto: Configuracin general 21
Opciones de la Extensin de la Red 23Agregar o Editar Easy VPN
remoto: Informacin de autenticacin 24Agregar o Editar Easy VPN
remoto: Interfaces y conexiones 26
xiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Cmo... 28Cmo se edita una conexin Easy VPN existente? 28Cmo
configuro una conexin de respaldo para una conexin de la Easy VPN?
28
Servidor Easy VPN 1
Crear un servidor Easy VPN 1Bienvenido al asistente para
servidores Easy VPN 2Interfaz y Autenticacin 2Bsqueda de Poltica de
grupos y Autorizacin de grupos 3Autenticacin de usuario (XAuth)
4
Cuentas de usuario para XAuth 5Agregar servidor RADIUS 6
Autorizacin de grupo: Polticas de grupos de usuarios 6Informacin
General del Grupo 7Configuracin de DNS y WINS 9Divisin de la
arquitectura de tneles 10Configuraciones del Cliente 12
Elija las Configuraciones del Proxy del Explorador 15Agregar o
Editar Configuraciones del Proxy del Explorador 16
Autenticacin de usuario (XAuth) 17Actualizacin del Cliente
18
Agregar o Editar Entrada de Actualizacin del Cliente 19Resumen
21
Configuraciones del Proxy del Explorador 21
Agregar o Editar el Servidor de la Easy VPN 23Agregar o editar
conexin de servidor Easy VPN 24Restringir Acceso 25
Configuracin de polticas de grupo 26
xiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Conjuntos IP 29Agregar o editar conjunto local IP 30
Agregar intervalo de direcciones IP 30
Enhanced Easy VPN 1Interfaz y Autenticacin 1
Servidores RADIUS 2Polticas de Grupo de usuarios y Autorizacin
de grupos 4Agregar o Editar servidor Easy VPN: Ficha General
5Agregar o Editar servidor Easy VPN: Ficha IKE 5Agregar o Editar
servidor Easy VPN: Ficha IPSec 7Crear interfaz de tnel virtual
8
DMVPN 1
Red privada virtual multipunto dinmica (DMVPN) 1Asistente para
hubs de red privada virtual multipunto dinmica 2
Tipo de hub 3Configurar la clave previamente compartida
3Configuracin de la interfaz de tnel GRE de hub 4Configuracin
avanzada para la interfaz de tnel 5Hub principal 7Seleccionar el
protocolo de enrutamiento 7Informacin de enrutamiento 8
Asistente para spokes de privada virtual multipunto dinmica
10Topologa de red DMVPN 10Especificar la informacin del hub
11Configuracin de la interfaz de tnel GRE de spoke 11Advertencia de
Cisco SDM: DMVPN Dependency (Dependencia DMVPN) 13
xiiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Editar VPN multipunto dinmica (DMVPN) 13Panel General 15Panel
NHRP 17
Configuracin del mapa NHRP 18Panel Enrutamiento 19
Cmo se configura una red DMVPN manualmente? 21
Configuracin VPN global 1
Configuracin VPN global 1Configuracin VPN global: IKE
3Configuracin VPN global: IPSec 4Configuracin del cifrado de la
clave VPN 5
Seguridad IP 1
Polticas IPSec 1Agregar una poltica IPSec/Editar la poltica
IPSec 4Agregar o editar el mapa criptogrfico: General 5Agregar o
editar el mapa criptogrfico: Informacin del par 7Agregar o editar
el mapa criptogrfico: Conjuntos de transformacin 7Agregar o editar
el mapa criptogrfico: Trfico de proteccin 10
Conjuntos de mapas criptogrficos dinmicos 12Agregar un conjunto
de mapas criptogrficos dinmicos/Editar el conjunto de mapas
criptogrficos dinmicos 12Asociar mapas criptogrficos a esta poltica
IPSec 13
Perfiles IPsec 13Agregar o editar un perfil IPSec 14
Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa
criptogrfico dinmico 16
Conjunto de transformacin 17Agregar/Editar conjunto de
transformacin 20
Reglas IPSec 23
xivGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Intercambio de claves por Internet 1
Intercambio de claves por Internet (IKE) 1Polticas IKE 2
Agregar o editar una poltica IKE 4Claves previamente compartidas
de IKE 6
Agregar una nueva clave previamente compartida/Editar la clave
previamente compartida 8
Perfiles IKE 9Agregar o editar un perfil IKE 10
Infraestructura de clave pblica 1
Asistentes para certificados 1Bienvenido al Asistente para SCEP
3Informacin acerca de la Autoridad certificadora (CA) 3
Opciones avanzadas 4Atributos del nombre de asunto del
certificado 5
Otros atributos de asunto 6
Claves RSA 7
Resumen 8
Certificado de servidor de la CA 9
Estado de suscripcin 9
Bienvenido al Asistente para cortar y pegar 10
Tarea de suscripcin 10
Solicitud de suscripcin 11
Continuar con la suscripcin sin terminar 11
Importar el certificado de la CA 12
Importar el o los certificados de router 12
xvGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Certificados digitales 13Informacin acerca del punto de
confianza 15Detalles del certificado 16Comprobar revocacin
16Comprobar revocacin de CRL nicamente 17
Ventana Claves RSA 17Generar par de claves RSA 18
Credenciales del token USB 20
Tokens USB 20Agregar o Editar un token USB 21
Abrir Firewall 23Abrir detalles del firewall 24
Servidor de la autoridad certificadora 1
Crear servidor de la CA 1Tareas previas para configuraciones de
PKI 2Asistente para el servidor de la CA: Bienvenido 3Asistente
para el servidor de la CA: Informacin acerca de la Autoridad
certificadora 4
Opciones avanzadas 5Asistente para el servidor de la CA: Claves
RSA 7Abrir Firewall 8Asistente para el servidor de la CA: Resumen
9
Administrar servidor de la CA 10Servidor de la CA de reserva
12
Administrar servidor de la CA: Restaurar ventana 12Restaurar
servidor de la CA 12
Editar configuracin del servidor de la CA: Ficha General
13Editar configuracin del servidor de la CA: Ficha Avanzado 13
Administrar servidor de la CA: Servidor de la CA no configurado
14
xviGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Administrar certificados 14Solicitudes pendientes 14Certificados
revocados 16Revocar certificado 17
VPN con SSL de Cisco IOS 1
Enlaces de VPN con SSL de Cisco IOS en Cisco.com 2
Crear SSL VPN 3Certificado con firma automtica permanente
5Bienvenido 6Gateways SSL VPN 6Autenticacin del Usuario 7Configurar
sitios Web de la intranet 9
Agregar o editar URL 9Personalizar el portal SSL VPN
10Configuracin de paso por SSL VPN 10Poltica de usuarios 11
Detalles de la poltica de grupo de SSL VPN: Policyname
11Seleccionar el grupo de usuarios de SSL VPN 12Seleccionar
funciones avanzadas 12Cliente ligero (mapeo de puertos) 13
Agregar o editar un servidor 13Ms detalles acerca de los
servidores de mapeo de puertos 14
Tnel completo 15Buscar el paquete de instalacin de Cisco SDM
17
Activar Cisco Secure Desktop 19Sistema de archivos de Internet
comn 20Activar Citrix sin cliente 21Resumen 21
Editar SSL VPN 21
xviiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Contexto de SSL VPN 23Designar interfaces como internas o
externas 25Seleccionar un gateway 25Contexto: Polticas de grupo
25
Ms detalles acerca de las polticas de grupo 26Poltica de grupo:
Ficha General 27Poltica de grupo: Ficha Sin clientes 27Poltica de
grupo: Ficha Cliente ligero 28Poltica de grupo: Ficha Cliente VPN
con SSL (tnel completo) 29
Opciones avanzadas de tnel 30Ms detalles acerca de la divisin de
la arquitectura de tneles 33Servidores DNS y WINS 34
Contexto: Configuracin HTML 34Seleccionar color 35
Contexto: Listas de servidores de nombres NetBIOS 36Agregar o
editar una lista de servidores de nombres NetBIOS 36Agregar o
editar un servidor NBNS 36
Contexto: Listas de mapeo de puertos 37Agregar o editar una
lista de mapeo de puertos 37
Contexto: Listas de direcciones URL 37Agregar o editar una lista
de direcciones URL 38
Contexto: Cisco Secure Desktop 38
Gateways SSL VPN 39Agregar o editar un gateway SSL VPN 40
Paquetes 41Instalar paquete 42
Contextos, gateways y polticas VPN con SSL de Cisco IOS 42
xviiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Cmo... 49Cmo puedo confirmar que VPN con SSL de Cisco IOS
funciona? 49Cmo se configura una VPN con SSL de Cisco IOS despus de
configurar un firewall? 50Cmo puedo asociar una instancia de VRF
con un contexto de VPN con SSL de Cisco IOS? 50
Resolucin de problemas de VPN 1
Resolucin de problemas de VPN 1
Resolucin de problemas de VPN: Especificar el cliente Easy VPN
4
Resolucin de problemas de VPN: Generar trfico 4
Resolucin de problemas de VPN: Generar trfico GRE 6
Advertencia de Cisco SDM: SDM activar depuraciones del router
7
Auditora de seguridad 1
Pgina de bienvenida 4
Pgina de seleccin de la interfaz 5
Pgina Tarjeta de informes 5
Pgina Repararlo 6Desactivar el servicio Finger 7Desactivar el
servicio PAD 8Desactivar el servicio de pequeos servidores TCP
8Desactivar el servicio de pequeos servidores UDP 9Desactivar el
servicio del servidor IP bootp 10Desactivar el servicio IP ident
10Desactivar CDP 11Desactivar la ruta de origen IP 11Activar el
servicio de cifrado de contraseas 12Activar los paquetes keep-alive
de TCP para sesiones telnet entrantes 12Activar los paquetes
keep-alive de TCP para sesiones telnet salientes 13
xixGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Activar nmeros de secuencia y marcadores de hora en depuraciones
13Activar IP CEF 14Desactivar Gratuitous ARP de IP 14Definir la
longitud mnima de la contrasea a menos de 6 caracteres 15Definir la
proporcin de fallos de autenticacin a menos de 3 intentos 15Definir
la hora TCP Synwait 16Definir anuncio 16Activar registro 17Definir
activacin de la contrasea secreta 18Desactivar SNMP 18Definir el
intervalo del Programador 19Definir asignacin del Programador
19Definir usuarios 20Activar configuracin Telnet 20Activar cambio a
NetFlow 21Desactivar redireccionamiento IP 21Desactivar ARP Proxy
IP 22Desactivar difusin dirigida IP 22Desactivar servicio MOP
23Desactivar IP de destino inalcanzable 23Desactivar respuesta de
mscara IP 24Desactivar IP de destino inalcanzable en interfaz NULA
24Activar RPF unidifusin en todas las interfaces externas 25Activar
firewall en todas las interfaces externas 26Definir la clase de
acceso en el servicio de servidor HTTP 26Definir la clase de acceso
en lneas VTY 27Activar SSH para acceder al router 27Activar AAA
28
Pantalla Resumen de la configuracin 28
Cisco SDM y AutoSecure de Cisco IOS 28
xxGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Configuraciones de seguridad que Cisco SDM puede deshacer 31
Cmo deshacer las correcciones de la Auditora de seguridad 32
Pantalla Agregar/Editar una cuenta Telnet/SSH 32
Configurar cuentas de usuario para Telnet/SSH 33
Pgina Enable Secret and Banner (Activar contrasea secreta y
anuncio) 34
Pgina Registro 35
Enrutamiento 1
Agregar ruta esttica de IP/Editar la ruta esttica de IP 4
Agregar/Editar una ruta RIP 5
Agregar o editar una ruta OSPF 6
Agregar o editar una ruta EIGRP 7
Traduccin de direcciones de red 1
Asistentes de traduccin de direcciones de la red 1Asistente de
NAT bsica: Bienvenido 2Asistente de NAT bsica: Conexin 2Resumen
3Asistente de NAT avanzada: Bienvenido 3Asistente de NAT avanzada:
Conexin 4
Agregar direccin IP 4Asistente de NAT avanzada: Redes 4
Agregar redes 5Asistente de NAT avanzada: Direcciones IP pblicas
del servidor 6
Agregar o editar Regla de traduccin de direcciones 6Asistente de
NAT avanzada: Conflicto ACL 8
Detalles 8
Reglas de traduccin de direcciones de la red 8Designar
interfaces NAT 13Configuracin del lmite de tiempo para la traduccin
13
xxiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Editar mapa de ruta 15Editar entrada del mapa de ruta 16
Conjuntos de direcciones 17Agregar/Editar conjunto de
direcciones 18
Agregar o editar regla de traduccin de direcciones estticas: De
interna a externa 19Agregar o editar regla de traduccin de
direcciones estticas: De externa a interna 22Agregar o editar regla
de traduccin de direcciones dinmicas: De interna a externa
25Agregar o editar regla de traduccin de direcciones dinmicas: De
externa a interna 28
Cmo. . . 30Cmo configuro la Traduccin de direcciones de externa
a interna? 31Cmo configuro NAT con una LAN y mltiples WAN? 31
Cisco IOS IPS 1
Crear IPS 2Crear IPS: Bienvenido 3Crear IPS: Seleccionar
interfaces 3Crear IPS: Ubicacin SDF 3Crear IPS: Archivo de firma
4Crear IPS: Ubicacin y categora del archivo de configuracin 6
Agregar o editar una ubicacin de configuracin 6Seleccin de
directorio 7Archivo de firma 7
Crear IPS: Resumen 8Crear IPS: Resumen 9
Editar IPS 10Editar IPS: Polticas IPS 11
Activar o editar IPS en una interfaz 14
xxiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Editar IPS: Configuraciones globales 15Editar configuracin
global 17Agregar o editar una ubicacin de firma 19Editar IPS:
Mensajes SDEE 20Texto de los mensajes SDEE 21
Editar IPS: Configuraciones globales 23Editar configuracin
global 24Editar requisitos previos de IPS 26Agregar clave pblica
27
Editar IPS: Actualizacin automtica 27Editar IPS: Configuracin
SEAP 29
Editar IPS: Configuracin SEAP: ndice de valor de destino
29Agregar ndice de valor de destino 31Editar IPS: Configuracin
SEAP: Anulaciones de accin de evento 31Agregar o editar una
anulacin de accin de evento 33Editar IPS: Configuracin SEAP:
Filtros de accin de evento 34Agregar o editar un filtro de accin de
evento 36
Editar IPS: Firmas 39Editar IPS: Firmas 45
Editar firma 50Seleccin de archivos 53Asignar acciones
54Importar firmas 55Agregar, editar o duplicar firma 57
Cisco Security Center 59Archivos de definicin de firmas
entregados con IPS 59
Panel de seguridad 61
Migracin IPS 64Asistente para migracin: Bienvenido 64
xxiiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Asistente para migracin: Seleccione el archivo de firma de copia
de seguridad de IOS IPS 64
Archivo de firma 65
Java Heap Size 65
Gestin del mdulo de red 1
Gestin del mdulo de red IDS 1Direccin IP de la interfaz del
sensor IDS 3Determinacin de la direccin IP 4Lista de verificacin de
la configuracin del mdulo de red IDS 5Configuracin de supervisin de
la interfaz del mdulo de red IDS 7
Inicio de sesin del mdulo de red 7
Funcin No disponible 7
Seleccin de interfaz del mdulo de switch 7
Calidad de servicio (QoS) 1
Crear poltica de QoS 1
Asistente para QoS 2Seleccin de Interfaz 2
Generacin de la poltica de QoS 3
Resumen de la configuracin de QoS 3
Editar poltica de QoS 5Asociar o anular asociacin de la poltica
de QoS 8Agregar o editar una clase de QoS 8
Editar valores DSCP de coincidencia 10Editar valores de
protocolo de coincidencia 10Agregar protocolos personalizados
11Editar ACL de coincidencia 11
Editar valores DSCP de coincidencia 11
xxivGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Control de Admisin a la Red 1
Ficha Crear NAC 2Otras Tareas en una Implementacin del NAC
3Bienvenido 4Servidores de Polticas del NAC 5Seleccin de Interfaz
7Lista de excepcin de NAC 8
Agregar o Editar una Entrada de la Lista de Excepcin 9Elegir una
Poltica de Excepcin 9Agregar Poltica de Excepcin 10
Poltica de Hosts sin Agentes 11Configurar el NAC para el Acceso
Remoto 12Modificar el firewall 12
Ventana Detalles 13Resumen de la configuracin 13
Ficha Editar NAC 14Componentes del NAC 15Ventana Lista de
Excepcin 16Ventana Polticas de Excepcin 16
Lmites de tiempo del NAC 17Configurar la Poltica del NAC 18
Cmo... 20Cmo Configuro un Servidor de Poltica del NAC? 20Cmo
Instalo y Configuro un Agente de gestin de estado en un Host?
20
Propiedades del router 1
Propiedades del dispositivo 1
Fecha y hora: Propiedades del reloj 3Propiedades de fecha y hora
3NTP 5
Agregar/Editar detalles del servidor NTP 6
xxvGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
SNTP 7Agregar detalles del servidor NTP 8
Registro 9SNMP 10Netflow 11
Usuarios de Netflow 12
Acceso a router 13Cuentas de usuario: Configurar cuentas de
usuario para el acceso al router 13
Agregar/Editar un nombre de usuario 14Contrasea de la vista
16
Configuracin VTY 17Editar lneas vty 18Configurar polticas de
acceso a la gestin 19Agregar/Editar una poltica de gestin
21Mensajes de error de acceso a la gestin 23SSH 25
Configuracin DHCP 26Conjuntos DHCP 26Agregar o Editar conjunto
DHCP 27Asociaciones DHCP 28Agregar o Editar la Asociacin DHCP
30
Propiedades de DNS 31
Mtodos DNS dinmicos 31Agregar o Editar un mtodo DNS dinmico
32
xxviGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Editor ACL 1
Procedimientos tiles para las reglas de acceso y firewalls 3
Ventanas de reglas 4Agregar/Editar una regla 8Asociar con una
interfaz 11Agregar una entrada de regla estndar 12Agregar una
entrada de regla ampliada 14Seleccionar una regla 19
Asignacin puerto a aplicacin 1
Asignaciones puerto a aplicacin 1Agregar o editar entrada de
asignacin de puerto 3
Firewall de poltica basado en zonas 1
Ventana de zona 2Agregar o editar una zona 3Reglas generales de
la poltica basada en zonas 4
Pares de zonas 5Agregar o editar un par de zonas 6Agregar una
zona 6Seleccionar una zona 7
Authentication, Authorization and Accounting (AAA) 1
Ventana principal de AAA 2
Grupos y servidores AAA 3Ventana Servidores AAA 3
Agregar o editar un servidor TACACS+ 4Agregar o editar un
servidor RADIUS 5Editar configuracin global 6
Ventana Grupos de servidores AAA 7Agregar o editar grupo de
servidores AAA 8
xxviiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Polticas de Autenticacin y Autorizacin 8Ventanas de Autenticacin
y Autorizacin 9Autenticacin de NAC 10Autenticacin de 802.1x
11Agregar o Editar una lista de mtodos para autenticar o autorizar
12
Provisionamiento del router 1
Secure Device Provisioning 1
Provisionamiento del router desde el USB 2
Provisionamiento del router desde USB (cargar archivo) 2
Sugerencias para la resolucin de problemas SDP 3
Lenguaje de poltica de clasificacin comn de Cisco 1
Mapa de poltica 1Ventanas de mapa de poltica 2
Agregar o editar un mapa de poltica de QoS 3Agregar un mapa de
poltica de inspeccin 4
Mapa de poltica de capa 7 4Inspeccin de aplicacin 5Configurar
inspeccin profunda de paquetes 5
Mapas de clase 6Asociar mapa de clase 7
Opciones avanzadas del mapa de clase 7Mapa de clase de QoS 8
Agregar o editar un mapa de clase de QoS 9Agregar o editar un
mapa de clase de QoS 9Seleccionar un mapa de clase 9
Inspeccin profunda 9
xxviiiGua del usuario de Cisco Router and Security Device
Manager 2.4
OL-9963-04
-
Contenido
Ventanas Mapa de clase y Grupos de servicio de aplicacin
9Agregar o editar un mapa de clase de inspeccin 12Asociar mapa de
parmetro 13Agregar un mapa de clase de inspeccin HTTP 13Encabezado
de solicitud HTTP 14Campos de encabezado de solicitud HTTP 15Cuerpo
de solicitud HTTP 16Argumentos de encabezado de solicitud HTTP
16Mtodo HTTP 17Uso incorrecto del puerto de solicitud 17URI de
solicitud 17Encabezado de respuesta 18Campos de encabezado de
respuesta 18Cuerpo de respuesta HTTP 19Lnea de estado de respuesta
HTTP 20Criterios de encabezado de solicitud/respuesta 21Campos de
encabezado de solicitud/respuesta HTTP 21Cuerpo de
solicitud/respuesta 22Infraccin del protocolo de
solicitud/respuesta 23Agregar o editar un mapa de clase IMAP
23Agregar o editar un mapa de clase SMTP 24Agregar o editar un mapa
de clase SUNRPC 24Agregar o editar un mapa de clase de mensajera
instantnea 24Agregar o editar un mapa de clase punto a punto
24Agregar regla P2P 26Agregar o editar un mapa de clase de POP3
26
Mapas de parmetros 26Ventanas de mapa de parmetros 27
Agregar o editar un mapa de parmetro para informacin de
protocolo 27Agregar o editar una entrada del servidor 28
xxixGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Agregar o editar expresin regular 28Agregar un patrn 29Generar
expresin regular 30Metacaracteres de expresin regular 33
Filtrado de URL 1
Ventana de filtrado de URL 2Editar configuracin global
2Configuracin general para el filtrado de URL 4Lista de URL local
6
Agregar o editar URL local 7Importar lista de URL 8
Servidores de filtro de URL 8Agregar o editar el servidor de
filtro de URL 9
Preferencia del filtrado de URL 10
Gestin de configuracin 1
Edicin manual del archivo de configuracin 1
Editor de configuracin 2
Restablecer los valores por defecto de fbrica 3
Esta funcin no se admite 6
Informacin adicional acerca de... 1
Direcciones IP y mscaras de subred 1Campos de host y red 3
Configuraciones de interfaz disponibles 4
Conjuntos de direcciones DHCP 5
Significados de las palabras clave permit y deny 6
Servicios y puertos 7
xxxGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Informacin adicional acerca de NAT 14Escenarios de traduccin de
direcciones estticas 14Escenarios de traduccin de direcciones
dinmicas 17Motivos por los cuales Cisco SDM no puede modificar una
regla NAT 19
Informacin adicional acerca de VPN 20Recursos de Cisco.com
20Informacin adicional acerca de conexiones VPN y polticas IPSec
21Informacin adicional acerca de IKE 23Informacin adicional acerca
de las polticas IKE 24Combinaciones de transformacin permitidas
25
Motivos por los cuales una configuracin de interfaz o
subinterfaz de serie puede ser de slo lectura 27
Motivos por los cuales una configuracin de interfaz o
subinterfaz ATM puede ser de slo lectura 28
Motivos por los cuales una configuracin de interfaz Ethernet
puede ser de slo lectura 29
Motivos por los cuales una configuracin de interfaz ISDN (RDSI)
BRI puede ser de slo lectura 29
Motivos por los cuales una configuracin de interfaz de mdem
analgico puede ser de slo lectura 30
Escenario de utilizacin de polticas de firewall 32
Recomendaciones para la configuracin de DMVPN 32
Informes tcnicos sobre Cisco SDM 33
Pasos iniciales 1
Qu novedades trae esta versin? 2
Versiones de Cisco IOS admitidas 3
xxxiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Visualizar la informacin del router 1
Aspectos generales 2
Estado de la interfaz 6
Estado de firewall 10
Estado del firewall de poltica basado en zonas 11
Estado de la red VPN 13Tneles IPSec 13Tneles DMVPN 15Servidor
Easy VPN 16IKE SA 18Componentes de SSL VPN 19
Contexto de SSL VPN 20Sesiones de usuario 21Truncado de URL
22Mapeo de puertos 22CIFS 22Tnel completo 22Lista de usuarios
23
Estado del trfico 25Usuarios ms activos de Netflow 25
Protocolos ms activos 25Usuarios ms activos 26
Calidad de servicio (QoS) 27Trfico de aplicaciones/protocolos
29
Estado de la red NAC 30
Registro 31Syslog 32Registro de firewall 34Registro de Seguridad
de la aplicacin 37Registro de mensajes SDEE 38
xxxiiGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Contenido
Estado de la red IPS 39
Estadsticas de firmas de IPS 41
Estadsticas de alertas de IPS 42
Estado de la autenticacin 802.1x 43
Comandos del men Archivo 1
Guardar configuracin en ejecucin en el PC 1
Enviar configuracin al router 1
Escribir en la configuracin de inicio 2
Restablecer los valores por defecto de fbrica 2
Gestin de archivos 3Cambiar nombre 6Nueva carpeta 6
Guardar SDF a PC 6
Salir 6
No se ha podido realizar la compresin de flash 7
Comandos del men Editar 1
Preferencias 1
Comandos del men Ver 1
Inicio 1
Configurar 1
Supervisar 1
Configuracin en ejecucin 2
Mostrar comandos 2
Reglas de Cisco SDM por defecto 3
Actualizar 4
xxxiiiGua del usuario de Cisco Router and Security Device
Manager 2.4
OL-9963-04
-
Contenido
Comandos del men Herramientas 1
Ping 1
Telnet 1
Auditora de seguridad 1
Configuracin de PIN del token USB 2
Aplicacin inalmbrica 3
Actualizar Cisco SDM 3
Inicio de sesin en CCO 5
Comandos del men Ayuda 1
Temas de Ayuda 1
Cisco SDM en CCO 1
Matriz de hardware/software 1
Acerca de este router... 2
Acerca de Cisco SDM 2
xxxivGua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Gua del usuario de Cisco RouOL-9963-04
C A P T U L O1
Pgina de inicio
La pgina de inicio proporciona informacin bsica acerca del
hardware, el software y la configuracin del router. Esta pgina
contiene las secciones siguientes:
Nombre de host
El nombre configurado del router.
Acerca de su router
Muestra informacin bsica sobre el hardware y el software del
router y contiene los campos siguientes:
Hardware Software
Tipo de modelo Muestra el nmero de modelo del router.
Versin de IOS La versin del software Cisco IOS vigente en el
router.
Disponible / Memoria total RAM disponible / RAM total
Versin de Cisco SDM La versin del software Cisco Router and
Security Device Manager (Cisco SDM) vigente en el router.
Capacidad de flash total Flash + Webflash (si es aplicable)
Disponibilidad de funciones
Las funciones disponibles en la imagen de Cisco IOS que el
router utiliza aparecen marcadas. Las funciones que Cisco SDM
comprueba son: IP, Firewall, VPN, IPS y NAC.
1-1ter and Security Device Manager 2.4
-
Captulo 1 Pgina de inicio
Ms...
El enlace Ms... muestra una ventana emergente que proporciona
detalles de hardware y software adicionales.
Detalles de hardware: adems de la informacin presentada en la
seccin Acerca de su router, esta muestra ficha la siguiente
informacin:
Si el router arranca desde el archivo Flash o desde la
configuracin.
Si el router tiene aceleradores; por ejemplo, aceleradores
VPN.
Una diagrama de configuracin de hardware incluyendo la memoria
flash y los dispositivos instalados tales como flash USB y tokens
USB.
Detalles de software: adems de la informacin presentada en la
seccin Acerca de su router, esta ficha muestra la siguiente
informacin:
Los grupos de funciones incluidos en la imagen del IOS.
La versin de Cisco SDM en ejecucin.
Aspectos generales de configuracin
Esta seccin de la pgina de inicio resume los parmetros de
configuracin que se han definido.
Nota Si en la pgina de inicio no encuentra informacin sobre las
funciones que se describen en este tema de ayuda, la imagen de
Cisco IOS no admite la funcin. Por ejemplo, si el router est
ejecutando una imagen de Cisco IOS que no admite funciones de
seguridad, las secciones Poltica de firewall, VPN y Prevencin de
intrusiones no aparecern en la pgina de inicio.
Ver configuracin vigente
Haga clic en este botn para mostrar la configuracin actual del
router.
1-2Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 1 Pgina de inicio
Interfaces y conexiones
Activas (n): el nmero de conexiones LAN y WAN que estn
activas.
Inactivas (n): el nmero de conexiones LAN y WAN que estn
inactivas.
Punta de flecha doble: haga clic aqu para mostrar u ocultar los
detalles.
LAN totales admitidas El nmero total de interfaces LAN que se
encuentran en el router.
WAN totales admitidas El nmero de interfaces WAN admitidas por
Cisco SDM que se encuentran en el router.
Interfaz de LAN configurada
El nmero de interfaces LAN admitidas que se encuentran
configuradas en el router.
Conexiones WAN totales
El nmero total de conexiones WAN admitidas por Cisco SDM que se
encuentran en el router.
Servidor DHCP Configurado/No configurado
Grupo DHCP (vista detallada)
Si se configura un grupo, la direccin inicial y la direccin
final del grupo DHCP.
Si se han configurado varios grupos, la lista de los nombres de
los grupos configurados.
N de clientes DHCP(vista detallada)
Nmero actual de clientes que ceden direcciones.
Interfaz Tipo IP/Mscara Descripcin
Nombre de la interfaz configurada
Tipo de interfaz Direccin IP y mscara de subred
Descripcin de la interfaz
1-3Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 1 Pgina de inicio
Polticas de firewall
Activo/inactivo Fiable (n) No fiable (n) DMZ (n)
Activo: un firewall est en servicio.
Inactivo: no hay ningn firewall en servicio.
El nmero de interfaces fiables (internas).
El nmero de interfaces no fiables (externas).
El nmero de interfaces DMZ.
Interfaz Icono de firewall NAT Regla de inspeccin Regla de
acceso
El nombre de la interfaz a la que se ha aplicado el firewall
Si la interfaz se ha designado como interfaz interna o
externa.
El nombre o nmero de la regla NAT que se ha aplicado a esta
interfaz.
Los nombres o nmeros de las reglas de inspeccin entrantes y
salientes.
Los nombres o nmeros de las reglas de acceso entrantes y
salientes.
VPNActivas (n): el nmero de conexiones VPN activas.
IPSec (sitio a sitio) El nmero de conexiones VPN sitio a sitio
que se han configurado.
GRE sobre IPSec El nmero de conexiones GRE sobre IPSec que se
han configurado.
Conexin a Xauth necesaria
El nmero de conexiones Easy VPN que esperan un inicio de sesin
de autenticacin ampliada (Xauth). Vase la nota.
Easy VPN remoto El nmero de conexiones del tipo Easy VPN remoto
que se han configurado.
N de clientes DMVPN Si el router est configurado como hub DMVPN,
el nmero de clientes DMVPN.
N de clientes VPN activos Si este router funciona como servidor
Easy VPN, el nmero de clientes Easy VPN con conexiones activas.
1-4Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 1 Pgina de inicio
Nota Algunos concentradores o servidores VPN autentican a los
clientes mediante la autenticacin ampliada (Xauth). Aqu se muestra
el nmero de tneles VPN que esperan un inicio de sesin de
autenticacin ampliada (Xauth). Si un tnel Easy VPN espera un inicio
de sesin con ese tipo de autenticacin, se muestra un panel de
mensajes independiente con el botn Conexin. Al hacer clic en
Conexin se permite al usuario especificar las credenciales para el
tnel.
Si se ha configurado Xauth para un tnel, ste no empezar a
funcionar hasta que se haya proporcionado la conexin y la
contrasea. No existe ningn lmite de tiempo tras el cual se detenga
la espera; esta informacin se esperar de forma indefinida.
Interfaz Tipo Poltica IPSec Descripcin
El nombre de una interfaz con una conexin VPN configurada
El tipo de conexin VPN configurada en la interfaz.
El nombre de la poltica IPSec asociada a la conexin VPN.
Breve descripcin de la conexin.
VPNActivas (n): el nmero de conexiones VPN activas.
Polticas NAC Activo o Inactivo
Columna Interfaz Columna de Poltica NAC
El nombre de la interfaz a la que se le aplica la poltica. Por
ejemplo, FastEthernet 0, o Ethernet 0/0.
El nombre de la poltica NAC.
1-5Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 1 Pgina de inicio
EnrutamientoPrevencin de intrusiones
N de rutas estticas
El nmero total de rutas estticas configuradas en el router.
Firmas activas El nmero de firmas activas que utiliza el router.
stas pueden estar incorporadas, o cargarse desde una ubicacin
remota.
Protocolos de enrutamiento dinmico
Muestra una lista de todos los protocolos de enrutamiento
dinmico que estn configurados en el router.
N de interfaces con IPS activada
El nmero de interfaces del router con IPS activado.
Versin SDF La versin de los archivos SDF de este router.
Panel de seguridad
Un enlace al Panel de seguridad de IPS en el que se pueden
visualizar e implementar las diez firmas principales.
1-6Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Gua del usuario de Cisco RouOL-9963-04
C A P T U L O 2
Asistente para LAN
El Asistente para LAN de Cisco Router and Security Device
Manager (Cisco SDM) le gua por el proceso de configuracin de una
interfaz LAN. La pantalla proporciona una lista de las interfaces
LAN del router. Puede seleccionar cualquiera de las interfaces que
se indican en la ventana y hacer clic en Configurar para convertir
la interfaz en una LAN y configurarla.
En esta ventana se proporciona una lista de las interfaces del
router que se han designado como interfaces internas en la
configuracin de inicio, as como una lista de las interfaces
Ethernet y de los puertos de switch que an no se han configurado
como interfaces WAN. La lista incluye las interfaces que ya se han
configurado.
Al configurar una interfaz como LAN, Cisco SDM inserta el texto
de descripcin $ETH-LAN$ en el archivo de configuracin, para que en
el futuro pueda reconocerla como una interfaz LAN.
Interfaz
El nombre de la interfaz.
Configurar
Haga clic en este botn para configurar una interfaz
seleccionada. Si la interfaz nunca se ha configurado, Cisco SDM le
guiar por el Asistente para LAN para ayudarle a configurarla. Si la
interfaz se ha configurado mediante Cisco SDM, Cisco SDM muestra
una ventana de edicin que permite cambiar los ajustes de
configuracin.
Si la interfaz LAN ha recibido una configuracin no compatible
con Cisco SDM, es posible que el botn Configurar est desactivado.
Para obtener una lista de este tipo de configuraciones, consulte
Motivos por los cuales una configuracin de interfaz Ethernet puede
ser de slo lectura.
2-1ter and Security Device Manager 2.4
-
Captulo 2 Asistente para LAN
Qu desea hacer?
Puede volver a esta pantalla siempre que sea necesario para
configurar interfaces LAN adicionales.
Si desea: Haga lo siguiente:
Configurar o editar una interfaz o puerto de switch LAN.
Seleccione la interfaz o puerto de switch LAN de la lista y haga
clic en Configurar. Si la interfaz no se ha configurado o si ha
seleccionado un puerto de switch, Cisco SDM, le guiar por el
Asistente para LAN que se puede utilizar para configurar la
interfaz. Si la interfaz ya se ha configurado y no se trata de un
puerto de switch, al hacer clic en Configurar, aparecer una ventana
de edicin que permite cambiar la configuracin de la LAN.
Volver a configurar la direccin IP, la mscara o las propiedades
de DHCP de una interfaz que ya se ha configurado.
Seleccione una interfaz que disponga de una direccin IP y haga
clic en Configurar.
Realizar configuraciones especficas relacionadas con la LAN para
elementos como, por ejemplo, los servidores DHCP o los ajustes de
unidad de transmisin mxima (MTU).
En la barra de categoras de Cisco SDM, haga clic en Interfaces y
conexiones, seleccione la ficha Editar interfaz/conexin y cambie la
configuracin.
Ver cmo realizar tareas de configuracin relacionadas.
Consulte uno de los procedimientos siguientes:
Cmo se configura una ruta esttica?
Como se visualiza la actividad en la interfaz LAN?
Cmo se activa o desactiva una interfaz?
Cmo se visualizan los comandos de IOS que se envan al
router?
Cmo inicio la Aplicacin inalmbrica de Cisco SDM?
2-2Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANConfiguracin de Ethernet
Configuracin de EthernetEl asistente le gua por la configuracin
de una interfaz Ethernet en la LAN. Usted debe proporcionar la
informacin siguiente:
Una direccin IP y mscara de subred para la interfaz Ethernet
Un conjunto de direcciones DHCP en el caso de utilizar DHCP en
esta interfaz
Las direcciones de los servidores DNS y WINS de la WAN
Un nombre de dominio
Asistente para LAN: Seleccionar una interfazEn esta ventana
puede seleccionar la interfaz en la que desea configurar una
conexin LAN. La misma incluye una lista de las interfaces
compatibles con las configuraciones LAN Ethernet.
Asistente para LAN: Direccin IP/mscara de subredEsta ventana
permite configurar una direccin IP y mscara de subred para la
interfaz Ethernet que se elija en la ventana anterior.
Direccin IP
Especifique la Direccin IP de la interfaz en formato de
decimales con puntos. El administrador de redes debe determinar las
direcciones IP de las interfaces LAN. Para obtener ms informacin,
consulte Direcciones IP y mscaras de subred.
Mscara de subred
Especifique la mscara de subred. Obtenga este valor del
administrador de redes. La mscara de subred permite que el router
determine qu porcin de la direccin IP se utilizar para definir la
parte de red y de host de la direccin.
De manera alternativa, seleccione el nmero de bits de red. Este
valor se utiliza para calcular la mscara de subred. El
administrador de redes le puede proporcionar el nmero de bits de
red que debe especificar.
2-3Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANAsistente para LAN: Activar Servidor
DHCP
Asistente para LAN: Activar Servidor DHCPEsta pantalla permite
activar un servidor DHCP en el router. Un servidor DHCP asigna
automticamente a los dispositivos de la LAN direcciones IP que se
pueden volver a utilizar. Cuando un dispositivo se activa en la
red, el servidor DHCP le concede una Direccin IP. Cuando el
dispositivo abandona la red, la direccin IP se devuelve al conjunto
para que la pueda utilizar otro dispositivo.
Para activar un servidor DHCP en el router:
Haga clic en S.
Asistente para LAN: Conjuntos de direcciones DHCPEsta pantalla
permite configurar el conjunto de direcciones IP de DHCP. Las
direcciones IP que el servidor DHCP asigna se obtienen de un
conjunto comn que se ha configurado mediante la especificacin de
las direcciones IP inicial y final del intervalo.
Para obtener ms informacin, consulte Conjuntos de direcciones
DHCP.
Nota Si en el router se han configurado conjuntos de direcciones
discontinuos, los campos de direccin IP inicial e IP final sern de
slo lectura.
IP inicial
Especifique el inicio del intervalo de direcciones IP que debe
utilizar el servidor DHCP al asignar direcciones a los dispositivos
de la LAN. Se trata de la direccin IP con el nmero ms bajo del
intervalo.
IP final
Especifique la Direccin IP con el nmero ms alto del intervalo de
direcciones IP.
Campos Servidor DNS y Servidor WINS
Si en esta ventana aparecen los campos Servidor DNS y Servidor
WINS, puede hacer clic en Opciones de DHCP para obtener informacin
acerca de ellos.
2-4Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANOpciones de DHCP
Opciones de DHCPUtilice esta ventana para establecer las
opciones de DHCP que se enviarn a los hosts de la LAN que solicitan
direcciones IP del router. No se trata de opciones que se definen
para el router que est configurando, sino de parmetros que se
enviarn a los hosts solicitantes de la LAN. Si desea establecer
estas propiedades para el router, haga clic en Tareas adicionales
de la barra de categoras de Cisco SDM, seleccione DHCP y configure
estos ajustes en la ventana Conjuntos DHCP.
Servidor DNS 1
El servidor DNS normalmente es un servidor que asigna un nombre
de dispositivo conocido con su direccin IP. Si la red dispone de un
servidor DNS configurado, especifique aqu la direccin IP del
mismo.
Servidor DNS 2
Si la red dispone de un servidor DNS adicional, en este campo
puede especificar la direccin IP de ste.
Nombre de dominio
El servidor DHCP que est configurando en este router
proporcionar servicios a otros dispositivos dentro de este dominio.
Especifique el nombre del dominio.
Servidor WINS 1
Es posible que algunos clientes requieran el WINS (Windows
Internet Naming Service) para conectarse a dispositivos en
Internet. Si la red dispone de un servidor WINS, en este campo
especifique la direccin IP del mismo.
Servidor WINS 2
Si la red dispone de un servidor WINS adicional, en este campo
especifique la direccin IP de dicho servidor.
2-5Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANAsistente para LAN: Modo VLAN
Asistente para LAN: Modo VLANEsta pantalla permite determinar el
tipo de informacin de LAN virtual que se transmitir a travs del
puerto de switch. Los puertos de switch pueden designarse en modo
de acceso, en cuyo caso reenviarn solamente los datos destinados a
la LAN virtual a la que estn asignados, o bien en modo de enlace
troncal, en cuyo caso reenviarn los datos destinados para todas las
LAN virtuales, incluida la LAN virtual a la que estn asignados.
Si este puerto de switch se conecta a un dispositivo de cliente
como, por ejemplo, un PC o telfono IP nico, o si este dispositivo
se conecta a un puerto en un dispositivo de red como, por ejemplo,
otro switch, que es un puerto de modo de acceso, seleccione
Dispositivo de cliente.
Si este puerto de switch se conecta a un puerto en un
dispositivo de red como, por ejemplo, otro switch, que est en modo
de enlace, seleccione Dispositivo de red.
Asistente para LAN: Puerto del switchEsta pantalla permite
asignar un nmero de LAN virtual existente al puerto de switch o
crear una nueva interfaz de LAN virtual que debe asignarse al
puerto de switch de LAN virtual.
LAN virtual existente
Si desea asignar el puerto de switch a una LAN virtual definida
como, por ejemplo, la LAN virtual por defecto (LAN virtual 1),
especifique el nmero de ID de LAN virtual en el campo Identificador
(LAN virtual) de la red.
Nueva LAN virtual
Si desea crear una nueva interfaz de LAN virtual a la que se
asignar el puerto de switch, especifique el nuevo nmero de ID de
LAN virtual en el campo Nueva LAN virtual y, a continuacin,
especifique la direccin IP y la mscara de subred de la nueva
interfaz lgica de LAN virtual en los campos correspondientes.
2-6Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANPuente IRB
Incluya esta VLAN en un puente IRB que formar un puente con la
red inalmbrica. (Utilice una aplicacin inalmbrica para
completar).
Si marca esta casilla, el puerto del switch formar parte de un
bridge con la red inalmbrica. La otra parte del bridge debe
configurarse utilizando la Aplicacin inalmbrica. La direccin IP y
los campos para la direccin IP y la mscara de subred bajo la Nueva
LAN virtual estn desactivados cuando esta casilla est
seleccionada.
Despus de completar esta configuracin LAN, haga lo siguiente
para iniciar la Aplicacin inalmbrica y completar la configuracin de
la interfaz inalmbrica.
Paso 1 Seleccione Aplicacin inalmbrica del men Herramientas de
Cisco SDM. La Aplicacin inalmbrica se abre en otra ventana del
explorador.
Paso 2 En la Aplicacin inalmbrica, haga clic en Seguridad rpida
inalmbrica, y luego haga clic en Bridge para proporcionar
informacin para completar la configuracin de la interfaz
inalmbrica.
Puente IRBSi est configurando una VLAN para que sea parte de un
bridge IRB, el bridge debe ser un miembro del grupo bridge.
Para crear un nuevo grupo bridge del que esta interfaz ser
parte, haga clic en Crear un nuevo grupo bridge y especifique un
valor en el rango de 1 a 255.
Para que esta LAN virtual sea miembro de un grupo bridge
existente, haga clic en nase a un grupo bridge existente y
seleccione un grupo bridge.
Nota Cuando haya completado la configuracin de la interfaz
inalmbrica en la Aplicacin inalmbrica, debe utilizar el mismo nmero
de grupo bridge especificado en esta pantalla.
2-7Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANConfiguracin BVI
Configuracin BVIAsigne una direccin IP y una mscara de subred a
la interfaz BVI. Si seleccion un grupo bridge existente en la
pantalla anterior, la direccin IP y la mscara de subred aparecern
en la pantalla. Puede modificar los valores o dejarlos como
estn.
Direccin IP
Especifique la Direccin IP de la interfaz en formato de
decimales con puntos. El administrador de redes debe determinar las
direcciones IP de las interfaces LAN. Para obtener ms informacin,
consulte Direcciones IP y mscaras de subred.
Mscara de red
Especifique la mscara de subred. Obtenga este valor del
administrador de redes. La mscara de subred permite que el router
determine qu porcin de la direccin IP se utilizar para definir la
parte de red y de host de la direccin.
Net Bits (Bits de red)
De manera alternativa, seleccione el nmero de bits de red. Este
valor se utiliza para calcular la mscara de subred. El
administrador de redes le puede proporcionar el nmero de bits de
red que debe especificar.
Conjunto DHCP para BVIAl configurar el router como servidor
DHCP, puede crear un conjunto de direcciones IP que pueden ser
utilizadas por los clientes de la red. Cuando un cliente se
desconecta de la red, la direccin que estaba utilizando es devuelta
al conjunto para uso de otro host.
2-8Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANIRB para Ethernet
Configuracin del servidor DHCP
Haga clic en la casilla si desea que el router funcione como
servidor DHCP. Luego, especifique las direcciones IP inicial y
final en el conjunto. Asegrese de especificar la direccin IP que se
encuentren en la misma subred que la direccin IP que le dio a la
interfaz. Por ejemplo, si le dio a la interfaz la direccin IP
10.10.22.1, con la mscara de subred 255.255.255.0, tiene ms de 250
direcciones disponibles para el conjunto, y debe especificar la
Direccin IP inicial 10.10.22.2 y la Direccin IP final
10.10.22.253.
IRB para EthernetSi su router tiene una interfaz inalmbrica,
puede utilizar Enrutamiento y establecimiento de bridge integrado
para hacer que esta interfaz forme parte de un bridge a una LAN
inalmbrica y permitir que el trfico destinado para la red
inalmbrica sea enrutado por esta interfaz. Haga clic en S si desea
configurar esta interfaz de Nivel 3 para Enrutamiento o
establecimiento de bridge integrado.
Si no desea que esta interfaz sea utilizada como bridge a la
interfaz inalmbrica, haga clic en No. Todava podr configurarla como
una interfaz regular del router.
Configuracin de Ethernet Nivel 3Cisco SDM admite la configuracin
de Ethernet Nivel 3 en los routers con mdulos de switch 3750
instalados. Usted puede crear configuraciones de VLAN y designar
las interfaces de Ethernet del router como servidores DHCP.
Configuracin 802.1QPuede configurar una VLAN que no use el
protocolo de encapsulacin 802.1Q usado para conexiones de enlace.
Suministre un nmero de identificacin de la VLAN, y marque la opcin
VLAN nativa si no desea que la VLAN use el etiquetado 802.1Q.
Si usted desea usar el etiquetado 802.1Q, deje el cuadro VLAN
nativa sin marcar.
2-9Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANConfiguracin de Ethernet Nivel 3
Configuracin del enlace o enrutamientoUsted puede configurar
interfaces de Ethernet Nivel 3 para el enlace 802.1Q o para
enrutamiento bsico. Si usted configura la interfaz para el enlace
802.1Q, podr configurar VLANs en la interfaz, y podr configurar una
VLAN nativa que no use el protocolo de encapsulacin 802.1q. Si
usted configura la interfaz para enrutamiento, no podr configurar
las subinterfaces o VLANs adicionales en la interfaz.
Mdulo de configuracin del dispositivo del switchSi usted est
configurando una interfaz de Ethernet de Gigabits para
enrutamiento, podr suministrar informacin sobre el mdulo del switch
en esta ventana. No se requiere que proporcione esta
informacin.
Usted podr suministrar una direccin IP y una mscara de subred
para el mdulo del switch, y las credenciales de inicio de sesin
requeridas para ingresar a la interfaz del mdulo del switch.
Marque la casilla al final de la pantalla si desea entrar al
mdulo del switch despus de suministrar informacin en este asistente
y entregar la configuracin al router.
Configurar interfaz de Ethernet de gigabitsProporcione
informacin de la direccin IP y la mscara de subred para las
interfaces Gigabit Ethernet en esta ventana. Para obtener ms
informacin sobre las direcciones IP y las mscaras de subred,
consulte Asistente para LAN: Direccin IP/mscara de subred.
Direccin IP de la interfaz fsica
Suministre la direccin IP y la mscara de subred para la interfaz
de Ethernet de Gigabits fsica en estos campos.
2-10Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANResumen
Direccin IP de la subinterfaz de la VLAN
Suministre la direccin IP y la mscara de subred para la
subinterfaz de la VLAN que desee crear en la interfaz fsica. Estos
campos aparecen si usted est configurando esta interfaz para el
enrutamiento. Estos campos no aparecen si usted est configurando
esta interfaz para el enrutamiento y bridge integrado (IRB,
Integrated Routing and Bridging).
ResumenEn esta ventana se proporciona un resumen de los cambios
en la configuracin que ha realizado para la interfaz
seleccionada.
Para guardar esta configuracin en la configuracin en ejecucin
del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de
configuracin en la configuracin en ejecucin del router. Aunque los
cambios se aplican inmediatamente, los mismos se perdern si se
apaga el router.
Si ha marcado la opcin Obtener una vista previa de los comandos
antes de enviarlos al router de la ventana Preferencias del
usuario, aparecer la ventana Enviar. Esta ventana permite ver los
comandos CLI que se envan al router.
Cmo...En esta seccin se incluyen procedimientos para las tareas
que el asistente no le ayuda a llevar a cabo.
Cmo se configura una ruta esttica?Para configurar una ruta
esttica:
Paso 1 En la barra de categoras, haga clic en Enrutamiento.
Paso 2 En el grupo Enrutamiento esttico, haga clic en
Agregar...
Aparecer el cuadro de dilogo Agregar ruta esttica de IP.
2-11Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANCmo...
Paso 3 En el campo Prefijo, especifique la direccin IP de la red
de destino de la ruta esttica.
Paso 4 En el campo Mscara de prefijo, especifique la mscara de
subred de la red de destino.
Paso 5 Si desea que esta ruta esttica sea la ruta por defecto,
marque la casilla de verificacin Convierta esta ruta en la ruta por
defecto.
Paso 6 En el grupo Envo, seleccione si se debe identificar una
interfaz de router o la direccin IP del router de destino como el
mtodo para enviar datos y, a continuacin, seleccione la interfaz
del router de envo o especifique la direccin IP del router de
destino.
Paso 7 De manera opcional, en el campo Distance Metric
(Distancia mtrica), especifique la distancia mtrica que debe
almacenarse en la tabla de enrutamiento.
Paso 8 Si desea configurar esta ruta esttica como la ruta
permanente, lo que significa que no se eliminar incluso si se
desactiva la interfaz o si el router no se puede comunicar con el
router siguiente, marque la casilla de verificacin Ruta
permanente.
Paso 9 Haga clic en Aceptar.
Como se visualiza la actividad en la interfaz LAN?La actividad
de una interfaz LAN puede visualizarse mediante el modo Supervisin
en Cisco SDM. El mencionado modo puede mostrar estadsticas sobre la
interfaz LAN, incluido el nmero de paquetes y bytes que la interfaz
ha enviado o recibido y el nmero de errores en dichos procesos.
Para ver las estadsticas sobre una interfaz LAN:
Paso 1 En la barra de herramientas, haga clic en Supervisar.
Paso 2 En el panel izquierdo, haga clic en Estado de la
interfaz.
Paso 3 En el campo Seleccione una interfaz, elija la interfaz
LAN cuyas estadsticas desee visualizar.
2-12Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANCmo...
Paso 4 Para seleccionar el elemento o elementos de datos que
desee visualizar, marque las casillas de verificacin
correspondientes. Puede ver un mximo de cuatro estadsticas a la
vez.
Paso 5 Para ver las estadsticas de todos los elementos de datos
seleccionados, haga clic en Iniciar Supervisin.
Aparecer la ventana Detalles de la interfaz que muestra todas
las estadsticas seleccionadas. Por defecto, la ventana muestra los
datos en tiempo real, de modo que sondea el router cada 10
segundos. Si la interfaz est activa y se transmiten datos sobre
ella, deber observar un aumento en el nmero de paquetes y bytes que
se transfieren a travs de la misma.
Cmo se activa o desactiva una interfaz?Una interfaz puede
desactivarse sin quitar su configuracin. Tambin es posible
reactivar una interfaz desactivada.
Paso 1 En la barra de categoras, haga clic en Interfaces y
conexiones.
Paso 2 Haga clic en la ficha Editar interfaz/conexin.
Paso 3 Seleccione la interfaz que desee desactivar o
activar.
Paso 4 Si la interfaz est activada, aparecer el botn Desactivar
debajo de la lista de interfaces. Haga clic en dicho botn para
activar la interfaz. Si la interfaz est desactivada, aparecer el
botn Activar debajo de la lista de interfaces. Haga clic en dicho
botn para activar la interfaz.
2-13Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 2 Asistente para LANCmo...
Cmo se visualizan los comandos de IOS que se envan al
router?
Si est finalizando un asistente para configurar una funcin,
puede ver los comandos de Cisco IOS que se envan al router haciendo
clic en Finalizar.
Paso 1 En el men Editar de Cisco SDM, seleccione
Preferencias.
Paso 2 Marque la casilla Obtener una vista previa de los
comandos antes de enviarlos al router.
Paso 3 Haga clic en Aceptar.
La prxima vez que utilice un asistente para configurar el router
y haga clic en Finalizar en la ventana Resumen, aparecer la ventana
Enviar. En esta ventana puede ver los comandos que est enviando a
la configuracin del router. Cuando haya terminado de revisar los
comandos, haga clic en Enviar.
Si est editando una configuracin, la ventana Enviar aparece al
hacer clic en Aceptar en la ventana del cuadro de dilogo. Esta
ventana permite ver los comandos de Cisco IOS que se envan al
router.
Cmo inicio la Aplicacin inalmbrica de Cisco SDM?Utilice el
siguiente procedimiento para iniciar la aplicacin inalmbrica de
Cisco SDM.
Paso 1 Vaya al men Herramientas de Cisco SDM y seleccione
Aplicacin inalmbrica. La Aplicacin inalmbrica se inicia en otra
ventana del explorador.
Paso 2 En el panel izquierdo, haga clic en el ttulo de la
pantalla de configuracin en la que desea trabajar. Para obtener
ayuda para cualquier pantalla, haga clic en el icono de ayuda en la
esquina superior derecha. Este icono es un libro abierto con un
signo de pregunta.
2-14Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Gua del usuario de Cisco RouOL-9963-04
C A P T U L O3
Autenticacin 802.1x
La autenticacin 802.1x permite que un router remoto de Cisco IOS
conecte usuarios VPN autenticados a una red segura mediante un tnel
VPN que est constantemente activado. El router de Cisco IOS
autenticar los usuarios mediante un servidor RADIUS en la red
segura.
La autenticacin 802.1x se aplica a puertos de switch o puertos
Ethernet (enrutados), pero no a ambos tipos de interfaces. Si la
autenticacin 802.1x se aplica a un puerto Ethernet, los usuarios no
autenticados se pueden enrutar a Internet afuera del tnel VPN.
La autenticacin 802.1x se configura en las interfaces utilizando
el asistente para LAN. Sin embargo, antes de que pueda activar
802.1x en alguna interfaz, debe activar AAA en el router de Cisco
IOS. Si intenta usar el asistente para LAN antes de activar AAA,
aparece una ventana que le solicita su confirmacin para activar
AAA. Si elige activar AAA, las pantallas de configuracin de 802.1x
aparecen como parte del asistente para LAN. Si elige no activar
AAA, las pantallas de configuracin de 802.1x no aparecen.
3-1ter and Security Device Manager 2.4
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (puertos de switch)
Asistente para LAN: Autenticacin 802.1x (puertos de switch)
Esta ventana le permite activar la autenticacin 802.1x en el o
los puertos de switch que seleccion para configuracin, utilizando
el asistente para LAN.
Activar autenticacin 802.1x
Marque Activar autenticacin 802.1x para activar la autenticacin
802.1x en el puerto de switch.
Modo host
Elija nico o Mltiple. El modo nico permite el acceso de slo un
cliente autenticado. El modo mltiple permite el acceso de varios
clientes despus de la autenticacin de un cliente.
Nota Los puertos en los routers Cisco 85x y Cisco 87x se pueden
definir slo en modo host mltiple. El modo nico est desactivado para
estos routers.
VLAN de invitado
Marque VLAN de invitado para activar una red VLAN para clientes
que no tienen soporte 802.1x. Si activa esta opcin, elija una red
VLAN desde la lista desplegable de VLAN.
Fallos de autenticacin de VLAN
Marque Fallos de autenticacin de VLAN para activar una red VLAN
para clientes que no tienen autorizacin 802.1x. Si activa esta
opcin, elija una red VLAN desde la lista desplegable de VLAN.
3-2Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (puertos de switch)
Reautenticacin peridica
Marque Reautenticacin peridica para imponer la reautenticacin de
los clientes 802.1x en un intervalo regular. Elija configurar el
intervalo localmente o permitir que el servidor RADIUS defina el
intervalo. Si elige configurar el intervalo de reautenticacin
localmente, especifique un valor entre 1 y 65535 segundos. El valor
por defecto es 3600 segundos.
Opciones avanzadas
Haga clic en Opciones avanzadas para abrir una ventana con
parmetros de autenticacin 802.1x adicionales.
Opciones avanzadasEsta ventana le permite cambiar los valores
por defecto para varios parmetros de autenticacin 802.1x.
Lmite de tiempo de servidor RADIUS
Especifique el tiempo, en segundos, que el router Cisco IOS
espera antes de alcanzar el lmite de tiempo de su conexin al
servidor RADIUS. Los valores deben estar entre 1 y 65535 segundos.
El valor por defecto es 30 segundos.
Lmite de tiempo de respuesta del supplicant
Especifique el tiempo, en segundos, que el router Cisco IOS
espera una respuesta de un cliente 802.1x antes de alcanzar el
lmite de tiempo de su conexin a ese cliente. Los valores deben
estar entre 1 y 65535 segundos. El valor por defecto es 30
segundos.
Lmite de tiempo de reintentos del supplicant
Especifique el tiempo, en segundos, que el router Cisco IOS
reintenta un cliente 802.1x antes de alcanzar el lmite de tiempo de
su conexin a ese cliente. Los valores deben estar entre 1 y 65535
segundos. El valor por defecto es 30 segundos.
3-3Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (puertos de switch)
Perodo tranquilo
Especifique el tiempo, en segundos, que el router Cisco IOS
espera entre la conexin inicial a un cliente y el envo de una
solicitud de inicio de sesin. Los valores deben estar entre 1 y
65535 segundos. El valor por defecto es 60 segundos.
Perodo lmite de velocidad
Los valores deben estar entre 1 y 65535 segundos. Sin embargo,
el valor por defecto es 0 segundos, lo que desactiva el Perodo
lmite de velocidad.
Mximo de intentos de reautenticacin
Especifique el nmero mximo de veces que el router Cisco IOS
intenta reautenticar un cliente 802.1x. Los valores deben estar
entre 1 y 10. El valor por defecto es 2.
Mximo de reintentos
Especifique el nmero mximo de solicitudes de inicio de sesin que
se pueden enviar al cliente. Los valores deben estar entre 1 y 10.
El valor por defecto es 2.
Restablecer valores por defecto
Haga clic en Restablecer valores por defecto para restablecer
todas las opciones avanzadas a sus valores por defecto.
3-4Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Servidores
RADIUS para autenticacin 802.1x
Asistente para LAN: Servidores RADIUS para autenticacin
802.1x
La informacin de autenticacin 802.1x se configura y guarda en
una base de datos de polticas que reside en servidores RADIUS que
ejecutan Cisco Secure ACS, versin 3.3. El router debe validar las
credenciales de los clientes 802.1x comunicndose con un servidor
RADIUS. Utilice esta ventana para proporcionar la informacin que el
router necesita para contactarse con uno o ms servidores RADIUS.
Cada servidor RADIUS que usted especifique deber tener el software
de ACS Seguro de Cisco versin 3.3, instalado y configurado.
Nota Todas las interfaces del router Cisco IOS activadas con
autorizacin 802.1x utilizarn los servidores RADIUS configurados en
esta ventana. Cuando configure una nueva interfaz, ver nuevamente
esta pantalla. Sin embargo, no se deben realizar adiciones o
cambios a la informacin del servidor RADIUS.
Seleccionar el origen de cliente RADIUS
Configurar el origen RADIUS le permite especificar la direccin
IP del origen que se enviar en paquetes RADIUS con destino al
servidor RADIUS. Si necesita ms informacin sobre una interfaz,
escoja la interfaz y haga clic en el botn Detalles.
La direccin IP del origen en los paquetes RADIUS enviados desde
el router debe configurarse como la direccin IP del NAD en la
versin 3.3 o superior de Cisco ACS.
Si selecciona El router elige el origen, la direccin IP del
origen en los paquetes RADIUS ser la direccin de la interfaz a
travs de la cual los paquetes RADIUS saldrn del router.
Si elige una interfaz, la direccin IP del origen en los paquetes
RADIUS ser la direccin de la interfaz que usted escoja como el
origen de cliente RADIUS.
Nota El software Cisco IOS permite que una interfaz de origen
RADIUS nica se configure en el router. Si el router ya tiene
configurado un origen RADIUS y usted elige un origen diferente, la
direccin IP del origen colocada en los paquetes enviados al
servidor RADIUS cambia a la direccin IP del nuevo origen, y es
probable que no coincida con la direccin IP del NAD configurada en
Cisco ACS.
3-5Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Servidores
RADIUS para autenticacin 802.1x
Detalles
Si necesita una visin rpida de la informacin sobre una interfaz
antes de seleccionarla, haga clic en Detalles. La pantalla le
mostrar la direccin IP y la mscara de subred, las reglas de acceso
y las reglas de inspeccin aplicadas a la interfaz, la poltica de
IPSec y la poltica de QoS aplicadas, y si hay una configuracin de
Easy VPN en la interfaz.
Columnas de Servidor IP, Lmite de tiempo y Parmetros
Columnas de Servidor IP, Lmite de tiempo y parmetros contienen
la informacin que el router usa para comunicarse con un servidor
RADIUS. Si no hay informacin del servidor RADIUS relacionada con la
interfaz elegida, estas columnas quedarn en blanco.
Casilla de verificacin Usar para 802.1x
Marque esta casilla si desea utilizar el servidor RADIUS que
aparece en la lista para 802.1x. El servidor debe tener configurada
la informacin de autorizacin de 802.1x requerida si 802.1x se
utiliza correctamente.
Agregar, editar y enviar un ping
Para suministrar informacin a un servidor RADIUS, haga clic en
el botn Agregar e introduzca la informacin en la pantalla mostrada.
Elija una fila y haga clic en Editar para modificar la informacin
para un servidor RADIUS. Escoja una fila y haga clic en Ping para
probar la conexin entre el router y el servidor RADIUS.
Nota Cuando se est efectuando una prueba de ping, introduzca la
direccin IP de la interfaz del origen RADIUS en el campo de origen
en el dilogo de ping. Si usted elige El router elige el origen, no
necesitar proporcionar ningn valor en el campo de origen del dilogo
de ping.
Los botones Editar y Ping se desactivan cuando no hay ninguna
informacin del servidor RADIUS disponible para la interfaz
elegida.
3-6Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xEditar autenticacin 802.1x (puertos
de switch)
Editar autenticacin 802.1x (puertos de switch)Esta ventana le
permite activar y configurar parmetros de autenticacin 802.1x.
Si el mensaje 802.1x no se puede configurar para un puerto que
funciona en modo de enlace. aparece en lugar de los parmetros de
autenticacin 802.1x, el switch no puede tener activada la
autenticacin 802.1x.
Si los parmetros de autenticacin 802.1x aparecen pero estn
desactivados, entonces una de las siguientes afirmaciones es
verdadera:
AAA no se ha activado.
Para activar AAA, vaya a Configurar > Tareas adicionales >
AAA.
AAA se activ, pero no se ha configurado una poltica de
autenticacin 802.1x.
Para configurar una poltica de autenticacin 802.1x, vaya a
Configurar > Tareas adicionales > AAA > Polticas de
autenticacin > 802.1x.
Activar autenticacin 802.1x
Marque Activar autenticacin 802.1x para activar la autenticacin
802.1x en este puerto de switch.
Modo host
Elija nico o Mltiple. El modo nico permite el acceso de slo un
cliente autenticado. El modo mltiple permite el acceso de varios
clientes despus de la autenticacin de un cliente.
Nota Los puertos en los routers Cisco 87x se pueden definir slo
en modo host mltiple. El modo nico est desactivado para estos
routers.
VLAN de invitado
Marque VLAN de invitado para activar una red VLAN para clientes
que no tienen soporte 802.1x. Si activa esta opcin, elija una red
VLAN desde la lista desplegable de VLAN.
3-7Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (VLAN o Ethernet)
Fallos de autenticacin de VLAN
Marque Fallos de autenticacin de VLAN para activar una red VLAN
para clientes que no tienen autorizacin 802.1x. Si activa esta
opcin, elija una red VLAN desde la lista desplegable de VLAN.
Reautenticacin peridica
Marque Reautenticacin peridica para imponer la reautenticacin de
los clientes 802.1x en un intervalo regular. Elija configurar el
intervalo localmente o permitir que el servidor RADIUS defina el
intervalo. Si elige configurar el intervalo de reautenticacin
localmente, especifique un valor entre 1 y 65535 segundos. El valor
por defecto es 3600 segundos.
Opciones avanzadas
Haga clic en Opciones avanzadas para abrir una ventana con
parmetros de autenticacin 802.1x adicionales.
Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)
Esta ventana le permite activar la autenticacin 802.1x en el
puerto Ethernet que seleccion para configuracin, utilizando el
asistente para LAN. Para routers Cisco 87x, esta ventana est
disponible para configurar una VLAN con autenticacin 802.1x.
Nota Antes de configurar 802.1x en la VLAN, asegrese de que
802.1x no est configurado en ningn puerto de switch de VLAN.
Asegrese tambin de que la VLAN est configurada para DHCP.
Utilizar autenticacin 802.1x para separar trfico fiable y no
fiable en la interfaz
Marque Utilizar autenticacin 802.1x para separar el trfico
fiable y no fiable en la interfaz para activar autenticacin
802.1x.
3-8Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (VLAN o Ethernet)
Conjunto de direcciones IP de DHCP para clientes 802.1x que no
son fiables
Para activar una conexin a Internet para clientes que no tienen
autenticacin 802.1x, a cada cliente no fiable se le debe asignar
una direccin IP nica. Estas direcciones IP pueden venir de un
conjunto de direcciones IP nuevo o existente, pero los conjuntos
usados no se pueden superponer con las direcciones IP de alguna de
las interfaces existentes del router Cisco IOS.
Nota El conjunto de direcciones IP se puede superponer con la
direccin IP utilizada para una interfaz de retrobucle. Sin embargo,
se le solicitar que confirme dicha superposicin antes de que se
permita.
Elija Crear un conjunto nuevo para configurar un nuevo conjunto
de direcciones IP para emitir direcciones IP a clientes que no son
fiables. Los campos siguientes pueden estar completos con
informacin ingresada anteriormente, pero usted puede cambiarlos o
llenarlos:
Red Especifique la direccin de red IP desde la cual se deriva el
conjunto de direcciones IP.
Mscara de subred Especifique la mscara de subred para definir la
red y las partes de host de la direccin IP especificada en el campo
Red.
Servidor DNS 1 El servidor DNS es un servidor que asigna un
nombre de dispositivo conocido a su direccin IP. Si se configura un
servidor DNS para su red, especifique la direccin IP para ese
servidor.
Servidor DNS 2 Si hay un servidor DNS adicional en la red,
especifique la direccin IP para ese servidor.
3-9Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin
802.1x (VLAN o Ethernet)
Si hay un conjunto de direcciones IP existente que desea usar
para emitir direcciones IP a clientes que no son fiables, elija
Seleccionar un conjunto existente. Elija el conjunto existente
desde el men desplegable. Para ver ms informacin acerca de un
conjunto existente, haga clic en Detalles.
Listas de excepciones
Haga clic en Listas de excepciones para crear o editar una lista
de excepciones. Una lista de excepciones exime de autenticacin
802.1x a determinados clientes mientras les permite usar el tnel
VPN.
Eximir a los telfonos Cisco IP de autenticacin 802.1x
Marque Eximir los telfonos Cisco IP de autenticacin 802.1x para
eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les
permite usar el tnel VPN.
Listas de excepciones de 802.1xUna lista de excepciones exime de
autenticacin 802.1x a determinados clientes mientras les permite
usar el tnel VPN. Los clientes eximidos se identifican por sus
direcciones MAC.
Agregar
Haga clic en Agregar para abrir una ventana donde pueda agregar
la direccin MAC de un cliente. La direccin MAC debe estar en el
formato que coincida con uno de estos ejemplos:
0030.6eb1.37e4
00-30-6e-b1-37-e4
Servidor WINS 1 Algunos clientes pueden necesitar Windows
Internet Naming Service (WINS) para conectarse a dispositivos de
Internet. Si hay un servidor WINS en la red, especifique la
direccin IP para ese servidor.
Servidor WINS 2 Si hay un servidor WINS adicional en la red,
especifique la direccin IP para ese servidor.
3-10Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAutenticacin 802.1x en interfaces
de capa 3
Cisco SDM rechaza direcciones MAC que tienen formato incorrecto,
excepto direcciones MAC ms cortas que los ejemplos dados. Las
direcciones MAC ms cortas se rellenarn con un 0 (cero) por cada
dgito que falte.
Nota La funcin 802.1x de Cisco SDM no admite la opcin CLI que
asocia polticas con direcciones MAC, y no se incluir en las
direcciones MAC de la lista de excepciones que tienen una poltica
asociada con ellas.
Eliminar
Haga clic en Eliminar para eliminar un cliente seleccionado de
la lista de excepciones.
Autenticacin 802.1x en interfaces de capa 3Esta ventana le
permite configurar autenticacin 802.1x. en una Interfaz de capa 3.
Enumera puertos Ethernet e interfaces VLAN que se han configurado o
que se pueden configurar con autenticacin 802.1x, le permite
seleccionar una interfaz de plantilla virtual para clientes no
fiables y crea una lista de excepciones para que los clientes
omitan la autenticacin 802.1x.
Nota Si las polticas se han definido utilizando la CLI,
aparecern como informacin de slo lectura en esta ventana. En este
caso, slo se permite activar o desactivar 802.1x en esta
ventana.
Tareas previas
Si aparece una tarea previa en la ventana, sta debe finalizarse
antes de que la autenticacin 802.1x se pueda configurar. Se muestra
un mensaje que explica la tarea previa, junto con un enlace a la
ventana donde se puede finalizar la tarea.
Activar globalmente la autenticacin 802.1x
Marque Activar globalmente la autenticacin 802.1x para activar
la autenticacin 802.1x en todos los puertos Ethernet.
3-11Gua del usuario de Cisco Router and Security Device Manager
2.4
OL-9963-04
-
Captulo 3 Autenticacin 802.1xAutenticacin 802.1x en interfaces
de capa 3
Tabla de interfaces
La tabla de interfaces tiene las siguientes columnas:
Interfaz: muestra el nombre de la interfaz Ethernet o VLAN.
Autenticacin 802.1x: indica si la autenticacin 802.1x est
activada para el puerto Ethernet.
Editar
Haga clic en Editar para abrir una ventana con parmetros de
autenticacin 802.1x editables. Los parmetros son los ajustes de
autenticacin 802.1x para la interfaz elegida en la tabla de
interfaces.
Poltica de usuarios no fiables
Elija una interfaz de plantilla virtual desde la lista
desplegable. La interfaz de plantilla virtual elegida representa la
poltica que se aplica a clientes que no tienen autenticacin
802.1x.
Para ver ms informacin acerca de la interfaz de plantilla
virtual elegida, haga clic en el botn Detalles.
Lista de excepciones
Para obtener ms informacin acerca de la lista de excepciones,
consulte Listas de excepciones de 802.1