Está en la página 1de 992

Gua del usuario de Cisco Router and Security Device Manager

2.4.1

Sede central para Amrica Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 EE.UU. http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387) Fax: 408 527-0883
Nmero de pedido del cliente: Nmero de parte de texto: OL-9963-04

LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN PREVIO AVISO. TODAS LAS DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE MANUAL SE CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA. LA APLICACIN DE CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS. LA LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE LA ACOMPAA SE ESTABLECEN EN EL PAQUETE DE INFORMACIN SUMINISTRADO CON EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA REFERENCIA. SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE DE CISCO PARA OBTENER UNA COPIA. La implantacin de Cisco de la compresin de encabezados TCP es una adaptacin de un programa desarrollado por la Universidad de California, Berkeley (UCB) como parte de la versin de dominio publico de la UCB del sistema operativo UNIX. Todos los derechos reservados. Copyright 1981, Regents of the University of California. A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y SOFTWARE DE ESTOS PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y LOS PROVEEDORES MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA, EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES, LAS DE COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO INFRACCIN O LAS QUE PUEDAN SURGIR DEL TRATO, USO O PRCTICA COMERCIAL. EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN RESPONSABLES DE NINGN DAO INDIRECTO, ESPECIAL, CONSECUENTE O FORTUITO, INCLUYENDO, SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS PERDIDOS O DAADOS, QUE PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO DE ESTE MANUAL, INCLUSO EN CASO DE QUE CISCO O SUS PROVEEDORES HAYAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS.

Ninguna direccin de Protocolo de Internet (IP) utilizada en este documento es real. Todo ejemplo, resultado de visualizacin de comandos y figura incluido en el documento se muestran slo con fines ilustrativos. El uso de cualquier direccin IP en contenido ilustrativo es mera coincidencia. Gua del usuario de Cisco Router and Security Device Manager 2.4 2007 Cisco Systems, Inc. Todos los derechos reservados.

CONTENIDO
Pgina de inicio 1 Asistente para LAN 1 Configuracin de Ethernet 3 Asistente para LAN: Seleccionar una interfaz 3 Asistente para LAN: Direccin IP/mscara de subred 3 Asistente para LAN: Activar Servidor DHCP 4 Asistente para LAN: Conjuntos de direcciones DHCP 4 Opciones de DHCP 5 Asistente para LAN: Modo VLAN 6 Asistente para LAN: Puerto del switch 6 Puente IRB 7 Configuracin BVI 8 Conjunto DHCP para BVI 8 IRB para Ethernet 9 Configuracin de Ethernet Nivel 3 9 Configuracin 802.1Q 9 Configuracin del enlace o enrutamiento 10 Mdulo de configuracin del dispositivo del switch 10 Configurar interfaz de Ethernet de gigabits 10 Resumen 11

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

iii

Contenido

Cmo... 11 Cmo se configura una ruta esttica? 11 Como se visualiza la actividad en la interfaz LAN? 12 Cmo se activa o desactiva una interfaz? 13 Cmo se visualizan los comandos de IOS que se envan al router? 14 Cmo inicio la Aplicacin inalmbrica de Cisco SDM? 14 Autenticacin 802.1x 1 Asistente para LAN: Autenticacin 802.1x (puertos de switch) 2 Opciones avanzadas 3 Asistente para LAN: Servidores RADIUS para autenticacin 802.1x 5 Editar autenticacin 802.1x (puertos de switch) 7 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet) 8 Listas de excepciones de 802.1x 10 Autenticacin 802.1x en interfaces de capa 3 11 Editar la autenticacin 802.1x 13 Cmo... 14 Cmo configuro autenticacin 802.1x en ms de un puerto Ethernet? 14 Asistentes para crear conexiones 1 Crear conexin 1 Ventana de bienvenida de la interfaz del asistente para WAN Ventana de bienvenida del mdem analgico 3 Ventana de bienvenida de la conexin de reserva auxiliar 3 Seleccionar la interfaz 4 Encapsulacin: PPPoE 4 Direccin IP: ATM o Ethernet con PPPoE/PPPoA 5 Direccin IP: ATM con enrutamiento RFC 1483 6
3

Ventana de bienvenida de la interfaz del asistente para ISDN (RDSI) 3

Gua del usuario de Cisco Router and Security Device Manager 2.4

iv

OL-9963-04

Contenido

Direccin IP: Ethernet sin PPPoE 7 Direccin IP: serie con Protocolo punto a punto 7 Direccin IP: serie con HDLC o Frame Relay 8 Direccin IP: ISDN (RDSI) BRI o mdem analgico 9 Autenticacin 10 Tipo de switch y SPID 11 Cadena de marcacin 12 Configuracin de la conexin de reserva 13 Configuracin de la conexin de reserva: Direcciones IP de la interfaz principal y del prximo salto (next hop) 13 Configuracin de la conexin de reserva: Nombre de host o direccin IP objeto del seguimiento 14 Opciones avanzadas 14 Encapsulacin 15 PVC
17

Configuracin de LMI y DLCI 19 Configuracin del reloj 20 Eliminar conexin 22 Resumen


24

Pruebas y resolucin de problemas de la conectividad 25 Cmo... 29 Cmo se visualizan los comandos de IOS que se envan al router? 29 Cmo se configura una interfaz WAN no admitida? 29 Cmo se activa o desactiva una interfaz? 30 Como se visualiza la actividad en la interfaz WAN? 30 Cmo se configura NAT en una interfaz WAN? 31 Cmo se configura NAT en una interfaz no admitida? 32 Cmo se configura un protocolo de enrutamiento dinmico? 32

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

Contenido

Cmo se configura el enrutamiento de marcacin a peticin para la interfaz asncrona o ISDN? 33 Cmo se edita una Configuracin de interfaz de radio? 34 Editar interfaz/conexin 1 Conexin: Ethernet para IRB 6 Conexin: Ethernet para enrutamiento 7 Mtodos existentes de DNS dinmico 8 Agregar Mtodo de DNS dinmico 9 Inalmbrica 10 Asociacin NAT 13 Editar puerto del switch 13 Servicio de aplicacin 15 General 16 Seleccionar el tipo de configuracin Ethernet 18 Conexin: VLAN 19 Lista de subinterfaces 20 Agregar/Editar una interfaz BVI 20 Agregar o editar una interfaz de retrobucle 21 Conexin: Interfaz de plantilla virtual 21 Conexin: LAN Ethernet Conexin: WAN Ethernet
22 23 10

Ethernet Properties (Propiedades de Ethernet) 25 Conexin: Ethernet sin encapsulacin 27 Conexin: ADSL 28 Conexin: ADSL sobre ISDN (RDSI) 31 Conexin: G.SHDSL 34

Gua del usuario de Cisco Router and Security Device Manager 2.4

vi

OL-9963-04

Contenido

Configurar controlador DSL 38 Agregar una conexin G.SHDSL 40 Conexin: Interfaz de serie, encapsulacin Frame Relay 43 Conexin: Interfaz de serie, encapsulacin PPP 46 Conexin: Interfaz de serie, encapsulacin HDLC 48 Agregar o editar un tnel GRE 49 Conexin: ISDN (RDSI) BRI 51 Conexin: Mdem analgico 54 Conexin: (Reserva AUX.) 56 Autenticacin 59 Informacin de SPID 60 Opciones de marcacin 61 Configuracin de la copia de seguridad 63 Crear un firewall 1 Asistente de configuracin para firewall bsico 4 Configuracin de la interfaz de firewall bsico 4 Configuracin del firewall para acceso remoto 5 Asistente de configuracin para firewall avanzado 5 Configuracin de la interfaz de firewall avanzado 5 Configuracin del servicio DMZ de firewall avanzado 6 Configuracin de servicio DMZ 7 Configuracin de seguridad de la aplicacin 8 Configuracin del servidor del nombre del dominio 9 Configuracin del servidor de filtro URL 9 Seleccionar la zona de interfaz 10 Zonas internas de ZPF 10 Resumen 10 Alerta de SDM: Acceso a SDM 12
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

vii

Contenido

Cmo... 14 Como se visualiza la actividad en el firewall? 14 Cmo se configura un firewall en una interfaz no compatible? 16 Cmo se configura un firewall despus de configurar una VPN? 17 Cmo se puede permitir que pase determinado trfico por una interfaz DMZ? 17 Cmo se modifica un firewall existente para permitir el trfico procedente de una nueva red o host? 18 Cmo se configura NAT en una interfaz no admitida? 19 Cmo se configura el paso de NAT (NAT Passthrough) para un firewall? 19 Cmo se permite que el trfico llegue al concentrador Easy VPN a travs del firewall? 20 Cmo se asocia una regla a una interfaz? 21 Cmo se anula la asociacin de una regla de acceso con una interfaz? 22 Cmo se elimina una regla que est asociada a una interfaz? 23 Cmo se crea una regla de acceso para una lista Java? 23 Cmo se permite que trfico determinado entre en la red si no se dispone de una red DMZ? 24 Poltica de firewall 1 Editar poltica de firewall/Lista de control de acceso 1 Seleccionar un flujo de trfico 3 Examinar el diagrama de trfico y seleccionar una direccin de trfico 5 Realizar cambios a las reglas de acceso 7 Realizar cambios a las reglas de inspeccin 11 Agregar entrada de aplicacin nombre_aplicacin 13 Agregar entrada de aplicacin RPC 14 Agregar entrada de aplicacin de fragmento 15 Agregar o editar entrada de aplicacin HTTP 16 Bloqueo del subprograma Java 17 Advertencia de Cisco SDM: Regla de inspeccin 18 Advertencia de Cisco SDM: Firewall 18
Gua del usuario de Cisco Router and Security Device Manager 2.4

viii

OL-9963-04

Contenido

Editar poltica de firewall 19 Agregar una nueva regla 22 Agregar trfico 23 Inspeccin de aplicacin 25 Filtro URL 25 Calidad de servicio (QoS) 25 Parmetro de inspeccin 25 Seleccionar trfico 26 Eliminar regla 26 Seguridad de la Aplicacin 1 Ventanas de Seguridad de la Aplicacin 2 Ninguna Poltica de Seguridad de la Aplicacin 3 Correo electrnico 4 Mensajera Instantnea 6 Aplicaciones Par-a-Par 7 Filtrado de URL 7 HTTP 8 Opciones del encabezado 10 Opciones del contenido 11 Aplicaciones y Protocolos 13 Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC 15 Asociar Poltica con una Interfaz 18 Editar la Regla de Inspeccin 18 Controles Permitir, Bloquear y Alerta 20

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

ix

Contenido

VPN sitio a sitio 1 Gua de diseo de VPN 1 Crear VPN sitio a sitio 1 Asistente para VPN sitio a sitio 4 Ver valores por defecto 6 Informacin acerca de la conexin VPN 6 Propuestas IKE 8 Conjunto de transformacin 11 Trfico para proteger 13 Resumen de la configuracin 15 Configuracin de spoke 15 Tnel GRE seguro (GRE sobre IPSec) 16 Informacin acerca del tnel GRE 17 Informacin de autenticacin VPN 18 Informacin acerca del tnel GRE de reserva 19 Informacin de enrutamiento 20 Informacin sobre el enrutamiento esttico 22 Seleccionar el protocolo de enrutamiento 24 Resumen de la configuracin 24 Editar VPN sitio a sitio 25 Agregar nueva conexin 28 Agregar mapa criptogrfico 28 Asistente para mapas criptogrficos: Bienvenido 29 Asistente para mapas criptogrficos: Resumen de la configuracin 30 Eliminar conexin 30 Ping 31 Generar el reflejo... 31 Advertencia de Cisco SDM: Reglas NAT con ACL 32

Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

Contenido

Cmo... 33 Cmo se crea una VPN para ms de un sitio? 33 Despus de configurar una VPN, cmo se configura la VPN en el router del par? 35 Cmo se edita un tnel VPN existente? 37 Cmo se puede confirmar que mi VPN funciona? 37 Cmo se configura un par de reserva para mi VPN? 38 Cmo se acomodan varios dispositivos con diferentes niveles de admisin de VPN? 39 Cmo se configura una VPN en una interfaz no compatible? 40 Cmo se configura una VPN despus de configurar un firewall? 40 Cmo se configura el paso de NAT (NAT Passthrough) para una VPN? 40 Easy VPN remoto 1 Creacin de Easy VPN remoto 1 Configurar un cliente de Easy VPN remoto 1 Informacin del servidor 2 Autenticacin 3 Interfaces y configuracin de conexiones 5 Resumen de la configuracin 6 Editar Easy VPN remoto 7 Agregar o Editar Easy VPN remoto 13 Agregar o Editar Easy VPN remoto: Configuracin de Easy VPN 16 Agregar o Editar Easy VPN remoto: Informacin de autenticacin 18 Especificar credenciales para SSH 21 Ventana Conexin a XAuth 21 Agregar o Editar Easy VPN remoto: Configuracin general 21 Opciones de la Extensin de la Red 23 Agregar o Editar Easy VPN remoto: Informacin de autenticacin 24 Agregar o Editar Easy VPN remoto: Interfaces y conexiones 26

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xi

Contenido

Cmo... 28 Cmo se edita una conexin Easy VPN existente? 28 Cmo configuro una conexin de respaldo para una conexin de la Easy VPN? 28 Servidor Easy VPN 1 Crear un servidor Easy VPN 1 Bienvenido al asistente para servidores Easy VPN 2 Interfaz y Autenticacin 2 Bsqueda de Poltica de grupos y Autorizacin de grupos 3 Autenticacin de usuario (XAuth) 4 Cuentas de usuario para XAuth 5 Agregar servidor RADIUS 6 Autorizacin de grupo: Polticas de grupos de usuarios 6 Informacin General del Grupo 7 Configuracin de DNS y WINS 9 Divisin de la arquitectura de tneles 10 Configuraciones del Cliente 12 Elija las Configuraciones del Proxy del Explorador 15 Agregar o Editar Configuraciones del Proxy del Explorador 16 Autenticacin de usuario (XAuth) 17 Actualizacin del Cliente 18 Agregar o Editar Entrada de Actualizacin del Cliente 19 Resumen 21 Configuraciones del Proxy del Explorador 21 Agregar o Editar el Servidor de la Easy VPN 23 Agregar o editar conexin de servidor Easy VPN 24 Restringir Acceso 25 Configuracin de polticas de grupo 26

Gua del usuario de Cisco Router and Security Device Manager 2.4

xii

OL-9963-04

Contenido

Conjuntos IP 29 Agregar o editar conjunto local IP 30 Agregar intervalo de direcciones IP 30 Enhanced Easy VPN 1 Interfaz y Autenticacin 1 Servidores RADIUS 2 Polticas de Grupo de usuarios y Autorizacin de grupos 4 Agregar o Editar servidor Easy VPN: Ficha General 5 Agregar o Editar servidor Easy VPN: Ficha IKE 5 Agregar o Editar servidor Easy VPN: Ficha IPSec 7 Crear interfaz de tnel virtual 8 DMVPN 1 Red privada virtual multipunto dinmica (DMVPN) 1 Asistente para hubs de red privada virtual multipunto dinmica 2 Tipo de hub 3 Configurar la clave previamente compartida 3 Configuracin de la interfaz de tnel GRE de hub 4 Configuracin avanzada para la interfaz de tnel 5 Hub principal 7 Seleccionar el protocolo de enrutamiento 7 Informacin de enrutamiento 8 Asistente para spokes de privada virtual multipunto dinmica 10 Topologa de red DMVPN 10 Especificar la informacin del hub 11 Configuracin de la interfaz de tnel GRE de spoke 11 Advertencia de Cisco SDM: DMVPN Dependency (Dependencia DMVPN) 13

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xiii

Contenido

Editar VPN multipunto dinmica (DMVPN) 13 Panel General 15 Panel NHRP 17 Configuracin del mapa NHRP 18 Panel Enrutamiento 19 Cmo se configura una red DMVPN manualmente? 21 Configuracin VPN global 1 Configuracin VPN global 1 Configuracin VPN global: IKE 3 Configuracin VPN global: IPSec 4 Configuracin del cifrado de la clave VPN 5 Seguridad IP 1 Polticas IPSec 1 Agregar una poltica IPSec/Editar la poltica IPSec 4 Agregar o editar el mapa criptogrfico: General 5 Agregar o editar el mapa criptogrfico: Informacin del par 7 Agregar o editar el mapa criptogrfico: Conjuntos de transformacin Agregar o editar el mapa criptogrfico: Trfico de proteccin 10

Conjuntos de mapas criptogrficos dinmicos 12 Agregar un conjunto de mapas criptogrficos dinmicos/Editar el conjunto de mapas criptogrficos dinmicos 12 Asociar mapas criptogrficos a esta poltica IPSec 13 Perfiles IPsec 13 Agregar o editar un perfil IPSec 14 Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa criptogrfico dinmico 16 Conjunto de transformacin 17 Agregar/Editar conjunto de transformacin 20 Reglas IPSec 23
Gua del usuario de Cisco Router and Security Device Manager 2.4

xiv

OL-9963-04

Contenido

Intercambio de claves por Internet 1 Intercambio de claves por Internet (IKE) 1 Polticas IKE 2 Agregar o editar una poltica IKE 4 Claves previamente compartidas de IKE 6 Agregar una nueva clave previamente compartida/Editar la clave previamente compartida 8 Perfiles IKE 9 Agregar o editar un perfil IKE 10 Infraestructura de clave pblica 1 Asistentes para certificados 1 Bienvenido al Asistente para SCEP 3 Informacin acerca de la Autoridad certificadora (CA) 3 Opciones avanzadas 4 Atributos del nombre de asunto del certificado 5 Otros atributos de asunto 6 Claves RSA 7 Resumen 8 Certificado de servidor de la CA 9 Estado de suscripcin 9 Bienvenido al Asistente para cortar y pegar 10 Tarea de suscripcin 10 Solicitud de suscripcin 11 Continuar con la suscripcin sin terminar 11 Importar el certificado de la CA 12 Importar el o los certificados de router 12

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xv

Contenido

Certificados digitales 13 Informacin acerca del punto de confianza 15 Detalles del certificado 16 Comprobar revocacin 16 Comprobar revocacin de CRL nicamente 17 Ventana Claves RSA 17 Generar par de claves RSA 18 Credenciales del token USB 20 Tokens USB 20 Agregar o Editar un token USB 21 Abrir Firewall 23 Abrir detalles del firewall 24 Servidor de la autoridad certificadora 1 Crear servidor de la CA 1 Tareas previas para configuraciones de PKI 2 Asistente para el servidor de la CA: Bienvenido 3 Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora 4 Opciones avanzadas 5 Asistente para el servidor de la CA: Claves RSA 7 Abrir Firewall 8 Asistente para el servidor de la CA: Resumen 9 Administrar servidor de la CA 10 Servidor de la CA de reserva 12 Administrar servidor de la CA: Restaurar ventana 12 Restaurar servidor de la CA 12 Editar configuracin del servidor de la CA: Ficha General 13 Editar configuracin del servidor de la CA: Ficha Avanzado 13 Administrar servidor de la CA: Servidor de la CA no configurado 14
Gua del usuario de Cisco Router and Security Device Manager 2.4

xvi

OL-9963-04

Contenido

Administrar certificados 14 Solicitudes pendientes 14 Certificados revocados 16 Revocar certificado 17 VPN con SSL de Cisco IOS 1 Enlaces de VPN con SSL de Cisco IOS en Cisco.com 2 Crear SSL VPN 3 Certificado con firma automtica permanente 5 Bienvenido 6 Gateways SSL VPN 6 Autenticacin del Usuario 7 Configurar sitios Web de la intranet 9 Agregar o editar URL 9 Personalizar el portal SSL VPN 10 Configuracin de paso por SSL VPN 10 Poltica de usuarios 11 Detalles de la poltica de grupo de SSL VPN: Policyname 11 Seleccionar el grupo de usuarios de SSL VPN 12 Seleccionar funciones avanzadas 12 Cliente ligero (mapeo de puertos) 13 Agregar o editar un servidor 13 Ms detalles acerca de los servidores de mapeo de puertos 14 Tnel completo 15 Buscar el paquete de instalacin de Cisco SDM 17 Activar Cisco Secure Desktop 19 Sistema de archivos de Internet comn 20 Activar Citrix sin cliente 21 Resumen 21 Editar SSL VPN 21

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xvii

Contenido

Contexto de SSL VPN 23 Designar interfaces como internas o externas 25 Seleccionar un gateway 25 Contexto: Polticas de grupo 25 Ms detalles acerca de las polticas de grupo 26 Poltica de grupo: Ficha General 27 Poltica de grupo: Ficha Sin clientes 27 Poltica de grupo: Ficha Cliente ligero 28 Poltica de grupo: Ficha Cliente VPN con SSL (tnel completo) 29 Opciones avanzadas de tnel 30 Ms detalles acerca de la divisin de la arquitectura de tneles 33 Servidores DNS y WINS 34 Contexto: Configuracin HTML 34 Seleccionar color 35 Contexto: Listas de servidores de nombres NetBIOS 36 Agregar o editar una lista de servidores de nombres NetBIOS 36 Agregar o editar un servidor NBNS 36 Contexto: Listas de mapeo de puertos 37 Agregar o editar una lista de mapeo de puertos 37 Contexto: Listas de direcciones URL 37 Agregar o editar una lista de direcciones URL 38 Contexto: Cisco Secure Desktop 38 Gateways SSL VPN 39 Agregar o editar un gateway SSL VPN 40 Paquetes 41 Instalar paquete 42 Contextos, gateways y polticas VPN con SSL de Cisco IOS 42

Gua del usuario de Cisco Router and Security Device Manager 2.4

xviii

OL-9963-04

Contenido

Cmo... 49 Cmo puedo confirmar que VPN con SSL de Cisco IOS funciona? 49 Cmo se configura una VPN con SSL de Cisco IOS despus de configurar un firewall? 50 Cmo puedo asociar una instancia de VRF con un contexto de VPN con SSL de Cisco IOS? 50 Resolucin de problemas de VPN 1 Resolucin de problemas de VPN
1

Resolucin de problemas de VPN: Especificar el cliente Easy VPN 4 Resolucin de problemas de VPN: Generar trfico 4 Resolucin de problemas de VPN: Generar trfico GRE 6 Advertencia de Cisco SDM: SDM activar depuraciones del router 7 Auditora de seguridad 1 Pgina de bienvenida 4 Pgina de seleccin de la interfaz 5 Pgina Tarjeta de informes 5 Pgina Repararlo 6 Desactivar el servicio Finger 7 Desactivar el servicio PAD 8 Desactivar el servicio de pequeos servidores TCP 8 Desactivar el servicio de pequeos servidores UDP 9 Desactivar el servicio del servidor IP bootp 10 Desactivar el servicio IP ident 10 Desactivar CDP 11 Desactivar la ruta de origen IP 11 Activar el servicio de cifrado de contraseas 12 Activar los paquetes keep-alive de TCP para sesiones telnet entrantes 12 Activar los paquetes keep-alive de TCP para sesiones telnet salientes 13

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xix

Contenido

Activar nmeros de secuencia y marcadores de hora en depuraciones 13 Activar IP CEF 14 Desactivar Gratuitous ARP de IP 14 Definir la longitud mnima de la contrasea a menos de 6 caracteres 15 Definir la proporcin de fallos de autenticacin a menos de 3 intentos 15 Definir la hora TCP Synwait 16 Definir anuncio 16 Activar registro 17 Definir activacin de la contrasea secreta 18 Desactivar SNMP 18 Definir el intervalo del Programador 19 Definir asignacin del Programador 19 Definir usuarios 20 Activar configuracin Telnet 20 Activar cambio a NetFlow 21 Desactivar redireccionamiento IP 21 Desactivar ARP Proxy IP 22 Desactivar difusin dirigida IP 22 Desactivar servicio MOP 23 Desactivar IP de destino inalcanzable 23 Desactivar respuesta de mscara IP 24 Desactivar IP de destino inalcanzable en interfaz NULA 24 Activar RPF unidifusin en todas las interfaces externas 25 Activar firewall en todas las interfaces externas 26 Definir la clase de acceso en el servicio de servidor HTTP 26 Definir la clase de acceso en lneas VTY 27 Activar SSH para acceder al router 27 Activar AAA 28 Pantalla Resumen de la configuracin 28 Cisco SDM y AutoSecure de Cisco IOS 28
Gua del usuario de Cisco Router and Security Device Manager 2.4

xx

OL-9963-04

Contenido

Configuraciones de seguridad que Cisco SDM puede deshacer 31 Cmo deshacer las correcciones de la Auditora de seguridad 32 Pantalla Agregar/Editar una cuenta Telnet/SSH 32 Configurar cuentas de usuario para Telnet/SSH 33 Pgina Enable Secret and Banner (Activar contrasea secreta y anuncio) 34 Pgina Registro 35 Enrutamiento 1 Agregar ruta esttica de IP/Editar la ruta esttica de IP 4 Agregar/Editar una ruta RIP 5 Agregar o editar una ruta OSPF 6 Agregar o editar una ruta EIGRP 7 Traduccin de direcciones de red 1 Asistentes de traduccin de direcciones de la red 1 Asistente de NAT bsica: Bienvenido 2 Asistente de NAT bsica: Conexin 2 Resumen 3 Asistente de NAT avanzada: Bienvenido 3 Asistente de NAT avanzada: Conexin 4 Agregar direccin IP 4 Asistente de NAT avanzada: Redes 4 Agregar redes 5 Asistente de NAT avanzada: Direcciones IP pblicas del servidor 6 Agregar o editar Regla de traduccin de direcciones 6 Asistente de NAT avanzada: Conflicto ACL 8 Detalles 8 Reglas de traduccin de direcciones de la red 8 Designar interfaces NAT 13 Configuracin del lmite de tiempo para la traduccin 13
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxi

Contenido

Editar mapa de ruta 15 Editar entrada del mapa de ruta 16 Conjuntos de direcciones 17 Agregar/Editar conjunto de direcciones 18 Agregar o editar regla de traduccin de direcciones estticas: De interna a externa 19 Agregar o editar regla de traduccin de direcciones estticas: De externa a interna 22 Agregar o editar regla de traduccin de direcciones dinmicas: De interna a externa 25 Agregar o editar regla de traduccin de direcciones dinmicas: De externa a interna 28 Cmo. . . 30 Cmo configuro la Traduccin de direcciones de externa a interna? 31 Cmo configuro NAT con una LAN y mltiples WAN? 31 Cisco IOS IPS 1 Crear IPS 2 Crear IPS: Bienvenido 3 Crear IPS: Seleccionar interfaces 3 Crear IPS: Ubicacin SDF 3 Crear IPS: Archivo de firma 4 Crear IPS: Ubicacin y categora del archivo de configuracin 6 Agregar o editar una ubicacin de configuracin 6 Seleccin de directorio 7 Archivo de firma 7 Crear IPS: Resumen 8 Crear IPS: Resumen 9 Editar IPS 10 Editar IPS: Polticas IPS 11 Activar o editar IPS en una interfaz 14
Gua del usuario de Cisco Router and Security Device Manager 2.4

xxii

OL-9963-04

Contenido

Editar IPS: Configuraciones globales 15 Editar configuracin global 17 Agregar o editar una ubicacin de firma 19 Editar IPS: Mensajes SDEE 20 Texto de los mensajes SDEE 21 Editar IPS: Configuraciones globales 23 Editar configuracin global 24 Editar requisitos previos de IPS 26 Agregar clave pblica 27 Editar IPS: Actualizacin automtica 27 Editar IPS: Configuracin SEAP 29 Editar IPS: Configuracin SEAP: ndice de valor de destino 29 Agregar ndice de valor de destino 31 Editar IPS: Configuracin SEAP: Anulaciones de accin de evento 31 Agregar o editar una anulacin de accin de evento 33 Editar IPS: Configuracin SEAP: Filtros de accin de evento 34 Agregar o editar un filtro de accin de evento 36 Editar IPS: Firmas 39 Editar IPS: Firmas 45 Editar firma 50 Seleccin de archivos 53 Asignar acciones 54 Importar firmas 55 Agregar, editar o duplicar firma 57 Cisco Security Center 59 Archivos de definicin de firmas entregados con IPS 59 Panel de seguridad 61 Migracin IPS 64 Asistente para migracin: Bienvenido 64

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxiii

Contenido

Asistente para migracin: Seleccione el archivo de firma de copia de seguridad de IOS IPS 64 Archivo de firma 65 Java Heap Size 65 Gestin del mdulo de red 1 Gestin del mdulo de red IDS 1 Direccin IP de la interfaz del sensor IDS 3 Determinacin de la direccin IP 4 Lista de verificacin de la configuracin del mdulo de red IDS 5 Configuracin de supervisin de la interfaz del mdulo de red IDS 7 Inicio de sesin del mdulo de red 7 Funcin No disponible 7 Seleccin de interfaz del mdulo de switch 7 Calidad de servicio (QoS) 1 Crear poltica de QoS 1 Asistente para QoS 2 Seleccin de Interfaz
2

Generacin de la poltica de QoS 3 Resumen de la configuracin de QoS 3 Editar poltica de QoS 5 Asociar o anular asociacin de la poltica de QoS 8 Agregar o editar una clase de QoS 8 Editar valores DSCP de coincidencia 10 Editar valores de protocolo de coincidencia 10 Agregar protocolos personalizados 11 Editar ACL de coincidencia 11 Editar valores DSCP de coincidencia 11

Gua del usuario de Cisco Router and Security Device Manager 2.4

xxiv

OL-9963-04

Contenido

Control de Admisin a la Red 1 Ficha Crear NAC 2 Otras Tareas en una Implementacin del NAC 3 Bienvenido 4 Servidores de Polticas del NAC 5 Seleccin de Interfaz 7 Lista de excepcin de NAC 8 Agregar o Editar una Entrada de la Lista de Excepcin 9 Elegir una Poltica de Excepcin 9 Agregar Poltica de Excepcin 10 Poltica de Hosts sin Agentes 11 Configurar el NAC para el Acceso Remoto 12 Modificar el firewall 12 Ventana Detalles 13 Resumen de la configuracin 13 Ficha Editar NAC 14 Componentes del NAC 15 Ventana Lista de Excepcin 16 Ventana Polticas de Excepcin 16 Lmites de tiempo del NAC 17 Configurar la Poltica del NAC 18 Cmo... 20 Cmo Configuro un Servidor de Poltica del NAC? 20 Cmo Instalo y Configuro un Agente de gestin de estado en un Host? 20 Propiedades del router 1 Propiedades del dispositivo 1 Fecha y hora: Propiedades del reloj 3 Propiedades de fecha y hora 3 NTP 5 Agregar/Editar detalles del servidor NTP 6
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxv

Contenido

SNTP 7 Agregar detalles del servidor NTP 8 Registro 9 SNMP 10 Netflow 11 Usuarios de Netflow 12 Acceso a router 13 Cuentas de usuario: Configurar cuentas de usuario para el acceso al router 13 Agregar/Editar un nombre de usuario 14 Contrasea de la vista 16 Configuracin VTY 17 Editar lneas vty 18 Configurar polticas de acceso a la gestin 19 Agregar/Editar una poltica de gestin 21 Mensajes de error de acceso a la gestin 23 SSH 25 Configuracin DHCP 26 Conjuntos DHCP 26 Agregar o Editar conjunto DHCP 27 Asociaciones DHCP 28 Agregar o Editar la Asociacin DHCP 30 Propiedades de DNS 31 Mtodos DNS dinmicos 31 Agregar o Editar un mtodo DNS dinmico 32

Gua del usuario de Cisco Router and Security Device Manager 2.4

xxvi

OL-9963-04

Contenido

Editor ACL 1 Procedimientos tiles para las reglas de acceso y firewalls 3 Ventanas de reglas 4 Agregar/Editar una regla 8 Asociar con una interfaz 11 Agregar una entrada de regla estndar 12 Agregar una entrada de regla ampliada 14 Seleccionar una regla 19 Asignacin puerto a aplicacin 1 Asignaciones puerto a aplicacin 1 Agregar o editar entrada de asignacin de puerto 3 Firewall de poltica basado en zonas 1 Ventana de zona 2 Agregar o editar una zona 3 Reglas generales de la poltica basada en zonas 4 Pares de zonas 5 Agregar o editar un par de zonas 6 Agregar una zona 6 Seleccionar una zona 7 Authentication, Authorization and Accounting (AAA) 1 Ventana principal de AAA 2 Grupos y servidores AAA 3 Ventana Servidores AAA 3 Agregar o editar un servidor TACACS+ 4 Agregar o editar un servidor RADIUS 5 Editar configuracin global 6 Ventana Grupos de servidores AAA 7 Agregar o editar grupo de servidores AAA 8
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxvii

Contenido

Polticas de Autenticacin y Autorizacin 8 Ventanas de Autenticacin y Autorizacin 9 Autenticacin de NAC 10 Autenticacin de 802.1x 11 Agregar o Editar una lista de mtodos para autenticar o autorizar 12 Provisionamiento del router 1 Secure Device Provisioning 1 Provisionamiento del router desde el USB 2 Provisionamiento del router desde USB (cargar archivo) 2 Sugerencias para la resolucin de problemas SDP 3 Lenguaje de poltica de clasificacin comn de Cisco 1 Mapa de poltica 1 Ventanas de mapa de poltica 2 Agregar o editar un mapa de poltica de QoS 3 Agregar un mapa de poltica de inspeccin 4 Mapa de poltica de capa 7 4 Inspeccin de aplicacin 5 Configurar inspeccin profunda de paquetes 5 Mapas de clase 6 Asociar mapa de clase 7 Opciones avanzadas del mapa de clase 7 Mapa de clase de QoS 8 Agregar o editar un mapa de clase de QoS 9 Agregar o editar un mapa de clase de QoS 9 Seleccionar un mapa de clase 9 Inspeccin profunda 9

Gua del usuario de Cisco Router and Security Device Manager 2.4

xxviii

OL-9963-04

Contenido

Ventanas Mapa de clase y Grupos de servicio de aplicacin 9 Agregar o editar un mapa de clase de inspeccin 12 Asociar mapa de parmetro 13 Agregar un mapa de clase de inspeccin HTTP 13 Encabezado de solicitud HTTP 14 Campos de encabezado de solicitud HTTP 15 Cuerpo de solicitud HTTP 16 Argumentos de encabezado de solicitud HTTP 16 Mtodo HTTP 17 Uso incorrecto del puerto de solicitud 17 URI de solicitud 17 Encabezado de respuesta 18 Campos de encabezado de respuesta 18 Cuerpo de respuesta HTTP 19 Lnea de estado de respuesta HTTP 20 Criterios de encabezado de solicitud/respuesta 21 Campos de encabezado de solicitud/respuesta HTTP 21 Cuerpo de solicitud/respuesta 22 Infraccin del protocolo de solicitud/respuesta 23 Agregar o editar un mapa de clase IMAP 23 Agregar o editar un mapa de clase SMTP 24 Agregar o editar un mapa de clase SUNRPC 24 Agregar o editar un mapa de clase de mensajera instantnea 24 Agregar o editar un mapa de clase punto a punto 24 Agregar regla P2P 26 Agregar o editar un mapa de clase de POP3 26 Mapas de parmetros 26 Ventanas de mapa de parmetros 27 Agregar o editar un mapa de parmetro para informacin de protocolo 27 Agregar o editar una entrada del servidor 28
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxix

Contenido

Agregar o editar expresin regular 28 Agregar un patrn 29 Generar expresin regular 30 Metacaracteres de expresin regular 33 Filtrado de URL 1 Ventana de filtrado de URL 2 Editar configuracin global 2 Configuracin general para el filtrado de URL 4 Lista de URL local 6 Agregar o editar URL local 7 Importar lista de URL 8 Servidores de filtro de URL 8 Agregar o editar el servidor de filtro de URL Preferencia del filtrado de URL 10 Gestin de configuracin 1 Edicin manual del archivo de configuracin 1 Editor de configuracin 2 Restablecer los valores por defecto de fbrica 3 Esta funcin no se admite 6 Informacin adicional acerca de... 1 Direcciones IP y mscaras de subred 1 Campos de host y red 3 Configuraciones de interfaz disponibles 4 Conjuntos de direcciones DHCP 5 Significados de las palabras clave permit y deny 6 Servicios y puertos 7

Gua del usuario de Cisco Router and Security Device Manager 2.4

xxx

OL-9963-04

Contenido

Informacin adicional acerca de NAT 14 Escenarios de traduccin de direcciones estticas 14 Escenarios de traduccin de direcciones dinmicas 17 Motivos por los cuales Cisco SDM no puede modificar una regla NAT 19 Informacin adicional acerca de VPN 20 Recursos de Cisco.com 20 Informacin adicional acerca de conexiones VPN y polticas IPSec 21 Informacin adicional acerca de IKE 23 Informacin adicional acerca de las polticas IKE 24 Combinaciones de transformacin permitidas 25 Motivos por los cuales una configuracin de interfaz o subinterfaz de serie puede ser de slo lectura 27 Motivos por los cuales una configuracin de interfaz o subinterfaz ATM puede ser de slo lectura 28 Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura 29 Motivos por los cuales una configuracin de interfaz ISDN (RDSI) BRI puede ser de slo lectura 29 Motivos por los cuales una configuracin de interfaz de mdem analgico puede ser de slo lectura 30 Escenario de utilizacin de polticas de firewall 32 Recomendaciones para la configuracin de DMVPN 32 Informes tcnicos sobre Cisco SDM 33 Pasos iniciales 1 Qu novedades trae esta versin? 2 Versiones de Cisco IOS admitidas 3

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxxi

Contenido

Visualizar la informacin del router 1 Aspectos generales 2 Estado de la interfaz 6 Estado de firewall 10 Estado del firewall de poltica basado en zonas 11 Estado de la red VPN 13 Tneles IPSec 13 Tneles DMVPN 15 Servidor Easy VPN 16 IKE SA 18 Componentes de SSL VPN 19 Contexto de SSL VPN 20 Sesiones de usuario 21 Truncado de URL 22 Mapeo de puertos 22 CIFS 22 Tnel completo 22 Lista de usuarios 23 Estado del trfico 25 Usuarios ms activos de Netflow 25 Protocolos ms activos 25 Usuarios ms activos 26 Calidad de servicio (QoS) 27 Trfico de aplicaciones/protocolos 29 Estado de la red NAC 30 Registro 31 Syslog 32 Registro de firewall 34 Registro de Seguridad de la aplicacin 37 Registro de mensajes SDEE 38
Gua del usuario de Cisco Router and Security Device Manager 2.4

xxxii

OL-9963-04

Contenido

Estado de la red IPS 39 Estadsticas de firmas de IPS 41 Estadsticas de alertas de IPS 42 Estado de la autenticacin 802.1x 43 Comandos del men Archivo 1 Guardar configuracin en ejecucin en el PC 1 Enviar configuracin al router 1 Escribir en la configuracin de inicio 2 Restablecer los valores por defecto de fbrica 2 Gestin de archivos 3 Cambiar nombre 6 Nueva carpeta 6 Guardar SDF a PC 6 Salir 6 No se ha podido realizar la compresin de flash 7 Comandos del men Editar 1 Preferencias 1 Comandos del men Ver 1 Inicio 1 Configurar 1 Supervisar 1 Configuracin en ejecucin 2 Mostrar comandos 2 Reglas de Cisco SDM por defecto 3 Actualizar 4

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

xxxiii

Contenido

Comandos del men Herramientas 1 Ping 1 Telnet 1 Auditora de seguridad 1 Configuracin de PIN del token USB 2 Aplicacin inalmbrica 3 Actualizar Cisco SDM 3 Inicio de sesin en CCO 5 Comandos del men Ayuda 1 Temas de Ayuda 1 Cisco SDM en CCO 1 Matriz de hardware/software 1 Acerca de este router... 2 Acerca de Cisco SDM 2

Gua del usuario de Cisco Router and Security Device Manager 2.4

xxxiv

OL-9963-04

CAPTULO

Pgina de inicio
La pgina de inicio proporciona informacin bsica acerca del hardware, el software y la configuracin del router. Esta pgina contiene las secciones siguientes:

Nombre de host
El nombre configurado del router.

Acerca de su router
Muestra informacin bsica sobre el hardware y el software del router y contiene los campos siguientes: Hardware
Tipo de modelo

Software Muestra el nmero de modelo del router. RAM total


Versin de IOS

La versin del software Cisco IOS vigente en el router. Router and Security Device Manager (Cisco SDM) vigente en el router.

Disponible / Memoria total RAM disponible /

Versin de Cisco SDM La versin del software Cisco

Capacidad de flash total Disponibilidad de funciones

Flash + Webflash (si es aplicable) Las funciones disponibles en la imagen de Cisco IOS que el router utiliza aparecen marcadas. Las funciones que Cisco SDM comprueba son: IP, Firewall, VPN, IPS y NAC.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

1-1

Captulo 1

Pgina de inicio

Ms...

El enlace Ms... muestra una ventana emergente que proporciona detalles de hardware y software adicionales.

Detalles de hardware: adems de la informacin presentada en la seccin Acerca de su router, esta muestra ficha la siguiente informacin:
Si el router arranca desde el archivo Flash o desde la configuracin. Si el router tiene aceleradores; por ejemplo, aceleradores VPN. Una diagrama de configuracin de hardware incluyendo la memoria flash

y los dispositivos instalados tales como flash USB y tokens USB.

Detalles de software: adems de la informacin presentada en la seccin Acerca de su router, esta ficha muestra la siguiente informacin:
Los grupos de funciones incluidos en la imagen del IOS. La versin de Cisco SDM en ejecucin.

Aspectos generales de configuracin


Esta seccin de la pgina de inicio resume los parmetros de configuracin que se han definido.

Nota

Si en la pgina de inicio no encuentra informacin sobre las funciones que se describen en este tema de ayuda, la imagen de Cisco IOS no admite la funcin. Por ejemplo, si el router est ejecutando una imagen de Cisco IOS que no admite funciones de seguridad, las secciones Poltica de firewall, VPN y Prevencin de intrusiones no aparecern en la pgina de inicio.
Ver configuracin vigente

Haga clic en este botn para mostrar la configuracin actual del router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

1-2

OL-9963-04

Captulo 1

Pgina de inicio

Interfaces y conexiones
LAN totales admitidas

Punta de flecha doble: Activas (n): el nmero Inactivas (n): el nmero de conexiones haga clic aqu para mostrar de conexiones LAN y WAN que estn activas. LAN y WAN que estn u ocultar los detalles. inactivas. El nmero total de interfaces LAN que se encuentran en el router. WAN totales admitidas El nmero de interfaces WAN admitidas por Cisco SDM que se encuentran en el router. El nmero total de conexiones WAN admitidas por Cisco SDM que se encuentran en el router.

Interfaz de LAN configurada

El nmero de interfaces Conexiones WAN totales LAN admitidas que se encuentran configuradas en el router. Configurado/ No configurado Si se configura un grupo, la direccin inicial y la direccin final del grupo DHCP. Si se han configurado varios grupos, la lista de los nombres de los grupos configurados.
N de clientes DHCP (vista detallada)

Servidor DHCP Grupo DHCP (vista detallada)

Nmero actual de clientes que ceden direcciones.

Interfaz

Tipo

IP/Mscara

Descripcin

Nombre de la interfaz configurada

Tipo de interfaz

Direccin IP y mscara Descripcin de la interfaz de subred

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

1-3

Captulo 1

Pgina de inicio

Polticas de firewall

Activo/inactivo

Fiable (n)

No fiable (n)

DMZ (n)

Activo: un firewall El nmero de interfaces fiables est en servicio. (internas). Inactivo: no hay ningn firewall en servicio.
Interfaz Icono de firewall NAT

El nmero de interfaces no fiables (externas).

El nmero de interfaces DMZ.

Regla de inspeccin

Regla de acceso

El nombre de la interfaz a la que se ha aplicado el firewall

Si la interfaz se ha designado como interfaz interna o externa.

El nombre o nmero de la regla NAT que se ha aplicado a esta interfaz.

Los nombres o nmeros de las reglas de inspeccin entrantes y salientes.

Los nombres o nmeros de las reglas de acceso entrantes y salientes.

VPN
IPSec (sitio a sitio)

Activas (n): el nmero de conexiones VPN activas.


GRE sobre IPSec El nmero de conexiones VPN sitio a sitio que se han configurado. Easy VPN remoto El nmero de conexiones Easy VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Vase la nota.

El nmero de conexiones GRE sobre IPSec que se han configurado. El nmero de conexiones del tipo Easy VPN remoto que se han configurado.

Conexin a Xauth necesaria

N de clientes DMVPN

Si el router est configurado como hub DMVPN, el nmero de clientes DMVPN.

N de clientes VPN activos Si este router funciona

como servidor Easy VPN, el nmero de clientes Easy VPN con conexiones activas.

Gua del usuario de Cisco Router and Security Device Manager 2.4

1-4

OL-9963-04

Captulo 1

Pgina de inicio

VPN
Interfaz

Activas (n): el nmero de conexiones VPN activas.


Tipo Poltica IPSec Descripcin

El nombre de una interfaz con una conexin VPN configurada

El tipo de conexin VPN configurada en la interfaz.

El nombre de la poltica Breve descripcin de la conexin. IPSec asociada a la conexin VPN.

Nota

Algunos concentradores o servidores VPN autentican a los clientes mediante la autenticacin ampliada (Xauth). Aqu se muestra el nmero de tneles VPN que esperan un inicio de sesin de autenticacin ampliada (Xauth). Si un tnel Easy VPN espera un inicio de sesin con ese tipo de autenticacin, se muestra un panel de mensajes independiente con el botn Conexin. Al hacer clic en Conexin se permite al usuario especificar las credenciales para el tnel. Si se ha configurado Xauth para un tnel, ste no empezar a funcionar hasta que se haya proporcionado la conexin y la contrasea. No existe ningn lmite de tiempo tras el cual se detenga la espera; esta informacin se esperar de forma indefinida.

Polticas NAC
Columna Interfaz

Activo o Inactivo
Columna de Poltica NAC

El nombre de la interfaz a la que se le aplica la poltica. Por ejemplo, FastEthernet 0, o Ethernet 0/0.

El nombre de la poltica NAC.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

1-5

Captulo 1

Pgina de inicio

Enrutamiento
N de rutas estticas

Prevencin de intrusiones El nmero total de rutas estticas configuradas en el router.


Firmas activas

El nmero de firmas activas que utiliza el router. stas pueden estar incorporadas, o cargarse desde una ubicacin remota. El nmero de interfaces del router con IPS activado.

Protocolos de Muestra una lista de enrutamiento todos los protocolos dinmico de enrutamiento

N de interfaces con IPS activada

dinmico que estn configurados en el router.


Versin SDF

La versin de los archivos SDF de este router. Un enlace al Panel de seguridad de IPS en el que se pueden visualizar e implementar las diez firmas principales.

Panel de seguridad

Gua del usuario de Cisco Router and Security Device Manager 2.4

1-6

OL-9963-04

CAPTULO

Asistente para LAN


El Asistente para LAN de Cisco Router and Security Device Manager (Cisco SDM) le gua por el proceso de configuracin de una interfaz LAN. La pantalla proporciona una lista de las interfaces LAN del router. Puede seleccionar cualquiera de las interfaces que se indican en la ventana y hacer clic en Configurar para convertir la interfaz en una LAN y configurarla. En esta ventana se proporciona una lista de las interfaces del router que se han designado como interfaces internas en la configuracin de inicio, as como una lista de las interfaces Ethernet y de los puertos de switch que an no se han configurado como interfaces WAN. La lista incluye las interfaces que ya se han configurado. Al configurar una interfaz como LAN, Cisco SDM inserta el texto de descripcin $ETH-LAN$ en el archivo de configuracin, para que en el futuro pueda reconocerla como una interfaz LAN.

Interfaz
El nombre de la interfaz.

Configurar
Haga clic en este botn para configurar una interfaz seleccionada. Si la interfaz nunca se ha configurado, Cisco SDM le guiar por el Asistente para LAN para ayudarle a configurarla. Si la interfaz se ha configurado mediante Cisco SDM, Cisco SDM muestra una ventana de edicin que permite cambiar los ajustes de configuracin. Si la interfaz LAN ha recibido una configuracin no compatible con Cisco SDM, es posible que el botn Configurar est desactivado. Para obtener una lista de este tipo de configuraciones, consulte Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-1

Captulo 2

Asistente para LAN

Qu desea hacer?

Si desea: Configurar o editar una interfaz o puerto de switch LAN.

Haga lo siguiente: Seleccione la interfaz o puerto de switch LAN de la lista y haga clic en Configurar. Si la interfaz no se ha configurado o si ha seleccionado un puerto de switch, Cisco SDM, le guiar por el Asistente para LAN que se puede utilizar para configurar la interfaz. Si la interfaz ya se ha configurado y no se trata de un puerto de switch, al hacer clic en Configurar, aparecer una ventana de edicin que permite cambiar la configuracin de la LAN.

Volver a configurar la direccin IP, la Seleccione una interfaz que disponga de una direccin IP y mscara o las propiedades de DHCP de haga clic en Configurar. una interfaz que ya se ha configurado. En la barra de categoras de Cisco SDM, haga clic en Realizar configuraciones especficas Interfaces y conexiones, seleccione la ficha Editar relacionadas con la LAN para interfaz/conexin y cambie la configuracin. elementos como, por ejemplo, los servidores DHCP o los ajustes de unidad de transmisin mxima (MTU). Ver cmo realizar tareas de configuracin relacionadas. Consulte uno de los procedimientos siguientes:

Cmo se configura una ruta esttica? Como se visualiza la actividad en la interfaz LAN? Cmo se activa o desactiva una interfaz? Cmo se visualizan los comandos de IOS que se envan al router? Cmo inicio la Aplicacin inalmbrica de Cisco SDM?

Puede volver a esta pantalla siempre que sea necesario para configurar interfaces LAN adicionales.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-2

OL-9963-04

Captulo 2

Asistente para LAN Configuracin de Ethernet

Configuracin de Ethernet
El asistente le gua por la configuracin de una interfaz Ethernet en la LAN. Usted debe proporcionar la informacin siguiente:

Una direccin IP y mscara de subred para la interfaz Ethernet Un conjunto de direcciones DHCP en el caso de utilizar DHCP en esta interfaz Las direcciones de los servidores DNS y WINS de la WAN Un nombre de dominio

Asistente para LAN: Seleccionar una interfaz


En esta ventana puede seleccionar la interfaz en la que desea configurar una conexin LAN. La misma incluye una lista de las interfaces compatibles con las configuraciones LAN Ethernet.

Asistente para LAN: Direccin IP/mscara de subred


Esta ventana permite configurar una direccin IP y mscara de subred para la interfaz Ethernet que se elija en la ventana anterior.

Direccin IP
Especifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de subred
Especifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin. De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-3

Captulo 2 Asistente para LAN: Activar Servidor DHCP

Asistente para LAN

Asistente para LAN: Activar Servidor DHCP


Esta pantalla permite activar un servidor DHCP en el router. Un servidor DHCP asigna automticamente a los dispositivos de la LAN direcciones IP que se pueden volver a utilizar. Cuando un dispositivo se activa en la red, el servidor DHCP le concede una Direccin IP. Cuando el dispositivo abandona la red, la direccin IP se devuelve al conjunto para que la pueda utilizar otro dispositivo.
Para activar un servidor DHCP en el router:

Haga clic en S.

Asistente para LAN: Conjuntos de direcciones DHCP


Esta pantalla permite configurar el conjunto de direcciones IP de DHCP. Las direcciones IP que el servidor DHCP asigna se obtienen de un conjunto comn que se ha configurado mediante la especificacin de las direcciones IP inicial y final del intervalo. Para obtener ms informacin, consulte Conjuntos de direcciones DHCP.

Nota

Si en el router se han configurado conjuntos de direcciones discontinuos, los campos de direccin IP inicial e IP final sern de slo lectura.

IP inicial
Especifique el inicio del intervalo de direcciones IP que debe utilizar el servidor DHCP al asignar direcciones a los dispositivos de la LAN. Se trata de la direccin IP con el nmero ms bajo del intervalo.

IP final
Especifique la Direccin IP con el nmero ms alto del intervalo de direcciones IP.

Campos Servidor DNS y Servidor WINS


Si en esta ventana aparecen los campos Servidor DNS y Servidor WINS, puede hacer clic en Opciones de DHCP para obtener informacin acerca de ellos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-4

OL-9963-04

Captulo 2

Asistente para LAN Opciones de DHCP

Opciones de DHCP
Utilice esta ventana para establecer las opciones de DHCP que se enviarn a los hosts de la LAN que solicitan direcciones IP del router. No se trata de opciones que se definen para el router que est configurando, sino de parmetros que se enviarn a los hosts solicitantes de la LAN. Si desea establecer estas propiedades para el router, haga clic en Tareas adicionales de la barra de categoras de Cisco SDM, seleccione DHCP y configure estos ajustes en la ventana Conjuntos DHCP.

Servidor DNS 1
El servidor DNS normalmente es un servidor que asigna un nombre de dispositivo conocido con su direccin IP. Si la red dispone de un servidor DNS configurado, especifique aqu la direccin IP del mismo.

Servidor DNS 2
Si la red dispone de un servidor DNS adicional, en este campo puede especificar la direccin IP de ste.

Nombre de dominio
El servidor DHCP que est configurando en este router proporcionar servicios a otros dispositivos dentro de este dominio. Especifique el nombre del dominio.

Servidor WINS 1
Es posible que algunos clientes requieran el WINS (Windows Internet Naming Service) para conectarse a dispositivos en Internet. Si la red dispone de un servidor WINS, en este campo especifique la direccin IP del mismo.

Servidor WINS 2
Si la red dispone de un servidor WINS adicional, en este campo especifique la direccin IP de dicho servidor.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-5

Captulo 2 Asistente para LAN: Modo VLAN

Asistente para LAN

Asistente para LAN: Modo VLAN


Esta pantalla permite determinar el tipo de informacin de LAN virtual que se transmitir a travs del puerto de switch. Los puertos de switch pueden designarse en modo de acceso, en cuyo caso reenviarn solamente los datos destinados a la LAN virtual a la que estn asignados, o bien en modo de enlace troncal, en cuyo caso reenviarn los datos destinados para todas las LAN virtuales, incluida la LAN virtual a la que estn asignados. Si este puerto de switch se conecta a un dispositivo de cliente como, por ejemplo, un PC o telfono IP nico, o si este dispositivo se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que es un puerto de modo de acceso, seleccione Dispositivo de cliente. Si este puerto de switch se conecta a un puerto en un dispositivo de red como, por ejemplo, otro switch, que est en modo de enlace, seleccione Dispositivo de red.

Asistente para LAN: Puerto del switch


Esta pantalla permite asignar un nmero de LAN virtual existente al puerto de switch o crear una nueva interfaz de LAN virtual que debe asignarse al puerto de switch de LAN virtual.

LAN virtual existente


Si desea asignar el puerto de switch a una LAN virtual definida como, por ejemplo, la LAN virtual por defecto (LAN virtual 1), especifique el nmero de ID de LAN virtual en el campo Identificador (LAN virtual) de la red.

Nueva LAN virtual


Si desea crear una nueva interfaz de LAN virtual a la que se asignar el puerto de switch, especifique el nuevo nmero de ID de LAN virtual en el campo Nueva LAN virtual y, a continuacin, especifique la direccin IP y la mscara de subred de la nueva interfaz lgica de LAN virtual en los campos correspondientes.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-6

OL-9963-04

Captulo 2

Asistente para LAN Puente IRB

Incluya esta VLAN en un puente IRB que formar un puente con la red inalmbrica. (Utilice una aplicacin inalmbrica para completar).
Si marca esta casilla, el puerto del switch formar parte de un bridge con la red inalmbrica. La otra parte del bridge debe configurarse utilizando la Aplicacin inalmbrica. La direccin IP y los campos para la direccin IP y la mscara de subred bajo la Nueva LAN virtual estn desactivados cuando esta casilla est seleccionada. Despus de completar esta configuracin LAN, haga lo siguiente para iniciar la Aplicacin inalmbrica y completar la configuracin de la interfaz inalmbrica.
Paso 1 Paso 2

Seleccione Aplicacin inalmbrica del men Herramientas de Cisco SDM. La Aplicacin inalmbrica se abre en otra ventana del explorador. En la Aplicacin inalmbrica, haga clic en Seguridad rpida inalmbrica, y luego haga clic en Bridge para proporcionar informacin para completar la configuracin de la interfaz inalmbrica.

Puente IRB
Si est configurando una VLAN para que sea parte de un bridge IRB, el bridge debe ser un miembro del grupo bridge. Para crear un nuevo grupo bridge del que esta interfaz ser parte, haga clic en Crear un nuevo grupo bridge y especifique un valor en el rango de 1 a 255. Para que esta LAN virtual sea miembro de un grupo bridge existente, haga clic en nase a un grupo bridge existente y seleccione un grupo bridge.

Nota

Cuando haya completado la configuracin de la interfaz inalmbrica en la Aplicacin inalmbrica, debe utilizar el mismo nmero de grupo bridge especificado en esta pantalla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-7

Captulo 2 Configuracin BVI

Asistente para LAN

Configuracin BVI
Asigne una direccin IP y una mscara de subred a la interfaz BVI. Si seleccion un grupo bridge existente en la pantalla anterior, la direccin IP y la mscara de subred aparecern en la pantalla. Puede modificar los valores o dejarlos como estn.

Direccin IP
Especifique la Direccin IP de la interfaz en formato de decimales con puntos. El administrador de redes debe determinar las direcciones IP de las interfaces LAN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de red
Especifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y de host de la direccin.

Net Bits (Bits de red)


De manera alternativa, seleccione el nmero de bits de red. Este valor se utiliza para calcular la mscara de subred. El administrador de redes le puede proporcionar el nmero de bits de red que debe especificar.

Conjunto DHCP para BVI


Al configurar el router como servidor DHCP, puede crear un conjunto de direcciones IP que pueden ser utilizadas por los clientes de la red. Cuando un cliente se desconecta de la red, la direccin que estaba utilizando es devuelta al conjunto para uso de otro host.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-8

OL-9963-04

Captulo 2

Asistente para LAN IRB para Ethernet

Configuracin del servidor DHCP


Haga clic en la casilla si desea que el router funcione como servidor DHCP. Luego, especifique las direcciones IP inicial y final en el conjunto. Asegrese de especificar la direccin IP que se encuentren en la misma subred que la direccin IP que le dio a la interfaz. Por ejemplo, si le dio a la interfaz la direccin IP 10.10.22.1, con la mscara de subred 255.255.255.0, tiene ms de 250 direcciones disponibles para el conjunto, y debe especificar la Direccin IP inicial 10.10.22.2 y la Direccin IP final 10.10.22.253.

IRB para Ethernet


Si su router tiene una interfaz inalmbrica, puede utilizar Enrutamiento y establecimiento de bridge integrado para hacer que esta interfaz forme parte de un bridge a una LAN inalmbrica y permitir que el trfico destinado para la red inalmbrica sea enrutado por esta interfaz. Haga clic en S si desea configurar esta interfaz de Nivel 3 para Enrutamiento o establecimiento de bridge integrado. Si no desea que esta interfaz sea utilizada como bridge a la interfaz inalmbrica, haga clic en No. Todava podr configurarla como una interfaz regular del router.

Configuracin de Ethernet Nivel 3


Cisco SDM admite la configuracin de Ethernet Nivel 3 en los routers con mdulos de switch 3750 instalados. Usted puede crear configuraciones de VLAN y designar las interfaces de Ethernet del router como servidores DHCP.

Configuracin 802.1Q
Puede configurar una VLAN que no use el protocolo de encapsulacin 802.1Q usado para conexiones de enlace. Suministre un nmero de identificacin de la VLAN, y marque la opcin VLAN nativa si no desea que la VLAN use el etiquetado 802.1Q. Si usted desea usar el etiquetado 802.1Q, deje el cuadro VLAN nativa sin marcar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-9

Captulo 2 Configuracin de Ethernet Nivel 3

Asistente para LAN

Configuracin del enlace o enrutamiento


Usted puede configurar interfaces de Ethernet Nivel 3 para el enlace 802.1Q o para enrutamiento bsico. Si usted configura la interfaz para el enlace 802.1Q, podr configurar VLANs en la interfaz, y podr configurar una VLAN nativa que no use el protocolo de encapsulacin 802.1q. Si usted configura la interfaz para enrutamiento, no podr configurar las subinterfaces o VLANs adicionales en la interfaz.

Mdulo de configuracin del dispositivo del switch


Si usted est configurando una interfaz de Ethernet de Gigabits para enrutamiento, podr suministrar informacin sobre el mdulo del switch en esta ventana. No se requiere que proporcione esta informacin. Usted podr suministrar una direccin IP y una mscara de subred para el mdulo del switch, y las credenciales de inicio de sesin requeridas para ingresar a la interfaz del mdulo del switch. Marque la casilla al final de la pantalla si desea entrar al mdulo del switch despus de suministrar informacin en este asistente y entregar la configuracin al router.

Configurar interfaz de Ethernet de gigabits


Proporcione informacin de la direccin IP y la mscara de subred para las interfaces Gigabit Ethernet en esta ventana. Para obtener ms informacin sobre las direcciones IP y las mscaras de subred, consulte Asistente para LAN: Direccin IP/mscara de subred.

Direccin IP de la interfaz fsica


Suministre la direccin IP y la mscara de subred para la interfaz de Ethernet de Gigabits fsica en estos campos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-10

OL-9963-04

Captulo 2

Asistente para LAN Resumen

Direccin IP de la subinterfaz de la VLAN


Suministre la direccin IP y la mscara de subred para la subinterfaz de la VLAN que desee crear en la interfaz fsica. Estos campos aparecen si usted est configurando esta interfaz para el enrutamiento. Estos campos no aparecen si usted est configurando esta interfaz para el enrutamiento y bridge integrado (IRB, Integrated Routing and Bridging).

Resumen
En esta ventana se proporciona un resumen de los cambios en la configuracin que ha realizado para la interfaz seleccionada.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias del usuario, aparecer la ventana Enviar. Esta ventana permite ver los comandos CLI que se envan al router.

Cmo...
En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Cmo se configura una ruta esttica?


Para configurar una ruta esttica:
Paso 1 Paso 2

En la barra de categoras, haga clic en Enrutamiento. En el grupo Enrutamiento esttico, haga clic en Agregar... Aparecer el cuadro de dilogo Agregar ruta esttica de IP.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-11

Captulo 2 Cmo...

Asistente para LAN

Paso 3 Paso 4 Paso 5 Paso 6

En el campo Prefijo, especifique la direccin IP de la red de destino de la ruta esttica. En el campo Mscara de prefijo, especifique la mscara de subred de la red de destino. Si desea que esta ruta esttica sea la ruta por defecto, marque la casilla de verificacin Convierta esta ruta en la ruta por defecto. En el grupo Envo, seleccione si se debe identificar una interfaz de router o la direccin IP del router de destino como el mtodo para enviar datos y, a continuacin, seleccione la interfaz del router de envo o especifique la direccin IP del router de destino. De manera opcional, en el campo Distance Metric (Distancia mtrica), especifique la distancia mtrica que debe almacenarse en la tabla de enrutamiento. Si desea configurar esta ruta esttica como la ruta permanente, lo que significa que no se eliminar incluso si se desactiva la interfaz o si el router no se puede comunicar con el router siguiente, marque la casilla de verificacin Ruta permanente. Haga clic en Aceptar.

Paso 7 Paso 8

Paso 9

Como se visualiza la actividad en la interfaz LAN?


La actividad de una interfaz LAN puede visualizarse mediante el modo Supervisin en Cisco SDM. El mencionado modo puede mostrar estadsticas sobre la interfaz LAN, incluido el nmero de paquetes y bytes que la interfaz ha enviado o recibido y el nmero de errores en dichos procesos. Para ver las estadsticas sobre una interfaz LAN:
Paso 1 Paso 2 Paso 3

En la barra de herramientas, haga clic en Supervisar. En el panel izquierdo, haga clic en Estado de la interfaz. En el campo Seleccione una interfaz, elija la interfaz LAN cuyas estadsticas desee visualizar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-12

OL-9963-04

Captulo 2

Asistente para LAN Cmo...

Paso 4

Para seleccionar el elemento o elementos de datos que desee visualizar, marque las casillas de verificacin correspondientes. Puede ver un mximo de cuatro estadsticas a la vez. Para ver las estadsticas de todos los elementos de datos seleccionados, haga clic en Iniciar Supervisin. Aparecer la ventana Detalles de la interfaz que muestra todas las estadsticas seleccionadas. Por defecto, la ventana muestra los datos en tiempo real, de modo que sondea el router cada 10 segundos. Si la interfaz est activa y se transmiten datos sobre ella, deber observar un aumento en el nmero de paquetes y bytes que se transfieren a travs de la misma.

Paso 5

Cmo se activa o desactiva una interfaz?


Una interfaz puede desactivarse sin quitar su configuracin. Tambin es posible reactivar una interfaz desactivada.
Paso 1 Paso 2 Paso 3 Paso 4

En la barra de categoras, haga clic en Interfaces y conexiones. Haga clic en la ficha Editar interfaz/conexin. Seleccione la interfaz que desee desactivar o activar. Si la interfaz est activada, aparecer el botn Desactivar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz. Si la interfaz est desactivada, aparecer el botn Activar debajo de la lista de interfaces. Haga clic en dicho botn para activar la interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

2-13

Captulo 2 Cmo...

Asistente para LAN

Cmo se visualizan los comandos de IOS que se envan al router?


Si est finalizando un asistente para configurar una funcin, puede ver los comandos de Cisco IOS que se envan al router haciendo clic en Finalizar.
Paso 1 Paso 2 Paso 3

En el men Editar de Cisco SDM, seleccione Preferencias. Marque la casilla Obtener una vista previa de los comandos antes de enviarlos al router. Haga clic en Aceptar.

La prxima vez que utilice un asistente para configurar el router y haga clic en Finalizar en la ventana Resumen, aparecer la ventana Enviar. En esta ventana puede ver los comandos que est enviando a la configuracin del router. Cuando haya terminado de revisar los comandos, haga clic en Enviar. Si est editando una configuracin, la ventana Enviar aparece al hacer clic en Aceptar en la ventana del cuadro de dilogo. Esta ventana permite ver los comandos de Cisco IOS que se envan al router.

Cmo inicio la Aplicacin inalmbrica de Cisco SDM?


Utilice el siguiente procedimiento para iniciar la aplicacin inalmbrica de Cisco SDM.
Paso 1 Paso 2

Vaya al men Herramientas de Cisco SDM y seleccione Aplicacin inalmbrica. La Aplicacin inalmbrica se inicia en otra ventana del explorador. En el panel izquierdo, haga clic en el ttulo de la pantalla de configuracin en la que desea trabajar. Para obtener ayuda para cualquier pantalla, haga clic en el icono de ayuda en la esquina superior derecha. Este icono es un libro abierto con un signo de pregunta.

Gua del usuario de Cisco Router and Security Device Manager 2.4

2-14

OL-9963-04

CAPTULO

Autenticacin 802.1x
La autenticacin 802.1x permite que un router remoto de Cisco IOS conecte usuarios VPN autenticados a una red segura mediante un tnel VPN que est constantemente activado. El router de Cisco IOS autenticar los usuarios mediante un servidor RADIUS en la red segura. La autenticacin 802.1x se aplica a puertos de switch o puertos Ethernet (enrutados), pero no a ambos tipos de interfaces. Si la autenticacin 802.1x se aplica a un puerto Ethernet, los usuarios no autenticados se pueden enrutar a Internet afuera del tnel VPN. La autenticacin 802.1x se configura en las interfaces utilizando el asistente para LAN. Sin embargo, antes de que pueda activar 802.1x en alguna interfaz, debe activar AAA en el router de Cisco IOS. Si intenta usar el asistente para LAN antes de activar AAA, aparece una ventana que le solicita su confirmacin para activar AAA. Si elige activar AAA, las pantallas de configuracin de 802.1x aparecen como parte del asistente para LAN. Si elige no activar AAA, las pantallas de configuracin de 802.1x no aparecen.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-1

Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Autenticacin 802.1x

Asistente para LAN: Autenticacin 802.1x (puertos de switch)


Esta ventana le permite activar la autenticacin 802.1x en el o los puertos de switch que seleccion para configuracin, utilizando el asistente para LAN.

Activar autenticacin 802.1x


Marque Activar autenticacin 802.1x para activar la autenticacin 802.1x en el puerto de switch.

Modo host
Elija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota

Los puertos en los routers Cisco 85x y Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitado
Marque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Fallos de autenticacin de VLAN


Marque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-2

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Reautenticacin peridica
Marque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadas
Haga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Opciones avanzadas
Esta ventana le permite cambiar los valores por defecto para varios parmetros de autenticacin 802.1x.

Lmite de tiempo de servidor RADIUS


Especifique el tiempo, en segundos, que el router Cisco IOS espera antes de alcanzar el lmite de tiempo de su conexin al servidor RADIUS. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de respuesta del supplicant


Especifique el tiempo, en segundos, que el router Cisco IOS espera una respuesta de un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Lmite de tiempo de reintentos del supplicant


Especifique el tiempo, en segundos, que el router Cisco IOS reintenta un cliente 802.1x antes de alcanzar el lmite de tiempo de su conexin a ese cliente. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 30 segundos.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-3

Captulo 3 Asistente para LAN: Autenticacin 802.1x (puertos de switch)

Autenticacin 802.1x

Perodo tranquilo
Especifique el tiempo, en segundos, que el router Cisco IOS espera entre la conexin inicial a un cliente y el envo de una solicitud de inicio de sesin. Los valores deben estar entre 1 y 65535 segundos. El valor por defecto es 60 segundos.

Perodo lmite de velocidad


Los valores deben estar entre 1 y 65535 segundos. Sin embargo, el valor por defecto es 0 segundos, lo que desactiva el Perodo lmite de velocidad.

Mximo de intentos de reautenticacin


Especifique el nmero mximo de veces que el router Cisco IOS intenta reautenticar un cliente 802.1x. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Mximo de reintentos
Especifique el nmero mximo de solicitudes de inicio de sesin que se pueden enviar al cliente. Los valores deben estar entre 1 y 10. El valor por defecto es 2.

Restablecer valores por defecto


Haga clic en Restablecer valores por defecto para restablecer todas las opciones avanzadas a sus valores por defecto.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-4

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Servidores RADIUS para autenticacin 802.1x

Asistente para LAN: Servidores RADIUS para autenticacin 802.1x


La informacin de autenticacin 802.1x se configura y guarda en una base de datos de polticas que reside en servidores RADIUS que ejecutan Cisco Secure ACS, versin 3.3. El router debe validar las credenciales de los clientes 802.1x comunicndose con un servidor RADIUS. Utilice esta ventana para proporcionar la informacin que el router necesita para contactarse con uno o ms servidores RADIUS. Cada servidor RADIUS que usted especifique deber tener el software de ACS Seguro de Cisco versin 3.3, instalado y configurado.

Nota

Todas las interfaces del router Cisco IOS activadas con autorizacin 802.1x utilizarn los servidores RADIUS configurados en esta ventana. Cuando configure una nueva interfaz, ver nuevamente esta pantalla. Sin embargo, no se deben realizar adiciones o cambios a la informacin del servidor RADIUS.

Seleccionar el origen de cliente RADIUS


Configurar el origen RADIUS le permite especificar la direccin IP del origen que se enviar en paquetes RADIUS con destino al servidor RADIUS. Si necesita ms informacin sobre una interfaz, escoja la interfaz y haga clic en el botn Detalles. La direccin IP del origen en los paquetes RADIUS enviados desde el router debe configurarse como la direccin IP del NAD en la versin 3.3 o superior de Cisco ACS. Si selecciona El router elige el origen, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz a travs de la cual los paquetes RADIUS saldrn del router. Si elige una interfaz, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz que usted escoja como el origen de cliente RADIUS.

Nota

El software Cisco IOS permite que una interfaz de origen RADIUS nica se configure en el router. Si el router ya tiene configurado un origen RADIUS y usted elige un origen diferente, la direccin IP del origen colocada en los paquetes enviados al servidor RADIUS cambia a la direccin IP del nuevo origen, y es probable que no coincida con la direccin IP del NAD configurada en Cisco ACS.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-5

Captulo 3 Asistente para LAN: Servidores RADIUS para autenticacin 802.1x

Autenticacin 802.1x

Detalles
Si necesita una visin rpida de la informacin sobre una interfaz antes de seleccionarla, haga clic en Detalles. La pantalla le mostrar la direccin IP y la mscara de subred, las reglas de acceso y las reglas de inspeccin aplicadas a la interfaz, la poltica de IPSec y la poltica de QoS aplicadas, y si hay una configuracin de Easy VPN en la interfaz.

Columnas de Servidor IP, Lmite de tiempo y Parmetros


Columnas de Servidor IP, Lmite de tiempo y parmetros contienen la informacin que el router usa para comunicarse con un servidor RADIUS. Si no hay informacin del servidor RADIUS relacionada con la interfaz elegida, estas columnas quedarn en blanco.

Casilla de verificacin Usar para 802.1x


Marque esta casilla si desea utilizar el servidor RADIUS que aparece en la lista para 802.1x. El servidor debe tener configurada la informacin de autorizacin de 802.1x requerida si 802.1x se utiliza correctamente.

Agregar, editar y enviar un ping


Para suministrar informacin a un servidor RADIUS, haga clic en el botn Agregar e introduzca la informacin en la pantalla mostrada. Elija una fila y haga clic en Editar para modificar la informacin para un servidor RADIUS. Escoja una fila y haga clic en Ping para probar la conexin entre el router y el servidor RADIUS.

Nota

Cuando se est efectuando una prueba de ping, introduzca la direccin IP de la interfaz del origen RADIUS en el campo de origen en el dilogo de ping. Si usted elige El router elige el origen, no necesitar proporcionar ningn valor en el campo de origen del dilogo de ping. Los botones Editar y Ping se desactivan cuando no hay ninguna informacin del servidor RADIUS disponible para la interfaz elegida.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-6

OL-9963-04

Captulo 3

Autenticacin 802.1x Editar autenticacin 802.1x (puertos de switch)

Editar autenticacin 802.1x (puertos de switch)


Esta ventana le permite activar y configurar parmetros de autenticacin 802.1x. Si el mensaje 802.1x no se puede configurar para un puerto que funciona en modo de enlace. aparece en lugar de los parmetros de autenticacin 802.1x, el switch no puede tener activada la autenticacin 802.1x. Si los parmetros de autenticacin 802.1x aparecen pero estn desactivados, entonces una de las siguientes afirmaciones es verdadera:

AAA no se ha activado. Para activar AAA, vaya a Configurar > Tareas adicionales > AAA. AAA se activ, pero no se ha configurado una poltica de autenticacin 802.1x. Para configurar una poltica de autenticacin 802.1x, vaya a Configurar > Tareas adicionales > AAA > Polticas de autenticacin > 802.1x.

Activar autenticacin 802.1x


Marque Activar autenticacin 802.1x para activar la autenticacin 802.1x en este puerto de switch.

Modo host
Elija nico o Mltiple. El modo nico permite el acceso de slo un cliente autenticado. El modo mltiple permite el acceso de varios clientes despus de la autenticacin de un cliente.

Nota

Los puertos en los routers Cisco 87x se pueden definir slo en modo host mltiple. El modo nico est desactivado para estos routers.

VLAN de invitado
Marque VLAN de invitado para activar una red VLAN para clientes que no tienen soporte 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-7

Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Autenticacin 802.1x

Fallos de autenticacin de VLAN


Marque Fallos de autenticacin de VLAN para activar una red VLAN para clientes que no tienen autorizacin 802.1x. Si activa esta opcin, elija una red VLAN desde la lista desplegable de VLAN.

Reautenticacin peridica
Marque Reautenticacin peridica para imponer la reautenticacin de los clientes 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadas
Haga clic en Opciones avanzadas para abrir una ventana con parmetros de autenticacin 802.1x adicionales.

Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)


Esta ventana le permite activar la autenticacin 802.1x en el puerto Ethernet que seleccion para configuracin, utilizando el asistente para LAN. Para routers Cisco 87x, esta ventana est disponible para configurar una VLAN con autenticacin 802.1x.

Nota

Antes de configurar 802.1x en la VLAN, asegrese de que 802.1x no est configurado en ningn puerto de switch de VLAN. Asegrese tambin de que la VLAN est configurada para DHCP.

Utilizar autenticacin 802.1x para separar trfico fiable y no fiable en la interfaz


Marque Utilizar autenticacin 802.1x para separar el trfico fiable y no fiable en la interfaz para activar autenticacin 802.1x.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-8

OL-9963-04

Captulo 3

Autenticacin 802.1x Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Conjunto de direcciones IP de DHCP para clientes 802.1x que no son fiables


Para activar una conexin a Internet para clientes que no tienen autenticacin 802.1x, a cada cliente no fiable se le debe asignar una direccin IP nica. Estas direcciones IP pueden venir de un conjunto de direcciones IP nuevo o existente, pero los conjuntos usados no se pueden superponer con las direcciones IP de alguna de las interfaces existentes del router Cisco IOS.

Nota

El conjunto de direcciones IP se puede superponer con la direccin IP utilizada para una interfaz de retrobucle. Sin embargo, se le solicitar que confirme dicha superposicin antes de que se permita. Elija Crear un conjunto nuevo para configurar un nuevo conjunto de direcciones IP para emitir direcciones IP a clientes que no son fiables. Los campos siguientes pueden estar completos con informacin ingresada anteriormente, pero usted puede cambiarlos o llenarlos:
Red

Especifique la direccin de red IP desde la cual se deriva el conjunto de direcciones IP. Especifique la mscara de subred para definir la red y las partes de host de la direccin IP especificada en el campo Red. El servidor DNS es un servidor que asigna un nombre de dispositivo conocido a su direccin IP. Si se configura un servidor DNS para su red, especifique la direccin IP para ese servidor. Si hay un servidor DNS adicional en la red, especifique la direccin IP para ese servidor.

Mscara de subred

Servidor DNS 1

Servidor DNS 2

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-9

Captulo 3 Asistente para LAN: Autenticacin 802.1x (VLAN o Ethernet)

Autenticacin 802.1x

Servidor WINS 1

Algunos clientes pueden necesitar Windows Internet Naming Service (WINS) para conectarse a dispositivos de Internet. Si hay un servidor WINS en la red, especifique la direccin IP para ese servidor. Si hay un servidor WINS adicional en la red, especifique la direccin IP para ese servidor.

Servidor WINS 2

Si hay un conjunto de direcciones IP existente que desea usar para emitir direcciones IP a clientes que no son fiables, elija Seleccionar un conjunto existente. Elija el conjunto existente desde el men desplegable. Para ver ms informacin acerca de un conjunto existente, haga clic en Detalles.

Listas de excepciones
Haga clic en Listas de excepciones para crear o editar una lista de excepciones. Una lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN.

Eximir a los telfonos Cisco IP de autenticacin 802.1x


Marque Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les permite usar el tnel VPN.

Listas de excepciones de 802.1x


Una lista de excepciones exime de autenticacin 802.1x a determinados clientes mientras les permite usar el tnel VPN. Los clientes eximidos se identifican por sus direcciones MAC.

Agregar
Haga clic en Agregar para abrir una ventana donde pueda agregar la direccin MAC de un cliente. La direccin MAC debe estar en el formato que coincida con uno de estos ejemplos: 0030.6eb1.37e4

00-30-6e-b1-37-e4

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-10

OL-9963-04

Captulo 3

Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa 3

Cisco SDM rechaza direcciones MAC que tienen formato incorrecto, excepto direcciones MAC ms cortas que los ejemplos dados. Las direcciones MAC ms cortas se rellenarn con un 0 (cero) por cada dgito que falte.

Nota

La funcin 802.1x de Cisco SDM no admite la opcin CLI que asocia polticas con direcciones MAC, y no se incluir en las direcciones MAC de la lista de excepciones que tienen una poltica asociada con ellas.

Eliminar
Haga clic en Eliminar para eliminar un cliente seleccionado de la lista de excepciones.

Autenticacin 802.1x en interfaces de capa 3


Esta ventana le permite configurar autenticacin 802.1x. en una Interfaz de capa 3. Enumera puertos Ethernet e interfaces VLAN que se han configurado o que se pueden configurar con autenticacin 802.1x, le permite seleccionar una interfaz de plantilla virtual para clientes no fiables y crea una lista de excepciones para que los clientes omitan la autenticacin 802.1x.

Nota

Si las polticas se han definido utilizando la CLI, aparecern como informacin de slo lectura en esta ventana. En este caso, slo se permite activar o desactivar 802.1x en esta ventana.

Tareas previas
Si aparece una tarea previa en la ventana, sta debe finalizarse antes de que la autenticacin 802.1x se pueda configurar. Se muestra un mensaje que explica la tarea previa, junto con un enlace a la ventana donde se puede finalizar la tarea.

Activar globalmente la autenticacin 802.1x


Marque Activar globalmente la autenticacin 802.1x para activar la autenticacin 802.1x en todos los puertos Ethernet.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-11

Captulo 3 Autenticacin 802.1x en interfaces de capa 3

Autenticacin 802.1x

Tabla de interfaces
La tabla de interfaces tiene las siguientes columnas: Interfaz: muestra el nombre de la interfaz Ethernet o VLAN. Autenticacin 802.1x: indica si la autenticacin 802.1x est activada para el puerto Ethernet.

Editar
Haga clic en Editar para abrir una ventana con parmetros de autenticacin 802.1x editables. Los parmetros son los ajustes de autenticacin 802.1x para la interfaz elegida en la tabla de interfaces.

Poltica de usuarios no fiables


Elija una interfaz de plantilla virtual desde la lista desplegable. La interfaz de plantilla virtual elegida representa la poltica que se aplica a clientes que no tienen autenticacin 802.1x. Para ver ms informacin acerca de la interfaz de plantilla virtual elegida, haga clic en el botn Detalles.

Lista de excepciones
Para obtener ms informacin acerca de la lista de excepciones, consulte Listas de excepciones de 802.1x.

Eximir a los telfonos Cisco IP de autenticacin 802.1x


Marque Eximir los telfonos Cisco IP de autenticacin 802.1x para eximir a los telfonos Cisco IP de autenticacin 802.1x mientras les permite usar el tnel VPN.

Aplicar cambios
Haga clic en Aplicar cambios para que los cambios realizados se apliquen.

Descartar cambios
Haga clic en Descartar cambios para borrar los cambios realizados que no se aplicaron.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-12

OL-9963-04

Captulo 3

Autenticacin 802.1x Autenticacin 802.1x en interfaces de capa 3

Editar la autenticacin 802.1x


Esta ventana le permite activar y cambiar los valores por defecto para varios parmetros de autenticacin 802.1x.

Activar la autenticacin 802.1x


Marque Activar la autenticacin 802.1x para activar la autenticacin 802.1x en el puerto Ethernet.

Reautenticacin peridica
Marque Reautenticacin peridica para imponer la reautenticacin de los clientes de 802.1x en un intervalo regular. Elija configurar el intervalo localmente o permitir que el servidor RADIUS defina el intervalo. Si elige configurar el intervalo de reautenticacin localmente, especifique un valor entre 1 y 65535 segundos. El valor por defecto es 3600 segundos.

Opciones avanzadas
Haga clic en Opciones avanzadas para ver descripciones de los campos en el cuadro Opciones avanzadas.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

3-13

Captulo 3 Cmo...

Autenticacin 802.1x

Cmo...
Esta seccin contiene procedimientos para tareas que el asistente no le ayuda a finalizar.

Cmo configuro autenticacin 802.1x en ms de un puerto Ethernet?


Una vez que configure la autenticacin 802.1x en una interfaz, el asistente para LAN ya no mostrar ninguna opcin 802.1x para puertos Ethernet, porque Cisco SDM utiliza la configuracin 802.1x de manera global.

Nota

Para configurar switches, el asistente para LAN continuar mostrando las opciones 802.1x. Si desea editar la configuracin de autenticacin 802.lx en un puerto Ethernet, vaya a Configurar > Tareas adicionales > 802.1x.

Gua del usuario de Cisco Router and Security Device Manager 2.4

3-14

OL-9963-04

CAPTULO

Asistentes para crear conexiones


Los asistentes para crear conexiones permiten configurar conexiones LAN y WAN para todas las interfaces compatibles con Cisco SDM.

Crear conexin
Esta ventana permite crear nuevas conexiones LAN y WAN.
Nota

Cisco SDM no puede utilizarse para crear conexiones WAN para los routers Cisco de la serie 7000.

Crear nueva conexin


Escoja un tipo de conexin para configurar en las interfaces fsicas disponibles en su router. Slo estn disponibles las interfaces que no han sido configuradas. Cuando usted hace clic en el botn de opcin para un tipo de conexin, un diagrama del escenario del caso aparecer para ilustrar ese tipo de conexin. Si todas las interfaces han sido configuradas, no se mostrar esta rea de la ventana. Si el router tiene interfaces de modo de transferencia asncrona (ATM) o serie, es posible configurar varias conexiones a partir de una misma interfaz debido a que Cisco Router and Security Device Manager II (Cisco SDM) configura subinterfaces para cada interfaz de dicho tipo.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-1

Captulo 4 Crear conexin

Asistentes para crear conexiones

El botn de opcin Otros (no admitido por Cisco SDM) aparece si existe alguna interfaz lgica o fsica no admitida o si existe una interfaz admitida a la que se ha asignado una configuracin no admitida. Cuando hace clic en el botn de opcin Otros (no admitido por Cisco SDM), el botn Crear nueva conexin se desactivar. Si el router tiene interfaces de radio, pero usted no ve un botn de opcin Inalmbrico, no ha ingresado al sistema como administrador de Cisco SDM. Si tiene que usar la aplicacin inalmbrica, vaya al men Herramientas de Cisco SDM y elija Aplicacin inalmbrica.

Qu desea hacer?

Si desea: Saber cmo ejecutar configuraciones para las que este asistente no proporciona ninguna ayuda.

Haga lo siguiente: Consulte uno de los procedimientos siguientes:


Cmo se visualizan los comandos de IOS que se envan al router? Cmo se configura una interfaz WAN no admitida? Cmo se activa o desactiva una interfaz? Como se visualiza la actividad en la interfaz WAN? Cmo se configura NAT en una interfaz WAN? Cmo se configura una ruta esttica? Cmo se configura un protocolo de enrutamiento dinmico? Cmo se configura el enrutamiento de marcacin a peticin para la interfaz asncrona o ISDN?

Configurar una interfaz no admitida por Vea la gua de configuracin de software para el router para Cisco SDM. usar el CLI para configurar la interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-2

OL-9963-04

Captulo 4

Asistentes para crear conexiones Ventana de bienvenida de la interfaz del asistente para WAN

Ventana de bienvenida de la interfaz del asistente para WAN


Esta ventana incluye una lista de los tipos de conexiones que se pueden configurar para esta interfaz mediante Cisco SDM. Si requiere configurar otro tipo de conexin para esta interfaz, puede hacerlo mediante el CLI.

Ventana de bienvenida de la interfaz del asistente para ISDN (RDSI)


PPP es el nico tipo de codificacin admitido en un ISDN (RDSI) BRI por Cisco SDM.

Ventana de bienvenida del mdem analgico


PPP es el nico tipo de codificacin que Cisco SDM admite sobre una conexin por mdem analgico.

Ventana de bienvenida de la conexin de reserva auxiliar


La opcin de configurar el puerto AUXILIAR como slo una conexin de acceso telefnico aparece para los routers Cisco 831 y 837. El botn de opcin Auxiliar de acceso telefnico est desactivado si existen cualquiera de las condiciones siguientes:

Existe ms de una ruta por defecto. Una ruta por defecto existe y est configurada con una interfaz aparte de la interfaz WAN primaria.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-3

Captulo 4 Seleccionar la interfaz

Asistentes para crear conexiones

La opcin Auxiliar de acceso telefnico no se muestra si existen cualquiera de las condiciones siguientes:

El router no est usando una imagen de Cisco IOS que soporte la funcin Auxiliar de acceso telefnico. La interfaz WAN primaria no est configurada. La interfaz asncrona ya est configurada. La interfaz asncrona no es configurable por Cisco SDM debido a la presencia de comandos de Cisco IOS no admitidos en la configuracin existente.

Seleccionar la interfaz
Esta ventana aparece si hay ms de una interfaz del tipo que usted seleccion en la ventana Crear conexin. Seleccione la interfaz que desee utilizar para esta conexin. Si est configurando una interfaz Ethernet, Cisco SDM inserta el texto de descripcin $ETH-WAN$ en el archivo de configuracin de modo que, en el futuro, reconocer la interfaz como una interfaz WAN.

Encapsulacin: PPPoE
Esta ventana permite activar la encapsulacin del protocolo punto a punto sobre Ethernet (PPPoE), lo cual ser necesario si el proveedor de servicios o el administrador de redes requiere routers remotos para establecer comunicacin mediante PPPoE. PPPoE es un protocolo que utilizan muchos proveedores de servicios de lnea de suscriptor digital asimtrico (ADSL). Pregunte a su proveedor de servicios si su conexin utiliza PPPoE. Si elige la encapsulacin PPPoE, Cisco SDM agrega de forma automtica una interfaz de marcacin a la configuracin y la mostrar en la ventana Resumen.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-4

OL-9963-04

Captulo 4

Asistentes para crear conexiones Direccin IP: ATM o Ethernet con PPPoE/PPPoA

Activar encapsulacin PPPoE


Si el proveedor de servicios requiere que el router utilice PPPoE, marque esta casilla para activar la encapsulacin PPPoE. De lo contrario, desmrquela. Esta casilla de verificacin no estar disponible si el router ejecuta una versin de Cisco IOS que no admite la encapsulacin PPPoE.

Direccin IP: ATM o Ethernet con PPPoE/PPPoA


Elija el mtodo que utilizar la interfaz WAN para obtener una direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados.

Dinmica (cliente DHCP)


Si selecciona Dinmica, el router aceptar una direccin IP de un servidor DHCP remoto. Especifique el nombre del servidor DHCP que asignar las direcciones.

IP no numerado
Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP desea usar para la interfaz que est configurando.

IP simple (IP negociado)


Seleccione IP simple (IP negociado) cuando el router obtendr una direccin IP a travs de la negociacin de direcciones PPP/IPCP.

DNS dinmico
Escoja un DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-5

Captulo 4 Direccin IP: ATM con enrutamiento RFC 1483

Asistentes para crear conexiones

Direccin IP: ATM con enrutamiento RFC 1483


Elija el mtodo que utilizar la interfaz WAN para obtener una direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Dinmica (cliente DHCP)


Si selecciona esta opcin, el router aceptar una direccin IP de un servidor DHCP remoto. Especifique el nombre del servidor DHCP que asignar las direcciones.

IP no numerado
Haga clic en IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP desea usar para la interfaz que est configurando.

DNS dinmico
Escoja DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-6

OL-9963-04

Captulo 4

Asistentes para crear conexiones Direccin IP: Ethernet sin PPPoE

Direccin IP: Ethernet sin PPPoE


Elija el mtodo que utilizar la interfaz WAN para obtener una direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Dinmica (cliente DHCP)


Si selecciona esta opcin, el router aceptar una direccin IP de un servidor DHCP remoto. Especifique el nombre del servidor DHCP que asignar las direcciones.

DNS dinmico
Escoja DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Direccin IP: serie con Protocolo punto a punto


Elija el mtodo que utilizar la interfaz punto a punto para obtener una direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

IP no numerado
Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP desea usar para la interfaz que est configurando.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-7

Captulo 4 Direccin IP: serie con HDLC o Frame Relay

Asistentes para crear conexiones

IP simple (IP negociado)


Seleccione IP simple (IP negociado) si el router obtendr una direccin IP a travs de la negociacin de direcciones PPP/IPCP.

DNS dinmico
Escoja DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Direccin IP: serie con HDLC o Frame Relay


Elija el mtodo que utilizar la interfaz WAN para obtener una direccin IP. Si se utiliza encapsulacin Frame Relay, Cisco SDM crea una subinterfaz a la que Cisco SDM asigna la direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

IP no numerado
Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP desea usar para la interfaz que est configurando.

DNS dinmico
Escoja DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-8

OL-9963-04

Captulo 4

Asistentes para crear conexiones Direccin IP: ISDN (RDSI) BRI o mdem analgico

Direccin IP: ISDN (RDSI) BRI o mdem analgico


Elija el mtodo que utilizar la interfaz ISDN (RDSI) BRI o mdem analgico para obtener una direccin IP.

Direccin IP esttica
Si selecciona Direccin IP esttica, indique la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

IP no numerado
Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. A continuacin, seleccione la interfaz que tiene la direccin IP que desea que utilice la interfaz que est configurando.

IP simple (IP negociado)


Seleccione IP negociado si la interfaz va a obtener una direccin IP del ISP a travs de la negociacin de direcciones PPP/IPCP siempre que se establezca una conexin.

DNS dinmico
Escoja DNS dinmico si desea actualizar sus servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN. Haga clic en el botn DNS dinmico para configurar el DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-9

Captulo 4 Autenticacin

Asistentes para crear conexiones

Autenticacin
Esta pgina se muestra si usted est habilitado o est configurando lo siguiente:

PPP para una conexin serie PPPoE o encapsulacin PPPoA para una conexin ATM PPPoE o encapsulacin PPPoA para una conexin Ethernet Una conexin RDSI Bsico o de mdem analgico

Es posible que el proveedor de servicios o administrador de redes utilice una contrasea Protocolo de autenticacin por desafo mutuo (CHAP) o Protocolo de autenticacin de contrasea (PAP) para garantizar la seguridad de la conexin entre dos dispositivos. Esta contrasea garantiza la seguridad para el acceso entrante y saliente.

Tipo de autenticacin
Marque la casilla para especificar el tipo de autenticacin que utiliza el proveedor de servicios. Si desconoce el tipo que utiliza, puede marcar ambas casillas: el router intentar ambos tipos de autenticacin (uno de ellos funcionar). La autenticacin CHAP es ms segura que la autenticacin PAP.

Nombre de usuario
El nombre del usuario se le da a usted por su proveedor de servicios de Internet o su administrador de redes y se usa como el nombre del usuario para autenticacin CHAP o PAP.

Contrasea
Especifique la contrasea exactamente tal como se la ha proporcionado por el proveedor de servicios. Las contraseas distinguen entre maysculas y minsculas. Por ejemplo, la contrasea cisco no es igual a Cisco.

Confirmar contrasea
Vuelva a especificar la misma contrasea que ha especificado en el cuadro anterior.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-10

OL-9963-04

Captulo 4

Asistentes para crear conexiones Tipo de switch y SPID

Tipo de switch y SPID


Las conexiones de RDSI Bsico requieren la identificacin del tipo de switch de RDSI, y en algunos casos, la identificacin de los canales B usan nmeros de identificacin del perfil del servicio (SPID, service profile ID). Esta informacin se la proporcionar el proveedor de servicios.

Tipo de switch ISDN (RDSI)


Seleccione el tipo de switch ISDN (RDSI). Para obtener el tipo de switch de la conexin, pngase en contacto con el proveedor de servicios ISDN (RDSI). Cisco SDM admite los tipos de switch BRI siguientes:

Para Amrica del Norte:


basic-5ess: switch 5ESS de velocidad bsica de Lucent (AT&T) basic-dms100: switch de velocidad bsica DMS-100 de Northern Telecom basic-ni: switches ISDN (RDSI) de National

Para Australia, Europa y Reino Unido:


basic-1tr6: switch ISDN (RDSI) 1TR6 para Alemania basic-net3: NET3 ISDN (RDSI) BRI para los tipos de switch de Noruega

NET3, Australia NET3 y Nueva Zelanda NET3; tipos de switch conformes con ETSI para el sistema de sealizacin Euro-ISDN E-DSS1
vn3: switches ISDN (RDSI) BRI para Francia

Para Japn:
ntt: switches ISDN (RDSI) NTT para Japn

Para voz o sistemas de PBX:


basic-qsig: switches PINX (PBX) con sealizacin QSIG segn Q.931

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-11

Captulo 4 Cadena de marcacin

Asistentes para crear conexiones

Dispongo de algunos SPID


Marque esta casilla si su proveedor de servicios requiere SPID. Algunos proveedores de servicios utilizan los SPID para definir los servicios a los que estn abonados un dispositivo ISDN (RDSI) que accede al proveedor de servicios ISDN (RDSI). El proveedor de servicios asigna al dispositivo ISDN (RDSI) uno o varios SPID cuando el usuario se abona al servicio. Si utiliza un proveedor de servicios que requiere SPID, el dispositivo ISDN (RDSI) no podr realizar ni recibir llamadas hasta enviar al proveedor de servicios un SPID vlido y asignado en el momento en que el dispositivo accede al switch para inicializar la conexin. Actualmente, slo los tipos de switch DMS-100 y NI requieren SPID. El tipo de switch AT&T 5ESS puede admitir un SPID, pero se recomienda que establezca el servicio ISDN (RDSI) sin SPID. Adems, los SPID slo tienen significado en la interfaz ISDN (RDSI) de acceso local. Los routers remotos nunca reciben el SPID. Normalmente, un SPID es un nmero de telfono de 7 dgitos con algunos nmeros opcionales. No obstante, es posible que los proveedores de servicios utilicen esquemas de numeracin diferentes. Para el tipo de switch DMS-100, se asignan dos SPID; uno para cada canal B.

SPID1
Especifique el SPID para el primer canal B BRI que le proporciona el ISP.

SPID2
Especifique el SPID para el segundo canal B BRI que le proporciona el ISP.

Cadena de marcacin
Especifique el nmero de telfono del extremo remoto de la conexin de ISDN (RDSI) BRI o de mdem analgico. Este es el nmero de telfono que marcar la interfaz de ISDN (RDSI) BRI o de mdem analgico siempre que se establezca una conexin. La cadena de marcacin se la proporciona el proveedor de servicios.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-12

OL-9963-04

Captulo 4

Asistentes para crear conexiones Configuracin de la conexin de reserva

Configuracin de la conexin de reserva


Las interfaces ISDN (RDSI) BRI y de mdem analgico pueden configurarse para que funcionen como interfaces de reserva para otras interfaces principales. En este caso, una conexin ISDN (RDSI) o de mdem analgico slo se establecer si se produce un error en la interfaz principal. Si se produce un error en la interfaz principal y en la conexin, la interfaz ISDN (RDSI) o de mdem analgico realizar inmediatamente una marcacin externa e intentar establecer una conexin para evitar la prdida de los servicios de red. Seleccione si desea que esta conexin ISDN (RDSI) BRI o de mdem analgico funcione como una conexin de respaldo. Tenga en cuenta los requisitos siguientes:

La interfaz primaria debe configurarse para la VPN de sitio a sitio. La imagen de Cisco IOS en su router debe soportar la funcin de Mejora del Eco de SAA ICMP.

Configuracin de la conexin de reserva: Direcciones IP de la interfaz principal y del prximo salto (next hop)
Para que la conexin de ISDN (RDSI) BRI o mdem analgico funcione como conexin de respaldo, se debe asociar con otra interfaz en el router, que funcionar de conexin principal. La conexin ISDN (RDSI) BRI o de mdem analgico slo se establecer si se produce un error en la conexin de la interfaz principal.

Interfaz principal
Seleccione la interfaz del router que mantendr la conexin principal.

Direccin IP de prximo salto (next hop) principal


Este campo es opcional. Especifique la direccin IP a la que se conectar la interfaz principal cuando est activa, conocida como la direccin IP de prximo salto (next hop).

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-13

Captulo 4 Opciones avanzadas

Asistentes para crear conexiones

Direccin IP de prximo salto (next hop) de reserva


Este campo es opcional. Especifique la direccin IP a la que se conectar la interfaz de respaldo cuando est activa, conocida como la direccin IP de prximo salto.

Configuracin de la conexin de reserva: Nombre de host o direccin IP objeto del seguimiento


Esta pantalla permite identificar un host especfico con el que debe mantenerse la conectividad. El router realizar un seguimiento de la conectividad con dicho host y, si el router detecta que la interfaz principal ha perdido conectividad con el host especificado, se iniciar la conexin de reserva a travs de la interfaz ISDN (RDSI) BRI o de mdem analgico.

Direccin IP objeto del seguimiento


Especifique el nombre de host o la direccin IP del host de destino para el que se realizar un seguimiento de la conectividad. Especifique un destino con el que no se contacte con frecuencia como sitio para realizar el seguimiento.

Opciones avanzadas
Existen dos opciones avanzadas disponibles en funcin de la configuracin del router: Ruta esttica por defecto y traduccin de direcciones de puerto (PAT). Si la opcin Ruta esttica no aparece en la ventana, significa que ya se ha configurado alguna ruta esttica en el router. Si la opcin PAT no aparece en la ventana, significa que ya se ha configurado PAT en una interfaz.

Ruta esttica por defecto


Marque esta casilla si desea configurar una ruta esttica a la interfaz externa a la que se enrutar el trfico saliente. Si una ruta esttica ya ha sido configurada en este router, esta casilla no aparecer.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-14

OL-9963-04

Captulo 4

Asistentes para crear conexiones Encapsulacin

Direccin de prximo salto

Si el proveedor de servicios le ha proporcionado una direccin IP de prximo salto para usar, especifquela en este campo. Si deja el campo en blanco, Cisco SDM utilizar la interfaz WAN que est configurando como interfaz de prximo salto.

Traduccin de direcciones de puerto


Si los dispositivos de la LAN disponen de direcciones privadas, puede permitir que compartan una misma direccin IP pblica. Puede asegurar que el trfico llega a su destino correspondiente mediante el uso de PAT, que representa a los hosts en una LAN con una sola direccin IP y utiliza distintos nmeros de puerto para distinguir entre los hosts. Si ya se ha configurado PAT en una interfaz, la opcin PAT no aparecer.
Interfaz interna que se traducir

Elija la interfaz interna conectada a la red cuyas direcciones IP de host desea que se traduzcan.

Encapsulacin
En esta ventana, seleccione el tipo de encapsulacin que utilizar el enlace WAN. Pregunte al administrador de redes o al proveedor de servicios qu tipo de encapsulacin se utiliza para este enlace. El tipo de interfaz determina los tipos de encapsulacin disponibles.

Deteccin automtica
Haga clic en Deteccin automtica para que Cisco SDM detecte el tipo de encapsulacin. Si Cisco SDM lo consigue, suministrar de forma automtica el tipo de encapsulacin y los dems parmetros de configuracin que detecte.

Nota

Cisco SDM admite la deteccin automtica en los routers SB106, SB107, Cisco 836 y Cisco 837. Sin embargo, si usted est configurando un router Cisco 837 y el router est ejecutando la Versin 12.3(8)T o 12.3(8.3)T de Cisco, no se soporta la funcin de deteccin automtica.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-15

Captulo 4 Encapsulacin

Asistentes para crear conexiones

Encapsulaciones disponibles
Las encapsulaciones disponibles si dispone de una interfaz ADSL, G.SHDSL o ADSL sobre ISDN (RDSI) aparecen en la tabla siguiente. Encapsulacin PPPoE Descripcin Proporciona el protocolo punto a punto sobre la encapsulacin de Ethernet. Esta opcin est disponible si selecciona una interfaz Ethernet o una interfaz ATM. Si configura PPPoE sobre una interfaz ATM, se crearn una subinterfaz ATM y una interfaz de marcacin. El botn de opcin PPPoE estar desactivado si el router ejecuta una versin de Cisco IOS que no admite la encapsulacin de PPPoE. PPPoA Protocolo punto a punto en ATM. Esta opcin est disponible si selecciona una interfaz ATM. Si configura PPPoA sobre una interfaz ATM, se crearn una subinterfaz ATM y una interfaz de marcacin. El botn de opcin PPPoA estar desactivado si el router ejecuta una versin de Cisco IOS que no admite la encapsulacin de PPPoA. enrutamiento RFC 1483 con AAL5-MUX Enrutamiento RFC1483 con AAL5-SNAP Esta opcin est disponible si selecciona una interfaz ATM. Si configura una conexin RFC1483, se crear una subinterfaz ATM. Esta subinterfaz estar visible en la ventana Resumen. Esta opcin est disponible si selecciona una interfaz ATM. Si configura una conexin RFC1483, se crear una subinterfaz ATM. Esta subinterfaz estar visible en la ventana Resumen.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-16

OL-9963-04

Captulo 4

Asistentes para crear conexiones PVC

Las encapsulaciones disponibles si dispone de una interfaz de serie aparecen en la tabla siguiente. Encapsulacin
Frame Relay

Descripcin Proporciona encapsulacin Frame Relay. Esta opcin est disponible si selecciona una interfaz de serie. Si crea una conexin Frame Relay se crear una subinterfaz de serie. Esta subinterfaz estar visible en la ventana Resumen.
Nota

Si se ha agregado una conexin serie Frame Relay a una interfaz, la encapsulacin Frame Relay slo se activar en esta ventana cuando se configuren las conexiones serie posteriores en la misma interfaz.

Protocolo punto a punto

Proporciona encapsulacin PPP. Esta opcin est disponible si selecciona una interfaz de serie. Proporciona encapsulacin HDLC. Esta opcin est disponible si selecciona una interfaz de serie.

Control del enlace de datos de alto nivel

PVC
El enrutamiento ATM utiliza un esquema jerrquico de dos niveles, rutas virtuales y canales virtuales, indicados por el identificador de ruta virtual (VPI) y el identificador de canal virtual (VCI), respectivamente. Es posible que una ruta virtual concreta transporte una variedad de distintos canales virtuales correspondientes a conexiones individuales. Cuando se realiza una conmutacin basada en el VPI, todas las celdas de dicha ruta virtual concreta se conmutan independientemente del VCI. Un switch ATM puede enrutar de acuerdo con VCI, VPI o ambos VCI y VPI.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-17

Captulo 4 PVC

Asistentes para crear conexiones

VPI
Especifique el valor del VPI que obtiene del proveedor de servicios o del administrador del sistema. El identificador de ruta virtual (VPI) se utiliza en la conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una variedad de conexiones. Especifique el valor VPI que le ha proporcionado el proveedor de servicios.

VCI
Especifique el valor del VCI que obtiene del proveedor de servicios o del administrador del sistema. El identificador de circuito virtual (VCI) se utiliza en la conmutacin y el enrutamiento ATM para identificar una conexin especfica dentro de una ruta que posiblemente comparte con otras conexiones. Especifique el valor VCI que le ha proporcionado el proveedor de servicios.

Valores por defecto de Cisco IOS


Los valores que figuran en la tabla siguiente son los valores por defecto de Cisco IOS. Cisco SDM no sobrescribir estos valores si se han cambiado durante una configuracin anterior, pero si el router no se ha configurado anteriormente, los valores que se utilizarn son los siguientes: Tipo de conexin ADSL G.SHDSL

Parmetro

Valor

Modo operativo Modo operativo Tasa de lnea Tipo de equipo Modo operativo

Auto Anexo A (sealizacin EUA) Auto CPE Auto

ADSL sobre ISDN (RDSI)

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-18

OL-9963-04

Captulo 4

Asistentes para crear conexiones Configuracin de LMI y DLCI

Configuracin de LMI y DLCI


Si est configurando una conexin con encapsulacin Frame Relay, debe especificar el protocolo utilizado para supervisar la conexin, denominado Identificador de gestin local (LMI), y proporcionar un identificador exclusivo para esta conexin concreta, denominado Identificador de conexin de enlace de datos (DLCI).

Tipo de LMI
Consulte con el proveedor de servicios para saber cules de los siguientes tipos de LMI debe utilizar. Tipo de LMI ANSI Descripcin Anexo D definido por la norma T1.617 del American National Standards Institute (ANSI). Tipo de LMI definido conjuntamente por Cisco Systems y tres otras empresas. ITU-T Q.933 Anexo A. El valor por defecto. Este parmetro permite al router detectar el tipo de LMI que se est utilizando al comunicarse con el switch y, a continuacin, utilizar dicho tipo. Si falla la deteccin automtica, el router utilizar el tipo de LMI de Cisco.

Cisco

ITU-T Q.933 Deteccin automtica

DLCI
Especifique el DLCI en este campo. Este nmero debe ser exclusivo entre todos los DLCI que se utilizan en esta interfaz.

Utilice la encapsulacin Frame Relay IETF


Encapsulacin Internet Engineering Task Force (IETF). Esta opcin se utiliza al establecer conexin con routers que no son de Cisco. Marque esta casilla si se est tratando de conectar a un router que no sea de Cisco en esta interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-19

Captulo 4 Configuracin del reloj

Asistentes para crear conexiones

Configuracin del reloj


La ventana Configuracin del reloj est disponible cuando usted est configurando un enlace T1 o E1. Los ajustes por defecto de reloj Frame Relay aparecen en esta pgina. No los cambie a menos que sus requisitos sean otros.

Origen del reloj


Interno especifica que el reloj se genera de forma interna. Lnea especifica que el origen del reloj se obtiene de la red. El reloj sincroniza la transmisin de datos. El valor por defecto es lnea.

Entramado T1/E1
Este campo configura el enlace T1 o E1 para la operacin con D4 Super Frame (SF) o Extended Superframe (ESF). El valor por defecto es esf.

Cdigo de lnea
Este campo configura el router para la operacin en la sustitucin binaria de 8 ceros (B8ZS b8-zeros substitution) o lneas T1 de inversin de marca alterna (AMI). La configuracin de la b8zs asegura la densidad en una lnea T1 o E1 al sustituir las violaciones bipolares intencionales en las posiciones 4 y 7 del bit para una secuencia de bits de ocho ceros. Cuando el router se configura con la configuracin de AMI, deber utilizar la configuracin invertida de codificacin de datos para garantizar la densidad de la lnea T1. El valor por defecto es b8zs.

Codificacin de los datos


Haga clic en invertido si usted sabe que los datos del usuario estn invertidos en este enlace, o si el campo Cdigo de lnea se fija en AMI. De lo contrario, deje este ajuste con su valor por defecto, que es normal. La inversin de datos se utiliza con protocolos orientados a bits como HDLC, PPP y Proceso de acceso a enlaces, con balance (LAPB) para garantizar la densidad en una lnea T1 con codificacin AMI. Estos protocolos orientados a bits realizan inserciones de cero despus de cada cinco bits uno en el flujo de datos. Esto tiene el efecto de asegurar al menos un cero en cada ocho bits. Si se invierte el flujo de datos, se garantiza que al menos uno de cada ocho bits es un uno.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-20

OL-9963-04

Captulo 4

Asistentes para crear conexiones Configuracin del reloj

Cisco SDM fijar la codificacin de datos a invertido si el cdigo de lnea es AMI y si no hay intervalos de tiempo configurados para 56 kbps. Si usted no quiere usar una codificacin de datos invertida con el cdigo de lnea AMI, deber usar el CLI para configurar todos los intervalos de tiempo a 56 kbps.

Enlace de datos en instalaciones (FDL)


Este campo configura el comportamiento del router en el enlace de datos en instalaciones (FDL) del Superframe ampliado. Si se configura con att, el router implementa AT&T TR 54016. Si se configura con ansi, implementa ANSI T1.403. Si elige Ambos, el router implementa las dos opciones, att y ansi. Si elige Ninguno, el router no toma en cuenta el FDL. El valor por defecto es ninguno. Si el entramado T1 o E1 se fija en sf, Cisco SDM definir el FDL en ninguno y convertir este campo en un campo de slo lectura.

LBO (Line Build Out)


Este campo se utiliza para configurar el LBO (Line Build Out) del enlace T1. El LBO disminuye la potencia de transmisin de la seal en -7,5 -15 decibelios. No es probable que se requiera en las lneas T1/E1 actuales. El valor por defecto es ninguno.

Solicitud de retrobucle remoto


Este campo especifica si el router entra en el retrobucle si en la lnea se recibe un cdigo de retrobucle. Si selecciona completo, el router aceptar los retrobucles completos y si se selecciona la carga til v54, el router seleccionar los retrobucles de carga til.

Activar la generacin/deteccin de alarmas remotas


Marque esta casilla si desea que el enlace T1 del router genere alarmas remotas (alarmas amarillas) y detecte alarmas remotas que se envan desde el par del otro extremo del enlace. Un router transmite la alarma remota cuando detecta una condicin de alarma: puede ser una alarma roja (prdida de seal) o una alarma azul (1s no tramados). De este modo, la unidad de servicios de canal o de datos (CSU/DSU) que la recibe est informada sobre la condicin de error presente en la lnea. Este ajuste slo se debe utilizar cuando el entramado T1/E1 est definido en esf.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-21

Captulo 4 Eliminar conexin

Asistentes para crear conexiones

Eliminar conexin
Puede eliminar una conexin WAN que aparece en la ventana Editar interfaz/conexin. Esta ventana aparece cuando se est eliminando una configuracin de interfaz y cuando la conexin que desea eliminar contiene asociaciones como reglas de acceso que se han aplicado a esta interfaz. Desde esta ventana puede guardar las asociaciones para utilizarlas con otra conexin. Al eliminar una conexin, la lista Crear nueva conexin se actualiza si dicha eliminacin deja disponible un tipo de conexin que hasta entonces no lo estaba. Puede eliminar automticamente todas las asociaciones de la conexin o eliminar las asociaciones posteriormente.

Para ver las asociaciones de la conexin:


Haga clic en Ver detalles.

Para eliminar la conexin y todas sus asociaciones:


Haga clic en Eliminar automticamente todas las asociaciones y, a continuacin, en Aceptar para que Cisco SDM elimine la conexin y todas sus asociaciones.

Para eliminar manualmente las asociaciones:


Para eliminar las asociaciones de forma manual, haga clic en Ver detalles con el fin de obtener una lista de las asociaciones de esta conexin. Anote las asociaciones, seleccione Eliminar las asociaciones ms tarde y, a continuacin, haga clic en Aceptar. Puede eliminar manualmente las asociaciones de la conexin siguiendo las instrucciones de la lista siguiente. Las asociaciones posibles y las instrucciones para eliminarlas son:

Ruta esttica por defecto: la interfaz se configura como la interfaz de envo para una ruta esttica por defecto. Para eliminar la ruta esttica con la que est asociada esta interfaz, haga clic en Configurar y, a continuacin, en Enrutamiento. Haga clic en la ruta esttica de la tabla Enrutamiento esttico y, a continuacin, en Eliminar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-22

OL-9963-04

Captulo 4

Asistentes para crear conexiones Eliminar conexin

Traduccin de direcciones de puerto: la PAT se configura mediante la interfaz en la que se ha creado esta conexin. Para eliminar la asociacin PAT, haga clic en Configurar y, a continuacin, en NAT. Seleccione la regla asociada con esta conexin y haga clic en Eliminar. NAT: la interfaz se ha designado como interfaz interna NAT o externa NAT. Para eliminar la asociacin NAT, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Haga clic en la conexin en la lista de interfaces y, luego, en Editar. Haga clic en la ficha NAT, luego elija Ninguno del men desplegable NAT. ACL: se aplica una ACL a la interfaz en la que se ha creado la conexin. Para eliminar la lista de control de acceso, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Seleccione la conexin de la lista de interfaces y, a continuacin, haga clic en Editar. Haga clic en la ficha Asociacin. Luego, en el grupo Regla de acceso, haga clic en el botn ... que aparece junto a los campos Entrante y Saliente y, a continuacin, en Ninguno. Inspeccin: se aplica una regla de inspeccin a la interfaz en la que se ha creado la conexin. Para eliminar la regla de inspeccin, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Seleccione la conexin de la lista de interfaces y, a continuacin, haga clic en Editar. Haga clic en la ficha Asociacin; a continuacin, en el grupo Regla de inspeccin, en los campos Entrante y Saliente, seleccione Ninguno. Criptografa: se aplica un mapa criptogrfico a la interfaz en la que se ha creado la conexin. Para eliminar el mapa criptogrfico, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Haga clic en la conexin en la lista de interfaces y, luego, en Editar. Haga clic en la ficha Asociacin; luego en el grupo VPN, en el campo Poltica IPSec, haga clic en Ninguno. EzVPN: se aplica una Easy VPN a la interfaz en la que se ha creado la conexin. Para eliminar la Easy VPN, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Haga clic en la conexin en la lista de interfaces y, luego, en Editar. Haga clic en la ficha Asociacin; a continuacin, en el grupo VPN, en el campo Easy VPN, haga clic en Ninguno. VPDN: los comandos VPDN requeridos para una configuracin PPPoE estn presentes en la configuracin del router. Si hay otras conexiones PPPoE configuradas en el router, no elimine los comandos VPDN. ip tcp adjust mss: este comando se aplica a una interfaz LAN para ajustar el tamao mximo de TCP. Si hay otras conexiones PPPoE configuradas en el router, no elimine este comando.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-23

Captulo 4 Resumen

Asistentes para crear conexiones

Conexin de respaldo: cuando existe una conexin de respaldo configurada para la interfaz principal. Para eliminar la asociacin de conexin de respaldo, haga clic en Configurar y, a continuacin, en Interfaces y conexiones. Seleccione la interfaz de reserva de la lista de interfaces y, a continuacin, haga clic en Editar. Haga clic en la ficha De reserva y desmarque la casilla de verificacin Activar conexin de respaldo. PAT en la conexin de respaldo: la PAT est configurada en la interfaz de respaldo. Para eliminar la asociacin PAT, haga clic en Configurar y, a continuacin, en NAT. Seleccione la regla asociada con esta conexin y haga clic en Eliminar. Ruta por defecto flotante en la conexin de respaldo: la interfaz de respaldo se configura con una ruta esttica por defecto flotante. Para eliminar la ruta esttica flotante, haga clic en Configurar y, a continuacin, en Enrutamiento. Seleccione la ruta esttica flotante de la tabla Enrutamiento esttico y, a continuacin, haga clic en Eliminar.

Resumen
En esta pantalla aparece un resumen del enlace WAN que ha configurado. Para revisar esta informacin y realizar los cambios necesarios, puede hacer clic en el botn Atrs y volver a la pantalla en la que desea efectuar modificaciones.

Una vez realizada la configuracin, pruebe la conectividad


Marque esta casilla de verificacin si desea que Cisco SDM realice una prueba de la conexin que ha configurado despus de que se descarguen los comandos al router. Cisco SDM realizar una prueba de la conexin y mostrar un informe de los resultados en otra ventana.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha activado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias de Cisco SDM, aparecer la ventana Enviar. Esta ventana permite ver los comandos CLI que se envan al router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-24

OL-9963-04

Captulo 4

Asistentes para crear conexiones Pruebas y resolucin de problemas de la conectividad

Pruebas y resolucin de problemas de la conectividad


Esta ventana permite probar una conexin configurada al efectuar un ping a un host remoto. Si el ping falla, Cisco SDM informa de la causa probable del fallo y recomienda acciones para corregir el problema.

Qu tipos de conexin se pueden probar?


Cisco SDM permite resolver problemas de las conexiones ADSL, G.SHDSL V1 y G.SHDSL V2 mediante encapsulacin PPPoE, AAL5SNAP o AAL5MUX. Cisco SDM permite resolver los problemas de las conexiones Ethernet con encapsulacin PPPoE. Cisco SDM no puede resolver los problemas de las conexiones de Ethernet no encapsuladas, de serie o conexiones T1 o E1, conexiones analgicas, y conexiones de RDSI. Cisco SDM proporciona una prueba de ping bsica para estos tipos de conexin

Qu es la prueba de ping bsica?


Cuando Cisco SDM realiza una prueba de ping bsica, lleva a cabo lo siguiente:
1. 2.

Verifica el estado de la interfaz para comprobar si est en servicio o fuera de servicio. Verifica la configuracin de DNS, independientemente de si se trata de las opciones por defecto de Cisco SDM o de nombres de host especificados por el usuario. Verifica las configuraciones de DHCP e IPCP en la interfaz. Termina la comprobacin de la interfaz. Efecta un ping al destino.

3. 4. 5.

Cisco SDM presenta un informe con los resultados de estas comprobaciones en las columnas Actividad y Estado. Si el ping se finaliza correctamente, la conexin resultar satisfactoria. De lo contrario, si la conexin resulta estar fuera de servicio, se informa de la prueba que ha fallado.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-25

Captulo 4 Pruebas y resolucin de problemas de la conectividad

Asistentes para crear conexiones

Cmo realiza Cisco SDM la resolucin de problemas?


Cuando Cisco SDM resuelve un problema con una conexin, realiza una verificacin ms amplia que la prueba de ping bsica. Si el router no supera alguna prueba, Cisco SDM realiza verificaciones adicionales para poder informarle de los motivos posibles del fallo. Por ejemplo, si la Capa 2 est fuera de servicio, Cisco SDM intenta determinar los motivos de este estado, informar de ellos y recomendar acciones para resolver el problema. Cisco SDM realiza las tareas siguientes.
1.

Verifica el estado de la interfaz. Si el protocolo de la Capa 2 est en servicio, Cisco SDM va al paso 2. Si el protocolo de la Capa 2 est fuera de servicio, Cisco SDM verifica el estado de ATM PVC para las conexiones XDSL o el estado de PPPoE para las conexiones Ethernet encapsuladas.
Si se producen fallos en la prueba ATM PVC, Cisco SDM muestra los

motivos posibles del fallo adems de acciones que se pueden llevar a cabo para corregir el problema.
Si la conexin PPPoE est fuera de servicio, existe un problema con el

cableado y Cisco SDM muestra los motivos y acciones pertinentes. Una vez realizadas estas verificaciones, finaliza la prueba y Cisco SDM presenta un informe con los resultados y las acciones recomendadas.
2.

Verifica la configuracin de DNS, independientemente de si se trata de las opciones por defecto de Cisco SDM o de nombres de host especificados por el usuario. Verifica la configuracin de DHCP o IPCP y su estado. Si el router dispone de una direccin IP a travs de DHCP o de IPCP, Cisco SDM salta al paso 4. Si el router est configurado para DHCP o IPCP, pero no ha recibido ninguna direccin IP a travs de estos mtodos, Cisco SDM realiza las verificaciones del paso 1. La prueba finaliza y Cisco SDM presenta un informe con los resultados y las acciones recomendadas.

3.

4.

Efecta un ping al destino. Si la aplicacin de ping es correcta, Cisco SDM presenta un informe positivo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-26

OL-9963-04

Captulo 4

Asistentes para crear conexiones Pruebas y resolucin de problemas de la conectividad

Si el ping produce fallos en una conexin xDSL con encapsulacin PPPoE, Cisco SDM verifica los elementos siguientes:

El estado de ATM PVC El estado del tnel PPPoE El estado de la autenticacin PPP

Una vez realizadas estas verificaciones, Cisco SDM presenta un informe con los motivos de fallo del ping. Si el ping produce fallos en una red Ethernet con encapsulacin PPPoE, Cisco SDM verifica los elementos siguientes:

El estado del tnel PPPoE El estado de la autenticacin PPP

Una vez realizadas estas verificaciones, Cisco SDM presenta un informe con los motivos de fallo del ping. Si el ping falla en una conexin xDSL con encapsulacin AAL5SNAP o AAL5MUX, Cisco SDM verifica el estado de ATM PVC y presenta un informe con los motivos de fallo del ping.

Direccin IP/Nombre de host


Especifique el nombre de servidor al que desea realizar un ping para probar la interfaz WAN.
Determinado automticamente por SDM

Cisco SDM realiza un ping a su host por defecto para probar la interfaz WAN. Cisco SDM detecta los servidores DNS configurados de forma esttica, adems de los servidores DNS importados de forma dinmica. Cisco SDM realiza un ping a estos servidores y, si los pings realizados con xito salen por la interfaz que est de prueba, Cisco SDM informa del xito de la operacin. Si todos los pings presentan fallos, o si no se encuentran pings correctos que salgan por la interfaz que est de prueba, Cisco SDM informa del fallo.
Especificado por el usuario

Especifique la direccin IP del nombre de host deseado para probar la interfaz WAN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-27

Captulo 4 Pruebas y resolucin de problemas de la conectividad

Asistentes para crear conexiones

Resumen
Haga clic en este botn para ver la informacin resumida de la resolucin de problemas.

Detalles
Haga clic en este botn para ver la informacin detallada de la resolucin de problemas.

Actividad
En esta columna se muestran las actividades de resolucin de problemas.

Estado
Muestra el estado de cada actividad de resolucin de problemas mediante los iconos y textos de alerta siguientes: La conexin est activa. La conexin est inactiva. La prueba se ha superado. La prueba ha fallado.

Motivo
En este cuadro se proporcionan los posibles motivos del fallo de la conexin de la interfaz WAN.

Acciones recomendadas
En este cuadro se proporciona una posible accin/solucin para corregir el problema.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-28

OL-9963-04

Captulo 4

Asistentes para crear conexiones Cmo...

Qu desea hacer?

Si desea:

Haga lo siguiente:

Resolver los problemas de la conexin Haga clic en el botn Iniciar. de la interfaz WAN. Cuando se est ejecutando la prueba, la etiqueta del botn Iniciar cambiar a Detener. Tiene la opcin de cancelar la resolucin de problemas mientras la prueba est ejecutndose. Guardar el informe de la prueba. Haga clic en Guardar informe para guardar el informe de la prueba en formato HTML. Este botn slo estar activo cuando se est ejecutando una prueba o cuando sta haya finalizado.

Cmo...
En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Cmo se visualizan los comandos de IOS que se envan al router?


Consulte Cmo se visualizan los comandos de IOS que se envan al router?

Cmo se configura una interfaz WAN no admitida?


Cisco SDM no admite la configuracin de todas las interfaces WAN que puede admitir el router. Si Cisco SDM detecta una interfaz no admitida en el router o una interfaz admitida con una configuracin no admitida, Cisco SDM mostrar un botn de opcin con la etiqueta Otros (no admitido por Cisco SDM). La interfaz no admitida aparece en la ventana Interfaces y conexiones, pero no se puede configurar mediante Cisco SDM. Para configurar una interfaz no admitida, debe utilizar la interfaz de lnea de comandos (CLI) del router.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-29

Captulo 4 Cmo...

Asistentes para crear conexiones

Cmo se activa o desactiva una interfaz?


Una interfaz puede desactivarse sin quitar su configuracin. Tambin es posible reactivar una interfaz desactivada.
Paso 1 Paso 2 Paso 3 Paso 4

Haga clic en Configurar en la barra de herramientas de Cisco SDM. En el panel izquierdo, haga clic en Interfaces y conexiones. Haga clic en la interfaz que desee desactivar o activar. Si la interfaz est activada, aparecer el botn Desactivar debajo de la lista de interfaces. Haga clic en dicho botn para desactivar la interfaz. Si la interfaz est desactivada, aparecer el botn Activar en su lugar. Haga clic en dicho botn para activar la interfaz.

Como se visualiza la actividad en la interfaz WAN?


La actividad de una interfaz WAN puede visualizarse mediante la funcin de supervisin en Cisco SDM. Las pantallas de supervisin pueden mostrar estadsticas sobre la interfaz WAN, incluido el nmero de paquetes y bytes que la interfaz ha enviado o recibido y el nmero de errores de envo o recepcin que se han producido. Para ver las estadsticas sobre una interfaz WAN:
Paso 1 Paso 2 Paso 3 Paso 4

En la barra de herramientas, haga clic en Supervisar. En el panel izquierdo, haga clic en Estado de la interfaz. En el campo Seleccione una interfaz, seleccione la interfaz WAN cuyas estadsticas desee visualizar. Para seleccionar el o los elementos de datos que desee visualizar, marque las casillas de verificacin correspondientes. Puede ver un mximo de cuatro estadsticas a la vez. Para ver las estadsticas de todos los elementos de datos seleccionados, haga clic en Ver detalles.

Paso 5

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-30

OL-9963-04

Captulo 4

Asistentes para crear conexiones Cmo...

Aparecer la ventana Detalles de la interfaz que muestra todas las estadsticas seleccionadas. Por defecto, la ventana muestra los datos en tiempo real, de modo que sondea el router cada 10 segundos. Si la interfaz est activa y se transmiten datos sobre ella, deber observar un aumento en el nmero de paquetes y bytes que se transfieren a travs de la misma.

Cmo se configura NAT en una interfaz WAN?


Paso 1 Paso 2 Paso 3 Paso 4 Paso 5

Haga clic en Configurar en la barra de herramientas de Cisco SDM. Haga clic en NAT en el panel izquierdo. En la ventana NAT, haga clic en Designar interfaces NAT. Busque la interfaz para la que desea configurar NAT. Seleccione la opcin interna (fiable) junto a la interfaz para designar la interfaz como interna, o fiable. Una designacin interna se utiliza generalmente para designar una interfaz que presta servicio a una LAN cuyos recursos se deben proteger. Seleccione la opcin externa (no fiable) para designarla como una interfaz externa. Generalmente, las interfaces externas se conectan a una red no fiable. Haga clic en Aceptar. La interfaz se agrega al grupo de interfaces mediante NAT. Revise las Reglas de traduccin de direcciones de la red en la ventana NAT. Si necesita agregar, eliminar o modificar una regla, haga clic en el botn pertinente de la ventana NAT para realizar la configuracin requerida.

Paso 6

Para obtener ms informacin, haga clic en los enlaces siguientes:


Agregar o editar regla de traduccin de direcciones estticas: De interna a externa Agregar o editar regla de traduccin de direcciones estticas: De externa a interna Agregar o editar regla de traduccin de direcciones dinmicas: De interna a externa Agregar o editar regla de traduccin de direcciones dinmicas: De externa a interna
Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

4-31

Captulo 4 Cmo...

Asistentes para crear conexiones

Cmo se configura NAT en una interfaz no admitida?


Cisco SDM puede configurar la traduccin de direcciones de red (NAT) en un tipo de interfaz no compatible con Cisco SDM. Para poder configurar el firewall, primero es preciso utilizar la CLI del router para configurar la interfaz. La interfaz deber tener, como mnimo, una direccin IP configurada y deber estar en funcionamiento. Para verificar que la conexin funcione, verifique que el estado de la interfaz sea activo. Despus de configurar la interfaz no admitida mediante el CLI, puede configurar NAT mediante Cisco SDM. La interfaz no admitida aparecer como Otro en la lista de interfaces del router.

Cmo se configura un protocolo de enrutamiento dinmico?


Para configurar un protocolo de enrutamiento dinmico:
Paso 1 Paso 2 Paso 3 Paso 4

En la barra de herramientas, haga clic en Configurar. En el panel izquierdo, haga clic en Enrutamiento. En el grupo Enrutamiento dinmico, haga clic en el protocolo de enrutamiento dinmico que desee configurar. Haga clic en Editar. Aparece el cuadro de dilogo Enrutamiento dinmico, el cual muestra la ficha del protocolo de enrutamiento dinmico que ha seleccionado.

Paso 5

Utilice los campos del cuadro de dilogo Enrutamiento dinmico para configurar el protocolo de enrutamiento dinmico. Si necesita obtener una explicacin de cualquiera de los dems cuadros de dilogo, haga clic en Ayuda. Una vez finalizada la configuracin del protocolo de enrutamiento dinmico, haga clic en Aceptar.

Paso 6

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-32

OL-9963-04

Captulo 4

Asistentes para crear conexiones Cmo...

Cmo se configura el enrutamiento de marcacin a peticin para la interfaz asncrona o ISDN?


Las conexiones ISDN (RDSI) BRI y asncrona son conexiones de acceso telefnico, lo que significa que para establecer una conexin, el router debe marcar un nmero de telfono configurado previamente. Puesto que el costo de estos tipos de conexiones normalmente se determina por la duracin de la conexin, y en el caso de una conexin asncrona, que la lnea telefnica quedar ocupada, resulta recomendable configurar un enrutamiento de marcacin a peticin (DDR, Dial-on-Demand Routing) para este tipo de conexiones. Cisco SDM puede ayudarle a configurar DDR de la forma siguiente:

Permitiendo asociar una regla (o ACL) con la conexin, lo que provoca que el router establezca la conexin nicamente cuando detecta un trfico de red que usted ha identificado como interesante con la regla asociada. Definiendo los lmites de tiempo de inactividad, lo que provoca que el router finalice una conexin una vez transcurrido un tiempo especificado sin que haya actividad en la misma. Activando PPP multienlace, lo que provoca que una conexin ISDN (RDSI) BRI utilice nicamente uno de los dos canales B, a menos que se exceda el porcentaje de banda ancha especificado en el primer canal B. Este proceso presenta la ventaja de ahorrar costos cuando el trfico de red es bajo y no se requiere el segundo canal B, an permitindole utilizar la banda ancha de la conexin ISDN (RDSI) BRI en su totalidad siempre que sea necesario.

Para configurar DDR en una conexin ISDN (RDSI) BRI o asncrona existente:
Paso 1 Paso 2 Paso 3 Paso 4

Haga clic en Configurar en la barra de herramientas de Cisco SDM. En el panel izquierdo, haga clic en Interfaces y conexiones. Haga clic en la interfaz ISDN (RDSI) o asncrona en la que desee configurar DDR. Haga clic en Editar. Aparecer la ficha Conexin. Haga clic en Opciones. Aparecer el cuadro de dilogo Editar Opciones de marcacin.

Paso 5

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

4-33

Captulo 4 Cmo...

Asistentes para crear conexiones

Paso 6

Si desea que el router establezca la conexin slo cuando detecte un trfico IP concreto, haga clic en el botn de opcin Filtrar trfico segn una lista de control de acceso seleccionada y especifique un nmero de regla (ACL) que identifique el trfico IP que debera obligar al router a realizar la marcacin del router o bien, haga clic en el botn ... para examinar la lista de reglas y seleccionar la regla que desee utilizar para identificar el trfico IP. Si desea configurar el router para finalizar una conexin inactiva, es decir, cuando no pasa trfico por ella, durante un tiempo especificado, en el campo Lmite de tiempo de inactividad, especifique el nmero de segundos que la conexin podr permanecer inactiva antes de que el router finalice la conexin. Si est editando una conexin ISDN (RDSI), y desea utilizar el segundo canal B slo cuando el trfico en el primero exceda un lmite determinado, marque la casilla de verificacin Activar PPP multienlace. A continuacin, en el campo Umbral de la carga, especifique un nmero entre 1 y 255, donde 255 equivale al 100% de banda ancha, que determinar el lmite en el primer canal B. Si el trfico del canal supera este lmite, el router se conectar al segundo canal B. Adems, en el campo Direccin de datos, puede elegir si este lmite se debe aplicar al trfico saliente o al entrante. Haga clic en Aceptar.

Paso 7

Paso 8

Paso 9

Cmo se edita una Configuracin de interfaz de radio?


Debe utilizar Aplicacin inalmbrica para editar una configuracin de interfaz de radio existente.
Paso 1 Paso 2 Paso 3

Haga clic en Configurar en la barra de herramientas de Cisco SDM. Haga clic en Interfaces y conexiones en el marco izquierdo, y luego haga clic en la ficha Editar interfaz/conexin. Seleccione la interfaz de radio y haga clic en Editar. En la ficha Conexiones, puede cambiar la direccin IP o la informacin de bridge. Si desea cambiar otros parmetros inalmbricos, haga clic en Iniciar aplicacin inalmbrica.

Gua del usuario de Cisco Router and Security Device Manager 2.4

4-34

OL-9963-04

CAPTULO

Editar interfaz/conexin
En esta ventana se muestran las interfaces y las conexiones del router, y se permite agregar, editar y eliminar conexiones, adems de activarlas y desactivarlas.

Agregar
Al seleccionar una interfaz fsica sin configurar y hacer clic en Agregar, el men dispondr de opciones para agregar una conexin en dicha interfaz. Haga clic en Agregar para crear una nueva interfaz de retrobucle o de tnel. Si la imgen de Cisco IOS en el router admite interfaces de plantilla virtual (VTI), el men contextual incluye una opcin para agregar una VTI. Si existen puertos de switch en el router, puede agregar una nueva VLAN. Si desea volver a configurar una interfaz y slo se muestran las opciones Retrobucle y Tnel al hacer clic en Agregar, seleccione la interfaz en cuestin y haga clic en Eliminar. En el men Agregar, aparecern todos los tipos de conexiones disponibles para dicho tipo de interfaz. Haga clic en Configuraciones de interfaz disponibles para ver las configuraciones disponibles para una determinada interfaz.

Editar
Al seleccionar una interfaz y hacer clic en Editar, aparecer un cuadro de dilogo. Si la interfaz es compatible, est configurada y no es un puerto de switch, el cuadro de dilogo presentar las siguientes fichas:

Conexin Ficha Asociacin Ficha NAT


Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

5-1

Captulo 5

Editar interfaz/conexin

Servicio de aplicacin Ficha General

Si la interfaz no es compatible, el cuadro de dilogo no presentar la ficha Conexin. Si selecciona un puerto de switch, aparecer el cuadro de dilogo Editar puerto del switch. Si la interfaz es compatible pero no se ha configurado, el botn Editar estar desactivado.

Eliminar
Al seleccionar una conexin y hacer clic en Eliminar, aparecer un cuadro de dilogo que muestra las asociaciones de dicha conexin y que le solicita si desea quitar las asociaciones junto con la conexin. Puede eliminar solamente la conexin o la conexin y todas sus asociaciones.

Resumen
Al hacer clic en el botn Resumen, se ocultan los detalles sobre la conexin, lo que restringe la informacin para la direccin IP, tipo, ranura, estado y descripcin.

Detalles
Al hacer clic en Detalles, aparecer el rea Detalles de la interfaz que se describe a continuacin. Dichos detalles se muestran por defecto.

Activar o desactivar
Cuando la interfaz o la conexin elegida est cada, esto aparecer como el botn Activar. Haga clic en el botn Activar para levantar la interfaz o conexin elegida. Cuando la interfaz o conexin elegida est levantada, esto aparecer como el botn Desactivar. Haga clic en el botn Desactivar para desactivar administrativamente la interfaz o conexin. Este botn no puede usarse con una interfaz cuya configuracin no ha sido enviada al router.

Probar conexin
Haga clic en este botn para probar la conexin seleccionada. Aparecer un cuadro de dilogo que permite especificar un host remoto al que se podr hacer ping a travs de esta conexin. A continuacin, el cuadro de dilogo muestra un informe indicando si la prueba se ha realizado correctamente o no. Si la prueba no se realiza correctamente, se proporcionar informacin sobre los posibles motivos, adems de los pasos que se debern llevar a cabo para corregir el problema.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-2

OL-9963-04

Captulo 5

Editar interfaz/conexin

Lista de interfaces
La lista de interfaces muestra las interfaces fsicas y las conexiones lgicas para las que estn configuradas.
Interfaces

En esta columna aparece una lista de las interfaces fsicas y lgicas ordenadas por nombre. Si una interfaz lgica est configurada para una interfaz fsica, la interfaz lgica aparece bajo la interfaz fsica. Si ejecuta Cisco SDM en un router de la familia 7000 de Cisco, podr crear una conexin solamente en las interfaces Ethernet y Fast Ethernet.
Direccin IP

Esta columna puede contener los siguientes tipos de direcciones IP:


La direccin IP configurada de la interfaz. Cliente DHCP: la interfaz recibe una direccin IP de un servidor DHCP (Dynamic Host Configuration Protocol). IP negociado: la interfaz recibe una direccin IP a travs de una negociacin con el dispositivo remoto. IP no numerado: el router utilizar un conjunto de direcciones IP suministrado por el proveedor de servicios del router y los dispositivos de la LAN. No aplicable: no se puede asignar ninguna direccin IP al tipo de interfaz.

Tipo

La columna Tipo muestra el tipo de interfaz como, por ejemplo, Ethernet, en serie o ATM.
Ranura

El nmero de la ranura fsica del router en la que est instalada la interfaz. Si ejecuta Cisco SDM en un router Cisco 1710, el campo de ranura est vaco.
Estado

Esta columna muestra si la interfaz est activada o desactivada. Un icono verde con la punta de flecha orientada hacia arriba indica que la interfaz est activada. Por el contrario, si el icono es rojo y presenta una punta de flecha orientada hacia abajo, la interfaz est desactivada.
Descripcin

Esta columna contiene las descripciones que se proporcionan para esta conexin.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-3

Captulo 5

Editar interfaz/conexin

Detalles de la interfaz
En esta rea de la ventana se muestra la informacin de asociacin y de conexin (si procede) de la interfaz seleccionada en la lista de interfaces. Entre los detalles de asociacin se incluye informacin como, por ejemplo, las reglas de traduccin de direcciones de red (NAT), de acceso y de inspeccin, las polticas IPSec y las configuraciones de Easy VPN. Entre los detalles de conexin se incluyen la direccin IP, el tipo de encapsulacin y las opciones DHCP.
Nombre de elemento

El nombre del elemento de configuracin como, por ejemplo, la direccin IP, mscara de subred o la poltica IPSec. Los elementos que se incluyen en esta columna dependen del tipo de interfaz seleccionada.
Valor de elemento

Si un elemento con nombre dispone de un valor configurado, se muestra en esta columna.

Qu desea hacer?

Para: Agregar una conexin nueva. Agregar una nueva interfaz lgica. Agregar una nueva interfaz de LAN virtual. Editar una interfaz existente.

Haga lo siguiente: Haga clic en Agregar y seleccione la conexin en el men contextual. Haga clic en Agregar y seleccione Nueva interfaz lgica del men contextual. Haga clic en Agregar, seleccione Nueva interfaz lgica del men contextual y, a continuacin, seleccione LAN virtual del submen. Resalte la interfaz que desea editar y haga clic en Editar.
Nota

Si est editando un tnel GRE, la ficha Conexin no aparecer si dicho tnel no est configurado para que utilice el modo gre ip.

Restablecer una interfaz fsica a un estado no configurado.

Seleccione la interfaz fsica y haga clic en Restablecer.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-4

OL-9963-04

Captulo 5

Editar interfaz/conexin

Para: Eliminar una interfaz lgica. Ver cmo realizar tareas de configuracin relacionadas.

Haga lo siguiente: Seleccione la interfaz que desea eliminar y haga clic en Eliminar. Consulte uno de los procedimientos siguientes:

Cmo se configura una ruta esttica? Como se visualiza la actividad en la interfaz LAN? Cmo se activa o desactiva una interfaz? Cmo se visualizan los comandos de IOS que se envan al router? Cmo se configura una interfaz WAN no admitida? Como se visualiza la actividad en la interfaz WAN? Cmo se configura NAT en una interfaz WAN? Cmo se configura una ruta esttica? Cmo se configura un protocolo de enrutamiento dinmico?

Por qu algunas interfaces o conexiones son de slo lectura?


Existen varias condiciones que impiden que Cisco SDM modifique una interfaz o subinterfaz configurada anteriormente.

Para conocer los motivos por los cuales una interfaz o subinterfaz serie configurada anteriormente puede aparecer como de slo lectura en la lista de interfaces, consulte el tema de ayuda Motivos por los cuales una configuracin de interfaz o subinterfaz de serie puede ser de slo lectura. Para conocer los motivos por los cuales una interfaz o subinterfaz ATM configurada anteriormente puede aparecer como de slo lectura en la lista de interfaces, consulte el tema de ayuda Motivos por los cuales una configuracin de interfaz o subinterfaz ATM puede ser de slo lectura. Para conocer los motivos por los cuales una interfaz o subinterfaz Ethernet LAN o WAN configurada anteriormente puede aparecer como de slo lectura en la lista de interfaces, consulte el tema de ayuda Motivos por los cuales una configuracin de interfaz Ethernet puede ser de slo lectura. Para conocer los motivos por los cuales una interfaz o subinterfaz ISDN (RDSI) BRI configurada anteriormente puede aparecer como de slo lectura en la lista de interfaces, consulte el tema de ayuda Motivos por los cuales una configuracin de interfaz ISDN (RDSI) BRI puede ser de slo lectura.
Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

5-5

Captulo 5 Conexin: Ethernet para IRB

Editar interfaz/conexin

Conexin: Ethernet para IRB


Este cuadro de dilogo contiene los siguientes campos si ha seleccionado Ethernet para IRB en la lista Configurar.

Grupo Bridge actual/BVI asociada


Estos campos de slo lectura contienen el valor del grupo del bridge actual y el nombre de la Interfaz Virtual del Grupo del Bridge (BVI, Bridge-Group Virtual Interface) actual.

Cree un Grupo Bridge/nase a un Grupo Bridge existente


Seleccione si desea hacer que esta interfaz sea miembro de un nuevo Grupo Bridge, o si desea unirse a un Grupo Bridge existente. Si desea crear un nuevo Grupo Bridge, especifique un nmero entre 1 y 255. Si desea que la interfaz se una a un Grupo Bridge existente, seleccione la interfaz BVI que ya sea miembro de ese grupo.

Direccin IP
Especifique la direccin IP y la mscara de subred en los campos proporcionados.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-6

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Ethernet para enrutamiento

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Conexin: Ethernet para enrutamiento


Este cuadro de dilogo contiene los siguientes campos si ha seleccionado Ethernet para enrutamiento en la lista Configurar.

Direccin IP
Especifique una direccin IP y mscara de subred en los campos de Direccin IP. Esta direccin ser la direccin IP origen para el trfico originado desde esta interfaz, y la direccin IP de destino para el trfico destinado a los hosts conectados a esta interfaz.

DHCP Relay
Haga clic en este botn para permitir que el router funcione como un DHCP relay. Un dispositivo que funciona como un DHCP reenva solicitudes DHCP a un servidor DHCP. Cuando un dispositivo requiere una direccin IP asignada dinmicamente, ste enva una solicitud DHCP. Un servidor DHCP responde a esta solicitud con una direccin IP. Puede haber un mximo de un DHCP o un servidor DHCP por subred.
Nota

Si el router se configur para que funcione como un DHCP relay y para disponer de ms de una direccin IP de servidor remoto DHCP, estos campos estn desactivados.
Direccin IP del servidor DHCP remoto

Especifique la direccin IP del servidor DHCP que proporcionar las direcciones a los dispositivos de la LAN.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-7

Captulo 5 Conexin: Ethernet para enrutamiento

Editar interfaz/conexin

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Mtodos existentes de DNS dinmico


Esta ventana permite que usted escoja un mtodo de DNS dinmico para relacionarlo con una interfaz WAN. La lista de los mtodos existentes de DNS dinmico muestra cada nombre del mtodo y los parmetros asociados. Elija un mtodo de la lista, y luego haga clic en Aceptar para asociarlo a la interfaz WAN. Para agregar, editar, o eliminar los mtodos de DNS dinmico, vaya a Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-8

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Ethernet para enrutamiento

Agregar Mtodo de DNS dinmico


Esta ventana permite que usted agregue un mtodo de DNS dinmico. Escoja el tipo de mtodo, HTTP o IETF, y configrelo.

HTTP
HTTP es un mtodo de DNS dinmico que actualiza a un proveedor de servicio de DNS con cambios en la direccin IP de la interfaz asociada.

Servidor
Si se usa HTTP, elija la direccin de dominio del proveedor de servicio DNS desde el men desplegable.

Nombre de usuario
Si se usa HTTP, especifique un nombre de usuario para acceder al proveedor de servicio DNS.

Contrasea
Si se usa HTTP, especifique una contrasea para acceder al proveedor de servicio DNS.

IETF
IETF es un mtodo de DNS dinmico que actualiza a un servidor de DNS con los cambios para la direccin IP de la interfaz asociada.

Servidor de DNS
Si usa IETF, y no hay ningn servidor DNS configurado para el router en Configurar > Tareas adicionales > DNS, entonces introduzca la direccin IP del servidor DNS.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-9

Captulo 5 Inalmbrica

Editar interfaz/conexin

Nombre del Host


Introduzca un nombre de host si no hay uno configurado en Configurar > Tareas adicionales > Propiedades del router > Editar > Host, o si desea sobrescribir el nombre del host. Cuando actualice la direccin IP de la interfaz, el mtodo de DNS dinmico enviar el nombre del host junto con la nueva direccin IP de la interfaz.

Nombre del Dominio


Introduzca un nombre de dominio si no se ha configurado uno en Configurar > Tareas adicionales > Propiedades del router > Editar > Dominio, o si desea sobrescribir el nombre de dominio. Cuando actualice la direccin IP de la interfaz, el mtodo de DNS dinmico enviar el nombre de dominio junto con la nueva direccin IP de la interfaz.

Inalmbrica
Si el router tiene una interfaz inalmbrica, puede iniciar la aplicacin inalmbrica desde esta ficha. Tambin puede iniciar la aplicacin inalmbrica desde el men Herramientas si selecciona Herramientas > Aplicacin inalmbrica.

Asociacin
Utilice esta ventana para ver, crear, editar o eliminar asociaciones entre interfaces y reglas o conexiones VPN.

Interfaz
El nombre de la interfaz seleccionada en la ventana Interfaces y conexiones.

Zona
Si esta interfaz es miembro de una zona de seguridad, el nombre de la zona aparece en este campo. Si desea incluir esta interfaz en una zona de seguridad, haga clic en el botn ubicado a la derecha del campo, elija Seleccionar una zona, y especifique la zona en el dilogo que aparece. Si necesita crear una zona nueva, seleccione Crear una zona, especifique un nombre para la zona en el dilogo que aparece y haga clic en Aceptar. El nombre de la zona creada aparece en el campo zona.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-10

OL-9963-04

Captulo 5

Editar interfaz/conexin Asociacin

Regla de acceso
Los nombres o nmeros de las reglas de acceso asociadas con esta interfaz. Dichas reglas permiten o deniegan trfico que coincide con la direccin IP y los criterios de servicio especificados en la regla.
Entrante

El nombre o nmero de una regla de acceso que se aplica al trfico entrante en esta interfaz. Si desea aplicar una regla, haga clic en el botn ... y seleccione una regla de acceso existente. O bien, puede crear una nueva regla de acceso y seleccionarla. Cuando una regla se aplica al trfico entrante de una interfaz, filtra el trfico antes de que ste haya entrado en el router. Se abandonan todos los paquetes no permitidos por la regla y no volvern a enrutarse a ninguna otra interfaz. Al aplicar una regla a la direccin entrante de una interfaz, no slo impide su entrada en una red fiable conectada al router, sino que tambin impide que el router local la enrute hacia cualquier otro lugar.
Saliente

El nombre o nmero de una regla de acceso que se aplica al trfico saliente en esta interfaz. Si desea aplicar una regla, haga clic en el botn ... y seleccione una regla de acceso existente. O bien, puede crear una nueva regla de acceso y seleccionarla. Cuando una regla se aplica al trfico saliente de una interfaz, filtra el trfico despus de que ste entre en el router pero antes de que haya salido de la interfaz. Se abandonan todos los paquetes no permitidos por la regla antes de que salgan de la interfaz.

Regla de inspeccin
Los nombres de las reglas de inspeccin asociadas con esta interfaz. Las reglas de inspeccin crean agujeros temporales en los firewalls de manera que los hosts dentro del firewall que iniciaron sesiones de cierto tipo puedan recibir trfico de vuelta del mismo tipo.
Entrante

El nombre o nmero de una regla de inspeccin que se aplica al trfico entrante de esta interfaz. Si desea aplicar una regla entrante, haga clic en el men desplegable Entrante y seleccione una regla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-11

Captulo 5 Asociacin

Editar interfaz/conexin

Saliente

El nombre o nmero de una regla de inspeccin que se aplica al trfico saliente de esta interfaz. Si desea aplicar una regla saliente, haga clic en el men desplegable Saliente y seleccione una regla.

VPN
Las VPN protegen el trfico que se puede transmitir a travs de lneas que no controla la organizacin. Es posible utilizar la interfaz seleccionada en una VPN al asociarla con una poltica IPSec.
Poltica IPsec

La poltica IPSec configurada y asociada con esta interfaz. Para asociar la interfaz con una poltica IPSec, seleccione la poltica de esta lista.

Nota

Una interfaz se puede asociar con una sola poltica IPSec.

Nota

Para crear un tnel GRE sobre IPSec, primero debe asociar la poltica con la interfaz de tnel y, a continuacin, asociarla con la interfaz de origen del tnel. Por ejemplo, para asociar una poltica con el Tnel3 cuya interfaz de origen es Serie0/0, en primer lugar, seleccione Tnel3 en la ventana Interfaces y conexiones, haga clic en Editar, asocie la poltica con la misma y luego haga clic en Aceptar. A continuacin, seleccione la interfaz Serie0/0 y asciele la misma poltica.
EzVPN

Si la interfaz se utiliza en una conexin Easy VPN, el nombre de la conexin se muestra aqu.

Nota

Una interfaz no puede utilizarse simultneamente en una conexin VPN y en una conexin Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-12

OL-9963-04

Captulo 5

Editar interfaz/conexin NAT

Cambios de asociacin
Cuando usted cambia las propiedades de asociacin de una interfaz, los cambios se reflejan en la parte inferior de la ventana de Editar Interfaz/ Conexin. Por ejemplo, si asocia una poltica IPSec con la interfaz, su nombre se muestra en la parte inferior de la ventana. Si elimina una asociacin, el valor de la columna Valor de elemento cambia a <Ninguno>.

NAT
Si su intencin es utilizar esta interfaz en una configuracin NAT, debe designarla como una interfaz interna o externa. Seleccione la direccin de trfico a la que debe aplicarse NAT. Si la interfaz se conecta a una LAN a la que presta servicio el router, seleccione Interna. Si se conecta a Internet o a la WAN de la organizacin, seleccione Externa. Si ha seleccionado una interfaz que no se puede utilizar en una configuracin NAT como, por ejemplo, una interfaz lgica, se desactivar este campo y figurar el valor No admitido.

Editar puerto del switch


En esta ventana se puede editar la informacin de la LAN virtual para los puertos de switch Ethernet.

Grupo de modo
Seleccione el tipo de informacin de la LAN virtual que debe transmitirse a travs de este puerto de switch Ethernet. Al seleccionar Acceso, el puerto del switch reenviar solamente los datos cuyo destino sea un nmero de LAN virtual especfico. Al seleccionar Trunking (Enlaces), el puerto del switch reenva datos a todas las LAN virtuales, incluidos los datos propios de la LAN virtual. Solamente seleccione Trunking (Enlaces) para enlazar los puertos de la LAN virtual que se conectan a otros dispositivos de red como, por ejemplo, otro switch que se conectar a los dispositivos en varias LAN virtuales.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-13

Captulo 5 Editar puerto del switch

Editar interfaz/conexin

VLAN
Para asignar el puerto del switch a una LAN virtual, especifique el nmero de dicha red a la que debe pertenecer el puerto del switch. Si el puerto del switch no tiene asociada ninguna LAN virtual, este campo mostrar el valor VLAN1 por defecto. Para crear una nueva interfaz de LAN virtual que corresponda al ID de LAN virtual, especifique dicho ID aqu y marque la casilla de verificacin Haga la LAN virtual visible en la lista de interfaces.

Casilla de verificacin Haga la LAN virtual visible en la lista de interfaces


Seleccione esta casilla si desea crear una nueva LAN virtual con el ID de LAN virtual especificado en el campo LAN virtual.

Socio de la pila
Seleccione el mdulo de switch que desea utilizar como el socio de la pila. Cuando un dispositivo contiene varios mdulos de switch, stos deben apilarse antes de los dems socios de la pila.

Nmero de Grupo Bridge


Si desea que este puerto de switch forme parte de un bridge a una red inalmbrica, especifique el nmero de un grupo bridge existente.

Velocidad
Elija la velocidad para que coincida con la red a la que se conectar el puerto de switch. O bien, seleccione automtico para que la velocidad se establezca automticamente en el valor ptimo.

Dplex
Seleccione full o half, o automtica para que el dplex se establezca automticamente para que coincida con la red a la que se conectar el puerto de switch. Si Velocidad est definida en automtica, Dplex estar desactivado.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-14

OL-9963-04

Captulo 5

Editar interfaz/conexin Servicio de aplicacin

Alimentacin de entrada
La lista desplegable Alimentacin de entrada aparece si el puerto del switch admite una fuente de alimentacin de entrada. Elija uno de los valores siguientes:

automtico: detecta automticamente los dispositivos de alimentacin de entrada. nunca: nunca aplica la alimentacin de entrada.

Servicio de aplicacin
Esta ventana permite asociar polticas QoS y supervisin de aplicaciones y protocolos a la interfaz seleccionada.

Calidad de servicio (QoS)


Para asociar una poltica QoS a la interfaz en la direccin entrante, seleccione una poltica QoS en el men desplegable Entrante. Para asociar una poltica QoS a la interfaz en la direccin saliente, seleccione una poltica QoS en el men desplegable Saliente. Las estadsticas de QoS para la interfaz pueden supervisarse yendo a Supervisar > Estado del trfico > QoS.

Netflow
Para asociar la supervisin de las estadsticas de Netflow a la interfaz en la direccin entrante, seleccione la casilla de verificacin Entrante. Para asociar la supervisin de las estadsticas de Netflow a la interfaz en la direccin saliente, seleccione la casilla de verificacin Saliente. Las estadsticas de Netflow para la interfaz pueden supervisarse yendo a Supervisar > Estado de la interfaz. Los usuarios ms activos de la red y los protocolos que generan ms trfico de Netflow pueden supervisarse en Supervisar > Estado del trfico > N flujos de trfico ms activos.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-15

Captulo 5 General

Editar interfaz/conexin

NBAR
Para asociar el Reconocimiento de aplicaciones basadas en la red (NBAR) a la interfaz, seleccione la casilla de verificacin Protocolo NBAR. Las estadsticas de NBAR para la interfaz pueden supervisarse en Supervisar > Estado del trfico > Trfico de aplicaciones/protocolos.

General
En esta ventana se muestra la configuracin de seguridad general y se permite activarla o desactivarla al marcar o desmarcar la casilla de verificacin situada junto al nombre y la descripcin. Si ha habilitado la funcin Auditora de seguridad para desactivar determinadas propiedades y desea volver a activarlas, puede hacerlo en esta ventana. En esta pantalla se muestran las propiedades siguientes:

Descripcin
En este campo usted podr introducir una breve descripcin de la configuracin de la interfaz. Esta descripcin es visible en la ventana de Editar Interfaces y Conexiones. Una descripcin, tal como Contabilidad o Red 5 de prueba, puede ayudar a otros usuarios de Cisco SDM a comprender el propsito de la configuracin.

Difusiones dirigidas por IP


Una difusin dirigida por IP es un datagrama que se enva a la direccin de difusin de una subred a la que la mquina que realiza el envo no est conectada directamente. La difusin dirigida se enruta a travs de la red como un paquete de unidifusin hasta que alcanza la subred de destino, donde se convierte en una difusin de capa de enlace. Debido a la naturaleza de la arquitectura de direcciones IP, solamente el ltimo router de la cadena (el que se conecta directamente a la subred de destino) puede identificar de manera concluyente una difusin dirigida. Las difusiones dirigidas a veces se utilizan por motivos legtimos, pero este tipo de uso no es comn fuera del sector de servicios financieros.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-16

OL-9963-04

Captulo 5

Editar interfaz/conexin General

Las difusiones dirigidas por IP se utilizan para los comunes y populares ataques smurf de denegacin de servicio y tambin pueden utilizarse en ataques relacionados. En un ataque smurf, el atacante enva solicitudes de eco ICMP desde una direccin de origen falsificada a una direccin de difusin dirigida, lo que hace que todos los hosts de la subred de destino enven respuestas al origen falsificado. Al enviar un flujo continuo de tales solicitudes, el atacante puede crear un flujo de respuesta mucho ms grande, que puede inundar completamente al host cuya direccin est siendo falsificada. Desactivar las difusiones dirigidas por IP excluye a las difusiones dirigidas que de otro modo revertiran a nivel de enlace en esa interfaz.

ARP Proxy IP
La red utiliza ARP para convertir direcciones IP en direcciones MAC. Normalmente, ARP se limita a una sola LAN, pero un router puede funcionar como proxy para las peticiones ARP, lo que hace que las consultas ARP estn disponibles en varios segmentos LAN. Puesto que rompe la barrera de seguridad de la LAN, el ARP proxy slo debe utilizarse entre dos LAN con el mismo nivel de seguridad, y slo cuando sea necesario.

Flujo de cach por ruta IP


Esta opcin activa la funcin Netflow de Cisco IOS. Al usar Netflow, puede determinar la distribucin de paquetes, la distribucin de protocolos y los flujos actuales de los datos en el router. Esta informacin es til para ciertas tareas tales como buscar el origen de un ataque tipo spoof a la direccin IP.
Nota

La opcin Flujo de cach por ruta IP activa Netflow en el trfico entrante y saliente. Para activar Netflow en el trfico entrante o saliente, use las opciones de Netflow disponibles en la ficha Servicio de aplicacin.

Redireccionamiento IP
Los mensajes de redireccionamiento de ICMP instruyen a un nodo final a usar un router especfico como parte de su ruta a un destino en particular. En una red de IP que funciona apropiadamente, un router enva redireccionamientos solamente a los hosts en sus propias subredes locales, y ningn nodo final enviar nunca un redireccionamiento, y ningn redireccionamiento negar nunca ms de un salto de la red. Sin embargo, un atacante podra violar estas reglas. Desactivar los redireccionamientos de ICMP no tiene ningn efecto negativo en la red y puede eliminar los ataques de redireccionamiento.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-17

Captulo 5 Seleccionar el tipo de configuracin Ethernet

Editar interfaz/conexin

Respuesta a la mscara de IP
Los mensajes de respuesta de mscara ICMP se envan cuando un dispositivo de red debe conocer la mscara de subred para una subred determinada en la interred. Dichos mensajes se envan al dispositivo que solicita informacin mediante los dispositivos que disponen de la informacin solicitada. Un atacante puede utilizar dichos mensajes para obtener informacin de asignacin de la red.

IP de destino inalcanzables
Los mensajes de host inalcanzable ICMP se envan si un router recibe un paquete de no difusin que utiliza un protocolo desconocido o si un router recibe un paquete que no puede entregar al destino final porque no conoce ninguna ruta hacia la direccin de destino. Un atacante puede utilizar dichos mensajes para obtener informacin de asignacin de la red.

Seleccionar el tipo de configuracin Ethernet


Esta ventana se muestra cuando usted hace clic en una interfaz en la ventana Interfaces y conexiones, y Cisco SDM no puede determinar si la interfaz est configurada como una interfaz LAN o como una interfaz WAN. Al configurar una interfaz mediante Cisco SDM, se designa como una interfaz interna o externa y Cisco SDM agrega un comentario descriptivo al archivo de configuracin en funcin de dicha designacin. Si configura una interfaz mediante la interfaz de lnea de comandos (CLI), la configuracin no incluir este comentario descriptivo y Cisco SDM no dispondr de dicha informacin.

Para indicar que la interfaz es una interfaz LAN:


Haga clic en LAN y, a continuacin, en Aceptar. Cisco SDM agrega la lnea de comentario $ETH-LAN$ a la configuracin de la interfaz, y la interfaz aparece en la ventana del asistente para LAN con la designacin Interna en la ventana Interfaces y conexiones.

Para indicar que la interfaz es una interfaz WAN:


Haga clic en WAN y, a continuacin, en Aceptar. Cisco SDM agrega la lnea de comentario $ETH-WAN$ a la configuracin de la interfaz, y la interfaz aparece en la ventana del asistente para WAN con la designacin Externa en la ventana Interfaces y conexiones.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-18

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: VLAN

Conexin: VLAN
Esta ventana le permite configurar una interfaz VLAN.

ID de LAN virtual
Introduzca el nmero de identificacin de la nueva interfaz de VLAN. Si usted est editando una interfaz de VLAN, usted no puede cambiar el identificador de VLAN.

Casilla de verificacin VLAN nativa


Verifique si la VLAN es una VLAN sin troncal.

Campos de Direccin IP
Tipo de direccin IP de la interfaz

Indique si esta interfaz de LAN virtual dispondr de una direccin IP esttica o si no tendr ninguna direccin IP. Este campo es visible cuando se selecciona Slo VLAN en el campo Configurar como.
Direccin IP

Especifique la direccin IP de la interfaz de LAN virtual.


Mscara de subred

Especifique la mscara de subred de la interfaz LAN virtual o utilice el campo para indicar el nmero de bits de subred.
Rel DHCP

Para obtener ms informacin, haga clic en DHCP Relay.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-19

Captulo 5 Lista de subinterfaces

Editar interfaz/conexin

Lista de subinterfaces
Esta ventana muestra los subinterfaces configurados para la interfaz que usted escogi, y le permite agregar, editar, y quitar los subinterfaces configurados. Para cada subinterfaz configurada, la ventana muestra la identificacin de la Subinterfaz, la identificacin de la VLAN, la direccin IP y la mscara, y una descripcin, si se introdujo una. Por ejemplo, si el router tuviera la interfaz FastEthernet 1, y estn configuradas las Subinterfaces FastEthernet1.3 y FastEthernet1.5, esta ventana podra mostrar lo siguiente:
5 3 56 67 56.8.1.1/255.255.255.0 Nro. de puente 77

En este ejemplo, FastEthernet1.5 est configurada para enrutamiento, y FastEthernet1.3 est configurada para IRB.

Nota

Usted debe escoger la interfaz fsica en la que los subinterfaces estn configurados. para mostrar esta ventana. Para el ejemplo descrito, tendra que escoger FastEthernet 1 para mostrar esta ventana. Si usted escogi FastEthernet1.3 o FastEthernet1.5 e hizo clic en edicin, mostrar el dilogo de edicin con la informacin para esa interfaz.

Botones Agregar, Editar y Eliminar


Use estos botones para configurar, editar, y eliminar subinterfaces de la interfaz fsica elegida.

Agregar/Editar una interfaz BVI


En esta ventana puede agregar o editar una Interfaz virtual de grupo bridge (BVI). Si el router tiene una interfaz Dot11Radio, se crea automticamente una BVI cuando configura el nuevo grupo bridge. Esto se hace para admitir el establecimiento de bridges IRB. Puede cambiar la direccin IP y la mscara de subred en esta ventana.

Direccin IP/mscara de subred


Especifique la direccin IP y la mscara de subred que desea otorgar a la BVI.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-20

OL-9963-04

Captulo 5

Editar interfaz/conexin Agregar o editar una interfaz de retrobucle

Agregar o editar una interfaz de retrobucle


Esta ventana permite agregar una interfaz de retrobucle a la interfaz seleccionada.

Direccin IP
Seleccione si la interfaz de retrobucle debe disponer de una direccin IP esttica o si no debe tener ninguna direccin IP.
Direccin IP esttica

Si ha seleccionado Direccin IP esttica, especifquela en este campo.


Mscara de subred

Especifique en este campo la mscara de subred o seleccione el nmero de bits de subred del campo situado a la derecha. La mscara de subred indica al router cules bits de la direccin IP designan la direccin de la red y qu bits designan la direccin del host.

Conexin: Interfaz de plantilla virtual


Puede agregar o editar una VTI como parte de una configuracin 802.1x o VPN. Cuando edita una VTI, los campos que puede editar aparecen en la ficha Conexin.

Tipo de interfaz
Seleccione por defecto o tnel. Si selecciona tnel, tambin debe seleccionar un modo tnel.

Direccin IP
Seleccione No numerado. La VTI utiliza la direccin IP de la interfaz fsica seleccionada en el campo No numerado en.

No numerado en
Este campo aparece cuando selecciona No numerado en el campo Direccin IP. Seleccione la interfaz cuya direccin IP desea que use esta VTI.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-21

Captulo 5 Conexin: LAN Ethernet

Editar interfaz/conexin

Modo tnel
Seleccione IPSec-IPv4.

Conexin: LAN Ethernet


Utilice esta ventana para configurar la Direccin IP y las propiedades de DHCP de una interfaz Ethernet que desee utilizar como una interfaz LAN.

Direccin IP
Especifique una direccin IP para esta interfaz. El valor de la direccin IP se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Mscara de subred
Especifique la mscara de subred. Obtenga este valor del administrador de redes. La mscara de subred permite que el router determine qu porcin de la direccin IP se utilizar para definir la parte de red y subred de la direccin.

DHCP Relay
Haga clic en este botn para permitir que el router funcione como un DHCP relay. Un dispositivo que funciona como un DHCP reenva solicitudes DHCP a un servidor DHCP. Cuando un dispositivo requiere una direccin IP asignada dinmicamente, ste enva una solicitud DHCP. Un servidor DHCP responde a esta solicitud con una direccin IP. Puede haber un mximo de un DHCP relay o un servidor DHCP por subred.

Nota

Si el router se configur para que funcione como un DHCP relay con ms de una direccin IP de servidor remoto DHCP, este botn estar desactivado.
Direccin IP del servidor DHCP remoto

Si ha hecho clic en DHCP Relay, especifique la direccin IP del servidor DHCP que proporcionar las direcciones a los dispositivos de la LAN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-22

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: WAN Ethernet

Conexin: WAN Ethernet


Esta ventana permite agregar una conexin WAN Ethernet.

Activar encapsulacin PPPoE


Haga clic en esta opcin si la conexin debe usar el protocolo Punto A Punto Sobre Encapsulacin de Ethernet (PPPoE, Point-to-Point Protocol over Ethernet). El proveedor de servicios puede indicarle si la conexin utiliza PPPoE. Al configurar una conexin PPPoE, se crea una interfaz de marcacin automticamente.

Direccin IP
Seleccione uno de los siguientes tipos de direcciones IP y especifique la informacin en los campos que aparecen. Si la conexin Ethernet no utiliza PPPoE, slo aparecern las opciones Direccin IP esttica y Direccin IP dinmica.
Direccin IP esttica

Si selecciona Direccin IP esttica, introduzca la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Dinmica (cliente DHCP)

Si selecciona Dinmica, el router aceptar una direccin IP de un servidor DHCP remoto. Especifique el nombre del servidor DHCP del que se cedern las direcciones.
IP no numerado

Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya est asignada a otra interfaz. Luego escoja la interfaz cuya direccin IP de esta interfaz es para compartir.
IP simple (IP negociado)

Seleccione esta opcin si el router debe obtener una direccin IP a travs de la negociacin de direcciones PPP/IPCP (Point-to-Point Protocol/IP Control Protocol).

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-23

Captulo 5 Conexin: WAN Ethernet

Editar interfaz/conexin

Autenticacin
Haga clic en este botn para especificar la informacin de contrasea de autenticacin de CHAP/PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-24

OL-9963-04

Captulo 5

Editar interfaz/conexin Ethernet Properties (Propiedades de Ethernet)

Ethernet Properties (Propiedades de Ethernet)


Esta ventana permite configurar las propiedades para un enlace de WAN Ethernet.

Activar encapsulacin PPPoE


Haga clic en Activar encapsulacin PPPoE si el proveedor de servicios requiere el uso de dicha opcin. PPPoE especifica el protocolo punto a punto sobre la encapsulacin de Ethernet.

Direccin IP
Direccin IP esttica

Disponible con encapsulacin PPPoE y sin encapsulacin. Si selecciona Direccin IP esttica, introduzca la direccin IP y la mscara de subred o los bits de la red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Dinmica (cliente DHCP)

Disponible con encapsulacin PPPoE y sin encapsulacin. Si selecciona Dinmica, el router aceptar una direccin IP de un servidor DHCP remoto. Especifique el nombre del servidor DHCP que asignar las direcciones.
IP no numerado

Disponible con encapsulacin PPPoE. Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP de esta interfaz es para compartir.
IP simple (IP negociado)

Disponible con encapsulacin PPPoE. Seleccione IP simple (IP negociado) cuando el router obtendr una direccin IP a travs de la negociacin de direcciones PPP/IPCP.

Autenticacin
Haga clic en este botn para especificar la informacin de contrasea de autenticacin de CHAP/PAP.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-25

Captulo 5 Ethernet Properties (Propiedades de Ethernet)

Editar interfaz/conexin

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-26

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Ethernet sin encapsulacin

Conexin: Ethernet sin encapsulacin


Use esta ventana para configurar una conexin de Ethernet sin encapsulacin.

Direccin IP
Seleccione cmo el router obtendr una Direccin IP para este enlace.

Direccin IP esttica: si selecciona esta opcin, especifique la direccin IP y la mscara de subred o los bits de red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred. Direccin IP dinmica: si selecciona esta opcin, el router aceptar una direccin IP de un servidor DHCP remoto. A continuacin, especifique el nombre o la direccin IP del servidor DHCP.

Nombre del Host


Si el proveedor de servicios inserta un nombre de host para el router en la respuesta DHCP que contiene la direccin IP dinmica, puede especificar dicho nombre en este campo con fines informativos.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-27

Captulo 5 Conexin: ADSL

Editar interfaz/conexin

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Conexin: ADSL
Esta ventana permite especificar o editar las propiedades de un enlace PPPoE compatible con una conexin ADSL.

Encapsulacin
Seleccione el tipo de encapsulacin que se utilizar para este enlace.

PPPoE especifica el protocolo punto a punto sobre la encapsulacin de Ethernet. PPPoA especifica la encapsulacin del protocolo punto a punto sobre ATM. Enrutamiento RFC1483 (AAL5SNAP) especifica que cada PVC puede llevar varios protocolos. Enrutamiento RFC1483 (AAL5MUX) especifica que cada PVC puede contener un solo tipo de protocolo.

Si est modificando una conexin, la encapsulacin se muestra pero no se puede editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario. Para obtener ms informacin acerca de los tipos de encapsulacin, haga clic Encapsulacin.

Identificador de la ruta virtual


El identificador de ruta virtual (VPI) se utiliza en la conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una variedad de conexiones. Especifique el valor VPI que le ha proporcionado el proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-28

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: ADSL

Identificador de circuito virtual


El Identificador de Circuito Virtual (VCI, Virtual Circuit Identifier) se usa en la conmutacin y enrutamiento de ATM para identificar una conexin en particular dentro de una ruta que su conexin pueda compartir con otras conexiones. Introduzca el valor del VCI dado a usted por su proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Direccin IP
Seleccione cmo el router obtendr una Direccin IP para este enlace.

Direccin IP esttica: si selecciona esta opcin, especifique la direccin IP y la mscara de subred o los bits de red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred. Direccin IP dinmica: si selecciona esta opcin, el router aceptar una direccin IP de un servidor DHCP remoto. A continuacin, especifique el nombre o la direccin IP del servidor DHCP. Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP de esta interfaz es para compartir. IP negociado: esta interfaz obtendr una direccin IP mediante la negociacin de direcciones PPP/IPCP.

Nombre de host
Si el proveedor de servicios le ha proporcionado un nombre de host para la opcin DHCP 12, especifquelo aqu.

Modo operativo
Elija uno de los valores siguientes:

Automtico: configura la lnea de la Lnea de Suscriptor Digital Asimtrica (ADSL, Asymmetric Digital Subscriber Line) despus de autonegociar con el Multiplexor de Acceso a la Lnea de Suscriptor Digital (DSLAM, Digital Subscriber Access Line Multiplexer) (DSLAM) ubicada en la oficina central. ansi-dmt: configura la lnea ADSL para prepararla en el modo ANSI T1.413 modo de conflicto 2.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-29

Captulo 5 Conexin: ADSL

Editar interfaz/conexin

itu-dmt: configura la lnea ADSL para prepararla en el modo de ITU G.992.1. adls2: configura la lnea ADSL para que funcione en el modo de ITU G.992.3. Este modo est disponible para/b HWIC-ADSL-B/ST, HWIC-ADSLI-B/ST, HWIC-1ADSL, y los mdulos de red de HWIC-1ADSLI ADSL. adsl2+: configura la lnea ADSL para que funcione en el modo de ITU G.992.4. Este modo est disponible para/b HWIC-ADSL-B/ST, HWIC-ADSLI-B/ST, HWIC-1ADSL, y los mdulos de red de HWIC-1ADSLI ADSL. splitterless: configure la lnea ADSL para prepararla en el modo G.Lite. Este mdulo est disponible para mdulos de red ADSL ms antiguos tales como el WIC-1ADSL.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.
Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-30

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: ADSL sobre ISDN (RDSI)

Enable Multilink PPP (Activar PPP multienlace)


Marque esta casilla de verificacin si desea usar el Protocolo de punto a punto multienlace (Multilinnk Point-to-Point Protocol, MLP) con esta interfaz. MLP puede mejorar el rendimiento de una red con varias conexiones WAN utilizando la funcionalidad de equilibrado de carga, la fragmentacin de paquetes, el ancho de banda a peticin y otras funciones.

Conexin: ADSL sobre ISDN (RDSI)


Agregue o modifique una conexin ADSL sobre ISDN (RDSI) en esta ventana.

Encapsulacin
Seleccione el tipo de encapsulacin que se utilizar para este enlace.

PPPoE especifica el protocolo punto a punto sobre la encapsulacin de Ethernet. Enrutamiento RFC1483 (AAL5SNAP) especifica que cada PVC puede contener varios protocolos. Enrutamiento RFC1483 (AAL5MUX) especifica que cada PVC puede contener un solo tipo de protocolo.

Si est modificando una conexin, la encapsulacin se muestra pero no se puede editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario.

Identificador de la ruta virtual


El identificador de ruta virtual (VPI) se utiliza en la conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una variedad de conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-31

Captulo 5 Conexin: ADSL sobre ISDN (RDSI)

Editar interfaz/conexin

Identificador de circuito virtual


El Identificador de Circuito Virtual (VCI, Virtual Circuit Identifier) se usa en la conmutacin y enrutamiento de ATM para identificar una conexin en particular dentro de una ruta que su conexin pueda compartir con otras conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Direccin IP
Seleccione cmo el router obtendr una Direccin IP para este enlace.

Direccin IP esttica: si selecciona esta opcin, especifique la direccin IP y la mscara de subred o los bits de red en los campos proporcionados. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred. Direccin IP dinmica: si selecciona esta opcin, el router aceptar una direccin IP de un servidor DHCP remoto. A continuacin, especifique el nombre o la direccin IP del servidor DHCP. Seleccione IP no numerado cuando desee que la interfaz comparta una direccin IP que ya se ha asignado a otra interfaz. Luego escoja la interfaz cuya direccin IP de esta interfaz es para compartir. IP negociado: esta interfaz obtendr una direccin IP mediante la negociacin de direcciones PPP/IPCP.

Modo operativo
Seleccione el modo que la lnea ADSL debe utilizar para la preparacin.

Nota

Si la versin de Cisco IOS que se est ejecutando en el router no admite los cinco modos operativos, se mostrarn solamente las opciones que corresponden a los modos operativos compatibles con dicha versin.

annexb: modo Anexo B estndar de ITU-T G.992.1. annexb-ur2: modo Anexo B de ITU-T G.992.1.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-32

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: ADSL sobre ISDN (RDSI)

Automtico: configura la lnea de la Lnea de Suscriptor Digital Asimtrica (ADSL, Asymmetric Digital Subscriber Line) despus de autonegociar con el Multiplexor de Acceso a la Lnea de Suscriptor Digital (DSLAM, Digital Subscriber Access Line Multiplexer) (DSLAM) ubicada en la oficina central. etsi: modo del ETSI (European Telecommunications Standards Institute). multimodo: modo elegido por el firmware para la mejor condicin operativa en la Lnea de Suscriptor Digital (DSL, Digital Subscriber Line). El modo final puede ser tanto modo ETSI como el modo Anexo-B estndar dependiendo de la configuracin del DSLAM actual.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-33

Captulo 5 Conexin: G.SHDSL

Editar interfaz/conexin

Enable Multilink PPP (Activar PPP multienlace)


Marque esta casilla de verificacin si desea usar el Protocolo de punto a punto multienlace (Multilinnk Point-to-Point Protocol, MLP) con esta interfaz. MLP puede mejorar el rendimiento de una red con varias conexiones WAN utilizando la funcionalidad de equilibrado de carga, la fragmentacin de paquetes, el ancho de banda a peticin y otras funciones.

Conexin: G.SHDSL
Esta ventana permite crear o modificar una conexin G.SHDSL.
Nota

Si la conexin que usted est configurando usa un controlador de DSL, los campos de Tipo de Equipo y Modo Operativo no aparecern en el cuadro de dilogo.

Encapsulacin
Seleccione el tipo de encapsulacin que se utilizar para este enlace.

PPPoE especifica el protocolo punto a punto sobre la encapsulacin de Ethernet. PPPoA especifica la encapsulacin del protocolo punto a punto sobre ATM. Enrutamiento RFC 1483 (AAL5SNAP) especifica que cada PVC puede contener varios protocolos. Enrutamiento RFC1483 (AAL5MUX) especifica que cada PVC puede contener un solo tipo de protocolo.

Si est modificando una conexin, la encapsulacin se muestra pero no se puede editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario. Para obtener ms informacin acerca de los tipos de encapsulacin, haga clic Encapsulacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-34

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: G.SHDSL

Identificador de la ruta virtual


El identificador de ruta virtual (VPI) se utiliza en la conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una variedad de conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Identificador de circuito virtual


El Identificador de Circuito Virtual (VCI, Virtual Circuit Identifier) se usa en la conmutacin y enrutamiento de ATM para identificar una conexin en particular dentro de una ruta que su conexin pueda compartir con otras conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Direccin IP
Seleccione cmo el router obtendr una direccin IP para este enlace. Los campos que aparecen en esta rea cambian en funcin del tipo de encapsulacin seleccionado. El proveedor de servicios o administrador de redes deben proporcionar el mtodo que debe utilizar el router para obtener una direccin IP.
Direccin IP esttica

Si selecciona Direccin IP esttica, introduzca la direccin que utilizar la interfaz y la mscara de subred o los bits de la red. Esta informacin se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-35

Captulo 5 Conexin: G.SHDSL

Editar interfaz/conexin

Direccin IP dinmica

Si selecciona esta opcin, la interfaz obtendr una direccin IP de un servidor DHCP de la red. Si el servidor DHCP utiliza la opcin DHCP 12, ste enva un nombre de host para el router, junto con la direccin IP que debe utilizar. Para determinar el nombre de host enviado, consulte con el proveedor de servicios o administrador de redes.
IP no numerado

Seleccione esta opcin si desea que la interfaz comparta una direccin IP con una interfaz Ethernet en el router. Si la selecciona, en la lista desplegable debe especificar la interfaz Ethernet cuya direccin desee utilizar.

Direccin IP de la conexin remota en la oficina central


Especifique la Direccin IP del sistema de gateway al que se conectar este enlace. Esta direccin IP la proporciona el proveedor de servicios o el administrador de redes. El gateway es el sistema al que el router debe conectarse para obtener acceso a Internet o a la WAN de la organizacin.

Tipo de equipamiento
Seleccione uno de los valores siguientes:
CPE

Equipo del sitio del cliente. Si el tipo de encapsulacin es PPPoE, CPE se selecciona automticamente y el campo aparece desactivado.
CO

Oficina central.

Modo operativo
Seleccione uno de los valores siguientes:
Anexo A (sealizacin EUA)

Permite configurar los parmetros operativos regionales para Amrica del Norte.
Anexo B (sealizacin Europa)

Permite configurar los parmetros operativos regionales para Europa.


Gua del usuario de Cisco Router and Security Device Manager 2.4

5-36

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: G.SHDSL

Enable Multilink PPP (Activar PPP multienlace)


Marque esta casilla de verificacin si desea usar el Protocolo de punto a punto multienlace (Multilinnk Point-to-Point Protocol, MLP) con esta interfaz. MLP puede mejorar el rendimiento de una red con varias conexiones WAN utilizando la funcionalidad de equilibrado de carga, la fragmentacin de paquetes, el ancho de banda a peticin y otras funciones.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-37

Captulo 5 Configurar controlador DSL

Editar interfaz/conexin

Configurar controlador DSL


Cisco SDM admite la configuracin del WIC-1SHDSL-V2 de Cisco. Este WIC admite una conexin TI, E1 o G.SHDSL sobre una interfaz ATM. Cisco SDM slo admite una conexin G.SHDSL a travs de una interfaz ATM. Esta ventana permite establecer en ATM el modo de controlador en el WIC, lo que activa la conexin. Tambin permite crear o modificar la informacin acerca del controlador DSL para la conexin G.SHDSL.

Modo de controlador
Cisco SDM admite solamente el modo ATM, lo que proporciona servicio para una conexin G.SHDSL, en este controlador. Al hacer clic en el botn Aceptar, este campo se establecer automticamente en el modo ATM.

Tipo de equipamiento
Seleccione si la conexin termina en la oficina central (CO) o en el equipo del sitio del cliente (CPE).

Modo operativo
Seleccione si la conexin DSL debe utilizar la sealizacin Anexo A (para las conexiones DSL en EE.UU.) o Anexo B (para conexiones DSL en Europa).

Modo de lnea
Seleccione si se trata de una conexin G.SHDSL de 2 4 cables.

Nmero de lnea
Seleccione el nmero de interfaz en el que se realizar la conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-38

OL-9963-04

Captulo 5

Editar interfaz/conexin Configurar controlador DSL

Tasa de lnea
Seleccione la velocidad de lnea DSL para el puerto G.SHDSL. Si ha seleccionado una conexin de 2 cables, puede seleccionar auto (autom.), con lo que se configura la interfaz para que realice automticamente la negociacin de la velocidad de lnea entre el puerto G.SHDSL y el DSLAM, o la velocidad de lnea DSL real. Las velocidades de lnea admitidas son 200, 264, 392, 520, 776, 1032, 1160, 1544, 2056 y 2312. Si ha seleccionado una conexin de 4 cables, debe seleccionar una velocidad de lnea fija. Las velocidades de lnea admitidas para una conexin de 4 cables son 384, 512, 640, 768, 896, 1024, 1152, 1280, 1408, 1664, 1792, 1920, 2048, 2176, 2304, 2432, 2688, 2816, 2944, 3072, 3200, 3328, 3456, 3584, 3712, 3840, 3968, 4096, 4224, 4352, 4480 y 4608.

Nota

Si se configuran velocidades de lnea DSL diferentes en los extremos opuestos del enlace ascendente DSL, la velocidad de lnea real siempre es la velocidad ms baja.

Activar margen del ndice de sonido a ruido


La relacin seal-ruido proporciona un umbral para el mdem DSL con el fin de determinar si debe reducir o aumentar la salida de potencia en funcin de la cantidad de ruido en la conexin. Si ha establecido la velocidad de lnea en auto (autom.), puede activar esta funcin para maximizar la calidad de la conexin DSL. Tenga en cuenta que esta funcin no puede utilizarse si la velocidad de lnea es fija. Para activar La relacin seal-ruido, marque esta casilla de verificacin y seleccione los mrgenes de ndice en los campos Vigente y Snext. Para desactivarla, desmarque la casilla.
Vigente

Seleccione el margen de la relacin seal-ruido en decibelios para la conexin vigente. Cuanto ms bajo sea el ndice, mayor ser el ruido que se tolerar en la conexin. Una configuracin inferior de decibelios har que el mdem DSL permita una mayor cantidad de ruido en la lnea, lo que posiblemente resultar en una conexin de menor calidad pero con un mayor rendimiento. Una configuracin superior de decibelios har que el mdem restrinja el ruido, lo que posiblemente resultar en una conexin de mayor calidad pero con un rendimiento inferior.
Snext

Seleccione el margen de la relacin seal-ruido de autoparadiafona (Snext) en la forma de decibelios.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-39

Captulo 5 Agregar una conexin G.SHDSL

Editar interfaz/conexin

Conexiones DSL
Este campo muestra todas las conexiones G.SHDSL configuradas actualmente en este controlador. Para configurar una nueva conexin G.SHDSL, haga clic en Agregar. Aparecer la pgina Agregar una conexin G.SHDSL en la que podr configurar la nueva conexin. Para editar una conexin G.SHDSL existente, seleccione la conexin en este campo y haga clic en Editar. Aparecer tambin la pgina Agregar una conexin G.SHDSL en la que podr editar la configuracin de la conexin. Para eliminar una conexin, seleccinela en este campo y haga clic en Eliminar.

Agregar una conexin G.SHDSL


Esta ventana permite crear o modificar una conexin G.SHDSL.

Encapsulacin
Seleccione el tipo de encapsulacin que se utilizar para este enlace.

PPPoE especifica el protocolo punto a punto sobre la encapsulacin de Ethernet. PPPoA especifica la encapsulacin del protocolo punto a punto sobre ATM. Enrutamiento RFC 1483 (AAL5SNAP) especifica que cada PVC puede contener varios protocolos. Enrutamiento RFC1483 (AAL5MUX) especifica que cada PVC contendr un solo tipo de protocolo.

Si est modificando una conexin, la encapsulacin se muestra pero no se puede editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario.

Identificador de la ruta virtual


El identificador de ruta virtual (VPI) se utiliza en la conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una variedad de conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-40

OL-9963-04

Captulo 5

Editar interfaz/conexin Agregar una conexin G.SHDSL

Identificador de circuito virtual


El identificador de circuito virtual (VCI) se utiliza en la conmutacin y el enrutamiento ATM para identificar una conexin especfica dentro de una ruta que posiblemente comparte con otras conexiones. Este valor se obtiene del proveedor de servicios. Si est modificando una conexin existente, este campo aparece desactivado. Si necesita cambiar este valor, elimine la conexin y vuelva a crearla con el valor necesario.

Direccin IP
Seleccione cmo el router obtendr una direccin IP para este enlace. Los campos que aparecen en esta rea cambian en funcin del tipo de encapsulacin seleccionado. El proveedor de servicios o administrador de redes debe proporcionar el mtodo que debe utilizar el router para obtener una direccin IP.
Direccin IP esttica

Si selecciona esta opcin, especifique la direccin que utilizar la interfaz y la mscara de subred o bits de red. Esta informacin se obtiene del proveedor de servicios o del administrador de redes. Si desea obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Direccin IP dinmica

Si selecciona esta opcin, la interfaz obtendr una direccin IP de un servidor DHCP de la red. Si el servidor DHCP utiliza la opcin DHCP 12, ste enva un nombre de host para el router, junto con la direccin IP que debe utilizar. Para determinar el nombre de host enviado, consulte con el proveedor de servicios o administrador de redes.
IP no numerado

Seleccione esta opcin si desea que la interfaz comparta una direccin IP con una interfaz Ethernet en el router. Si la selecciona, en la lista desplegable debe especificar la interfaz Ethernet cuya direccin desee utilizar.

Descripcin
Introduzca una descripcin de esta conexin que sea fcil de reconocer y administrar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-41

Captulo 5 Agregar una conexin G.SHDSL

Editar interfaz/conexin

Enable Multilink PPP (Activar PPP multienlace)


Marque esta casilla de verificacin si desea usar el Protocolo punto a punto multienlace (Multilinnk Point-to-Point Protocol, MLP) con esta interfaz. MLP puede mejorar el rendimiento de una red con varias conexiones WAN utilizando la funcionalidad de equilibrado de carga, la fragmentacin de paquetes, el ancho de banda a peticin y otras funciones.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparecer si se admite por la edicin de IOS de su servidor de Cisco. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente para usar. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-42

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Interfaz de serie, encapsulacin Frame Relay

Conexin: Interfaz de serie, encapsulacin Frame Relay


Si est configurando una subinterfaz de serie para la encapsulacin Frame Relay, complete estos campos. Si va a editar una conexin o a crear una en la ventana Editar interfaz/conexin, se mostrar la encapsulacin pero no se podr editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario.

Encapsulacin
Frame Relay seleccionado.

Direccin IP
Seleccione Direccin IP esttica o IP no numerado.
Direccin IP

Si ha seleccionado Direccin IP esttica, especifique la Direccin IP para esta interfaz. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Si ha seleccionado Direccin IP esttica, especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la subred. El administrador de red o proveedor de servicios proporcionan el valor de la mscara de subred o los bits de red.
Bits de subred

Como alternativa, especifique los bits de red para indicar qu porcin de la direccin IP corresponde a la direccin de red.
IP no numerado

Si selecciona IP no numerado, la interfaz compartir una direccin IP que ya ha sido asignada a otra interfaz. Escoja la interfaz cuya direccin IP de esta interfaz es para compartir.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-43

Captulo 5 Conexin: Interfaz de serie, encapsulacin Frame Relay

Editar interfaz/conexin

DLCI
Especifique un identificador de conexin de enlace de datos (DLCI) en este campo. Este nmero debe ser exclusivo entre todos los DLCI que se utilizan en esta interfaz. El DLCI proporciona un identificador Frame Relay exclusivo para esta conexin. Si est modificando una conexin existente, el campo DLCI aparece desactivado. Si desea cambiar el DLCI, elimine la conexin y vuelva a crearla.

Tipo de LMI
Consulte con el proveedor de servicios para saber cules de los siguientes tipos de interfaz de gestin local (LMI) debe utilizar. El tipo de LMI especifica el protocolo que se utiliza para supervisar la conexin:
ANSI

Anexo D definido por la norma T1.617 del American National Standards Institute (ANSI).
Cisco

Tipo de LMI definido conjuntamente por Cisco y otras tres empresas.


ITU-T Q.933

ITU-T Q.933 Anexo A.


Deteccin automtica

Por defecto. Esta configuracin permite que el router detecte qu tipo de LMI usa el switch y luego usa ese tipo. Si autodeteccin falla, el router usar el tipo de LMI de Cisco.

Utilice la encapsulacin Frame Relay IETF


Marque esta casilla de verificacin para utilizar la encapsulacin IETF (Internet Engineering Task Force). Esta opcin se usa para conectarse con routers que no sean de Cisco. Marque esta casilla si se est tratando de conectar a un router que no sea de Cisco en esta interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-44

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Interfaz de serie, encapsulacin Frame Relay

Configuracin del reloj


En la mayora de los casos, no debe cambiarse la configuracin por defecto del reloj. Si usted sabe que sus requisitos son diferentes de los valores por defecto, haga clic en este botn y ajuste la configuracin del reloj en la ventana mostrada. El botn de Configuraciones del Reloj slo aparece si usted est configurando una conexin de serie T1 E1.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-45

Captulo 5 Conexin: Interfaz de serie, encapsulacin PPP

Editar interfaz/conexin

Conexin: Interfaz de serie, encapsulacin PPP


Si est configurando una interfaz de serie para la encapsulacin de protocolo de punto a punto (PPP), rellene estos campos. Si va a editar una conexin o a crear una en la ventana Editar interfaz/conexin, se mostrar la encapsulacin pero no se podr editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario.

Encapsulacin
PPP seleccionado.

Direccin IP
Seleccione Direccin IP esttica, IP no numerado o IP negociado. Si usted elige IP no numerado, escoja la interfaz cuya direccin IP de esta interfaz es para compartir. Si usted elige IP negociado, el router obtendr una direccin IP del proveedor de servicios de Internet para esta interfaz. Si selecciona Especificar una direccin IP, rellene los campos a continuacin.
Direccin IP

Especifique la Direccin IP para esta subinterfaz de punto a punto. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la red. Obtenga el valor de la mscara de subred o los bits de red del administrador de red o proveedor de servicios.
Bits de subred

Como alternativa, especifique los bits de red para indicar los bits de la direccin IP que proporcionan la direccin de red.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-46

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Interfaz de serie, encapsulacin PPP

Configuracin del reloj


En la mayora de los casos, las configuraciones del reloj no deben cambiarse de los valores por defecto. Si usted sabe que sus requisitos son diferentes de los valores por defecto, haga clic en este botn y ajuste la configuracin del reloj en la ventana mostrada. El botn de Configuraciones del Reloj slo aparece si usted est configurando una conexin de serie T1 E1.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-47

Captulo 5 Conexin: Interfaz de serie, encapsulacin HDLC

Editar interfaz/conexin

Conexin: Interfaz de serie, encapsulacin HDLC


Si est configurando una interfaz de serie para la encapsulacin HDLC, rellene estos campos. Si va a editar una conexin o a crear una en la ventana Editar interfaz/conexin, se mostrar la encapsulacin pero no se podr editar. Si necesita cambiar el tipo de encapsulacin, elimine la conexin y vuelva a crearla con el tipo de encapsulacin necesario.

Encapsulacin
HDLC seleccionado.

Direccin IP
Seleccione Direccin IP esttica o IP no numerado. Si usted elige IP no numerado, escoja la interfaz cuya direccin IP de esta interfaz es para compartir. Si selecciona Direccin IP esttica, rellene los campos a continuacin.
Direccin IP

Especifique la Direccin IP de esta interfaz. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la red. Obtenga el valor de la mscara de subred o los bits de red del administrador de red o proveedor de servicios.
Bits de subred

Como alternativa, seleccione los bits que indican qu porcin de la direccin IP proporciona la direccin de red.

Configuracin del reloj


En la mayora de los casos, no debe cambiarse la configuracin por defecto del reloj. Si usted sabe que sus requisitos son diferentes de los valores por defecto, haga clic en este botn y ajuste la configuracin del reloj en la ventana mostrada. El botn de Configuraciones del Reloj slo aparece si usted est configurando una conexin de serie T1 E1.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-48

OL-9963-04

Captulo 5

Editar interfaz/conexin Agregar o editar un tnel GRE

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Agregar o editar un tnel GRE


Esta ventana permite agregar un tnel GRE a una interfaz o editar una interfaz existente. Si el tnel GRE no se ha configurado mediante el modo gre ip, la ventana no aparecer.

Tunnel Number (Nmero de tnel)


Especifique un nmero para este tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-49

Captulo 5 Agregar o editar un tnel GRE

Editar interfaz/conexin

Origen del tnel


Seleccione la interfaz que utilizar el tnel, la cual debe ser alcanzable desde el otro extremo del tnel y, por lo tanto, debe disponer de una Direccin IP pblica que se pueda enrutar.

Destino del tnel


El destino del tnel es la interfaz del router en el otro extremo del tnel. Seleccione si se desea especificar una direccin IP o nombre de host y, a continuacin, indique dicha informacin. Si ha seleccionado Direccin IP, proporcinela junto con la mscara de subred en formato decimal con puntos, por ejemplo 192.168.20.1 y 255.255.255.0. Utilice el comando ping para comprobar que se pueden alcanzar la direccin y el nombre de host. De lo contrario, el tnel no se crear correctamente.

Direccin IP del tnel


Especifique la direccin IP del tnel en formato de decimales con puntos, por ejemplo, 192.168.20.1. Si desea obtener ms informacin, consulte el apartado Direcciones IP y mscaras de subred.

Casilla de verificacin GRE Keepalive


Marque esta casilla de verificacin si desea que el router enve paquetes de este tipo. Especifique en segundos el intervalo para el envo de los paquetes keepalive y el perodo de espera entre los reintentos, tambin en segundos.

Unidad de transmisin mxima (MTU)


Especifique el tamao de la unidad de transmisin mxima (MTU). Si desea ajustar el tamao a un valor inferior para evitar la fragmentacin de paquetes, haga clic en Ajustar MTU para evitar la fragmentacin.

Ancho de banda
Haga clic para especificar el ancho de banda en kilobytes para este tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-50

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: ISDN (RDSI) BRI

Conexin: ISDN (RDSI) BRI


Si est configurando una conexin ISDN (RDSI) BRI, complete estos campos. Dado que Cisco SDM slo admite la encapsulacin PPP sobre una conexin ISDN (RDSI) BRI, la encapsulacin que aparece no se puede editar.

Encapsulacin
PPP seleccionado.

Tipo de switch ISDN (RDSI)


Seleccione el tipo de switch ISDN (RDSI). Para obtener el tipo de switch de la conexin, pngase en contacto con el proveedor de servicios ISDN (RDSI). Cisco SDM admite los tipos de switch BRI siguientes:

Para Amrica del Norte:


basic-5ess: switch 5ESS de velocidad bsica de Lucent (AT&T) basic-dms100: switch de velocidad bsica DMS-100 de Northern Telecom basic-ni: switches ISDN (RDSI) de National

Para Australia, Europa y Reino Unido:


basic-1tr6: switch ISDN (RDSI) 1TR6 para Alemania basic-net3: NET3 ISDN (RDSI) BRI para los tipos de switch de Noruega

NET3, Australia NET3 y Nueva Zelanda NET3; tipos de switch conformes con ETSI para el sistema de sealizacin Euro-ISDN E-DSS1
vn3: switches ISDN (RDSI) BRI para Francia

Para Japn:
ntt: switches ISDN (RDSI) NTT para Japn

Para los sistemas de voz/PBX:


basic-qsig: switches PINX (PBX) con sealizacin QSIG segn Q.931 ()

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-51

Captulo 5 Conexin: ISDN (RDSI) BRI

Editar interfaz/conexin

SPIDS
Haga clic en este botn cuando necesite especificar la informacin del ID del perfil de servicio (SPID). Algunos proveedores de servicios utilizan los SPID para definir los servicios abonados por el dispositivo ISDN (RDSI) que accede al proveedor de servicios ISDN (RDSI). El proveedor de servicios asigna al dispositivo ISDN (RDSI) uno o varios SPID cuando el usuario se suscribe al servicio. Si utiliza un proveedor de servicios que requiere SPID, el dispositivo ISDN (RDSI) no podr realizar ni recibir llamadas hasta que enve al proveedor de servicios un SPID vlido y asignado en el momento de acceder al switch para inicializar la conexin. Slo los tipos de switch DMS-100 y NI requieren SPID. El tipo de switch Lucent (AT&T) 5ESS admite un SPID, pero se recomienda que establezca dicho servicio ISDN (RDSI) sin SPID. Adems, los SPID slo tienen significado en la interfaz ISDN (RDSI) de acceso local. Los routers remotos nunca reciben elb/bSPID. Normalmente, un SPID es un nmero de telfono de siete dgitos con algunos nmeros opcionales. No obstante, es posible que los proveedores de servicios utilicen esquemas de numeracin diferentes. Para el tipo de switch DMS-100, se asignan dos SPID; uno para cada canal B.

Nmero de telfono remoto


Especifique el nmero de telfono del destino de la conexin ISDN (RDSI).

Opciones
Haga clic en este botn cuando necesite asociar listas de control de acceso con una lista de marcacin para identificar trfico interesante, especificar la configuracin del temporizador o activar o desactivar el PPP multienlace. Al identificar el trfico interesante, el router realizar una marcacin externa y crear una conexin activa solamente cuando detecte este tipo de trfico. La configuracin del temporizador permite que el router desconecte automticamente una llamada cuando la lnea se encuentre sin actividad durante la cantidad de tiempo especificada. El PPP multienlace puede configurarse para proporcionar un balance de carga entre los canales B ISDN (RDSI).

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-52

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: ISDN (RDSI) BRI

Direccin IP
Seleccione Direccin IP esttica, IP no numerado o IP negociado. Si selecciona Especificar una direccin IP, rellene los campos a continuacin.
Direccin IP

Especifique la Direccin IP para esta subinterfaz de punto a punto. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la red. Obtenga el valor de la mscara de subred o los bits de red del administrador de red o proveedor de servicios.
Bits de subred

Como alternativa, especifique los bits de red para indicar los bits de la direccin IP que proporcionan la direccin de red.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-53

Captulo 5 Conexin: Mdem analgico

Editar interfaz/conexin

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Conexin: Mdem analgico


Si est configurando una conexin de mdem analgico, rellene estos campos. Dado que Cisco SDM slo admite la encapsulacin PPP sobre una conexin de mdem analgico, la encapsulacin que aparece no se puede editar.

Encapsulacin
PPP seleccionado.

Nmero de telfono remoto


Especifique el nmero de telfono de la conexin de mdem analgico de destino.

Opciones
Haga clic en este botn cuando necesite asociar listas de control de acceso con una lista de marcacin para identificar trfico interesante o especificar la configuracin del temporizador. Al identificar el trfico interesante, el router realizar una marcacin externa y crear una conexin activa solamente cuando detecte este tipo de trfico. La configuracin del temporizador permite que el router desconecte automticamente una llamada cuando la lnea se encuentre sin actividad durante la cantidad de tiempo especificada.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-54

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: Mdem analgico

Borrar lnea
Haga clic en este botn para borrar la lnea. Esta operacin deber llevarse a cabo tras la creacin de una conexin asncrona para que el trfico interesante active la conexin.

Direccin IP
Seleccione Direccin IP esttica, IP no numerado o IP negociado. Si selecciona Especificar una direccin IP, rellene los campos a continuacin.
Direccin IP

Especifique la Direccin IP para esta subinterfaz de punto a punto. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la red. Obtenga el valor de la mscara de subred o los bits de red del administrador de red o proveedor de servicios.
Bits de subred

Como alternativa, especifique los bits de red para indicar los bits de la direccin IP que proporcionan la direccin de red.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.

Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-55

Captulo 5 Conexin: (Reserva AUX.)

Editar interfaz/conexin

Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Conexin: (Reserva AUX.)


Rellene estos campos si est configurando una conexin de acceso telefnico asncrona mediante el puerto de consola para que funcione tambin como un puerto auxiliar en un router Cisco 831 837. Cuando introduzca la informacin en esta ventana, haga clic en Detalles de la copia de seguridad y proporcione la informacin de conexin de acceso telefnico de reserva que se requiere para este tipo de conexin. Tenga en cuenta que dado que Cisco SDM slo admite la encapsulacin PPP sobre una conexin de mdem analgico, la encapsulacin que aparece no se puede editar. La opcin para configurar el puerto auxiliar como una conexin de acceso telefnico slo se mostrar para los routers Cisco 831 y 837. Esta opcin no estar disponible para dichos routers cuando se presente cualquiera de las condiciones siguientes:

Cuando el router no utiliza una versin de Cisco IOS Zutswang La interfaz WAN primaria no est configurada. La interfaz asncrona ya est configurada. La interfaz asncrona no es configurable por Cisco SDM debido a la presencia de comandos de Cisco IOS no admitidos en la configuracin existente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-56

OL-9963-04

Captulo 5

Editar interfaz/conexin Conexin: (Reserva AUX.)

Encapsulacin
PPP seleccionado.

Nmero de telfono remoto


Especifique el nmero de telfono de la conexin de mdem analgico de destino.

Opciones
Haga clic en este botn cuando necesite asociar listas de control de acceso con una lista de marcacin para identificar trfico interesante o especificar la configuracin del temporizador. Al identificar el trfico interesante, el router realizar una marcacin externa y crear una conexin activa solamente cuando detecte este tipo de trfico. La configuracin del temporizador permite que el router desconecte automticamente una llamada cuando la lnea se encuentre sin actividad durante la cantidad de tiempo especificada.

Borrar lnea
Haga clic en este botn para borrar la lnea. Esta operacin deber llevarse a cabo tras la creacin de una conexin asncrona para que el trfico interesante active la conexin.

Direccin IP
Seleccione Direccin IP esttica, IP no numerado o IP negociado. Si selecciona Especifique una direccin IP, rellene los campos a continuacin.
Direccin IP

Especifique la Direccin IP para esta subinterfaz de punto a punto. Este valor se obtiene del proveedor de servicios o del administrador de redes. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred. La mscara de subred indica la parte de la direccin IP que proporciona la direccin de red. Este valor se sincroniza con los bits de la red. Obtenga el valor de la mscara de subred o los bits de red del administrador de red o proveedor de servicios.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-57

Captulo 5 Conexin: (Reserva AUX.)

Editar interfaz/conexin

Bits de subred

Como alternativa, especifique los bits de red para indicar los bits de la direccin IP que proporcionan la direccin de red.

Detalles de la conexin de reserva


Al hacer clic en este botn, aparecer la ventana Configuracin de la copia de seguridad, la cual permite configurar la informacin de conexin de acceso telefnico de reserva para esta conexin. Estos datos son obligatorios para este tipo de conexin e incluso aparecer un error si intenta finalizar la configuracin de la conexin sin especificarlos.

Autenticacin
Haga clic en este botn si necesita especificar informacin de autenticacin CHAP o PAP.

DNS dinmico
Active el DNS dinmico si desea actualizar los servidores de DNS automticamente siempre que cambie la direccin IP de la interfaz WAN.
Nota

Esta funcin slo aparece si es admitida por la versin de Cisco IOS en su router. Para escoger un mtodo de DNS dinmico a usar, haga algo de lo siguiente:

Introduzca el nombre de un mtodo existente de DNS dinmico. Introduzca el nombre en el campo de Mtodo DNS dinmico exactamente como aparece en la lista en Configurar > Tareas adicionales > Mtodos de DNS dinmico.

Escoja un mtodo existente de DNS dinmico de una lista. Haga clic en el men desplegable y escoja un mtodo existente. Se abrir una ventana con una lista de los mtodos existentes de DNS dinmico. Esta opcin del men est disponible slo si hay mtodos existentes de DNS dinmico.

Cree un nuevo mtodo de DNS dinmico. Haga clic en el men desplegable y elija crear un nuevo mtodo de DNS dinmico.

Para borrar un mtodo asociado de DNS dinmico de la interfaz, elija Ninguno del men desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-58

OL-9963-04

Captulo 5

Editar interfaz/conexin Autenticacin

Autenticacin
Esta pgina aparece si ha activado PPP para una conexin serie o encapsulacin PPPoE para una conexin ATM o Ethernet, o bien, si est configurando una conexin ISDN (RDSI) BRI o de mdem analgico. Es posible que el proveedor de servicios o administrador de redes utilice una contrasea CHAP (Protocolo de autenticacin por desafo mutuo) o PAP (Protocolo de autenticacin de contrasea) para garantizar la seguridad de la conexin entre dos dispositivos. Esta contrasea garantiza la seguridad para el acceso entrante y saliente.

CHAP/PAP
Marque la casilla que corresponda al tipo de autenticacin que utiliza el proveedor de servicios. Si desconoce el tipo que utiliza, puede marcar ambas casillas: el router intentar ambos tipos de autenticacin (uno de ellos funcionar). La autenticacin CHAP es ms segura que la autenticacin PAP.

Nombre de Inicio de Sesin


El nombre de inicio de sesin que le proporciona el proveedor de servicios y que se utiliza como nombre de usuario para la autenticacin CHAP/PAP.

Contrasea
Especifique la contrasea exactamente tal como se la ha proporcionado por el proveedor de servicios. Las contraseas distinguen entre maysculas y minsculas. Por ejemplo, la contrasea test no es lo mismo que TEST.

Volver a especificar la nueva contrasea


Vuelva a especificar la misma contrasea que ha especificado en el cuadro anterior.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-59

Captulo 5 Informacin de SPID

Editar interfaz/conexin

Informacin de SPID
Algunos proveedores de servicios utilizan los nmeros de identificacin del proveedor de servicios (SPID) para definir los servicios suscritos por el dispositivo ISDN (RDSI) que accede al proveedor de servicios ISDN (RDSI). El proveedor de servicios asigna al dispositivo ISDN (RDSI) uno o varios SPID cuando el usuario se suscribe al servicio. Si utiliza un proveedor de servicios que requiere SPID, el dispositivo ISDN (RDSI) no podr realizar ni recibir llamadas hasta que enve al proveedor de servicios un SPID vlido y asignado en el momento de acceder al switch para inicializar la conexin. Slo los tipos de switch DMS-100 y NI requieren SPID. El tipo de switch AT&T 5ESS admite un SPID, y se recomienda que establezca dicho servicio ISDN (RDSI) sin SPID. Adems, los SPID slo tienen significado en la interfaz ISDN (RDSI) de acceso local. Los routers remotos nunca reciben elb/bSPID. Normalmente, un SPID es un nmero de telfono de siete dgitos con algunos nmeros opcionales. No obstante, es posible que los proveedores de servicios utilicen esquemas de numeracin diferentes. Para el tipo de switch DMS-100, se asignan dos SPID; uno para cada canal B.

SPID1
Especifique el SPID para el primer canal B BRI que le proporciona el ISP.

SPID2
Especifique el SPID para el segundo canal B BRI que le proporciona el ISP.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-60

OL-9963-04

Captulo 5

Editar interfaz/conexin Opciones de marcacin

Opciones de marcacin
Tanto las interfaces ISDN (RDSI) BRI como las de mdem analgico pueden configurarse para el enrutamiento de marcacin bajo demanda (DDR), que hace que la conexin realice una marcacin externa o se active solamente bajo condiciones especficas, lo que ahorra tiempo y costos de conexin. Esta ventana permite configurar las opciones que indican cundo deben iniciarse y finalizarse las conexiones ISDN (RDSI) BRI o de mdem analgico.

Asociacin de la lista de marcaciones


La lista de marcaciones permite asociar la conexin ISDN (RDSI) BRI o de mdem analgico con una lista de control de acceso para identificar el trfico interesante. Al identificar dicho trfico, la interfaz realizar una marcacin externa y establecer una conexin activa solamente cuando detecte trfico de datos que coincide con la lista de control de acceso.
Permitir todo el trfico IP

Seleccione esta opcin para que la interfaz realice una marcacin externa y establezca una conexin cada vez que se enve trfico IP a travs de la interfaz.
Filtrar el trfico segn la lista de control de acceso seleccionada

Seleccione esta opcin para asociar con la interfaz una lista de control de acceso, que deber crearse mediante la interfaz Reglas. nicamente el trfico que coincida con el trfico identificado en la lista de control de acceso har que la interfaz realice una marcacin externa y establezca una conexin. Puede especificar el nmero de lista de control de acceso (ACL) que desea asociar a la interfaz de marcacin para identificar el trfico interesante, o puede hacer clic en el botn junto al campo para examinar la lista de ACL o crear una nueva ACL y seleccionarla.

Timer Settings (Configuracin del temporizador)


La configuracin del temporizador permite definir el tiempo mximo que permanecer activa una conexin sin trfico. Al definir la configuracin del temporizador, las conexiones se cerrarn automticamente, lo que ahorrar tiempo y costos de conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-61

Captulo 5 Opciones de marcacin

Editar interfaz/conexin

Lmite de tiempo de inactividad

Especifique el nmero de segundos que podr transcurrir antes de que se cierre una conexin inactiva (conexin en la que no se transmite trfico).
Lmite de tiempo rpido de inactividad

El tiempo rpido de inactividad se usa cuando una conexin est activa mientras que una conexin competitiva est esperando a realizarse. El tiempo rpido de inactividad fija el nmero mximo de segundos sin un trfico interesante antes de que se termine la conexin activa y se haga la conexin competitiva. Esto ocurre cuando la interfaz tiene una conexin activa con una direccin IP de prximo salto (next hop) y recibe datos interesantes con un destino de IP de prximo salto (next hop) distinto. Puesto que la conexin de marcacin es de punto a punto, el paquete que compite no podr entregarse hasta que no se cierre la conexin vigente. Este temporizador establece la cantidad de tiempo de inactividad que debe transcurrir para la primera conexin antes de que sta se cierre y se establezca la conexin competitiva.

Enable Multilink PPP (Activar PPP multienlace)


PPP multienlace permite establecer un equilibrado de carga de los datos a travs de varios canales B ISDN (RDSI) BRI e interfaces asncronas. Con PPP multienlace, cuando se establece inicialmente una conexin ISDN (RDSI), se utiliza un solo canal B para la conexin. Si la carga de trfico en la conexin supera el umbral especificado (porcentaje del ancho de banda total), se establecer una segunda conexin con el canal B y el trfico de datos se compartir entre ambas conexiones. Este proceso presenta la ventaja de reducir el tiempo y los costos de la conexin cuando haya poco trfico de datos, a la vez que permite utilizar el total del ancho de banda ISDN (RDSI) BRI cuando sea necesario. Marque esta casilla de verificacin cuando desee activar el PPP multienlace. Desmarque si no lo hace.
Umbral de la carga

Utilice este campo para configurar el porcentaje de ancho de banda que debe utilizarse en un solo canal ISDN (RDSI) BRI antes de que se establezca otra conexin de canal ISDN (RDSI) BRI para realizar el balance de carga del trfico. Especifique un nmero entre 1 y 255, donde 255 equivale al 100% del ancho de banda en la primera conexin que se est utilizando.
Data Direction (Direccin de datos)

Cisco SDM slo admite PPP multienlace para el trfico de red saliente.
Gua del usuario de Cisco Router and Security Device Manager 2.4

5-62

OL-9963-04

Captulo 5

Editar interfaz/conexin Configuracin de la copia de seguridad

Configuracin de la copia de seguridad


Las interfaces ISDN (RDSI) BRI y de mdem analgico pueden configurarse para que funcionen como interfaces de reserva para otras interfaces principales. En este caso, una conexin ISDN (RDSI) o de mdem analgico slo se establecer si se produce un error en la interfaz principal. Si se produce un error en la interfaz principal y la conexin, la interfaz ISDN (RDSI) o de mdem analgico realizar inmediatamente una marcacin externa e intentar establecer una conexin para evitar la prdida de los servicios de red.

Activar conexin de reserva


Marque esta casilla de verificacin cuando desee que esta interfaz ISDN (RDSI) BRI o de mdem analgico funcione como una conexin de reserva. Desmarque esta casilla de verificacin cuando no desee que la interfaz ISDN (RDSI) BRI o de mdem analgico funcione como una conexin de reserva.

Interfaz principal
Seleccione la interfaz del router que mantendr la conexin principal. La conexin ISDN (RDSI) BRI o de mdem analgico slo se establecer si se produce un error en la conexin de la interfaz seleccionada.

Detalles del seguimiento


Utilice esta seccin para identificar un host especfico con el que debe mantenerse la conectividad. El router realizar un seguimiento de la conectividad con dicho host y, si detecta que la interfaz principal perdi la conectividad con el host especificado, se iniciar la conexin de reserva a travs de la interfaz ISDN (RDSI) BRI o de mdem analgico.
Nombre de host o direccin IP objeto del seguimiento

Especifique el nombre de host o la direccin IP del host de destino para el que se realizar un seguimiento de la conectividad. Especifique un destino contactado infrecuentemente como el sitio a darle seguimiento.
Nmero de objeto de seguimiento

Campo de slo lectura que muestra un nmero de objeto interno que Cisco SDM genera y utiliza para el seguimiento de la conectividad con el host remoto.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

5-63

Captulo 5 Configuracin de la copia de seguridad

Editar interfaz/conexin

Envo de prximo salto (next hop)


Estos campos son opcionales. Puede especificar la direccin IP a la que se conectarn las interfaces principal y de reserva cuando estn activas. Se denomina direccin IP de prximo salto (next hop). Si no especifica direcciones IP de prximo salto, Cisco SDM utilizar el nombre de interfaz para configurar rutas estticas. Tenga en cuenta que cuando establece una conexin WAN multipunto de reserva, como, por ejemplo, una conexin Ethernet, debe especificar direcciones IP de prximo salto para que el enrutamiento se realice correctamente. Sin embargo, al establecer una conexin punto a punto de reserva, esta informacin no es necesaria.
Direccin IP de prximo salto (next hop) principal

Especifique la direccin IP de prximo salto (next hop) de la interfaz principal.


Direccin IP de prximo salto (next hop) de reserva

Especifique la direccin IP de prximo salto (next hop) de la interfaz de reserva ISDN (RDSI) BRI o de mdem analgico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

5-64

OL-9963-04

CAPTULO

Crear un firewall
Un firewall es un conjunto de reglas que se utilizan para proteger los recursos de la LAN y filtrar los paquetes que llegan al router. Si un paquete no cumple los criterios especificados en la regla, se tira. En caso contrario, se le autoriza pasar por la interfaz a la que la regla es aplicable. Este asistente permite crear un firewall para la LAN mediante un sistema de respuestas a mensajes de un conjunto de pantallas. En esta ventana, seleccione el tipo de firewall que desea crear.

Nota

El router que va a configurar debe utilizar una imagen de Cisco IOS que admita la funcin de firewall para poder utilizar Cisco Router and Security Device Manager (Cisco SDM) en la configuracin de un firewall en el router. Para poder configurar un firewall, es necesario haber finalizado las configuraciones de LAN y WAN.

Firewall bsico
Haga clic en esta opcin si desea que Cisco SDM cree un firewall mediante reglas por defecto. El escenario del ejemplo muestra una configuracin de red tpica en la que se utiliza este tipo de firewall.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-1

Captulo 6

Crear un firewall

Firewall avanzado
Haga clic en esta opcin si desea que Cisco SDM le gue por el proceso de configuracin de un firewall. Tiene la opcin de crear una red DMZ y especificar una regla de inspeccin. El escenario del ejemplo que se muestra al seleccionar esta opcin presenta una configuracin tpica de firewall en Internet.

Qu desea hacer?

Si desea: Que Cisco SDM cree un firewall en mi sistema.

Haga lo siguiente: Haga clic en Firewall bsico. A continuacin, haga clic en Iniciar la tarea seleccionada.

Es conveniente que seleccione esta opcin Cisco SDM le pide que identifique las interfaces en el si no desea configurar una red DMZ, o bien router y, a continuacin, utiliza las reglas de inspeccin y de acceso por defecto de Cisco SDM para crear el si slo existe una interfaz externa. firewall. Que Cisco SDM me ayude a crear un firewall avanzado. Si el router dispone de varias interfaces internas y externas y desea configurar una red DMZ, debera seleccionar esta opcin. Seleccione Firewall avanzado. A continuacin, haga clic en Iniciar la tarea seleccionada. Cisco SDM le mostrar la regla de inspeccin por defecto y le permitir utilizarla en el firewall. Si lo prefiere, puede crear su propia regla de inspeccin. Cisco SDM utilizar una regla de acceso por defecto en el firewall.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-2

OL-9963-04

Captulo 6

Crear un firewall

Si desea: Obtener informacin acerca de una tarea que este asistente no me ayuda a llevar a cabo.

Haga lo siguiente: Seleccione un tema en la lista siguiente:


Como se visualiza la actividad en el firewall? Cmo se configura un firewall en una interfaz no compatible? Cmo se configura un firewall despus de configurar una VPN? Cmo se puede permitir que pase determinado trfico por una interfaz DMZ? Cmo se modifica un firewall existente para permitir el trfico procedente de una nueva red o host? Cmo se configura NAT en una interfaz no admitida? Cmo se configura el paso de NAT (NAT Passthrough) para un firewall? Cmo se permite que el trfico llegue al concentrador Easy VPN a travs del firewall? Cmo se asocia una regla a una interfaz? Cmo se anula la asociacin de una regla de acceso con una interfaz? Cmo se elimina una regla que est asociada a una interfaz? Cmo se crea una regla de acceso para una lista Java? Cmo se visualizan los comandos de IOS que se envan al router? Cmo se permite que trfico determinado entre en la red si no se dispone de una red DMZ?

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-3

Captulo 6 Asistente de configuracin para firewall bsico

Crear un firewall

Asistente de configuracin para firewall bsico


Cisco SDM proteger la LAN con un firewall por defecto cuando seleccione esta opcin. Para que Cisco SDM pueda hacerlo, debe especificar las interfaces interna y externa en la ventana siguiente. Haga clic en Siguiente para empezar la configuracin.

Configuracin de la interfaz de firewall bsico


Identifique las interfaces en el router de modo que el firewall se aplique a la interfaz correcta.

Interfaz externa (no fiable)


Seleccione la interfaz del router que est conectada a Internet o a la WAN de la organizacin.

Nota

No seleccione la interfaz mediante la cual ha accedido a Cisco SDM como interfaz externa (no fiable). De hacerlo, perdera la conexin con Cisco SDM. Dado que estar protegido por un firewall, no podr iniciar Cisco SDM desde la interfaz externa (no fiable) una vez finalizado el asistente para firewall.

Permitir acceso seguro a Cisco SDM de la casilla de verificacin interfaces externas


Marque esta casilla si desea que los usuarios fuera del firewall puedan acceder al router usando Cisco SDM. El asistente mostrar una pantalla que le permitir especificar una direccin IP o una direccin de la red. El firewall se modificar para permitir el acceso a la direccin que usted especifique. Si usted especifica una direccin de la red, a todos los hosts en esa red se les permitir pasar por el firewall.

Interfaz interna (fiable)


Compruebe las interfaces fsicas y lgicas que estn conectadas a la LAN. Puede seleccionar varias interfaces.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-4

OL-9963-04

Captulo 6

Crear un firewall Asistente de configuracin para firewall avanzado

Configuracin del firewall para acceso remoto


Crear un firewall puede bloquear el acceso al router que los administradores remotos pueden necesitar. Puede especificar las interfaces del router a usar para el acceso de administracin remota y los hosts donde los administradores pueden entrar al Cisco SDM para administrar el router. El firewall se modificar para permitir el acceso remoto seguro del host o la red que usted especifique.

Seleccionar la interfaz externa


Si est usando el Asistente para Firewall avanzado, seleccione la interfaz a travs de la cual los usuarios iniciarn Cisco SDM. Este campo no aparece en el Asistente del Firewall Bsico.

Host/Red origen
Si desea permitir el acceso a un nico host a travs del firewall, elija Direccin del host e introduzca la direccin IP de un host. Elija Direccin de red e introduzca la direccin de una red y una mscara de subred para permitirle a los hosts en esa red acceder a travs del firewall. El host o la red deben ser accesibles desde la interfaz que usted especific. Elija Cualquiera para permitir que cualquier host conectado a las interfaces especificadas acceda de forma segura a la red.

Asistente de configuracin para firewall avanzado


Cisco SDM le ayudar a crear un firewall de Internet, solicitndole informacin acerca de las interfaces en el router, si desea configurar una red DMZ y qu reglas desea utilizar en el firewall. Haga clic en Siguiente para empezar la configuracin.

Configuracin de la interfaz de firewall avanzado


Identifique las interfaces interna y externa del router y la interfaz que se conecta a la red DMZ. Marque la opcin externa o interna para identificar la interfaz segn corresponda. Las interfaces externas se conectan a la WAN de la organizacin o a Internet. Las internas, en cambio, se conectan a la LAN.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-5

Captulo 6 Asistente de configuracin para firewall avanzado

Crear un firewall

Permitir acceso seguro a Cisco SDM de la casilla de verificacin interfaces externas


Marque esta casilla si desea que los usuarios fuera del firewall puedan acceder al router usando Cisco SDM. El asistente mostrar una pantalla que le permitir especificar una direccin IP o una direccin de la red. El firewall se modificar para permitir el acceso a la direccin que usted especifique. Si usted especifica una direccin de la red, a todos los hosts en esa red se les permitir pasar por el firewall.

Interfaz DMZ
Seleccione la interfaz de router que se conecta a una red DMZ, si la hay. Una red DMZ es una zona de bfer que se utiliza para aislar el trfico que proviene de una red no fiable. Si dispone de una red de este tipo, seleccione la interfaz que se conecta a ella.

Configuracin del servicio DMZ de firewall avanzado


Esta ventana permite ver las entradas de regla que especifican qu servicios disponibles en la red DMZ desea hacer accesibles por medio de las interfaces externas del router. Se autorizar el paso del trfico de los tipos de servicio especificados a la red DMZ por medio de las interfaces externas.

Configuracin de servicio DMZ


Esta rea muestra las entradas de servicios DMZ configuradas en el router.
Direccin IP inicial

La primera direccin IP del intervalo que especifica los hosts de la red DMZ.
Direccin IP final

La ltima direccin IP del intervalo que especifica los hosts de la red DMZ. Si en esta columna no figura ningn valor, se supone que la direccin IP de la columna de direccin IP inicial ser el nico host de la red DMZ. El intervalo puede especificar un mximo de 254 hosts.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-6

OL-9963-04

Captulo 6

Crear un firewall Asistente de configuracin para firewall avanzado

Tipo de servicio

El tipo de servicio: TCP (Transmission Control Protocol) o UDP (User Datagram Protocol).
Servicio

El nombre del servicio, como Telnet o FTP, o un nmero de protocolo.

Para configurar una entrada de servicio DMZ:


Haga clic en Agregar y cree la entrada en la ventana Configuracin de servicio DMZ.

Para editar una entrada de servicio DMZ:


Seleccione la entrada de servicio y haga clic en Editar. A continuacin, modifique la entrada en la ventana Configuracin de servicio DMZ.

Configuracin de servicio DMZ


En esta ventana puede crear o editar un servicio DMZ.

Direccin IP del host


Especifique el intervalo de direcciones que especificar los hosts en la DMZ a la que se aplica esta entrada. El firewall autorizar al trfico el acceso a estos hosts para el servicio TCP o UDP especificado.
Direccin IP inicial

Especifique la primera direccin IP del intervalo; por ejemplo, 172.20.1.1. Si est activada la traduccin de direcciones de red (NAT), deber especificar la direccin traducida, conocida como la direccin global interna.
Direccin IP final

Especifique la ltima direccin IP del intervalo; por ejemplo, 172.20.1.254. Si est activada la NAT, deber especificar la direccin traducida por dicho servicio.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-7

Captulo 6 Asistente de configuracin para firewall avanzado

Crear un firewall

Servicio
TCP

Haga clic en esta opcin si desea permitir trfico para un servicio TCP.
UDP

Haga clic en esta opcin si desea permitir trfico para un servicio UDP.
Servicio

Especifique el nmero o nombre del servicio en este campo. Si desconoce el nombre o nmero, haga clic en el botn y seleccione el servicio de la lista mostrada.

Configuracin de seguridad de la aplicacin


Cisco SDM proporciona las polticas preconfiguradas de seguridad de la aplicacin que usted puede usar para proteger la red. Use la barra de desplazamiento para seleccionar el nivel de seguridad que desee y para ver una descripcin de la seguridad que proporciona. La pantalla de resumen del asistente muestra el nombre de la poltica, SDM_HIGH, SDM_MEDIUM, o SDM_LOW y las declaraciones de configuracin en la poltica. Usted tambin puede ver los detalles de la poltica al hacer clic en el la ficha Seguridad de la Aplicacin y escoger el nombre de la poltica.

Botn Previsualizar comandos


Haga clic para ver los comandos de IOS que constituyen esta poltica.

Botn Poltica personalizada de seguridad de la aplicacin


Este botn y el campo Nombre de la poltica son visibles si est completando el Asistente del firewall avanzado. Escoja esta opcin si desea crear su propia poltica de seguridad de la aplicacin. Si la poltica ya existe, especifique el nombre en el campo, o haga clic en el botn situado a la derecha, elija Seleccionar una poltica existente y seleccione la poltica. Para crear una poltica, haga clic en el botn y elija Crear una Nueva Poltica y cree la poltica en el cuadro de dilogo mostrado.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-8

OL-9963-04

Captulo 6

Crear un firewall Asistente de configuracin para firewall avanzado

Configuracin del servidor del nombre del dominio


El router debe configurarse con la direccin IP de al menos un servidor DNS para que la seguridad de la aplicacin funcione. Haga clic en Activar el nombre de host basado en DNS para la traduccin de direcciones y proporcione la direccin IP del servidor de DNS primario. Si un servidor de DNS secundario est disponible, especifique la direccin IP en el campo Servidor DNS secundario. Las direcciones IP que usted introduzca sern visibles en la ventana de Propiedades del DNS bajo Tareas adicionales.

Configuracin del servidor de filtro URL


Los servidores de filtro de URL son capaces de almacenar y mantener ms informacin de filtrado de URL de la que puede guardar un archivo de configuracin del router. Si hay servidores de filtro de URL en la red, puede configurar el router para que los utilice. Puede configurar parmetros adicionales de servidor de filtro de URL en Configurar > tareas adicionales > Filtrado de URL. Consulte el apartado Filtrado de URL para obtener ms informacin.

Filtrar solicitud HTTP a travs del servidor de filtro de URL


Marque la casilla Filtrar solicitud HTTP a travs del servidor de filtro de URL para activar el filtrado de URL mediante servidores de filtro de URL.

Tipo de servidor de filtro de URL


Cisco SDM admite los servidores de filtro de URL Secure Computing y Websense. Seleccione Secure Computing o Websense para especificar el tipo de servidor de filtro de URL en la red.

Direccin IP/Nombre de host


Especifique el nombre de host o la direccin IP del servidor de filtro de URL.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-9

Captulo 6 Asistente de configuracin para firewall avanzado

Crear un firewall

Seleccionar la zona de interfaz


Esta ventana aparece si una interfaz del router distinta de aqulla que est configurando es miembro de una zona de seguridad de Firewall de poltica basado en zonas. Para obtener ms informacin acerca de este tema, consulte Firewall de poltica basado en zonas.

Seleccionar zona
Seleccione la zona de seguridad de la cual desea que la interfaz sea miembro. Si selecciona no asignar la interfaz a una zona, existen muchas posibilidades de que el trfico no pase por la interfaz.

Zonas internas de ZPF


Las zonas que incluyen interfaces usadas en tneles de encapsulacin de enrutamiento genrico (GRE) deben ser designadas como zonas internas (fiables) para que el trfico de GRE pase a travs del firewall. Esta ventana muestra las zonas configuradas y sus interfaces miembro. Para designar una zona como interna, marque la columna interno (fiable) en la fila de esa zona.

Resumen
Esta pantalla resume la informacin del firewall. Usted puede revisar la informacin en esta pantalla y usar el botn Atrs para regresar a las pantallas en el asistente para hacer cambios. La pantalla de resumen usa un lenguaje simple para describir la configuracin. Puede ver los comandos del CLI que Cisco SDM enva al router si va a Editar > Preferencias y marca Obtener una vista previa de los comandos antes de enviarlos al router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-10

OL-9963-04

Captulo 6

Crear un firewall Asistente de configuracin para firewall avanzado

Interfaces internas (fiables)


Cisco SDM enumera las interfaces lgicas y fsicas del router que usted design como las interfaces internas en esta sesin del asistente, junto con sus direcciones IP. Debajo, se dan descripciones de lenguaje plano para cada instruccin de configuracin aplicada a las interfaces internas. Los siguientes son ejemplos:
Interfaces internas (fiables): FastEthernet0/0 (10.28.54.205) Aplicar la regla de acceso a la direccin entrante para permitir el trfico para negar el trfico tipo spoof. Aplicar la regla de acceso a la direccin entrante para denegar el trfico originado por direcciones de retrobucle local de difusin (broadcast). Aplicar la regla de acceso a la direccin entrante para permitir todos los dems tipos de trfico. Aplicar la poltica de seguridad de la aplicacin SDM_HIGH a la direccin entrante.

Este ejemplo muestra la poltica de seguridad de la aplicacin SDM_HIGH de Cisco SDMaplicada al trfico entrante en esta interfaz.

Interfaces externas (no fiables)


Cisco SDM enumera las interfaces lgicas y fsicas del router que usted design como las interfaces externas en esta sesin del asistente, junto con sus direcciones IP. Debajo, se dan descripciones de lenguaje plano para cada instruccin de configuracin aplicada a las interfaces externas. Los siguientes son ejemplos:
FastEthernet0/1 (142.120.12.1) Activar la comprobacin de envo de la ruta inversa de unidifusin (unicast) para las interfaces sin tnel. Aplicar la regla de acceso a la direccin entrante para permitir el trfico del tnel IPSec si es necesario. Aplicar la regla de acceso a la direccin entrante para permitir el trfico del tnel GRE para las interfaces si es necesario. Aplicar la regla de acceso a la direccin entrante para permitir el trfico de ICMP. Aplicar la regla de acceso a la direccin entrante para permitir el trfico de NTP si necesario. Aplicar la regla de acceso a la direccin entrante para permitir el trfico para negar el trfico tipo spoof. Aplicar la regla de acceso a la direccin entrante para denegar el trfico originado en direcciones de retrobucle locales y privadas de difusin. Aplicar la regla de acceso a la direccin entrante para permitir el trfico del servicio que va a la interfaz DMZ.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-11

Captulo 6 Asistente de configuracin para firewall avanzado

Crear un firewall

Servicio de ftp en 10.10.10.1 a 10.10.10.20 Aplicar la regla de acceso a la direccin entrante para permitir el acceso de SDM seguro del host/red 140.44.3.0 255.255.255.0 Aplicar la regla de acceso a la direccin entrante para negar todo trfico.

Tenga en cuenta que esta configuracin depende del envo de la ruta inversa, una funcin que permite que el router descarte los paquetes que carecen de una direccin IP de fuente verificable, y permite el trfico de ftp a las direcciones DMZ 10.10.10.1 a 10.10.10.20.

Interfaz DMZ
Si ha configurado un firewall avanzado, esta rea muestra la interfaz DMZ que ha designado, junto con la direccin IP correspondiente. A continuacin, Cisco SDM describe qu reglas de inspeccin y acceso se han asociado a esta interfaz. Los siguientes son ejemplos:
FastEthernet (10.10.10.1) Aplicar la regla de inspeccin CBAC a la direccin saliente Aplicar la regla de acceso a la direccin entrante para negar todo trfico.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias del usuario, aparecer la ventana Enviar configuracin al router. Esta ventana permite ver los comandos del CLI que se envan al router.

Alerta de SDM: Acceso a SDM


Esta ventana aparece cuando ha indicado que Cisco SDM debe acceder al router desde interfaces externas. Le informa que debe asegurarse de que SSH y HTTPS estn configurados y que, al menos, una de las interfaces designadas como externas estn configuradas con una direccin IP esttica. Para realizar esta accin, asegrese de que una interfaz externa est configurada con una direccin IP esttica y despus asocie una poltica de gestin con esa interfaz.
Gua del usuario de Cisco Router and Security Device Manager 2.4

6-12

OL-9963-04

Captulo 6

Crear un firewall Asistente de configuracin para firewall avanzado

Determinacin de si una interfaz externa est configurada con una direccin IP esttica
Complete los pasos siguientes para determinar si una interfaz externa est configurada con una direccin IP esttica.
Paso 1 Paso 2 Paso 3

Haga clic en Configurar > interfaces y conexiones > Editar interfaz/conexin. Revise la columna IP en la tabla de lista de interfaces para determinar si una interfaz externa tiene direcciones IP estticas. Si ninguna interfaz externa tiene una direccin IP esttica, seleccione una y haga clic en Editar para mostrar un cuadro de dilogo que le permita reconfigurar la informacin de direccin IP para la interfaz. Si hay una interfaz externa con una direccin IP esttica, anote el nombre de la interfaz y complete el procedimiento siguiente.

Configuracin de SSH y HTTPS


Complete los pasos siguientes para configurar una poltica de gestin para SSH y HTTPS en el router.
Paso 1 Paso 2

Haga clic en Configurar > tareas adicionales > Acceso al router > Acceso a la gestin. Si no hay una poltica de gestin, haga clic en Agregar. Si desea editar una poltica de gestin existente, seleccinela y haga clic en Editar.

Nota

Si est editando una poltica de gestin, sta se debe asociar con una interfaz que tenga una direccin IP esttica. En el cuadro de dilogo que se muestra, especifique la informacin de direccin en la casilla Host/Red de origen. La informacin de direccin IP que especifica debe incluir la direccin IP del equipo que usar para administrar el router. Seleccione una interfaz externa con una direccin IP esttica en la casilla Interfaz de gestin. Esta interfaz debe tener una ruta a la direccin IP que especific en la casilla Host/red de origen. En la casilla Protocolos de gestin, marque Permitir SDM.

Paso 3

Paso 4

Paso 5

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-13

Captulo 6 Cmo...

Crear un firewall

Paso 6 Paso 7 Paso 8

Marque HTTPS y SSH para permitir esos protocolos. Haga clic en Aceptar para cerrar el cuadro de dilogo. Haga clic en Aplicar cambios en la ventana que muestra las polticas de acceso a la gestin.

Cmo...
En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Como se visualiza la actividad en el firewall?


La actividad del firewall se supervisa mediante la creacin de entradas de registro. Si en el router se ha activado el registro, siempre que se invoque una regla de acceso que se haya configurado para generar entradas de registro (por ejemplo, si se intentara una conexin desde una direccin IP denegada) se generar una entrada de registro y podr verse en el modo Supervisin.

Activar registro
El primer paso para ver la actividad del firewall consiste en activar el registro en el router. Para ello:
Paso 1 Paso 2 Paso 3 Paso 4

En el panel izquierdo, seleccione Tareas adicionales. En el rbol Tareas adicionales, haga clic en Registro y, a continuacin, en el botn Editar. En la pantalla Syslog, marque la opcin Registro a un bfer. En el campo Tamao del bfer, especifique la cantidad de memoria del router que desea utilizar para un bfer de registro. El valor por defecto es de 4096 bytes. Cuanto mayor sea el tamao del bfer, ms entradas de registro podr almacenar, aunque el usuario debe calibrar la necesidad de aumentar el tamao del bfer basndose en el rendimiento potencial del router. Haga clic en Aceptar.

Paso 5

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-14

OL-9963-04

Captulo 6

Crear un firewall Cmo...

Identificacin de las reglas de acceso para las que desea generar entradas de registro
Adems de activar el registro, debe identificar las reglas de acceso para las que desea generar entradas de registro. Para configurar reglas de acceso a fin de generar entradas de registro:
Paso 1 Paso 2

En el panel izquierdo, seleccione Tareas adicionales. En el rbol Tareas adicionales, haga clic en Editor ACL y, a continuacin, en el botn Reglas de acceso. Cada regla de acceso aparece en la tabla superior del lateral derecho de la pantalla. La tabla inferior muestra las direcciones IP de origen y destino especficas, as como los servicios que la regla autoriza o deniega.

Paso 3 Paso 4

En la tabla superior, haga clic en la regla que desea modificar. Haga clic en Editar. Aparecer el cuadro de dilogo Editar una regla. El campo Entrada de regla muestra cada una de las combinaciones IP de origen/IP de destino/servicio que la regla autoriza o deniega. Haga clic en la entrada de regla que desea configurar para generar entradas de registro. Haga clic en Editar. En el cuadro de dilogo Entrada de regla, marque la casilla de verificacin Coincidencias de registro con esta entrada. Haga clic en Aceptar para cerrar los cuadros de dilogo que ha visualizado. Llegado este punto, la entrada de regla que acaba de modificar generar entradas de registro siempre que se intente establecer una conexin desde el intervalo de direcciones IP y servicios que definen la entrada de regla.

Paso 5

Paso 6 Paso 7 Paso 8

Paso 9

Repita los pasos 4 a 8 para cada una de las entradas de regla que desea configurar con el fin de generar entradas de registro.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-15

Captulo 6 Cmo...

Crear un firewall

Una vez finalizada la configuracin de registro, siga los pasos a continuacin para ver la actividad del firewall:
Paso 1 Paso 2

En la barra de herramientas, seleccione el modo Supervisin. En el panel izquierdo, seleccione Estado del firewall. En el rea Estadsticas de firewall, puede verificar que el firewall se ha configurado y ver el nmero de intentos de conexin que se han denegado. La tabla muestra cada una de las entradas de registro del router que ha generado el firewall, incluida la hora y el motivo por el cual se ha generado la entrada de registro.

Cmo se configura un firewall en una interfaz no compatible?


Cisco SDM puede configurar un firewall en un tipo de interfaz no admitido por Cisco SDM. Para poder configurar el firewall, primero es preciso utilizar la CLI del router para configurar la interfaz. La interfaz deber tener, como mnimo, una direccin IP configurada y deber estar en funcionamiento. Para obtener ms informacin acerca de cmo configurar una interfaz mediante el CLI, consulte la Gua de configuracin del software correspondiente al router. Para verificar que la conexin funciona, compruebe que el estado de la interfaz es Hacia arriba en la ventana Interfaces y conexiones. El extracto siguiente muestra la configuracin de una interfaz ISDN (RDSI) en un router Cisco 3620:
! isdn switch-type basic-5ess ! interface BRI0/0 ! This is the data BRI WIC ip unnumbered Ethernet0/0 no ip directed-broadcast encapsulation ppp no ip mroute-cache dialer map ip 100.100.100.100 name junky 883531601 dialer hold-queue 10 isdn switch-type basic-5ess isdn tei-negotiation first-call isdn twait-disable isdn spid1 80568541630101 6854163 isdn incoming-voice modem

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-16

OL-9963-04

Captulo 6

Crear un firewall Cmo...

En la Gua de configuracin del software correspondiente al router encontrar otras configuraciones. Despus de configurar la interfaz no compatible mediante el CLI, puede utilizar Cisco SDM para configurar el firewall. La interfaz no compatible aparecer como Otros en los campos que enumeran las interfaces del router.

Cmo se configura un firewall despus de configurar una VPN?


Si se coloca un firewall en una interfaz utilizada en una VPN, el firewall debe permitir el trfico entre los pares VPN local y remoto. Si utiliza el asistente para firewall bsico o avanzado, Cisco SDM permitir automticamente que el trfico fluya entre pares VPN. Si crea una regla de acceso en el Editor ACL disponible en Tareas adicionales, tendr el control absoluto sobre las declaraciones de permiso y denegacin y deber cerciorarse de que el trfico est autorizado a fluir entre homlogos VPN. Las declaraciones siguientes son ejemplos de los tipos de declaraciones que deben incluirse en la configuracin para permitir el trfico VPN:
access-list 105 access-list 105 access-list 105 access-list 105 non500-isakmp permit permit permit permit ahp esp udp udp host host host host 123.3.4.5 123.3.4.5 123.3.4.5 123.3.4.5 host host host host 192.168.0.1 192.168.0.1 192.168.0.1 eq isakmp 192.168.0.1 eq

Cmo se puede permitir que pase determinado trfico por una interfaz DMZ?
Siga los pasos siguientes para configurar el acceso a travs del firewall a un servidor Web de una red DMZ:
Paso 1 Paso 2 Paso 3 Paso 4

En el panel izquierdo, seleccione Firewall y lista de control de acceso. Seleccione Firewall avanzado. Haga clic en Iniciar la tarea seleccionada. Haga clic en Siguiente. Aparece la pantalla Configuracin de la interfaz de firewall de Internet avanzada.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-17

Captulo 6 Cmo...

Crear un firewall

Paso 5 Paso 6 Paso 7 Paso 8 Paso 9 Paso 10 Paso 11 Paso 12

En la tabla Interfaz, seleccione qu interfaces se conectan a las redes dentro del firewall y cules lo hacen a redes de fuera del firewall. En el campo Interfaz DMZ, seleccione la interfaz que se conecta a la red DMZ. Haga clic en Siguiente>. En el campo Direccin IP, especifique la direccin IP o intervalo de direcciones IP del servidor o servidores Web. En el campo Servicio, seleccione TCP. En el campo Puerto, especifique 80 o www. Haga clic en Siguiente>. Haga clic en Finalizar.

Cmo se modifica un firewall existente para permitir el trfico procedente de una nueva red o host?
Puede utilizar la ficha Editar poltica de firewall para modificar la configuracin de firewall y permitir el trfico procedente de una nueva red o host.
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione Firewall y lista de control de acceso. Haga clic en la ficha Editar poltica de firewall. En el panel de seleccin del trfico elija una interfaz Desde y una interfaz Hasta para especificar el flujo de trfico al cual se ha aplicado el firewall y, a continuacin, haga clic en Ir. Si se ha aplicado un firewall al flujo de trfico, aparecer un icono de firewall en el grfico del router. Si el flujo de trfico que selecciona no muestra la regla de acceso que debe modificar, seleccione una interfaz Desde y una interfaz Hasta distintas. Examine la regla de acceso en el rea Servicio. Utilice el botn Agregar para mostrar el cuadro de dilogo de una nueva entrada de regla de acceso. Especifique una declaracin de permiso para la red o host a los que desea permitir el acceso a la red. Haga clic en Aceptar en el cuadro de dilogo de la entrada de regla. En el rea Servicio aparece la nueva entrada. Utilice los botones Cortar y Pegar para cambiar la posicin de la entrada en la lista, si es necesario.

Paso 4 Paso 5 Paso 6 Paso 7

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-18

OL-9963-04

Captulo 6

Crear un firewall Cmo...

Cmo se configura NAT en una interfaz no admitida?


Cisco SDM puede configurar la traduccin de direcciones de red (NAT) en un tipo de interfaz no compatible con Cisco SDM. Para poder configurar el firewall, primero es preciso utilizar la CLI del router para configurar la interfaz. La interfaz deber tener, como mnimo, una direccin IP configurada y deber estar en funcionamiento. Para verificar que la conexin funcione, verifique que el estado de la interfaz sea activo. Despus de configurar la interfaz no compatible mediante el CLI, puede configurar NAT. La interfaz no admitida aparecer como Otro en la lista de interfaces del router.

Cmo se configura el paso de NAT (NAT Passthrough) para un firewall?


Si ha configurado la NAT y se dispone a configurar el firewall, deber hacerlo de tal forma que autorice el trfico procedente de la direccin IP pblica. Para ello, es necesario configurar una ACL. Para configurar una lista de control de acceso que permita el trfico procedente de la direccin IP pblica:
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione Tareas adicionales. En el rbol Reglas, haga clic en Editor ACL y, a continuacin, en el botn Reglas de acceso. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una regla. En el campo Nombre/Nmero, especifique un nombre o un nmero exclusivo para la regla nueva. En el campo Tipo, seleccione Regla estndar. En el campo Descripcin, introduzca una breve descripcin de la nueva regla, como Permitir el paso de NAT. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una entrada de regla estndar. En el campo Accin, seleccione Permitir.

Paso 4 Paso 5 Paso 6 Paso 7

Paso 8

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-19

Captulo 6 Cmo...

Crear un firewall

Paso 9 Paso 10 Paso 11 Paso 12 Paso 13

En el campo Tipo, seleccione Host. En el campo Direccin IP, especifique la direccin IP pblica. En el campo Descripcin, introduzca una breve descripcin como Direccin IP pblica. Haga clic en Aceptar. Haga clic en Aceptar. Ahora, la nueva regla aparecer en la tabla Reglas de acceso.

Cmo se permite que el trfico llegue al concentrador Easy VPN a travs del firewall?
Para poder permitir el trfico por medio del firewall hacia un concentrador VPN, debe crear o modificar las regla de acceso que permitan el trfico VPN. Para ello:
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione Tareas adicionales. En el rbol Reglas, haga clic en Editor ACL y, a continuacin, en el botn Reglas de acceso. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una regla. En el campo Nombre/Nmero, especifique un nombre o un nmero exclusivo para esta regla. En el campo Descripcin, introduzca una breve descripcin de la regla, como Trfico del concentrador VPN. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una entrada de regla ampliada. En el grupo Red/host de origen, del campo Tipo, seleccione Una red. En los campos Direccin IP y Mscara inversa, especifique la direccin IP y la mscara de red del homlogo de origen de VPN. En el grupo Red/host de destino, del campo Tipo, seleccione Una red.

Paso 4 Paso 5 Paso 6

Paso 7 Paso 8 Paso 9

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-20

OL-9963-04

Captulo 6

Crear un firewall Cmo...

Paso 10 Paso 11 Paso 12 Paso 13 Paso 14

En los campos Direccin IP y Mscara inversa, especifique la direccin IP y la mscara de red del homlogo de destino de VPN. En el grupo Protocolo y servicio, seleccione TCP. En los campos Puerto de origen, seleccione = y especifique el nmero de puerto 1023. En los campos Puerto de destino, seleccione = y especifique el nmero de puerto 1723. Haga clic en Aceptar. En el rea Entrada de regla aparece la nueva entrada de regla. Repita los pasos 1 a 8 con el fin de crear entradas de regla para los protocolos y, si es aplicable, los nmeros de puerto que se indican a continuacin:

Paso 15

Protocolo IP, protocol IP GRE Protocolo UDP, Puerto de origen 500, Puerto de destino 500 Protocolo IP, protocol IP ESP Protocolo UDP, Puerto de origen 10000, Puerto de destino 10000

Paso 16

Haga clic en Aceptar.

Cmo se asocia una regla a una interfaz?


Si utiliza el asistente para firewall de Cisco SDM, las reglas de acceso e inspeccin que cree se asociarn automticamente a la interfaz para la que ha creado el firewall. Si desea crear una regla en Tareas adicionales/Editor ACL, puede asociarla a una interfaz en la ventana Agregar/Editar una regla. Si no la asocia a ninguna interfaz en ese momento, podr hacerlo igualmente ms adelante.
Paso 1 Paso 2

Haga clic en Interfaces y conexiones del panel izquierdo y en Editar interfaz/conexin. Seleccione la interfaz a la cual desea asociar una regla y haga clic en Editar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-21

Captulo 6 Cmo...

Crear un firewall

Paso 3

En la ficha Asociacin, especifique el nmero o nombre de la regla en los campos Entrante o Saliente de los cuadros Regla de acceso o Regla de inspeccin. Si desea que la regla filtre el trfico antes de entrar en la interfaz, utilice el campo Entrante. Si desea que la regla filtre el trfico que ya ha entrado en el router, aunque posiblemente lo abandone por medio de la interfaz seleccionada, utilice el campo Saliente. Haga clic en Aceptar de la ficha Asociacin. En la ventana Reglas de acceso o Reglas de inspeccin, examine la columna Usado por para verificar que la regla se ha asociado a la interfaz.

Paso 4 Paso 5

Cmo se anula la asociacin de una regla de acceso con una interfaz?


Puede que sea necesario eliminar la asociacin entre una regla de acceso y una interfaz, en cuyo caso no se elimina la regla de acceso. Puede asociarla a otras interfaces, si lo desea. Para eliminar la asociacin entre estos dos tipos de regla, realice los pasos siguientes:
Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Paso 7

Haga clic en Interfaces y conexiones del panel izquierdo y en Editar interfaz/conexin. Seleccione la interfaz cuya asociacin con la regla de acceso desea anular. Haga clic en Editar. En la ficha Asociacin, busque la regla de acceso en los campos Entrante o Saliente del cuadro Regla de acceso. sta puede tener un nombre o nmero. Haga clic en el campo Entrante o Saliente y en el botn de la derecha. Haga clic en Ninguno (Borrar la asociacin de reglas). Haga clic en Aceptar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-22

OL-9963-04

Captulo 6

Crear un firewall Cmo...

Cmo se elimina una regla que est asociada a una interfaz?


Cisco SDM no permite eliminar una regla que est asociada a una interfaz; en primer lugar, debe anular la asociacin entre la regla y la interfaz y, a continuacin, eliminar la regla de acceso.
Paso 1 Paso 2 Paso 3 Paso 4 Paso 5

Haga clic en Interfaces y conexiones del panel izquierdo y en Editar interfaz/conexin. Seleccione la interfaz cuya asociacin con la regla desea anular. Haga clic en Editar. En la ficha Asociacin, busque la regla en los campos Regla de acceso o Regla de inspeccin. sta puede tener un nombre o nmero. Busque la regla en la ficha Asociacin. Si se trata de una regla de acceso, haga clic en Ninguno (Borrar la asociacin de reglas). Si se trata de una regla de inspeccin, haga clic en Ninguno. Haga clic en Aceptar. Haga clic en Reglas en el panel izquierdo. Utilice el rbol Reglas para ir a las ventanas Regla de acceso o Regla de inspeccin. Seleccione la regla que desea quitar y haga clic en Eliminar.

Paso 6 Paso 7 Paso 8

Cmo se crea una regla de acceso para una lista Java?


Las reglas de inspeccin permiten especificar listas Java. Una lista Java se utiliza para permitir el flujo de trfico de subprogramas Java procedente de fuentes fiables. Estas fuentes se definen en una regla de acceso que se menciona en la lista Java. Para crear este tipo de regla de acceso y utilizarla en una lista Java, realice los pasos siguientes:
Paso 1

Si se encuentra en la ventana Reglas de inspeccin y ha hecho clic en Lista Java, haga clic en el botn a la derecha del campo Nmero y en Cree una nueva regla (ACL) y seleccione. Se abre la ventana Agregar una regla. Si se encuentra en la ventana Reglas de acceso, haga clic en Agregar para abrir la ventana Agregar una regla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-23

Captulo 6 Cmo...

Crear un firewall

Paso 2

En la ventana Agregar una regla, cree una regla de acceso estndar que permita el trfico desde las direcciones que considere fiables. Por ejemplo, si quisiera permitir los subprogramas Java de los hosts 10.22.55.3 y 172.55.66.1, podra crear las entradas de regla de acceso siguientes en la ventana Agregar una regla:
permit host 10.22.55.3 permit host 172.55.66.1

Puede proporcionar descripciones de las entradas y una descripcin de la regla. No es necesario asociar la regla a la interfaz a la que va a aplicar la regla de inspeccin.
Paso 3 Paso 4 Paso 5

Haga clic en Aceptar en la ventana Agregar una regla. Si ha iniciado este procedimiento desde la ventana Reglas de inspeccin, haga clic en Aceptar en la ventana Lista Java. No es necesario realizar los pasos 5 y 6. Si ha iniciado este procedimiento en la ventana Reglas de acceso, vaya a la ventana Reglas de inspeccin y seleccione la regla de inspeccin para la que desea crear una lista Java y, a continuacin, haga clic en Editar. Marque http en la columna Protocolos y haga clic en Lista Java. En el campo Nmero de lista Java, especifique el nmero de la lista de acceso que ha creado. Haga clic en Aceptar.

Paso 6 Paso 7

Cmo se permite que trfico determinado entre en la red si no se dispone de una red DMZ?
El asistente para firewall permite especificar el trfico que desea permitir en la red DMZ. Si no dispone de una red DMZ, puede permitir igualmente los tipos de trfico externo que indique en la red mediante la funcin de poltica de firewall.
Paso 1 Paso 2 Paso 3

Configure un firewall mediante el asistente para firewall. Haga clic en Editar poltica de firewall/Lista de control de acceso. Para mostrar la regla de acceso que necesita modificar, seleccione la interfaz externa (no fiable) como interfaz Desde, y la interfaz interna (fiable) como la interfaz Hasta. Se mostrar la regla de acceso aplicada al trfico entrante en la interfaz no fiable.

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-24

OL-9963-04

Captulo 6

Crear un firewall Cmo...

Paso 4 Paso 5 Paso 6

Para permitir un determinado tipo de trfico en la red que todava no est autorizado, haga clic en Agregar en el rea Servicio. Cree las entradas que necesita en el cuadro de dilogo de entrada de reglas. Debe hacer clic en Agregar para cada una de ellas. Las entradas que cree aparecern en la lista de entradas del rea Servicio.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

6-25

Captulo 6 Cmo...

Crear un firewall

Gua del usuario de Cisco Router and Security Device Manager 2.4

6-26

OL-9963-04

CAPTULO

Poltica de firewall
La funcin Poltica de firewall permite ver y modificar las configuraciones de firewall (reglas de acceso y reglas de inspeccin CBAC) en el contexto de las interfaces cuyo trfico filtran. Con la ayuda de una representacin grfica del router y sus interfaces correspondientes, puede seleccionar distintas interfaces en el router y ver si se ha aplicado una regla de acceso o regla de inspeccin a dicha interfaz. Tambin puede ver los detalles de las reglas mostradas en la ventana Editar poltica de firewall/Lista de control de acceso.

Editar poltica de firewall/Lista de control de acceso


Utilice la ventana Editar Poltica de firewall/Lista de control de acceso para ver las reglas de acceso e inspeccin en un contexto que muestre las interfaces a las que se asocian las reglas. Utilcela tambin para modificar las reglas de acceso e inspeccin que se muestran.

Configurar un firewall antes de utilizar la funcin Poltica de firewall


Antes de utilizar la ventana Editar Poltica de firewall/Lista de control de acceso, debe realizar las tareas siguientes:
1.

Configurar las interfaces LAN y WAN. Antes de crear un firewall debe configurar las interfaces LAN y WAN. Puede utilizar los asistentes para LAN y WAN, respectivamente, para configurar conexiones para el router.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-1

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

2.

Utilizar el Asistente para firewall para configurar un firewall y una DMZ. El Asistente para firewall es el modo ms sencillo de aplicar reglas de acceso e inspeccin a las interfaces interna y externa que usted identifique. Adems, le permite configurar una interfaz DMZ y especificar los servicios que deben permitirse en la red DMZ. Ir a la ventana Poltica de firewall para editar la poltica de firewall que ha creado. Tras configurar las interfaces LAN y WAN y crear un firewall, puede abrir esta ventana y obtener una representacin grfica de la poltica en un flujo de trfico. Puede ver las entradas de reglas de acceso e inspeccin y efectuar los cambios oportunos.

3.

Utilizar la funcin Vista de poltica del firewall


Una vez creado el firewall, puede utilizar la ventana Vista de poltica del firewall para obtener una representacin grfica del firewall en el contexto de las interfaces del router, as como para realizar las modificaciones oportunas. Para obtener ms informacin, haga clic en la accin que desea realizar:

Seleccionar un flujo de trfico Examinar el diagrama de trfico y seleccionar una direccin de trfico Realizar cambios a las reglas de acceso Realizar cambios a las reglas de inspeccin

Si desea ver un ejemplo, consulte Escenario de utilizacin de polticas de firewall.

Nota

Si el router utiliza una imagen de Cisco IOS que no admite el conjunto de funciones del firewall, slo se mostrar el rea Servicios y slo podr crear entradas de control de acceso.

Botn Aplicar cambios


Haga clic en este botn para enviar al router los cambios efectuados en esta ventana. Si abandona la ventana Editar poltica de firewall/Lista de control de acceso sin marcar la opcin Aplicar cambios, Cisco SDM muestra un mensaje indicando que debe aplicar los cambios o descartarlos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-2

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Botn Descartar cambios


Haga clic en este botn para descartar los cambios efectuados en esta ventana. Este botn no le permite anular los cambios que haya enviado al router mediante el botn Aplicar cambios.

Seleccionar un flujo de trfico


Flujo de trfico hace referencia al trfico que entra al router en una interfaz especfica (la interfaz desde) y sale del router en una interfaz especfica (la interfaz hasta). Los controles de visualizacin del flujo de trfico de Cisco SDM se ubican en una fila en la parte superior de la ventana Editar Poltica de firewall/Lista de control de acceso.

Nota

Es necesario que se haya configurado un mnimo de dos interfaces en el router. Si slo hay una, Cisco SDM mostrar un mensaje indicando que el usuario debe configurar otra interfaz. La siguiente tabla define los controles de visualizacin del flujo de trfico de Cisco SDM.
Desde

Seleccione la interfaz desde la cual se origina el flujo de trfico que desea. El firewall proteger la red conectada a la interfaz Desde. La lista desplegable Desde slo contiene interfaces con direcciones IP configuradas. Seleccione la interfaz desde la cual el trfico sale del router. La lista desplegable Hasta slo contiene interfaces con direcciones IP configuradas. Botn Detalles. Haga clic aqu para ver los detalles acerca de la interfaz. Se obtienen detalles del tipo direccin IP, tipo de encapsulacin, poltica IPSec asociada y tipo de autenticacin.

Hasta

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-3

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Botn Ir

Haga clic para actualizar el diagrama de flujo de trfico con informacin acerca de las interfaces que ha seleccionado. El diagrama no se actualizar hasta que haga clic en Ir. El botn Ir estar desactivado si no ha seleccionado ninguna interfaz Desde o Hasta, o bien, si las interfaces Desde y Hasta coinciden. Seleccione Alternar las interfaces Desde y Hasta para alternar las interfaces que seleccion originalmente en las listas desplegables Desde y Hasta. Puede utilizar esta opcin si desea crear un firewall que proteja la red conectada a la interfaz Desde y la red conectada a la interfaz Hasta. Puede seleccionar Vista de todas las ACL en el flujo del trfico cuando se haya aplicado una regla de acceso a la interfaz Desde y otra regla de acceso a la interfaz Hasta para una direccin de trfico que haya elegido. Las entradas de ambas reglas de acceso aparecen en otra ventana.

Opcin Ver

Cisco SDM muestra las interfaces que tienen direcciones IP en orden alfabtico en las listas desplegables Desde y Hasta. Por defecto, Cisco SDM selecciona la primera interfaz de la lista Desde, y la segunda interfaz de la lista Hasta. Utilice las listas desplegables Desde y Hasta para seleccionar un flujo de trfico diferente. El flujo de trfico seleccionado se muestra en el diagrama de trfico debajo de los controles de visualizacin del flujo de trfico. Por ejemplo, para ver el flujo de trfico de una red conectada a la interfaz del router Ethernet 0, que abandona el router por la interfaz Serie 0, siga estos pasos:
Paso 1 Paso 2 Paso 3 Paso 4

Seleccione Ethernet 0 en la lista desplegable Desde. Seleccione Serie 0 en la lista desplegable Hasta. Haga clic en Ir. Para cambiar las interfaces en las listas desplegables Desde y Hasta, seleccione Alternar las interfaces Desde y Hasta desde la lista desplegable Opcin Ver. Las reglas de acceso que se aplican al trfico de origen y de vuelta pueden ser diferentes. Para obtener ms informacin acerca de cmo alternar entre el trfico de origen y de vuelta en la visualizacin en el diagrama de trfico, consulte Examinar el diagrama de trfico y seleccionar una direccin de trfico.

Paso 5

Haga clic en el botn Detalles junto a la lista desplegable Desde o Hasta para abrir una ventana que muestre la direccin IP, la poltica IPSec e informacin adicional de una interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-4

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Para trabajar con el diagrama de trfico, consulte Examinar el diagrama de trfico y seleccionar una direccin de trfico. Para volver a la descripcin de la ventana Poltica de firewall principal, consulte Editar poltica de firewall/Lista de control de acceso.

Examinar el diagrama de trfico y seleccionar una direccin de trfico


El diagrama de trfico muestra el router con las interfaces Desde y Hasta seleccionadas (para obtener ms informacin, consulte Seleccionar un flujo de trfico). Tambin muestra los tipos de reglas que se aplican al flujo de trfico seleccionado, adems de la direccin en la cual se aplican.

Trfico de origen
Haga clic para resaltar el flujo de trfico que entra al router en la interfaz Desde y sale del router en la interfaz Hasta. Cuando esta rea se muestra resaltada, puede ver los detalles de las reglas aplicadas en la direccin del flujo de trfico.

Trfico de vuelta
Haga clic para resaltar el flujo de trfico que entra al router en la interfaz Hasta y sale del router en la interfaz Desde. Cuando esta rea se muestra resaltada, puede ver los detalles de las reglas aplicadas al trfico de vuelta.

Iconos
Las reglas se representan mediante iconos en el flujo de trfico: Un smbolo de filtro indica que se aplica una regla de acceso. La lupa indica que se aplica una regla de inspeccin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-5

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Un icono de firewall en el router indica que se ha aplicado un firewall al flujo de trfico de origen. Cisco SDM muestra un icono de firewall si se cumplen los criterios siguientes:

Existe una regla de inspeccin aplicada al trfico de origen en la direccin entrante de la interfaz Desde, y una regla de acceso aplicada a la direccin entrante de la interfaz Hasta. La regla de acceso en la direccin entrante de la interfaz Hasta es una regla de acceso ampliada que contiene como mnimo una entrada de regla de acceso.

Si se ha aplicado un firewall al trfico de vuelta, no aparece ningn icono de firewall. Si la funcin Firewall est disponible, pero no se ha aplicado ningn firewall al flujo de trfico, aparecer la indicacin Firewall IOS: Inactivo debajo del diagrama de trfico. Las reglas aplicadas al trfico de origen se indican mediante una flecha hacia a la derecha. Un icono en la lnea de trfico de la interfaz de origen indica la presencia de una regla que filtra el trfico que entra en el router. Un icono en la lnea de trfico de la interfaz Hasta indica la presencia de una regla que filtra el trfico que sale del router. Si coloca el ratn encima de este icono, Cisco SDM mostrar los nombres de las reglas que se han aplicado. Las reglas aplicadas al trfico de vuelta se indican mediante una flecha hacia a la izquierda. Un icono en la lnea de trfico de la interfaz Hasta indica la presencia de una regla que filtra el trfico que entra en el router. Un icono en la lnea de trfico de la interfaz Desde indica la presencia de una regla que filtra el trfico que sale del router. Al colocar el cursor encima de este icono, se muestran los nombres de las reglas aplicadas.

Nota

Si bien los iconos se muestran en una interfaz concreta del diagrama, una poltica de firewall podra contener entradas de control de acceso que afecten al trfico que no est representado por el diagrama. Por ejemplo, una entrada que contiene el icono comodn en la columna Destino (consulte Realizar cambios a las reglas de acceso) podra aplicarse al trfico que sale de interfaces distintas de la representada por la interfaz Hasta seleccionada actualmente. El icono comodn aparece como un asterisco y representa cualquier red o host.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-6

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Para realizar cambios a una regla de acceso, consulte Realizar cambios a las reglas de acceso. Para volver a la descripcin de la ventana Poltica de firewall principal, consulte Editar poltica de firewall/Lista de control de acceso.

Realizar cambios a las reglas de acceso


El panel Poltica muestra los detalles de las reglas aplicadas al flujo de trfico seleccionado. El panel Poltica se actualiza cuando se seleccionan las interfaces Desde y Hasta y cuando el diagrama de trfico pasa del modo Trfico de origen a Trfico de vuelta, y viceversa. El panel Poltica est vaco si se ha asociado a una interfaz una regla de acceso que no contiene ninguna entrada. Por ejemplo, si se ha asociado un nombre de regla a una interfaz mediante el CLI, pero no se han creado entradas para la regla, este panel aparecer vaco. Si el panel Poltica est vaco, puede utilizar el botn Agregar para crear entradas para la regla.

Campos de encabezado del rea Servicio

Disponibilidad de funciones del firewall Regla de acceso Regla de inspeccin

Si la imagen de Cisco IOS que utiliza el router admite la funcin Firewall, este campo contiene el valor Disponible. Nombre o nmero de la regla de acceso cuyas entradas se muestran. Nombre de la regla de inspeccin cuyas entradas se muestran. Este icono aparece cuando se ha asociado una regla de acceso a una interfaz, pero no se ha creado ninguna regla de acceso con ese nombre o nmero. Cisco SDM le notifica que la poltica no tendr ningn efecto a no ser que exista como mnimo una entrada de regla de acceso.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-7

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Controles del rea Servicio


La tabla siguiente describe los controles del rea Servicio.
Botn Agregar

Haga clic aqu para agregar una entrada de regla de acceso. Especifique si desea agregar la entrada antes o despus de la entrada seleccionada actualmente. A continuacin, cree la entrada en la ventana Agregar una entrada. No olvide que el orden de las entradas es importante. Cisco SDM muestra el cuadro de dilogo Entrada ampliada cuando se agrega una entrada de la ventana Editar Poltica de firewall/Lista de control de acceso. Para agregar una entrada de regla estndar, vaya a Tareas adicionales > Editor ACL > Reglas de acceso. Haga clic para editar una entrada de regla de acceso seleccionada. A pesar de que slo se pueden agregar entradas de reglas ampliadas en la ventana Editar poltica de firewall/Lista de control de acceso, no se le impide editar una entrada de regla estndar que ya se haya aplicado a una interfaz seleccionada. Haga clic para eliminar una entrada de regla de acceso seleccionada. La entrada se coloca en el portapapeles y puede pegarse en otra posicin de la lista, o bien, en otra regla de acceso. Si desea cambiar el orden de una entrada, puede cortarla desde una ubicacin, seleccionar una entrada antes o despus de la ubicacin que desea para la entrada cortada y hacer clic en Pegar. El men contextual Pegar permite colocar la entrada antes o despus de la entrada que ha seleccionado. Seleccione una entrada de regla y haga clic para colocarla en el portapapeles. Haga clic para pegar una entrada del portapapeles en la regla seleccionada. Se le pedir que especifique si desea pegar la entrada antes o despus de la entrada seleccionada actualmente. Si Cisco SDM determina que ya existe una entrada idntica en la regla de acceso, muestra la ventana Agregar una entrada de regla ampliada para que pueda modificar la entrada. Cisco SDM no permite entradas duplicadas en la misma regla de acceso.

Botn Editar

Botn Cortar

Botn Copiar Botn Pegar

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-8

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Lista desplegable de interfaces

Si el flujo de trfico seleccionado (de origen o de vuelta) contiene una regla de acceso en la interfaz Desde y en la interfaz Hasta, puede utilizar esta lista para alternar entre las dos reglas. Si el flujo de trfico seleccionado no tiene aplicado ningn firewall, seleccione trfico de origen y haga clic en el botn Aplicar firewall para aplicarle uno. Por defecto, al hacer clic en Aplicar firewall se asociar una regla de inspeccin por defecto de Cisco SDM a la direccin entrante de la interfaz Desde, y una regla de acceso a la direccin entrante de la interfaz Hasta que deniegue el trfico. Si la imagen de Cisco IOS que se ejecuta en el router no admite la funcin Firewall, este botn estar desactivado. Por ejemplo, para aplicar un firewall que proteja la red conectada a la interfaz Ethernet 0 del trfico que entra en la interfaz Ethernet 1, seleccione Ethernet 0 desde la lista desplegable Desde, y Ethernet 1 desde la lista desplegable Hasta. A continuacin, haga clic en Aplicar firewall. Si desea aplicar un firewall que proteja la red conectada a la interfaz Ethernet 1 del trfico que entra en la interfaz Ethernet 0, vaya a Tareas adicionales > Editor ACL > Reglas de acceso.

Los botones del rea Servicio aparecen desactivados si la regla es de slo lectura. Una regla es de slo lectura cuando contiene una sintaxis no admitida en Cisco SDM. Las reglas de slo lectura se indican con este icono: . Si hay una regla estndar existente que filtra el flujo de trfico de vuelta al cual va a aplicar el firewall, Cisco SDM le notifica que convertir la regla de acceso estndar en una regla ampliada.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-9

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Campos de entrada del rea Servicio


La tabla siguiente describe los iconos y otros datos en las entradas del rea Servicio. Campo
Accin

Descripcin Indica si se permitir o denegar el trfico Direccin del host o de red, o cualquier host o red.

Iconos

Significado Permitir el trfico de origen Denegar el trfico de origen

Origen/ Destino

Direccin de una red

Direccin de un host Cualquier red o host


Servicio

Tipo de servicio filtrado.

Ejemplos: TCP, EIGRP, UDP, GRE. Consulte Servicios IP. Ejemplos: Telnet, http, FTP. Consulte Servicios TCP. Ejemplos: SNMP, bootpc, RIP. Consulte Servicios UDP. IGMP (Internet Group Management Protocol). Ejemplos: echo-reply, host-unreachable. Consulte Tipos de mensajes ICMP.

Registro

Indica si se registra el trfico denegado

Registro del trfico denegado. Para configurar el servicio de registro para los firewalls, vea Registro de firewall.

Opcin Descripcin

Opciones configuradas No hay iconos. mediante el CLI. Cualquier descripcin suministrada. No hay iconos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-10

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Para realizar cambios a las reglas de inspeccin, consulte Realizar cambios a las reglas de inspeccin. Para volver a la descripcin de la ventana Poltica de firewall principal, consulte Editar poltica de firewall/Lista de control de acceso.

Realizar cambios a las reglas de inspeccin


El rea Aplicaciones aparece si la imagen de Cisco IOS que se ejecuta en el router admite las reglas de inspeccin CBAC. El rea Aplicaciones muestra las entradas de reglas de inspeccin que filtran el flujo de trfico, y se actualiza cada vez que se selecciona un nuevo flujo de trfico. Se muestra la regla de inspeccin que afecta a la direccin seleccionada del trfico. El rea Aplicaciones mostrar uno de los elementos siguientes para el Trfico de origen:

La regla de inspeccin que se ha aplicado a la direccin entrante de la interfaz de origen, si la hay. La regla de inspeccin que se aplica a la direccin saliente de la interfaz Hasta, si la direccin entrante de la interfaz Desde no tiene ninguna regla de inspeccin aplicada.

Alternar las interfaces Desde y Hasta para hacer aparecer otras reglas en la vista
Las reglas de inspeccin aplicadas al Trfico de vuelta no se muestran. Puede mostrar una regla de inspeccin aplicada al Trfico de vuelta seleccionando Alternar las interfaces Desde y Hasta en el men Opcin Ver. En la ventana Seguridad de la aplicacin de la tarea Firewall y Lista de control de acceso, puede ver tambin reglas de inspeccin que no se muestran en la ventana Editar poltica de firewall/Lista de control de acceso. Este icono aparece cuando dos reglas de inspeccin se encuentran en la direccin de trfico seleccionada. Cisco SDM tambin muestra un cuadro de dilogo de advertencia que le brinda la oportunidad de anular la asociacin de una de las reglas de inspeccin con la interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-11

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Controles del rea Aplicacin


La siguiente es una lista de controles del rea Aplicacin: Agregar: haga clic para agregar una regla de inspeccin. Si no existe ninguna regla de inspeccin, puede agregar la que proporciona Cisco SDM por defecto, o bien, puede crear y agregar una regla de inspeccin personalizada. Si agrega la regla de inspeccin por defecto de Cisco SDM a un flujo de trfico sin ninguna regla de inspeccin, se asociar al trfico entrante en la interfaz Desde. Puede agregar una entrada para una aplicacin especfica tanto si existe una regla de inspeccin como si no. Editar: haga clic para editar una entrada seleccionada. Eliminar: haga clic para eliminar una entrada seleccionada. Configuracin global: haga clic para mostrar un cuadro de dilogo que le permita definir lmites de tiempo y umbrales globales. Resumen: haga clic para mostrar el nombre de protocolo o aplicacin y una descripcin de cada entrada. Detalle: haga clic para mostrar el nombre de protocolo o aplicacin, la descripcin, el estado de la alerta, el estado del seguimiento de auditora y la configuracin del lmite de tiempo de cada entrada.

Campos de entrada del rea Aplicacin


La lista siguiente describe los campos de entrada del rea Aplicacin: Protocolo de aplicacin: muestra el nombre de la aplicacin o del protocolo. Por ejemplo, vdolive. Alerta: indica si una alerta est activada (por defecto) o desactivada. Seguimiento de auditora: indica si un seguimiento de auditora est activado o desactivado (por defecto). Lmite de tiempo: muestra el tiempo, en segundos, que debe esperar el router antes de bloquear el trfico de vuelta para este protocolo o aplicacin. Descripcin: muestra una breve descripcin. Por ejemplo, VDOLive protocol. Para volver a la descripcin de la ventana Poltica de firewall principal, consulte Editar poltica de firewall/Lista de control de acceso.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-12

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Agregar entrada de aplicacin nombre_aplicacin


Utilice esta ventana para agregar una entrada de aplicacin que desee que inspeccione el firewall del Cisco IOS.

Accin de alerta
Elija una de las siguientes opciones:

por defecto (activado): deje el valor por defecto. El valor por defecto es activado. activado: activa la alerta. desactivado: desactiva la alerta.

Accin de auditora
Elija una de las siguientes opciones:

por defecto (desactivado): deje el valor por defecto. El valor por defecto es desactivado. activado: activa el seguimiento de auditora. desactivado: desactiva el seguimiento de auditora.

Lmite de tiempo
Especifique el tiempo que debe esperar el router antes de bloquear el trfico de vuelta para este protocolo o aplicacin. El campo contiene el valor por defecto del protocolo o aplicacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-13

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Agregar entrada de aplicacin RPC


Agregue un nmero de programa Remote Procedure Call (RPC) en esta ventana y especifique la configuracin de Alerta, Auditora, Lmite de tiempo y Tiempo de espera.

Accin de alerta
Elija una de las siguientes opciones:

por defecto (activado): deje el valor por defecto. El valor por defecto es activado. activado: activa la alerta. desactivado: desactiva la alerta.

Accin de auditora
Elija una de las siguientes opciones:

por defecto (desactivado): deje el valor por defecto. El valor por defecto es desactivado. activado: activa el seguimiento de auditora. desactivado: desactiva el seguimiento de auditora.

Lmite de tiempo
Especifique el tiempo que debe esperar el router antes de bloquear el trfico de vuelta para este protocolo o aplicacin. El campo contiene el valor por defecto.

Nmero de programa
Especifique un solo nmero de programa en este campo.

Tiempo de espera
Opcionalmente, puede especificar el nmero de minutos durante los cuales se puede permitir el establecimiento de conexiones RPC subsiguientes entre la misma direccin de origen y el mismo puerto y direccin de destino. El tiempo de espera por defecto es de cero minutos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-14

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Agregar entrada de aplicacin de fragmento


En esta ventana, puede agregar una entrada de fragmento a una regla de inspeccin que vaya a configurar en la ventana Editar poltica de firewall/Lista de control de acceso, as como especificar la configuracin de Alerta, Auditora y Lmite de tiempo. Una entrada de fragmento establece el nmero mximo de paquetes no reensamblados que el router debe aceptar antes de rechazarlos.

Accin de alerta
Elija una de las siguientes opciones:

por defecto (activado): deja el valor por defecto. El valor por defecto es activada. activado: activa la alerta. desactivado: desactiva la alerta.

Accin de auditora
Elija una de las siguientes opciones:

por defecto (desactivado): deja el valor por defecto. El valor por defecto es desactivado. activado: activa el seguimiento de auditora. desactivado: desactiva el seguimiento de auditora.

Lmite de tiempo
Especifique el tiempo que debe esperar el router antes de bloquear el trfico de vuelta para este protocolo o aplicacin. El campo contiene el valor por defecto.

Intervalo (opcional)
Especifique el nmero mximo de paquetes no reensamblados que el router debe aceptar antes de rechazarlos. El intervalo puede tener un valor entre 50 y 10000.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-15

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Agregar o editar entrada de aplicacin HTTP


Utilice esta ventana para agregar una aplicacin http a la regla de inspeccin.

Accin de alerta
Elija una de las siguientes opciones:

por defecto (activado): deje el valor por defecto. El valor por defecto es activado. activado: activa la alerta. desactivado: desactiva la alerta.

Accin de auditora
Elija una de las siguientes opciones:

por defecto (desactivado): deje el valor por defecto. El valor por defecto es desactivado. activado: activa el seguimiento de auditora. desactivado: desactiva el seguimiento de auditora.

Lmite de tiempo
Especifique el tiempo que debe esperar el router antes de bloquear el trfico de vuelta para este protocolo o aplicacin. El campo contiene el valor por defecto.

Descarga de host/redes para subprograma Java


Los hosts o redes de origen cuyo trfico de subprogramas se inspeccionar. Se pueden especificar varios hosts o redes. Haga clic en Agregar para mostrar la ventana Bloqueo del subprograma Java, donde puede especificar un host o una red. Haga clic en Eliminar para quitar una entrada de la lista.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-16

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall/Lista de control de acceso

Bloqueo del subprograma Java


Utilice esta ventana para especificar si se deben permitir o denegar los subprogramas Java de un determinado host o red.

Accin
Elija una de las siguientes opciones:

No bloquear (Permitir): permite los subprogramas Java de este host o esta red. Bloquear (Denegar): deniega los subprogramas Java de este host o esta red.

Host/red
Especifique la red o el host.
Tipo

Elija una de las siguientes opciones:

Una red: si selecciona esta opcin, proporcione una direccin de red en el campo Direccin IP. Tenga en cuenta que la mscara inversa permite especificar un nmero de red que puede indicar varias subredes. Un nombre de host o direccin IP: si selecciona esta opcin, proporcione una direccin IP o nombre de host en el campo siguiente. Cualquier direccin IP: si selecciona esta opcin, la accin especificada se aplica a cualquier host o red.

Direccin IP/Mscara comodn

Especifique una direccin de red y, a continuacin, la mscara inversa para indicar qu porcin de la direccin de red debe coincidir exactamente. Por ejemplo, si ha especificado la direccin de red 10.25.29.0 y la mscara inversa 0.0.0.255, se filtrar cualquier subprograma Java con una direccin de origen que contenga 10.25.29. Si la mscara inversa fuese 0.0.255.255, se filtrara cualquier subprograma Java con una direccin de origen que contenga 10.25.
Nombre de host/IP

Este campo aparece si selecciona Un nombre de host o direccin IP en Tipo. Si especifica un nombre de host, asegrese de que la red dispone de un servidor DNS capaz de resolver el nombre de host con la direccin IP correcta.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-17

Captulo 7 Editar poltica de firewall/Lista de control de acceso

Poltica de firewall

Advertencia de Cisco SDM: Regla de inspeccin


Esta ventana aparece cuando Cisco SDM encuentra dos reglas de inspeccin que se han configurado para una direccin en un flujo de trfico. Por ejemplo, puede que se haya aplicado una regla de inspeccin al trfico entrante en la interfaz Desde, y otra al trfico saliente en la interfaz Hasta. Dos reglas de inspeccin no afectarn negativamente al funcionamiento del router, pero podran ser innecesarias. Cisco SDM le permite conservar las reglas de inspeccin en su estado original, quitarlas de la interfaz Desde o de la interfaz Hasta.

No realizar ningn cambio: Cisco SDM no quitar ninguna regla de inspeccin. Mantener el nombre de la regla de inspeccin en <nombre de interfaz> entrante y anular la asociacin del nombre de la regla de inspeccin en <nombre de interfaz> saliente: Cisco SDM conservar una regla de inspeccin y anular la asociacin de la regla con la otra interfaz. Mantener el nombre de la regla de inspeccin en <nombre de interfaz> saliente y anular la asociacin del nombre de la regla de inspeccin en <nombre de interfaz> entrante: Cisco SDM conservar una regla de inspeccin y anular la asociacin de la regla con la otra interfaz.

Antes de seleccionar cualquier elemento y hacer clic en Aceptar, es conveniente que haga clic en Cancelar y determine si necesita agregar entradas a la regla de inspeccin que desea conservar. Para agregar entradas, utilice el botn Agregar situado en la barra de herramientas del rea Aplicacin de la ventana Editar Poltica de firewall/Lista de control de acceso.

Advertencia de Cisco SDM: Firewall


Esta ventana aparece al hacer clic en Aplicar firewall en la ventana Editar poltica de firewall/Lista de control de acceso. Muestra las interfaces a las que se aplicar una regla y describe la regla que aplicar. Ejemplo:
SDM aplicar la configuracin de firewall a las interfaces siguientes: Interfaz interna (fiable): FastEthernet 0/0 * Aplique la regla de inspeccin SDM por defecto entrante. * Aplique la lista de control de acceso entrante. (Anti-spoofing, difusin, retrobucle local, etc.).

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-18

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall

Interfaz externa (no fiable): Serie 1/0 * Aplique la lista de acceso entrante para denegar el trfico de vuelta.

Haga clic en Aceptar para aceptar estos cambios, o haga clic en Cancelar para detener la aplicacin del firewall.

Editar poltica de firewall


La ventana Editar poltica de firewall proporciona una visualizacin grfica de las polticas de firewall en el router y permite agregar ACL a polticas sin salir de la ventana. Lea los procedimientos en las secciones que se indican a continuacin para conocer cmo ver la informacin en esta ventana y agregar reglas.

Acciones que debe realizar antes de ver la informacin en esta ventana


Esta ventana est vaca si no se ha configurado zona, par de zonas o mapa de poltica. Para crear una configuracin bsica que contenga estos elementos, vaya a Configurar > Firewall y Lista de control de acceso > Crear firewall y complete el asistente para Firewall avanzado. Despus de esta accin, puede crear zonas adicionales, pares de zonas y polticas, cuando sea necesario, en Configurar > Tareas adicionales > Zonas para configurar zonas y en Tareas adicionales > Pares de zonas para configurar pares de zonas adicionales. Para crear los mapas de poltica que van a usar los pares de zonas, vaya a Configurar > Tareas adicionales > C3PL. Haga clic en la rama Mapa de poltica para mostrar ramas adicionales que permitan crear mapas de poltica y los mapas de clase que definen el trfico para los mapas de poltica.

Expandir y contraer la visualizacin de una poltica


Cuando se contrae la visualizacin de una poltica, slo se muestra el nombre de la poltica, zona de origen y de destino. Para expandir la visualizacin de la poltica con el fin de mostrar las reglas que componen la poltica, haga clic en el botn + a la izquierda del nombre de la poltica. Una vista expandida de una poltica de firewall se podra ver de la siguiente manera:

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-19

Captulo 7 Editar poltica de firewall

Poltica de firewall

Clasificacin de trfico ID 1 Origen Cualquiera Destino Cualquiera Servicio tcp udp icmp 2 Trfico sin coincidencias poltica de clientes y servidores (clientes a servidores)

Accin

Opciones de regla

Permitir firewall

Rechazar

La poltica de clientes y servidores con nombre de poltica contiene dos ACL. La regla con ID 1 permite el trfico TCP, UDP y ICMP desde cualquier origen a cualquier destino. La regla con ID 2 rechaza cualquier trfico sin coincidencias.

Agregar una nueva regla a una poltica


Para agregar una nueva regla a una poltica, siga estos pasos:
Paso 1

Haga clic en cualquier lugar de la pantalla correspondiente a esa poltica y despus en el botn + Agregar.

Para insertar una regla para trfico nuevo en el orden que desea que seleccione una regla existente, haga clic en el botn + Agregar y seleccione Insertar o Insertar despus. Las opciones Insertar e Insertar despus estn disponibles tambin en un men contextual que se muestra al hacer clic con el botn derecho del mouse en una regla existente. Seleccionar Regla para nuevo trfico coloca automticamente a la nueva regla en la parte superior de la lista. Seleccionar Regla para trfico existente le permite seleccionar un mapa de clase existente y modificarlo. Esto coloca automticamente a la nueva regla en la parte superior de la lista.

Paso 2

Complete el cuadro de dilogo que se muestra. Para obtener ms informacin, haga clic en Agregar una nueva regla.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-20

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall

Reordenar reglas dentro de una poltica


Si una poltica contiene ms de una regla que permite trfico, puede reordenarla al seleccionar una regla y hacer clic en el botn Desplazar hacia arriba o en el botn Desplazar hacia abajo. El botn Desplazar hacia arriba est desactivado si selecciona una regla que ya est en la parte superior de la lista o si selecciona la regla Trfico sin coincidencias. El botn Desplazar hacia abajo est desactivado si selecciona una regla que ya est en la parte inferior de la lista. Tambin puede utilizar los botones Cortar y Pegar para reordenar reglas. Para eliminar una regla de su posicin actual, seleccinela y haga clic en Cortar. Para colocar la regla en una nueva posicin, seleccione una regla existente, haga clic en Pegar y seleccione Pegar o Pegar despus. Las operaciones Desplazar hacia arriba, Desplazar hacia abajo, Cortar, Pegar y Pegar despus estn disponibles tambin en un men contextual que se muestra al hacer clic con el botn derecho del mouse en una regla.

Copiar y pegar una regla


Copiar y pegar una regla es muy til si una poltica contiene una regla que se puede utilizar con pocas modificaciones o con ninguna modificacin en otra poltica. Para copiar una regla, seleccinela y haga clic en el botn Copiar o haga clic con el botn derecho en la regla y seleccione Copiar. Para pegar la regla en una nueva ubicacin, haga clic en Pegar y seleccione Pegar o Pegar despus. Los botones Pegar y Pegar despus tambin estn disponibles en el men contextual. Cuando pega una regla en una nueva ubicacin, se muestra el cuadro de dilogo Agregar una nueva regla para que realice cambios a la regla si es necesario.

Mostrar el diagrama de flujo de reglas


Haga clic en cualquier lugar de una poltica de firewall y, a continuacin, en Diagrama de regla para mostrar el Diagrama de flujo de reglas para esa poltica. El Diagrama de flujo de reglas muestra la zona de origen al lado derecho del icono del router, y la zona de destino al lado izquierdo del icono.

Aplicar los cambios


Para enviar los cambios al router, haga clic en Aplicar cambios al final de la pantalla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-21

Captulo 7 Editar poltica de firewall

Poltica de firewall

Descartar los cambios


Para descartar los cambios que realiz, pero que no envi al router, haga clic en Descartar cambios al final de la pantalla.

Agregar una nueva regla


Defina un flujo de trfico y especifique protocolos para inspeccionar en la ventana Agregar una regla. Para agregar una nueva regla, siga estos pasos.
Paso 1

En el campo Origen y Destino, especifique que el trfico fluye entre una red y otra, seleccionando Red, o que el trfico fluye entre entidades que pueden ser redes o que pueden ser hosts individuales, seleccionando Cualquiera. Especifique un nombre para el flujo de trfico en el campo Nombre de trfico. Haga clic en Agregar junto a las columnas Red de origen y Red de destino, y agregue direcciones de red de origen y destino. Puede agregar mltiples entradas para las redes de origen y destino, y puede editar una entrada existente si la selecciona y hace clic en Editar. Reordene cualquier entrada, cuando sea necesario, seleccionndola y haciendo clic en Desplazar hacia arriba o Desplazar hacia abajo. El botn Desplazar hacia arriba est desactivado cuando la entrada seleccionada ya est en la parte superior de la lista. El botn Desplazar hacia abajo est desactivado cuando la entrada seleccionada ya est en la parte inferior de la lista. En el campo Nombre de servicio, especifique un nombre que describa los protocolos o servicios que est identificando para inspeccin. Para agregar un servicio, haga clic en una rama del rbol en la columna de la izquierda, seleccione el servicio y haga clic en Agregar>>. Haga clic en el icono + junto a una rama para mostrar los servicios disponibles de ese tipo. Para eliminar un servicio de la columna derecha, seleccinelo y haga clic en <<Eliminar.

Paso 2 Paso 3

Paso 4

Paso 5 Paso 6

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-22

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall

Paso 7

Especifique cmo desea que se maneje el trfico. Para esto, seleccione Permitir firewall, Permitir lista de control de acceso o Rechazar en el campo Accin. Si selecciona Permitir firewall, puede hacer clic en Avanzado y seleccionar un elemento de men para definir la accin, como, por ejemplo, inspeccionar los protocolos que seleccion en la casilla de servicio. Para obtener ms informacin, consulte los temas de ayuda:

Inspeccin de aplicacin Filtro URL Calidad de servicio (QoS) Parmetro de inspeccin

Paso 8 Paso 9

Si especific Rechazar como la accin, puede hacer clic en Registrar para registrar el evento. Haga clic en Aceptar para cerrar este cuadro de dilogo y enviar los cambios al a router.

Agregar trfico
Utilice el cuadro de dilogo Add Traffic para crear una entrada de direccin de origen y destino para una regla.

Accin
Utilice las opciones Incluir o Excluir para especificar si desea que la regla se aplique al trfico intercambiado entre las direcciones de origen y destino. Seleccione Incluir para incluir este trfico en la regla. Seleccione Excluir para que este trfico se excluya de la regla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-23

Captulo 7 Editar poltica de firewall

Poltica de firewall

Host/red de origen y Host/red de destino


Especifique el origen y el destino del trfico en estos campos.
Tipo

Elija uno de los valores siguientes:


Cualquier direccin IP: seleccione esta opcin si no desea limitar el trfico de origen y destino a ningn host o direccin. Una red: seleccione esta opcin para especificar una direccin de red como el origen o el destino, y especifique la direccin de red en los campos Direccin IP y Mscara comodn. Nombre o direccin IP de un host: seleccione esta opcin para especificar el nombre o la direccin IP de un host. Despus, especifique el host en el campo Nombre de host/IP.

Direccin IP

Especifique la direccin de la red. Este campo se muestra cuando selecciona Una red en el campo Tipo.
Mscara comodn

Introduzca la mscara comodn que especifica los bits que se usan para la direccin de red. Por ejemplo, si la direccin de red es 192.168.3.0, especifique 0.0.0.255 como la mscara. Este campo se muestra cuando selecciona Una red en el campo Tipo.
Nombre de host/IP

Especifique el nombre o la direccin IP de un host en este campo: Si especifica un nombre, el router debe estar activado para contactar a un servidor DNS para poder resolver el nombre como una direccin IP. Este campo se muestra cuando selecciona Un nombre de host o direccin IP en el campo Tipo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-24

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall

Inspeccin de aplicacin
Configure la inspeccin profunda de paquetes para cualquiera de las aplicaciones o protocolos que se indican en esta pantalla. Para esto, haga clic en la casilla junto a la aplicacin o al protocolo, haga clic en el botn a la derecha del campo y especifique Crear o Seleccionar en el men contextual. Seleccione Crear para configurar un nuevo mapa de poltica. Especifique Seleccionar para aplicar un mapa de poltica existente al trfico. El nombre del mapa de poltica aparece en el campo al terminar. Por ejemplo, para crear un nuevo mapa de poltica para Mensajera instantnea, marque la casilla junto a IM, haga clic en el botn junto al campo IM y seleccione Crear. A continuacin, cree el mapa de poltica en el cuadro de dilogo Configurar inspeccin profunda de paquetes.

Filtro URL
Para agregar un filtro URL, seleccione un filtro URL existente en la lista Nombre de filtro de URL o haga clic en Crear nuevo; se muestra el cuadro de dilogo Nuevo filtro URL. La configuracin del filtro URL que seleccion o cre se resume en este cuadro de dilogo.

Calidad de servicio (QoS)


Puede rechazar el trfico que supere una velocidad por segundo especificada, la velocidad de supervisin, y rechazar el trfico que supere un valor de rfaga especificado. La velocidad de supervisin puede ser un valor entre 8.000 y 2.000.000.000 bits por segundo. La velocidad de rfaga puede ser un valor entre 1.000 y 512.000.000 bytes.

Parmetro de inspeccin
Especifique un mapa de parmetro existente en la ventana Parmetro de inspeccin. Para esto, seleccione un mapa de parmetro en la lista Mapa de parmetro de inspeccin o haga clic en Crear nuevo para crear un nuevo mapa de parmetro para aplicar a la regla de la poltica que est modificando. Los detalles del mapa de parmetro que especifica se muestran en la casilla Vista previa. Para obtener ms informacin sobre los mapas de parmetro, haga clic en Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-25

Captulo 7 Editar poltica de firewall

Poltica de firewall

Seleccionar trfico
Seleccione un mapa de clase que especifique el trfico que desea agregar a la poltica. Para ver ms informacin sobre un mapa de clase especfico, seleccione el mapa de clase y haga clic en Ver detalles. Cuando hace clic en Aceptar, se muestra el cuadro de dilogo Agregar una nueva regla, con la informacin en el mapa de clase que selecciona. Puede realizar cambios adicionales al mapa de clase o dejarlo como est. Si realiza cambios, puede cambiar el nombre del mapa de clase si no desea que los cambios se apliquen a otras polticas que usan el mapa de clase original.

Eliminar regla
Este cuadro de dilogo se muestra cuando elimina una regla que contiene un mapa de clase o una ACL, que es posible que desee eliminar junto con la regla o conservarlos para uso en otras reglas.

Eliminar automticamente los mapas de clase y las ACL utilizados por esta regla
Haga clic en esta opcin para eliminar los mapas de clase y las ACL que son parte de esta regla. Se eliminarn de la configuracin de router y no estarn disponibles para uso en otras reglas.

Eliminar ms tarde los mapas de clase y ACL no utilizados


Haga clic en esta opcin para eliminar la regla, reteniendo los mapas de clase y las ACL. Puede conservarlos para usarlos en otras partes de la configuracin del firewall.

Ver detalles
Haga clic en Ver detalles para mostrar los nombres de los mapas de clase y las ACL relacionadas con la regla que est eliminando. El cuadro de dilogo se expande para mostrar los detalles. Cuando hace clic en Ver detalles, el nombre del botn pasa a ser Ocultar detalles.

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-26

OL-9963-04

Captulo 7

Poltica de firewall Editar poltica de firewall

Ocultar detalles
Haga clic en Ocultar detalles para cerrar la seccin de detalles del cuadro de dilogo. Cuando hace clic en Ocultar detalles, el nombre del botn pasa a ser Ver detalles.

Eliminacin manual de mapas de clase


Para eliminar manualmente un mapa de clase, siga estos pasos.
Paso 1 Paso 2 Paso 3

Vaya a Configurar > Tareas adicionales > C3PL > Mapas de clase. Haga clic en el nodo del tipo de mapa de clase que est eliminando. Seleccione el nombre del mapa de clase que se mostr en la ventana Ver detalles y haga clic en Eliminar.

Eliminacin manual de listas de control de acceso


Para eliminar manualmente una lista de control de acceso, siga estos pasos.
Paso 1 Paso 2 Paso 3

Vaya a Configurar > Tareas adicionales > Editor ACL. Haga clic en el nodo del tipo de ACL que est eliminando. Seleccione el nombre o nmero de la ACL que se mostr en la ventana Ver detalles y haga clic en Eliminar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

7-27

Captulo 7 Editar poltica de firewall

Poltica de firewall

Gua del usuario de Cisco Router and Security Device Manager 2.4

7-28

OL-9963-04

CAPTULO

Seguridad de la Aplicacin
La seguridad de la aplicacin le permite a usted crear polticas de seguridad para gestionar el uso de la red y de las aplicaciones de la Web. Usted puede aplicar las polticas que crea para las interfaces especficas, a fin de duplicar una poltica existente para forzar las configuraciones de una nueva poltica, y para quitar las polticas del router. Este captulo contiene las secciones siguientes:

Ventanas de Seguridad de la Aplicacin Ninguna Poltica de Seguridad de la Aplicacin Correo electrnico Mensajera Instantnea Aplicaciones Par-a-Par Filtrado de URL HTTP Aplicaciones y Protocolos Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-1

Captulo 8 Ventanas de Seguridad de la Aplicacin

Seguridad de la Aplicacin

Ventanas de Seguridad de la Aplicacin


Los controles en las ventanas de seguridad de la aplicacin le permiten asociar polticas a las interfaces, hacer configuraciones globales, agregar, eliminar y duplicar las polticas de seguridad de la aplicacin. Los botones de seguridad de la aplicacin le permiten navegar rpidamente al rea de seguridad de la aplicacin en la cual usted necesita realizar cambios.

Lista del Nombre de la Poltica


Seleccione la poltica que desee modificar de esta lista. Si no hay polticas configuradas, esta lista est vaca, y la ventana de seguridad de la aplicacin mostrar un mensaje que indicar que ninguna poltica est disponible en el router. Para crear una poltica, haga clic en el botn Accin y elija Agregar.

Botones de Seguridad de la Aplicacin

Botn Accin: haga clic para agregar una poltica, eliminar la poltica elegida, o duplicar la poltica elegida. Si no se configura ninguna poltica en el router, Agregar ser la nica accin disponible. Botn Asociar: haga clic para mostrar un dilogo que le permita asociar la poltica a una interfaz. El dilogo permite elegir la interfaz y especificar la direccin del trfico a la cual se aplica la poltica. Botn Configuracin global: haga clic para configurar los valores de tiempos de inactividad y umbrales que se aplican a todas las polticas. Haga clic en Configuracin global para obtener ms informacin.

Botn de correo electrnico


Haga clic para realizar cambios en la configuracin de seguridad de la aplicacin de correo electrnico. Para obtener ms informacin, haga clic en Correo electrnico.

Botn de Mensajera Instantnea


Haga clic para realizar cambios en la configuracin de seguridad de Yahoo Messenger, MSN Messenger, y otras aplicaciones de mensajera instantnea. Para obtener ms informacin, haga clic en Mensajera Instantnea.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-2

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Ninguna Poltica de Seguridad de la Aplicacin

Botn de Par-a-Par
Haga clic para realizar cambios en la configuracin de seguridad de KaZaA, eDonkey y otras aplicaciones Par-a-Par. Para obtener ms informacin, haga clic en Aplicaciones y Protocolos.

Botn de Filtrado de URL


Haga clic para agregar una lista de direcciones URL que desea filtrar mediante la poltica de seguridad de la aplicacin. Tambin puede agregar servidores de filtrado.

Botn de HTTP
Haga clic para realizar cambios en la configuracin de seguridad de HTTP. Para obtener ms informacin, haga clic en HTTP.

Botn de Aplicaciones y Protocolos


Haga clic para realizar cambios en la configuracin de seguridad de otras aplicaciones y protocolos. Para obtener ms informacin, haga clic en Aplicaciones y Protocolos.

Ninguna Poltica de Seguridad de la Aplicacin


Cisco SDM muestra esta ventana despus de hacer clic en la ficha Seguridad de la Aplicacin, pero no se ha configurado ninguna poltica de seguridad de la aplicacin en el router. Usted puede crear una poltica desde esta ventana, y ver las configuraciones globales que proporcionan los valores por defecto para los parmetros que usted pueda fijar cuando cree las polticas.

Nombre de La Poltica
Est vaca cuando no se ha configurado ninguna poltica para el router. Elegir Agregar del men de contexto de Accin le permitir crear un nombre de la poltica y comenzar a hacer las configuraciones a la poltica.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-3

Captulo 8 Correo electrnico

Seguridad de la Aplicacin

Accin
Si no se ha configurado ninguna poltica en el router, podr elegir Agregar del men contextual para crear una poltica. Una vez configurada una poltica, las otras acciones, Editar y Eliminar, estn disponibles.

Asociar
Si no se configura ninguna poltica, este botn estar desactivado. Una vez creada una poltica, podr hacer clic en este botn para asociar la poltica a una interfaz. Consulte el apartado Asociar Poltica con una Interfaz para obtener ms informacin.

Configuracin global
La configuracin global proporciona los lmites de tiempo, umbrales y otros valores por defecto para los parmetros de las polticas. Cisco SDM proporciona los valores por defecto para cada parmetro, y usted puede cambiar cada valor para definir un nuevo valor por defecto que se aplicar a menos que se sustituya para una aplicacin o un protocolo especfico. Cuando usted est creando una poltica, podr aceptar el valor por defecto para un parmetro particular, o elegir otra configuracin. Debido a que las ventanas de configuracin de seguridad de la aplicacin no muestran los valores por defecto, usted deber hacer clic en este botn para verlos en la ventana de tiempos de inactividad globales y umbrales. Consulte el apartado Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC para obtener ms informacin.

Correo electrnico
Especifique las aplicaciones de correo electrnico que desee inspeccionar en esta ventana. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin.

Botn Editar
Haga clic en este botn para editar las configuraciones de la aplicacin elegida. Las configuraciones que se crean sustituyen a las configuraciones globales establecidas en el router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-4

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Correo electrnico

Columna de aplicaciones
El nombre de la aplicacin de correo electrnico, por ejemplo, bliff, esmtp y smtp. Para editar la configuracin de una aplicacin, marque la casilla situada a la izquierda del nombre de la aplicacin y haga clic en Editar.

Columnas de Alertas, Auditora y Tiempo De Inactividad


Estas columnas muestran los valores que han sido establecidos explcitamente para una aplicacin. Si una configuracin no se ha cambiado para una aplicacin, la columna quedar vaca. Por ejemplo, si se ha activado auditar para la aplicacin del bliff, pero no se han realizado cambios a la alerta o a las configuraciones de tiempo de inactividad, el valor de inicio se mostrar en la columna Auditora, pero las columnas Alerta y Tiempo de inactividad quedarn en blanco.

Columna de opciones
Esta columna puede incluir campos si existen otras configuraciones para la aplicacin elegida.
Campo Datos Mximos

Especifica el nmero mximo de bytes (datos) que se pueden transferir en una sola sesin del Protocolo de Transporte de Correo Simple (SMTP, Simple Mail Transport Protocol). Despus de que se exceda el valor mximo, el firewall mostrar un mensaje de advertencia y cerrar la sesin. Valor por defecto: 20 MB.
Casilla de verificacin Inicio de sesin seguro

Causa que un usuario en una ubicacin no segura use encriptacin para autenticacin.
Reiniciar

Reinicia la conexin TCP si el cliente introduce un comando sin protocolo antes de que se complete la autenticacin.
Trfico del Router

Activa la inspeccin de trfico destinada a u originada por un router. Aplicable solamente para H.323, TCP, y protocolos de UDP.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-5

Captulo 8 Mensajera Instantnea

Seguridad de la Aplicacin

Mensajera Instantnea
Use esta ventana para controlar el trfico de las aplicaciones de mensajera instantnea (IM, Instant Messaging) tales como Yahoo Messenger y MSN Messenger. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin. Haga clic en Controles Permitir, Bloquear y Alerta para aprender cmo especificar la accin que el router deber tomar cuando encuentre trfico con las caractersticas especificadas en esta ventana. El ejemplo siguiente muestra el trfico bloqueado para el trfico de Yahoo Messenger, y las alarmas generadas cuando el trfico de esa aplicacin llega a:
Yahoo Messenger Bloquear Enviar Alarma (marcado)

El perfil SDM_HIGH bloquea las aplicaciones de IM. Si el router usa el perfil SDM_HIGH, y no bloquea las aplicaciones de IM, esas aplicaciones pudieron haberse conectado a un servidor nuevo que no est especificado en el perfil. Para activar el router para que bloquee estas aplicaciones, marque la casilla de verificacin Enviar alarma situada al lado de las aplicaciones de IM para descubrir los nombres de los servidores con los cuales se conectan las aplicaciones. Luego use el CLI para bloquear el trfico de estos servidores. El ejemplo siguiente usa el nombre del servidor newserver.yahoo.com:
Router(config)# appfw policy-name SDM_HIGH Router(cfg-appfw-policy)# application im yahoo Router(cfg-appfw-policy-ymsgr)# server deny name newserver.yahoo.com Router(cfg-appfw-policy-ymsgr)# exit Router(cfg-appfw-policy)# exit Router(config)#

Nota

Las aplicaciones de IM pueden comunicarse sobre puertos de protocolo no nativos, tales como HTTP, as como a travs de sus puertos nativos de TCP y UDP. Cisco SDM configura las acciones de bloquear y permitir basadas en el puerto nativo para la aplicacin, y siempre bloquea la comunicacin conducida sobre los puertos HTTP. Algunas aplicaciones de IM, tales como MSN Messenger 7.0, usan los puertos de HTTP por defecto. Para permitir estas aplicaciones, configure la aplicacin de IM para usar su puerto nativo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-6

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Aplicaciones Par-a-Par

Aplicaciones Par-a-Par
Esta pgina permite crear las configuraciones de las polticas para aplicaciones Par-a-Par, tales como Gnutella, BitTorrent y eDonkey. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin. Haga clic en Controles Permitir, Bloquear y Alerta para aprender cmo especificar la accin que el router deber tomar cuando encuentre trfico con las caractersticas especificadas en esta ventana. El ejemplo siguiente muestra el trfico bloqueado para el trfico de BitTorrent, y las alarmas generadas cuando llega el trfico de esa aplicacin.
Ejemplo 8-1
BitTorrent

Bloqueo de trfico de BitTorrent


Bloquear

Nota

Las aplicaciones Par-a-Par pueden comunicarse sobre puertos de protocolo no nativos, tal como HTTP, as como a travs de sus puertos nativos de TCP y UDP. Cisco SDM configura las acciones de bloquear y permitir basadas en el puerto nativo para la aplicacin, y siempre bloquea la comunicacin conducida sobre los puertos HTTP. Las polticas de seguridad de la aplicacin no bloquearn los archivos si estn siendo proporcionados por un servicio de pago tal como altnet.com. Los archivos descargados de redes de punto a punto sern bloqueados.

Filtrado de URL
El filtrado de URL permite controlar el acceso de los usuarios a los sitios Web de Internet mediante listas de direcciones URL. En estas listas se puede especificar si una URL tiene o no permiso. Para incluir capacidades de filtrado URL en la poltica de seguridad de la aplicacin, haga clic en Activar filtrado de URL en esta ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-7

Captulo 8 HTTP

Seguridad de la Aplicacin

Puede configurar una lista de direcciones URL local en el router para utilizarla en todas las polticas de seguridad de la aplicacin. Las listas de direcciones URL tambin se pueden almacenar en servidores de filtro de URL a los que se puede conectar el router. La informacin de estos servidores se almacena en una lista de servidores de filtro de URL. Puede configurar una lista de servidores de filtro de URL en el router para utilizarla en todas las polticas de seguridad de la aplicacin. La lista de direcciones URL local se puede mantener en esta ventana mediante los botones Agregar URL, Editar URL e Importar lista de URL. Puesto que el software Cisco IOS puede mantener estas listas con o sin una poltica de seguridad de la aplicacin configurada, tambin puede actualizar estas listas en la ventana Tareas adicionales. Para aprender cmo mantener una lista de direcciones URL local, haga clic en Lista de URL local. Para aprender cmo mantener una lista de servidores de filtro de URL, haga clic en Servidores de filtro de URL. Para obtener informacin sobre cmo utiliza el router una lista de direcciones URL local junto con las listas de direcciones URL de servidores de filtro de URL, haga clic en Preferencia del filtrado de URL. Para obtener informacin general acerca del filtrado de URL, haga clic en Ventana de filtrado de URL.

HTTP
Especifica las configuraciones generales para la inspeccin del trfico de HTTP en esta ventana. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin. Haga clic en Controles Permitir, Bloquear y Alerta para aprender cmo especificar la accin que el router deber tomar cuando encuentre trfico con las caractersticas especificadas en esta ventana. Para obtener informacin ms detallada sobre cmo el router puede inspeccionar el trfico de HTTP, consulte HTTP Inspection Engine en el vnculo siguiente: http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_ch apter09186a0080455acb.html

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-8

OL-9963-04

Captulo 8

Seguridad de la Aplicacin HTTP

Casilla de verificacin Detectar Trfico HTTP No Compatible


Marque esta casilla si desea que Cisco SDM examine si en el trfico HTTP hay paquetes que no cumplan con el protocolo HTTP. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router debe tomar cuando se encuentre este tipo de trfico.

Nota

Bloquear el trfico HTTP no compatible puede causar que el router descarte el trfico de los sitios Web populares que no se pudieron bloquear en base al contenido, si esos sitios Web no son compatibles con el protocolo HTTP.

Casilla de verificacin Detectar aplicaciones de arquitectura de tneles


Marque esta casilla si desea que Cisco SDM examine el trfico HTTP para los paquetes generados por las aplicaciones de arquitectura de tneles. Use los controles Permitir, Bloquear y Alarma para especificar la accin que Cisco SDM debe realizar cuando se encuentre con este tipo de trfico.

Casilla de verificacin Fijar la inspeccin de la longitud mxima del URI


Marque esta casilla si desea definir una longitud mxima para los Indicadores de Recursos Universales (URIs, Universal Resource Indicators). Especifique la longitud mxima en bytes y, luego, use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando se encuentre una URL que sea ms larga que este valor.

Casilla de verificacin Activar la inspeccin de HTTP


Marque esta casilla si desea que el router inspeccione el trfico HTTP. Si desea bloquear el trfico de las aplicaciones de Java, podr especificar un filtro de bloqueo de Java al hacer clic en el botn ... y al especificar una ACL existente, o al crear nueva ACL para la inspeccin de Java.

Casilla de verificacin Activar la inspeccin de HTTPS


Marque esta casilla si desea que el router inspeccione el trfico HTTPS.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-9

Captulo 8 HTTP

Seguridad de la Aplicacin

Casilla de verificacin Fijar el valor del tiempo de Inactividad


Marque esta casilla si desea fijar un lmite de tiempo para las sesiones HTTP, e introduzca el nmero de segundos en el campo Lmite de tiempo. Se cerrarn las sesiones que excedan a esta cantidad de tiempo.

Activar la prueba de auditora


Usted puede hacer las configuraciones de la prueba de auditora de CBAC para el trfico de HTTP que sustituya a las configuraciones en la ventana de tiempos de Inactividad globales y de los umbrales. Un valor por defecto significa que se usar la configuracin global actual. Activado activa explcitamente el seguimiento retrospectivo del CBAC para el trfico HTTP y para el trfico HTTPS si se activa la inspeccin de HTTPS, y se sustituye la configuracin global de la prueba de auditora. Desactivado desactiva explcitamente el seguimiento retrospectivo del CBAC para el trfico HTTP y para el trfico HTTPS si se activa la inspeccin de HTTPS, y se sustituye la configuracin global de la prueba de auditora.

Opciones del encabezado


Usted puede hacer que el router permita o niegue el trfico que se base en el tamao del encabezado de HTTP y el mtodo de solicitud contenido en el encabezado. Los mtodos de solicitud son los comandos enviados a los servidores de HTTP para retomar URLs, pginas Web, y realizar otras acciones. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin.

Casilla de verificacin Fijar el tamao mximo del encabezado


Marque esta casilla si desea que el router permita o deniegue el trfico que se base en el tamao del encabezado HTTP, y especifique el tamao mximo del encabezado de solicitud y de respuesta. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando el tamao del encabezado exceda estas longitudes.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-10

OL-9963-04

Captulo 8

Seguridad de la Aplicacin HTTP

Casillas de verificacin del Mtodo de Solicitud de Extensin


Si desea que el router permita o deniegue el trfico HTTP que se base en un mtodo de solicitud de extensin, marque la casilla situada al lado de ese mtodo de solicitud. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando encuentre trfico que use ese mtodo de solicitud.

Casillas de verificacin Configurar el mtodo de solicitud del RFC


Si desea que el router permita o deniegue el trfico HTTP que se base en uno de los mtodos de solicitud HTTP especificados en RFC 2616, Protocolo para Transferencia de HipertextoHTTP/1.1, marque la casilla situada al lado de ese mtodo de solicitud. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando encuentre trfico que use ese mtodo de solicitud.

Opciones del contenido


Usted puede hacer que el router examine el contenido del trfico de HTTP y permitir o bloquear trfico, y generar alarmas basadas en cosas que usted haga y que el router verifica. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin. Haga clic en Controles Permitir, Bloquear y Alerta para aprender cmo especificar la accin que el router deber tomar cuando encuentre trfico con las caractersticas especificadas en esta ventana.

Casilla de verificacin Verificar el tipo de contenido


Marque esta casilla si desea que el router verifique el contenido de los paquetes HTTP al hacer corresponder la respuesta con la solicitud, al activar una alarma para tipos de contenido desconocidos, o al usar los dos mtodos anteriores. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando las solicitudes no puedan corresponder con las respuestas, y cuando encuentre un tipo de contenido desconocido.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-11

Captulo 8 HTTP

Seguridad de la Aplicacin

Casilla de verificacin Fijar el tamao del contenido


Marque esta casilla para fijar un tamao mnimo y mximo para los datos en un paquete de HTTP, e introduzca los valores en los campos proporcionados. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando la cantidad de datos caiga por debajo del tamao mnimo o cuando exceda el tamao mximo.

Casilla de verificacin Configurar codificacin de transferencia


Marque esta casilla para hacer que el router verifique cmo se codifican los datos en el paquete. Use los controles Permitir, Bloquear y Alarma para especificar la accin que el router deber tomar cuando encuentre las codificaciones de transferencia que elija.
Casilla de verificacin Trozos

El formato de codificacin especificado en RFC 2616, Protocolo para Transferencia de HipertextoHTTP/1. El cuerpo del mensaje se transfiere en una serie de trozos; cada trozo contiene su propio indicador de tamao.
Casilla de verificacin Comprimir

El formato de codificacin producido por la utilidad de comprimir de UNIX.


Casilla de verificacin Desvalorar

El formato de ZLIB definido en RFC 1950, Especificacin del Formato de Datos Comprimidos ZLIB, versin 3.3, combinado con un mecanismo de compresin para desvalorar descrito en RFC 1951, Especificacin del Formato de Datos Comprimidos para DESVALORAR, versin 1.3.
Casilla de verificacin Gzip

El formato de codificacin producido por el programa GNU zip (gzip).


Casilla de verificacin Identidad

Codificacin de un valor por defecto que indica que no se ha realizado ninguna codificacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-12

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Aplicaciones y Protocolos

Aplicaciones y Protocolos
Esta ventana le permite crear las configuraciones de polticas para las aplicaciones y protocolos que no se encuentren en las otras ventanas. Para aprender sobre los botones y cajones disponibles en la ficha Seguridad de la Aplicacin, haga clic en Ventanas de Seguridad de la Aplicacin.

rbol de Aplicaciones y Protocolos


El rbol de aplicaciones y protocolos le permite filtrar la lista a la derecha de acuerdo al tipo de aplicaciones y protocolos que usted quiera ver. Primero elija la rama para el tipo general que desee mostrar. El marco a la derecha muestra los artculos disponibles para el tipo que usted elija. Si un smbolo de sumar (+) aparece a la izquierda de la rama, hay subcategoras que usted puede usar para refinar el filtro. Haga clic en el smbolo de + para expandir la rama y despus seleccionar la subcategora que usted desee mostrar. Si la lista a la derecha est vaca, no hay aplicaciones o protocolos disponibles para ese tipo. Para elegir una aplicacin, usted podr marcar la casilla al lado de ella en el rbol, o podr marcar la caja al lado de ella en la lista. Ejemplo: Si desea mostrar todas las aplicaciones de Cisco, haga clic en la carpeta de la rama Aplicaciones y, luego, haga clic en la carpeta Cisco. Ver aplicaciones como clp, cisco-net-mgmt y cisco-sys.

Botn Editar
Haga clic en este botn para editar las configuraciones de la aplicacin elegida. Las configuraciones que usted haga sustituirn las configuraciones globales configuradas en la router.

Columna de aplicaciones
El nombre de la aplicacin o del protocolo, por ejemplo, tcp, smtp, or ms-sna. Para editar la configuracin de una aplicacin, marque la casilla situada a la izquierda del nombre de la aplicacin y haga clic en Editar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-13

Captulo 8 Aplicaciones y Protocolos

Seguridad de la Aplicacin

Columnas de Alertas, Auditora y Tiempo De Inactividad


Estas columnas muestran los valores que han sido establecidos explcitamente para una aplicacin. Si una configuracin no se ha cambiado para una aplicacin, la columna quedar vaca. Por ejemplo, si se ha activado auditar para la aplicacin de ms-sna, pero no se han realizado cambios a la alerta o a las configuraciones de tiempo de inactividad, el valor de inicio se mostrar en la columna Auditora, pero las columnas Alerta y Tiempo De Inactividad quedarn en blanco.

Columna de opciones
Esta columna puede incluir campos si existen otras configuraciones para la aplicacin elegida.
Datos Mximos

Especifica el nmero mximo de bytes (datos) que se pueden transferir en una sola sesin del Protocolo de Transporte de Correo Simple (SMTP, Simple Mail Transport Protocol). Despus de que se exceda el valor mximo, el firewall mostrar un mensaje de advertencia y cerrar la sesin. Valor por defecto: 20 MB.
Inicio de Sesin Seguro

Causa que un usuario en una ubicacin no segura use encriptacin para autenticacin.
Reiniciar

Reinicia la conexin TCP si el cliente introduce un comando sin protocolo antes de que se complete la autenticacin.
Trfico del Router

Activa la inspeccin de trfico destinada a u originada por un router. Aplicable solamente para H.323, TCP, y protocolos de UDP.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-14

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Aplicaciones y Protocolos

Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC


Use esta informacin como ayuda para crear o editar un mapa de parmetros para propsitos de inspeccin o para establecer tiempos de inactividad y umbrales globales de control de acceso basado en contexto (CBAC). CBAC usa tiempos de inactividad y umbrales para determinar cunto tiempo gestionar la informacin del estado de una sesin y para determinar cundo cerrar las sesiones que no se establezcan completamente. Estos tiempos de inactividad y umbrales se aplican a todas las sesiones. Los valores del temporizador global se pueden especificar en segundos, minutos, u horas.

Valor del tiempo de Inactividad de la conexin de TCP


El tiempo que se debe esperar para el establecimiento de una conexin TCP. El valor por defecto es 30 segundos.

Valor del tiempo de Inactividad de espera del TCP Final


El tiempo en que una sesin TCP todava ser gestionada despus de que el firewall detecte un intercambio FIN. El valor por defecto es 5 segundos.

Valor del tiempo de Inactividad e inactivo del TCP


El tiempo en que una sesin TCP todava ser gestionada despus de que no se haya detectado ninguna actividad. El valor por defecto es de 3.600 segundos.

Valor del tiempo de Inactividad e inactivo del UDP


El tiempo durante el cual una sesin de protocolo de datagrama de usuario (UDP) se seguir gestionando despus de que no se haya detectado ninguna actividad. El valor por defecto es 30 segundos.

Valor del tiempo de Inactividad del DNS


El tiempo durante el cual una sesin de bsqueda de nombre en el sistema de nombres de dominio (DNS) se seguir gestionando despus de que no se haya detectado ninguna actividad. El valor por defecto es 5 segundos.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-15

Captulo 8 Aplicaciones y Protocolos

Seguridad de la Aplicacin

Umbrales de ataques de DoS SYN Flood


Un nmero inusualmente alto de sesiones medio abiertas podran indicar que un ataque de Denegacin de Servicios (DoS, Denial of Service) est en camino. Los umbrales de ataques de DoS permiten que el router comience a eliminar sesiones medio abiertas despus de que el nmero total de ellas haya alcanzado un umbral mximo. Al definir los umbrales, usted podr especificar cundo el router deber comenzar a eliminar sesiones medio abiertas y cundo podr parar de eliminarlas. Umbrales de sesiones de un minuto. Estos campos le permiten especificar los valores del umbral para los intentos de una nueva conexin. Bajo Para de eliminar las nuevas conexiones despus de que el nmero de las nuevas conexiones caiga debajo de este valor. El valor por defecto es 400 sesiones. Comienza a eliminar las nuevas conexiones cuando el nmero de las nuevas conexiones exceda este valor. El valor por defecto es 500 sesiones.

Alto

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-16

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Aplicaciones y Protocolos

Umbral mximo de sesiones incompletas. Estos campos permiten especificar los valores de umbral para el nmero total de sesiones medio abiertas existentes. Inferior Para de eliminar las nuevas conexiones despus de que el nmero de las nuevas conexiones caiga debajo de este valor. El valor por defecto es 400 sesiones para versiones de Cisco IOS posteriores a 12.4(11)T. Cuando un valor bajo no se ha definido explcitamente, Cisco IOS detendr la eliminacin de nuevas sesiones cuando el nmero de sesiones descienda a 400. Para la versin 12.4(11)T y posteriores de Cisco IOS, el valor por defecto es ilimitado. Cuando un valor bajo no se ha definido explcitamente, Cisco IOS no detendr la eliminacin de nuevas conexiones. Alto Comienza a eliminar las nuevas conexiones cuando el nmero de las nuevas conexiones exceda este valor. El valor por defecto es 500 sesiones para versiones de Cisco IOS posteriores a 12.4(11)T. Cuando un valor alto no se ha definido explcitamente, Cisco IOS comienza a eliminar sesiones cuando se han establecido ms de 500 sesiones nuevas. Para la versin 12.4(11)T y posteriores de Cisco IOS, el valor por defecto es ilimitado. Cuando un valor alto no se ha definido explcitamente, Cisco IOS no comenzar a eliminar nuevas conexiones.
Nmero mximo de sesiones incompletas por host de TCP:

El router comienza a eliminar sesiones medio abiertas para el mismo host cuando el nmero total para dicho host supera este nmero. El nmero por defecto de sesiones es de 50. Si activa el campo Hora de bloqueo y especifica un valor, el router seguir bloqueando conexiones nuevas a dicho host durante el nmero de minutos especificado.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-17

Captulo 8 Aplicaciones y Protocolos

Seguridad de la Aplicacin

Activar auditora globalmente


Seleccione esta casilla si desea activar los mensajes de seguimiento de auditora CBAC para todos los tipos de trfico.

Activar alerta globalmente


Marque esta casilla si desea activar los mensajes de alerta del CBAC para todos los tipos de trfico.

Asociar Poltica con una Interfaz


En esta ventana, seleccione la interfaz a la cual usted desea aplicarle la poltica seleccionada. Tambin especifique si la poltica debe aplicarse al trfico entrante, al trfico saliente, o al trfico en ambas direcciones. Por ejemplo, si el router tiene interfaces de FastEthernet 0/0 y FastEthernet 0/1, y desea aplicar la poltica a la interfaz de FastEthernet 0/1 en el trfico que fluye en ambas direcciones, marque la casilla situada al lado de FastEthernet 0/1 y las casillas en la columna entrante y la columna saliente. Para slo inspeccionar el trfico entrante, marque solamente la casilla en la columna entrante.

Editar la Regla de Inspeccin


Use esta ventana para especificar las configuraciones de la regla de inspeccin personalizada para una aplicacin. Las configuraciones hechas aqu y aplicadas a la configuracin del router sustituirn los ajustes globales. Haga clic en el botn Configuracin global en la ventana de seguridad de la aplicacin para mostrar las configuraciones globales para los parmetros que pueda establecer en esta ventana. Consulte el apartado Tiempos de inactividad y umbrales para mapas de parmetros de inspeccin y CBAC para obtener ms informacin.

Campo Alerta
Elija uno de los valores siguientes:

por defecto: usar la configuracin global para las alertas. activado: generar una alerta cuando se encuentra trfico de este tipo. desactivado: no generar una alerta cuando se encuentra trfico de este tipo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-18

OL-9963-04

Captulo 8

Seguridad de la Aplicacin Aplicaciones y Protocolos

Campo Auditora
Elija uno de los valores siguientes:

por defecto: usar la configuracin global para las pruebas de auditora. activado: generar una prueba de auditora cuando se encuentra el trfico de este tipo. desactivado: no generar una prueba de auditora cuando se encuentra el trfico de este tipo.

Campo Tiempo de inactividad


Introduce el nmero de segundos en que una sesin para esta aplicacin debe gestionarse despus de que no se haya detectado ninguna actividad. El valor del tiempo de Inactividad que usted introduzca, establecer el valor del tiempo de Inactividad e inactivo del TCP si esto es una aplicacin de TCP, o el valor del tiempo de Inactividad e inactivo del UDP si esto es una aplicacin del UDP.

Otras opciones
Ciertas aplicaciones pueden tener opciones adicionales establecidas. Dependiendo de la aplicacin, usted podr ver despus las opciones descritas.
Campo Datos Mximos

Especifica el nmero mximo de bytes (datos) que se pueden transferir en una sola sesin del Protocolo de Transporte de Correo Simple (SMTP, Simple Mail Transport Protocol). Despus de que se exceda el valor mximo, el firewall mostrar un mensaje de advertencia y cerrar la sesin. Valor por defecto: 20 MB.
Casilla de verificacin Inicio de sesin seguro

Causa que un usuario en una ubicacin no segura use encriptacin para la autenticacin.
Casilla de verificacin Reiniciar

Reinicia la conexin TCP si el cliente introduce un comando sin protocolo antes de que se complete la autenticacin.
Casilla de verificacin Trfico del Router

Activa la inspeccin de trfico destinada a u originada por un router. Aplicable solamente para H.323, TCP, y protocolos de UDP.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

8-19

Captulo 8 Aplicaciones y Protocolos

Seguridad de la Aplicacin

Controles Permitir, Bloquear y Alerta


Use los controles Permitir, Bloquear y Alerta para especificar lo que debe hacer el router cuando encuentre trfico con las caractersticas que especifica. Para hacer una configuracin de las polticas para una opcin con estos controles, marque la casilla al lado de ella. Luego, en la columna de accin, elija Permitir para permitir el trfico relacionado con esa opcin, o elija Bloquear para denegar el trfico. Si desea que una alarma se enve al registro cuando se encuentre este tipo de trfico, marque Enviar Alarma. El control Enviar Alarma no se usa en todas las ventanas. El inicio de sesin debe activarse para que la seguridad de la aplicacin pueda enviar alarmas al registro. Si desea obtener ms informacin, consulte este enlace: Registro de Seguridad de la aplicacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

8-20

OL-9963-04

CAPTULO

VPN sitio a sitio


Los temas de ayuda en esta seccin describen las pantallas de configuracin VPN sitio a sitio y las pantallas de Gua de diseo de VPN.

Gua de diseo de VPN


Si est configurando una red VPN como administrador, la Gua de diseo de VPN le ayuda a determinar la clase de VPN que debe configurar. Usted proporcionar informacin acerca de su tipo de usuario, del tipo de equipamiento con el que el router establece conexiones VPN, del tipo de trfico que transportar la VPN y de otras caractersticas que debe configurar. Una vez que haya proporcionado esta informacin, la Gua de diseo de VPN le recomendar un tipo de VPN y le permitir iniciar el asistente que le ayudar a configurar esa clase de VPN.

Crear VPN sitio a sitio


Una red privada virtual (VPN) permite proteger el trfico que viaja por lneas que no son propiedad de la empresa o que sta no controla. Las VPN pueden cifrar el trfico enviado por estas lneas y autenticar pares antes de que se enve trfico. Cisco Router and Security Device Manager (Cisco SDM) (Cisco SDM) puede guiarle a travs de un proceso sencillo de configuracin de VPN haciendo clic en el icono de VPN. Si utiliza el Asistente de la ficha Crear VPN sitio a sitio, Cisco SDM proporcionar los valores por defecto de algunos parmetros de configuracin a fin de facilitar el proceso de configuracin. Si desea obtener ms informacin acerca de la tecnologa VPN, consulte el enlace Informacin adicional acerca de VPN.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-1

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Crear VPN sitio a sitio


Esta opcin permite crear una red VPN que conecte a dos routers.

Crear un tnel GRE seguro (GRE sobre IPSec)


Esta opcin permite configurar un tnel GRE (Generic Routing Encapsulation Protocol) entre el router y un sistema de pares.

Qu desea hacer?

Si desea:

Haga lo siguiente:

Configurar el router como parte de una red VPN que Seleccione Crear VPN sitio a sitio. A continuacin, haga clic en Iniciar la tarea conecte a dos routers. seleccionada. Cuando configure una red VPN entre dos routers, podr controlar cmo se autentica el router remoto, cmo se cifra el trfico y qu trfico se cifra. Configurar un tnel GRE entre su router y otro router. Seleccione Crear un tnel GRE seguro (GRE sobre IPSec). A continuacin, haga clic en Probablemente prefiera configurar un tnel GRE si Iniciar la tarea seleccionada. necesita conectar redes que utilicen protocolos LAN diferentes o si necesita enviar protocolos de enrutamiento por la conexin al sistema remoto.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-2

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Si desea: Saber cmo ejecutar otras tareas relacionadas con VPN para las que este asistente no proporciona ninguna gua.

Haga lo siguiente: Seleccione un tema en la lista siguiente:


Cmo se visualizan los comandos de IOS que se envan al router? Cmo se crea una VPN para ms de un sitio? Despus de configurar una VPN, cmo se configura la VPN en el router del par? Cmo se edita un tnel VPN existente? Cmo se puede confirmar que mi VPN funciona? Cmo se puede confirmar que mi VPN funciona? Cmo se configura un par de reserva para mi VPN? Cmo se acomodan varios dispositivos con diferentes niveles de admisin de VPN? Cmo se configura una VPN en una interfaz no compatible? Cmo se configura una VPN despus de configurar un firewall? Cmo se configura el paso de NAT (NAT Passthrough) para una VPN? Cmo se configura una red DMVPN manualmente?

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-3

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Si desea: Configurar un concentrador Easy VPN.

Haga lo siguiente:

El enlace siguiente proporciona directrices que deben seguirse cuando se configura un Las instrucciones de configuracin para servidores y concentrador Cisco VPN serie 3000 para que concentradores Easy VPN estn disponibles en funcione con un cliente Easy VPN remoto de www.cisco.com. fase II, as como otra informacin til: http://www.cisco.com/en/US/products/sw/ioss wrel/ps5012/products_feature_guide09186a008 00a8565.html El enlace siguiente le conectar con la documentacin de Cisco VPN serie 3000: http://www.cisco.com/en/US/products/hw/vpnd evc/ps2284/products_getting_started_guide_bo ok09186a00800bbe74.html

Asistente para VPN sitio a sitio


Puede hacer que Cisco SDM utilice los valores por defecto para la mayora de los valores de configuracin, o bien, permitir que Cisco SDM le gue en la configuracin de VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-4

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Qu desea hacer?

Si desea:

Haga lo siguiente:

Configurar rpidamente una VPN sitio Marque Configuracin rpida y, a continuacin, haga clic en a sitio mediante los valores por defecto Siguiente. proporcionados por Cisco SDM. Cisco SDM proporcionar automticamente una poltica IKE por defecto para regir la autenticacin, un conjunto de transformacin por defecto para controlar el cifrado de los datos y una regla IPSec por defecto que cifrar todo el trfico existente entre el router y el dispositivo remoto. El rendimiento de la configuracin rpida mejora cuando tanto el router local como el sistema remoto son routers de Cisco que utilizan Cisco SDM. La configuracin rpida configurar el cifrado 3DES si la imagen de IOS lo admite. De lo contrario, configurar el cifrado DES. Si necesita cifrado AES o SEAL, haga clic en Asistente por pasos. Haga clic en Ver valores por defecto. Ver la poltica IKE, el conjunto de transformacin y la regla IPSec por defecto que se utilizarn para configurar una VPN con un solo paso. Active el Asistente por pasos y, a continuacin, haga clic en Configurar una VPN sitio a sitio mediante parmetros que usted mismo Siguiente. especifique. Puede crear una configuracin personalizada de la VPN y utilizar cualquier valor por defecto de Cisco SDM que necesite. El Asistente por pasos le permitir especificar un cifrado ms potente que el permitido por el Asistente para la configuracin rpida.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-5

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Ver valores por defecto


Esta ventana muestra la poltica de Intercambio de claves por Internet (IKE), el conjunto de transformacin y la regla IPSec por defecto que Cisco SDM utilizar para configurar rpidamente una VPN sitio a sitio. Si necesita una configuracin distinta de la mostrada en la ventana, marque Asistente por pasos para definir los valores de la configuracin personalmente.

Informacin acerca de la conexin VPN


Utilice esta ventana para identificar la Direccin IP o el nombre de host del sitio remoto que terminar el tnel VPN que est configurando, especificar la interfaz del router que se utilizar y escribir la clave previamente compartida que ambos routers utilizarn para autenticarse entre s.

Seleccione la interfaz para esta conexin VPN


Seleccione la interfaz del router que permite conectarse con el sitio remoto. El router que est configurando aparecer designado como router local en el diagrama del escenario de utilizacin.

Identidad del par


Especifique la direccin IP del par de seguridad IP remoto (IPSec) que terminar el tnel VPN que est configurando. El par IPSec remoto puede ser otro router, un concentrador VPN o cualquier otro dispositivo de gateway que admita IPSec.
Pares con direccin IP dinmica

Seleccione esta opcin si los pares con los que se conecta el router utilizan direcciones IP asignadas dinmicamente.
Par con direccin IP esttica

Seleccione esta opcin si el par con el que se conecta el router utiliza una direccin IP fija.
Especifique la direccin IP vlida para el par remoto

(Activado cuando se activa el par con direccin IP esttica). Especifique la direccin IP del par remoto.
Gua del usuario de Cisco Router and Security Device Manager 2.4

9-6

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Autenticacin
Haga clic en este botn si los pares VPN utilizan una clave previamente compartida para realizar autenticacin las conexiones entre s. La clave deber ser la misma a ambos lados de la conexin VPN. Escriba la clave previamente compartida y, a continuacin, vuelva a especificarla para confirmarla. Intercambie la clave previamente compartida con el administrador del sitio remoto mediante algn mtodo cmodo y seguro como, por ejemplo, un mensaje de correo electrnico cifrado. Los signos de interrogacin (?) y los espacios no pueden utilizarse en la clave previamente compartida. La clave previamente compartida puede contener un mximo de 128 caracteres.

Nota

Los caracteres especificados para la clave previamente compartida no se vern en el campo a medida que los escriba. Le recomendamos que anote la clave antes de especificarla a fin de poder comunicarla al administrador del sistema remoto. Las claves previamente compartidas deben intercambiarse entre cada par IPSec que necesite establecer tneles seguros. Este mtodo de autenticacin es adecuado para una red estable con un nmero limitado de pares IPSec. No obstante, en una red con un gran nmero de pares IPSec o un nmero creciente de stos, pueden surgir problemas de escalabilidad.

Certificado digital
Haga clic en este botn si los pares VPN van a utilizar certificados digitales para la autenticacin.

Nota

Para autenticarse a s mismo, es preciso que el router cuente con un certificado digital que haya sido emitido por una Autoridad certificadora. Si no ha configurado ningn certificado digital para el router, vaya a Componentes VPN y utilice el Asistente para certificados digitales para suscribirse a un certificado digital.

Trfico para cifrar


Si est efectuando una configuracin rpida de una conexin VPN sitio a sitio, deber especificar las subredes de origen y de destino en esta ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-7

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Origen

Elija la interfaz del router que ser el origen del trfico para esta conexin VPN. Todo el trfico que provenga de esta interfaz cuya direccin IP de destino est en la subred especificada en el rea Destino, se cifrar.
Detalles

Haga clic en este botn para obtener los detalles de la interfaz seleccionada. La ventana Detalles mostrar todas las reglas de acceso, polticas IPSec, reglas de traduccin de direcciones de red (NAT) o reglas de inspeccin asociadas a la interfaz. Para examinar con ms detalle cualquiera de estas reglas, vaya a Tareas adicionales/Editor ACL y examnelas en las ventanas Reglas.
Destino

Direccin IP y mscara de subred. Especifique la direccin IP y la mscara de subred del destino de este trfico. Para obtener informacin acerca de cmo especificar valores en estos campos, consulte Direcciones IP y mscaras de subred. El destino est indicado como router remoto en el diagrama del escenario de utilizacin que aparece en la ventana principal del Asistente para VPN.

Propuestas IKE
Esta ventana muestra una lista de todas las polticas de Intercambio de claves por Internet (IKE) configuradas en el router. Si no se ha configurado ninguna poltica definida por el usuario, esta ventana mostrar la poltica IKE por defecto de Cisco SDM. Las polticas IKE rigen la forma en que los dispositivos de una VPN se autentican a s mismos. El router local utilizar las polticas IKE indicadas en esta ventana para negociar la autenticacin con el router remoto. El router local y el dispositivo par deben utilizar la misma poltica. El router que inicie la conexin VPN ofrecer primero la poltica con el nmero de prioridad ms bajo. Si el sistema remoto la rechaza, el router local ofrecer a continuacin la segunda poltica con el nmero ms bajo y as hasta que el sistema remoto acepte la poltica ofrecida. Ser preciso establecer una estrecha coordinacin con el administrador del sistema par para configurar polticas idnticas en ambos routers. En el caso de las conexiones Easy VPN, las polticas IKE slo se configuran en el servidor Easy VPN. El cliente Easy VPN enva propuestas y el servidor responde de acuerdo con las polticas IKE que tenga configuradas.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-8

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Prioridad
Orden en que se ofrecern las polticas durante la negociacin.

Cifrado
Cisco SDM admite varios tipos de cifrado, ordenados segn su seguridad en una lista. Cuanto ms seguro sea un tipo de cifrado, ms tiempo de proceso necesitar.
Nota

No todos los routers admiten todos los tipos de cifrado. Los tipos que no se admitan no aparecern en la pantalla. No todas las imgenes de IOS admiten todos los tipos de cifrado que Cisco SDM admite. Los tipos que la imagen de IOS no admita no aparecern en la pantalla. Si el cifrado de hardware est activado, slo aparecern en la pantalla los tipos de cifrado admitidos por el cifrado de hardware.

Cisco SDM admite los tipos de cifrado siguientes:


DES: Data Encryption Standard. Esta forma de cifrado admite un cifrado de 56 bits. 3DES: Triple DES. Forma de cifrado ms potente que DES que admite un cifrado de 168 bits. AES-128: cifrado AES (Advanced Encryption Standard) con una clave de 128 bits. AES aporta mayor seguridad que DES y, desde un punto de vista computacional, es ms eficiente que 3DES. AES-192: cifrado AES con una clave de 192 bits. AES-256: cifrado AES con una clave de 256 bits.

Hash
Algoritmo de autenticacin que se utilizar para negociar. Cisco SDM admite los algoritmos siguientes:

SHA_1: algoritmo de hash seguro. Algoritmo de hash utilizado para autenticar los datos del paquete. MD5: Message Digest 5. Algoritmo de hash utilizado para autenticar los datos del paquete.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-9

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Grupo D-H
El grupo Diffie-Hellman: Diffie-Hellman es un protocolo de criptografa de clave pblica que permite a dos routers establecer un secreto compartido en un canal de comunicaciones que no es seguro. Cisco SDM admite los grupos siguientes:

group1: grupo 1 de D-H; Grupo D-H de 768 bits. group2: grupo 2 de D-H; Grupo D-H de 1.024 bits. Este grupo brinda ms seguridad que el grupo 1, aunque necesita ms tiempo de proceso. group5: grupo 5 de D-H; Grupo D-H de 1.536 bits. Este grupo brinda ms seguridad que el grupo 2, aunque necesita ms tiempo de proceso.

Autenticacin
Mtodo de autenticacin que se utilizar. Se admiten los valores siguientes:

PRE_SHARE: la autenticacin se ejecutar mediante claves previamente compartidas. RSA_SIG: la autenticacin se ejecutar mediante certificados digitales.

Nota

Debe elegir el tipo de autenticacin que especific al identificar las interfaces que utiliza la conexin VPN.

Tipo
Puede ser Cisco SDM por defecto o Definido por el usuario. Si no se ha creado ninguna poltica definida por el usuario en el router, esta ventana mostrar la poltica IKE por defecto.

Para agregar o editar una poltica IKE:


Si desea agregar una poltica IKE que no est incluida en esta lista, haga clic en Agregar y cree la poltica en la ventana que aparezca. Edite una poltica existente seleccionndola y haciendo clic en Editar. Las polticas de Cisco SDM por defecto son de slo lectura y no se pueden editar.

Para aceptar la lista de polticas:


Para aceptar la lista de polticas IKE y seguir, haga clic en Siguiente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-10

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Conjunto de transformacin
Esta ventana muestra una lista de los conjuntos de transformacin por defecto de Cisco SDM y los conjuntos de transformacin adicionales que se han configurado en este router. Estos conjuntos de transformacin estarn disponibles para que los utilice VPN o DMVPN. Un conjunto de transformacin es una combinacin determinada de algoritmos y protocolos de seguridad. Durante la negociacin de la asociacin de seguridad IPSec, los pares acuerdan utilizar un conjunto de transformacin determinado para proteger un flujo de datos concreto. Una transformacin describe un protocolo de seguridad determinado junto con sus algoritmos correspondientes. En esta ventana slo puede seleccionar un conjunto de transformacin, aunque puede asociar conjuntos de transformacin adicionales a la conexin VPN o DMVPN mediante las fichas Editar de VPN o DMVPN.

Seleccionar conjunto de transformacin


Seleccione en esta lista el conjunto de transformacin que desee utilizar.

Detalles del conjunto de transformacin seleccionado


En esta rea se muestran los detalles del conjunto de transformacin seleccionado. No es obligatorio configurar todos los tipos de cifrado, autenticacin y compresin; por consiguiente, es posible que algunas columnas no contengan ningn valor. Para saber cules son los posibles valores que cada columna puede contener, haga clic en Agregar/Editar conjunto de transformacin.
Nombre

Nombre de este conjunto de transformacin.


Cifrado ESP

Tipo de cifrado ESP (Encapsulating Security Protocol) utilizado. Si el cifrado ESP no est configurado para este conjunto de transformacin, esta columna estar vaca.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-11

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Autenticacin ESP

Tipo de autenticacin ESP utilizada. Si la autenticacin ESP no est configurada para este conjunto de transformacin, esta columna estar vaca.
Autenticacin AH

Tipo de autenticacin AH (encabezado de autenticacin) utilizado. Si la autenticacin AH no est configurada para este conjunto de transformacin, esta columna estar vaca.
Compresin IP

Si la compresin IP est configurada para este conjunto de transformacin, este campo contendr el valor COMP-LZS.

Nota

No todos los routers admiten la compresin IP.

Modo

Esta columna contiene uno de los valores siguientes:

Transporte: cifrar datos solamente. El modo de transporte se utiliza cuando ambos puntos finales admiten IPSec. El modo de transporte coloca el encabezado de autenticacin o la carga til de seguridad encapsulada despus del encabezado IP original, por lo que slo se cifra la carga til de IP. Este mtodo permite a los usuarios aplicar servicios de red como controles de calidad de servicio (QoS) a paquetes cifrados. Tnel: cifrar datos y encabezado IP. El modo de tnel brinda mayor proteccin que el modo de transporte. Dado que todo el paquete IP se encapsula en AH o ESP, se adjunta un encabezado IP nuevo y se puede cifrar el datagrama completo. El modo de tnel permite a los dispositivos de red, como los routers, actuar como proxy de IPSec para varios usuarios de VPN.

Tipo

Puede ser Definido por el usuario o Cisco SDM por defecto.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-12

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Qu desea hacer?

Si desea:

Haga lo siguiente:

Seleccionar un conjunto de Seleccione un conjunto de transformacin y haga clic en transformacin para que VPN lo utilice. Siguiente. Agregar un conjunto de transformacin Haga clic en Agregar y cree el conjunto de transformacin en a la configuracin del router. la ventana Agregar conjunto de transformacin. A continuacin, haga clic en Siguiente para seguir configurando VPN. Editar un conjunto de transformacin existente. Seleccione un conjunto de transformacin y haga clic en Editar. A continuacin, edite el conjunto de transformacin en la ventana Editar conjunto de transformacin. Despus de editar el conjunto de transformacin, haga clic en Siguiente para seguir configurando VPN. Los conjuntos de transformacin de Cisco SDM por defecto son de slo lectura y no se pueden editar. Seleccione en esta ventana un conjunto de transformacin y complete el Asistente para VPN. A continuacin, asocie otros conjuntos de transformacin a la VPN en la ficha Editar.

Asociar conjuntos de transformacin adicionales a esta VPN.

Trfico para proteger


Esta ventana permite definir el trfico que esta VPN protege. La VPN puede proteger trfico entre subredes especificadas o proteger el trfico especificado en una regla IPSec que seleccione.

Proteger todo el trfico entre las subredes siguientes


Utilice esta opcin para especificar una nica subred de origen (subred en la LAN) cuyo trfico saliente desee cifrar y una subred de destino admitida por el par especificado en la ventana de la conexin VPN. Todo el trfico que fluya entre otros pares de origen y de destino se enviar sin cifrar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-13

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Origen

Especifique la direccin de subred cuyo trfico saliente desee proteger e indique la mscara de subred. Si desea obtener ms informacin, consulte Configuraciones de interfaz disponibles. Se proteger todo el trfico que provenga de esta subred de origen y tenga una direccin IP de destino en la subred de destino.
Destino

Especifique la direccin de la subred de destino e indique la mscara de dicha subred. Puede seleccionar una mscara de subred en la lista o bien escribir una mscara personalizada. El nmero de subred y la mscara deben especificarse en formato de decimales con puntos, tal como se muestra en los ejemplos anteriores. Se proteger todo el trfico que vaya a los hosts de esta subred.

Crear o seleccionar una lista de acceso para el trfico IPSec


Utilice esta opcin si necesita especificar varios orgenes y destinos o tipos especficos de trfico para cifrar. Una regla IPSec puede estar formada por varias entradas, cada una de ellas especificando diferentes tipos de trfico y diferentes orgenes y destinos. Haga clic en el botn situado al lado del campo y especifique una regla IPSec existente que defina el trfico que desee cifrar o cree una regla IPSec para utilizar con esta VPN. Si sabe el nmero de la regla IPSec, indquelo en el cuadro situado a la derecha. Si no sabe el nmero de la regla, haga clic en el botn ... y desplcese hasta sta. Cuando seleccione la regla, el nmero aparecer en el cuadro.

Nota

Dado que las reglas IPSec pueden especificar el tipo de trfico, as como el origen y el destino, se trata de reglas ampliadas. Si especifica el nombre o el nmero de una regla estndar, aparecer un mensaje de alerta indicando que ha especificado el nombre o el nmero de una regla estndar. Todos los paquetes que no cumplan los criterios especificados en la regla IPSec se enviarn sin cifrar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-14

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Resumen de la configuracin
Esta ventana muestra la configuracin VPN o DMVPN que ha creado. Puede revisar la configuracin en ella y utilizar el botn Atrs para cambiar cualquier parmetro, si as lo desea.

Configuracin de spoke
Si ha configurado un hub DMVPN, puede hacer que Cisco SDM genere un procedimiento que ayudar tanto al usuario como a otros administradores a configurar spokes DMVPN. Dicho procedimiento explica qu opciones deben seleccionarse en el asistente y qu informacin debe especificarse en las ventanas de configuracin de spoke. Esta informacin puede guardarse en un archivo de texto que el usuario u otro administrador puede utilizar.

Una vez realizada la configuracin, pruebe la conectividad


Haga clic para probar la conexin VPN que acaba de configurar. Los resultados de la prueba se mostrarn en otra ventana.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias de Cisco SDM, aparecer la ventana Enviar. Esta ventana permite ver los comandos del CLI que se envan al router.

Configuracin de spoke
Esta ventana contiene informacin que puede utilizar para dar a un router spoke una configuracin compatible con el hub DMVPN que ha configurado. Muestra una lista de las ventanas que es preciso completar y aporta datos que deber especificar en la ventana para que el spoke pueda comunicarse con el hub.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-15

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Proporciona los datos siguientes que se deben introducir en la configuracin del spoke:

La direccin IP pblica del hub. Se trata de la direccin IP de la interfaz del hub que admite el tnel mGRE. La direccin IP del tnel mGRE del hub. La mscara de subred que todas las interfaces de tnel de DMVPN deben utilizar. La informacin de la configuracin de tnel avanzada. El protocolo de enrutamiento que se utilizar y cualquier informacin asociada al protocolo, como el nmero de sistema autnomo (para EIGRP) o el ID de proceso OSPF. El hash, el cifrado, el grupo DH y el tipo de autenticacin de las polticas IKE que utiliza el hub, para que se puedan configurar polticas IKE compatibles en el spoke. La informacin de ESP y de modo de los conjuntos de transformacin que el hub utiliza. Si no se han configurado conjuntos de transformacin similares en el spoke, podr configurarlos gracias a esta informacin.

Tnel GRE seguro (GRE sobre IPSec)


La encapsulacin genrica de enrutamiento (GRE) es un protocolo de arquitectura de tneles desarrollado por Cisco que puede encapsular una amplia variedad de tipos de paquetes de protocolos dentro de tneles IP, creando un enlace de punto a punto virtual a routers de Cisco situados en puntos remotos de una interred IP. Gracias a la conexin de subredes de varios protocolos a un entorno con una base de protocolo nico, la creacin de tneles IP mediante GRE permite la expansin de la red en un entorno de protocolo nico. Este asistente permite crear un tnel GRE con cifrado IPSec. Cuando cree una configuracin de tnel GRE, cree tambin una regla IPSec que describa los puntos finales del tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-16

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Informacin acerca del tnel GRE


En esta pantalla se proporciona informacin general del tnel GRE.

Origen del tnel


Seleccione el nombre de la interfaz o la direccin IP de la interfaz que el tnel utilizar. La direccin IP de la interfaz debe ser alcanzable desde el otro extremo del tnel y, por lo tanto, debe tratarse de una direccin IP pblica que se pueda enrutar. Se generar un error si se especifica una direccin IP que no est asociada a ninguna interfaz configurada.

Nota

Cisco SDM muestra una lista de interfaces con direcciones IP estticas e interfaces configuradas como no numeradas en la lista de interfaces. Esta lista no incluye las interfaces de retrobucle.

Detalles
Haga clic en esta opcin para obtener los detalles de la interfaz seleccionada. La ventana Detalles mostrar todas las reglas de acceso, polticas IPSec, reglas NAT o reglas de inspeccin asociadas a la interfaz. Si se ha aplicado una regla NAT a esta interfaz que impide el enrutamiento de la direccin, el tnel no funcionar correctamente. Para examinar con ms detalle cualquiera de estas reglas, vaya a Tareas adicionales/Editor ACL y examnelas en la ventana Reglas.

Destino del tnel


Especifique la direccin IP de la interfaz en el router remoto del otro extremo del tnel. Desde el punto de vista del otro extremo del tnel, se trata de la interfaz de origen. Asegrese de que se pueda alcanzar la direccin mediante el comando ping. El comando ping est disponible en el men Herramientas. Si no se puede alcanzar la direccin de destino, el tnel no se crear correctamente.

Direccin IP del tnel GRE


Especifique la direccin IP del tnel. Las direcciones IP de ambos extremos del tnel deben estar en la misma subred. Se proporciona una direccin IP independiente al tnel para que, si es preciso, sta pueda ser una direccin privada.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-17

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Direccin IP

Especifique la direccin IP del tnel en formato de decimales con puntos. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred de la direccin del tnel en formato de decimales con puntos.

Informacin de autenticacin VPN


Los pares VPN utilizan una clave previamente compartida para realizar la autenticacin de las conexiones entre s. La clave deber ser la misma a ambos lados de la conexin VPN.

Clave previamente compartida


Haga clic en este botn si los pares VPN utilizan una clave previamente compartida para autenticar; a continuacin, especifique la clave previamente compartida y, por ltimo, vuelva a escribirla para confirmarla. Intercambie la clave previamente compartida con el administrador del sitio remoto mediante algn mtodo cmodo y seguro como, por ejemplo, un mensaje de correo electrnico cifrado. Los signos de interrogacin (?) y los espacios no pueden utilizarse en la clave previamente compartida.

Nota

Los caracteres especificados para la clave previamente compartida no se vern en el campo a medida que los escriba. Le recomendamos que anote la clave antes de especificarla a fin de poder comunicarla al administrador del sistema remoto. Las claves previamente compartidas deben intercambiarse entre cada par IPSec que necesite establecer tneles seguros. Este mtodo de autenticacin es adecuado para una red estable con un nmero limitado de pares IPSec. No obstante, en una red con un gran nmero de pares IPSec o un nmero creciente de stos, pueden surgir problemas de escalabilidad.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-18

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

Certificado digital
Haga clic en este botn si los pares VPN van a utilizar certificados digitales para la autenticacin. Para autenticarse a s mismo, es preciso que el router cuente con un certificado digital que haya sido emitido por una Autoridad certificadora. Si no ha configurado ningn certificado digital para el router, vaya a Componentes VPN y utilice el Asistente para certificados digitales para suscribirse a un certificado digital.

Nota

Si autentica mediante certificados digitales, es posible que no se cree el tnel VPN si el servidor de la Autoridad certificadora (CA) contactado durante la negociacin IKE no est configurado para responder a solicitudes CRL (de listas de revocacin de certificados). Para solucionar este problema, vaya a la pgina Certificados digitales, seleccione el punto de confianza configurado y, a continuacin, None for Revocation (Ninguno para revocar).

Informacin acerca del tnel GRE de reserva


Se puede configurar un tnel GRE sobre IPSec de reserva para que el router lo utilice en caso de fallar el tnel principal. Este tnel utilizar la misma interfaz que la que configur para el tnel principal, aunque debe configurarse con el router de la VPN de reserva como par. Si el enrutamiento est configurado para el tnel GRE sobre IPSec principal, los paquetes keepalive que enve el protocolo de enrutamiento se utilizarn para verificar que el tnel siga activo. Si el router deja de recibir paquetes keepalive en el tnel principal, el trfico se enviar a travs del tnel de reserva.

Cree un tnel GRE de reserva para aumentar la flexibilidad


Active esta casilla si desea crear un tnel de reserva.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-19

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Direccin IP del destino del tnel GRE de reserva:


Especifique la direccin IP de la interfaz en el router remoto del otro extremo del tnel. (Desde el punto de vista del otro extremo del tnel, se trata de la interfaz de origen). Asegrese de que se pueda alcanzar la direccin mediante el comando ping. El comando ping est disponible en el men Herramientas. Si no se puede alcanzar la direccin de destino especificada en el cuadro de dilogo Ping, el tnel no se crear correctamente.

Direccin IP del tnel


Especifique la direccin IP del tnel. Las direcciones IP de ambos extremos del tnel deben estar en la misma subred. Se proporciona una direccin IP independiente al tnel para que, si es preciso, sta pueda ser una direccin privada.
Direccin IP

Especifique la direccin IP del tnel en formato de decimales con puntos. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.
Mscara de subred

Especifique la mscara de subred de la direccin del tnel en formato de decimales con puntos.

Informacin de enrutamiento
Esta ventana permite configurar el enrutamiento del trfico del tnel. La informacin que agregue a esta ventana aparecer en la ventana Enrutamiento. Los cambios que efecte en la ventana Enrutamiento pueden influir en el trfico VPN. La configuracin del enrutamiento le permitir especificar las redes que participarn en la VPN GRE sobre IPSec. Asimismo, si configura un tnel GRE sobre IPSec de reserva, los paquetes keepalive enviados por protocolos de enrutamiento permitirn al router determinar si ha fallado el tnel principal. Seleccione un protocolo de enrutamiento dinmico si este router se est utilizando en una gran implementacin de VPN con un amplio nmero de redes en la VPN GRE sobre IPSec. Seleccione un enrutamiento esttico si van a participar pocas redes en la VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-20

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

EIGRP
Marque este cuadro para utilizar EIGRP (Enhanced Interior Gateway Routing Protocol) para enrutar trfico. Luego haga clic en Prximo para especificar qu red participar en la VPN GRE sobre IPSec en la ventana de informacin del enrutamiento dinmico.

OSPF
Marque este cuadro para utilizar el protocolo OSPF (Open Shortest Path First) para enrutar trfico. Luego haga clic en Prximo para especificar qu red participar en la VPN GRE sobre IPSec en la ventana de informacin del enrutamiento dinmico.

RIP
Marque este cuadro para utilizar el protocolo RIP (Routing Information Protocol) para enrutar trfico. Luego haga clic en Siguiente para especificar qu redes participarn en la VPN GRE sobre IPSec en la ventana de informacin de enrutamiento dinmico.

Nota

Esta opcin no est disponible si se configura un tnel GRE sobre IPSec de reserva.

Enrutamiento esttico
El enrutamiento esttico puede utilizarse en implementaciones de VPN ms pequeas en las que slo unas cuantas redes privadas participen en VPN GRE sobre IPSec. Se puede configurar una ruta esttica por cada red remota para que el trfico destinado a las redes remotas pase por los tneles adecuados.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-21

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Informacin sobre el enrutamiento esttico


Se puede configurar una ruta esttica por cada red remota para que el trfico destinado a las redes remotas pase por los tneles adecuados. Configure la primera ruta esttica en la ventana Informacin sobre el enrutamiento esttico. Si necesita configurar rutas estticas adicionales, vaya a la ventana Enrutamiento. Marque este cuadro si desea especificar una ruta esttica para el tnel y seleccione una de las opciones siguientes:

Enviar todo el trfico por el tnel: todo el trfico se enrutar a travs de la interfaz de tnel y se cifrar. Cisco SDM crea una entrada de ruta esttica por defecto con la interfaz de tnel indicada como el prximo salto. Si ya existe una ruta por defecto, Cisco SDM modifica dicha ruta para que utilice la interfaz de tnel como salto siguiente (para ello, sustituye la interfaz que estaba originalmente en ese punto y crea una entrada esttica nueva a la red de destino del tnel, que especifique la interfaz de la ruta por defecto original como prximo salto). En el ejemplo siguiente, se presupone que la red del otro extremo del tnel es 200.1.0.0, tal como se especifica en los campos de la red de destino:
! Original entry ip route 0.0.0.0 0.0.0.0 FE0

! Entry changed by SDM ip route 0.0.0.0 0.0.0.0 Tunnel0

! Entry added by SDM ip route 200.1.0.0 255.255.0.0 FE0

Si no existe ninguna ruta por defecto, Cisco SDM crea una con la interfaz de tnel como salto siguiente. Por ejemplo:
ip route 0.0.0.0 0.0.0.0 Tunnel0

Dividir la arquitectura en distintos tneles: la divisin de la arquitectura en tneles permite cifrar y enrutar, a travs de la interfaz de tnel, el trfico destinado a la red especificada en los campos Direccin IP y Mscara de red. El trfico restante no se cifrar. Cuando se selecciona esta opcin, Cisco SDM crea una ruta esttica a la red mediante la direccin IP y la mscara de red.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-22

OL-9963-04

Captulo 9

VPN sitio a sitio Crear VPN sitio a sitio

En el ejemplo siguiente, se presupone que la direccin de red 10.2.0.0/255.255.0.0 se ha especificado en los campos de la direccin de destino: En el ejemplo siguiente, se presupone que la direccin de red 10.2.0.0/255.255.0.0 se ha especificado en los campos de la direccin de destino:
ip route 10.2.0.0 255.255.0.0 Tunnel0

Cuando se seleccione la divisin de la arquitectura de tneles, aparecern los campos Direccin IP y Mscara de Subred, lo que requiere que usted introduzca la Direccin IP y la Mscara de Subred del destino. Debe asegurarse de que se pueda alcanzar la direccin IP de destino especificada en el campo Destino del tnel de la ventana Informacin acerca del tnel GRE. Si no se puede alcanzar, no se establecer ningn tnel.

Direccin IP
Activada con la divisin de la arquitectura en tneles. Especifique la direccin IP de la red del otro extremo del tnel. Cisco SDM crear una entrada de ruta esttica para los paquetes que tengan una direccin de destino en dicha red. Este campo se desactiva cuando se selecciona Enviar todo el trfico por el tnel. Antes de configurar esta opcin, asegrese de que se pueda alcanzar la direccin IP de destino especificada en este campo. Si no se puede alcanzar, no se establecer ningn tnel.

Mscara de red
Activada con la divisin de la arquitectura en tneles. Especifique la mscara de red utilizada en la red del otro extremo del tnel. Este campo se desactiva cuando se selecciona Enviar todo el trfico por el tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-23

Captulo 9 Crear VPN sitio a sitio

VPN sitio a sitio

Seleccionar el protocolo de enrutamiento


Utilice esta ventana para especificar el modo en que otras redes detrs del router se anunciarn a los dems routers de la red. Seleccione uno de los siguientes:

EIGRP: Extended Interior Gateway Routing Protocol. OSPF: Open Shortest Path First. RIP: Routing Internet Protocol. Enrutamiento esttico: esta opcin est activada cuando se configura un tnel GRE sobre IPSec.

Nota

RIP no se admite para la topologa de spoke y hub DMVPN, pero est disponible para la topologa de malla completa de DMVPN.

Resumen de la configuracin
Esta pantalla resume la configuracin de GRE que ha llevado a cabo. Puede revisar la informacin de esta pantalla y hacer clic en el botn Atrs para regresar a cualquier ventana en la que desee efectuar cambios. Si desea guardar la configuracin, haga clic en Finalizar. La configuracin de tnel GRE crea una regla IPSec que especifica los hosts entre los que podr fluir el trfico GRE. La regla IPSec se indica en el resumen.

Para guardar esta configuracin en la configuracin en ejecucin del router y salir de este asistente:
Haga clic en Finalizar. Cisco SDM guarda los cambios de configuracin en la configuracin en ejecucin del router. Aunque los cambios se aplican inmediatamente, los mismos se perdern si se apaga el router. Si ha marcado la opcin Obtener una vista previa de los comandos antes de enviarlos al router de la ventana Preferencias de Cisco SDM, aparecer la ventana Enviar. Esta ventana permite ver los comandos del CLI que se envan al router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-24

OL-9963-04

Captulo 9

VPN sitio a sitio Editar VPN sitio a sitio

Editar VPN sitio a sitio


Las redes privadas virtuales (VPN) protegen, mediante el cifrado del trfico, los datos entre el router y el sistema remoto, para que los que estn utilizando la misma red pblica no puedan leerlos. De hecho, brindan la proteccin de una red privada sobre lneas pblicas que otras organizaciones o empresas pueden utilizar. Utilice esta ventana para crear y gestionar conexiones VPN a sistemas remotos. Puede crear, editar o eliminar conexiones VPN y restablecer conexiones ya existentes. Tambin puede utilizar esta ventana para configurar el router como un cliente Easy VPN con conexiones a uno o varios concentradores o servidores Easy VPN. Haga clic en el enlace de la parte de la ventana para la cual necesite ayuda:

Conexiones VPN sitio a sitio


Las conexiones VPN, en ocasiones conocidas como tneles, se crean y gestionan desde el cuadro de conexiones VPN. Una conexin VPN enlaza la interfaz de un router con uno o varios pares especificados mediante un mapa criptogrfico definido en una poltica IPSec (Seguridad IP). Las conexiones VPN de esta lista pueden verse, agregarse, editarse y eliminarse.
Columna Estado

Estado de la conexin, indicado mediante los iconos siguientes: La conexin est activa. La conexin est inactiva. Estableciendo la conexin.
Interfaz

Interfaz del router conectada con los pares remotos en esta conexin VPN. Una interfaz se puede asociar con una sola poltica IPSec. La misma interfaz aparecer en varias lneas si hay ms de un mapa criptogrfico definido para la poltica IPSec utilizada en esta conexin.
Descripcin

Breve descripcin de esta conexin.


Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-25

Captulo 9 Editar VPN sitio a sitio

VPN sitio a sitio

Poltica IPSec

Nombre de la poltica IPSec utilizada en esta conexin VPN. La poltica IPSec especifica cmo se cifran los datos, qu datos se cifrarn y adnde se enviarn los datos. Para obtener ms informacin, haga clic en Informacin adicional acerca de conexiones VPN y polticas IPSec.
Nmero de secuencia

Nmero de secuencia de esta conexin. Dado que una misma poltica IPSec puede utilizarse en ms de una conexin, la combinacin del nmero de secuencia y del nombre de la poltica IPSec identifica de forma exclusiva esta conexin VPN. El nmero de secuencia no sirve para dar prioridad a una conexin VPN; el router intentar establecer todas las conexiones VPN configuradas con independencia del nmero de secuencia.
Pares

Direcciones IP o nombres de host de los dispositivos del otro extremo de la conexin VPN. Si una conexin contiene varios pares, sus direcciones IP o nombres de host se separan con comas. Se pueden configurar varios pares para proporcionar rutas alternativas para el enrutamiento de la conexin VPN.
Conjunto de transformacin

Muestra el nombre del conjunto de transformacin utilizado para esta conexin VPN. En caso de haber varios nombres de conjuntos de transformacin, stos estn separados mediante comas. Un conjunto de transformacin especifica los algoritmos que se utilizarn para cifrar datos, asegurar su integridad y proporcionar la compresin de los mismos. Ambos pares deben utilizar el mismo conjunto de transformacin, por lo que negociarn para determinar qu conjunto de transformacin utilizarn. Se pueden definir varios conjuntos de transformacin para asegurarse de que el router pueda ofrecer un conjunto de transformacin que el par negociador acepte utilizar. Los conjuntos de transformacin son un componente de la poltica IPSec.
Regla IPSec

Regla que determina qu trfico debe cifrarse en esta conexin. La regla IPSec es un componente de la poltica IPSec.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-26

OL-9963-04

Captulo 9

VPN sitio a sitio Editar VPN sitio a sitio

Tipo

Uno de los siguientes:


Esttico: tnel VPN sitio a sitio esttico. El tnel VPN utiliza mapas criptogrficos estticos. Dinmico: tnel VPN sitio a sitio dinmico. El tnel VPN utiliza mapas criptogrficos dinmicos.

Botn Agregar
Haga clic en este botn para agregar una conexin VPN.

Botn Eliminar
Haga clic en este botn para eliminar una conexin VPN seleccionada.

Botn Probar tnel


Haga clic para probar un tnel VPN determinado. Los resultados de la prueba se mostrarn en otra ventana.

Botn Establecer conexin


Haga clic en este botn para establecer una conexin con un par remoto. Este botn se desactiva si ha seleccionado un tnel VPN sitio a sitio dinmico.

Botn Generar una copia


Haga clic en este botn para crear un archivo de texto que capture la configuracin VPN del router local, de modo que se pueda dar a un router remoto una configuracin VPN que le permita establecer una conexin VPN con el router local. Este botn se desactiva si ha seleccionado un tnel VPN sitio a sitio dinmico.

Nota

Si Cisco SDM detecta conexiones VPN configuradas anteriormente que no utilizan mapas criptogrficos ISAKMP, dichas conexiones aparecern como entradas de slo lectura en la tabla de conexiones VPN y no se podrn editar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-27

Captulo 9 Editar VPN sitio a sitio

VPN sitio a sitio

Agregar nueva conexin


Utilice esta ventana para agregar una conexin VPN nueva entre el router local y un sistema remoto conocido como par. La conexin VPN se crea asociando una poltica IPSec a una interfaz.
Para crear una conexin VPN:
Paso 1

Seleccione la interfaz que desee utilizar para la VPN en la lista Seleccionar la interfaz. En esta lista slo se muestran las interfaces que no se estn utilizando en otras conexiones VPN. Seleccione una poltica en la lista Elegir una poltica IPSec. Haga clic en Aceptar para regresar a la ventana de conexiones VPN.

Paso 2

Agregar mapa criptogrfico


Utilice esta ventana para agregar un mapa criptogrfico nuevo a una poltica IPSec existente. La ventana muestra la interfaz asociada a la conexin VPN seleccionada en la ventana de conexiones VPN, la poltica IPSec asociada a ella y los mapas criptogrficos que la poltica ya contiene. El mapa criptogrfico especifica un nmero de secuencia, el dispositivo par situado al otro extremo de la conexin, el conjunto de transformaciones que cifran el trfico y la regla IPSec que determina el trfico que se cifrar.

Nota

Agregar un mapa criptogrfico a una poltica IPSec existente es la nica manera de agregar un tnel VPN a una interfaz que ya se est utilizando en una conexin VPN existente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-28

OL-9963-04

Captulo 9

VPN sitio a sitio Editar VPN sitio a sitio

Interfaz
Interfaz utilizada en esta conexin VPN.

Poltica IPSec
Nombre de la poltica IPSec que controla la conexin VPN. Los mapas criptogrficos que forman la poltica IPSec aparecen en la lista situada bajo este campo. Para obtener ms informacin, haga clic en Informacin adicional acerca de conexiones VPN y polticas IPSec.

Qu desea hacer?

Si desea:

Haga lo siguiente:

Configurar el mapa criptogrfico por s Haga clic en Agregar nuevo mapa criptogrfico y utilice la mismo. ventana Agregar mapa criptogrfico para crear el mapa criptogrfico nuevo. Haga clic en Aceptar cuando haya acabado. A continuacin, haga clic en Aceptar en esta ventana. Use Cisco Router and Security Device Manager (Cisco SDM) (Cisco SDM) para agregar un mapa criptogrfico nuevo a esta conexin. Marque el cuadro Utilizar el asistente para agregar y haga clic en Aceptar. Cisco SDM le guiar por el proceso de creacin de un mapa criptogrfico nuevo y lo asociar con la poltica IPSec.

Asistente para mapas criptogrficos: Bienvenido


Este asistente le guiar por el proceso de creacin de un mapa criptogrfico. Un mapa criptogrfico especifica los dispositivos pares del otro extremo de la conexin VPN, define cmo se cifrar el trfico e identifica qu trfico se cifrar. Haga clic en Siguiente para empezar a crear un mapa criptogrfico.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-29

Captulo 9 Editar VPN sitio a sitio

VPN sitio a sitio

Asistente para mapas criptogrficos: Resumen de la configuracin


La pgina de resumen del Asistente para mapas criptogrficos muestra los datos especificados en las ventanas del asistente. Puede revisarla, hacer clic en Atrs para regresar a una pantalla para introducir cambios y, a continuacin, regresar a la ventana Resumen y hacer clic en Finalizar para suministrar la configuracin del mapa criptogrfico al router.

Eliminar conexin
Utilice esta ventana para eliminar un tnel VPN o, sencillamente, disociarlo de una interfaz, pero conservando su definicin para utilizarla en el futuro.

Eliminar el mapa criptogrfico con el nmero de secuencia n de la poltica IPSec nombre de la poltica
Haga clic en este botn y, a continuacin, en Aceptar para quitar la definicin del tnel VPN. Las asociaciones creadas entre la interfaz, la poltica IPSec y los dispositivos pares se perdern cuando ejecute esta operacin. Si esta definicin de tnel tiene ms de una interfaz asociada, tambin se eliminarn dichas asociaciones.

Eliminar el mapa criptogrfico dinmico con el nmero de secuencia n del conjunto de mapas criptogrficos dinmicos nombre del conjunto
Este botn se muestra si ha seleccionado un tnel VPN sitio a sitio dinmico. Haga clic en este botn y, a continuacin, en Aceptar para quitar la definicin del tnel VPN. Las asociaciones creadas entre la interfaz, la poltica IPSec y los dispositivos pares se perdern cuando ejecute esta operacin. Si esta definicin de tnel tiene ms de una interfaz asociada, tambin se eliminarn dichas asociaciones.

Anular la poltica IPSec nombre de la poltica de la interfaz nombre de la interfaz y conserve la poltica IPSec para su eventual reutilizacin
Haga clic en este botn y, a continuacin, en Aceptar para conservar la definicin del tnel y, a la vez, quitar su asociacin de la interfaz. Si as lo desea, podr asociar esta definicin con la interfaz de otro router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-30

OL-9963-04

Captulo 9

VPN sitio a sitio Editar VPN sitio a sitio

Ping
Puede realizar un ping en un dispositivo par en esta ventana. En ella puede seleccionar el origen y el destino de la operacin ping. Es posible que despus de restablecer un tnel VPN, desee realizar un ping a un par remoto.

Origen
Seleccione o especifique la direccin IP en la que desee que se origine el ping. Si la direccin que desea utilizar no se encuentra en la lista, especifique otra en el campo. El ping puede tener su origen en cualquier interfaz del router. Por defecto, el comando ping tiene su origen en la interfaz exterior de la conexin con el dispositivo remoto.

Destino
Seleccione la direccin IP para la que desea realizar el ping. Si la direccin que desea utilizar no se encuentra en la lista, especifique otra en el campo.

Para enviar un ping a un par remoto:


Especifique el origen y el destino y haga clic en Ping. Para saber si el ping ha sido satisfactorio, puede leer la salida del comando ping.

Para borrar la salida del comando ping:


Haga clic en Borrar.

Generar el reflejo...
Esta ventana muestra la poltica IPSec utilizada por el tnel VPN para el par seleccionado, y permite guardar la poltica en un archivo de texto que puede utilizar para configurar la conexin VPN en el dispositivo par.

Dispositivo par
Seleccione la direccin IP o el nombre de host del dispositivo par para ver la poltica IPSec configurada para el tnel a dicho dispositivo. La poltica aparecer en el cuadro situado bajo la direccin IP del par.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-31

Captulo 9 Editar VPN sitio a sitio

VPN sitio a sitio

Para crear un archivo de texto de la poltica IPSec:


Haga clic en Guardar y especifique el nombre y ubicacin del archivo de texto. Puede suministrar este archivo de texto al administrador del dispositivo par a fin de que dicho administrador cree una poltica que refleje la que ha creado en el router. Haga clic en Despus de configurar una VPN, cmo se configura la VPN en el router del par? para saber cmo utilizar el archivo de texto para crear una poltica de reflejo.

Precaucin

El archivo de texto que genere no debe copiarse en el archivo de configuracin del sistema remoto, sino que slo debe utilizarse para mostrar qu se ha configurado en el router local y, de esta manera, ofrecer la posibilidad de que el dispositivo remoto pueda configurarse de forma compatible. Pueden utilizarse nombres idnticos para polticas IPSec, polticas IKE y conjuntos de transformacin en el router remoto, pero las polticas y los conjuntos de transformacin pueden ser diferentes. Si se copia el archivo de texto en el archivo de configuracin remota, es probable que se produzcan errores de configuracin.

Advertencia de Cisco SDM: Reglas NAT con ACL


Esta ventana aparece cuando se configura una VPN mediante interfaces asociadas a reglas NAT que utilizan reglas de acceso. Este tipo de regla NAT puede cambiar las direcciones IP de los paquetes antes de que stos dejen la LAN o entren en ella. Una regla NAT impedir que las conexiones VPN funcionen correctamente si cambia las direcciones IP de origen y stas no coinciden con la regla IPSec configurada para la VPN. Para evitar que esto ocurra, Cisco SDM puede convertir estas reglas en reglas NAT que utilizan mapas de ruta. Los mapas de ruta especifican las subredes que no deben traducirse. La ventana muestra las reglas NAT que deben cambiarse para asegurarse de que la conexin VPN funciona correctamente.

Direccin original
Direccin IP que NAT traducir.

Direccin traducida
Direccin IP que NAT sustituir por la direccin original.
Gua del usuario de Cisco Router and Security Device Manager 2.4

9-32

OL-9963-04

Captulo 9

VPN sitio a sitio Cmo...

Tipo de regla
Tipo de regla NAT, ya sea esttica o dinmica.

Para que las reglas NAT de la lista utilicen mapas de ruta:


Haga clic en Aceptar.

Cmo...
En esta seccin se incluyen procedimientos para las tareas que el asistente no le ayuda a llevar a cabo.

Cmo se crea una VPN para ms de un sitio?


Puede utilizar Cisco SDM para crear varios tneles VPN en una interfaz del router. Cada tnel VPN conectar la interfaz seleccionada del router a una subred diferente del router de destino. Se pueden configurar varios tneles VPN para que se conecten a la misma interfaz pero a diferentes subredes del router de destino, o bien, se pueden configurar varios tneles VPN para conectarse a diferentes interfaces del router de destino. Primero, es preciso crear el tnel VPN inicial. Los pasos que indicamos a continuacin, describen cmo crear el tnel VPN inicial. Si ya ha creado el primer tnel VPN y necesita agregar un tnel adicional a la misma interfaz, omita el primer procedimiento y siga los pasos del procedimiento siguiente de este tema de ayuda.

Creacin del tnel VPN inicial:


Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione VPN. Seleccione Crear una VPN sitio a sitio. Haga clic en Iniciar la tarea seleccionada. Se iniciar el Asistente para VPN. Haga clic en Configuracin rpida. Haga clic en Siguiente>.

Paso 4 Paso 5

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-33

Captulo 9 Cmo...

VPN sitio a sitio

Paso 6

En el campo Seleccione la interfaz para esta conexin VPN, elija la interfaz del router de origen en la que se crear el tnel VPN. sta es la interfaz que aparece conectada a Internet en el sistema local en el diagrama del escenario de utilizacin. En el campo Identidad del par, especifique la direccin IP de la interfaz del router de destino. En los campos Autenticacin, escriba y vuelva a escribir la clave previamente compartida que utilizarn los dos pares VPN. En el campo Origen, seleccione la interfaz que se conecta a la subred cuyo trfico IP desea proteger. ste es el router local en el diagrama del escenario de utilizacin y, por lo general, se trata de una interfaz conectada a la LAN. En los campos de Destino, especifique la direccin IP y la mscara de subred del router de destino. Haga clic en Siguiente>. Haga clic en Finalizar.

Paso 7 Paso 8 Paso 9

Paso 10 Paso 11 Paso 12

Creacin de un tnel adicional desde la misma interfaz de origen


Una vez haya creado el tnel VPN inicial, siga los pasos descritos a continuacin para crear un tnel adicional desde la misma interfaz de origen a otra interfaz o subred de destino:
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione VPN. Seleccione Crear una VPN sitio a sitio. Haga clic en Iniciar la tarea seleccionada. Se iniciar el Asistente para VPN. Haga clic en Configuracin rpida. Haga clic en Siguiente>. En el campo Seleccione la interfaz para esta conexin VPN, elija la misma interfaz que ha utilizado para crear la conexin VPN inicial.

Paso 4 Paso 5 Paso 6

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-34

OL-9963-04

Captulo 9

VPN sitio a sitio Cmo...

Paso 7

En el campo Identidad del par, especifique la direccin IP de la interfaz del router de destino. Puede especificar la misma direccin IP que introdujo al crear la conexin VPN inicial. Esto significa que esta otra conexin VPN debe utilizar la misma interfaz en el router de destino que la conexin VPN inicial. Si no desea que las dos conexiones VPN se conecten a la misma interfaz de destino, especifique la direccin IP de otra interfaz en el router de destino. En los campos Autenticacin, escriba y vuelva a escribir la clave previamente compartida que utilizarn los dos pares VPN. En el campo Origen, seleccione la misma interfaz utilizada para crear la conexin VPN inicial. En los campos Destino, dispone de las opciones siguientes:

Paso 8 Paso 9 Paso 10

Si, en el campo Identidad del destino, usted introdujo la direccin IP de una interfaz diferente en el router de destino y desea proteger el trfico IP que viene desde alguna subred especfica, introduzca la direccin IP y la mscara de subred de esa subred en los campos apropiados. Si usted introdujo la misma direccin IP en el campo Identidad del destino, como la que us para la conexin de la VPN inicial indicando que este tnel de VPN usar la misma interfaz del router que el tnel de VPN inicial, despus tendr que introducir la direccin IP y la mscara de subred nueva que desea proteger en los campos apropiados.

Paso 11 Paso 12

Haga clic en Siguiente>. Haga clic en Finalizar.

Despus de configurar una VPN, cmo se configura la VPN en el router del par?
Cisco SDM genera configuraciones VPN en el router. Cisco SDM incluye una funcin que genera un archivo de texto de la configuracin, que puede utilizarse como plantilla para crear una configuracin VPN para el router par con el que el tnel VPN se conecta. Este archivo de texto slo puede usarse como plantilla que muestra los comandos que es preciso configurar. No se puede utilizar sin editar, ya que contiene informacin que slo es correcta para el router local que configur.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-35

Captulo 9 Cmo...

VPN sitio a sitio

Para generar la configuracin de una plantilla para el router de la VPN del par.
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione VPN. Seleccione VPN sitio a sitio en el rbol de VPN y haga clic en la ficha Editar. Seleccione la conexin VPN que desee utilizar como plantilla y haga clic en Generar una copia. Cisco SDM muestra la pantalla Generar una copia.

Paso 4

En el campo Dispositivo par, seleccione la direccin IP del dispositivo par para el que desea generar una configuracin sugerida. La configuracin sugerida para el dispositivo par aparecer en la pantalla Generar una copia.

Paso 5

Haga clic en Guardar para que se abra el cuadro de dilogo Guardar archivo de Windows y pueda guardar el archivo.

Precaucin

No aplique la configuracin de reflejo en el dispositivo par sin editarla. Esta configuracin es una plantilla que precisa una configuracin manual adicional. Utilcela slo como punto de partida para crear la configuracin del par VPN.

Paso 6

Despus de guardar el archivo, use un editor de textos para introducir los cambios necesarios en la configuracin de la plantilla. Algunos comandos pueden necesitar edicin:

Los comandos de la direccin IP del par Los comandos de la poltica de transformacin Los comandos de la direccin IP del mapa criptogrfico Los comandos de la ACL Los comandos de la direccin IP de la interfaz

Paso 7

Una vez que haya acabado de editar el archivo de configuracin del par, suminstrelo al router del par mediante un servidor TFTP.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-36

OL-9963-04

Captulo 9

VPN sitio a sitio Cmo...

Cmo se edita un tnel VPN existente?


Para editar un tnel VPN existente:
Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Paso 7

En el panel izquierdo, seleccione VPN. Seleccione VPN sitio a sitio en el rbol de VPN y haga clic en la ficha Editar. Haga clic en la conexin que desee editar. Haga clic en Agregar. Seleccione Mapas criptogrficos estticos a <nombre de poltica>. En la ventana Agregar Mapas criptogrficos estticos, puede agregar ms mapas criptogrficos a la conexin VPN. Si es preciso modificar algunos de los componentes de la conexin como, por ejemplo, la poltica IPSec o el mapa criptogrfico existente, anote los nombres de los componentes en la ventana VPN y vaya a las ventanas adecuadas de Componentes VPN para efectuar los cambios.

Cmo se puede confirmar que mi VPN funciona?


Se puede verificar que la conexin VPN funciona mediante el modo Supervisin en Cisco SDM. Si la conexin VPN funciona, el modo Supervisin mostrar la conexin VPN identificando las direcciones IP del par de origen y de destino. El modo Supervisin mostrar el nmero de paquetes transferidos en la conexin o el estado actual de sta, en funcin de si la conexin VPN es un tnel IPSec o una asociacin de seguridad (SA) Intercambio de claves por Internet (IKE). Para mostrar la informacin actual de una conexin VPN:
Paso 1 Paso 2 Paso 3

En la barra de herramientas, seleccione el modo Supervisin. En el panel izquierdo, seleccione Estado de la red VPN. En el campo Seleccionar una categora, seleccione si desea ver informacin para asociaciones de seguridad IKE o tneles IPSec. Cada conexin VPN configurada aparecer como una fila en la pantalla.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-37

Captulo 9 Cmo...

VPN sitio a sitio

Si est viendo informacin de tnel IPSec, puede verificar la informacin siguiente para determinar si la conexin VPN funciona:

Las direcciones IP del par local y remoto son correctas; es decir, que la conexin VPN est entre las interfaces de router y sitios correctos. El estado del tnel es activo. Si el estado del tnel es inactivo o administrativamente inactivo, la conexin VPN no est activada. El nmero de paquetes de encapsulacin y de desencapsulacin no es igual a cero; es decir, los datos se han transferido por la conexin y los errores enviados y recibidos no son demasiado elevados.

Si est viendo informacin de una asociacin de seguridad IKE, puede verificar que la conexin VPN funciona comprobando que las direcciones IP de origen y de destino sean correctas y que el estado sea QM_IDLE, es decir, que se ha autenticado la conexin y que puede efectuarse la transferencia de datos.

Cmo se configura un par de reserva para mi VPN?


Para configurar varios pares VPN en un nico mapa criptogrfico:
Paso 1 Paso 2 Paso 3 Paso 4

En el panel izquierdo, seleccione VPN. En el rbol de VPN, seleccione Componentes VPN y, a continuacin, Polticas IPSec. En la tabla Polticas IPSec, haga clic en la poltica IPSec a la que desea agregar otro par VPN. Haga clic en Editar. Aparecer el cuadro de dilogo Editar la poltica IPSec. Haga clic en Agregar. Se abrir el cuadro de dilogo Agregar mapa criptogrfico para establecer los valores del mapa criptogrfico nuevo. Ajuste los valores del mapa criptogrfico nuevo mediante las cuatro fichas del cuadro de dilogo. La ficha Informacin del par contiene el campo Especificar pares, que permite especificar la direccin IP del par que desea agregar.

Paso 5 Paso 6

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-38

OL-9963-04

Captulo 9

VPN sitio a sitio Cmo...

Paso 7

Cuando haya acabado, haga clic en Aceptar. Aparecer el mapa criptogrfico con la nueva direccin IP del par en la tabla Mapas criptogrficos en esta poltica IPSec.

Paso 8

Para agregar pares adicionales, repita el proceso indicado de los pasos 4 a 8.

Cmo se acomodan varios dispositivos con diferentes niveles de admisin de VPN?


Para agregar ms de un conjunto de transformacin a un nico mapa criptogrfico:
Paso 1 Paso 2 Paso 3 Paso 4

En el panel izquierdo, seleccione VPN. En el rbol de VPN, seleccione Componentes VPN y, a continuacin, Polticas IPSec. En la tabla Polticas IPSec, haga clic en la poltica IPSec que contenga el mapa criptogrfico al que desee agregar otro conjunto de transformacin. Haga clic en Editar. Aparecer el cuadro de dilogo Editar la poltica IPSec. En la tabla Mapas criptogrficos en esta poltica IPSec, haga clic en el mapa criptogrfico al que desee agregar otro conjunto de transformacin. Haga clic en Editar. Aparecer el cuadro de dilogo Editar el mapa criptogrfico. Haga clic en la ficha Conjuntos de transformacin. En el campo Conjuntos de transformacin disponibles, haga clic en el conjunto de transformacin que desee agregar al mapa criptogrfico. Haga clic en >> para agregar el conjunto de transformacin seleccionado al mapa criptogrfico. Si desea agregar conjuntos de transformacin adicionales a este mapa criptogrfico, repita los pasos 9 y 10 hasta que haya agregado todos los conjuntos de transformacin que desee. Haga clic en Aceptar.

Paso 5 Paso 6

Paso 7 Paso 8 Paso 9 Paso 10

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-39

Captulo 9 Cmo...

VPN sitio a sitio

Cmo se configura una VPN en una interfaz no compatible?


Cisco SDM puede configurar una VPN en un tipo de interfaz no admitido por Cisco SDM. Para poder configurar la conexin VPN, primero es preciso utilizar la CLI del router para configurar la interfaz. La interfaz deber tener, como mnimo, una direccin IP configurada y deber estar en funcionamiento. Para verificar que la conexin funcione, verifique que el estado de la interfaz sea activo. Despus de configurar la interfaz no admitida mediante el CLI, puede utilizar Cisco SDM para configurar la conexin VPN. La interfaz no compatible aparecer en los campos en los que es preciso elegir una interfaz para la conexin VPN.

Cmo se configura una VPN despus de configurar un firewall?


Para que una VPN funcione con un firewall in situ, es preciso configurar el firewall para permitir el trfico entre las direcciones IP de los pares local y remoto. Cisco SDM crea esta configuracin por defecto al configurar una VPN despus de haber configurado un firewall.

Cmo se configura el paso de NAT (NAT Passthrough) para una VPN?


Si est utilizando NAT para traducir direcciones de redes que no son la propia y est conectando a un sitio especfico situado fuera de la red mediante una VPN, deber configurar una transmisin NAT para la conexin VPN, a fin de que la traduccin de la direccin de la red no se produzca en el trfico VPN. Si ya ha configurado NAT en el router y ahora est configurando una conexin VPN nueva mediante Cisco SDM, recibir un mensaje de advertencia que le informar que Cisco SDM configurar NAT para que no traduzca trfico VPN. Deber aceptar el mensaje para que Cisco SDM cree las ACL necesarias para proteger el trfico VPN contra la traduccin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-40

OL-9963-04

Captulo 9

VPN sitio a sitio Cmo...

Si est configurando NAT mediante Cisco SDM y ya ha configurado una conexin VPN, ejecute el procedimiento siguiente para crear las ACL.
Paso 1 Paso 2 Paso 3

En el panel izquierdo, seleccione Tareas adicionales/Editor ACL. En el rbol Reglas, seleccione Reglas de acceso. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una regla. En el campo Nombre/Nmero, especifique un nombre o un nmero exclusivo para la regla nueva. En el campo Tipo, seleccione Regla ampliada. En el campo Descripcin, introduzca una breve descripcin de la nueva regla. Haga clic en Agregar. Aparecer el cuadro de dilogo Agregar una entrada de regla estndar. En el campo Accin, seleccione Permitir. En el grupo Red/host de origen, del campo Tipo, seleccione Una red. En los campos Direccin IP y Mscara con Comodn, introduzca la direccin IP y la mscara de subred del puerto de origen de la VPN. En el grupo Red/host de destino, del campo Tipo, seleccione Una red. En los campos Direccin IP y Mscara comodn, especifique la direccin IP y la mscara de subred del par de destino de VPN. En el campo Descripcin, introduzca una breve descripcin de la red o del host. Haga clic en Aceptar. Ahora, la nueva regla aparecer en la tabla Reglas de acceso.

Paso 4 Paso 5 Paso 6 Paso 7

Paso 8 Paso 9 Paso 10 Paso 11 Paso 12 Paso 13 Paso 14

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

9-41

Captulo 9 Cmo...

VPN sitio a sitio

Gua del usuario de Cisco Router and Security Device Manager 2.4

9-42

OL-9963-04

CAPTULO

10

Easy VPN remoto


Creacin de Easy VPN remoto
Cisco SDM le permite configurar su router como un cliente a un servidor o concentrador de Easy VPN. Su router debe estar ejecutando una imagen del software Cisco IOS que admita la Fase II de Easy VPN. Para poder llevar a cabo la configuracin, es necesario tener a mano la informacin siguiente.

Nombre de host o direccin IP del servidor Easy VPN Nombre de grupo IPSec Clave

Obtenga esta informacin del administrador del servidor Easy VPN.

Configurar un cliente de Easy VPN remoto


Este asistente le gua por el proceso de configuracin de un cliente de Easy VPN remoto de fase II.

Nota

Si el router no ejecuta una imagen de Cisco IOS que admita la fase II o posterior de Easy VPN remoto, no ser posible configurar un cliente Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-1

Captulo 10 Creacin de Easy VPN remoto

Easy VPN remoto

Informacin del servidor


La informacin introducida en esta ventana identifica el tnel de la Easy VPN, el servidor o concentrador de la Easy VPN a los que se conectar el router, y la ruta que usted desea que el trafico tome en la VPN.

Nombre de conexin
Especifique el nombre que desea asignar a esta conexin Easy VPN. El nombre de este router debe ser exclusivo dentro de los nombres de tnel Easy VPN y no puede contener espacios ni caracteres especiales como signos de interrogacin (?).

Servidores Easy VPN


Puede especificar informacin para un servidor Easy VPN primario y para uno secundario.
Servidor Easy VPN 1

Especifique el nombre de host o la direccin IP del concentrador o servidor Easy VPN principal a los que se conectar el router. Si especifica un nombre de host, la red debe disponer de un servidor DNS (Domain Name System) capaz de resolver el nombre de host con la direccin IP del dispositivo par.
Servidor Easy VPN 2

El campo Servidor Easy VPN 2 aparece cuando la imagen de Cisco IOS del router admite la fase III de Easy VPN remoto. De lo contrario, el campo no se mostrar. Especifique el nombre de host o la direccin IP del concentrador o servidor Easy VPN secundario a los que se conectar el router. Si especifica un nombre de host, la red debe disponer de un servidor DNS capaz de resolver el nombre de host con la direccin IP correcta del dispositivo par.

Modo de operacin
Elija Cliente o Extensin de la red. Elija Cliente si desea que los PC y dems dispositivos de las redes internas del router formen una red privada con direcciones IP privadas. Se utilizarn los procesos de traduccin de direcciones de red (NAT) y traduccin de direcciones de puerto (PAT). Los dispositivos externos a la LAN no podrn efectuar ningn ping en dispositivos de la LAN ni acceder a ellos directamente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-2

OL-9963-04

Captulo 10

Easy VPN remoto Creacin de Easy VPN remoto

Elija Extensin de la red, si desea que los dispositivos conectados con las interfaces internas tengan direcciones IP que se puedan enrutar y a las que se pueda acceder por la red de destino. Los dispositivos en ambos extremos de la conexin formarn una red lgica. PAT se desactivar automticamente, para permitir que los equipos y los hosts en ambos extremos de la conexin tengan acceso directo entre ellos. Consulte con el administrador del servidor o concentrador de la Easy VPN antes de seleccionar esta configuracin. Si elige Extensin de la red, podr activar la administracin remota del router, al marcar la casilla para solicitar una direccin IP asignada con servidor para su router. Esta direccin IP puede usarse para conectarse a su router correspondiente para la administracin remota y la resolucin de problemas (ping, Telnet, y Secure Shell). Este modo se denomina Network Extensin Plus.

Nota

Si el router no est ejecutando una imagen de Cisco IOS que admita la Fase IV o posterior de Easy VPN remoto, no podr ajustar Network Extension Plus.

Autenticacin
Use esta ventana para especificar la seguridad del tnel de Easy VPN remoto.

Autenticacin del dispositivo


Elija Certificados digitales o Clave previamente compartida.

Nota

La opcin Certificados digitales slo est disponible si est respaldada por la imagen de Cisco IOS en su router. Para utilizar una clave previamente compartida, especifique el nombre del grupo IPSec. El nombre del grupo debe corresponder al nombre del grupo definido en el concentrador o servidor de la VPN. Obtenga esta informacin de su administrador de redes. Especifique la clave de grupo IPSec, La Clave del grupo debe corresponder a la Clave del grupo definida en el concentrador o servidor de la VPN. Obtenga esta informacin de su administrador de redes. Introduzca nuevamente la Clave para confirmar su exactitud.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-3

Captulo 10 Creacin de Easy VPN remoto

Easy VPN remoto

Autenticacin de usuario (XAuth)


La autenticacin de usuario (XAuth) aparece en esta ventana, si la imagen de Cisco IOS en el router admite la Fase III de Easy VPN remoto. Si la autenticacin de usuario no aparece, deber establecerse desde la interfaz de la lnea de comandos. Elija uno de estos mtodos para introducir el nombre de usuario y la contrasea de XAuth:

Manualmente en una ventana del explorador Web

Nota

La opcin del explorador Web aparecer solamente si es admitida por la imagen de Cisco IOS en su router.

Manualmente desde la lnea de comandos o Cisco SDM Automticamente al guardar el nombre del usuario y la contrasea en el router El servidor Easy VPN puede utilizar Xauth para autenticar el router. Si el servidor permite la opcin de guardar contrasea, usted puede eliminar la necesidad de introducir el nombre del usuario y la contrasea cada vez que se establezca el tnel de la Easy VPN por esta opcin. Introduzca el nombre del usuario y la contrasea proporcionada por el administrador del servidor de la Easy VPN, y luego, vuelva a introducir la contrasea para confirmar su precisin. La informacin se guarda en el archivo de configuracin del router y se usa cada vez que se establezca el tnel.

Precaucin

El almacenamiento del nombre de usuario y la contrasea de autenticacin ampliada (Xauth) en la memoria del router crea un riesgo de seguridad, porque todos los usuarios que tengan acceso a la configuracin del router podrn obtener esta informacin. Si no desea que esta informacin se almacene en el router, no la introduzca aqu. El servidor Easy VPN simplemente exigir al router el nombre de usuario y la contrasea cada vez que se establezca la conexin. Adems, Cisco SDM no puede determinar por s misma si el servidor Easy VPN admite la opcin de guardar la contrasea. Usted debe determinar si el servidor permite esta opcin. Si el servidor no admite esta opcin, no debe crear un riesgo de seguridad especificando la informacin en esta ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-4

OL-9963-04

Captulo 10

Easy VPN remoto Creacin de Easy VPN remoto

Interfaces y configuracin de conexiones


En esta ventana, el usuario especifica las interfaces que se utilizarn en la configuracin de Easy VPN.

Interfaces
En esta casilla seleccione las interfaces internas y externas.
Interfaces internas

Compruebe las interfaces internas (LAN) que sirven a las redes locales que desea incluir en esta configuracin de Easy VPN. Usted puede elegir interfaces internas mltiples, con las siguientes restricciones:

Si elige una interfaz que est en uso en otra configuracin de la Easy VPN, se le indicar que una interfaz no puede ser parte de dos configuraciones de la Easy VPN. Si elige interfaces que estn en uso en una configuracin de la VPN, se le informar que la configuracin de la Easy VPN que est creando no podr coexistir con la configuracin de la VPN existente. Se le preguntar si desea eliminar los tneles de la VPN existente desde esas interfaces y aplicarle la configuracin Easy VPN. Una interfaz existente no aparece en interfaces, si no puede usarse en una configuracin de la Easy VPN. Por ejemplo, las interfaces del bucle de prueba configuradas en el router no aparecen en esta lista. Una interfaz no puede asignarse tanto para una interfaz interna como para una externa.

En los puertos Cisco 800 y Cisco 1700 se admite un mximo de tres interfaces internas. En la ventana Editar Easy VPN remoto se pueden eliminar interfaces de una configuracin de Easy VPN.
Interfaces externas

En la lista de interfaces, elija la interfaz externa que se conecta al servidor o al concentrador de Easy VPN.

Nota

Los routers Cisco 800 no admiten el uso de la interfaz E 0 como interfaz externa.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-5

Captulo 10 Creacin de Easy VPN remoto

Easy VPN remoto

Ajustes de conexin
Elija automtico, manual o la activacin del tnel de la VPN basado en el trfico. Con el ajuste manual, debe hacer clic en el botn Conectar o Desconectar en la ventana Editar Easy VPN remoto para establecer o no el tnel, aunque tendr el control manual completo sobre el tnel en la ventana Editar Easy VPN remoto. Adems, si se establece un lmite de tiempo de asociacin de seguridad (SA) para el router, deber restablecer manualmente el tnel VPN siempre que se alcance un lmite de tiempo. Puede cambiar la configuracin del lmite de tiempo de SA en la ventana Componentes de VPN Configuracin VPN global. Con el ajuste automtico, el tnel VPN se establece automticamente cuando la configuracin de Easy VPN se enva al archivo de configuracin del router. Sin embargo, no podr controlar el tnel manualmente en la ventana Conexiones de VPN. El botn Conectar o Desconectar se desactiva cuando se selecciona esta conexin de Easy VPN. Con el ajuste basado en el trfico, el tnel VPN se establece en cualquier momento que se detecte el trfico local saliente (lado de la LAN).

Nota

La opcin para la activacin basada en el trfico slo aparecer si es admitida por la imagen de Cisco IOS en su router.

Resumen de la configuracin
Esta ventana muestra la configuracin de Easy VPN que ha creado y permite guardarla. Aparece un resumen similar al siguiente:
Nombre del Tnel de Easy VPN: test1 Servidor Easy VPN: 222.28.54.7 Grupo: miCompaa Clave: 1234 Control: Automtico Modo: Cliente Interfaz externa: BVI222 Interfaces internas: Marcacin0

Puede revisar la configuracin en esta ventana y hacer clic en el botn Atrs para cambiar cualquier parmetro.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-6

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Al hacer clic en el botn Finalizar se grabar la informacin en la configuracin actual del router y, si el tnel se ha configurado para funcionar en modo automtico, el router tratar de contactar con el concentrador o servidor VPN. Si desea cambiar la configuracin de Easy VPN ms adelante, puede realizar los cambios en la ventana Editar Easy VPN remoto.

Nota

En muchos casos, el router establecer la comunicacin con el concentrador o servidor de Easy VPN despus de hacer clic en Finalizar, o despus de hacer clic en Conectar en la ventana Editar Easy VPN remoto o en las ventanas de Conexiones de VPN. No obstante, si el dispositivo se ha configurado para usar Xauth, preguntar al router por el nombre y contrasea del usuario. Cuando ocurra esto, primero deber proporcionar una identificacin de acceso Secure Shell (SSH) y una contrasea para entrar al router y, luego, proporcionar el acceso XAuth y la contrasea correspondiente al servidor o concentrador de Easy VPN. Debe seguir este proceso cuando haga clic en Finalizar y la configuracin se enva al router, y cuando desconecte y luego reconecte el tnel en la ventana Editar Easy VPN remoto. Averige si se utiliza Xauth y determine el nombre de usuario y la contrasea requeridos.

Probar la conectividad de la VPN


Si decide evaluar la conexin de la VPN que acaba de configurar, los resultados de la prueba se mostrarn en otra ventana.

Editar Easy VPN remoto


Esta ventana permite administrar las conexiones VPN. Una conexin Easy VPN es una conexin configurada entre un cliente Easy VPN y un concentrador o servidor Easy VPN para proporcionar comunicaciones seguras con otras redes que admite el servidor o concentrador. Esta lista de conexiones muestra informacin acerca de las conexiones de Easy VPN remoto configuradas.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-7

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Estado

El estado de la conexin, indicado por los iconos y alertas de texto siguientes: La conexin est activa. Cuando una conexin Easy VPN est activa, el botn Desconectar permite desactivar la conexin si se utiliza el control de tnel manual. La conexin est inactiva. Cuando una conexin Easy VPN est inactiva, el botn Conectar permite activar la conexin si se utiliza el control de tnel manual. Estableciendo la conexin. Se requiere XAuth: el concentrador o servidor Easy VPN requiere una conexin XAuth y una contrasea. Utilice el botn Conexin para especificar el ID de conexin y la contrasea, y para establecer la conexin. Ha cambiado la configuracin: la configuracin de esta conexin ha cambiado y se debe enviar al router. Si la conexin usa el control de tnel manual, use el botn Conectar para establecer la conexin.
Nombre

El nombre asignado a esta conexin Easy VPN.


Modo

Elija cliente o extensin de red. En el modo de cliente, el concentrador o servidor de la VPN asigna una direccin IP nica para el trfico que viene desde el router; los dispositivos fuera de la LAN no tienen acceso directo a los dispositivos en la LAN. En el modo de extensin de red, el concentrador o servidor VPN no sustituye las direcciones IP y presenta una red totalmente enrutable a los homlogos del otro extremo de la conexin VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-8

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Detalles
Elija la conexin Easy VPN remoto de la lista para ver los valores de las siguientes configuraciones para esa conexin.
Autenticacin

Elija certificados digitales o Clave previamente compartida. La opcin Clave previamente compartida muestra el grupo de usuarios que comparten la clave.
Interfaz Externa

Interfaz que se conecta al servidor o concentrador de Easy VPN.


Interfaces Internas

Interfaces internas que se incluyen en la conexin Easy VPN. Todos los hosts conectados a estas interfaces forman parte de la red VPN.
Servidor Easy VPN

Los nombres o direcciones IP de los concentradores o servidores Easy VPN. Si la imagen de Cisco IOS del router admite la fase III de Easy VPN remoto, puede identificar dos concentradores o servidores Easy VPN durante la configuracin mediante Cisco SDM.
Compatibilidad con redes mltiples

Las direcciones de subredes que no se conectan directamente al router pero que se les permite usar el tnel. Una ACL define las subredes permitidas para usar el tnel.
Activacin del tnel

Elija Automtico, Manual, o basado en el trfico. Si la conexin se ha configurado con la opcin Manual, debe hacer clic en el botn Conectar para establecer el tnel, aunque podr iniciarlo o detenerlo siempre que lo desee haciendo clic en el botn Conectar o Desconectar. Si la conexin est configurada con la opcin Auto (Automtico), el tnel VPN se establece automticamente cuando se enva la configuracin de Easy VPN al archivo de configuracin del router. Sin embargo, el botn Conectar o Desconectar no est activado para esta conexin. Si la conexin se configura con el ajuste basado en el trfico, el tnel de VPN se establecer automticamente cuando el trfico interno concuerde con el enrutamiento externo. Sin embargo, el botn Conectar o Desconectar no est activado para esta conexin.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-9

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Conexin de reserva

Conexin de reserva de Easy VPN remoto que se ha configurado. Las conexiones de reserva se configuran en la tarea de Interfaces y Conexiones de Cisco SDM.
Mtodo de Respuesta XAuth

Si se activa XAuth, el valor mostrar algo tal como sigue sobre cmo se envan las credenciales XAuth:

Se deben especificar desde Cisco SDM o consola del router Se deben especificar desde un explorador de PC cuando se navegue Las credenciales se envan automticamente porque se han guardado en el router

Botn Agregar
Agrega una nueva conexin de Easy VPN remoto.

Botn Editar
Edita la conexin especificada de Easy VPN remoto.

Botn Eliminar
Elimina la conexin especificada de Easy VPN remoto.

Botn Restablecer conexin


Haga clic para borrar y restablecer un tnel con un destino.

Botn Probar tnel


Haga clic para evaluar un tnel de la VPN especificada. Los resultados del test aparecern en otra ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-10

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Botn Conectar, Desconectar o Conexin


Este botn tiene la etiqueta Conectar si todo lo siguiente es verdadero:

La conexin usa el control del tnel manual El tnel no se encuentra activo La respuesta XAuth no est establecida para que se solicite desde la sesin del explorador de un equipo La conexin usa el control del tnel manual El tnel se encuentra activo La respuesta XAuth no est establecida para que se solicite desde la sesin del explorador de un equipo El servidor o concentrador de la Easy VPN al que est conectado usa XAuth La respuesta XAuth est establecida para solicitarse desde Cisco SDM o consola del router El tnel est esperando las credenciales XAuth (se ha iniciado la conexin)

Este botn tiene la etiqueta Desconectar si todo lo siguiente es verdadero:


Este botn tiene la etiqueta Iniciar sesin si todo lo siguiente es verdadero:


Si la conexin est establecida para el control de tnel automtico o basado en trfico, este botn est desactivado.

Qu desea hacer?

Si desea: Crear una nueva conexin Easy VPN.

Haga lo siguiente: Haga clic en Agregar en la ventana Editar Easy VPN remoto. Configure la conexin en la ventana Agregar Easy VPN remoto y haga clic en Aceptar. A continuacin, haga clic en Conectar en esta ventana para conectarse al servidor Easy VPN. En la ventana Editar Easy VPN remoto, elija la conexin que desea modificar y haga clic en Editar. Tambin se recomienda consultar el procedimiento siguiente:

Modificar la conexin Easy VPN existente.

Cmo se edita una conexin Easy VPN existente?

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-11

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Si desea: Eliminar una conexin Easy VPN. Restablecer una conexin establecida entre el router y el homlogo VPN remoto. Se va a quitar y restablecer la conexin.

Haga lo siguiente: En la ventana Editar Easy VPN remoto, elija la conexin que desea eliminar y haga clic en Eliminar. Elija una conexin activa y haga clic en Restablecer. La ventana de estado que se muestra comunica si el restablecimiento se ha llevado a cabo correctamente o no.

Si la conexin usa el control de tnel manual, elija la Conectarse a un servidor Easy VPN para el cual el router tiene una conexin conexin, despus haga clic en Conectar. Las conexiones que usan el control de tnel automtico o basado en trfico no configurada. se pueden activar manualmente a travs de Cisco SDM.
Nota

Si el servidor o concentrador de Easy VPN se configura para usar Xauth, el botn Conectar cambia a Iniciar Sesin, y deber introducir el nombre del usuario y la contrasea para completar la conexin cada vez que se establezca. Obtenga esta informacin del administrador de redes. Si el servidor o concentrador de Easy VPN remoto solicita esta autenticacin, primero deber proporcionar una identificacin de inicio de sesin Secure Shell (SSH) y la contrasea para acceder al router y, despus, la conexin XAuth y la contrasea para el servidor o concentrador de Easy VPN.

Desconectarse de un servidor Easy VPN para el cual el router tiene una conexin configurada. Determinar si se ha establecido una conexin Easy VPN.

Si la conexin usa el control de tnel manual, elija conexin, y haga clic en Desconectar. Las conexiones que usan el control automtico o basado en trfico no se pueden desconectar manualmente mediante Cisco SDM. El icono de conexin se muestra en la columna de estado al establecer una conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-12

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Si desea:

Haga lo siguiente:

Configurar un concentrador Easy VPN. El siguiente enlace proporciona las lneas maestras para configurar un concentrador de la serie Cisco VPN 3000 para Las instrucciones de configuracin que funcione con un cliente Fase II de Easy VPN remoto, para servidores y concentradores Easy junto con otra informacin til. VPN estn disponibles en http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/p www.cisco.com. roducts_feature_guide09186a00800a8565.html El enlace siguiente le remitir a la documentacin de Cisco VPN serie 3000. http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/pr oducts_getting_started_guide_book09186a00800bbe74.html Permitir el trfico a mi concentrador de Consulte Cmo se permite que el trfico llegue al la Easy VPN mediante un firewall. concentrador Easy VPN a travs del firewall?

Agregar o Editar Easy VPN remoto


Use esta ventana para configurar su router como un cliente de la Easy VPN. Su router debe tener una conexin a un concentrador o servidor de la Easy VPN en la red. Esta ventana aparece si la imagen de Cisco IOS del router admite la fase II del cliente Easy VPN. La funcin Easy VPN remoto de Cisco implementa el protocolo Unity Client de Cisco, que permite definir la mayora de los parmetros de VPN en un servidor de acceso remoto VPN. Este servidor puede ser un dispositivo VPN dedicado, como un concentrador VPN 3000 o un firewall Cisco PIX, o bien un router de Cisco IOS que admita el protocolo Unity Client de Cisco.
Nota

Nota

Si el concentrador o servidor Easy VPN se ha configurado para utilizar Xauth, requerir un nombre de usuario y una contrasea siempre que el router establezca la conexin, incluso cuando enve la configuracin al router y cuando desconecte y vuelva a conectar el tnel. Averige si se utiliza XAuth y el nombre de usuario y la contrasea requeridos. Si el router usa Secure Shell (SSH), usted deber introducir el inicio de sesin y la contrasea SSH la primera vez que establezca la conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-13

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Nombre
Introduzca un nombre para la configuracin de Easy VPN remoto.

Modo
Cliente: elija Cliente si desea que los PC y dems dispositivos de las redes internas del router formen una red privada con direcciones IP privadas. Se utilizarn los procesos de traduccin de direcciones de red (NAT) y traduccin de direcciones de puerto (PAT). Los dispositivos de fuera de la LAN no podrn efectuar ningn ping en dispositivos de la LAN ni acceder a ellos directamente. Extensin de la Red: elija Extensin de la Red, si desea que los dispositivos conectados con las interfaces internas tengan direcciones IP que se puedan enrutar y a las que se pueda acceder por la red de destino. Los dispositivos en ambos extremos de la conexin formarn una red lgica. PAT se desactivar automticamente, para permitir que los PC y los hosts en ambos extremos de la conexin tengan acceso directo entre ellos. Consulte con el administrador del servidor o concentrador de la Easy VPN antes de seleccionar esta configuracin.

Control de tneles
Elija Auto (Automtico) o Manual. Si elige la segunda opcin, deber hacer clic en el botn Conectar de la ventana Editar Easy VPN remoto para establecer el tnel, aunque dispondr de control manual total sobre l en la ventana de conexiones VPN. Los botones Conectar y Desconectar estn activados siempre que usted elija una conexin de la VPN con el ajuste de control manual del tnel. Si elige la opcin Auto (Automtico), el tnel VPN se establece automticamente cuando se enva la configuracin de Easy VPN al archivo de configuracin del router. Sin embargo, usted no podr controlar el tnel manualmente en la ventana Conexiones de la VPN. Los botones Conectar y Desconectar se desactivan al elegir la conexin Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-14

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Concentrador o Servidor de la Easy VPN


Especifique el nombre o la direccin IP del concentrador o servidor VPN al que el se conecta el router. Elija Direccin IP, si va a proporcionar una direccin IP o elija Nombre del Host, si va a proporcionar el nombre de un host del concentrador o servidor. Despus especifique el valor en el campo de abajo. Si usted especifica un nombre del host, deber existir un servidor de DNS en la red que pueda resolver el nombre del host para la direccin IP apropiada. Si indica una direccin IP, utilice el formato de decimales con puntos, por ejemplo, 172.16.44.1.

Grupo
Nombre del grupo

Especifique el nombre de grupo IPSec. El nombre del grupo debe corresponder al nombre del grupo definido en el concentrador o servidor de la VPN. Obtenga esta informacin de su administrador de redes.
Clave de grupo

Especifique la contrasea de grupo IPSec. La contrasea de grupo debe coincidir con la contrasea de grupo definida en el servidor o concentrador VPN. Obtenga esta informacin de su administrador de redes.
Confirmar clave

Vuelva a especificar la contrasea de grupo para confirmarla.

Interfaces
Interfaz externa hacia el servidor o concentrador

Elija la interfaz que presenta la conexin con el concentrador o servidor Easy VPN.

Nota

Los routers Cisco 800 no admiten el uso de la interfaz E 0 como la interfaz externa.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-15

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Interfaces internas

Seleccione las interfaces internas que deben incluirse en esta conexin VPN Todos los hosts conectados a estas interfaces formarn parte de la red VPN. En los puertos Cisco 800 y Cisco 1700 se admite un mximo de tres interfaces internas.

Nota

Una interfaz no se puede designar como interfaz interna y externa al mismo tiempo.

Agregar o Editar Easy VPN remoto: Configuracin de Easy VPN


Use esta ventana para configurar su router como un cliente de la Easy VPN. Su router debe tener una conexin a un concentrador o servidor de la Easy VPN en la red.

Nota

Esta ventana aparece si la imagen de Cisco IOS del router admite la fase III del cliente Easy VPN. La funcin Easy VPN remoto de Cisco implementa el protocolo Unity Client de Cisco, que permite definir la mayora de los parmetros de VPN en un servidor de acceso remoto VPN. Este servidor puede ser un dispositivo VPN dedicado, como un concentrador VPN 3000 o un firewall Cisco PIX, o bien un router de Cisco IOS que admita el protocolo Unity Client de Cisco.

Nombre
Introduzca un nombre para la configuracin de Easy VPN remoto.

Modo
Cliente: elija Cliente si desea que los PC y dems dispositivos de las redes internas del router formen una red privada con direcciones IP privadas. Se utilizarn los procesos de traduccin de direcciones de red (NAT) y traduccin de direcciones de puerto (PAT). Los dispositivos de fuera de la LAN no podrn efectuar ningn ping en dispositivos de la LAN ni acceder a ellos directamente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-16

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Extensin de la Red: Elija Extensin de la Red, si desea que los dispositivos conectados con las interfaces internas tengan direcciones IP que se puedan enrutar y a las que se pueda acceder por la red de destino. Los dispositivos en ambos extremos de la conexin formarn una red lgica. PAT se desactivar automticamente, para permitir que los PC y los hosts en ambos extremos de la conexin tengan acceso directo entre ellos. Consulte con el administrador del servidor o concentrador de la Easy VPN antes de que elija esta configuracin.

Control de tneles
Elija Auto (Automtico) o Manual. Si elige la segunda opcin, deber hacer clic en el botn Conectar de la ventana Conexiones VPN para establecer el tnel, aunque dispondr de control manual total sobre l en la citada ventana. Los botones Conectar y Desconectar estn activados siempre que usted elija una conexin de la VPN con el ajuste de control manual del tnel. Si elige la opcin Auto (Automtico), el tnel VPN se establece automticamente cuando se enva la configuracin de Easy VPN al archivo de configuracin del router. Sin embargo, usted no podr controlar el tnel manualmente en la ventana Conexiones de la VPN. Los botones Conectar y Desconectar se desactivan al elegir la conexin Easy VPN.

Servidores
Usted puede especificar hasta diez servidores de la Easy VPN mediante la direccin IP o el nombre del host, y puede pedir la lista para especificar a cules servidores el router intenta conectarse primero.
Agregar

Haga clic para especificar el nombre o direccin IP de un concentrador o servidor VPN al que se conectar el router y, a continuacin, especifique la direccin o nombre de host en la ventana que aparece.
Eliminar

Haga clic para eliminar la direccin IP o nombre del host especificados.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-17

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Desplazar hacia arriba

Haga clic para mover hacia arriba la direccin IP o nombre del host del servidor especificado en la lista. El router intentar contactarse con los routers en el orden que aparecen en esta lista.
Desplazar hacia abajo

Haga clic para desplazar una direccin IP o nombre de host de un servidor hacia abajo en la lista.

Interfaz externa hacia el servidor o concentrador


Elija la interfaz que presenta la conexin con el concentrador o servidor Easy VPN.

Nota

Los routers Cisco 800 no admiten el uso de la interfaz E 0 como la interfaz externa.

Interfaces internas
Seleccione las interfaces internas que deben incluirse en esta conexin VPN. Todos los hosts conectados a estas interfaces formarn parte de la red VPN. En los puertos Cisco 800 y Cisco 1700 se admite un mximo de tres interfaces internas.

Nota

Una interfaz no puede asignarse tanto para una interfaz interna como una externa.

Agregar o Editar Easy VPN remoto: Informacin de autenticacin


Esta ventana aparece si la imagen de Cisco IOS del router admite la fase III del cliente Easy VPN. Si la imagen admite la fase II del cliente Easy VPN, aparece una ventana distinta. Use esta ventana para introducir la informacin requerida para el router que ser autenticada por el servidor o concentrador de la Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-18

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Autenticacin del Dispositivo


Nombre del grupo

Especifique el nombre de grupo IPSec. El nombre del grupo debe corresponder al nombre del grupo definido en el concentrador o servidor de la VPN. Obtenga esta informacin del administrador de redes.
Clave vigente

Este campo muestra asteriscos (*) si existe un valor de clave IKE vigente, y est en blanco si no se ha configurado ninguna Clave.
Clave nueva

Especifique una nueva clave IKE en este campo.


Confirmar clave

Vuelva a especificar la nueva clave para confirmarla. Si los valores en el campo Clave Nueva y Confirmar Clave no son lo mismos, Cisco SDM le pedir que introduzca los valores de la clave.

Autenticacin de usuario (XAuth)


Si el servidor o concentrador VPN se han configurado para usar Xauth, requerir un nombre de usuario y contrasea siempre que el router establezca la conexin, incluso cuando enve la configuracin al router, y cuando desconecte y reconecte el tnel. Averige si se utiliza XAuth y obtenga el nombre de usuario y la contrasea requeridos. Si la autenticacin del usuario no aparece, deber establecerse desde la interfaz de la lnea de comandos. Elija uno de estos mtodos para introducir el nombre del usuario de y contrasea XAuth:

Desde un PC Introduzca manualmente el nombre del usuario y contrasea en una ventana del explorador Web. Si elige esta opcin, usted podr marcar la casilla de verificacin para usar la autenticacin bsica del HTTP para compensar a los exploradores Web del legado que no soportan HTML4.0 o JavaScript.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-19

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Nota

La opcin de Explorador Web aparecer solamente si es admitida por la imagen de Cisco IOS en su router.

Desde su router Introduzca manualmente el nombre del usuario y la contrasea desde la lnea de comandos o Cisco SDM.

Automticamente al guardar el nombre del usuario y contrasea en el router El servidor Easy VPN puede utilizar Xauth para autenticar el router. Si el servidor permite la opcin de guardar contrasea, usted puede eliminar la necesidad de introducir el nombre del usuario y la contrasea cada vez que se establezca el tnel de la Easy VPN por esta opcin. Introduzca el nombre del usuario y la contrasea proporcionada por el administrador del servidor de la Easy VPN, y luego, reintroduzca la contrasea para confirmar su precisin. La informacin se guarda en el archivo de configuracin del router y se usa cada vez que se establezca el tnel.

Precaucin

Guardar el nombre del usuario y contrasea de XAuth en la memoria del router crea un riesgo para la seguridad porque cualquiera que tenga acceso a la configuracin del router podr obtener esta informacin. Si usted no desea que esta informacin se almacene en el router, no la introduzca aqu. El servidor Easy VPN simplemente exigir al router el nombre de usuario y contrasea cada vez que se establezca la conexin. Adems, Cisco SDM no puede determinar si el servidor de la Easy VPN permite que se guarden las contraseas. Usted debe determinar si el servidor permite esta opcin. Si el servidor no permite que se guarden las contraseas, usted no deber provocar un riesgo para la seguridad al introducir la informacin aqu.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-20

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Especificar credenciales para SSH


Si el router usa Secure Shell (SSH), usted deber introducir el inicio de sesin de SSH y la contrasea la primera vez que establezca la conexin. Utilice esta ventana para especificar la informacin de conexin SSH o Telnet.

Especifique un nombre de usuario vlido


Especifique el nombre de usuario de la cuenta SSH o Telnet que utilizar para conectarse a este router.

Especifique una contrasea


Especifique la contrasea asociada a la cuenta SSH o Telnet que utilizar para conectarse a este router.

Ventana Conexin a XAuth


Esta ventana aparece cuando el servidor Easy VPN solicita una autenticacin ampliada. Especifique la informacin solicitada para responder a los desafos como, por ejemplo, el nombre de usuario de la cuenta, contrasea o cualquier otro dato, a fin de establecer el tnel Easy VPN correctamente. Si no est seguro de la informacin que debe especificar, pngase en contacto con el administrador de redes VPN.

Agregar o Editar Easy VPN remoto: Configuracin general


Use esta ventana para configurar su router como un cliente de la Easy VPN. Su router debe tener una conexin a un concentrador o servidor de la Easy VPN en la red.

Nota

Esta ventana aparece si la imagen de IOS de Cisco en su router admite la Fase IV del Cliente de la Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-21

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

La funcin Easy VPN remoto de Cisco implementa el protocolo Unity Client de Cisco, que permite definir la mayora de los parmetros de VPN en un servidor de acceso remoto VPN. Este servidor puede ser un dispositivo VPN dedicado, como un concentrador VPN 3000 o un firewall Cisco PIX, o bien un router del Cisco IOS que admita el protocolo Unity Client de Cisco.

Nombre
Introduzca un nombre para la configuracin de Easy VPN remoto.

Servidores
Usted puede especificar hasta diez servidores de la Easy VPN mediante la direccin IP o el nombre del host, y puede pedir la lista para especificar a cules servidores el router intenta conectarse primero. Haga clic en el botn Agregar para especificar el nombre o direccin IP de un concentrador o servidor VPN al que se conectar el router y, a continuacin, especifique la direccin o nombre de host en la ventana que aparece. Haga clic en el botn Eliminar para eliminar la direccin IP especificada o nombre del host. Haga clic en el botn Mover hacia Arriba para mover la direccin IP especificada o nombre del host hacia arriba en la lista. El router intentar contactarse con los routers en el orden que aparecen en esta lista. Haga clic en el botn Mover hacia Abajo para mover la direccin IP especificada o nombre del host hacia abajo de la lista.

Modo
Cliente: elija el modo Cliente, si desea que los PC y otros dispositivos en las redes internas del router formen una red privada con las direcciones IP privadas. Se utilizarn los procesos de traduccin de direcciones de red (NAT) y traduccin de direcciones de puerto (PAT). Los dispositivos de fuera de la LAN no podrn efectuar ningn ping en dispositivos de la LAN ni acceder a ellos directamente. Extensin de la Red: elija Extensin de la Red, si desea que los dispositivos conectados con las interfaces internas tengan direcciones IP que puedan ser enrutadas y accedidas por la red de destino. Los dispositivos en ambos extremos de la conexin formarn una red lgica. PAT se desactivar automticamente, para permitir que los PC y los hosts en ambos extremos de la conexin tengan acceso directo entre ellos.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-22

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Consulte con el administrador del servidor o concentrador de la Easy VPN antes de que elija esta configuracin. Si usted elige Extensin de la Red, tambin tiene la facultad de:

Permitir que las subredes que no estn conectadas directamente con el router usen el tnel. Para permitir que las subredes que no estn conectadas directamente con el router usen el tnel, haga clic en el botn Opciones y configure las opciones de extensin de la red.

Active la administracin remota y resolucin de problemas de su router. Puede activar la administracin remota del router al marcar la casilla para solicitar una direccin IP asignada por el servidor para el router. Esta direccin IP puede usarse para conectarse a su router correspondiente para la administracin remota y la resolucin de problemas (ping, Telnet, y Secure Shell). Este modo se denomina Network Extensin Plus.

Opciones de la Extensin de la Red


Para permitir que las subredes que no estn conectadas directamente con su router usen el tnel, siga estos pasos:
Paso 1 Paso 2 Paso 3

En la ventana Opciones, marque la casilla de verificacin para admitir varias subredes. Seleccione para introducir manualmente as subredes, o elija una Lista de Control de Acceso (ACL, Access Control List). Para introducir manualmente las subredes, haga clic en el botn Agregar e introduzca la direccin y mscara de subred. Cisco SDMgenerar una ACL automticamente.

Nota

Las subredes que especifique no pueden estar directamente conectadas con el router.

Paso 4

Para agregar una ACL, introduzca su nombre o eljalo de la lista desplegable.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-23

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Agregar o Editar Easy VPN remoto: Informacin de autenticacin


Use esta ventana para introducir la informacin requerida para el router que ser autenticada por el servidor o concentrador de la Easy VPN.

Autenticacin del Dispositivo


Elija Certificados digitales o Clave previamente compartida. Si se usa una clave previamente compartida, obtenga el nombre del grupo IPSec y el valor de la clave IKE del administrador de la red. El nombre del grupo debe corresponder al nombre del grupo definido en el concentrador o servidor de la VPN. Introduzca el nombre del grupo de IPSec en el campo Nombre del Grupo y el nuevo valor de la Clave IKE en el campo Clave Nueva. Reintroduzca la Clave nueva para la confirmacin en el campo Confirmar Clave. Si los valores en el campo Clave Nueva y Confirmar Clave no son lo mismos, Cisco SDM le pedir que introduzca los valores de la clave. El campo Clave Actual muestra asteriscos (*) si existe un valor de clave IKE vigente, y est en blanco si no se ha configurado ninguna Clave.

Autenticacin del Usuario


Si el servidor o concentrador VPN se han configurado para usar Xauth, requerir un nombre de usuario y contrasea siempre que el router establezca la conexin, incluso cuando enve la configuracin al router, y cuando desconecte y reconecte el tnel. Averige si se utiliza XAuth y obtenga el nombre de usuario y la contrasea requeridos. Si el servidor permite que las contraseas se guarden, usted podr eliminar la necesidad de introducir el nombre del usuario y la contrasea cada vez que se establezca el tnel de la Easy VPN. La informacin se guarda en el archivo de configuracin del router y se usa cada vez que se establezca el tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-24

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Elija uno de estos mtodos para introducir el nombre del usuario de y contrasea XAuth:

Manualmente en una ventana del explorador Web

Nota

La opcin de Explorador Web aparecer solamente si es admitida por la imagen de Cisco IOS en su router.

Manualmente desde la lnea de comandos o Cisco SDM Automticamente al guardar el nombre del usuario y contrasea en el router El servidor Easy VPN puede usar Xauth para autenticar el router. Si el servidor permite guardar las contraseas, puede eliminar la necesidad de introducir el nombre del usuario y la contrasea cada vez que se establezca el tnel de la Easy VPN mediante esta opcin. Introduzca el nombre del usuario y la contrasea proporcionada por el administrador del servidor de la Easy VPN, y luego, reintroduzca la contrasea para confirmar su precisin.

Nota

El campo Contrasea Actual muestra asteriscos (*) si existe un valor de contrasea vigente, y est en blanco si no se ha configurado ninguna contrasea. La informacin se guarda en el archivo de configuracin del router y se usa cada vez que se establezca el tnel.

Precaucin

Guardar el nombre del usuario y contrasea de XAuth en la memoria del router crea un riesgo para la seguridad porque cualquiera que tenga acceso a la configuracin del router podr obtener esta informacin. Si usted no desea que esta informacin se almacene en el router, no la introduzca aqu. El servidor Easy VPN simplemente exigir al router el nombre de usuario y contrasea cada vez que se establezca la conexin. Adems, Cisco SDM no puede determinarse por s mismo, si el servidor permite que se guarden las contraseas. Usted debe determinar si el servidor permite esta opcin. Si el servidor no permite que se guarden las contraseas, usted no deber provocar un riesgo para la seguridad al introducir la informacin aqu.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-25

Captulo 10 Editar Easy VPN remoto

Easy VPN remoto

Agregar o Editar Easy VPN remoto: Interfaces y conexiones


En esta ventana usted podr configurar las interfaces internas y externas, y especificar cmo se levanta el tnel.

Interfaces Internas
Elija la interfaz (LAN) interna para asociarse con esta configuracin de la Easy VPN. Usted puede elegir interfaces internas mltiples, con las siguientes restricciones:

Si usted selecciona interfaces que ya se usen en otra configuracin de la Easy VPN, se le notificar que una interfaz no puede ser parte de dos configuraciones de la Easy VPN. Si usted elige interfaces que ya se usen en alguna configuracin de la VPN estndar, se le notificar que la configuracin de la Easy VPN que est creando no puede coexistir con la configuracin de la VPN existente. Cisco SDM le preguntar si desea eliminar los tneles de la VPN existente de esas interfaces y aplicarles la configuracin de la Easy VPN. Una interfaz existente no aparece en interfaces, si no puede usarse en una configuracin de la Easy VPN. Por ejemplo, las interfaces del bucle de prueba configuradas en el router no aparecen en esta lista. Una interfaz no puede asignarse tanto para una interfaz interna como una externa.

En los puertos Cisco 800 y Cisco 1700 se admite un mximo de tres interfaces internas. En la ventana Editar Easy VPN remoto se pueden quitar interfaces de una configuracin de Easy VPN.

Interfaz Externa
Escoja la interfaz externa que se conecta al servidor o al concentrador de la Easy VPN.

Nota

Los routers Cisco 800 no soportan el uso de la interfaz E 0 como la interfaz externa.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-26

OL-9963-04

Captulo 10

Easy VPN remoto Editar Easy VPN remoto

Interfaz de tnel virtual

Active esta opcin si desea usar una Interfaz de tnel virtual (VTI) para esta conexin. Si las VTI que se indican en la lista son usadas por otras conexiones VPN, haga clic en Agregar para crear una nueva.

Control de Conexin
Elija la activacin del tnel de la VPN Automtica, Manual o Trfico interesante. Con el ajuste manual, deber hacer clic en el botn Conectar o Desconectar en la ventana Editar Easy VPN remoto para establecer o no el tnel, aunque tendr el control manual completo sobre el tnel en la ventana Editar Easy VPN remoto. Adems, si se establece un lmite de tiempo de asociacin de seguridad (SA) para el router, deber restablecer manualmente el tnel VPN siempre que se alcance un lmite de tiempo. Puede cambiar la configuracin del lmite de tiempo de SA en la ventana Componentes VPN Configuracin VPN global. Con el ajuste automtico, el tnel VPN se establece automticamente cuando la configuracin de Easy VPN se enva al archivo de configuracin del router. Sin embargo, usted no podr controlar el tnel manualmente en la ventana Conexiones de la VPN. El botn Conectar o Desconectar se desactiva cuando usted selecciona esta configuracin de la conexin de la Easy VPN. Con la activacin basada en trfico interesante, el tnel VPN se establece siempre que se detecte trfico local saliente (lado de la LAN). El botn Conectar o Desconectar se desactiva cuando usted selecciona esta configuracin de la conexin de la Easy VPN.

Nota

La opcin Trfico interesante aparece solamente si es admitida por la imagen de Cisco IOS en su router.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-27

Captulo 10 Cmo...

Easy VPN remoto

Cmo...
Esta seccin contiene procedimientos para tareas que el Asistente no le ayuda a realizar.

Cmo se edita una conexin Easy VPN existente?


Para editar una conexin remota de Easy VPN existente, siga estos pasos:
Paso 1 Paso 2 Paso 3 Paso 4

En el panel izquierdo, elija VPN. En el rbol VPN, elija Easy VPN remoto. Haga clic en la ficha Editar equipo remoto Easy VPN y elija la conexin que desea modificar. Haga clic en Editar. Aparece la ventana Editar Easy VPN remoto. En la ventana Editar Easy VPN remoto, haga clic en las fichas para desplegar los valores que desea cambiar. Cuando haya terminado de realizar los cambios, haga clic en Aceptar.

Paso 5 Paso 6

Cmo configuro una conexin de respaldo para una conexin de la Easy VPN?
Para configurar una conexin de respaldo para una conexin de Easy VPN remoto, el router deber tener una RDSI y una interfaz de mdem asncrono o analgico disponible para la conexin de respaldo. Si no se han configurado la RDSI y la interfaz de mdem asncrono o analgico, siga estos pasos:
Paso 1 Paso 2

En el marco izquierdo, haga clic en Interfaces y conexiones. Haga clic en la ficha Crear conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-28

OL-9963-04

Captulo 10

Easy VPN remoto Cmo...

Paso 3 Paso 4 Paso 5

Elija una RDSI y una interfaz de mdem asncrono o analgico de la lista. Haga clic en el botn Crear nueva conexin nueva y use el asistente para configurar la nueva interfaz. En la ventana apropiada del asistente, configure la interfaz nueva como una conexin de respaldo para una conexin de Easy VPN remoto.

Si se han configurado la RDSI y la interfaz de mdem asncrono o analgico, siga estos pasos:
Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6

En el marco izquierdo, haga clic en Interfaces y conexiones. Haga clic en la ficha Editar interfaz / conexin. Elija una RDSI y una interfaz de mdem asncrono o analgico desde la lista de interfaces configuradas. Haga clic en el botn Editar. Haga clic en la ficha Conexin de respaldo y configure la conexin de respaldo para una conexin de Easy VPN remoto. Cuando haya terminado de configurar la conexin de respaldo, haga clic en Aceptar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

10-29

Captulo 10 Cmo...

Easy VPN remoto

Gua del usuario de Cisco Router and Security Device Manager 2.4

10-30

OL-9963-04

CAPTULO

11

Servidor Easy VPN


La funcin Servidor Easy VPN presenta la compatibilidad del servidor en los clientes de software Cisco VPN Cliente versin 3.x y posterior y clientes de hardware Cisco VPN. Esta funcin permite a un usuario final remoto comunicarse mediante la poltica IPSec (IP Security) con cualquier gateway VPN (Virtual Private Network) del Cisco IOS. Administradas de forma centralizada, las polticas IPSec se envan al cliente mediante el servidor, lo que minimiza la configuracin que debe realizar el usuario final. El siguiente enlace proporciona informacin general sobre la solucin Easy VPN de Cisco, y para otros enlaces para obtener informacin ms especfica: http://www.cisco.com/en/US/products/sw/secursw/ps5299/index.html

Crear un servidor Easy VPN


Este asistente le gua por los pasos necesarios para configurar un servidor Easy VPN en este router. Este asistente le guiar en la ejecucin de las siguientes tareas para configurar con xito el servidor de una Easy VPN en este router.

Seleccin de la interfaz en la cual finalizarn las conexiones del cliente y el mtodo de autenticacin usado para el servidor y los clientes de Easy VPN Configuracin de las polticas IKE Configuracin de un conjunto de transformacin IPSec Configuracin de la autorizacin de grupos y del mtodo de bsqueda de polticas de grupo
Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

11-1

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Configuracin de la autenticacin de usuario Configuracin de servidores RADIUS externos Configuracin de polticas para usuarios remotos que se conectan a clientes de Easy VPN

Crear un servidor Easy VPN


Haga clic para crear una configuracin de servidor Easy VPN en el router.

Active el Botn Asistente del Servidor de Easy VPN


Haga clic para iniciar el asistente.

Bienvenido al asistente para servidores Easy VPN


Esta ventana resume las tareas que usted realizar cuando use el asistente.

Interfaz y Autenticacin
Esta ventana le permitir escoger la interfaz sobre la que usted desea configurar el Servidor de la Easy VPN. Si elige una interfaz que ya est configurada con una poltica IPSec de sitio a sitio, Cisco SDM mostrar un mensaje que indica que una poltica IPSec ya existe en la interfaz. Cisco SDM utiliza la poltica de IPSec existente para configurar el servidor Easy VPN. Si la interfaz elegida es parte de una Easy VPN Remota, GREoIPSec o la interfaz DMVPN, Cisco SDM mostrar un mensaje para elegir otra interfaz.

Detalles
Haga clic en este botn para obtener los detalles de la interfaz seleccionada. La ventana Detalles mostrar todas las reglas de acceso, polticas IPSec, reglas NAT o reglas de inspeccin asociadas a la interfaz. Este botn se desactiva, cuando no se ha elegido ninguna interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-2

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Autenticacin
Elija las claves previamente compartidas, los certificados digitales, o ambos. Si elige las claves previamente compartidas, deber introducir un valor de la Clave cuando configure la ventana de configuracin general Agregar Poltica de Grupo. Si elige certificados digitales, los campos de claves previamente compartidas no aparecern en la ventana de configuracin general Agregar Poltica de Grupo. Si elige tanto las claves previamente compartidas, como los certificados digitales, ser opcional introducir un valor de la Clave en la ventana de configuracin general Agregar Poltica de Grupo.

Bsqueda de Poltica de grupos y Autorizacin de grupos


Esta ventana permite definir una nueva lista de mtodos para la autorizacin de red AAA para la bsqueda de polticas de grupo o elegir una lista de mtodos de red existente.

Solamente local
Esta opcin permite crear una lista de mtodos para la base de datos local nicamente.

Slo RADIUS
Esta opcin le permite crear una lista de los mtodos para una base de datos RADIUS.

Slo RADIUS y Local


Esta opcin le permite crear una lista de mtodos tanto para la base de datos RADIUS como la local.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-3

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Qu desea hacer?

Si desea: Definir una lista de mtodos AAA para la base de datos local y RADIUS. Cuando defina listas de mtodos para la base de datos local y RADIUS, el router buscar la autenticacin de grupo primero en el servidor RADIUS y, luego, en la base de datos local. Definir una lista de mtodos AAA para la base de datos local nicamente. Cuando defina listas de mtodos AAA para la base de datos local, el router buscar la autenticacin de grupo en la base de datos local.

Haga lo siguiente: Elija Slo RADIUS y Local. A continuacin, haga clic en Siguiente.

Elija Solamente local. A continuacin, haga clic en Siguiente.

Elegir cualquiera de las listas de mtodos existentes Elija Elegir una lista de mtodos AAA existente. A continuacin, haga clic en para la autenticacin de grupo. Siguiente. Si desea definir listas de mtodos AAA, es recomendable que elija una lista de mtodos existente.

Autenticacin de usuario (XAuth)


Puede configurar la autenticacin de usuario en el servidor Easy VPN, y almacenar los detalles de dicha autenticacin en un servidor externo, como un servidor RADIUS o una base de datos local, o en ambos. Se usa un mtodo de autenticacin de registro AAA para decidir el orden en el cual se debern buscar los detalles de autenticacin del usuario.

Solamente local
Esta opcin permite agregar detalles de la autenticacin de usuario para la base de datos local nicamente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-4

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Slo RADIUS y local


Esta opcin permite agregar detalles de la autenticacin de usuario para la base de datos local y RADIUS.

Elegir una lista de mtodos AAA existente


Esta opcin permite elegir una lista de mtodos de una lista en la que figuran todas las listas de mtodos configuradas en el router. La lista de mtodos elegida se usa para la autenticacin extendida.

Botn Agregar Credenciales del Usuario


Haga clic para agregar una cuenta de usuario.

Cuentas de usuario para XAuth


Agregue una cuenta para un usuario que desee autenticar una vez que IKE haya autenticado el dispositivo.

Cuentas de usuario
Las cuentas de usuarios que XAuth autenticar se listan en este cuadro. Puede observarse el nombre de cuenta y el nivel de privilegio.

Botones Agregar o Editar


Utilice estos botones para agregar y editar cuentas de usuario. Las cuentas de usuario pueden eliminarse en la ventana Tareas adicionales > Acceso a router > Cuentas de usuario/Vista.

Nota

Las cuentas de usuario de la vista CLI existentes no pueden editarse desde esta ventana. Si necesita editar cuentas de usuario, vaya a Tareas adicionales > Acceso a router > Cuentas de usuario/Vista CLI.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-5

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Agregar servidor RADIUS


Esta ventana le permite agregar un nuevo servidor RADIUS, editar o hacer ping a un servidor RADIUS existente.

Agregar
Agregue un servidor RADIUS nuevo.

Editar
Edite la configuracin de un servidor RADIUS ya existente.

Ping
Haga ping a un servidor RADIUS ya existente o a un servidor RADIUS recin configurado.

Autorizacin de grupo: Polticas de grupos de usuarios


Esta ventana permite agregar, editar, clonar o eliminar polticas de grupo de usuario en la base de datos local. Muestra una lista de las polticas de grupo que ya se han configurado.

Nombre del grupo


Nombre asignado al grupo de usuarios.

Conjunto
Nombre del conjunto de direcciones IP de las cuales una direccin IP se asigna a un usuario conectado de este grupo.

DNS
Direccin para el Sistema de Nombre de Dominio (DNS, Domain Name System) del grupo. Esta direccin DNS se impone a los usuarios que se conectan a este grupo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-6

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

WINS
Direccin del Servicio de Nombres de Internet de Windows (WINS, Windows Internet Naming Service) del grupo. Esta direccin WINS se impone a los usuarios que se conectan a este grupo.

Nombre del Dominio


Nombre de dominio del grupo. Este nombre de dominio se impone a los usuarios que se conectan a este grupo.

Dividir lista de control de acceso


La Lista de Control de Acceso (ACL) que representa las subredes protegidas para los propsitos de divisin de la arquitectura de tneles.

Temporizador inactivo
Desconectar los tneles inactivos de la VPN puede ayudar para que el Servidor de la Easy VPN funcione ms eficientemente, para reutilizar los recursos sin usar. Haga clic en la casilla de verificacin Configurar Temporizador y especifique un valor para el tiempo mximo en que un tnel VPN podr permanecer inactivo antes de desconectarse. Introduzca las horas en el campo izquierdo, los minutos en el campo del medio, y los segundos en el campo derecho. El tiempo mnimo permitido es 1 minuto.

Informacin General del Grupo


Esta ventana permite configurar, editar y clonar polticas de grupo.

Por favor introduzca un Nombre para Este Grupo


Especifique un nombre de grupo en el campo designado. Si se va a editar esta poltica de grupo, el campo estar desactivado. Si va a clonar una poltica de grupo, debe especificar un nuevo valor en este campo.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-7

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Clave previamente compartida


Especifique la clave previamente compartida en los campos designados. El campo Clave vigente no se puede cambiar.

Nota

No debe introducir una Clave previamente compartida, si usted est usando certificados digitales para el grupo de autenticacin. Los certificados digitales tambin se usan para la autenticacin del usuario.

Informacin acerca del conjunto


Especifica un conjunto de direcciones IP que se usan para asignar las direcciones IP a los clientes.
Crear un conjunto nuevo

Especifique el intervalo de direcciones IP para el conjunto de direcciones IP local en el campo Intervalo de direcciones IP.
Seleccionar de un conjunto existente

Elija el intervalo de direcciones IP del conjunto existente de direcciones IP.

Nota

Este campo no puede editarse, si no hay ningn conjunto de direcciones IP predeterminado.

Mscara de Subred (Opcional)


Introduzca una mscara de subred para enviarla con las direcciones IP destinadas a los clientes en este grupo.

Conexiones Mximas Permitidas


Especifique el nmero mximo de conexiones de clientes para el Servidor de la Easy VPN de este grupo. Cisco SDM admite un mximo de 5000 conexiones por grupo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-8

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Qu desea hacer?

Si desea: Autenticar los clientes asociados al grupo.

Haga lo siguiente: Especifique la clave en el campo Clave previamente compartida.

Crear un conjunto de direcciones IP que se asigne a Especifique el intervalo de direcciones IP en el los clientes. campo Crear un conjunto nuevo en el rea Informacin acerca del conjunto. Elegir un intervalo de direcciones IP del conjunto existente para asignar a los clientes. Elija el rango de la direccin IP del campo Seleccionar de un conjunto existente bajo el rea Informacin del conjunto.

Configuracin de DNS y WINS


Esta ventana le permite especificar la informacin del Servicio de Nombre de Dominio (DNS, Domain Name System) y el Servicio de Nombres de Internet de Windows (WINS, Windows Internet Naming Service).

DNS
Introduzca la direccin IP del Servidor DNS primario y secundario en los campos proporcionados. Es opcional introducir una direccin del servidor de DNS secundario.

WINS
Introduzca la direccin IP del Servidor WINS primario y secundario en los campos proporcionados. Es opcional introducir una direccin del servidor WINS secundario.

Nombre del Dominio


Especifique el nombre de dominio que deber enviarse al cliente Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-9

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Qu desea hacer?

Si desea: Configurar un servidor DNS.

Haga lo siguiente: Marque la opcin DNS. Despus, especifique las direcciones IP del servidor DNS primario y secundario en los campos proporcionados. Marque la opcin WINS. Introduzca las direcciones IP del servidor WINS primario y secundario en los campos proporcionados.

Configurar un servidor WINS.

Especificar el nombre que deber enviarse al cliente Especifique el nombre de dominio en el campo Easy VPN. Nombre de dominio.

Divisin de la arquitectura de tneles


Esta ventana permite activar la divisin de la arquitectura de tneles para el grupo de usuarios que desea agregar. Se trata de la capacidad de disponer de un tnel seguro al sitio central a la vez que se dispone de tneles despejados de texto en direccin a Internet. Por ejemplo, todo trfico originado desde el cliente se enviar a la subred de destino a travs del tnel de la VPN. Tambin puede especificar qu grupos de listas de control de acceso representan subredes protegidas para la divisin de la arquitectura de tneles.

Activar la divisin de la arquitectura de tneles


Esta casilla permite agregar subredes protegidas y listas de control de acceso para la divisin de la arquitectura de tneles.
Especificar las subredes protegidas

Agregue o elimine las subredes para las cuales se estn enviando por un tnel los paquetes de los clientes de la VPN.
Elegir la lista de control de acceso de la divisin de arquitectura de tneles

Elija la lista de control de acceso que se utilizar para la divisin de la arquitectura de tneles.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-10

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Dividir DNS
Introduzca los nombres de dominio de Internet que deber resolverse por el servidor DNS de su red. Se aplican las siguientes restricciones:

Se permite un mximo de 10 entradas. Las entradas deben estar separadas con una coma. No use espacios en ninguna parte de la lista de entradas. No se aceptan entradas duplicadas o con formatos invlidos.

Nota

Esta funcin slo aparecer si es admitida por la edicin de IOS de su servidor de Cisco.

Qu desea hacer?

Si desea: Activar la divisin de la arquitectura de tneles. Agregar una subred protegida. Eliminar una subred protegida. Elegir la lista de control de acceso que se utilizar para la divisin de la arquitectura de tneles.

Haga lo siguiente: Marque la casilla Activar la divisin de la arquitectura de tneles. Elija Especificar las subredes protegidas y, a continuacin, haga clic en Agregar. Elija Especificar las subredes protegidas y, a continuacin, haga clic en Eliminar. Elija Seleccionar la lista de control de acceso de la divisin de arquitectura de tneles y elija la lista de control de acceso de las opciones disponibles. Marque la opcin Activar la divisin de la arquitectura de tneles y especifique los nombres de dominios en el campo proporcionado. Tambin debe establecer subredes o elegir una lista de control de acceso.

Utilizar el servidor DNS de la red para resolver ciertos nombres de dominio.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-11

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Configuraciones del Cliente


Esta ventana le permite configurar atributos adicionales para la poltica de seguridad, tales como agregar o eliminar un servidor de respaldo, un Firewall Are-U-There o y un Include-Local-LAN.

Nota

Algunas de las funciones descritas abajo aparecen solamente si estn respaldadas por la edicin de IOS de su servidor de Cisco.

Servidores de Respaldo
Puede especificar hasta 10 servidores por direccin IP o nombre de host como reserva para un servidor Easy VPN, as como ordenar la lista para controlar los servidores a los que el router intentar conectarse en primer lugar si la conexin principal al servidor Easy VPN falla.
Agregar

Haga clic para especificar el nombre o direccin IP del servidor Easy VPN al que se conectar el router cuando la direccin principal falle y, a continuacin, especifique la direccin o nombre de host en la ventana que aparece.
Eliminar

Haga clic para eliminar la direccin IP o nombre del host especificados.

Impulso de la Configuracin
Usted puede especificar un archivo de configuracin del cliente de la Easy VPN, al usar un URL y un nmero de versin. El servidor de la Easy VPN enviar la URL y el nmero de versin a los clientes que requieran esa informacin. Slo los clientes del hardware de la Easy VPN que pertenezcan a la poltica del grupo que est configurando podrn solicitar la URL y el nmero de versin que usted introduzca en esta ventana. Introduzca el URL del archivo de configuracin en el campo de URL. La URL deber empezar con un protocolo apropiado, y puede incluir los nombres de los usuarios y contraseas. Los siguientes son ejemplos de URL para descargar un archivo de versin actualizada llamado sdm.exe:

http://username:password@www.cisco.com/go/vpn/sdm.exe https://username:password@www.cisco.com/go/vpn/sdm.exe

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-12

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

ftp://username:password@www.cisco.com/go/vpn/sdm.exe tftp://username:password@www.cisco.com/go/vpn/sdm.exe scp://username:password@www.cisco.com/go/vpn/sdm.exe rcp://username:password@www.cisco.com/go/vpn/sdm.exe cns: xmodem: ymodem: null: flash:sdm.exe nvram:sdm.exe usbtoken[0-9]:sdm.exe El intervalo de nmeros del puerto token USB es de 0 a 9. Por ejemplo, para un token USB conectado al puerto USB 0, la URL es usbtoken0:sdm.exe.

usbflash[0-9]:sdm.exe El intervalo de nmeros del puerto flash USB es de 0 a 9. Por ejemplo, para un flash USB conectado al puerto USB 0, la URL es usbflash0:sdm.exe.

disk[0-1]:sdm.exe El nmero de disco es 0 o 1. Por ejemplo, para el nmero de disco 0, la URL es disk0:sdm.exe.

archive:sdm.exe tar:sdm.exe system:sdm.exe

En estos ejemplos, username es el nombre del usuario del sitio y password es la contrasea del sitio. Introduzca el nmero de versin del archivo en el campo Versin. El nmero de versin debe estar en el rango del 1 al 32767.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-13

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Proxy del Explorador


Usted puede especificar las configuraciones del proxy del explorador para los clientes del software de la Easy VPN. El servidor de la Easy VPN enva las configuraciones del proxy del explorador a los clientes del software de la Easy VPN, que solicitan esa informacin. Slo los clientes del software de la Easy VPN que pertenezcan a la poltica del grupo que usted est configurando podrn solicitar las configuraciones del proxy del explorador que usted ingrese en esta ventana. Introduzca el nombre bajo el cual se guardaron las configuraciones del proxy del explorador, o elija una de las siguientes opciones del men desplegable:

Elija una configuracin existente Abre una ventana con una lista de configuraciones del proxy existentes del explorador.

Cree una nueva configuracin y elija Abre una ventana donde usted pueda crear nuevas configuraciones del proxy del explorador.

Ninguno Borra todas las configuraciones del proxy del explorador asignados al grupo.

Firewall Are-U-There
Puede restringir las conexiones VPN a clientes que ejecuten los firewalls personales Black Ice o Zone Alarm.

Incluye la LAN Local


Puede permitir que una conexin de divisin de la arquitectura de tneles acceda a la subred local al mismo tiempo que el cliente.

Confidencialidad Directa Perfecta (PFS, Perfect Forward Secrecy)


Active la PFS si se requiere por la asociacin de seguridad IPSec, que usted est usando.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-14

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Qu desea hacer?

Si desea: Agregar un servidor de reserva.

Haga lo siguiente: Haga clic en Agregar en el rea Servidores de reserva. A continuacin, agregue la direccin IP o nombre de host del servidor de reserva en la ventana que aparece. Elija el servidor de reserva que desea eliminar del rea Servidores de reserva y haga clic en Eliminar. Elimine los servidores de respaldo y vulvalos a crear en el orden que usted desee. Marque la opcin Firewall Are-U-There. Marque la opcin Include-Local-LAN. Especifique el nmero en el campo Nmero mximo de conexiones permitidas en este grupo.

Eliminar un servidor de reserva.

Volver a ordenar servidores de reserva. Activar el Firewall Are-U-There. Activar Include-Local-LAN. Especificar el nmero mximo de conexiones del cliente para el grupo que usted est creando.

Elija las Configuraciones del Proxy del Explorador


De la lista desplegable, elija las configuraciones del proxy del explorador que desee asociar al grupo.

Nota

Para agregar nuevas configuraciones, elija Agregar Configuraciones del Explorador del men desplegable de la ventana Configuraciones del cliente, o dirjase a Componentes VPN > Servidor Easy VPN > Configuraciones del proxy del explorador y haga clic en Agregar. Para eliminar las configuraciones, dirjase a Componentes VPN > Servidor Easy VPN > Configuraciones del proxy del explorador y haga clic en Eliminar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-15

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Agregar o Editar Configuraciones del Proxy del Explorador


Esta ventana le permitir agregar o editar las configuraciones del proxy del explorador.

Nombre de las Configuraciones del Proxy del Explorador


Si est agregando las configuraciones del proxy del explorador, introduzca un nombre que aparecer en los mens desplegables de la lista de configuraciones del proxy del explorador. Si est editando las configuraciones del proxy del explorador, el campo del nombre ser de slo lectura.

Configuraciones del Proxy


Elija una de las siguientes opciones:

Sin Servidor Proxy No desea que los clientes en este grupo usen un servidor proxy cuando usan el tnel de la VPN.

Deteccin Automtica de los Configuraciones Usted desea que los clientes en este grupo detecten automticamente un servidor proxy cuando usan el tnel de la VPN.

Configuracin Proxy Manual Usted desea configurar manualmente un servidor proxy para los clientes en este grupo.

Si usted elige Configuracin Manual del Proxy, siga estos pasos para configurar manualmente un servidor proxy:
Paso 1 Paso 2 Paso 3

Introduzca la direccin IP del servidor proxy en el campo Direccin IP del Servidor. Introduzca el nmero de puerto que usa el servidor proxy para recibir las solicitudes proxy en el campo Puerto. Especifique una lista de direcciones IP para las que no desea que los clientes usen el servidor proxy. Separe las direcciones con comas, y no introduzca ningn espacio.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-16

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Paso 4

Si desea impedir que los clientes usen el servidor proxy para las direcciones locales (LAN), marque la casilla de verificacin No usar servidor proxy para direcciones locales. Haga clic en Aceptar para guardar las configuraciones de proxy del explorador.

Paso 5

Autenticacin de usuario (XAuth)


Esto le permitir configurar atributos adicionales para la autenticacin del usuario tal como el Bloqueo del Grupo, y para guardar los Atributos de la Contrasea.

Anuncio XAuth
Introduzca el texto para un anuncio que se muestre a los usuarios durante la solicitud de XAuth.

Nota

Esta funcin slo aparecer si es admitida por la edicin de IOS de su servidor de Cisco.

Registros Mximos Permitidos por Usuario:


Especifique el nmero mximo de conexiones que un usuario puede establecer a la vez. Cisco SDM admite un mximo de diez registros por usuario.

Bloqueo del grupo


Usted puede restringir a un cliente para que se comunique con el servidor de la Easy VPN solamente desde el grupo de usuarios especificado.

Guardar Contrasea
Puede guardar el nombre de usuario y contrasea de la autenticacin ampliada localmente en el cliente Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-17

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

Qu desea hacer?

Si desea: Restringir la conexin de usuario del grupo de usuarios especfico. Guardar el nombre de usuario y la contrasea.

Haga lo siguiente: Marque la opcin Activar el bloqueo de grupo. Marque la opcin Activar el almacenamiento de contrasea.

Especifique el nmero en el campo Nmero Especifique el nmero mximo de conexiones simultneas que un usuario puede hacer al Servidor mximo de inicios de sesin permitidos por usuario de la Easy VPN.

Actualizacin del Cliente


Esta ventana le permite configurar las notificaciones de actualizacin del software o firmware, y muestra las entradas existentes de las actualizaciones del cliente. Las entradas existentes de las actualizaciones del cliente se pueden seleccionar para editar o eliminar. Las notificaciones se envan automticamente a los clientes que se conecten al servidor despus de que se guarde la configuracin de la actualizacin nueva o editada. Los clientes ya conectados requerirn notificacin manual. Para enviar una notificacin IKE manual de disponibilidad de actualizacin, elija una poltica del grupo en la ventana polticas del grupo y haga clic en el botn Enviar actualizacin. La notificacin se enva a los clientes del grupo que cumplan con los criterios de actualizacin.

Nota

La ventana de actualizacin del cliente slo est disponible si es admitida por la edicin de IOS de su servidor de Cisco.

Columna Tipo de Cliente


Indica el tipo de cliente para el cual se destina la revisin.

Columna Revisiones
Muestra que revisiones estn disponibles.
Gua del usuario de Cisco Router and Security Device Manager 2.4

11-18

OL-9963-04

Captulo 11

Servidor Easy VPN Crear un servidor Easy VPN

Columna URL
Proporciona la ubicacin de las revisiones.

Botn Agregar
Haga clic para configurar una entrada nueva de actualizacin del cliente.

Botn Editar
Haga clic para editar la entrada especificada de la actualizacin del cliente.

Botn Eliminar
Haga clic para eliminar la entrada especificada de la actualizacin del cliente.

Agregar o Editar Entrada de Actualizacin del Cliente


Esta ventana le permite configurar una entrada nueva de actualizacin del cliente.

Tipo de Cliente
Introduzca un tipo de cliente o elija uno desde el men desplegable. Los nombres del tipo de cliente son sensibles a maysculas y minsculas. Para los clientes de software, el tipo de cliente es normalmente el sistema operativo, por ejemplo, Windows. Para los clientes de hardware, el tipo de cliente es normalmente el nmero de modelo, por ejemplo, vpn3002. Si usted est editando la entrada de actualizacin del cliente, el tipo de cliente ser de slo lectura.

URL
Introduzca la URL que conduce a la ltima revisin del software o firmware. La URL deber empezar con un protocolo apropiado, y puede incluir los nombres de los usuarios y contraseas. Los siguientes son ejemplos de URL para descargar un archivo de versin actualizada llamada vpnclient-4-6.exe:

http://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe https://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe
Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

11-19

Captulo 11 Crear un servidor Easy VPN

Servidor Easy VPN

ftp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe tftp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe scp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe rcp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe cns: xmodem: ymodem: null: flash:vpnclient-4.6.exe nvram:vpnclient-4.6.exe usbtoken[0-9]:vpnclient-4.6.exe El intervalo de nmeros del puerto token USB es de 0 a 9. Por ejemplo, para un token USB conectado al puerto USB 0, la URL es usbtoken0:vpnclient-4.6.exe.

usbflash[0-9]:vpnclient-4.6.exe El intervalo de nmeros del puerto flash USB es de 0 a 9. Por ejemplo, para un flash USB conectado al puerto USB 0, la URL es usbflash0:vpnclient-4.6.exe.

disk[0-1]:vpnclient-4.6.exe El nmero de disco es 0 o 1. Por ejemplo, para el nmero de disco 0, la URL es disk0:vpnclient-4.6.exe.

archive:vpnclient-4.6.exe tar:vpnclient-4.6.exe system:vpnclient-4.6.exe

En estos ejemplos, username es el nombre del usuario del sitio y password es la contrasea del sitio.

Revisiones
Especifique el nmero de revisin de la ltima actualizacin. Puede especificar mltiples nmeros de revisin al separarlos con comas, por ejemplo, 4.3,4.4,4.5. No use ningn espacio.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-20

OL-9963-04

Captulo 11

Servidor Easy VPN Configuraciones del Proxy del Explorador

Resumen
Esta ventana muestra la configuracin del servidor Easy VPN que ha creado, y le permite guardarla. Puede revisar la configuracin en esta ventana y hacer clic en el botn Atrs para cambiar cualquier parmetro. Al hacer clic en el botn Finalizar se escribir la informacin en la configuracin actual del router. Si el tnel ha sido configurado para funcionar en el modo Automtico, el router tambin trata de comunicarse con el servidor o concentrador VPN. Si desea cambiar la configuracin del servidor Easy VPN ms adelante, puede realizar los cambios en el panel Agregar o Editar el Servidor de la Easy VPN. Para guardar esta configuracin en la configuracin actual del router y salir de este asistente, haga clic en Finalizar. Los cambios entrarn en efecto inmediatamente.

Probar conectividad de la VPN despus de la configuracin


Haga clic para probar la conexin de la VPN que acaba de configurar. Los resultados del test aparecen en una ventana separada.

Configuraciones del Proxy del Explorador


Esta ventana enumera las configuraciones del proxy del explorador, y muestra cmo se configuran. Usted puede agregar, editar, o eliminar las configuraciones del proxy del explorador. Use la configuracin de las polticas del grupo para relacionar las configuraciones del proxy del explorador con los grupos del cliente.

Nombre
El nombre de las configuraciones del proxy del explorador.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-21

Captulo 11 Configuraciones del Proxy del Explorador

Servidor Easy VPN

Configuraciones
Muestra algo de lo siguiente:

Sin Servidor Proxy Los clientes no pueden usar ningn servidor proxy cuando se conecten a travs del tnel de la VPN.

Deteccin Automtica de los Configuraciones Los clientes intentan detectar automticamente un servidor proxy. Configuracin Proxy Manual Las configuraciones se configuran manualmente.

Detalles del Servidor


Muestra la direccin IP del servidor proxy y el nmero de puerto en uso.

Desviar Direcciones Locales


Si se establece, evita que los clientes usen el servidor proxy para las direcciones locales (LAN).

Lista de Excepciones
Lista de direcciones IP para las que no desea que los clientes usen el servidor proxy.

Botn Agregar
Configura las nuevas configuraciones del proxy del explorador.

Botn Editar
Edita las configuraciones del proxy especificadas del explorador.

Botn Eliminar
Elimina las configuraciones del proxy especificadas del explorador. Las configuraciones del proxy del explorador asociadas con una o ms polticas del grupo no pueden eliminarse antes de que se eliminen estas asociaciones.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-22

OL-9963-04

Captulo 11

Servidor Easy VPN Agregar o Editar el Servidor de la Easy VPN

Agregar o Editar el Servidor de la Easy VPN


Esta ventana le permite ver y administrar las conexiones del servidor de la VPN Easy.

Agregar
Haga clic en Agregar para agregar un nuevo servidor Easy VPN.

Editar
Haga clic en Editar para editar una configuracin de servidor Easy VPN existente.

Eliminar
Haga clic en Eliminar para eliminar una configuracin especificada.

Columna Nombre
Nombre de la poltica IPSec asociada a esta conexin VPN.

Columna Interfaz
Nombre de la interfaz utilizada en esta conexin.

Columna Autorizacin de grupo


Nombre de la lista de mtodos utilizad para la bsqueda de polticas de grupo.

Columna Autenticacin de usuario


Nombre de la lista de mtodos utilizado para la autenticacin de usuario.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-23

Captulo 11 Agregar o Editar el Servidor de la Easy VPN

Servidor Easy VPN

Configuracin de modo
Muestra algo de lo siguiente:

Iniciar El router se configura para iniciar las conexiones con los clientes de Easy VPN remoto.

Responder El router se configura para esperar las solicitudes de los clientes de Easy VPN remoto antes de establecer las conexiones.

Botn Probar servidor VPN


Haga clic para evaluar el tnel de la VPN elegido. Los resultados del test aparecen en una ventana separada.

Botn Restringir Acceso


Haga clic en este botn para restringir el acceso del grupo para la conexin del Servidor de la Easy VPN especificada. Este botn est activado slo si se cumplen las siguientes dos condiciones:

Hay ms de una conexin del Servidor de la Easy VPN al usar la base de datos local para la autenticacin del usuario. Hay al menos una poltica del grupo local configurada.

Agregar o editar conexin de servidor Easy VPN


Esta ventana le permite agregar o editar una conexin del Servidor de la Easy VPN.

Elija una interfaz


Si desea agregar una conexin, elija de esta lista la interfaz que va a utilizar. Si va a modificar la conexin, esta lista estar desactivada.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-24

OL-9963-04

Captulo 11

Servidor Easy VPN Agregar o Editar el Servidor de la Easy VPN

Elegir una poltica IPSec


Si va a agregar una conexin, elija de esta lista la poltica IPSec que desea utilizar. Si va a modificar la conexin, esta lista estar desactivada.

Lista de mtodos para la bsqueda de polticas de grupo


En esta lista, elija la lista de mtodos que desea utilizar para la bsqueda de polticas de grupo. Este tipo de listas se configuran haciendo clic en Tareas adicionales de la barra de tareas de Cisco SDMy, a continuacin, en el nodo AAA.

Activar la autenticacin de usuario


Marque esta casilla de verificacin si usted desea que los usuarios se autentiquen por s mismos.

Lista de mtodos para la autenticacin de usuarios


En esta lista, elija la lista de mtodos que desea utilizar para la autenticacin de usuario. Este tipo de listas se configuran haciendo clic en Tareas adicionales de la barra de tareas de Cisco SDMy, a continuacin, en el nodo AAA.

Configuracin de modo
Marque la opcin Iniciar si desea que el router inicie conexiones con los clientes de Easy VPN remoto. Marque la opcin Responder si desea que el router espere las solicitudes procedentes de los clientes de Easy VPN remoto antes de establecer conexiones.

Restringir Acceso
Esta ventana le permite especificar qu polticas del grupo se permiten para usar la conexin de la Easy VPN. Permite un acceso del grupo para la conexin del Servidor de la Easy VPN, al marcar su casilla de verificacin. Niega un acceso del grupo para la conexin del Servidor de la Easy VPN, al desactivar su casilla de verificacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-25

Captulo 11 Configuracin de polticas de grupo

Servidor Easy VPN

Qu desea hacer?

Si desea: Restringir una poltica de grupo a una conexin de servidor Easy VPN Server especfico mientras que deniega todas las dems polticas de grupo a esa conexin.

Haga lo siguiente: Elija la conexin de servidor Easy VPN especificada y haga clic en el botn Restringir Acceso. Marque la casilla de verificacin del grupo objetivo y desmarque la de los dems grupos. Deniegue el acceso al grupo objetivo en todas las dems conexiones de servidor Easy VPN. Para ello, desmarque las casillas de verificacin de la ventana Restringir Acceso de cada una de las conexiones.

Configuracin de polticas de grupo


Esta ventana le permite ver, agregar, duplicar, y elegir las polticas del grupo para editar o eliminar. Las polticas del grupo se usan para identificar los recursos de los clientes de Easy VPN remoto.

Botn Conjunto comn


Haga clic para designar un conjunto existente como conjunto comn para todas las polticas de grupo que se van a utilizar. Si no se ha configurado ningn conjunto local, este botn se desactivar. Los conjuntos pueden configurarse, al hacer clic en Tareas adicionales > Conjuntos locales, o cuando configure las conexiones de servidor Easy VPN.

Botones Agregar/Editar/Clonar/Eliminar
Utilice estos botones para administrar polticas de grupo en el router. Si hace clic en Clonar aparecen las fichas de edicin de polticas de grupo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-26

OL-9963-04

Captulo 11

Servidor Easy VPN Configuracin de polticas de grupo

Botn Enviar Actualizacin


Haga clic para enviar una notificacin IKE de las actualizaciones del software o hardware para activar a los clientes del grupo elegido. Si se desactiva este botn, el grupo elegido no tendr configurada la actualizacin del cliente. Para configurar las notificaciones de actualizacin del cliente para el grupo elegido, haga clic en el botn Editar y, luego, haga clic en la ficha Actualizacin del Cliente.

Columna Nombre del grupo


El nombre de la poltica de grupo.

Columna Conjunto
El conjunto de direcciones IP utilizadas por los clientes de este grupo.

Columna DNS
Los servidores DNS utilizados por los clientes de este grupo.

Columna WINS
Los servidores WINS utilizados por los clientes de este grupo.

Columna Nombre de dominio


El nombre de dominio utilizado por los clientes de este grupo.

Columna ACL
Si para este grupo se especifica la divisin de la arquitectura de tneles, esta columna podr contener el nombre de una lista de control de acceso que defina qu trfico deber cifrarse.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-27

Captulo 11 Configuracin de polticas de grupo

Servidor Easy VPN

Ventana de Detalles
La ventana Detalles es una lista de configuraciones de funciones y sus valores para la poltica de grupo elegida. Las configuraciones de las caractersticas slo se muestran si son admitidas por la edicin de IOS de su router Cisco, y se aplican solamente al grupo elegido. Las siguientes configuraciones de las funciones pueden aparecer en la lista:

Autenticacin Los valores indican una clave previamente compartida, si se configur alguna, o un certificado digital, si no se configur la clave previamente compartida.

Conexiones Mximas Permitidas Muestra el nmero mximo de conexiones simultneas permitidas. Cisco SDMadmite un mximo de 5000 conexiones simultneas por grupo.

Restriccin de Acceso Muestra la interfaz externa a la que se restringe el grupo especificado. Servidores de Respaldo Muestra la direccin IP de los servidores de respaldo que se han configurado. Firewall Are-U-There Restringe las conexiones a los dispositivos que activan a los firewalls Black Ice o Zone Alarm.

Incluye la LAN Local Permite que una conexin que no use la divisin de la arquitectura de tneles pueda acceder a la subred local al mismo tiempo que el cliente.

Confidencialidad Directa Perfecta (PFS, Perfect Forward Secrecy) PFS se requiere para IPSec. Configuracin Push, URL, y Versin El servidor enva un archivo de configuracin de la URL y con el nmero especificado de la versin para el cliente.

Bloqueo del grupo Los clientes se restringen al grupo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-28

OL-9963-04

Captulo 11

Servidor Easy VPN Conjuntos IP

Guardar Contrasea Las credenciales XAuth pueden guardarse en el cliente. Registros Mximos El nmero mximo de conexiones que un usuario puede establecer simultneamente. Cisco SDM admite un mximo de 10 registros simultneos por usuario.

Anuncio XAuth El mensaje de texto mostrado a los clientes durante las solicitudes de XAuth.

Conjuntos IP
En esta ventana se muestra una lista de los conjuntos de direcciones IP disponibles para las polticas de grupo en el router. De acuerdo con el rea de Cisco SDM en la que est trabajando, los botones Agregar, Editar y Eliminar pueden estar disponibles y el nombre de la ventana puede cambiar segn el rea de Cisco SDM en que est trabajando. Puede utilizar estos botones para administrar los conjuntos IP del router.

Columna Nombre del conjunto


El nombre del conjunto de direcciones IP.

Columna Intervalo de direcciones IP


El intervalo de direcciones IP para el conjunto seleccionado. Un intervalo de 2.2.2.0 a 2.2.2.254 proporciona 255 direcciones.

Columna Tamao cach


El tamao de la cach de este conjunto.

Columna Nombre del grupo


Si el conjunto local esta configurado con la opcin de grupo mediante el CLI, el nombre del grupo se mostrar en la columna de nombre del grupo. Esta columna no se muestra en todas las reas de Cisco SDM.
Nota

No puede configurar conjuntos locales con la opcin de grupo utilizando Cisco SDM.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

11-29

Captulo 11 Conjuntos IP

Servidor Easy VPN

Agregar o editar conjunto local IP


Esta ventana le permite crear o editar un conjunto local de las direcciones IP.

Nombre del conjunto


Si est creando un conjunto, especifique el nombre del conjunto. Si se est editando un conjunto, este campo estar desactivado.

Intervalo de direcciones IP
Especifique o edite los intervalos de direcciones IP del conjunto en esta rea. Un conjunto puede contener varios intervalos de direcciones IP. Utilice los botones Agregar, Editar y Eliminar para crear intervalos adicionales, editar intervalos y eliminar intervalos de direcciones IP.

Tamao cach
Especifique o edite el tamao de la cach de este conjunto en este campo.

Agregar intervalo de direcciones IP


Esta ventana le permite agregar el rango de una direccin IP a un conjunto existente.

Direccin IP inicial
Especifique la direccin IP con el nmero ms bajo del intervalo.

Direccin IP final
Especifique la direccin IP con el nmero ms alto del intervalo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

11-30

OL-9963-04

CAPTULO

12

Enhanced Easy VPN


Las siguientes secciones describen las pantallas de configuracin de Administrador del dispositivo de seguridad de Cisco para Enhanced Easy VPN.

Interfaz y Autenticacin
Especifica la interfaz del router en la cual la interfaz de plantilla virtual no se va a numerar, y el mtodo que se debe usar para autenticacin en esta ventana.

Interfaz
No se debe numerar la interfaz de plantilla virtual en una interfaz del router para obtener una direccin IP. Cisco recomienda no numerar la interfaz de plantilla virtual en una direccin de retrobucle para mayor flexibilidad. Para hacerlo, haga clic en No numerado en la nueva interfaz de retrobucle y especifique una direccin IP y una mscara de subred para la interfaz de retrobucle. Un ejemplo de direccin IP y mscara de subred de retrobucle es 127.0.0.1, 255.255.255.0. Para no numerar la interfaz de plantilla virtual en otra interfaz, haga clic en No numerado en y elija la interfaz. Debe seleccionar la interfaz que finaliza el tnel en el router. Haga clic en Detalles para ver la direccin IP, autenticacin, poltica y otra informacin acerca de la interfaz que est eligiendo.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

12-1

Captulo 12

Enhanced Easy VPN

Autenticacin
Seleccione el mtodo que los clientes de Easy VPN usarn para autenticarse a s mismos en el servidor de Easy VPN configurado en el router. Las claves compartidas previamente requieren que comunique la clave a los administradores de los clientes de Easy VPN. Los certificados digitales no requieren esto, pero cada cliente debe suscribirse a un certificado digital y recibirlo.

Servidores RADIUS
Identifique los servidores RADIUS que el router usar para autorizacin y bsqueda de polticas de grupo, y los grupos VPN configurados en los servidores RADIUS de la ventana Servidores RADIUS.

Origen de cliente RADIUS


Configurar el origen RADIUS le permite especificar la direccin IP del origen que se enviar en paquetes RADIUS con destino al servidor RADIUS. Para ver la direccin IP y otra informacin acerca de una interfaz, seleccione la interfaz y haga clic en el botn Detalles. La direccin IP del origen en los paquetes RADIUS enviados desde el router debe configurarse como la direccin IP del NAD en la versin 3.3 o superior de Cisco Access Control Server (ACS). Si selecciona El router elige el origen, la direccin IP del origen en los paquetes RADIUS ser la direccin de la interfaz a travs de la cual los paquetes RADIUS saldrn del router. Si elige una interfaz de router especfica, la direccin IP del origen en los paquetes RADIUS ser la direccin de esa interfaz.

Nota

El software Cisco IOS permite que una interfaz de origen RADIUS se configure en el router. Si el router ya tiene configurado un origen RADIUS y usted escoge un origen diferente a la direccin IP del origen colocada en los paquetes enviados al servidor RADIUS, se cambiar a la direccin IP del nuevo origen, y podr no coincidir con la direccin IP del NAD configurada en Cisco ACS.

Gua del usuario de Cisco Router and Security Device Manager 2.4

12-2

OL-9963-04

Captulo 12

Enhanced Easy VPN

Columnas de Servidor IP, Parmetros y Seleccionar


Estas columnas muestran la informacin clave acerca de los servidores RADIUS que utiliza el router. La columna IP del servidor enumera las direcciones IP de cada servidor configurado. La columna Parmetros enumera los puertos de autorizacin y de cuentas para cada servidor. La columna Seleccionar contiene una casilla de verificacin para cada servidor configurado. Marque la casilla junto a cada servidor que desea usar. La siguiente tabla contiene un ejemplo de datos. IP del servidor 192.168.108.14 192.168.108.15 Parmetros Puerto de autorizacin 1645; Puerto de cuentas 1646 Puerto de autorizacin 3005; Puerto de cuentas 3006 Seleccionar Seleccionado

En esta configuracin, el servidor RADIUS en 192.168.108.14 utiliza la autorizacin estndar y los puertos de cuentas 1645 y 1646, respectivamente. El router utilizar este servidor para autenticacin y autorizacin. El servidor en 192.168.108.15 utiliza puertos de autenticacin y autorizacin no estndar. El router no contactar a este servidor, porque la casilla Seleccionar no est marcada. Haga clic en Agregar para crear una entrada para un servidor RADIUS. Seleccione una entrada del servidor y haga clic en Editar para cambiar la informacin que el router tiene para ese servidor. Seleccione una entrada del servidor y haga clic en Enviar un ping para probar la conexin entre el router y el servidor RADIUS.

Grupos VPN en el Servidor RADIUS


Especifique los grupos VPN configurados en el servidor RADIUS a los cuales desea que esta conexin otorgue acceso. Utilice coma para separar las entradas. A continuacin, se muestra un conjunto de entradas:
WGP-1, WGP-2, ACCTG, CSVC

Estos nombres deben coincidir con los nombres de los grupos configurados en el servidor RADIUS. Para facilitar la administracin, stos deben coincidir tambin con los nombres de los grupos que configura para los clientes de Easy VPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

12-3

Captulo 12

Enhanced Easy VPN

Polticas de Grupo de usuarios y Autorizacin de grupos


Puede crear grupos de usuarios donde cada uno tenga su propio grupo de direcciones IP, configuracin de actualizacin de clientes, configuracin de divisin de arquitectura de tneles y otras configuraciones personalizadas. Estos atributos de grupos se descargan para el cliente en aqul grupo donde se conectan al servidor Easy VPN. El mismo nombre de grupo se debe configurar en los clientes que son miembros del grupo para asegurar que se descarguen los atributos de grupo correctos. Si ya se han configurado polticas de grupo, stas aparecen en la lista de esta ventana y puede seleccionarlas para esta conexin marcando la casilla Seleccionar a la izquierda del nombre del grupo. En la lista se muestra el nombre del grupo, el nombre del grupo de direcciones IP, los nombres de los servidores DNS y WINS, y el nombre del domino de cada grupo configurado. Cuando hace clic en Agregar para configurar los ajustes para un nuevo grupo o en Editar para cambiar los ajustes, los cambios aparecen en esta lista. Para usar los ajustes de un grupo existente como base de una nueva configuracin de grupo, seleccione el grupo existente y haga clic en Clonar. Los botones Agregar, Editar y Clonar muestran cuadros de dilogo que permiten configurar ajustes de grupos.

Configurar temporizador de inactividad


Marque Configurar temporizador de inactividad para especificar cunto tiempo se debe mantener una conexin para clientes inactivos en el campo Temporizador de inactividad. Especifique valores de tiempo en el formato HH:MM:SS. Por ejemplo, para especificar 3 horas, 20 minutos y 32 segundos, especifique los siguientes valores en los campos:
03:20:32

El valor de lmite de tiempo se aplicar a todos los grupos configurados para esta conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

12-4

OL-9963-04

Captulo 12

Enhanced Easy VPN

Agregar o Editar servidor Easy VPN: Ficha General


Especifique informacin general para la conexin del servidor Easy VPN en este cuadro de dilogo.

Nombre de esta conexin


Especifique un nombre para identificar esta conexin. El nombre que introduce se muestra en la ventana Editar servidor Easy VPN.

Direccin IP de la interfaz de tnel virtual


Haga clic en Interfaz y Autenticacin para obtener una descripcin de los campos de direccin IP del tnel virtual.

Modo tnel
Seleccione IPSec-IPV4 en el campo Modo tnel. La opcin IPSec-IPV4 permite la creacin de un tnel IPSec, versin 4, de IP.

Descripcin
Puede especificar una descripcin que sea de utilidad para los administradores de su red cuando cambian configuraciones o solucionan problemas de la red.

Agregar o Editar servidor Easy VPN: Ficha IKE


El cuadro de dilogo IKE en el dilogo Agregar servidor Easy VPN le permite crear un Perfil IKE para esta conexin.

Tipo de identidad de coincidencia


El perfil IKE incluye criterios de coincidencia que permiten al router identificar las conexiones entrantes y salientes a las cuales se aplicarn los parmetros de conexin IKE. Los criterios de coincidencia se pueden aplicar actualmente a los grupos VPN. El grupo se selecciona automticamente en el campo Tipo de identidad de coincidencia. Haga clic en Agregar para crear una lista de los grupos que desea incluir en los criterios de coincidencia.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

12-5

Captulo 12

Enhanced Easy VPN

Seleccione Agregar nombre de grupo externo para agregar el nombre a un grupo que no est configurado en el router y, a continuacin, especifique el nombre en el dilogo que aparece. Elija Seleccionar entre los grupos locales para agregar el nombre de un grupo que est configurado en el router. En el dilogo que aparece, seleccione la casilla al lado del grupo que desea agregar. Si todos los grupos locales se usan en otros perfiles IKE, SDM le informa que todos los grupos han sido seleccionados.

Configuracin de modo
Seleccione Responder en el campo Configuracin de modo si el servidor Easy VPN responder a solicitudes de configuracin de modo. Seleccione Iniciar si el servidor Easy VPN iniciar solicitudes de configuracin de modo. Seleccione Ambos si el servidor Easy VPN iniciar y responder a solicitudes de configuracin de modo.

Poltica de autorizacin de bsqueda de polticas de grupo


Debe especificar una poltica de autorizacin que controle el acceso a informacin de polticas de grupo en el servidor AAA. Seleccione por defecto si desea otorgar acceso a informacin de bsqueda de polticas de grupo. Para especificar una poltica, seleccione una poltica existente en la lista o haga clic en Agregar para crear una poltica en el dilogo que aparece.

Poltica de autenticacin de usuario


Puede especificar una poltica de autenticacin de usuario que se utilizar para conexiones a Xauth. Seleccione por defecto si desea permitir conexiones XAuth. Para especificar una poltica para controlar conexiones XAuth, seleccione una poltica existente en la lista o haga clic en Agregar para crear una poltica en el dilogo que aparece.

Gua del usuario de Cisco Router and Security Device Manager 2.4

12-6

OL-9963-04

Captulo 12

Enhanced Easy VPN

Descubrimiento de par inactivo


Haga clic en Descubrimiento de par inactivo para que el router pueda enviar mensajes de descubrimiento de par inactivo (DPD) a los clientes de Easy VPN remoto. Si un cliente no responde a los mensajes DPD, se rechaza la conexin. Especifique el nmero de segundos entre los mensajes PDP en el campo Intervalo keepalive. El intervalo oscila entre 10 y 3600 segundos. En el campo Reintentos, especifique el nmero de segundos entre reintentos si fallan los mensajes PDP. El intervalo oscila entre 2 y 60 segundos. El descubrimiento de par inactivo ayuda a administrar conexiones sin la intervencin del administrador, pero genera paquetes adicionales que ambos pares deben procesar para mantener la conexin.

Agregar o Editar servidor Easy VPN: Ficha IPSec


Especifique la informacin para crear un perfil IPSec en este dilogo. Un perfil IPSec especifica cules conjuntos de transformacin se usarn, cmo se determinar el tiempo de vida de la asociacin de seguridad (SA), y otra informacin.

Columnas Conjunto de transformacin


Use las dos columnas que se encuentran en la parte superior del dilogo para especificar los conjuntos de transformacin que desea incluir en el perfil. La columna izquierda contiene los conjuntos de transformacin configurados en el router. Para agregar un conjunto de transformacin configurado al perfil, seleccinelo y haga clic en el botn >>. Si no hay conjuntos de transformacin en la columna izquierda, o si necesita un conjunto de transformacin que no ha sido creado, haga clic en Agregar y cree el conjunto de transformacin en el dilogo que aparece.

Tiempo de vida de SA de IPSec basado en tiempo


Haga clic en Tiempo de vida de SA de IPSec basado en tiempo si desea que se establezca una nueva SA despus de transcurrido un perodo de tiempo establecido. Especifique el perodo de tiempo en los campos HH:MM:SS que se encuentran a la derecha. El intervalo oscila entre 0:2:0 (2 minutos) y 24:0:0 (24 horas).

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

12-7

Captulo 12

Enhanced Easy VPN

Tiempo de vida de SA de IPSec basado en volumen de trfico


Haga clic en Tiempo de vida de SA de IPSec basado en volumen de trfico si desea que se establezca una nueva SA despus de que una cantidad de trfico especificada haya pasado a travs del tnel IPSec. Especifique el nmero de kilobytes que debe pasar por el tnel antes de quitar una SA existente y establecer otra nueva. El intervalo oscila entre 2560 KB y 536870912 KB.

Tiempo de inactividad de SA de IPSec


Haga clic en Tiempo de inactividad de SA de IPSec si desea que se establezca un nuevo SA despus de que el par haya estado inactivo durante un tiempo especificado. Especifique el perodo de tiempo de inactividad en los campos HH:MM:SS que se encuentran a la derecha. El intervalo oscila entre 0:1:0 (un minuto) y 24:0:0 (24 horas).

Confidencialidad directa perfecta


Haga clic en Confidencialidad directa perfecta si IPSec debe requerir confidencialidad directa perfecta (PFS) al solicitar nuevas asociaciones de seguridad para esta interfaz de plantilla virtual, o si debe requerir PFS en solicitudes recibidas desde el par. Puede especificar los valores siguientes:

grupo 1: el grupo de mdulos principales Diffie-Hellman de 768 bits se usa para cifrar la solicitud PFS. grupo 2: el grupo de mdulos principales Diffie-Hellman de 1024 bits se usa para cifrar la solicitud PFS. grupo 5: el grupo de mdulos principales Diffie-Hellman de 1536 bits se usa para cifrar la solicitud PFS.

Crear interfaz de tnel virtual


Especifique la informacin para una interfaz de tnel virtual en este cuadro de dilogo.

Tipo de interfaz
Seleccione por defecto o tnel como el tipo de interfaz. Si est editando una interfaz de tnel virtual, se muestra el valor configurado y el campo es de slo lectura.

Gua del usuario de Cisco Router and Security Device Manager 2.4

12-8

OL-9963-04

Captulo 12

Enhanced Easy VPN

Configurar la direccin IP de la interfaz


La direccin IP de la interfaz de tnel virtual se puede no numerar en otra interfaz o puede no tener direccin IP. Seleccione IP no numerada y elija un nombre de interfaz en el campo No numerado en, o seleccione Sin direccin IP.

Modo tnel
Cisco SDM actualmente admite el modo tnel IPSec-IPv4 y ste est seleccionado.

Seleccionar zona
Este campo aparece cuando el router ejecuta una imagen de Cisco IOS que admite Firewall basado en poltica de zonas (ZPF), y una zona se ha configurado en el router. Si desea que esta interfaz de tnel virtual sea un miembro de la zona, haga clic en el botn a la derecha de este campo. Haga clic en Seleccionar una zona y seleccione la zona de la cual desea que la interfaz sea miembro, o haga clic en Crear una zona para crear una nueva zona para esta interfaz.

Nota

No es necesario que la interfaz de tnel virtual sea miembro de una zona. Sin embargo, el router no enva trfico entre interfaces miembros de zonas e interfaces que no son miembros de zonas.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

12-9

Captulo 12

Enhanced Easy VPN

Gua del usuario de Cisco Router and Security Device Manager 2.4

12-10

OL-9963-04

CAPTULO

13

DMVPN
Estos temas de ayuda ofrecen informacin sobre las pantallas de configuracin de la red privada virtual multipunto dinmica (DMVPN).

Red privada virtual multipunto dinmica (DMVPN)


Este asistente le ayudar a configurar el router como un hub de red privada virtual multipunto (DMVPN) o spoke DMVPN. Una conexin VPN es un tnel IPSec de punto a punto que conecta dos routers. DMVPN permite crear una red con un hub central que conecta otros routers remotos, denominados spokes, mediante un tnel GRE sobre IPSec. El trfico IPSec se enruta a travs del hub a los spokes de la red. Cisco SDM permite configurar el router como hub DMVPN principal o secundario, o bien como un router spoke en una red DMVPN. El enlace siguiente contiene ms informacin acerca de DMVPN (se requiere ID de conexin a CCO). Redes privadas virtuales IPSec multipunto Cisco SDM admite la configuracin de una red centro-radial (hub-and-spoke) DMVPN que utilice los perfiles de IPSec para definir el cifrado. Puede configurar una red DMVPN de malla completa y utilizar mapas criptogrficos para definir el cifrado en la red DMVPN mediante el CLI. Las redes DMVPN de malla completa y redes DMVPN mediante mapas criptogrficos se administran y modifican mediante el CLI. Cisco SDM admite la configuracin de una red DMVPN a partir de la versin de IOS 12.2(13)T. Cisco SDM admite la configuracin de una DMVPN nica en un router.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-1

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

En esta pantalla, identifique el router como un hub o como un spoke en la red DMVPN. Es importante configurar el hub en primer lugar porque los spokes deben configurarse con la informacin acerca de ste. Si desea configurar uno, puede utilizar la funcin de configuracin de spoke disponible en la ventana Resumen para generar un procedimiento que puede enviar a los administradores de spokes para que puedan configurar los spokes con la informacin de hub correcta. Si desea configurar un spoke, debe obtener los datos correctos acerca del hub antes de empezar.

Crear un spoke (cliente) en una DMVPN


Seleccione esta opcin si el router es un spoke de la red DMVPN. Los spokes son los puntos finales lgicos de la red. Antes de empezar la configuracin, debe efectuar un ping en el hub para asegurarse de que dispone de conectividad, as como tener a mano toda la informacin necesaria acerca de la configuracin de hub que utilizar. Esta informacin se muestra en Asistente para spokes de privada virtual multipunto dinmica.

Crear un hub (servidor o extremo de transmisin) en una DMVPN


Seleccione esta opcin si el router es un hub de la red DMVPN. El hub es el punto central lgico de una red DMVPN, y est conectado a cada uno de los routers spoke por medio de una conexin IPSec de punto a punto. El hub puede enrutar el trfico IPSec entre los routers spoke de la red.

Asistente para hubs de red privada virtual multipunto dinmica


Este asistente puede ayudarle a configurar el router como un hub DMVPN. Es necesario configurar el hub antes de los spokes para que pueda facilitar a los administradores de spokes la informacin necesaria para configurar los routers spoke. La ventana de aplicacin explica los elementos que se configurarn. Una vez finalizada la configuracin, deber facilitar a los administradores de spokes la informacin siguiente acerca del hub:

La direccin IP de la interfaz fsica del router hub. La direccin IP de la interfaz de tnel mGRE del hub.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-2

OL-9963-04

Captulo 13

DMVPN Red privada virtual multipunto dinmica (DMVPN)

El protocolo de enrutamiento dinmico que se utilizar para enviar actualizaciones de enrutamiento a la red DMVPN, as como el nmero de sistema autnomo (AS) (para EIGRP) o ID de proceso (para OSPF) que se deber utilizar.

La funcin de configuracin de spoke de Cisco SDM permite crear un archivo de texto con la informacin que los administradores de spokes necesitan acerca de la configuracin del hub. Esta funcin est disponible desde la ventana Resumen de este asistente. Tambin necesita indicar a los administradores de spokes la mscara de subred que se debe utilizar y asignar a cada spoke una direccin IP de la misma subred que el hub para que no se produzcan conflictos de direcciones.

Tipo de hub
Las redes DMVPN pueden configurarse con un nico hub, o bien con un hub principal y uno de reserva. Identifique el tipo de hub como el que desea configurar el router.

Hub principal
Marque esta opcin si el router es el hub principal de la red DMVPN.

Hub de reserva
Marque este botn si el router es un hub de reserva en una red DMVPN de malla completa.

Configurar la clave previamente compartida


Los pares DMVPN pueden utilizar una clave previamente compartida o certificados digitales para la autenticacin de las conexiones entre s. Si se utilizan claves previamente compartidas, cada router hub y router spoke de la red debern utilizar la misma clave previamente compartida. Las claves previamente compartidas deben intercambiarse con el administrador del sitio remoto mediante algn mtodo cmodo y seguro como, por ejemplo, un mensaje de correo electrnico cifrado. Los signos de interrogacin (?) y los espacios no pueden utilizarse en la clave previamente compartida. La clave previamente compartida puede contener un mximo de 128 caracteres.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-3

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

Clave previamente compartida


Especifique la clave previamente compartida utilizada en la red DMVPN. Los signos de interrogacin (?) y los espacios no pueden utilizarse en la clave previamente compartida. La clave previamente compartida puede contener un mximo de 128 caracteres.

Certificados digitales
Seleccione este botn si el router utiliza certificados digitales para la autenticacin. Los certificados digitales se configuran en Componentes VPN>Infraestructura de clave pblica.

Confirmar la clave previamente compartida


Vuelva a especificar la clave para confirmarla. Si los valores de este campo y el de Clave previamente compartida no coinciden, Cisco SDMle solicita que los especifique de nuevo.

Configuracin de la interfaz de tnel GRE de hub


La encapsulacin genrica de enrutamiento multipunto (mGRE) se utiliza en una red DMVPN para permitir que una interfaz GRE nica de un hub admita un tnel IPSec hacia cada uno de los routers spoke. Este punto simplifica enormemente la configuracin de DMVPN. GRE permite enviar actualizaciones de enrutamiento por las conexiones IPSec.

Seleccione la interfaz que se conecta a Internet


Seleccione la interfaz de router que se conecta a Internet. El tnel GRE se origina a partir de esta interfaz. Si selecciona una interfaz que utilice una conexin de marcacin podra ocurrir que la conexin est activa en todo momento. Puede examinar las interfaces admitidas en Interfaces y conexiones para determinar si existe una conexin de acceso telefnico. Normalmente, interfaces como ISDN (RDSI) o de serie asncrona se configurarn para una conexin de acceso telefnico a redes.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-4

OL-9963-04

Captulo 13

DMVPN Red privada virtual multipunto dinmica (DMVPN)

Direccin IP
Especifique una direccin IP para la interfaz mGRE. sta debe ser una direccin privada y encontrarse en la misma subred que las interfaces GRE de los dems routers de la red. Por ejemplo, las interfaces GRE pueden compartir la subred 10.10.6.0 y que se les asigne las direcciones IP del intervalo 10.10.6.1 a 10.10.6.254.

Mscara de subred
Especifique la mscara de la subred en la que se encuentran las interfaces GRE. Por ejemplo, la mscara de la subred 10.10.6.0 puede ser 255.255.255.0. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Botn Opciones avanzadas


Cisco SDM proporciona valores por defecto para la configuracin de tnel avanzada. No obstante, el administrador de hubs debe decidir la configuracin de tnel y remitirla al personal encargado de administrar los routers spoke para que puedan realizar configuraciones que coincidan.

Configuracin avanzada para la interfaz de tnel


Utilice esta ventana para configurar los parmetros de tnel GRE. Cisco SDM proporciona valores por defecto, aunque el usuario debe obtener los valores correctos del administrador de hubs y especificarlos en esta ventana. En este tema de ayuda se proporcionan los valores por defecto. Si los cambia y necesita restaurarlos, consulte este tema de ayuda.

Cadena de autenticacin NHRP


Especifique la cadena que deben utilizar los DMVPN hubs y spokes para autenticarse para las transacciones NHRP, la cual puede contener un mximo de 8 caracteres. No se permiten caracteres especiales como espacios o signos de interrogacin (?). Todos los dispositivos de DMVPN deben configurarse con la misma cadena de autenticacin. Cisco SDM por defecto: DMVPN_NW

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-5

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

ID de red NHRP
Especifique el ID de red NHRP. El ID de red es un identificador de red de 32 bits exclusivo de forma global correspondiente a una red de multiacceso sin difusin (NBMA). El intervalo es de 1 a 4294967295. Cisco SDM por defecto: 100000

Tiempo de espera NHRP


Especifique los segundos durante los que los ID de red NHRP deben anunciarse como vlidos. Cisco SDM por defecto: 360

Clave de tnel
Especifique la clave que se utilizar para este tnel. Debe ser la misma para todos los tneles mGRE de la red. Cisco SDM por defecto: 100000

Ancho de banda
Especifique el ancho de banda deseado, en kilobytes por segundo (kbps). Los valores de ancho de banda por defecto se configuran durante el inicio y se pueden mostrar mediante el comando para mostrar interfaces EXEC. 1000 es un valor de ancho de banda tpico en las configuraciones DMVPN. Cisco SDM por defecto: 1000

MTU
Especifique la cantidad mxima de datos, expresada en bytes, que podr contener un paquete que sea transferido a travs del tnel. Cisco SDM por defecto: 1400

Retraso de rendimiento del tnel


Establezca un valor de retraso para una interfaz, expresado en decenas de microsegundos. Cisco SDM por defecto: 1000

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-6

OL-9963-04

Captulo 13

DMVPN Red privada virtual multipunto dinmica (DMVPN)

Hub principal
Si el router que desea configurar es el hub de reserva de la red DMVPN, debe proporcionar las direcciones IP pblica y privada del hub principal para identificarlo.

Direccin IP pblica
Especifique la direccin IP de la interfaz del hub principal que se utiliza para este tnel. Debe ser una direccin IP esttica. Obtenga esta informacin del administrador de hubs.

Direccin IP de la interfaz de tnel mGRE del hub


Especifique la direccin IP de la interfaz del tnel mGRE en el hub principal. Obtenga esta informacin del administrador de hubs.

Seleccionar el protocolo de enrutamiento


Utilice esta ventana para especificar el modo en que otras redes detrs del router se anunciarn a los dems routers de la red. Seleccione uno de los siguientes:

EIGRP: Extended Interior Gateway Routing Protocol. OSPF: Open Shortest Path First. RIP: Routing Internet Protocol. Enrutamiento esttico: esta opcin est activada cuando se configura un tnel GRE sobre IPSec.

Nota

RIP no se admite para la topologa de spoke y hub DMVPN, pero est disponible para la topologa de malla completa de DMVPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-7

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

Informacin de enrutamiento
Utilice esta ventana para agregar o editar la informacin de enrutamiento acerca de las redes detrs del router que desea anunciar a los dems routers de la red. Los campos de esta ventana varan en funcin del protocolo de enrutamiento especificado. Si desea obtener ms informacin acerca de los parmetros RIP, consulte Agregar/Editar una ruta RIP. Si desea obtener ms informacin acerca de los parmetros EIGRP, consulte Agregar o editar una ruta EIGRP. Si desea obtener ms informacin acerca de los parmetros OSPF, consulte Agregar o editar una ruta OSPF.

Seleccione la versin de RIP que debe activarse:


Especifique la versin 1 o versin 2 de RIP.

Seleccione un ID de proceso OSPF/nmero EIGRP AS existente


Puede seleccionar un ID de proceso OSPF existente para OSPF o un nmero de AS para EIGRP si se ha configurado uno antes. Consulte Recomendaciones para la configuracin de protocolos de enrutamiento en DMVPN.

Cree un ID de proceso OSPF/nmero EIGRP AS nuevo


Si no existe ningn ID de proceso, o bien si desea utilizar uno distinto, puede configurar un ID de proceso en este campo.

ID de rea OSPF para la red de tnel


Especifique un nuevo ID de rea OSPF para la red. Este ID de rea es para la red de tnel. Cisco SDM agrega automticamente la red de tnel a este proceso mediante dicho ID.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-8

OL-9963-04

Captulo 13

DMVPN Red privada virtual multipunto dinmica (DMVPN)

Redes privadas anunciadas mediante <nombre-protocolo>


Esta rea muestra las redes anunciadas mediante el protocolo de enrutamiento seleccionado. Si ya ha configurado el protocolo de enrutamiento que ha especificado en este asistente, las redes que ha indicado que se anuncien figurarn en esta lista. Agregue todas las redes privadas que desee anunciar a los homlogos DMVPN mediante este proceso de enrutamiento. El asistente para DMVPN agrega automticamente la red de tnel a este proceso. Red: una direccin de red. Puede especificar la direccin de una determinada red y utilizar la mscara inversa para generalizar la publicacin. Mscara comodn: (protocolos EIGRP y OSPF) una mscara de bit que especifica qu porcin de la direccin de red debe coincidir con la direccin proporcionada en la columna de red. Esta mscara puede utilizarse para hacer que el router anuncie redes de un intervalo en particular, en funcin de la direccin proporcionada. Un bit 0 especifica que el bit de la direccin de red debe coincidir con el bit correspondiente de la direccin de red proporcionada. Por ejemplo, si la direccin de red fuera 172.55.10.3 y la mscara inversa, 0.0.255.255, el router anunciara todas las redes que empezaran por los nmeros 172.55, no slo la red 172.55.10.3. rea: aparece cuando se selecciona OSPF; es el nmero del rea OSPF de dicha red. Cada router de una determinada rea OSPF mantiene una base de datos topolgica de dicha rea. Agregar: haga clic para agregar una red, o un grupo de redes, para anunciar. Editar: haga clic para editar los datos de una red o grupo de redes anunciadas. Este botn est activado para las entradas que haya creado durante la sesin actual de este asistente. Eliminar: haga clic para eliminar los datos de la red o grupo de redes seleccionadas. Este botn est activado para las entradas que haya creado durante la sesin actual de este asistente.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-9

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

Asistente para spokes de privada virtual multipunto dinmica


Este asistente le ayuda a configurar el router como un spoke de una red DMVPN. Antes de empezar la configuracin, debe efectuar un ping en el hub para asegurarse de que el router puede enviarle trfico. Por otra parte, antes de empezar debe tener a mano toda la informacin acerca del hub que necesita. Un administrador de hubs que utilice Cisco SDM para configurar el hub puede generar un archivo de texto que contenga la informacin de hub que necesitan los administradores de spokes. Antes de empezar debe obtener la informacin siguiente:

La direccin IP de la interfaz fsica del hub. La direccin IP de la interfaz de tnel mGRE del hub. La direccin IP y la mscara de subred que el administrador de hubs le indique que debe utilizar para el spoke. Dicho administrador debe asignar direcciones a cada uno de los spokes para asegurarse de que todos los routers de la red DMVPN se encuentran en la misma subred y de que cada uno de ellos utiliza una direccin exclusiva. El protocolo de enrutamiento que se debe emplear y el nmero de AS (EIGRP) o ID de proceso (OSPF) que se utilizar para enviar actualizaciones de enrutamiento en la red DMVPN.

Topologa de red DMVPN


Seleccione el tipo de red DMVPN a la cual pertenece este router.

Red centro-radial (hub and spoke)


Seleccione esta opcin si desea configurar el router en una red en que cada router spoke tenga una conexin GRE sobre IPSec punto a punto al hub DMVPN y va a enviar trfico destinado a otros spokes por medio del hub. Cuando se selecciona esta opcin, el grfico muestra enlaces de los spokes al hub.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-10

OL-9963-04

Captulo 13

DMVPN Red privada virtual multipunto dinmica (DMVPN)

Red de malla completa


Seleccione esta opcin si desea configurar el router como un spoke capaz de establecer un tnel IPSec directo a otros spokes de la red. Para admitir esta funcionalidad, se ha configurado un tnel GRE multipunto en el spoke. Cuando se selecciona esta opcin, el grfico muestra enlaces de los spokes al hub, as como enlaces entre ellos. La pantalla del asistente muestra las imgenes del IOS necesarias para admitir la red DMVPN de malla completa.

Especificar la informacin del hub


Utilice esta ventana para proporcionar la informacin necesaria acerca del hub de la red DMVPN.

Direccin IP de la interfaz fsica del hub


Especifique la direccin IP de la interfaz en el hub, que podr obtener del administrador de hubs. Se utilizar como el destino del tnel.

Direccin IP de la interfaz de tnel mGRE del hub


Especifique la direccin IP de la interfaz de tnel mGRE del hub. Las direcciones de tnel mGRE del hub y spokes deben encontrarse en la misma subred.

Configuracin de la interfaz de tnel GRE de spoke


Se crear una conexin de punto a punto para este spoke mediante la informacin especificada en esta ventana.

Seleccione la interfaz que se conecta a Internet


Seleccione la interfaz de router que se conecta a Internet. El tnel GRE sobre IPSec se origina desde la interfaz. Si selecciona una interfaz que utilice una conexin de marcacin podra ocurrir que la conexin est activa en todo momento. Puede consultar las interfaces admitidas en Interfaces y conexiones para averiguar si para la interfaz fsica seleccionada se ha configurado una conexin de acceso telefnico a redes como, por ejemplo, una conexin ISDN (RDSI) o conexin asncrona.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-11

Captulo 13 Red privada virtual multipunto dinmica (DMVPN)

DMVPN

Vuelva a registrarse en el hub cuando cambie la direccin IP de nombre-interfaz: esta opcin est disponible cuando la interfaz seleccionada recibe una direccin IP dinmica por medio de DHCP o IPCP. Especificar esta opcin permitir al spoke volver a registrarse con el hub cuando reciba una nueva direccin IP.

Direccin IP
Especifique la direccin IP de la interfaz GRE a este hub. sta debe ser una direccin privada y encontrarse en la misma subred que las interfaces GRE de los dems routers de la red. Por ejemplo, las interfaces GRE pueden compartir la subred 10.10.6.0 y que se les asigne las direcciones IP del intervalo 10.10.6.1 a 10.10.6.254. Si desea configurar un router spoke, debe utilizar la direccin IP que el administrador de hubs ha asignado al router. De no hacerlo, pueden ocasionarse conflictos de direcciones.

Mscara de subred
Especifique la mscara de la subred en la que se encuentran las interfaces GRE. Esta mscara debe asignarla el administrador de hubs y debe ser la misma para todos los routers de la DMVPN. Por ejemplo, la mscara de la subred 10.10.6.0 podra ser 255.255.255.0. Para ms informacin, consulte Direcciones IP y mscaras de subred.

Botn Opciones avanzadas


Haga clic en este botn para proporcionar parmetros de tnel y NHRP para esta conexin. Cisco SDM proporciona valores por defecto para la configuracin de tnel avanzada. No obstante, el administrador de hubs debe decidir la configuracin de tnel y remitirla al personal encargado de administrar los routers spoke para que puedan realizar configuraciones que coincidan. Si desea configurar un router spoke, obtenga los parmetros de tnel del administrador de hubs, haga clic en este botn y especifique dichos parmetros en el cuadro de dilogo mostrado.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-12

OL-9963-04

Captulo 13

DMVPN Editar VPN multipunto dinmica (DMVPN)

Advertencia de Cisco SDM: DMVPN Dependency (Dependencia DMVPN)


Esta ventana aparece cuando la interfaz que ha elegido para el origen del tnel DMVPN presenta una configuracin que impide su uso en la DMVPN. Cisco SDM informa al usuario del conflicto y le brinda la opcin de permitir que Cisco SDM modifique la configuracin para que se elimine el conflicto.

Firewall
Si se ha aplicado un firewall a la interfaz que se design como origen del tnel, Cisco SDM puede agregar entradas de regla de acceso a la configuracin de modo que el trfico GRE, IPSec e ISAKMP est autorizado a pasar por el firewall.

Ver detalles
Haga clic en este botn para ver las entradas de control de acceso que Cisco SDM agregar a la regla de acceso si selecciona Permitir el trfico GRE, IPSec e ISAKMP a travs del firewall. Estas entradas autorizan ambos tipos de trfico (ISAKMP y GRE), as como los protocolos ESP (Encapsulating Security Protocol) y AHP (Authentication Header Protocol).

Editar VPN multipunto dinmica (DMVPN)


Esta ventana muestra las configuraciones de tnel DMVPN existentes. DMVPN permite crear una red con un hub central que conecta otros routers remotos, denominados spokes. Cisco SDM admite topologa de red centro-radial (hub-and-spoke), en la cual el trfico GRE sobre IPSec se enruta a travs del hub. Cisco SDM le permite configurar el router como hub DMVPN principal o secundario, o bien como un router spoke en una red DMVPN. El enlace siguiente contiene ms informacin acerca de DMVPN (se requiere ID de conexin a CCO). Redes privadas virtuales IPSec multipunto Cisco SDM admite la configuracin de una red centro-radial (hub-and-spoke) DMVPN que utilice los perfiles de IPSec para definir el cifrado. Puede configurar una red DMVPN de malla completa y utilizar mapas criptogrficos para definir el cifrado en la red DMVPN mediante el CLI. Las redes DMVPN de malla completa y redes DMVPN mediante mapas criptogrficos se administran y modifican mediante el CLI.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-13

Captulo 13 Editar VPN multipunto dinmica (DMVPN)

DMVPN

Cisco SDM admite la configuracin de una DMVPN nica en un router. El hub debe configurarse en primer lugar, a fin de establecer las direcciones IP del mismo y los parmetros de enrutamiento con los que se deben configurar los spokes. Para consultar otras recomendaciones acerca de la configuracin de los routers en una DMVPN, consulte Recomendaciones para la configuracin de DMVPN.

Interfaz
La interfaz fsica desde la cual se origina este tnel.

Perfil IPSec
El perfil IPSec que utiliza el tnel. Define los conjuntos de transformacin que se utilizan para cifrar el trfico en el tnel. Cisco SDM admite el uso de perfiles IPSec nicamente para definir el cifrado en una DMVPN. Si desea utilizar mapas criptogrficos, configure la DMVPN mediante el CLI.

Direccin IP
La direccin IP del tnel GRE. Este tnel se utiliza para enviar actualizaciones de enrutamiento a la DMVPN.

Descripcin
Una descripcin de este tnel.

Panel Detalles
El panel Detalles muestra los valores de toda la configuracin del tnel DMVPN.

Por qu algunas interfaces de tnel son de slo lectura?


Una interfaz de tnel es de slo lectura si anteriormente se ha configurado con asociaciones de mapa criptogrfico y parmetros de NHRP. Desde esta ventana podr modificar los parmetros de NHRP y la informacin de enrutamiento, aunque la direccin IP, y el origen y destino del tnel debern configurarse desde la ventana Interfaces y conexiones.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-14

OL-9963-04

Captulo 13

DMVPN Editar VPN multipunto dinmica (DMVPN)

Agregar
Haga clic en esta opcin para agregar una nueva configuracin de tnel DMVPN.

Editar
Haga clic en esta opcin para editar una determinada configuracin de tnel DMVPN.

Eliminar
Haga clic en esta opcin para eliminar una configuracin de tnel DMVPN.

Panel General
En este panel podr agregar o editar los parmetros de configuracin generales del tnel DMVPN.

Direccin IP
Especifique la direccin IP del tnel. sta debe ser una direccin privada y encontrarse en la misma subred que las dems direcciones de tnel de la DMVPN. Si desea configurar un spoke, debe utilizar la direccin que el administrador de hubs ha asignado al router a fin de evitar que se produzcan conflictos de direcciones.

Mscara
Especifique la mscara de subred que el administrador de hubs ha asignado a la DMVPN. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Origen del tnel


Seleccione la interfaz que el tnel utilizar, o bien especifique la direccin IP de dicha interfaz. Consulte Uso de interfaces con conexiones de acceso telefnico antes de seleccionar una interfaz configurada para una conexin de acceso telefnico a redes.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-15

Captulo 13 Editar VPN multipunto dinmica (DMVPN)

DMVPN

Destino del tnel


Haga clic en Esto es un tnel GRE multipunto si este es un tnel DMVPN en una red de malla completa. Haga clic en IP/Nombre de host y especifique una direccin IP o nombre de host si esta es una red centro-radial (hub-and-spoke).

Perfil IPSec
Seleccione un perfil IPSec configurado para este tnel. Dicho perfil define los conjuntos de transformacin que se utilizan para cifrar el trfico en este tnel.

MTU
Especifique la cantidad mxima de datos, expresada en bytes, que podr contener un paquete que sea transferido a travs del tnel.

Ancho de banda
Especifique el ancho de banda deseado, en kilobytes por segundo (kbps). Los valores de ancho de banda por defecto se configuran durante el inicio y se pueden mostrar mediante el comando para mostrar interfaces EXEC. El valor 1000 es un parmetro de ancho de banda tpico en las configuraciones DMVPN.

Retraso
Establezca un valor de retraso para una interfaz, expresado en decenas de microsegundos. El valor 1000 es un parmetro de retraso tpico en las configuraciones DMVPN.

Clave de tnel
Especifique la clave que se utilizar para este tnel. Debe ser la misma para todos los tneles mGRE de la red.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-16

OL-9963-04

Captulo 13

DMVPN Editar VPN multipunto dinmica (DMVPN)

This is a multipoint GRE Tunnel (Esto es un tnel GRE multipunto)


Marque esta opcin si va a utilizar una interfaz de tnel mGRE, esto es, una interfaz capaz de mantener las conexiones a varios homlogos. Si este router se va a configurar como un hub DMVPN, debe marcar esta casilla para permitir que el hub establezca conexiones con todos los spokes. Si el router se va a configurar como un spoke, marque esta casilla si desea configurar una DMVPN de malla completa. De este modo, un spoke puede establecer una conexin con el hub para enviar trfico y recibir informacin de prximo salto (next hop) para conectarse directamente a todos los dems spokes de la DMVPN.

Panel NHRP
Utilice este panel para indicar los parmetros de configuracin NHRP.

Cadena de autenticacin
Especifique la cadena que deben utilizar los DMVPN hubs y spokes para autenticarse para las transacciones NHRP, la cual puede contener un mximo de 8 caracteres. Todas las estaciones NHRP de la DMVPN deben configurarse con la misma cadena de autenticacin.

Tiempo en espera
Especifique los segundos durante los que los ID de red NHRP deben anunciarse como vlidos.

ID de red
Especifique el ID de red NHRP. El ID de red es un identificador de red de 32 bits exclusivo de forma global correspondiente a una red de multiacceso sin difusin (NBMA). El intervalo va de 1 a 4294967295. Dicho ID debe ser exclusivo para cada estacin NHRP.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-17

Captulo 13 Editar VPN multipunto dinmica (DMVPN)

DMVPN

Servidores de prximo salto (next hop)


Esta rea enumera las direcciones IP de los servidores de prximo salto (next hop) con los que este router puede establecer contacto. En ella debe constar la direccin IP del hub principal y del hub secundario si se trata de un router spoke. Si se trata de un hub, esta rea debe contener las direcciones IP de los dems routers hub de la DMVPN. Haga clic en Agregar para especificar la direccin IP del servidor de prximo salto (next hop). Seleccione un servidor y haga clic en Eliminar para eliminarlo de la lista.

Mapa NHRP
Esta rea enumera las asignaciones de direccin IP a NBMA disponibles. Haga clic en Agregar para crear un nuevo mapa. Una vez creado, se agregar a esta lista. Haga clic en Editar para modificar un determinado mapa. Haga clic en Eliminar para quitar una determinada configuracin de mapa.

Configuracin del mapa NHRP


Utilice esta ventana para crear o editar una asignacin entre direcciones IP y NBMA.

Configure estticamente la asignacin de direcciones IP a NMBA de los destinos IP conectados a una red NBMA
Haga clic en este botn si desea configurar un spoke en una red de malla completa. Cisco SDM trata los hubs de reserva como spokes conectados a hubs principales, de modo que tambin deber hacer clic en este botn si desea configurar un hub de reserva. En esta parte de la ventana indicar la informacin de direccin que el spoke o hub de reserva necesita para establecer contacto con el hub principal. Destino alcanzable a travs de la red NBMA: especifique la direccin IP del tnel mGRE configurado en el hub principal. Los spokes y hubs de reserva utilizan esta informacin de tnel para establecer contacto con el hub y crear un tnel mGRE hacia l. Los spokes utilizan el tnel para enviar datos cifrados al hub y consultar el hub para obtener informacin de prximo salto (next hop) a otros spokes. Direccin NBMA directamente alcanzable: especifique la direccin IP esttica de la interfaz del hub principal que admite el tnel mGRE.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-18

OL-9963-04

Captulo 13

DMVPN Editar VPN multipunto dinmica (DMVPN)

Configure las direcciones NBMA utilizadas como destinos para los paquetes de difusin o multidifusin que se enviarn a travs de la red
Utilice esta rea de la ventana para proporcionar la informacin utilizada por los protocolos de enrutamiento. Agregar dinmicamente las direcciones IP del spoke a la cach multidifusin del hub: defina esta opcin si desea configurar un hub principal o de reserva. El hub necesita esta opcin para enviar actualizaciones de enrutamiento a todos los spokes DMVPN conectados. Direccin IP de la direccin NBMA directamente alcanzable: si desea configurar un spoke en una DMVPN de malla completa, o un hub de reserva, marque esta casilla e indique la direccin IP esttica de la interfaz en el hub principal que admite el tnel mGRE.

Panel Enrutamiento
Utilice este panel para configurar la informacin de enrutamiento para la nube de la red DMVPN.

Protocolo de enrutamiento
Seleccione el protocolo de enrutamiento dinmico que los routers hub y spoke de esta red DMVPN utilizan para realizar el enrutamiento. Tenga en cuenta que todos los routers de la red DMVPN deben configurarse para el protocolo de enrutamiento que seleccione.

RIP: Routing Internet Protocol. OSPF: Open Shortest Path First. EIGRP: Extended Interior Gateway Routing Protocol.

Campos RIP
Si ha seleccionado RIP como protocolo de enrutamiento dinmico, seleccione Versin 1, Versin 2 o Por defecto. Si selecciona Versin 2, el router incluir la mscara de subred en la actualizacin de enrutamiento. Si selecciona Por defecto, el router enviar actualizaciones de Versin 2, pero podr recibir actualizaciones de RIP Versin 1 Versin 2.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-19

Captulo 13 Editar VPN multipunto dinmica (DMVPN)

DMVPN

Desactivar el horizonte dividido (split horizon): si ste es el router hub, marque esta casilla para desactivar el horizonte dividido (split horizon) en la interfaz del tnel mGRE. La desactivacin del horizonte dividido (split horizon) permite al router anunciar las rutas que ha obtenido de la interfaz de tnel de la misma interfaz.

Campos OSPF
Si ha seleccionado OSPF, debern rellenarse los campos siguientes: ID de proceso OSPF: especifique el ID de proceso. Este valor identifica el proceso OSPF para otros routers. Consulte Recomendaciones para la configuracin de protocolos de enrutamiento en DMVPN. Tipo de red OSPF: seleccione punto-a-multipunto o difusin. La primera opcin hace que OSPF agregue rutas a la tabla de enrutamiento de routers spoke. Si desea evitarlo, puede seleccionar difusin. Prioridad OSPF: la prioridad OSPF identifica este router como un hub o un spoke. Si se trata de un router hub, especifique un valor de prioridad de 2. Si se trata de un router spoke, indique un valor de prioridad de 0.

Campos EIGRP
Si ha seleccionado EIGRP, debern rellenarse los campos siguientes: Nmero de sistema autnomo: especifique el nmero de sistema autnomo para el grupo de routers que utiliza EIGRP. Los routers que compartan el mismo nmero de sistema autnomo EIGRP mantienen una base de datos de routers topolgica en la regin identificada por dicho nmero. Consulte Recomendaciones para la configuracin de protocolos de enrutamiento en DMVPN. Desactivar el horizonte dividido (split horizon): si ste es el router hub, marque esta casilla para activar el horizonte dividido (split horizon) en la interfaz de tnel mGRE. Djela sin marcar para desactivar el horizonte dividido (split horizon). La desactivacin del horizonte dividido permite al router anunciar las rutas que ha obtenido de la interfaz de tnel de la misma interfaz. Utilizar prximo salto original (next hop router): si se trata de un router hub DMVPN, EIGRP anunciar este router como el prximo salto (next hop). Marque esta casilla para que EIGRP utilice el prximo salto (next hop) IP original cuando se anuncien rutas a los routers spoke DMVPN.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-20

OL-9963-04

Captulo 13

DMVPN Cmo se configura una red DMVPN manualmente?

Cmo se configura una red DMVPN manualmente?


Puede configurar el router como spoke o hub DMVPN mediante las ventanas Componentes VPN y la ventana Editar red privada virtual multipunto dinmica DMVPN. Para ello, debe realizar las tareas siguientes:

Configure un perfil IPSec. No puede configurar una conexin DMVPN hasta que haya configurado al menos un perfil IPSec. Configure la conexin DMVPN. Especifique las redes que desee anunciar a la nube DMVPN.

A continuacin, se describen los procedimientos para realizar estas tareas:

Para configurar un perfil IPSec:


Debe configurar una poltica IPSec y, a continuacin, un tnel DMVPN.
Paso 1 Paso 2 Paso 3

Haga clic en VPN en el panel izquierdo y, a continuacin, haga clic en Componentes VPN. Haga clic en la rama Perfiles IPSec y, a continuacin, haga clic en Agregar en la ventana Perfiles IPSec. Asigne un nombre al perfil y seleccione los conjuntos de transformacin que va a contener en la ventana Agregar un perfil IPSec. Si lo desea, en este campo puede especificar una breve descripcin. Haga clic en Aceptar.

Paso 4

Para configurar una conexin DMVPN:


Paso 1 Paso 2 Paso 3 Paso 4

En el rbol VPN, haga clic en la rama Red privada virtual multipunto dinmica. Haga clic en Editar red privada multipunto dinmica (DMVPN). Haga clic en Agregar. En la ventana Configuracin del tnel DMVPN, utilice las fichas General, NHRP y Enrutamiento para crear un tnel DMVPN. Consulte la ayuda en lnea para obtener ms informacin acerca de un campo en particular.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

13-21

Captulo 13 Cmo se configura una red DMVPN manualmente?

DMVPN

Para especificar las redes que desee anunciar a la nube DMVPN:


Si existen redes detrs del router que desea anunciar a la red DMVPN, agregue los nmeros de red de las ventanas Enrutamiento.
Paso 1 Paso 2 Paso 3

En el panel izquierdo, haga clic en Enrutamiento. En la ventana Enrutamiento, seleccione el protocolo de enrutamiento que ha especificado en la configuracin DMVPN y haga clic en Editar. Agregue los nmeros de red que desea anunciar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

13-22

OL-9963-04

CAPTULO

14

Configuracin VPN global


En estos temas de la ayuda se describen las ventanas de la Configuracin VPN global.

Configuracin VPN global


En esta ventana se muestra la configuracin VPN global del router.

Botn Editar
Haga clic en el botn Editar para agregar o cambiar la configuracin VPN global.

Activar IKE
Este valor es True (Verdadero) si IKE est activado y False (Falso) si IKE est desactivado.

Nota

Si IKE est desactivado, la configuracin de VPN no estar operativa.

Activar modo agresivo


Este valor es True (Verdadero) si el Modo agresivo est activado, y es False (Falso) si el Modo agresivo est desactivado. La funcin del Modo agresivo le permite especificar el tnel RADIUS para un par IPSec e iniciar una negociacin en modo agresivo con los atributos del tnel.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

14-1

Captulo 14 Configuracin VPN global

Configuracin VPN global

Lmite de tiempo de XAuth


El nmero de segundos que el router esperar a que el sistema responda al desafo de Xauth.

Identidad de IKE
El nombre de host del router o direccin IP que el router utilizar para identificarse en las negociaciones IKE.

Deteccin del par muerto


La Deteccin del par muerto (DPD) le permite a un router detectar un par y, si se detecta, eliminar las asociaciones de seguridad IPSec y IKE con el par.
Paquete keep-alive de IKE (Seg)

El valor es el nmero de segundos que el router espera entre cada envo de paquetes keep-alive de IKE.
Reintento IKE (Seg)

El valor es el nmero de segundos que el router espera entre los distintos intentos de establecer una conexin IKE con el par remoto. Por defecto, aparece 2 segundos.
Tipo de DPD

Puede ser A peticin o Peridico. Si se configura como A peticin, se envan mensajes DPD en base a patrones de trfico. Por ejemplo, si el router tiene que enviar trfico saliente y la activacin del par es cuestionable, el router enva un mensaje DPD para preguntar el estado del par. Si el router no tiene trfico para enviar, jams enviar un mensaje DPD. Si se configura como Peridico, el router enva un mensaje DPD en el intervalo especificado por el valor keep-alive IKE.

Gua del usuario de Cisco Router and Security Device Manager 2.4

14-2

OL-9963-04

Captulo 14

Configuracin VPN global Configuracin VPN global

Longevidad (seg) de la asociacin de seguridad (SA) por IPSec


El tiempo tras el que las asociaciones de seguridad (SA) por IPSec vencen y se regeneran. El valor por defecto es de 3.600 segundos (1 hora).

Duracin (Kilobytes) de la asociacin de seguridad (SA) por IPSec


El nmero de kilobytes que el router puede enviar por la conexin VPN antes de que venza la SA por IPSec. La SA se renovar una vez llegada la longevidad inferior.

Configuracin VPN global: IKE


Esta ventana permite especificar la configuracin global para IKE e IPSEC.

Activar IKE
Deje esta casilla marcada si desea utilizar VPN.

Precaucin

Si IKE est desactivado, la configuracin de VPN no funcionar.

Activar modo agresivo


La funcin de modo agresivo le permite especificar atributos de tnel RADIUS para un par IPSec e iniciar una negociacin en modo agresivo IKE con los atributos de tnel.

Identidad (de este router)


Este campo especifica el modo en que se identificar el router. Seleccione Direccin IP o Nombre de host.

Lmite de tiempo de XAuth


El nmero de segundos que el router debe esperar una respuesta del sistema que requiera autenticacin XAuth.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

14-3

Captulo 14 Configuracin VPN global

Configuracin VPN global

Activar Deteccin del par muerto (DPD)


La Deteccin del par muerto (DPD) le permite a un router detectar un par y, si se detecta, eliminar las asociaciones de seguridad IPSec y IKE con el par. La casilla de verificacin de Activar Deteccin del par muerto est desactivada cuando la imagen de Cisco IOS que el router est utilizando no admite DPD.
Paquete keepalive

Especifique el nmero de segundos que el router debe mantener una conexin que no se est utilizando.
Volver a intentar

Especifique el nmero de segundos que el router debe esperar entre los distintos intentos de establecer una conexin IKE con un par. El valor por defecto es de 2 segundos.
Tipo de DPD

Seleccione A peticin o Peridico. Si se configura como A peticin, se envan mensajes DPD en base a patrones de trfico. Por ejemplo, si el router tiene que enviar trfico saliente y la activacin del par es cuestionable, el router enva un mensaje DPD para preguntar el estado del par. Si el router no tiene trfico para enviar, jams enviar un mensaje DPD. Si se configura como Peridico, el router enva un mensaje DPD en el intervalo especificado por el valor keep-alive IKE.

Configuracin VPN global: IPSec


Puede editar la configuracin IPSec global en esta ventana.

Autenticar y generar una clave nueva cada


Marque esta casilla y especifique el intervalo de tiempo despus del que el router debe autenticar y generar una nueva clave. Si no especifica ningn valor, el router autenticar y generar una clave nueva cada hora.

Gua del usuario de Cisco Router and Security Device Manager 2.4

14-4

OL-9963-04

Captulo 14

Configuracin VPN global Configuracin VPN global

Generar una clave nueva despus de que la clave actual realice el cifrado de un volumen de
Marque esta casilla y especifique el nmero de kilobytes que debe cifrar la clave vigente antes de que el router autentique y genere una clave nueva. Si no especifica ningn valor, el router autenticar y generar una nueva clave una vez la clave vigente haya cifrado 4.608.000 kilobytes.

Configuracin del cifrado de la clave VPN


La ventana Configuracin del cifrado de la clave VPN aparece si la imagen de IOS de Cisco de su router admite un cifrado del Tipo 6, tambin denominado cifrado de clave VPN. Esta ventana se puede utilizar para especificar una clave maestra para usar en el cifrado de claves VPN, como son claves previamente compartidas, claves Easy VPN y claves XAuth. Una vez cifradas, nadie que est visualizando el archivo de configuracin del router podr leer estas claves.

Activar el cifrado de claves VPN


Marque esta opcin para activar el cifrado de estas claves.

Clave maestra vigente


En este campo aparecen asteriscos (*) cuando se ha configurado una clave maestra.

Nueva clave maestra


Especifique una nueva clave maestra en este campo. Las claves maestras deben tener una longitud mnima de 8 caracteres y mxima de 128 caracteres.

Confirmar clave maestra


Vuelva a escribir la clave maestra en este campo a modo de confirmacin. Si los valores de este campo y del campo Nueva clave maestra no coinciden, Cisco SDM le solicitar que especifique de nuevo la clave.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

14-5

Captulo 14 Configuracin VPN global

Configuracin VPN global

Gua del usuario de Cisco Router and Security Device Manager 2.4

14-6

OL-9963-04

CAPTULO

15

Seguridad IP
Seguridad IP (IPSec) es una infraestructura basada en estndares abiertos que brinda confidencialidad, integridad y autenticacin de datos entre pares participantes. IPSec suministra estos servicios de seguridad en la capa IP; utiliza IKE para gestionar la negociacin de protocolos y algoritmos basndose en la poltica local y para generar las claves de cifrado y de autenticacin que utilizar. Cisco SDM permite configurar conjuntos de transformacin, reglas y polticas IPSec. Utilice el rbol de IPSec para ir a las ventanas de configuracin de IPSec que desee utilizar.

Polticas IPSec
Esta ventana muestra las polticas IPSec configuradas en el router y los mapas criptogrficos asociados a cada poltica. Las polticas IPSec se utilizan para definir conexiones VPN. Para informarse acerca de las relaciones entre las polticas IPSec, los mapas criptogrficos y las conexiones VPN, consulte Informacin adicional acerca de conexiones VPN y polticas IPSec.

Icono

Si este icono aparece al lado de la poltica IPSec, esto indica que se trata de una poltica de slo lectura que no puede editarse. Una poltica IPSec puede ser de slo lectura si contiene comandos que Cisco SDM no admite.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-1

Captulo 15 Polticas IPSec

Seguridad IP

Nombre
Nombre de esta poltica IPSec.

Tipo
Uno de los siguientes:

ISAKMP: se utilizar IKE para establecer las asociaciones de seguridad IPSec de proteccin del trfico especificadas por esta entrada del mapa criptogrfico. Cisco SDM admite los mapas criptogrficos de Protocolo de la asociacin de seguridad en Internet y gestin de claves (ISAKMP). Manual: no se utilizar IKE para establecer las asociaciones de seguridad IPSec de proteccin del trfico especificadas en esta entrada del mapa criptogrfico. Cisco SDM no admite la creacin de mapas criptogrficos manuales. Cisco SDM trata como de slo lectura a cualquier mapa criptogrfico manual creado mediante la interfaz de lnea de comandos (CLI).

Dinmico: especifica que esta entrada del mapa criptogrfico sirve para hacer referencia a un mapa criptogrfico dinmico previamente existente. Los mapas criptogrficos dinmicos son plantillas de polticas utilizadas para procesar las solicitudes de negociacin de un dispositivo IPSec homlogo. Cisco SDM no admite la creacin de mapas criptogrficos dinmicos. Cisco SDM trata como de slo lectura cualquier mapa criptogrfico dinmico creado mediante la CLI.

Mapas criptogrficos en esta poltica IPSec


Nombre

Nombre de la poltica IPSec de la que forma parte el mapa criptogrfico.


Nm. secuencia

Cuando se utiliza una poltica IPSec en una conexin VPN, la combinacin del nmero de secuencia y del nombre de la poltica IPSec identifica de forma exclusiva la conexin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-2

OL-9963-04

Captulo 15

Seguridad IP Polticas IPSec

Homlogos

Esta columna muestra una lista de las direcciones IP o nombres de host de los dispositivos homlogos especificados en el mapa criptogrfico. En caso de haber varios homlogos, stos se separarn mediante comas.
Conjunto de transformacin

Esta columna muestra una lista de los conjuntos de transformacin utilizados en el mapa criptogrfico.

Mapas criptogrficos dinmicos en esta poltica IPSec


Nombre del conjunto de mapas criptogrficos dinmicos

Nombre de este conjunto de mapas criptogrficos dinmicos. Los nombres permiten a los administradores comprender cmo se utiliza el conjunto de mapas criptogrficos.
Nmero de secuencia

Nmero de secuencia de este conjunto de mapas criptogrficos dinmicos.


Tipo

El tipo siempre es Dinmico.

Qu desea hacer?

Si desea: Agregar una poltica IPSec a la configuracin. Editar una poltica IPSec existente. Quitar una entrada de mapa criptogrfico de una poltica.

Haga lo siguiente: Haga clic en Agregar. Seleccione la poltica y haga clic en Editar. Seleccione la poltica y haga clic en Editar. En la ventana, seleccione el mapa criptogrfico que desee quitar y haga clic en Eliminar. A continuacin, haga clic en Aceptar para regresar a esta ventana. Seleccione la poltica y haga clic en Eliminar.

Quitar una poltica IPSec.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-3

Captulo 15 Polticas IPSec

Seguridad IP

Agregar una poltica IPSec/Editar la poltica IPSec


Utilice esta ventana para agregar o editar una poltica IPSec.

Nombre
Nombre de esta poltica IPSec. Puede ser cualquier conjunto de caracteres alfanumricos. Resulta til incluir los nombres de los homlogos en el nombre de la poltica o bien incluir otra informacin representativa para el usuario.

Mapas criptogrficos en esta poltica IPSec


En este cuadro se muestra una lista de los mapas criptogrficos de esta poltica IPSec. La lista incluye el nombre, el nmero de secuencia y el conjunto de transformacin que forman este mapa criptogrfico. En la poltica IPSec se puede seleccionar un mapa criptogrfico y editarlo o eliminarlo. Si desea agregar un mapa criptogrfico, haga clic en Agregar. Si desea que Cisco SDM le gue por todo el proceso, marque Utilizar el asistente para agregar y haga clic en Agregar.

Icono

Si un mapa criptogrfico es slo de lectura, el icono de slo lectura aparecer en esta columna. Un mapa criptogrfico puede ser de slo lectura si contiene comandos que Cisco SDM no admite.

Mapas criptogrficos dinmicos en esta poltica IPSec


En este cuadro se muestra una lista de los conjuntos de mapas criptogrficos dinmicos de esta poltica IPSec. Utilice el botn Agregar para agregar un conjunto de mapas criptogrficos dinmicos a la poltica. Utilice el botn Eliminar para quitar de la poltica un conjunto de mapas criptogrficos dinmicos seleccionado.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-4

OL-9963-04

Captulo 15

Seguridad IP Polticas IPSec

Qu desea hacer?

Si desea: Agregar un mapa criptogrfico a esta poltica.

Haga lo siguiente: Haga clic en Agregar y cree un mapa criptogrfico en los paneles Agregar mapa criptogrfico. O bien marque Utilizar el asistente para agregar y haga clic en Agregar.

Nota

El asistente slo le permitir agregar un conjunto de transformacin al mapa criptogrfico. Si necesita varios conjuntos de transformacin en el mapa criptogrfico, no utilice el asistente.

Editar un mapa criptogrfico en esta poltica. Quitar un mapa criptogrfico de esta poltica.

Seleccione el mapa criptogrfico, haga clic en Editar y edite el mapa criptogrfico en los paneles Editar el mapa criptogrfico. Seleccione el mapa criptogrfico y haga clic en Eliminar.

Agregar o editar el mapa criptogrfico: General


En esta ventana puede cambiar los parmetros generales del mapa criptogrfico. La ventana contiene los campos siguientes.

Nombre de la poltica IPSec


Campo de slo lectura que contiene el nombre de la poltica en la que se utiliza este mapa criptogrfico. Este campo no aparece si est utilizando el Asistente para mapas criptogrficos.

Descripcin
En este campo puede especificar o editar una descripcin del mapa criptogrfico. Esta descripcin aparece en la lista de conexiones VPN y puede ser til para distinguir este mapa criptogrfico de los otros que se encuentran dentro de la misma poltica IPSec.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-5

Captulo 15 Polticas IPSec

Seguridad IP

Nmero de secuencia
Nmero que, junto con el nombre de la poltica IPSec, se utiliza para identificar una conexin. Cisco SDM genera automticamente un nmero de secuencia. Si as se desea, se puede especificar un nmero de secuencia propio.

Duracin de la asociacin de seguridad


Las asociaciones de seguridad de IPSec utilizan claves compartidas. Dichas claves, as como sus respectivas asociaciones de seguridad, tienen el mismo lmite de tiempo. Existen dos duraciones: una duracin determinada por un perodo de tiempo definido y otra determinada por el volumen de trfico. La asociacin de seguridad caduca cuando se alcanza la primera duracin. Puede utilizar este campo para especificar una longevidad de asociacin de seguridad para este mapa criptogrfico que no sea la longevidad especificada globalmente. En el campo Kilobytes, puede especificar la longevidad en nmero de kilobytes enviados, hasta un mximo de 4608000. En los campos HH:MM:SS, puede especificar la longevidad en horas, minutos y segundos. Tambin puede especificar longevidades determinadas por un perodo de tiempo definido y determinadas por el volumen de trfico. Si se especifican ambos, la longevidad caducar al cumplirse el primer criterio.

Activar la confidencialidad directa perfecta


Cuando se derivan claves de seguridad de otras claves generadas anteriormente, se produce un problema de seguridad, ya que si se descubre una clave, las otras tambin se pueden descubrir. La confidencialidad directa perfecta (PFS) garantiza la derivacin independiente de cada clave. De esta manera, es posible asegurar que si se descubre una clave, no se podrn descubrir las restantes. Si activa PFS, puede especificar que se utilice el mtodo Diffie-Hellman group1, group2 o group5.
Nota

Si el router no admite el grupo 5, no aparecer en la lista.

Activar inyeccin de ruta inversa


La inyeccin de ruta inversa (RRI) se usa para poblar la tabla de enrutamiento de un router interno que ejecute el protocolo OSPF (Open Shortest Path First) o RIP (Routing Information Protocol) para clientes VPN remotos o sesiones de LAN a LAN. La inyeccin de ruta inversa agrega dinmicamente rutas estticas a los clientes conectados al servidor Easy VPN.
Gua del usuario de Cisco Router and Security Device Manager 2.4

15-6

OL-9963-04

Captulo 15

Seguridad IP Polticas IPSec

Agregar o editar el mapa criptogrfico: Informacin del par


Un mapa criptogrfico incluye los nombres de host o direcciones IP de los pares implicados en la asociacin de seguridad. Esta pantalla permite agregar y quitar homlogos asociados a este mapa criptogrfico. Varios pares proporcionan al router varias rutas para los datos cifrados. Si desea: Agregar un par a la Lista actual. Quitar un par de la Lista actual. Haga lo siguiente: Especifique la direccin IP o el nombre de host del par y haga clic en Agregar. Seleccione el homlogo y haga clic en Quitar.

Agregar o editar el mapa criptogrfico: Conjuntos de transformacin


Utilice esta ventana para agregar y editar el conjunto de transformacin utilizado en el mapa criptogrfico. Un mapa criptogrfico incluye los nombres de host o direcciones IP de los pares implicados en la asociacin de seguridad. Varios pares proporcionan al router varias rutas para los datos cifrados. No obstante, los dispositivos situados a ambos extremos de la conexin VPN deben utilizar el mismo conjunto de transformacin. Utilice el Asistente para mapas criptogrficos si es suficiente para el router ofrecer un mapa criptogrfico con un conjunto de transformacin. Utilice Agregar nuevo mapa criptogrfico... con la casilla de verificacin Utilizar el asistente para agregar desactivada si desea configurar manualmente un mapa criptogrfico con varios conjuntos de transformacin (hasta seis) para asegurarse de que el router pueda ofrecer un conjunto de transformacin que el par con el que est negociando pueda aceptar. Si ya se encuentra en el Asistente para mapas criptogrficos, salga del asistente, desactive Utilizar el asistente para agregar y haga clic en Agregar nuevo mapa criptogrfico... Tambin puede ordenar los conjuntos de transformacin si configura manualmente un mapa criptogrfico con varios conjuntos de transformacin. ste ser el orden en que el router los utilizar para negociar el conjunto de transformacin que se utilizar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-7

Captulo 15 Polticas IPSec

Seguridad IP

Conjuntos de transformacin disponibles


Conjuntos de transformacin configurados disponibles para su utilizacin en mapas criptogrficos. En el Asistente para mapas criptogrficos, los conjuntos de transformacin disponibles estn incluidos en la lista desplegable Seleccionar conjunto de transformacin. Si no se ha configurado ningn conjunto de transformacin en el router, esta lista slo contendr los conjuntos de transformacin proporcionados por Cisco SDM.

Nota

No todos los routers admiten todos los conjuntos de transformacin (tipos de cifrado). Los conjuntos de transformacin no admitidos no aparecern en la ventana. No todas las imgenes de IOS admiten todos los conjuntos de transformacin que Cisco SDM admite. Los conjuntos de transformacin que la imagen del IOS no admita no aparecern en la ventana. Si el cifrado de hardware est activado, slo aparecern en la ventana los conjuntos de transformacin admitidos tanto por el cifrado de hardware como por la imagen del IOS.

Detalles del conjunto de transformacin seleccionado (Asistente para mapas criptogrficos nicamente)
Muestra el nombre, cifrado, caractersticas de autenticacin y otros parmetros del mapa criptogrfico seleccionado. Si este icono aparece al lado del conjunto de transformacin, dicho conjunto es de slo lectura y no puede editarse.

Conjuntos de transformacin seleccionados en el orden de preferencia (Configuracin manual del mapa criptogrfico nicamente)
Los conjuntos de transformacin seleccionados para este mapa criptogrfico, en el orden en que se utilizarn. Durante las negociaciones con un par, el router ofrecer los conjuntos de transformacin en el orden indicado en la lista. Puede utilizar los botones de flecha hacia arriba y hacia abajo para cambiar el orden de la lista.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-8

OL-9963-04

Captulo 15

Seguridad IP Polticas IPSec

Qu desea hacer? (Asistente para mapas criptogrficos nicamente)

Si desea: Utilizar el conjunto de transformacin seleccionado para el mapa criptogrfico. Utilizar otro conjunto de transformacin existente.

Haga lo siguiente: Haga clic en Siguiente.

Seleccinelo en la lista Seleccionar conjunto de transformacin y haga clic en Siguiente.

Utilizar un conjunto de transformacin Haga clic en Agregar y cree el conjunto de transformacin en nuevo. la ventana Agregar conjunto de transformacin. A continuacin, regrese a esta ventana y haga clic en Siguiente. Editar el conjunto de transformacin seleccionado. Agregar ms conjuntos de transformacin a este mapa criptogrfico. Probablemente desee agregar ms conjuntos de transformacin para asegurarse de que el router pueda ofrecer un conjunto de transformacin que el homlogo acepte utilizar. Haga clic en Editar y edite el conjunto de transformacin en la ventana Editar conjunto de transformacin. Salga del Asistente para mapas criptogrficos, desmarque Utilizar el asistente para agregar y haga clic en Agregar mapa criptogrfico. La ficha Conjunto de transformacin le permitir agregar y ordenar conjuntos de transformacin.

Qu desea hacer? (Configuracin manual del mapa criptogrfico nicamente)

Si desea:

Haga lo siguiente:

Agregar un conjunto de transformacin Seleccione un conjunto de transformacin en el cuadro al cuadro Conjuntos de transformacin Conjuntos de transformacin disponibles y haga clic en el botn de flecha hacia la derecha. seleccionados. Quitar un conjunto de transformacin del cuadro Conjuntos de transformacin seleccionados. Seleccione el conjunto de transformacin que desee quitar y haga clic en el botn de flecha hacia la izquierda.

Cambiar el orden de preferencia de los Seleccione un conjunto de transformacin y haga clic en los botones de flecha hacia arriba o hacia abajo. conjuntos de transformacin seleccionados.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-9

Captulo 15 Polticas IPSec

Seguridad IP

Si desea:

Haga lo siguiente:

Agregar un conjunto de transformacin Haga clic en Agregar y configure el conjunto de a la lista Conjuntos de transformacin transformacin en la ventana Agregar conjunto de transformacin. disponibles. Editar un conjunto de transformacin Haga clic en Editar y configure el conjunto de en la lista Conjuntos de transformacin transformacin en la ventana Editar conjunto de transformacin. disponibles.

Agregar o editar el mapa criptogrfico: Trfico de proteccin


Puede configurar el mapa criptogrfico para proteger todo el trfico (Asistente para mapas criptogrficos nicamente) o seleccionar una regla IPSec para proteger el trfico especificado.

Proteger todo el trfico entre las subredes siguientes (Asistente para mapas criptogrficos nicamente)
Utilice esta opcin para especificar una nica subred de origen (una subred en la LAN) cuyo trfico desee cifrar y una subred de destino admitida por el par especificado en la ventana Pares. No se cifrar el trfico que fluya entre otras subredes de origen y de destino.
Origen

Especifique la direccin de subred cuyo trfico saliente desee proteger e indique la mscara de subred. Puede seleccionar una mscara de subred en la lista o bien escribir una mscara personalizada. El nmero de subred y la mscara deben especificarse en formato de decimales con puntos. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred. Se cifrar todo el trfico que provenga de esta subred de origen y tenga una direccin IP de destino en la subred de destino.
Destino

Especifique la direccin de la subred de destino e indique la mscara de dicha subred. Puede seleccionar una mscara de subred en la lista o bien escribir una mscara personalizada. El nmero de subred y la mscara deben especificarse en formato de decimales con puntos. Se cifrar todo el trfico que se dirija a los hosts en esta subred.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-10

OL-9963-04

Captulo 15

Seguridad IP Polticas IPSec

Regla IPSec (Crear o seleccionar una lista de acceso para el trfico IPSec)
Puede agregar o cambiar la regla IPSec utilizada en este mapa criptogrfico. Utilice esta opcin si necesita especificar varios orgenes y destinos o tipos especficos de trfico para cifrar. Una regla IPSec puede estar formada por varias entradas, cada una de ellas especificando diferentes tipos de trfico y diferentes orgenes y destinos. Todos los paquetes que no coincidan con los criterios especificados en la regla IPSec se enviarn sin cifrar.

Nota

Si va a agregar una regla IPSec para una conexin VPN que utiliza una interfaz de tnel, es preciso que la regla especifique los mismos origen y destino que la configuracin del tnel. Para agregar o cambiar la regla IPSec del mapa criptogrfico, haga clic en el botn a la derecha del campo Regla IPSec y seleccione una de las siguientes opciones:

Seleccionar una regla existente (ACL): si la regla que desea utilizar ya se ha creado, seleccinela y, a continuacin, haga clic en Aceptar. Cree una nueva regla (ACL) y seleccione: si la regla que necesita no se ha creado, cree la regla y, a continuacin, haga clic en Aceptar. Ninguna: si desea borrar una asociacin de reglas. El campo Regla IPSec muestra el nombre de la regla IPSec que se utiliza, pero si selecciona Ninguna, el campo se queda en blanco.

Otra forma de agregar o cambiar la regla IPSec para este mapa criptogrfico es introducir el nmero de la regla IPSec directamente en el campo Regla IPSec.

Nota

Las reglas IPSec debern ser reglas ampliadas y no reglas estndar. Si el nmero o el nombre especificado identifica una regla estndar, Cisco SDM mostrar un mensaje de alerta cuando haga clic en Aceptar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-11

Captulo 15 Conjuntos de mapas criptogrficos dinmicos

Seguridad IP

Conjuntos de mapas criptogrficos dinmicos


En esta ventana se muestra una lista de los conjuntos de mapas criptogrficos dinmicos configurados en el router.

Botones Agregar/Editar/Eliminar
Utilice estos botones para gestionar los mapas criptogrficos de la ventana. Si intenta eliminar un conjunto de mapas criptogrficos asociados a una poltica IPSec, Cisco SDM se lo impedir. Antes de eliminarlo, tendr que disociar el mapa criptogrfico de la poltica. Esta operacin puede efectuarse en la ventana Polticas IPSec.

Nombre
Nombre del mapa criptogrfico dinmico.

Tipo
Siempre Dinmico.

Agregar un conjunto de mapas criptogrficos dinmicos/Editar el conjunto de mapas criptogrficos dinmicos


En esta ventana puede agregar o editar un conjunto de mapas criptogrficos dinmicos.

Nombre
Si va a agregar un mapa criptogrfico dinmico, especifique el nombre en este campo. Por el contrario, si va a editarlo, este campo se desactivar y no podr cambiar el nombre.

Mapas criptogrficos en esta poltica IPSec


En esta rea se muestra una lista de los mapas criptogrficos utilizados en este conjunto. Utilice los botones Agregar, Editar o Eliminar para agregar, quitar o modificar mapas criptogrficos de la lista.
Gua del usuario de Cisco Router and Security Device Manager 2.4

15-12

OL-9963-04

Captulo 15

Seguridad IP Perfiles IPsec

Asociar mapas criptogrficos a esta poltica IPSec


Nmero de secuencia
Especifique un nmero de secuencia que permita identificar este conjunto de mapas criptogrficos. El nmero de secuencia indicado es nico y no lo puede utilizar otro conjunto de mapas criptogrficos.

Seleccione el conjunto de mapas criptogrficos dinmicos


En esta lista, seleccione un conjunto de mapas criptogrficos dinmicos que desee agregar.

Mapas criptogrficos en este conjunto de mapas criptogrficos dinmicos


Esta rea muestra una lista de nombres, nmeros de secuencia y homlogos del conjunto de mapas criptogrficos dinmicos seleccionado.

Perfiles IPsec
Esta ventana muestra una lista de los perfiles IPsec configurados en el router. Los perfiles IPSec estn formados por uno o varios conjuntos de transformacin configurados y se aplican a tneles mGRE para definir cmo se cifra el trfico en tnel.

Nombre
Nombre del perfil IPSec.

Conjunto de transformacin
Conjunto de transformacin utilizado en este perfil.

Descripcin
Descripcin del perfil IPSec.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-13

Captulo 15 Perfiles IPsec

Seguridad IP

Agregar
Haga clic para agregar un perfil IPSec nuevo.

Editar
Seleccione un perfil existente y haga clic en Editar para cambiar la configuracin del perfil.

Eliminar
Haga clic en este botn para editar un perfil IPSec seleccionado. Si el perfil que va a eliminar se est utilizando actualmente en un tnel DMVPN, deber configurar el tnel DMVPN para que utilice otro perfil IPSec.

Detalles del perfil IPSec.


Esta rea muestra la configuracin del perfil IPsec seleccionado. Para obtener una descripcin de la informacin que se muestra en esta rea, consulte Agregar o editar un perfil IPSec.

Agregar o editar un perfil IPSec


Especifique la informacin para crear un perfil IPSec en este dilogo. Un perfil IPSec especifica cules conjuntos de transformacin se usarn, cmo se determinar el tiempo de vida de la asociacin de seguridad (SA) e informacin adicional.

Columnas de conjunto de transformacin


Use las dos columnas que se encuentran en la parte superior del dilogo para especificar los conjuntos de transformacin que desea incluir en el perfil. La columna izquierda contiene los conjuntos de transformacin configurados en el router. Para agregar al perfil un conjunto de transformacin configurado, seleccinelo y haga clic en el botn >>. Si no hay conjuntos de transformacin en la columna izquierda, o si necesita un conjunto de transformacin que no se ha creado, haga clic en Agregar y cree el conjunto de transformacin en el dilogo que aparece.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-14

OL-9963-04

Captulo 15

Seguridad IP Perfiles IPsec

Asociacin del perfil IKE


Si desea asociar un perfil IKE con esta poltica IPSec, seleccione un perfil existente de la lista. Si ya se ha asociado un perfil IKE, este campo es de slo lectura.

Tiempo de vida de SA de IPSec basado en tiempo


Haga clic en Tiempo de vida de SA de IPSec basado en tiempo si desea que se establezca una nueva SA despus de transcurrido un perodo de tiempo establecido. Especifique el perodo de tiempo en los campos HH:MM:SS que se encuentran a la derecha.

Tiempo de vida de SA de IPSec basado en volumen de trfico


Haga clic en Tiempo de vida de SA de IPSec basado en volumen de trfico si desea que se establezca una nueva SA despus de que una cantidad de trfico especificada haya pasado a travs del tnel IPSec. Especifique el nmero de kilobytes que debe pasar por el tnel antes de quitar una SA existente y establecer una nueva.

Tiempo de inactividad de SA de IPSec


Haga clic en Tiempo de inactividad de SA de IPSec si desea que se establezca una nueva SA despus de que el par haya estado inactivo durante un tiempo especfico. Especifique el perodo de tiempo de inactividad en los campos HH:MM:SS que se encuentran a la derecha.

Confidencialidad directa perfecta


Haga clic en Confidencialidad directa perfecta si IPSec debe requerir confidencialidad directa perfecta (PFS) al solicitar nuevas asociaciones de seguridad para esta interfaz de plantilla virtual, o si debe requerir PFS en solicitudes recibidas desde el par. Puede especificar los valores siguientes:

grupo 1: el grupo de mdulos principales Diffie-Hellman de 768 bits se usa para cifrar la solicitud PFS. grupo 2: el grupo de mdulos principales Diffie-Hellman de 1024 bits se usa para cifrar la solicitud PFS. grupo 5: el grupo de mdulos principales Diffie-Hellman de 1536 bits se usa para cifrar la solicitud PFS.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-15

Captulo 15 Perfiles IPsec

Seguridad IP

Agregar un perfil IPSec/Editar el perfil IPSec y Agregar mapa criptogrfico dinmico


Utilice esta ventana para agregar o editar un perfil IPSec o para agregar un mapa criptogrfico dinmico.

Nombre
Especifique un nombre para este perfil.

Conjuntos de transformacin disponibles


Esta columna muestra una lista de los conjuntos de transformacin configurados en este router. Para agregar un conjunto de transformacin de esta lista a la columna Conjuntos de transformacin seleccionados, seleccione un conjunto de transformacin y haga clic en el botn de flecha hacia la derecha (>>). Si necesita configurar un conjunto de transformacin nuevo, haga clic en el nodo Grupos de transformacin del rbol de IPSec para ir a la ventana Grupos de transformacin. En esta ventana, haga clic en Agregar para crear un conjunto de transformacin nuevo.

Conjuntos de transformacin seleccionados


Esta columna muestra una lista de los conjuntos de transformacin utilizados en este perfil. Puede seleccionar varios conjuntos de transformacin para que el router que est configurando y el router del otro extremo del tnel puedan negociar acerca del conjunto que van a utilizar.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-16

OL-9963-04

Captulo 15

Seguridad IP Conjunto de transformacin

Conjunto de transformacin
Esta pantalla permite ver y transformar conjuntos de transformacin, as como agregar conjuntos de transformacin nuevos y editar o quitar los ya existentes. Un conjunto de transformacin es una combinacin particular de algoritmos y protocolos de seguridad. Durante la negociacin de la asociacin de seguridad IPSec, los homlogos acuerdan utilizar un conjunto de transformacin determinado para proteger un flujo de datos concreto. Se pueden crear varios conjuntos de transformacin y, a continuacin, especificar uno o varios de ellos en una entrada de mapa criptogrfico. El conjunto de transformacin definido en la entrada del mapa criptogrfico se utilizar en la negociacin de asociacin de seguridad IPSec para proteger los flujos de datos especificados por la lista de acceso de la entrada de ese mapa criptogrfico. Durante las negociaciones de la asociacin de seguridad IPSec con IKE, los homlogos buscan un conjunto de transformacin que sea el mismo en ambos homlogos. Una vez encontrado el conjunto de transformacin, ste se selecciona y se aplica en el trfico protegido como parte de las asociaciones de seguridad IPSec de ambos homlogos.

Nombre
Nombre del conjunto de transformacin.

Cifrado ESP
Cisco SDM reconoce los siguientes tipos de cifrado ESP:

ESP_DES: ESP (Encapsulating Security Payload), DES (Data Encryption Standard). DES admite un cifrado de 56 bits. ESP_3DES: ESP, Triple DES. Forma de cifrado ms potente que DES que admite un cifrado de 168 bits. ESP_AES_128: ESP, AES (Advanced Encryption Standard). Cifrado con una clave de 128 bits. AES aporta mayor seguridad que DES y, desde un punto de vista computacional, es ms eficiente que 3DES. ESP_AES_192: ESP, cifrado AES con una clave de 192 bits. ESP_AES_256: ESP, cifrado AES con una clave de 256 bits.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-17

Captulo 15 Conjunto de transformacin

Seguridad IP

ESP_NULL: algoritmo de cifrado nulo, pero se utiliza una transformacin de cifrado. ESP_SEAL: ESP con el algoritmo de cifrado SEAL (Software Encryption Algorithm) de clave de cifrado de 160 bits. SEAL (Software Encryption Algorithm) es un algoritmo alternativo a DES (Data Encryption Standard), 3DES (Triple DES) y AES (Advanced Encryption Standard) basados en software. El cifrado SEAL utiliza una clave de cifrado de 160 bits y ejerce menor impacto sobre la CPU, si se compara con otros algoritmos basados en software.

Integridad ESP
Indica el algoritmo de integridad que se utiliza. Esta columna contendr un valor si se configura el conjunto de transformacin para que suministre tanto integridad de datos como cifrado de los mismos. La columna puede contener uno de los valores siguientes:

ESP-MD5-HMAC: Message Digest 5, Hash-based Message Authentication Code (HMAC). ESP-SHA-HMAC: algoritmo de hash seguro, HMAC.

Integridad AH
Indica el algoritmo de integridad que se utiliza. Esta columna contendr un valor si se configura el conjunto de transformacin para que suministre integridad de datos, pero no cifrado. La columna puede contener uno de los valores siguientes:

AH-MD5-HMAC: Message Digest 5. AH-SHA-HMAC: algoritmo de hash seguro.

Compresin IP
Indica si se utiliza la compresin de datos IP.

Nota

Si el router no admite la compresin IP, se desactivar este cuadro.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-18

OL-9963-04

Captulo 15

Seguridad IP Conjunto de transformacin

Modo
Esta columna puede contener uno de los valores siguientes:

Tnel: se cifran tanto los encabezados como los datos. Se trata del modo utilizado en las configuraciones VPN. Transporte: slo se cifran los datos. Este modo se utiliza cuando los puntos finales del cifrado y los de la comunicacin son los mismos.

Tipo
Puede ser Definido por el usuario o bien Cisco SDM por defecto.

Qu desea hacer?

Si desea:

Haga lo siguiente:

Agregar un conjunto de transformacin Haga clic en Agregar y cree el conjunto de transformacin en nuevo a la configuracin del router. la ventana Agregar conjunto de transformacin. Editar un conjunto de transformacin existente. Seleccione el conjunto de transformacin y haga clic en Editar. A continuacin, edite el conjunto de transformacin en la ventana Editar conjunto de transformacin.

Nota

Los conjuntos de transformacin de Cisco SDM por defecto son de slo lectura y no se pueden editar.

Eliminar un conjunto de transformacin existente.

Seleccione el conjunto de transformacin y haga clic en Eliminar.

Nota

Los conjuntos de transformacin de Cisco SDM por defecto son de slo lectura y no se pueden eliminar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-19

Captulo 15 Conjunto de transformacin

Seguridad IP

Agregar/Editar conjunto de transformacin


Utilice esta ventana para agregar o editar un conjunto de transformacin. Para obtener una descripcin de las combinaciones de transformacin permitidas y de las descripciones de las transformaciones, haga clic en Combinaciones de transformacin permitidas.

Nota

No todos los routers admiten todos los conjuntos de transformacin (tipos de cifrado). Los conjuntos de transformacin no admitidos no aparecern en la pantalla. No todas las imgenes de IOS admiten todos los conjuntos de transformacin que Cisco SDM admite. Los conjuntos de transformacin que la imagen de IOS no admita no aparecern en la pantalla. Si el cifrado de hardware est activado, slo aparecern en la pantalla los conjuntos de transformacin admitidos tanto por el cifrado de hardware como por la imagen de IOS. Los servidores Easy VPN slo admiten el modo de tnel. Los servidores Easy VPN no admiten el modo de transporte. Los servidores Easy VPN slo admiten conjuntos de transformacin con cifrado ESP. Los servidores Easy VPN no admiten el algoritmo AH. Los servidores Easy VPN no admiten el cifrado ESP-SEAL.

Nombre de este conjunto de transformacin


Puede ser cualquier nombre que desee. No es preciso que el nombre coincida con el nombre del conjunto de transformacin que utiliza el homlogo, aunque puede ser til dar a los conjuntos de transformacin correspondientes el mismo nombre.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-20

OL-9963-04

Captulo 15

Seguridad IP Conjunto de transformacin

Integridad de datos y cifrado (ESP)


Active este cuadro si desea proporcionar integridad de datos y cifrado ESP (Encapsulating Security Payload).
Algoritmo de integridad

Seleccione uno de los siguientes:


ESP_MD5_HMAC. Message Digest 5. ESP_SHA_HMAC. Algoritmo de hash seguro.

Cifrado

Cisco SDM reconoce los siguientes tipos de cifrado ESP:


ESP_DES. ESP (Encapsulating Security Payload), DES (Data Encryption Standard). DES admite un cifrado de 56 bits. ESP_3DES. ESP, Triple DES. Forma de cifrado ms potente que DES que admite un cifrado de 168 bits. ESP_AES_128. ESP, AES (Advanced Encryption Standard). Cifrado con una clave de 128 bits. AES aporta mayor seguridad que DES y, desde un punto de vista computacional, es ms eficiente que 3DES. ESP_AES_192. ESP, cifrado AES con clave de 192 bits. ESP_AES_256. ESP, cifrado AES con clave de 256 bits. ESP_SEAL: ESP con el algoritmo de cifrado SEAL (Software Encryption Algorithm) de clave de cifrado de 160 bits. SEAL (Software Encryption Algorithm) es un algoritmo alternativo a DES (Data Encryption Standard), 3DES (Triple DES) y AES (Advanced Encryption Standard) basados en software. El cifrado SEAL utiliza una clave de cifrado de 160 bits y ejerce menor impacto sobre la CPU, si se compara con otros algoritmos basados en software. ESP_NULL. Algoritmo de cifrado nulo, pero se utiliza una transformacin de cifrado.

Nota

Los tipos de cifrado ESP disponibles dependen del router. Segn el tipo de router que se configure, es posible que uno o varios tipos de cifrado no estn disponibles.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-21

Captulo 15 Conjunto de transformacin

Seguridad IP

Integridad de datos y direccin sin cifrado (AH)


Esta casilla de verificacin y los campos situados debajo de ella aparecen si hace clic en Mostrar opciones avanzadas. Active este cuadro si desea que el router proporcione integridad de datos y direccin AH (encabezado de autenticacin). El encabezado de autenticacin no se cifrar.
Algoritmo de integridad

Seleccione uno de los siguientes:


AH_MD5_HMAC: Message Digest 5. AH_SHA_HMAC: algoritmo de hash seguro.

Modo
Seleccione las partes del trfico que desea cifrar:

Transporte (cifrar datos solamente): el modo de transporte se utiliza cuando los dos puntos finales admiten IPSec. Este modo pone AH o ESP despus del encabezado IP original; por consiguiente, slo se cifrar la carga til de IP. Este mtodo permite a los usuarios aplicar servicios de red como controles de calidad de servicio (QoS) a paquetes cifrados. El modo de transporte slo debe utilizarse cuando el destino de los datos es siempre el homlogo VPN remoto. Tnel (cifrar datos y encabezado IP): el modo de tnel proporciona una mayor proteccin que el modo de transporte. Dado que todo el paquete IP se encapsula en AH o ESP, se adjunta un encabezado IP nuevo y se puede cifrar el datagrama completo. El modo de tnel permite a los dispositivos de red, como un router por ejemplo, actuar como proxy IPSec para varios usuarios de VPN. En estas configuraciones debe utilizarse el modo de tnel.

Compresin IP (COMP-LZS)
Active este cuadro si desea utilizar la compresin de datos.

Nota

No todos los routers admiten la compresin IP. Si el router no admite la compresin IP, se desactivar este cuadro.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-22

OL-9963-04

Captulo 15

Seguridad IP Reglas IPSec

Reglas IPSec
Esta ventana muestra las reglas IPSec configuradas para este router. Las reglas IPSec definen el trfico IPSec que se cifrar. La parte superior de la ventana muestra una lista de las reglas de acceso definidas. La parte inferior muestra las entradas de la regla de acceso seleccionada en la lista de reglas. Las reglas IPSec contienen informacin del tipo de servicio y de la direccin IP. Los paquetes que cumplen los criterios especificados en la regla se cifran. Los paquetes que no cumplen los criterios especificados se envan sin cifrar.

Nombre/Nmero
Nombre o nmero de esta regla.

Usado por
Mapas criptogrficos en los que se utiliza esta regla.

Tipo
Las reglas IPSec deben especificar el origen y el destino y deben poder especificar el tipo de trfico que el paquete contiene. Por consiguiente, las reglas IPSec son reglas ampliadas.

Descripcin
Descripcin textual de la regla, si est disponible.

Accin
Puede ser Permitir o Denegar. Permitir significa que los paquetes que cumplen los criterios de estas reglas se protegen mediante cifrado. Denegar significa que los paquetes que cumplen los criterios se envan sin cifrar. Para obtener ms informacin, consulte Significados de las palabras clave permit y deny.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

15-23

Captulo 15 Reglas IPSec

Seguridad IP

Origen
Direccin IP o palabra clave que especifica el origen del trfico. Cualquiera especifica que el origen puede ser cualquier direccin IP. La direccin IP de esta columna puede aparecer sola o seguida por una mscara comodn. En caso de haber una mscara inversa, sta indica las porciones de la direccin IP que la direccin IP de origen debe respetar. Para obtener ms informacin, consulte Direcciones IP y mscaras de subred.

Destino
Direccin IP o palabra clave que especifica el destino del trfico. Cualquiera especifica que el destino puede ser cualquier direccin IP. La direccin IP de esta columna puede aparecer sola o seguida por una mscara comodn. En caso de haber una mscara inversa, sta indica las porciones de la direccin IP que la direccin IP de destino debe respetar.

Servicio
Tipo de trfico que el paquete debe contener.

Qu desea hacer?

Si desea: Buscar en las entradas de la regla de acceso una regla determinada. Agregar una regla IPSec. Eliminar una regla IPSec. Eliminar una entrada de regla determinada.

Haga lo siguiente: Seleccione la regla en la lista de reglas. Las entradas de la regla aparecern en el cuadro inferior. Haga clic en Agregar y cree la regla en la ventana de regla que aparece. Seleccione la regla en la lista de reglas y haga clic en Eliminar. Seleccione la regla en la lista de reglas y haga clic en Editar. Luego, elimine la entrada en la ventana de regla que aparece.

Aplicar una regla IPSec a una interfaz. Aplique la regla en la ventana de configuracin de la interfaz.

Gua del usuario de Cisco Router and Security Device Manager 2.4

15-24

OL-9963-04

CAPTULO

16

Intercambio de claves por Internet


Los temas de ayuda en esta seccin describen las pantallas de configuracin del Intercambio de claves por Internet (IKE).

Intercambio de claves por Internet (IKE)


El Intercambio de claves por Internet (IKE) es un mtodo estndar para organizar comunicaciones seguras y autenticadas. IKE establece claves de sesin (y una configuracin asociada criptogrfica y de trabajo en red) entre dos hosts de la red. Cisco SDM permite crear polticas IKE para proteger las identidades de pares durante la autenticacin, Cisco SDM tambin permite crear claves previamente compartidas que los pares intercambiarn.

Qu desea hacer?

Si desea: Obtener ms informacin acerca de IKE. Activar IKE. Para utilizar las negociaciones IKE, es preciso activar IKE para conexiones VPN.

Haga lo siguiente: Haga clic en Informacin adicional acerca de IKE. Haga clic en Configuracin global y, a continuacin, en Editar para activar IKE y efectuar configuraciones globales de IKE.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-1

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

Si desea: Crear una poltica IKE. Cisco SDM proporciona una poltica IKE por defecto, aunque no hay garanta de que la del par sea la misma. Es aconsejable configurar ms polticas IKE a fin de que el router pueda ofrecer una poltica IKE que el par pueda aceptar. Crear una clave previamente compartida. Si se utiliza IKE, los pares de los extremos debern intercambiar una clave previamente compartida para autenticarse entre s. Crear un perfil IKE.

Haga lo siguiente: Haga clic en el nodo Poltica IKE del rbol de VPN. Consulte el apartado Polticas IKE para obtener ms informacin.

Haga clic en el nodo Clave previamente compartida del rbol de VPN. Consulte el apartado Claves previamente compartidas de IKE para obtener ms informacin. Haga clic en el nodo Perfil IKE del rbol VPN. Consulte el apartado Perfiles IKE para obtener ms informacin.

Polticas IKE
Es preciso proteger las negociaciones IKE; por consiguiente, cada negociacin IKE empieza con la configuracin de una poltica IKE comn (compartida) en ambos pares. Esta poltica indica qu parmetros de seguridad se utilizarn para proteger las negociaciones IKE posteriores. Esta ventana muestra las polticas IKE configuradas en el router y adems permite agregar, editar y quitar polticas IKE de la configuracin del router. Si no hay ninguna poltica IKE configurada en el router, esta ventana mostrar la poltica IKE por defecto. Una vez que los dos pares hayan acordado el uso de una poltica comn, una asociacin de seguridad establecida en cada par identificar los parmetros de seguridad de la mencionada poltica. Estas asociaciones de seguridad se aplicarn durante la negociacin a todo el trfico IKE posterior. Las polticas IKE de esta lista estn disponibles para todas las conexiones VPN.

Prioridad
Nmero entero que indica la prioridad de la poltica en relacin con otras polticas IKE configuradas. Asigne los nmeros ms bajos a las polticas IKE que prefiere que utilice el router. Durante las negociaciones, el router ofrecer primero dichas polticas.
Gua del usuario de Cisco Router and Security Device Manager 2.4

16-2

OL-9963-04

Captulo 16

Intercambio de claves por Internet Intercambio de claves por Internet (IKE)

Cifrado
Tipo de cifrado que debe utilizarse para comunicarse con esta poltica IKE.

Hash
Algoritmo de autenticacin para negociacin. Se puede elegir entre dos valores:

Algoritmo de hash seguro (SHA) Message Digest 5 (MD5)

Autenticacin
Mtodo de autenticacin que se utilizar.

Pre-SHARE. La autenticacin se ejecutar mediante claves previamente compartidas. RSA_SIG. La autenticacin se ejecutar mediante firmas digitales.

Tipo
Puede ser SDM_DEFAULT o bien definido por el usuario. Las polticas SDM_DEFAULT no se pueden editar.

Qu desea hacer?

Si desea:

Haga lo siguiente:

Obtener ms informacin acerca de las Consulte Informacin adicional acerca de las polticas IKE. polticas IKE. Agregar una poltica IKE a la configuracin del router. Cisco SDM proporciona una poltica IKE por defecto, aunque no hay garanta de que la del par sea la misma. Es aconsejable configurar ms polticas IKE a fin de que el router pueda ofrecer una poltica IKE que el par pueda aceptar. Haga clic en Agregar y configure una poltica IKE nueva en la ventana Agregar una poltica IKE.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-3

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

Si desea: Editar una poltica IKE existente.

Haga lo siguiente: Seleccione la poltica IKE que desea modificar y haga clic en Editar. A continuacin, edite la poltica IKE en la ventana Poltica IKE. Las polticas IKE por defecto son de slo lectura. No se pueden editar.

Quitar una poltica IKE de la configuracin del router.

Seleccione la poltica IKE que desee quitar y haga clic en Quitar.

Agregar o editar una poltica IKE


En esta ventana puede agregar o editar o una poltica IKE.

Nota

No todos los routers admiten todos los tipos de cifrado. Los tipos que no se admitan no aparecern en la pantalla. No todas las imgenes de IOS admiten todos los tipos de cifrado que Cisco SDM admite. Los tipos que la imagen de IOS no admita no aparecern en la pantalla. Si el cifrado de hardware est activado, slo aparecern en la pantalla los tipos de cifrado admitidos tanto por el cifrado de hardware como por la imagen de IOS.

Prioridad
Nmero entero que indica la prioridad de la poltica en relacin con otras polticas IKE configuradas. Asigne los nmeros ms bajos a las polticas IKE que prefiere que utilice el router. Durante las negociaciones, el router ofrecer primero dichas polticas.

Gua del usuario de Cisco Router and Security Device Manager 2.4

16-4

OL-9963-04

Captulo 16

Intercambio de claves por Internet Intercambio de claves por Internet (IKE)

Cifrado
Tipo de cifrado que debe utilizarse para comunicarse con esta poltica IKE. Cisco SDM admite varios tipos de cifrado, ordenados segn su seguridad en una lista. Cuanto ms seguro sea un tipo de cifrado, ms tiempo de proceso necesitar.

Nota

Si el router no admite un tipo de cifrado, ste no aparecer en la lista. Cisco SDM admite los tipos de cifrado siguientes:

DES (Data Encryption Standard): admite un cifrado de 56 bits. 3DES (Triple Data Encryption Standard): forma de cifrado ms potente que DES; admite un cifrado de 168 bits. AES-128: cifrado AES con una clave de 128 bits. Aporta mayor seguridad que DES y, desde un punto de vista computacional, es ms eficiente que 3DES. AES-192: cifrado AES con una clave de 192 bits. AES-256: cifrado AES con una clave de 256 bits.

Hash
Algoritmo de autenticacin que se utilizar para negociar. Existen dos opciones:

Algoritmo de hash seguro (SHA) Message Digest 5 (MD5)

Autenticacin
Mtodo de autenticacin que se utilizar.

Pre-SHARE. La autenticacin se ejecutar mediante claves previamente compartidas. RSA_SIG. La autenticacin se ejecutar mediante firmas digitales.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-5

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

grupo D-H
Grupo Diffie-Hellman (D-H). Diffie-Hellman es un protocolo de criptografa de clave pblica que permite a dos routers establecer un secreto compartido en un canal de comunicaciones que no es seguro. Las opciones son:

group1: grupo D-H de 768 bits. Group D-H 1. group2: grupo D-H de 1.024 bits. Group D-H 2. Este grupo brinda ms seguridad que el grupo 1, aunque necesita ms tiempo de procesamiento. group5: grupo D-H de 1536 bits. Group D-H 5. Este grupo brinda ms seguridad que el grupo 2, aunque necesita ms tiempo de procesamiento.

Nota

Si el router no admite el grupo 5, no aparecer en la lista. Los servidores Easy VPN no admiten el Grupo D-H 1.

Duracin
Duracin de la asociacin de seguridad, indicada en horas, minutos y segundos. El valor por defecto es un da o 24:00:00.

Claves previamente compartidas de IKE


Esta ventana permite ver, agregar, editar y quitar claves previamente compartidas de IKE en la configuracin del router. Durante la negociacin IKE, se intercambia una clave previamente compartida con un par remoto. Ambos pares deben configurarse con la misma clave.

Icono

Si una clave compartida previamente es de slo lectura, aparecer el icono correspondiente en esta columna. Una clave compartida previamente se marcar como de slo lectura si se configura con la opcin de CLI no-Xauth (sin Xauth)

Gua del usuario de Cisco Router and Security Device Manager 2.4

16-6

OL-9963-04

Captulo 16

Intercambio de claves por Internet Intercambio de claves por Internet (IKE)

Nombre/IP del par


Nombre o direccin IP de un par con el que se comparte esta clave. Si se suministra una direccin IP, puede especificar todos los pares de una red o subred, o simplemente un host individual. Si, por el contrario, se especifica un nombre, la clave slo se compartir con el par indicado.

Mscara de red
La mscara de red especifica qu porcin de la direccin IP del par se utiliza para la direccin de red y qu parte se emplea para la direccin del host. As, la mscara de red 255.255.255.255 indica que la direccin IP del par es una direccin de un host especfico. Una mscara de red que contiene ceros en los bytes menos significativos indica que la direccin IP del par es una direccin de subred o de red. As, por ejemplo, una mscara de red 255.255.248.0 indica que los primeros 22 bits de la direccin se utilizan para la direccin de red, mientras que los ltimos 10 bits sirven para indicar la parte del host de la red.

Clave previamente compartida


La clave previamente compartida no se puede leer en las ventanas de Cisco SDM. Si necesita examinar la clave previamente compartida, vaya a Vista -> Configuracin en ejecucin. Esto mostrar la configuracin en ejecucin. La clave est contenida en el comando crypto isakmp key. Si desea: Agregar una clave previamente compartida a la configuracin del router. Editar una clave previamente compartida ya existente. Quitar una clave previamente compartida ya existente. Haga lo siguiente: Haga clic en Agregar y agregue la clave previamente compartida en la ventana Agregar una nueva clave previamente compartida. Seleccione la clave previamente compartida y haga clic en Editar. A continuacin, edite la clave en la ventana Editar la clave previamente compartida. Seleccione la clave previamente compartida y haga clic en Quitar.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-7

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

Agregar una nueva clave previamente compartida/Editar la clave previamente compartida


Utilice esta ventana para agregar o editar una clave previamente compartida.

Clave
Cadena alfanumrica que se intercambiar con el par remoto. Es preciso que la misma clave est configurada en el par remoto. La clave proporcionada tiene que ser difcil de adivinar. Los signos de interrogacin (?) y los espacios no pueden utilizarse en la clave previamente compartida.

Vuelva a especificar la clave


A modo de confirmacin, vuelva a introducir la cadena que ha especificado en el campo Clave.

Par
Seleccione Nombre de host si desea que la clave se aplique a un host especfico. Seleccione Direccin IP si desea especificar una red o subred o bien si desea introducir la direccin IP de un host especifico debido a que no hay ningn servidor DNS para convertir los nombres de host en direcciones IP

Nombre de host
Este campo aparece si ha seleccionado Nombre de host en el campo Par. Especifique el nombre de host del par. La red debe contar con un servidor DNS que pueda convertir el nombre de host en una direccin IP.

Direccin IP/mscara de subred


Estos campos aparecen si ha seleccionado Direccin IP en el campo Par. Especifique la direccin IP de una red o subred en el campo Direccin IP. La clave previamente compartida se aplicar a todos los pares de la red o subred. Si desea obtener ms informacin, consulte Direcciones IP y mscaras de subred. Especifique una mscara de subred si la direccin IP que ha indicado es una direccin de subred y no la direccin de un host especfico.

Gua del usuario de Cisco Router and Security Device Manager 2.4

16-8

OL-9963-04

Captulo 16

Intercambio de claves por Internet Intercambio de claves por Internet (IKE)

Autenticacin de usuario [Xauth]


Marque esta casilla si los pares VPN de sitio a sitio utilizan Xauth para autenticarse a s mismos. Si la autenticacin de Xauth est activada en Configuracin VPN global, estar activado tanto para pares de sitio a sitio como para conexiones Easy VPN.

Perfiles IKE
Los perfiles IKE, tambin denominados perfiles ISAKMP, permiten definir un conjunto de parmetros IKE que puede asociar con uno o ms tneles IPsec. Un perfil IKE aplica parmetros a una conexin IPSec entrante identificada exclusivamente a travs de su concepto de comparar los criterios de identidad. Estos criterios se basan en la identidad IKE que se presenta mediante conexiones IKE entrantes e incluye una direccin IP, nombre de dominio completamente calificado (FQDN), y grupo (la agrupacin de clientes remotos de la red privada virtual [VPN]). Para obtener ms informacin acerca de los perfiles ISAKMP y sobre cmo se configuran mediante el CLI de Cisco IOS, vaya a Cisco.com y siga esta ruta: Productos y Servicios > Software Cisco IOS > Seguridad Cisco IOS > IPSec Cisco IOS > Documentacin delProducto > InformesTcnicos > Aspectos generales ISAKMP Perfil ISAKMP

Perfiles IKE
El rea de la pantalla Perfiles IKE incluye una lista de los perfiles IKE configurados e incluye el nombre del perfil, el perfil IPsec utilizado y una descripcin del perfil si se ha proporcionado uno. Si ningn perfil IPsec utiliza el perfil IKE seleccionado, aparece el valor <ninguno> en la columna Usado por. Cuando utiliza SDM para crear una configuracin de servidor Easy VPN, los perfiles IKE se crean automticamente, denominados por SDM, y se muestran en la lista.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-9

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

Detalles del perfil IKE


El rea de detalles de la pantalla incluye una lista de los valores de configuracin para el perfil seleccionado. Se puede utilizar para ver detalles sin hacer clic en el botn Editar ni mostrar un dilogo adicional. Si necesita realizar cambios, haga clic en Editar e introduzca los cambios que requiera en el dilogo que aparece. Haga clic en Agregar o editar un perfil IKE para conocer detalles sobre la informacin que se muestra en esta rea.

Agregar o editar un perfil IKE


Especifique la informacin y realice la configuracin en este dilogo para crear un perfil IKE y asociarlo con una interfaz de tnel virtual.

Nombre del perfil IKE


Especifique un nombre para este perfil IKE. Si se est editando un perfil, se activa este campo.

Interfaz de tnel virtual


Seleccione la interfaz de tnel virtual a la cual desea asociar este perfil IKE en la lista de interfaces de tnel virtual. Si necesita crear una interfaz de tnel virtual, haga clic en Agregar y cree la interfaz en el dilogo que aparece.

Tipo de identidad de coincidencia


El perfil IKE incluye criterios de coincidencia que permiten al router identificar las conexiones entrantes y salientes a las cuales se aplicarn los parmetros de conexin IKE. Los criterios de coincidencia se pueden aplicar actualmente a los grupos VPN. El grupo se selecciona automticamente en el campo Tipo de identidad de coincidencia. Haga clic en Agregar para crear una lista de los grupos que desea incluir en los criterios de coincidencia. Seleccione Agregar nombre de grupo externo para agregar el nombre a un grupo que no est configurado en el router y, a continuacin, especifique el nombre en el dilogo que aparece. Elija Seleccionar entre los grupos locales para agregar el nombre de un grupo que est configurado en el router. En el dilogo que aparece, seleccione la casilla al lado del grupo que desea agregar. Si todos los grupos locales se usan en otros perfiles IKE, SDM le informa que todos los grupos han sido seleccionados.
Gua del usuario de Cisco Router and Security Device Manager 2.4

16-10

OL-9963-04

Captulo 16

Intercambio de claves por Internet Intercambio de claves por Internet (IKE)

Configuracin de modo
Seleccione Responder en el campo Configuracin de modos si el router responder a solicitudes de configuracin de modos. Seleccione Iniciar si el router iniciar solicitudes de configuracin de modos. Seleccione Ambos si el router iniciar y responder a solicitudes de configuracin de modos.

Poltica de autorizacin de bsqueda de polticas de grupo


Debe especificar una poltica de autorizacin que controle el acceso a informacin de polticas de grupo en el servidor AAA. Seleccione por defecto si desea otorgar acceso a informacin de bsqueda de polticas de grupo. Para especificar una poltica, seleccione una poltica existente en la lista o haga clic en Agregar para crear una poltica en el dilogo que aparece.

Poltica de autenticacin de usuario


Puede especificar una poltica de autenticacin de usuario que se utilizar para conexiones a Xauth. Seleccione por defecto si desea permitir conexiones XAuth. Para especificar una poltica para controlar conexiones XAuth, seleccione una poltica existente en la lista o haga clic en Agregar para crear una poltica en el dilogo que aparece.

Descubrimiento de par inactivo


Haga clic en Descubrimiento de par inactivo para que el router pueda enviar mensajes de descubrimiento de par inactivo (DPD) a los pares. Si un par no responde a los mensajes DPD, se rechaza la conexin. Especifique el nmero de segundos entre los mensajes PDP en el campo Intervalo keepalive. El intervalo oscila entre 1 y 3600 segundos. En el campo Reintentos, especifique el nmero de segundos entre reintentos si fallan los mensajes PDP. El intervalo oscila entre 2 y 60 segundos. El descubrimiento de par inactivo ayuda a administrar conexiones sin la intervencin del administrador, pero genera paquetes que ambos pares deben procesar para mantener la conexin.

Descripcin
Puede agregar una descripcin del perfil IKE que est agregando o editando.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

16-11

Captulo 16 Intercambio de claves por Internet (IKE)

Intercambio de claves por Internet

Gua del usuario de Cisco Router and Security Device Manager 2.4

16-12

OL-9963-04

CAPTULO

17

Infraestructura de clave pblica


Las ventanas de PKI (Infraestructura de clave pblica) permiten generar solicitudes de suscripcin y claves RSA, as como gestionar claves y certificados. Puede utilizar el proceso SCEP (Simple Certificate Enrollment Process) para crear una solicitud de suscripcin y un par de claves RSA y recibir certificados en lnea, o crear una solicitud de suscripcin que puede enviar a un servidor de CA (Autoridad certificadora) sin conexin. Si desea utilizar SDP (Secure Device Provisioning) para suscribirse a los certificados, consulte Secure Device Provisioning.

Asistentes para certificados


Esta ventana permite seleccionar el tipo de suscripcin que desea realizar. Tambin indica las tareas de configuracin que deben llevarse a cabo antes de comenzar la suscripcin o las tareas que Cisco recomienda efectuar antes de la suscripcin. Todo ello contribuye a la eliminacin de posibles problemas. Seleccione el mtodo de suscripcin que Cisco SDM utiliza para generar la solicitud de suscripcin.

Tareas previas
Si Cisco SDM identifica tareas de configuracin que deben establecerse antes de comenzar el proceso de suscripcin, le notificar de las mismas en este casillero. Se proporciona un enlace junto al texto de alerta para que pueda desplazarse hasta el rea correspondiente de Cisco SDM y establecer la configuracin. Si Cisco SDM no detecta la falta de configuraciones, esta casilla no aparece. Las posibles tareas previas se describen en Tareas previas para configuraciones de PKI.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-1

Captulo 17 Asistentes para certificados

Infraestructura de clave pblica

SCEP
Haga clic en este botn si puede establecer una conexin directa entre el router y el servidor de una CA. Para ello, debe conocer la direccin URL de suscripcin del servidor. El asistente realizar lo siguiente:

Recopilar informacin del usuario para configurar un punto de confianza y transmitirlo al router. Iniciar una suscripcin con el servidor de la CA especificado en el punto de confianza. Si el servidor de la CA est disponible, mostrar la huella dactilar del servidor de la CA para su aceptacin. Si acepta la huella dactilar del servidor de la CA, finalice la suscripcin.

Cortar y pegar/Import from PC (Importar de PC)


Haga clic en este botn si el router no puede establecer una conexin directa con el servidor de la CA o si desea generar una solicitud de suscripcin y enviarla a la CA en otro momento. Tras su generacin, la solicitud de suscripcin puede enviarse a una CA en otro momento. La suscripcin mediante el proceso de cortar y pegar requiere la invocacin del asistente para certificados digitales con el fin de generar una solicitud y, a continuacin, su reinvocacin despus de haber obtenido los certificados para el servidor de la CA y el router.

Nota

Cisco SDM slo admite la suscripcin mediante el proceso de cortar y pegar del tipo PKCS#10 codificado base 64. Cisco SDM no admite la importacin de suscripciones de certificados del tipo PEM y PKCS#12.

Botn Iniciar la tarea seleccionada


Haga clic en este botn para iniciar el asistente para el tipo de suscripcin que ha seleccionado. Si Cisco SDM ha detectado una tarea requerida que debe realizarse antes de comenzar la suscripcin, este botn estar desactivado. Cuando se haya completado la tarea, se activar el botn.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-2

OL-9963-04

Captulo 17

Infraestructura de clave pblica Asistentes para certificados

Bienvenido al Asistente para SCEP


Esta pantalla indica que est utilizando el asistente para SCEP (Simple Certificate Enrollment Process). Si no desea emplear SCEP, haga clic en Cancelar para abandonar el asistente. Cuando se haya finalizado el asistente y enviado los comandos al router, Cisco SDM intentar ponerse en contacto con el servidor de la CA. Si la conexin se establece, Cisco SDM mostrar una ventana de mensajes con el certificado digital del servidor.

Informacin acerca de la Autoridad certificadora (CA)


En esta ventana, proporcione informacin que permita identificar el servidor de la CA. Adems, especifique una contrasea de desafo que se enviar junto con la solicitud.

Nota

La informacin que se especifique en esta pantalla se utiliza para generar un punto de confianza, el cual se crea mediante un mtodo de comprobacin de revocacin por defecto de CRL. Si est utilizando el Asistente para SCEP con el fin de editar un punto de confianza existente y ya existe un mtodo de revocacin distinto de CRL (por ejemplo, OCSP) en este punto de confianza, Cisco SDM no lo modificar. Si necesita cambiar el mtodo de revocacin, dirjase a la ventana Certificados de router, seleccione el punto de confianza que ha configurado y haga clic en el botn Comprobar revocacin.

Apodo del servidor de la CA


El apodo del servidor de la CA es un identificador para el punto de confianza que se dispone a configurar. Especifique un nombre que le permita distinguir un punto de confianza de otro.

URL de suscripcin
Si est completando una suscripcin SCEP, debe especificar en este campo la direccin URL de suscripcin para el servidor de la CA. Por ejemplo,
http://AutoridadC/suscripcion

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-3

Captulo 17 Asistentes para certificados

Infraestructura de clave pblica

La direccin URL debe comenzar con los caracteres http://. Antes de comenzar el proceso de suscripcin, asegrese de que haya conectividad entre el router y el servidor de la CA. Este campo no aparece si est llevando a cabo una suscripcin mediante el proceso de cortar y pegar.

Contrasea de desafo y confirmar contrasea de desafo


Una contrasea de desafo puede enviarse a la CA para que se pueda utilizar en el caso de tener que revocar el certificado. Es recomendable crear dicha contrasea, ya que algunos servidores de CA no emiten certificados si la contrasea de desafo se deja en blanco. Si desea utilizar dicha contrasea, especifquela y, a continuacin vuelva a introducirla en el campo de confirmacin. La contrasea de desafo se enviar junto con la solicitud de suscripcin. Por motivos de seguridad, esta contrasea se cifra en el archivo de configuracin del router. Por lo tanto, deber anotarla y guardarla en una ubicacin que recordar. Esta contrasea tambin se conoce como una contrasea de desafo.

Botn Opciones avanzadas


Las opciones avanzadas permiten proporcionar informacin adicional para que el router pueda ponerse en contacto con el servidor de la CA.

Opciones avanzadas
Utilice esta ventana para proporcionar informacin adicional con el fin de que el router pueda ponerse en contacto con el servidor de la CA.

Defina el origen de la solicitud de certificado en una interfaz especfica


Marque esta casilla si desea especificar una interfaz especfica como origen del certificado.

Proxy HTTP y puerto HTTP


Si la solicitud de suscripcin se enva a travs del servidor proxy, especifique en estos campos la direccin IP del mismo y el nmero de puerto que deber utilizarse para las solicitudes proxy.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-4

OL-9963-04

Captulo 17

Infraestructura de clave pblica Asistentes para certificados

Atributos del nombre de asunto del certificado


Especifique la informacin opcional que desee incluir en el certificado. Una vez incluida en el certificado, podr verla todo usuario al que el router enve el certificado.

Incluir el FQDN del router en el certificado


Se recomienda que en el certificado se incluya el nombre de dominio completamente calificado del router. Marque esta casilla si desea que Cisco SDM lo incluya en la solicitud de certificado.

Nota

Si la imagen de Cisco IOS que se ejecuta en el router no admite esta funcin, esta casilla estar desmarcada.
FQDN

Si ha activado este campo, especifique en el mismo el FQDN del router. Un ejemplo de un FQDN es
sjrtr.miempresa.net

Incluir la direccin IP del router


Marque esta opcin cuando desee incluir en la solicitud de certificado una direccin IP vlida configurada en el router. Si la marca, podr especificar manualmente una direccin IP o bien seleccionar la interfaz cuya direccin IP desee utilizar.
Direccin IP

Haga clic si desea especificar una direccin IP y, en el campo que aparece, indique una direccin IP configurada en el router. Especifique una direccin IP que se haya configurado en el router o una direccin asignada al mismo.
Interfaz

Seleccione una interfaz de router cuya direccin IP desee incluir en la solicitud de certificado.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-5

Captulo 17 Asistentes para certificados

Infraestructura de clave pblica

Incluir el nmero de serie del router


Marque esta casilla cuando desee incluir el nmero de serie del router en el certificado.

Otros atributos de asunto


La informacin que especifique en esta ventana se incluir en la solicitud de suscripcin. Las CA utilizan la norma X.500 para almacenar y mantener la informacin de los certificados digitales. Todos los campos son opcionales, pero es recomendable especificar la mayor cantidad de informacin posible.

Common Name [Nombre comn (cn)]


Especifique el nombre comn que debe incluirse en este certificado. ste sera el nombre utilizado para buscar el certificado en el directorio X.500.

Organizational Unit (ou) [Unidad organizativa (ou)]


Especifique una unidad organizativa o nombre de departamento para su uso con este certificado. Por ejemplo: Desarrollo o Ingeniera podran ser unidades organizativas

Organizacin (o)
Especifique el nombre de la organizacin o empresa. Se trata del nombre de organizacin X.500.

Estado (st)
Especifique la provincia o el estado en el que se encuentra el router o la organizacin.

Pas (c)
Especifique el pas en el que se encuentra el router o la organizacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-6

OL-9963-04

Captulo 17

Infraestructura de clave pblica Claves RSA

Correo electrnico (e)


Especifique la direccin de correo electrnico que debe incluirse en el certificado del router.

Nota

Si la imagen de Cisco IOS que se ejecuta en el router no admite este atributo, el campo estar desactivado.

Claves RSA
Debe incluir una clave pblica RSA en la solicitud de suscripcin. Una vez concedido el certificado, la clave pblica se incluir en el mismo para que los homlogos la puedan utilizar con el fin de cifrar los datos que se envan al router. La clave privada se conserva en el router y se utiliza para descifrar los datos que envan los homlogos y para firmar digitalmente las transacciones durante las negociaciones con los mismos.

Generar par de claves nuevas


Haga clic en este botn cuando desee generar una clave nueva para su uso en el certificado. Al generar un par de claves, debe especificar el mdulo para determinar el tamao de la clave. Esta nueva clave aparecer en la ventana Claves RSA al finalizarse el asistente.
Mdulo

Especifique el valor del mdulo de la clave. Si desea un valor de mdulo de 512 a 1.024, especifique un valor entero que sea mltiple de 64. Si desea un valor mayor que 1.024, puede especificar 1.536 2.048. Si especifica un valor mayor que 512, es posible que la generacin de la clave tarde un minuto o ms. El mdulo determina el tamao de la clave. Cuanto mayor sea el mdulo, ms segura ser la clave. Sin embargo, las claves con mdulos grandes tardan ms tiempo en generarse. Del mismo modo, las operaciones de cifrado y descifrado se prolongan si contienen claves grandes.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-7

Captulo 17 Resumen

Infraestructura de clave pblica

Generate separate key pairs for encryption and signature (Generar pares de claves independientes para el cifrado y la firma)

Por defecto, Cisco SDM crea un par de claves de objetivo general que se utiliza para el cifrado y la firma. Si desea que Cisco SDM genere pares de claves independientes para el cifrado y la firma de documentos, marque esta casilla. Cisco SDM generar claves de uso para el cifrado y la firma.
Use existing RSA key pair (Utilizar par de claves RSA existente)

Haga clic en este botn si desea utilizar un par de claves existente y seleccione la clave en la lista desplegable.

Guardar en el Token USB


Marque la casilla de verificacin Guardar claves y certificados en un token USB seguro si desea guardar las claves y certificados RSA en un token conectado a su router. Esta opcin solamente aparece si hay un token USB conectado a su router. Seleccione el token USB del men desplegable Token USB. Especifique el PIN requerido para iniciar sesin en el token USB deseado en PIN. Despus de elegir un token USB e introducir el PIN correspondiente, haga clic en Inicio de sesin para acceder al token USB.

Resumen
En esta ventana se proporciona un resumen de la informacin que ha especificado. Estos datos se utilizan para configurar un punto de confianza en el router y comenzar el proceso de suscripcin. Si activ Obtener una vista previa de los comandos antes de enviarlos al router en el cuadro de dilogo Preferencias, podr obtener una vista previa del CLI que se enva al router.

Si se dispone a realizar una suscripcin SCEP


Cuando los comandos se hayan enviado al router, Cisco SDM intentar ponerse en contacto con el servidor de la CA. Si la conexin se establece, Cisco SDM mostrar una ventana de mensajes con el certificado digital del servidor.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-8

OL-9963-04

Captulo 17

Infraestructura de clave pblica Certificado de servidor de la CA

Si se dispone a realizar una suscripcin mediante el proceso de cortar y pegar


Despus de que los comandos se hayan enviado al router, Cisco SDM genera una solicitud de suscripcin y la muestra en otra ventana. Debe guardar dicha solicitud de suscripcin y presentarla al administrador del servidor de la CA para obtener el certificado del servidor de la CA y el certificado para el router. La solicitud de suscripcin tiene el formato PKCS#10 codificado Base 64. Cuando haya obtenido los certificados del servidor de la CA, debe reiniciar el Cut and Paste Wizard (Asistente para cortar y pegar) y seleccionar Reanudar suscripcin sin terminar para importar los certificados al router.

Certificado de servidor de la CA
Cisco SDM muestra la huella dactilar digital del certificado del servidor de la CA. Si desea continuar con el proceso de suscripcin, deber aceptar este certificado. Si no acepta el certificado, la suscripcin no avanzar

La huella dactilar digital del certificado del servidor de la CA es:


Cisco SDM muestra el valor hexadecimal del certificado del servidor de la CA en maysculas. Por ejemplo: E55725EC A389E81E 28C4BE48 12B905ACD

Para aceptar el certificado del servidor de la CA y continuar con el proceso de suscripcin


Haga clic en S, acepto este certificado y, a continuacin, en Siguiente.

Para rechazar el certificado del servidor de la CA y detener el proceso de suscripcin


Haga clic en No, no acepto este certificado y haga clic en Siguiente.

Estado de suscripcin
Esta ventana indica el estado del proceso de suscripcin. Si se han producido errores durante el proceso, Cisco SDM muestra la informacin correspondiente. Una vez que haya revisado la informacin del estado, haga clic en Finalizar.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-9

Captulo 17 Bienvenido al Asistente para cortar y pegar

Infraestructura de clave pblica

Bienvenido al Asistente para cortar y pegar


El Asistente para cortar y pegar permite generar una solicitud de suscripcin y guardarla en el PC para poder enviarla sin conexin a la Autoridad certificadora (CA). Puesto que la suscripcin no se puede completar en una sola sesin, este asistente finaliza al generar y guardar en el PC el punto de confianza y la solicitud de suscripcin. Una vez que haya enviado manualmente la solicitud de suscripcin al servidor de la CA y recibido el certificado para el router, debe volver a iniciar el Asistente para cortar y pegar con el fin de finalizar la suscripcin e importar los certificados al router.

Tarea de suscripcin
Indique si est comenzando una suscripcin nueva o si est reanudando una suscripcin con una solicitud de suscripcin que ha guardado en el PC.

Comenzar suscripcin nueva


Haga clic en Comenzar suscripcin nueva para generar un punto de confianza, un par de claves RSA y una solicitud de suscripcin que podr guardar en el PC y enviar al servidor de la CA. El asistente finalizar despus de que haya guardado la solicitud de suscripcin. Para finalizar la suscripcin tras haber recibido el certificado del servidor de la CA y el certificado para el router, vuelva a iniciar el Asistente para cortar y pegar y seleccione la opcin Reanudar suscripcin sin terminar.

Reanudar una suscripcin sin terminar


Haga clic en este botn para reanudar un proceso de suscripcin. Puede importar los certificados que ha recibido del servidor de la CA y generar una nueva solicitud de suscripcin para un punto de confianza, segn sus necesidades.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-10

OL-9963-04

Captulo 17

Infraestructura de clave pblica Solicitud de suscripcin

Solicitud de suscripcin
En esta ventana se muestra la solicitud de suscripcin de tipo PKCS#10 codificado Base 64 que el router ha generado. Guarde la solicitud de suscripcin en el PC y, a continuacin, envela a la CA para obtener el certificado.

Guardar:
Vaya hasta el directorio del PC en el que desea guardar el archivo de texto de la solicitud de suscripcin, especifique un nombre para el archivo y haga clic en Guardar.

Continuar con la suscripcin sin terminar


Si se dispone a reanudar una suscripcin sin terminar, debe seleccionar el punto de confianza asociado con la misma y, a continuacin, especificar la parte del proceso de suscripcin que necesita completar. Si est importando un certificado del servidor de la CA o un certificado de router, stos deben estar disponibles en el PC.

Seleccione el apodo del servidor de la CA (punto de confianza)


Seleccione el punto de confianza asociado con la suscripcin que est llevando a cabo.

Importar el o los certificados de la CA y del router


Seleccione esta opcin cuando desee importar tanto el certificado del servidor de la CA como el certificado del router en una sola sesin. Ambos certificados deben estar disponibles en el PC. Esta opcin estar desactivada si ya se ha importado el certificado de la CA.

Importar el certificado de la CA
Seleccione esta opcin para importar un certificado del servidor de la CA que haya guardado en el PC. Despus de importar el certificado, Cisco SDM mostrar la huella dactilar digital correspondiente. A continuacin, podr comprobar el certificado y aceptarlo o rechazarlo. Esta opcin estar desactivada si ya se ha importado el certificado de la CA.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-11

Captulo 17 Importar el certificado de la CA

Infraestructura de clave pblica

Importar el o los certificados de router


Seleccione esta opcin para importar un certificado para el router que haya guardado en el PC. Despus de esta operacin, Cisco SDM mostrar el estado del proceso de suscripcin.

Nota

Debe importar el certificado del servidor de la CA antes de importar el certificado del router.

Generar solicitud de suscripcin


Seleccione esta opcin si necesita generar una solicitud de suscripcin para el punto de confianza seleccionado. El router generar una solicitud de suscripcin que se guardar en el PC y se enviar a la CA. Cisco SDM genera una solicitud de suscripcin de tipo PKCS#10 codificado base 64.

Importar el certificado de la CA
Si dispone del certificado del servidor de la CA en el disco duro, puede buscarlo e importarlo al router mediante esta ventana. Tambin puede copiar el texto del certificado y pegarlo en el rea de texto de esta ventana.

Botn Examinar
Haga clic en este botn para localizar el archivo de certificado en el PC.

Importar el o los certificados de router


Si en el disco duro dispone de uno o varios certificados para el router concedidos por la CA, puede buscarlos e importarlos al router.

Importar certificados adicionales


Si ha generado pares de claves RSA independientes para el cifrado y la firma, recibir dos certificados para el router. Utilice este botn en el caso de disponer de ms de un certificado de router para su importacin.
Gua del usuario de Cisco Router and Security Device Manager 2.4

17-12

OL-9963-04

Captulo 17

Infraestructura de clave pblica Certificados digitales

Quitar certificado
Haga clic en la ficha del certificado que desee quitar y, a continuacin, en Quitar.

Examinar
Localice el certificado para importarlo en el router.

Certificados digitales
Esta ventana permite ver informacin acerca de los certificados digitales configurados en el router.

Puntos de confianza
Esta rea muestra informacin resumida para los puntos de confianza configurados en el router y permite ver los detalles de los puntos de confianza, editarlos y determinar si alguno de ellos ha sido revocado.
Botn Detalles

La lista de puntos de confianza slo muestra el nombre, la URL de suscripcin y el tipo de suscripcin de un punto de confianza. Haga clic en este botn para ver toda la informacin acerca del punto de confianza seleccionado.
Botn Editar

Un punto de confianza puede editarse si es del tipo SCEP y si no se ha importado correctamente el certificado del servidor de la CA ni el certificado del router. Si el punto de confianza no es del tipo SCEP o si se ha enviado tanto el certificado del servidor de la CA como el del router asociados con un punto de confianza SCEP, este botn estar desactivado.
Botn Eliminar

Haga clic en este botn para eliminar el punto de confianza seleccionado. Esta operacin destruye todos los certificados que se hayan recibido de la CA asociada.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-13

Captulo 17 Certificados digitales

Infraestructura de clave pblica

Botn Comprobar revocacin

Haga clic en este botn para comprobar si el certificado seleccionado ha sido revocado. Cisco SDM muestra un cuadro de dilogo en el que se debe seleccionar el mtodo que se utilizar para comprobar la revocacin. Consulte Comprobar revocacin y Comprobar revocacin de CRL nicamente para obtener ms informacin.
Nombre Servidor de la CA

Nombre del punto de confianza. Nombre o direccin IP del servidor de la CA.

Tipo de suscripcin Uno de los siguientes:

SCEP (Simple Certificate Enrollment Protocol): la suscripcin se ha realizado mediante una conexin directa al servidor de la CA. Cortar y pegar: la solicitud de suscripcin se ha importado desde un PC. TFTP: la solicitud de suscripcin se ha realizado mediante un servidor TFTP.

Certificate chain for trustpoint name (Nombre de la cadena de certificados para el punto de confianza)
Esta rea muestra los detalles de los certificados asociados con el punto de confianza seleccionado.
Botn Detalles

Haga clic en este botn para ver el certificado seleccionado.


Botn Actualizar

Haga clic en este botn para actualizar el rea de cadena de certificados cuando seleccione otro punto de confianza en la lista de puntos de confianza.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-14

OL-9963-04

Captulo 17

Infraestructura de clave pblica Certificados digitales

Tipo

Uno de los siguientes:


RA KeyEncipher Certificate: certificado de cifrado de Rivest Adelman. RA Signature Certificate (Certificado de firma RA): certificado con la firma Rivest Adelman. Certificado del servidor de la CA: el certificado de la organizacin de CA. Certificate (Certificado): el certificado del router. Objetivo general: un certificado de objetivo general que el router utiliza para autenticarse en los homlogos remotos. Firma: los certificados de CA son certificados de firma.

Uso

Uno de los siguientes:

Nmero de serie Emisor Estado

Nmero de serie del certificado. Nombre de la CA que ha emitido el certificado. Uno de los siguientes:

Disponible: el certificado est disponible para su uso. Pending (Pendiente): el certificado se ha solicitado pero no est disponible para su uso.

Vence al cabo de (das) Fecha de vencimiento

Nmero de das durante los cuales puede utilizarse el certificado antes de su vencimiento. Fecha en la que caduca el certificado.

Informacin acerca del punto de confianza


La lista de puntos de confianza de la ventana Certificados de router muestra informacin clave acerca de cada punto de confianza del router. Esta ventana ofrece todos los datos que se han proporcionado para crear el punto de confianza.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-15

Captulo 17 Certificados digitales

Infraestructura de clave pblica

Detalles del certificado


Esta ventana muestra los detalles del punto de confianza que no aparecen en la ventana Certificados.

Comprobar revocacin
Especifique en esta ventana cmo el router debe comprobar si el certificado ha sido revocado.

Comprobar revocacin
Configure cmo el router debe comprobar las revocaciones y disponga los mtodos por orden de preferencia. El router puede utilizar varios mtodos.
Usar/Mtodo/Desplazar hacia arriba/Desplazar hacia abajo

Marque los mtodos que desee emplear y utilice los botones Desplazar hacia arriba y Desplazar hacia abajo para colocarlos en el orden en que desea utilizarlos.

OCSP: establecer conexin con un servidor OCSP (Online Certificate Status Protocol) para determinar el estado de un certificado. CRL: la revocacin del certificado se comprueba mediante una lista de revocaciones de certificados. Ninguno: no realizar ninguna comprobacin de revocacin.

URL de consulta CRL

Se activa cuando se selecciona CRL. Especifique la URL en la que se encuentra la lista de revocaciones de certificados. Especifique la URL solamente si el certificado admite X.500 DN.
URL de OCSP

Se activa cuando se selecciona OCSP. Especifique la URL del servidor OCSP con el que desea ponerse en contacto.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-16

OL-9963-04

Captulo 17

Infraestructura de clave pblica Ventana Claves RSA

Comprobar revocacin de CRL nicamente


Especifique en esta ventana cmo el router debe comprobar si el certificado ha sido revocado.

Comprobacin
Uno de los siguientes:

Ninguna: comprobar el punto de distribucin incorporado en el certificado de la Lista de revocacin de certificados (CRL). Mejor esfuerzo: descargar la CRL del servidor de CRL, si est disponible. Si no lo est, se aceptar el certificado. Opcional: comprobar la CRL solamente si ya se ha descargado en el cach como resultado de una carga manual.

CRL Query URL (URL de consulta CRL)


Especifique la URL en la que se encuentra la lista de revocaciones de certificados. Especifique la URL solamente si el certificado admite X.500 DN.

Ventana Claves RSA


Las claves RSA proporcionan un sistema de cifrado y autenticacin que utiliza un algoritmo desarrollado por Ron Rivest, Adi Shamir y Leonard Adelman. El sistema RSA es el algoritmo de cifrado y autenticacin que se utiliza con mayor frecuencia y se incluye con IOS de Cisco. Para utilizar este sistema, un host de red genera un par de claves; una se denomina clave pblica y la otra clave privada. La clave pblica se entrega a cualquier usuario que desee enviar datos cifrados al host. La clave privada nunca se comparte. Cuando un host remoto desea enviar datos, ste los cifra utilizando la clave pblica que comparte con el host local, el cual, a su vez, recurre a la clave privada para descifrar los datos enviados.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-17

Captulo 17 Ventana Claves RSA

Infraestructura de clave pblica

Claves RSA configuradas en el router

Nombre

El nombre de la clave. Cisco SDM asigna automticamente los nombres de claves. Las claves HTTPS_SS_CERT_KEYPAIR y HTTPS_SS_CERT_KEYPAIR.server se mostrarn como de slo lectura. De manera similar, toda clave bloqueada o cifrada en el router aparecer con iconos que indican su estado. De uso u objetivo general. Las claves de objetivo general se utilizan para cifrar datos y firmar el certificado. Si se configuran claves independientes para cifrar datos y firmar certificados, dichas claves se denominan claves de uso. Si esta columna contiene una marca de verificacin, la clave puede exportarse a otro router si ste debe asumir el papel del router local.

Uso

Exportable

Key Data (Datos de la clave)


Haga clic en este botn para ver la clave RSA seleccionada.

Botn Save Key to PC (Guardar clave en PC)


Haga clic en este botn para guardar los datos de la clave seleccionada en el PC.

Generar par de claves RSA


Utilice esta ventana para generar un nuevo par de claves RSA.

Etiqueta
Especifique la etiqueta de la clave en este campo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-18

OL-9963-04

Captulo 17

Infraestructura de clave pblica Ventana Claves RSA

Mdulo
Especifique el valor del mdulo de la clave. Si desea un valor de mdulo de 512 a 1.024, especifique un valor entero que sea mltiple de 64. Si desea un valor mayor que 1.024, puede especificar 1.536 2.048. Si especifica un valor mayor que 512, es posible que la generacin de la clave tarde un minuto o ms. Cuanto mayor sea el mdulo, ms segura ser la clave. Sin embargo, las claves con mdulos grandes tardan ms tiempo en generarse y su procesamiento durante el intercambio es tambin ms largo.

Tipo
Seleccione el tipo de clave que debe generarse, Objetivo general o Uso. Las claves de objetivo general se utilizan tanto para el cifrado como para la firma de los certificados. Si genera claves de tipo Uso, un conjunto de claves se emplear para el cifrado y otro conjunto independiente para la firma de certificados.

Casilla de verificacin La clave se puede exportar


Marque esta casilla si desea que la clave se pueda exportar. Un par de claves exportable puede enviarse a un router remoto si este ltimo necesita asumir las funciones del router local.

Guardar en el Token USB


Marque la casilla de verificacin Guardar claves y certificados en un token USB seguro si desea guardar las claves y certificados RSA en un token conectado a su router. Esta opcin solamente aparece si hay un token USB conectado a su router. Seleccione el token USB del men desplegable Token USB. Especifique el PIN requerido para iniciar sesin en el token USB deseado en PIN. Despus de elegir un token USB e introducir el PIN correspondiente, haga clic en Inicio de sesin para acceder al token USB.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-19

Captulo 17 Tokens USB

Infraestructura de clave pblica

Credenciales del token USB


Esta ventana aparece cuando se agregan o eliminan credenciales, como por ejemplo un par de claves RSA o certificados digitales, que han sido guardadas en un token USB. Para que la eliminacin surta efecto, se debe proporcionar el nombre del token USB y el PIN. Seleccione el token USB del men desplegable Token USB. Especifique el PIN requerido para iniciar sesin en el token USB deseado en PIN.

Tokens USB
Esta ventana permite configurar el acceso a tokens USB. Esta ventana tambin muestra una lista de los registros de acceso al token USB configurados. Al conectar un token USB al router Cisco, Cisco SDM utiliza el registro de acceso correspondiente para acceder al token.

Agregar
Haga clic en Agregar para agregar una nueva conexin al token USB.

Editar
Haga clic en Editar para editar una conexin al token USB existente. Especifique la conexin a editar seleccionndola de la lista.

Eliminar
Haga clic en Eliminar para eliminar una conexin al token USB existente. Especifique la conexin a eliminar seleccionndola de la lista.

Nombre del token


Muestra el nombre utilizado para ingresar al token USB.

PIN de usuario
Muestra el PIN utilizado para acceder al token USB.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-20

OL-9963-04

Captulo 17

Infraestructura de clave pblica Tokens USB

Mximo de reintentos del PIN


Muestra el mximo de intentos de Cisco SDM para acceder al token USB con el PIN proporcionado. Si despus de intentar el nmero de veces indicado Cisco SDM no tiene xito, dejar de intentar acceder al token USB.

Tiempo mximo de desinsercin


Muestra el mximo de segundos que Cisco SDM seguir usando las credenciales de Intercambio de claves por Internet (IKE) obtenidas del token USB una vez que el token se desconecta del router. Si la opcin Tiempo Mximo de desinsercin est vaca, se utiliza el tiempo mximo por defecto. El tiempo mximo por defecto se activa al realizar un nuevo intento de acceder las credenciales IKE.

Archivo secundario de configuracin


Muestra el archivo de configuracin que Cisco SDM intenta encontrar en el token USB. El archivo de configuracin puede ser un archivo CCCD o un archivo .cfg. CCCD se refiere a un archivo de configuracin del arranque. En el caso de los tokens USB, el archivo CCCD se carga usando un software TMS.

Agregar o Editar un token USB


Esta ventana permite agregar o editar registros de ingreso al token USB.

Nombre del token


Si est agregando un registro de acceso al token USB, especifique el nombre del token USB. Este nombre debe coincidir con el nombre del token al cual desea acceder. El nombre del token viene definido de fbrica. Por ejemplo, los tokens fabricados por Aladdin Knowledge Systems tienen como nombre eToken. Tambin puede utilizar el nombre usbtokenx, donde x es el nmero de puerto USB donde se conecta el token USB. Por ejemplo, un token conectado al puerto USB 0 se llamar usbtoken0. Si est editando un registro de ingreso al token USB no se puede cambiar el campo Nombre del Token.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-21

Captulo 17 Tokens USB

Infraestructura de clave pblica

PIN actual
Si est agregando una conexin al token USB o si est editando una conexin a un token USB que no posee PIN, el campo PIN Actual muestra la palabra <Ninguno>. Si est editando un registro de acceso a un token USB que posee PIN, el campo PIN Actual muestra ******.

Especifique nuevo PIN


Especifique un nuevo PIN para el token USB. El nuevo PIN debe contener al menos cuatro dgitos y debe coincidir con el nombre del token al cual se quiere acceder. Si est editando un registro de acceso a un token USB el PIN Actual ser reemplazado por el nuevo PIN.

Reintroduzca el nuevo PIN


Reintroduzca el nuevo PIN para confirmarlo.

Mximo de reintentos del PIN


Seleccione el mximo de intentos de Cisco SDM para acceder al token USB con el PIN proporcionado. Si despus de intentar el nmero de veces indicado Cisco SDM no tiene xito, dejar de intentar acceder al token USB.

Tiempo mximo de desinsercin


Introduzca el mximo de segundos que Cisco SDM seguir usando las credenciales de Intercambio de Claves por Internet (IKE) obtenidas del token USB una vez que el token desconecta del router. El nmero de segundos debe estar en el rango de 0 a 480. Si no especifica un nmero, se utilizar el tiempo mximo por defecto. El tiempo mximo por defecto se activa al realizar un nuevo intento de acceder las credenciales IKE.

Archivo secundario de configuracin


Especifica un archivo de configuracin existente en el token USB. El archivo puede ser un archivo de configuracin parcial o completo. La extensin del archivo debe ser .cfg. Si Cisco SDM logra acceder al token USB, fusionar el archivo de configuracin especificado con la configuracin en ejecucin del router.
Gua del usuario de Cisco Router and Security Device Manager 2.4

17-22

OL-9963-04

Captulo 17

Infraestructura de clave pblica Abrir Firewall

Abrir Firewall
Esta pantalla aparece cuando Cisco SDM detecta algn firewall en las interfaces que pueda bloquear el trfico de vuelta que el router debe recibir. Existen dos situaciones en las que dicha ventana podr aparecer: cuando un firewall bloquea trfico DNS o cuando bloquea trfico PKI e impide que el router reciba dicho trfico desde los servidores. Cisco SDM puede modificar estos firewalls para que los servidores se puedan comunicar con el router.

Modificar el firewall
Esta rea proporciona una lista de las interfaces de salida y los nombres de la ACL. Adems, permite seleccionar los firewalls que desea que Cisco SDM modifique. Seleccione los firewalls que desea que Cisco SDM modifique en la columna Accin. Cisco SDM los modificar para permitir el trfico SCEP o DNS desde el servidor al router. Tenga en cuenta lo siguiente respecto al trfico SCEP:

Cisco SDM no modificar el firewall para los servidores CRL/OCSP si stos no se han configurado explcitamente en el router. Para permitir la comunicacin con servidores CRL/OCSP, obtenga la informacin correspondiente del administrador del servidor de la CA y modifique el firewall utilizando la ventana de Editar Poltica de Firewall Policy/ACL. Cisco SDM supone que el trfico que se enva desde el servidor de la CA hacia el router acceder mediante las mismas interfaces a travs de las cuales se ha enviado el trfico desde el router hacia el servidor de la CA. Si cree que el trfico de vuelta desde el servidor de la CA acceder al router a travs de una interfaz distinta de la que indica Cisco SDM, deber abrir el firewall mediante la ventana Editar poltica de firewall / ACL. Esto podr suceder cuando se utiliza un enrutamiento asimtrico, en el que el trfico sale desde el router hacia el servidor de la CA a travs de una interfaz y el trfico de vuelta accede al mismo a travs de una interfaz distinta.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

17-23

Captulo 17 Abrir Firewall

Infraestructura de clave pblica

Cisco SDM determina las interfaces de salida del router en el momento en que se agrega la ACE de paso. Si se utiliza un protocolo de enrutamiento dinmico para obtener las rutas hacia el servidor de la CA y la ruta cambia (la interfaz de salida cambia para el trfico SCEP con destino al servidor de la CA), debe agregar explcitamente una ACE de paso para las interfaces mediante la ventana Editar poltica de firewall / Lista de control de acceso. Cisco SDM agrega ACE de paso para el trfico SCEP, pero no ocurre lo mismo para el trfico de revocacin como, por ejemplo, el trfico CRL y OCSP. Debe agregar explcitamente ACE de paso para este tipo de trfico mediante la ventana Editar poltica de firewall / Lista de control de acceso.

Botn Detalles
Haga clic en este botn para ver la entrada de control de acceso que Cisco SDM agregar al firewall si permite la modificacin.

Abrir detalles del firewall


Esta ventana muestra la entrada de control de acceso (ACE) que Cisco SDM agregara a un firewall para permitir que varios tipos de trfico lleguen al router. Esta entrada no se agrega si no se activa la casilla Modificar de la ventana Abrir Firewall y se completa el asistente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

17-24

OL-9963-04

CAPTULO

18

Servidor de la autoridad certificadora


Puede configurar un router de Cisco IOS para que cumpla la funcin de servidor de la Autoridad certificadora (CA). Un servidor de la CA maneja las solicitudes de suscripcin de certificados de los clientes, y puede emitir y revocar certificados digitales. Para crear, respaldar, restaurar o editar un servidor de la CA, vaya a Configurar > VPN > Infraestructura de clave pblica > Autoridad certificadora > Crear servidor de la CA. Para administrar certificados en un servidor de la CA existente, vaya a Configurar > VPN > Infraestructura de clave pblica > Autoridad certificadora > Administrar servidor de la CA. Para supervisar un servidor de la CA, vaya a Supervisar > Estado de la red VPN > Servidor de la CA.

Crear servidor de la CA
Esta ventana le permite iniciar un asistente para crear un servidor de Autoridad certificadora (CA) o un asistente para restaurar un servidor de la CA. Slo se puede configurar un servidor de la CA en un router de Cisco IOS. El servidor de la CA se debe utilizar para emitir certificados a hosts en la red privada, de modo que puedan usar los certificados para autenticarse entre ellos

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-1

Captulo 18 Crear servidor de la CA

Servidor de la autoridad certificadora

Tareas previas
Si Cisco SDM identifica tareas de configuracin que deben establecerse antes de comenzar el proceso de configuracin del servidor de la CA, le notificar de las mismas en esta casilla. Se proporciona un enlace junto al texto de alerta para que pueda desplazarse hasta el rea correspondiente de Cisco SDM y establecer dicha configuracin. Si Cisco SDM no detecta la falta de configuraciones, este cuadro no aparece. Las posibles tareas previas se describen en Tareas previas para configuraciones de PKI.

Crear servidor de la autoridad certificadora (CA)


Haga clic en este botn para crear un servidor de CA en el router. Puesto que slo se puede configurar un servidor de la CA en el router, este botn est desactivado si ya se configur un servidor de la CA.

Nota

El servidor de la CA que configura con SDM le permite otorgar y revocar certificados. Aunque el router no guarda los nmeros de serie ni otra informacin de identificacin acerca de los certificados que otorga, no guarda los certificados. El servidor de la CA se debe configurar con una URL en un servidor de Autoridad de registro (RA) que pueda guardar certificados otorgados por el servidor de la CA.

Restaurar servidor de la autoridad certificadora (CA)


Si un servidor de la CA ya opera en el router, puede restaurar su configuracin y la informacin. Si no se ha configurado un servidor de la CA en el router, esta opcin estar desactivada.

Tareas previas para configuraciones de PKI


Antes de comenzar una suscripcin de certificados o configuracin del servidor de CA, puede ser necesario completar antes las tareas de configuracin de soporte. SDM revisa la configuracin en ejecucin antes de permitirle comenzar, le advierte de las configuraciones que debe completar, y proporciona enlaces que lo llevan a las reas de SDM que le permiten completar estas configuraciones.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-2

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Crear servidor de la CA

SDM puede generar alertas acerca de las siguientes tareas de configuracin:


Credenciales SSH no verificadas: Cisco SDM requiere que proporcione credenciales para SSH antes de comenzar. NTP/SNTP sin configurar: la hora del router debe ser exacta para que funcione la suscripcin de certificados. La identificacin de un servidor NTP (Network Time Protocol) a partir del cual el router puede obtener la hora exacta ofrece una fuente de hora que no se ver afectada en el caso de que deba reiniciarse el router. Si su organizacin no dispone de ningn servidor NTP, tiene la opcin de utilizar un servidor disponible pblicamente como, por ejemplo, el servidor que se describe en la direccin URL siguiente: http://www.eecis.udel.edu/~mills/ntp/clock2a.html DNS sin configurar: la especificacin de servidores DNS contribuye a garantizar que el router podr ponerse en contacto con el servidor de certificados. La configuracin DNS se requiere para ponerse en contacto con el servidor de la CA y con cualquier otro servidor relacionado con la suscripcin de certificados como, por ejemplo, servidores OCSP o repositorios CRL en el caso de que dichos servidores se especifiquen como nombres y no como direcciones IP. Dominio o nombre de host sin especificar: se recomienda configurar un dominio y nombre de host antes de comenzar la suscripcin.

Asistente para el servidor de la CA: Bienvenido


El asistente para el servidor de la Autoridad certificadora (CA) le gua en la configuracin de un servidor de la CA Antes de empezar asegrese de tener la informacin siguiente:

Informacin general acerca del servidor de la CA: el nombre que desea dar al servidor, el nombre del emisor del certificado que desea usar, y el nombre de usuario y la contrasea que se solicitar ingresar a los suscritos cuando enven una solicitud de suscripcin al servidor. Informacin ms detallada sobre el servidor: si el servidor opera en modo Autoridad de registro (RA) o Autoridad certificadora (CA), el nivel de informacin acerca de cada certificado que el servidor guardar, si el servidor debe otorgar certificados automticamente, y la duracin de los certificados otorgados, y solicitudes de suscripcin abiertas. Informacin de soporte: enlaza al servidor RA que guardar los certificados y al servidor de Punto de distribucin de la lista de revocaciones de certificados (CDP).
Gua del usuario de Cisco Router and Security Device Manager 2.4

OL-9963-04

18-3

Captulo 18 Crear servidor de la CA

Servidor de la autoridad certificadora

Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora


Especifique informacin bsica acerca del servidor de CA que est configurando en esta ventana.

Nombre del servidor de la CA


Proporcione un nombre que permita identificar el servidor en el campo Nombre del servidor de la CA. Puede ser el nombre de host del router u otro nombre que especifique.

Otorgar
Seleccione Manual si desea otorgar certificados de forma manual. Seleccione Auto si desea que el servidor otorgue certificados de forma automtica. Auto, utilizado principalmente para depuracin, no se recomienda porque emitir certificados a cualquier solicitante sin exigirles la informacin de suscripcin.

Advertencia!

No defina Otorgar en Auto si el router est conectado a Internet. Otorgar se debe definir en Auto slo para propsitos internos, como, por ejemplo, cuando se ejecutan procedimientos de depuracin.

URL de CDP
Especifique la URL para un servidor de Punto de distribucin de la Lista de revocacin de certificados (CDP) en el campo URL de CDP. La URL debe ser una URL de HTTP. La siguiente es una URL de ejemplo:
http://172.18.108.26/cisco1cdp.cisco1.crl

CRL es la lista de certificados revocados. Los dispositivos que necesitan comprobar la validez del certificado de otro dispositivo, buscarn en la CRL del servidor de la CA. Puesto que muchos dispositivos pueden intentar buscar en la CRL, descargarla en un dispositivo remoto, de preferencia un servidor HTTP, reducir el impacto del rendimiento en el router de Cisco IOS que aloja al servidor de la CA. Si el dispositivo que se comprueba no se conecta al CDP, como reserva utilizar SCEP para buscar en la CRL desde el servidor de la CA.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-4

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Crear servidor de la CA

Atributos de nombre de emisor


Common Name [Nombre comn (cn)]

Especifique el nombre comn que desea utilizar para el certificado. Puede ser el nombre del servidor de la CA, el nombre de host del router u otro nombre que especifique.
Organizational Unit (ou) [Unidad organizativa (ou)]

Especifique una unidad organizativa o nombre de departamento para su uso con este certificado. Por ejemplo, Soporte de TI o Ingeniera podran ser unidades organizativas.
Organizacin (o)

Especifique el nombre de la organizacin o empresa.


Estado (st)

Especifique la provincia o el estado en el que se encuentra la organizacin.


Pas (c)

Especifique el pas en el que se encuentra la organizacin.


Correo electrnico (e)

Especifique la direccin de correo electrnico que debe incluirse en el certificado del router.

Opciones avanzadas
Haga clic en este botn para especificar opciones avanzadas para el servidor de la CA.

Opciones avanzadas
La pantalla Opciones avanzadas le permite cambiar valores por defecto para la configuracin del servidor y especificar la URL para la base de datos que va a contener la informacin del certificado.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-5

Captulo 18 Crear servidor de la CA

Servidor de la autoridad certificadora

Base de datos
Configure el nivel, la URL y el formato de la base de datos en esta seccin del cuadro de dilogo.
Nivel de la base de datos

Seleccione el tipo de datos que se guardar en la base de datos de suscripcin de certificados:


mnimo: se guarda informacin suficiente para continuar emitiendo nuevos certificados sin conflicto. Este es el valor por defecto. nombres: adems de la informacin proporcionada por la opcin mnima, esta opcin incluye el nmero de serie y el nombre del asunto de cada certificado. completo: adems de la informacin proporcionada por las opciones mnimo y nombres, cada certificado emitido se copia en la base de datos.

URL de la base de datos

Especifique la ubicacin en la cual el servidor de la CA escribir datos de suscripcin de certificados. Si no se especifica una ubicacin, los datos de suscripcin de certificados se escribirn por defecto en la memoria flash. Por ejemplo, para escribir datos de suscripcin de certificados en un servidor tftp, especifique tftp://mytftp. Para restablecer la URL de la base de datos en la memoria flash, escriba nvram.
Archivo de base de datos

Seleccione pem para crear el archivo en formato pem, o pkcs12 para crear el archivo en formato pkcs12.
Nombre de usuario de base de datos

Especifique un nombre de usuario para el archivo de la base de datos en el campo Nombre de usuario de base de datos. El nombre de usuario y la contrasea se usarn para autenticar el servidor en la base de datos.
Contrasea de la base de datos y confirmar contrasea

Especifique una contrasea en el campo Contrasea de la base de datos y vuelva a especificarla en el campo Confirmar contrasea.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-6

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Crear servidor de la CA

Duraciones
Defina la duracin, o el tiempo antes del vencimiento, de los elementos asociados con el servidor de la CA. Para definir la duracin de un elemento especfico, seleccinelo desde la lista desplegable Duracin y especifique un valor en el campo Duracin. Puede definir duraciones para los siguientes elementos:

Certificado: certificados emitidos por el servidor de la CA. La duracin se especifica en das, en el intervalo 11825. Si no se especifica un valor, un certificado vence despus de un ao. Si se especifica un nuevo valor, ste afecta a los certificados que se crean slo despus de que se aplica ese valor. CRL: Lista de revocacin de certificados para certificados emitidos por el servidor de la CA. La duracin se especifica en horas, en el intervalo 1336. Si no se especifica un valor, una CRL vence despus de 168 horas (una semana). Solicitud de suscripcin: solicitudes de certificados abiertas que existen en la base de datos de suscripciones, pero que no incluyen solicitudes recibidas mediante SCEP. La duracin se especifica en horas, en el intervalo 11.000. Si no se especifica un valor, una solicitud de suscripcin abierta vence despus de 168 horas (una semana).

Asistente para el servidor de la CA: Claves RSA


El servidor de la CA utiliza claves RSA pblicas y privadas para cifrar datos y firmar certificados. SDM genera automticamente un nuevo par de claves y le da el nombre del servidor de la CA. Puede cambiar el mdulo y tipo de la clave, y puede hacer que la clave se pueda exportar. Especifique una frase de contrasea para utilizar cuando restaure el servidor de la CA.

Etiqueta
Este campo es de slo lectura. SDM utiliza el nombre del servidor de la CA como el nombre del par de claves.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-7

Captulo 18 Crear servidor de la CA

Servidor de la autoridad certificadora

Mdulo
Especifique el valor del mdulo de la clave. Si desea un valor de mdulo de 512 a 1.024, especifique un valor entero que sea mltiplo de 64. Si desea un valor mayor que 1.024, puede especificar 1.536 2.048. Si especifica un valor mayor que 512, es posible que la generacin de la clave tarde un minuto o ms. El mdulo determina el tamao de la clave. Cuanto mayor sea el mdulo, ms segura ser la clave. Sin embargo, las claves con mdulos grandes tardan ms tiempo en generarse. Del mismo modo, las operaciones de cifrado y descifrado se prolongan si contienen claves grandes.

Tipo
Por defecto, Cisco SDM crea un par de claves de objetivo general que se utilizar para el cifrado y la firma. Si desea que Cisco SDM genere pares de claves independientes para el cifrado y la firma de documentos, seleccione Claves de uso. Cisco SDM generar claves de uso para el cifrado y la firma.

La clave se puede exportar


Marque La clave se puede exportar si desea que la clave del servidor de la CA se pueda exportar.

Frase de contrasea y confirmar frase de contrasea


En el campo Frase de contrasea, especifique una frase de contrasea para utilizar cuando restaure el servidor de la CA de reserva. En el campo Confirmar frase de contrasea, vuelva a especificar la misma frase de contrasea.

Abrir Firewall
La ventana Abrir firewall aparece cuando es necesario modificar una configuracin de firewall para permitir la comunicacin entre el servidor de CDP y servidor de la CA. Seleccione la interfaz y marque la casilla Modificar para que SDM pueda modificar el firewall para permitir este trfico. Haga clic en Detalles para ver la ACE que se agregara al firewall.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-8

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Crear servidor de la CA

Asistente para el servidor de la CA: Resumen


La ventana Resumen muestra la informacin que ha especificado en las pantallas del asistente para que pueda revisar la informacin antes de enviarla al router. A continuacin, se muestra un ejemplo del resumen:
-----------------------------------------------------------Configuracin del servidor de la CA -----------------------------------------------------------Nombre del servidor de la CA: CASvr-a Otorgamiento:Manual URL de CDP:http://192.27.108.92/snrs.com Nombre comn (cn):CS1841 Unidad organizativa (ou): IT Support Organizacin (o):Acme Enterprises Estado (st): CA Pas (c): EE.UU. -----------------------------------------------------------Configuracin avanzada del servidor de la CA -----------------------------------------------------------URL de la base de datos: nvram: Archivo de base de datos:pem Nombre de usuario de base de datos:bjones Contrasea de la base de datos:********* -----------------------------------------------------------Claves RSA: -----------------------------------------------------------El servidor de la CA genera automticamente un par de claves de RSA con los siguientes valores por defecto: Mdulo:1024 Tipo de clave:Objetivo general Clave exportable:No Frase de contrasea configurada:******

-----------------------------------------------------------ACE de paso en firewall para interfaces: -----------------------------------------------------------FastEthernet0/0 permit tcp host 192.27.108.92 eq www host 192.27.108.91 gt 1024

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-9

Captulo 18 Administrar servidor de la CA

Servidor de la autoridad certificadora

La pantalla de resumen contiene cuatro secciones: seccin Configuracin del servidor de la CA, seccin Configuracin avanzada del servidor de la CA, seccin Claves de RSA y seccin Paso de firewall. El nombre de este servidor de la CA es CAsvr-a. Los certificados se otorgarn manualmente. La informacin del certificado se guarda en nvram, en formato PEM. SDM generar un par de claves de objetivo general con el mdulo por defecto, 1024. La clave no se podr exportar. Se configurar una ACE para permitir el trfico entre el router y el host de CDP con la direccin IP 192.27.108.92.

Administrar servidor de la CA
Puede iniciar y detener el servidor de la CA desde esta ventana, otorgar y rechazar solicitudes de certificados, y revocar certificados. Si necesita cambiar la configuracin del servidor de la CA, puede desinstalar el servidor desde esta ventana y volver a la ventana Crear servidor de la CA para crear la configuracin de servidor que necesita.

Nombre
Muestra el nombre del servidor. El nombre del servidor se cre cuando se cre el servidor.

Icono de estado
Si el servidor de la CA est en ejecucin, se muestra la palabra En ejecucin y un icono verde. Si el servidor de la CA no est en ejecucin, se muestra la palabra Detenido y un icono rojo.

Iniciar servidor
El botn Iniciar servidor se muestra si se detiene el servidor. Haga clic en Iniciar servidor para iniciar el servidor de la CA.

Detener servidor
El botn Detener servidor se muestra si el servidor est en ejecucin. Haga clic en Detener servidor si necesita detener el servidor de la CA.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-10

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Administrar servidor de la CA

Servidor de reserva
Haga clic en Servidor de reserva para respaldar la informacin de configuracin del servidor en el equipo. Especifique la ubicacin de reserva en el cuadro de dilogo que se muestra.

Desinstalar servidor
Haga clic para desinstalar el servidor de la CA desde el router de Cisco IOS. Se eliminar toda la configuracin y los datos del servidor de la CA. Si respald el servidor de la CA antes de desinstalarlo, puede restaurar sus datos slo despus de crear un nuevo servidor de la CA. Consulte Crear servidor de la CA.

Detalles del servidor de la CA


La tabla Detalles del servidor de la CA proporciona una instantnea de la configuracin del servidor de la CA. La tabla siguiente muestra un ejemplo de informacin. Nombre de elemento Duracin del certificado de la CA URL de CDP Duracin de CRL Duracin del certificado Nivel de la base de datos URL de la base de datos Otorgamiento Nombre del emisor Modo Nombre Valor de elemento 1.095 das http://192.168.7.5 168 horas 365 das mnimo nvram: manual CN=CertSvr Autoridad certificadora CertSvr

Duracin de la solicitud de suscripcin 168 horas

Consulte Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora y Opciones avanzadas para ver descripciones de estos elementos.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-11

Captulo 18 Administrar servidor de la CA: Restaurar ventana

Servidor de la autoridad certificadora

Servidor de la CA de reserva
Puede respaldar los archivos que contienen la informacin del servidor de la CA en su equipo. La ventana Servidor de la CA de reserva enumera los archivos que se respaldarn. Los archivos que se listan deben estar presentes en la NVRAM del router para que el respaldo sea satisfactorio. Haga clic en Examinar y especifique una carpeta del equipo en la cual se deben respaldar los archivos del servidor de la CA.

Administrar servidor de la CA: Restaurar ventana


Si ha respaldado y desinstalado un servidor de la CA, puede restaurar la configuracin del servidor en el router, haciendo clic en el botn Restaurar servidor de la CA. Debe ser capaz de proporcionar el nombre del servidor de la CA, completar la URL de la base de datos y la frase de contrasea de reserva que se us durante la configuracin inicial. Cuando restaura el servidor de la CA, se le da la oportunidad de cambiar los ajustes de la configuracin.

Restaurar servidor de la CA
Si ha respaldado la configuracin de un servidor de la CA que se desinstal, puede restaurarla proporcionando la informacin acerca de l en la ventana Restaurar servidor de la CA. Puede editar la configuracin del servidor haciendo clic en Editar configuracin del servidor de la CA antes de la restauracin. Debe proporcionar el nombre, el formato de archivo, la URL a la base de datos y la frase de contrasea para respaldar el servidor o editar su configuracin.

Nombre del servidor de la CA


Especifique el nombre del servidor de la CA que respald.

Formato de archivo
Seleccione el formato de archivo que especific en la configuracin del servidor: PEM o PKCS12.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-12

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Administrar servidor de la CA: Restaurar ventana

Completar la URL
Especifique la URL de la base de datos del router que se proporcion cuando se configur el servidor de la CA. sta es la ubicacin en la cual el servidor de la CA escribe datos de suscripcin de certificados. A continuacin se entregan dos ejemplos de URL:
nvram:/mycs_06.p12 tftp://192.168.3.2/mycs_06.pem

Frase de contrasea
Especifique la frase de contrasea que se proporcion cuando se configur el servidor de la CA.

Copiar archivos del servidor de la CA del equipo


Marque la casilla de verificacin Copiar archivos del servidor de la CA del equipo para copiar la informacin del servidor que respald en el PC para la nvram del router.

Editar configuracin del servidor de la CA antes de la restauracin


Haga clic en Editar configuracin del servidor de la CA antes de la restauracin para cambiar la configuracin del servidor de la CA antes de restaurar el servidor. Consulte Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora y Asistente para el servidor de la CA: Claves RSA para obtener informacin acerca de las configuraciones que puede cambiar.

Editar configuracin del servidor de la CA: Ficha General


Edite la configuracin del servidor de la CA en esta ventana. No puede cambiar el nombre del servidor de la CA. Para obtener informacin sobre las configuraciones que puede cambiar, consulte Asistente para el servidor de la CA: Informacin acerca de la Autoridad certificadora.

Editar configuracin del servidor de la CA: Ficha Avanzado


Puede cambiar cualquier configuracin del servidor de la CA avanzado en esta ventana. Para obtener informacin sobre estas configuraciones, consulte Opciones avanzadas.
Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-13

Captulo 18 Administrar servidor de la CA: Servidor de la CA no configurado

Servidor de la autoridad certificadora

Administrar servidor de la CA: Servidor de la CA no configurado


Esta ventana aparece cuando hace clic en Administrar servidor de la CA, pero no se ha configurado ningn servidor de la CA. Haga clic en Crear servidor de la CA y complete el asistente para configurar un servidor de la CA en el router.

Administrar certificados
Al hacer clic en VPN > Infraestructura de clave pblica> Autoridad certificadora > Administrar certificados, se muestra la ficha Solicitudes pendientes y la ficha Certificados revocados. Para ir a los temas de ayuda para estas fichas, haga clic en los siguientes enlaces:

Solicitudes pendientes Certificados revocados

Solicitudes pendientes
Esta ventana muestra una lista de solicitudes de suscripcin de certificados recibidas por el servidor de la CA de los clientes. La parte superior de la ventana contiene informacin y controles del servidor de la CA. Para obtener informacin sobre la detencin, el inicio y la desinstalacin del servidor de la CA, consulte Administrar servidor de la CA. Puede seleccionar una solicitud de suscripcin de certificados en la lista y luego emitirla (aceptarla), rechazarla o eliminarla. Las acciones disponibles dependen del estado de la solicitud de suscripcin de certificados seleccionada.

Seleccionar todo
Haga clic en Seleccionar todo para seleccionar todas las solicitudes de certificados pendientes. Cuando se seleccionan todas las solicitudes de certificados, al hacer clic en Otorgar se otorgan todas las solicitudes. Cuando se seleccionan todas las solicitudes de certificados, al hacer clic en Rechazar se rechazan todas las solicitudes.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-14

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Administrar certificados

Otorgar
Haga clic en Otorgar para emitir el certificado al cliente que lo solicita.

Nota

Las ventanas del servidor de la CA no muestran los ID de los certificados que otorgan. En caso en que sea necesario revocar un certificado, debe solicitar el ID del certificado al administrador del cliente, que indique el propsito para el cual se emiti el certificado. El administrador del cliente puede determinar el ID del certificado especificando el comando de Cisco IOS, sh crypto pki cert.

Eliminar
Haga clic en Eliminar para eliminar la solicitud de suscripcin de certificados en la base de datos.

Rechazar
Haga clic en Rechazar para denegar la solicitud de suscripcin de certificados.

Actualizar
Haga clic en Actualizar para actualizar las solicitudes de suscripcin de certificados con los ltimos cambios.

rea de solicitudes de suscripcin de certificados


El rea de solicitudes de suscripcin de certificados tiene las siguientes columnas: ID de solicitud: nmero nico asignado a la solicitud de suscripcin de certificados. Estado: estado actual de la solicitud de suscripcin de certificados. El estado puede ser Pendiente (sin decisin), Otorgado (certificado emitido), Rechazado (solicitud denegada). Huella dactilar: identificador de cliente digital nico. Nombre del asunto: nombre del asunto en la solicitud de suscripcin.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-15

Captulo 18 Administrar certificados

Servidor de la autoridad certificadora

El siguiente es un ejemplo de una solicitud de suscripcin: ID de solicitud Estado 1

Huella dactilar

Nombre del asunto B398385E6BB6604E9E98B8FDBBB5E8BA

pendiente serialNumber=FTX0850Z0GT +hostname=c1841.snrsprp.com

Revocar certificado
Haga clic en Revocar certificado para mostrar un cuadro de dilogo que le permite especificar el ID del certificado que desea revocar.

Nota

El ID del certificado no siempre coincide con el ID de la solicitud que se muestra en las ventanas del servidor de la CA. Puede ser necesario solicitar el ID del certificado que se va a revocar al administrador del cliente, a quien se otorg el certificado. Para obtener informacin sobre cmo el administrador del cliente puede determinar el ID del certificado, consulte Solicitudes pendientes.

Certificados revocados
Esta ventana muestra una lista de los certificados emitidos y revocados. Slo los certificados emitidos se pueden revocar. La parte superior de la ventana contiene informacin y controles del servidor de la CA. Para obtener informacin sobre la detencin, el inicio y la desinstalacin del servidor de la CA, consulte Administrar servidor de la CA. La lista de certificados tiene las siguientes columnas:

Nmero de serie del certificado: nmero nico asignado al certificado. Este nmero se muestra en formato hexadecimal. Por ejemplo, el nmero de serie decimal 1 se muestra como 0x01. Fecha de revocacin: hora y fecha en que se revoc el certificado. Si un certificado se revoc a 41 minutos y 20 segundos despus de la medianoche del da 6 de febrero de 2007, la fecha de revocacin se muestra como 00:41:20 UTC Feb 6 2007.

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-16

OL-9963-04

Captulo 18

Servidor de la autoridad certificadora Administrar certificados

Revocar certificado
Haga clic en Revocar certificado para mostrar un cuadro de dilogo que le permite especificar el ID del certificado que desea revocar.

Nota

El ID del certificado no siempre coincide con el ID de la solicitud que se muestra en las ventanas del servidor de la CA. Puede ser necesario solicitar el ID del certificado que se va a revocar al administrador del cliente, a quien se otorg el certificado. Para obtener informacin sobre cmo el administrador del cliente puede determinar el ID del certificado, consulte Solicitudes pendientes.

Revocar certificado
En esta ventana puede revocar certificados otorgados por este servidor de la CA.

ID del certificado
Especifique el ID del certificado que est revocando.

Nota

El ID del certificado no siempre coincide con el ID de la solicitud que se muestra en las ventanas del servidor de la CA. Puede ser necesario solicitar el ID del certificado que se va a revocar al administrador del cliente, a quien se otorg el certificado. Para obtener informacin sobre cmo el administrador del cliente puede determinar el ID del certificado, consulte Solicitudes pendientes..

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

18-17

Captulo 18 Administrar certificados

Servidor de la autoridad certificadora

Gua del usuario de Cisco Router and Security Device Manager 2.4

18-18

OL-9963-04

CAPTULO

19

VPN con SSL de Cisco IOS


VPN con SSL de Cisco IOS proporciona conectividad de acceso remoto Secure Socket Layer (SSL) VPN desde prcticamente cualquier ubicacin que disponga de conexin a Internet con slo un explorador Web y su cifrado SSL nativo. Esto permite a las empresas ampliar sus redes empresariales seguras a cualquier usuario autorizado ofreciendo conectividad de acceso remoto a los recursos corporativos desde cualquier equipo con acceso a Internet. VPN con SSL de Cisco IOS tambin permite el acceso desde mquinas que no pertenecen a la empresa, incluidos equipos domsticos, cabinas de Internet y puntos de acceso inalmbrico, en los que la gestin y la implementacin del software cliente VPN necesario para las conexiones VPN IPsec no son tarea sencilla para el departamento de TI. Existen tres modos de acceso VPN SSL: Sin cliente, Cliente ligero y Cliente de tnel completo. Cisco SDM admite los tres modos que se describen a continuacin:

Sin cliente SSL VPN: el modo Sin cliente (sin software en estaciones cliente) ofrece acceso seguro a los recursos privados de la red y proporciona acceso al contenido Web. Este modo resulta til para acceder a la mayora del contenido que se prev que se utilizar en un explorador Web como, por ejemplo, acceso a la intranet y a las herramientas en lnea que utilicen una interfaz Web.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-1

Captulo 19 Enlaces de VPN con SSL de Cisco IOS en Cisco.com

VPN con SSL de Cisco IOS

Cliente ligero SSL VPN (subprograma Java con mapeo de puertos): el modo Cliente ligero ampla la capacidad de las funciones criptogrficas del explorador Web para permitir el acceso remoto a aplicaciones basadas en TCP como, por ejemplo, POP3, SMTP, IMAP, Telnet y SSH. Cliente de tnel completo SSL VPN: el modo Cliente de tnel completo proporciona soporte extendido de aplicaciones mediante el software cliente SSL VPN descargado dinmicamente para Cisco IOS SSL VPN. Con el Cliente de tnel completo para VPN con SSL de Cisco IOS, Cisco proporciona un cliente de arquitectura de tneles SSL VPN ligero, configurado centralmente y de fcil soporte que permite el acceso de conectividad de nivel de red a prcticamente cualquier aplicacin.

Contextos, gateways y polticas VPN con SSL de Cisco IOS describe el modo en el que los componentes de una configuracin de VPN con SSL de Cisco IOS funcionan conjuntamente. Haga clic en Enlaces de VPN con SSL de Cisco IOS en Cisco.com para ver enlaces a documentos de VPN con SSL de Cisco IOS.

Enlaces de VPN con SSL de Cisco IOS en Cisco.com


En este tema de ayuda se enumeran los enlaces actuales que proporcionan la informacin ms til sobre VPN con SSL de Cisco IOS. El enlace siguiente ofrece acceso a documentos que describen VPN con SSL de Cisco IOS. Vuelva a este enlace de vez en cuando para obtener la informacin ms reciente. www.cisco.com/go/iosSSLVPN En el enlace siguiente se describe cmo configurar un servidor AAA con el protocolo RADIUS para VPN con SSL de Cisco IOS. http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a00 805eeaea.html#wp1396461

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-2

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Crear SSL VPN


Es posible utilizar asistentes de VPN con SSL de Cisco IOS para crear un nuevo VPN con SSL de Cisco IOS o para aadir nuevas polticas o funciones a un VPN con SSL de Cisco IOS existente. Haga clic en VPN con SSL de Cisco IOS para ver los aspectos generales de las funciones que admite Cisco SDM. En Contextos, gateways y polticas VPN con SSL de Cisco IOS se describe el modo en el que los componentes de una configuracin de VPN con SSL de Cisco IOS funcionan conjuntamente. Haga clic en Enlaces de VPN con SSL de Cisco IOS en Cisco.com para ver enlaces a documentos de VPN con SSL de Cisco IOS.

Tareas previas
Para poder iniciar una configuracin de Cisco IOS SSL VPN, es necesario que AAA y los certificados se hayan configurado en el router. Si falta alguna de estas configuraciones, aparecer una notificacin en esta rea de la ventana y tambin un enlace que le permitir completar la configuracin que falta. Cuando se hayan realizado todas las configuraciones previas requeridas, ser posible volver a esta ventana e iniciar la configuracin de VPN con SSL de Cisco IOS. Cisco SDM activa AAA sin la intervencin del usuario. Cisco SDM puede ayudarle a generar claves pblicas y privadas para el router y a suscribirlas con una autoridad certificadora para obtener certificados digitales. Consulte el apartado Infraestructura de clave pblica para obtener ms informacin. Como opcin alternativa, puede configurar un certificado con firma automtica permanente que no requiere la aprobacin de una CA. Para obtener informacin ms detallada sobre la funcin de certificado con firma automtica permanente, consulte el enlace siguiente: http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_gui de09186a008040adf0.html#wp1066623 Asegrese de que en el campo del enlace del explorador aparece la URL completa.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-3

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Crear una nueva SSL VPN


Seleccione esta opcin para crear una nueva configuracin de Cisco IOS SSL VPN. Este asistente permite la creacin de Cisco IOS SSL VPN con una poltica de usuario y una cantidad limitada de funciones. Tras finalizar el asistente, se pueden utilizar otros asistentes para configurar funciones y polticas adicionales de Cisco IOS SSL VPN. Es posible volver a este asistente para crear configuraciones adicionales de Cisco IOS SSL VPN. Si utiliza Cisco SDM para crear la primera configuracin de Cisco IOS SSL VPN en un router, crear un contexto de Cisco IOS SSL VPN, configurar un gateway y crear una poltica de grupo. Cuando haya finalizado el asistente, haga clic en Editar SSL VPN para ver la configuracin y familiarizarse con el modo en el que los componentes de Cisco IOS SSL VPN funcionan conjuntamente. Si desea obtener informacin que le ayude a comprender lo que ve, haga clic en Contextos, gateways y polticas VPN con SSL de Cisco IOS.

Agregar una nueva poltica a una SSL VPN existente para un nuevo grupo de usuarios
Seleccione esta opcin si desea aadir una nueva poltica a una configuracin de Cisco IOS SSL VPN existente para un nuevo grupo de usuarios. Gracias a la existencia de varias polticas podr definir conjuntos distintos de funciones para diferentes grupos de usuarios. Por ejemplo, se puede definir una poltica para ingeniera y otra distinta para ventas.

Configurar funciones avanzadas para una SSL VPN existente


Seleccione esta opcin si desea configurar funciones adicionales para una poltica de Cisco IOS SSL VPN existente. Es necesario especificar el contexto en el que se configura la poltica.

Botn Iniciar la tarea seleccionada


Haga clic para iniciar la configuracin seleccionada. Si no se puede completar la tarea elegida, aparecer un mensaje de advertencia. Si es necesario realizar algn requerimiento previo, se le informar de la tarea de la que se trata y de cmo llevarla a cabo.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-4

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Certificado con firma automtica permanente


En este cuadro de dilogo se puede especificar la informacin para un certificado con firma automtica permanente. Con la informacin proporcionada, el servidor HTTPS generar un certificado que se utilizar en el protocolo de intercambio SSL. Los certificados con firma automtica permanente permanecen en la configuracin incluso en el caso de que se vuelva a cargar el router, y se presentan durante el protocolo de intercambio SSL. Los nuevos usuarios deben aceptar manualmente estos certificados, pero los usuarios que ya lo hayan hecho previamente no debern volverlos a aceptar cuando se realice una recarga del router. Para obtener ms informacin sobre la funcin de certificado con firma automtica permanente, consulte la informacin de este enlace: http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_gui de09186a008040adf0.html#wp1066623 Asegrese de que en el campo del enlace del explorador aparece la URL completa.

Nombre
Cisco SDM coloca el nombre Router_Certificate en este campo. Es posible cambiar el nombre si se desea. Este nombre corresponde al del asunto que se utilizara en una solicitud de certificado.

Longitud de la clave RSA


Cisco SDM coloca el valor 512 en este campo. Si se desea, se puede especificar una clave ms larga como, por ejemplo, 1024. La longitud de la clave debe ser un mltiplo de 64.

Asunto
Escriba la informacin para los campos en el rea Asunto. Para obtener ms informacin acerca de estos campos, consulte la informacin de la seccin Otros atributos de asunto.

Botn Generar
Tras proporcionar la informacin en esta ventana, haga clic en Generar para que el router cree el certificado con firma automtica permanente.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-5

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Bienvenido
En la pantalla de bienvenida de cada asistente se enumeran las tareas que se pueden realizar con ese asistente. Utilice esta informacin para asegurarse de que est utilizando el asistente adecuado. En caso contrario, haga clic en Cancelar para volver a la ventana Crear SSL VPN y seleccione el asistente que desea utilizar. Cuando haya escrito la informacin que le solicita el asistente, la ventana Resumen mostrar la informacin introducida. Si desea ver los comandos del CLI de Cisco IOS que se envan al router, haga clic en Cancelar para salir del asistente, vaya a Editar > Preferencias y seleccione Obtener una vista previa de los comandos antes de enviarlos al router. A continuacin, reinicie el asistente y escriba la informacin que le sea solicitada. Al enviar la configuracin al router, aparecer una ventana adicional en la que podr ver los comandos del CLI de Cisco IOS que est enviando.

Gateways SSL VPN


El gateway de Cisco IOS SSL VPN proporciona la direccin IP y el certificado digital para todo Contexto SSL VPN que lo utiliza. En esta ventana se puede introducir la informacin para un gateway, as como la informacin que permitir a los usuarios acceder a un portal.

Campos Direccin IP y Nombre


Utilice estos campos para crear la URL que utilizarn los usuarios para acceder al portal de Cisco IOS SSL VPN. La lista de direcciones IP contiene las direcciones IP de todas las interfaces del router configuradas y de todos los gateways de Cisco IOS SSL VPN existentes. Se puede utilizar la direccin IP de una interfaz del router si se trata de una direccin pblica a la que los clientes que se desea tienen acceso, o bien se puede utilizar otra direccin IP pblica a la que los clientes tienen acceso. Si se utiliza una direccin IP que an no se ha utilizado para un gateway, se crea un nuevo gateway.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-6

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Permitir acceso a Cisco SDM a travs de la casilla de verificacin Direccin IP


Seleccione esta casilla si desea seguir accediendo a Cisco SDM desde esta direccin IP. Esta casilla de verificacin aparece si se ha especificado la direccin IP que se est utilizando actualmente para acceder a Cisco SDM.

Nota

Si marca esta casilla de verificacin, la URL que debe utilizar para acceder a Cisco SDM cambiar cuando haya enviado la configuracin al router. Revise el rea de informacin en la parte inferior de la ventana para saber cul URL se debe usar. Cisco SDM coloca un acceso directo a esta URL en el escritorio de su equipo, el cual puede usar para acceder a Cisco SDM en el futuro.

Certificado digital
Si est creando un nuevo gateway, seleccione el certificado digital que desea que el router presente a los clientes cuando se conecten al gateway. Si selecciona la direccin IP de un gateway existente, el router utilizar el certificado digital configurado para dicho gateway y se desactivar este campo.

rea de Informacin
Cuando escriba la informacin en los campos Direccin IP y Nombre, esta rea contendr la URL que introducirn los usuarios. Es necesario proporcionar esta URL a los usuarios para los que se crea esta Cisco IOS SSL VPN. Si seleccion Permitir Cisco SDM acceso a travs de direccin IP, la URL que debe usar en el futuro para acceder a Cisco SDM se muestra en esta rea. Cisco SDM coloca un acceso directo a esta URL en el escritorio de su equipo despus de enviar la configuracin de VPN con SSL de Cisco IOS al router.

Autenticacin del Usuario


Utilice esta ventana para especificar el modo en el que el router debe realizar la autenticacin del usuario. El router puede autenticar los usuarios de Cisco IOS SSL VPN localmente, o bien puede enviar peticiones de autenticacin a servidores AAA remotos.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-7

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Botn Servidor AAA externo


Haga clic en este botn si desea que el router utilice un servidor AAA para autenticar los usuarios de Cisco IOS SSL VPN. El router utilizar los servidores AAA enumerados en esta ventana. Si no existen servidores AAA configurados, podr configurarlos en esta ventana. Para usar esta opcin, debe haber al menos un servidor AAA configurado en el router.

Botn Localmente en este router


Haga clic si desea que el router autentique los usuarios por s mismo. El router autenticar todos los usuarios que aparezcan en esta ventana. Si no hay usuarios configurados en el router, se pueden aadir usuarios en esta ventana.

Botn Primero en un servidor AAA externo y, a continuacin, localmente en este router


Haga clic si desea que el router realice primero la autenticacin utilizando un servidor AAA y, en el caso de que sta falle, intente despus una autenticacin local. Si el usuario no se ha configurado ni en un servidor AAA configurado ni localmente en el router, la autenticacin de ese usuario fallar.

Botn Utilizar la lista de mtodos para autenticacin AAA


Haga clic si desea que el router utilice una lista de mtodos para la autenticacin. Una lista de mtodos contiene los mtodos de autenticacin que deben utilizarse. El router probar el primer mtodo de autenticacin de la lista. Si la autenticacin falla, el router probar el siguiente mtodo de la lista y seguir as hasta que autentique el usuario o hasta que llegue al final de la lista.

Lista Servidores AAA configurados para este router


Esta lista contiene los servidores AAA que utiliza el router para autenticar usuarios. Si elige la opcin de autenticar usuarios con servidores AAA, esta lista deber contener el nombre o la direccin IP de al menos un servidor. Utilice el botn Agregar para aadir la informacin para un nuevo servidor. Para gestionar las configuraciones de AAA en el router, salga del asistente, haga clic en Tareas adicionales y, a continuacin, haga clic en el nodo de AAA del rbol Tareas adicionales. Esta lista no aparecer si se ha seleccionado Localmente en este router.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-8

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Crear cuentas de usuario localmente en este router


Escriba en esta lista los usuarios que desea que autentique el router. Utilice los botones Agregar y Editar para gestionar los usuarios en el router. La lista no aparecer si se selecciona Servidor AAA externo.

Configurar sitios Web de la intranet


Configure en esta ventana grupos de sitios Web de la intranet a los que desea que los usuarios tengan acceso. Estos enlaces aparecern en el portal que vern los usuarios de esta Cisco IOS SSL VPN al iniciar la sesin.

Columnas Accin y Lista de URL


Si se agrega una poltica a un contexto de Cisco IOS SSL VPN existente, puede haber listas de direcciones URL en la tabla que aparece. Marque la opcin Seleccionar si desea utilizar una lista de URL mostrada para la poltica. Para crear una nueva lista, haga clic en Agregar y especifique la informacin necesaria en el cuadro de dilogo que aparecer. Utilice los botones Editar y Eliminar para cambiar o eliminar las listas de direcciones URL de esta tabla.

Agregar o editar URL


Agregue o edite la informacin de un enlace de Cisco IOS SSL VPN en esta ventana.

Etiqueta
La etiqueta se muestra en el portal que aparece cuando los usuarios inician sesin en Cisco IOS SSL VPN. Por ejemplo, se puede utilizar la etiqueta Calendario de pagos para un enlace al calendario en el que aparecen los das de vacaciones pagados y los das de pago.

Enlace de URL
Especifique o edite la URL al sitio Web de la intranet corporativa que desea que puedan visitar los usuarios.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-9

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Personalizar el portal SSL VPN


Los ajustes realizados en este portal determinan el aspecto que tendr el portal. Se puede seleccionar uno de los temas predefinidos de la lista y obtener una vista previa del portal para comprobar el aspecto que tendra si se utilizara ese tema.

Tema
Seleccione el nombre de un tema predefinido.

Vista previa
En esta rea se muestra el aspecto del portal con el tema seleccionado. Se puede obtener la vista previa de varios temas para que el usuario elija el que desea utilizar.

Configuracin de paso por SSL VPN


Para que los usuarios puedan conectarse a la intranet, se deben aadir entradas de control de acceso (ACE) al firewall y a las configuraciones del control de acceso a la red (NAC) para permitir que el trfico SSL pueda llegar a la intranet. La configuracin de las ACE puede realizarla Cisco SDM, o bien puede optar por realizarla usted mismo yendo a Firewall y ACL > Editar Poltica de firewall/ACL, donde podr realizar las modificaciones necesarias. Si est trabajando en el asistente para Cisco IOS SSL VPN, haga clic en Permitir que SSL VPN funcione con NAC y firewall si desea que Cisco SDM configure estas ACE. Haga clic en Ver detalles para ver las ACE que crear Cisco SDM. Las entradas que agrega Cisco SDM son similares a las del ejemplo siguiente:
permit tcp any host 172.16.5.5 eq 443

Si est editando un contexto de Cisco IOS SSL VPN, Cisco SDM mostrar la interfaz afectada y la ACL que se le aplica. Haga clic en Modificar para que Cisco SDM pueda agregar entradas a la ACL para permitir el paso del trfico SSL por el firewall. Haga clic en Detalles para ver la entrada que agrega Cisco SDM. La entrada ser similar a la mostrada anteriormente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-10

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Poltica de usuarios
En esta ventana se puede seleccionar una Cisco IOS SSL VPN existente y agregarle una nueva poltica. Por ejemplo, supongamos que se ha creado una Cisco IOS SSL VPN denominada Corporativa y se desea definir un acceso a la intranet para un nuevo grupo de usuarios denominado Ingeniera.

Seleccionar SSL VPN existente


Seleccione la Cisco IOS SSL VPN para la que desea crear un nuevo grupo de usuarios. Las polticas ya configuradas para esa Cisco IOS SSL VPN se mostrarn en un cuadro debajo de la lista. Se puede hacer clic en cualquiera de ellas para ver sus detalles. Consulte el apartado Detalles de la poltica de grupo de SSL VPN: Policyname para obtener ms informacin.

Nombre de la nueva poltica


Especifique el nombre que desea asignar al nuevo grupo de usuarios. En el rea inferior a este campo aparecer una lista con las polticas de grupo que ya existen para esta Cisco IOS SSL VPN.

Detalles de la poltica de grupo de SSL VPN: Policyname


En esta ventana se muestran los detalles de una poltica de Cisco IOS SSL VPN existente.

Servicios
En esta rea aparecen enumerados los servicios para los que se ha configurado esta poltica como, por ejemplo, manipulacin de URL o Cisco Secure Desktop.

URL mostradas a los usuarios


En esta rea se enumeran las URL de la intranet mostradas a los usuarios regidos por esta poltica.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-11

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Servidores mostrados a los usuarios


En esta rea se muestran las direcciones IP de los servidores con mapeo de puertos que debe utilizar esta poltica segn se indica en su configuracin.

Servidores WINS
En esta rea se muestran las direcciones IP de los servidores WINS que debe utilizar esta poltica segn se indica en su configuracin.

Seleccionar el grupo de usuarios de SSL VPN


Seleccione en esta ventana la Cisco IOS SSL VPN y el grupo de usuarios asociado para el que desea configurar servicios avanzados.

SSL VPN
Seleccione la Cisco IOS SSL VPN a la que est asociado el grupo de usuarios desde esta lista.

Grupo de usuarios
Seleccione el grupo de usuarios para el que desea configurar funciones avanzadas. El contenido de esta lista se basa en la Cisco IOS SSL VPN seleccionada.

Seleccionar funciones avanzadas


Seleccione en esta ventana las funciones que desea configurar. El asistente mostrar ventanas que le permitirn configurar las funciones seleccionadas. Por ejemplo, al hacer clic en Cliente ligero (mapeo de puertos), Cisco Secure Desktop y Sistema de archivos de Internet comn (CIFS), el asistente mostrar ventanas de configuracin para estas funciones. Debe seleccionar al menos una funcin para configurarla.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-12

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Cliente ligero (mapeo de puertos)


En ocasiones, las estaciones de trabajo remotas deben ejecutar aplicaciones cliente para poder comunicarse con los servidores de la intranet. Por ejemplo, los servidores IMAP (Internet Mail Access Protocol) o SMTP (Simple Mail Transfer Protocol) pueden requerir que las estaciones de trabajo ejecuten aplicaciones cliente para poder enviar y recibir correo electrnico. La funcin Cliente ligero, tambin conocida como mapeo de puertos, permite que se descargue un pequeo subprograma junto con el portal para que la estacin de trabajo remota pueda comunicarse con el servidor de la intranet. Esta ventana contiene una lista de los servidores y los nmeros de puerto configurados para la intranet. Utilice el botn Agregar para aadir el nmero de puerto y la direccin IP de un servidor. Utilice los botones Editar y Eliminar para realizar modificaciones en la informacin de la lista y para eliminar la informacin de un servidor. La lista creada aparecer en el portal que ven los clientes cuando inician sesin.

Agregar o editar un servidor


Agregue o edite informacin de un servidor en esta ventana.

Direccin IP del servidor


Especifique la direccin IP o el nombre de host del servidor.

Puerto del servidor en el que escucha el servicio


Especifique el puerto por el que escucha el servidor para este servicio. Se puede tratar de un nmero de puerto estndar para el servicio como, por ejemplo, el nmero de puerto 23 para Telnet, o bien se puede tratar de un nmero de puerto no estndar para el que se haya creado una Asignacin de puerto a aplicacin (PAM). Por ejemplo, si se ha cambiado el nmero de puerto de Telnet en el servidor por 2323 y se ha creado una entrada PAM para ese puerto en el servidor, se deber especificar 2323 en esta ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-13

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Puerto en PC cliente
En este campo, Cisco SDM introduce un nmero empezando por 3000. Cada vez que se aade una entrada, Cisco SDM incrementa el nmero en 1. Utilice las entradas que ha colocado Cisco SDM en este campo.

Descripcin
Escriba una descripcin para la entrada. Por ejemplo, si se est aadiendo una entrada que permite a los usuarios realizar una conexin mediante Telnet con el servidor en 10.10.11.2, se puede escribir Telnet a 10.10.11.2. La descripcin aparecer en el portal.

Ms informacin
Haga clic en este enlace para obtener ms informacin. Puede ver la informacin ahora haciendo clic en Ms detalles acerca de los servidores de mapeo de puertos.

Ms detalles acerca de los servidores de mapeo de puertos


El mapeo de puertos permite a un usuario remoto de Cisco IOS SSL VPN conectarse con puertos estticos de servidores con direcciones IP privadas en la intranet corporativa. Por ejemplo, es posible configurar el mapeo de puertos en un router de modo que se ofrezca a los usuarios remotos acceso Telnet a un servidor de la intranet corporativa. Para configurar el mapeo de puertos, se requiere la informacin siguiente:

La direccin IP del servidor. El nmero de puerto esttico del servidor. El nmero de puerto remoto del PC cliente. En el cuadro de dilogo, Cisco SDM muestra un nmero de puerto de uso seguro.

Por ejemplo, para que los usuarios puedan utilizar Telnet para conectarse a un servidor con la direccin IP 10.0.0.100 (puerto 23), se debera crear una entrada de asignacin de puerto con la informacin siguiente: Direccin IP del servidor: 10.0.0.100 Puerto del servidor al que se est conectando el usuario: 23 Puerto en el PC cliente: valor suministrado por Cisco SDM. 3001 para este ejemplo.
Gua del usuario de Cisco Router and Security Device Manager 2.4

19-14

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Descripcin: acceso Telnet de SSL VPN al servidor-a. En el portal aparecer esta descripcin. Cuando el explorador del cliente se conecta con el router del gateway, se descarga un subprograma del portal en el PC cliente. Este subprograma contiene el nmero de puerto esttico y la direccin IP del servidor, as como el nmero de puerto que va a utilizar el PC cliente. El subprograma realiza las acciones siguientes:

Crea una asignacin en el PC cliente que asigna el trfico para el puerto 23 en 10.0.0.100 a la direccin IP de retrobucle del PC 127.0.0.1, puerto 3001. Escucha por el puerto 3001, direccin IP 127.0.0.1

Cuando el usuario ejecuta una aplicacin que se conecta con el puerto 23 en 10.0.0.100, la solicitud se enva a 127.0.0.1, puerto 3001. El subprograma del portal que escucha ese puerto y la direccin IP reciben esta peticin y la envan al gateway a travs del tnel de Cisco IOS SSL VPN. El router del gateway la reenva al servidor a 10.0.0.100 y devuelve de nuevo el trfico de vuelta al PC.

Tnel completo
Los clientes de tnel completo deben descargar el software de tnel completo y obtener una direccin IP del router. Utilice esta ventana para configurar el conjunto de direcciones IP que obtendrn los clientes de tnel completo cuando inicien sesin y para especificar la ubicacin del paquete de instalacin de tnel completo.

Nota

Si el paquete de instalacin del software an no est instalado, debe haber suficiente memoria en la memoria flash del router para que Cisco SDM pueda instalarlo tras la finalizacin de este asistente.

Casilla de verificacin Activar tnel completo


Marque esta casilla para permitir que el router descargue el software de cliente de tnel completo en el PC del usuario y para activar los dems campos de esta ventana.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-15

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Conjunto de direcciones IP
Especifique el conjunto de direcciones IP que obtendrn los clientes de tnel completo. Puede especificar el nombre de un conjunto existente en el campo, o bien puede hacer clic en el botn que encontrar a la derecha del campo y seleccionar Seleccionar un conjunto IP existente para examinar la lista de conjuntos. Seleccione Crear un conjunto nuevo y rellene el cuadro de dilogo que aparecer para crear un conjunto nuevo. El conjunto de direcciones seleccionado o creado debe contener direcciones en la intranet corporativa.

Casilla de verificacin Mantener instalado el software de cliente de tnel completo en el PC cliente


Marque esta casilla si desea que el software Tnel completo permanezca en el PC del cliente cuando ste finalice la sesin. Si no marca esta casilla de verificacin, los clientes debern descargar el software cada vez que establezcan comunicacin con el gateway.

Casilla de verificacin Instalar el cliente de tnel completo


Marque esta casilla si desea instalar el software de cliente de tnel completo en este momento. Tambin puede instalar el software cliente al editar esta Cisco IOS SSL VPN. El software de cliente de tnel completo debe estar instalado en el router para que los clientes puedan descargarlo para establecer una conectividad de tnel completo. Si se ha instalado el software Tnel completo con Cisco SDM, la ruta al software aparecer automticamente en el campo Ubicacin, tal como se muestra en el Ejemplo 19-1.
Ejemplo 19-1 Paquete Tnel completo instalado en el router

flash:sslclient-win-1.0.2.127.pkg

En el Ejemplo 19-1, el paquete de instalacin Tnel completo est cargado en la memoria flash del router. Si el dispositivo principal del router es un disco o una ranura, la ruta que aparecer empezar por diskn o slotn.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-16

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Si este campo est vaco, deber buscar el paquete de instalacin para que Cisco SDM pueda cargarlo en el dispositivo principal del router, o bien descargar el paquete de instalacin del software en Cisco.com haciendo clic en el enlace Descargue el paquete de instalacin ms reciente de... que encontrar en la parte inferior de la ventana. Este enlace le llevar a la pgina Web siguiente: http://www.cisco.com/cgi-bin/tablebuild.pl/sslvpnclient

Nota

Es posible que necesite un nombre de usuario y una contrasea de CCO para poder obtener el software en un sitio de descarga de Cisco. Para obtener estas credenciales, haga clic en Registro que encontrar en la parte superior de cualquier pgina Web de Cisco.com y proporcione la informacin solicitada. Recibir por correo electrnico el ID de usuario y la contrasea. Haga clic en Buscar el paquete de instalacin de Cisco SDM para obtener ms informacin acerca de cmo buscar el paquete de instalacin del software Tnel completo y proporcionar una ruta para que Cisco SDM pueda encontrarlo.

Botn Opciones avanzadas


Haga clic en este botn para configurar las opciones avanzadas como, por ejemplo, la divisin de la arquitectura de tneles, la divisin de DNS y los ajustes de Microsoft Internet Explorer.

Buscar el paquete de instalacin de Cisco SDM


Utilice el procedimiento siguiente para buscar paquetes de instalacin de software para Cisco SDM, de modo que el sistema pueda utilizar esta ubicacin en la configuracin de VPN con SSL de Cisco IOS o, si fuera necesario, cargar el software en el router.

Nota

Es posible que necesite un nombre de usuario y una contrasea de CCO para poder obtener el software en un sitio de descarga de Cisco. Para obtener estas credenciales, haga clic en Registro que encontrar en la parte superior de cualquier pgina Web de Cisco.com y proporcione la informacin solicitada. Recibir por correo electrnico el ID de usuario y la contrasea.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-17

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Paso 1

Observe el campo Ubicacin. Si la ruta al paquete de instalacin se encuentra en este campo, no necesitar emprender ninguna otra accin. Cisco SDM configurar el router para que descargue el software desde esta ubicacin. El Ejemplo 19-2 muestra una ruta a un paquete de instalacin de software.
Ejemplo 19-2 Paquete Tnel completo instalado en el router

flash:sslclient-win-1.0.2.127.pkg

Paso 2 Paso 3

Si el campo Ubicacin est vaco, haga clic en el botn ... que encontrar a la derecha del campo para especificar la ubicacin del software. Si el software est instalado en el router, seleccione Sistema de archivos del router y, a continuacin, busque el archivo. Si el software se encuentra en su PC; seleccione Mi PC y busque el archivo. Cisco SDM colocar el sistema de archivos del router o la ruta del PC especificada en el campo Ubicacin.

Paso 4

Si el software no se encuentra en el router ni en el PC, deber descargarlo en el PC y, a continuacin, especificar la ruta al archivo en este campo.
a. b.

Haga clic en el enlace Descargue el paquete de instalacin ms reciente de... de la ventana. Se conectar a la pgina de descarga del software que desea. Es posible que en la pgina Web que aparezca haya paquetes de software disponibles para plataformas de Cisco IOS y otras plataformas. Haga doble clic en la versin ms reciente del software que desea descargar para plataformas de Cisco IOS y especifique el nombre de usuario y la contrasea de CCO cuando le sea solicitado. Descargue el paquete en el PC. En el asistente para Cisco IOS SSL VPN, haga clic en el botn ... que encontrar a la derecha del campo Ubicacin, seleccione Mi PC en la ventana Seleccionar ubicacin (Select Location) que aparecer y navegue hasta el directorio en el que ha colocado el archivo. Seleccione el archivo del paquete de instalacin y haga clic en Aceptar en la ventana Seleccionar ubicacin. Cisco SDM colocar esa ruta en el campo Ubicacin. El ejemplo siguiente muestra un paquete de instalacin ubicado en el escritorio del PC.

c. d.

e.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-18

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Crear SSL VPN

Ejemplo 19-3

Paquete Tnel completo instalado en el router

C:\Documents and Settings\username\Desktop\sslclient-win-1.1.0.154.pkg

Cisco SDM instalar el software en el router desde el directorio del PC especificado al enviar la configuracin al router cuando haga clic en Finalizar.

Activar Cisco Secure Desktop


El router puede instalar Cisco Secure Desktop en el PC del usuario cuando ste se conecta a la Cisco IOS SSL VPN. Las transacciones de Internet pueden dejar cookies, archivos del historial del explorador, documentos adjuntos de correo electrnico y otros archivos en el PC una vez finalizada la conexin. Cisco Secure Desktop crea una particin segura en el escritorio y utiliza un algoritmo del Departamento de Defensa de los EE.UU. para eliminar los archivos cuando finaliza la sesin.

Instale Cisco Secure Desktop


Los clientes deben descargar el paquete de instalacin del software Cisco Secure Desktop desde el router. Si este software se ha instalado con Cisco SDM, la ruta al mismo aparecer automticamente en el campo Ubicacin, tal como se muestra en el Ejemplo 19-4.
Ejemplo 19-4 Paquete Cisco Secure Desktop instalado en el router

flash:/securedesktop-ios-3.1.0.29-k9.pkg

En el Ejemplo 19-4, el paquete de instalacin de Cisco Secure Desktop est cargado en la memoria flash del router. Si el dispositivo principal del router es un disco o una ranura, la ruta que aparecer empezar por diskn o slotn.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-19

Captulo 19 Crear SSL VPN

VPN con SSL de Cisco IOS

Si este campo est vaco, deber buscar el paquete de instalacin para que Cisco SDM pueda cargarlo en el dispositivo principal del router, o bien descargar el paquete de instalacin del software en Cisco.com haciendo clic en el enlace Descargue el paquete de instalacin ms reciente de... que encontrar en la parte inferior de la ventana. Este enlace conduce a la siguiente pgina Web: http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop

Nota

Es posible que necesite un nombre de usuario y una contrasea de CCO para poder obtener el software de un sitio de descarga de Cisco. Para obtener estas credenciales, haga clic en Registro que encontrar en la parte superior de cualquier pgina Web de Cisco.com y proporcione la informacin solicitada. Recibir por correo electrnico el ID de usuario y la contrasea. Haga clic en Buscar el paquete de instalacin de Cisco SDM para obtener ms informacin acerca de cmo buscar el paquete de instalacin del software Cisco Secure Desktop y especificar una ruta que pueda utilizar Cisco SDM.

Sistema de archivos de Internet comn


Sistema de archivos de Internet comn (CIFS) permite a los clientes explorar, acceder y crear archivos de forma remota en servidores de archivos basados en Microsoft Windows mediante una interfaz de explorador Web.

Servidores WINS
Los servidores Microsoft Windows Internet Naming Service (WINS) mantienen la base de datos que asigna direcciones IP cliente a sus correspondientes nombres de NetBIOS. Especifique en este cuadro las direcciones IP de los servidores WINS de su red. Utilice un punto y coma (;) para separar las direcciones. Por ejemplo, para introducir las direcciones IP 10.0.0.18 y 10.10.10.2, escriba 10.0.0.18;10.10.10.2 en este cuadro.

Permisos
Especifique los permisos que desea otorgar a los usuarios.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-20

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Editar SSL VPN

Activar Citrix sin cliente


Citrix sin cliente permite a los usuarios ejecutar aplicaciones como, por ejemplo, Microsoft Word o Excel en servidores remotos del mismo modo en el que lo haran localmente, sin necesidad de que el cliente disponga del software en el PC. El software de Citrix debe estar instalado en uno o varios de los servidores de una red a la que el router tenga acceso.

Servidor Citrix
Para crear una nueva lista, haga clic en Agregar y especifique la informacin necesaria en el cuadro de dilogo que aparecer. Utilice las teclas Editar y Eliminar para cambiar o eliminar listas de URL de esta tabla.

Resumen
Esta ventana muestra un resumen de la configuracin de Cisco IOS SSL VPN que ha creado. Haga clic en Finalizar para enviar la configuracin al router o haga clic en Atrs para volver a la ventana del asistente a realizar cambios. Para ver los comandos del CLI que se envan al router, vaya a Editar > Preferencias y marque la opcin Obtenga una vista previa de los comandos antes de enviarlos al router.

Editar SSL VPN


La ventana Editar SSL VPN permite modificar o crear configuraciones de VPN con SSL de Cisco IOS. En la parte superior de la ficha aparece una lista de los contextos VPN con SSL de Cisco IOS configurados. En la parte inferior se muestran los detalles de ese contexto. Haga clic en VPN con SSL de Cisco IOS para obtener una visin general de las funciones de VPN con SSL de Cisco IOS admitidas por Cisco SDM. Haga clic en Enlaces de VPN con SSL de Cisco IOS en Cisco.com para ver enlaces a documentos de VPN con SSL de Cisco IOS. Haga clic en Contextos, gateways y polticas VPN con SSL de Cisco IOS para obtener una descripcin del modo en el que los componentes de una configuracin de VPN con SSL de Cisco IOS funcionan conjuntamente.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-21

Captulo 19 Editar SSL VPN

VPN con SSL de Cisco IOS

Contextos de SSL VPN


En esta rea se muestran los contextos de VPN con SSL de Cisco IOS configurados en el router. Haga clic en un contexto de esta rea para ver su informacin detallada en la parte inferior de la ventana. Para aadir un nuevo contexto, haga clic en Agregar y especifique la informacin en el cuadro de dilogo que aparecer. Si desea editar un contexto, seleccinelo y haga clic en Editar. Para eliminar un contexto y sus polticas de grupo asociadas, seleccinelo y haga clic en Eliminar. Es posible activar un contexto que no est en funcionamiento seleccionndolo y haciendo clic en Activar. Para que un contexto deje de funcionar, seleccinelo y haga clic en Desactivar. Se mostrar la informacin siguiente para cada contexto.
Nombre

El nombre del contexto de VPN con SSL de Cisco IOS. Si el contexto se ha creado en el asistente para VPN con SSL de Cisco IOS, el nombre ser la cadena especificada en la ventana Direccin IP y nombre.
Gateway

El gateway que utiliza el contexto contiene la direccin IP y el certificado digital que utilizar el contexto de VPN con SSL de Cisco IOS.
Dominio

Si se ha configurado un dominio para el contexto, se mostrar en esta columna. Si se ha configurado un dominio, los usuarios debern indicarlo en el explorador Web para poder acceder al portal.
Estado

Contiene iconos para una identificacin rpida del estado.


Estado administrativo

Descripcin textual del estado.

En servicio: el contexto est en funcionamiento. Los usuarios especificados en las polticas configuradas del contexto podrn acceder a su portal de VPN con SSL de Cisco IOS.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-22

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Fuera de servicio: el contexto no est en funcionamiento. Los usuarios especificados en las polticas configuradas del contexto no podrn acceder a su portal de VPN con SSL de Cisco IOS.

Pantalla de ejemplo

En la tabla siguiente se muestra una pantalla de ejemplo de contextos de VPN con SSL de Cisco IOS. Nombre WorldTravel A+Insurance Gateway Gateway1 Gateway2 Dominio wtravel.net aplus.com Estado Estado administrativo En servicio Fuera de servicio

Detalles del contexto SSL VPN: Nombre


En esta rea se muestran los detalles del contexto con el nombre seleccionado en la parte superior de la ventana. Puede modificar los ajustes visualizados haciendo clic en Editar en la parte superior de la ventana.

Contexto de SSL VPN


Utilice esta ventana para agregar o editar un contexto de VPN con SSL de Cisco IOS.

Nombre
Especifique el nombre de un contexto nuevo, o bien seleccione el nombre de un contexto existente para editarlo.

Gateway asociado
Seleccione un gateway existente, o bien haga clic en Crear gateway para configurar un nuevo gateway para el contexto. El gateway contiene la direccin IP y el certificado digital utilizados en este contexto. Cada gateway requiere una direccin IP pblica exclusiva.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-23

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

Dominio
Si dispone de un dominio para este contexto, indquelo en este campo. Los usuarios de VPN con SSL de Cisco IOS podrn utilizar este nombre de dominio en lugar de una direccin IP para acceder al portal. Por ejemplo, miempresa.com.

Lista de autenticacin
Seleccione la lista de mtodos AAA que desea utilizar para autenticar usuarios para este contexto.

Dominio de autenticacin
Indique el nombre del dominio que debe anexarse al nombre de usuario antes de enviarlo para su autenticacin. Este dominio debe coincidir con el utilizado en el servidor AAA en los usuarios autenticados para este contexto.

Casilla de verificacin Activar contexto


Marque esta casilla si desea que el contexto se active una vez configurado. Si lo activa aqu, no necesitar volver a esta ventana para desactivarlo. Es posible activar y desactivar contextos individuales en la ficha Editar SSL VPN.

Nmero mximo de usuarios


Especifique el nmero mximo de usuarios que pueden utilizar simultneamente este contexto.

Nombre de VRF
Especifique el nombre de enrutamiento y redireccionamiento de VPN (VRF) para este contexto. Este nombre de VRF ya debe haberse configurado en el router.

Poltica de grupo por defecto


Seleccione la poltica que desea utilizar como poltica de grupo por defecto. La poltica de grupo por defecto se utilizar para los usuarios que no se hayan incluido en ninguna poltica configurada en el servidor AAA.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-24

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Designar interfaces como internas o externas


Una ACL que se aplica a una interfaz en la cual se configura una conexin VPN con SSL de Cisco IOS puede bloquear el trfico SSL. Cisco SDM puede modificar automticamente la ACL para permitir este trfico a travs del firewall. Sin embargo, es necesario indicar cul es la interfaz interna (fiable) y cul la externa (no fiable) para que Cisco SDM pueda crear la entrada de control de acceso (ACE) que permitir que el trfico adecuado pase por el firewall. Marque la opcin Interna si la interfaz de la lista es fiable, y Externa si se trata de una interfaz no fiable.

Seleccionar un gateway
Seleccione un gateway existente en esta ventana. Esta ventana proporciona informacin necesaria para determinar cul gateway seleccionar. Muestra los nombres y las direcciones IP de todos los gateways, el nmero de contextos al que cada uno est asociado y si el gateway est activado o no.

Contexto: Polticas de grupo


En esta ventana se muestran las polticas de grupo configuradas para el contexto de VPN con SSL de Cisco IOS seleccionado. Utilice los botones Agregar, Editar y Eliminar para gestionar estas polticas de grupo. En esta ventana se muestra el nombre de la poltica y si se trata de la poltica de grupo por defecto. La poltica de grupo por defecto es la poltica asignada a un usuario que no se ha incluido en ninguna poltica. Es posible cambiar la poltica de grupo volviendo a la ventana Contexto y seleccionando otra poltica como poltica por defecto. Haga clic en una poltica de la lista para ver sus detalles en la parte inferior de la ventana. Para obtener una descripcin de estos detalles, haga clic en los enlaces siguientes Poltica de grupo: Ficha General Poltica de grupo: Ficha Sin clientes Poltica de grupo: Ficha Cliente ligero Poltica de grupo: Ficha Cliente VPN con SSL (tnel completo)

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-25

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

Haga clic aqu para obtener ms informacin


Haga clic en el enlace de la ventana para obtener informacin importante. Para obtener esta informacin desde esta pgina de ayuda, haga clic en Ms detalles acerca de las polticas de grupo.

Ms detalles acerca de las polticas de grupo


Las polticas de grupo de VPN con SSL de Cisco IOS definen el portal y los enlaces para los usuarios incluidos en dichas polticas. Cuando un usuario remoto entra en la URL de VPN con SSL de Cisco IOS que se le ha proporcionado, el router debe determinar de qu poltica es miembro el usuario para poder mostrar el portal configurado para esa poltica. Si en el router slo se ha configurado una poltica de VPN con SSL de Cisco IOS, ste podr autenticar los usuarios localmente o mediante el servidor AAA y, a continuacin, mostrar el portal. Sin embargo, si se han configurado varias polticas, el router deber confiar en un servidor AAA para determinar qu poltica debe utilizar cada vez que un usuario remoto intenta iniciar sesin. Si se ha configurado ms de una poltica de grupo de VPN con SSL de Cisco IOS, es necesario configurar al menos un servidor AAA para el router, as como una poltica en ese servidor para cada grupo de usuarios para el que se ha creado una poltica de VPN con SSL de Cisco IOS. Los nombres de polticas del servidor AAA deben ser idnticos a los nombres de las polticas de grupo configuradas en el router, y deben configurarse con las credenciales de los usuarios que son miembros del grupo. Por ejemplo, si un router se ha configurado con autenticacin local para Bob Smith y slo se ha configurado la poltica de grupo Ventas, slo se podr visualizar un portal cuando Bob Smith intente iniciar sesin. Sin embargo, si se han configurado tres polticas de grupo de VPN con SSL de Cisco IOS, Ventas, Campo y Fabricacin, el router no podr determinar por s mismo a qu grupo de poltica pertenece Bob Smith. Si se ha configurado un servidor AAA con la informacin adecuada para estas polticas, el router podr ponerse en contacto con el servidor y recibir la informacin de que Bob Smith es un miembro del grupo Ventas. A continuacin, el router podr mostrar el portal correcto para el grupo Ventas. Para obtener informacin acerca de cmo configurar el servidor AAA, consulte la seccin Configuring RADIUS Attribute Support for SSL VPN del documento SSL VPN Enhancements en el enlace siguiente: http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a00 805eeaea.html#wp1396461

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-26

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Poltica de grupo: Ficha General


Al crear una nueva poltica de grupo, se debe especificar informacin en todos los campos de la ficha General.

Nombre
Escriba un nombre para la poltica de grupo como, por ejemplo, Ingeniera, Recursos Humanos o Marketing.

Lmites de tiempo
En Lmite de tiempo de inactividad, especifique cuntos segundos puede permanecer inactivo el cliente antes de que se finalice la sesin. En Lmite de tiempo de sesin, especifique la cantidad mxima de segundos de una sesin, independientemente de la actividad que tenga.

Casilla de verificacin Establecer esta poltica de grupo como la predeterminada para el contexto
Marque esta casilla si desea que sta sea la poltica de grupo por defecto. La poltica de grupo por defecto es la poltica asignada a un usuario que no est incluido en ninguna poltica. Si se marca esta casilla de verificacin, esta poltica aparecer como la poltica por defecto en la ventana Poltica de grupo.

Poltica de grupo: Ficha Sin clientes


Citrix sin cliente permite a los usuarios ejecutar aplicaciones en servidores remotos del mismo modo en el que lo haran localmente, sin necesidad de que el software cliente est instalado en los sistemas remotos que utilizan estas aplicaciones. El software de Citrix debe estar instalado en uno o varios de los servidores de una red a la que el router tenga acceso. Escriba la informacin en esta ficha si desea que los clientes de VPN con SSL de Cisco IOS puedan utilizar Citrix sin cliente.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-27

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

Navegacin Web sin cliente


Seleccione una o varias listas de direcciones URL que desea que puedan ver en el portal los usuarios de este grupo. Si desea examinar una lista de direcciones URL, seleccione un nombre de la lista y haga clic en Ver. Las URL de la lista especificada aparecern en el portal. Si desea restringir el acceso de los usuarios a las URL de la lista e impedir que puedan acceder a otras URL, haga clic en Ocultar la barra de URL en la pgina del portal.

Activar CIFS
Seleccione esta opcin si desea que los miembros del grupo puedan explorar archivos en servidores de MS Windows de la red corporativa. Es necesario especificar la lista de servidores WINS que activar los archivos correspondientes que se mostrarn a estos usuarios. Para verificar el contenido de una lista de servidores WINS, seleccione la lista y haga clic en Ver. Haga clic en Lectura para permitir que los miembros del grupo puedan leer los archivos. Haga clic en Escritura para permitir que los miembros del grupo puedan realizar cambios en los archivos. Para que esta funcin est disponible, configure al menos una lista de servidores WINS para este contexto de VPN con SSL de Cisco IOS.

Poltica de grupo: Ficha Cliente ligero


Realice los ajustes en esta ficha si desea configurar Cliente ligero, tambin denominado mapeo de puertos, para los miembros de este grupo. Haga clic en Activar cliente ligero (mapeo de puertos) y especifique una lista de mapeo de puertos para activar esta funcin. Debe haber al menos una lista de mapeo de puertos configurada para el contexto de VPN con SSL de Cisco IOS en el que se ha configurado esta poltica de grupo. Haga clic en Ver para examinar la lista de mapeo de puertos seleccionada.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-28

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Poltica de grupo: Ficha Cliente VPN con SSL (tnel completo)


Realice los ajustes en esta ficha si desea que los miembros del grupo puedan descargar y utilizar el software de cliente de tnel completo.

Nota

Es necesario especificar la ubicacin del software de cliente de tnel completo. Para ello, haga clic en Paquetes en el rbol de SSL VPN, especifique la ubicacin del paquete de instalacin y, a continuacin, haga clic en Instalar. Active las conexiones Tnel completo seleccionando Activar en la lista. Si desea que las conexiones Tnel completo sean obligatorias, seleccione Requerido. Si se selecciona Requerido, la comunicacin Sin cliente y Cliente ligero slo funcionar si el software cliente VPN con SSL de Cisco IOS se ha instalado correctamente en el PC cliente.

Conjunto de direcciones IP desde la que se asignar una direccin IP a los clientes


El router asignar direcciones IP a los clientes que establezcan una comunicacin Tnel completo. Especifique el nombre del conjunto o bien haga clic en el botn ... para crear un nuevo conjunto desde el que el router pueda asignar direcciones.

Casilla de verificacin Mantener instalado el software de cliente de tnel completo en el PC cliente


Marque esta casilla si desea que el software Tnel completo permanezca en el PC del cliente cuando ste finalice la sesin. Si no marca esta casilla de verificacin, los clientes debern descargar el software cada vez que establezcan comunicacin con el gateway.

Campo Renegociar clave


Especifique cuntos segundos deben transcurrir para que el tnel quede fuera de servicio y se pueda negociar una nueva clave SSL y restablecer el tnel.

ACL para restringir el acceso de los usuarios de este grupo a los recursos corporativos
Es posible seleccionar o crear una lista de acceso (ACL) que especifique los recursos de la red corporativa restringidos para los miembros del grupo.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-29

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

La pgina de inicio de cliente aparecer al abrir un explorador Web con el software de tnel completo instalado
Escriba la direccin URL a la pgina de inicio que deben visualizar los clientes Tnel completo de este grupo.

Lmites de tiempo de deteccin de par inactivo


La Deteccin de par muerto (DPD) permite al sistema detectar un par que ya no responde. Es posible definir lmites de tiempo distintos que el router puede utilizar para detectar clientes y servidores que ya no responden. El intervalo oscila en ambos casos entre 0 y 3600 segundos.

Botn Configurar servidores DNS y WINS


Haga clic para ver el cuadro de dilogo Servidores DNS y WINS, que permite especificar las direcciones IP de los servidores DNS y WINS en la intranet corporativa que deben utilizar los clientes para acceder a los servicios y hosts de la intranet.

Botn Configuracin de opciones avanzadas de tnel


Haga clic para ver el cuadro de dilogo Opciones avanzadas de tnel, que permite configurar los ajustes del tnel para la divisin de la arquitectura de tneles y la divisin de DNS, as como los ajustes del servidor proxy para clientes que utilicen Microsoft Internet Explorer.

Opciones avanzadas de tnel


La configuracin realizada en este cuadro de dilogo permite controlar el trfico cifrado, especificar los servidores DNS de la intranet corporativa e indicar los ajustes del servidor proxy que deben enviarse a los exploradores cliente.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-30

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Divisin de la arquitectura de tneles


El cifrado de todo el trfico del tnel puede requerir un uso excesivo de los recursos del sistema. La divisin de la arquitectura de tneles permite especificar las redes de las que debe cifrarse el trfico y evitar as que se cifre el trfico destinado a otras redes. Es posible especificar qu trfico del tnel se debe cifrar, o bien especificar qu trfico no debe cifrarse y dejar que el router cifre todo el trfico restante del tnel. Slo se puede crear una lista; el trfico incluido y el excluido son excluyentes mutuamente. Haga clic en Incluir trfico y utilice las teclas Agregar, Editar y Eliminar para crear una lista con las redes de destino cuyo trfico debe cifrarse. O bien haga clic en Excluir trfico y cree una lista con las redes de destino cuyo trfico no debe cifrarse. Haga clic en Excluir LAN locales para excluir de forma explcita del cifrado el trfico del cliente destinado a LAN a las que el router est conectado. Si existen impresoras de red en estas LAN, se deber utilizar esta opcin. Ms detalles acerca de la divisin de la arquitectura de tneles.

Dividir DNS
Si desea que los clientes de VPN con SSL de Cisco IOS utilicen el servidor DNS de la red corporativa solamente para resolver dominios especficos, estos dominios pueden escribirse en esta rea. Deben ser dominios de la intranet corporativa. Separe las entradas con un punto y coma y no utilice retornos de carro. Aqu tiene una lista de ejemplo de entradas: suempresa.com;dev-lab.net;extranet.net Los clientes deben utilizar los servidores DNS proporcionados por sus ISP para resolver todos los dems dominios.

Configuraciones del Proxy del Explorador


Los ajustes de esta rea se envan a los exploradores Microsoft Internet Explorer cliente con conexiones de tnel completo. Estos ajustes no tienen efecto alguno si los clientes utilizan un explorador distinto.
No utilizar servidor proxy

Haga clic aqu para que los exploradores cliente de VPN con SSL de Cisco IOS no utilicen un servidor proxy.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-31

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

Detectar automticamente la configuracin de proxy

Haga clic aqu si desea que los exploradores cliente de VPN con SSL de Cisco IOS detecten automticamente la configuracin del servidor proxy.
Omitir la configuracin de proxy para las direcciones locales

Haga clic aqu si desea que los clientes que se conectan a direcciones locales no usen la configuracin del servidor proxy.
Servidor proxy

Escriba en estos campos la direccin IP del servidor proxy y el nmero de puerto del servicio que proporciona. Por ejemplo, si el servidor proxy admite peticiones FTP, especifique la direccin IP del servidor proxy y el puerto 21.

No usar servidor proxy para direcciones que comiencen por


Si no desea que los clientes utilicen servidores proxy al enviar trfico a redes o direcciones IP especficas, puede indicarlos aqu. Utilice un punto y coma para separar las entradas. Por ejemplo, si no desea que los clientes utilicen un servidor proxy al conectarse con cualquier servidor de las redes 10.10.0.0 10.11.0.0, deber escribir 10.10;10.11. Puede indicar tantas redes como desee.

Servidores DNS y WINS


Especifique las direcciones IP de los servidores DNS y WINS corporativos que se enviarn a los clientes VPN con SSL de Cisco IOS. Los clientes VPN con SSL de Cisco IOS usarn estos servidores para acceder a los servicios y hosts de la intranet corporativa. Proporcione direcciones para servidores WINS y DNS principales y secundarios.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-32

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Ms detalles acerca de la divisin de la arquitectura de tneles


Cuando se establece una conexin VPN con SSL de Cisco IOS con un cliente remoto, todo el trfico que enva y recibe el cliente puede viajar a travs del tnel de VPN con SSL de Cisco IOS, incluido el trfico que no se encuentra en la intranet corporativa. Esto puede perjudicar el rendimiento de la red. La divisin de la arquitectura de tneles permite especificar el trfico que desea enviar a travs del tnel de VPN con SSL de Cisco IOS y dejar que el resto del trfico quede desprotegido y sea gestionado por otros routers. En el rea Divisin de la arquitectura de tneles, puede especificar el trfico para incluir en VPN con SSL de Cisco IOS y excluir el trfico restante por defecto, o puede especificar el trfico para excluir de VPN con SSL de Cisco IOS e incluir el trfico restante por defecto. Por ejemplo, supongamos que nuestra organizacin utiliza las direcciones de red 10.11.55.0 y 10.12.55.0. Agregue estas direcciones de red a la lista Red de destino y haga clic en el botn de opcin Incluir trfico. Todo el trfico restante de Internet como, por ejemplo, el trfico a Google o Yahoo, se dirigira a Internet. O supongamos que es ms prctico excluir el trfico a ciertas redes del tnel de VPN con SSL de Cisco IOS. En este caso, especifique las direcciones a estas redes en la lista Redes de destino y haga clic en el botn de opcin Excluir trfico. Todo el trfico destinado a las redes de la lista Redes de destino se enva mediante routers no seguros y el trfico restante a travs del tnel de VPN con SSL de Cisco IOS. Si los usuarios disponen de impresoras en LAN locales que desean utilizar mientras estn conectados a VPN con SSL de Cisco IOS, en el rea Divisin de la arquitectura de tneles se debe hacer clic en Excluir LAN locales.

Nota

Es posible que la lista Red de destino en el rea Divisin de la arquitectura de tneles ya contenga direcciones de red. La configuracin del trfico realizada en el rea Divisin de la arquitectura de tneles sobrescribir los ajustes realizados previamente en las redes indicadas.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-33

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

Servidores DNS y WINS


Especifique las direcciones IP de los servidores DNS y WINS corporativos que se enviarn a los clientes VPN con SSL de Cisco IOS. Los clientes VPN con SSL de Cisco IOS usarn estos servidores para acceder a los servicios y hosts de la intranet corporativa. Proporcione direcciones para servidores WINS y DNS principales y secundarios.

Contexto: Configuracin HTML


Los ajustes realizados en esta ventana controlan el aspecto del portal del contexto de VPN con SSL de Cisco IOS seleccionado.

Seleccionar tema
Es posible especificar el aspecto del portal seleccionando un tema predefinido en lugar de seleccionar manualmente cada color. Al seleccionar un tema, los ajustes del mismo se muestran en los campos asociados con el botn Personalizar.

Botn Personalizar
Haga clic si desea seleccionar cada color utilizado en el portal y especificar un mensaje de inicio de sesin y un ttulo. Si se ha seleccionado un tema predefinido, los valores de ese tema se muestran en los campos de esta seccin. Es posible modificar estos valores, y los valores indicados se utilizarn en el portal del contexto seleccionado. Los cambios realizados en esta ventana slo afectarn el portal que se est creando, y no los valores por defecto del tema.
Mensaje de inicio de sesin

Escriba el mensaje de inicio de sesin que desea que vean los clientes cuando sus exploradores visualicen el portal. Por ejemplo:
Bienvenido a la red de nombre de la empresa. Finalice la sesin si no es un usuario autorizado.

Ttulo

Escriba el ttulo que desea otorgar al portal. Por ejemplo:


Pgina de conexin a la red de nombre de la empresa

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-34

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Color de fondo para el ttulo

El valor por defecto del color de fondo que aparece tras el ttulo es #9999CC. Puede cambiar este valor haciendo clic en el botn ... para seleccionar otro color.
Color de fondo para ttulos secundarios

El valor por defecto del color de fondo que aparece tras el ttulo es #9729CC. Puede cambiar este valor haciendo clic en el botn ... para seleccionar otro color, o bien especificando el valor hexadecimal de otro color.
Color del texto

El valor por defecto del color del texto es blanco. Puede cambiar este valor haciendo clic en la flecha hacia abajo para seleccionar otro color.
Color del texto secundario

El valor por defecto del color del texto secundario es negro. Puede cambiar este valor haciendo clic en la flecha hacia abajo para seleccionar otro color.
Archivo de logotipo

Si dispone de un logotipo que desea que aparezca en el portal, haga clic en el botn ... para buscarlo en el PC. Se guardar en la memoria flash del router despus de hacer clic en Aceptar, y aparecer en la esquina superior izquierda del portal.

Botn Vista previa


Haga clic para obtener una vista previa del portal con el aspecto que tendr con el tema predefinido o con los valores personalizados especificados.

Seleccionar color
Haga clic en Bsico para seleccionar un color predefinido, o bien haga clic en RGB para crear un color personalizado.

Bsico
Seleccione el color que desea utilizar en la paleta de la izquierda. El color seleccionado aparecer en el cuadrado grande a la derecha del dilogo.

Gua del usuario de Cisco Router and Security Device Manager 2.4 OL-9963-04

19-35

Captulo 19 Contexto de SSL VPN

VPN con SSL de Cisco IOS

RGB
Utilice los deslizadores de los colores rojo, verde y azul para combinarlos y crear un color personalizado. El color creado aparecer en el cuadrado grande a la derecha del dilogo.

Contexto: Listas de servidores de nombres NetBIOS


En esta ventana se muestran todas las listas de servidores de nombres de NetBIOS configuradas para el contexto de VPN con SSL de Cisco IOS seleccionado. CIFS utiliza servidores NetBIOS para mostrar el sistema de archivos de Microsoft Windows corporativo a los usuarios de VPN con SSL de Cisco IOS. Todas las listas de servidores de nombres configuradas para el contexto aparecen en el rea Listas de servidores de nombres NetBIOS. Utilice los botones Agregar, Editar y Eliminar para gestionar estas listas. Haga clic en el nombre de una lista para ver su contenido en el rea Detalles del servidor de nombres NetBIOS.

Agregar o editar una lista de servidores de nombres NetBIOS


Cree o gestione una lista de servidores de nombres NetBIOS en esta ventana. Es necesario especificar un nombre para cada lista que se crea y proporcionar la direccin IP, el lmite de tiempo y el nmero de reintentos para cada servidor de la lista. Uno de los servidores de la lista debe designarse como el servidor maestro. En este dilogo se muestran todos los servidores de la lista, junto con los valores de estado de su maestro, lmite de tiempo y reintentos.

Agregar o editar un servidor NBNS


Se debe especificar la direccin IP de cada servidor, as como los segundos que debe esperar el router para intentar volver a conectarse al servidor y el nmero de veces que el router debe intentar contactar con el servidor. Marque la opcin Hacer este servidor el servidor maestro si desea que este sea el primer servidor de la lista con el que el router establezca comunicacin.

Gua del usuario de Cisco Router and Security Device Manager 2.4

19-36

OL-9963-04

Captulo 19

VPN con SSL de Cisco IOS Contexto de SSL VPN

Contexto: Listas de mapeo de puertos


Configure las listas de mapeo de puertos para el contexto seleccionado en esta ventana. Las listas pueden estar asociadas con cualquier poltica de grupo configurada en el contexto seleccionado. Las listas de mapeo de puertos revelan los servicios de la aplicacin TCP a los clientes de VPN con SSL de Cisco IOS. En la parte superior de la ventana se muestran las listas de mapeo de puertos configuradas para el contexto seleccionado. Haga clic en el nombre de una lista para ver los detalles de la lista en la parte inferior de la ventana. La ventana muestra la direccin IP, el nmero de puerto utilizado, el nmero de puerto correspondiente en el cliente y una descripcin, en el caso de que exista.

Agrega