guía del usuario de cisco router and security device manager · conexión: interfaz de serie,...

Sede central para AmricaCisco Systems, Inc.170 West Tasman DriveSan Jose, CA 95134-1706EE.UU.http://www.cisco.comTel: 408 526-4000

800 553-NETS (6387)Fax: 408 527-0883

Gua del usuario de Cisco Router and Security Device Manager2.4.1

Nmero de pedido del cliente: Nmero de parte de texto: OL-9963-04

http://www.cisco.com

LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN PREVIO AVISO. TODAS LAS DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE MANUAL SE CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA. LA APLICACIN DE CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS.

LA LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE LA ACOMPAA SE ESTABLECEN EN EL PAQUETE DE INFORMACIN SUMINISTRADO CON EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA REFERENCIA. SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE DE CISCO PARA OBTENER UNA COPIA.

La implantacin de Cisco de la compresin de encabezados TCP es una adaptacin de un programa desarrollado por la Universidad de California, Berkeley (UCB) como parte de la versin de dominio publico de la UCB del sistema operativo UNIX. Todos los derechos reservados. Copyright 1981, Regents of the University of California.

A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y SOFTWARE DE ESTOS PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y LOS PROVEEDORES MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA, EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES, LAS DE COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO INFRACCIN O LAS QUE PUEDAN SURGIR DEL TRATO, USO O PRCTICA COMERCIAL.

EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN RESPONSABLES DE NINGN DAO INDIRECTO, ESPECIAL, CONSECUENTE O FORTUITO, INCLUYENDO, SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS PERDIDOS O DAADOS, QUE PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO DE ESTE MANUAL, INCLUSO EN CASO DE QUE CISCO O SUS PROVEEDORES HAYAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS.

Ninguna direccin de Protocolo de Internet (IP) utilizada en este documento es real. Todo ejemplo, resultado de visualizacin de comandos y figura incluido en el documento se muestran slo con fines ilustrativos. El uso de cualquier direccin IP en contenido ilustrativo es mera coincidencia.

Gua del usuario de Cisco Router and Security Device Manager 2.4 2007 Cisco Systems, Inc. Todos los derechos reservados.

GOL-9963-04

C O N T E N I D O

Pgina de inicio 1

Asistente para LAN 1

Configuracin de Ethernet 3

Asistente para LAN: Seleccionar una interfaz 3

Asistente para LAN: Direccin IP/mscara de subred 3

Asistente para LAN: Activar Servidor DHCP 4

Asistente para LAN: Conjuntos de direcciones DHCP 4

Opciones de DHCP 5

Asistente para LAN: Modo VLAN 6

Asistente para LAN: Puerto del switch 6

Puente IRB 7

Configuracin BVI 8

Conjunto DHCP para BVI 8

IRB para Ethernet 9

Configuracin de Ethernet Nivel 3 9Configuracin 802.1Q 9Configuracin del enlace o enrutamiento 10Mdulo de configuracin del dispositivo del switch 10Configurar interfaz de Ethernet de gigabits 10

Resumen 11

iiiua del usuario de Cisco Router and Security Device Manager 2.4

Contenido

Cmo... 11Cmo se configura una ruta esttica? 11Como se visualiza la actividad en la interfaz LAN? 12Cmo se activa o desactiva una interfaz? 13Cmo se visualizan los comandos de IOS que se envan al router? 14Cmo inicio la Aplicacin inalmbrica de Cisco SDM? 14

Autenticacin 802.1x 1

Asistente para LAN: Autenticacin 802.1x (puertos de switch) 2Opciones avanzadas 3

Asistente para LAN: Servidores RADIUS para autenticacin 802.1x 5

Editar autenticacin 802.1x (puertos de switch) 7

Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet) 8Listas de excepciones de 802.1x 10

Autenticacin 802.1x en interfaces de capa 3 11Editar la autenticacin 802.1x 13

Cmo... 14Cmo configuro autenticacin 802.1x en ms de un puerto Ethernet? 14

Asistentes para crear conexiones 1

Crear conexin 1

Ventana de bienvenida de la interfaz del asistente para WAN 3

Ventana de bienvenida de la interfaz del asistente para ISDN (RDSI) 3

Ventana de bienvenida del mdem analgico 3

Ventana de bienvenida de la conexin de reserva auxiliar 3

Seleccionar la interfaz 4

Encapsulacin: PPPoE 4

Direccin IP: ATM o Ethernet con PPPoE/PPPoA 5

Direccin IP: ATM con enrutamiento RFC 1483 6

ivGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Direccin IP: Ethernet sin PPPoE 7

Direccin IP: serie con Protocolo punto a punto 7

Direccin IP: serie con HDLC o Frame Relay 8

Direccin IP: ISDN (RDSI) BRI o mdem analgico 9

Autenticacin 10

Tipo de switch y SPID 11

Cadena de marcacin 12

Configuracin de la conexin de reserva 13Configuracin de la conexin de reserva: Direcciones IP de la interfaz principal y del prximo salto (next hop) 13Configuracin de la conexin de reserva: Nombre de host o direccin IP objeto del seguimiento 14

Opciones avanzadas 14

Encapsulacin 15

PVC 17

Configuracin de LMI y DLCI 19

Configuracin del reloj 20

Eliminar conexin 22

Resumen 24

Pruebas y resolucin de problemas de la conectividad 25

Cmo... 29Cmo se visualizan los comandos de IOS que se envan al router? 29Cmo se configura una interfaz WAN no admitida? 29Cmo se activa o desactiva una interfaz? 30Como se visualiza la actividad en la interfaz WAN? 30Cmo se configura NAT en una interfaz WAN? 31Cmo se configura NAT en una interfaz no admitida? 32Cmo se configura un protocolo de enrutamiento dinmico? 32

vGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo se configura el enrutamiento de marcacin a peticin para la interfaz asncrona o ISDN? 33Cmo se edita una Configuracin de interfaz de radio? 34

Editar interfaz/conexin 1

Conexin: Ethernet para IRB 6

Conexin: Ethernet para enrutamiento 7Mtodos existentes de DNS dinmico 8Agregar Mtodo de DNS dinmico 9

Inalmbrica 10

Asociacin 10

NAT 13

Editar puerto del switch 13

Servicio de aplicacin 15

General 16

Seleccionar el tipo de configuracin Ethernet 18

Conexin: VLAN 19

Lista de subinterfaces 20

Agregar/Editar una interfaz BVI 20

Agregar o editar una interfaz de retrobucle 21

Conexin: Interfaz de plantilla virtual 21

Conexin: LAN Ethernet 22

Conexin: WAN Ethernet 23

Ethernet Properties (Propiedades de Ethernet) 25

Conexin: Ethernet sin encapsulacin 27

Conexin: ADSL 28

Conexin: ADSL sobre ISDN (RDSI) 31

Conexin: G.SHDSL 34

viGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Configurar controlador DSL 38

Agregar una conexin G.SHDSL 40

Conexin: Interfaz de serie, encapsulacin Frame Relay 43

Conexin: Interfaz de serie, encapsulacin PPP 46

Conexin: Interfaz de serie, encapsulacin HDLC 48

Agregar o editar un tnel GRE 49

Conexin: ISDN (RDSI) BRI 51

Conexin: Mdem analgico 54

Conexin: (Reserva AUX.) 56

Autenticacin 59

Informacin de SPID 60

Opciones de marcacin 61

Configuracin de la copia de seguridad 63

Crear un firewall 1

Asistente de configuracin para firewall bsico 4Configuracin de la interfaz de firewall bsico 4Configuracin del firewall para acceso remoto 5

Asistente de configuracin para firewall avanzado 5Configuracin de la interfaz de firewall avanzado 5Configuracin del servicio DMZ de firewall avanzado 6

Configuracin de servicio DMZ 7Configuracin de seguridad de la aplicacin 8Configuracin del servidor del nombre del dominio 9Configuracin del servidor de filtro URL 9Seleccionar la zona de interfaz 10Zonas internas de ZPF 10Resumen 10

Alerta de SDM: Acceso a SDM 12

viiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo... 14Como se visualiza la actividad en el firewall? 14Cmo se configura un firewall en una interfaz no compatible? 16Cmo se configura un firewall despus de configurar una VPN? 17Cmo se puede permitir que pase determinado trfico por una interfaz DMZ? 17Cmo se modifica un firewall existente para permitir el trfico procedente de una nueva red o host? 18Cmo se configura NAT en una interfaz no admitida? 19Cmo se configura el paso de NAT (NAT Passthrough) para un firewall? 19Cmo se permite que el trfico llegue al concentrador Easy VPN a travs del firewall? 20Cmo se asocia una regla a una interfaz? 21Cmo se anula la asociacin de una regla de acceso con una interfaz? 22Cmo se elimina una regla que est asociada a una interfaz? 23Cmo se crea una regla de acceso para una lista Java? 23Cmo se permite que trfico determinado entre en la red si no se dispone de una red DMZ? 24

Poltica de firewall 1

Editar poltica de firewall/Lista de control de acceso 1Seleccionar un flujo de trfico 3Examinar el diagrama de trfico y seleccionar una direccin de trfico 5Realizar cambios a las reglas de acceso 7Realizar cambios a las reglas de inspeccin 11Agregar entrada de aplicacin nombre_aplicacin 13Agregar entrada de aplicacin RPC 14Agregar entrada de aplicacin de fragmento 15Agregar o editar entrada de aplicacin HTTP 16Bloqueo del subprograma Java 17Advertencia de Cisco SDM: Regla de inspeccin 18Advertencia de Cisco SDM: Firewall 18

viiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Editar poltica de firewall 19Agregar una nueva regla 22

Agregar trfico 23Inspeccin de aplicacin 25Filtro URL 25Calidad de servicio (QoS) 25Parmetro de inspeccin 25Seleccionar trfico 26Eliminar regla 26

Seguridad de la Aplicacin 1

Ventanas de Seguridad de la Aplicacin 2

Ninguna Poltica de Seguridad de la Aplicacin 3

Correo electrnico 4

Mensajera Instantnea 6

Aplicaciones Par-a-Par 7

Filtrado de URL 7

HTTP 8Opciones del encabezado 10Opciones del contenido 11

Aplicaciones y Protocolos 13Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC 15Asociar Poltica con una Interfaz 18Editar la Regla de Inspeccin 18Controles Permitir, Bloquear y Alerta 20

ixGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

VPN sitio a sitio 1

Gua de diseo de VPN 1

Crear VPN sitio a sitio 1Asistente para VPN sitio a sitio 4Ver valores por defecto 6Informacin acerca de la conexin VPN 6Propuestas IKE 8Conjunto de transformacin 11Trfico para proteger 13Resumen de la configuracin 15

Configuracin de spoke 15Tnel GRE seguro (GRE sobre IPSec) 16Informacin acerca del tnel GRE 17Informacin de autenticacin VPN 18Informacin acerca del tnel GRE de reserva 19Informacin de enrutamiento 20Informacin sobre el enrutamiento esttico 22

Seleccionar el protocolo de enrutamiento 24Resumen de la configuracin 24

Editar VPN sitio a sitio 25Agregar nueva conexin 28Agregar mapa criptogrfico 28Asistente para mapas criptogrficos: Bienvenido 29Asistente para mapas criptogrficos: Resumen de la configuracin 30Eliminar conexin 30Ping 31Generar el reflejo... 31Advertencia de Cisco SDM: Reglas NAT con ACL 32

xGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo... 33Cmo se crea una VPN para ms de un sitio? 33Despus de configurar una VPN, cmo se configura la VPN en el router del par? 35Cmo se edita un tnel VPN existente? 37Cmo se puede confirmar que mi VPN funciona? 37Cmo se configura un par de reserva para mi VPN? 38Cmo se acomodan varios dispositivos con diferentes niveles de admisin de VPN? 39Cmo se configura una VPN en una interfaz no compatible? 40Cmo se configura una VPN despus de configurar un firewall? 40Cmo se configura el paso de NAT (NAT Passthrough) para una VPN? 40

Easy VPN remoto 1

Creacin de Easy VPN remoto 1Configurar un cliente de Easy VPN remoto 1Informacin del servidor 2Autenticacin 3Interfaces y configuracin de conexiones 5Resumen de la configuracin 6

Editar Easy VPN remoto 7Agregar o Editar Easy VPN remoto 13Agregar o Editar Easy VPN remoto: Configuracin de Easy VPN 16Agregar o Editar Easy VPN remoto: Informacin de autenticacin 18Especificar credenciales para SSH 21Ventana Conexin a XAuth 21Agregar o Editar Easy VPN remoto: Configuracin general 21

Opciones de la Extensin de la Red 23Agregar o Editar Easy VPN remoto: Informacin de autenticacin 24Agregar o Editar Easy VPN remoto: Interfaces y conexiones 26

xiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo... 28Cmo se edita una conexin Easy VPN existente? 28Cmo configuro una conexin de respaldo para una conexin de la Easy VPN? 28

Servidor Easy VPN 1

Crear un servidor Easy VPN 1Bienvenido al asistente para servidores Easy VPN 2Interfaz y Autenticacin 2Bsqueda de Poltica de grupos y Autorizacin de grupos 3Autenticacin de usuario (XAuth) 4

Cuentas de usuario para XAuth 5Agregar servidor RADIUS 6

Autorizacin de grupo: Polticas de grupos de usuarios 6Informacin General del Grupo 7Configuracin de DNS y WINS 9Divisin de la arquitectura de tneles 10Configuraciones del Cliente 12

Elija las Configuraciones del Proxy del Explorador 15Agregar o Editar Configuraciones del Proxy del Explorador 16

Autenticacin de usuario (XAuth) 17Actualizacin del Cliente 18

Agregar o Editar Entrada de Actualizacin del Cliente 19Resumen 21

Configuraciones del Proxy del Explorador 21

Agregar o Editar el Servidor de la Easy VPN 23Agregar o editar conexin de servidor Easy VPN 24Restringir Acceso 25

Configuracin de polticas de grupo 26

xiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Conjuntos IP 29Agregar o editar conjunto local IP 30

Agregar intervalo de direcciones IP 30

Enhanced Easy VPN 1Interfaz y Autenticacin 1

Servidores RADIUS 2Polticas de Grupo de usuarios y Autorizacin de grupos 4Agregar o Editar servidor Easy VPN: Ficha General 5Agregar o Editar servidor Easy VPN: Ficha IKE 5Agregar o Editar servidor Easy VPN: Ficha IPSec 7Crear interfaz de tnel virtual 8

DMVPN 1

Red privada virtual multipunto dinmica (DMVPN) 1Asistente para hubs de red privada virtual multipunto dinmica 2

Tipo de hub 3Configurar la clave previamente compartida 3Configuracin de la interfaz de tnel GRE de hub 4Configuracin avanzada para la interfaz de tnel 5Hub principal 7Seleccionar el protocolo de enrutamiento 7Informacin de enrutamiento 8

Asistente para spokes de privada virtual multipunto dinmica 10Topologa de red DMVPN 10Especificar la informacin del hub 11Configuracin de la interfaz de tnel GRE de spoke 11Advertencia de Cisco SDM: DMVPN Dependency (Dependencia DMVPN) 13

xiiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Editar VPN multipunto dinmica (DMVPN) 13Panel General 15Panel NHRP 17

Configuracin del mapa NHRP 18Panel Enrutamiento 19

Cmo se configura una red DMVPN manualmente? 21

Configuracin VPN global 1

Configuracin VPN global 1Configuracin VPN global: IKE 3Configuracin VPN global: IPSec 4Configuracin del cifrado de la clave VPN 5

Seguridad IP 1

Polticas IPSec 1Agregar una poltica IPSec/Editar la poltica IPSec 4Agregar o editar el mapa criptogrfico: General 5Agregar o editar el mapa criptogrfico: Informacin del par 7Agregar o editar el mapa criptogrfico: Conjuntos de transformacin 7Agregar o editar el mapa criptogrfico: Trfico de proteccin 10

Conjuntos de mapas criptogrficos dinmicos 12Agregar un conjunto de mapas criptogrficos dinmicos/Editar el conjunto de mapas criptogrficos dinmicos 12Asociar mapas criptogrficos a esta poltica IPSec 13

Perfiles IPsec 13Agregar o editar un perfil IPSec 14

Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa criptogrfico dinmico 16

Conjunto de transformacin 17Agregar/Editar conjunto de transformacin 20

Reglas IPSec 23

xivGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Intercambio de claves por Internet 1

Intercambio de claves por Internet (IKE) 1Polticas IKE 2

Agregar o editar una poltica IKE 4Claves previamente compartidas de IKE 6

Agregar una nueva clave previamente compartida/Editar la clave previamente compartida 8

Perfiles IKE 9Agregar o editar un perfil IKE 10

Infraestructura de clave pblica 1

Asistentes para certificados 1Bienvenido al Asistente para SCEP 3Informacin acerca de la Autoridad certificadora (CA) 3

Opciones avanzadas 4Atributos del nombre de asunto del certificado 5

Otros atributos de asunto 6

Claves RSA 7

Resumen 8

Certificado de servidor de la CA 9

Estado de suscripcin 9

Bienvenido al Asistente para cortar y pegar 10

Tarea de suscripcin 10

Solicitud de suscripcin 11

Continuar con la suscripcin sin terminar 11

Importar el certificado de la CA 12

Importar el o los certificados de router 12

xvGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Certificados digitales 13Informacin acerca del punto de confianza 15Detalles del certificado 16Comprobar revocacin 16Comprobar revocacin de CRL nicamente 17

Ventana Claves RSA 17Generar par de claves RSA 18

Credenciales del token USB 20

Tokens USB 20Agregar o Editar un token USB 21

Abrir Firewall 23Abrir detalles del firewall 24

Servidor de la autoridad certificadora 1

Crear servidor de la CA 1Tareas previas para configuraciones de PKI 2Asistente para el servidor de la CA: Bienvenido 3Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora 4

Opciones avanzadas 5Asistente para el servidor de la CA: Claves RSA 7Abrir Firewall 8Asistente para el servidor de la CA: Resumen 9

Administrar servidor de la CA 10Servidor de la CA de reserva 12

Administrar servidor de la CA: Restaurar ventana 12Restaurar servidor de la CA 12

Editar configuracin del servidor de la CA: Ficha General 13Editar configuracin del servidor de la CA: Ficha Avanzado 13

Administrar servidor de la CA: Servidor de la CA no configurado 14

xviGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Administrar certificados 14Solicitudes pendientes 14Certificados revocados 16Revocar certificado 17

VPN con SSL de Cisco IOS 1

Enlaces de VPN con SSL de Cisco IOS en Cisco.com 2

Crear SSL VPN 3Certificado con firma automtica permanente 5Bienvenido 6Gateways SSL VPN 6Autenticacin del Usuario 7Configurar sitios Web de la intranet 9

Agregar o editar URL 9Personalizar el portal SSL VPN 10Configuracin de paso por SSL VPN 10Poltica de usuarios 11

Detalles de la poltica de grupo de SSL VPN: Policyname 11Seleccionar el grupo de usuarios de SSL VPN 12Seleccionar funciones avanzadas 12Cliente ligero (mapeo de puertos) 13

Agregar o editar un servidor 13Ms detalles acerca de los servidores de mapeo de puertos 14

Tnel completo 15Buscar el paquete de instalacin de Cisco SDM 17

Activar Cisco Secure Desktop 19Sistema de archivos de Internet comn 20Activar Citrix sin cliente 21Resumen 21

Editar SSL VPN 21

xviiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Contexto de SSL VPN 23Designar interfaces como internas o externas 25Seleccionar un gateway 25Contexto: Polticas de grupo 25

Ms detalles acerca de las polticas de grupo 26Poltica de grupo: Ficha General 27Poltica de grupo: Ficha Sin clientes 27Poltica de grupo: Ficha Cliente ligero 28Poltica de grupo: Ficha Cliente VPN con SSL (tnel completo) 29

Opciones avanzadas de tnel 30Ms detalles acerca de la divisin de la arquitectura de tneles 33Servidores DNS y WINS 34

Contexto: Configuracin HTML 34Seleccionar color 35

Contexto: Listas de servidores de nombres NetBIOS 36Agregar o editar una lista de servidores de nombres NetBIOS 36Agregar o editar un servidor NBNS 36

Contexto: Listas de mapeo de puertos 37Agregar o editar una lista de mapeo de puertos 37

Contexto: Listas de direcciones URL 37Agregar o editar una lista de direcciones URL 38

Contexto: Cisco Secure Desktop 38

Gateways SSL VPN 39Agregar o editar un gateway SSL VPN 40

Paquetes 41Instalar paquete 42

Contextos, gateways y polticas VPN con SSL de Cisco IOS 42

xviiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo... 49Cmo puedo confirmar que VPN con SSL de Cisco IOS funciona? 49Cmo se configura una VPN con SSL de Cisco IOS despus de configurar un firewall? 50Cmo puedo asociar una instancia de VRF con un contexto de VPN con SSL de Cisco IOS? 50

Resolucin de problemas de VPN 1

Resolucin de problemas de VPN 1

Resolucin de problemas de VPN: Especificar el cliente Easy VPN 4

Resolucin de problemas de VPN: Generar trfico 4

Resolucin de problemas de VPN: Generar trfico GRE 6

Advertencia de Cisco SDM: SDM activar depuraciones del router 7

Auditora de seguridad 1

Pgina de bienvenida 4

Pgina de seleccin de la interfaz 5

Pgina Tarjeta de informes 5

Pgina Repararlo 6Desactivar el servicio Finger 7Desactivar el servicio PAD 8Desactivar el servicio de pequeos servidores TCP 8Desactivar el servicio de pequeos servidores UDP 9Desactivar el servicio del servidor IP bootp 10Desactivar el servicio IP ident 10Desactivar CDP 11Desactivar la ruta de origen IP 11Activar el servicio de cifrado de contraseas 12Activar los paquetes keep-alive de TCP para sesiones telnet entrantes 12Activar los paquetes keep-alive de TCP para sesiones telnet salientes 13

xixGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Activar nmeros de secuencia y marcadores de hora en depuraciones 13Activar IP CEF 14Desactivar Gratuitous ARP de IP 14Definir la longitud mnima de la contrasea a menos de 6 caracteres 15Definir la proporcin de fallos de autenticacin a menos de 3 intentos 15Definir la hora TCP Synwait 16Definir anuncio 16Activar registro 17Definir activacin de la contrasea secreta 18Desactivar SNMP 18Definir el intervalo del Programador 19Definir asignacin del Programador 19Definir usuarios 20Activar configuracin Telnet 20Activar cambio a NetFlow 21Desactivar redireccionamiento IP 21Desactivar ARP Proxy IP 22Desactivar difusin dirigida IP 22Desactivar servicio MOP 23Desactivar IP de destino inalcanzable 23Desactivar respuesta de mscara IP 24Desactivar IP de destino inalcanzable en interfaz NULA 24Activar RPF unidifusin en todas las interfaces externas 25Activar firewall en todas las interfaces externas 26Definir la clase de acceso en el servicio de servidor HTTP 26Definir la clase de acceso en lneas VTY 27Activar SSH para acceder al router 27Activar AAA 28

Pantalla Resumen de la configuracin 28

Cisco SDM y AutoSecure de Cisco IOS 28

xxGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Configuraciones de seguridad que Cisco SDM puede deshacer 31

Cmo deshacer las correcciones de la Auditora de seguridad 32

Pantalla Agregar/Editar una cuenta Telnet/SSH 32

Configurar cuentas de usuario para Telnet/SSH 33

Pgina Enable Secret and Banner (Activar contrasea secreta y anuncio) 34

Pgina Registro 35

Enrutamiento 1

Agregar ruta esttica de IP/Editar la ruta esttica de IP 4

Agregar/Editar una ruta RIP 5

Agregar o editar una ruta OSPF 6

Agregar o editar una ruta EIGRP 7

Traduccin de direcciones de red 1

Asistentes de traduccin de direcciones de la red 1Asistente de NAT bsica: Bienvenido 2Asistente de NAT bsica: Conexin 2Resumen 3Asistente de NAT avanzada: Bienvenido 3Asistente de NAT avanzada: Conexin 4

Agregar direccin IP 4Asistente de NAT avanzada: Redes 4

Agregar redes 5Asistente de NAT avanzada: Direcciones IP pblicas del servidor 6

Agregar o editar Regla de traduccin de direcciones 6Asistente de NAT avanzada: Conflicto ACL 8

Detalles 8

Reglas de traduccin de direcciones de la red 8Designar interfaces NAT 13Configuracin del lmite de tiempo para la traduccin 13

xxiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Editar mapa de ruta 15Editar entrada del mapa de ruta 16

Conjuntos de direcciones 17Agregar/Editar conjunto de direcciones 18

Agregar o editar regla de traduccin de direcciones estticas: De interna a externa 19Agregar o editar regla de traduccin de direcciones estticas: De externa a interna 22Agregar o editar regla de traduccin de direcciones dinmicas: De interna a externa 25Agregar o editar regla de traduccin de direcciones dinmicas: De externa a interna 28

Cmo. . . 30Cmo configuro la Traduccin de direcciones de externa a interna? 31Cmo configuro NAT con una LAN y mltiples WAN? 31

Cisco IOS IPS 1

Crear IPS 2Crear IPS: Bienvenido 3Crear IPS: Seleccionar interfaces 3Crear IPS: Ubicacin SDF 3Crear IPS: Archivo de firma 4Crear IPS: Ubicacin y categora del archivo de configuracin 6

Agregar o editar una ubicacin de configuracin 6Seleccin de directorio 7Archivo de firma 7

Crear IPS: Resumen 8Crear IPS: Resumen 9

Editar IPS 10Editar IPS: Polticas IPS 11

Activar o editar IPS en una interfaz 14

xxiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Editar IPS: Configuraciones globales 15Editar configuracin global 17Agregar o editar una ubicacin de firma 19Editar IPS: Mensajes SDEE 20Texto de los mensajes SDEE 21

Editar IPS: Configuraciones globales 23Editar configuracin global 24Editar requisitos previos de IPS 26Agregar clave pblica 27

Editar IPS: Actualizacin automtica 27Editar IPS: Configuracin SEAP 29

Editar IPS: Configuracin SEAP: ndice de valor de destino 29Agregar ndice de valor de destino 31Editar IPS: Configuracin SEAP: Anulaciones de accin de evento 31Agregar o editar una anulacin de accin de evento 33Editar IPS: Configuracin SEAP: Filtros de accin de evento 34Agregar o editar un filtro de accin de evento 36

Editar IPS: Firmas 39Editar IPS: Firmas 45

Editar firma 50Seleccin de archivos 53Asignar acciones 54Importar firmas 55Agregar, editar o duplicar firma 57

Cisco Security Center 59Archivos de definicin de firmas entregados con IPS 59

Panel de seguridad 61

Migracin IPS 64Asistente para migracin: Bienvenido 64

xxiiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Asistente para migracin: Seleccione el archivo de firma de copia de seguridad de IOS IPS 64

Archivo de firma 65

Java Heap Size 65

Gestin del mdulo de red 1

Gestin del mdulo de red IDS 1Direccin IP de la interfaz del sensor IDS 3Determinacin de la direccin IP 4Lista de verificacin de la configuracin del mdulo de red IDS 5Configuracin de supervisin de la interfaz del mdulo de red IDS 7

Inicio de sesin del mdulo de red 7

Funcin No disponible 7

Seleccin de interfaz del mdulo de switch 7

Calidad de servicio (QoS) 1

Crear poltica de QoS 1

Asistente para QoS 2Seleccin de Interfaz 2

Generacin de la poltica de QoS 3

Resumen de la configuracin de QoS 3

Editar poltica de QoS 5Asociar o anular asociacin de la poltica de QoS 8Agregar o editar una clase de QoS 8

Editar valores DSCP de coincidencia 10Editar valores de protocolo de coincidencia 10Agregar protocolos personalizados 11Editar ACL de coincidencia 11

Editar valores DSCP de coincidencia 11

xxivGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Control de Admisin a la Red 1

Ficha Crear NAC 2Otras Tareas en una Implementacin del NAC 3Bienvenido 4Servidores de Polticas del NAC 5Seleccin de Interfaz 7Lista de excepcin de NAC 8

Agregar o Editar una Entrada de la Lista de Excepcin 9Elegir una Poltica de Excepcin 9Agregar Poltica de Excepcin 10

Poltica de Hosts sin Agentes 11Configurar el NAC para el Acceso Remoto 12Modificar el firewall 12

Ventana Detalles 13Resumen de la configuracin 13

Ficha Editar NAC 14Componentes del NAC 15Ventana Lista de Excepcin 16Ventana Polticas de Excepcin 16

Lmites de tiempo del NAC 17Configurar la Poltica del NAC 18

Cmo... 20Cmo Configuro un Servidor de Poltica del NAC? 20Cmo Instalo y Configuro un Agente de gestin de estado en un Host? 20

Propiedades del router 1

Propiedades del dispositivo 1

Fecha y hora: Propiedades del reloj 3Propiedades de fecha y hora 3NTP 5

Agregar/Editar detalles del servidor NTP 6

xxvGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

SNTP 7Agregar detalles del servidor NTP 8

Registro 9SNMP 10Netflow 11

Usuarios de Netflow 12

Acceso a router 13Cuentas de usuario: Configurar cuentas de usuario para el acceso al router 13

Agregar/Editar un nombre de usuario 14Contrasea de la vista 16

Configuracin VTY 17Editar lneas vty 18Configurar polticas de acceso a la gestin 19Agregar/Editar una poltica de gestin 21Mensajes de error de acceso a la gestin 23SSH 25

Configuracin DHCP 26Conjuntos DHCP 26Agregar o Editar conjunto DHCP 27Asociaciones DHCP 28Agregar o Editar la Asociacin DHCP 30

Propiedades de DNS 31

Mtodos DNS dinmicos 31Agregar o Editar un mtodo DNS dinmico 32

xxviGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Editor ACL 1

Procedimientos tiles para las reglas de acceso y firewalls 3

Ventanas de reglas 4Agregar/Editar una regla 8Asociar con una interfaz 11Agregar una entrada de regla estndar 12Agregar una entrada de regla ampliada 14Seleccionar una regla 19

Asignacin puerto a aplicacin 1

Asignaciones puerto a aplicacin 1Agregar o editar entrada de asignacin de puerto 3

Firewall de poltica basado en zonas 1

Ventana de zona 2Agregar o editar una zona 3Reglas generales de la poltica basada en zonas 4

Pares de zonas 5Agregar o editar un par de zonas 6Agregar una zona 6Seleccionar una zona 7

Authentication, Authorization and Accounting (AAA) 1

Ventana principal de AAA 2

Grupos y servidores AAA 3Ventana Servidores AAA 3

Agregar o editar un servidor TACACS+ 4Agregar o editar un servidor RADIUS 5Editar configuracin global 6

Ventana Grupos de servidores AAA 7Agregar o editar grupo de servidores AAA 8

xxviiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Polticas de Autenticacin y Autorizacin 8Ventanas de Autenticacin y Autorizacin 9Autenticacin de NAC 10Autenticacin de 802.1x 11Agregar o Editar una lista de mtodos para autenticar o autorizar 12

Provisionamiento del router 1

Secure Device Provisioning 1

Provisionamiento del router desde el USB 2

Provisionamiento del router desde USB (cargar archivo) 2

Sugerencias para la resolucin de problemas SDP 3

Lenguaje de poltica de clasificacin comn de Cisco 1

Mapa de poltica 1Ventanas de mapa de poltica 2

Agregar o editar un mapa de poltica de QoS 3Agregar un mapa de poltica de inspeccin 4

Mapa de poltica de capa 7 4Inspeccin de aplicacin 5Configurar inspeccin profunda de paquetes 5

Mapas de clase 6Asociar mapa de clase 7

Opciones avanzadas del mapa de clase 7Mapa de clase de QoS 8

Agregar o editar un mapa de clase de QoS 9Agregar o editar un mapa de clase de QoS 9Seleccionar un mapa de clase 9

Inspeccin profunda 9

xxviiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Ventanas Mapa de clase y Grupos de servicio de aplicacin 9Agregar o editar un mapa de clase de inspeccin 12Asociar mapa de parmetro 13Agregar un mapa de clase de inspeccin HTTP 13Encabezado de solicitud HTTP 14Campos de encabezado de solicitud HTTP 15Cuerpo de solicitud HTTP 16Argumentos de encabezado de solicitud HTTP 16Mtodo HTTP 17Uso incorrecto del puerto de solicitud 17URI de solicitud 17Encabezado de respuesta 18Campos de encabezado de respuesta 18Cuerpo de respuesta HTTP 19Lnea de estado de respuesta HTTP 20Criterios de encabezado de solicitud/respuesta 21Campos de encabezado de solicitud/respuesta HTTP 21Cuerpo de solicitud/respuesta 22Infraccin del protocolo de solicitud/respuesta 23Agregar o editar un mapa de clase IMAP 23Agregar o editar un mapa de clase SMTP 24Agregar o editar un mapa de clase SUNRPC 24Agregar o editar un mapa de clase de mensajera instantnea 24Agregar o editar un mapa de clase punto a punto 24Agregar regla P2P 26Agregar o editar un mapa de clase de POP3 26

Mapas de parmetros 26Ventanas de mapa de parmetros 27

Agregar o editar un mapa de parmetro para informacin de protocolo 27Agregar o editar una entrada del servidor 28

xxixGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Agregar o editar expresin regular 28Agregar un patrn 29Generar expresin regular 30Metacaracteres de expresin regular 33

Filtrado de URL 1

Ventana de filtrado de URL 2Editar configuracin global 2Configuracin general para el filtrado de URL 4Lista de URL local 6

Agregar o editar URL local 7Importar lista de URL 8

Servidores de filtro de URL 8Agregar o editar el servidor de filtro de URL 9

Preferencia del filtrado de URL 10

Gestin de configuracin 1

Edicin manual del archivo de configuracin 1

Editor de configuracin 2

Restablecer los valores por defecto de fbrica 3

Esta funcin no se admite 6

Informacin adicional acerca de... 1

Direcciones IP y mscaras de subred 1Campos de host y red 3

Configuraciones de interfaz disponibles 4

Conjuntos de direcciones DHCP 5

Significados de las palabras clave permit y deny 6

Servicios y puertos 7

xxxGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Informacin adicional acerca de NAT 14Escenarios de traduccin de direcciones estticas 14Escenarios de traduccin de direcciones dinmicas 17Motivos por los cuales Cisco SDM no puede modificar una regla NAT 19

Informacin adicional acerca de VPN 20Recursos de Cisco.com 20Informacin adicional acerca de conexiones VPN y polticas IPSec 21Informacin adicional acerca de IKE 23Informacin adicional acerca de las polticas IKE 24Combinaciones de transformacin permitidas 25

Motivos por los cuales una configuracin de interfaz o subinterfaz de serie puede ser de slo lectura 27

Motivos por los cuales una configuracin de interfaz o subinterfaz ATM puede ser de slo lectura 28

Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura 29

Motivos por los cuales una configuracin de interfaz ISDN (RDSI) BRI puede ser de slo lectura 29

Motivos por los cuales una configuracin de interfaz de mdem analgico puede ser de slo lectura 30

Escenario de utilizacin de polticas de firewall 32

Recomendaciones para la configuracin de DMVPN 32

Informes tcnicos sobre Cisco SDM 33

Pasos iniciales 1

Qu novedades trae esta versin? 2

Versiones de Cisco IOS admitidas 3

xxxiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Visualizar la informacin del router 1

Aspectos generales 2

Estado de la interfaz 6

Estado de firewall 10

Estado del firewall de poltica basado en zonas 11

Estado de la red VPN 13Tneles IPSec 13Tneles DMVPN 15Servidor Easy VPN 16IKE SA 18Componentes de SSL VPN 19

Contexto de SSL VPN 20Sesiones de usuario 21Truncado de URL 22Mapeo de puertos 22CIFS 22Tnel completo 22Lista de usuarios 23

Estado del trfico 25Usuarios ms activos de Netflow 25

Protocolos ms activos 25Usuarios ms activos 26

Calidad de servicio (QoS) 27Trfico de aplicaciones/protocolos 29

Estado de la red NAC 30

Registro 31Syslog 32Registro de firewall 34Registro de Seguridad de la aplicacin 37Registro de mensajes SDEE 38

xxxiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Estado de la red IPS 39

Estadsticas de firmas de IPS 41

Estadsticas de alertas de IPS 42

Estado de la autenticacin 802.1x 43

Comandos del men Archivo 1

Guardar configuracin en ejecucin en el PC 1

Enviar configuracin al router 1

Escribir en la configuracin de inicio 2

Restablecer los valores por defecto de fbrica 2

Gestin de archivos 3Cambiar nombre 6Nueva carpeta 6

Guardar SDF a PC 6

Salir 6

No se ha podido realizar la compresin de flash 7

Comandos del men Editar 1

Preferencias 1

Comandos del men Ver 1

Inicio 1

Configurar 1

Supervisar 1

Configuracin en ejecucin 2

Mostrar comandos 2

Reglas de Cisco SDM por defecto 3

Actualizar 4

xxxiiiGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Comandos del men Herramientas 1

Ping 1

Telnet 1

Auditora de seguridad 1

Configuracin de PIN del token USB 2

Aplicacin inalmbrica 3

Actualizar Cisco SDM 3

Inicio de sesin en CCO 5

Comandos del men Ayuda 1

Temas de Ayuda 1

Cisco SDM en CCO 1

Matriz de hardware/software 1

Acerca de este router... 2

Acerca de Cisco SDM 2

xxxivGua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Gua del usuario de Cisco RouOL-9963-04

C A P T U L O1

Pgina de inicio

La pgina de inicio proporciona informacin bsica acerca del hardware, el software y la configuracin del router. Esta pgina contiene las secciones siguientes:

Nombre de host

El nombre configurado del router.

Acerca de su router

Muestra informacin bsica sobre el hardware y el software del router y contiene los campos siguientes:

Hardware Software

Tipo de modelo Muestra el nmero de modelo del router.

Versin de IOS La versin del software Cisco IOS vigente en el router.

Disponible / Memoria total RAM disponible / RAM total

Versin de Cisco SDM La versin del software Cisco Router and Security Device Manager (Cisco SDM) vigente en el router.

Capacidad de flash total Flash + Webflash (si es aplicable)

Disponibilidad de funciones

Las funciones disponibles en la imagen de Cisco IOS que el router utiliza aparecen marcadas. Las funciones que Cisco SDM comprueba son: IP, Firewall, VPN, IPS y NAC.

1-1ter and Security Device Manager 2.4

Captulo 1 Pgina de inicio

Ms...

El enlace Ms... muestra una ventana emergente que proporciona detalles de hardware y software adicionales.

Detalles de hardware: adems de la informacin presentada en la seccin Acerca de su router, esta muestra ficha la siguiente informacin:

Si el router arranca desde el archivo Flash o desde la configuracin.

Si el router tiene aceleradores; por ejemplo, aceleradores VPN.

Una diagrama de configuracin de hardware incluyendo la memoria flash y los dispositivos instalados tales como flash USB y tokens USB.

Detalles de software: adems de la informacin presentada en la seccin Acerca de su router, esta ficha muestra la siguiente informacin:

Los grupos de funciones incluidos en la imagen del IOS.

La versin de Cisco SDM en ejecucin.

Aspectos generales de configuracin

Esta seccin de la pgina de inicio resume los parmetros de configuracin que se han definido.

Nota Si en la pgina de inicio no encuentra informacin sobre las funciones que se describen en este tema de ayuda, la imagen de Cisco IOS no admite la funcin. Por ejemplo, si el router est ejecutando una imagen de Cisco IOS que no admite funciones de seguridad, las secciones Poltica de firewall, VPN y Prevencin de intrusiones no aparecern en la pgina de inicio.

Ver configuracin vigente

Haga clic en este botn para mostrar la configuracin actual del router.

1-2Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04


Interfaces y conexiones

Activas (n): el nmero de conexiones LAN y WAN que estn activas.

Inactivas (n): el nmero de conexiones LAN y WAN que estn inactivas.

Punta de flecha doble: haga clic aqu para mostrar u ocultar los detalles.

LAN totales admitidas El nmero total de interfaces LAN que se encuentran en el router.

WAN totales admitidas El nmero de interfaces WAN admitidas por Cisco SDM que se encuentran en el router.

Interfaz de LAN configurada

El nmero de interfaces LAN admitidas que se encuentran configuradas en el router.

Conexiones WAN totales

El nmero total de conexiones WAN admitidas por Cisco SDM que se encuentran en el router.

Servidor DHCP Configurado/No configurado

Grupo DHCP (vista detallada)

Si se configura un grupo, la direccin inicial y la direccin final del grupo DHCP.

Si se han configurado varios grupos, la lista de los nombres de los grupos configurados.

N de clientes DHCP(vista detallada)

Nmero actual de clientes que ceden direcciones.

Interfaz Tipo IP/Mscara Descripcin

Nombre de la interfaz configurada

Tipo de interfaz Direccin IP y mscara de subred

Descripcin de la interfaz


OL-9963-04


Polticas de firewall

Activo/inactivo Fiable (n) No fiable (n) DMZ (n)

Activo: un firewall est en servicio.

Inactivo: no hay ningn firewall en servicio.

El nmero de interfaces fiables (internas).

El nmero de interfaces no fiables (externas).

El nmero de interfaces DMZ.

Interfaz Icono de firewall NAT Regla de inspeccin Regla de acceso

El nombre de la interfaz a la que se ha aplicado el firewall

Si la interfaz se ha designado como interfaz interna o externa.

El nombre o nmero de la regla NAT que se ha aplicado a esta interfaz.

Los nombres o nmeros de las reglas de inspeccin entrantes y salientes.

Los nombres o nmeros de las reglas de acceso entrantes y salientes.

VPNActivas (n): el nmero de conexiones VPN activas.

IPSec (sitio a sitio) El nmero de conexiones VPN sitio a sitio que se han configurado.

GRE sobre IPSec El nmero de conexiones GRE sobre IPSec que se han configurado.

Conexin a Xauth necesaria

El nmero de conexiones Easy VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Vase la nota.

Easy VPN remoto El nmero de conexiones del tipo Easy VPN remoto que se han configurado.

N de clientes DMVPN Si el router est configurado como hub DMVPN, el nmero de clientes DMVPN.

N de clientes VPN activos Si este router funciona como servidor Easy VPN, el nmero de clientes Easy VPN con conexiones activas.


OL-9963-04


Nota Algunos concentradores o servidores VPN autentican a los clientes mediante la autenticacin ampliada (Xauth). Aqu se muestra el nmero de tneles VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Si un tnel Easy VPN espera un inicio de sesin con ese tipo de autenticacin, se muestra un panel de mensajes independiente con el botn Conexin. Al hacer clic en Conexin se permite al usuario especificar las credenciales para el tnel.

Si se ha configurado Xauth para un tnel, ste no empezar a funcionar hasta que se haya proporcionado la conexin y la contrasea. No existe ningn lmite de tiempo tras el cual se detenga la espera; esta informacin se esperar de forma indefinida.

Interfaz Tipo Poltica IPSec Descripcin

El nombre de una interfaz con una conexin VPN configurada

El tipo de conexin VPN configurada en la interfaz.

El nombre de la poltica IPSec asociada a la conexin VPN.

Breve descripcin de la conexin.

VPNActivas (n): el nmero de conexiones VPN activas.

Polticas NAC Activo o Inactivo

Columna Interfaz Columna de Poltica NAC

El nombre de la interfaz a la que se le aplica la poltica. Por ejemplo, FastEthernet 0, o Ethernet 0/0.

El nombre de la poltica NAC.


OL-9963-04


EnrutamientoPrevencin de intrusiones

N de rutas estticas

El nmero total de rutas estticas configuradas en el router.

Firmas activas El nmero de firmas activas que utiliza el router. stas pueden estar incorporadas, o cargarse desde una ubicacin remota.

Protocolos de enrutamiento dinmico

Muestra una lista de todos los protocolos de enrutamiento dinmico que estn configurados en el router.

N de interfaces con IPS activada

El nmero de interfaces del router con IPS activado.

Versin SDF La versin de los archivos SDF de este router.

Panel de seguridad

Un enlace al Panel de seguridad de IPS en el que se pueden visualizar e implementar las diez firmas principales.


OL-9963-04


C A P T U L O 2

Asistente para LAN

El Asistente para LAN de Cisco Router and Security Device Manager (Cisco SDM) le gua por el proceso de configuracin de una interfaz LAN. La pantalla proporciona una lista de las interfaces LAN del router. Puede seleccionar cualquiera de las interfaces que se indican en la ventana y hacer clic en Configurar para convertir la interfaz en una LAN y configurarla.

En esta ventana se proporciona una lista de las interfaces del router que se han designado como interfaces internas en la configuracin de inicio, as como una lista de las interfaces Ethernet y de los puertos de switch que an no se han configurado como interfaces WAN. La lista incluye las interfaces que ya se han configurado.

Al configurar una interfaz como LAN, Cisco SDM inserta el texto de descripcin $ETH-LAN$ en el archivo de configuracin, para que en el futuro pueda reconocerla como una interfaz LAN.

Interfaz

El nombre de la interfaz.

Configurar

Haga clic en este botn para configurar una interfaz seleccionada. Si la interfaz nunca se ha configurado, Cisco SDM le guiar por el Asistente para LAN para ayudarle a configurarla. Si la interfaz se ha configurado mediante Cisco SDM, Cisco SDM muestra una ventana de edicin que permite cambiar los ajustes de configuracin.

Si la interfaz LAN ha recibido una configuracin no compatible con Cisco SDM, es posible que el botn Configurar est desactivado. Para obtener una lista de este tipo de configuraciones, consulte Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura.


Captulo 2 Asistente para LAN

Qu desea hacer?

Puede volver a esta pantalla siempre que sea necesario para configurar interfaces LAN adicionales.

Si desea: Haga lo siguiente:

Configurar o editar una interfaz o puerto de switch LAN.

Seleccione la interfaz o puerto de switch LAN de la lista y haga clic en Configurar. Si la interfaz no se ha configurado o si ha seleccionado un puerto de switch, Cisco SDM, le guiar por el Asistente para LAN que se puede utilizar para configurar la interfaz. Si la interfaz ya se ha configurado y no se trata de un puerto de switch, al hacer clic en Configurar, aparecer una ventana de edicin que permite cambiar la configuracin de la LAN.

Volver a configurar la direccin IP, la mscara o las propiedades de DHCP de una interfaz que ya se ha configurado.

Seleccione una interfaz que disponga de una direccin IP y haga clic en Configurar.

Realizar configuraciones especficas relacionadas con la LAN para elementos como, por ejemplo, los servidores DHCP o los ajustes de unidad de transmisin mxima (MTU).

En la barra de categoras de Cisco SDM, haga clic en Interfaces y conexiones, seleccione la ficha Editar interfaz/conexin y cambie la configuracin.

Ver cmo realizar tareas de configuracin relacionadas.

Consulte uno de los procedimientos siguientes:

Cmo se configura una ruta esttica?

Como se visualiza la actividad en la interfaz LAN?

Cmo se activa o desactiva una interfaz?

Cmo se visualizan los comandos de IOS que se envan al router?

Cmo inicio la Aplicacin inalmbrica de Cisco SDM?


OL-9963-04

Captulo 2 Asistente para LANConfiguracin de Ethernet

Configuracin de EthernetEl asistente le gua por la configuracin de una interfaz Ethernet en la LAN. Usted debe proporcionar la informacin siguiente:

Una direccin IP y mscara de subred para la interfaz Ethernet

Un conjunto de direcciones DHCP en el caso de utilizar DHCP en esta interfaz

Las direcciones de los servidores DNS y WINS de la WAN

Un nombre de dominio

Asistente para LAN: Seleccionar una interfazEn esta ventana puede seleccionar la interfaz en la que desea configurar una conexin LAN. La misma incluye una lista de las interfaces compatibles con las configuraciones LAN Ethernet.

Asistente para LAN: Direccin IP/mscara de subredEsta ventana permite configurar una direccin IP y mscara de subred para la interfaz Ethernet que se elija en la ventana anterior.

Direccin IP

Especifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de subred

Especifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin.

De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.


OL-9963-04

Captulo 2 Asistente para LANAsistente para LAN: Activar Servidor DHCP

Asistente para LAN: Activar Servidor DHCPEsta pantalla permite activar un servidor DHCP en el router. Un servidor DHCP asigna automticamente a los dispositivos de la LAN direcciones IP que se pueden volver a utilizar. Cuando un dispositivo se activa en la red, el servidor DHCP le concede una Direccin IP. Cuando el dispositivo abandona la red, la direccin IP se devuelve al conjunto para que la pueda utilizar otro dispositivo.

Para activar un servidor DHCP en el router:

Haga clic en S.

Asistente para LAN: Conjuntos de direcciones DHCPEsta pantalla permite configurar el conjunto de direcciones IP de DHCP. Las direcciones IP que el servidor DHCP asigna se obtienen de un conjunto comn que se ha configurado mediante la especificacin de las direcciones IP inicial y final del intervalo.

Para obtener ms informacin, consulte Conjuntos de direcciones DHCP.

Nota Si en el router se han configurado conjuntos de direcciones discontinuos, los campos de direccin IP inicial e IP final sern de slo lectura.

IP inicial

Especifique el inicio del intervalo de direcciones IP que debe utilizar el servidor DHCP al asignar direcciones a los dispositivos de la LAN. Se trata de la direccin IP con el nmero ms bajo del intervalo.

IP final

Especifique la Direccin IP con el nmero ms alto del intervalo de direcciones IP.

Campos Servidor DNS y Servidor WINS

Si en esta ventana aparecen los campos Servidor DNS y Servidor WINS, puede hacer clic en Opciones de DHCP para obtener informacin acerca de ellos.


OL-9963-04

Captulo 2 Asistente para LANOpciones de DHCP

Opciones de DHCPUtilice esta ventana para establecer las opciones de DHCP que se enviarn a los hosts de la LAN que solicitan direcciones IP del router. No se trata de opciones que se definen para el router que est configurando, sino de parmetros que se enviarn a los hosts solicitantes de la LAN. Si desea establecer estas propiedades para el router, haga clic en Tareas adicionales de la barra de categoras de Cisco SDM, seleccione DHCP y configure estos ajustes en la ventana Conjuntos DHCP.

Servidor DNS 1

El servidor DNS normalmente es un servidor que asigna un nombre de dispositivo conocido con su direccin IP. Si la red dispone de un servidor DNS configurado, especifique aqu la direccin IP del mismo.

Servidor DNS 2

Si la red dispone de un servidor DNS adicional, en este campo puede especificar la direccin IP de ste.

Nombre de dominio

El servidor DHCP que est configurando en este router proporcionar servicios a otros dispositivos dentro de este dominio. Especifique el nombre del dominio.

Servidor WINS 1

Es posible que algunos clientes requieran el WINS (Windows Internet Naming Service) para conectarse a dispositivos en Internet. Si la red dispone de un servidor WINS, en este campo especifique la direccin IP del mismo.

Servidor WINS 2

Si la red dispone de un servidor WINS adicional, en este campo especifique la direccin IP de dicho servidor.


OL-9963-04

Captulo 2 Asistente para LANAsistente para LAN: Modo VLAN

Asistente para LAN: Modo VLANEsta pantalla permite determinar el tipo de informacin de LAN virtual que se transmitir a travs del puerto de switch. Los puertos de switch pueden designarse en modo de acceso, en cuyo caso reenviarn solamente los datos destinados a la LAN virtual a la que estn asignados, o bien en modo de enlace troncal, en cuyo caso reenviarn los datos destinados para todas las LAN virtuales, incluida la LAN virtual a la que estn asignados.

Si este puerto de switch se conecta a un dispositivo de cliente como, por ejemplo, un PC o telfono IP nico, o si este dispositivo se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que es un puerto de modo de acceso, seleccione Dispositivo de cliente.

Si este puerto de switch se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que est en modo de enlace, seleccione Dispositivo de red.

Asistente para LAN: Puerto del switchEsta pantalla permite asignar un nmero de LAN virtual existente al puerto de switch o crear una nueva interfaz de LAN virtual que debe asignarse al puerto de switch de LAN virtual.

LAN virtual existente

Si desea asignar el puerto de switch a una LAN virtual definida como, por ejemplo, la LAN virtual por defecto (LAN virtual 1), especifique el nmero de ID de LAN virtual en el campo Identificador (LAN virtual) de la red.

Nueva LAN virtual

Si desea crear una nueva interfaz de LAN virtual a la que se asignar el puerto de switch, especifique el nuevo nmero de ID de LAN virtual en el campo Nueva LAN virtual y, a continuacin, especifique la direccin IP y la mscara de subred de la nueva interfaz lgica de LAN virtual en los campos correspondientes.


OL-9963-04

Captulo 2 Asistente para LANPuente IRB

Incluya esta VLAN en un puente IRB que formar un puente con la red inalmbrica. (Utilice una aplicacin inalmbrica para completar).

Si marca esta casilla, el puerto del switch formar parte de un bridge con la red inalmbrica. La otra parte del bridge debe configurarse utilizando la Aplicacin inalmbrica. La direccin IP y los campos para la direccin IP y la mscara de subred bajo la Nueva LAN virtual estn desactivados cuando esta casilla est seleccionada.

Despus de completar esta configuracin LAN, haga lo siguiente para iniciar la Aplicacin inalmbrica y completar la configuracin de la interfaz inalmbrica.

Paso 1 Seleccione Aplicacin inalmbrica del men Herramientas de Cisco SDM. La Aplicacin inalmbrica se abre en otra ventana del explorador.

Paso 2 En la Aplicacin inalmbrica, haga clic en Seguridad rpida inalmbrica, y luego haga clic en Bridge para proporcionar informacin para completar la configuracin de la interfaz inalmbrica.

Puente IRBSi est configurando una VLAN para que sea parte de un bridge IRB, el bridge debe ser un miembro del grupo bridge.

Para crear un nuevo grupo bridge del que esta interfaz ser parte, haga clic en Crear un nuevo grupo bridge y especifique un valor en el rango de 1 a 255.

Para que esta LAN virtual sea miembro de un grupo bridge existente, haga clic en nase a un grupo bridge existente y seleccione un grupo bridge.

Nota Cuando haya completado la configuracin de la interfaz inalmbrica en la Aplicacin inalmbrica, debe utilizar el mismo nmero de grupo bridge especificado en esta pantalla.


OL-9963-04

Captulo 2 Asistente para LANConfiguracin BVI

Configuracin BVIAsigne una direccin IP y una mscara de subred a la interfaz BVI. Si seleccion un grupo bridge existente en la pantalla anterior, la direccin IP y la mscara de subred aparecern en la pantalla. Puede modificar los valores o dejarlos como estn.

Direccin IP

Especifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de red

Especifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin.

Net Bits (Bits de red)

De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.

Conjunto DHCP para BVIAl configurar el router como servidor DHCP, puede crear un conjunto de direcciones IP que pueden ser utilizadas por los clientes de la red. Cuando un cliente se desconecta de la red, la direccin que estaba utilizando es devuelta al conjunto para uso de otro host.


OL-9963-04

Captulo 2 Asistente para LANIRB para Ethernet

Configuracin del servidor DHCP

Haga clic en la casilla si desea que el router funcione como servidor DHCP. Luego, especifique las direcciones IP inicial y final en el conjunto. Asegrese de especificar la direccin IP que se encuentren en la misma subred que la direccin IP que le dio a la interfaz. Por ejemplo, si le dio a la interfaz la direccin IP 10.10.22.1, con la mscara de subred 255.255.255.0, tiene ms de 250 direcciones disponibles para el conjunto, y debe especificar la Direccin IP inicial 10.10.22.2 y la Direccin IP final 10.10.22.253.

IRB para EthernetSi su router tiene una interfaz inalmbrica, puede utilizar Enrutamiento y establecimiento de bridge integrado para hacer que esta interfaz forme parte de un bridge a una LAN inalmbrica y permitir que el trfico destinado para la red inalmbrica sea enrutado por esta interfaz. Haga clic en S si desea configurar esta interfaz de Nivel 3 para Enrutamiento o establecimiento de bridge integrado.

Si no desea que esta interfaz sea utilizada como bridge a la interfaz inalmbrica, haga clic en No. Todava podr configurarla como una interfaz regular del router.

Configuracin de Ethernet Nivel 3Cisco SDM admite la configuracin de Ethernet Nivel 3 en los routers con mdulos de switch 3750 instalados. Usted puede crear configuraciones de VLAN y designar las interfaces de Ethernet del router como servidores DHCP.

Configuracin 802.1QPuede configurar una VLAN que no use el protocolo de encapsulacin 802.1Q usado para conexiones de enlace. Suministre un nmero de identificacin de la VLAN, y marque la opcin VLAN nativa si no desea que la VLAN use el etiquetado 802.1Q.

Si usted desea usar el etiquetado 802.1Q, deje el cuadro VLAN nativa sin marcar.


OL-9963-04

Captulo 2 Asistente para LANConfiguracin de Ethernet Nivel 3

Configuracin del enlace o enrutamientoUsted puede configurar interfaces de Ethernet Nivel 3 para el enlace 802.1Q o para enrutamiento bsico. Si usted configura la interfaz para el enlace 802.1Q, podr configurar VLANs en la interfaz, y podr configurar una VLAN nativa que no use el protocolo de encapsulacin 802.1q. Si usted configura la interfaz para enrutamiento, no podr configurar las subinterfaces o VLANs adicionales en la interfaz.

Mdulo de configuracin del dispositivo del switchSi usted est configurando una interfaz de Ethernet de Gigabits para enrutamiento, podr suministrar informacin sobre el mdulo del switch en esta ventana. No se requiere que proporcione esta informacin.

Usted podr suministrar una direccin IP y una mscara de subred para el mdulo del switch, y las credenciales de inicio de sesin requeridas para ingresar a la interfaz del mdulo del switch.

Marque la casilla al final de la pantalla si desea entrar al mdulo del switch despus de suministrar informacin en este asistente y entregar la configuracin al router.

Configurar interfaz de Ethernet de gigabitsProporcione informacin de la direccin IP y la mscara de subred para las interfaces Gigabit Ethernet en esta ventana. Para obtener ms informacin sobre las direcciones IP y las mscaras de subred, consulte Asistente para LAN: Direccin IP/mscara de subred.

Direccin IP de la interfaz fsica

Suministre la direccin IP y la mscara de subred para la interfaz de Ethernet de Gigabits fsica en estos campos.


OL-9963-04

Captulo 2 Asistente para LANResumen

Direccin IP de la subinterfaz de la VLAN

Suministre la direccin IP y la mscara de subred para la subinterfaz de la VLAN que desee crear en la interfaz fsica. Estos campos aparecen si usted est configurando esta interfaz para el enrutamiento. Estos campos no aparecen si usted est configurando esta interfaz para el enrutamiento y bridge integrado (IRB, Integrated Routing and Bridging).

ResumenEn esta ventana se proporciona un resumen de los cambios en la configuracin que ha realizado para la interfaz seleccionada.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:

Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router.

Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias del usuario, aparecer la ventana Enviar. Esta ventana permite ver los comandos CLI que se envan al router.

Cmo...En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Cmo se configura una ruta esttica?Para configurar una ruta esttica:

Paso 1 En la barra de categoras, haga clic en Enrutamiento.

Paso 2 En el grupo Enrutamiento esttico, haga clic en Agregar...

Aparecer el cuadro de dilogo Agregar ruta esttica de IP.


OL-9963-04

Captulo 2 Asistente para LANCmo...

Paso 3 En el campo Prefijo, especifique la direccin IP de la red de destino de la ruta esttica.

Paso 4 En el campo Mscara de prefijo, especifique la mscara de subred de la red de destino.

Paso 5 Si desea que esta ruta esttica sea la ruta por defecto, marque la casilla de verificacin Convierta esta ruta en la ruta por defecto.

Paso 6 En el grupo Envo, seleccione si se debe identificar una interfaz de router o la direccin IP del router de destino como el mtodo para enviar datos y, a continuacin, seleccione la interfaz del router de envo o especifique la direccin IP del router de destino.

Paso 7 De manera opcional, en el campo Distance Metric (Distancia mtrica), especifique la distancia mtrica que debe almacenarse en la tabla de enrutamiento.

Paso 8 Si desea configurar esta ruta esttica como la ruta permanente, lo que significa que no se eliminar incluso si se desactiva la interfaz o si el router no se puede comunicar con el router siguiente, marque la casilla de verificacin Ruta permanente.

Paso 9 Haga clic en Aceptar.

Como se visualiza la actividad en la interfaz LAN?La actividad de una interfaz LAN puede visualizarse mediante el modo Supervisin en Cisco SDM. El mencionado modo puede mostrar estadsticas sobre la interfaz LAN, incluido el nmero de paquetes y bytes que la interfaz ha enviado o recibido y el nmero de errores en dichos procesos. Para ver las estadsticas sobre una interfaz LAN:

Paso 1 En la barra de herramientas, haga clic en Supervisar.

Paso 2 En el panel izquierdo, haga clic en Estado de la interfaz.

Paso 3 En el campo Seleccione una interfaz, elija la interfaz LAN cuyas estadsticas desee visualizar.


OL-9963-04


Paso 4 Para seleccionar el elemento o elementos de datos que desee visualizar, marque las casillas de verificacin correspondientes. Puede ver un mximo de cuatro estadsticas a la vez.

Paso 5 Para ver las estadsticas de todos los elementos de datos seleccionados, haga clic en Iniciar Supervisin.

Aparecer la ventana Detalles de la interfaz que muestra todas las estadsticas seleccionadas. Por defecto, la ventana muestra los datos en tiempo real, de modo que sondea el router cada 10 segundos. Si la interfaz est activa y se transmiten datos sobre ella, deber observar un aumento en el nmero de paquetes y bytes que se transfieren a travs de la misma.

Cmo se activa o desactiva una interfaz?Una interfaz puede desactivarse sin quitar su configuracin. Tambin es posible reactivar una interfaz desactivada.

Paso 1 En la barra de categoras, haga clic en Interfaces y conexiones.

Paso 2 Haga clic en la ficha Editar interfaz/conexin.

Paso 3 Seleccione la interfaz que desee desactivar o activar.

Paso 4 Si la interfaz est activada, aparecer el botn Desactivar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz. Si la interfaz est desactivada, aparecer el botn Activar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz.


OL-9963-04


Cmo se visualizan los comandos de IOS que se envan al router?

Si est finalizando un asistente para configurar una funcin, puede ver los comandos de Cisco IOS que se envan al router haciendo clic en Finalizar.

Paso 1 En el men Editar de Cisco SDM, seleccione Preferencias.

Paso 2 Marque la casilla Obtener una vista previa de los comandos antes de enviarlos al router.

Paso 3 Haga clic en Aceptar.

La prxima vez que utilice un asistente para configurar el router y haga clic en Finalizar en la ventana Resumen, aparecer la ventana Enviar. En esta ventana puede ver los comandos que est enviando a la configuracin del router. Cuando haya terminado de revisar los comandos, haga clic en Enviar.

Si est editando una configuracin, la ventana Enviar aparece al hacer clic en Aceptar en la ventana del cuadro de dilogo. Esta ventana permite ver los comandos de Cisco IOS que se envan al router.

Cmo inicio la Aplicacin inalmbrica de Cisco SDM?Utilice el siguiente procedimiento para iniciar la aplicacin inalmbrica de Cisco SDM.

Paso 1 Vaya al men Herramientas de Cisco SDM y seleccione Aplicacin inalmbrica. La Aplicacin inalmbrica se inicia en otra ventana del explorador.

Paso 2 En el panel izquierdo, haga clic en el ttulo de la pantalla de configuracin en la que desea trabajar. Para obtener ayuda para cualquier pantalla, haga clic en el icono de ayuda en la esquina superior derecha. Este icono es un libro abierto con un signo de pregunta.


OL-9963-04


C A P T U L O3

Autenticacin 802.1x

La autenticacin 802.1x permite que un router remoto de Cisco IOS conecte usuarios VPN autenticados a una red segura mediante un tnel VPN que est constantemente activado. El router de Cisco IOS autenticar los usuarios mediante un servidor RADIUS en la red segura.

La autenticacin 802.1x se aplica a puertos de switch o puertos Ethernet (enrutados), pero no a ambos tipos de interfaces. Si la autenticacin 802.1x se aplica a un puerto Ethernet, los usuarios no autenticados se pueden enrutar a Internet afuera del tnel VPN.

La autenticacin 802.1x se configura en las interfaces utilizando el asistente para LAN. Sin embargo, antes de que pueda activar 802.1x en alguna interfaz, debe activar AAA en el router de Cisco IOS. Si intenta usar el asistente para LAN antes de activar AAA, aparece una ventana que le solicita su confirmacin para activar AAA. Si elige activar AAA, las pantallas de configuracin de 802.1x aparecen como parte del asistente para LAN. Si elige no activar AAA, las pantallas de configuracin de 802.1x no aparecen.


Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin 802.1x (puertos de switch)

Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Esta ventana le permite activar la autenticacin 802.1x en el o los puertos de switch que seleccion para configuracin, utilizando el asistente para LAN.

Activar autenticacin 802.1x

Marque Activar autenticacin 802.1x para activar la autenticacin 802.1x en el puerto de switch.

Modo host

Elija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota Los puertos en los routers Cisco 85x y Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitado

Marque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Fallos de autenticacin de VLAN

Marque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.


OL-9963-04


Reautenticacin peridica

Marque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadas

Haga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Opciones avanzadasEsta ventana le permite cambiar los valores por defecto para varios parmetros de autenticacin 802.1x.

Lmite de tiempo de servidor RADIUS

Especifique el tiempo, en segundos, que el router Cisco IOS espera antes de alcanzar el lmite de tiempo de su conexin al servidor RADIUS. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de respuesta del supplicant

Especifique el tiempo, en segundos, que el router Cisco IOS espera una respuesta de un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de reintentos del supplicant

Especifique el tiempo, en segundos, que el router Cisco IOS reintenta un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.


OL-9963-04


Perodo tranquilo

Especifique el tiempo, en segundos, que el router Cisco IOS espera entre la conexin inicial a un cliente y el envo de una solicitud de inicio de sesin. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 60 segundos.

Perodo lmite de velocidad

Los valores deben estar entre 1 y 65535 segundos. Sin embargo, el valor por defecto es 0 segundos, lo que desactiva el Perodo lmite de velocidad.

Mximo de intentos de reautenticacin

Especifique el nmero mximo de veces que el router Cisco IOS intenta reautenticar un cliente 802.1x. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Mximo de reintentos

Especifique el nmero mximo de solicitudes de inicio de sesin que se pueden enviar al cliente. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Restablecer valores por defecto

Haga clic en Restablecer valores por defecto para restablecer todas las opciones avanzadas a sus valores por defecto.


OL-9963-04

Captulo 3 Autenticacin 802.1xAsistente para LAN: Servidores RADIUS para autenticacin 802.1x

Asistente para LAN: Servidores RADIUS para autenticacin 802.1x

La informacin de autenticacin 802.1x se configura y guarda en una base de datos de polticas que reside en servidores RADIUS que ejecutan Cisco Secure ACS, versin 3.3. El router debe validar las credenciales de los clientes 802.1x comunicndose con un servidor RADIUS. Utilice esta ventana para proporcionar la informacin que el router necesita para contactarse con uno o ms servidores RADIUS. Cada servidor RADIUS que usted especifique deber tener el software de ACS Seguro de Cisco versin 3.3, instalado y configurado.

Nota Todas las interfaces del router Cisco IOS activadas con autorizacin 802.1x utilizarn los servidores RADIUS configurados en esta ventana. Cuando configure una nueva interfaz, ver nuevamente esta pantalla. Sin embargo, no se deben realizar adiciones o cambios a la informacin del servidor RADIUS.

Seleccionar el origen de cliente RADIUS

Configurar el origen RADIUS le permite especificar la direccin IP del origen que se enviar en paquetes RADIUS con destino al servidor RADIUS. Si necesita ms informacin sobre una interfaz, escoja la interfaz y haga clic en el botn Detalles.

La direccin IP del origen en los paquetes RADIUS enviados desde el router debe configurarse como la direccin IP del NAD en la versin 3.3 o superior de Cisco ACS.

Si selecciona El router elige el origen, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz a travs de la cual los paquetes RADIUS saldrn del router.

Si elige una interfaz, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz que usted escoja como el origen de cliente RADIUS.

Nota El software Cisco IOS permite que una interfaz de origen RADIUS nica se configure en el router. Si el router ya tiene configurado un origen RADIUS y usted elige un origen diferente, la direccin IP del origen colocada en los paquetes enviados al servidor RADIUS cambia a la direccin IP del nuevo origen, y es probable que no coincida con la direccin IP del NAD configurada en Cisco ACS.


OL-9963-04

Captulo 3 Autenticacin 802.1xAsistente para LAN: Servidores RADIUS para autenticacin 802.1x

Detalles

Si necesita una visin rpida de la informacin sobre una interfaz antes de seleccionarla, haga clic en Detalles. La pantalla le mostrar la direccin IP y la mscara de subred, las reglas de acceso y las reglas de inspeccin aplicadas a la interfaz, la poltica de IPSec y la poltica de QoS aplicadas, y si hay una configuracin de Easy VPN en la interfaz.

Columnas de Servidor IP, Lmite de tiempo y Parmetros

Columnas de Servidor IP, Lmite de tiempo y parmetros contienen la informacin que el router usa para comunicarse con un servidor RADIUS. Si no hay informacin del servidor RADIUS relacionada con la interfaz elegida, estas columnas quedarn en blanco.

Casilla de verificacin Usar para 802.1x

Marque esta casilla si desea utilizar el servidor RADIUS que aparece en la lista para 802.1x. El servidor debe tener configurada la informacin de autorizacin de 802.1x requerida si 802.1x se utiliza correctamente.

Agregar, editar y enviar un ping

Para suministrar informacin a un servidor RADIUS, haga clic en el botn Agregar e introduzca la informacin en la pantalla mostrada. Elija una fila y haga clic en Editar para modificar la informacin para un servidor RADIUS. Escoja una fila y haga clic en Ping para probar la conexin entre el router y el servidor RADIUS.

Nota Cuando se est efectuando una prueba de ping, introduzca la direccin IP de la interfaz del origen RADIUS en el campo de origen en el dilogo de ping. Si usted elige El router elige el origen, no necesitar proporcionar ningn valor en el campo de origen del dilogo de ping.

Los botones Editar y Ping se desactivan cuando no hay ninguna informacin del servidor RADIUS disponible para la interfaz elegida.


OL-9963-04

Captulo 3 Autenticacin 802.1xEditar autenticacin 802.1x (puertos de switch)

Editar autenticacin 802.1x (puertos de switch)Esta ventana le permite activar y configurar parmetros de autenticacin 802.1x.

Si el mensaje 802.1x no se puede configurar para un puerto que funciona en modo de enlace. aparece en lugar de los parmetros de autenticacin 802.1x, el switch no puede tener activada la autenticacin 802.1x.

Si los parmetros de autenticacin 802.1x aparecen pero estn desactivados, entonces una de las siguientes afirmaciones es verdadera:

AAA no se ha activado.

Para activar AAA, vaya a Configurar > Tareas adicionales > AAA.

AAA se activ, pero no se ha configurado una poltica de autenticacin 802.1x.

Para configurar una poltica de autenticacin 802.1x, vaya a Configurar > Tareas adicionales > AAA > Polticas de autenticacin > 802.1x.

Activar autenticacin 802.1x

Marque Activar autenticacin 802.1x para activar la autenticacin 802.1x en este puerto de switch.

Modo host

Elija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota Los puertos en los routers Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitado

Marque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.


OL-9963-04

Captulo 3 Autenticacin 802.1xAsistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Fallos de autenticacin de VLAN

Marque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Reautenticacin peridica

Marque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadas

Haga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Esta ventana le permite activar la autenticacin 802.1x en el puerto Ethernet que seleccion para configuracin, utilizando el asistente para LAN. Para routers Cisco 87x, esta ventana est disponible para configurar una VLAN con autenticacin 802.1x.

Nota Antes de configurar 802.1x en la VLAN, asegrese de que 802.1x no est configurado en ningn puerto de switch de VLAN. Asegrese tambin de que la VLAN est configurada para DHCP.

Utilizar autenticacin 802.1x para separar trfico fiable y no fiable en la interfaz

Marque Utilizar autenticacin 802.1x para separar el trfico fiable y no fiable en la interfaz para activar autenticacin 802.1x.


OL-9963-04


Conjunto de direcciones IP de DHCP para clientes 802.1x que no son fiables

Para activar una conexin a Internet para clientes que no tienen autenticacin 802.1x, a cada cliente no fiable se le debe asignar una direccin IP nica. Estas direcciones IP pueden venir de un conjunto de direcciones IP nuevo o existente, pero los conjuntos usados no se pueden superponer con las direcciones IP de alguna de las interfaces existentes del router Cisco IOS.

Nota El conjunto de direcciones IP se puede superponer con la direccin IP utilizada para una interfaz de retrobucle. Sin embargo, se le solicitar que confirme dicha superposicin antes de que se permita.

Elija Crear un conjunto nuevo para configurar un nuevo conjunto de direcciones IP para emitir direcciones IP a clientes que no son fiables. Los campos siguientes pueden estar completos con informacin ingresada anteriormente, pero usted puede cambiarlos o llenarlos:

Red Especifique la direccin de red IP desde la cual se deriva el conjunto de direcciones IP.

Mscara de subred Especifique la mscara de subred para definir la red y las partes de host de la direccin IP especificada en el campo Red.

Servidor DNS 1 El servidor DNS es un servidor que asigna un nombre de dispositivo conocido a su direccin IP. Si se configura un servidor DNS para su red, especifique la direccin IP para ese servidor.

Servidor DNS 2 Si hay un servidor DNS adicional en la red, especifique la direccin IP para ese servidor.


OL-9963-04


Si hay un conjunto de direcciones IP existente que desea usar para emitir direcciones IP a clientes que no son fiables, elija Seleccionar un conjunto existente. Elija el conjunto existente desde el men desplegable. Para ver ms informacin acerca de un conjunto existente, haga clic en Detalles.

Listas de excepciones

Haga clic en Listas de excepciones para crear o editar una lista de excepciones. Una lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN.

Eximir a los telfonos Cisco IP de autenticacin 802.1x

Marque Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les permite usar el tnel VPN.

Listas de excepciones de 802.1xUna lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN. Los clientes eximidos se identifican por sus direcciones MAC.

Agregar

Haga clic en Agregar para abrir una ventana donde pueda agregar la direccin MAC de un cliente. La direccin MAC debe estar en el formato que coincida con uno de estos ejemplos:

0030.6eb1.37e4

00-30-6e-b1-37-e4

Servidor WINS 1 Algunos clientes pueden necesitar Windows Internet Naming Service (WINS) para conectarse a dispositivos de Internet. Si hay un servidor WINS en la red, especifique la direccin IP para ese servidor.

Servidor WINS 2 Si hay un servidor WINS adicional en la red, especifique la direccin IP para ese servidor.


OL-9963-04

Captulo 3 Autenticacin 802.1xAutenticacin 802.1x en interfaces de capa 3

Cisco SDM rechaza direcciones MAC que tienen formato incorrecto, excepto direcciones MAC ms cortas que los ejemplos dados. Las direcciones MAC ms cortas se rellenarn con un 0 (cero) por cada dgito que falte.

Nota La funcin 802.1x de Cisco SDM no admite la opcin CLI que asocia polticas con direcciones MAC, y no se incluir en las direcciones MAC de la lista de excepciones que tienen una poltica asociada con ellas.

Eliminar

Haga clic en Eliminar para eliminar un cliente seleccionado de la lista de excepciones.

Autenticacin 802.1x en interfaces de capa 3Esta ventana le permite configurar autenticacin 802.1x. en una Interfaz de capa 3. Enumera puertos Ethernet e interfaces VLAN que se han configurado o que se pueden configurar con autenticacin 802.1x, le permite seleccionar una interfaz de plantilla virtual para clientes no fiables y crea una lista de excepciones para que los clientes omitan la autenticacin 802.1x.

Nota Si las polticas se han definido utilizando la CLI, aparecern como informacin de slo lectura en esta ventana. En este caso, slo se permite activar o desactivar 802.1x en esta ventana.

Tareas previas

Si aparece una tarea previa en la ventana, sta debe finalizarse antes de que la autenticacin 802.1x se pueda configurar. Se muestra un mensaje que explica la tarea previa, junto con un enlace a la ventana donde se puede finalizar la tarea.

Activar globalmente la autenticacin 802.1x

Marque Activar globalmente la autenticacin 802.1x para activar la autenticacin 802.1x en todos los puertos Ethernet.


OL-9963-04

Captulo 3 Autenticacin 802.1xAutenticacin 802.1x en interfaces de capa 3

Tabla de interfaces

La tabla de interfaces tiene las siguientes columnas:

Interfaz: muestra el nombre de la interfaz Ethernet o VLAN.

Autenticacin 802.1x: indica si la autenticacin 802.1x est activada para el puerto Ethernet.

Editar

Haga clic en Editar para abrir una ventana con parmetros de autenticacin 802.1x editables. Los parmetros son los ajustes de autenticacin 802.1x para la interfaz elegida en la tabla de interfaces.

Poltica de usuarios no fiables

Elija una interfaz de plantilla virtual desde la lista desplegable. La interfaz de plantilla virtual elegida representa la poltica que se aplica a clientes que no tienen autenticacin 802.1x.

Para ver ms informacin acerca de la interfaz de plantilla virtual elegida, haga clic en el botn Detalles.

Lista de excepciones

Para obtener ms informacin acerca de la lista de excepciones, consulte Listas de excepciones de 802.1

guía del usuario de cisco router and security device manager · conexión: interfaz de serie,...

Documents