Guia de Cisco SDM

Sede de la empresa
Cisco Systems, Inc.

170 West Tasman Drive
San Jose, CA 95134-1706
EE.UU.
http://www.cisco.com
Tel: 408 526-4000
800 553-NETS (6387)
Fax: 408 526-4100
Gua del usuario de SDM Express de
Cisco
Nmero de pedido del cliente:
Nmero de parte de texto: OL-7141-04

LAS ESPECIFICACIONES Y LA INFORMACIN RELATIVA A LOS PRODUCTOS DE ESTE MANUAL ESTN SUJETAS A CAMBIOS SIN
PREVIO AVISO. TODAS LAS DECLARACIONES, INFORMACIONES Y RECOMENDACIONES INCLUIDAS EN ESTE MANUAL SE
CONSIDERAN PRECISAS. SIN EMBARGO, LAS MISMAS SE PRESENTAN SIN GARANTA DE NINGN TIPO, EXPLCITA O IMPLCITA.
LA APLICACIN DE CUALQUIER PRODUCTO ES RESPONSABILIDAD TOTAL DE LOS USUARIOS.
LA LICENCIA DE SOFTWARE Y LA GARANTA LIMITADA DEL PRODUCTO QUE LA ACOMPAA SE ESTABLECEN EN EL PAQUETE
DE INFORMACIN SUMINISTRADO CON EL PRODUCTO Y SE INCORPORAN EN ESTE DOCUMENTO MEDIANTE ESTA REFERENCIA.
SI NO ENCUENTRA LA LICENCIA DE SOFTWARE O LA GARANTA LIMITADA, PNGASE EN CONTACTO CON EL REPRESENTANTE
DE CISCO PARA OBTENER UNA COPIA.
La implantacin de Cisco de la compresin de encabezados TCP es una adaptacin de un programa desarrollado por la Universidad de California,
Berkeley (UCB) como parte de la versin de dominio publico de la UCB del sistema operativo UNIX. Todos los derechos reservados. Copyright
1981, Regents of the University of California.
A PESAR DE CUALQUIER OTRA GARANTA ESPECIFICADA EN ESTE DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTO Y
SOFTWARE DE ESTOS PROVEEDORES SE PROPORCIONAN TAL CUAL CON TODOS LOS ERRORES. CISCO Y LOS PROVEEDORES
MENCIONADOS ANTERIORMENTE RENUNCIAN A TODA GARANTA, EXPLCITA O IMPLCITA, INCLUIDAS, SIN LIMITACIONES,
LAS DE COMERCIABILIDAD, CAPACIDAD PARA UN PROPSITO EN PARTICULAR Y NO INFRACCIN O LAS QUE PUEDAN SURGIR
DEL TRATO, USO O PRCTICA COMERCIAL.
EN NINGN CASO, CISCO NI SUS PROVEEDORES SERN RESPONSABLES DE NINGN DAO INDIRECTO, ESPECIAL,
CONSECUENTE O FORTUITO, INCLUYENDO, SIN LIMITACIONES, GANANCIAS PERDIDAS O DATOS PERDIDOS O DAADOS, QUE
PUEDAN SURGIR DEL USO O INCAPACIDAD DE USO DE ESTE MANUAL, INCLUSO EN CASO DE QUE CISCO O SUS PROVEEDORES
HAYAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS.
Ninguna direccin de Protocolo de Internet (IP) utilizada en este documento es real. Todo ejemplo, resultado de visualizacin de comandos y figura
incluido en el documento se muestran slo con fines ilustrativos. El uso de cualquier direccin IP en contenido ilustrativo es mera coincidencia.
Gua del usuario de SDM Express de Cisco
2007 Cisco Systems, Inc. Todos los derechos reservados.
CCIP, CCSP, el logotipo Arrow de Cisco, la marca Powered Network de Cisco, Cisco Unity, Follow Me Browsing, FormShare y StackWise son marcas
comerciales de Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn e iQuick Study son marcas de servicio de Cisco Systems,
Inc.; y Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, el logotipo Cisco Certified Internetwork Expert, Cisco IOS,
el logotipo Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, el logotipo Cisco Systems, Empowering the Internet Generation,
Enterprise/Solver, EtherChannel, EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, iQ Expertise, el logotipo iQ, iQ Net Readiness
Scorecard, LightStream, MGX, MICA, el logotipo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing,
RateMUX, Registrar, ScriptShare, SlideCast, SMARTnet, StrataView Plus, Stratm, SwitchProbe, TeleRouter, The Fastest Way to Increase Your Internet
Quotient, TransPath y VCO son marcas comerciales registradas de Cisco Systems, Inc. y/o sus afiliadas en los Estados Unidos y otros pases especficos.
El resto de marcas comerciales mencionadas en este documento o sitio Web pertenecen a sus respectivos propietarios. El uso de la palabra asociado no
implica una relacin de sociedad entre Cisco y cualquier otra empresa. (0304R)

i
Ol-7141-04
C O N T E N I D O
SDMExpress de Cisco 1
Bienvenido 1
Configuracin bsica 2
Provisionamiento del router 3
Suministro del token USB 5
Suministro del flash USB 6
Seleccin de archivos 6
Configuracin de la interfaz inalmbrica 7
Configuracin de la interfaz LAN 8
Configuracin del servidor DHCP 9
Internet (WAN): Interfaz Ethernet 11
Internet (WAN): Deteccin automtica de encapsulacin 13
Internet (WAN): Encapsulacin especificada por el usuario 14
Seleccin de interfaz WAN 17
Conexin de serie 18
Ajuste de configuracin de Frame Relay 20
Internet (WAN): Opciones avanzadas 21
Informacin del servidor CNS 21
Configuracin del firewall 23
Configuracin de seguridad 24
Resumen 26
Ayuda complementaria 27
Cisco Router and Security Device Manager 27

Contenido
ii
Ol-7141-04
Servicios de red de Cisco 27
Desactivar SNMP 28
Desactivar el servicio Finger 29
Desactivar el servicio PAD 30
Desactivar el servicio de pequeos servidores TCP 30
Desactivar el servicio de pequeos servidores UDP 31
Desactivar el servicio del servidor BOOTP IP 32
Desactivar el servicio de identificacin IP 32
Desactivar CDP 33
Desactivar la ruta de origen IP 33
Activar el servicio de cifrado de contraseas 34
Activar cambio a Netflow 34
Activar los paquetes keep-alive de TCP para sesiones telnet
entrantes 35
Activar los paquetes keep-alive de TCP para sesiones telnet
salientes 35
Activar nmeros de secuencia y marcadores de hora en
depuraciones 35
Activar IP CEF 36
Definir el intervalo del programador 36
Definir la asignacin del programador 37
Definir la hora TCP Synwait 37
Activar registro 38
Activar RPF de unidifusin en interfaces externas 38
Desactivar Gratuitous ARP de IP 39
Desactivar redireccionamiento IP 39
Desactivar ARP Proxy IP 40
Desactivar difusin dirigida IP 40
Desactivar el servicio MOP 41
Desactivar IP de destino inalcanzable 42

iii
Ol-7141-04
Contenido
Desactivar respuesta de mscara IP 42
Definir la longitud mnima de la contrasea a menos de 6 caracteres 43
Definir la proporcin de fallos de autenticacin a menos de 3
intentos 43
Definir anuncio 44
Activar configuracin Telnet 44
Activar SSH para acceder al router 45
Botones de SDMExpress de Cisco 45
Volver a establecer la conexin con el router despus de la configuracin
inicial 47
Prueba de la conexin WAN (Internet) 48
Sugerencias para la solucin de problemas SDP 48
Modo Edicin de SDM Express de Cisco 1
Aspectos generales 1
Configuracin bsica 3
Editar un nombre de usuario 4
LAN 5
Inalmbrica 5
WAN: no se puede configurar la interfaz WAN 5
Ninguna WAN disponible 6
Eliminar conexin 6
Firewall 6
NAT 7
Agregar/Editar regla de traduccin de direcciones 8
Enrutamiento 9
Herramientas 12
Ping 13

Contenido
iv
Ol-7141-04
Actualizar SDM desde Cisco.com 13
Conexin a CCO 14
Actualizar SDM desde un PC local 14
Actualizar SDM desde un CD 15
Propiedades de fecha y hora 16
Restablecer los valores por defecto de fbrica 17
Reconfigurar el equipo personal con una direccin IP esttica o dinmica 18
Funcin no disponible 20
CAP T UL O

1-1
SDM Express de Cisco
OL-7141-04
1
SDMExpress de Cisco
Las ventanas de SDM Express de Cisco le guan a travs de los pasos de la
configuracin bsica del router. Una vez finalizada esta configuracin bsica, el
router estar disponible en la LAN, tendr una conexin WAN y un firewall.
Bienvenido
Este asistente le ayuda a realizar una configuracin bsica que le permitir lo
siguiente.
Dar nombre al router.
Especificar un nombre de usuario y contraseas.
Puede configurar el router manualmente mediante el asistente SDM Express
de Cisco, o provisionarlo con un archivo de configuracin cargado desde un
token USB o un dispositivo flash USB, SDP (Secure Device Provisioning) o
los Servicios de red de Cisco (CNS), si es compatible con la versin del IOS
de Cisco.
Si utiliza los Servicios de red de Cisco para configurar el router, puede
especificar parmetros de CNS que permitirn al router ponerse en contacto
con un servidor de CNS y obtener una configuracin.
Cambiar la direccin IP LAN por defecto de fbrica.
Esta tarea se omite si se selecciona SDP o CNS para provisionar el router.
Crear un conjunto de direcciones DHCP para la LAN.

Captulo 1 SDMExpress de Cisco
Configuracin bsica
1-2
OL-7141-04
Identifique los servidores DNS y el nombre de dominio de su organizacin.
Para obtener esta informacin, consulte a su administrador de red o proveedor
de servicios de Internet.
Crear una conexin WAN.
Crear un firewall para las conexiones LAN y WAN.
Realizar ajustes que mejorarn la seguridad y el rendimiento de la red.
Para configurar interfaces adicionales y realizar una configuracin ms avanzada,
utilice Cisco Router and Security Device Manager (Cisco SDM). Consulte el
apartado Cisco Router and Security Device Manager para obtener ms
informacin.
Configuracin bsica
La ventana Configuracin bsica le permite asignar un nombre al router que est
configurando, especificar el nombre de dominio de su empresa y controlar el
acceso a SDM Express de Cisco, a Cisco Router and Security Device Manager y
a la interfaz de lnea de comandos (CLI).
Campo Nombre del Host
Especifique el nombre que desee asignar al router.
Campo del Nombre del Dominio
Especifique el nombre de dominio de su empresa. Un ejemplo de nombre de
dominio es cisco.com, pero su nombre de dominio puede utilizar un sufijo
distinto, como .org o .net.
Campos Nombre de usuario y Contrasea
Deber configurar el nombre de usuario y la contrasea para los usuarios de
SDM Express de Cisco y de Telnet.
Nota El nombre de usuario y la contrasea que defina en esta ventana sern los que se
utilizarn a partir de la prxima vez que utilice SDM Express de Cisco, a menos
que los modifique. Elija una contrasea que resulte difcil de adivinar pero fcil
de recordar.

1-3
OL-7141-04
Provisionamiento del router
Campo Nombre de Usuario
Especifique un nombre de usuario en este campo.
Ingrese el Campo de la Nueva Contrasea
Especifique la nueva contrasea en este campo. La contrasea debe tener un
mnimo de 6 caracteres.
Reingrese el Campo de la Nueva Contrasea
Vuelva a especificar la contrasea para confirmarla.
Active el Campo de Contrasea Secreta
La contrasea secreta activada controla el acceso al modo EXEC con privilegios
por los usuarios que estn accediendo al router por medio de Telnet o el puerto de
consola. En el modo EXEC con privilegios, los usuarios pueden realizar cambios
en la configuracin y acceder a otros comandos que no estn disponibles en
ningn otro modo. Especifique la activacin de la contrasea secreta en el campo
Especificar contrasea y especifquela de nuevo en el campo Volver a
especificar contrasea a modo de confirmacin. La contrasea debe tener un
mnimo de 6 caracteres.
Nota Elija una contrasea secreta de activacin que pueda recordar con facilidad pero
que resulte difcil de adivinar. No la podr leer al visualizar el archivo de
configuracin porque se guarda de forma cifrada.
Esta ventana enumera las opciones disponibles para provisionar el router. Algunas
de estas opciones slo aparecen si son compatibles con la versin del IOS de
Cisco.
SDM Express
Elija esta opcin si desea utilizar SDM Express de Cisco para provisionar el
router manualmente.

1-4
OL-7141-04
Token USB o Flash USB
Elija esta opcin si tiene un token USB o un dispositivo flash USB adjunto al
router y que contiene el archivo de configuracin adecuado.
Nota Si tanto un token USB como un dispositivo flash USB estn conectados al router,
SDM Express de Cisco usar el token USB. Si usted quiere usar el dispositivo
flash USB conectado a su router, todos los tokens USB deben retirarse del router
antes de ejecutar SDM Express de Cisco.
Secure Device Provisioning
Elija Secure Device Provisioning (SDP) si el administrador de la red le ha
proporcionado informacin para provisionar el router con SDP.
Asegrese de que se cumplan las siguientes condiciones antes de elegir la
opcin SDP:
Existe conectividad IP entre el router y el servidor SDP.
Su navegador web es compatible con JavaScript.
Si elige SDP, una nueva ventana del navegador se abrir automticamente despus
de que usted cierre el asistente SDM Express de Cisco. La nueva ventana contiene
un asistente que le ayudar a provisionar el router con SDP.
Si desea obtener ms informacin acerca de SDP, consulte
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_
guide09186a008028afbd.html#wp1043332
Servidor CNS
Si el proveedor de servicios le ha proporcionado informacin del servidor CNS,
elija esta opcin. Para obtener ms informacin, haga clic en Servicios de red de
Cisco.

1-5
OL-7141-04
Suministro del token USB
Suministro del token USB
Esta ventana permite que usted le suministre a su router un archivo de
configuracin CCCD cargado de un token USB conectado a su router. Los
archivos CCCD son archivos de configuracin de inicializacin que pueden
cargarse en tokens USB que usan software de TMS.
Nota Esta ventana slo aparece si un token USB est conectado a su router. Si tanto un
token USB como un dispositivo flash USB estn conectados al router,
SDM Express de Cisco usar el token USB. Si usted quiere usar el dispositivo
flash USB conectado a su router, todos los tokens USB deben retirarse del router
antes de ejecutar SDM Express de Cisco.
Cuando usted le proporcione a su router un archivo de configuracin CCCD, el
archivo se fusionar con la configuracin que se est ejecutando, y tambin se
har parte de la configuracin inicial.
Precaucin SDM de Cisco no verifica la validez de los archivos de configuracin que usted
usa para provisionar su router. Asegrese que el contenido del archivo de
configuracin que usted planea usar contenga las configuraciones apropiadas.
Para suministrarle un token USB a su router, siga estos pasos:
Paso 1 Elija el nombre del token USB del men desplegable Nombre de token.
Paso 2 Elija Especifique el dispositivo y su PIN e introduzca un PIN en el campo de PIN
del token si no desea usar el PIN predeterminado para iniciar sesin en el
token USB.
Si elige Especifique el dispositivo y su PIN por defecto, el PIN predeterminado
123456780 se usar para iniciar sesin en el token USB.
Paso 3 Haga clic en Inicio de sesin para acceder al token USB.
Si no puede iniciar sesin en el token USB, el router no podr provisionarse desde
el token USB. Haga clic en el botn Atrs y elija otro mtodo para provisionar el
router.
Paso 4 Haga clic en Vista preliminar de CCCD para desplegar el contenido del archivo
en el panel inferior.

Suministro del flash USB
1-6
OL-7141-04
Suministro del flash USB
Esta ventana permite que usted le suministre a su router un archivo de
configuracin cargado de un dispositivo flash USB conectado a su router. Esta
ventana aparece slo si un dispositivo flash USB est conectado a su router.
Cuando usted le suministra a su router un archivo de configuracin, el archivo se
fusiona con la configuracin que se ejecuta, y tambin se hace parte de la
configuracin inicial.
Precaucin SDM de Cisco no verifica la validez de los archivos de configuracin que usted
usa para provisionar su router. Asegrese que el contenido del archivo de
configuracin que usted planea usar contenga los datos apropiados.
Para suministrarle un dispositivo flash USB a su router, siga estos pasos:
Paso 1 Ingrese el nombre del archivo de configuracin, con su ruta completa, en el campo
Nombre de archivo, o haga clic en Examinar para abrir una ventana de seleccin
de archivos.
El archivo debe tener una extensin .cfg o el nombre del archivo debe ser un
archivo CCCD. Los archivos CCCD son archivos de configuracin de
inicializacin.
Paso 2 Haga clic en Vista previa del archivo para desplegar el contenido del archivo en
el panel inferior.
Seleccin de archivos
Esta ventana permite cargar un archivo desde el router. Esta ventana slo permite
ver sistemas de archivos DOSFS.
El lado izquierdo de la ventana muestra un rbol expansible que representa el
sistema de directorio de la memoria flash de su router Cisco y de los dispositivos
USB conectados a ese router.

1-7
OL-7141-04
Configuracin de la interfaz inalmbrica
El lado derecho de la ventana muestra una lista con los nombres de los archivos y
directorios encontrados en el directorio especificado en el lado izquierdo de la
ventana. Tambin muestra el tamao de cada archivo en bytes, as como la fecha
y hora de la ltima modificacin de cada archivo y directorio.
Es posible seleccionar un archivo para cargar de la lista al lado derecho de la
ventana. Bajo la lista de archivos, se encuentra un campo Nombre de archivo que
contiene la ruta completa del archivo seleccionado.
Nota Si se est seleccionando un archivo de configuracin para provisionar su router,
el archivo debe ser un archivo CCCD o tener una extensin .cfg.
Nombre
Haga clic en Nombre para ordenar los archivos y directorios alfabticamente por
nombre. Haga clic en Nombre nuevamente para invertir el orden.
Tamao
Haga clic en Tamao para ordenar los archivos y directorios por tamao. Los
directorios siempre tienen un tamao de cero bytes, aunque no estn vacos. Haga
clic en Tamao nuevamente para invertir el orden.
Hora de modificacin
Haga clic en Hora de modificacin para ordenar los archivos y directorios por
fecha y hora de modificacin. Haga clic en Hora de modificacin nuevamente
para invertir el orden.
Configuracin de la interfaz inalmbrica
Si desea configurar la interfaz inalmbrica del router, haga clic en S.
SDM Express de Cisco configurar el router para que haga de puente del trfico
inalmbrico a la interfaz LAN. Haga clic en No si no desea configurar la interfaz
inalmbrica. Igualmente puede configurar la interfaz LAN haciendo clic en No.
SDM Express de Cisco le permite configurar una interfaz inalmbrica. Si hay
otras interfaces inalmbricas en el router, utilice la Aplicacin inalmbrica para
configurarlas.

Configuracin de la interfaz LAN
1-8
OL-7141-04
Configuracin de la interfaz LAN
Esta ventana le permite configurar la direccin IP de la Ethernet LAN y la
informacin de la subred.
Si necesita realizar cambios en la direccin IP de la interfaz LAN Ethernet y en
la informacin de subred una vez finalizado el asistente SDM Express de Cisco,
puede hacerlo iniciando nuevamente SDM Express de Cisco, haciendo clic en
LAN y editando la direccin segn sea necesario.
Lista de interfaz/puente a interfaz
Si el router tiene varias interfaces LAN, las interfaces se muestran en esta lista.
Seleccione la interfaz LAN que desea configurar.
Si el router tiene una interfaz inalmbrica, y usted hizo clic en S en la ventana de
configuracin de interfaz inalmbrica, esta lista se etiquetar como Puente a
Interfaz. Seleccione la interfaz a la que quiere enviar el trfico inalmbrico.
Campo Direccin IP
Especifique la direccin IP de la interfaz LAN en formato de decimales con
puntos. Se puede tratar de una direccin IP privada si tiene la intencin de utilizar
la Traduccin de direcciones de red (NAT) o la Traduccin de direcciones de
puerto (PAT).
Nota Antese la direccin. Cuando finalice el asistente SDM Express de Cisco y
reinicie el router, utilice esta direccin para ejecutar SDM Express de Cisco. No
utilice la direccin proporcionada en la Gua de inicio rpido del router.
Campo Mscara de subred
Especifique la mscara de subred de la red. Este valor se obtiene del proveedor
de servicios o del administrador de redes. La mscara de subred permite que el
router determine qu porcin de la direccin IP se utilizar para definir la parte
de red y subred de la direccin. El valor de la mscara de subred tambin
determina el nmero de hosts que puede haber en la LAN en la que est conectado
este router.

1-9
OL-7141-04
Configuracin del servidor DHCP
Campo Bits de subred
Como alternativa, especifique el nmero de bits utilizados para definir la parte de
red y subred de la direccin IP. El administrador de redes, o el proveedor de
servicios, pueden proporcionar la informacin de la mscara de subred de esta
forma.
Campos Parmetros de red inalmbrica
Durante la configuracin inicial, estos campos aparecen si el router tiene una
interfaz inalmbrica y usted hizo clic en S en la ventana de configuracin de
interfaz inalmbrica. Si est editando una configuracin, estos campos aparecern
si realiz una configuracin inalmbrica durante la configuracin inicial. El
trfico inalmbrico ser enviado a esta interfaz LAN.
Especifique un Identificador de configuracin de servicio (SSID) para este trfico
inalmbrico. El SSID es un identificador exclusivo que utilizan los dispositivos
de red inalmbrica para establecer y mantener una conectividad inalmbrica.
Nota Cambiar un valor de SSID configurado deja fuera de servicio a la conexin
inalmbrica.
Si est editando una configuracin LAN una vez finalizado el asistente
SDM Express de Cisco y desea configurar parmetros inalmbricos avanzados,
haga clic en Inalmbrico en la barra de categoras.
Botones Actualizar, Aplicar cambios, Descartar cambios
Son visibles si est editando una configuracin inicial. Haga clic en Botones de
SDM Express de Cisco para obtener ms informacin.
El protocolo DHCP (Dynamic Host Configuration Protocol) es una forma simple
de asignacin de direcciones que se utiliza cuando no se requiere ninguna
direccin esttica y no es necesario utilizar nmeros de puerto para servicios
especficos. DHCP asigna de forma dinmica una direccin IP a un host cuando
ste se conecta a la red y la recupera cuando se desconecta. De este modo, las
direcciones se pueden reutilizar cuando los hosts ya no las necesitan. Utilice
DHCP para asignar direcciones a recursos (como un PC) de su red interna.

1-10
OL-7141-04
Casilla de verificacin Activar el servidor DHCP en la Interfaz LAN
Marque esta casilla para permitir que el router asigne direcciones IP privadas a
dispositivos de la LAN. Cuando se activa desde esta ventana, el servidor DHCP
cede direcciones IP a los hosts durante perodos de un da. Si marca esta casilla
de verificacin, deber introducir valores en los campos Direccin IP inicial y
Direccin IP final.
Campo Direccin IP inicial
SDM Express de Cisco especifica la direccin ms baja del rango de direccin IP
de este campo, en funcin de la direccin IP y la mscara de subred que ha
especificado para la interfaz LAN. Este valor se puede cambiar por una direccin
ms alta si desea que el conjunto de direcciones DHCP sea ms pequeo, pero
debe especificar una direccin en la misma subred que la direccin de la interfaz
LAN, o SDM Express de Cisco mostrar un mensaje informndole de que la
direccin no es vlida.
Campo Direccin IP final
SDM Express de Cisco especifica la direccin vlida ms alta del rango de
direcciones IP de este campo, en funcin de la direccin IP y la mscara de subred
que ha especificado para la interfaz LAN. Este valor se puede cambiar por una
direccin ms baja si desea que el conjunto de direcciones DHCP sea ms
pequeo, pero debe especificar una direccin en la misma subred que la direccin
de la interfaz LAN, o SDM Express de Cisco mostrar un mensaje informndole
de que la direccin no es vlida.
Visible una vez finalizada la configuracin inicial. Puede especificar el nombre
de dominio de su empresa. Un ejemplo de nombre de dominio es cisco.com, pero
su nombre de dominio puede utilizar un sufijo distinto, como .org o .net.
Casilla de verificacin Importar todos los parmetros de opciones de DHCP en la base de datos del
servidor DHCP
Visible una vez finalizada la configuracin inicial. Marque esta opcin si desea
importar los parmetros de opcin de DHCP a la base de datos del servidor DHCP
y enviar esta informacin a los clientes DHCP en la LAN cuando solicitan
direcciones IP.

1-11
OL-7141-04
Internet (WAN): Interfaz Ethernet
Campo Servidor de nombre de dominio principal
Especifique la direccin IP del servidor DNS principal que utilizar el router. El
administrador de redes o el proveedor de servicios le proporcionarn la
direccin IP.
El servidor DNS principal es el servidor con el que se pone en contacto el router
en primer lugar al intentar resolver una direccin IP.
Campo Servidor de nombre de dominio secundario
Especifique la direccin IP del servidor DNS secundario que utilizar el router,
en caso de estar disponible. El administrador de redes o el proveedor de servicios
le proporcionarn la direccin IP.
El servidor DNS secundario es el servidor con el que el router se pone en contacto
si el servidor principal no est disponible.
Casilla de verificacin Utilizar estos valores DNS para los clientes DHCP
Disponible si se ha activado un servidor DHCP en la interfaz LAN. Marque esta
casilla si desea que los clientes DHCP del router sean capaces de usar los
servidores DNS cuyas direcciones IP indica en esta ventana.
Son visibles si est editando una configuracin inicial. Para obtener ms
informacin, haga clic en Botones de SDM Express de Cisco.
Utilice esta ventana para configurar una interfaz WAN Ethernet.
Casilla de verificacin Activar PPPoE
Si el proveedor de servicios requiere que el router utilice PPPoE, marque esta
casilla para activar la encapsulacin PPPoE. Desmrquela si su proveedor de
servicios no utiliza PPoE. Esta casilla de verificacin no estar disponible si el
router ejecuta una versin del IOS de Cisco que no admite la encapsulacin
PPPoE.

1-12
OL-7141-04
Lista Tipo de direccin
Seleccione uno de los siguientes:
Opcin de direccin IP esttica
Si selecciona esta opcin, especifique la direccin IP y la mscara de subred o los
bits de subred en los campos proporcionados.
Opcin Dinmica (cliente DHCP)
Si selecciona Dinmica, el router ceder una direccin IP del servidor DHCP
remoto. Especifique el nombre del servidor DHCP que asignar las direcciones.
Opcin IP No numerada
Seleccione IP no numerada cuando desee que la interfaz comparta una direccin
IP que ya se ha asignado a otra interfaz. A continuacin, seleccione la interfaz
cuya direccin IP desee que utilice la interfaz que est configurando. Si no se
seleccion Activar PPPoE, esta opcin no est disponible.
IP simple (IP negociado)
Seleccione IP simple (IP negociado) si el router obtendr una direccin IP a
travs de la negociacin de direcciones PPP/IPCP. Si no se seleccion Activar
PPPoE, esta opcin no est disponible.
Casilla de verificacin Tipo de autenticacin
Marque la casilla que corresponda al tipo de autenticacin que utiliza el proveedor
de servicios. Si desconoce el tipo que utiliza, puede marcar ambas casillas: el
router intentar ambos tipos de autenticacin (uno de ellos funcionar).
La autenticacin CHAP es ms segura que la autenticacin PAP.
Campo Nombre de usuario
El nombre de usuario se lo proporciona su proveedor de servicios de Internet o su
administrador de red y se usa como el nombre de usuario para autenticacin
CHAP y/o PAP.

1-13
OL-7141-04
Internet (WAN): Deteccin automtica de encapsulacin
Campo Contrasea
Especifique la contrasea exactamente tal como se la ha proporcionado por el
proveedor de servicios. Las contraseas distinguen entre maysculas y
minsculas. Por ejemplo, la contrasea prueba difiere de Prueba.
Campo Confirmar contrasea
Vuelva a especificar la misma contrasea que ha especificado en el cuadro
anterior.
Internet (WAN): Deteccin automtica de
encapsulacin
SDM Express de Cisco admite la deteccin automtica en los routers SB 106, SB
107, Cisco 836 y Cisco 837. Sin embargo, si est configurando un router Cisco
837 y el router est ejecutando la versin 12.3(8)T o 12.3(8.3)T del IOS de Cisco,
no se admite la funcin de autodeteccin.
Haga clic en el botn Deteccin automtica para que SDM Express de Cisco
detecte el tipo de encapsulacin. Si SDM Express de Cisco lo consigue,
suministrar de forma automtica el tipo de encapsulacin y los dems parmetros
de configuracin que detecte.
Si SDM Express de Cisco no puede detectar el tipo de encapsulacin, deber
especificar los tipos de encapsulacin y autenticacin haciendo clic en
Especificado por el usuario.
Icono de estado y Botn Activar/Desactivar
El icono de Estado se muestra cuando utiliza SDM Express de Cisco para editar
una configuracin inicial. El icono de flecha hacia arriba indica que la interfaz
est activa. El icono de flecha hacia abajo indica que la interfaz est inactiva.

Internet (WAN): Encapsulacin especificada por el usuario
1-14
OL-7141-04
Los botones Activar o Desactivar estn disponibles cuando utiliza
SDM Express de Cisco para editar una configuracin inicial. Si est activa una
interfaz seleccionada, puede utilizar el botn Desactivar para pararla. Si una
interfaz seleccionada est desactivada, puede utilizar el botn Activar para
activarla.
Internet (WAN): Encapsulacin especificada por el
usuario
Utilice esta ventana para configurar una interfaz WAN cuando especifique el tipo
de encapsulacin.
Icono de estado y Botn Activar/Desactivar
El icono de Estado se muestra cuando utiliza SDM Express de Cisco para editar
una configuracin inicial. El icono de flecha hacia arriba indica que la interfaz
est activa. El icono de flecha hacia abajo indica que la interfaz est inactiva.
Los botones Activar o Desactivar estn disponibles cuando utiliza
SDM Express de Cisco para editar una configuracin inicial. Si est activa una
interfaz seleccionada, puede utilizar el botn Desactivar para pararla. Si una
interfaz seleccionada est desactivada, puede utilizar el botn Activar para
activarla.

1-15
OL-7141-04
Lista de Encapsulacin
Las encapsulaciones disponibles si dispone de una interfaz ADSL, G.SHDSL, o
ADSL sobre ISDN (RDSI) aparecen en la tabla siguiente.
Campo Identificador de ruta virtual
Especifique el valor del Identificador de ruta virtual (VCI) que obtiene del
proveedor de servicios o del administrador del sistema. El VPI se utiliza en la
conmutacin y el enrutamiento ATM para identificar la ruta que se utiliza para una
variedad de conexiones.
Campo Identificador de circuito virtual
Especifique el valor del Identificador de circuito virtual (VCI) que obtiene del
proveedor de servicios o del administrador del sistema. El VCI se utiliza en la
conmutacin y el enrutamiento ATM para identificar una conexin especfica
dentro de una ruta que posiblemente comparte con otras conexiones.
Encapsulacin Descripcin
PPPoE Proporciona el protocolo punto a punto sobre la encapsulacin de Ethernet. Si
configura PPPoE mediante una interfaz ATM, se crearn una subinterfaz ATM y
una interfaz de marcacin. Estas interfaces lgicas estarn visibles en la ventana
Resumen.
La opcin PPPoE estar desactivada si el router ejecuta una versin del software
IOS de Cisco que no admite la encapsulacin de PPPoE.
PPPoA Proporciona un Protocolo punto a punto sobre la encapsulacin ATM (AAL5
SNAP, y AAL5 MUX). La opcin PPPoA estar desactivada si el router ejecuta
una versin del software IOS de Cisco que no admite la encapsulacin de PPPoA.
Enrutamiento
RFC1483
con AAL5SNAP
Esta opcin est disponible si selecciona una interfaz ATM. Si configura una
conexin RFC1483, se crear una subinterfaz ATM. Esta subinterfaz estar
visible en la ventana Resumen.
Enrutamiento
RFC1483
con AAL5MUX
Esta opcin est disponible si selecciona una interfaz ATM. Si configura una
conexin RFC1483, se crear una subinterfaz ATM. Esta subinterfaz estar
visible en la ventana Resumen.

1-16
OL-7141-04
Seleccione uno de los siguientes:
Direccin IP esttica: si selecciona direccin IP esttica, especifique la
direccin IP y la mscara de subred o los bits de red en los campos
proporcionados.
Cliente ( DHCP dinmico ): si selecciona Dinmico, el router ceder una
direccin IP de un servidor DHCP remoto. Especifique el nombre del
servidor DHCP que asignar las direcciones.
IP no numerada: seleccione IP no numerada cuando desee que la interfaz
comparta una direccin IP que ya se ha asignado a otra interfaz. A
continuacin, seleccione la interfaz cuya direccin IP desee que utilice la
interfaz que est configurando.
IP simple (IP negociado): seleccione IP simple (IP Negociado) si el router
va a obtener una direccin IP a travs de la negociacin de direcciones
PPP/IPCP.
Campo Direccin IP de la conexin remota en la oficina central
Si est configurando una conexin G.SHDSL, especifique la direccin IP del
gateway al cual se conectar este enlace. Esta direccin IP la proporciona el
proveedor de servicios o el administrador de redes. El gateway es el sistema al que
el router debe conectarse para obtener acceso a Internet o a la WAN de la
organizacin.
Casilla de verificacin Tipo de autenticacin
Marque la casilla que corresponda al tipo de autenticacin que utiliza el proveedor
de servicios. Si desconoce el tipo que utiliza, puede marcar ambas casillas: el
router intentar ambos tipos de autenticacin (uno de ellos funcionar).
La autenticacin CHAP es ms segura que la autenticacin PAP.
Introduzca el nombre de usuario que le proporcion su proveedor de servicios de
Internet o su administrador de red y selo como el nombre de usuario para
autenticacin CHAP y/o PAP.

1-17
OL-7141-04
Seleccin de interfaz WAN
Campo Contrasea
Especifique la contrasea exactamente tal como se la ha proporcionado por el
proveedor de servicios. Las contraseas distinguen entre maysculas y
minsculas. Por ejemplo, la contrasea prueba difiere de Prueba.
Campo Confirmar contrasea
Vuelva a especificar la misma contrasea que ha especificado en el cuadro
anterior.
SDM Express de Cisco le permite configurar una conexin WAN. Si su router
tiene varias interfaces WAN, seleccione la interfaz que desea configurar en esta
ventana. Seleccione la interfaz que desea configurar de la lista, haga clic en
Agregar conexin y configure la conexin en el cuadro de dilogo que aparece.
Nota Si no configura una conexin WAN, no podr configurar el firewall, el
enrutamiento, CNS ni SDP.
Botones Agregar conexin, Editar, Eliminar
El botn Agregar conexin est activado si no se ha configurado an una
conexin WAN. Los botones Editar y Eliminar estn activados si se ha
configurado al menos una conexin WAN.
Para configurar una interfaz, seleccione la interfaz y haga clic en Agregar.
conexin. Si este botn est desactivado, puede configurar conexiones WAN
adicionales utilizando SDM de Cisco, o eliminar una conexin configurada y
configurar una diferente.
Para editar una configuracin existente, seleccione la interfaz y haga clic en
Editar.
Para eliminar una configuracin, seleccione la interfaz y haga clic en Eliminar.

1-18
OL-7141-04
Botn Activar/Desactivar
Disponible cuando est utilizando SDM Express de Cisco para editar una
configuracin inicial. Si est activa una interfaz seleccionada, puede utilizar el
botn Desactivar para pararla. Si una interfaz seleccionada est desactivada,
puede utilizar el botn Activar para activarla.
Lista de interfaces
Muestra el nombre de la interfaz, la direccin IP y el tipo de interfaz para todas
las interfaces WAN. Si no se ha configurado ninguna direccin IP para una
interfaz, aparece el texto sin direccin IP.
Nota Si no configur la interfaz LAN por defecto en la ventana de configuracin de
interfaz LAN ni la configur con una nueva direccin IP, aparece en esta ventana
y puede configurarse como una interfaz WAN.
Botn Actualizar
Visible si est editando una configuracin inicial. Haga clic en Botones de
Conexin de serie
Cree o edite una conexin de serie en esta ventana.
Lista de Encapsulacin
Seleccione la encapsulacin para esta conexin. Si est editando una conexin, no
puede cambiar el tipo de encapsulacin en esta ventana. Debe eliminar la
conexin, y a continuacin crear una nueva conexin con el tipo de encapsulacin
que necesite.
Frame Relay: protocolo del nivel de enlace de los datos conmutados que
gestiona varios circuitos virtuales mediante encapsulacin HDLC entre
dispositivos conectados.

1-19
OL-7141-04
HDLC: control del enlace de datos de alto nivel. Protocolo de nivel de enlace
de los datos sncrono y orientado a bits desarrollado por la ISO (International
Standards Organization). HDLC especifica un mtodo de encapsulacin de
datos en enlaces en serie sncronos mediante sumas de comprobacin y
caracteres de trama.
PPP: protocolo punto a punto.
Detalles de la autenticacin
Si selecciona la encapsulacin PPP, puede proporcionar informacin de
autenticacin que su proveedor de servicios de Internet puede requerir.
Nombre de usuario: introduzca el nombre de usuario que le proporcion su
proveedor de servicios de Internet o su administrador de red y selo como el
nombre de usuario para autenticacin CHAP y/o PAP.
Contrasea: especifique la contrasea exactamente tal como se la ha
proporcionado el proveedor de servicios. Las contraseas distinguen entre
maysculas y minsculas. Por ejemplo, la contrasea prueba difiere de
Prueba.
Confirmar contrasea: vuelva a especificar la misma contrasea que ha
especificado en el cuadro anterior.
Direccin IP esttica: disponible con los tipos de encapsulacin Frame
Relay, PPP y HDLC. Si selecciona esta opcin, especifique la direccin IP y
la mscara de subred o los bits de subred en los campos proporcionados.
IP no numerada: disponible con los tipos de configuracin Frame Relay,
PPP y HDLC. Seleccione esta opcin cuando desee que la interfaz comparta
una direccin IP que ya se ha asignado a otra interfaz. A continuacin,
seleccione la interfaz cuya direccin IP desee que utilice la interfaz que est
configurando.
IP negociado: disponible slo con el tipo de encapsulacin PPP. Seleccione
IP simple (IP negociado) si el router obtendr una direccin IP a travs de
la negociacin de direcciones PPP/IPCP.

1-20
OL-7141-04
Campos Direccin IP y mscara de subred
Si selecciona direccin IP esttica, especifique la direccin IP y la mscara de
subred en esos campos.
Vnculo para los ajustes de la configuracin del Frame Relay
Haga clic en Ajuste de configuracin de Frame Relay para ver una descripcin de
los campos de encapsulacin Frame Relay DLCI, LMI, y Use IETF.
Ajuste de configuracin de Frame Relay
Campo DLCI
Especifique un identificador de conexin de enlace de datos (DLCI) en este
campo. Este nmero debe ser exclusivo entre todos los DLCI que se utilizan en
esta interfaz. El DLCI proporciona un identificador Frame Relay exclusivo para
esta conexin.
Si est modificando una conexin existente, el campo DLCI aparece desactivado.
Si desea cambiar el DLCI, elimine la conexin y vuelva a crearla.
Campo Tipo de LMI
Consulte con el proveedor de servicios para saber cules de los siguientes tipos
de interfaz de gestin local (LMI) debe utilizar. El tipo de LMI especifica el
protocolo que se utiliza para supervisar la conexin:
Opcin ANSI
Anexo D definido por la norma T1.617 del American National Standards
Institute (ANSI).
Opcin Cisco
Tipo de LMI definido conjuntamente por Cisco y otras tres empresas.
Opcin ITU-T Q.933
ITU-T Q.933 Anexo A.

1-21
OL-7141-04
Internet (WAN): Opciones avanzadas
Opcin Deteccin automtica
Predeterminado. Este parmetro permite al router detectar el tipo de LMI que se
est utilizando comunicndose con el switch y, a continuacin, utilizarlo. Si
autodeteccin falla, el router usar el tipo de LMI de Cisco.
Casilla de verificacin Utilizar la encapsulacin Frame Relay IETF
Marque esta casilla para utilizar la encapsulacin Internet Engineering Task Force
(IETF). Esta opcin se utiliza al establecer conexin con routers que no son de
Cisco. Marque esta casilla si se est utilizando esta interfaz para conectarse a un
router que no sea de Cisco.
Internet (WAN): Opciones avanzadas
Esta ventana le permite especificar una ruta esttica por defecto y activar NAT en
el router.
Casilla de verificacin Crear ruta predeterminada
Una ruta esttica por defecto especifica una direccin IP o interfaz a la que el
router enviar trfico cuando el trfico es con destino a una red que el router no
ha aprendido. Si selecciona Utilizar esta interfaz como interfaz de reenvo, el
router enviar todo el trfico a la interfaz WAN que est configurando. Si
selecciona Direccin IP de prximo salto, especifique una direccin a la que
desea que el router reenve dicho trfico.
Estos campos no aparecen si selecciona la interfaz WAN con una direccin IP
dinmica.
Informacin del servidor CNS
Esta ventana aparece si configura una conexin WAN y opta por provisionar el
router mediante la opcin Servicios de red de Cisco (CNS). Le permite especificar
la informacin del servidor CNS que su proveedor de servicios le proporcion.
Especifique la direccin IP y la informacin de inicio de sesin del servidor CNS
para que SDM Express de Cisco pueda recuperar la informacin de configuracin
para el router.

Informacin del servidor CNS
1-22
OL-7141-04
Campo Especificar la direccin IP/nombre de host del servidor CNS
Deber ingresar la direccin IP o el nombre de host del servidor CNS de la red.
Si especifica un nombre de host, deber proporcionar la direccin IP de un
servidor DNS capaz de resolver el nombre de host e interpretarlo como una
direccin IP.
Campo Especificar la cadena de ID de CNS
Deber introducir el ID del dispositivo requerido para obtener el archivo de
configuracin del servidor CNS.
Campo Especificar la contrasea de CNS
Especifique la contrasea utilizada para iniciar sesin en el servidor CNS
mediante el ID de usuario especificado anteriormente.
Campo DNS principal
Especifique la direccin IP del servidor DNS (Domain Name Server) principal
que utilizar el router. El administrador de redes o el proveedor de servicios le
proporcionarn la direccin IP.
El servidor DNS principal es el servidor con el que se pone en contacto el router
en primer lugar al intentar resolver una direccin IP.
Nota Si indica un nombre de host para identificar un servidor CNS en el campo
Especificar la direccin IP/nombre de host del servidor CNS, deber indicar la
direccin IP de un servidor DNS en el campo DNS principal.
Campo DNS secundario
Especifique la direccin IP del servidor DNS secundario que utilizar el router,
en caso de estar disponible. El administrador de redes o el proveedor de servicios
le proporcionarn la direccin IP.
El servidor DNS secundario es el servidor con el que el router se pone en contacto
si el servidor principal no est disponible.

1-23
OL-7141-04
Configuracin del firewall
Configuracin del firewall
La ventana Configuracin del firewall le da la opcin de dejar que
SDM Express de Cisco configure un firewall en las interfaces WAN y LAN.
Puede aplicar un firewall durante la configuracin inicial, o bien utilizar
SDM Express de Cisco para aplicarlo despus de proporcionarle al router su
configuracin inicial.
Si deja que SDM Express de Cisco configure el firewall, podr modificar la
configuracin del firewall utilizando la funcin de configuracin de la Poltica de
firewall de SDM de Cisco.
Nota Esta funcin est disponible si la versin del IOS de Cisco que se ejecuta en
el router admite el grupo de funciones de firewall.
La ventana Configuracin de firewall no aparece si no ha configurado una
interfaz WAN.
El firewall protege la red de los siguientes modos:
Aplicar reglas de acceso por defecto en las interfaces internas y externas:
SDM Express de Cisco crea y aplica una lista de reglas de acceso por defecto
que, entre otras cosas, permite el trfico DNS y HTTP y deniega el espacio
de la direccin IP privada.
Aplicar las reglas de inspeccin por defecto a la interfaz externa:
SDM Express de Cisco crea y aplica una lista de las reglas de inspeccin por
defecto.
Activar el envo de la ruta inversa (RPF) de unidifusin IP en la interfaz
externa: el RPF de unidifusin IP es una funcin que provoca que el router
compruebe la direccin de origen de cualquier paquete con la interfaz a travs
de la que el paquete ha llegado al router. Si la interfaz de entrada no es una
ruta accesible para la direccin de origen segn la tabla de enrutamiento, el
paquete se rechazar. Esta verificacin de la direccin de origen se utiliza
para vencer el spoofing de IP.
Si decide dejar que SDM Express de Cisco configure el firewall, despus podr
modificar la configuracin del firewall utilizando SDM de Cisco. Si decide que
no se configure el firewall, podr configurar uno ms tarde utilizando
SDM Express de Cisco o SDM de Cisco. Para obtener ms informacin, haga clic
en Cisco Router and Security Device Manager.

Configuracin de seguridad
1-24
OL-7141-04
Esta ventana permite desactivar funciones que estn activadas por defecto en el
software del IOS de Cisco y que pueden representar riesgos para la seguridad, o
hacer que el router enve mensajes de un volumen tal que utilizaran toda su
memoria disponible. Debe dejar estas casillas de verificacin marcadas a menos
que sus requisitos sean otros. Este tema de ayuda contiene enlaces a descripciones
de cada configuracin de seguridad realizada por SDM Express de Cisco.
Puede utilizar SDM Express de Cisco para cambiar la configuracin de seguridad
que realice en esta ventana una vez finalizada la configuracin inicial. Si desea
cambiar cualquiera de los ajustes individuales enumerados debajo de los grupos
de ajustes descritos en esta pgina de ayuda, lo puede hacer utilizando SDM de
Cisco. Para obtener ms informacin, haga clic en Cisco Router and Security
Device Manager.
Casilla de verificacin Desactivar el servicio SNMP del router
Marque esta casilla para desactivar el servicio SNMP del router. Para saber por
qu se debe desactivar SNMP, consulte el tema Desactivar SNMP de la ayuda.
Casilla de verificacin Desactivar los servicios que implican riesgos de seguridad
Marque esta casilla para desactivar los servicios siguientes del router. Para saber
por qu se deben desactivar estos servicios, haga clic en los enlaces siguientes:
Desactivar el servicio Finger
Desactivar el servicio PAD
Desactivar el servicio de pequeos servidores TCP
Desactivar el servicio de pequeos servidores UDP
Desactivar el servicio del servidor BOOTP IP
Desactivar el servicio de identificacin IP
Desactivar CDP
Desactivar la ruta de origen IP
Desactivar Gratuitous ARP de IP
Desactivar redireccionamiento IP
Desactivar ARP Proxy IP

1-25
OL-7141-04
Desactivar difusin dirigida IP
Desactivar el servicio MOP
Desactivar IP de destino inalcanzable
Desactivar respuesta de mscara IP
Casilla de verificacin Activar los servicios para una mayor seguridad en el router o en la red
Marque esta casilla para activar las funciones y servicios siguientes de mejora de
la seguridad en el router. Para obtener ms informacin sobre estos servicios y
funciones, haga clic en los enlaces siguientes:
Activar cambio a Netflow
Activar los paquetes keep-alive de TCP para sesiones telnet entrantes
Activar los paquetes keep-alive de TCP para sesiones telnet salientes
Activar nmeros de secuencia y marcadores de hora en depuraciones
Activar IP CEF
Definir el intervalo del programador
Definir la asignacin del programador
Definir la hora TCP Synwait
Activar registro
Activar RPF de unidifusin en interfaces externas
Casilla de verificacin Mejorar la seguridad en el acceso al router
Marque esta casilla para implementar las configuraciones siguientes de mejora de
Definir la longitud mnima de la contrasea a menos de 6 caracteres
Definir la proporcin de fallos de autenticacin a menos de 3 intentos
Definir anuncio
Activar configuracin Telnet
Activar SSH para acceder al router

Resumen
1-26
OL-7141-04
Casilla de verificacin Cifrar contraseas
Marque esta casilla para activar el cifrado de contraseas. Para obtener ms
informacin, consulte el tema Activar el servicio de cifrado de contraseas de la
ayuda.
Casilla de verificacin Sincronizar la fecha y hora del router con los ajustes locales del PC
Activada por defecto. Si no desea ajustar la fecha y la hora del router mediante
los ajustes actuales del equipo personal en el que se ejecuta SDM Express de
Cisco, desmarque esta casilla de verificacin.
Resumen
La ventana Resumen muestra los cambios que ha realizado en la configuracin del
router. Si desea realizar cambios a la configuracin, haga clic en Atrs para
volver a la ventana donde desea realizar los cambios.
Haga clic en Finalizar para guardar los datos introducidos en el archivo de
configuracin del router.
Nota Cuando haga clic en Finalizar, perder la conexin al router si ha asignado una
nueva direccin IP a la interfaz LAN, tal como se recomienda. Para establecer una
nueva conexin con el router, debe asegurarse de que el equipo permanece en la
misma subred que el router e introducir la nueva direccin IP asignada a la
interfaz LAN. Para obtener ms informacin, haga clic en Volver a establecer la
conexin con el router despus de la configuracin inicial.

1-27
OL-7141-04
Ayuda complementaria
Los siguientes temas de ayuda proporcionan informacin adicional.
Cisco Router and Security Device Manager
Despus de utilizar SDM Express de Cisco para realizar la configuracin bsica
del router, puede utilizar Cisco Router and Security Device Manager (Cisco
SDM) para configurar conexiones adicionales, para ajustar configuraciones
realizadas con SDM Express de Cisco y para configurar funciones avanzadas
como Redes privadas virtuales (VPN) y Certificados digitales.
SDM de Cisco puede estar instalado en el router, o tambin es posible que haya
recibido un CD para instalar SDM de Cisco en el equipo personal o en el router.
Si descarg SDM de Cisco desde Cisco.com, puede utilizar el programa de
instalacin para instalar SDM en el equipo personal o en el router.
Para iniciar SDM de Cisco, haga clic en SDM de Cisco en el men Herramientas.
Servicios de red de Cisco
Si el proveedor de servicios le ha proporcionado informacin del servidor CNS,
elija esta opcin. Si elige esta opcin, el asistente SDM Express de Cisco
recopilar informacin sobre el servidor CNS y, a continuacin, mostrar las
ventanas de configuracin WAN para configurar la conexin WAN que se
conectar al servidor CNS y obtendr la configuracin. Si el proveedor de
servicios no le ha proporcionado informacin del servidor CNS, o si desea
configurar el router utilizando SDM Express de Cisco, no seleccione esta opcin.

1-28
OL-7141-04
No podr utilizar CNS en las circunstancias siguientes:
El router no tiene ninguna interfaz WAN instalada o dispone de una interfaz
WAN que SDM Express de Cisco no admite. SDM Express de Cisco deber
poder configurar una interfaz WAN para que el router obtenga el archivo de
configuracin CNS. Si SDM Express de Cisco determina que no se puede
configurar una interfaz WAN, aparecer un mensaje de error informndole de
que no se puede utilizar CNS. Si no hay ninguna interfaz WAN instalada en
el router pero desea utilizar CNS, haga clic en Cancelar para salir del
Asistente para inicio y cierre SDM Express de Cisco. A continuacin, instale
una tarjeta de interfaz WAN admitida por SDM Express de Cisco, reinicie
SDM Express de Cisco y seleccione Servidor CNS en el Asistente para
inicio.
Para obtener una lista de las tarjetas de interfaz admitidas por SDM de Cisco,
consulte las Notas de la versin:
http://www.cisco.com/go/sdm
No seleccion esta opcin y configur una interfaz LAN y una WAN
utilizando SDM Express de Cisco, y luego volvi a la ventana
Provisionamiento del router y seleccion Servidor CNS. Si desea emplear
CNS, haga clic en Cancelar para abandonar el Asistente de inicio y cierre
SDM Express de Cisco. Luego, reinicie SDM Express de Cisco y seleccione
Servidor CNS en la ventana Provisionamiento del router.
Los siguientes temas describen ajustes de seguridad que SDM Express de Cisco
puede realizar.
Desactivar SNMP
SDM Express de Cisco desactiva el Protocolo simple de gestin de redes (SNMP)
siempre que es posible. SNMP es un protocolo de red que permite la recuperacin
y publicacin de datos acerca del rendimiento y de los procesos de la red. Se
utiliza ampliamente para supervisar routers y, con frecuencia, para cambiar la
configuracin de los routers. Sin embargo, la versin 1 de SNMP, que es la que se
utiliza con mayor frecuencia, a menudo representa un riesgo de seguridad por los
motivos siguientes:

1-29
OL-7141-04
Utiliza cadenas de autenticacin (contraseas) denominadas cadenas de
comunidad que se almacenan y envan a travs de la red en forma de texto sin
formato.
La mayora de las implantaciones SNMP envan dichas cadenas varias veces
como parte del sondeo peridico.
Es un protocolo de transacciones basado en datagramas que es fcil de imitar
(spoof).
Puesto que SNMP se puede utilizar para recuperar una copia de la tabla de
enrutamiento de redes, adems de otra informacin confidencial de red, le
recomendamos que lo desactive si la red no lo necesita. SDM Express de Cisco
solicitar inicialmente la desactivacin de SNMP.
La configuracin que se enviar al router para desactivar el servicio SNMP es la
siguiente:
no snmp-server
SDM Express de Cisco desactiva el servicio finger siempre que sea posible. Este
servicio se utiliza para saber qu usuarios han iniciado sesin en un dispositivo de
red. Aunque esta informacin por lo general no es extremadamente sensible, a
veces puede resultar de gran utilidad para un atacante.
Adems, el servicio Finger se puede utilizar en un tipo especfico de ataque de
denegacin de servicio (DoS) denominado Finger de la muerte, que implica el
envo de una solicitud Finger a un equipo especfico cada minuto, sin
desconectarse.
La configuracin que se enviar al router para desactivar el servicio Finger es la
siguiente:
no service finger
Usted puede deshacer este arreglo mediante la funcin Auditoria de
Seguridad de SDM. Para obtener ms informacin, haga clic en Cisco
Router and Security Device Manager.

1-30
OL-7141-04
SDM Express de Cisco desactiva todos los comandos de
ensamblador/desensamblador de paquetes (PAD) y las conexiones entre los
dispositivos PAD y los servidores de acceso siempre que sea posible.
La configuracin que se enviar al router para desactivar el servicio PAD es la
siguiente:
no service pad
Usted puede deshacer este arreglo mediante la funcin Auditora de Seguridad de
SDM de Cisco. Para saber cmo, consulte la ayuda en lnea de la Auditora de
seguridad en SDM de Cisco. Para obtener ms informacin, haga clic en Cisco
SDM Express de Cisco desactiva servicios pequeos siempre que sea posible. Por
defecto, los dispositivos Cisco que ejecutan la versin 11.3 o anterior del IOS de
Cisco ofrecen servicios pequeos: echo, chargen, y discard. (Los servicios
pequeos estn desactivados por defecto en la versin del software IOS de
Cisco 12.0 y superior). Estos servicios, especialmente sus versiones Protocolo de
datagrama de usuario (UDP), no se utilizan con frecuencia para motivos
legtimos, pero s pueden utilizarse para lanzar ataques de Denegacin de servicio
(DoS) y otros ataques que, de otro modo, se evitaran mediante el filtrado de
paquetes.
Por ejemplo, un atacante podr enviar un paquete DNS (Domain Name System),
falsificando la direccin de origen para que sea un servidor DNS que, de otro
modo, sera inalcanzable y falsificando el puerto de origen para que sea el puerto
del servicio DNS (puerto 53). Si se enviase un paquete como el descrito al puerto
echo UDP del router, el resultado sera que el router enviara un paquete DNS
al servidor en cuestin. A este paquete no se le aplicara ninguna comprobacin
de lista de acceso saliente, ya que se considerara que el mismo router lo habra
generado localmente.
Aunque se pueden evitar la mayora de los abusos de los servicios pequeos o
disminuir su nivel de peligro mediante listas de acceso anti-spoofing, los
servicios siempre deberan desactivarse en los routers que forman parte de un
firewall o que se encuentran en una seccin de la red que es crtica para la
seguridad. Puesto que dichos servicios no son de uso frecuente, la mejor poltica
normalmente es desactivarlos en todos los routers de cualquier tipo.

1-31
OL-7141-04
La configuracin que se enviar al router para desactivar el servicio de pequeos
servidores TCP es la siguiente:
no service tcp-small-servers
SDM Express de Cisco desactiva servicios pequeos siempre que sea posible. Por
defecto, los dispositivos Cisco que ejecutan la versin 11.3 o anterior del IOS de
Cisco ofrecen servicios pequeos: echo, chargen, y discard. (Los servicios
pequeos estn desactivados por defecto en la versin del software IOS de
Cisco 12.0 y superior.) Estos servicios, especialmente sus versiones UDP, no se
utilizan con frecuencia para motivos legtimos y se pueden utilizar para lanzar
ataques DoS y de otro tipo que, de otro modo, se evitaran mediante el filtrado de
paquetes.
Por ejemplo, un atacante podr enviar un paquete DNS, falsificando la direccin
de origen para que sea un servidor DNS que, de otro modo, sera inalcanzable y
falsificando el puerto de origen para que sea el puerto del servicio DNS (puerto
53). Si se enviase un paquete como el descrito al puerto echo UDP del router,
el resultado sera que el router enviara un paquete DNS al servidor en cuestin.
A este paquete, no se le aplicara ninguna comprobacin de lista de acceso
saliente, ya que se considerara que el mismo router lo haba generado localmente.
Aunque se pueden evitar la mayora de los abusos de los servicios pequeos o
disminuir su nivel de peligro mediante listas de acceso anti-spoofing, los
servicios siempre deberan desactivarse en los routers que forman parte de un
firewall o que se encuentran en una seccin de la red que es crtica para la
seguridad. Puesto que dichos servicios no son de uso frecuente, la mejor poltica
normalmente es desactivarlos en todos los routers de cualquier descripcin.
La configuracin que se enviar al router para desactivar el servicio de pequeos
servidores UDP es la siguiente:
no service udp-small-servers

1-32
OL-7141-04
SDM Express de Cisco desactiva el servicio de Protocolo de Bootstrap (BOOTP)
siempre que sea posible. BOOTP permite que tanto los routers como los equipos
configuren automticamente la informacin de Internet necesaria a partir de un
servidor de mantenimiento centralizado durante el inicio, incluida la descarga del
software IOS de Cisco. Por lo tanto, un atacante podr utilizar BOOTP para
descargar una copia del software IOS de Cisco del router.
Adems, el servicio BOOTP es vulnerable a los ataques DoS y, por lo tanto,
deber desactivarse o filtrarse a travs de un firewall.
La configuracin que se enviar al router para desactivar el servicio BOOTP es la
siguiente:
no ip bootp server
SDM Express de Cisco desactiva el servicio de identificacin siempre que sea
posible. El servicio de identificacin permite consultar un puerto TCP para
obtener la identificacin. Esta funcin permite que un protocolo no seguro
informe de la identidad de un cliente que inicia una conexin TCP y de un host
que responde a dicha conexin. Con el servicio de identificacin, puede conectar
un puerto TCP a un host, emitir una cadena de texto simple para solicitar
informacin y recibir una respuesta de manera similar.
Permitir que un sistema en un segmento conectado directamente conozca que el
router es un dispositivo Cisco y que determine el nmero de modelo y la versin
del software IOS de Cisco que se est ejecutando es peligroso. Esta informacin
puede utilizarse para elaborar ataques contra el router.
La configuracin que se enviar al router para desactivar el servicio de
identificacin IP es la siguiente:
no ip identd

1-33
OL-7141-04
Desactivar CDP
SDM Express de Cisco desactiva el Protocolo de descubrimiento de Cisco (CDP)
siempre que sea posible. CDP es un protocolo de propiedad que los routers Cisco
utilizan para identificarse entre ellos en un segmento de LAN. Esto puede ser
peligroso ya que permite que un sistema en un segmento conectado directamente
conozca que el router es un dispositivo Cisco y determine el nmero de modelo y
la versin del software IOS de Cisco que se est ejecutando. Esta informacin
puede utilizarse para elaborar ataques contra el router.
La configuracin que se enviar al router para desactivar CDP es la siguiente:
no cdp run
SDM Express de Cisco desactiva el enrutamiento de origen IP siempre que sea
posible. El protocolo IP admite opciones de enrutamiento de origen que permiten
al remitente de un datagrama IP controlar la ruta que el datagrama utilizar en su
camino al destino final y, generalmente, la ruta que cualquier respuesta utilizar.
En las redes, estas opciones raramente se utilizan por motivos legtimos. Algunas
implantaciones IP ms antiguas no procesan correctamente los paquetes de
enrutamiento de origen y los equipos que utilizan dichas implantaciones podran
fallar al enviarles datagramas con opciones de enrutamiento de origen.
La desactivacin del enrutamiento de origen IP har que un router Cisco nunca
enve un paquete IP con una opcin de enrutamiento de origen.
La configuracin que se enviar al router para desactivar el enrutamiento de
origen IP es la siguiente:
no ip source-route

1-34
OL-7141-04
Activar el servicio de cifrado de contraseas
SDM Express de Cisco activa el cifrado de contraseas siempre que sea posible.
El cifrado de contraseas indica al software IOS de Cisco que debe cifrar las
contraseas, los secretos del Protocolo de autenticacin por desafo mutuo
(CHAP) y datos similares que se guardan en el archivo de configuracin. Esta
opcin es de gran utilidad para evitar que usuarios no autorizados lean las
contraseas, por ejemplo, si se fijan en la pantalla del administrador mientras ste
escribe su contrasea.
La configuracin que se enviar al router para activar el cifrado de contraseas es
la siguiente:
service password-encryption
SDM Express de Cisco activa el cambio a Netflow siempre que sea posible. El
cambio a Netflow es una funcin del IOS de Cisco que mejora el rendimiento del
enrutamiento cuando se utilizan Listas de control de acceso (ACL) y otras
funciones que crean y mejoran la seguridad de la red. Netflow identifica los flujos
de paquetes de red en funcin de las direcciones IP de origen y destino y de los
nmeros de puerto TCP. A continuacin, Netflow puede utilizar solamente el
paquete inicial de un flujo para compararlo con las listas de control de acceso y
para realizar otras comprobaciones de seguridad, en lugar de tener que utilizar
todos los paquetes del flujo de red. Esto mejora el rendimiento, lo que permite
sacar el mximo provecho de todas las funciones de seguridad del router.
La configuracin que se enviar al router para activar el servicio Netflow es la
siguiente:
ip route-cache flow

1-35
OL-7141-04
SDM Express de Cisco activa los mensajes keep-alive de TCP para las sesiones
Telnet entrantes y salientes, siempre que sea posible. La activacin de mensajes
keep-alive de TCP hace que el router genere peridicamente este tipo de
mensajes, lo que le permite detectar y abandonar conexiones Telnet
interrumpidas.
La configuracin que se enviar al router para activar los mensajes keep-alive
de TCP para las sesiones Telnet entrantes es la siguiente:
service tcp-keepalives-in
SDM Express de Cisco activa los mensajes keep-alive de TCP para las sesiones
Telnet entrantes y salientes, siempre que sea posible. La activacin de mensajes
keep-alive de TCP hace que el router genere peridicamente este tipo de
mensajes, lo que le permite detectar y abandonar conexiones Telnet interrumpidas.
La configuracin que se enviar al router para activar los mensajes keep-alive
de TCP para las sesiones Telnet salientes es la siguiente:
service tcp-keepalives-out
SDM Express de Cisco activa los nmeros de secuencia y los marcadores de hora
en todos los mensajes de depuracin y registro, siempre que sea posible. Los
marcadores de hora en mensajes de registro y depuracin indican la hora y fecha
en las que se ha generado el mensaje. Los nmeros de secuencia indican la
secuencia en la que se han generado los mensajes con marcadores de hora
idnticos. Saber la hora y secuencia en las que se generan los mensajes es una
herramienta importante a la hora de diagnosticar ataques potenciales.

1-36
OL-7141-04
La configuracin que se enviar al router para activar los marcadores de hora y
nmeros de secuencia es la siguiente:
service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timeout msec
service sequence-numbers
Activar IP CEF
SDM Express de Cisco activa Cisco Express Forwarding (CEF) o Distributed
Cisco Express Forwarding (DCEF) siempre que sea posible. Puesto que no es
necesario generar entradas de cach cuando el trfico comienza a llegar a los
destinos nuevos, CEF funciona de manera ms previsible que otros modos cuando
se presentan elevados volmenes de trfico dirigidos a varios destinos. Cuando se
producen ataques SYN, los routers configurados para CEF funcionan mejor que
los routers que utilizan la cach tradicional.
La configuracin que se enviar al router para activar CEF es la siguiente:
ip cef
SDM Express de Cisco configura el intervalo del programador del router siempre
que sea posible. Cuando un router conmuta rpidamente una gran cantidad de
paquetes, es posible que se dedique tanto tiempo a responder a las interrupciones
de las interfaces de red, que las otras tareas queden sin hacerse. Ciertas
inundaciones (floods) de paquetes muy rpidas pueden generar esta condicin;
eso podra frenar el acceso administrativo al router, una condicin muy peligrosa
si se ataca al dispositivo. La definicin del intervalo del programador garantiza
que el acceso de gestin al router est siempre disponible al obligar al router a
ejecutar procesos del sistema despus del intervalo de tiempo especificado,
incluso cuando el uso de la CPU se encuentra en un 100%.
La configuracin que se enviar al router para definir el intervalo del programador
es la siguiente:
scheduler interval 500

1-37
OL-7141-04
En los routers que no admiten el comando scheduler interval, SDM Express de
Cisco configura el comando scheduler allocate siempre que sea posible. Cuando
un router conmuta rpidamente una gran cantidad de paquetes, es posible que se
dedique tanto tiempo a responder a las interrupciones de las interfaces de red, que
las otras tareas queden sin hacerse. Algunas inundaciones (floods) de paquetes
muy rpidas pueden causar esta condicin. Es posible que se detenga el acceso de
administracin al router, lo que puede ser muy peligroso cuando el dispositivo
est sometido a un ataque. El comando scheduler allocate garantiza un
porcentaje de los procesos de la CPU del router para las actividades distintas de
la conmutacin de redes como, por ejemplo, los procesos de gestin.
La configuracin que se enviar al router para definir el porcentaje de asignacin
del programador es la siguiente:
scheduler allocate 4000 1000
SDM Express de Cisco establece el tiempo TCP synwait en 10 segundos siempre
que sea posible. El tiempo TCP Synwait es un valor de gran utilidad para detener
ataques SYN de tipo flooding; una forma de ataque de denegacin de servicio
(DoS). Una conexin TCP requiere un procedimiento en tres fases para establecer
inicialmente la conexin. El autor enva una solicitud de conexin, el destinatario
enva un reconocimiento y, a continuacin, el autor enva una aceptacin de dicho
reconocimiento. Una vez finalizado este protocolo de intercambio en tres fases,
se establece la conexin y se inicia la transferencia de datos. Un ataque SYN de
tipo flooding enva solicitudes repetidas de conexin a un host y nunca enva la
aceptacin de los reconocimientos que completan las conexiones, lo que crea cada
vez ms conexiones incompletas en el host. Puesto que el bfer para conexiones
incompletas es normalmente ms pequeo que el bfer para conexiones
establecidas, este tipo de ataque puede abrumar y desactivar el host. Al definir el
tiempo TCP Synwait en 10 segundos, el router desactivar una conexin
incompleta tras 10 segundos. De este modo, se evita la acumulacin de
conexiones incompletas en el host.
La configuracin que se enviar al router para definir el tiempo TCP Synwait en
10 segundos es la siguiente:
ip tcp synwait-time < 10>

1-38
OL-7141-04
Activar registro
SDM Express de Cisco activar la creacin de registros con marcadores de hora
y nmeros de secuencia siempre que sea posible. Puesto que proporcionan
informacin detallada acerca de los eventos de la red, los registros son muy
importantes para el reconocimiento de los eventos de seguridad y la respuesta a
ellos. Los marcadores de hora y nmeros de secuencia proporcionan informacin
acerca de la fecha, hora y secuencia en las que se producen los eventos de red.
La configuracin que se enviar al router para activar y configurar la creacin de
registros es la siguiente; los valores < tamao del bfer de registro> y < direccin
IP del servidor de registros> se sustituyen con los valores adecuados
especificados en SDM Express de Cisco:
logging console critical
logging trap debugging
logging buffered <tamao del bfer de registro>
logging <direccin IP del servidor de registros>
Activar RPF de unidifusin en interfaces externas
SDM Express de Cisco activa el Envo de la ruta inversa (RPF) de unidifusin en
todas las interfaces que se conectan a Internet, siempre que sea posible. RPF es
una funcin que obliga al router a comprobar la direccin de origen de todos los
paquetes contra la interfaz a travs de la cual el paquete ha entrado en el router.
Si la interfaz de entrada no es una ruta accesible para la direccin de origen segn
la tabla de enrutamiento, el paquete se rechazar. Esta verificacin de la direccin
de origen se utiliza para vencer el spoofing de IP.
Esto funciona solamente cuando el enrutamiento es simtrico. Si la red se ha
diseado de modo que el trfico desde el host A hacia el host B normalmente
pueda utilizar una ruta distinta que el trfico desde el host B hacia el host A,
siempre fallar la comprobacin y la comunicacin entre ambos hosts no ser
posible. Este tipo de enrutamiento asimtrico es comn en el ncleo de Internet.
Antes de activar esta funcin, asegrese de que la red no utiliza enrutamiento
asimtrico.
Adems, RPF unidifusin puede activarse solamente cuando la funcin IP CEF
(Cisco Express Forwarding) est activada. SDM Express de Cisco comprobar la
configuracin del router para ver si la funcin IP CEF est activada. Si la funcin
IP CEF no est activada, SDM Express de Cisco recomendar su activacin y la
activar tras su aprobacin. Si la funcin IP CEF no est activada, mediante
SDM Express de Cisco u otro modo, no se activar RPF de unidifusin.

1-39
OL-7141-04
Para activar RPF de unidifusin, se enviar al router la configuracin siguiente
para todas las interfaces que se conectan fuera de la red privada (el valor <
interfaz externa> se sustituye con el identificador de la interfaz):
interface < interfaz externa>
ip verify unicast reverse-path
SDM Express de Cisco desactiva las solicitudes gratuitous Address Resolution
Protocol (ARP) de IP siempre que sea posible. Un Gratuitous ARP es una difusin
ARP en la que las direcciones MAC de origen y destino son iguales. Es utilizado
principalmente por los hosts para informar a la red acerca de su direccin IP. Un
mensaje Gratuitous ARP tipo spoof puede ocasionar el almacenamiento
incorrecto de la informacin de asignacin de redes, lo que podra causar un fallo
en la red.
Para desactivar Gratuitous ARP, se enviar al router la configuracin siguiente:
no ip gratuitous-arps
SDM Express de Cisco desactiva los mensajes de redireccionamiento de Internet
Message Control Protocol (ICMP) siempre que sea posible. ICMP admite el
trfico IP al transmitir informacin acerca de las rutas de acceso, rutas y
condiciones de red. Los mensajes de redireccionamiento ICMP indican a un nodo
final que utilice un router especfico como ruta a un destino en particular. En una
red IP que funcione correctamente, un router enviar redireccionamientos
solamente a los hosts de sus propias subredes locales, ningn nodo final enviar
un redireccionamiento y ningn redireccionamiento se atravesar ms de un salto
de red. No obstante, un atacante podra infringir estas reglas, ya que algunos
ataques se basan en este concepto. La desactivacin de los redireccionamientos
ICMP no tendr ningn impacto operativo en la red y elimina este posible mtodo
de ataque.

1-40
OL-7141-04
La configuracin que se enviar al router para desactivar el servicio de mensajes
de redireccionamiento ICMP es la siguiente:
no ip redirects
SDM Express de Cisco desactiva el Protocolo de resolucin de direcciones (ARP)
proxy siempre que sea posible. La red utiliza ARP para convertir direcciones IP
en direcciones MAC. Normalmente, ARP se limita a una sola LAN, pero un router
puede funcionar como proxy para las solicitudes ARP, lo que hace que las
consultas ARP estn disponibles en varios segmentos LAN. Puesto que el proxy
ARP rompe la barrera de seguridad de la LAN, slo debe utilizarse entre dos LAN
con el mismo nivel de seguridad, y slo cuando sea necesario.
La configuracin que se enviar al router para desactivar ARP proxy es la
siguiente:
no ip proxy-arp
SDM Express de Cisco desactiva las difusiones dirigidas por IP siempre que sea
posible. Una difusin dirigida por IP es un datagrama que se enva a la direccin
de difusin de una subred a la que la mquina que realiza el envo no est
conectada directamente. La difusin dirigida se enruta a travs de la red como un
paquete de unidifusin hasta que alcanza la subred de destino, donde se convierte
en una difusin de capa de enlace. Debido a la naturaleza de la arquitectura de
direcciones IP, solamente el ltimo router de la cadena (el que se conecta
directamente a la subred de destino) puede identificar de manera concluyente una
difusin dirigida. Las difusiones dirigidas a veces se utilizan por motivos
legtimos, pero este tipo de uso no es comn fuera del sector de servicios
financieros.

1-41
OL-7141-04
Las difusiones dirigidas por IP se utilizan para los comunes y populares ataques
smurf de denegacin de servicio y tambin pueden utilizarse en ataques
relacionados. En un ataque smurf, el atacante enva solicitudes de eco ICMP
desde una direccin de origen falsificada a una direccin de difusin dirigida, lo
que hace que todos los hosts de la subred de destino enven respuestas al origen
falsificado. Al enviar un flujo continuo de este tipo de solicitudes, el atacante
puede crear un flujo de respuestas mucho ms voluminoso, lo que puede inundar
completamente el host cuya direccin se est falsificando.
Al desactivar las difusiones dirigidas por IP, se abandonan las difusiones dirigidas
que, de otro modo, se ampliaran en difusiones de capa de enlace en dicha
interfaz.
La configuracin que se enviar al router para desactivar las difusiones dirigidas
por IP es la siguiente:
no ip directed-broadcast
SDM Express de Cisco desactivar el Maintenance Operations Protocol (MOP)
en todas las fases de Ethernet siempre que sea posible. MOP se utiliza para
proporcionar al router informacin de configuracin cuando se comunica con
redes DECNet. MOP es vulnerable a distintos tipos de ataques.
La configuracin que se enviar al router para desactivar el servicio MOP en las
interfaces Ethernet es la siguiente:
no mop enabled

1-42
OL-7141-04
Desactivar IP de destino inalcanzable
SDM Express de Cisco desactiva los mensajes de redireccionamiento para hosts
inalcanzables de Internet Message Control Protocol (ICMP) siempre que sea
posible. ICMP admite el trfico IP al transmitir informacin acerca de las rutas de
acceso, rutas y condiciones de red. Los mensajes de host inalcanzable ICMP se
envan si un router recibe un paquete de no difusin que utiliza un protocolo
desconocido o si un router recibe un paquete que no puede entregar al destino
final porque no conoce ninguna ruta hacia la direccin de destino. Un atacante
puede utilizar dichos mensajes para obtener informacin de asignacin de la red.
La configuracin que se enviar al router para desactivar los mensajes de host
inalcanzable ICMP es la siguiente:
int <all-interfaces>
no ip unreachables
Desactivar respuesta de mscara IP
SDM Express de Cisco desactiva los mensajes de respuesta de mscara Internet
Message Control Protocol (ICMP) siempre que sea posible. ICMP admite el
trfico IP al proporcionar informacin acerca de las rutas de acceso, rutas y
condiciones de red. Los mensajes de respuesta de mscara ICMP se envan
cuando un dispositivo de red debe conocer la mscara de subred para una subred
determinada en la interred. Dichos mensajes se envan al dispositivo que solicita
informacin mediante los dispositivos que disponen de la informacin solicitada.
Un atacante puede utilizar dichos mensajes para obtener informacin de
asignacin de la red.
La configuracin que se enviar al router para desactivar los mensajes de mscara
ICMP es la siguiente:
no ip mask-reply

1-43
OL-7141-04
Definir la longitud mnima de la contrasea a menos de 6 caracteres
SDM Express de Cisco configura el router para que requiera una longitud mnima
de contrasea de 6 caracteres, siempre que sea posible. Un mtodo que los
atacantes utilizan para obtener contraseas es intentar todas las combinaciones de
caracteres hasta descubrir la contrasea. Con contraseas de mayor longitud se
aumenta exponencialmente la cantidad de combinaciones posibles de caracteres,
lo que hace que este mtodo de ataque resulte mucho ms difcil.
Este cambio de configuracin requerir que todas las contraseas del router,
incluidas las contraseas de usuario, activacin, secreta, consola, AUX, tty y vty,
tengan una longitud de al menos 6 caracteres. Este cambio de configuracin se
realizar solamente si la versin del IOS de Cisco que se ejecuta en el router
admite la funcin de longitud mnima de contraseas.
La configuracin que se enviar al router es la siguiente:
security passwords min-length < 6>
Definir la proporcin de fallos de autenticacin a menos de 3 intentos
SDM Express de Cisco configura el router para bloquear el acceso tras 3 intentos
incorrectos de inicio de sesin, siempre que sea posible. Un mtodo de obtencin
de contraseas, denominado ataque diccionario, consiste en utilizar software
que intenta iniciar una sesin utilizando todas las palabras de un diccionario. Esta
configuracin bloquea el acceso al router durante un perodo de 15 segundos tras
3 intentos incorrectos de inicio de sesin, lo que desactiva el mtodo de ataque
por diccionario. Adems de bloquear el acceso al router, esta configuracin
genera un mensaje de registro tras 3 intentos incorrectos de inicio de sesin,
advirtiendo al administrador de dichos intentos.
La configuracin que se enviar al router para bloquear el acceso al mismo tras 3
intentos incorrectos de inicio de sesin es la siguiente:
security authentication failure rate < 3>

1-44
OL-7141-04
Definir anuncio
SDM Express de Cisco configura un anuncio de texto siempre que sea posible. En
algunas jurisdicciones, el procesamiento civil o criminal de los usuarios que
entran en los sistemas sin autorizacin se facilita mucho si se proporciona un
anuncio que indique a los usuarios no autorizados que el uso est, efectivamente,
no autorizado. En otras jurisdicciones, es posible que no tenga derecho a
supervisar las actividades de incluso los usuarios no autorizados, a menos que
haya tomado medidas para notificarles de la intencin de hacerlo. El anuncio de
texto es un mtodo para realizar esta notificacin.
La configuracin que se enviar al router para crear un anuncio de texto es la
siguiente, los valores < nombre de la empresa>, < direccin de correo
electrnico del administrador> y < nmero de telfono del administrador> se
sustituyen con los valores adecuados especificados en SDM Express de Cisco:
banner ~
Authorized access only
This system is the property of < nombre de la compaa>.
Disconnect IMMEDIATELY as you are not an authorized user!
Contact < direccin de correo electrnico del administrador> < nmero
de telfono del administrador>.
~
Activar configuracin Telnet
SDM Express de Cisco garantiza la seguridad de las lneas de consola, AUX, vty
y tty al implementar las configuraciones siguientes, siempre que sea posible:
Configura los comandos transport input y transport output para definir los
protocolos que se utilizarn para establecer la conexin con dichas lneas.
Define el valor de lmite de tiempo EXEC en 10 minutos en las lneas de
consola y AUX, lo que cierra la sesin de un usuario administrador para estas
lneas tras 10 minutos de inactividad.
La configuracin que se enviar al router para garantizar la seguridad de las lneas
de consola, AUX, vty y tty es la siguiente:
!
line console 0
transport output telnet
exec-timeout 10
login local
!

1-45
OL-7141-04
line AUX 0
transport output telnet
exec-timeout 10
login local
!
line vty .
transport input telnet
login local
Activar SSH para acceder al router
Si la versin del IOS de Cisco que se ejecuta en el router es una imagen
criptogrfica (imagen que utiliza el cifrado DES [Data Encryption Standard] de
56 bits y que est sujeta a restricciones de exportacin), SDM Express de Cisco
implementar las configuraciones siguientes para garantizar la seguridad del
acceso Telnet siempre que sea posible:
Activar Secure Shell (SSH) para el acceso Telnet. SSH aumenta
significativamente la seguridad del acceso Telnet.
Definir el valor de lmite de tiempo de SSH en 60 segundos, lo que obligar
a las conexiones SSH a desactivarse transcurridos los 60 segundos.
Definir el nmero mximo de intentos incorrectos de inicio de sesin SSH en
dos antes de bloquear el acceso al router.
La configuracin que se enviar al router para garantizar la seguridad del acceso
y de las funciones de transferencia de archivos es la siguiente:
ip ssh time-out 60
ip ssh authentication-retries 2
!
line vty 0 4
transport input ssh
!
Botones de SDMExpress de Cisco
Botn de Ayuda
Haga clic para abrir una nueva ventana del navegador y mostrar la informacin
acerca de la ventana de SDM Express de Cisco que se muestra.

1-46
OL-7141-04
Botn Acerca de
Al hacer clic en Acerca de se muestra una ventana que contiene informacin de
la versin de SDM Express de Cisco. Haga clic en Detalles de hardware y
software en esta ventana para mostrar la siguiente informacin.
Detalles de hardware:
Tipo de modelo de router
Memoria total del router
Capacidad de flash total del router
Desde dnde arranca el router (por ejemplo: flash)
Tambin se provee un diagrama de la configuracin del hardware.
Detalles de software:
El nombre del software del IOS de Cisco que est ejecutando el router
La versin del software IOS de Cisco
Los grupos de funciones, como Firewall y VPN, que admite el software del
IOS de Cisco
La versin de SDM Express de Cisco
Botn Salir
Una vez que haya finalizado una configuracin inicial, haga clic en Salir para
cerrar SDM Express de Cisco.
Botn Actualizar
Visible si est editando una configuracin inicial. Haga clic en Actualizar para
actualizar los datos del router en SDM Express de Cisco.
Botn Aplicar cambios
Visible si est editando una configuracin inicial. Haga clic en Aplicar cambios
para enviar al router los cambios efectuados.
Botn Descartar cambios
Visible si est editando una configuracin inicial. Haga clic en Descartar
cambios para borrar de la ventana los cambios que ha efectuado.

1-47
OL-7141-04
Volver a establecer la conexin con el router despus de la
configuracin inicial
Si asign una nueva direccin IP a la interfaz LAN del router como se
recomienda, perder su conexin al router despus de enviar la configuracin.
Siga este procedimiento para volver a establecer la conexin con el router despus
de realizar la configuracin inicial con SDM Express de Cisco.
Paso 1 Coloque el PC en la misma subred que la interfaz LAN del router.
Si ha configurado el router como un servidor DHCP, deber configurar el PC
para obtener una direccin IP de forma automtica y, a continuacin, abrir
una ventana de comandos y especificar el comando ipconfig /release seguido
del comando ipconfig /renew.
Si el router no est configurado como un servidor DHCP, deber asignar una
direccin IP esttica al PC en la misma subred que el router. Por ejemplo, si
cambi la direccin IP de LAN a 10.20.20.1 con una mscara de subred
255.255.255.224, asignar una direccin IP a su equipo entre 10.20.20.2 y
10.20.20.30, y usar el mismo valor de subred
Paso 2 Si configur una interfaz LAN diferente que la interfaz por defecto, asegrese de
conectar su equipo personal a la interfaz LAN que ha configurado. Por ejemplo,
si configur FE 0/1 y no FE 0/0 como la interfaz LAN, asegrese de conectar el
PC a FE 0/1.
Paso 3 Una vez preparado el equipo, deber volver a conectar el equipo al router
especificando la nueva direccin IP que ha asignado a la interfaz LAN del router
en el explorador (http:// nueva direccin de IP). Por ejemplo, si cambi la
direccin IP de LAN a 10.20.20.1, debe especificar http://10.20.20.1 en el
explorador de web para conectarse nuevamente con el router.
Paso 4 Despus de establecer la conexin nuevamente, pruebe su conexin WAN para
verificar que puede conectarse a Internet.
Para obtener ms informacin, haga clic en Prueba de la conexin WAN (Internet).

Sugerencias para la solucin de problemas SDP
1-48
OL-7141-04
Prueba de la conexin WAN (Internet)
Puede probar su conexin a Internet direccionando el navegador a un sitio web
remoto como, por ejemplo, www.cisco.com. Si puede conectarse al sitio web
remoto que indic, la configuracin WAN funciona correctamente.
Si no puede conectarse a un sitio web remoto, puede utilizar SDM de Cisco para
resolver los problemas de conexin haciendo lo siguiente:
Paso 1 Haga clic en Cisco SDM en el men Herramientas para iniciar SDM de Cisco.
Paso 2 Inicie sesin en SDM de Cisco y haga clic en Interfaces y conexiones.
Paso 3 Haga clic en la ficha Editar y seleccione la conexin WAN que desea probar.
Paso 4 Haga clic en Probar conexin y siga las siguientes instrucciones de la pantalla.
SDM de Cisco informa sobre los posibles problemas y recomienda acciones.
Utilice esta informacin antes de realizar la suscripcin mediante Secure Device
Provisioning (SDP) para preparar la conexin entre el router y el servidor de
certificados. Si se producen problemas durante la suscripcin, puede consultar
estas tareas para determinar dnde se encuentra el problema.
Al iniciar SDP, deber minimizar la ventana del navegador que muestra este tema
de ayuda para poder ver la aplicacin web SDP.
Sugerencias para la resolucin de problemas
Las siguientes recomendaciones implican realizar preparativos en el router local
y en el servidor de la CA (Autoridad certificadora). Deber comunicar los
requisitos siguientes al administrador del mencionado servidor. Asegrese de los
puntos siguientes:
El router local y el servidor de la CA disponen de interconectividad IP. El
router local debe poder realizar un ping correctamente en el servidor de
certificados y este ltimo debe poder hacer lo propio en el router local.
El administrador del servidor de la CA utiliza un navegador web compatible
con JavaScript.

1-49
OL-7141-04
El administrador del servidor de la CA dispone de privilegios de activacin
en el router local.
El firewall del router local permitir trfico al servidor de certificados y desde
el mismo.
Si se ha configurado un firewall en el equipo solicitante y/o en el equipo de
registro, debe asegurarse de que el firewall permita trfico HTTP o HTTPS
desde el PC en el cual se invoca la aplicacin SDM o SDP.
Para obtener ms informacin acerca de SDP, consulte la pgina web siguiente:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_
guide09186a008028afbd.html#wp1043332

1-50
OL-7141-04
C A P T U L O

2-1
OL-7141-04
2
Modo Edicin de SDM Express de
Cisco
Las pantallas de edicin de SDM Express permiten hacer cambios en las
configuraciones LAN y WAN, cambiar el firewall, NAT, PAT, enrutamiento y
configuraciones de seguridad.
Aspectos generales
La ventana Aspectos generales proporciona informacin bsica sobre las
configuraciones de LAN, WAN y firewall del router.
Iconos
Hacia arriba. La interfaz est activada.
Activo. El firewall est activado.
Hacia abajo. La interfaz est fuera de
servicio.
Inactivo. El firewall est inactivo

Captulo 2 Modo Edicin de SDM Express de Cisco
Aspectos generales
2-2
OL-7141-04
Campos LAN
Los campos de LAN despliegan la interfaz, la direccin IP, y la informacin del
servidor DHCP para la conexin de la LAN.
Interfaz: el nombre de la interfaz LAN. Por ejemplo, Fast Ethernet 0. Si
SDM Express no puede identificar la interfaz LAN del router, muestra el
nmero de las interfaces LAN configuradas en este campo.
IP/Mscara: la direccin IP seguida por el nmero de bits de subred, que
representan la mscara de subred. Las direcciones IP de la LAN se obtienen
del intervalo de la direccin IP privada. Por ejemplo una direccin IP de
10.10.10.1 utilizando una mscara de subred de 255.255.255.0 ser indicada
como 10.10.10.1/24.
Servidor DHCP: puede ser Configurado o No Configurado.
Grupo DHCP: si un servidor DHCP ha sido configurado, este campo
contendr el intervalo de direccin IP disponible para clientes DHCP. Por
ejemplo, si la interfaz LAN est configurada con una direccin IP en la red
10.10.10.0, el conjunto DHCP puede configurarse con un intervalo de
direcciones de 10.10.10.1 a 10.10.10.254.
Si SDM Express no puede identificar las interfaces LAN en el router, aparecer
el nmero total de interfaces LAN admitidas y el nmero total de interfaces LAN
configuradas.
Campos de Internet (WAN)
Los campos de Internet muestran el nombre de la interfaz WAN, el tipo de
conexin WAN configurada y la informacin de la mscara de subred de la
direccin IP.
Interfaz: el nombre de la interfaz WAN, por ejemplo ATM 0/1. Si SDM
Express no puede identificar las interfaces WAN del router, muestra el
nmero de las interfaces WAN configuradas en este campo.
Tipo de conexin: el tipo de conexin WAN, por ejemplo ADSL, o
G.SHDSL.
IP/Mscara: la direccin IP seguida por el nmero de bits de subred, que
representan la mscara de subred. Por ejemplo la direccin IP 172.16.33.15
utilizando la mscara de subred 255.255.255.0 se indicar como
172.16.33.15/24.
Si SDM Express no puede identificar las interfaces WAN en el router, aparecer
el nmero total de interfaces WAN admitidas y el nmero total de interfaces WAN
configuradas.

2-3
OL-7141-04
Configuracin bsica
Campos de firewall
Tipo de firewall: SDM Express Por defecto, personalizada o ninguna.
Interna: la direccin IP de la interfaz interna o fiable.
Externa: el tipo de conexin de la interfaz de Internet.
Configuracin bsica
Esta ventana muestra las cuentas de usuarios configuradas en el router y le
permite cambiar la contrasea secreta activada. La contrasea secreta activada
debe utilizarse para acceder al Modo activar CLI de IOS.
Si desea agregar o quitar cuentas de usuarios, puede hacerlo utilizando Cisco
Router and Security Device Manager (SDM).
Botones Editar/Eliminar
Utilice estos botones para administrar las cuentas de usuarios en el router. Puede
editar cuentas de usuarios existentes y eliminar cuentas existentes. Si necesita
crear una nueva cuenta de usuario, utilice SDM para hacerlo. Para obtener ms
informacin, haga clic en Cisco Router and Security Device Manager.
Nota Los botones Editar y Eliminar estn desactivados cuando se selecciona una cuenta
de usuario creada con la opcin Ver.
Campos Nombre de usuario/Contrasea de inicio de sesin/Contrasea cifrada
Esta rea enumerar las cuentas de usuario en el router.
Active el Campo de Contrasea Secreta
Especifique la nueva contrasea en estos campos. Asegrese de anotar esta
contrasea. Se guardar en forma cifrada en el router y no podr leerse.
Campo Nombre de host
Puede editar el nombre de host del router si lo desea.

Configuracin bsica
2-4
OL-7141-04
Puede editar el nombre de dominio configurado del router.
Botones Actualizar/Aplicar cambios/Descartar cambios
Estos botones son visibles si est editando una configuracin inicial. Haga clic en
Botones de SDM Express de Cisco para obtener ms informacin.
Editar un nombre de usuario
Edite una cuenta de usuario en los campos suministrados en esta ventana.
Edite el nombre de usuario en este campo.
Campo Contrasea
En este campo especifique o edite la contrasea.
Especifique nuevamente la contrasea en el campo Confirmar contrasea. Si la
contrasea y su confirmacin no coinciden, aparecer una ventana con un mensaje
de error cuando haga clic en Aceptar.
Al hacer clic en Aceptar aparecer la informacin de la cuenta nueva o editada
en la ventana Configurar cuentas de usuario para Telnet/SSH.
Casilla de verificacin Cifrar contrasea mediante el algoritmo hash MD5
Este es un campo de slo lectura que muestra la configuracin de cifrado MD5 de
la contrasea actual. Una marca de verificacin indica que la contrasea fue
cifrada utilizando algoritmo MD5 (Message Digest 5) unidireccional.

2-5
OL-7141-04
LAN
LAN
Casilla de verificacin Puente/No hacer puente con interfaz LAN inalmbrica
Si el router posee una interfaz inalmbrica, puede establecer un puente con el
trfico desde la red inalmbrica a la LAN Ethernet. Si desea establecer un puente
con el trfico y compartir un espacio de direccin entre la LAN Ethernet del router
y la red inalmbrica, haga clic en Puente interfaz LAN con inalmbrica.
Campos de configuracin de la interfaz LAN
Puede editar una direccin IP y una mscara de subred de la interfaz LAN en estos
campos. Consulte Campo Direccin IP si necesita ms informacin sobre la
direccin IP y los campos mscara de subred.
Inalmbrica
La ventana Inalmbrica aparece cuando el router tiene una interfaz inalmbrica.
Si necesita configurar los parmetros inalmbricos avanzados, haga clic en
Iniciar aplicacin inalmbrica.
Botn Actualizar
Este botn es visible si est editando una configuracin inicial. Haga clic en
WAN: no se puede configurar la interfaz WAN
Esta ventana aparece cuando SDM Express no puede configurar la interfaz
seleccionada como una interfaz WAN. Esto puede suceder si la interfaz
seleccionada no es admitida por SDM Express, o si la interfaz tiene una
configuracin parcial que fue especificada utilizando CLI.
Puede seleccionar otra interfaz para configurar, o bien registrarse en el router y
quitar las declaraciones de configuracin bajo la interfaz que desea configurar.
Seleccione Telnet en la seccin Herramientas, regstrese en el router y
especifique el modo de configuracin. Utilice CLI para quitar las declaraciones
de configuracin. Luego, vuelva a SDM Express y configure la interfaz WAN.

Ninguna WAN disponible
2-6
OL-7141-04
Ninguna WAN disponible
Esta ventana aparece cuando SDM Express no puede eliminar una interfaz WAN
en el router.
Eliminar conexin
Cuando elimina una conexin, puede haber un comando de configuracin
asociado, el cual puede ser retenido en la configuracin o eliminado junto con la
conexin. Haga clic en Ver Detalles para mostrar estas asociaciones. Haga clic en
Ocultar detalles para ocultar estas asociaciones.
Haga clic en Eliminar automticamente todas las asociaciones si desea que
SDM Express elimine las asociaciones junto con la conexin.
Haga clic en Eliminar las asociaciones ms tarde si desea eliminar las
asociaciones usted mismo.
Para eliminar las asociaciones usted mismo, haga clic en Telnet en el men
Herramientas, regstrese al router y especifique el comando enable para acceder
al modo Activar. Luego, elimine el comando de configuracin asociado
especificando la forma no del comando. Por ejemplo, si el comando ip tcp adjust
mss est asociado con la conexin, especifique:
no ip tcp adjust mss
Firewall
Utilice esta ventana para activar un firewall si no lo activ durante la
configuracin inicial o para desactivar el firewall si lo activ. Si la imagen IOS
de Cisco del router que se est ejecutando no admite configuraciones de las
funciones de firewall, no podr activar un firewall bsico en este router. No podr
utilizar SDM Express para activar un firewall bsico si el router es un router
modular con mltiples interfaces LAN o WAN.
Consulte Configuracin del firewall para obtener una descripcin de lo que har
un firewall bsico.

2-7
OL-7141-04
NAT
Botones Activar Firewall/Desactivar Firewall
Utilice estos botones para agregar o quitar la configuracin del firewall bsico.
No se pudo configurar la ventana del firewall
Si SDM Express no le deja configurar un firewall, aparecer la ventana No se
puede configurar un firewall. Los siguientes son motivos por los que es posible
que no pueda configurar un firewall:
El router es de puerto fijo y no hay exactamente configuradas una interfaz
LAN y una WAN.
El router es modular, o hay ms de dos interfaces configuradas.
Se han aplicado al router listas de firewall y/o control de acceso utilizando
otras herramientas.
Botn Actualizar
NAT
Si los dispositivos de la LAN disponen de direcciones privadas, puede permitir
que compartan una misma direccin IP pblica utilizando la Traduccin de
direcciones de la red (NAT). NAT utiliza nmeros de puertos para identificar
hosts, y los servicios de host que desea tener disponibles.
Haga clic en Activar NAT para utilizar NAT en el router.
No se puede configurar NAT
Si se encuentra en el modo de edicin de SDM Express, esta ventana aparece
cuando SDM Express no puede ayudarle a configurar NAT. Es posible que SDM
Express no pueda ayudarle a configurar NAT por los siguientes motivos.
El router es de puerto fijo y no hay exactamente configuradas una interfaz
LAN y una WAN.
El router es modular, o hay ms de dos interfaces configuradas.
NAT ya est configurado en una interfaz.

NAT
2-8
OL-7141-04
Botn Agregar
Haga clic aqu para agregar una nueva regla NAT.
Botn Editar
Haga clic aqu para editar la regla NAT elegida.
Botn Actualizar
Agregar/Editar regla de traduccin de direcciones
En esta ventana es posible especificar o editar la informacin de traduccin de
direcciones IP para un servidor.
Direccin IP privada
Especifique la direccin IP que utiliza el servidor en su red interna. Se trata de
una direccin IP que no puede usarse externamente, en Internet.
Direccin IP pblica
Elija Utilizar direccin IP de la interfaz WAN si desea utilizar la direccin IP
de la interfaz WAN del router. La direccin IP configurada de la interfaz WAN
aparece a la derecha. O bien elija Nueva direccin IP e indique la direccin IP
del servidor.
Tipo de servidor
Seleccione uno de los siguientes tipos de servidor del men desplegable:
Servidor web
Un host http que atiende pginas HTML y de otro tipo orientado a Internet.

2-9
OL-7141-04
Enrutamiento
Servidor de correo electrnico
Un servidor SMTP para enviar correos por Internet.
Otros
El servidor no es un servidor web ni un servidor de correo electrnico, pero
necesita traduccin de puertos para proporcionar servicios. Esta opcin activa
el campo Puerto traducido y el men desplegable Protocolo.
Si no selecciona un tipo de servidor, todo el trfico destinado a la direccin IP
pblica que seleccione para el servidor se destinar a ella, y no se realizar la
traduccin del puerto.
Puerto original
Especifique el nmero del puerto que utiliza el servidor para aceptar solicitudes
de servicio desde la red interna.
Puerto traducido
Especifique el nmero del puerto que utiliza el servidor para aceptar solicitudes
de servicio desde Intenet.
Protocolo
Seleccione TCP o UDP para el protocolo que utiliza el servidor con los puertos
originales y traducidos.
Enrutamiento
La ventana de Enrutamiento le permite editar una ruta por defecto existente
cuando los cambios en la configuracin indican que es aconsejable editar la ruta
por defecto. Por ejemplo, si cambi una direccin IP esttica de una interfaz
WAN, necesitar cambiar adems la direccin IP de la gateway por defecto.
Casilla de verificacin Activar
Mrquela si desea activar una ruta por defecto. Si ya se ha definido una ruta por
defecto, esta casilla estar marcada. Al desmarcarla se desactiva la ruta por
defecto.

2-10
OL-7141-04
Campo Envo de prximo salto (next hop)
Puede especificar una interfaz en el router como el prximo salto o puede
especificar una direccin IP. Si hace clic en Interfaz, seleccione la interfaz de la
lista desplegable. Si hace clic en Direccin IP, especifique la direccin IP.
Esta ventana permite desactivar funciones que estn activadas por defecto en el
software del IOS de Cisco pero que pueden representar riesgos para la seguridad,
o hacer que el router enve mensajes de un volumen tal que utilizaran toda su
memoria disponible. Debe dejar estas casillas marcadas a menos que sus
requisitos sean otros.
Si permite que SDM Express haga estas configuraciones y luego desea cambiar
alguna de las configuraciones individuales descriptas en estos grupos de
configuraciones, puede hacerlo utilizando SDM. Para obtener ms informacin,
haga clic en Cisco Router and Security Device Manager.
Casilla de verificacin Seleccionar todo (Recomendado por Cisco)
Si hace clic en Seleccionar todo, podr implementar todas las configuraciones de
seguridad en esta ventana. Si decide luego cambiar la configuracin de seguridad,
puede hacerlo utilizando Cisco SDM.
Casilla de verificacin Desactivar los servicios que implican riesgos de seguridad
Marque esta casilla para desactivar los servicios siguientes del router. Para saber
por qu se deben desactivar estos servicios, haga clic en los enlaces siguientes:

2-11
OL-7141-04
Desactivar CDP
Desactivar IP de destino inalcanzableDesactivar respuesta de mscara IP
Casilla de verificacin Activar los servicios para una mayor seguridad en el router o en la red
Marque esta casilla para activar las funciones y servicios siguientes de mejora de
Activar IP CEF
Activar registro
Casilla de verificacin Cifrar contraseas
Marque esta casilla para activar el cifrado de contraseas. Para obtener ms
informacin, consulte el tema Activar el servicio de cifrado de contraseas de la
ayuda.

Herramientas
2-12
OL-7141-04
Casilla de verificacin Sincronizar con el reloj de mi equipo local
Haga clic en este botn para sincronizar el router con el reloj en el PC local.
Herramientas
SDM Express proporciona numerosas herramientas que puede utilizar.
Opcin Ping
Haga clic para abrir una ventana en la cual puede especificar el origen y el destino
del ping. Consulte el apartado Ping para obtener ms informacin.
Opcin Telnet
Muestra el cuadro de dilogo Telnet de Windows, que le permite establecer
conexin con el router y acceder a la interfaz de lnea de comandos (CLI) del IOS
de Cisco por medio del protocolo Telnet.
Opcin SDM de Cisco
Haga clic para iniciar Cisco Router and Security Device Manager (Cisco SDM),
que le permite realizar configuraciones avanzadas.
Opcin Actualizacin del software
SDM Express puede ayudarlo a actualizar el software de configuracin en el
router Puede actualizar desde Cisco.com, o si ha descargado en su equipo el
archivo SDM.zip, puede actualizar utilizando ese archivo. Haga clic en cualquiera
de las siguientes opciones para obtener ms informacin.
Actualizar SDM desde Cisco.com
Actualizar SDM desde un PC local
Actualizar SDM desde un CD

2-13
OL-7141-04
Herramientas
Ping
Puede realizar un ping en un dispositivo par en esta ventana. En ella puede
seleccionar el origen y el destino de la operacin ping. Es posible que despus de
restablecer una configuracin WAN, desee realizar un ping a un par remoto.
Campo Origen
Seleccione o especifique la direccin IP en la que desee que se origine el ping. Si
la direccin que desea utilizar no se encuentra en la lista, especifique otra en el
campo. El ping puede tener su origen en cualquier interfaz del router. Por defecto,
el comando ping tiene su origen en la interfaz exterior de la conexin con el
dispositivo remoto.
Campo de destino
Seleccione la direccin IP para la que desea realizar el ping. Si la direccin que
desea utilizar no se encuentra en la lista, especifique otra en el campo.
Para enviar un ping a un homlogo remoto:
Especifique el origen y el destino y haga clic en Ping. Para saber si el ping ha sido
satisfactorio, puede leer la salida del comando ping.
Para borrar la salida del comando ping:
Haga clic en Borrar.
Actualizar SDM desde Cisco.com
Se puede actualizar SDM Express y SDM directamente desde Cisco.com. SDM
busca en Cisco.com todas las versiones disponibles y le informa si encuentra
alguna versin ms nueva que la utilizada en su router. Entonces, puede actualizar
el SDM mediante el asistente para la actualizacin.

Herramientas
2-14
OL-7141-04
Para actualizar el SDM desde Cisco.com:
Paso 1 Seleccione Actualizar SDM desde Cisco.com en el men Herramientas. Al
seleccionar esta opcin se inicia el asistente para la actualizacin.
Paso 2 Utilice el asistente para la actualizacin para obtener los archivos SDM y
copiarlos en el router.
Conexin a CCO
Deber proporcionar datos de inicio de sesin y contrasea de CCO para acceder
a esta pgina web. Indique un nombre de usuario y contrasea y, luego, haga clic
en Aceptar.
Si no posee nombre de usuario ni contrasea de CCO, puede obtenerlos si abre
una instancia de su navegador web y se dirige al siguiente enlace del sitio web de
Cisco:
http://www.cisco.com
Cuando se abra la pgina web, haga clic en Register y suministre la informacin
necesaria para obtener un nombre de usuario y una contrasea. Luego, vuelva a
realizar esta operacin.
Actualizar SDM desde un PC local
Es posible actualizar el SDM por medio de un archivo SDM.zip que se descarga
de Cisco.com. SDM proporciona un asistente para la actualizacin que copiar los
archivos necesarios en su router.

2-15
OL-7141-04
Herramientas
Para actualizar el SDM desde el PC que est utilizando para ejecutar el SDM siga
los pasos descritos a continuacin:
Paso 1 Descargue el archivo sdm-v nn .zip de la direccin URL siguiente:
http://www.cisco.com/cgi-bin/tablebuild.pl/sdm
Si existe ms de un archivo SDM .zip, obtenga la copia con el nmero de versin
mayor.
Paso 2 Utilice el asistente para la actualizacin para copiar los archivos SDM de su PC
al router.
Actualizar SDM desde un CD
Si tiene el CD de SDM, puede utilizarlo para actualizar SDM en el router. Para
hacerlo, siga los pasos descritos a continuacin:
Paso 1 Coloque el CD de SDM en la unidad de CD del PC.
Paso 2 Seleccione Actualizar SDM desde CD, y haga clic en Actualizar software en la
ventana de Instrucciones Generales despus de leer el texto.
Paso 3 SDM le permitir encontrar el archivo SDM-Updates.xml en el CD. Cuando
encuentre el archivo, haga clic en Abrir.
Paso 4 Siga las instrucciones del asistente de instalacin.

Propiedades de fecha y hora
2-16
OL-7141-04
Propiedades de fecha y hora
Utilice esta ventana para realizar los ajustes de fecha y hora del router. Puede
hacer que SDM Express sincronice los ajustes con el PC o bien puede realizarlos
de forma manual.
Casilla de verificacin Sincronizar con el reloj de mi equipo local
Marque esta opcin SDM Express para sincronizar los ajustes de fecha y hora del
router con los ajustes de fecha y hora del PC.
Casilla de verificacin Sincronizar
Haga clic aqu para que SDM Express realice una sincronizacin. SDM Express
realiza los ajustes de fecha y hora de este modo slo si hace clic en Sincronizar;
en las sesiones posteriores, no sincronizar nuevamente estos valores con el
equipo de forma automtica. Este botn estar desactivado si no ha
seleccionado Sincronizar con el reloj de mi equipo local.
Nota Debe definir los ajustes de zona horaria y de cambios de hora segn la luz solar
en el equipo antes de iniciar SDM Express, de forma que SDM Express recibir
los ajustes correctos cuando haga clic en Sincronizar.
Campos Editar fecha y hora
Utilice esta rea para definir la fecha y hora de forma manual. Puede elegir el mes
y el ao en las listas desplegables y seleccionar el da del mes en el calendario.
Los valores de los campos del rea Hora deben aparecer en formato de 24 horas.
Es posible seleccionar la zona horaria en funcin del meridiano de Greenwich
(GMT) o buscar en la lista las ciudades principales de su zona horaria.
Si desea que el router defina los ajustes de hora para que sta cambie en funcin
de las horas de luz y las horas estndar, seleccione Ajustar el reloj
automticamente para cambios de hora segn la luz solar.
Botn Aplicar
Haga clic en esta opcin para aplicar los ajustes de fecha y hora que ha definido
en los campos, Fecha, Hora y Zona horaria.

2-17
OL-7141-04
Restablecer los valores por defecto de fbrica
Es posible restablecer la configuracin del router a los valores por defecto de
fbrica y guardar la configuracin vigente en un archivo que se podr utilizar ms
adelante. Si ha cambiado el valor de fbrica 10.10.10.1 de la direccin IP de la
LAN del router, perder la conexin entre el router y el PC dado que dicha
direccin IP volver al valor 10.10.10.1 al restablecer la configuracin.
Nota La funcin Restablecer los valores por defecto de fbrica del router no se admite
en los routers de las series 3620, 3640, 3640A y 7000 de Cisco.
Paso 1: Guardar configuracin en ejecucin en el PC
Guarde la configuracin vigente del router en el equipo en este paso, para que
pueda restaurarla al router si lo necesita. Utilice el botn Examinar para
seleccionar el directorio para almacenar la configuracin.
Paso 2: Escribir estos pasos y luego restablecer el router
Puesto que perder la conexin con el router cuando haga clic en Restablecer,
debe comprender cmo va a volver a establecer la conexin despus de
restablecer el router.
a) Configure el equipo con una direccin IP en la red 10.10.10.0.
Configure el equipo para que est sobre la subred 10.10.10.0. En funcin del
router, debe configurar el PC para obtener automticamente una direccin IP, o
configurarlo con una direccin IP esttica en la subred 10.10.10.0.
Si tiene un router nombrado en la tabla siguiente, configure el PC para obtener
automticamente una direccin IP. Consulte Reconfigurar el equipo personal con
una direccin IP esttica o dinmica para aprender cmo hacerlo.
Si tiene uno de estos routers, configure el PC para obtener automticamente una direccin IP
SB10x, Cisco 83x, 85x, 87x, 1701, 1710, 1711, y 1712, 180x y 181x.

2-18
OL-7141-04
Si tiene un router listado en la tabla siguiente, configure el PC con una direccin
IP en la subred 10.10.10.0, entre 10.10.10.2 y 10.10.10.6 utilizando la mscara de
subred 255.255.255.248. Consulte Reconfigurar el equipo personal con una
direccin IP esttica o dinmica para aprender cmo hacerlo.
b) Seale al explorador web http(s)://10.10.10.1.
Despus de reiniciado, el router tiene la direccin IP por defecto original de
fbrica 10.10.10.1, y debe utilizar esta direccin para establecer de nuevo la
conexin.
c) Vuelva a conectarse a SDM Express con el nombre de usuario cisco y la contrasea
cisco.
El nombre de usuario y la contrasea han vuelto a su configuracin por defecto y
estos valores originales deben utilizarse para iniciar la sesin en SDM Express.
Botn Actualizar
Reconfigurar el equipo personal con una direccin IP esttica o
dinmica
El proceso para asignar al equipo personal una direccin IP esttica o configurarlo
para obtener automticamente una direccin IP vara ligeramente en funcin de la
versin de Microsoft Windows que se ejecute en el equipo.
Nota No vuelva a configurar el PC hasta despus de restablecer el router.
Si tiene uno de estos routers, configure el PC con una direccin IP esttica en la subred 10.10.10.0
Cisco 1721, 1751, 1760, 1841, 2600XM, 2691, 28xx, 36xx, 37xx, y 38xx.

2-19
OL-7141-04
Microsoft Windows NT
En el Panel de control, haga doble clic en el icono Red para que aparezca la
ventana Red. Haga clic en Protocolos, seleccione la primera entrada de Protocolo
TCP/IP y haga clic en Propiedades. En la ventana Propiedades, seleccione el
adaptador de Ethernet que se utiliza para esta conexin. Haga clic en Obtener
una direccin IP automticamente para obtener una direccin IP dinmica.
Para especificar una direccin IP esttica, haga clic en Especifique una direccin
IP. Especifique la direccin IP 10.10.10.2 o cualquier otra direccin en la subred
10.10.10.0 mayor que 10.10.10.1. Especifique la subred 255.255.255.248. Puede
dejar los dems campos en blanco. Haga clic en Aceptar.
Microsoft Windows ME
En el Panel de control, haga doble clic en el icono Red para que aparezca la
ventana Red. Haga doble clic en la entrada Protocolo TCP/IP con el adaptador de
red que se utiliza para esta conexin para mostrar las Propiedades de TCP/IP. En
la ficha de direccin IP, haga clic en Obtener una direccin IP
automticamente para obtener una direccin IP dinmica.
Microsoft Windows 2000
En el Panel de control, seleccione Conexiones de red y de acceso
telefnico/Conexiones de rea local. Seleccione el adaptador Ethernet en el
campo Conectar usando. Seleccione Protocolo Internet y haga clic en
Propiedades. Haga clic en Obtener una direccin IP automticamente para
obtener una direccin IP dinmica.

Funcin no disponible
2-20
OL-7141-04
Microsoft Windows XP
Haga clic en Inicio, seleccione Configuracin, Conexiones de red y, a
continuacin, seleccione la conexin LAN que se utilizar. Haga clic en
Propiedades, seleccione Protocolo Internet TCP/IP y haga clic en el botn
Propiedades. Haga clic en Obtener una direccin IP automticamente para
obtener una direccin IP dinmica.
Funcin no disponible
Esta ventana aparece cuando la funcin que intenta configurar no est disponible.
Esto puede ocurrir cuando la imagen del IOS o el hardware del router no admiten
esa funcin.

IN-1
OL-7141-04
N D I C E
A
anuncio, configurar 44
anuncio de texto, configurar 44
ARP proxy, desactivar 40
asignacin del programador 37
B
BOOTP, desactivar 32
C
CDP, desactivar 33
CEF, activar 36
CHAP 12, 16
contraseas
cifrado, activar 34
establecer la longitud mnima 43
D
DHCP 12, 16
difusiones dirigidas por IP, desactivar 40
Direccin IP
dinmica 12, 16
negociado 12, 16
no numerada 12, 16
direccin IP dinmica 12, 16
DLCI 20
E
encapsulacin
enrutamiento RFC1483 15
IETF 21
PPPoE 15
encapsulacin IETF 21
enrutamiento de origen IP, desactivar 33
enrutamiento RFC1483 15
F
Frame Relay
DLCI 20
encapsulacin IETF 21
tipo de LMI 20

ndice
IN-2
OL-7141-04
I
intervalo del programador 36
L
LMI 20
M
marcadores de hora, activar 35
mensaje "keep-alive" de TCP, activar 35
mensajes de host inalcanzable ICMP,
desactivar 42
mensajes de redireccionamiento ICMP,
desactivar 39
mensajes de respuesta de mscara ICMP,
desactivar 42
N
NetFlow, activar 34
nmeros de secuencia, activar 35
P
PAP 12, 16
pequeos servidores TCP, desactivar 28
pequeos servidores UDP, desactivar 31
PPPoE 15
R
registro
activacin de nmeros de secuencia y
marcadores de hora 35
activar 38
RPF de unidifusin, activar 38
S
SDP
resolucin de problemas 48
servicio Finger, desactivar 29
servicio identificacin de IP, desactivar 32
servicio MOP, desactivar 41
servicio PAD, desactivar 30
SNMP, desactivar 28
solicitudes Gratuitous ARP, desactivar 39
SSH
activar 45
T
tiempo TCP Synwait 37

Guia de Cisco SDM

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guia de Cisco SDM

Caricato da

Copyright:

Formati disponibili

Sede de la empresa

Cisco Systems, Inc.

Potrebbero piacerti anche