Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cisco Small Business Router VPN RV180 Router multifuncin RV180W Wireless-N
Enero de 2011
Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en Estados Unidos y en otros pases. Encontrar un listado de las marcas comerciales propiedad de Cisco en www.cisco.com/go/trademarks. Las marcas comerciales de otros fabricantes a las que se hace referencia en esta documentacin son propiedad de sus respectivos propietarios. El uso del trmino "partner" (o sus equivalentes) no implica una relacin de sociedad entre Cisco y cualquier otra empresa. (1005R)
OL-25662-01
Contenido
Captulo 1: Introduccin
Descripcin general del producto
Interfaces LAN Ethernet Punto de acceso inalmbrico (Cisco RV180W) Router y acceso de cliente de VPN Sistema de distribucin inalmbrica (Cisco RV180W) Redes virtuales Seguridad inalmbrica (Cisco RV180W) Calidad de servicio (Cisco RV180W) Configuracin y administracin
1
2
2 2 2 3 3 3 3 3
4
4 4
6
6 7
8
8 8
Conexin del equipo Instalacin de Cisco RV180/RV180W con el Asistente de instalacin Seleccin del modo de dispositivo (Cisco RV180W) Uso de la pgina Introduccin Navegacin a travs de las pginas Guardar los cambios Ver de archivos de ayuda Conexin de dispositivos a la red inalmbrica Pasos de configuracin siguientes
11 14 15 17 19 20 20 20 20
Contenido
22
22
23
23 24 24 25 26 28 28
29
29
31
31
31 32 33 34
34 36
36
37 38
39
Visualizacin de los clientes DHCP dedicados Configuracin de RSTP (Cisco RV180W) Configuracin de Jumbo Frames
39 40 42
Configuracin de enrutamiento
Seleccin del modo de enrutamiento Visualizacin de la informacin de enrutamiento Configuracin de rutas estticas
Creacin de una ruta esttica
42
42 43 45
45
46
47
Contenido
48 50
50 50 52 54
54
Configuracin de tunelizacin
Creacin de un tnel ISATAP
55
56
57
58
59
59
60 61
Cmo funcionan las redes inalmbricas de Cisco RV180W Configuracin de ajustes inalmbricos bsicos
Configuracin de seguridad Configuracin de filtrado de MAC Configuracin de Wi-Fi Multimedia Configuracin de la programacin de red inalmbrica (SSID)
62 62
64 67 67 69
69 71
71 71 72
Configuracin de Wi-Fi protegida Configuracin de un sistema de distribucin de la seal inalmbrica (WDS, Wireless Distribution System) Configuracin de equilibrio de carga
72 73 74
Contenido
75
75 77
78
Configuracin de prevencin de ataques Configuracin de filtrado de contenido Configuracin de bloqueo de URL Configuracin de redireccionamiento de puertos
Creacin de reglas de redireccionamiento de puertos
82 83 85 86
87
87
88
91 92
92
93
Configuracin de filtrado de direccin MAC Configuracin de vinculaciones de direcciones IP/MAC Creacin de servicios personalizados
Creacin de un servicio personalizado
93 94 95
95
Creacin de programaciones
Creacin de una programacin
96
96
Configuracin de los ajustes de sesin Configuracin IGMP (Internet Group Management Protocol, protocolo de gestin de grupo de Internet)
Creacin de redes permitidas
96 98
98
99
99
Habilitar SIP ALG (Session Initiation Protocol Application-Level Gateway, puerta de acceso de nivel de aplicacin de protocolo de inicio de sesin)
99
100
Contenido
104
104 107
109
110
111 115 120 121 123
Configuracin de seguridad
Uso de certificados de autenticacin SSL
Carga de un certificado de confianza Generacin de nuevas solicitudes de certificado Ver una solicitud de autocertificado Exportacin de una solicitud de autocertificado Carga de un autocertificado Exportacin del certificado actual del router
124
124
125 125 126 126 127 127
127
128 128
129
130
130 132
132
133 134
Contenido
135
136 136 136
137 137 138
138
139
139 139 140
141
Configuracin del medidor de trfico WAN Uso de herramientas de diagnstico de red Captura y seguimiento de paquetes Configuracin de registro
Configuracin de polticas de registro Configuracin de registros de cortafuegos Configuracin de registro remoto
148
148 148
Configuracin de los ajustes de hora Copias de seguridad y restauracin del sistema Importacin de archivos CSV Actualizacin del firmware Reinicio del router Cisco RV180/RV180W Restauracin de los ajustes predeterminados de fbrica
Contenido
156
156 160 164 165 166 167 167 168 169 170
172
172 172 173
173 173
174
176
1
Introduccin
En este captulo se describen las funciones de Cisco RV180/RV180W, se ofrece una gua del proceso de instalacin y se inicia al usuario en la utilizacin del administrador de dispositivos, una utilidad basada en navegador para configurar Cisco RV180/RV180W. Descripcin general del producto, pgina 2 Informacin bsica sobre Cisco RV180, pgina 4 Informacin bsica sobre Cisco RV180W, pgina 6 Montaje de Cisco RV180/RV180W, pgina 8 Conexin del equipo, pgina 11 Instalacin de Cisco RV180/RV180W con el Asistente de instalacin, pgina 14 Seleccin del modo de dispositivo (Cisco RV180W), pgina 15 Uso de la pgina Introduccin, pgina 17 Navegacin a travs de las pginas, pgina 19 Guardar los cambios, pgina 20 Ver de archivos de ayuda, pgina 20 Conexin de dispositivos a la red inalmbrica, pgina 20 Pasos de configuracin siguientes, pgina 20
Introduccin
Descripcin general del producto
Introduccin
Descripcin general del producto
Redes virtuales
El punto de acceso tambin es compatible con varios SSID para el uso de redes virtuales (hasta cuatro redes virtuales independientes), y admite VLAN basada en 802.1Q para la separacin de trfico.
Configuracin y administracin
Con el servidor web integrado de Cisco RV180/RV180W puede configurar los ajustes del router con el administrador de dispositivos basado en navegador. Cisco RV180/RV180W es compatible con los navegadores web Internet Explorer, Firefox y Safari. Cisco RV180/RV180W tambin proporciona un Asistente de configuracin. El Asistente de configuracin le permite establecer fcilmente la configuracin bsica de Cisco RV180/RV180W.
Introduccin
Informacin bsica sobre Cisco RV180
POWER: la luz LED POWER verde se ilumina para indicar que el dispositivo est encendido. El indicador parpadea durante el proceso de encendido o cuando se est actualizando el software. LED WAN: la luz LED WAN (Internet) verde se ilumina cuando el dispositivo se conecta al mdem DSL o por cable. La luz LED parpadea cuando la unidad est enviando o recibiendo datos a travs del puerto WAN. LAN: estas cuatro luces LED corresponden a los cuatro puertos LAN (Ethernet) de la unidad Cisco RV180. Si la luz LED verde se ilumina de forma constante, la unidad Cisco RV180 est conectada a un dispositivo a travs del puerto correspondiente (1, 2, 3 o 4). La luz LED verde de un puerto parpadea cuando la unidad Cisco RV180 enva o recibe activamente datos a travs de ese puerto.
Panel posterior
Botn RESET: el botn RESET tiene dos funciones: Si la unidad Cisco RV180 experimenta problemas de conexin a Internet, pulse el botn RESET durante menos de cinco segundos con un clip o con la punta de un lpiz. Este procedimiento es similar a presionar el botn de reinicio de un equipo para reiniciarlo.
Introduccin
Informacin bsica sobre Cisco RV180
Si tiene problemas graves con la unidad Cisco RV180 y ha probado todas las medidas para solucionar el problema, mantenga presionado el botn RESET durante al menos 20 segundos. Con este procedimiento se restaurarn los ajustes predeterminados de fbrica y se borrar toda la configuracin de la unidad Cisco RV180.
NOTA Le recomendamos que realice una copia de seguridad de su
configuracin actual antes de restablecer los valores predeterminados de fbrica del dispositivo. Consulte Copias de seguridad y restauracin del sistema, pgina 150. Puertos LAN (1-4) : estos puertos proporcionan una conexin LAN a dispositivos de red como, por ejemplo, equipos, servidores de impresin o switches adicionales. Puerto WAN: el puerto WAN se conecta a un dispositivo de Internet, como un mdem DSL o por cable. Botn ON/OFF: pulse este botn para encender y apagar la unidad Cisco RV180. Cuando se presiona el botn, se enciende el dispositivo. Puerto de alimentacin: el puerto de alimentacin es donde se conecta el cable de alimentacin de CA.
Introduccin
Informacin bsica sobre Cisco RV180W
POWER: la luz LED POWER verde se ilumina para indicar que el dispositivo est encendido. El indicador parpadea durante el proceso de encendido o cuando se est actualizando el software. LED WAN: la luz LED WAN (Internet) verde se ilumina cuando el dispositivo se conecta al mdem DSL o por cable. La luz LED parpadea cuando la unidad est enviando o recibiendo datos a travs del puerto WAN. WIRELESS: el indicador LED WIRELESS verde se ilumina cuando el administrador de dispositivos activa el mdulo inalmbrico. El LED se apaga cuando el mdulo inalmbrico est desactivado. La luz LED verde parpadea cuando el dispositivo est transmitiendo o recibiendo datos en el mdulo inalmbrico. AP: el indicador LED AP verde se ilumina cuando la unidad Cisco RV180W acta como un punto de acceso. Consulte Seleccin del modo de dispositivo (Cisco RV180W), pgina 15. BRIDGE: el indicador LED BRIDGE verde se ilumina cuando la unidad Cisco RV180W est en modo de puente. Consulte Seleccin del modo de dispositivo (Cisco RV180W), pgina 15. LAN: estas cuatro luces LED corresponden a los cuatro puertos LAN (Ethernet) de la unidad Cisco RV180/RV180W. Si la luz LED verde se ilumina de forma constante, la unidad Cisco RV180W est conectada a un dispositivo a travs del puerto correspondiente (1, 2, 3 o 4). La luz LED verde de un puerto parpadea cuando la unidad Cisco RV180W enva o recibe activamente datos a travs de ese puerto.
Introduccin
Informacin bsica sobre Cisco RV180W
Panel posterior
Botn RESET: el botn RESET tiene dos funciones: Si la unidad Cisco RV180W experimenta problemas de conexin a Internet, pulse el botn RESET durante menos de cinco segundos con un clip o con la punta de un lpiz. Este procedimiento es similar a presionar el botn de reinicio de un equipo para reiniciarlo. Si tiene problemas graves con la unidad Cisco RV180W y ha probado todas las medidas para solucionar el problema, mantenga pulsado el botn RESET durante 10 segundos. Con este procedimiento se restaurarn los ajustes predeterminados de fbrica y se borrar toda la configuracin de la unidad Cisco RV180W.
Puertos LAN (1-4) : estos puertos proporcionan una conexin LAN a dispositivos de red como, por ejemplo, equipos, servidores de impresin o switches adicionales. Puerto WAN: el puerto WAN se conecta a un dispositivo de Internet, como un mdem DSL o por cable. Botn ON/OFF: pulse este botn para encender y apagar la unidad Cisco RV180W. Cuando se presiona el botn, se enciende el dispositivo. Puerto de alimentacin: el puerto de alimentacin es donde se conecta el cable de alimentacin de CA.
Gua de administracin de Cisco RV180/RV180W 7
Introduccin
Montaje de Cisco RV180/RV180W
Sugerencias de colocacin
Temperatura ambiente: para evitar que el dispositivo se sobrecaliente, no lo utilice en un rea que supere la temperatura ambiente de 40 C (104 F). Flujo de aire: asegrese de que haya un flujo de aire adecuado en torno al dispositivo. Carga mecnica: asegrese de que el dispositivo est nivelado y estable para evitar situaciones de peligro.
Para la colocacin en el escritorio, site el dispositivo Cisco RV180/RV180W de forma horizontal en una superficie plana, de forma que se apoye sobre las cuatro patas de goma.
Montaje en pared
Es posible montar la unidad Cisco RV180/RV180W en la pared. Para ello, necesitar dos tornillos (no incluidos) y tacos de pared (no incluidos) en el caso de que tenga que introducir los primeros en placas de yeso. Las dimensiones de los tornillos son las siguientes:
1 3
2 4
196243
Introduccin
Montaje de Cisco RV180/RV180W
usuario. Cisco no se har responsable de los daos derivados de montajes en pared no seguros. Para montar el cortafuegos en la pared:
PASO 1 Decida dnde colocar el cortafuegos. Asegrese de que la superficie sea lisa,
61 mm (2,4 pulgadas)
284157
Introduccin
Montaje de Cisco RV180/RV180W
PASO 4 Site las ranuras de montaje en pared del cortafuegos sobre los tornillos y deslice
el cortafuegos hacia abajo hasta que los tornillos encajen en dichas ranuras.
284158
10
Introduccin
Conexin del equipo
1
Antes de comenzar con la instalacin, asegrese de que dispone de los siguientes equipos y servicios: Obligatorio Conexin a Internet operativa (mdem por cable o DSL de banda ancha). Cable Ethernet para conexin WAN (Internet). Equipo con adaptador de red operativo (conexin Ethernet) para ejecutar el Asistente de configuracin o el administrador de dispositivos. El Asistente de configuracin es compatible con Microsoft Windows 2000, Windows XP, Windows Vista y Windows 7. El administrador de dispositivos es compatible con los siguientes navegadores web: Microsoft Internet Explorer 6.0 y versiones posteriores Mozilla Firefox 3.0 y versiones posteriores Apple Safari 3.0 y versiones posteriores Google Chrome 1.0 y versiones posteriores
Opcional Sistema de alimentacin ininterrumpida (SAI) para proporcionar una alimentacin de respaldo a los dispositivos ms importantes (recomendado encarecidamente). Cables Ethernet para interfaces LAN si desea conectar dispositivos adicionales a los puertos LAN del router.
actualmente a un dispositivo como un router o un PC, desconecte el cable del dispositivo e insrtelo en el puerto etiquetado con la palabra "WAN" de la unidad RV180/RV180W. El mdem DSL o mdem por cable est conectado ahora al router.
11
Introduccin
Conexin del equipo
PASO 3 Use el cable Ethernet que se incluye en la caja del router Cisco RV180/RV180W y
conecte un extremo del cable a uno de los puertos LAN del router. En este ejemplo se utiliza el puerto LAN 1. Conecte el otro extremo del cable a un puerto Ethernet del PC que se usar para conectarse con el administrador de dispositivos del router Cisco RV180/RV180W.
PASO 4 Encienda el mdem DSL o por cable y espere hasta que se active la conexin.
12
Introduccin
Conexin del equipo
1
RV180W (12 VCC).
!
PRECAUCIN Use solo el adaptador de alimentacin que se proporciona con el dispositivo. Si
necesite un enchufe especfico (incluido) para conectarlo a la red elctrica segn su pas.
13
Introduccin
Instalacin de Cisco RV180/RV180W con el Asistente de instalacin
direccin IP predeterminada de RV180/RV180W. Aparecer un mensaje relacionado con el certificado de seguridad del sitio. La unidad RV110W utiliza un certificado de seguridad autofirmado; este mensaje aparece porque el PC no reconoce el router.
PASO 3 Puede hacer clic en Continuar con este sitio web (o en la opcin que aparezca en
su navegador web) para ir al sitio web. La direccin IP predeterminada del router es 192.168.1.1. Si hay otro dispositivo conectado a la red que funciona como servidor DHCP, es probable que ese dispositivo asigne una direccin distinta a RV180/RV180W. En tal caso, use esa direccin IP para conectarse a RV180/RV180W.
PASO 4 Cuando aparezca la pgina de inicio de sesin, especifique el nombre de usuario
y la contrasea. El nombre de usuario predeterminado es cisco. La contrasea predeterminada es cisco. Las contraseas distinguen entre maysculas y minsculas. Para proteger su router, cambie el nombre de usuario y la contrasea predeterminados tan pronto como sea posible. Consulte seccin Configuracin de cuentas de usuario pgina 137.
PASO 5 Haga clic en Iniciar sesin. Se inicia el Asistente de configuracin. PASO 6 Siga las instrucciones en pantalla del Asistente de configuracin para configurar
RV180/RV180W. El Asistente de instalacin intenta detectar y configurar automticamente su conexin. Si no puede hacerlo, el Asistente de instalacin solicitar informacin acerca de la conexin a Internet. Tal vez necesite ponerse en contacto con el ISP para conseguir esta informacin. Despus de que el Asistente de instalacin termine la configuracin de RV180/ RV180W, aparecer la pgina Introduccin. Consulte Uso de la pgina Introduccin, pgina 17 para obtener ms informacin.
14
Introduccin
Seleccin del modo de dispositivo (Cisco RV180W)
RV180W dispone de los modos siguientes: Router Cisco RV180W funciona como un router inalmbrico en la red. Punto de acceso Cisco RV180W funciona como el punto de acceso en la red. Se desactiva el puerto WAN y los cuatro puertos Ethernet se pueden utilizar para conectarse a otro router o switch. La direccin IP predeterminada de RV180W es 192.168.1.245. Si conecta el dispositivo RV180W a una red que use 802.1x para la autenticacin, debe habilitar 802.1x en RV180W. Consulte Configuracin de autenticacin 802.1x basada en puertos, pgina 129. Puente de WDS Cisco RV180W funciona como un puente inalmbrico a otra red inalmbrica. Para configurar el router RV180W como un puente WDS, siga estos pasos:
PASO 1 Conecte el PC en el que utilizar el administrador de dispositivos al host
misma subred que Cisco RV180W. Por ejemplo, cambie la direccin IP del PC a 192.168.1.30.
PASO 4 Habilite WDS en el router A y en RV180W. (En el dispositivo RV180W, seleccione
15
Introduccin
Seleccin del modo de dispositivo (Cisco RV180W)
inalmbrica (punto de acceso). Por ejemplo, si el router A es del modelo Cisco RV220W, la direccin MAC de la red inalmbrica se encuentra en Estado > Resumen del sistema, en la tabla Puntos de acceso disponibles. Para especificar la direccin MAC del router A en el dispositivo RV180W: a. Seleccione Inalmbrico > WDS. b. En la tabla de entidades pares de WDS, haga clic en Agregar y especifique la direccin MAC de la red inalmbrica del router host (router A). c. Haga clic en Guardar. Para obtener ms informacin, consulte la seccin Configuracin de un sistema de distribucin de la seal inalmbrica (WDS, Wireless Distribution System) pgina 73.
PASO 6 En el router A, especifique la direccin MAC de la red inalmbrica en RV180W.
Especifique solo la direccin MAC de SSID 1 en el router A, ya que solo SSID 1 es compatible con WDS. (Para ver los puntos de acceso de RV180W disponibles y sus direcciones MAC, vaya a Estado > Resumen del sistema y consulte la tabla de puntos de acceso disponibles.)
PASO 7 Desconecte la conexin Ethernet entre el router A y RV180W. Tras establecer la
conexin WDS, debera poder hacer ping a RV180W desde el PC conectado al router A.
Pueden darse las situaciones siguientes, en funcin del router host y la configuracin de RV180W: Probablemente sea necesario reiniciar RV180W tras configurar WDS y desconectarlo del router host. Si apaga ambos routers, encienda el router host y espere unos segundos antes de encender el router RV180W.
Repetidor de WDS El router Cisco RV180W usa la red inalmbrica para conectarse a otra red inalmbrica, y repite la seal inalmbrica a los clientes que hay detrs de l. Configure la direccin MAC del punto de acceso o las entidades pares para que puedan asociarse al router RV180W. Consulte seccin Configuracin de un sistema de distribucin de la seal inalmbrica (WDS, Wireless Distribution System) pgina 73.
16
Introduccin
Uso de la pgina Introduccin
Acceso rpido Actualizar firmware de dispositivo Haga clic en este vnculo para abrir la pgina Actualizacin del firmware. Consulte Actualizacin del firmware, pgina 154. Configuracin de copia de seguridad/ restauracin Haga clic en este vnculo para abrir la pgina Copia de seguridad y restauracin. Consulte Copias de seguridad y restauracin del sistema, pgina 150
17
Introduccin
Uso de la pgina Introduccin
1
Haga clic en este vnculo para abrir la pgina Configuracin bsica de VPN. Consulte Configuracin de una VPN bsica, pgina 107.
Haga clic en este vnculo para abrir la pgina Acceso web. Consulte Configuracin de acceso HTTPS, pgina 137.
Panel
Haga clic en este vnculo para abrir la pgina Panel. Consulte Ver el panel, pgina 156.
Haga clic en este vnculo para abrir la pgina Resumen del sistema. Consulte Ver el resumen del sistema, pgina 160.
Haga clic en este vnculo para abrir la pgina Estadsticas inalmbricas. Consulte Ver las estadsticas inalmbricas (Cisco RV180W), pgina 164.
Estado de VPN
Haga clic en este vnculo para abrir la pgina Estado de conexin de IPsec. Consulte Estado de la conexin IPsec, pgina 165.
Otros recursos
Soporte Foros
Haga clic en este vnculo para abrir la pgina de soporte de Cisco. Haga clic en este vnculo para visitar los foros de soporte en lnea de Cisco.
18
Introduccin
Navegacin a travs de las pginas
acceso, puente de WDS o repetidor de WDS) configurado. Por ejemplo, el router RV180W muestra menos opciones en el men Seguridad en el modo de puente de WDS que en el modo de router. En la unidad RV180W, el modo actual se muestra en la parte superior derecha de la pantalla (nmero 3 en Figura 1).
Figura 1
19
Introduccin
Guardar los cambios
1
Cuando acabe de realizar cambios en una pgina de configuracin, haga clic en Guardar (nmero 4 en Figura 1) para guardar los cambios o haga clic en Cancelar (nmero 5 en Figura 1) para deshacer los cambios.
20
Introduccin
Pasos de configuracin siguientes
1
Cambie el tiempo de inactividad (de manera predeterminada, el administrador de dispositivos cierra la sesin tras 10 minutos de inactividad). Este ajuste puede ser molesto si est intentando configurar el dispositivo. Consulte Configuracin del valor de tiempo de espera de sesin pgina 138. (Opcional) Si ya dispone de un servidor DHCP en su red y no quiere que Cisco RV180/RV180W acte como tal, consulte seccin Configuracin de ajustes LAN (red local) pgina 31. (Cisco RV180W) Configure la red inalmbrica, sobre todo la opcin de seguridad inalmbrica. Consulte el Captulo 3, Configuracin de la red inalmbrica (Cisco RV180W). Configure la red privada virtual (VPN) mediante QuickVPN. El software QuickVPN se encuentra en el CD de documentacin y software que se enva con el router. Consulte el anexo A, Uso de Cisco QuickVPN para Windows 7, 2000, XP o Vista.
21
2
Configuracin de red
La pgina de red le permite configurar ajustes de red. Este captulo contiene las siguientes secciones: Configuracin de parmetros WAN (Internet), pgina 22 Configuracin de ajustes LAN (red local), pgina 31 Configuracin de enrutamiento, pgina 42 Configuracin de administracin de puertos, pgina 47 Configuracin de DNS dinmico (DDNS), pgina 48 Configuracin de IPv6, pgina 50
NOTA Cisco le recomienda usar el Asistente de configuracin para ajustar la red bsica
en Cisco RV180/RV180W. A continuacin, puede realizar cambios y aprovisionar funciones avanzadas con el administrador de dispositivos.
22
Configuracin de red
Configuracin de parmetros WAN (Internet)
determina el resto de informacin que deber especificar. Consulte las secciones siguientes para obtener ms informacin: Configuracin automtica (DHCP), pgina 23 Configuracin de IP esttica, pgina 24 Configuracin de PPPoE, pgina 24 Configuracin de PPTP, pgina 25 Configuracin de L2TP, pgina 26
23
Configuracin de red
Configuracin de parmetros WAN (Internet)
Configuracin de IP esttica
Si el ISP asign una direccin IP permanente, realice los siguientes pasos para configurar los ajustes de WAN:
PASO 1 Seleccione Redes > WAN (Internet) > WAN IPv4 (Internet). PASO 2 En el men desplegable Tipo de conexin a Internet , seleccione IP esttica. PASO 3 Especifique esta informacin:
Direccin IP Mscara de subred Puerta de enlace predeterminada Servidor DNS principal Servidor DNS secundario
Escriba la direccin IP que le ha asignado su ISP. Escriba la mscara de subred que le ha asignado su ISP. Especifique la direccin IP de la puerta de enlace del ISP. Especifique la direccin IP del servidor DNS principal que utiliza su ISP. (Opcional) Especifique la direccin IP del servidor DNS secundario. Este se utiliza en caso de fallo del servidor DNS principal.
Configuracin de PPPoE
Si cuenta con una conexin de protocolo punto a punto a travs de Ethernet (PPPoE) a Internet:
PASO 1 Seleccione Redes > WAN (Internet) > WAN IPv4 (Internet). PASO 2 En el men desplegable Tipo de conexin a Internet , seleccione PPPoE.
24
Configuracin de red
Configuracin de parmetros WAN (Internet)
PPPoE. Si el perfil no aparece en la lista, haga clic en Configurar perfil para crear un perfil nuevo. Para consultar la informacin de los perfiles disponibles, seleccione Redes > WAN (Internet) > Perfiles de PPPoE. Consulte Configuracin de perfiles PPPoE, pgina 29 para obtener ms informacin.
PASO 4 Especifique la informacin de MTU. (Consulte Configuracin de los ajustes de
Configuracin de PPTP
Si cuenta con una conexin de protocolo de tunelizacin punto a punto (PPTP) a Internet:
PASO 1 Seleccione Redes > WAN (Internet) > WAN IPv4 (Internet). PASO 2 En el men desplegable Tipo de conexin a Internet , seleccione PPTP. PASO 3 Especifique esta informacin:
Especifique el nombre de usuario que le ha asignado el ISP. Especifique la contrasea que le ha asignado el ISP. Si el ISP es compatible con MPPE (Microsoft Pointto-Point Encryption, cifrado punto a punto de Microsoft), active la casilla para habilitar el cifrado de MPPE.
25
Configuracin de red
Configuracin de parmetros WAN (Internet)
2
Seleccione el tipo de conexin: Seguir conectado: la conexin a Internet siempre est activa. Tiempo de inactividad: la conexin a Internet est activa solo si hay trfico. Si la conexin est inactiva (es decir, no hay trfico durante el intervalo de tiempo especificado), la conexin se cierra. Puede que quiera seleccionar esta opcin si los costes de ISP se basan en el tiempo de conexin.
Tipo de conexin
Tiempo de inactividad
Si selecciona Tiempo de inactividad como tipo de conexin, especifique el nmero de minutos a partir de los cuales finaliza la conexin. El rango vlido es 5999. Especifique la direccin IP que le haya asignado el ISP. Especifique la direccin IP del servidor de PPTP.
Configuracin de L2TP
Si cuenta con una conexin a L2TP (Layer 2 Tunneling Protocol, protocolo de tunelizacin de capa 2) a Internet:
PASO 1 Seleccione Redes > WAN. PASO 2 En el men desplegable Tipo de conexin a Internet , seleccione L2TP . PASO 3 Especifique esta informacin:
26
Configuracin de red
Configuracin de parmetros WAN (Internet)
2
Especifique el nombre de usuario que le ha asignado el ISP. Especifique la contrasea que le ha asignado el ISP. (Opcional) Especifique la frase secreta. Esta frase la conoce usted y el ISP, y se usa para la autenticacin del inicio de sesin. Seleccione el tipo de conexin: Seguir conectado: la conexin a Internet siempre est activa. Tiempo de inactividad: la conexin a Internet est activa solo si hay trfico. Si la conexin est inactiva (es decir, no hay trfico durante el intervalo de tiempo especificado), la conexin se cierra. Puede que quiera seleccionar esta opcin si los costes de ISP se basan en el tiempo de conexin.
Tipo de conexin
Tiempo de inactividad
Si selecciona Tiempo de inactividad como tipo de conexin, especifique el nmero de minutos a partir de los cuales finaliza la conexin. El rango vlido es 5999. Especifique la direccin IP que le haya asignado el ISP. Especifique la direccin IP del servidor de L2TP.
27
Configuracin de red
Configuracin de parmetros WAN (Internet)
Predeterminado: a no ser que sea necesario un cambio por parte del ISP, le recomendamos que seleccione Predeterminado en el campo Tipo de MTU. El tamao de MTU predeterminado es 1500 bytes. Personalizado: si el ISP requiere una configuracin de MTU personalizada, seleccione Personalizado y especifique el tamao de MTU (en bytes) en el campo Tamao de MTU.
opciones: Usar direccin predeterminada: (recomendado) seleccione esta opcin para usar la direccin MAC predeterminada. No obstante, si ha registrado previamente otra direccin MAC con su ISP, seleccione Usar la direccin de este equipo o Usar esta MAC. Usar la direccin de este equipo: seleccione esta opcin para asignar la direccin MAC del equipo que est utilizando para conectar con el administrador de dispositivos.
28
Configuracin de red
Configuracin de parmetros WAN (Internet)
Usar esta MAC: seleccione esta opcin si desea especificar una direccin MAC distinta. Especifique la direccin en el campo Direccin MAC.
Especifique el nombre del perfil. Especifique el nombre de usuario que le ha asignado el ISP. Especifique la contrasea que le ha asignado el ISP.
29
Configuracin de red
Configuracin de parmetros WAN (Internet)
2
Seleccione el tipo de autenticacin en el men desplegable: Negociar automticamente: el servidor enva una solicitud de configuracin que especifica el algoritmo de seguridad que se ha establecido. A continuacin, Cisco RV180/RV180W devuelve las credenciales de autenticacin con el tipo de seguridad que el servidor ha enviado anteriormente. PAP: Cisco RV180/RV180W usa PAP (Password Authentication Protocol, protocolo de autenticacin de contrasea) para conectar con el ISP. CHAP: Cisco RV180/RV180W usa CHAP (Challenge Handshake Authentication Protocol, protocolo de autenticacin por desafo mutuo) cuando se conecta con el ISP. MS-CHAP o MS-CHAPv2: Cisco RV180/ RV180W usa el protocolo de autenticacin por desafo mutuo de Microsoft cuando se conecta con el ISP.
Tipo de autenticacin
Tipo de conexin
Seleccione el tipo de conexin: Seguir conectado: la conexin a Internet siempre est activa. Tiempo de inactividad: la conexin a Internet est activa solo si hay trfico. Si la conexin est inactiva (es decir, no hay trfico durante el intervalo de tiempo especificado), la conexin se cierra. Puede que quiera seleccionar esta opcin si los costes de ISP se basan en el tiempo de conexin.
Tiempo de inactividad
Si selecciona Tiempo de inactividad como tipo de conexin, especifique el nmero de minutos a partir de los cuales finaliza la conexin. El rango vlido es 5999.
30
Configuracin de red
Configuracin de ajustes LAN (red local)
Para editar un perfil de PPPoE que aparece en la tabla de perfiles, seleccione el perfil y haga clic en Editar. Para eliminar los perfiles seleccionados, haga clic en Eliminar.
Cisco RV180/RV180W. Puede usar solo caracteres alfanumricos y guiones. El nombre de host predeterminado (por ejemplo, router6DE44E) consta de la palabra router seguida de los ltimos tres bytes de la direccin MAC de LAN del router (en formato hexadecimal). Este formato permite a la aplicacin FindIT usar Bonjour para identificar los dispositivos Cisco Small Business en la LAN. NOTA: Al cambiar el nombre del router, este se reinicia.
PASO 3 Haga clic en Guardar.
31
Configuracin de red
Configuracin de ajustes LAN (red local)
Configuracin de la direccin IP
Puede que desee cambiar la direccin IP predeterminada (por ejemplo, si la direccin predeterminada ya est asignada a otro equipo en la red). Para configurar la direccin IP de Cisco RV180/RV180W:
PASO 1 Seleccione Redes > LAN (red local) > LAN (red local) IPv4. PASO 2 Especifique esta informacin:
Direccin IP
Especifique la direccin IP de LAN de RV180/ RV180W. Asegrese de que ningn otro dispositivo de la misma red utiliza la direccin. La direccin IP predeterminada es 192.168.1.1.
Mscara de subred
En el men desplegable, seleccione la mscara de subred para la nueva direccin IP. La subred predeterminada es 255.255.255.0.
Una vez que se cambie la direccin IP de LAN del dispositivo Cisco RV180/ RV180W, el PC ya no estar conectado a Cisco RV180/RV180W.
PASO 4 Para volver a conectar su PC a Cisco RV180/RV180W:
Si DHCP est configurado en Cisco RV180/RV180W, libere y renueve la direccin IP del PC. Si DHCP no est configurado en Cisco RV180/RV180W, asigne manualmente una direccin IP al PC. La direccin debe estar en la misma subred que Cisco RV180/RV180W. Por ejemplo, si cambia la direccin IP de Cisco RV180/RV180W a 10.0.0.1, asigne al PC una direccin IP en el rango de 10.0.0.2 a 10.0.0.254.
PASO 5 Abra una nueva ventana del navegador y especifique la nueva direccin IP de
32
Configuracin de red
Configuracin de ajustes LAN (red local)
Configuracin de DHCP
De forma predeterminada, Cisco RV180/RV180W funciona como un servidor DHCP para los host de la red LAN o LAN inalmbrica (WLAN) y asigna direcciones de servidor DNS y direcciones IP. Con DHCP habilitado, la direccin IP del router sirve como direccin de puerta de enlace en la LAN. A los PC de la LAN se les asignan direcciones IP desde un grupo de direcciones. Se realiza una comprobacin de cada direccin antes de asignarla para evitar que se dupliquen en la LAN. Para la mayor parte de las aplicaciones, la configuracin de DHCP predeterminada es satisfactoria. Si desea que otro PC de la red sea el servidor DHCP, o si configura manualmente la configuracin de red de todos los PC, deshabilite DHCP. Para configurar los ajustes de DHCP de Cisco RV180/RV180W:
PASO 1 Seleccione Redes > LAN (red local) > LAN (red local) IPv4. PASO 2 En el men desplegable Modo DHCP, seleccione una de estas opciones:
Ninguno: seleccione esta opcin si Cisco RV180/RV180W no va a funcionar como servidor DHCP. Servidor DHCP: seleccione esta opcin para configurar Cisco RV180/ RV180W como un servidor DHCP y especifique la siguiente informacin: Nombre del dominio: (opcional) Especifique el nombre de dominio de la red. Direccin IP de inicio/Direccin IP final: especifique la primera y la ltima de las direcciones contiguas del grupo de direcciones IP. Se asigna una direccin IP en este rango a los clientes DHCP nuevos que se unen a la LAN. Puede reservar parte del rango para los PC con direcciones fijas. Estas direcciones deben estar en la misma subred de direcciones IP que la direccin IP de LAN de Cisco RV180/RV180W. Servidor DNS principal/Servidor DNS secundario: los servidores DNS asignan nombres de dominio de Internet (por ejemplo, www.cisco.com) a las direcciones IP. Especifique las direcciones IP del servidor en estos campos si desea usar servidores DNS distintos a los especificados en la configuracin WAN. Tiempo de dedicacin: especifique la duracin (en horas) para las direcciones IP dedicadas a clientes.
33
Configuracin de red
Configuracin de ajustes LAN (red local)
Retransmisin DHCP: seleccione esta opcin para configurar Cisco RV180/RV180W como un agente de retransmisin DHCP y especifique la direccin del servidor DHCP remoto en el campo Servidor DHCP remoto. El agente de retransmisin transmite mensajes DHCP entre varias subredes.
como proxy para todas las solicitudes DNS y para que se comunique con los servidores DNS del ISP.
PASO 3 Haga clic en Guardar.
34
Configuracin de red
Configuracin de ajustes LAN (red local)
La tabla de pertenencia a VLAN se muestra debajo del campo Habilitar VLAN. Aqu se muestran las LAN disponibles, adems del id. de la VLAN, la descripcin, los puertos e informacin sobre si el enrutamiento entre VLAN est habilitado o no para cada VLAN configurada. Creacin de VLAN Puede crear hasta cuatro VLAN en Cisco RV180/RV180W.
PASO 1 Seleccione Redes > LAN (red local) > Pertenencia a VLAN. PASO 2 En la tabla de pertenencia a VLAN, haga clic en Agregar fila. PASO 3 Especifique un id. de VLAN numrico que se asignar a puntos de terminacin en
la pertenencia a VLAN. El id. de VLAN puede encontrarse dentro del rango de 2 a 4093. El id. de VLAN 1 se reserva para la VLAN predeterminada, que se usa para las tramas sin etiquetar recibidas en la interfaz. Se reserva el id. de VLAN 4094, que no se puede usar.
PASO 4 Especifique una descripcin de la VLAN. PASO 5 Para habilitar el enrutamiento entre esta y otras VLAN, active la casilla Habilitar en
dispositivo. Esto le permite acceder al administrador de dispositivos de esa VLAN. Por ejemplo, si ha creado una VLAN con con id. de VLAN 2 y ha habilitado la administracin de dispositivos, puede acceder al administrador de dispositivos usando la primera direccin IP en la VLAN creada (por ejemplo, 192.168.2.1).
PASO 7 Debajo de cada uno de los puertos de la VLAN, seleccione una de las siguientes
opciones: Etiquetado: se usa cuando se efecta la conexin a switches que trabajan con varias VLAN. Sin etiquetar: puertos de acceso que se conectan a dispositivos terminales como impresoras y estaciones de trabajo.
35
Configuracin de red
Configuracin de ajustes LAN (red local)
subredes.
PASO 2 Active la casilla junto a la subred de VLAN que desee editar y haga clic en Editar. PASO 3 Si desea editar la direccin IP de esta VLAN:
a. En el campo de direccin IP, especifique la nueva direccin IP. b. Especifique la mscara de subred para la nueva direccin IP. c. Haga clic en Guardar. Si est conectado a Cisco RV180/RV180W a travs del puerto LAN miembro de esta VLAN, puede que tenga que liberar y renovar la direccin IP en el PC conectado al puerto LAN o asignar manualmente una direccin IP al PC que est en la misma subred que la VLAN. Abra una nueva ventana del navegador y vuelva a conectarse a Cisco RV180/RV180W.
PASO 4 Si desea editar el comportamiento de DHCP de esta VLAN:
En la seccin de DHCP, en el campo Modo DHCP, seleccione una de las siguientes opciones: Servidor DHCP: seleccione esta opcin para permitir a la VLAN actuar como servidor DHCP en la red. Especifique la siguiente informacin: Nombre del dominio: especifique el nombre de dominio para la red (opcional). Direccin IP de inicio y final: especifique la primera y la ltima de las direcciones contiguas del grupo de direcciones IP. Se asigna una direccin IP en este rango a los clientes DHCP nuevos que se unen a la LAN. Puede reservar parte del rango para los PC con direcciones fijas. Estas direcciones deben encontrarse en la misma subred de direcciones IP que la direccin IP de la VLAN.
36
Configuracin de red
Configuracin de ajustes LAN (red local)
Servidor DNS principal y secundario: los servidores DNS asignan nombres de dominio de Internet (como, por ejemplo, www.cisco.com) a las direcciones IP. Especifique las direcciones IP del servidor en estos campos si desea usar servidores DNS distintos a los especificados en la configuracin WAN. Tiempo de dedicacin: especifique la duracin (en horas) para las direcciones IP dedicadas a clientes.
Servidor DHCP remoto: seleccione esta opcin si est usando una puerta de enlace de retransmisin DHCP. La puerta de enlace de retransmisin transmite mensajes DHCP entre varias subredes. Especifique la direccin de la puerta de enlace de retransmisin en el campo Servidor DHCP remoto. Ninguno: use esta opcin para deshabilitar DHCP en la VLAN.
En la seccin Proxy de LAN, active la casilla Habilitar para que la VLAN acte como un proxy para todas las solicitudes DNS y se comunique con los servidores DNS del ISP.
PASO 5 Haga clic en Guardar.
XX:XX:XX:XX:XX:XX, en el que X es un nmero del 0 al 9 (incluidos) o una letra del alfabeto entre A y F (incluidas).
37
Configuracin de red
Configuracin de ajustes LAN (red local)
NOTA: La direccin IP asignada debe estar fuera del grupo de direcciones DHCP configurado en el router. El grupo de DHCP se trata como grupo genrico y todas las direcciones IP reservadas deben encontrarse fuera de este grupo. El servidor DHCP entregar la direccin IP reservada cuando el dispositivo que usa la direccin MAC solicite una direccin IP.
PASO 5 Haga clic en Guardar.
Debe especificar la direccin MAC de todos los dispositivos en los que quiere descargar los archivos, y los nombres de los archivos que se descargarn en la tabla de asignacin de dispositivo cliente DHCP con respecto a archivos de configuracin. Cuando los dispositivos se conecten a RV180W, descargarn automticamente el archivo de configuracin especificado en la tabla y se reiniciarn. Para configurar la descarga de configuracin automtica:
PASO 1 Seleccione Redes > LAN (red local) > Configuracin de DHCP avanzada. PASO 2 Active Habilitar para habilitar la descarga de archivos de configuracin. PASO 3 Seleccione el tipo de servidor TFTP:
Nombre de host: especifique el nombre de host del servidor TFTP en el campo Nombre de host del servidor TFTP. Direccin: especifique la direccin IP del servidor TFTP en el campo IP de servidor TFTP.
38
Configuracin de red
Configuracin de ajustes LAN (red local)
PASO 4 Haga clic en Guardar. A continuacin, especifique la direccin MAC de los clientes
que descargarn los archivos y el nombre del archivo de configuracin que necesitan descargar. Consulte Creacin de un cliente DHCP a la asignacin de archivos de configuracin, pgina 39.
configuracin.
PASO 3 Escriba el nombre del archivo que el dispositivo descargar. PASO 4 Haga clic en Guardar.
39
Configuracin de red
Configuracin de ajustes LAN (red local)
Prioridad de puente
Especifique una prioridad de puente entre 0 y 61440, en incrementos de 4096. Los valores vlidos son 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 40960, 45056, 49152, 53248, 57344 y 61440. Este valor representa el componente de prioridad del identificador de puente del nodo de red. Cuanto ms baja sea la prioridad del sistema, mayor es la probabilidad de que Cisco RV180W pase a ser la raz del rbol de expansin. De forma predeterminada, es 327688.
Tiempo de saludo
El tiempo de saludo es el periodo que la raz del rbol de expansin espera antes de enviar mensajes de saludo. Especifique un nmero de segundos entre 1 y 10. De forma predeterminada, es 2.
40
Configuracin de red
Configuracin de ajustes LAN (red local)
2
El retardo mximo es el periodo que el router espera para recibir un mensaje de saludo. Cuando se alcanza el retardo mximo, el router intenta cambiar el rbol de expansin para usar otra ruta al nodo raz. Especifique un nmero de segundos entre 6 y 40. De forma predeterminada, es 20. El retardo de reenvo es el intervalo de tiempo que necesita un puerto en estado de escucha para pasar al estado de transferencia. Especifique un nmero de segundos entre 4 y 30. De forma predeterminada, es 15. La hora de migracin es el tiempo mximo empleado por un puerto bloqueado en modo RSTP. En cuanto este tiempo se agota, el puerto se adapta al modo (RSTP/STP) que corresponde al siguiente mensaje de saludo. Especifique un nmero entre 0 y 65535. De forma predeterminada, es 3.
Retardo mximo
Retardo de reenvo
Hora de migracin
configurar lo siguiente:
Muestra la interfaz que es un puerto del puente con RSTP habilitado. La prioridad asignada al puerto del puente para determinar el puerto raz. Muestra el estado perimetral del puerto. El coste del uso de la conexin basada en interfaz.
41
Configuracin de red
Configuracin de enrutamiento
Configuracin de enrutamiento
Seleccin del modo de enrutamiento
Cisco RV180/RV180W proporciona dos modos de enrutamiento distintos. NAT (Network Address Translation, traduccin de direccin de red), o enrutamiento de puerta de enlace es una tcnica que permite a varios puntos de terminacin de una LAN compartir una conexin a Internet. Los equipos de la LAN usan un rango de direcciones IP privadas, mientras que el puerto WAN del router se ha configurado con una direccin IP pblica nica. Cisco RV180/RV180W traduce las direcciones privadas internas a una direccin pblica; esto permite ocultar las direcciones IP internas de los equipos en Internet. Si el ISP le ha asignado una sola direccin IP, NAT le ser til para asignar direcciones IP de una subred privada a los equipos que se conectan a travs de Cisco RV180/RV180W a partir de una subred privada (por ejemplo, 192.168.10.0). Se usa el otro modo de enrutamiento, router, si el ISP le ha asignado varias direcciones IP, de modo que disponga de una direccin IP para cada punto de terminacin de la red. Debe configurar rutas dinmicas o estticas si usa este tipo de enrutamiento. Consulte Configuracin de rutas estticas, pgina 45 o Configuracin de enrutamiento dinmico, pgina 46. Para seleccionar el modo de enrutamiento:
42
Configuracin de red
Configuracin de enrutamiento
PASO 1 Seleccione Redes > Enrutamiento > Modo de enrutamiento. PASO 2 Haga clic en la casilla junto al tipo de enrutamiento a configurar. PASO 3 Haga clic en Guardar. NOTA Si ya ha configurado los ajustes del cortafuegos o de DMZ cuando el router estaba
en el modo de puerta de enlace (NAT), al seleccionar router los ajustes cambiarn a los valores predeterminados.
Aparecer la informacin sobre el enrutamiento de red, incluida la siguiente: Tabla de enrutamiento IPv4 Destino: direccin IP de red/host de destino para la que se ha agregado esta ruta. Puerta de enlace: la puerta de enlace usada para esta ruta. Genmask: la mscara de red para la red de destino. Mtrica: la distancia al destino (normalmente se cuenta en saltos). Ref: nmero de referencias a esta ruta. Uso: recuento de bsquedas de la ruta. Segn el uso de -F y -C, la cach de la ruta estar (-C) o no presente (-F). Interfaz: interfaz a la que se enviarn los paquetes de esta ruta. Tipo: tipo de ruta usada (RIP o esttica). Marcas: solo para propsitos de depuracin; las marcas posibles incluyen: UP: la ruta est activa. Host: el destino es un host.
43
Configuracin de red
Configuracin de enrutamiento
2
Puerta de enlace: usar una puerta de enlace. R: volver a habilitar la ruta para el enrutamiento dinmico. D: instalado de forma dinmica mediante redireccin o daemon. M: modificado desde la redireccin o el daemon de enrutamiento. A: instalado por addrconf. C: entrada de la cach. !: rechazar ruta.
Tabla de enrutamiento IPv6 Destino: direccin IP de red/host de destino para la que se ha agregado esta ruta. Salto siguiente: direccin IP de un router o host intermedio o adyacente a travs del que debe fluir el trfico antes de llegar al destino final. Marcas: solo para propsitos de depuracin; las marcas posibles incluyen: UP: la ruta est activa. Host: el destino es un host. Puerta de enlace: usar una puerta de enlace. R: volver a habilitar la ruta para el enrutamiento dinmico. D: instalado de forma dinmica mediante redireccin o daemon. M: modificado desde la redireccin o el daemon de enrutamiento. A: instalado por addrconf. C: entrada de la cach. !: rechazar ruta.
Mtrica: la distancia al destino (normalmente se cuenta en saltos). Ref: nmero de referencias a esta ruta. Uso: recuento de bsquedas de la ruta. Segn el uso de -F y -C, la cach de la ruta estar (-C) o no presente (-F). Interfaz: interfaz a la que se enviarn los paquetes de esta ruta. Tipo: tipo de ruta usada (RIP o esttica).
44
Configuracin de red
Configuracin de enrutamiento
una ruta en un estado inactivo, aparecer en la tabla de rutas, pero el router no la usar. La ruta puede habilitarse ms tarde. Esta funcin es til si la red a la que se conecta la ruta no est disponible cuando se agrega la ruta. Cuando la red pasa a estar disponible, puede habilitarse la ruta.
PASO 5 Active la casilla Privado para marcar esta ruta como privada, lo que significa que
no se compartir en una difusin o multidifusin de RIP (Routing Information Protocol, protocolo de enrutamiento de informacin). Desactive esta casilla si la ruta puede compartirse con otros routers cuando se habilita RIP.
PASO 6 En el campo Direccin IP de destino, especifique la direccin IP de la red o del
host de destino al que se dirige la ruta. Para un dominio IP de Clase C estndar, la direccin de red son los tres primeros campos de la IP de LAN de destino; el ltimo campo debe ser cero.
PASO 7 En el campo Mscara de subred IP, especifique la mscara de subred IPv4 para la
red o el host de destino. Para los dominios IP de Clase C, la mscara de subred es 255.255.255.0.
PASO 8 En el men desplegable Interfaz, seleccione la interfaz de red fsica a travs de la
45
Configuracin de red
Configuracin de enrutamiento
puerta de enlace a partir de la que se puede acceder a la red o host de destino. Si se utiliza el router para conectar la red a Internet, la IP de la puerta de enlace es la direccin IP del router. Si tiene otro router que administre la conexin a Internet de su red, especifique la direccin IP del router.
PASO 10 En el campo Mtrica, especifique un valor entre 2 y 15 para definir la prioridad de
la ruta. Si hay varias rutas al mismo destino, se selecciona la ruta con la mtrica ms baja.
PASO 11 Haga clic en Guardar.
direccin RIP: Ninguno: el router no difunde la tabla de rutas ni acepta paquetes RIP de otros routers. Esta opcin deshabilita RIP. Solo entrante: el router acepta la informacin de RIP de otros routers pero no difunde la tabla de enrutamiento. Solo saliente: el router difunde la tabla de enrutamiento de forma peridica pero no acepta informacin de RIP de otros routers. Ambos: el router difunde la tabla de enrutamiento y tambin procesa la informacin de RIP que se recibe de otros routers.
Deshabilitado.
46
Configuracin de red
Configuracin de administracin de puertos
RIP-1: esta es una versin de enrutamiento basada en clases que no incluye informacin de subred. RIP-1 es la versin compatible ms habitual. RIP-2B: esta versin difunde datos en toda la subred. RIP-2M: esta versin enva datos a direcciones de multidifusin.
que las rutas se intercambien con otros routers. Acta como una funcin de seguridad porque las rutas se intercambian solo con routers de confianza en la red. De forma predeterminada, la autenticacin RIP est deshabilitada. Puede especificar dos parmetros clave para que las rutas se puedan intercambiar con varios routers presentes en la red. La segunda clave tambin acta como proteccin cuando se produce un error con la primera clave. Para habilitar la autenticacin de RIP-2B o RIP-2M, active la casilla Habilitar. Tambin debe seleccionar la direccin como se explica en el paso 2.
PASO 5 Si habilita la autenticacin RIP v2, especifique los siguientes parmetros de
primera y segunda clave: Id. de clave MD5: especifique el identificador de clave MD5 nico que se usa para crear los datos de autenticacin para este mensaje RIP v2. Clave de autenticacin MD5: especifique la clave de autenticacin para esta clave MD5, la clave de autenticacin cifrada y que se enva junto con el mensaje RIP-V2. Sin validez antes de: especifique la fecha de inicio a partir de la cual la clave de autenticacin ser vlida. Sin validez despus de: especifique la fecha de finalizacin en la que la clave de autenticacin dejar de ser vlida.
47
Configuracin de red
Configuracin de DNS dinmico (DDNS)
PASO 1 Seleccione Redes > Administracin de puertos. PASO 2 En tabla de configuracin de administracin de puertos, active la casilla Habilitar
para habilitar un puerto. Para deshabilitar el puerto, desactive la casilla Habilitar. De forma predeterminada, se habilitan todos los puertos.
PASO 3 Active la casilla Negociacin automtica para permitir al router y a la red
determinar la configuracin de puertos ptima. De forma predeterminada, se habilita el modo automtico. Esta configuracin est disponible solo cuando se activa la casilla Habilitar.
PASO 4 Active la casilla Control de flujo para habilitar el control de flujo. PASO 5 (Opcional) Seleccione dplex o semidplex segn la compatibilidad del puerto. El
ajuste predeterminado es el de dplex para todos los puertos. Esta configuracin se encuentra disponible solo cuando se desactiva la casilla Auto.
PASO 6 (Opcional) Seleccione una de las siguientes velocidades de puertos: 10 Mbps,
100 Mbps o 1000 Mbps. La configuracin predeterminada es 100 Mbps para todos los puertos. Esta configuracin se encuentra disponible solo cuando se desactiva la casilla Negociacin automtica. Puede cambiar la velocidad del puerto si designa que una red se ejecute a una velocidad determinada, como, por ejemplo, en modo 10 Mbps. En este caso, el punto de terminacin tambin usa el modo 10 Mbps mediante configuracin manual o autonegociacin.
PASO 7 Haga clic en Guardar.
48
Configuracin de red
Configuracin de DNS dinmico (DDNS)
PASO 1 Seleccione Redes > DNS dinmico. PASO 2 Seleccione el servicio DNS dinmico que est usando. Si selecciona Ninguno se
a. Especifique el nombre del dominio y del host completos para el servicio DDNS. b. Especifique el nombre de usuario de la cuenta DynDNS. c. Especifique la contrasea para la cuenta DynDNS. d. Escriba la contrasea de nuevo para confirmarla. e. Active la casilla Usar caracteres comodn para habilitar la funcin de caracteres comodn que permite que todos los subdominios del nombre de host de DynDNS compartan el mismo IP pblico que el nombre de host. Si no se ha habilitado esta opcin en el sitio web de DynDNS, puede hacerlo aqu. f. En el campo Periodo de actualizacin, especifique el nmero de horas antes de que Cisco RV180/RV180W actualice la informacin del host en DynDNS.com.
a. Especifique el nombre del dominio y del host completos para el servicio DDNS. b. Especifique la direccin de correo electrnico de usuario para la cuenta de TZO. c. Escriba la clave de usuario para la cuenta de TZO. d. En el campo Periodo de actualizacin, especifique el nmero de horas antes de que Cisco RV180/RV180W actualice la informacin de host en TZO.com.
PASO 5 Si ha seleccionado 3322.org:
a. Especifique el nombre del dominio y del host completos para el servicio DDNS. b. Especifique el nombre de usuario de la cuenta. c. Escriba la contrasea para la cuenta. d. Escriba la contrasea de nuevo para confirmarla. e. Active la casilla Usar caracteres comodn para habilitar la funcin de caracteres comodn que permite que todos los subdominios del nombre de host de 3322.org compartan el mismo IP pblico que el nombre de host. Si no se ha habilitado esta opcin en el sitio web de 3322.org, puede hacerlo aqu.
49
Configuracin de red
Configuracin de IPv6
2
f. En el campo Periodo de actualizacin, especifique el nmero de horas antes de que Cisco RV180/RV180W actualice la informacin del host en 3322.org.
Configuracin de IPv6
Si cuenta con una red IPv6, consulte las siguientes secciones.
50
Configuracin de red
Configuracin de IPv6
PASO 1 Seleccione IPv6 > IPv6 WAN (Internet). PASO 2 En el campo Direccin de WAN (Internet) (IPv6) , seleccione DHCPv6. PASO 3 Seleccione si el cliente DHCPv6 de la puerta de enlace tiene o no un estado. Si
hay seleccionado un cliente con estado, la puerta de enlace se conecta con el servidor DHCPv6 del ISP para una direccin dedicada. Para DHCP sin estado, no es necesario tener un servidor DHCPv6 disponible en el ISP. En su lugar, se crear un mensaje de deteccin de ICMPv6 desde el dispositivo Cisco RV180/RV180W que se usar para la configuracin automtica.
PASO 4 Haga clic en Guardar.
Configuracin de una direccin IP esttica Si el ISP le asigna una direccin fija para acceder a Internet, seleccione esta opcin. La informacin necesaria para configurar una direccin IP esttica puede obtenerse del ISP.
PASO 1 Seleccione IPv6 > IPv6 WAN (Internet). PASO 2 En el campo Direccin de WAN (Internet) (IPv6), seleccione IPv6 esttica. PASO 3 Especifique la direccin IP IPv6 asignada al router. PASO 4 Especifique la longitud del prefijo IPv6 definida por el ISP. La red IPv6 (subred) se
identifica mediante los bits iniciales de la direccin, a los que se denomina prefijo (por ejemplo, en la direccin IP 2001:0DB8:AC10:FE01::, 2001 es el prefijo). Todos los hosts de la red disponen de bits iniciales idnticos para la direccin IPv6; el nmero de bits iniciales comunes en las direcciones de red se establece en este campo.
PASO 5 Especifique la direccin de puerta de enlace IPv6 predeterminada o la direccin
IP del servidor en el ISP al que se conectar este router para acceder a Internet.
PASO 6 Especifique las direcciones IP del servidor DNS principal y secundario en la red
IPv6 del ISP. Los servidores DNS asignan nombres de dominio de Internet (por ejemplo, www.cisco.com) a las direcciones IP.
PASO 7 Haga clic en Guardar.
51
Configuracin de red
Configuracin de IPv6
2
Configuracin de propiedades de LAN IPv6
En el modo IPv6, el servidor DHCP de LAN se habilita de forma predeterminada (similar al modo IPv4). El servidor DHCPv6 asigna direcciones IPv6 de grupos de direcciones configurados con la longitud de prefijo IPv6 asignada a LAN. Para configurar propiedades de LAN IPv6:
PASO 1 Seleccione Redes > IPv6 > LAN (red local) IPv6. PASO 2 En Configuracin TCP/IP de LAN, en el campo Direccin IPv6, especifique la
direccin IP de Cisco RV180/RV180W. La direccin IPv6 predeterminada para la puerta de enlace es fec0::1. Puede cambiar esta direccin IPv6 de 128 bits segn los requisitos de red.
PASO 3 Especifique la longitud del prefijo IPv6. La red IPv6 (subred) se identifica mediante
los bits iniciales de la direccin a los que se denomina prefijo. De forma predeterminada, el prefijo tiene una longitud de 64 bits. Todos los hosts de la red cuentan con bits iniciales idnticos para la direccin IPv6; el nmero de bits iniciales comunes en las direcciones de red se establece en el campo de longitud del prefijo.
PASO 4 En el campo DHCPv6, seleccione deshabilitar o habilitar el servidor DHCPv6. Si se
habilita, Cisco RV180/RV180W asigna una direccin IP en el rango especificado ms la informacin especificada adicional en cualquier punto de terminacin de la LAN que solicite direcciones servidas mediante DHCP.
PASO 5 Seleccione el modo DHCP. Si se ha seleccionado sin estado, no es necesario el
servidor DHCP IPv6 externo, ya que Cisco RV180/RV180W configura automticamente los hosts de LAN IPv6. En este caso, el daemon de anuncio de router (RADVD) debe configurarse en este dispositivo y el host usa los mensajes de descubrimiento del router ICMPv6 para la configuracin automtica. No hay direcciones administradas que sirvan los nodos de LAN. Si se ha seleccionado con estado, el host de LAN IPv6 se basar en un servidor DHCPv6 externo para proporcionar los ajustes de configuracin necesarios.
PASO 6 (Opcional) Especifique el nombre de dominio del servidor DHCPv6. PASO 7 Especifique la preferencia de servidor. Este campo se usa para indicar el nivel de
preferencia de este servidor DHCP. Se prefieren los mensajes de anuncio de DHCP con el valor de preferencia del servidor ms alto en un host LAN en lugar de otros mensajes de anuncios de servidor DHCP. De forma predeterminada, es 255.
52
Configuracin de red
Configuracin de IPv6
2
Usar proxy DNS: active esta casilla para habilitar el proxy DNS en esta LAN o desactive la casilla para deshabilitar este proxy. Cuando se habilita esta funcin, el router acta como un proxy para todas las solicitudes DNS y se pone en contacto con los servidores DNS del ISP (tal como se ha configurado en la pgina de configuracin de WAN). Usar DNS de ISP: esta opcin permite al ISP definir los servidores DNS (principal/secundario) para el cliente DHCP de LAN. Usar servidores siguientes: si se selecciona, se usan los servidores DNS principal/secundario. Si selecciona esta opcin, especifique la direccin IP de los servidores DNS principal y secundario.
PASO 9
Especifique el tiempo de revinculacin/dedicacin. Especifique la duracin (en segundos) para los que las direcciones IP se dedicarn a puntos de terminacin en la LAN.
Configuracin de grupos de direcciones IPv6 Esta funcin le permite definir el prefijo de delegacin IPv6 para un rango de direcciones IP que proporcionar el servidor DHCPv6 de Cisco RV180/RV180W. Con un prefijo de delegacin, puede automatizar el proceso de ofrecer a otros equipos de red de la LAN informacin de DHCP especfica para el prefijo asignado.
PASO 1 Seleccione Redes > IPv6 > LAN (red local) IPv6. PASO 2 En la tabla de grupos de direcciones IPv6, haga clic en Agregar. PASO 3 Especifique la direccin IP de inicio y final del grupo. PASO 4 Especifique la longitud del prefijo. El campo de longitud del prefijo establece el
53
Configuracin de red
Configuracin de IPv6
2
Configuracin de rutas estticas IPv6
Puede configurar rutas estticas para enviar los paquetes a la red de destino. Una ruta esttica es un camino predeterminado que debe recorrer un paquete para llegar a una red o host determinados. Algunos ISP requieren rutas estticas para crear una tabla de enrutamiento en lugar de usar protocolos de enrutamiento dinmico. Las rutas estticas no necesitan recursos de CPU para intercambiar informacin con un router equivalente. Tambin se pueden utilizar rutas estticas para conectar con routers equivalentes que no admiten protocolos de enrutamiento dinmico. Las rutas estticas se pueden utilizar junto con rutas dinmicas. Tenga cuidado de no especificar bucles de enrutamiento en la red. La tabla de rutas estticas enumera todas las rutas estticas agregadas manualmente y permite varias operaciones en las rutas estticas.
agrega una ruta en un estado inactivo, aparecer en la tabla de rutas, pero el router no la usar. La ruta puede habilitarse ms tarde. Esta funcin es til si la red a la que se conecta la ruta no est disponible cuando se agrega la ruta. Cuando la red pasa a estar disponible, puede habilitarse la ruta.
PASO 5 En el campo Destino IPv6, especifique la direccin IPv6 de la red o host de
WAN (Internet): la ruta pasa a travs de la interfaz de WAN. Tnel 6to4: usa la interfaz del tnel para enrutar el trfico de una red IPv6 a otras redes IPv6 a travs de una red IPv4. LAN (red local): la ruta pasa a travs de la interfaz de LAN.
54
Configuracin de red
Configuracin de IPv6
2
acceder a la red o host de destino.
entre 2 y 15. Si hay varias rutas en el mismo destino, se usa la ruta con la mtrica ms baja.
PASO 10 Haga clic en Guardar.
Configuracin de tunelizacin
Cisco RV180/RV180W proporciona distintos mtodos de tunelizacin IPv6. La tunelizacin 6to4 permite que los paquetes IPv6 se transmitan a travs de una red IPv4. La tunelizacin 6to4 se usa normalmente cuando un sitio o usuario final quiere conectarse a Internet IPv6 con la red IPv4 existente.
NOTA Debe usar rutas estticas cuando se efecte la tunelizacin. Consulte
Configuracin de rutas estticas IPv6, pgina 54. Para configurar la tunelizacin 6to4:
PASO 1 Seleccione Redes > IPv6 > Tnel. PASO 2 Active Habilitar, junto a Tunelizacin automtica. PASO 3 Si hay un punto de terminacin remoto al que quiere enrutar trfico IPv4, active
Habilitar, junto a Punto de terminacin remoto. Especifique la direccin IP del punto de terminacin remoto en el campo que hay a continuacin.
PASO 4 Haga clic en Guardar.
Ver la informacin del tnel IPv6 Para ver la informacin del tnel IPv6, seleccione Redes > IPv6 > Tnel. Haga clic en Actualizar para obtener la informacin ms reciente. La tabla de estados de tneles IPv6 muestra el nombre del tnel y la direccin IPv6 que se crea en el dispositivo.
55
Configuracin de red
Configuracin de IPv6
2
Configuracin de tneles del protocolo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol, protocolo de direccionamiento automtico de tneles internos). ISATAP es un mtodo para transmitir paquetes IPv6 entre nodos dual-stack a travs de una red IPv4. Cisco RV180/RV180W es un punto de terminacin (un nodo) para el tnel. Tambin debe configurar un punto de terminacin local, as como un prefijo de subred de ISATAP que defina la subred de ISATAP lgica para configurar un tnel.
terminacin para el tnel que se inicia con el dispositivo Cisco RV180/RV180W. El punto de terminacin puede ser la interfaz de LAN (si se configura LAN como red IPv4) u otra direccin IPv4 de LAN.
PASO 5 Si ha seleccionado Otra IP en el paso 4, especifique la direccin IPv4 del punto de
terminacin.
PASO 6 Especifique el prefijo de la subred de ISATAP. Este es el prefijo de la subred de 64
bits asignado a la subred de ISATAP lgica para esta intranet. Puede obtenerse del registro de Internet o ISP, o derivarse de RFC 4193.
PASO 7 Haga clic en Guardar.
56
Configuracin de red
Configuracin de IPv6
PASO 1 Seleccione Redes > IPv6 > Tnel. PASO 2 Active las casillas de los tneles que desee eliminar. PASO 3 Haga clic en Eliminar.
Multidifusin sin solicitar: seleccione esta opcin para enviar anuncios de router a todas las interfaces que pertenezcan al grupo de multidifusin. Solo unidifusin: seleccione esta opcin para restringir los anuncios solo a direcciones IPv6 conocidas (los anuncios del router [RA] se envan a la interfaz que pertenece solo a la direccin conocida).
anuncios. El intervalo de anuncios es un valor aleatorio entre el intervalo mnimo de anuncios del router y el intervalo mximo de anuncios del router. (MinRtrAdvInterval = 0,33 * MaxRtrAdvInterval.) El valor predeterminado es 30 segundos.
PASO 5 En Indicadores de anuncio de router, active Administrado para usar el protocolo
administrado/con estado para la configuracin automtica de direccin. Active Otros para usar el protocolo con estado/administrado de otra configuracin automtica de informacin sin direccin.
PASO 6 En la preferencia del router, seleccione Bajo, Medio o Alto. La preferencia del
router proporciona una mtrica de preferencia para los routers predeterminados. Los valores bajos, medios y altos se sealan en los bits sin usar de los mensajes de anuncios de router. Esta extensin es compatible con versiones anteriores, tanto para routers (al interpretar el valor de preferencia del router) como para
57
Configuracin de red
Configuracin de IPv6
2
hosts (interpretacin del valor de preferencia del router). Los hosts que no implementan las preferencias del router ignoran estos valores. Esta funcin es til si hay otros dispositivos con RADVD en la LAN. El valor predeterminado es alto.
PASO 7 Especifique el tamao de MTU. MTU es el tamao mximo de paquete que puede
enviarse a travs de la red. La MTU se usa en RA para garantizar que todos los nodos de la red usan el mismo valor de MTU cuando no se conoce la MTU de LAN. El valor predeterminado es 1500 bytes.
PASO 8 Especifique el valor de duracin del router o el tiempo en segundos que los
6to4: 6to4 es un sistema que permite que los paquetes IPv6 se transmitan a travs de una red IPv4. Se usa cuando un usuario final quiere conectarse a Internet IPv6 mediante la conexin IPv4 existente. Global/Local/ISATAP: si usa ISATAP, puede integrar el trfico IPv6 en un entorno de red IPv4. ISATAP usa una direccin IPv4 asignada localmente para crear un identificador de interfaz de 64 bits para IPv6.
nivel de sitio (id. de SLA). El id. de SLA en el prefijo de la direccin 6to4 se configura en el id. de la interfaz en la que se envan los anuncios.
PASO 5 Si selecciona Global/Local/ISATAP en el paso 3, especifique la longitud del prefijo
y el prefijo IPv6. El prefijo IPv6 especifica la direccin de red IPv6. La variable de longitud de prefijo es un valor decimal que indica el nmero de bits contiguos y de orden superior de la direccin que conforma la parte de la red de la direccin.
PASO 6 Especifique la duracin del prefijo o el tiempo que el router en cuestin puede
usar el prefijo.
PASO 7 Haga clic en Guardar.
58
3
Configuracin de la red inalmbrica (Cisco RV180W)
Este captulo describe cmo configurar la red inalmbrica e incluye las siguientes secciones: Una nota sobre la seguridad inalmbrica, pgina 59 Cmo funcionan las redes inalmbricas de Cisco RV180W, pgina 62 Configuracin de ajustes inalmbricos bsicos, pgina 62 Configuracin de ajustes inalmbricos avanzados, pgina 69 Configuracin de la deteccin de punto de acceso no autenticado, pgina 71 Configuracin de Wi-Fi protegida, pgina 72 Configuracin de un sistema de distribucin de la seal inalmbrica (WDS, Wireless Distribution System), pgina 73 Configuracin de equilibrio de carga, pgina 74
60
Habilite el cifrado. El cifrado protege los datos transmitidos a travs de una red inalmbrica. WPA/WPA2 (Wi-Fi Protected Access, acceso protegido Wi-Fi) y WEP (Wired Equivalency Privacy, privacidad equivalente a cableado) ofrecen distintos niveles de seguridad de comunicacin inalmbrica. Actualmente, los dispositivos que cuentan con una certificacin Wi-Fi tienen que ser compatibles con WPA2, pero no tienen que serlo con WEP. Una red cifrada con WPA/WPA2 es ms segura que una red cifrada con WEP, ya que WPA/WPA2 usa cifrado dinmico de claves. Para proteger la informacin a medida que se transmite por las ondas, debe habilitar el nivel mximo de cifrado compatible con los equipos de red. WEP es un estndar de cifrado antiguo y puede que sea la nica opcin disponible en algunos dispositivos antiguos que no admitan WPA.
Mantenga los routers inalmbricos, los puntos de acceso o las puertas de enlace alejados de las ventanas y paredes exteriores. Apague los routers inalmbricos, puntos de acceso o puertas de enlace cuando no se vayan a usar (durante la noche o en las vacaciones). Use frases de contrasea seguras de al menos ocho caracteres. Combine letras y nmeros para evitar palabras comunes que puedan encontrarse en el diccionario.
61
segn los dispositivos que tenga y que se conectarn a la red: B/G combinado: seleccione este modo si dispone de dispositivos en la red que sean compatibles con 802.11b y 802.11g. Solo G: seleccione este modo si todos los dispositivos de la red inalmbrica son compatibles solo con 802.11g. B/G/N combinado: seleccione este modo si dispone de dispositivos en la red que sean compatibles con 802.11b, 802.11g y 802.11n. Solo N: seleccione este modo solo si todos los dispositivos de la red inalmbrica son compatibles con 802.11n. G/N combinado: seleccione este modo si dispone de dispositivos en la red que sean compatibles con 802.11g y 802.11n.
PASO 4 Seleccione el ancho de banda del canal. Las opciones disponibles dependen del
62
PASO 5 El campo Banda lateral de control define la banda lateral que se usa para el canal
secundario o de extensin cuando el punto de acceso est funcionando con un ancho de canal de 40 Mhz. Seleccione Menor o Superior. Los componentes de la seal superiores a la frecuencia de la portadora constituyen la banda lateral superior (USB) y los inferiores a la frecuencia de la portadora constituyen la banda lateral inferior (LSB).
PASO 6 El campo Canal inalmbrico especifica la frecuencia que usa la radio para
transmitir las tramas inalmbricas. Seleccione un canal de la lista de canales o seleccione Auto para permitir que Cisco RV180W determine el mejor canal a usar segn los niveles de ruido ambiental de los canales disponibles.
PASO 7 En el campo U-APSD, seleccione Habilitar para habilitar la funcin Unscheduled
Automatic Power Save Delivery (Ahorro de energa automtico sin programar), tambin denominado WMM Power Save (Ahorro de energa WMM) que permite a la radio ahorrar alimentacin. Esta opcin est deshabilitada por defecto.
PASO 8 Haga clic en Guardar.
Configuracin de seguridad de red inalmbrica y otros ajustes Como mnimo, debe editar los perfiles predeterminados para habilitar la seguridad inalmbrica. Consulte Una nota sobre la seguridad inalmbrica, pgina 59. Puede configurar la seguridad inalmbrica y otros ajustes para cada red inalmbrica. Para configurar ajustes inalmbricos:
PASO 1 Seleccione Inalmbrico > Ajustes bsicos. PASO 2 En la tabla de configuracin bsica inalmbrica, active la casilla a la izquierda de la
a. Especifique el Nombre de SSID o el nombre exclusivo para esta red inalmbrica. Incluya hasta 32 caracteres con cualquiera de los caracteres del teclado. Para mayor seguridad, cambie el valor predeterminado a un nombre exclusivo. b. Active la casilla Difusin de SSID si desea permitir que todos los clientes inalmbricos al alcance puedan detectar esta red inalmbrica cuando estn explorando el rea local en busca de redes disponibles. Deshabilite esta funcin si no desea que se conozca el SSID. Cuando se deshabilita esta funcin, los usuarios inalmbricos pueden conectase a la red inalmbrica solo si conocen el SSID (y proporcionan las credenciales de seguridad necesarias).
Gua de administracin de Cisco RV180/RV180W 63
c. Especifique la VLAN o la red para esta red inalmbrica. Consulte el captulo 2, Configuracin de red, para obtener ms informacin sobre VLAN. Los dispositivos que se conectan a esta red son direcciones asignadas a esta VLAN. La VLAN predeterminada es 1 y no es necesario cambiarla si todos los dispositivos se encuentran en la misma red. d. (Opcional) Active la casilla Aislamiento inalmbrico en SSID para separar todos los clientes inalmbricos que incluye el SSID. Cuando se habilita esta funcin, el cliente inalmbrico puede comunicarse con Cisco RV180W, pero no con otros clientes conectados de forma inalmbrica a ese SSID. Por ejemplo, si Cisco RV180W tiene muchos usuarios inalmbricos, puede impedir que los usuarios accedan a otras partes de la red. e. En el campo Nmero mx. de clientes asociados, especifique el nmero mximo de puntos de terminacin que pueden conectarse a esta red. El valor predeterminado es 8. Puede cambiar este nmero si desea restringir el trfico en la red para evitar, por ejemplo, que se sobrecargue. El nmero de clientes conectado a travs de los cuatro puntos de acceso virtuales no puede ser superior a 100. f. Haga clic en Guardar.
Configuracin de seguridad
PASO 1 Seleccione Inalmbrico > Ajustes bsicos. PASO 2 En la tabla de configuracin bsica inalmbrica, active la casilla a la izquierda de la
esta red deben usar la misma configuracin y el mismo modo de seguridad para que funcionen correctamente. Cisco recomienda usar el mximo nivel de seguridad que sea compatible con los dispositivos de su red. Deshabilitado: cualquier dispositivo puede conectarse a la red. No recomendado.
64
Privacidad equivalente a cableado (WEP): seguridad dbil con un mtodo de cifrado bsico que no es tan seguro como WPA. WEP puede ser necesario si los dispositivos de red no son compatibles con WPA. Sin embargo, no es recomendable. Acceso protegido Wi-Fi (WPA) personal: WPA forma parte de la seguridad inalmbrica estndar (802.11i) de Wi-Fi Alliance y se ha creado como medida intermedia para sustituir a WEP mientras se prepara el estndar 802.11i. Es compatible con el cifrado TKIP/AES. La autenticacin personal es la clave precompartida (PSK), que es una frase clave alfanumrica compartida con el par inalmbrico. WPA empresarial: le permite usar WPA con autenticacin de servidor RADIUS. WPA2 personal: WPA2 es la implementacin del estndar de seguridad especificado en el estndar 802.11i final. Es compatible con el cifrado de AES y esta opcin usa una clave precompartida (PSK) basada en la autenticacin. WPA2 personal mixto: permite tanto a los clientes WPA como WPA2 conectarse simultneamente mediante la autenticacin de PSK. WPA2 empresarial: le permite usar WPA2 con autenticacin de servidor RADIUS. WPA2 empresarial mixta: permite a los clientes tanto WPA como WPA2 conectarse simultneamente con la autenticacin RADIUS.
WPA personal, WPA empresarial, WPA2 personal mixto y WPA2 empresarial mixta: TKIP+AES WPA2 personal y WPA2 empresarial: AES
a. En el campo Autenticacin, seleccione Sistema abierto o Clave compartida. Si selecciona Sistema abierto, el cliente inalmbrico no tendr que proporcionar una clave compartida para acceder a la red inalmbrica. Cualquier cliente puede asociarse al router. Si selecciona Clave compartida, el cliente inalmbrico debe proporcionar la clave compartida correcta (contrasea) para acceder a la red inalmbrica.
65
b. Seleccione Tipo de cifrado (WEP de 64 bits o WEP de 128 bits). Las claves de mayor tamao proporcionan un cifrado ms potente (por ejemplo, el WEP de 64 bits dispone de una clave de 40 bits que es menos segura que la WEP de 128 bits, que tiene una clave de 104 bits). c. (Opcional) En el campo Frase de contrasea de WEP, especifique una frase alfanumrica (con ms de ocho caracteres para conseguir una seguridad ptima) y haga clic en Generar clave para generar cuatro claves WEP exclusivas en los siguientes campos Clave WEP. d. Seleccione una de las cuatro claves para usarla como clave compartida que los dispositivos han de tener para usar la red inalmbrica. Si no ha generado una clave en el Paso 7c, especifique una clave directamente en el campo Clave WEP. La longitud de la clave debe ser de cinco caracteres ASCII (o 10 caracteres hexadecimales) para WEP de 64 bits y 13 caracteres ASCII (o 26 caracteres hexadecimales) para WEP de 128 bits. Se pueden utilizar caracteres hexadecimales de la "A" a la "F" y del "0" al "9".
PASO 9 Si ha seleccionado WPA personal, WPA2 personal o WPA2 personal mixto:
a. Especifique Clave de WPA o la contrasea/frase que proteger la red. Los dispositivos conectados a la red deben usar esta frase para la autenticacin. b. Si desea ver la contrasea que est especificando, active la casilla Desenmascarar contrasea. c. En el campo Renovacin de clave, especifique el nmero de segundos despus de los cuales Cisco RV180W generar una nueva clave. Estas claves son claves internas que Cisco RV180W y los dispositivos conectados intercambian. El valor predeterminado (3600 segundos) suele ser adecuado, a no ser que est experimentando problemas de red.
PASO 10 Si ha seleccionado WPA empresarial oWPA2 empresarial mixta, no es necesario
(opcional). Preautenticacin permite a los clientes inalmbricos cambiar rpidamente entre redes inalmbricas conectadas que comparten la misma configuracin de seguridad. Cuando un cliente inalmbrico se desconecta de una red inalmbrica, se enva una notificacin a la red. Esta, a continuacin, enva la informacin de preautenticacin a otras redes inalmbricas.
PASO 12 Haga clic en Guardar.
66
Evita la conexin a la red inalmbrica de las direcciones MAC especificadas a continuacin: evita que las direcciones MAC especificadas a continuacin puedan conectarse a la red inalmbrica. Permite que solo las direcciones MAC especificadas a continuacin se conecten a red inalmbrica: solo permite conectarse a la red inalmbrica a las direcciones MAC especificadas a continuacin.
PASO 6 Especifique las direcciones MAC de los puntos de terminacin para permitir o
denegar la conexin. Para ver una lista de clientes conectados actualmente, haga clic en Lista de clientes inalmbricos.
PASO 7 Haga clic en Guardar.
67
PASO 1 Seleccione Inalmbrico > Ajustes bsicos. PASO 2 En la tabla de configuracin bsica inalmbrica, active la casilla a la izquierda de la
punto de acceso.
PASO 5 Active la casilla Habilitar WMM para habilitar WMM segn el estndar IEEE
802.11e para este perfil. WMM ayuda a priorizar el trfico inalmbrico en cuatro categoras de acceso: Voz (mxima prioridad, 4) Vdeo (prioridad alta, 3) Mximo esfuerzo (prioridad media, 2) Segundo plano (prioridad mnima, 1)
PASO 6 En la tabla DSCP a cola puede seleccionar la cola de salida para el trfico de cada
DSCP de acceso. El campo DSCP (Differentiated Services Code Point, punto de cdigo de servicios diferenciados) identifica el paquete de datos, mientras que la cola de salida identifica la cola de salida en la que se transmite el paquete: Voz (4) o Vdeo (3): cola de alta prioridad, retardo mnimo. Se usa normalmente para enviar datos sensibles al retardo como, por ejemplo, vdeos y otros medios de streaming. Mximo esfuerzo (2): cola de prioridad media, retardo y rendimiento medios. La mayor parte de los datos IP tradicionales se envan a esta cola. Segundo plano (1): cola de prioridad mnima, rendimiento alto. Los datos masivos que requieran el mximo rendimiento y no sean sensibles al retardo se envan normalmente a esta cola (datos de FTP, por ejemplo).
Si desea cambiar la cola de salida de paquetes marcados con un DSCP determinado, seleccione la nueva cola de salida en la lista desplegable.
PASO 7 Haga clic en Guardar.
68
mensaje de indicacin del trfico de entrega. Un campo DTIM es un campo de cuenta atrs que indica a los clientes cul ser el siguiente intervalo para escuchar mensajes de difusin y multidifusin. Una vez que Cisco RV180W ha almacenado temporalmente los mensajes de difusin o multidifusin de clientes asociados, enva el siguiente DTIM con un valor de intervalo DTIM. Los clientes escuchan las sealizaciones y se activan para recibir los mensajes de difusin y multidifusin. El intervalo predeterminado es de dos intervalos de sealizacin.
69
PASO 4 Umbral de RTS (Request to Send, solicitud para enviar) es el tamao de paquete,
en bytes, superado el cual el punto de acceso deber comprobar las tramas de transmisin para determinar si es necesario un protocolo de enlace CTS (Clear to Send, listo para envo)/RTS con el cliente de recepcin. Si se utiliza un valor ms pequeo, los paquetes de RTS se envan con ms frecuencia, por lo que se consume ms del ancho de banda disponible y se reduce el rendimiento aparente de los paquetes de red. El valor predeterminado es 2346, que deshabilita de forma eficaz el umbral RTS.
PASO 5 Umbral de fragmentacin es la longitud mxima de la trama, en bytes, a partir de
la cual los paquetes se debern fragmentar en dos o ms tramas. Las colisiones se producen ms frecuentemente en tramas largas porque al enviarlas ocupan el canal durante ms tiempo. El valor predeterminado es 2346, que deshabilita de forma eficaz la fragmentacin. Si se experimenta una elevada tasa de error en los paquetes, puede aumentar ligeramente el umbral de fragmentacin; si se configura un umbral de fragmentacin demasiado bajo, es posible que se obtenga un rendimiento de red deficiente. Se recomienda reducir poco el valor predeterminado.
PASO 6 Seleccione Modo de prembulo. El estndar 802.11b requiere que se anexe un
prembulo a cada trama antes de transmitirlo por el aire. El prembulo puede ser el prembulo tradicional largo que requiere 192 s para la transmisin o puede ser un prembulo corto opcional que requiere solo 96 s. Es necesario un prembulo largo para que sea compatible con los sistemas 802.11 preexistentes que funcionan a 1 y 2 Mbps. La seleccin predeterminada es el prembulo largo.
PASO 7 Seleccione Modo de proteccin. Seleccione Ninguno (valor predeterminado) para
desactivar CTS. La opcin Proteccin CTS-to-Self habilita el mecanismo de Proteccin CTS-to-Self, que se usa para minimizar las colisiones entre estaciones en un entorno 802.11g y 802.11b combinado. Esta funcin aumenta la capacidad de Cisco RV180W para captar todas las transmisiones inalmbricas, pero reduce considerablemente el rendimiento.
PASO 8 Los campos Lmite de reintentos (tramas cortas) y Lmite de reintentos (tramas
largas) determinan el nmero de veces que Cisco RV180W volver a intentar una transmisin de tramas errnea. El lmite se aplica tanto a tramas cortas como largas de un tamao inferior o igual al umbral RTS.
PASO 9 Haga clic en Guardar.
70
correspondiente al punto de acceso y haga clic en Autorizar. Los puntos de acceso autorizados se muestran en la lista Inalmbrico > Punto de acceso no autenticado > AP autorizados. Para modificar el intervalo con que se muestran los puntos de acceso en la tabla, especifique los segundos en el campo Intervalo de sondeo. Puede hacer clic en Iniciar o Detener para detener la recopilacin de datos que se mostrarn en la tabla.
71
Direccin MAC: la direccin MAC, o de hardware, del punto de acceso. SSID: el nombre de difusin del SSID. Seguridad: el tipo de seguridad que utiliza el punto de acceso. Cifrado: el tipo de cifrado que utiliza el punto de acceso. Autenticacin: el tipo de autenticacin que utiliza el punto de acceso. Modo de red: el tipo de red del punto de acceso. Canal: el canal inalmbrico del punto de acceso.
red debe usar la seguridad WPA, WPA2 o WPA+WPA2. NOTA: Puede habilitar WPS solo en una de las cuatro redes o puntos de acceso virtuales.
PASO 3 En Estado de WPS, seleccione Habilitar para permitir la configuracin de WPS. De
72
Configuracin con PIN: en la seccin Mtodo de configuracin WPS, en el campo PIN de estacin, especifique el nmero de identificacin personal (PIN) del dispositivo que desee conectar a la red. Debe iniciar sesin en el dispositivo para obtener el PIN de WPS. A continuacin, haga clic en Configurar a travs de PIN. Una vez que haya hecho clic en este botn de Cisco RV180W, en el dispositivo con WPS, seleccione la opcin necesaria para iniciar WPS. El dispositivo debe comenzar a comunicarse con Cisco RV180W. Configuracin con botn de WPS: si el dispositivo que desea conectar tiene un botn de WPS, pulse el botn del dispositivo. A continuacin, en Cisco RV180W, haga clic en Configurar a travs de PBC (configuracin de pulsador).
73
PASO 1 Seleccione Inalmbrico > WDS. PASO 2 Active la casilla Habilitar para activar WDS en Cisco RV180W. PASO 3 Especifique una Clave de WPA (contrasea) para la autenticacin. PASO 4 Haga clic en Guardar.
Puede agregar manualmente dispositivos equivalentes de WDS que pueden conectarse a Cisco RV180W:
PASO 1 En la tabla de entidades pares de WDS, haga clic en Agregar. PASO 2 Especifique la direccin MAC (hardware) del dispositivo equivalente de WDS y
porcentaje de utilizacin de cada SSID o red. Si el trfico de red excede el porcentaje especificado, Cisco RV180W dirige el trfico hacia una de las otras redes que no haya alcanzado el umbral. Se muestra la utilizacin actual.
PASO 4 Haga clic en Guardar.
74
4
Configuracin del cortafuegos
Este captulo contiene informacin acerca de la configuracin de las propiedades del cortafuegos de Cisco RV180/RV180W e incluye las siguientes secciones: Caractersticas del cortafuegos de Cisco RV180/RV180W, pgina 75 Configuracin de reglas de acceso, pgina 77 Configuracin de prevencin de ataques, pgina 82 Configuracin de filtrado de contenido, pgina 83 Configuracin de bloqueo de URL, pgina 85 Configuracin de redireccionamiento de puertos, pgina 86 Configuracin de reenvo de puertos, pgina 87 Configuracin de host DMZ, pgina 91 Configuracin de ajustes avanzados de cortafuegos, pgina 92 Ejemplos de configuracin de firewall, pgina 100
75
Palabras clave (en un nombre de dominio o en la URL de una pgina web) que el router debe permitir o bloquear. Direcciones MAC de dispositivos cuyo acceso de entrada a la red debe bloquear el router. Redireccionamiento de puertos que indique al router que permita o bloquee el acceso a servicios especficos, tal y como se defina por el nmero de puerto. Informes y alertas que desee que le enve el router.
Por ejemplo, puede establecer polticas de acceso restringido basadas en la hora del da, las direcciones web y las palabras clave de direcciones web. Puede bloquear el acceso a Internet mediante aplicaciones y servicios de LAN como, por ejemplo, salas de chat o juegos. Puede impedir el acceso a travs de WAN o la red pblica a determinados grupos de equipos de su red. Las reglas entrantes (Internet a LAN) restringen el acceso al trfico entrante de la red, por lo que solo usuarios externos especficos pueden acceder a determinados recursos locales. De forma predeterminada, se impide que todos los accesos de la parte de WAN no segura accedan a la LAN segura, excepto si es una respuesta a solicitudes de LAN o DMZ. Para permitir que los dispositivos externos accedan a servicios en la LAN segura, debe crear una regla de firewall para cada servicio. Si desea permitir el trfico entrante, debe dar a conocer la direccin IP del puerto WAN del router. Esto se denomina exposicin del host. La manera en la que d a conocer la direccin depender de la configuracin de los puertos WAN; en el caso de Cisco RV180/RV180W, puede utilizar la direccin IP si la direccin esttica se asign al puerto WAN, o si su direccin WAN es dinmica, puede usarse un nombre DDNS (DNS dinmico). Las reglas salientes (LAN a Internet) restringen el acceso al trfico saliente de la red, por lo que solo los usuarios locales especficos pueden acceder a determinados recursos externos. La regla saliente predeterminada permite el acceso de la zona segura (LAN) a una WAN no segura. Para evitar que los hosts de la LAN segura accedan a servicios externos (WAN no segura), debe crear una regla de firewall para cada servicio.
76
Uso de la tabla de reglas de acceso En la tabla de reglas de acceso puede agregar, editar, habilitar, deshabilitar y eliminar reglas de acceso. Active la casilla de la regla a la que desea que se aplique la accin; a continuacin, seleccione la accin con los botones que hay debajo de la tabla. Reordenacin de las reglas de acceso Puede que desee reordenar las reglas de acceso que ha creado para cambiar la prioridad de una regla. Para reordenar reglas de acceso:
77
PASO 1 Haga clic en Reordenar. PASO 2 En la tabla de reglas de acceso, seleccione la regla que desea desplazar y haga
clic en la flecha Arriba o Abajo para que suba o baje puestos en la lista.
PASO 3 Haga clic en Guardar.
por esta regla: Entrante: trfico de Internet (WAN) a la red (LAN) Saliente: trfico de la red (LAN) a Internet (WAN)
Bloquear siempre: siempre bloquea el tipo de trfico seleccionado. Permitir siempre: nunca bloquea el tipo de trfico seleccionado. Bloquear por programacin: bloquea el tipo de trfico seleccionado de acuerdo con una programacin. Seleccione una programacin en la lista desplegable. Consulte Creacin de programaciones, pgina 96. Permitir por programacin: permite el tipo de trfico seleccionado de acuerdo con una programacin. Seleccione una programacin en la lista desplegable. Consulte Creacin de programaciones, pgina 96.
Cualquiera para permitir que la regla se aplique a todas las aplicaciones o servicios, o puede seleccionar una aplicacin nica que bloquear: AIM (AOL Instant Messenger) BGP (Border Gateway Protocol, protocolo de puerta de enlace de frontera) BOOTP_CLIENT (cliente Bootstrap Protocol, protocolo de arranque)
78
BOOTP_SERVER (servidor Bootstrap Protocol, protocolo de arranque) CU-SEEME (videoconferencia) UDP o TCP DNS (Domain Name System, sistema de nombres de dominio), UDP o TCP FINGER FTP (File Transfer Protocol, protocolo de transferencia de archivos) HTTP (Hyptertext Transfer Protocol, protocolo de transferencia de hipertexto) HTTPS (Secure Hypertext Transfer Protocol, protocolo de transferencia de hipertexto seguro) ICMP (Internet Control Message Protocol, protocolo de mensajes de control de Internet) desde el tipo 3 al 11 o 13 ICQ (chat) IMAP (Internet Message Access Protocol, protocolo de acceso de mensajes de Internet) 2 o 3 IRC (Internet Relay Chat, chat de retransmisin de Internet) NEWS NFS (Network File System, sistema de archivos de red) NNTP (Network News Transfer Protocol, protocolo de transferencia de noticias en red) PING POP3 (Post Office Protocol, protocolo de correo electrnico) PPTP (Point-to-Point Tunneling Protocol, protocolo de tunelizacin de punto a punto) RCMD (comando) REAL-AUDIO REXEC (Remote execution command, comando de ejecucin remota) RLOGIN (Remote login, inicio de sesin remoto) RTELNET (Remote telnet, telnet remoto)
79
RTSP (Real-Time Streaming Protocol, protocolo de streaming en tiempo real) TCP o UDP SFTP (Secure Shell File Transfer Protocol, protocolo de transferencia de archivos de shell seguro) SMTP (Simple Mail Transfer Protocol, protocolo simple de transferencia de correo) SNMP (Simple Network Management Protocol, protocolo simple administracin de red) TCP o UDP SNMP-TRAPS (TCP o UDP) SQL-NET (Structured Query Language, lenguaje de consulta estructurado) SSH (TCP o UDP) STRMWORKS TACACS (Terminal Access Controller Access-Control System, sistema de control de acceso mediante control del acceso desde terminales) TELNET (comando) TFTP (Trivial File Transfer Protocol, protocolo de transferencia de archivos trivial) RIP (Routing Information Protocol, protocolo de enrutamiento de informacin) IKE SHTTPD (Simple HTTPD web server, servidor web HTTPD simple) IPSEC-UDP-ENCAP (paquetes UDP Encapsulation of IPsec, encapsulacin UDP de IPsec) Protocolo IDENT VDOLIVE (envo de vdeo web en directo) SSH (shell seguro) SIP-TCP o SIP-UDP
cortafuegos: Cualquiera: la regla se aplica al trfico que procede de cualquier direccin IP de la red local.
80
Direccin nica: la regla se aplica al trfico que procede de una sola direccin IP de la red local. Especifique la direccin en el campo Iniciar. Rango de direcciones: la regla se aplica al trfico que procede de una direccin IP que se encuentra en un rango de direcciones. Especifique la direccin IP de inicio en el campo Iniciar y la direccin IP final en el campo Finalizar.
a. DNAT (Destination Network Address Translation, traduccin de direcciones de red de destino) asigna una direccin IP pblica (la direccin WAN dedicada) a una direccin IP de la red privada. En el campo Enviar a servidor local (IP DNAT), especifique una direccin IP de una mquina en la red local que aloja el servidor. b. El router es compatible con varias NAT, por lo que la direccin IP de destino de Internet no tiene que ser la direccin de la WAN. Una sola interfaz WAN admite varias direcciones IP pblicas. Si su ISP le asigna ms de una direccin IP pblica, una de ellas puede usarse como direccin IP principal en el puerto WAN y las otras asignarse a servidores en la LAN. De esta forma, puede accederse a la LAN desde Internet mediante la direccin IP pblica asociada. Active la casilla Habilitar y especifique la direccin IP que desee usar. c. En Estado de reglas, seleccione Habilitado o Deshabilitado. Puede configurar una regla y seleccionar Deshabilitado si desea habilitarla posteriormente.
PASO 8 Si configura una regla de acceso de cortafuegos saliente:
a. En el campo IP de destino, configure la direccin IP a la que se aplica la regla del cortafuegos: Cualquiera: la regla se aplica al trfico que se dirige a cualquier direccin IP. Direccin nica: la regla se aplica al trfico que se dirige a una sola direccin IP. Especifique la direccin en el campo Iniciar. Rango de direcciones: la regla se aplica al trfico que se dirige a una direccin IP que se encuentra en un rango de direcciones. Especifique la direccin IP de inicio en el campo Iniciar y la direccin IP final en el campo Finalizar.
b. Puede configurar SNAT (Secure Network Address Translation, traduccin de direcciones de red seguras) para asignar una direccin IP pblica (la direccin WAN dedicada, la direccin WAN opcional u otra direccin) a una direccin IP de la red privada. En Usar esta direccin IP de SNAT, active Habilitar y especifique la direccin IP de SNAT.
81
c. En Estado de reglas, seleccione Habilitado o Deshabilitado. Puede configurar una regla y seleccionar Deshabilitado si desea habilitarla posteriormente.
Comprobaciones de seguridad de WAN (Internet) Responder para hacer ping en WAN (Internet): active esta casilla para configurar Cisco RV180/RV180W con el fin de permitir una respuesta a una solicitud de eco (ping) de Internet Control Message Protocol (ICMP) en la interfaz WAN. Esta configuracin se usa como herramienta de diagnstico para problemas de conectividad. No est habilitada de forma predeterminada. Modo oculto: si est habilitado el modo oculto, el router no responder a las exploraciones de puertos de la WAN. Esta funcin hace que la red sea menos susceptible a la deteccin y a los ataques. Est habilitada de forma predeterminada.
82
4
Desbordamiento: si la opcin est habilitada, el router desechar todos los paquetes TCP no vlidos. Esta funcin protege a la red de un ataque de desbordamiento de trfico SYN. Est habilitada de forma predeterminada.
Comprobaciones de seguridad de LAN (red local) Bloquear desbordamiento de UDP: si se habilita esta opcin, el router no aceptar ms de 500 conexiones UDP activas simultneamente desde un nico equipo de la LAN. Est habilitada de forma predeterminada.
Configuracin de ICSA (International Computer Security Association) Bloquear mensajes de ICMP annimos: ICSA requiere que el cortafuegos bloquee de forma silenciosa sin enviar una notificacin de ICMP al remitente. Algunos protocolos, como el MTU Path Discovery (descubrimiento de MTU de la ruta), requieren notificaciones de ICMP. Habilite esta configuracin para usar el modo oculto. Est habilitada de forma predeterminada. Bloquear paquetes fragmentados: ICSA requiere que el cortafuegos bloquee paquetes fragmentados de CUALQUIER origen a CUALQUIER destino. Est habilitada de forma predeterminada. Bloquear paquetes de multidifusin: ICSA requiere que el cortafuegos bloquee paquetes multidifusin. Est habilitada de forma predeterminada.
83
PASO 1 Seleccione Cortafuegos > Filtrado de contenido. PASO 2 Active la casilla Habilitar. PASO 3 Haga clic en Guardar.
Bloqueo de componentes web Para conseguir una mayor seguridad, pueden bloquearse algunos componentes web de uso habitual. Los sitios web malintencionados pueden usar algunos de estos componentes para infectar los equipos que acceden a ellos.
PASO 1 Seleccione Cortafuegos > Filtrado de contenido. PASO 2 Con el filtrado de contenido habilitado, en Componentes web, active la casilla de
cada uno de los componentes que desee bloquear: Bloquear proxy: un servidor proxy (o simplemente proxy) permite a los equipos enrutar conexiones a otros equipos a travs del proxy, sorteando as algunas reglas del cortafuegos. Por ejemplo, si las conexiones a una direccin IP especfica estn bloqueadas por una regla del firewall, las solicitudes se pueden enrutar a travs de un proxy que no se encuentre bloqueado por la regla, lo que hace que la restriccin no sea eficaz. Si se habilita esta funcin, se bloquean los servidores proxy. Bloquear Java: evita que los applets de Java se descarguen de pginas que los contengan. Los applets de Java son pequeos programas incrustados en pginas web que habilitan la funcionalidad dinmica de la pgina. Puede usarse un applet malintencionado para poner en peligro la seguridad de los equipos o infectarlos. Si habilita esta configuracin, impedir la descarga de los applets de Java. Bloquear ActiveX: como los applets de Java, los controles de ActiveX se instalan en un equipo de Windows cuando se ejecuta Internet Explorer. Puede usarse un control de ActiveX para poner en riesgo la seguridad de los equipos o infectarlos. Si habilita esta configuracin, impedir la descarga de los applets de ActiveX. Bloquear cookies: las cookies se usan para almacenar la informacin de sesin de los sitios web que normalmente requieren inicio de sesin. Sin embargo, muchos sitios web usan cookies para almacenar informacin de seguimiento y hbitos de exploracin. Si se habilita esta opcin, impedir que el sitio web cree las cookies.
84
NOTA: Muchos sitios web requieren que se acepten las cookies para acceder al sitio correctamente. El bloqueo de las cookies puede provocar que muchos sitios web no funcionen correctamente.
PASO 3 Haga clic en Guardar.
Creacin de dominios de confianza Puede agregar una lista de dominios de confianza. Estos dominios se omiten durante el filtrado de palabras clave. Por ejemplo, si se agrega yahoo a la lista de palabras clave bloqueadas y www.yahoo.com se agrega a la lista de dominios de confianza, se permitir www.yahoo.com, pero no mail.yahoo.com.
NOTA Antes de agregar dominios de confianza, debe habilitar el filtrado de contenido.
Consulte Habilitar filtrado de contenido, pgina 83. Para agregar dominios de confianza:
PASO 1 Seleccione Cortafuegos > Filtrado de contenido. La tabla de dominios de
bloqueadas actualmente.
PASO 2 Haga clic en Agregar fila. PASO 3 En Estado, active la casilla para habilitar el bloqueo de la nueva palabra clave.
85
PASO 4 Seleccione el grupo al cual se aplicar el bloqueo de palabra clave. Si tiene que
configurar un grupo nuevo, haga clic en Configurar grupos de LAN. (Consulte Configuracin de grupos LAN (red local), pgina 99).
PASO 5 Especifique la palabra clave que se bloquear. PASO 6 Haga clic en Guardar.
El redireccionamiento de puertos no es apropiado para servidores en la LAN, ya que existe una dependencia en el dispositivo LAN que crea una conexin saliente antes de que se abran los puertos entrantes. Algunas aplicaciones requieren que, cuando los dispositivos externos se conecten a ellas, los datos se reciban en un puerto o en un rango de puertos especfico para que las aplicaciones funcionen correctamente. El router debe enviar todos los datos entrantes para la aplicacin exclusivamente al puerto o el rango de puertos requerido. La puerta de enlace tiene una lista de aplicaciones y juegos comunes con los correspondientes puertos entrante y saliente que abrir. Tambin puede especificar una regla de redireccionamiento de puertos definiendo el tipo de trfico (TCP o UDP) y el rango de puertos entrantes y salientes que se abrirn cuando se habilite.
86
nmero de puerto o el rango de nmeros de puerto que esta regla redireccionar cuando se realice una solicitud de conexin del trfico saliente. Si la conexin saliente usa solo un puerto, especifique el mismo nmero de puerto en los campos Puerto inicial y Puerto final.
PASO 7 En la seccin Rango de puertos entrantes (respuesta), especifique el nmero de
puerto o el rango de nmeros de puerto que usa el sistema remoto para responder a la solicitud que recibe. Si la conexin entrante usa solo un puerto, especifique el mismo nmero de puerto en los campos Puerto inicial y Puerto final.
PASO 8 Haga clic en Guardar.
87
Servicio: servicio al que se puede aplicar esta regla de reenvo de puertos. Estado: puede deshabilitarse una regla de reenvo de puertos si no se est usando y habilitarse cuando sea necesario. La regla de reenvo de puertos se deshabilita si el estado es Deshabilitado y se habilita si el estado es Habilitado. Si se deshabilita una regla de reenvo de puertos no se elimina la configuracin. IP de origen: la direccin IP de origen a partir de la que se reenva el trfico (Cualquiera, Direccin nica o Rango de direcciones). IP de destino: la direccin IP del servidor a la que se reenva el trfico. Puerto interno: el puerto hacia el cual se reenviar el trfico.
Bloquear siempre: siempre bloquea el tipo de trfico seleccionado. Permitir siempre: nunca bloquea el tipo de trfico seleccionado. Bloquear por programacin: bloquea el tipo de trfico seleccionado de acuerdo con una programacin. Seleccione una programacin en la lista desplegable. Consulte Creacin de programaciones, pgina 96. Permitir por programacin: permite el tipo de trfico seleccionado de acuerdo con una programacin. Seleccione una programacin en la lista desplegable. Consulte Creacin de programaciones, pgina 96.
para este dispositivo: AIM (AOL Instant Messenger) BGP (Border Gateway Protocol, protocolo de puerta de enlace de frontera) BOOTP_CLIENT (cliente Bootstrap Protocol, protocolo de arranque) BOOTP_SERVER (servidor Bootstrap Protocol, protocolo de arranque)
88
CU-SEEME (videoconferencia) UDP o TCP DNS (Domain Name System, sistema de nombres de dominio), UDP o TCP FINGER FTP (File Transfer Protocol, protocolo de transferencia de archivos) HTTP (Hyptertext Transfer Protocol, protocolo de transferencia de hipertexto) HTTPS (Secure Hypertext Transfer Protocol, protocolo de transferencia de hipertexto seguro) ICMP (Internet Control Message Protocol, protocolo de mensajes de control de Internet) desde el tipo 3 al 11 o 13 ICQ (chat) IMAP (Internet Message Access Protocol, protocolo de acceso de mensajes de Internet) 2 o 3 IRC (Internet Relay Chat, chat de retransmisin de Internet) NEWS NFS (Network File System, sistema de archivos de red) NNTP (Network News Transfer Protocol, protocolo de transferencia de noticias en red) PING POP3 (Post Office Protocol, protocolo de correo electrnico) PPTP (Point-to-Point Tunneling Protocol, protocolo de tunelizacin de punto a punto) RCMD (comando) REAL-AUDIO REXEC (Remote execution command, comando de ejecucin remota) RLOGIN (Remote login, inicio de sesin remoto) RTELNET (Remote telnet, telnet remoto) RTSP (Real-Time Streaming Protocol, protocolo de streaming en tiempo real) TCP o UDP
89
SFTP (Secure Shell File Transfer Protocol, protocolo de transferencia de archivos de shell seguro) SMTP (Simple Mail Transfer Protocol, protocolo simple de transferencia de correo) SNMP (Simple Network Management Protocol, protocolo simple administracin de red) TCP o UDP SNMP-TRAPS (TCP o UDP) SQL-NET (Structured Query Language, lenguaje de consulta estructurado) SSH (TCP o UDP) STRMWORKS TACACS (Terminal Access Controller Access-Control System, sistema de control de acceso mediante control del acceso desde terminales) TELNET (comando) TFTP (Trivial File Transfer Protocol, protocolo de transferencia de archivos trivial) RIP (Routing Information Protocol, protocolo de enrutamiento de informacin) IKE SHTTPD (Simple HTTPD web server, servidor web HTTPD simple) IPSEC-UDP-ENCAP (paquetes UDP Encapsulation of IPsec, encapsulacin UDP de IPsec) Protocolo IDENT VDOLIVE (envo de vdeo web en directo) SSH (shell seguro) SIP-TCP o SIP-UDP
Cualquiera: especifica que la regla que se crea es para el trfico desde el punto de terminacin especfico. Direccin nica: se limita a un host. Requiere la direccin IP del host a la que se aplicara esta regla.
90
Rango de direcciones: se usa para aplicar esta regla a un grupo de dispositivos o equipos en un rango de direcciones IP. Requiere una direccin IP de inicio y una direccin IP final.
Iniciar.
PASO 7 Si selecciona Direccin Rango en el paso 5, especifique la direccin IP de inicio
del rango en el campo Iniciar y la direccin IP final del rango en el campo Finalizar.
PASO 8 Si selecciona Permitir siempre, Bloquear por programacin o Permitir por
programacin en el paso 3. a. Especifique la direccin IP de destino o la direccin a la que debe enviarse el trfico que coincida con la regla. b. En el campo Puerto interno, especifique el puerto hacia el cual debe reenviarse el trfico.
PASO 9 Haga clic en Guardar.
91
PASO 3 Especifique la direccin IP del punto de terminacin que recibir los paquetes
92
Comienzo de rango privado: la direccin IP de inicio en la direccin IP privada (LAN). Comienzo de rango pblico: la direccin IP de inicio en la direccin IP pblica (WAN). Longitud de rango: la longitud de rango asigna una direccin privada individual a una direccin pblica segn el rango proporcionado. Servicio: seleccione el servicio al que se aplica la regla.
dispositivo. Para deshabilitar esta funcin, desactive esta casilla. Si habilita el filtrado MAC, en el campo Poltica para las direcciones MAC que aparecen a continuacin, seleccione una de las siguientes opciones: Bloquear y permitir el resto: seleccione esta opcin para bloquear el trfico de las direcciones MAC especificadas y para permitir el trfico de otras direcciones.
93
Permitir y bloquear el resto: seleccione esta opcin para permitir el trfico de las direcciones MAC especificadas y para bloquear el trfico de los dems equipos en la parte LAN del router.
Por ejemplo, hay dos equipos en la LAN con las direcciones MAC 00:01:02:03:04:05 (host1) y 00:01:02:03:04:11 (host2). Si la direccin MAC de host1 se agrega a la lista de filtrado de MAC y se selecciona la poltica "Bloquear y permitir el resto", cuando el equipo intenta conectarse a un sitio web, el router le impide hacerlo. Sin embargo, host2 puede conectarse, ya que su direccin MAC no se encuentra en la lista. Si la poltica es Permitir y bloquear el resto, host1 puede conectarse a un sitio web, pero host2 se bloquea porque la URL no se encuentra en la lista. La poltica de filtrado de MAC no sobrescribe la regla del firewall que dirige el trfico entrante a un host.
PASO 3 En la tabla de direcciones MAC, haga clic en Agregar. PASO 4 Especifique la direccin MAC y la descripcin para agregarla a la tabla y haga clic
en Guardar. Repita el paso para cada direccin que desee permitir o bloquear.
PASO 5 Haga clic en Guardar.
enumera todas las reglas de vinculacin IP/MAC definidas actualmente y permite distintas operaciones en las reglas.
PASO 2 Haga clic en Agregar para agregar una nueva regla. PASO 3 En el campo de nombre, especifique el nombre de esta regla. PASO 4 En el campo Direcciones MAC, especifique las direcciones MAC (la direccin
94
hardware.
PASO 6 Haga clic en Guardar.
administracin.
PASO 4 Especifique el tipo de servicio o el protocolo de capa 4 que usa el servicio (TCP,
UDP, ICMP, ICMPv6 u otros). Si ha seleccionado ICMP o ICMPv6 como tipo de servicio, especifique el tipo de ICMP. Este es un valor numrico de 0 a 40 para ICMP y de 0 a 255 a ICMPv6.
PASO 5 Si selecciona TCP o UDP, en el campo Puerto inicial, especifique el puerto TCP o
UDP del rango que usa el servicio. En el campo Puerto final, especifique el ltimo puerto TCP o UDP del rango que usa el servicio.
PASO 6 Si ha seleccionado Otros, especifique el nmero del protocolo en el campo
Nmero de protocolo. (Por ejemplo, si usa RDP, especifique 27 en el campo de nombre de protocolo).
PASO 7 Haga clic en Guardar.
95
Creacin de programaciones
Puede crear programaciones de cortafuegos para aplicar reglas de reenvo de puertos o de cortafuegos en das u horas del da determinados.
No active la casilla si desea que solo se aplique a determinadas horas del da, especifique las horas de inicio y fin especficas.
PASO 5 En Repetir, active Todos los das para aplicar la programacin a todos los das de
la semana. No active la casilla si desea que solo se aplique a determinados das y active las casillas junto a los das que desee incluir en la programacin.
PASO 6 Haga clic en Guardar.
96
mximo de sesiones sin identificar para el proceso de identificacin de la puerta de enlace a nivel de aplicacin. Los valores pueden estar comprendidos entre 2 y 128. El valor predeterminado es 32 sesiones.
PASO 3 En el campo Nmero mximo de sesiones semiabiertas, especifique el nmero
mximo de sesiones semiabiertas. Una sesin semiabierta es el estado de sesin entre la recepcin de un paquete SYN y el paquete SYN/ACK. En circunstancias normales, se permite que una sesin siga en el estado semiabierto durante 10 segundos. Los valores mximos estn comprendidos entre 0 y 3000. El valor predeterminado es 128 sesiones.
PASO 4 En el campo Duracin del tiempo de espera de sesin TCP, especifique el tiempo,
en segundos, a partir del cual se eliminarn las sesiones TCP inactivas de la tabla de sesiones. La mayora de las sesiones TCP suelen finalizar cuando se detectan marcas RST o FIN. Este valor est comprendido entre 0 y 4 294 967 segundos. El valor predeterminado es 1800 segundos (30 minutos).
PASO 5 En el campo Duracin del tiempo de espera de sesin UDP, especifique el tiempo,
en segundos, a partir del cual se eliminarn las sesiones UDP inactivas de la tabla de sesiones. Este valor est comprendido entre 0 y 4 294 967 segundos. El valor predeterminado es 120 segundos (2 minutos).
PASO 6 En el campo Duracin del tiempo de espera de otra sesin (segundos),
especifique el tiempo, en segundos, a partir del cual se eliminarn las sesiones que no sean TCP/UDP de la tabla de sesiones. Este valor est comprendido entre 0 y 4 294 967 segundos. El valor predeterminado es 60 segundos.
PASO 7 En el campo Latencia de limpieza de sesin de TCP (segundos), especifique el
tiempo mximo de permanencia de una sesin en la tabla de sesiones despus de detectar las marcas FIN. Este valor est comprendido entre 0 y 4 294 967 segundos. El valor predeterminado es 10 segundos.
PASO 8 Haga clic en Guardar.
97
Configuracin IGMP (Internet Group Management Protocol, protocolo de gestin de grupo de Internet)
El protocolo IGMP es un protocolo de intercambio para routers. Los hosts que quieren recibir mensajes multidifusin deben informar de su estado a los routers vecinos. En algunas redes, cada nodo de una red se convierte en un miembro de un grupo multidifusin y recibe paquetes multidifusin. En estas situaciones, los hosts intercambian informacin con los routers locales mediante IGMP. Los routers usan IGMP peridicamente para comprobar si los miembros conocidos del grupo se encuentran activos. IGMP proporciona un mtodo denominado pertenencia dinmica mediante el cual un host puede unirse a un grupo multidifusin o dejarlo en cualquier momento. La tabla de redes permitidas enumera todas las redes permitidas que se han configurado para el dispositivo y en las cuales se pueden realizar distintas operaciones: Direccin de red: la direccin desde la cual se crean los paquetes multidifusin. Longitud de mscara: longitud de mscara para la direccin de red.
En esta tabla puede realizar las siguientes acciones: Casilla de verificacin: selecciona todas las redes permitidas en la tabla. Eliminar: elimina las redes permitidas seleccionadas. Agregar: abre la pgina de configuracin de redes permitidas para agregar una nueva red. Editar: abre la pgina de configuracin de redes permitidas para editar la red seleccionada.
98
PASO 3 Seleccione Interfaz ascendente (WAN o LAN). Seleccione la interfaz (LAN o WAN)
Guardar.
PASO 4 Si el grupo consta de una direccin IP nica, seleccione Direccin nica y
especifique la direccin en el campo Direccin IP de inicio. Si el grupo consta de un rango de direcciones IP, seleccione Rango de direcciones y especifique las direcciones en el campo Direccin IP final.
PASO 5 Haga clic en Guardar.
Habilitar SIP ALG (Session Initiation Protocol ApplicationLevel Gateway, puerta de acceso de nivel de aplicacin de protocolo de inicio de sesin)
SIP ALG puede reescribir la informacin en los mensajes SIP (encabezados SIP y cuerpo SDP) para posibilitar el trfico de audio y la sealizacin entre un cliente con NAT (Network Address Translation, traduccin de direcciones de red) y el punto de terminacin SIP. Para habilitar SIP ALG:
99
PASO 1 Seleccione Cortafuegos > Ajustes avanzados > SIP ALG. PASO 2 Active la casilla Habilitar para habilitar la compatibilidad con SIP ALG. Si se
desactiva, el router no permitir llamadas entrantes al UAC (cliente de agente de usuario) tras Cisco RV180/RV180W.
PASO 3 Haga clic en Guardar.
Valor
Entrante Permitir siempre HTTP Cualquiera 192.168.5.2 (direccin IP de servidor web) Habilitado
Ejemplo 2: permitir videoconferencia desde el rango de direcciones IP externas. En este ejemplo, desea permitir que la videoconferencia entrante se inicie desde un rango restringido de direcciones IP externas (132.177.88.2 - 132.177.88.254) de una sucursal. Cree una regla entrante como se indica a continuacin. En el ejemplo se permiten solo las conexiones CUSeeMe desde un rango especfico de direcciones IP externas.
100
4
Valor
Entrante Permitir siempre CU-SEEME:UDP Rango de direcciones 132.177.88.2 134.177.88.254 192.168.1.11 Habilitado
Parmetro
Tipo de conexin Accin Servicio IP de origen Iniciar Finalizar Enviar a servidor local (IP DNAT) Estado de reglas
Ejemplo 3: configuracin de varias NAT En este ejemplo, desea configurar varias NAT para que sean compatibles con varias direcciones IP pblicas en una interfaz de puerto WAN. Cree una regla entrante que configure el firewall para alojar una direccin IP pblica adicional. Asocie esta direccin al servidor web en DMZ. Si acuerda con el ISP usar ms de una direccin IP pblica, puede utilizar las direcciones IP pblicas adicionales para asignarlas a los servidores de la LAN. Una de estas direcciones IP pblicas se usar como direccin IP principal del router. Esta direccin se utilizar para proporcionar acceso a Internet a los PC de la LAN a travs de NAT. Las otras direcciones estarn disponibles para asignarlas a los servidores DMZ. Se usa el siguiente esquema de direccionamiento para ilustrar este procedimiento: Direccin IP WAN: 10.1.0.118 Direccin IP LAN: 192.168.1.1; subred 255.255.255.0 PC de servidor web en DMZ, direccin IP: 192.168.1.2 Acceso al servidor web: direccin IP pblica 10.1.0.52 (simulada)
101
4
Valor
Entrante Permitir siempre HTTP Direccin nica 10.1.0.52 192.168.1.2 (direccin IP local del servidor web) Habilitado
Parmetro
Tipo de conexin Accin Servicio IP de origen Iniciar Enviar a servidor local (IP DNAT) Estado de reglas
Ejemplo 4: bloquear el trfico por programacin si se genera desde un rango especfico de equipos En este ejemplo, desea bloquear todo el trfico HTTP los fines de semana si la solicitud se origina desde un grupo especfico de equipos en la LAN que disponga de un rango conocido de direcciones IP, as como de cualquier persona que ingrese en la red desde la WAN (es decir, todos los usuarios remotos).
PASO 1 Configure una programacin. Seleccione Cortafuegos > Ajustes avanzados >
Programaciones.
PASO 2 Haga clic en Agregar. PASO 3 Especifique un nombre de programacin (por ejemplo, Fin de semana). PASO 4 En Hora, active Todo el da. PASO 5 En Repetir, deje Todos los das sin activar. PASO 6 Active Sbado y Domingo. PASO 7 Haga clic en Guardar.
102
4
Valor
Saliente Bloquear por programacin Fin de semana HTTP Rango de direcciones Direccin IP de inicio Direccin IP final Cualquiera Habilitado
Cree una regla de acceso saliente con los siguientes parmetros: Parmetro
Tipo de conexin Accin Programacin Servicio IP de origen Iniciar Finalizar IP de destino Estado de reglas
Cree una regla de acceso entrante con los siguientes parmetros: Parmetro
Tipo de conexin Accin Programacin Servicio IP de origen Estado de reglas
Valor
Entrante Bloquear por programacin Fin de semana Todo el trfico Cualquiera Habilitado
103
5
Configuracin de redes privadas virtuales (VPN) y seguridad
En este captulo se describe la configuracin de VPN, que comienza con la seccin Configuracin de VPN pgina 104. Tambin se describe cmo configurar la seguridad del router, que comienza con la seccin Configuracin de seguridad pgina 124. Se tratan las siguientes secciones: Configuracin de VPN, pgina 104 Configuracin de una VPN bsica, pgina 107 Configuracin de parmetros avanzados de VPN, pgina 110 Configuracin de seguridad, pgina 124
Configuracin de VPN
Una VPN proporciona un canal de comunicaciones seguras (denominado tnel) entre dos routers de puerta de enlace, o entre uno de tales routers y un trabajador remoto. Es posible crear distintos tipos de tneles VPN de acuerdo con las necesidades de la empresa. A continuacin, se describen varios supuestos. Lea estas descripciones para entender las opciones y los pasos necesarios para configurar la VPN. Acceso de sitio a sitio con VPN de puerta de enlace a puerta de enlace, pgina 105 Acceso remoto con un cliente IPsec (VPN de cliente a puerta de enlace), pgina 105 Acceso remoto con Cisco QuickVPN, pgina 106 Acceso remoto mediante PPTP, pgina 107
104
Acceso de sitio a sitio con VPN de puerta de enlace a puerta de enlace Una VPN de puerta de enlace a puerta de enlace conecta al menos dos routers usando una poltica de IPsec para proteger el trfico entre dos sitios. Use este tipo de VPN si, por ejemplo, necesita conectar la red de una sucursal a la red de una oficina principal. 1. Use la pgina Configuracin bsica de VPN para crear una VPN. Seleccione Puerta de enlace como el tipo de entidad par y especifique lo siguiente: Nombre de la nueva conexin Clave previamente compartida Tipo de puerta de enlace remota y direccin IP de WAN remota o nombre de dominio completo (FQDN) Tipo de puerta de enlace local y direccin IP de WAN local o FQDN Tendr que definir tambin la configuracin correspondiente en el router del otro sitio. Consulte Configuracin de una VPN bsica, pgina 107. 2. En caso necesario, edite la configuracin predeterminada mediante la pgina Configuracin de VPN avanzada. Consulte Configuracin de parmetros avanzados de VPN, pgina 110. Acceso remoto con un cliente IPsec (VPN de cliente a puerta de enlace) En este supuesto, un cliente remoto, como un PC con software cliente de VPN IPsec, inicia un tnel VPN. La direccin IP del cliente remoto no tiene por qu conocerse necesariamente de antemano. La puerta de enlace acta como retransmisor. Configure este tipo de tnel VPN si tiene teletrabajadores que necesiten conectarse de forma segura a su red desde sus oficinas domsticas, por ejemplo. Tendr que configurar este router con las polticas especficas de IPsec necesarias para el cliente IPsec. Asimismo, ser preciso instalar y configurar el software cliente IPsec en los equipos de los usuarios. 1. Use la pgina Configuracin bsica de VPN para efectuar una configuracin rpida de las polticas de IKE y VPN aplicando los parmetros estndar. Como tipo de entidad par, seleccione Cliente de VPN; seguidamente, seleccione los otros parmetros de configuracin bsica. Tenga en cuenta que el software cliente de VPN de los usuarios tendr que definirse con la misma clave previamente compartida que indique aqu. Consulte Configuracin de una VPN bsica, pgina 107.
105
2. Para definir la configuracin que requiere el software cliente de VPN, use la pgina Configuracin de VPN avanzada con el fin de editar las polticas de IKE y VPN. Para conocer los parmetros que es preciso especificar, consulte la documentacin del cliente de VPN. Consulte Configuracin de parmetros avanzados de VPN, pgina 110. 3. Configure los usuarios: Si ha configurado la poltica de VPN para que la autenticacin se efecte desde la base de datos local, agregue a los usuarios en la pgina VPN > IPsec > Usuarios de VPN. Seleccione XAUTH como el protocolo del usuario. (Consulte Configuracin de usuarios de VPN, pgina 121). Si ha configurado la poltica de VPN para que la autenticacin se efecte desde una base de datos externa, defina la conexin como Servidor RADIUS. Consulte Uso de Cisco RV180/RV180W con un servidor RADIUS, pgina 127.
Acceso remoto con Cisco QuickVPN Para efectuar una configuracin rpida con los parmetros bsicos de seguridad de VPN, distribuya el software Cisco QuickVPN entre los usuarios pertinentes, quienes, con ello, podrn acceder a los recursos de red de un modo seguro. Use esta opcin si desea simplificar el proceso de configuracin de VPN. No tendr que configurar polticas de VPN. Con el cliente Cisco QuickVPN y acceso a Internet, los usuarios remotos podrn conectarse de forma segura. 1. Agregue a los usuarios en la pgina VPN > IPsec > Usuarios de VPN. Seleccione QVPN como el protocolo del usuario. Consulte Configuracin de usuarios de VPN, pgina 121. 2. Solicite a los usuarios que obtengan el software gratuito Cisco QuickVPN de Cisco.com y lo instalen en sus equipos. Para obtener ms informacin, consulte .Anexo A, Uso de Cisco QuickVPN para Windows 7, 2000, XP o Vista. Nota: Para habilitar el acceso a este router mediante Cisco QuickVPN, debe habilitar la administracin remota con el fin de abrir el puerto 443 para SSL. Consulte Uso de la interfaz de administracin, pgina 136.
106
Acceso remoto mediante PPTP En este supuesto, un usuario remoto con un equipo de Microsoft se conecta a un servidor PPTP de su sitio para obtener acceso a recursos de red. Use esta opcin para simplificar la configuracin de VPN. No tendr que configurar polticas de VPN. Los usuarios remotos podrn conectarse mediante el cliente PPTP desde un equipo de Microsoft. No es preciso instalar ningn cliente de VPN. No obstante, tenga en cuenta que se han detectado deficiencias de seguridad en este protocolo. Especifique la configuracin de servidor PPTP y agregue a los usuarios en la pgina VPN > IPsec > Usuarios de VPN. Seleccione PPTP como el protocolo del usuario. Consulte Configuracin de usuarios de VPN, pgina 121.
Puerta de enlace: conecta Cisco RV180W a una puerta de enlace, como un dispositivo Cisco RV180W de otro sitio. Cliente de VPN: conecta Cisco RV180W a clientes remotos. Los clientes remotos deben ejecutar el software cliente de VPN.
informacin: Nombre de la nueva conexin: especifique un nombre para identificar esta conexin. El nombre de conexin se usa para la administracin.
107
Clave previamente compartida: especifique una clave alfanumrica que se usar al configurar una conexin. Debe tener de 8 a 49 caracteres. No se permite el carcter de comillas dobles. Asegrese de configurar el cliente de VPN o la puerta de enlace remota con esta clave.
informacin: Tipo de puerta de enlace remota: si la entidad par es una puerta de enlace, escoja un mtodo de identificacin del router remoto. Puede usar una direccin IP o FQDN. Tendr que especificar el mismo tipo en las puertas de enlace remota y local. FQDN/Direccin IP de WAN remotas : indique una de las siguientes opciones: Para una conexin de puerta de enlace a puerta de enlace: especifique la direccin IP del router remoto o su nombre de dominio si conoce estos datos (por ejemplo, MiServidor.MiDominio.com). Si no dispone de esta informacin, conserve el valor de configuracin predeterminado: remote.com. Para una conexin de cliente a puerta de enlace: mantenga el valor de configuracin predeterminado, remote.com; especifique un FQDN o una direccin IP de WAN de cliente si desea restringir el acceso nicamente a los clientes del sitio en cuestin. Tipo de puerta de enlace local: seleccione un mtodo para identificar el router. Puede usar una direccin IP o un nombre de dominio completo. Si la entidad par es una puerta de enlace, escoja el mismo tipo que seleccion en el parmetro Tipo de puerta de enlace remota anterior. FQDN/direccin IP de WAN locales : en funcin de lo que haya seleccionado en los parmetros anteriores, especifique la direccin IP o el nombre de dominio del router en cuestin (por ejemplo, MiServidor.MiDominio.com). Este campo puede dejarse vaco si desea usar el mismo FQDN o la misma direccin IP especificados en la configuracin de WAN. Si desconoce la direccin, conserve el valor de configuracin predeterminado: local.com.
108
informacin: Direccin IP de LAN (red local) remota (solo para una puerta de enlace): especifique la direccin IP de subred de la LAN remota. Una direccin IP de subred es aquella que asigna el "nmero de red" del rango de IP. Por ejemplo, una direccin de red 192.168.1.10 con una mscara de subred 255.255.255.0 dara lugar a un nmero de red o a una direccin IP de subred 192.168.1.0. Mscara de subred de LAN (red local) remota (solo para una puerta de enlace) : especifique la mscara de subred asociada para la LAN remota. Direccin IP de LAN (red local) local: especifique la direccin IP de subred de la LAN local. Una direccin IP de subred es aquella que asigna el "nmero de red" del rango de IP. Por ejemplo, una direccin de red 192.168.1.10 con una mscara de subred 255.255.255.0 dara lugar a un nmero de red o a una direccin IP de subred 192.168.1.0. Mscara de subred de LAN (red local) local: especifique la mscara de subred para la LAN local. Nota: El rango de direcciones IP usado en la LAN remota debe ser distinto al usado en la LAN local.
PASO 5 Haga clic en Guardar para guardar la configuracin o en Cancelar para volver a
cargar la pgina con la configuracin actual. Tras guardar la configuracin, aparecer la pgina Configuracin de VPN avanzada.
109
Polticas de VPN En la tabla de polticas de VPN, efecte las siguientes tareas: Para agregar una poltica, haga clic en Agregar. Seguidamente, especifique la configuracin en la pgina Agregar/Editar configuracin de polticas de
110
VPN. Consulte Configuracin de polticas de VPN, pgina 115. Nota: Para crear una poltica de VPN automtica, tendr que crear primero una poltica de IKE y, a continuacin, agregar la poltica automtica correspondiente para la poltica de IKE en cuestin. Para editar una poltica, active la casilla y, a continuacin, haga clic en Editar. Seguidamente, especifique la configuracin en la pgina Agregar/ Editar configuracin de polticas de VPN. Consulte Configuracin de polticas de VPN, pgina 115. Para eliminar una poltica, active la casilla y, a continuacin, haga clic en el botn Eliminar. Para seleccionar todas las polticas, active la casilla en la fila de encabezado y haga clic en Eliminar. Cuando aparezca el mensaje de confirmacin, haga clic en Aceptar para continuar con la eliminacin o en Cancelar para que esta no se realice. Para habilitar una poltica, active la casilla y haga clic en Habilitar. Para seleccionar todas las polticas, active la casilla de la fila del encabezado y, a continuacin, haga clic en Habilitar. Para deshabilitar una poltica, active la casilla y haga clic en Deshabilitar. Para seleccionar todas las polticas, active la casilla de la fila del encabezado y, a continuacin, haga clic en Deshabilitar.
Nombre de poltica: especifique un nombre nico para la poltica con fines de identificacin y administracin. Direccin/Tipo: seleccione uno de los siguientes mtodos de conexin: Iniciador : el router iniciar la conexin con el extremo remoto.
111
Responder : el router esperar de forma pasiva y responder a las solicitudes IKE remotas. Ambos: el router funcionar en el modo Responder o Iniciador.
Modo de intercambio: seleccione una de las siguientes opciones: Principal: con este modo, el tnel se negocia con un mayor nivel de seguridad, si bien resulta ms lento. Agresivo: este modo establece una conexin ms rpida, pero una seguridad reducida.
Nota: Si el tipo de identificador local o remoto no es una direccin IP, la negociacin solo ser posible en el modo agresivo. Si se selecciona FQDN, FQDN de usuario o DER ASN1 DN, el router deshabilitar el modo Principal y establecer el valor predeterminado en el modo Agresivo.
PASO 2 En la seccin Local, indique el valor de Tipo de identificador para especificar el
identificador de ISAKMP (Internet Security Association and Key Management Protocol, protocolo de administracin de claves y de asociacin de seguridad de Internet) correspondiente al router local: IP de WAN (Internet) local FQDN FQDN de usuario DER ASN1 DN Si ha seleccionado FQDN, FQDN de usuario o DER ASN1 DN como tipo de identificador, especifique el nombre de dominio o la direccin IP en el campo Identificador.
PASO 3 En la seccin Remoto, indique el valor de Tipo de identificador para especificar el
identificador de ISAKMP (Internet Security Association and Key Management Protocol, protocolo de administracin de claves y de asociacin de seguridad de Internet) correspondiente al router remoto: IP de WAN (Internet) remota FQDN FQDN de usuario DER ASN1 DN
112
Si ha seleccionado FQDN, FQDN de usuario o DER ASN1 DN como tipo de identificador, especifique el nombre de dominio o la direccin IP en el campo Identificador.
PASO 4 En la seccin Parmetros SA de IKE, especifique los siguientes valores:
Los parmetros de la asociacin de seguridad (SA) definen la intensidad y el modo de la negociacin de dicha asociacin. Algoritmo de cifrado: seleccione el algoritmo usado para negociar la asociacin de seguridad: DES 3DES AES-128 AES-192 AES-256
Algoritmo de autenticacin: especifique el algoritmo de autenticacin para el encabezado de VPN: MD5 SHA-1 SHA2-256 SHA2-384 SHA2-512
Asegrese de que el algoritmo de autenticacin se configura de forma idntica en ambos lados. Mtodo de autenticacin: puede seleccionar una de las siguientes opciones: Clave previamente compartida: escoja esta opcin para trabajar con una clave sencilla basada en contrasea compartida con la entidad par de IKE. Seguidamente, especifique la clave en el espacio destinado a tal fin. Tenga en cuenta que no se admite el carcter de comillas dobles () en la clave previamente compartida.
113
Firma de RSA : seleccione esta opcin si desea deshabilitar el campo de texto de la clave previamente compartida y usar el autocertificado activo cargado en la pgina Seguridad > Certificado SSL. Debe configurarse un certificado para que funcione Firma de RSA.
Grupo Diffie-Hellman (DH) : especifique este algoritmo, usado al intercambiar claves. El Grupo Diffie-Hellman (DH) define el nivel de seguridad del algoritmo en bits. Asegrese de que Grupo Diffie-Hellman (DH) se configure de forma idntica en ambos lados de la poltica de IKE. Duracin de asociacin de seguridad: especifique el intervalo, en segundos, despus del cual la asociacin de seguridad deja de ser vlida. Deteccin de entidad par inactiva: active la casilla Habilitar para habilitar esta funcin o desactvela para deshabilitarla. La opcin Deteccin de entidad par inactiva (DPD) se usa para detectar si la entidad par est activa o no. Si se detecta la inactividad de esta, el router elimina la asociacin de seguridad de IKE e IPsec. Si habilita esta funcin, especifique tambin los siguientes parmetros: Periodo de deteccin: especifique el intervalo, en segundos, entre mensajes DPD R-U-THERE consecutivos. Los mensajes DPD R-U-THERE se envan solo cuando el trfico de IPsec est inactivo. Reconectar despus del recuento de errores: especifique el nmero mximo de errores de DPD permitidos antes de interrumpir la conexin.
Autenticacin ampliada (XAUTH). Cuando se conectan numerosos clientes de VPN a un router de puerta de enlace de VPN, XAUTH permite la autenticacin de usuarios a travs de mtodos adicionales al mtodo de autenticacin mencionado en los parmetros de SA de IKE. Tipo de XAUTH: seleccione una de las siguientes opciones: Ninguno: deshabilita XAUTH. Dispositivo perimetral: la autenticacin se realiza con uno de los siguientes mtodos: Base de datos de usuario: las cuentas de usuario creadas en el router se usan para autenticar usuarios. Una vez finalizado este procedimiento, agregue a los usuarios en la pgina VPN > IPsec > Usuarios de VPN. Consulte Configuracin de usuarios de VPN, pgina 121.
114
Radius: PAP o Radius: CHAP: la autenticacin se efecta mediante un servidor RADIUS y un protocolo de autenticacin de contrasea (PAP) o de autenticacin por desafo mutuo (CHAP). Una vez finalizado este procedimiento, configure el servidor RADIUS en la pgina Seguridad > Servidor RADIUS. Consulte Uso de Cisco RV180/RV180W con un servidor RADIUS, pgina 127. Host IPsec: el router se autentica mediante una puerta de enlace remota con una combinacin de nombre de usuario y contrasea. En este modo, el router acta como cliente de VPN de la puerta de enlace remota. Si selecciona esta opcin, especifique tambin los valores de Nombre de usuario y Contrasea correspondientes al host.
PASO 6 Haga clic en Guardar para guardar la configuracin o en Cancelar para volver a
cargar la pgina con la configuracin actual. Haga clic en el botn Atrs para regresar a la pgina VPN > IPsec > Configuracin de VPN avanzada.
Nombre de poltica: especifique un nombre exclusivo para identificar la poltica. Tipo de poltica: seleccione una de las siguientes opciones: Poltica automtica: algunos parmetros del tnel VPN se generan de forma automtica. Para ello, es preciso usar el protocolo IKE (Internet Key Exchange, protocolo de intercambio de claves en Internet) para realizar negociaciones entre los dos puntos de terminacin de VPN. Poltica manual: toda la configuracin (incluida las claves) correspondiente al tnel VPN se especifica manualmente para cada punto de terminacin. No hay ninguna organizacin ni servidor de terceros implicados.
115
Punto de terminacin remoto: seleccione el tipo de identificador que desee proporcionar para la puerta de enlace del punto de terminacin remoto: Direccin IP o FQDN. Seguidamente, especifique el identificador en el espacio destinado a tal fin. NETBIOS: active la casilla Habilitar para permitir que las difusiones de NetBIOS se transmitan a travs del tnel VPN; de lo contrario, desactvela. Para polticas de cliente, la funcin NETBIOS se encuentra disponible de forma predeterminada.
siguientes parmetros: IP local/IP remota: seleccione el tipo de identificador que desee proporcionar para el punto de terminacin: Cualquiera: este valor especifica que la poltica est destinada al trfico originado en el punto de terminacin dado (local o remoto). Tenga en cuenta que no puede seleccionar Cualquiera tanto para el punto de terminacin local como para el remoto. nica: limita la poltica a un host. Especifique la direccin IP del host que formar parte de la VPN en el campo Direccin IP de inicio. Seguidamente, especifique la direccin IP en el campo Direccin inicial. Rango: permite que los equipos que se encuentran dentro de un rango de direcciones IP se conecten a la VPN. Especifique los valores de las direcciones IP de inicio y final en los campos destinados a tal fin. Indique la primera direccin IP del rango en el campo Direccin inicial. Indique la ltima direccin IP del rango en el campo Direccin final. Subred: permite que una subred completa se conecte a la VPN. Especifique la direccin de red en el campo Direccin IP de inicio y la mscara de subred en el campo Mscara de subred. Especifique la direccin IP de red correspondiente a la subred en el campo Direccin inicial. Especifique la mscara de subred (255.255.255.0, por ejemplo) en el campo Mscara de subred. El campo mostrar de forma automtica una direccin de subred predeterminada basada en la direccin IP. IMPORTANTE: asegrese de evitar el uso de subredes con solapamiento para los selectores de trfico remoto o local. Si se utilizaran, se requerira la adicin de rutas estticas en el router y en los hosts que fueran a usarse. Por ejemplo, una combinacin que debera evitarse sera la siguiente:
116
RV180/RV180W encuentre el servidor DNS en el router remoto sin la intermediacin del ISP (Internet). Para deshabilitar esta funcin, desactive la casilla. Si habilita Dividir DNS, especifique tambin los siguientes parmetros: Servidor de nombres de dominio 1: especifique una direccin IP de servidor de nombres de dominio con la que resolver el dominio especificado en el campo Nombre del dominio 1. Servidor de nombres de dominio 2: de manera opcional, especifique una direccin IP de servidor de nombres de dominio con la que resolver el dominio especificado en el campo Nombre del dominio 2. Nombre del dominio 1: especifique un nombre de dominio, cuya consulta se efectuar nicamente mediante el servidor DNS configurado en el campo Servidor de nombres de dominio 1. Nombre del dominio 2: especifique un nombre de dominio, cuya consulta se efectuar nicamente mediante el servidor DNS configurado en el campo Servidor de nombres de dominio 2.
seccin Parmetros de polticas manuales. Para obtener ms informacin, consulte Ejemplo de poltica manual, pgina 119. SPI entrante, SPI saliente: especifique un valor hexadecimal de entre 3 y 8 caracteres (como, por ejemplo, 0x1234). Algoritmo de cifrado: seleccione el algoritmo usado para cifrar los datos. Clave de entrada: especifique la clave de cifrado de la poltica entrante. La longitud de la clave depende del algoritmo seleccionado: DES: 8 caracteres 3DES: 24 caracteres AES-128: 16 caracteres AES-192: 24 caracteres AES-256: 32 caracteres AES-CCM: 16 caracteres AES-GCM: 20 caracteres
117
Clave de salida: especifique la clave de cifrado de la poltica saliente. La longitud de la clave depende del algoritmo seleccionado, como se acaba de mostrar. Algoritmo de integridad: seleccione el algoritmo usado para comprobar la integridad de los datos. Clave de entrada: especifique la clave de integridad (para ESP con el modo de integridad) para la poltica entrante. La longitud de la clave depende del algoritmo seleccionado: MD5: 16 caracteres SHA-1: 20 caracteres SHA2-256: 32 caracteres SHA2-384: 48 caracteres SHA2-512: 64 caracteres
Clave de salida: especifique la clave de integridad (para ESP con el modo de integridad) para la poltica saliente. La longitud de la clave depende del algoritmo seleccionado, como se acaba de mostrar.
seccin Parmetros de poltica automtica. Duracin de asociacin de seguridad: especifique la duracin de la asociacin de seguridad y seleccione la unidad en la lista desplegable: Segundos: seleccione esta opcin para medir la duracin de la asociacin de seguridad en segundos. Una vez transcurrido el nmero de segundos especificado, se vuelve a negociar la asociacin de seguridad. El valor predeterminado es de 3600 segundos. El valor mnimo es de 300 segundos. KBytes: seleccione esta opcin para medir la duracin de la asociacin de seguridad en kilobytes. Una vez transferido el nmero especificado de kilobytes de datos, se vuelve a negociar la asociacin de seguridad. El valor mnimo es de 1 920 000 KB. Cuando se configura la duracin en kilobytes (tambin denominada "bytes de duracin"), tenga en cuenta que se crean dos asociaciones de seguridad para cada poltica. Una asociacin de seguridad se aplica al trfico entrante, mientras que la otra se aplica al saliente. Debido a las diferencias en los flujos de trfico ascendente y descendente, la caducidad de las asociaciones de seguridad puede no coincidir. Por
118
ejemplo, si el trfico descendente es muy alto, la duracin en kilobytes correspondiente a un flujo de descarga puede caducar frecuentemente. Sin embargo, es posible que la duracin en kilobytes del flujo de carga no caduque con la misma frecuencia. Se recomienda definir los valores de forma razonable con el fin de reducir la diferencia en las frecuencias de caducidad de las asociaciones de seguridad. De lo contrario, el sistema puede terminar quedndose sin recursos como resultado de esta asimetra. Generalmente, las especificaciones de la duracin en kilobytes solo se recomiendan para usuarios avanzados. Algoritmo de cifrado: seleccione el algoritmo usado para cifrar los datos. Algoritmo de integridad: seleccione el algoritmo usado para comprobar la integridad de los datos. En Grupo de claves PFS: active la casilla Habilitar para habilitar PFS (Perfect Forward Secrecy, confidencialidad directa total) con el fin de mejorar la seguridad. Aunque sea ms lento, este protocolo ayuda a evitar las escuchas indebidas, ya que garantiza un intercambio Diffie-Hellman para cada negociacin de fase 2. Seleccionar poltica de IKE: seleccione la poltica de IKE que definir las caractersticas de la fase 1 de la negociacin. Para agregar una poltica de IKE a la lista, haga clic en el vnculo Polticas de IKE. Consulte Configuracin de parmetros avanzados de VPN, pgina 110.
PASO 6 Haga clic en Guardar para guardar la configuracin o en Cancelar para volver a
cargar la pgina con la configuracin actual. Haga clic en el botn Atrs para regresar a la pgina VPN > IPsec > Configuracin de VPN avanzada.
119
Clave de salida: 5566778888776655 Router 2: WAN1=10.0.0.2 LAN=192.168.2.1 Subred=255.255.255.0 Nombre de poltica: manualVPN Tipo de poltica: Poltica manual Puerta de enlace local: WAN1 Punto de terminacin remoto: 10.0.0.1 IP local: Subred 192.168.2.0 255.255.255.0 IP remota: Subred 192.168.1.0 255.255.255.0 SPI entrante: 0x2222 Algoritmo de cifrado: DES Clave de entrada: 33334444 Clave de salida: 11112222 SPI saliente: 0x1111 Algoritmo de integridad: MD5 Clave de entrada: 5566778888776655 Clave de salida: 1122334444332211
Aqu se enumeran las asociaciones de seguridad de IPsec activas junto con los detalles de trfico y el estado del tnel. El trfico es una medida acumulativa de los paquetes transmitidos/recibidos desde que se estableci el tnel. La tabla de asociaciones de seguridad de IPsec activas muestra una lista de las asociaciones de seguridad de IPsec activas. Los campos de la tabla constan de lo siguiente:
Campo
Nombre de poltica
Descripcin
Poltica IKE o VPN asociada a la asociacin de seguridad. Direccin IP del cliente o de la puerta de enlace VPN remota. El nmero de paquetes IP transmitidos a travs de esta asociacin de seguridad.
Punto de terminacin
Paquetes
120
Kbytes
Kilobytes de datos transmitidos a travs de esta asociacin de seguridad. El estado de la asociacin de seguridad de las polticas IKE: no conectado o asociacin de seguridad de IPsec establecida. Si el estado de la
Estado
poltica de VPN es no conectado, puede habilitarse desde la lista de polticas de VPN en la pgina VPN > IPsec > Configuracin de VPN avanzada.
Accin Seleccione Conectar para establecer una conexin o Descartar para finalizar una conexin establecida.
informacin de los usuarios, que puede importar fcilmente para agregar varios usuarios. Consulte Importacin de archivos CSV, pgina 151. Los clientes de VPN deben configurarse con los mismos parmetros de polticas de VPN utilizados en el tnel VPN que el cliente desee usar: cifrado, autenticacin, tiempo de duracin y grupo de claves PFS. Una vez definidos estos parmetros de autenticacin, la base de datos de usuarios del cliente de VPN debe completarse con una cuenta para proporcionar a un usuario acceso al tnel. La puerta de enlace de VPN autentica los usuarios de esta lista cuando se usa XAUTH en una poltica IKE. El software cliente de VPN es necesario para establecer un tnel VPN entre el router y el punto de terminacin remoto. El software de cdigo abierto (como OpenVPN u Openswan), as como el software Microsoft VPN IPsec, puede configurarse con los parmetros de la poltica de IKE necesarios para establecer un tnel IPsec de VPN. Consulte la gua de software del cliente para obtener instrucciones detalladas sobre la configuracin, as como la ayuda en lnea del router. Para abrir esta pgina: seleccione VPN > IPsec > Usuarios de VPN en el rbol de navegacin.
121
especifique los siguientes parmetros en la seccin Configuracin del servidor PPTP: Servidor PPTP: active la casilla Habilitar para habilitar esta funcin o desactvela para deshabilitarla. Direccin IP de inicio: indique la direccin IP de inicio del rango de direcciones IP correspondiente al tnel VPN de PPTP. Direccin IP final: indique la direccin IP final del rango de direcciones IP correspondiente al tnel VPN de PPTP. El rango puede incluir un mximo de 10 direcciones. Nota: La IP de inicio del rango de direcciones IP de cliente PPTP se usa como IP de servidor PPTP del router, y el rango de direcciones IP de cliente PPTP restantes se utiliza para asignar direcciones IP a clientes PPTP. Si el rango de direcciones se encuentra dentro de un rango de VLAN, entonces los clientes PPTP sern miembros de dicha VLAN. El acceso a otras VLAN depender de la configuracin de enrutamiento entre VLAN. Por ejemplo, si los clientes PPTP se encuentran en VLAN 3, y VLAN 2 impide el enrutamiento entre VLAN, entonces aquellos no podrn acceder a los recursos de VLAN 2.
PASO 2 Si ha activado la casilla Habilitar correspondiente al servidor PPTP, guarde la
Para agregar un cliente, haga clic en Agregar. Especifique los siguientes ajustes: Habilitado: en el caso de PPTP, active la casilla para activar la cuenta de usuario. Para desactivar la cuenta de usuario, desactive la casilla. Este parmetro de configuracin no se aplica a QuickVPN ni a XAUTH. Nombre de usuario: especifique el nombre de usuario para la autenticacin de usuario. En el caso de QuickVPN, debe incluir un mnimo de 6 caracteres. Contrasea: especifique la contrasea para la autenticacin de usuario. En el caso de QuickVPN, debe incluir un mnimo de 6 caracteres. Permitir al usuario cambiar la contrasea: active la casilla si desea que el usuario pueda cambiar la contrasea. De lo contrario, desactvela.
122
Protocolo: seleccione el tipo de usuario: QuickVPN: el usuario utiliza el cliente Cisco QuickVPN y el servidor VPN efecta su autenticacin. PPTP: el servidor PPTP autentica al usuario. XAUTH: un servidor de autorizacin externa (como un servidor RADIUS) autentica al usuario.
Para editar un cliente, active la casilla y, a continuacin, haga clic en Editar. Para seleccionar todas las entradas, active la casilla en la fila de encabezado. Tras ello, edite la informacin como se ha explicado anteriormente. Para eliminar un cliente, active la casilla y haga clic en Eliminar. Para seleccionar todas las entradas, active la casilla en la fila de encabezado.
PASO 4 Haga clic en Guardar para guardar la configuracin o en Cancelar para volver a
IPsec: active Habilitar para permitir que los tneles de seguridad de IP pasen por el router. PPTP: active Habilitar para permitir que los tneles de protocolo de tunelizacin punto a punto pasen por el router. L2TP: active Habilitar para permitir que los tneles de protocolo de tunelizacin de capa 2 pasen por el router.
123
PASO 2 Haga clic en Guardar para guardar la configuracin o en Cancelar para volver a
Configuracin de seguridad
Cisco RV180/RV180W proporciona distintos mtodos de seguridad, incluida la autenticacin de certificados, el soporte de servidor RADIUS y la autenticacin basada en puertos 802.1x.
124
Self Certificates (Autocertificados): carga un certificado generado por Cisco RV180/RV180W, que est autofirmado o firmado por una autoridad de certificacin. Consulte Carga de un autocertificado. Solicitudes de los autocertificados: genera una solicitud de autocertificado para que la firme una autoridad de certificacin o autocertificarla. Consulte Generacin de nuevas solicitudes de certificado. Export Router Certificate (Exportar certificado del router): exporta un certificado del router para entregarlo a los clientes que deseen conectarse al router y usar el certificado para la autenticacin. Consulte Exportacin del certificado actual del router.
125
con la entrada de nombre comn del certificado generado. Los nombres de asunto se definen normalmente en el siguiente formato: CN=, OU=, O=, L=, ST=, C=. Por ejemplo, CN=router1, OU=my_company, O=mydept, L=SFO, C=US.
PASO 5 Seleccione el algoritmo de hash: MD5 o SHA-1. Se muestra el algoritmo usado
2048).
PASO 7 (Opcional) Especifique la direccin IP del router. PASO 8 (Opcional) Especifique el nombre de dominio del router. PASO 9 (Opcional) Especifique la direccin de correo electrnico del contacto de la
archivo se enva a la autoridad de certificacin para que lo firme, a menos que lo autocertifique su organizacin.
126
PASO 1 Seleccione Seguridad > Certificado SSL. PASO 2 En Solicitudes de los autocertificados, haga clic en Exportar para administrador.
Carga de un autocertificado
Puede cargar un certificado generado por Cisco RV180/RV180W y firmado por una autoridad de certificacin o por su organizacin. El archivo debe estar en el equipo conectado a Cisco RV180/RV180W. Siga estos pasos:
PASO 1 Seleccione Seguridad > Certificado SSL. PASO 2 En la tabla de autocertificados activos, haga clic en Cargar. PASO 3 Haga clic en Explorar para localizar el archivo en el equipo. PASO 4 Haga clic en Cargar. El nuevo certificado aparecer en la tabla.
certificado. Se cargar en un punto de terminacin que se conectar a Cisco RV180/RV180W como cliente de VPN.
127
Puerto de autenticacin: el nmero de puerto del servidor de autenticacin RADIUS usado para enviar trfico RADIUS. Tiempo de espera: el intervalo de tiempo de espera (en segundos) despus del cual Cisco RV180/RV180W vuelve a autenticar con el servidor RADIUS. Reintentos: el nmero de reintentos de Cisco RV180/RV180W para volver a autenticar con el servidor RADIUS. Si se supera el nmero de reintentos, la autenticacin de este dispositivo con el servidor RADIUS no se ha realizado.
RV180/RV180W autenticar con el servidor RADIUS. Esta clave debe coincidir con la clave configurada en el servidor RADIUS. No se admiten comillas simples, comillas dobles ni espacios en este campo.
PASO 5 En el campo Tiempo de espera, especifique el intervalo de tiempo de espera
despus del cual Cisco RV180/RV180W vuelve a autenticar con el servidor RADIUS.
PASO 6 En el campo Reintentos, especifique el nmero de reintentos de Cisco RV180/
128
PASO 1 En Portal cautivo, active Habilitar. PASO 2 Haga clic en Guardar. PASO 3 Seleccione la interfaz de LAN del portal cautivo. PASO 4 Especifique la direccin IP del servidor de autenticacin. PASO 5 Especifique el id. o nombre de la puerta de enlace. PASO 6 En la tabla de direcciones MAC permitidas, escriba las direcciones MAC del
hardware permitido, que son las direcciones MAC del hardware con permiso para acceder al router.
PASO 7 Haga clic en Guardar.
RV180W al autenticador para llevar a cabo la autenticacin. El nombre de usuario y la contrasea son las credenciales enviadas al servidor de autenticacin (el dispositivo que ejecuta 802.1X en un rol de autenticacin; por ejemplo, un switch de Cisco Catalyst).
PASO 5 Pulse Guardar.
129
6
Configuracin de calidad de servicio (QoS)
Cisco RV180/RV180W le permite configurar las siguientes funciones de calidad de servicio (QoS): Configuracin de perfiles QoS de WAN, pgina 130 Configuracin de la vinculacin de perfiles, pgina 132 Configuracin de los ajustes de CoS, pgina 133 Asignacin de ajustes de CoS a valores DSCP, pgina 134
a. Para habilitar QoS de WAN, seleccione Habilitar. b. Haga clic en el botn de radio Prioridad o Lmite de velocidad para establecer el modo QoS de WAN. La opcin Prioridad le permite asignar el ancho de banda de acuerdo con un nivel de prioridad. La opcin Lmite de velocidad le permite especificar el ancho de banda total de WAN (1100 Mbps). Para obtener ms informacin, consulte Configuracin de los ajustes de asignacin de ancho de banda, pgina 131.
Gua de administracin de Cisco RV180/RV180W 130
Configuracin de los ajustes de asignacin de ancho de banda Para configurar los ajustes de asignacin de ancho de banda de QoS de WAN:
PASO 1 Seleccione QoS > Perfiles QoS de WAN. PASO 2 En Ajustes de asignacin de ancho de banda por prioridad:
Especifique un valor entre 61 (predeterminado) y 100. Especifique un valor entre 31 (predeterminado) y 60. Especifique un valor entre 10 (predeterminado) y 30.
Cada uno de estos valores especifica el porcentaje de ancho de banda total (100 Mbps) asignado a estos niveles de prioridad. Si el modo QoS de WAN se define como Lmite de velocidad, especifique esta informacin:
131
6
Especifique el nombre del perfil. Si el modo QoS de WAN se define como Prioridad, seleccione el nivel de prioridad en el men desplegable. Si el modo QoS de WAN se define como Lmite de velocidad, especifique la tasa mnima de ancho de banda (de 1 al total del ancho de banda de WAN, expresado en Kbps). Si el modo QoS de WAN se define como Lmite de velocidad, especifique la tasa mxima de ancho de banda (100 1 000 000 Kbps).
Nombre Prioridad
PASO 4 Haga clic en Guardar. PASO 5 Para vincular un perfil a un selector de trfico, consulte Configuracin de la
Para crear un perfil, haga clic en Configurar perfil. Consulte Configuracin de perfiles QoS de WAN, pgina 130 para obtener ms informacin.
132
Si el servicio que busca no se encuentra en el men desplegable, puede configurar un servicio personalizado en la pgina Cortafuegos (consulte Creacin de servicios personalizados, pgina 95).
PASO 4 En el men desplegable Tipo de coincidencia de selector de trfico, seleccione el
Especifique la direccin IP de inicio del rango. Especifique la direccin IP final del rango. Especifique la direccin MAC para el dispositivo de cliente (por ejemplo, un PC o un cliente inalmbrico) al que quiera asignar el ancho de banda. Seleccione el identificador de VLAN del router al que se vaya a aplicar el selector de trfico. Especifique el valor DSCP (063). Este valor determina la prioridad del trfico.
SSID disponibles
133
reenvo de trfico, seleccione un valor de prioridad del men desplegable Cola de reenvo de trfico. Estos valores marcan los tipos de trfico, en funcin de la naturaleza de estos, con una prioridad de trfico superior o inferior.
PASO 4 Haga clic en Guardar.
Para restaurar los ajustes de CoS predeterminados, haga clic en Restaurar valores predeterminados y, cuando se le solicite, haga clic en Aceptar. A continuacin, haga clic en Guardar.
a cola. Consulte Configuracin de los ajustes de CoS, pgina 133 para obtener ms informacin. Para asignar ajustes de CoS a valores DSCP:
PASO 1 Seleccione QoS > Ajustes de CoS > CoS a DSCP. PASO 2 En el campo CoS a DSCP, active Habilitar. PASO 3 Especifique el valor DSCP correspondiente (0 63) para cada nivel de prioridad
Para restaurar las asignaciones de CoS a DSCP predeterminadas, haga clic en Restaurar valores predeterminados y, cuando se le solicite, haga clic en Aceptar. A continuacin, haga clic en Guardar.
134
7
Administracin de Cisco RV180/RV180W
Este captulo describe las funciones de administracin de Cisco RV180/RV180W, incluida la creacin de usuarios, la configuracin de la administracin de red, el diagnstico y el registro, la hora y la fecha, y otros ajustes. Consta de las siguientes secciones: Configuracin del idioma, pgina 136 Configuracin de reglas de contrasea, pgina 136 Uso de la interfaz de administracin, pgina 136 Configuracin de administracin de red, pgina 138 Configuracin del medidor de trfico WAN, pgina 141 Uso de herramientas de diagnstico de red, pgina 143 Captura y seguimiento de paquetes, pgina 144 Configuracin de registro, pgina 144 Configuracin de los ajustes de Discovery, pgina 148 Configuracin de los ajustes de hora, pgina 149 Copias de seguridad y restauracin del sistema, pgina 150 Importacin de archivos CSV, pgina 151 Actualizacin del firmware, pgina 154 Reinicio del router Cisco RV180/RV180W, pgina 155 Restauracin de los ajustes predeterminados de fbrica, pgina 155
135
contrasea, especifique la longitud mnima. NOTA: La contrasea no puede coincidir con el nombre de usuario, que es cisco de forma predeterminada.
PASO 4 Haga clic en Guardar.
136
caducidad de la contrasea. La caducidad de contrasea requiere que el usuario especifique una contrasea nueva cuando caduque la actual.
PASO 3 Especifique el momento de caducidad de la contrasea. Es el nmero de das
137
contengan palabras que se encuentren en el diccionario de cualquier idioma y que sean una combinacin de letras (tanto maysculas como minsculas), nmeros y smbolos. La contrasea puede tener hasta 30 caracteres.
PASO 6 Haga clic en Guardar.
minutos que se tardar en agotar el tiempo de espera del inicio de sesin del administrador por inactividad.
PASO 3 En el campo Tiempo de espera de inactividad de invitado, especifique los minutos
que se tardar en agotar el tiempo de espera del inicio de sesin del invitado por inactividad.
PASO 4 Haga clic en Guardar.
138
Configuracin de SNMP
Para configurar SNMP:
PASO 1 Seleccione Administracin > Administracin de red. PASO 2 En SNMP, haga clic en Habilitar. PASO 3 Haga clic en Guardar.
clic en Editar.
PASO 2 En Nivel de seguridad, seleccione la cantidad de privilegios de SNMPv3:
NoAuthNoPriv: no requiere autenticacin ni privacidad. AuthNoPriv: se enva solo el algoritmo de autenticacin y la contrasea. AuthPriv: se enva el algoritmo de autenticacin/privacidad y la contrasea.
139
mensajes de traps.
PASO 4 Seleccione la versin de SNMP: v1, v2c o v3. PASO 5 Especifique la cadena de comunidad a la que pertenece el agente. La mayor parte
pueden leer y modificar todos los ajustes accesibles de SNMP (rwcommunity). Tambin se les puede dar acceso de solo lectura (rocommunity).
PASO 6 Haga clic en Guardar.
140
SNMP.
PASO 2 Puede especificar la siguiente informacin:
SysContact: especifique el nombre de la persona de contacto para este router. Ejemplos: admin, John Doe. SysLocation: especifique la ubicacin fsica del router. Ejemplo: rack n. 2, 4. planta. SysName: se muestra el nombre predeterminado del sistema. Para cambiar, haga clic en Editar y especifique un nombre para identificar el router fcilmente.
Sin lmite: muestra todo el trfico. Solo descargar: muestra solo el trfico de Cisco RV180/RV180W procedente de Internet. Ambas direcciones: muestra el trfico de Cisco RV180/RV180W procedente de Internet y el trfico de Cisco RV180/RV180W a Internet.
141
PASO 4 Si desea limitar el trfico de entrada o salida del router, puede especificar un lmite
de tamao. Cuando se alcanza ese lmite, se bloquea el trfico entrante o saliente del router. Especifique un nmero de megabytes en el campo Lmite mensual.
PASO 5 Para aumentar el lmite mensual para ese mes, active Aumentar el lmite de este
contenga las estadsticas del medidor de trfico antes de que se restablezca el medidor.
PASO 4 Haga clic en Guardar.
Para configurar lo que debe hacer Cisco RV180/RV180W cuando se alcance el lmite de trfico:
PASO 1 Seleccione Administracin > Medidor de trfico de WAN. PASO 2 En Cuando se alcanza el lmite, seleccione una de las siguientes opciones:
Bloquear todo el trfico: se bloquea todo el trfico entrante y saliente de Cisco RV180/RV180W. Bloquear todo el trfico excepto el correo electrnico: solo se permite el correo electrnico entrante y saliente de Cisco RV180/RV180W.
PASO 3 (Opcional) Active la casilla para enviar una alerta de correo electrnico cuando se
Para ver las estadsticas de trfico, consulte Administracin > Medidor de trfico de WAN. En Estadsticas de trfico de WAN (Internet), se muestra informacin acerca del trfico entrante y saliente de WAN de Cisco RV180/RV180W.
142
direccin IP o un nombre de dominio, y haga clic en Ping. Aparecer una ventana emergente que indica el estado de la solicitud de eco ICMP.
PASO 3 (Opcional) Active la casilla si desea permitir que el trfico de PING pase por los
tneles VPN.
Uso de Traceroute Traceroute muestra todos los routers presentes entre la direccin IP de destino y este router. Se mostrarn hasta 30 saltos (routers intermedios) entre este router y el destino. Para usar Traceroute:
PASO 1 Seleccione Diagnstico > Herramientas de red. PASO 2 En Hacer ping o realizar un seguimiento de una direccin IP, especifique una
direccin IP o un nombre de dominio, y haga clic en Traceroute. Aparecer una ventana emergente con informacin sobre los saltos.
Realizar bsquedas DNS Puede realizarse una bsqueda DNS para recuperar la direccin IP de un sitio web, del FTP, del correo o de cualquier otro servidor en Internet. Para realizar una bsqueda DNS:
PASO 1 Seleccione Diagnstico > Herramientas de red. PASO 2 Especifique Nombre de WAN (Internet) en el recuadro de texto y haga clic en
Buscar. Si la entrada de dominio o host ya existe, ver una respuesta con la direccin IP. El mensaje Host desconocido indica que el nombre de Internet especificado no existe.
143
en Iniciar. Para detener la captura de paquetes, haga clic en Detener. Haga clic en Descargar para guardar una copia de la captura de paquetes.
Cuando el archivo de captura supera 1 MB, se eliminar de forma automticamente y se crear un nuevo archivo de captura.
Configuracin de registro
NOTA Al habilitar opciones de registro se puede generar un volumen significativo de
gravedad. Por ejemplo, puede que desee registrar todos los tipos de eventos que cuenten con un nivel de gravedad de Emergencia, por lo que debera activar Sistema, Kernel e Inalmbrico en Emergencia.
144
opcin, o las dos, para cada tipo: Paquetes aceptados: active esta casilla para registrar los paquetes que se transfirieron correctamente a travs del segmento. La opcin es til cuando Poltica saliente predeterminada est en Bloquear (consulte Configuracin de la poltica saliente predeterminada, pgina 77). Por ejemplo, si est activado Paquetes aceptados para LAN (red local) a WAN (Internet) y hay una regla de cortafuegos para permitir el trfico de SSH de la LAN, cuando el equipo de LAN intentar realizar una conexin a SSH, se aceptarn los paquetes y se registrar un mensaje (asegrese de que la opcin de registro se haya establecido para permitir esta regla de cortafuegos). Paquetes descartados: active esta casilla para registrar paquetes cuya transferencia se bloque a travs del segmento. Esta opcin es til cuando la poltica saliente predeterminada es Permitir (consulte Configuracin de la poltica saliente predeterminada, pgina 77). Por ejemplo, si est activado Paquetes descartados para LAN a WAN y hay una regla de cortafuegos para bloquear trfico de SSH de LAN, cuando el equipo de LAN intenta realizar una conexin a SSH, los paquetes se descartarn y se registrar un mensaje (asegrese de que la opcin de registro se haya establecido para permitir esta regla de cortafuegos).
PASO 3 En el tipo de registros del sistema, seleccione el tipo de eventos del sistema que
se va a registrar. Se pueden registrar los siguientes eventos del sistema: Todo el trfico de unidifusin: active esta casilla para registrar todos los paquetes de unidifusin dirigidos al router. Todo el trfico de difusin y multidifusin: active esta casilla para registrar todos los paquetes de difusin y multidifusin dirigidos al router.
145
registrar. Se pueden registrar los siguientes eventos: Filtro de MAC de origen: active esta casilla para registrar paquetes que coinciden por el filtrado de MAC de origen. Cancele la seleccin de esta casilla para deshabilitar los registros de filtrado de MAC de origen. Lmite de ancho de banda: active esta casilla para registrar paquetes descartados debido a la limitacin de ancho de banda.
a cada mensaje registrado una identificacin ms sencilla del origen del mensaje. El identificador de registro se agregar a los mensajes de Syslog y de correo electrnico.
PASO 3 Haga clic en Guardar.
continuacin, especifique lo siguiente: Direccin de servidor de correo electrnico: especifique la direccin IP o el nombre de Internet de un servidor SMTP. El router se conectar a este servidor para enviar registros de correo electrnico cuando sea necesario. Puerto SMTP: configure el puerto para conectar con el servidor SMTP. Direccin de correo electrnico de devolucin: especifique la direccin de correo electrnico a la que se envan las respuestas del servidor SMTP (necesario para los mensajes de error).
146
Enviar a direccin de correo electrnico(1): especifique la direccin de correo electrnico a la que se envan los registros y alertas. Enviar a direccin de correo electrnico(2): especifique la direccin de correo electrnico a la que se envan los registros y alertas. Enviar a direccin de correo electrnico(3): especifique la direccin de correo electrnico a la que se envan los registros y alertas. Autenticacin con servidor SMTP: si el servidor SMTP requiere autenticacin antes de aceptar las conexiones, seleccione Inicio de sesin sencillo o CRAM-MD5 y especifique el nombre de usuario y la contrasea que se vaya a usar para la autenticacin. Para deshabilitar la autenticacin, seleccione Ninguno. Responder a Identd desde servidor SMTP: active esta casilla para configurar el router para que se responda a una solicitud IDENT desde el servidor SMTP.
PASO 3 Para confirmar que la funcin de registros de correo electrnico est configurada
configure los ajustes de programacin apropiados: Unidad: seleccione el perodo que necesita para enviar el registro: Cada hora, A diario o Semanalmente. Para deshabilitar el envo de registros, seleccione Nunca. Esta opcin es til cuando no quiere recibir registros por correo electrnico, pero quiere guardar las opciones de correo electrnico configuradas para poder usar la funcin Enviar registros de las pginas Estado > Ver registros. Da: si los registros se van a enviar semanalmente, seleccione el da de la semana. Hora: seleccione la hora del da en el que se enviarn los registros.
Configuracin de polticas de registro, pgina 144). De forma predeterminada, solo estn habilitados los registros VPN IPsec. Los dems estn deshabilitados.
PASO 6 Si desea que el router enve registros al servidor Syslog, active la casilla junto al
campo Syslog Server y especifique la direccin IP o el nombre de Internet del servidor Syslog en el campo Syslog Server. Seleccione la poltica de registro para cada servidor Syslog. Puede configurar hasta ocho servidores Syslog.
PASO 7 Haga clic en Guardar.
147
Configuracin de Bonjour
Bonjour es un protocolo de descubrimiento y de anuncio de servicios. Para configurar Bonjour:
PASO 1 Seleccione Administracin > Ajustes de Discovery > Discovery: Bonjour. PASO 2 Active la casilla Habilitar para activar Bonjour en el router. Si desactiva esta casilla
se deshabilitar Bonjour.
PASO 3 En la tabla de control de la interfaz de Bonjour, puede ver en qu VLAN se ha
habilitado Bonjour. Por ejemplo, Bonjour se encuentra habilitado de forma predeterminada en el id. de VLAN predeterminado 1. Eso significa que Cisco RV180/RV180W se anuncia a todos los dispositivos conectados a l en VLAN 1 y que los dispositivos que se unen a la red pueden conectarse a Cisco RV180/ RV180W. Si cuenta con otras VLAN creadas en su red, puede habilitar tambin Bonjour en esas VLAN. Consulte Configuracin de pertenencia a LAN virtual (VLAN), pgina 34 para obtener ms informacin.
PASO 4 Haga clic en Guardar.
Configuracin de UPnP
Universal Plug and Play (UPnP) es un protocolo de red que permite la deteccin entre dispositivos y que se comuniquen en la red. Para configurar UPnP:
PASO 1 Seleccione Administracin > Ajustes de Discovery > Discovery: UPnP. PASO 2 Active Habilitar para habilitar UPnP. PASO 3 En el campo Periodo de anuncio, especifique el nmero de segundos para
establecer la frecuencia con la que el router difundir la informacin de UPnP a todos los dispositivos al alcance.
PASO 4 En el campo Periodo de vida de anuncio, especifique el nmero de segundos
148
En la tabla de control de la interfaz de UPnP, puede ver en qu VLAN se ha habilitado UPnP. Por ejemplo, UPnP se habilita de forma predeterminada en el id. de VLAN predeterminado 1. Esto significa que Cisco RV180/RV180W se anuncia a los dispositivos plug and play conectados a l en VLAN 1 y que los dispositivos plug and play que se unen a la red pueden conectarse a Cisco RV180/RV180W. Si cuenta con otras VLAN creadas en su red, puede habilitar tambin UPnP en esas VLAN. Consulte Configuracin de pertenencia a LAN virtual (VLAN), pgina 34 para obtener ms informacin. La tabla de Portmap de UPnP muestra las direcciones IP y otros ajustes de los dispositivos UPnP que han obtenido acceso a Cisco RV180/RV180W: Activo: indica S o No para mostrar si el puerto del dispositivo UPnP que estableci una conexin se encuentra o no activo actualmente. Protocolo: el protocolo de red (es decir, TCP, UDP, etc.) que el dispositivo est usando para conectar con Cisco RV180/RV180W. Puerto interno: indica, si corresponde, qu puertos internos abre el dispositivo UPnP. Puerto externo: indica, si corresponde, qu puertos externos abre el dispositivo UPnP. Direccin IP: la direccin IP del dispositivo UPnP que accede a este router.
los campos Desde y Para, especifique el mes y el da en el que se activar el horario de verano. En el campo Diferencia en horario de verano, seleccione el tiempo, en minutos, de la diferencia del horario de verano.
149
PASO 4 Seleccione si desea usar un servidor NTP (Network Time Protocol, protocolo de
desee usar. Si selecciona usar un servidor NTP personalizado, especifique las direcciones de servidor o el nombre de dominio completo.
PASO 7 Si selecciona establecer la fecha y la hora manualmente, especifquelas. PASO 8 Haga clic en Guardar.
!
PRECAUCIN Durante el proceso de restauracin no intente conectarse a Internet, no apague el
router, no apague el PC ni realice tareas con el router hasta que se complete la operacin. Esto puede tardar aproximadamente un minuto. Cuando la luz de prueba se apague, espere unos segundos antes de realizar cualquier operacin con el router. Para realizar una copia de seguridad de una configuracin o restaurar una configuracin guardada anteriormente, seleccione Administracin> Ajustes de copia de seguridad/restauracin. Para restaurar los ajustes guardados desde un archivo de copia de seguridad, haga clic en Explorar, ubique y seleccione el archivo y haga clic en Restaurar. Una pgina de alerta muestra el estado de la operacin de restauracin. Despus de la restauracin, el router se reinicia automticamente con la configuracin restaurada.
Gua de administracin de Cisco RV180/RV180W 150
Para guardar una copia de la configuracin de inicio del router, haga clic en Realizar copia de seguridad de configuracin de inicio. El navegador descarga el archivo de configuracin y le solicita guardar el archivo en el PC. Para guardar una copia de la configuracin de duplicado del router, haga clic en Realizar copia de seguridad de configuracin de duplicado. El navegador descarga el archivo de configuracin y le solicita guardar el archivo en el PC. La imagen de duplicado es la ltima configuracin operativa. La configuracin de inicio es la configuracin que el dispositivo us para arrancar. Las configuraciones de inicio y de duplicado pueden ser distintas. Por ejemplo, si ha realizado cambios en la configuracin actual pero olvid guardarla, una vez transcurridas 24 horas, el dispositivo guarda automticamente la configuracin que se est ejecutando en ese momento como imagen de duplicado. Sin embargo, si se produce un error durante esas 24 horas, el dispositivo usar la configuracin de inicio para arrancar. Para copiar el archivo de configuracin de duplicado en el archivo de configuracin de inicio, haga clic en Copiar duplicado en inicio. Se reemplaza el archivo de configuracin de inicio con el archivo de configuracin de duplicado. Puede que desee realizar esto si se ha producido un error en el dispositivo y ha tenido que restablecer los ajustes a los valores predeterminados de fbrica. Una vez que se hayan restablecido los valores predeterminados de fbrica, la imagen de duplicado no se borrar y podr copiarla a la configuracin de inicio para que el dispositivo use la configuracin para arrancar.
151
Los valores posibles son: SSLVPNDomain Code - 5 Domain Name - String PortalLayoutName - String AutheticationType - String AuthenticationServer - IP Address AuthenticationRadiusSecret - String NTDomainWorkGroup - String LDAPBaseDN - String ActiveDirectoryDomain - String
Los valores posibles son: SSLVPNGroup Code - 4 GroupName - String DomainName - String GroupTimeOut - integer
Los valores posibles son: SNMPv3USER Code - 3 userName - cisco/guest accessType - RWUSER/ROUSER securityLevel - integer authAlgo - MD5 / SHA
152
Los valores posibles son: PPTPUSER Code: 2 userName - String password - String
Los valores posibles son: IPSECUSER Code: 1 Username - String Password - String UserType - boolean (0 - Standard Ipsec / 1 - Cisco Quick VPN) AllowChangePassword - boolean
"<SSLVPNUSER Code>", "<UserName>", "<FirstName>", "<LastName>", "<GroupName>", "<UserType>", "<UserTimeOut>", "<DenyLogin>", "<DenyLoginFromWan>", "<LoginFromIP>", "<LoginFromBrowser>", "<Password>"
Los valores posibles son: SSLVPNUSER Code: 0 UserName - String FirstName - String LastName - String GroupName - String UserType - integer UserTimeOut - integer DenyLogin - boolean DenyLoginFromWan - boolean
153
Importacin de un archivo Use la pgina Administracin > Importacin de archivo CSV para importar un archivo CSV que cre para dominios, grupos y usuarios.
PASO 1 Haga clic en Explorar. PASO 2 En su equipo, ubique y seleccione el archivo .csv. Haga clic en Importar.
el router, no apague el PC ni realice tareas con el router hasta que se complete la operacin. Este proceso tardar aproximadamente un minuto, incluido el proceso de reinicio. Si se interrumpe el proceso de actualizacin en puntos especficos cuando se est guardando en la memoria flash, puede producirse un error en esta y hacer que el router quede inutilizable. Puede actualizar a una versin del firmware ms reciente desde la pgina Administracin > Actualizacin del firmware. Para actualizar:
154
PASO 1 Haga clic en Explorar, ubique y seleccione el firmware descargado y haga clic en
Cargar.
PASO 2 (Opcional) Active la casilla para restablecer toda la configuracin y los ajustes a
los valores predeterminados. No active esta casilla si desea guardar algn ajuste que haya cambiado en el router.
PASO 3 Haga clic en Iniciar actualizacin del firmware. Una vez que se valide una nueva
imagen de firmware, la imagen nueva se guarda en la memoria flash y el router se reinicia automticamente con el nuevo firmware. Seleccione Estado > Resumen del sistema para asegurarse de que el router ha instalado la nueva versin del firmware.
router, no apague el PC ni realice tareas con el router hasta que se complete la operacin. Esto puede tardar aproximadamente un minuto. Cuando la luz de prueba se apague, espere unos segundos antes de realizar cualquier operacin con el router. Para restaurar los valores predeterminados de fbrica del router, seleccione Administracin > Restaurar valores predeterminados de fbrica. Haga clic en Predeterminado.
!
PRECAUCIN No realice este procedimiento a no ser que desee borrar toda la configuracin del
router.
155
8
Ver el estado de Cisco RV180/RV180W
Este captulo describe cmo ver las estadsticas en tiempo real y otros datos sobre Cisco RV180/RV180W. Ver el panel, pgina 156 Ver el resumen del sistema, pgina 160 Ver las estadsticas inalmbricas (Cisco RV180W), pgina 164 Estado de la conexin IPsec, pgina 165 Ver el estado de la conexin del cliente de VPN, pgina 166 Ver los registros, pgina 167 Ver los hosts de LAN disponibles, pgina 167 Ver el estado de redireccionamiento de puertos, pgina 168 Ver las estadsticas de puertos, pgina 169 Ver los puertos abiertos, pgina 170
Ver el panel
La pgina Panel le proporciona una vista de la informacin importante del router. Para ver el panel:
PASO 1 Seleccione Estado > Panel. PASO 2 Para ver una vista interactiva del panel posterior del router, haga clic en Mostrar
vista de panel.
156
La vista del panel posterior muestra qu puertos estn en uso (indicados en color verde) y le permite hacer clic en ellos para obtener informacin acerca de la conexin. Haga clic en el puerto para ver la correspondiente informacin de conexin. Para actualizar la informacin del puerto, haga clic en Actualizar. Para cerrar la hoja de informacin del puerto, haga clic en Cerrar.
Nombre de host
El nombre del dispositivo. Para cambiar el nombre, haga clic en Editar. Consulte Configuracin de ajustes LAN (red local) IPv4, pgina 31.
La versin actual del software que est ejecutando el dispositivo. De forma predeterminada, el router arranca en esta versin. El nmero de serie del dispositivo. Muestra el nmero de usuarios configurado en el dispositivo y nmero de usuarios activos. Por ejemplo, 1/2 indica que hay un usuario activo conectado y un total de dos usuarios configurados.
Utilizacin de recursos
Uso de la CPU por el router. Uso de memoria por el router. Hora del da. Perodo de tiempo que el sistema lleva en actividad.
157
Resumen de Syslog Muestra el nmero de eventos registrados para las siguientes categoras: Emergencia Alerta Crtico Error Advertencia
Para ver los registros, haga clic en detalles. Para obtener ms informacin, consulte Ver los registros, pgina 167. Para administrar los registros, haga clic en administrar registro. Para obtener ms informacin, consulte Configuracin de registro, pgina 144. Interfaz de LAN (red local)
La direccin MAC de la interfaz LAN en el router. La direccin IP IPv4 de la interfaz LAN en el router. Para cambiar la direccin IP, consulte Configuracin de WAN (Internet) IPv4, pgina 23.
Servidor DHCP
El estado del servidor DHCP del router (habilitado o deshabilitado). Para configurar los ajustes de DHCP, consulte Configuracin de WAN (Internet) IPv4, pgina 23.
Para ver la configuracin de la LAN, haga clic en detalles. Para obtener ms informacin, consulte Ver las estadsticas de puertos, pgina 169.
158
8
La direccin IP de la interfaz de WAN del router. Para cambiar la direccin IP, consulte Configuracin de parmetros WAN (Internet), pgina 22.
Direccin IP
Estado
Para ver la configuracin de WAN, haga clic en detalles. Para obtener ms informacin, consulte Ver las estadsticas de puertos, pgina 169. Redes inalmbricas Presenta una lista con el estado de los cuatro SSID de red inalmbrica. Para ver la configuracin inalmbrica del router, haga clic en detalles. Para obtener ms informacin, consulte Ver las estadsticas inalmbricas (Cisco RV180W), pgina 164. VPN
Muestra los tneles VPN IPsec conectados. Haga clic para abrir la pgina Estado de conexin de IPsec. El nmero de usuarios del protocolo de tunelizacin punto a punto (PPTP). Haga clic para abrir la pgina Estado de la conexin del cliente de VPN. El nmero de usuarios de QuickVPN. Haga clic para abrir la pgina Estado de la conexin del cliente de VPN.
Usuarios PPTP
Usuarios de QuickVPN
159
La pgina Resumen del sistema muestra esta informacin: Informacin del sistema
Nombre de host Versin del firmware Suma de comprobacin MD5 del firmware PID VID Nmero de serie
El nombre del dispositivo. La versin actual del software que est ejecutando el dispositivo. El algoritmo de resumen de mensaje usado para comprobar la integridad de los archivos. Identificador del producto y del proveedor del dispositivo. El nmero de serie del dispositivo.
La direccin MAC del dispositivo. La direccin IP y la mscara de subred del dispositivo. La direccin IP y la mscara de subred del dispositivo (se muestra solo si IPv6 est habilitado).
160
8
El estado del servidor DHCP del router (habilitado o deshabilitado). Si se encuentra habilitado, los equipos cliente DHCP conectados al puerto de LAN reciben la direccin IP de forma dinmica. Muestra si el dispositivo funciona como retransmisor DHCP. Muestra si el servidor DHCPv6 del dispositivo est habilitado o deshabilitado. Si se encuentra habilitado, los sistemas cliente DHCPv6 conectados al puerto de LAN reciben la direccin IP de forma dinmica.
Servidor DHCP
La direccin MAC del puerto WAN. El tiempo durante el cual la conexin est activa. Muestra si la direccin IPv4 de WAN se obtiene dinmicamente a travs de un servidor DHCP, si el usuario la ha asignado de forma esttica o si se obtiene a travs de una conexin del ISP PPPoE/ PPTP/L2TP. Muestra si el puerto WAN est conectado al proveedor de servicios de Internet. La direccin IP del servidor DHCP al que se encuentra conectado el puerto WAN. Hora a la que se obtiene la dedicacin del servidor DHCP. El tiempo durante el cual la dedicacin permanece activa. La direccin de WAN del dispositivo. La mscara de subred del puerto WAN. La direccin IP de la puerta de enlace del puerto WAN.
Estado de conexin Servidor DHCP Dedicacin obtenida Duracin de dedicacin Direccin IP Mscara de subred Puerta de enlace
161
8
La direccin IP del servidor DNS principal. La direccin IP del servidor DNS secundario. Indica si el router est en modo NAT (habilitado) o en modo de enrutamiento (deshabilitado). Visible si Configuracin automtica: DHCP est conectado como el tipo de conexin a Internet. Haga clic en Liberar para liberar la direccin IP actual asignada al puerto WAN. Haga clic en Renovar para obtener una nueva direccin IP para el puerto WAN. Visible si se ha seleccionado un tipo de conexin a Internet distinto al automtico (DHCP). Haga clic en Conectar para conectarse al servidor seleccionado. Haga clic en Desconectar para desconectarse del servidor actual.
Servidor DNS principal Servidor DNS secundario NAT (modo solo IPv4) Liberar/Renovar
Conectar/Desconectar
El tiempo durante el cual la conexin est activa. Muestra si la direccin IPv6 de WAN se obtiene dinmicamente a travs de un servidor DHCP, si el usuario la ha asignado de forma esttica o si se obtiene a travs de una conexin del ISP PPPoE/ PPTP/L2TP. Muestra si el puerto WAN est conectado al ISP. La direccin IP del puerto WAN. La direccin IP de la puerta de enlace del puerto WAN. La direccin IP del servidor DNS del puerto WAN.
162
8
Visible si Configuracin automtica: DHCP est conectado como el tipo de conexin a Internet. Haga clic en Liberar para liberar la direccin IP actual asignada al puerto WAN. Haga clic en Renovar para obtener una nueva direccin IP para el puerto WAN. Visible si se ha seleccionado un tipo de conexin a Internet distinto al automtico (DHCP). Haga clic en Conectar para conectarse al servidor seleccionado. Haga clic en Desconectar para desconectarse del servidor actual.
Liberar/Renovar
Conectar/Desconectar
Muestra la banda de frecuencias operativa. Muestra el modo Wi-Fi de la radio (por ejemplo, N o N/G). Muestra el canal actual que utiliza la radio.
Tabla de puntos de acceso disponibles La tabla muestra la lista de puntos de acceso habilitados actualmente en el router. Consta de la siguiente informacin:
El SSID (nombre) del punto de acceso. La direccin MAC del SSID. La configuracin de seguridad del SSID. El tipo de cifrado que usa el SSID. El tipo de autenticacin que usa el SSID.
163
sondeo especificado.
La pgina Estadsticas inalmbricas muestra esta informacin: SSID Paquetes El nombre de la red inalmbrica. El nmero de paquetes inalmbricos recibidos/ enviados que se han notificado a la radio a travs de todos los SSID configurados y activos. El nmero de bytes recibidos/enviados de informacin notificada a la radio a travs de todos los puntos de acceso configurados. El nmero de errores de paquetes recibidos/ enviados notificados a la radio a travs de todos los puntos de acceso configurados. El nmero de paquetes recibidos/enviados que la radio ha descartado a travs de todos los puntos de acceso configurados. El nmero de paquetes de multidifusin enviados a travs de esta radio. El nmero de colisiones de paquetes notificadas al punto de acceso.
Bytes
Errores
Descartados
Multidifusin Colisiones
164
sondeo especificado.
Puede cambiar el estado de una conexin para establecer o desconectar las asociaciones de seguridad (SA) configuradas. Nombre de poltica Punto de terminacin Kbytes Paquetes Estado El nombre de la poltica de VPN o de IKE vinculada a esta asociacin de seguridad. Muestra la direccin IP del cliente o la puerta de enlace de VPN remotos. Los datos transmitidos (en KB) a travs de esta asociacin de seguridad. El nmero de paquetes IP transmitidos a travs de esta asociacin de seguridad. El estado actual de la asociacin de seguridad de las polticas de IKE. El estado puede ser IPsec SA Established (Asociacin de seguridad IPsec establecida) o IPsec SA Not Established (Asociacin de seguridad IPsec no establecida). Haga clic en Conectar para establecer una conexin de asociacin de seguridad inactiva. Haga clic en Descartar para finalizar una conexin de asociacin de seguridad activa.
Accin
165
sondeo especificado.
El nombre del usuario de VPN asociado al tnel PPTP o QuickVPN. Muestra la direccin IP del cliente de QuickVPN remoto. Podra ser una IP pblica o de NAT si el cliente est detrs del router NAT. Muestra el estado actual del cliente de QuickVPN. SIN CONEXIN significa que el usuario de VPN no ha iniciado o establecido el tnel QuickVPN. EN LNEA significa que el tnel QuickVPN que ha iniciado o establecido el usuario de VPN se encuentra activo. Hora a la que el usuario de VPN establece la conexin. Hora a la que el usuario de VPN finaliza la conexin. El tiempo entre el establecimiento y la finalizacin de la conexin por parte del usuario de VPN. El protocolo que utiliza el usuario: QuickVPN o PPTP . Haga clic para desconectar a este usuario.
Estado
166
recientes.
PASO 3 Para especificar los tipos de registros que mostrar, seleccione una opcin del
Para eliminar todas las entradas de la ventana de registros, haga clic en Borrar registros. Para enviar por correo electrnico todos los mensajes de registro del router, haga clic en Enviar registros.
Muestra una lista de todos los dispositivos conectados al router. Muestra una lista de todos los dispositivos conectados a travs de la interfaz inalmbrica. Muestra una lista de todos los dispositivos conectados a travs de los puertos Ethernet del router.
167
PASO 3 Haga clic en Actualizar para ver la informacin de host de LAN ms reciente.
La pgina Hosts de LAN (red local) disponibles muestra los siguientes campos:
El nombre del host conectado. La direccin IP del host. La direccin MAC del host. El tipo de conexin (por ejemplo, esttica o dinmica). El tipo de interfaz (almbrica o inalmbrica).
redireccionamiento de puertos.
La ventana Estado de redireccionamiento de puertos proporciona informacin sobre los puertos que se han abierto segn las reglas de configuracin de redireccionamiento de puertos. Los puertos se abren de forma dinmica cuando fluye a travs de ellos el trfico que cumple las reglas de redireccionamiento de puertos. La pgina Estado de redireccionamiento de puertos muestra los siguientes campos:
168
8
Muestra la direccin IP de LAN del dispositivo que caus la apertura de los puertos. Muestra los puertos que se han abierto para que el trfico de WAN destinado a la direccin IP de LAN pueda fluir a travs del router. Este campo muestra el tiempo que el puerto seguir abierto cuando no se detecte ninguna actividad en el mismo. El tiempo se restablece cuando se reanuda la actividad en el puerto.
Segundos restantes
Haga clic en Actualizar para actualizar la pgina actual y obtener las ltimas estadsticas.
Esta pgina muestra las ltimas estadsticas de puertos segn el valor especificado en el campo Intervalo de sondeo. Por ejemplo, si especifica un valor de intervalo de sondeo de 5, el router actualiza la informacin de esta pgina cada cinco segundos.
Esta tabla muestra las estadsticas de transferencia de datos para los puertos de WAN, LAN y WLAN dedicados, incluido el periodo para el cual se habilitaron.
169
8
El nombre del puerto. El estado del puerto (habilitado o deshabilitado). El ancho de banda que est utilizando el puerto. El nmero de paquetes recibidos/enviados por segundo. El nmero de bytes de informacin recibidos/ enviados por segundo. El nmero de tramas recibidas/enviadas por segundo.
Proto (Protocolo) Recv-Q (Bytes de recepcin) Send-Q (Bytes de envo) Local Address (Direccin local) Foreign Address (Direccin externa)
El protocolo (TCP, UDP y RAW) que usa el puerto. El nmero de bytes que no copia el programa conectado a este puerto. El nmero de bytes que no reconoce el programa conectado a este puerto. La direccin y el nmero de puerto del extremo local de este socket. La direccin y el nmero de puerto del extremo remoto de este socket.
170
8
El estado del puerto. El identificador de proceso (PID) y el nombre del programa que usan el puerto (por ejemplo, 1654/ thttpd, donde 1654 se corresponde con el PID y thttpd, con el nombre del programa).
171
A
Uso de Cisco QuickVPN para Windows 7, 2000, XP o Vista
Descripcin general
Este anexo explica cmo instalar y usar el software Cisco QuickVPN que puede descargarse de www.cisco.com. QuickVPN funciona con equipos con Windows 7, 2000, XP o Vista. Los equipos que utilicen otros sistemas operativos tendrn que utilizar un software VPN de otro fabricante. Este anexo incluye las siguientes secciones: Antes de empezar, pgina 172 Instalacin del software Cisco QuickVPN, pgina 173 Uso del software Cisco QuickVPN, pgina 174
Antes de empezar
El programa QuickVPN solo funciona con un router que se encuentra debidamente configurado para aceptar una conexin QuickVPN. Cree primero cuentas de usuario de QuickVPN. Consulte Configuracin de usuarios de VPN, pgina 121. Una vez creada una cuenta de usuario, el cliente QuickVPN puede usar las credenciales.
172
inicie el Asistente de instalacin, haga clic en el vnculo Install QuickVPN (Instalar QuickVPN). Aparecer la ventana del acuerdo de licencia.
PASO 2 Haga clic en Yes (S) para aceptar el acuerdo. El asistente InstallShield copia los
http://tools.cisco.com/support/downloads
PASO 2 Especifique RV180/RV180W en la casilla de bsqueda y busque el software
QuickVPN.
PASO 3 Guarde el archivo zip en su PC y descomprima el archivo .exe. PASO 4 Haga doble clic en el archivo .exe y siga las instrucciones que aparecen en la
pantalla.
173
(Nombre de perfil), escriba un nombre de perfil. En los campos User Name (Nombre de usuario) y Password (Contrasea), escriba el nombre de usuario y la contrasea que se crearon en Configuracin de usuarios de VPN, pgina 121. En el campo Server Address (Direccin de servidor), especifique la direccin IP o nombre de dominio de Cisco RV180/RV180W. En el campo Port for QuickVPN (Puerto para QuickVPN), especifique el nmero de puerto que el cliente QuickVPN usar para comunicarse con el router VPN remoto o mantenga la configuracin predeterminada, Auto (Automtica). Para guardar este perfil, haga clic en Save (Guardar). Si existen diversas ubicaciones para las que necesite crear un tnel, puede crear varios perfiles, pero tenga en cuenta que solo puede haber un tnel activo al mismo tiempo. Para eliminar el perfil, haga clic en Delete (Eliminar). Si necesita informacin, haga clic en Ayuda.
PASO 3 Para iniciar la conexin con QuickVPN, haga clic en Connect (Conectar). Se
muestra el progreso de la conexin: Connecting (Conectando), Provisioning (Aprovisionando), Activating Policy (Activando poltica) y Verifying Network (Comprobando red).
PASO 4 Cuando se establece la conexin con QuickVPN, el icono QuickVPN en la bandeja
del sistema se vuelve de color verde y aparece la ventana QuickVPN Status (Estado de QuickVPN). La ventana muestra la direccin IP del extremo remoto del tnel VPN, la fecha y la hora a la que se inici el tnel VPN, as como el tiempo total que ha estado activo el tnel VPN.
174
PASO 5 Para finalizar el tnel VPN, haga clic en Disconnect (Desconectar). Para cambiar la
contrasea, haga clic en Change Password (Cambiar contrasea). Si necesita informacin, haga clic en Ayuda.
PASO 6 Si ha hecho clic en Change Password y dispone de permiso para cambiar su
contrasea, ver la ventana Connect Virtual Private Connection (Conectar a conexin privada virtual). Especifique su contrasea en el campo Old Password (Contrasea antigua). Especifique la nueva contrasea en el campo New Password (Nueva contrasea). A continuacin, vuelva a especificar la nueva contrasea en el campo Confirm New Password (Confirmar nueva contrasea). Haga clic en OK (Aceptar) para guardar la nueva contrasea. Haga clic en Cancel (Cancelar) para cancelar el cambio. Si necesita informacin, haga clic en Ayuda.
NOTA Puede cambiar la contrasea solo si se ha activado la casilla Allow
User to Change Password (Permitir al usuario cambiar la contrasea) para el nombre de usuario en cuestin. Consulte Configuracin de usuarios de VPN, pgina 121.
175
B
Recursos adicionales
Cisco ofrece una amplia gama de recursos para que usted y su cliente obtengan las mximas ventajas de Cisco RV180/RV180W.
Recursos de productos
Soporte Comunidad de soporte para productos Cisco Small Business Soporte y recursos para productos Cisco Small Business Contactos de soporte telefnico Descargas de firmware de productos Cisco Small Business www.cisco.com/go/smallbizsupport
www.cisco.com/go/smallbizhelp
www.cisco.com/en/US/support/ tsd_cisco_small_business _support_center_contacts.html www.cisco.com/go/software Seleccione un vnculo para descargar firmware para productos Cisco Small Business. No es necesario iniciar sesin. www.cisco.com/go/smallbiz_opensource_request
176
Recursos adicionales
B
Cisco Small Business Central de partners de www.cisco.com/web/partners/sell/smb Cisco para Small Business (se requiere inicio de sesin) Pgina principal de Cisco Small Business www.cisco.com/smb
177