configuracion router cisco

Gua del usuario de Cisco Router and Security Device Manager2.4.1

Sede central para Amrica Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 EE.UU. http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387) Fax: 408 527-0883Nmero de pedido del cliente: Nmero de parte de texto: OL-9963-04

LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN PREVIO AVISO. TODAS LAS DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE MANUAL SE CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA. LA APLICACIN DE CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS. LA LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE LA ACOMPAA SE ESTABLECEN EN EL PAQUETE DE INFORMACIN SUMINISTRADO CON EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA REFERENCIA. SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE DE CISCO PARA OBTENER UNA COPIA. La implantacin de Cisco de la compresin de encabezados TCP es una adaptacin de un programa desarrollado por la Universidad de California, Berkeley (UCB) como parte de la versin de dominio publico de la UCB del sistema operativo UNIX. Todos los derechos reservados. Copyright 1981, Regents of the University of California. A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y SOFTWARE DE ESTOS PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y LOS PROVEEDORES MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA, EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES, LAS DE COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO INFRACCIN O LAS QUE PUEDAN SURGIR DEL TRATO, USO O PRCTICA COMERCIAL. EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN RESPONSABLES DE NINGN DAO INDIRECTO, ESPECIAL, CONSECUENTE O FORTUITO, INCLUYENDO, SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS PERDIDOS O DAADOS, QUE PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO DE ESTE MANUAL, INCLUSO EN CASO DE QUE CISCO O SUS PROVEEDORES HAYAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS.

Ninguna direccin de Protocolo de Internet (IP) utilizada en este documento es real. Todo ejemplo, resultado de visualizacin de comandos y figura incluido en el documento se muestran slo con fines ilustrativos. El uso de cualquier direccin IP en contenido ilustrativo es mera coincidencia. Gua del usuario de Cisco Router and Security Device Manager 2.4 2007 Cisco Systems, Inc. Todos los derechos reservados.

CONTENIDOPgina de inicio 1 Asistente para LAN 1 Configuracin de Ethernet 3 Asistente para LAN: Seleccionar una interfaz 3 Asistente para LAN: Direccin IP/mscara de subred 3 Asistente para LAN: Activar Servidor DHCP 4 Asistente para LAN: Conjuntos de direcciones DHCP 4 Opciones de DHCP 5 Asistente para LAN: Modo VLAN 6 Asistente para LAN: Puerto del switch 6 Puente IRB 7 Configuracin BVI 8 Conjunto DHCP para BVI 8 IRB para Ethernet 9 Configuracin de Ethernet Nivel 3 9 Configuracin 802.1Q 9 Configuracin del enlace o enrutamiento 10 Mdulo de configuracin del dispositivo del switch 10 Configurar interfaz de Ethernet de gigabits 10 Resumen 11

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

iii

Contenido

Cmo... 11 Cmo se configura una ruta esttica? 11 Como se visualiza la actividad en la interfaz LAN? 12 Cmo se activa o desactiva una interfaz? 13 Cmo se visualizan los comandos de IOS que se envan al router? 14 Cmo inicio la Aplicacin inalmbrica de Cisco SDM? 14 Autenticacin 802.1x 1 Asistente para LAN: Autenticacin 802.1x (puertos de switch) 2 Opciones avanzadas 3 Asistente para LAN: Servidores RADIUS para autenticacin 802.1x 5 Editar autenticacin 802.1x (puertos de switch) 7 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet) 8 Listas de excepciones de 802.1x 10 Autenticacin 802.1x en interfaces de capa 3 11 Editar la autenticacin 802.1x 13 Cmo... 14 Cmo configuro autenticacin 802.1x en ms de un puerto Ethernet? 14 Asistentes para crear conexiones 1 Crear conexin 1 Ventana de bienvenida de la interfaz del asistente para WAN Ventana de bienvenida del mdem analgico 3 Ventana de bienvenida de la conexin de reserva auxiliar 3 Seleccionar la interfaz 4 Encapsulacin: PPPoE 4 Direccin IP: ATM o Ethernet con PPPoE/PPPoA 5 Direccin IP: ATM con enrutamiento RFC 1483 63

Ventana de bienvenida de la interfaz del asistente para ISDN (RDSI) 3

Gua del usuario de Cisco Router and Security Device Manager 2.4

iv

OL-9963-04

Contenido

Direccin IP: Ethernet sin PPPoE 7 Direccin IP: serie con Protocolo punto a punto 7 Direccin IP: serie con HDLC o Frame Relay 8 Direccin IP: ISDN (RDSI) BRI o mdem analgico 9 Autenticacin 10 Tipo de switch y SPID 11 Cadena de marcacin 12 Configuracin de la conexin de reserva 13 Configuracin de la conexin de reserva: Direcciones IP de la interfaz principal y del prximo salto (next hop) 13 Configuracin de la conexin de reserva: Nombre de host o direccin IP objeto del seguimiento 14 Opciones avanzadas 14 Encapsulacin 15 PVC17

Configuracin de LMI y DLCI 19 Configuracin del reloj 20 Eliminar conexin 22 Resumen24

Pruebas y resolucin de problemas de la conectividad 25 Cmo... 29 Cmo se visualizan los comandos de IOS que se envan al router? 29 Cmo se configura una interfaz WAN no admitida? 29 Cmo se activa o desactiva una interfaz? 30 Como se visualiza la actividad en la interfaz WAN? 30 Cmo se configura NAT en una interfaz WAN? 31 Cmo se configura NAT en una interfaz no admitida? 32 Cmo se configura un protocolo de enrutamiento dinmico? 32


v

Contenido

Cmo se configura el enrutamiento de marcacin a peticin para la interfaz asncrona o ISDN? 33 Cmo se edita una Configuracin de interfaz de radio? 34 Editar interfaz/conexin 1 Conexin: Ethernet para IRB 6 Conexin: Ethernet para enrutamiento 7 Mtodos existentes de DNS dinmico 8 Agregar Mtodo de DNS dinmico 9 Inalmbrica 10 Asociacin NAT 13 Editar puerto del switch 13 Servicio de aplicacin 15 General 16 Seleccionar el tipo de configuracin Ethernet 18 Conexin: VLAN 19 Lista de subinterfaces 20 Agregar/Editar una interfaz BVI 20 Agregar o editar una interfaz de retrobucle 21 Conexin: Interfaz de plantilla virtual 21 Conexin: LAN Ethernet Conexin: WAN Ethernet22 23 10

Ethernet Properties (Propiedades de Ethernet) 25 Conexin: Ethernet sin encapsulacin 27 Conexin: ADSL 28 Conexin: ADSL sobre ISDN (RDSI) 31 Conexin: G.SHDSL 34


vi

OL-9963-04

Contenido

Configurar controlador DSL 38 Agregar una conexin G.SHDSL 40 Conexin: Interfaz de serie, encapsulacin Frame Relay 43 Conexin: Interfaz de serie, encapsulacin PPP 46 Conexin: Interfaz de serie, encapsulacin HDLC 48 Agregar o editar un tnel GRE 49 Conexin: ISDN (RDSI) BRI 51 Conexin: Mdem analgico 54 Conexin: (Reserva AUX.) 56 Autenticacin 59 Informacin de SPID 60 Opciones de marcacin 61 Configuracin de la copia de seguridad 63 Crear un firewall 1 Asistente de configuracin para firewall bsico 4 Configuracin de la interfaz de firewall bsico 4 Configuracin del firewall para acceso remoto 5 Asistente de configuracin para firewall avanzado 5 Configuracin de la interfaz de firewall avanzado 5 Configuracin del servicio DMZ de firewall avanzado 6 Configuracin de servicio DMZ 7 Configuracin de seguridad de la aplicacin 8 Configuracin del servidor del nombre del dominio 9 Configuracin del servidor de filtro URL 9 Seleccionar la zona de interfaz 10 Zonas internas de ZPF 10 Resumen 10 Alerta de SDM: Acceso a SDM 12Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

vii

Contenido

Cmo... 14 Como se visualiza la actividad en el firewall? 14 Cmo se configura un firewall en una interfaz no compatible? 16 Cmo se configura un firewall despus de configurar una VPN? 17 Cmo se puede permitir que pase determinado trfico por una interfaz DMZ? 17 Cmo se modifica un firewall existente para permitir el trfico procedente de una nueva red o host? 18 Cmo se configura NAT en una interfaz no admitida? 19 Cmo se configura el paso de NAT (NAT Passthrough) para un firewall? 19 Cmo se permite que el trfico llegue al concentrador Easy VPN a travs del firewall? 20 Cmo se asocia una regla a una interfaz? 21 Cmo se anula la asociacin de una regla de acceso con una interfaz? 22 Cmo se elimina una regla que est asociada a una interfaz? 23 Cmo se crea una regla de acceso para una lista Java? 23 Cmo se permite que trfico determinado entre en la red si no se dispone de una red DMZ? 24 Poltica de firewall 1 Editar poltica de firewall/Lista de control de acceso 1 Seleccionar un flujo de trfico 3 Examinar el diagrama de trfico y seleccionar una direccin de trfico 5 Realizar cambios a las reglas de acceso 7 Realizar cambios a las reglas de inspeccin 11 Agregar entrada de aplicacin nombre_aplicacin 13 Agregar entrada de aplicacin RPC 14 Agregar entrada de aplicacin de fragmento 15 Agregar o editar entrada de aplicacin HTTP 16 Bloqueo del subprograma Java 17 Advertencia de Cisco SDM: Regla de inspeccin 18 Advertencia de Cisco SDM: Firewall 18Gua del usuario de Cisco Router and Security Device Manager 2.4

viii

OL-9963-04

Contenido

Editar poltica de firewall 19 Agregar una nueva regla 22 Agregar trfico 23 Inspeccin de aplicacin 25 Filtro URL 25 Calidad de servicio (QoS) 25 Parmetro de inspeccin 25 Seleccionar trfico 26 Eliminar regla 26 Seguridad de la Aplicacin 1 Ventanas de Seguridad de la Aplicacin 2 Ninguna Poltica de Seguridad de la Aplicacin 3 Correo electrnico 4 Mensajera Instantnea 6 Aplicaciones Par-a-Par 7 Filtrado de URL 7 HTTP 8 Opciones del encabezado 10 Opciones del contenido 11 Aplicaciones y Protocolos 13 Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC 15 Asociar Poltica con una Interfaz 18 Editar la Regla de Inspeccin 18 Controles Permitir, Bloquear y Alerta 20


ix

Contenido

VPN sitio a sitio 1 Gua de diseo de VPN 1 Crear VPN sitio a sitio 1 Asistente para VPN sitio a sitio 4 Ver valores por defecto 6 Informacin acerca de la conexin VPN 6 Propuestas IKE 8 Conjunto de transformacin 11 Trfico para proteger 13 Resumen de la configuracin 15 Configuracin de spoke 15 Tnel GRE seguro (GRE sobre IPSec) 16 Informacin acerca del tnel GRE 17 Informacin de autenticacin VPN 18 Informacin acerca del tnel GRE de reserva 19 Informacin de enrutamiento 20 Informacin sobre el enrutamiento esttico 22 Seleccionar el protocolo de enrutamiento 24 Resumen de la configuracin 24 Editar VPN sitio a sitio 25 Agregar nueva conexin 28 Agregar mapa criptogrfico 28 Asistente para mapas criptogrficos: Bienvenido 29 Asistente para mapas criptogrficos: Resumen de la configuracin 30 Eliminar conexin 30 Ping 31 Generar el reflejo... 31 Advertencia de Cisco SDM: Reglas NAT con ACL 32


x

OL-9963-04

Contenido

Cmo... 33 Cmo se crea una VPN para ms de un sitio? 33 Despus de configurar una VPN, cmo se configura la VPN en el router del par? 35 Cmo se edita un tnel VPN existente? 37 Cmo se puede confirmar que mi VPN funciona? 37 Cmo se configura un par de reserva para mi VPN? 38 Cmo se acomodan varios dispositivos con diferentes niveles de admisin de VPN? 39 Cmo se configura una VPN en una interfaz no compatible? 40 Cmo se configura una VPN despus de configurar un firewall? 40 Cmo se configura el paso de NAT (NAT Passthrough) para una VPN? 40 Easy VPN remoto 1 Creacin de Easy VPN remoto 1 Configurar un cliente de Easy VPN remoto 1 Informacin del servidor 2 Autenticacin 3 Interfaces y configuracin de conexiones 5 Resumen de la configuracin 6 Editar Easy VPN remoto 7 Agregar o Editar Easy VPN remoto 13 Agregar o Editar Easy VPN remoto: Configuracin de Easy VPN 16 Agregar o Editar Easy VPN remoto: Informacin de autenticacin 18 Especificar credenciales para SSH 21 Ventana Conexin a XAuth 21 Agregar o Editar Easy VPN remoto: Configuracin general 21 Opciones de la Extensin de la Red 23 Agregar o Editar Easy VPN remoto: Informacin de autenticacin 24 Agregar o Editar Easy VPN remoto: Interfaces y conexiones 26


xi

Contenido

Cmo... 28 Cmo se edita una conexin Easy VPN existente? 28 Cmo configuro una conexin de respaldo para una conexin de la Easy VPN? 28 Servidor Easy VPN 1 Crear un servidor Easy VPN 1 Bienvenido al asistente para servidores Easy VPN 2 Interfaz y Autenticacin 2 Bsqueda de Poltica de grupos y Autorizacin de grupos 3 Autenticacin de usuario (XAuth) 4 Cuentas de usuario para XAuth 5 Agregar servidor RADIUS 6 Autorizacin de grupo: Polticas de grupos de usuarios 6 Informacin General del Grupo 7 Configuracin de DNS y WINS 9 Divisin de la arquitectura de tneles 10 Configuraciones del Cliente 12 Elija las Configuraciones del Proxy del Explorador 15 Agregar o Editar Configuraciones del Proxy del Explorador 16 Autenticacin de usuario (XAuth) 17 Actualizacin del Cliente 18 Agregar o Editar Entrada de Actualizacin del Cliente 19 Resumen 21 Configuraciones del Proxy del Explorador 21 Agregar o Editar el Servidor de la Easy VPN 23 Agregar o editar conexin de servidor Easy VPN 24 Restringir Acceso 25 Configuracin de polticas de grupo 26


xii

OL-9963-04

Contenido

Conjuntos IP 29 Agregar o editar conjunto local IP 30 Agregar intervalo de direcciones IP 30 Enhanced Easy VPN 1 Interfaz y Autenticacin 1 Servidores RADIUS 2 Polticas de Grupo de usuarios y Autorizacin de grupos 4 Agregar o Editar servidor Easy VPN: Ficha General 5 Agregar o Editar servidor Easy VPN: Ficha IKE 5 Agregar o Editar servidor Easy VPN: Ficha IPSec 7 Crear interfaz de tnel virtual 8 DMVPN 1 Red privada virtual multipunto dinmica (DMVPN) 1 Asistente para hubs de red privada virtual multipunto dinmica 2 Tipo de hub 3 Configurar la clave previamente compartida 3 Configuracin de la interfaz de tnel GRE de hub 4 Configuracin avanzada para la interfaz de tnel 5 Hub principal 7 Seleccionar el protocolo de enrutamiento 7 Informacin de enrutamiento 8 Asistente para spokes de privada virtual multipunto dinmica 10 Topologa de red DMVPN 10 Especificar la informacin del hub 11 Configuracin de la interfaz de tnel GRE de spoke 11 Advertencia de Cisco SDM: DMVPN Dependency (Dependencia DMVPN) 13


xiii

Contenido

Editar VPN multipunto dinmica (DMVPN) 13 Panel General 15 Panel NHRP 17 Configuracin del mapa NHRP 18 Panel Enrutamiento 19 Cmo se configura una red DMVPN manualmente? 21 Configuracin VPN global 1 Configuracin VPN global 1 Configuracin VPN global: IKE 3 Configuracin VPN global: IPSec 4 Configuracin del cifrado de la clave VPN 5 Seguridad IP 1 Polticas IPSec 1 Agregar una poltica IPSec/Editar la poltica IPSec 4 Agregar o editar el mapa criptogrfico: General 5 Agregar o editar el mapa criptogrfico: Informacin del par 7 Agregar o editar el mapa criptogrfico: Conjuntos de transformacin Agregar o editar el mapa criptogrfico: Trfico de proteccin 10

7

Conjuntos de mapas criptogrficos dinmicos 12 Agregar un conjunto de mapas criptogrficos dinmicos/Editar el conjunto de mapas criptogrficos dinmicos 12 Asociar mapas criptogrficos a esta poltica IPSec 13 Perfiles IPsec 13 Agregar o editar un perfil IPSec 14 Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa criptogrfico dinmico 16 Conjunto de transformacin 17 Agregar/Editar conjunto de transformacin 20 Reglas IPSec 23Gua del usuario de Cisco Router and Security Device Manager 2.4

xiv

OL-9963-04

Contenido

Intercambio de claves por Internet 1 Intercambio de claves por Internet (IKE) 1 Polticas IKE 2 Agregar o editar una poltica IKE 4 Claves previamente compartidas de IKE 6 Agregar una nueva clave previamente compartida/Editar la clave previamente compartida 8 Perfiles IKE 9 Agregar o editar un perfil IKE 10 Infraestructura de clave pblica 1 Asistentes para certificados 1 Bienvenido al Asistente para SCEP 3 Informacin acerca de la Autoridad certificadora (CA) 3 Opciones avanzadas 4 Atributos del nombre de asunto del certificado 5 Otros atributos de asunto 6 Claves RSA 7 Resumen 8 Certificado de servidor de la CA 9 Estado de suscripcin 9 Bienvenido al Asistente para cortar y pegar 10 Tarea de suscripcin 10 Solicitud de suscripcin 11 Continuar con la suscripcin sin terminar 11 Importar el certificado de la CA 12 Importar el o los certificados de router 12


xv

Contenido

Certificados digitales 13 Informacin acerca del punto de confianza 15 Detalles del certificado 16 Comprobar revocacin 16 Comprobar revocacin de CRL nicamente 17 Ventana Claves RSA 17 Generar par de claves RSA 18 Credenciales del token USB 20 Tokens USB 20 Agregar o Editar un token USB 21 Abrir Firewall 23 Abrir detalles del firewall 24 Servidor de la autoridad certificadora 1 Crear servidor de la CA 1 Tareas previas para configuraciones de PKI 2 Asistente para el servidor de la CA: Bienvenido 3 Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora 4 Opciones avanzadas 5 Asistente para el servidor de la CA: Claves RSA 7 Abrir Firewall 8 Asistente para el servidor de la CA: Resumen 9 Administrar servidor de la CA 10 Servidor de la CA de reserva 12 Administrar servidor de la CA: Restaurar ventana 12 Restaurar servidor de la CA 12 Editar configuracin del servidor de la CA: Ficha General 13 Editar configuracin del servidor de la CA: Ficha Avanzado 13 Administrar servidor de la CA: Servidor de la CA no configurado 14Gua del usuario de Cisco Router and Security Device Manager 2.4

xvi

OL-9963-04

Contenido

Administrar certificados 14 Solicitudes pendientes 14 Certificados revocados 16 Revocar certificado 17 VPN con SSL de Cisco IOS 1 Enlaces de VPN con SSL de Cisco IOS en Cisco.com 2 Crear SSL VPN 3 Certificado con firma automtica permanente 5 Bienvenido 6 Gateways SSL VPN 6 Autenticacin del Usuario 7 Configurar sitios Web de la intranet 9 Agregar o editar URL 9 Personalizar el portal SSL VPN 10 Configuracin de paso por SSL VPN 10 Poltica de usuarios 11 Detalles de la poltica de grupo de SSL VPN: Policyname 11 Seleccionar el grupo de usuarios de SSL VPN 12 Seleccionar funciones avanzadas 12 Cliente ligero (mapeo de puertos) 13 Agregar o editar un servidor 13 Ms detalles acerca de los servidores de mapeo de puertos 14 Tnel completo 15 Buscar el paquete de instalacin de Cisco SDM 17 Activar Cisco Secure Desktop 19 Sistema de archivos de Internet comn 20 Activar Citrix sin cliente 21 Resumen 21 Editar SSL VPN 21


xvii

Contenido

Contexto de SSL VPN 23 Designar interfaces como internas o externas 25 Seleccionar un gateway 25 Contexto: Polticas de grupo 25 Ms detalles acerca de las polticas de grupo 26 Poltica de grupo: Ficha General 27 Poltica de grupo: Ficha Sin clientes 27 Poltica de grupo: Ficha Cliente ligero 28 Poltica de grupo: Ficha Cliente VPN con SSL (tnel completo) 29 Opciones avanzadas de tnel 30 Ms detalles acerca de la divisin de la arquitectura de tneles 33 Servidores DNS y WINS 34 Contexto: Configuracin HTML 34 Seleccionar color 35 Contexto: Listas de servidores de nombres NetBIOS 36 Agregar o editar una lista de servidores de nombres NetBIOS 36 Agregar o editar un servidor NBNS 36 Contexto: Listas de mapeo de puertos 37 Agregar o editar una lista de mapeo de puertos 37 Contexto: Listas de direcciones URL 37 Agregar o editar una lista de direcciones URL 38 Contexto: Cisco Secure Desktop 38 Gateways SSL VPN 39 Agregar o editar un gateway SSL VPN 40 Paquetes 41 Instalar paquete 42 Contextos, gateways y polticas VPN con SSL de Cisco IOS 42


xviii

OL-9963-04

Contenido

Cmo... 49 Cmo puedo confirmar que VPN con SSL de Cisco IOS funciona? 49 Cmo se configura una VPN con SSL de Cisco IOS despus de configurar un firewall? 50 Cmo puedo asociar una instancia de VRF con un contexto de VPN con SSL de Cisco IOS? 50 Resolucin de problemas de VPN 1 Resolucin de problemas de VPN1

Resolucin de problemas de VPN: Especificar el cliente Easy VPN 4 Resolucin de problemas de VPN: Generar trfico 4 Resolucin de problemas de VPN: Generar trfico GRE 6 Advertencia de Cisco SDM: SDM activar depuraciones del router 7 Auditora de seguridad 1 Pgina de bienvenida 4 Pgina de seleccin de la interfaz 5 Pgina Tarjeta de informes 5 Pgina Repararlo 6 Desactivar el servicio Finger 7 Desactivar el servicio PAD 8 Desactivar el servicio de pequeos servidores TCP 8 Desactivar el servicio de pequeos servidores UDP 9 Desactivar el servicio del servidor IP bootp 10 Desactivar el servicio IP ident 10 Desactivar CDP 11 Desactivar la ruta de origen IP 11 Activar el servicio de cifrado de contraseas 12 Activar los paquetes keep-alive de TCP para sesiones telnet entrantes 12 Activar los paquetes keep-alive de TCP para sesiones telnet salientes 13


xix

Contenido

Activar nmeros de secuencia y marcadores de hora en depuraciones 13 Activar IP CEF 14 Desactivar Gratuitous ARP de IP 14 Definir la longitud mnima de la contrasea a menos de 6 caracteres 15 Definir la proporcin de fallos de autenticacin a menos de 3 intentos 15 Definir la hora TCP Synwait 16 Definir anuncio 16 Activar registro 17 Definir activacin de la contrasea secreta 18 Desactivar SNMP 18 Definir el intervalo del Programador 19 Definir asignacin del Programador 19 Definir usuarios 20 Activar configuracin Telnet 20 Activar cambio a NetFlow 21 Desactivar redireccionamiento IP 21 Desactivar ARP Proxy IP 22 Desactivar difusin dirigida IP 22 Desactivar servicio MOP 23 Desactivar IP de destino inalcanzable 23 Desactivar respuesta de mscara IP 24 Desactivar IP de destino inalcanzable en interfaz NULA 24 Activar RPF unidifusin en todas las interfaces externas 25 Activar firewall en todas las interfaces externas 26 Definir la clase de acceso en el servicio de servidor HTTP 26 Definir la clase de acceso en lneas VTY 27 Activar SSH para acceder al router 27 Activar AAA 28 Pantalla Resumen de la configuracin 28 Cisco SDM y AutoSecure de Cisco IOS 28Gua del usuario de Cisco Router and Security Device Manager 2.4

xx

OL-9963-04

Contenido

Configuraciones de seguridad que Cisco SDM puede deshacer 31 Cmo deshacer las correcciones de la Auditora de seguridad 32 Pantalla Agregar/Editar una cuenta Telnet/SSH 32 Configurar cuentas de usuario para Telnet/SSH 33 Pgina Enable Secret and Banner (Activar contrasea secreta y anuncio) 34 Pgina Registro 35 Enrutamiento 1 Agregar ruta esttica de IP/Editar la ruta esttica de IP 4 Agregar/Editar una ruta RIP 5 Agregar o editar una ruta OSPF 6 Agregar o editar una ruta EIGRP 7 Traduccin de direcciones de red 1 Asistentes de traduccin de direcciones de la red 1 Asistente de NAT bsica: Bienvenido 2 Asistente de NAT bsica: Conexin 2 Resumen 3 Asistente de NAT avanzada: Bienvenido 3 Asistente de NAT avanzada: Conexin 4 Agregar direccin IP 4 Asistente de NAT avanzada: Redes 4 Agregar redes 5 Asistente de NAT avanzada: Direcciones IP pblicas del servidor 6 Agregar o editar Regla de traduccin de direcciones 6 Asistente de NAT avanzada: Conflicto ACL 8 Detalles 8 Reglas de traduccin de direcciones de la red 8 Designar interfaces NAT 13 Configuracin del lmite de tiempo para la traduccin 13Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxi

Contenido

Editar mapa de ruta 15 Editar entrada del mapa de ruta 16 Conjuntos de direcciones 17 Agregar/Editar conjunto de direcciones 18 Agregar o editar regla de traduccin de direcciones estticas: De interna a externa 19 Agregar o editar regla de traduccin de direcciones estticas: De externa a interna 22 Agregar o editar regla de traduccin de direcciones dinmicas: De interna a externa 25 Agregar o editar regla de traduccin de direcciones dinmicas: De externa a interna 28 Cmo. . . 30 Cmo configuro la Traduccin de direcciones de externa a interna? 31 Cmo configuro NAT con una LAN y mltiples WAN? 31 Cisco IOS IPS 1 Crear IPS 2 Crear IPS: Bienvenido 3 Crear IPS: Seleccionar interfaces 3 Crear IPS: Ubicacin SDF 3 Crear IPS: Archivo de firma 4 Crear IPS: Ubicacin y categora del archivo de configuracin 6 Agregar o editar una ubicacin de configuracin 6 Seleccin de directorio 7 Archivo de firma 7 Crear IPS: Resumen 8 Crear IPS: Resumen 9 Editar IPS 10 Editar IPS: Polticas IPS 11 Activar o editar IPS en una interfaz 14Gua del usuario de Cisco Router and Security Device Manager 2.4

xxii

OL-9963-04

Contenido

Editar IPS: Configuraciones globales 15 Editar configuracin global 17 Agregar o editar una ubicacin de firma 19 Editar IPS: Mensajes SDEE 20 Texto de los mensajes SDEE 21 Editar IPS: Configuraciones globales 23 Editar configuracin global 24 Editar requisitos previos de IPS 26 Agregar clave pblica 27 Editar IPS: Actualizacin automtica 27 Editar IPS: Configuracin SEAP 29 Editar IPS: Configuracin SEAP: ndice de valor de destino 29 Agregar ndice de valor de destino 31 Editar IPS: Configuracin SEAP: Anulaciones de accin de evento 31 Agregar o editar una anulacin de accin de evento 33 Editar IPS: Configuracin SEAP: Filtros de accin de evento 34 Agregar o editar un filtro de accin de evento 36 Editar IPS: Firmas 39 Editar IPS: Firmas 45 Editar firma 50 Seleccin de archivos 53 Asignar acciones 54 Importar firmas 55 Agregar, editar o duplicar firma 57 Cisco Security Center 59 Archivos de definicin de firmas entregados con IPS 59 Panel de seguridad 61 Migracin IPS 64 Asistente para migracin: Bienvenido 64


xxiii

Contenido

Asistente para migracin: Seleccione el archivo de firma de copia de seguridad de IOS IPS 64 Archivo de firma 65 Java Heap Size 65 Gestin del mdulo de red 1 Gestin del mdulo de red IDS 1 Direccin IP de la interfaz del sensor IDS 3 Determinacin de la direccin IP 4 Lista de verificacin de la configuracin del mdulo de red IDS 5 Configuracin de supervisin de la interfaz del mdulo de red IDS 7 Inicio de sesin del mdulo de red 7 Funcin No disponible 7 Seleccin de interfaz del mdulo de switch 7 Calidad de servicio (QoS) 1 Crear poltica de QoS 1 Asistente para QoS 2 Seleccin de Interfaz2

Generacin de la poltica de QoS 3 Resumen de la configuracin de QoS 3 Editar poltica de QoS 5 Asociar o anular asociacin de la poltica de QoS 8 Agregar o editar una clase de QoS 8 Editar valores DSCP de coincidencia 10 Editar valores de protocolo de coincidencia 10 Agregar protocolos personalizados 11 Editar ACL de coincidencia 11 Editar valores DSCP de coincidencia 11


xxiv

OL-9963-04

Contenido

Control de Admisin a la Red 1 Ficha Crear NAC 2 Otras Tareas en una Implementacin del NAC 3 Bienvenido 4 Servidores de Polticas del NAC 5 Seleccin de Interfaz 7 Lista de excepcin de NAC 8 Agregar o Editar una Entrada de la Lista de Excepcin 9 Elegir una Poltica de Excepcin 9 Agregar Poltica de Excepcin 10 Poltica de Hosts sin Agentes 11 Configurar el NAC para el Acceso Remoto 12 Modificar el firewall 12 Ventana Detalles 13 Resumen de la configuracin 13 Ficha Editar NAC 14 Componentes del NAC 15 Ventana Lista de Excepcin 16 Ventana Polticas de Excepcin 16 Lmites de tiempo del NAC 17 Configurar la Poltica del NAC 18 Cmo... 20 Cmo Configuro un Servidor de Poltica del NAC? 20 Cmo Instalo y Configuro un Agente de gestin de estado en un Host? 20 Propiedades del router 1 Propiedades del dispositivo 1 Fecha y hora: Propiedades del reloj 3 Propiedades de fecha y hora 3 NTP 5 Agregar/Editar detalles del servidor NTP 6Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxv

Contenido

SNTP 7 Agregar detalles del servidor NTP 8 Registro 9 SNMP 10 Netflow 11 Usuarios de Netflow 12 Acceso a router 13 Cuentas de usuario: Configurar cuentas de usuario para el acceso al router 13 Agregar/Editar un nombre de usuario 14 Contrasea de la vista 16 Configuracin VTY 17 Editar lneas vty 18 Configurar polticas de acceso a la gestin 19 Agregar/Editar una poltica de gestin 21 Mensajes de error de acceso a la gestin 23 SSH 25 Configuracin DHCP 26 Conjuntos DHCP 26 Agregar o Editar conjunto DHCP 27 Asociaciones DHCP 28 Agregar o Editar la Asociacin DHCP 30 Propiedades de DNS 31 Mtodos DNS dinmicos 31 Agregar o Editar un mtodo DNS dinmico 32


xxvi

OL-9963-04

Contenido

Editor ACL 1 Procedimientos tiles para las reglas de acceso y firewalls 3 Ventanas de reglas 4 Agregar/Editar una regla 8 Asociar con una interfaz 11 Agregar una entrada de regla estndar 12 Agregar una entrada de regla ampliada 14 Seleccionar una regla 19 Asignacin puerto a aplicacin 1 Asignaciones puerto a aplicacin 1 Agregar o editar entrada de asignacin de puerto 3 Firewall de poltica basado en zonas 1 Ventana de zona 2 Agregar o editar una zona 3 Reglas generales de la poltica basada en zonas 4 Pares de zonas 5 Agregar o editar un par de zonas 6 Agregar una zona 6 Seleccionar una zona 7 Authentication, Authorization and Accounting (AAA) 1 Ventana principal de AAA 2 Grupos y servidores AAA 3 Ventana Servidores AAA 3 Agregar o editar un servidor TACACS+ 4 Agregar o editar un servidor RADIUS 5 Editar configuracin global 6 Ventana Grupos de servidores AAA 7 Agregar o editar grupo de servidores AAA 8Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxvii

Contenido

Polticas de Autenticacin y Autorizacin 8 Ventanas de Autenticacin y Autorizacin 9 Autenticacin de NAC 10 Autenticacin de 802.1x 11 Agregar o Editar una lista de mtodos para autenticar o autorizar 12 Provisionamiento del router 1 Secure Device Provisioning 1 Provisionamiento del router desde el USB 2 Provisionamiento del router desde USB (cargar archivo) 2 Sugerencias para la resolucin de problemas SDP 3 Lenguaje de poltica de clasificacin comn de Cisco 1 Mapa de poltica 1 Ventanas de mapa de poltica 2 Agregar o editar un mapa de poltica de QoS 3 Agregar un mapa de poltica de inspeccin 4 Mapa de poltica de capa 7 4 Inspeccin de aplicacin 5 Configurar inspeccin profunda de paquetes 5 Mapas de clase 6 Asociar mapa de clase 7 Opciones avanzadas del mapa de clase 7 Mapa de clase de QoS 8 Agregar o editar un mapa de clase de QoS 9 Agregar o editar un mapa de clase de QoS 9 Seleccionar un mapa de clase 9 Inspeccin profunda 9


xxviii

OL-9963-04

Contenido

Ventanas Mapa de clase y Grupos de servicio de aplicacin 9 Agregar o editar un mapa de clase de inspeccin 12 Asociar mapa de parmetro 13 Agregar un mapa de clase de inspeccin HTTP 13 Encabezado de solicitud HTTP 14 Campos de encabezado de solicitud HTTP 15 Cuerpo de solicitud HTTP 16 Argumentos de encabezado de solicitud HTTP 16 Mtodo HTTP 17 Uso incorrecto del puerto de solicitud 17 URI de solicitud 17 Encabezado de respuesta 18 Campos de encabezado de respuesta 18 Cuerpo de respuesta HTTP 19 Lnea de estado de respuesta HTTP 20 Criterios de encabezado de solicitud/respuesta 21 Campos de encabezado de solicitud/respuesta HTTP 21 Cuerpo de solicitud/respuesta 22 Infraccin del protocolo de solicitud/respuesta 23 Agregar o editar un mapa de clase IMAP 23 Agregar o editar un mapa de clase SMTP 24 Agregar o editar un mapa de clase SUNRPC 24 Agregar o editar un mapa de clase de mensajera instantnea 24 Agregar o editar un mapa de clase punto a punto 24 Agregar regla P2P 26 Agregar o editar un mapa de clase de POP3 26 Mapas de parmetros 26 Ventanas de mapa de parmetros 27 Agregar o editar un mapa de parmetro para informacin de protocolo 27 Agregar o editar una entrada del servidor 28Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxix

Contenido

Agregar o editar expresin regular 28 Agregar un patrn 29 Generar expresin regular 30 Metacaracteres de expresin regular 33 Filtrado de URL 1 Ventana de filtrado de URL 2 Editar configuracin global 2 Configuracin general para el filtrado de URL 4 Lista de URL local 6 Agregar o editar URL local 7 Importar lista de URL 8 Servidores de filtro de URL 8 Agregar o editar el servidor de filtro de URL Preferencia del filtrado de URL 10 Gestin de configuracin 1 Edicin manual del archivo de configuracin 1 Editor de configuracin 2 Restablecer los valores por defecto de fbrica 3 Esta funcin no se admite 6 Informacin adicional acerca de... 1 Direcciones IP y mscaras de subred 1 Campos de host y red 3 Configuraciones de interfaz disponibles 4 Conjuntos de direcciones DHCP 5 Significados de las palabras clave permit y deny 6 Servicios y puertos 7

9


xxx

OL-9963-04

Contenido

Informacin adicional acerca de NAT 14 Escenarios de traduccin de direcciones estticas 14 Escenarios de traduccin de direcciones dinmicas 17 Motivos por los cuales Cisco SDM no puede modificar una regla NAT 19 Informacin adicional acerca de VPN 20 Recursos de Cisco.com 20 Informacin adicional acerca de conexiones VPN y polticas IPSec 21 Informacin adicional acerca de IKE 23 Informacin adicional acerca de las polticas IKE 24 Combinaciones de transformacin permitidas 25 Motivos por los cuales una configuracin de interfaz o subinterfaz de serie puede ser de slo lectura 27 Motivos por los cuales una configuracin de interfaz o subinterfaz ATM puede ser de slo lectura 28 Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura 29 Motivos por los cuales una configuracin de interfaz ISDN (RDSI) BRI puede ser de slo lectura 29 Motivos por los cuales una configuracin de interfaz de mdem analgico puede ser de slo lectura 30 Escenario de utilizacin de polticas de firewall 32 Recomendaciones para la configuracin de DMVPN 32 Informes tcnicos sobre Cisco SDM 33 Pasos iniciales 1 Qu novedades trae esta versin? 2 Versiones de Cisco IOS admitidas 3


xxxi

Contenido

Visualizar la informacin del router 1 Aspectos generales 2 Estado de la interfaz 6 Estado de firewall 10 Estado del firewall de poltica basado en zonas 11 Estado de la red VPN 13 Tneles IPSec 13 Tneles DMVPN 15 Servidor Easy VPN 16 IKE SA 18 Componentes de SSL VPN 19 Contexto de SSL VPN 20 Sesiones de usuario 21 Truncado de URL 22 Mapeo de puertos 22 CIFS 22 Tnel completo 22 Lista de usuarios 23 Estado del trfico 25 Usuarios ms activos de Netflow 25 Protocolos ms activos 25 Usuarios ms activos 26 Calidad de servicio (QoS) 27 Trfico de aplicaciones/protocolos 29 Estado de la red NAC 30 Registro 31 Syslog 32 Registro de firewall 34 Registro de Seguridad de la aplicacin 37 Registro de mensajes SDEE 38Gua del usuario de Cisco Router and Security Device Manager 2.4

xxxii

OL-9963-04

Contenido

Estado de la red IPS 39 Estadsticas de firmas de IPS 41 Estadsticas de alertas de IPS 42 Estado de la autenticacin 802.1x 43 Comandos del men Archivo 1 Guardar configuracin en ejecucin en el PC 1 Enviar configuracin al router 1 Escribir en la configuracin de inicio 2 Restablecer los valores por defecto de fbrica 2 Gestin de archivos 3 Cambiar nombre 6 Nueva carpeta 6 Guardar SDF a PC 6 Salir 6 No se ha podido realizar la compresin de flash 7 Comandos del men Editar 1 Preferencias 1 Comandos del men Ver 1 Inicio 1 Configurar 1 Supervisar 1 Configuracin en ejecucin 2 Mostrar comandos 2 Reglas de Cisco SDM por defecto 3 Actualizar 4


xxxiii

Contenido

Comandos del men Herramientas 1 Ping 1 Telnet 1 Auditora de seguridad 1 Configuracin de PIN del token USB 2 Aplicacin inalmbrica 3 Actualizar Cisco SDM 3 Inicio de sesin en CCO 5 Comandos del men Ayuda 1 Temas de Ayuda 1 Cisco SDM en CCO 1 Matriz de hardware/software 1 Acerca de este router... 2 Acerca de Cisco SDM 2


xxxiv

OL-9963-04

CAPTULO

1

Pgina de inicioLa pgina de inicio proporciona informacin bsica acerca del hardware, el software y la configuracin del router. Esta pgina contiene las secciones siguientes:

Nombre de hostEl nombre configurado del router.

Acerca de su routerMuestra informacin bsica sobre el hardware y el software del router y contiene los campos siguientes: HardwareTipo de modelo

Software Muestra el nmero de modelo del router. RAM totalVersin de IOS

La versin del software Cisco IOS vigente en el router. Router and Security Device Manager (Cisco SDM) vigente en el router.

Disponible / Memoria total RAM disponible /

Versin de Cisco SDM La versin del software Cisco

Capacidad de flash total Disponibilidad de funciones

Flash + Webflash (si es aplicable) Las funciones disponibles en la imagen de Cisco IOS que el router utiliza aparecen marcadas. Las funciones que Cisco SDM comprueba son: IP, Firewall, VPN, IPS y NAC.


1-1

Captulo 1

Pgina de inicio

Ms...

El enlace Ms... muestra una ventana emergente que proporciona detalles de hardware y software adicionales.

Detalles de hardware: adems de la informacin presentada en la seccin Acerca de su router, esta muestra ficha la siguiente informacin: Si el router arranca desde el archivo Flash o desde la configuracin. Si el router tiene aceleradores; por ejemplo, aceleradores VPN. Una diagrama de configuracin de hardware incluyendo la memoria flash

y los dispositivos instalados tales como flash USB y tokens USB.

Detalles de software: adems de la informacin presentada en la seccin Acerca de su router, esta ficha muestra la siguiente informacin: Los grupos de funciones incluidos en la imagen del IOS. La versin de Cisco SDM en ejecucin.

Aspectos generales de configuracinEsta seccin de la pgina de inicio resume los parmetros de configuracin que se han definido.

Nota

Si en la pgina de inicio no encuentra informacin sobre las funciones que se describen en este tema de ayuda, la imagen de Cisco IOS no admite la funcin. Por ejemplo, si el router est ejecutando una imagen de Cisco IOS que no admite funciones de seguridad, las secciones Poltica de firewall, VPN y Prevencin de intrusiones no aparecern en la pgina de inicio.Ver configuracin vigente

Haga clic en este botn para mostrar la configuracin actual del router.


1-2

OL-9963-04

Captulo 1

Pgina de inicio

Interfaces y conexionesLAN totales admitidas

Punta de flecha doble: Activas (n): el nmero Inactivas (n): el nmero de conexiones haga clic aqu para mostrar de conexiones LAN y WAN que estn activas. LAN y WAN que estn u ocultar los detalles. inactivas. El nmero total de interfaces LAN que se encuentran en el router. WAN totales admitidas El nmero de interfaces WAN admitidas por Cisco SDM que se encuentran en el router. El nmero total de conexiones WAN admitidas por Cisco SDM que se encuentran en el router.

Interfaz de LAN configurada

El nmero de interfaces Conexiones WAN totales LAN admitidas que se encuentran configuradas en el router. Configurado/ No configurado Si se configura un grupo, la direccin inicial y la direccin final del grupo DHCP. Si se han configurado varios grupos, la lista de los nombres de los grupos configurados.N de clientes DHCP (vista detallada)

Servidor DHCP Grupo DHCP (vista detallada)

Nmero actual de clientes que ceden direcciones.

Interfaz

Tipo

IP/Mscara

Descripcin

Nombre de la interfaz configurada

Tipo de interfaz

Direccin IP y mscara Descripcin de la interfaz de subred


1-3

Captulo 1

Pgina de inicio

Polticas de firewall

Activo/inactivo

Fiable (n)

No fiable (n)

DMZ (n)

Activo: un firewall El nmero de interfaces fiables est en servicio. (internas). Inactivo: no hay ningn firewall en servicio.Interfaz Icono de firewall NAT

El nmero de interfaces no fiables (externas).

El nmero de interfaces DMZ.

Regla de inspeccin

Regla de acceso

El nombre de la interfaz a la que se ha aplicado el firewall

Si la interfaz se ha designado como interfaz interna o externa.

El nombre o nmero de la regla NAT que se ha aplicado a esta interfaz.

Los nombres o nmeros de las reglas de inspeccin entrantes y salientes.

Los nombres o nmeros de las reglas de acceso entrantes y salientes.

VPNIPSec (sitio a sitio)

Activas (n): el nmero de conexiones VPN activas.GRE sobre IPSec El nmero de conexiones VPN sitio a sitio que se han configurado. Easy VPN remoto El nmero de conexiones Easy VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Vase la nota.

El nmero de conexiones GRE sobre IPSec que se han configurado. El nmero de conexiones del tipo Easy VPN remoto que se han configurado.

Conexin a Xauth necesaria

N de clientes DMVPN

Si el router est configurado como hub DMVPN, el nmero de clientes DMVPN.

N de clientes VPN activos Si este router funciona

como servidor Easy VPN, el nmero de clientes Easy VPN con conexiones activas.


1-4

OL-9963-04

Captulo 1

Pgina de inicio

VPNInterfaz

Activas (n): el nmero de conexiones VPN activas.Tipo Poltica IPSec Descripcin

El nombre de una interfaz con una conexin VPN configurada

El tipo de conexin VPN configurada en la interfaz.

El nombre de la poltica Breve descripcin de la conexin. IPSec asociada a la conexin VPN.

Nota

Algunos concentradores o servidores VPN autentican a los clientes mediante la autenticacin ampliada (Xauth). Aqu se muestra el nmero de tneles VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Si un tnel Easy VPN espera un inicio de sesin con ese tipo de autenticacin, se muestra un panel de mensajes independiente con el botn Conexin. Al hacer clic en Conexin se permite al usuario especificar las credenciales para el tnel. Si se ha configurado Xauth para un tnel, ste no empezar a funcionar hasta que se haya proporcionado la conexin y la contrasea. No existe ningn lmite de tiempo tras el cual se detenga la espera; esta informacin se esperar de forma indefinida.

Polticas NACColumna Interfaz

Activo o InactivoColumna de Poltica NAC

El nombre de la interfaz a la que se le aplica la poltica. Por ejemplo, FastEthernet 0, o Ethernet 0/0.

El nombre de la poltica NAC.


1-5

Captulo 1

Pgina de inicio

EnrutamientoN de rutas estticas

Prevencin de intrusiones El nmero total de rutas estticas configuradas en el router.Firmas activas

El nmero de firmas activas que utiliza el router. stas pueden estar incorporadas, o cargarse desde una ubicacin remota. El nmero de interfaces del router con IPS activado.

Protocolos de Muestra una lista de enrutamiento todos los protocolos dinmico de enrutamiento

N de interfaces con IPS activada

dinmico que estn configurados en el router.Versin SDF

La versin de los archivos SDF de este router. Un enlace al Panel de seguridad de IPS en el que se pueden visualizar e implementar las diez firmas principales.

Panel de seguridad


1-6

OL-9963-04

CAPTULO

2

Asistente para LANEl Asistente para LAN de Cisco Router and Security Device Manager (Cisco SDM) le gua por el proceso de configuracin de una interfaz LAN. La pantalla proporciona una lista de las interfaces LAN del router. Puede seleccionar cualquiera de las interfaces que se indican en la ventana y hacer clic en Configurar para convertir la interfaz en una LAN y configurarla. En esta ventana se proporciona una lista de las interfaces del router que se han designado como interfaces internas en la configuracin de inicio, as como una lista de las interfaces Ethernet y de los puertos de switch que an no se han configurado como interfaces WAN. La lista incluye las interfaces que ya se han configurado. Al configurar una interfaz como LAN, Cisco SDM inserta el texto de descripcin $ETH-LAN$ en el archivo de configuracin, para que en el futuro pueda reconocerla como una interfaz LAN.

InterfazEl nombre de la interfaz.

ConfigurarHaga clic en este botn para configurar una interfaz seleccionada. Si la interfaz nunca se ha configurado, Cisco SDM le guiar por el Asistente para LAN para ayudarle a configurarla. Si la interfaz se ha configurado mediante Cisco SDM, Cisco SDM muestra una ventana de edicin que permite cambiar los ajustes de configuracin. Si la interfaz LAN ha recibido una configuracin no compatible con Cisco SDM, es posible que el botn Configurar est desactivado. Para obtener una lista de este tipo de configuraciones, consulte Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura.


2-1

Captulo 2

Asistente para LAN

Qu desea hacer?

Si desea: Configurar o editar una interfaz o puerto de switch LAN.

Haga lo siguiente: Seleccione la interfaz o puerto de switch LAN de la lista y haga clic en Configurar. Si la interfaz no se ha configurado o si ha seleccionado un puerto de switch, Cisco SDM, le guiar por el Asistente para LAN que se puede utilizar para configurar la interfaz. Si la interfaz ya se ha configurado y no se trata de un puerto de switch, al hacer clic en Configurar, aparecer una ventana de edicin que permite cambiar la configuracin de la LAN.

Volver a configurar la direccin IP, la Seleccione una interfaz que disponga de una direccin IP y mscara o las propiedades de DHCP de haga clic en Configurar. una interfaz que ya se ha configurado. En la barra de categoras de Cisco SDM, haga clic en Realizar configuraciones especficas Interfaces y conexiones, seleccione la ficha Editar relacionadas con la LAN para interfaz/conexin y cambie la configuracin. elementos como, por ejemplo, los servidores DHCP o los ajustes de unidad de transmisin mxima (MTU). Ver cmo realizar tareas de configuracin relacionadas. Consulte uno de los procedimientos siguientes:

Cmo se configura una ruta esttica? Como se visualiza la actividad en la interfaz LAN? Cmo se activa o desactiva una interfaz? Cmo se visualizan los comandos de IOS que se envan al router? Cmo inicio la Aplicacin inalmbrica de Cisco SDM?

Puede volver a esta pantalla siempre que sea necesario para configurar interfaces LAN adicionales.


2-2

OL-9963-04

Captulo 2

Asistente para LAN Configuracin de Ethernet

Configuracin de EthernetEl asistente le gua por la configuracin de una interfaz Ethernet en la LAN. Usted debe proporcionar la informacin siguiente:

Una direccin IP y mscara de subred para la interfaz Ethernet Un conjunto de direcciones DHCP en el caso de utilizar DHCP en esta interfaz Las direcciones de los servidores DNS y WINS de la WAN Un nombre de dominio

Asistente para LAN: Seleccionar una interfazEn esta ventana puede seleccionar la interfaz en la que desea configurar una conexin LAN. La misma incluye una lista de las interfaces compatibles con las configuraciones LAN Ethernet.

Asistente para LAN: Direccin IP/mscara de subredEsta ventana permite configurar una direccin IP y mscara de subred para la interfaz Ethernet que se elija en la ventana anterior.

Direccin IPEspecifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de subredEspecifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin. De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.


2-3

Captulo 2 Asistente para LAN: Activar Servidor DHCP

Asistente para LAN

Asistente para LAN: Activar Servidor DHCPEsta pantalla permite activar un servidor DHCP en el router. Un servidor DHCP asigna automticamente a los dispositivos de la LAN direcciones IP que se pueden volver a utilizar. Cuando un dispositivo se activa en la red, el servidor DHCP le concede una Direccin IP. Cuando el dispositivo abandona la red, la direccin IP se devuelve al conjunto para que la pueda utilizar otro dispositivo.Para activar un servidor DHCP en el router:

Haga clic en S.

Asistente para LAN: Conjuntos de direcciones DHCPEsta pantalla permite configurar el conjunto de direcciones IP de DHCP. Las direcciones IP que el servidor DHCP asigna se obtienen de un conjunto comn que se ha configurado mediante la especificacin de las direcciones IP inicial y final del intervalo. Para obtener ms informacin, consulte Conjuntos de direcciones DHCP.

Nota

Si en el router se han configurado conjuntos de direcciones discontinuos, los campos de direccin IP inicial e IP final sern de slo lectura.

IP inicialEspecifique el inicio del intervalo de direcciones IP que debe utilizar el servidor DHCP al asignar direcciones a los dispositivos de la LAN. Se trata de la direccin IP con el nmero ms bajo del intervalo.

IP finalEspecifique la Direccin IP con el nmero ms alto del intervalo de direcciones IP.

Campos Servidor DNS y Servidor WINSSi en esta ventana aparecen los campos Servidor DNS y Servidor WINS, puede hacer clic en Opciones de DHCP para obtener informacin acerca de ellos.


2-4

OL-9963-04

Captulo 2

Asistente para LAN Opciones de DHCP

Opciones de DHCPUtilice esta ventana para establecer las opciones de DHCP que se enviarn a los hosts de la LAN que solicitan direcciones IP del router. No se trata de opciones que se definen para el router que est configurando, sino de parmetros que se enviarn a los hosts solicitantes de la LAN. Si desea establecer estas propiedades para el router, haga clic en Tareas adicionales de la barra de categoras de Cisco SDM, seleccione DHCP y configure estos ajustes en la ventana Conjuntos DHCP.

Servidor DNS 1El servidor DNS normalmente es un servidor que asigna un nombre de dispositivo conocido con su direccin IP. Si la red dispone de un servidor DNS configurado, especifique aqu la direccin IP del mismo.

Servidor DNS 2Si la red dispone de un servidor DNS adicional, en este campo puede especificar la direccin IP de ste.

Nombre de dominioEl servidor DHCP que est configurando en este router proporcionar servicios a otros dispositivos dentro de este dominio. Especifique el nombre del dominio.

Servidor WINS 1Es posible que algunos clientes requieran el WINS (Windows Internet Naming Service) para conectarse a dispositivos en Internet. Si la red dispone de un servidor WINS, en este campo especifique la direccin IP del mismo.

Servidor WINS 2Si la red dispone de un servidor WINS adicional, en este campo especifique la direccin IP de dicho servidor.


2-5

Captulo 2 Asistente para LAN: Modo VLAN

Asistente para LAN

Asistente para LAN: Modo VLANEsta pantalla permite determinar el tipo de informacin de LAN virtual que se transmitir a travs del puerto de switch. Los puertos de switch pueden designarse en modo de acceso, en cuyo caso reenviarn solamente los datos destinados a la LAN virtual a la que estn asignados, o bien en modo de enlace troncal, en cuyo caso reenviarn los datos destinados para todas las LAN virtuales, incluida la LAN virtual a la que estn asignados. Si este puerto de switch se conecta a un dispositivo de cliente como, por ejemplo, un PC o telfono IP nico, o si este dispositivo se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que es un puerto de modo de acceso, seleccione Dispositivo de cliente. Si este puerto de switch se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que est en modo de enlace, seleccione Dispositivo de red.

Asistente para LAN: Puerto del switchEsta pantalla permite asignar un nmero de LAN virtual existente al puerto de switch o crear una nueva interfaz de LAN virtual que debe asignarse al puerto de switch de LAN virtual.

LAN virtual existenteSi desea asignar el puerto de switch a una LAN virtual definida como, por ejemplo, la LAN virtual por defecto (LAN virtual 1), especifique el nmero de ID de LAN virtual en el campo Identificador (LAN virtual) de la red.

Nueva LAN virtualSi desea crear una nueva interfaz de LAN virtual a la que se asignar el puerto de switch, especifique el nuevo nmero de ID de LAN virtual en el campo Nueva LAN virtual y, a continuacin, especifique la direccin IP y la mscara de subred de la nueva interfaz lgica de LAN virtual en los campos correspondientes.


2-6

OL-9963-04

Captulo 2

Asistente para LAN Puente IRB

Incluya esta VLAN en un puente IRB que formar un puente con la red inalmbrica. (Utilice una aplicacin inalmbrica para completar).Si marca esta casilla, el puerto del switch formar parte de un bridge con la red inalmbrica. La otra parte del bridge debe configurarse utilizando la Aplicacin inalmbrica. La direccin IP y los campos para la direccin IP y la mscara de subred bajo la Nueva LAN virtual estn desactivados cuando esta casilla est seleccionada. Despus de completar esta configuracin LAN, haga lo siguiente para iniciar la Aplicacin inalmbrica y completar la configuracin de la interfaz inalmbrica.Paso 1 Paso 2

Seleccione Aplicacin inalmbrica del men Herramientas de Cisco SDM. La Aplicacin inalmbrica se abre en otra ventana del explorador. En la Aplicacin inalmbrica, haga clic en Seguridad rpida inalmbrica, y luego haga clic en Bridge para proporcionar informacin para completar la configuracin de la interfaz inalmbrica.

Puente IRBSi est configurando una VLAN para que sea parte de un bridge IRB, el bridge debe ser un miembro del grupo bridge. Para crear un nuevo grupo bridge del que esta interfaz ser parte, haga clic en Crear un nuevo grupo bridge y especifique un valor en el rango de 1 a 255. Para que esta LAN virtual sea miembro de un grupo bridge existente, haga clic en nase a un grupo bridge existente y seleccione un grupo bridge.

Nota

Cuando haya completado la configuracin de la interfaz inalmbrica en la Aplicacin inalmbrica, debe utilizar el mismo nmero de grupo bridge especificado en esta pantalla.


2-7

Captulo 2 Configuracin BVI

Asistente para LAN

Configuracin BVIAsigne una direccin IP y una mscara de subred a la interfaz BVI. Si seleccion un grupo bridge existente en la pantalla anterior, la direccin IP y la mscara de subred aparecern en la pantalla. Puede modificar los valores o dejarlos como estn.

Direccin IPEspecifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de redEspecifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin.

Net Bits (Bits de red)De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.

Conjunto DHCP para BVIAl configurar el router como servidor DHCP, puede crear un conjunto de direcciones IP que pueden ser utilizadas por los clientes de la red. Cuando un cliente se desconecta de la red, la direccin que estaba utilizando es devuelta al conjunto para uso de otro host.


2-8

OL-9963-04

Captulo 2

Asistente para LAN IRB para Ethernet

Configuracin del servidor DHCPHaga clic en la casilla si desea que el router funcione como servidor DHCP. Luego, especifique las direcciones IP inicial y final en el conjunto. Asegrese de especificar la direccin IP que se encuentren en la misma subred que la direccin IP que le dio a la interfaz. Por ejemplo, si le dio a la interfaz la direccin IP 10.10.22.1, con la mscara de subred 255.255.255.0, tiene ms de 250 direcciones disponibles para el conjunto, y debe especificar la Direccin IP inicial 10.10.22.2 y la Direccin IP final 10.10.22.253.

IRB para EthernetSi su router tiene una interfaz inalmbrica, puede utilizar Enrutamiento y establecimiento de bridge integrado para hacer que esta interfaz forme parte de un bridge a una LAN inalmbrica y permitir que el trfico destinado para la red inalmbrica sea enrutado por esta interfaz. Haga clic en S si desea configurar esta interfaz de Nivel 3 para Enrutamiento o establecimiento de bridge integrado. Si no desea que esta interfaz sea utilizada como bridge a la interfaz inalmbrica, haga clic en No. Todava podr configurarla como una interfaz regular del router.

Configuracin de Ethernet Nivel 3Cisco SDM admite la configuracin de Ethernet Nivel 3 en los routers con mdulos de switch 3750 instalados. Usted puede crear configuraciones de VLAN y designar las interfaces de Ethernet del router como servidores DHCP.

Configuracin 802.1QPuede configurar una VLAN que no use el protocolo de encapsulacin 802.1Q usado para conexiones de enlace. Suministre un nmero de identificacin de la VLAN, y marque la opcin VLAN nativa si no desea que la VLAN use el etiquetado 802.1Q. Si usted desea usar el etiquetado 802.1Q, deje el cuadro VLAN nativa sin marcar.


2-9

Captulo 2 Configuracin de Ethernet Nivel 3

Asistente para LAN

Configuracin del enlace o enrutamientoUsted puede configurar interfaces de Ethernet Nivel 3 para el enlace 802.1Q o para enrutamiento bsico. Si usted configura la interfaz para el enlace 802.1Q, podr configurar VLANs en la interfaz, y podr configurar una VLAN nativa que no use el protocolo de encapsulacin 802.1q. Si usted configura la interfaz para enrutamiento, no podr configurar las subinterfaces o VLANs adicionales en la interfaz.

Mdulo de configuracin del dispositivo del switchSi usted est configurando una interfaz de Ethernet de Gigabits para enrutamiento, podr suministrar informacin sobre el mdulo del switch en esta ventana. No se requiere que proporcione esta informacin. Usted podr suministrar una direccin IP y una mscara de subred para el mdulo del switch, y las credenciales de inicio de sesin requeridas para ingresar a la interfaz del mdulo del switch. Marque la casilla al final de la pantalla si desea entrar al mdulo del switch despus de suministrar informacin en este asistente y entregar la configuracin al router.

Configurar interfaz de Ethernet de gigabitsProporcione informacin de la direccin IP y la mscara de subred para las interfaces Gigabit Ethernet en esta ventana. Para obtener ms informacin sobre las direcciones IP y las mscaras de subred, consulte Asistente para LAN: Direccin IP/mscara de subred.

Direccin IP de la interfaz fsicaSuministre la direccin IP y la mscara de subred para la interfaz de Ethernet de Gigabits fsica en estos campos.


2-10

OL-9963-04

Captulo 2

Asistente para LAN Resumen

Direccin IP de la subinterfaz de la VLANSuministre la direccin IP y la mscara de subred para la subinterfaz de la VLAN que desee crear en la interfaz fsica. Estos campos aparecen si usted est configurando esta interfaz para el enrutamiento. Estos campos no aparecen si usted est configurando esta interfaz para el enrutamiento y bridge integrado (IRB, Integrated Routing and Bridging).

ResumenEn esta ventana se proporciona un resumen de los cambios en la configuracin que ha realizado para la interfaz seleccionada.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias del usuario, aparecer la ventana Enviar. Esta ventana permite ver los comandos CLI que se envan al router.

Cmo...En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Cmo se configura una ruta esttica?Para configurar una ruta esttica:Paso 1 Paso 2

En la barra de categoras, haga clic en Enrutamiento. En el grupo Enrutamiento esttico, haga clic en Agregar... Aparecer el cuadro de dilogo Agregar ruta esttica de IP.


2-11

Captulo 2 Cmo...

Asistente para LAN

Paso 3 Paso 4 Paso 5 Paso 6

En el campo Prefijo, especifique la direccin IP de la red de destino de la ruta esttica. En el campo Mscara de prefijo, especifique la mscara de subred de la red de destino. Si desea que esta ruta esttica sea la ruta por defecto, marque la casilla de verificacin Convierta esta ruta en la ruta por defecto. En el grupo Envo, seleccione si se debe identificar una interfaz de router o la direccin IP del router de destino como el mtodo para enviar datos y, a continuacin, seleccione la interfaz del router de envo o especifique la direccin IP del router de destino. De manera opcional, en el campo Distance Metric (Distancia mtrica), especifique la distancia mtrica que debe almacenarse en la tabla de enrutamiento. Si desea configurar esta ruta esttica como la ruta permanente, lo que significa que no se eliminar incluso si se desactiva la interfaz o si el router no se puede comunicar con el router siguiente, marque la casilla de verificacin Ruta permanente. Haga clic en Aceptar.

Paso 7 Paso 8

Paso 9

Como se visualiza la actividad en la interfaz LAN?La actividad de una interfaz LAN puede visualizarse mediante el modo Supervisin en Cisco SDM. El mencionado modo puede mostrar estadsticas sobre la interfaz LAN, incluido el nmero de paquetes y bytes que la interfaz ha enviado o recibido y el nmero de errores en dichos procesos. Para ver las estadsticas sobre una interfaz LAN:Paso 1 Paso 2 Paso 3

En la barra de herramientas, haga clic en Supervisar. En el panel izquierdo, haga clic en Estado de la interfaz. En el campo Seleccione una interfaz, elija la interfaz LAN cuyas estadsticas desee visualizar.


2-12

OL-9963-04

Captulo 2

Asistente para LAN Cmo...

Paso 4

Para seleccionar el elemento o elementos de datos que desee visualizar, marque las casillas de verificacin correspondientes. Puede ver un mximo de cuatro estadsticas a la vez. Para ver las estadsticas de todos los elementos de datos seleccionados, haga clic en Iniciar Supervisin. Aparecer la ventana Detalles de la interfaz que muestra todas las estadsticas seleccionadas. Por defecto, la ventana muestra los datos en tiempo real, de modo que sondea el router cada 10 segundos. Si la interfaz est activa y se transmiten datos sobre ella, deber observar un aumento en el nmero de paquetes y bytes que se transfieren a travs de la misma.

Paso 5

Cmo se activa o desactiva una interfaz?Una interfaz puede desactivarse sin quitar su configuracin. Tambin es posible reactivar una interfaz desactivada.Paso 1 Paso 2 Paso 3 Paso 4

En la barra de categoras, haga clic en Interfaces y conexiones. Haga clic en la ficha Editar interfaz/conexin. Seleccione la interfaz que desee desactivar o activar. Si la interfaz est activada, aparecer el botn Desactivar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz. Si la interfaz est desactivada, aparecer el botn Activar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz.


2-13

Captulo 2 Cmo...

Asistente para LAN

Cmo se visualizan los comandos de IOS que se envan al router?Si est finalizando un asistente para configurar una funcin, puede ver los comandos de Cisco IOS que se envan al router haciendo clic en Finalizar.Paso 1 Paso 2 Paso 3

En el men Editar de Cisco SDM, seleccione Preferencias. Marque la casilla Obtener una vista previa de los comandos antes de enviarlos al router. Haga clic en Aceptar.

La prxima vez que utilice un asistente para configurar el router y haga clic en Finalizar en la ventana Resumen, aparecer la ventana Enviar. En esta ventana puede ver los comandos que est enviando a la configuracin del router. Cuando haya terminado de revisar los comandos, haga clic en Enviar. Si est editando una configuracin, la ventana Enviar aparece al hacer clic en Aceptar en la ventana del cuadro de dilogo. Esta ventana permite ver los comandos de Cisco IOS que se envan al router.

Cmo inicio la Aplicacin inalmbrica de Cisco SDM?Utilice el siguiente procedimiento para iniciar la aplicacin inalmbrica de Cisco SDM.Paso 1 Paso 2

Vaya al men Herramientas de Cisco SDM y seleccione Aplicacin inalmbrica. La Aplicacin inalmbrica se inicia en otra ventana del explorador. En el panel izquierdo, haga clic en el ttulo de la pantalla de configuracin en la que desea trabajar. Para obtener ayuda para cualquier pantalla, haga clic en el icono de ayuda en la esquina superior derecha. Este icono es un libro abierto con un signo de pregunta.


2-14

OL-9963-04

CAPTULO

3

Autenticacin 802.1xLa autenticacin 802.1x permite que un router remoto de Cisco IOS conecte usuarios VPN autenticados a una red segura mediante un tnel VPN que est constantemente activado. El router de Cisco IOS autenticar los usuarios mediante un servidor RADIUS en la red segura. La autenticacin 802.1x se aplica a puertos de switch o puertos Ethernet (enrutados), pero no a ambos tipos de interfaces. Si la autenticacin 802.1x se aplica a un puerto Ethernet, los usuarios no autenticados se pueden enrutar a Internet afuera del tnel VPN. La autenticacin 802.1x se configura en las interfaces utilizando el asistente para LAN. Sin embargo, antes de que pueda activar 802.1x en alguna interfaz, debe activar AAA en el router de Cisco IOS. Si intenta usar el asistente para LAN antes de activar AAA, aparece una ventana que le solicita su confirmacin para activar AAA. Si elige activar AAA, las pantallas de configuracin de 802.1x aparecen como parte del asistente para LAN. Si elige no activar AAA, las pantallas de configuracin de 802.1x no aparecen.


3-1

Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Autenticacin 802.1x

Asistente para LAN: Autenticacin 802.1x (puertos de switch)Esta ventana le permite activar la autenticacin 802.1x en el o los puertos de switch que seleccion para configuracin, utilizando el asistente para LAN.

Activar autenticacin 802.1xMarque Activar autenticacin 802.1x para activar la autenticacin 802.1x en el puerto de switch.

Modo hostElija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota

Los puertos en los routers Cisco 85x y Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitadoMarque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Fallos de autenticacin de VLANMarque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.


3-2

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Reautenticacin peridicaMarque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadasHaga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Opciones avanzadasEsta ventana le permite cambiar los valores por defecto para varios parmetros de autenticacin 802.1x.

Lmite de tiempo de servidor RADIUSEspecifique el tiempo, en segundos, que el router Cisco IOS espera antes de alcanzar el lmite de tiempo de su conexin al servidor RADIUS. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de respuesta del supplicantEspecifique el tiempo, en segundos, que el router Cisco IOS espera una respuesta de un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de reintentos del supplicantEspecifique el tiempo, en segundos, que el router Cisco IOS reintenta un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.


3-3

Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Autenticacin 802.1x

Perodo tranquiloEspecifique el tiempo, en segundos, que el router Cisco IOS espera entre la conexin inicial a un cliente y el envo de una solicitud de inicio de sesin. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 60 segundos.

Perodo lmite de velocidadLos valores deben estar entre 1 y 65535 segundos. Sin embargo, el valor por defecto es 0 segundos, lo que desactiva el Perodo lmite de velocidad.

Mximo de intentos de reautenticacinEspecifique el nmero mximo de veces que el router Cisco IOS intenta reautenticar un cliente 802.1x. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Mximo de reintentosEspecifique el nmero mximo de solicitudes de inicio de sesin que se pueden enviar al cliente. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Restablecer valores por defectoHaga clic en Restablecer valores por defecto para restablecer todas las opciones avanzadas a sus valores por defecto.


3-4

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Servidores RADIUS para autenticacin 802.1x

Asistente para LAN: Servidores RADIUS para autenticacin 802.1xLa informacin de autenticacin 802.1x se configura y guarda en una base de datos de polticas que reside en servidores RADIUS que ejecutan Cisco Secure ACS, versin 3.3. El router debe validar las credenciales de los clientes 802.1x comunicndose con un servidor RADIUS. Utilice esta ventana para proporcionar la informacin que el router necesita para contactarse con uno o ms servidores RADIUS. Cada servidor RADIUS que usted especifique deber tener el software de ACS Seguro de Cisco versin 3.3, instalado y configurado.

Nota

Todas las interfaces del router Cisco IOS activadas con autorizacin 802.1x utilizarn los servidores RADIUS configurados en esta ventana. Cuando configure una nueva interfaz, ver nuevamente esta pantalla. Sin embargo, no se deben realizar adiciones o cambios a la informacin del servidor RADIUS.

Seleccionar el origen de cliente RADIUSConfigurar el origen RADIUS le permite especificar la direccin IP del origen que se enviar en paquetes RADIUS con destino al servidor RADIUS. Si necesita ms informacin sobre una interfaz, escoja la interfaz y haga clic en el botn Detalles. La direccin IP del origen en los paquetes RADIUS enviados desde el router debe configurarse como la direccin IP del NAD en la versin 3.3 o superior de Cisco ACS. Si selecciona El router elige el origen, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz a travs de la cual los paquetes RADIUS saldrn del router. Si elige una interfaz, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz que usted escoja como el origen de cliente RADIUS.

Nota

El software Cisco IOS permite que una interfaz de origen RADIUS nica se configure en el router. Si el router ya tiene configurado un origen RADIUS y usted elige un origen diferente, la direccin IP del origen colocada en los paquetes enviados al servidor RADIUS cambia a la direccin IP del nuevo origen, y es probable que no coincida con la direccin IP del NAD configurada en Cisco ACS.


3-5

Captulo 3 Asistente para LAN: Servidores RADIUS para autenticacin 802.1x

Autenticacin 802.1x

DetallesSi necesita una visin rpida de la informacin sobre una interfaz antes de seleccionarla, haga clic en Detalles. La pantalla le mostrar la direccin IP y la mscara de subred, las reglas de acceso y las reglas de inspeccin aplicadas a la interfaz, la poltica de IPSec y la poltica de QoS aplicadas, y si hay una configuracin de Easy VPN en la interfaz.

Columnas de Servidor IP, Lmite de tiempo y ParmetrosColumnas de Servidor IP, Lmite de tiempo y parmetros contienen la informacin que el router usa para comunicarse con un servidor RADIUS. Si no hay informacin del servidor RADIUS relacionada con la interfaz elegida, estas columnas quedarn en blanco.

Casilla de verificacin Usar para 802.1xMarque esta casilla si desea utilizar el servidor RADIUS que aparece en la lista para 802.1x. El servidor debe tener configurada la informacin de autorizacin de 802.1x requerida si 802.1x se utiliza correctamente.

Agregar, editar y enviar un pingPara suministrar informacin a un servidor RADIUS, haga clic en el botn Agregar e introduzca la informacin en la pantalla mostrada. Elija una fila y haga clic en Editar para modificar la informacin para un servidor RADIUS. Escoja una fila y haga clic en Ping para probar la conexin entre el router y el servidor RADIUS.

Nota

Cuando se est efectuando una prueba de ping, introduzca la direccin IP de la interfaz del origen RADIUS en el campo de origen en el dilogo de ping. Si usted elige El router elige el origen, no necesitar proporcionar ningn valor en el campo de origen del dilogo de ping. Los botones Editar y Ping se desactivan cuando no hay ninguna informacin del servidor RADIUS disponible para la interfaz elegida.


3-6

OL-9963-04

Captulo 3

Autenticacin 802.1x Editar autenticacin 802.1x (puertos de switch)

Editar autenticacin 802.1x (puertos de switch)Esta ventana le permite activar y configurar parmetros de autenticacin 802.1x. Si el mensaje 802.1x no se puede configurar para un puerto que funciona en modo de enlace. aparece en lugar de los parmetros de autenticacin 802.1x, el switch no puede tener activada la autenticacin 802.1x. Si los parmetros de autenticacin 802.1x aparecen pero estn desactivados, entonces una de las siguientes afirmaciones es verdadera:

AAA no se ha activado. Para activar AAA, vaya a Configurar > Tareas adicionales > AAA. AAA se activ, pero no se ha configurado una poltica de autenticacin 802.1x. Para configurar una poltica de autenticacin 802.1x, vaya a Configurar > Tareas adicionales > AAA > Polticas de autenticacin > 802.1x.

Activar autenticacin 802.1xMarque Activar autenticacin 802.1x para activar la autenticacin 802.1x en este puerto de switch.

Modo hostElija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota

Los puertos en los routers Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitadoMarque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.


3-7

Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Autenticacin 802.1x

Fallos de autenticacin de VLANMarque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Reautenticacin peridicaMarque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadasHaga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)Esta ventana le permite activar la autenticacin 802.1x en el puerto Ethernet que seleccion para configuracin, utilizando el asistente para LAN. Para routers Cisco 87x, esta ventana est disponible para configurar una VLAN con autenticacin 802.1x.

Nota

Antes de configurar 802.1x en la VLAN, asegrese de que 802.1x no est configurado en ningn puerto de switch de VLAN. Asegrese tambin de que la VLAN est configurada para DHCP.

Utilizar autenticacin 802.1x para separar trfico fiable y no fiable en la interfazMarque Utilizar autenticacin 802.1x para separar el trfico fiable y no fiable en la interfaz para activar autenticacin 802.1x.


3-8

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Conjunto de direcciones IP de DHCP para clientes 802.1x que no son fiablesPara activar una conexin a Internet para clientes que no tienen autenticacin 802.1x, a cada cliente no fiable se le debe asignar una direccin IP nica. Estas direcciones IP pueden venir de un conjunto de direcciones IP nuevo o existente, pero los conjuntos usados no se pueden superponer con las direcciones IP de alguna de las interfaces existentes del router Cisco IOS.

Nota

El conjunto de direcciones IP se puede superponer con la direccin IP utilizada para una interfaz de retrobucle. Sin embargo, se le solicitar que confirme dicha superposicin antes de que se permita. Elija Crear un conjunto nuevo para configurar un nuevo conjunto de direcciones IP para emitir direcciones IP a clientes que no son fiables. Los campos siguientes pueden estar completos con informacin ingresada anteriormente, pero usted puede cambiarlos o llenarlos:Red

Especifique la direccin de red IP desde la cual se deriva el conjunto de direcciones IP. Especifique la mscara de subred para definir la red y las partes de host de la direccin IP especificada en el campo Red. El servidor DNS es un servidor que asigna un nombre de dispositivo conocido a su direccin IP. Si se configura un servidor DNS para su red, especifique la direccin IP para ese servidor. Si hay un servidor DNS adicional en la red, especifique la direccin IP para ese servidor.

Mscara de subred

Servidor DNS 1

Servidor DNS 2


3-9

Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Autenticacin 802.1x

Servidor WINS 1

Algunos clientes pueden necesitar Windows Internet Naming Service (WINS) para conectarse a dispositivos de Internet. Si hay un servidor WINS en la red, especifique la direccin IP para ese servidor. Si hay un servidor WINS adicional en la red, especifique la direccin IP para ese servidor.

Servidor WINS 2

Si hay un conjunto de direcciones IP existente que desea usar para emitir direcciones IP a clientes que no son fiables, elija Seleccionar un conjunto existente. Elija el conjunto existente desde el men desplegable. Para ver ms informacin acerca de un conjunto existente, haga clic en Detalles.

Listas de excepcionesHaga clic en Listas de excepciones para crear o editar una lista de excepciones. Una lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN.

Eximir a los telfonos Cisco IP de autenticacin 802.1xMarque Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les permite usar el tnel VPN.

Listas de excepciones de 802.1xUna lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN. Los clientes eximidos se identifican por sus direcciones MAC.

AgregarHaga clic en Agregar para abrir una ventana donde pueda agregar la direccin MAC de un cliente. La direccin MAC debe estar en el formato que coincida con uno de estos ejemplos: 0030.6eb1.37e4

00-30-6e-b1-37-e4


3-10

OL-9963-04

Captulo 3

Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa 3

Cisco SDM rechaza direcciones MAC que tienen formato incorrecto, excepto direcciones MAC ms cortas que los ejemplos dados. Las direcciones MAC ms cortas se rellenarn con un 0 (cero) por cada dgito que falte.

Nota

La funcin 802.1x de Cisco SDM no admite la opcin CLI que asocia polticas con direcciones MAC, y no se incluir en las direcciones MAC de la lista de excepciones que tienen una poltica asociada con ellas.

EliminarHaga clic en Eliminar para eliminar un cliente seleccionado de la lista de excepciones.

Autenticacin 802.1x en interfaces de capa 3Esta ventana le permite configurar autenticacin 802.1x. en una Interfaz de capa 3. Enumera puertos Ethernet e interfaces VLAN que se han configurado o que se pueden configurar con autenticacin 802.1x, le permite seleccionar una interfaz de plantilla virtual para clientes no fiables y crea una lista de excepciones para que los clientes omitan la autenticacin 802.1x.

Nota

Si las polticas se han definido utilizando la CLI, aparecern como informacin de slo lectura en esta ventana. En este caso, slo se permite activar o desactivar 802.1x en esta ventana.

Tareas previasSi aparece una tarea previa en la ventana, sta debe finalizarse antes de que la autenticacin 802.1x se pueda configurar. Se muestra un mensaje que explica la tarea previa, junto con un enlace a la ventana donde se puede finalizar la tarea.

Activar globalmente la autenticacin 802.1xMarque Activar globalmente la autenticacin 802.1x para activar la autenticacin 802.1x en todos los puertos Ethernet.


3-11

Captulo 3 Autenticacin 802.1x en interfaces de capa 3

Autenticacin 802.1x

Tabla de interfacesLa tabla de interfaces tiene las siguientes columnas: Interfaz: muestra el nombre de la interfaz Ethernet o VLAN. Autenticacin 802.1x: indica si la autenticacin 802.1x est activada para el puerto Ethernet.

EditarHaga clic en Editar para abrir una ventana con parmetros de autenticacin 802.1x editables. Los parmetros son los ajustes de autenticacin 802.1x para la interfaz elegida en la tabla de interfaces.

Poltica de usuarios no fiablesElija una interfaz de plantilla virtual desde la lista desplegable. La interfaz de plantilla virtual elegida representa la poltica que se aplica a clientes que no tienen autenticacin 802.1x. Para ver ms informacin acerca de la interfaz de plantilla virtual elegida, haga clic en el botn Detalles.

Lista de excepcionesPara obtener ms informacin acerca de la lista de excepciones, consulte Listas de excepciones de 802.1x.

Eximir a los telfonos Cisco IP de autenticacin 802.1xMarque Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les permite usar el tnel VPN.

Aplicar cambiosHaga clic en Aplicar cambios para que los cambios realizados se apliquen.

Descartar cambiosHaga clic en Descartar cambios para borrar los cambios realizados que no se aplicaron.


3-12

OL-9963-04

Captulo 3

Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa 3

Editar la autenticacin 802.1xEsta ventana le permite activar y cambiar los valores por defecto para varios parmetros de autenticacin 802.1x.

Activar la autenticacin 802.1xMarque Activar la autenticacin 802.1x para activar la autenticacin 802.1x en el puerto Ethernet.

Reautenticacin peridicaMarque Reautenticacin peridica para imponer la reautenticacin de los clientes de 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadasHaga clic en Opciones avanzadas para ver descripciones de los campos en el cuadro Opciones avanzadas.


3-13

Captulo 3 Cmo...

Autenticacin 802.1x

Cmo...Esta seccin contiene procedimientos para tareas que el asistente no le ayuda a finalizar.

Cmo configuro autenticacin 802.1x en ms de un puerto Ethernet?Una vez que configure la autenticacin 802.1x en una interfaz, el asistente para LAN ya no mostrar ninguna opcin 802.1x para puertos Ethernet, porque Cisco SDM utiliza la configuracin 802.1x de manera global.

Nota

Para configurar switches, el asistente para LAN continuar mostrando las opciones 802.1x. Si desea editar la configuracin de autenticacin 802.lx en un puerto Ethernet, vaya a Configurar > Tareas adicionales > 802.1x.


3-14

OL-9963-04

CAPTULO

4

Asistentes para crear conexionesLos asistentes para crear conexiones permiten configurar conexiones LAN y WAN para todas las interfaces compatibles con Cisco SDM.

Crear conexinEsta ventana permite crear nuevas conexiones LAN y WAN.Nota

Cisco SDM no puede utilizarse para crear conexiones WAN para los routers Cisco de la serie 7000.

Crear nueva conexinEscoja un tipo de conexin para configurar en las interfaces fsicas disponibles en su router. Slo estn disponibles las interfaces que no han sido configuradas. Cuando usted hace clic en el botn de opcin para un tipo de conexin, un diagrama del escenario del caso aparecer para ilustrar ese tipo de conexin. Si todas las interfaces han sido configuradas, no se mostrar esta rea de la ventana. Si el router tiene interfaces

configuracion router cisco

Documents

asistente para lan

la posibilidad

software o la garanta

capacidad para

irb para ethernet

o enrutamiento

interfaz lan

encuentra la licencia