Manual Rv320 Cisco Router

GUA DE
ADMINISTRACIN
Cisco
Router RV320/RV325 Gigabit Dual WAN VPN
78-21283-01B0
Contenid
Captulo 1: Introduccin
Caractersticas de la interfaz de usuario
Captulo 2: Resumen del sistema
11
Informacin del sistema
11
Configuracin (Asistente)
12
Actividad de puerto
12
IPv4 e IPv6
13
Estado de seguridad
14
Estado de configuracin VPN
15
Estado de VPN SSL
15
Estado de ajuste de registro
16
Captulo 3: Configuracin
17
Configuracin de red
17
Modo de IP
17
Ajustes de los puertos WAN1 o WAN2
19
Ajustes de los puertos USB1 o USB2
29
Conexin 3G/4G
29
Ajustes de conmutacin por error y recuperacin
30
Habilitar DMZ
32
Contrasea
32
Hora
35
Host DMZ
35
Reenvo (de puertos)
36
Conversin de direccin de puerto
38
Adicin o edicin de un nombre de servicio
40
Configuracin de NAT uno a uno
40
Clonacin de direcciones MAC
41
Asignacin de un valor de DNS dinmico a una interfaz WAN
42
Enrutamiento avanzado
43
Gua de administracin de Cisco RV320/RV325
Contenid
Configuracin de enrutamiento dinmico
43
Configuracin de rutas estticas
45
Equilibrio de carga entrante
46
Actualizacin de dispositivos USB
47
Captulo 4: DHCP
49
Configuracin de DHCP
50
Estado de DHCP
52
Opcin 82
53
Vinculacin IP y MAC
54
Base de datos local de DNS
56
Anuncio de router (IPv6)
57
Captulo 5: Administracin del sistema
59
Conexiones WAN duales
59
Administracin del ancho de banda
62
SNMP
64
Configuracin de SNMP
64
Discovery: Bonjour
66
Propiedades de LLDP
67
Uso de Diagnsticos
68
Ajustes predeterminados
68
Actualizacin de firmware
69
Seleccin de idioma o Configuracin de idioma
69
Reiniciar
70
Copia de seguridad y restauracin
71
Captulo 6: Administracin de puertos
75
Configuracin de puertos
75
Estado de puerto
76
Contenid
Estadsticas de trfico
77
Pertenencia a VLAN
77
Ajuste QoS:CoS/DSCP
78
Marcado DSCP
78
Configuracin de 802.1X
79
Captulo 7: Cortafuegos
81
General
81
Reglas de acceso
83
Filtro de contenido
84
Captulo 8: VPN
87
Resumen
87
De gateway a gateway
89
Agregar un nuevo tnel
90
Configuracin de grupo local
90
Ajustes avanzados para IKE con clave precompartida e IKE con

certificado
95
De cliente a gateway
Ajustes avanzados para IKE con clave precompartida e IKE con
certificado
98
105
Paso a travs de VPN
107
Servidor PPTP
107
Captulo 9: Administracin de certificados
109
Mi certificado
109
Certificado SSL de confianza
111
Certificado IPSec de confianza
111
Generador de certificados
112
Autorizacin de CSR
113
Contenid
Captulo 10: Registro
115
Registro del sistema
115
Estadsticas del sistema
119
Procesos
119
Captulo 11: VPN SSL
121
Estado
122
Administracin de grupos
122
Administracin de recursos
125
Configuracin avanzada
126
Captulo 12: Asistente
127
Captulo 13: Administracin de usuarios
129
1
Introduccin
Gracias por elegir un Cisco RV320. En este captulo se ofrece informacin que le
ayudar a comenzar a usar este dispositivo.
Uso de la ventana Introduccin

Los ajustes predeterminados son suficientes para muchas pequeas empresas.
Los requisitos de red o del proveedor de servicios de Internet (ISP) pueden exigir
modificaciones en los ajustes. Para usar la interfaz web, se necesita un equipo con
Internet Explorer (versin 6 o posterior), Firefox o Safari (para Mac).
Para abrir la interfaz web:
PASO 1 Conecte un equipo a un puerto LAN numerado del dispositivo. Si el equipo est
configurado para convertirse en un cliente DHCP, se asigna a dicho equipo una

direccin IP incluida en el rango de 192.168.1.x.
PASO 2 Inicie el navegador web.
PASO 3 En la barra de direcciones, escriba la direccin IP predeterminada del dispositivo,
192.168.1.1. El navegador puede mostrar una advertencia que indica que el sitio
web no es de confianza. Contine para acceder al sitio web.
PASO 4 Cuando se muestre la pgina inicio de sesin, especifique el nombre de usuario
predeterminado cisco y la contrasea predeterminada cisco (en minscula).

PASO 5 Haga clic en Inicio de sesin. Se muestra la pgina Resumen del sistema.
Compruebe la actividad de puerto para ver si hay una conexin WAN que est
habilitada. De no ser as, contine con el siguiente paso.
PASO 6 En la pgina Resumen del sistema, haga clic en Asistente para la configuracin
para utilizar el asistente a fin de configurar la conexin a Internet. Tambin puede

hacer clic en Asistente en el rbol de navegacin y seleccionar Iniciar ahora en la
seccin Configuracin bsica. Siga las instrucciones que aparezcan en pantalla.
Si el navegador web muestra un mensaje de advertencia sobre la ventana
emergente, indique que se permita el contenido bloqueado.
Introduccin
PASO 7 Para configurar otros ajustes, use los enlaces del rbol de navegacin.
Sugerencias para la solucin de problemas

Si tiene problemas para conectarse a Internet o a la interfaz web:
Compruebe que el navegador web no est configurado para trabajar sin

conexin.
Compruebe los ajustes de la conexin de la red de rea local para el

adaptador Ethernet. El equipo debe obtener una direccin IP a travs de
DHCP. Como alternativa, el equipo puede tener una direccin IP esttica
incluida en el rango 192.168.1.x con la gateway predeterminada
configurada con 192.168.1.1 (la direccin IP predeterminada del
dispositivo).
Compruebe que haya especificado los ajustes correctos en el asistente

para configurar la conexin a Internet.
Reinicie el mdem y el dispositivo apagndolos. A continuacin, encienda

el mdem y djelo inactivo durante unos 2 minutos. A continuacin,
encienda el dispositivo. Ahora debera recibir una direccin IP de WAN.
Si tiene un mdem DSL, pida al ISP que lo configure en el modo de puente.

La interfaz de usuario est diseada para facilitar los procesos de configuracin y
administracin del dispositivo.
Navegacin
Los mdulos principales de la interfaz web estn representados mediante
botones en el panel de navegacin de la izquierda. Haga clic en un botn para ver
ms opciones. Haga clic en una opcin para abrir una pgina.
Ventanas emergentes
Algunos enlaces y botones abren ventanas emergentes en las que se muestra
ms informacin o pginas de configuracin relacionadas. Si el navegador web
muestra un mensaje de advertencia sobre la ventana emergente, indique que se
permita el contenido bloqueado.
Introduccin
Ayuda
Para ver informacin acerca de la pgina de configuracin seleccionada, haga clic
en Ayuda, junto a la esquina superior derecha de la interfaz web. Si el navegador
web muestra un mensaje de advertencia sobre la ventana emergente, indique que
se permita el contenido bloqueado.
Cierre de sesin
Para salir de la interfaz web, haga clic en Cierre de sesin, junto a la esquina
superior derecha de la interfaz web. Se muestra la pgina Inicio de sesin.
10
Introduccin
2
Resumen del sistema
En Resumen del sistema se muestra informacin acerca del estado actual de las
conexiones, el estado, los ajustes y los registros del dispositivo.
Informacin del sistema

Descripciones de la informacin del sistema:
Nmero de serie: nmero de serie del dispositivo.
Versin de firmware: nmero de versin del firmware instalado.
PID VID: nmero de versin del hardware.
Suma de comprobacin MD5: valor que se usa para la validacin de los

archivos.
Mscara de subred/IP de LAN (IPv4): direccin IP de administracin de

IPv4 y mscara de subred del dispositivo.
LAN IPv6/ Prefix (Prefijo/LAN IPv6): prefijo y direccin IP de

administracin de IPv6.
Modo de operacin: controla el comportamiento del dispositivo con

respecto a la conexin WAN. El modo de gateway se selecciona cuando el
dispositivo aloja una conexin WAN de Internet. El modo de router se
selecciona cuando el dispositivo est en una red que no tiene una conexin
WAN o cuando se utiliza otro dispositivo para establecer la conexin WAN.
Si desea cambiar este parmetro, haga clic en Modo de operacin para
que se muestre la ventana Enrutamiento avanzado.
LAN: direccin IP para administrar IPv4. Si la opcin IP con pila dual est
habilitada en la pgina Configuracin de red, tambin se muestran la
direccin IPv6 y la longitud del prefijo.
Tiempo de funcionamiento del sistema: periodo de tiempo en das, horas

y minutos que lleva activo el dispositivo.
11
Resumen del sistema

Para acceder al asistente para la configuracin de la conexin a Internet y recibir
orientacin sobre el proceso, haga clic en Asistente para la configuracin para
iniciar el Asistente.
Actividad de puerto
La opcin Actividad de puerto permite identificar las interfaces de los puertos e
indica el estado de cada puerto:
Id. de puerto: etiqueta del puerto.
Interfaz: tipo de interfaz, que puede ser LAN, WAN o DMZ. Si hay varias
interfaces de WAN, se indican mediante un nmero, por ejemplo, WAN1 o
WAN2.
Estado: estado del puerto, que puede estar Deshabilitado (rojo), Habilitado
(negro) o Conectado (verde). El valor que representa el estado es un
hipervnculo. Haga clic en l para abrir la ventana Port Information
(Informacin del puerto).
Para mostrar informacin detallada acerca de la actividad del enlace actual, haga
clic en la entrada Estado del puerto.
Port Information (Informacin del puerto) (detalles)
La ventana Port Information (Informacin del puerto) muestra informacin
detallada acerca de la interfaz y de la actividad actual del puerto:
12
Tipo: tipo de puerto, que puede ser 10BASE-T, 100BASE-TX o 1000BASE-T.
Interfaz: tipo de interfaz, que puede ser LAN, DMZ o WAN.
Estado de enlace: estado del enlace, que puede ser Activo o Inactivo.
Actividad de puerto: actividad actual del puerto, que puede ser Puerto
habilitado, Puerto deshabilitado o Conectado.
Prioridad: prioridad de los datos del puerto, que puede ser Alta o Normal.
Estado de velocidad: velocidad del puerto, que puede estar entre 10 Mbps
y 1000 Mbps.
Estado dplex: modo dplex, que puede ser Semi o Completo.
Resumen del sistema

IPv4 e IPv6
Negociacin automtica: estado del parmetro de negociacin

automtica que, cuando est activo, detecta el modo dplex y, en caso de
que la conexin requiera un cruce, elige automticamente la configuracin
MDI o MDIX adecuada para el otro extremo del enlace.
VLAN: Id. de VLAN de este puerto. Hay dos VLAN predefinidas: 25 y 100.
VLAN 25 se puede usar para el acceso de invitado a la VLAN y VLAN 100
se puede usar para el trfico de voz. De forma predeterminada, VLAN 25 y
VLAN 100 no estn habilitadas.
Recuento de paquetes recibidos: nmero de paquetes recibidos a travs

de este puerto.
Recuento de bytes de paquetes recibidos: nmero de bytes recibidos a

travs de este puerto.
Recuento de paquetes transmitidos: nmero de paquetes transmitidos

desde este puerto.
Recuento de bytes de paquetes transmitidos: nmero de bytes

transmitidos desde este puerto.
Recuento de paquetes errneos: nmero total de errores de paquete.
IPv4 e IPv6
La seccin IPv4 o IPv6 muestra las estadsticas de cada puerto WAN (la ficha IPv6
est disponible cuando la opcin IP con pila dual est habilitada en la pgina
Configuracin de red).
Informacin de WAN
Se proporciona la siguiente informacin de WAN:
Direccin IP: direccin IP pblica de esta interfaz.
Gateway predeterminada: gateway predeterminada de esta interfaz.
DNS: direccin IP del servidor DNS de esta interfaz.
DNS dinmico: configuracin de DDNS para este puerto, que puede ser
Habilitado o Deshabilitado.
13
Resumen del sistema

Estado de seguridad
Liberar y Renovar: estos botones aparecen si el puerto se configura para

obtener una direccin IP desde un servidor. Haga clic en Liberar para
liberar la direccin IP. Haga clic en Renovar para actualizar el tiempo de
cesin u obtener una direccin IP nueva.
Conectar y Desconectar: estos botones se muestran solo si el puerto est

configurado como PPPoE o PPTP. Haga clic en Desconectar para
desconectarse del servicio de Internet. Haga clic en Conectar para
establecer una conexin.
Informacin de DMZ
Se proporciona la siguiente informacin de DMZ:
Direccin IP: direccin IP pblica actual de esta interfaz.
Host DMZ: direccin IP privada del host DMZ. El valor predeterminado es

Deshabilitado.
Estado de seguridad
En esta seccin se muestra el estado de las funciones de seguridad:
14
SPI (inspeccin de paquetes con estado): estado del cortafuegos, que

puede ser Activado (verde) o Desactivado (rojo). Permite realizar un
seguimiento del estado de las conexiones de red (por ejemplo, los flujos de
TCP y la comunicacin de UDP) que pasan por el cortafuegos. El
cortafuegos distingue los paquetes legtimos para los distintos tipos de
conexiones. Solo los paquetes que coinciden con una conexin activa
conocida pueden pasar por el cortafuegos; los que no, se rechazan.
DoS (denegacin de servicio): estado del filtro de DoS, que puede ser
Activado (verde) o Desactivado (rojo). Un ataque de DoS constituye un
intento de hacer que una mquina o un recurso de red no estn disponibles
para los usuarios a los que estn destinados.
Bloquear solicitud de WAN: dificulta a los usuarios externos el acceso a la

red, ya que oculta los puertos de red a los dispositivos de Internet e impide
que otros usuarios de Internet detecten el trfico de red o que puedan
hacer un "ping". El estado puede ser Activado (verde) o Desactivado (rojo).
Resumen del sistema

Administracin remota: indica si se debe permitir o denegar una conexin

remota cuyo objetivo sea administrar el dispositivo. Si el estado es
Activado (verde), significa que se permite la administracin remota. Si el
estado es Desactivado (negro), significa que no se permite la
administracin remota.
Regla de acceso: nmero de reglas de acceso que se han definido.
Para mostrar informacin detallada acerca de la funcin de seguridad, haga clic en

la etiqueta correspondiente a dicha funcin.

En esta seccin se muestra el estado de los tneles VPN:
Tneles de VPN usados: tneles VPN en uso.
Tneles de VPN disponibles: tneles VPN disponibles.
Tneles de Easy VPN usados: tneles Easy VPN en uso.
Tneles de Easy VPN disponibles: tneles Easy VPN disponibles.
Tneles de PPTP usados: tneles de PPTP (Point-to-Point Tunneling

Protocol, protocolo de tunelizacin de punto a punto) en uso. PPTP es un
mtodo para implementar redes privadas virtuales. PPTP utiliza un canal de
control sobre TCP y un tnel GRE (Generic Routing Encapsulation,
encapsulado de enrutamiento genrico) para encapsular los paquetes PPP.
Tneles de PPTP disponibles: tneles PPTP disponibles.
Estado de VPN SSL

Una VPN SSL se puede conectar desde ubicaciones en las que IPsec est en
conflicto con NAT (Network Address Translation, traduccin de direccin de red) y
las reglas del cortafuegos:
Tneles de SSL VPN usados: tneles VPN SSL en uso.
Tneles de SSL VPN disponibles: tneles VPN SSL disponibles para

usarlos.
15
Resumen del sistema


En esta seccin se muestra el estado de los registros:
16
Servidor Syslog: estado de Syslog, que puede ser Activado (verde) o

Desactivado (rojo).
Enviar registro por correo electrnico: estado del registro de correo

electrnico, que puede ser Activado (verde) o Desactivado (rojo).
3
Configuracin
Use la pgina Configuracin > Red para configurar una red LAN, WAN (Internet),
DMZ, etc.
Configuracin de red
Algunos ISP requieren que se asigne un nombre de host y un nombre de dominio
para identificar el dispositivo. Se proporcionan valores predeterminados que se
pueden cambiar si es necesario:
Nombre del host: mantenga el ajuste predeterminado o escriba el nombre

de host que especifique el ISP.
Nombre de dominio: mantenga el ajuste predeterminado o escriba el

nombre de dominio que especifique el ISP.
Modo de IP
Elija el tipo de direccionamiento que se debe usar en las redes:
Solo IPv4: solo direccionamiento IPv4.
IP con pila dual: direccionamiento IPv4 e IPv6. Despus de guardar los

parmetros, puede configurar direcciones IPv4 e IPv6 para las redes LAN,
WAN y DMZ.
17
Configuracin
Configuracin de red
Adicin o edicin de una red IPv4

De forma predeterminada, hay una subred LAN IPv4 configurada (192.168.1.1).
Normalmente, una subred es suficiente para la mayora de las pequeas
empresas. El cortafuegos deniega el acceso si una direccin IP de origen de un
dispositivo LAN est en una subred que no tenga un permiso especfico. Puede
permitir el trfico desde otras subredes y usar este dispositivo como un router
perimetral que proporcione conectividad de Internet a una red.
PASO 1 Haga clic en la ficha IPv4 para mostrar la Tabla de varias subredes.
PASO 2 Para agregar una subred, haga clic en Agregar. Los campos Direccin IP y
Mscara de subred se muestran en las columnas. Despus de hacer clic en

Guardar, podr editar la subred para que forme parte de una VLAN, administrar
las direcciones IP a travs del servidor DHCP o definir los parmetros del servidor
TFTP.
PASO 3 Especifique los valores oportunos en los campos Direccin IP y Mscara de
subred del dispositivo.

PASO 4 Haga clic en Guardar para guardar los cambios o haga clic en Cancelar para
deshacerlos.
Para editar una subred, seleccione la subred IPv4 que desee modificar y haga clic
en Editar. En la seccin Configuracin de DHCP se describe el proceso para
modificar los parmetros de la subred.
Edicin del prefijo de las direcciones IPv6
Si previamente ha habilitado IP con pila dual en el campo Modo de IP, podr
configurar el prefijo IPv6.
Para configurar el prefijo IPv6, haga clic en la ficha IPv6, seleccione el prefijo IPv6
y haga clic en Editar. La direccin IP predeterminada es fc00::1. La longitud
predeterminada del prefijo es 7. La ficha IPv6 est disponible nicamente si IP con
pila dual est habilitado en la tabla Modo de IP. Se abre la ventana Configuracin
de DHCP.
18
Configuracin
Configuracin de red
Ajustes de los puertos WAN1 o WAN2

La tabla Ajuste de WAN muestra la interfaz (por ejemplo, USB1, WAN1 o WAN2) y
el tipo de conexin. Los ajustes de las interfaces se pueden modificar.
NOTA Si est utilizando IPv6, seleccione la ficha IPv6 antes de seleccionar la interfaz
WAN que desee configurar. De lo contrario, los parmetros de IPv6 no se mostrarn

en la ventana Ajustes de conexin WAN.
Para configurar Ajustes de conexin WAN, seleccione una interfaz WAN y haga
clic en Editar. Se muestra Ajustes de conexin WAN.
Seleccione Tipo de conexin WAN en el men y modifique los parmetros
relacionados, tal y como se describe en estas secciones:
Obtener una IP automticamente
Elija esta opcin si el ISP asigna dinmicamente una direccin IP al dispositivo (la
mayora de los abonados a mdems por cable utilizan este tipo de conexin). El
ISP asigna la direccin IP del dispositivo para este puerto, incluidas las
direcciones IP del servidor DNS.
Para especificar un servidor DNS, active la casilla Utilizar las siguientes
direcciones del servidor DNS y especifique la direccin IP del servidor DNS 1. Si
lo desea, tambin puede especificar un segundo servidor DNS. Se utiliza el primer
servidor DNS disponible.
Para definir automticamente el tamao de la MTU (Maximum Transmission Unit,
unidad de transmisin mxima), seleccione la opcin Automtico. En caso
contrario, para configurar manualmente el tamao de la MTU, seleccione Manual
y especifique el tamao de la MTU (el tamao en bytes de la unidad de datos de
protocolo ms grande que puede pasar la capa).
19
Configuracin
Configuracin de red
Para configurar los parmetros de IPv6, seleccione la opcin Habilitar. Se

habilitan las solicitudes y los procesos del cliente DHCPv6 para la delegacin de
prefijos a travs de la interfaz seleccionada. Use esta opcin si el ISP puede
enviar prefijos LAN usando DHCPv6. Si el ISP no admite esta opcin, configure
manualmente un prefijo LAN:
NOTA Si la opcin DHCP-PD est habilitada, el direccionamiento manual IPv6 de la red
LAN estar deshabilitado. Si la opcin DHCP-PD est deshabilitada, el

direccionamiento manual IPv6 de la red LAN estar habilitado.
Direccin LAN IPv6: prefijo IPv6 global que el ISP asigna a los dispositivos
LAN, si procede. (Pngase en contacto con el ISP para obtener ms
informacin).
Longitud del prefijo: longitud del prefijo IPv6. La red IPv6 (subred) se
identifica mediante los bits iniciales de la direccin a los que se denomina
"prefijo". Todos los hosts de la red tienen los mismos bits iniciales en sus
direcciones IPv6. Especifique el nmero de bits iniciales comunes en las
direcciones de red. La longitud predeterminada del prefijo es 64.
Asignacin de prefijo LAN:

-
Sin accin alguna: no se proporcionan direcciones IPv6 Sin estado ni

Con estado para los equipos de la red LAN.
Configurar a RA automticamente: se proporcionan direcciones IPv6

Sin estado para los equipos de la red LAN.
Configurar a DHCPv6 automticamente: se proporcionan direcciones

IPv6 Con estado para los equipos de la red LAN.
Configurar a RA y DHCPv6 automticamente: se proporcionan

direcciones IPv6 Sin estado y Con estado para los equipos de la red
LAN.
IP esttica
Elija esta opcin si el ISP ha asignado una direccin IP permanente a la cuenta.
Especifique los ajustes que haya proporcionado el ISP:
20
Especifique la direccin IP de WAN: direccin IP que el ISP ha asignado a

la cuenta.
Mscara de subred (IPv4): mscara de subred.
Direccin de gateway predeterminada: direccin IP de la gateway

predeterminada.
Configuracin
Configuracin de red
Para especificar un servidor DNS, escriba la direccin IP del servidor DNS 1. Si lo

desea, tambin puede especificar un segundo servidor DNS. Se utiliza el primer
Para configurar los parmetros de IPv6:
informacin).
Asignacin de prefijo LAN

-




LAN.
PPPoE
Elija esta opcin si el ISP utiliza PPPoE (Point-to-Point Protocol over Ethernet,
protocolo punto a punto a travs de Ethernet) para establecer las conexiones de
Internet (normalmente para lneas DSL). A continuacin, especifique los ajustes
que haya proporcionado el ISP:
Nombre de usuario y Contrasea: nombre de usuario y contrasea para la

cuenta del ISP. El nmero mximo de caracteres para cada entrada es de
255.
21
Configuracin
Configuracin de red
Nombre del servicio: nombre para referirse al conjunto de servicios que

proporciona el ISP.
Temporizadores de conexin: la conexin se desconecta despus de un

periodo de inactividad.
-
Conexin a peticin: cuando esta funcin est habilitada, el dispositivo

establece automticamente la conexin. Si ha habilitado esta funcin,
especifique un valor para Tiempo mx. inact., es decir, el nmero de
minutos que puede estar inactiva la conexin antes de que se le ponga
fin. El tiempo mximo predeterminado de inactividad es de 5 minutos.
Mantener activo: el router siempre est conectado a Internet. Cuando

se selecciona esta opcin, el router mantiene la conexin activa
mediante el envo peridico de algunos paquetes de datos. Esta opcin
permite mantener la conexin activa de forma indefinida, incluso cuando
el enlace queda inactivo durante un extenso periodo de tiempo. Si
habilita esta funcin, tambin deber especificar un valor para Periodo
de remarcado para determinar la frecuencia con la que el router
comprueba la conexin a Internet. El periodo predeterminado es de 30
segundos.
Utilizar las siguientes direcciones del servidor DNS: permite obtener

informacin sobre la conexin desde los servidores DNS.
Servidor DNS 1 y Servidor DNS 2: direccin IP de los servidores DNS. Si

lo desea, tambin puede especificar un segundo servidor DNS. Se utiliza el
primer servidor DNS disponible.
MTU: tamao de la unidad de transmisin mxima (MTU, Maximum

Transmission Unit). Seleccione Automtico para que el tamao se defina
automticamente. En caso contrario, para configurar manualmente el
tamao de la MTU, seleccione Manual y especifique el tamao de la MTU
(el tamao en bytes de la unidad de datos de protocolo ms grande que
puede pasar la capa).
Para configurar los parmetros de IPv6, seleccione la opcin Habilitar. Se

habilitan las solicitudes y los procesos del cliente DHCPv6 para la delegacin de
prefijos a travs de la interfaz seleccionada. Use esta opcin si el ISP puede
enviar prefijos LAN usando DHCPv6. Si el ISP no admite esta opcin, configure
manualmente un prefijo LAN:
22
Configuracin
Configuracin de red
NOTA Si la opcin DHCP-PD est habilitada, el direccionamiento manual IPv6 de la red
LAN estar deshabilitado. Si la opcin DHCP-PD est deshabilitada, el

direccionamiento manual IPv6 de la red LAN estar habilitado.
informacin).

-




LAN.
PPTP (IPv4)
Elija esta opcin si as se lo solicita el ISP. PPTP (Point-to-Point Tunneling Protocol,
protocolo de tnel punto a punto) es un servicio que se usa en Europa e Israel.
Especifique la direccin IP de WAN: direccin IP que el ISP ha asignado a

la cuenta.
Mscara de subred (IPv4): mscara de subred asignada a la cuenta.

predeterminada.
Nombre de usuario y Contrasea: nombre de usuario y contrasea para la

cuenta del ISP. El nmero mximo de caracteres es 60.
23
Configuracin
Configuracin de red
Temporizadores de conexin: la conexin se desconecta despus de un

periodo de inactividad.
-
Conexin a peticin: cuando esta funcin est habilitada, el dispositivo

establece automticamente la conexin. Si ha habilitado esta funcin,
especifique un valor para Tiempo mx. inact., es decir, el nmero de
minutos que puede estar inactiva la conexin antes de que se le ponga
fin. El tiempo mximo predeterminado de inactividad es de 5 minutos.
Mantener activo: el router siempre est conectado a Internet. Cuando

se selecciona esta opcin, el router mantiene la conexin activa
mediante el envo peridico de algunos paquetes de datos. Esta opcin
permite mantener la conexin activa de forma indefinida, incluso cuando
el enlace queda inactivo durante un extenso periodo de tiempo. Si
habilita esta funcin, tambin deber especificar un valor para Periodo
de remarcado para determinar la frecuencia con la que el router
comprueba la conexin a Internet. El periodo predeterminado es de 30
segundos.

Puente transparente (IPv4)

Elija esta opcin si est usando este router para conectar dos segmentos de red.
Solo se puede definir una interfaz WAN como puente transparente.
24
Especifique la direccin IP de WAN: la direccin IP externa que el ISP ha

asignado a la cuenta.
Mscara de subred: mscara de subred que especifica el ISP.

predeterminada.
Servidor DNS 1 y Servidor DNS 2: direcciones IP de los servidores DNS.

Si lo desea, tambin puede especificar un segundo servidor DNS. Se utiliza
el primer servidor DNS disponible.
Rango de IP de LAN interna: rango de IP de LAN interna establecido como

puente. Las redes WAN y LAN del puente transparente deben estar en la
misma subred.
Configuracin
Configuracin de red

Configuracin automtica de direccin sin estado (IPv6)

Elija esta opcin si el ISP utiliza anuncios y solicitudes de router de IPv6. Los hosts
averigan a qu red estn conectados y, una vez que lo hagan, pueden configurar
automticamente un Id. de host en dicha red.
Para especificar un servidor DNS, escriba la direccin IP del servidor DNS 1. Si lo
desea, tambin puede especificar un segundo servidor DNS. Se utiliza el primer
Para configurar los parmetros de IPv6:
informacin).

-




LAN.
25
Configuracin
Configuracin de red
Tnel IPv6 en IPv4 (IPv6)

Elija esta opcin si el ISP utiliza un tnel IPv6 en IPv4 para establecer las
conexiones de Internet.
Debe especificar una direccin IP esttica IPv4. A continuacin, especifique los
ajustes que haya proporcionado el ISP:
Direccin IPv6 local: direccin IPv6 local de la cuenta del ISP.
Direccin IPv4 remota: direccin IPv4 remota de la cuenta del ISP.
Direccin IPv6 remota: direccin IPv6 remota de la cuenta del ISP.

informacin).

-




LAN.
Tnel 6to4 (IPv6)

Elija esta opcin para establecer un tnel automticamente en una red IPv4 (o una
conexin de Internet IPv4 real) a travs de dos redes IPv6 independientes.
Especifique los siguientes parmetros:
26
Configuracin
Configuracin de red
Direccin IPv4 de retransmisin: permite que un host 6to4 se comunique con

Internet IPv6 nativo. Debe tener una gateway IPv6 predeterminada definida en una
direccin 6to4 que contenga la direccin IPv4 de un router de retransmisin 6to4.
Para evitar que los usuarios tengan que realizar la configuracin manualmente, se
ha asignado la direccin anycast 192.88.99.1 para enviar paquetes a un router
de retransmisin 6to4.

informacin).

-




LAN.
Tnel IPv6 Rapid Deployment (6rd) (IPv6)

Elija esta opcin si el ISP utiliza un tnel 6rd (IPv6 Rapid Deployment,
implementacin rpida de IPv6) para establecer las conexiones de Internet.
Especifique los ajustes que haya proporcionado el ISP.
Modo de configuracin 6rd:

-
Manual: defina manualmente los valores del prefijo de 6rd, la direccin

IPv4 de retransmisin y la longitud de la mscara IPv4, segn los datos
que proporcione el ISP.
27
Configuracin
Configuracin de red
28
Automtico (DHCP): use DHCP (opcin 212) para obtener el prefijo de

6rd, la direccin IPv4 de transmisin y la longitud de la mscara IPv4.
Prefijo de 6rd: el prefijo de 6rd de la cuenta del ISP.
Direccin IPv4 de retransmisin: direccin IPv4 de retransmisin de la

cuenta del ISP.
Longitud de mscara de IPv4: longitud de la mscara de subred de IPv4

de 6rd para la cuenta del ISP. (Normalmente este valor es 0).

informacin).

-




LAN.
Configuracin
Configuracin de red
Ajustes de los puertos USB1 o USB2

La configuracin de los puertos USB administra la conexin entre este dispositivo
y la llave USB. Tambin administra la conmutacin por error de los puertos WAN
(redundancia). Algunas llaves USB configuran sus credenciales de forma
automtica. Sin embargo, otras (como la llave Verizon UML290VW 4G) requieren
una configuracin manual. Consulte la documentacin del fabricante para obtener
ms informacin sobre la llave.
Conexin 3G/4G
Para establecer una conexin 3G o 4G, especifique los siguientes valores:
Cdigo PIN y Confirmar cdigo PIN: cdigo PIN asociado a la tarjeta SIM.
Este campo solo se muestra para las tarjetas SIM GSM.
Nombre de punto de acceso: red de Internet a la que se conecta el

dispositivo mvil. Especifique el nombre de punto de acceso que le indique
el proveedor de servicios de red mvil. Si desconoce el nombre del punto
de acceso, pngase en contacto con el proveedor de servicios.
Nmero de marcado: nmero proporcionado por el proveedor de servicios

de red mvil para la conexin de Internet.
Nombre de usuario y Contrasea: nombre de usuario y contrasea

proporcionados por el proveedor de servicios de red mvil.
Habilitar DNS: seleccione esta casilla para habilitar DNS.
Servidor DNS (obligatorio) y Servidor DNS (opcional): direcciones IP de

los servidores DNS. Si lo desea, tambin puede especificar un segundo
servidor DNS. Se utiliza el primer servidor DNS disponible.

29
Configuracin
Configuracin de red
Ajustes de conmutacin por error y recuperacin

Aunque Ethernet y el enlace de red mvil estn disponibles, solo se puede usar
una conexin cada vez para establecer un enlace WAN. Cada vez que se produce
un fallo en una conexin WAN, el dispositivo intenta establecer otra conexin en
otra interfaz. Esta funcin se denomina conmutacin por error. Cuando se
restaura la conexin WAN principal, se vuelve a utilizar dicha ruta y se abandona la
conexin de respaldo. Esta funcin se denomina recuperacin.
PASO 1 Para mostrar la ventana Failover & Recovery (Conmutacin por error y
recuperacin), haga clic en Configuracin > Red.

PASO 2 Seleccione un puerto USB y haga clic en Editar. Se abre la ventana Red.
PASO 3 Haga clic en la ficha USB Failover (Conmutacin por error de USB) y especifique
los siguientes datos:
Modo operativo: cuando un enlace WAN Ethernet se queda inactivo, el

dispositivo intenta activar el enlace de red mvil en la interfaz USB.
Configure el comportamiento de conmutacin por error:
-
Espera activa de conmutacin por error 3G/4G: en caso de que se pierda

una conexin en un puerto WAN Ethernet, se redirige el trfico de la WAN
mediante un enlace USB 3G o 4G. La llave USB est activada mientras se
est en modo de espera.
Espera pasiva de conmutacin por error 3G/4G: en caso de que se

pierda una conexin en un puerto WAN Ethernet, se redirige el trfico de
la WAN mediante un enlace USB 3G o 4G. La llave USB est desactivada
mientras se est en modo de espera.
Modo principal: el enlace 3G/4G se usa como conexin WAN principal.
Calidad de la seal: refleja la intensidad de la seal entre la llave USB 3G/

4G y el punto de acceso. Haga clic en Actualizar para actualizar el valor.
PASO 4 Para evitar que se produzca un exceso de datos, seleccione Recuento de cargos.
La opcin Trfico (KB) permite realizar un seguimiento del volumen de datos

enviados o recibidos en kilobytes a travs del enlace USB. Hora (min.) muestra
los minutos que lleva activa la conexin 3G/4G.
30
Si elige Trfico (KB), especifique los siguientes datos:

-
Premium: coste en dlares para un volumen de datos concreto.
Cargo extra: coste en dlares por kilobyte de datos si se excede un

volumen concreto.
Configuracin
Configuracin de red
Detener conexin...: al seleccionar esta opcin, la conexin se

interrumpe cuando el volumen es superior al valor especificado.
Si elige Hora (min.), especifique los siguientes datos:

-
Premium: coste en dlares para un periodo de tiempo concreto.
Cargo extra: coste en dlares si se excede un periodo de tiempo

concreto.
Detener conexin...: al seleccionar esta opcin, la conexin se

interrumpe cuando el tiempo es superior al valor especificado.
Se abre la ventana:
Tiempo acumulado anterior: cantidad de tiempo que lleva activa la

conexin 3G/4G desde la ltima vez que se reinici.
Tiempo acumulado actual: cantidad de tiempo transcurrido desde que el

dispositivo inici una conexin 3G/4G.
Cargar: coste estimado de la conexin desde que se restablecieron los

contadores.
PASO 5 Defina los comportamientos de Diagnstico:
Reiniciar recuento el da: seleccione esta opcin y especifique el da del

mes en el que se deben reiniciar los contadores. Si el valor es superior al
nmero de das del mes (por ejemplo, si se especifica el valor 31 en un mes
que tenga 30 das), los contadores se reiniciarn el ltimo da del mes.
Autoprueba diaria a las: seleccione esta opcin y especifique la hora del

da (24 horas) en la que se debe probar la conexin. Se considera que el
resultado de la autoprueba es satisfactorio si el dispositivo puede obtener
una direccin IP del proveedor de servicios. Los fallos que se produzcan se
recopilan en un registro.
Registro de autoprueba: seleccione esta opcin para registrar los

resultados de las autopruebas (todos los resultados de las pruebas se
envan al registro).
PASO 6 Haga clic en Guardar para guardar estos ajustes.
31
Configuracin
Habilitar DMZ
Habilitar DMZ
DMZ es una subred que est abierta al pblico, pero oculta tras un cortafuegos.
Una DMZ permite redirigir los paquetes que llegan al puerto WAN a una direccin
IP especfica de la LAN. Se pueden configurar reglas del cortafuegos para que
permitan el acceso a puertos y servicios especficos de DMZ desde la LAN o la
WAN. Si se produce un ataque en alguno de los nodos de DMZ, no tiene por qu
afectar necesariamente a la LAN. Se recomienda que los hosts que deben
exponerse en la WAN (como los servidores de correo electrnico o web) se
coloquen en la red DMZ.
Para configurar DMZ:
PASO 1 Elija Configuracin > Red y seleccione la opcin Habilitar DMZ. Aparece un
mensaje.
PASO 2 Haga clic en S para aceptar el cambio.
PASO 3 Seleccione la interfaz de DMZ en la tabla Ajustes de DMZ y haga clic en Editar.
Se abre la ventana Editar conexin DMZ.

PASO 4 Seleccione Subred para identificar una subred para los servicios de DMZ.
Adems, especifique la direccin IP de DMZ y la mscara de subred. Tambin

puede seleccionar Rango para reservar un grupo de direcciones IP en la misma
subred para los servicios de DMZ y especificar el rango de direcciones IP.
PASO 5 Haga clic en Guardar.
Contrasea
El nombre de usuario y la contrasea permiten el acceso administrativo al
dispositivo. El nombre de usuario es cisco. La contrasea predeterminada es
cisco. El nombre de usuario y la contrasea se pueden cambiar. Recomendamos
encarecidamente que se cambie la contrasea predeterminada por una
contrasea segura.
Si la administracin remota est habilitada en la pgina General (Cortafuegos),
deber cambiar la contrasea.
32
Configuracin
Contrasea
!
PRECAUCIN La contrasea no se puede recuperar si se pierde o se olvida. En caso de que la
contrasea se pierda o se olvide, el dispositivo deber restablecerse a los ajustes

predeterminados, lo que eliminar todos los cambios de configuracin. Si accede
al dispositivo de forma remota y lo restablece a los valores predeterminados, no
podr iniciar sesin en el dispositivo hasta que haya establecido un enlace local
con cable en la misma subred.
Despus de cambiar el nombre de usuario o la contrasea, se cierra la sesin.
Tendr que iniciar sesin de nuevo en el dispositivo con las nuevas credenciales.
Para cambiar el nombre de usuario o la contrasea:
PASO 1 Elija Configuracin>Contrasea.
PASO 2 En el campo Nombre de usuario, escriba el nuevo nombre de usuario. Para
mantener el nombre de usuario actual, deje este campo en blanco.

PASO 3 En el campo Contrasea anterior, escriba la contrasea actual. Esto es obligatorio
si desea cambiar el nombre de usuario y conservar la contrasea actual.

NOTA Si va a cambiar el nombre de usuario y a mantener la contrasea actual, deje en
blanco los campos Nueva contrasea y Confirmar la nueva contrasea.

PASO 4 En el campo Nueva contrasea, escriba la nueva contrasea para el dispositivo.
Use una combinacin de caracteres alfanumricos y smbolos. La contrasea no

debe incluir espacios. Vuelva a especificar la nueva contrasea en el campo
Confirmar la nueva contrasea. Las dos contraseas deben coincidir.
PASO 5 En el campo Tiempo de espera de sesin, escriba el nmero de minutos que
deben transcurrir para que termine la sesin. Guarde los cambios.

Para configurar los ajustes de complejidad de contrasea:
PASO 1 En el campo Ajustes de complejidad de contrasea, marque la casilla Habilitar.
PASO 2 Configure los campos siguientes:
33
Configuracin
Contrasea
Longitud mnima de la contrasea
Especifique la longitud mnima que debe

tener la contrasea (entre 0 y 64
caracteres). El valor mnimo
predeterminado es 8.
Nmero mnimo de clases de

caracteres
Especifique el nmero de clases de

caracteres que debe incluir la contrasea.
De forma predeterminada, la contrasea
debe contener caracteres de, al menos,
tres de estas clases:
Letras maysculas
Letras minsculas
Nmeros
Caracteres especiales disponibles

en un teclado estndar
La contrasea nueva debe ser

distinta a la actual
Marque la opcin Habilitar si la nueva

contrasea debe ser diferente de la
actual.
Caducidad de contrasea
Marque la opcin Habilitar si la

contrasea debe caducar despus del
tiempo especificado.
Momento de caducidad de
contrasea
Especifique los das que deben

transcurrir para que caduque la
contrasea (entre 1 y 365). El valor
predeterminado es 180 das.
Cuando opcin Complejidad de contrasea mnima est configurada como

Habilitar, el Medidor de seguridad de la contrasea indica el nivel de seguridad
de la contrasea, en funcin de las reglas de complejidad. La escala de colores va
desde el rojo (no aceptable) hasta el verde (segura) pasando por el amarillo
(aceptable).
34
Configuracin
Hora
Hora
La hora es fundamental para un dispositivo de red a fin de que se reflejen
correctamente las marcas horarias en los registros del sistema y los mensajes de
error, y para que las transferencias de datos se puedan sincronizar con otros
dispositivos de red.
Puede configurar la zona horaria, ajustar o no el horario de verano y configurar con
qu servidor NTP (Network Time Protocol, protocolo de hora de red) se debe
sincronizar la fecha y la hora. A continuacin, el router obtendr la informacin de
fecha y hora del servidor NTP.
Para configurar los ajustes de NTP y de la hora, elija Configuracin > Hora.
Zona horaria: zona horaria relativa a la Hora del meridiano de Greenwich

(GMT).
Horario de verano: habilite o deshabilite el ajuste para el horario de verano.

Especifique la fecha de inicio en los campos Desde y la de finalizacin en
los campos Hasta.
Establecer fecha y hora: la opcin Automtico habilita el servidor NTP. Si

elige Automtico, especifique el FQDN (Fully Qualified Domain Name,
nombre de dominio completo) del Servidor NTP o la direccin IP. La opcin
Manual permite configurar la fecha y la hora de forma local. Se utiliza el
reloj del dispositivo para mantener la hora. Si elige la opcin Manual,
especifique un valor para Fecha y hora.
Host DMZ
El host DMZ permite que un host de la LAN expuesto a Internet pueda usar
servicios como los juegos en lnea y las videoconferencias. El acceso al host DMZ
desde Internet se puede restringir usando reglas de acceso del cortafuegos.
Para configurar un host DMZ, escriba un valor en Direccin IP privada de DMZ y
haga clic en Guardar.
35
Configuracin
Reenvo (de puertos)
Reenvo (de puertos)

El reenvo de puertos permite el acceso pblico a servicios en dispositivos de red
en la LAN abriendo un puerto especfico o un rango de puertos para un servicio,
por ejemplo, un FTP. El redireccionamiento de puertos abre un rango de puertos
para servicios como los juegos en Internet que utilizan puertos alternativos para
establecer la comunicacin entre el servidor y el host LAN.
Configuracin de reenvo de puertos
Cuando los usuarios efectan solicitudes de servicios en la red, el dispositivo
reenva esas solicitudes a los servidores basndose en los parmetros de reenvo
de puertos. Los servicios que no estn especificados no podrn acceder. Por
ejemplo, cuando el nmero de puerto 80 (HTTP) se reenva a la direccin IP
192.168.1.2, todas las solicitudes HTTP de la interfaz se reenvan a 192.168.1.2. El
resto del trfico se rechaza, a menos que lo autorice especficamente otra
entrada.
Use esta funcin para establecer servidores web o FTP. Especifique una direccin
IP vlida (para ejecutar un servidor de Internet, puede que sea necesario utilizar
una direccin IP esttica). Para mayor seguridad, los usuarios externos pueden
comunicarse con el servidor, pero no pueden conectarse con los dispositivos de
red.
Para agregar un servicio a una tabla o editarlo:
PASO 1 Para agregar un servicio, haga clic en Agregar en la tabla de retransmisin de
rango de puertos.
Para editar un servicio, seleccione la fila y haga clic en Editar.
Los campos se abren para que sea posible modificarlos.
PASO 2 Configure lo siguiente:
36
En el men desplegable, seleccione un servicio (si un servicio no aparece

en la lista, podr modificar la lista siguiendo las instrucciones que aparecen
en la seccin Adicin o edicin de un nombre de servicio).
Especifique la direccin IP del servidor.
Seleccione la opcin que desee en Interfaz.
Seleccione un valor en Estado. Seleccione la casilla para habilitar el servicio.

Para deshabilitar el servicio, desactive la casilla.
Configuracin
Reenvo (de puertos)

Para agregar una entrada a la lista Servicio o editarla:
PASO 1 Haga clic en Administracin de servicios. Si el navegador web muestra una
advertencia sobre la ventana emergente, indique que se permita el contenido

bloqueado.
PASO 2 Para agregar un servicio, haga clic en Agregar en la tabla de administracin de
servicios.
Para editar un servicio, seleccione la fila y haga clic en Editar.
Los campos se abren para que sea posible modificarlos. Si el navegador web
muestra una advertencia sobre la ventana emergente, indique que se permita el
contenido bloqueado.
PASO 3 Puede haber 30 servicios en la lista como mximo:
Nombre del servicio: descripcin breve.
Protocolo: protocolo obligatorio. Consulte la documentacin del servicio

que desee alojar.
Rango de puertos: rango de nmeros de puerto reservados para este

servicio.
Configuracin de redireccionamiento de puertos

El redireccionamiento de puertos permite al dispositivo supervisar los datos
salientes para nmeros de puerto especficos. El dispositivo recuerda la direccin
IP del cliente que ha enviado los datos coincidentes. Cuando los datos solicitados
se devuelve mediante el dispositivo, los datos se transmiten al cliente adecuado
usando la direccin IP y las reglas de asignacin de puertos.
Algunos juegos o aplicaciones de Internet utilizan puertos poco habituales para
las comunicaciones entre el servidor y el host LAN. Para usar estas aplicaciones,
especifique el puerto de redireccionamiento (saliente) y el puerto entrante
alternativo en la tabla de redireccionamiento de puertos.
37
Configuracin
Para agregar un nombre de aplicacin a una tabla o editarlo:

PASO 1 Haga clic en Configuracin > Reenvo.
PASO 2 Para agregar un nombre de aplicacin, haga clic en Agregar en la tabla de
retransmisin de rango de puertos.

Para editar un nombre de aplicacin, seleccione la fila y haga clic en Editar. Los
campos se abren para que sea posible modificarlos.
Si el navegador web muestra una advertencia sobre la ventana emergente,
indique que se permita el contenido bloqueado.
PASO 3 Configure lo siguiente:
Nombre de aplicacin: nombre de la aplicacin.
Rango de puerto redireccionado: nmeros de los puertos de inicio y de

finalizacin del rango de puerto direccionado. Consulte la documentacin
de la aplicacin para obtener ms informacin.
Rango de puerto entrante: nmeros de los puertos de inicio y de

finalizacin del rango de puerto entrante. Consulte la documentacin de la
aplicacin para obtener ms informacin.
Eliminacin de una entrada de la tabla

Para eliminar entradas de la tabla, haga clic en las entradas que desee eliminar y
elija Eliminar.

PAT (Port Address Translation, conversin de direccin de puerto) es una
extensin de NAT (Network Address Translation, traduccin de direcciones de
red) que permite que varios dispositivos de una LAN se asignen a una nica
direccin IP pblica para preservar las direcciones IP.
38
Configuracin
PAT es similar al reenvo de puertos, excepto por el hecho de que un paquete

entrante con puerto de destino (puerto externo) se traduce en un puerto de
destino diferente de paquete (puerto interno). El proveedor de servicios de
Internet (ISP) asigna una nica direccin IP al dispositivo perimetral. Cuando un
equipo inicia sesin en Internet, este dispositivo asigna al cliente un nmero de
puerto que se anexa a la direccin IP interna, por lo que el equipo tendr una
direccin IP exclusiva.
Si otro equipo inicia sesin en Internet, este dispositivo le asigna la misma
direccin IP pblica, pero con un nmero de puerto diferente. Aunque los dos
equipos comparten la misma direccin IP pblica, este dispositivo sabe a qu
equipo debe enviar sus paquetes, porque el dispositivo usa los nmeros de
puerto para asignar a los paquetes la direccin IP interna exclusiva de los equipos.
Para agregar o editar PAT:
PASO 1 Para agregar un servicio, haga clic en Agregar en la tabla de conversin de
direccin de puerto.
Para editar un servicio, seleccione la fila y haga clic en Editar. Los campos se
abren para que sea posible modificarlos.
PASO 2 En el men desplegable, seleccione el servicio. Puede tener 30 servicios como
mximo (si un servicio no aparece en la lista, podr modificar la lista siguiendo las
instrucciones que aparecen en la seccin Adicin o edicin de un nombre de
servicio).
PASO 3 Especifique la direccin IP o el nombre del dispositivo de red en el que reside el
servicio.
39
Configuracin

Para agregar una entrada a la lista Servicio o editarla:
PASO 1 Haga clic en Administracin de servicios. Si el navegador web muestra una
advertencia sobre la ventana emergente, indique que se permita el contenido

bloqueado.
PASO 2 Para agregar un servicio, haga clic en Agregar en la tabla de administracin de
servicios.
Para editar un servicio, seleccione la fila y haga clic en Editar. Los campos se
abren para que sea posible modificarlos.
PASO 3 Puede haber 30 servicios en la lista como mximo:

que desee alojar.
Puerto externo: nmero de puerto externo.
Puerto interno: nmero de puerto interno.

La configuracin de NAT uno a uno crea una relacin que asigna una direccin IP
de WAN vlida a las direcciones IP LAN que estn ocultas para la WAN (Internet)
mediante NAT. Esto protege a los dispositivos LAN para evitar que se detecten y
sufran ataques.
Para obtener los mejores resultados, reserve direcciones IP para los recursos
internos a los que desee llegar mediante NAT uno a uno.
40
Configuracin
Puede asignar una nica direccin IP LAN o un rango de direcciones IP a un rango

externo de direcciones IP de WAN de la misma longitud (por ejemplo, tres
direcciones internas y tres direcciones externas). La primera direccin interna se
asigna a la primera direccin externa, la segunda direccin IP interna se asigna a
la segunda direccin externa, y as sucesivamente.
Para habilitar esta funcin, seleccione la opcin Habilitar.
Para agregar una entrada a la lista, haga clic en Agregar y especifique la siguiente
informacin:
Comienzo de rango privado: direccin IP de inicio del rango de

direcciones IP internas que desea asignar al rango pblico. No incluya la
direccin IP de administracin del router en este rango.
Comienzo de rango pblico: direccin IP de inicio del rango de direcciones

IP pblicas que proporciona el ISP. No incluya la direccin IP de WAN del
router en este rango.
Longitud de rango: nmero de direcciones IP del rango. La longitud de

rango no puede superar el nmero de direcciones IP vlidas. Para asignar
una nica direccin, escriba 1.
Para modificar una entrada, seleccinela y haga clic en Editar. La informacin

aparece en los campos de texto. Realice los cambios oportunos y haga clic en
Guardar.

Algunos ISP requieren que se registre una direccin MAC (el cdigo de
identificacin exclusivo de 12 dgitos que est asignado a cada dispositivo de
red). Si previamente ha registrado una direccin MAC diferente para el dispositivo
con el ISP, podr seleccionar esta funcin para clonar dicha direccin en el
dispositivo. De lo contrario, deber ponerse en contacto con el ISP para cambiar
la direccin MAC registrada.
NOTA Cuando se habilita la opcin Clon de direccin MAC, la rplica de puertos no
funciona.
41
Configuracin
Para clonar una direccin MAC:

PASO 1 Haga clic en el botn de opcin Interfaz.
PASO 2 Haga clic en Editar para que se muestre la pgina Editar clon de direccin MAC.
Direccin MAC de WAN definida por el usuario: haga clic en el botn de

opcin y especifique los 12 dgitos de la direccin MAC que registr
previamente con el ISP.
Direccin MAC de este PC: haga clic aqu para usar la direccin MAC del
equipo como la direccin MAC clonada para el dispositivo.

El servicio DDNS (Dynamic Domain Name System, sistema de nombre de dominio
dinmico) asigna un nombre de dominio fijo a una direccin IP de WAN dinmica,
para que pueda alojar su propia pgina web, un servidor FTP u otro tipo de
servidor TCP/IP en la LAN. Seleccione esta funcin para configurar las interfaces
WAN con su informacin DDNS.
Antes de configurar un DNS dinmico en el router, se recomienda visitar
www.dyndns.org y registrar un nombre de dominio (el servicio lo proporciona
DynDNS.org). Los usuarios de China deben visitar www.3322.org para registrarse.
Despus de seleccionar una interfaz y hacer clic en Editar, se muestra la pgina
Editar configuracin de DNS dinmico.
Para editar el servicio DDNS:
PASO 1 En la lista DDNS Service (Servicio DDNS), elija un servicio.
PASO 2 Especifique la informacin de la cuenta:
42
Nombre de usuario: nombre de usuario de la cuenta DDNS. Si no ha

registrado un nombre de host, haga clic en Registrar para acceder al sitio
web DynDNS.com, donde podr registrarse de forma gratuita en el servicio
DNS dinmico.
Contrasea: contrasea de la cuenta DDNS.
Configuracin
Nombre del host: nombre de host registrado con el proveedor DDNS. Por
ejemplo, si su nombre de host es myhouse.dyndns.org, escriba myhouse en
el primer campo, dyndns en el segundo y org en el ltimo campo.
Se muestra la siguiente informacin de solo lectura:
Direccin IP de Internet: direccin IP de WAN para la interfaz.
Estado: estado de DDNS. Si la informacin de estado indica que hay un error,

compruebe que haya introducido correctamente la informacin de la cuenta
en el servicio DDNS.
Esta funcin permite el enrutamiento dinmico y permite agregar rutas estticas a
la tabla de enrutamiento IPv4 e IPv6.
Para ver la tabla de enrutamiento, haga clic en View Routing Table (Ver tabla de
enrutamiento). Haga clic en Actualizar para actualizar los datos. Haga clic en
Cerrar para cerrar la ventana emergente.
Configuracin de enrutamiento dinmico

El enrutamiento dinmico permite construir automticamente tablas de
enrutamiento en funcin de la informacin que transportan los protocolos de
enrutamiento. Adems, permite que la red acte prcticamente de forma
autnoma a la hora de evitar fallos de red y bloqueos.
Para configurar un enrutamiento dinmico IPv4 usando RIP (Routing Information
Protocol, protocolo de enrutamiento de informacin), haga clic en la ficha IPv4.
Para configurar un enrutamiento dinmico IPv6 usando RIPng (Routing Information
Protocol Next Generation, protocolo de enrutamiento de informacin de nueva
generacin), haga clic en la ficha IPv6.
43
Configuracin
Configuracin de un enrutamiento dinmico IPv4

PASO 1 Elija un valor en Modo de operacin:
Gateway: elija este modo si este dispositivo es el que aloja la conexin de

red para Internet. Este es el ajuste predeterminado.
Router: elija este modo si el dispositivo est en una red con otros routers y
otro dispositivo es el gateway de red para Internet o si esta red no est
conectada a Internet. En el modo de router, la conectividad de Internet est
disponible en los dispositivos de red solo si hay otro router que funciona
como gateway. Como la proteccin del cortafuegos la proporciona el
gateway, deshabilite el cortafuegos de este dispositivo.
PASO 2 Habilite RIP para permitir que este dispositivo pueda intercambiar su informacin
de enrutamiento automticamente con otros routers y ajustar dinmicamente las

tablas de enrutamiento a medida que se produzcan cambios en la red. El ajuste
predeterminado es Deshabilitado. Si habilita esta funcin, configure tambin los
siguientes ajustes:
Recibir versiones de RIP: seleccione el protocolo RIP para recibir datos de

red: Ninguno, RIPv1, RIPv2 o Tanto RIP v1 como v2.
RIPv1 es una versin de enrutamiento basada en clases. No incluye
informacin de subred y, en consecuencia, no es compatible con VLSM
(Variable Length Subnet Masks, mscaras de subred de longitud variable).
RIPv1 tampoco admite la autenticacin de router, por lo que es vulnerable a
los ataques. RIPv2 incluye una mscara de subred y es compatible con la
seguridad de autenticacin mediante contrasea.
Transmitir versiones de RIP: seleccione el protocolo RIP para transmitir

datos de red: Ninguno, RIPv1, RIPv2 - Broadcast (RIPv2 - Difusin) o
RIPv2 - Multicast (RIPv2 - Multidifusin).
RIPv2 - Broadcast (RIPv2 - Difusin) (opcin recomendada) permite difundir
los datos por toda la subred. RIPv2 - Multicast (RIPv2 - Multidifusin) enva
los datos a las direcciones de multidifusin. Esta opcin tambin evita
cargas innecesarias al efectuar la multidifusin de las tablas de
enrutamiento a routers adyacentes en lugar de realizar la multidifusin a toda
la red.
44
Configuracin
Configuracin de un enrutamiento dinmico IPv6

La ficha IPv6 est disponible cuando la opcin IP con pila dual est habilitada en la
pgina Configuracin > Red.
Para habilitar RIPng, active la casilla RIPng.
Configuracin de rutas estticas

Se pueden configurar rutas estticas para IPv4 e IPv6. Se trata de rutas que no se
quedan anticuadas en la tabla de enrutamiento. Se pueden introducir hasta 30
rutas.
Para configurar una ruta esttica, haga clic en Agregar o seleccione una entrada y
haga clic en Editar:
IP de destino: direccin de subred del segmento de LAN remota. Para un

dominio IP de Clase C, la direccin de red son los tres primeros campos de
la IP de LAN de destino (el ltimo campo debe ser cero).
Mscara de subred (solo IPv4): mscara de subred que se usa en el

dominio IP de la LAN de destino. Para los dominios IP de Clase C, la
mscara de subred suele ser 255.255.255.0.
Longitud del prefijo (IPv6 solo): longitud del prefijo IPv6.
Gateway predeterminada: direccin IP del router de ltimo recurso.
Recuento de saltos: nmero mximo de nodos o saltos (el valor mximo es

15 saltos) por los que pasa un paquete antes de ser descartado. Un nodo
es cualquier dispositivo de la red, como los switches o los routers.
Interfaz: interfaz que se debe usar para esta ruta.
Para eliminar una entrada de la lista, haga clic en la entrada que desee eliminar y
elija Eliminar.
Para ver los datos actuales, haga clic en View Routing Table (Ver tabla de
enrutamiento). Se abre la Routing Table Entry List (Lista de entradas de la tabla de
enrutamiento). Haga clic en Actualizar para actualizar los datos. Tambin puede
hacer clic en Cerrar para cerrar la ventana emergente.
45
Configuracin

La funcin de equilibrio de la carga entrante distribuye el trfico entrante a partes
iguales entre todos los puertos WAN para hacer el mejor uso posible del ancho de
banda. Tambin evita las distribuciones irregulares del trfico y las congestiones.
Para habilitar y configurar el equilibrio de carga entrante:
PASO 1 Haga clic en Habilitar Equilibrio de carga entrante.
PASO 2 Especifique la informacin sobre el nombre de dominio:
Nombre de dominio: nombre de dominio asignado por el proveedor de

servicios DNS.
TTL (Time-to-Live, periodo de vida): intervalo de tiempo para las consultas

DNS (segundo, 0~65535). Si se establece un intervalo grande, repercute en
el tiempo de actualizacin. Si se establece un intervalo corto, aumenta la
carga del sistema, pero se mejora la precisin del equilibrio de carga
entrante. Puede ajustar este parmetro para obtener el mejor rendimiento
de la red.
Administrador: direccin de correo electrnico del administrador.
PASO 3 Especifique los parmetros adecuados para el servidor DNS:
Servidor de nombres: servidor DNS que traduce el nombre del dominio.
Interfaz: interfaz WAN correspondiente al servidor de nombres. El sistema

muestra las direcciones IP de WAN habilitadas y adquiridas.
PASO 4 Especifique el nombre de host que proporciona servicios, por ejemplo, el servidor
de correo o el servidor FTP en el campo Nombre de host (Registro) y seleccione

la interfaz IP de WAN a la que se distribuye el trfico entrante.
PASO 5 Especifique un valor en los campos Alias, que asigna varios nombres a un equipo
(un host que podra proporcionar varios servicios) y Destino (un nombre de
dominio existente en el registro A).
PASO 6 Haga clic en Ajustes de SPF para agregar texto de SPF. SPF (Sender Policy
Framework, marco de directivas de remitente) es un sistema de validacin de

correo electrnico que evita el spam al detectar las simulaciones en el correo
electrnico (una vulnerabilidad habitual) al verificar las direcciones IP de los
remitentes (no es obligatorio configurar este campo. Encontrar ms informacin
en http://www.openspf.org/Tools#wizard?mydomain=&x=35&y=6).
46
Configuracin
PASO 7 Especifique los parmetros para el servidor de correo:
Nombre del host: nombre (sin nombre de dominio) del host de correo.
Peso: orden de los hosts de correo. El nmero ms bajo es el que tiene la

mayor prioridad.
Servidor de correo: nombre del servidor que est guardado en el registro A

o el nombre de un servidor de correo externo.

El firmware de los dispositivos USB se puede actualizar usando este dispositivo
de red.
Para actualizar un dispositivo USB conectado a un puerto USB, acceda al archivo
que se debe cargar en el dispositivo USB procedente de un equipo y haga clic en
Actualizar.
47
48
Configuracin
4
DHCP
DHCP (Dynamic Host Configuration Protocol, protocolo de configuracin dinmica

de hosts) es un protocolo de red que se usa para configurar dispositivos de red a
fin de que puedan comunicarse a travs de una red IP. Un cliente DHCP utiliza el
protocolo DHCP para adquirir informacin de configuracin, por ejemplo, una
direccin IP, una ruta predeterminada y una o varias direcciones de servidor DNS
procedentes de un servidor DHCP. El cliente DHCP utiliza esta informacin para
configurar el host. Una vez que finaliza el proceso de configuracin, el host puede
comunicarse a travs de Internet.
El servidor DHCP mantiene una base de datos con direcciones IP disponibles e
informacin de configuracin. Cuando se recibe una solicitud de un cliente, el
servidor DHCP determina a qu red est conectado el cliente DHCP, asigna una
direccin IP o un prefijo adecuado para el cliente y enva la informacin de
configuracin adecuada para este.
El servidor DHCP y el cliente DHCP deben estar conectados al mismo enlace de
red. En las redes ms grandes, cada enlace de red contiene uno o varios agentes
de retransmisin DHCP. Dichos agentes reciben mensajes desde los clientes
DHCP y los reenvan a los servidores DHCP. Estos ltimos envan respuestas al
agente de retransmisin, el cual las reenva al cliente DHCP en el enlace de red
local.
Los servidores DHCP normalmente conceden direcciones IP a los clientes durante
un intervalo de tiempo limitado, denominado tiempo de cesin. Los clientes DHCP
son responsables de renovar sus direcciones IP antes de que venza dicho
periodo. En caso de que no hayan efectuado una renovacin, deben dejar de usar
las direcciones cuando el plazo haya terminado.
DHCP se usa para IPv4 e IPv6. Aunque ambas versiones atienden al mismo
propsito, los detalles del protocolo para IPv4 e IPv6 son lo suficientemente
diferentes como para que se consideren protocolos independientes.
49
DHCP
Configuracin de DHCP se utiliza para configurar DHCP para IPv4 o IPv6. Tambin
permite que algunos dispositivos descarguen su configuracin desde un servidor
TFTP. Cuando se inicia un dispositivo, si este no tiene preconfiguradas la direccin
IP y la direccin IP del servidor TFTP, se enva una solicitud con las opciones 66,
67 y 150 al servidor DHCP para obtener esta informacin.
La opcin 150 de DHCP es propiedad de Cisco. El estndar IEEE similar a este
requisito es la opcin 66. Al igual que la opcin 150, la 66 se utiliza para
especificar el nombre del servidor TFTP. La opcin 67 proporciona el nombre del
archivo de arranque.
La opcin 82 (opcin de informacin del agente de retransmisin DHCP) permite a
un agente de retransmisin DHCP incluir informacin sobre s mismo al reenviar
paquetes DHCP procedentes de un cliente a un servidor DHCP. El servidor DHCP
puede usar esta informacin para implementar direccionamientos IP u otras
polticas de asignacin de parmetros.
Para configurar DHCP para IPv4, haga clic en la ficha IPv4. Para configurar DHCP
para IPv6, haga clic en la ficha IPv6.
Configuracin de DHCP para IPv4
Para configurar DHCP para IPv4:
PASO 1 Elija VLAN o bien Opcin 82.
PASO 2 Si elige Opcin 82, agregue los Id. de circuito mediante DHCP > Opcin 82. Estos
ID de circuito aparecern en el men desplegable ID de circuito.

Si elige VLAN, seleccione la VLAN en el men Id. de VLAN y especifique estos
datos:
Direccin IP del dispositivo: direccin IP de administracin.
Mscara de subred: mscara de subred IP de administracin.
PASO 3 Seleccione un valor en Modo DHCP:
50
Deshabilitar: deshabilita DHCP en este dispositivo. No hay que completar

ningn parmetro ms.
Servidor DHCP: transmite las solicitudes DHCP del cliente al servidor DHCP
del dispositivo.
DHCP
Retransmisin DHCP: pasa las respuestas y las solicitudes DHCP

procedentes de otro servidor DHCP a travs del dispositivo. Si elige la
opcin Retransmisin DHCP, especifique la direccin IP del servidor DHCP
remoto.
Tiempo de cesin de cliente: periodo de tiempo (en minutos) que un usuario

de red puede conectarse al router con la direccin IP actual. Valores vlidos:
entre 5 y 43 200 minutos. Valor predeterminado: 1440 minutos (es decir, 24
horas).
Inicio de rango y Fin de rango: direcciones IP de inicio y de finalizacin que

crean un rango de direcciones IP que se pueden asignar dinmicamente. El
rango puede incluir hasta el nmero mximo de direcciones IP que el
servidor puede asignar sin solapar funciones como PPTP y VPN SSL. No
incluya la direccin IP de la LAN del dispositivo en este rango de IP dinmica.
Por ejemplo, si el router utiliza la direccin IP predeterminada de la LAN,
192.168.1.1, el valor de inicio debe ser 192.168.1.2 o uno superior.
Servidor DNS: tipo de servicio DNS donde se adquiere la direccin IP del

servidor DNS.
DNS esttico 1 y DNS esttico 2: direccin IP esttica de un servidor DNS.

(Opcional) Si especifica un segundo servidor DNS, el dispositivo usa el
primero que responda a una solicitud.
WINS: direccin IP opcional de un servidor WINS (Windows Internet Naming

Service, servicio de nombres de Internet de Windows) que convierte los
nombres de NetBIOS en direcciones IP. Si no conoce la direccin IP del
servidor WINS, use el valor predeterminado (0.0.0.0).
PASO 4 Especifique los parmetros para el servidor TFTP:
Nombre de host de servidor TFTP: nombre de host del servidor TFTP.
IP de servidor TFTP: direccin IP del servidor TFTP.
Nombre de archivo de configuracin: nombre del archivo de configuracin

que se utiliza para actualizar un dispositivo.
Configuracin de DHCP para IPv6

Para configurar DHCP para IPv6:
PASO 1 Especifique la direccin IPv6.
PASO 2 Especifique la longitud del prefijo.
51
DHCP
Estado de DHCP
PASO 3 Seleccione un valor en Modo DHCP:
Deshabilitar: deshabilita DHCP en este dispositivo. No hay que completar

ningn parmetro ms.
Servidor DHCP: transmite las solicitudes DHCP del cliente al servidor DHCP
del dispositivo.
Retransmisin DHCP: pasa las respuestas y las solicitudes DHCP

procedentes de otro servidor DHCP a travs del dispositivo.
Tiempo de cesin de cliente: periodo de tiempo que un usuario de red

puede conectarse al router con la direccin IP actual. Especifique un periodo
de tiempo en minutos. Valores vlidos: entre 5 y 43 200 minutos. Valor
predeterminado: 1440 minutos (es decir, 24 horas).
Servidor DNS 1 y Servidor DNS 2: (opcional) direccin IP de un servidor

DNS. Si especifica un segundo servidor DNS, el dispositivo usa el primero
que responda. Especificar un servidor DNS puede proporcionar un acceso
ms rpido que si se usa un servidor DNS asignado dinmicamente. Use el
ajuste predeterminado (0.0.0.0) para utilizar un servidor DNS asignado
dinmicamente.
PASO 4 Especifique el grupo de direcciones IPv6:
Direccin inicial: direccin de inicio del grupo de direcciones IPv6.
Direccin final: direccin de finalizacin del grupo de direcciones IPv6.
Longitud del prefijo: longitud del prefijo de la direccin IP IPv6.
Estado de DHCP
Estado de DHCP muestra el estado del servidor DHCP y de sus clientes.
La ficha IPv6 est disponible solo si se habilit la opcin IP con pila dual en la
pgina Configuracin de red.
Para ver el estado de DHCP y los clientes, haga clic en la ficha IPv4 o IPv6. Para
IPv4, seleccione VLAN o bien Opcin 82. Para IPv6, seleccione el Prefijo.
52
DHCP
Opcin 82
Para el servidor DHCP, se muestra la siguiente informacin:
Servidor DHCP: direccin IP del servidor DHCP.
IP dinmica utilizada: nmero de direcciones IP dinmicas utilizadas.
IP esttica utilizada (solo IPv4): nmero de direcciones IP estticas

utilizadas.
DHCP disponible: nmero de direcciones IP dinmicas utilizadas.
Total: nmero total de direcciones IP dinmicas administradas por el

servidor DHCP.
La tabla de clientes muestra informacin sobre los clientes DHCP:
Nombre de host de cliente: nombre asignado a un host de cliente.
Direccin IP: direccin IP dinmica asignada a un cliente.
Direccin MAC (solo IPv4): direccin MAC de un cliente.
Tiempo de cesin de cliente: periodo de tiempo que un usuario de red

puede permanecer conectado al router con una direccin IP dinmica.
En el caso de IPv4, para liberar la direccin IP de un cliente, seleccione Nombre

de host de cliente y haga clic en Eliminar.
Haga clic en Actualizar para renovar los datos.
Opcin 82
La opcin 82 (opcin de informacin del agente de retransmisin DHCP) permite a
un agente de retransmisin DHCP incluir informacin sobre s mismo al reenviar
paquetes DHCP procedentes de un cliente a un servidor DHCP. El servidor DHCP
puede usar esta informacin para implementar direccionamientos IP u otras
polticas de asignacin de parmetros.
El ID de circuito configurable de la opcin 82 de DHCP mejora la seguridad de la
validacin, ya que le permite determinar qu informacin se proporciona en la
descripcin del Id. de circuito de la opcin 82.
Para agregar un ID de circuito, haga clic en Agregar. Se agrega una nueva fila a la
tabla y los ID de circuito aparecen en el men desplegable ID de circuito, en la
ventana Configuracin de DHCP.
53
DHCP
Vinculacin IP y MAC
Para editar un ID de circuito, seleccione la fila y haga clic en Editar. La fila se abre
para que se pueda modificar.
Vinculacin IP y MAC
Cuando el dispositivo se configura como servidor DHCP o para la retransmisin
DHCP, se pueden vincular direcciones IP estticas con un mximo de 100
dispositivos de red, por ejemplo, un servidor web o uno FTP. La vinculacin no
asigna una direccin IP a un dispositivo. Compruebe que cada dispositivo
vinculado a una direccin IP esttica de la tabla de vinculacin IP y MAC est
configurado para usar una direccin IP esttica.
Normalmente, la direccin MAC de un dispositivo aparece fsicamente en una
etiqueta en el panel inferior o posterior del dispositivo en cuestin.
Vinculacin de direcciones IP por deteccin
Para vincular direcciones IP conocidas con direcciones MAC y asignar un nombre
a la vinculacin:
PASO 1 Haga clic en Mostrar direcciones MAC desconocidas. Se muestra la tabla de
vinculacin IP y MAC. Si el navegador web muestra un mensaje sobre la ventana

Los dispositivos se enumeran en funcin de las direcciones IP y MAC. Si es
necesario, haga clic en Actualizar para actualizar los datos.
PASO 2 Especifique un valor descriptivo en Nombre.
PASO 3 Active la casilla Habilitar. Si lo desea, tambin puede seleccionar todos los
dispositivos de la lista haciendo clic en la casilla situada en la parte superior de la

columna Habilitar.
PASO 4 Haga clic en Guardar para agregar los dispositivos a la lista IP esttica. Tambin
puede hacer clic en Cerrar para cerrar la ventana emergente sin agregar los
dispositivos seleccionados.
54
DHCP
Vinculacin IP y MAC
Vinculacin manual de direcciones IP

Para agregar una nueva vinculacin a la lista, haga clic en Agregar y especifique la
siguiente informacin:
Direccin IP esttica: direccin IP esttica. Especifique 0.0.0.0 si desea que

el router asigne una direccin IP esttica a este dispositivo.
Direccin MAC: direccin MAC del dispositivo. Escriba la direccin sin

puntuacin.
Nombre: nombre descriptivo del dispositivo.
Habilitar: active esta casilla para vincular la direccin IP esttica con este
dispositivo.
Edicin o eliminacin de entradas vinculadas

Para editar los ajustes, seleccione una entrada de la lista y haga clic en Editar. La
informacin aparece en los campos de texto. Realice los cambios oportunos y
Para eliminar una entrada de la lista, seleccione la entrada que desee y haga clic
en Eliminar. Para seleccionar un grupo de entradas consecutivas, haga clic en la
primera entrada, mantenga presionada la tecla Mays y, a continuacin, haga clic
en la entrada final del grupo. Para seleccionar entradas individuales, presione la
tecla Ctrl mientras hace clic en cada entrada. Para deseleccionar una entrada,
presione la tecla Ctrl mientras hace clic en la entrada.
Uso de la lista IP esttica para bloquear dispositivos
La lista IP esttica se puede usar para controlar el acceso a la red.
Para bloquear el acceso de dispositivos que no estn en la lista o que no tienen la
direccin IP correcta:
Bloquear direcciones MAC de la lista con direcciones IP incorrectas:

active esta casilla para evitar que accedan a la red los dispositivos cuya
direccin IP haya cambiado. Por ejemplo, si ha asignado la direccin IP
esttica 192.168.1.100 y alguien configura el dispositivo para que use
192.168.149, el dispositivo no podr conectarse a la red. Esto evita que los
usuarios cambien las direcciones IP de los dispositivos sin permiso.
Desactive la casilla para permitir el acceso con independencia de la
asignacin de direccin IP actual.
Bloquear direcciones MAC no incluidas en la lista: active esta casilla para

bloquear el acceso de dispositivos que no estn incluidos en la lista IP
esttica. Esto impide que los dispositivos desconocidos accedan a la red.
Desactive la casilla para permitir el acceso de cualquier dispositivo que
est configurado con una direccin IP incluida en el rango correcto.
55
DHCP

El DNS (Domain Name Service, servicio de nombres de dominio) relaciona un
nombre de dominio con su direccin IP enrutable. Se puede configurar una base
de datos local de DNS que permita al dispositivo actuar como servidor DNS local
para los nombres de dominio de uso frecuente. Usar una base de datos local
puede ser ms rpido que usar un servidor DNS externo. Si un nombre de dominio
solicitado no se encuentra en la base de datos local, la solicitud se reenva al
servidor DNS especificado en la pgina Configuracin de red > Ajuste de WAN.
Si habilita esta funcin, tambin debe configurar los dispositivos cliente para que
usen el dispositivo como servidor DNS. De forma predeterminada, los equipos
Windows estn configurados para obtener automticamente la direccin del
servidor DNS a partir de la gateway predeterminada.
Para cambiar los ajustes de la conexin TCP/IP, por ejemplo, en un equipo
Windows, acceda a la ventana Propiedades de conexin de rea local >
Protocolo de Internet > Propiedades de TCP/IP. Elija Utilizar la siguiente
direccin del servidor DNS y especifique la direccin IP de la LAN del router
como el servidor DNS preferido. Para obtener ms informacin, consulte la
documentacin del cliente que est configurando.
Adicin, edicin o eliminacin de entradas DNS locales
Para agregar una nueva entrada, haga clic en Agregar y especifique la siguiente
informacin:
Nombre del host: escriba el nombre de dominio, como ejemplo.com o

ejemplo.org. Si no incluye el nivel final del nombre de dominio, Microsoft
Windows agregar automticamente .com a la entrada.
Direccin IP: especifique la direccin IP del recurso.
Para editar los ajustes, seleccione una entrada de la lista. La informacin aparece
en los campos de texto. Realice los cambios oportunos y haga clic en Guardar.
56
DHCP

RADVD (Router Advertisement Daemon, daemon de anuncio de router) se utiliza
para el enrutamiento y la configuracin automtica de IPv6. Si se habilita, el router
enviar los mensajes peridicamente y a modo de respuesta a las solicitudes. Un
host usa la informacin para conocer los prefijos y parmetros de la red local. Si
deshabilita esta funcin, se deshabilitar de forma eficaz la configuracin
automtica, lo que requerir la configuracin manual de la direccin IPv6, el prefijo
de subred y la gateway predeterminada en cada dispositivo.
Esta pgina est disponible si se habilit la opcin IP con pila dual en la pgina
Configuracin de red. Si no se ha habilitado, se muestra un mensaje cuando se
intenta abrir esta pgina.
Para activar la opcin Habilitar anuncio de router, seleccione la casilla y
cumplimente el resto de los campos:
Modo de anuncio: seleccione una de las siguientes opciones:

-
Multidifusin no solicitada: enva mensajes de anuncios de router a

todas las interfaces que pertenezcan al grupo de multidifusin. Esta
opcin es el ajuste predeterminado. Especifique tambin un valor en
Intervalo de anuncio para indicar el intervalo con el que se deben
enviar los mensajes de anuncio de router. Especifique un valor entre 10 y
1800 segundos. El valor predeterminado es 30 segundos.
Solo unidifusin: enva mensajes de anuncio de router solo a las

direcciones IPv6 conocidas.
Marcas de anuncio de router: determina si los hosts pueden usar o no usar

DHCPv6 para obtener las direcciones IP y la informacin relacionada. Las
opciones son:
-
Administradas: los hosts utilizan un protocolo de configuracin

administrado con estado (DHCPv6) para obtener direcciones con
estado y otras informaciones a travs de DHCPv6.
Otros: utiliza un protocolo de configuracin administrado con estado

(DHCPv6) para obtener otra informacin sin direccin, como las
direcciones del servidor DNS.
Preferencia de router (Alta, Media o Baja): la mtrica de preferencia se

utiliza en una topologa de red en la que los hosts con ms de una conexin
tienen acceso a varios routers. Esta mtrica ayuda a un host a elegir el
57
DHCP
router adecuado. Si se puede acceder a los dos routers, se elige el que

tenga la preferencia ms alta. Los hosts que no implementan las
preferencias del router hacen caso omiso de estos valores. El valor
predeterminado es Alta.
MTU: tamao mximo de paquete que puede enviarse a travs de la red.

MTU (Maximum Transmission Unit, unidad mxima de transmisin) se usa
en los mensajes de anuncio de router para garantizar que todos los nodos
de la red usan el mismo valor de MTU cuando no se conoce la MTU de LAN.
El ajuste predeterminado es 1500 bytes, que es el valor estndar para las
redes Ethernet. En el caso de las conexiones PPPoE, el valor estndar es
1492 bytes. Esta configuracin no debe cambiarse, a no ser que el ISP as
lo requiera.
Vigencia de router: duracin de los mensajes de anuncio de router en la

ruta, en segundos. El valor predeterminado es 3600 segundos.
Para agregar una nueva subred, haga clic en Agregar y especifique valores en los
campos Direccin IPv6, Longitud del prefijo y Vigencia.
58
5
Administracin del sistema
La funcin Administracin del sistema incluye ajustes avanzados (por ejemplo,

herramientas de diagnstico) y permite realizar actualizaciones de firmware,
copias de seguridad y reinicios del dispositivo, entre otras tareas.

Si utiliza ms de una interfaz WAN, use esta funcin para configurar los ajustes de
las conexiones a Internet.
Para configurar el equilibrio de carga, elija uno de los siguientes modos con el fin
de administrar las conexiones WAN:
Smart Link de respaldo: garantiza una conectividad continua. Si la

conexin WAN principal no est disponible, se utilizar la conexin WAN de
seguridad. Elija la interfaz WAN principal en el men desplegable.
Equilibrio de carga: use las dos conexiones WAN simultneamente para

aumentar el ancho de banda disponible. El router equilibra el trfico entre
las dos interfaces utilizando el mtodo Weighted Round-Robin.
NOTA Las consultas DNS no estn sujetas al equilibrio de carga.
Para configurar los ajustes de la interfaz, seleccione WAN Interface (Interfaz

WAN) y haga clic en Editar. Se abre la ventana de ajustes de la interfaz.
Especifique los siguientes parmetros:
Mximo ancho de banda proporcionado por el ISP
Especifique el ajuste de ancho de banda mximo, tal y como se lo haya
especificado el ISP. Si el ancho de banda excede el nmero especificado, el router
utiliza otra interfaz WAN para la prxima conexin.
Ascendente: ancho de banda ascendente mximo proporcionado por el

ISP. El valor predeterminado es 10 000 kbit/s. El valor mximo es
1 000 000 kbit/s.
59

Descendente: ancho de banda descendente mximo proporcionado por el

ISP. El valor predeterminado es 10 000 kbit/s.
Deteccin de servicio de red

Si lo desea, active la casilla para que el dispositivo pueda detectar la conectividad
de red haciendo ping a los dispositivos especificados y especifique los ajustes
que se describen a continuacin:
Recuento de reintentos: nmero de veces que se puede hacer ping a un

dispositivo. El rango es de 1 a 99 999. El valor predeterminado es 3.
Tiempo de espera de reintento: nmero de segundos que se debe

esperar entre un ping y el siguiente. El rango es de 1 a 99 999. El valor
predeterminado es 10 segundos.
En caso de fallo: accin que se debe realizar si se produce un fallo con la

prueba Ping:
Generate the Error Condition in the System Log (Generar condicin

de error en el registro del sistema): recoge el fallo en el registro del
sistema. No se realiza conmutacin por error a la otra interfaz.
Keep System Log and Remove the Connection (Mantener registro de

sistema y eliminar la conexin): se realiza la conmutacin por error y se
utiliza la interfaz de copia de seguridad. Cuando se restaura la
conectividad del puerto WAN, se restablece el trfico.
Gateway predeterminada, Host de ISP, Host remoto y Host de bsqueda

DNS: seleccione el dispositivo al que desea hacer ping para determinar la
conectividad de red. En el caso de un host de ISP o un host remoto, escriba
la direccin IP. Si se trata de un host de bsqueda DNS, escriba un nombre
de host o un nombre de dominio. Desactive la casilla si no desea hacer ping
a este dispositivo para detectar el servicio de red.
Enlace de protocolo
Enlace de protocolo requiere que se use esta interfaz para los protocolos, el
origen y las direcciones de destino especificados. Permite a un administrador
vincular trfico saliente especfico con una interfaz WAN. Se usa normalmente
cuando las dos interfaces WAN tienen diferentes caractersticas o cuando
determinado trfico de la LAN o la WAN debe pasar por la misma interfaz WAN.
60

Para agregar o editar entradas de la tabla, haga clic en Agregar o Editar y

especifique la siguiente informacin:
Servicio: servicio (o Todo el trfico) que se debe vincular a esta interfaz

WAN. Si un servicio no aparece en la lista, puede hacer clic en
Administracin de servicios para agregarlo. Para obtener ms informacin,
consulte Creacin o edicin de un servicio.
IP de origen e IP de destino: origen interno y destino externo del trfico

que pasa por este puerto WAN. Para especificar un rango de direcciones IP,
escriba la primera direccin en el primer campo y escriba la direccin final
en el campo Hasta. Para especificar una nica direccin IP, escriba la misma
direccin en los dos campos.
Si desea habilitar el enlace de protocolo, active la casilla para habilitar esta regla o
desactvela para deshabilitarla.
Para editar los ajustes, seleccione una entrada de la lista. La informacin aparece
en los campos de texto. Realice los cambios oportunos y haga clic en Guardar.
Creacin o edicin de un servicio
Para agregar una entrada nueva a la lista Servicio o para cambiar una entrada,
haga clic en Administracin de servicios. Puede haber 30 servicios en la lista
como mximo. Si el navegador web muestra una advertencia sobre la ventana
Para agregar un servicio a la lista, haga clic en Agregar y especifique la siguiente
informacin:

que desee alojar.
Rango de puertos: rango de puertos obligatorio.
61


La funcin Administracin del ancho de banda permite definir los ajustes del
ancho de banda para el trfico ascendente y descendente, as como configurar
los ajustes de QoS (Quality of Service, calidad del servicio) para los distintos tipos
de trfico, como los servicios de voz.
Mximo ancho de banda proporcionado por el ISP
Especifique el ajuste de ancho de banda mximo, tal y como se lo haya
especificado el ISP:
Ascendente: ancho de banda ascendente mximo proporcionado por el

ISP.
Descendente: ancho de banda descendente mximo proporcionado por el

ISP.
Tipo de administracin del ancho de banda

Seleccione una de las siguientes opciones de administracin:
62
Control de velocidad: ancho de banda mnimo (garantizado) y ancho de

banda mximo (limitado) para cada servicio o direccin IP. Puede agregar
100 servicios como mximo.
Prioridad: administre el ancho de banda identificando cules son los

servicios de alta y baja prioridad.

Control de velocidad
Para agregar una interfaz que est sujeta a la administracin del ancho de banda,
haga clic en Agregar y especifique los siguientes ajustes:
Interfaz: interfaz compatible con el servicio.
Servicio: servicio que se debe administrar. Si un servicio no aparece en la

lista, haga clic en Administracin de servicios para agregarlo.
IP: direccin IP o rango que se debe controlar.
Direccin: seleccione Ascendente para el trfico saliente. Seleccione

Descendente para el trfico entrante.
Velocidad mn.: velocidad mnima en kbit/s para el ancho de banda

garantizado.
Velocidad mxima: velocidad mxima en kbit/s para el ancho de banda

garantizado.
Seleccione la casilla para habilitar el servicio.

Configuracin de la prioridad
Para agregar una interfaz que est sujeta a la administracin del ancho de banda,
haga clic en Agregar y especifique los siguientes ajustes:
Interfaz: interfaz compatible con el servicio.
Servicio: servicio que se debe administrar. Si un servicio no aparece en la

lista, haga clic en Administracin de servicios para agregarlo.
Direccin: seleccione Ascendente para el trfico saliente. Seleccione

Descendente para el trfico entrante.
Prioridad: seleccione la prioridad para este servicio. Alta o Baja. El nivel de

prioridad predeterminado es Media, que se considera de forma implcita y
no se muestra en la interfaz web.
Seleccione la casilla para habilitar este servicio.
63

SNMP
SNMP
SNMP (Simple Network Management Protocol, protocolo simple de
administracin de red) permite a los administradores de red administrar y
supervisar la red, adems de recibir notificaciones de los eventos crticos a
medida que se producen en la red. El dispositivo es compatible con SNMP v1/v2c
y SNMP v3. El dispositivo es compatible con MIB (Management Information Bases,
bases de informacin de gestin) estndar como MIBII y con las MIB privadas.
El dispositivo acta como un agente SNMP que responde a los comandos SNMP
desde los sistemas de administracin de redes SNMP. Los comandos que se
pueden usar son los comandos SNMP estndares get, next y set. Tambin genera
mensajes trap para informar al administrador de SNMP en el momento en que se
produce una condicin de alarma, por ejemplo, reinicios, ciclos de apagado y
encendido o eventos relacionados con los enlaces WAN.
Configuracin de SNMP
Nombre del sistema: nombre de host del dispositivo.
Contacto del sistema: nombre del administrador de red al que se le deben

notificar las novedades sobre el dispositivo.
Ubicacin del sistema: informacin de contacto sobre el administrador de

red. Puede tratarse de una direccin de correo electrnico, un nmero de
telfono o un nmero de radiolocalizador.
Nombre de la comunidad de trap: contrasea que se enva con cada trap

al administrador de SNMP. La cadena puede tener hasta 64 caracteres
alfanumricos. El valor predeterminado es public.
Habilitar SNMPv1/v2c: habilita SNMP v1/v2c.

-
64
Obtener nombre de la comunidad: cadena de comunidad para la

autenticacin de los comandos SNMP GET. Puede escribir un nmero

SNMP
que tenga 64 caracteres alfanumricos como mximo. El valor

predeterminado es public.
Establecer nombre de la comunidad: cadena de comunidad para la

autenticacin de los comandos SNMP SET. Puede escribir un nmero
que tenga 64 caracteres alfanumricos como mximo. El valor
predeterminado es private.
Direccin IP de receptor del trap SNMPv1/v2c: direccin IP o nombre

de dominio para el servidor en el que est ejecutando el software de
administracin de SNMP.
Habilitar SNMPv3: habilita SNMPv3 (marque la casilla y haga clic en

Guardar antes de crear usuarios y grupos de SNMP). Siga las instrucciones
que aparecen en Configuracin de SNMPv3.
-
Direccin IP de receptor del trap SNMPv3: direccin IP o nombre de

dominio para el servidor en el que est ejecutando el software de
administracin de SNMP.
Usuario receptor del trap SNMPv3: nombre de usuario para el servidor

en el que se est ejecutando el software de administracin de SNMP.
Configuracin de SNMPv3
Puede crear grupos de SNMPv3 para administrar el acceso SNMP MIB e
identificar los usuarios que tienen acceso a cada grupo.
Para agregar o editar un grupo:
PASO 1 Haga clic en Agregar o seleccione un grupo y haga clic en Editar en la Tabla de
grupo.
PASO 2 Especifique el nombre de grupo.
PASO 3 En el men desplegable, seleccione un nivel de seguridad. Al seleccionar
Autenticacin o Privacidad, los usuarios se ven obligados a autenticarse usando

contraseas. Cuando se selecciona Sin autenticacin o Sin privacidad, los
usuarios de este grupo no necesitan definir una contrasea de autenticacin ni de
privacidad. El valor predeterminado es Sin autenticacin, Sin privacidad. Las
contraseas de autenticacin y privacidad deben tener 8 caracteres como
mnimo.
PASO 4 Seleccione las MIB a las que pueden acceder los miembros del grupo.
65

Discovery: Bonjour
Para agregar o editar un usuario:

PASO 1 Haga clic en Agregar o seleccione un usuario y haga clic en Editar en la Tabla de
usuario.
PASO 2 Especifique el nombre de usuario.
PASO 3 En el men desplegable, seleccione el grupo.
PASO 4 Seleccione el mtodo de autenticacin y escriba la contrasea de
autenticacin.
PASO 5 Seleccione el mtodo de privacidad y escriba la contrasea de privacidad.
Discovery: Bonjour
Bonjour es un protocolo de deteccin de servicios que permite localizar
dispositivos de red (por ejemplo, equipos y servidores) en una LAN. Cuando esta
funcin est habilitada, el dispositivo realiza peridicamente una multidifusin de
registros de servicio Bonjour a la LAN para anunciar su existencia.
NOTA Para detectar productos de Cisco, Cisco proporciona una utilidad denominada
FindIt que funciona mediante una sencilla barra de herramientas que se instala en
el navegador web. Esta utilidad detecta los dispositivos de Cisco
que haya en la red y muestra informacin bsica, como nmeros de serie y
direcciones IP. Para obtener ms informacin y descargar la utilidad, visite
www.cisco.com/go/findit.
Para habilitar Bonjour de forma global, active la casilla Discovery Enable (Habilitar
Discovery). Esta opcin est habilitada de forma predeterminada.
Para habilitar Bonjour para una VLAN, active la casilla de la columna Habilitar
Bonjour. Esta opcin est habilitada de forma predeterminada.
66

Propiedades de LLDP
Propiedades de LLDP
LLDP (Link Layer Discovery Protocol, protocolo de deteccin de capa de enlace)
es un protocolo independiente de los proveedores incluido en el conjunto de
protocolos de Internet. Los dispositivos de red lo utilizan para anunciar su
identidad, sus funciones y dispositivos vecinos en una red de rea local de IEEE
802, principalmente Ethernet con cable. Los dispositivos envan la informacin
LLDP desde cada una de sus interfaces a intervalos fijos, en formato de tramas de
Ethernet. Cada trama contiene una unidad de datos LLDP (LLDPDU). Cada
LLDPDU es una secuencia de estructuras TLV (Type-Length-Value, tipo, longitud,
valor).
Para habilitar las propiedades de LLDP, active la casilla Habilitar. (esta opcin est
habilitada de forma predeterminada).
Para habilitar las propiedades de LLDP en una interfaz, active las casillas Habilitar,
WAN1 o WAN2 (estas opciones estn habilitadas de forma predeterminada).
La Tabla de vecinos de LLDP muestra la siguiente informacin:
Puerto local: identificador del puerto.
Subtipo de Id. de chasis: tipo de Id. de chasis (por ejemplo, la direccin

MAC).
Id. de chasis: identificador del chasis. En los casos en los que el subtipo de
Id. de chasis es una direccin MAC, se muestra la direccin MAC del
dispositivo.
Subtipo de Id. de puerto: tipo de identificador de puerto.
Id. de puerto: identificador del puerto.
Nombre del sistema: nombre del dispositivo.
Periodo de vida: velocidad en segundos a la que se envan las

actualizaciones de los anuncios LLDP.
67

Uso de Diagnsticos
Uso de Diagnsticos
La pgina Diagnstico permite acceder a dos herramientas integradas, Bsqueda
de nombre DNS y Ping. Si sospecha que hay un problema con la conectividad,
puede usar estas herramientas para investigar la causa.
Si desea usar DNS para conocer una direccin IP, elija Bsqueda DNS,
especifique un valor en Buscar nombre de dominio (por ejemplo,
www.cisco.com) y haga clic en Ir. Se mostrar la direccin IP.
Para probar la conectividad con un host concreto, elija Ping, especifique una
direccin IP o un nombre de host y haga clic en Ir. Si no conoce la direccin IP, use
la herramienta Bsqueda DNS para averiguarla. La herramienta Ping muestra si el
dispositivo puede enviar un paquete a un host remoto y recibir una respuesta.
Si la prueba es satisfactoria, se muestra la siguiente informacin:
Estado: estado de la prueba, que puede ser Prueba, Prueba realizada

correctamente o Prueba fallida
Paquetes: nmero de paquetes transmitidos, nmero de paquetes

recibidos y porcentaje de paquetes perdidos en la prueba Ping.
Recorrido de ida y vuelta: valores mnimo, mximo y medio del recorrido

de ida y vuelta de la prueba Ping.
Ajustes predeterminados
Para reiniciar el dispositivo y restablecer todos los parmetros a los valores
predeterminados, haga clic en Ajustes predeterminados.
Para restaurar el dispositivo a los valores predeterminados, incluidos los
certificados predeterminados, haga clic en Ajustes predeterminados, incluidos
certificados.
68

Esta funcin permite descargar el firmware para el dispositivo desde un equipo o
una unidad flash USB e instalarlo. La ventana muestra la versin de firmware que
est instalada actualmente en el dispositivo.
NOTA Si elige una versin anterior del firmware, el dispositivo podra restablecerse a los
ajustes predeterminados. Se recomienda hacer una copia de seguridad de la

configuracin usando el procedimiento descrito en Copia de seguridad y
restauracin antes de actualizar el firmware.
La actualizacin del firmware puede tardar varios minutos.
No desconecte la alimentacin, no presione el botn de reinicio, no cierre el
navegador ni desconecte el enlace durante este proceso.
Para cargar firmware desde un equipo, seleccione Actualizacin de firmware
desde PC y busque el archivo.
Para cargar firmware desde una unidad flash USB, seleccione Actualizacin de
firmware desde USB y seleccione el archivo.
Seleccin de idioma o Configuracin de idioma

Use las pginas Seleccin de idioma o Configuracin de idioma para cambiar el
idioma asociado a la interfaz del usuario y a la ayuda del dispositivo.
Para las versiones de firmware posteriores a la 1.0.2.03, use la pgina Seleccin
de idioma para elegir un idioma.
PASO 1 Acceda a Administracin del sistema > Seleccin de idioma.
PASO 2 En la lista desplegable Seleccionar idioma, seleccione un idioma.
69

Reiniciar
Si lo desea, tambin puede elegir un idioma de la siguiente manera:
En la pgina Inicio de sesin, elija un idioma en la lista desplegable Idioma.
En cada pgina de configuracin, elija un idioma en la lista desplegable de la

esquina superior derecha.
Para las versiones del firmware 1.0.2.03 o anteriores, use la pgina Configuracin
de idioma para elegir un idioma nuevo cargando un paquete de idiomas en el
dispositivo.
Para agregar un paquete de idiomas y elegir un idioma:
PASO 1 Acceda a Administracin del sistema > Configuracin de idioma.
PASO 2 En la lista desplegable Modo, seleccione Agregar.
PASO 3 Especifique el nombre de nuevo idioma.
PASO 4 Busque el nombre de archivo de idioma para cargar el nuevo archivo de idioma.
PASO 6 Una vez que haya cargado el paquete de idiomas, elija un idioma en la lista
desplegable de la esquina superior derecha de la pgina Configuracin de idioma

o de otras pginas de configuracin.
Reiniciar
Al reiniciar desde la pgina Reiniciar, el router enva el archivo de registro (si la
funcin de registro est habilitada) antes de restablecer el dispositivo. Los
parmetros del dispositivo se conservan.
Para reiniciar el dispositivo, haga clic en Reiniciar router.
70


Los archivos de configuracin se pueden importar, exportar y copiar. El router
tiene dos archivos de configuracin administrados: el de inicio y el de rplica. El
dispositivo carga el archivo de inicio desde la memoria al arrancar en la
configuracin que se est ejecutando y copia dicho archivo de inicio en el archivo
de rplica. De esta manera, el archivo de rplica contiene la ltima configuracin
conocida vlida.
Si el archivo de configuracin de inicio est daado o falla por cualquier razn, se
utilizar el archivo de configuracin de rplica. El router copia automticamente la
configuracin de inicio en la configuracin de rplica cuando hayan transcurrido
24 horas de ejecucin estable (24 horas en las que no se produzcan reinicios ni
cambios de configuracin).
Restauracin de los ajustes desde un archivo de configuracin
Para restaurar la configuracin de inicio desde un archivo previamente guardado
en un equipo o una unidad flash USB:
PASO 1 En la seccin Restaurar configuracin de inicio, seleccione Restaurar
configuracin de inicio desde PC y haga clic en Explorar. Tambin puede

seleccionar Restaurar configuracin de inicio desde USB y hacer clic en
Actualizar.
PASO 2 Seleccione un archivo de configuracin (.config).
PASO 3 Haga clic en Restaurar. Este proceso puede tardar hasta un minuto. Si el archivo
de configuracin contiene una contrasea diferente de la contrasea de

administracin actual del dispositivo, deber introducir esta contrasea para que
el archivo de configuracin se pueda restaurar.
PASO 4 Haga clic en Administracin del sistema > Reiniciar en el rbol de navegacin.
Los ajustes importados no se aplican hasta que se reinicie el dispositivo mediante

Administracin del sistema > Reiniciar.
Si lo desea, presione el botn Reiniciar del dispositivo durante un segundo y, a
continuacin, sultelo para reiniciar el router.
71

Copia de seguridad de los archivos de configuracin y de rplica

Para guardar los archivos de configuracin de inicio y de rplica en un equipo o en
una unidad flash USB:
PASO 1 Seleccione Realizar copia de seguridad de archivo de configuracin en PC o
Realizar copia de seguridad de archivo de configuracin en USB.

PASO 2 Haga clic en Configuracin de inicio de copia de seguridad o en Configuracin
de rplica de copia de seguridad. Aparece la ventana Descarga de archivo.

PASO 3 Haga clic en Guardar y elija la ubicacin del archivo. Si lo desea, puede
especificar un nombre de archivo y hacer clic en Guardar.
TIP
Los nombres de archivo predeterminados son Startup.config y Mirror.config. La

extensin .config es obligatoria. Para facilitar la identificacin, puede resultar til
especificar un nombre de archivo que incluya la fecha y la hora actuales.
Copia del archivo de rplica en el archivo de inicio
Puede copiar manualmente el archivo de configuracin de inicio del dispositivo en
el archivo de configuracin de rplica.
Puede usar este proceso para realizar una copia de seguridad de una
configuracin buena conocida antes de realizar cambios en la configuracin de
inicio:
El archivo de configuracin de inicio se copia automticamente en el

archivo de configuracin de rplica cada 24 horas.
Si se realiza algn cambio en los parmetros del dispositivo, el contador de

tiempo se restablece y la prxima copia automtica se realiza 24 horas ms
tarde, a menos que el archivo de inicio se guarde manualmente como el
archivo de rplica.
Para copiar el archivo de inicio en el archivo de rplica, haga clic en Copiar rplica
en inicio. La operacin de copia se realiza inmediatamente, sin que haya opcin
de cancelarla. Cuando finaliza la operacin, la pgina se actualiza.
72

Limpieza de la configuracin
Al limpiar la configuracin, se elimina el archivo de rplica y el archivo de
configuracin de inicio.
Para eliminar el archivo de rplica y el de configuracin de inicio, haga clic en
Limpiar configuracin.
!
PRECAUCIN La configuracin de rplica se elimina inmediatamente, sin que haya opcin a
cancelar la operacin. El dispositivo se restablece de modo que utilice la

configuracin predeterminada y se reinicia.
Copia de seguridad del firmware en una unidad flash USB
Para realizar una copia de seguridad del firmware en una unidad flash ubicada en
el puerto USB, seleccione el puerto en el men desplegable y haga clic en Copia
de seguridad. El dispositivo guarda la imagen del firmware con el nombre
image.bin.
73
74

6
Administracin de puertos
La funcin Administracin de puertos permite configurar los ajustes de los

puertos y ver su estado.
Se puede habilitar la rplica de puertos, deshabilitar un puerto, as como
configurar la prioridad, la velocidad, el modo dplex y la negociacin automtica.
Tambin se pueden habilitar las VLAN basadas en puertos para controlar el trfico
entre los dispositivos de la red.
Configuracin de puertos
Puede configurar la rplica de puertos y los puertos de administracin, incluidos
aspectos como la prioridad y el modo. Si se activa la rplica de puertos, se enva
una copia de los paquetes de red que pasan por un puerto a una conexin de
supervisin de red en otro puerto. Esto se suele usar con frecuencia para los
dispositivos de red que requieren la supervisin del trfico de red, por ejemplo,
los sistemas de deteccin de intrusiones. La rplica de puertos en un switch de
Cisco Systems se denomina normalmente SPAN (Switched Port Analyzer,
analizador de puertos del switch).
Los administradores y los ingenieros de redes utilizan la rplica de puertos para
analizar y depurar datos o para diagnosticar errores en las redes. Esta funcin
permite supervisar el rendimiento de la red y le enva alertas cuando se detectan
problemas.
NOTA Cuando se habilita la opcin Clonacin de direcciones MAC, la rplica de puertos
no funciona.
Para habilitar la rplica de puertos para RV320, seleccione la opcin Habilitar
puerto de rplica. Los paquetes entrantes y salientes de los puertos WAN y LAN
se copian en la LAN1.
Para habilitar la rplica de puertos para RV325, seleccione la opcin Habilitar
puerto de rplica. Los paquetes entrantes y salientes de los puertos LAN se
copian en la LAN1.
75
Estado de puerto
Se muestra la siguiente informacin de solo lectura sobre cada puerto:
Id. de puerto: nombre o nmero del puerto, tal y como aparece etiquetado
en el dispositivo.
Interfaz: tipo de interfaz, que puede ser LAN, WAN o DMZ.
Realice los siguientes ajustes:
Deshabilitar: seleccione esta casilla para deshabilitar un puerto. De forma

predeterminada, todos los puertos estn habilitados.
EEE: marque esta casilla para habilitar la funcin de eficiencia energtica

de Ethernet, que reduce el consumo de alimentacin durante los periodos
de baja actividad de los datos.
Prioridad: seleccione el nivel de prioridad adecuado para cada puerto, que

puede ser Alta o Normal. Esto garantiza la QoS (Quality of Service, calidad
del servicio) al priorizar el trfico para dispositivos en determinados
puertos. Por ejemplo, puede asignar un nivel de prioridad alto a un puerto
que se use para juegos o videoconferencias. El valor predeterminado es
Normal.
Modo: velocidad del puerto y modo dplex. Cuando se selecciona

Negociacin automtica, el dispositivo negocia de forma automtica las
velocidades de conexin y el modo dplex con el dispositivo conectado.
Estado de puerto
La opcin Estado de puerto muestra un resumen del estado de los puertos. Haga
clic en Actualizar para actualizar los datos.
La tabla de Ethernet muestra la siguiente informacin:
76
Id. de puerto: ubicacin del puerto.
Tipo: tipo de puerto.
Estado de enlace: estado de la conexin.
Actividad de puerto: estado del puerto.
Prioridad: prioridad del puerto definida en la ventana Configuracin de

puerto.
Estado de velocidad: velocidad del puerto, que puede ser 10 Mbps,

100 Mbps o 1000 Mbps.
Estado dplex: modo dplex, que puede ser Semi o Completo.
Negociacin automtica: estado del modo dplex.
La tabla Estadsticas muestra la siguiente informacin sobre el puerto
seleccionado:
Id. de puerto: ubicacin del puerto.
Estado de enlace: estado de la conexin.
Paquetes Rx: nmero de paquetes recibidos a travs del puerto.
Paquetes Rx: nmero de paquetes recibidos (cantidad expresada en

bytes).
Paquetes Tx: nmero de paquetes enviados a travs del puerto.
Paquetes Tx: nmero de paquetes enviados (cantidad expresada en bytes).
Error de paquete: nmero de paquetes con errores.
Pertenencia a VLAN
Todos los puertos LAN estn en VLAN 1 de forma predeterminada.
Para habilitar las VLAN, seleccione la opcin Habilitar VLAN.
Para agregar o editar una VLAN:
Id. de VLAN: identificador de la VLAN.
Descripcin: descripcin de esta VLAN.
Enrutamiento entre VLAN: hace posible que los paquetes viajen a travs
de las VLAN. Una VLAN que tenga deshabilitado el enrutamiento entre
VLAN quedar aislada de otras VLAN. Se pueden configurar reglas de
acceso al cortafuegos para regular an ms (permitir o denegar) el trfico
entre VLAN.
77
Ajuste QoS:CoS/DSCP
Para RV320, LAN 1 through LAN 4 (De LAN 1 a LAN 4): un puerto puede
estar etiquetado o sin etiquetar y tambin se puede excluir de la VLAN.
Para RV325, LAN 1 through LAN 14 (De LAN 1 a LAN 14): un puerto puede
estar etiquetado o sin etiquetar y tambin se puede excluir de la VLAN.
Ajuste QoS:CoS/DSCP
Esta opcin agrupa el trfico por CoS (Classes of Service, clases de servicio), lo
que garantiza el ancho de banda y una mayor prioridad para los servicios
especificados. Todo el trfico que no se agrega al Grupo IP utiliza el modo
Equilibrador inteligente.
Para configurar las colas de servicios, seleccione la prioridad de la cola (4 es el
valor mximo y 1 el mnimo) en el men desplegable.
Para definir el DSCP (Differential Services Code Point, punto de cdigo de
servicios diferenciados), seleccione la Cola en los mens desplegables.
Marcado DSCP
El punto de cdigo de servicios diferenciados (o DiffServ) especifica un mtodo
sencillo y escalable para clasificar y administrar el trfico de red y proporcionar
calidad del servicio. DiffServ se puede usar para proporcionar baja latencia al
trfico de red crtico (como la voz o el flujo de contenido multimedia) y, a la vez,
proporcionar el mejor servicio dentro de lo posible a los servicios no crticos
(como el trfico web o las transferencias de archivos).
Para configurar las colas de servicios, haga clic en Editar, configure Cos/802.1p y
especifique el estado y la prioridad.
78
El control de acceso de red basado en puertos usa las caractersticas de acceso
fsicas de infraestructuras LAN IEEE 802 para proporcionar un medio de
autenticacin y autorizacin de dispositivos conectados a un puerto LAN que
dispone de caractersticas de conexin de punto a punto, y para evitar el acceso a
dicho puerto en los casos en que falle la autenticacin y la autorizacin. Un puerto
en este contexto es un nico punto de conexin con la infraestructura de la LAN.
Para configurar la autenticacin basada en puerto:
PASO 1 Active la opcin Autenticacin basada en puerto para habilitar la funcin.
PASO 2 Especifique la direccin IP del servidor RADIUS.
PASO 3 Escriba el nmero que proceda en el campo Puerto UDP de RADIUS.
PASO 4 Escriba el secreto de RADIUS.
PASO 5 En el men desplegable, seleccione un valor para Administration State (Estado
de administracin) en la tabla de puertos:
Autorizado a la fuerza: no se necesita autorizacin. Cuando un puerto LAN

se configura como Autorizado a la fuerza, los equipos conectados a ese
puerto LAN deben tener una direccin IP esttica. Como mnimo, un puerto
LAN debe estar configurado como Autorizado a la fuerza.
No autorizado a la fuerza: el control del estado de los puertos se configura

para descartar el trfico. Los paquetes no pueden pasar.
Automtico: activa la autenticacin basada en puerto. La interfaz alterna

entre el estado autorizado y el estado no autorizado en funcin del
intercambio de autenticacin existente entre el dispositivo y el cliente.
79
80
7
Cortafuegos
El principal objetivo de un cortafuegos es controlar el trfico de red entrante y

saliente mediante el anlisis de los paquetes de datos y la determinacin de si se
debe o no permitirles el paso, en funcin de un conjunto de reglas
predeterminado. Un cortafuegos de red construye un puente entre una red interna
que se considera segura y de confianza y otra red que suele ser externa (por
ejemplo, Internet) y no se considera segura ni de confianza.
General
Los controles generales del cortafuegos administran las funciones que usan
normalmente los navegadores de Internet y las aplicaciones.
Activacin de las funciones del cortafuegos
Para activar el cortafuegos, seleccione la opcin Habilitar. Las siguientes
funciones de cortafuegos se pueden habilitar o deshabilitar segn sea necesario:
SPI (inspeccin de paquetes con estado): supervisa el estado de las

conexiones de red (por ejemplo, los flujos TCP o la comunicacin UDP) que
viajan por esta. El cortafuegos distingue los paquetes legtimos para los
distintos tipos de conexiones. Solo los paquetes que coinciden con una
conexin activa conocida pueden pasar por el cortafuegos; los que no, se
rechazan.
DoS (Denegacin de servicio): detecta intentos de generar una

sobrecarga en el servidor. En lneas generales, los ataques DoS se llevan a
cabo forzando el reinicio de los equipos objetivo del ataque, consumiendo
sus recursos de forma que no puedan proporcionar el servicio para el que
fueron diseados u obstruyendo los medios de comunicacin entre los
usuarios previstos y la vctima, de forma tal que no se pueden llevar a cabo
unas comunicaciones adecuadas.
Bloquear solicitud de WAN: bloquea las solicitudes TCP y los paquetes

ICMP.
81
Cortafuegos
General
Administracin remota: cuando se habilita esta opcin, permite realizar la

administracin remota del dispositivo. El puerto predeterminado es el 443.
Se puede cambiar por cualquier otro puerto que defina el usuario. La
cadena sera https://<IP-WAN>:<puerto-administracin-remota>.
Trnsito de multidifusin: permite que los mensajes de multidifusin

pasen a travs del dispositivo.
HTTPS (Hypertext Transfer Protocol Secure, protocolo seguro de

transferencia de hipertexto): es un protocolo de comunicaciones que
garantiza la seguridad de las comunicaciones a travs de una red
informtica. En Internet se usa con mucha frecuencia.
VPN SSL: permite efectuar conexiones VPN SSL.
SIP ALG: gateway de capa de aplicaciones que aumenta el nivel de un

cortafuegos o NAT. Permite conectar los filtros transversales NAT
personalizados a la gateway para permitir la conversin de puertos y
direcciones para los protocolos control/data de SIP.
UPnP (Universal Plug and Play, Plug and Play universal): es un conjunto de
protocolos de red que permite que los dispositivos de red (por ejemplo,
equipos personales, impresoras, gateways de Internet, puntos de acceso
Wi-Fi y dispositivos mviles) puedan detectar mutuamente su presencia sin
problemas en la red y establecer unos servicios de red funcionales para
compartir datos y para las comunicaciones.
Restriccin de caractersticas Web

Para restringir las caractersticas Web Java, Cookies, ActiveX o Acceso a
servidores proxy HTTP, active la casilla correspondiente.
Para permitir nicamente las caractersticas seleccionadas (Java, Cookies,
ActiveX o Acceso a servidores proxy HTTP) y restringir todas las dems, active la
opcin Excepcin.
Configuracin de nombres de dominio de confianza
Para agregar dominios de confianza, haga clic en Agregar y especifique el
nombre de dominio.
Para editar un dominio de confianza, haga clic en Editar y modifique el nombre de
dominio.
82
Cortafuegos
Reglas de acceso
Reglas de acceso
Las reglas de acceso limitan el acceso a la subred al permitir o denegar el acceso
de dispositivos o servicios especficos identificados mediante su direccin IP.
Para agregar o editar un servicio, haga clic en Administracin de servicios. Esta
funcin se describe en Adicin o edicin de un nombre de servicio.
Adicin de una regla de acceso a la Tabla de reglas de acceso de IPv4
Para agregar (o editar) una regla de acceso de IPv4:
PASO 1 Haga clic en la ficha IPv4.
PASO 2 Haga clic en Agregar (o seleccione una fila y haga clic en Editar).
PASO 3 En el men desplegable, seleccione la accin Permitir o Denegar para aplicarla a
esta regla.
PASO 4 En el men desplegable, seleccione un servicio.
PASO 5 Seleccione Registrar paquetes que coincidan con esta regla o No registrar.
PASO 6 En el men desplegable, seleccione la interfaz de origen.
PASO 7 En el men desplegable, seleccione la direccin IP de origen. Si seleccion
nica, especifique la direccin IP de origen. Si seleccion Rango, especifique el

rango de direcciones IP de origen.
PASO 8 En el men desplegable, seleccione la direccin IP de destino. Si seleccion
nica, especifique la direccin IP de destino. Si seleccion Rango, especifique el

rango de direcciones IP de destino.
PASO 9 Seleccione la hora para configurar la programacin de esta regla de acceso.
Seleccione Siempre para que la regla de acceso est en vigor las 24 horas del
da. Seleccione Intervalo para definir una hora y especifique las horas y los
minutos durante los que estar activa la regla de acceso en los campos Desde y
Hasta. Por ejemplo, desde las 07:00 hasta las 20:00. La regla de acceso no
permite definir dos intervalos de tiempo.
PASO 10 Seleccione la opcin Entra en vigor para seleccionar los das de la semana.
83
Cortafuegos
Filtro de contenido
Adicin de una regla de acceso a la Tabla de reglas de acceso de IPv6

Para agregar (o editar) una regla de acceso de IPv6:
PASO 1 Haga clic en la ficha IPv6.
PASO 2 Haga clic en Agregar (o seleccione una fila y haga clic en Editar).
PASO 3 En el men desplegable, seleccione la accin Permitir o Denegar para aplicarla a
esta regla.
PASO 4 En el men desplegable, seleccione el servicio.
PASO 5 En el men desplegable, seleccione el registro.
PASO 6 En el men desplegable, seleccione la interfaz de origen.
PASO 7 En el men desplegable, seleccione un valor en Longitud de prefijo/IP de origen.
Si seleccion nica, especifique el prefijo IP de origen. Si seleccion Rango,

especifique el prefijo IP de inicio y la longitud del prefijo.
PASO 8 En el men desplegable, seleccione un valor en Destination Prefix Length
(Longitud del prefijo de destino). Si seleccion nica, especifique el prefijo IP de

destino. Si seleccion Rango, especifique el prefijo IP de inicio y la longitud del
prefijo.
Filtro de contenido
El filtro de contenido deniega el acceso a dominios y sitios web concretos con
determinadas palabras clave.
Bloqueo de dominios prohibidos
Para bloquear dominios:
PASO 1 Seleccione Bloquear dominios prohibidos.
PASO 2 Puede agregar un dominio a la tabla Dominios prohibidos o editar el dominio que
desee.
PASO 3 Defina un periodo de tiempo durante el cual estar activa la regla de acceso en
los campos Desde y Hasta.
84
Cortafuegos
Filtro de contenido
PASO 4 Seleccione la opcin Entra en vigor para seleccionar los das de la semana.
Bloqueo de sitios web mediante palabras clave

Para bloquear sitios web mediante palabras clave:
PASO 1 Seleccione Bloquear dominios prohibidos.
PASO 2 Haga clic en Agregar para incluir palabras en la tabla Bloqueo de sitio web con
palabras clave o haga clic en Editar para editar una palabra.

PASO 3 Escriba una palabra en la columna Palabra clave.
Aceptacin de dominios permitidos

Para aceptar especficamente un dominio:
PASO 1 Seleccione Aceptar dominios permitidos.
PASO 2 Haga clic en Agregar (o en Editar) en la tabla Dominios permitidos.
PASO 3 Introduzca el nombre en la columna Nombre de dominio.
Programacin
Las restricciones se pueden programar para horas especficas en das
seleccionados.
Para programar horas y das:
PASO 1 En el men desplegable, seleccione la hora. Seleccione Siempre para que la
regla est en vigor las 24 horas del da. Seleccione Intervalo para definir una hora.
PASO 2 Si seleccion la opcin Siempre en el PASO 1, vaya al PASO 4. Si seleccion un
intervalo, defina un periodo de tiempo durante el cual estar activa la regla de

acceso en los campos Desde y Hasta. Por ejemplo, desde las 07:00 hasta las
20:00. El filtro de contenido no permite definir dos intervalos de tiempo.
85
Cortafuegos
Filtro de contenido
PASO 3 Active la opcin Entra en vigor para seleccionar los das de la semana.
86
8
VPN
Una VPN es una conexin entre dos puntos de terminacin en distintas redes que
permite enviar datos privados de forma segura a travs de una red compartida o
pblica, como Internet. Este tnel establece una red privada que puede enviar
datos de forma segura usando tcnicas de autenticacin y cifrado estndar en el
sector para garantizar la proteccin de los datos que se mandan.
Resumen
Esta funcin muestra informacin general acerca de los ajustes del tnel VPN. El
dispositivo admite hasta 100 tneles. El rango de IP virtuales est reservado para
los usuarios de Easy VPN o los clientes de VPN que se conectan a este dispositivo
teniendo activada la opcin de configuracin de modo (descrita en Ajustes
avanzados para IKE con clave precompartida e IKE con certificado).
Para definir un rango de direcciones IP para que se usen en los tneles VPN, haga
clic en Editar y especifique los siguientes parmetros:
Inicio de rango y Fin de rango: inicio y finalizacin del rango de direcciones

IP usadas para los tneles VPN.
Servidor DNS 1 y Servidor DNS 2: direccin IP opcional de un servidor

DNS. Si especifica un segundo servidor DNS, el dispositivo usa el primero
que responda. Especificar un servidor DNS puede proporcionar un acceso
ms rpido que si se usa un servidor DNS asignado dinmicamente. Use el
ajuste predeterminado (0.0.0.0) para utilizar un servidor DNS asignado
dinmicamente.
Servidor WINS 1 y Servidor WINS 2: direccin IP opcional de un servidor

WINS. WINS (Windows Internet Naming Service, servidor de servicios de
nombres de Internet de Windows) permite convertir los nombres de
NetBIOS en direcciones IP. Si no conoce la direccin IP del servidor WINS,
use el valor predeterminado (0.0.0.0).
87
VPN
Resumen
Nombre de dominio 1 hasta 4: si este router tiene una direccin IP esttica

y un nombre de dominio registrado, por ejemplo,
MiServidor.MiDominio.com, escriba el nombre de dominio que se debe
usar para la autenticacin. Un nombre de dominio se puede usar solo para
una conexin de tnel.
La opcin Estado del tnel VPN muestra el nmero de Tneles utilizados,

Tneles disponibles, Tneles habilitados y Tneles definidos.
Tabla de conexiones de estados de los tneles
La Tabla de conexiones muestra las entradas creadas en VPN > De gateway a
gateway y VPN > De cliente a gateway:
(Tnel) No: nmero de Id. del tnel generado automticamente.
(Tnel) Nombre: nombre de este tnel VPN, por ejemplo, Oficina de Los
ngeles, Sucursal de Chicago o Divisin de Nueva York. Esta descripcin
es de referencia. No es necesario que concuerde con el nombre utilizado en
el otro extremo del tnel.
Estado: estado del tnel VPN, que puede ser Conectado o Waiting for
Connection (Esperando conexin).
Cif./Aut./Grupo de fase 2: tipo de cifrado de fase 2 (NULL, DES, 3DES,

AES-128, AES-192 o AES-256), mtodo de autenticacin (NULL, MD5 o
SHA1) y el nmero de grupo DH (1, 2 o 5).
Grupo local: direccin IP y mscara de subred del grupo local.
Grupo remoto: direccin IP y mscara de subred del grupo remoto.
Gateway remota: direccin IP de la gateway remota.
Prueba de tnel: estado del tnel VPN.
Tabla de conexiones de estado de las VPN de grupo

La Tabla de conexiones muestra las entradas creadas en VPN > De cliente a
gateway:
88
Nombre de grupo: nombre de este tnel VPN. Esta descripcin es de

referencia. No es necesario que concuerde con el nombre utilizado en el
otro extremo del tnel.
Tneles: nmero de usuarios registrados en las VPN de grupo.
VPN
Cif./Aut./Grupo de fase 2: tipo de cifrado de fase 2 (NULL, DES, 3DES,

AES-128, AES-192 o AES-256), mtodo de autenticacin (NULL, MD5 o
SHA1) y el nmero de grupo DH (1, 2 o 5).
Grupo local: direccin IP y mscara de subred del grupo local.
Cliente remoto: direccin IP y mscara de subred del cliente remoto.
Detalles: direccin IP de la gateway remota.
Prueba de tnel: estado del tnel VPN.
En una VPN de ubicacin a ubicacin de gateway a gateway, el router local de una
oficina se conecta con un router remoto a travs de un tnel VPN. Los dispositivos
cliente pueden acceder a los recursos de red como si estuvieran todos en la
misma ubicacin. Este modelo se puede usar para varios usuarios de una oficina
remota.
Para que una conexin se efecte correctamente, es necesario que, como mnimo,
uno de los routers se pueda identificar mediante una direccin IP esttica o un
nombre de host de DNS dinmico. Como alternativa, si un router tiene solo una
direccin IP dinmica, se puede usar cualquier direccin de correo electrnico
como autenticacin para establecer la conexin.
Los dos extremos del tnel no pueden estar en la misma subred. Por ejemplo, si la
LAN de la Ubicacin A utiliza la subred 192.168.1.x/24, la Ubicacin B puede usar
192.168.2.x/24.
Para configurar un tnel, especifique los ajustes correspondientes (invirtiendo los
datos de local y remoto) al configurar los dos routers. Supongamos que este
router se llama Router A. Especifique los ajustes necesarios en la seccin
Configuracin de grupo local. Especifique los ajustes del otro router (Router B) en
la seccin Configuracin de grupo remoto. Al configurar el otro router (Router B),
especifique sus ajustes en la seccin Configuracin de grupo local. Los ajustes
del Router A deben especificarse en la seccin Configuracin de grupo remoto.
89
VPN
Agregar un nuevo tnel

Especifique los ajustes para un tnel:
Nmero de tnel: nmero de Id. del tnel.
Nombre de tnel: nombre de este tnel VPN, por ejemplo, Oficina de Los
ngeles, Sucursal de Chicago o Divisin de Nueva York. Esta descripcin
es de referencia. No es necesario que concuerde con el nombre utilizado en
el otro extremo del tnel.
Interfaz: puerto WAN que se debe usar para este tnel.
Modo de creacin de claves: identifica el tipo de seguridad del tnel, que

puede ser Manual, IKE con clave precompartida o IKE con certificado.
Habilitar: seleccione esta casilla para habilitar el tnel VPN o desactvela

para deshabilitar el tnel. El tnel est habilitado de forma predeterminada.

Especifique los ajustes para la configuracin de grupo local de este router.
(Replique estos ajustes cuando configure el tnel VPN en el otro router).
NOTA Todas las opciones estn documentadas, pero solo se muestran aquellas opciones
que estn relacionadas con el parmetro seleccionado.

Modo de creacin de claves = Manual o IKE con clave precompartida
90
Tipo de gateway de seguridad local: mtodo de identificacin del router

para establecer el tnel VPN. La gateway de seguridad local est en este
router. Por el contrario, la gateway de seguridad remota est en el otro router.
Al menos uno de los routers debe tener una direccin IP esttica o un
nombre de host de DNS para poder establecer una conexin.
-
Solo IP: este router tiene una direccin IP de WAN esttica. La direccin
IP de WAN aparece automticamente.
IP + Certificado: este router tiene una direccin IP de WAN esttica que

aparece automticamente. Esta opcin solo est disponible cuando se
selecciona IKE con certificado.
IP + Autenticacin de nombre de dominio (FQDN): este dispositivo

tiene una direccin IP esttica y un nombre de dominio registrado, por
ejemplo, MiServidor.MiDominio.com. Especifique tambin un valor en
Nombre de dominio para usarlo en la autenticacin. El nombre de
dominio se puede usar solo para una conexin de tnel.
VPN
IP + Autenticacin de direccin de correo electrnico (FQDN DE

USUARIO): este dispositivo tiene una direccin IP esttica y se utiliza
una direccin de correo electrnico para la autenticacin. La direccin
IP de WAN aparece automticamente. Especifique la direccin de
correo electrnico para usarla en la autenticacin.
IP dinmica + Autenticacin de nombre de dominio (FQDN): este

router tiene una direccin IP dinmica y un nombre de host de DNS
dinmico registrado (ofrecido por proveedores como DynDNS.com).
Especifique un valor en Nombre de dominio para usarlo en la
autenticacin. El nombre de dominio se puede usar solo para una
conexin de tnel.
IP dinmica + Autenticacin de direccin de correo electrnico

(FQDN DE USUARIO): este router tiene una direccin IP dinmica y no
tiene un nombre de host de DNS dinmico. Especifique una direccin
de correo electrnico para usarla en la autenticacin.
Si ambos routers tienen direcciones IP dinmicas (como las conexiones
PPPoE), no elija IP dinmica + Direccin de correo electrnico para las
dos gateways. Para la gateway remota, elija Direccin IP e IP por DNS
resuelta.
Modo de creacin de claves = IKE con certificado
Tipo de gateway de seguridad local: recursos LAN que pueden usar este
tnel. La nica opcin es IP + Certificado.
-
Direccin IP: muestra la direccin IP de WAN del dispositivo.
Certificado local: certificado disponible en la ventana Administracin de

certificados > Mi certificado. En el men desplegable, seleccione el
certificado.
La opcin Autogenerador muestra la ventana Generador de certificados.
La opcin Importar certificado muestra la ventana Mi certificado.
Tipo de grupo de seguridad local: permite seleccionar una nica direccin

IP, una subred o un rango IP (direccin) en una subred.
-
Direccin IP: especifique un dispositivo que pueda usar este tnel.

Especifique la direccin IP del dispositivo.
Subred: permite que todos los dispositivos de una subred utilicen el

tnel VPN. Especifique la direccin IP de la subred y la mscara de
subred.
91
VPN
IP inicial e IP final (Rango IP): un rango de dispositivos que pueden usar

el tnel VPN. Escriba la primera direccin IP en IP inicial y la direccin IP
final en IP final.
Configuracin de grupo remoto

Especifique los ajustes para la opcin Configuracin de grupo remoto de este
router:
92
Tipo de gateway de seguridad remota: mtodo de identificacin del router

para establecer el tnel VPN. La gateway de seguridad remota es el otro
router. Al menos uno de los routers debe tener una direccin IP esttica o un
nombre de host de DNS dinmico para poder establecer una conexin.
-
Solo IP: direccin IP de WAN esttica. Si conoce la direccin IP del

router VPN remoto, elija Direccin IP y especifique la direccin. Si no
conoce la direccin IP del router VPN remoto, seleccione IP por DNS
resuelta y escriba el nombre de dominio del router. Un router Cisco
puede obtener la direccin IP de un dispositivo VPN remoto en funcin
del DNS resuelto.
IP + Autenticacin de nombre de dominio (FQDN): este router tiene

una direccin IP esttica y un nombre de dominio registrado, por
ejemplo, MiServidor.MiDominio.com. Si conoce la direccin IP del router
VPN remoto, elija Direccin IP y especifique la direccin. Si no conoce
la direccin IP del router VPN remoto, seleccione IP por DNS resuelta y
escriba el nombre de dominio del router. Los routers Cisco pueden
obtener la direccin IP de un dispositivo VPN remoto en funcin del DNS
resuelto.

USUARIO): este router tiene una direccin IP esttica y el usuario puede
utilizar una direccin de correo electrnico para la autenticacin. Si
conoce la direccin IP del router VPN remoto, elija Direccin IP y
especifique la direccin IP. Si no conoce la direccin IP del router VPN
remoto, seleccione IP por DNS resuelta y escriba el nombre de dominio
real del router. Los routers Cisco pueden obtener la direccin IP de un
dispositivo VPN remoto en funcin del DNS resuelto.

conexin de tnel.
VPN

dos gateways. Para la gateway remota, elija Direccin IP o IP por DNS
resuelta.
Tipo de grupo de seguridad local: recursos LAN que pueden usar este
tnel. El Grupo de seguridad local es para los recursos LAN de este router.
El Grupo de seguridad remoto es para los recursos LAN del otro router.
-
Direccin IP: especifique un dispositivo que pueda usar este tnel.

Especifique la direccin IP del dispositivo.
Subred: permite que todos los dispositivos de una subred utilicen el

tnel VPN. Especifique la direccin IP de la subred y la mscara de
subred.
Rango IP: un rango de dispositivos que puede usar el tnel VPN. Escriba
la primera direccin IP en IP inicial y la direccin IP final en IP final.
Configuracin de IPSec
Para que el cifrado sea correcto, los dos extremos de un tnel VPN deben
coincidir en los mtodos de cifrado, descifrado y autenticacin. Especifique
exactamente los mismos ajustes para los dos routers.
Especifique los ajustes para la fase 1 y la fase 2. En la fase 1 se establecen las
claves precompartidas para crear un canal de comunicacin autenticado y
seguro. En la fase 2, los pares IKE utilizan el canal seguro para negociar las
asociaciones de seguridad en nombre de otros servicios como IPsec. Hay que
especificar los mismos ajustes cuando se configure el otro router para este tnel.
Grupo DH, fase 1/ fase 2: DH (Diffie-Hellman) es un protocolo de

intercambio de claves. Hay tres grupos de longitudes de claves principales
diferentes: Grupo 1: 768 bits, Grupo 2: 1024 bits y Grupo 5: 1536 bits. Para
conseguir una mayor velocidad y un menor nivel de seguridad, elija la
opcin Grupo 1. Para conseguir una velocidad menor y un mayor nivel de
seguridad, elija la opcin Grupo 5. El Grupo 1 est seleccionado de manera
predeterminada.
Cifrado, fase 1/fase 2: mtodo de cifrado para esta fase, que puede ser
DES, 3DES, AES-128, AES-192 o AES-256. El mtodo determina la longitud
de la clave usada para cifrar o descifrar los paquetes ESP. Se recomienda
usar AES-256 porque es ms seguro.
93
VPN
Autenticacin, fase 1/fase 2: mtodo de autenticacin para esta fase, que

puede ser MD5 o SHA1. El mtodo de autenticacin determina la forma en
que se validan los paquetes de encabezado ESP (Encapsulating Security
Payload, carga de seguridad encapsulada). MD5 es un algoritmo de hash
unidireccional que produce un resumen de 128 bits. SHA1 es un algoritmo
de hash unidireccional que produce un resumen de 160 bits. Se
recomienda usar SHA1 porque es ms seguro. Los dos extremos del tnel
VPN deben utilizar el mismo mtodo de autenticacin.
Vigencia de SA, fase 1/fase 2: tiempo durante el cual un tnel VPN est
activo en esta fase. El valor predeterminado para la fase 1 es de
28800 segundos. El valor predeterminado para la fase 2 es de
3600 segundos.
Seguridad perfecta hacia delante: cuando se habilita PFS (Perfect

Forward Secrecy, seguridad perfecta hacia delante), la negociacin de IKE
de fase 2 generar un nuevo material de clave para el cifrado y la
autenticacin del trfico de IP, de forma que los hackers que utilicen la
fuerza bruta para romper las claves de cifrado no puedan obtener las
claves IPsec futuras. Si desea habilitar esta funcin, active la casilla; en caso
contrario, desactvela. Se recomienda utilizar esta funcin.
Clave precompartida: clave precompartida que se debe usar para

autenticar el par IKE remoto. Se pueden especificar hasta 30 caracteres del
teclado o valores hexadecimales, por ejemplo, Mi_@123 o
4d795f40313233 (los caracteres ' ' " \ no se pueden utilizar). Ambos
extremos del tnel VPN deben usar la misma clave precompartida. Se
recomienda encarecidamente cambiar la clave precompartida de forma
peridica para maximizar la seguridad de la VPN.
Complejidad de clave precompartida mnima: active la casilla Habilitar

para activar el Medidor de seguridad de clave precompartida.
Medidor de seguridad de clave precompartida: al habilitar la opcin

Complejidad de clave precompartida mnima, este medidor indica el nivel
de seguridad de la clave precompartida. Al especificar una clave
precompartida, aparecen barras de colores. La escala de colores va desde
el rojo (dbil) hasta el verde (segura) pasando por el amarillo (aceptable).
SUGERENCIA Especifique una clave precompartida compleja que tenga ms de ocho

caracteres, letras en mayscula y minscula, nmeros y smbolos como *^+=.
94
VPN
Ajustes avanzados para IKE con clave precompartida e IKE

con certificado
Para la mayora de los usuarios, los ajustes bsicos son suficientes. Sin embargo,
los usuarios avanzados pueden hacer clic en Avanzado para mostrar los ajustes
avanzados. Si cambia los ajustes avanzados en un router, tambin deber
cambiarlos en el otro router.
Modo agresivo: se pueden aplicar dos modos de negociacin SA de IKE,

que son el Modo principal y el Modo agresivo. Si la seguridad de la red es el
aspecto prioritario, se recomienda aplicar el Modo principal. Si la velocidad
de la red es el aspecto prioritario, se recomienda aplicar el Modo agresivo.
Active esta casilla para habilitar el Modo agresivo o djela desactivada si
desea usar el Modo principal.
Si el Tipo de gateway de seguridad remota es uno de los tipos de IP
dinmica, hay que utilizar el Modo agresivo. La casilla est activada
automticamente. Este ajuste no se puede cambiar.
Comprimir (compatible con el protocolo de compresin de carga til de

IP [IPComp]): un protocolo que reduce el tamao de los datagramas IP.
Active la casilla para que el router pueda proponer la compresin al iniciar
una conexin. Si el retransmisor rechaza esta propuesta, el router no
aplicar la compresin. Cuando el router es el retransmisor, acepta la
compresin, incluso si esta no est habilitada. Si habilita esta funcin para
este router, tambin tendr que habilitarla en el router en el otro extremo del
tnel.
Mantener activo: intenta restablecer la conexin VPN en caso de que se

produzca alguna interrupcin.
Algoritmo de hash de AH: el protocolo AH (Authentication Header,

encabezado de autenticacin) describe el formato del paquete y los
estndares predeterminados para la estructura del paquete. Cuando AH es
el protocolo de seguridad, la proteccin se extiende al encabezado IP para
comprobar la integridad de todo el paquete. Active la casilla para usar esta
funcin y seleccionar un mtodo de autenticacin: MD5 o SHA1. MD5
genera un resumen de 128 bits para autenticar los datos del paquete. SHA1
genera un resumen de 160 bits para autenticar los datos del paquete.
Ambos extremos del tnel deben usar el mismo algoritmo.
95
96
VPN
Difusin de NetBIOS: difunde los mensajes utilizados para la resolucin de

nombres en las redes Windows para identificar los recursos, por ejemplo,
equipos, impresoras y servidores de archivos. Estos mensajes los utilizan
algunas aplicaciones de software y funciones de Windows, por ejemplo, el
Entorno de red. El trfico de difusin LAN normalmente no se reenva a
travs de un tnel VPN. Sin embargo, se puede activar esta casilla para
permitir que las difusiones de NetBIOS procedentes de un extremo del
tnel se difundan de nuevo hasta el otro extremo.
NAT Traversal: NAT (Network Address Translation, conversin de

direcciones de red) permite a los usuarios que tengan direcciones de LAN
privadas acceder a los recursos de Internet utilizando una direccin IP
pblicamente enrutable como direccin de origen. Sin embargo, para el
trfico entrante, la gateway de NAT no tiene un mtodo automtico para
convertir la direccin IP pblica a un destino concreto de la LAN privada.
Este problema impide que se realicen correctamente los intercambios de
IPsec. Si el router VPN est detrs de una gateway de NAT, active esta
casilla para habilitar la opcin NAT Traversal. Hay que utilizar el mismo
ajuste en los dos extremos del tnel.
Deteccin de par inactivo (DPD): enva peridicamente mensajes de

saludo y confirmacin (HELLO/ACK) para comprobar el estado del tnel
VPN. Esta funcin debe estar habilitada en ambos extremos del tnel VPN.
Especifique el intervalo entre los mensajes HELLO/ACK en el campo
Intervalo.
Autenticacin ampliada: utiliza un nombre de usuario de host IPsec y una

contrasea para autenticar los clientes de VPN. Tambin puede utilizar la
base de datos de usuarios hallada en Administracin de usuarios. Tanto el
host IPSec como el dispositivo perimetral deben admitir la autenticacin
ampliada. Para usar el host IPsec, haga clic en el botn de opcin y
especifique un valor en los campos Nombre de usuario y Contrasea.
Para usar la opcin Dispositivo perimetral, haga clic en el botn de opcin
y seleccione la base de datos en el men desplegable. Para agregar o
editar la base de datos, haga clic en Agregar/Editar para mostrar la
ventana Administracin de usuarios.
VPN
Copia de seguridad de tnel: cuando DPD determina que el par remoto no

est disponible, esta funcin permite que el router restablezca el tnel VPN
usando una direccin IP alternativa para el par remoto o una interfaz WAN
local alternativa. Active la casilla para habilitar esta funcin y especifique los
siguientes ajustes. Esta funcin est disponible solo si est habilitada la
opcin de deteccin de par inactivo.
-
Direccin IP de copia de seguridad remota: direccin IP alternativa

para el par remoto. Tambin puede volver a especificar la direccin IP
de WAN que se haya especificado previamente para la gateway remota.
Interfaz local: interfaz WAN que se debe usar para restablecer la

conexin.
Tiempo de inactividad para tnel VPN de respaldo: cuando el router

se inicia y el tnel principal no se conecta durante el periodo de tiempo
especificado, se utiliza el tnel de respaldo. El tiempo de inactividad
predeterminado es de 30 segundos.
Dividir DNS: enva algunas de las solicitudes DNS a un servidor DNS y otras
solicitudes DNS a otro servidor DNS, en funcin de los nombres de dominio
especificados. Cuando el router reciba una solicitud de resolucin de
direcciones procedente de un cliente, el router inspecciona el nombre de
dominio. Si coincide con uno de los nombres de dominio del ajuste Dividir
DNS, la solicitud se pasa al servidor DNS especificado. De lo contrario, la
solicitud se pasa al servidor DNS que est especificado en los ajustes de la
interfaz WAN.
Servidor DNS 1 y Servidor DNS 2: direccin IP del servidor DNS que se
debe usar para los dominios especificados. Si lo desea, puede especificar
un servidor DNS secundario en el campo Servidor DNS 2.
Nombre de dominio 1 a Nombre de dominio 4: especifique los nombres
de dominio para los servidores DNS. Las solicitudes para estos dominios se
pasan a los servidores DNS especificados.
97
VPN
Esta funcin crea un nuevo tnel VPN que permite a los teletrabajadores y a
aquellos que viajan por negocios acceder a la red usando software cliente de
VPN de terceros, como TheGreenBow.
Configure un tnel VPN para un usuario remoto, una VPN de grupo para varios
usuarios remotos o una Easy VPN:
Tnel: crea un tnel para un nico usuario remoto. El nmero del tnel se
genera de forma automtica.
VPN de grupo: crea un tnel para un grupo de usuarios, por lo que se

elimina la necesidad de configurar usuarios individuales. Todos los usuarios
remotos pueden usar la misma clave precompartida para conectarse con el
dispositivo hasta alcanzar el nmero mximo de tneles admitidos. El router
admite hasta dos grupos VPN. El nmero del grupo se genera de forma
automtica.
Easy VPN: permite a los usuarios remotos conectarse con este dispositivo
usando un cliente de VPN de Cisco (tambin conocido como Cisco Easy
VPN Client), que est disponible en el CD del producto:
-
La versin 5.0.07 es compatible con Windows 7 (32 y 64 bits), Windows

Vista (32 y 64 bits) y Windows XP (32 bits)
La versin 4.9 es compatible con Mac OS X 10.4 y 10.5.
La versin 4.8 es compatible con Linux basado en Intel.
Para configurar una Easy VPN, configure una contrasea de grupo en esta
pgina y agregue un nombre de usuario y una contrasea para cada usuario
del cliente de VPN de Cisco en la Tabla de administracin de usuarios,
incluida en la seccin Administracin de usuarios. Al agregar un usuario, el
grupo Unassigned (Sin asignar) debera estar seleccionado. Los otros
grupos se usan para la VPN SSL.
98
VPN
Configuracin de un tnel o una VPN de grupo

Especifique la siguiente informacin:
Nombre de tnel: nombre descriptivo del tnel. Para un nico usuario,

puede especificar el nombre de usuario o la ubicacin. Si se trata de una
VPN de grupo, se puede especificar la ubicacin o la funcin empresarial
del grupo. Esta descripcin es de referencia. No es necesario que
concuerde con el nombre utilizado en el otro extremo del tnel.
Interfaz: puerto WAN.
Modo de creacin de claves: elija el mtodo de administracin de claves:
Manual: permite generar la clave personalmente, pero no habilita la

negociacin de claves. La administracin manual de claves se utiliza en
entornos estticos pequeos o con el fin de solucionar problemas.
Especifique los ajustes necesarios.
IKE (Internet Key Exchange) con clave precompartida: use este

protocolo para configurar una SA (Security Association) para el tnel.
(este es el ajuste recomendado). Si selecciona VPN de grupo, esta es la
nica opcin disponible.
IKE con certificado: se usa un certificado para autenticar el par de IKE

remoto.
Habilitar: active esta opcin para habilitar esta VPN.
Configuracin de Easy VPN

Nombre: nombre descriptivo del tnel. Para un nico usuario, puede

especificar el nombre de usuario o la ubicacin. Esta descripcin es de
referencia. No es necesario que concuerde con el nombre utilizado en el otro
extremo del tnel.
Complejidad de contrasea mnima: cuando est habilitada, los requisitos

mnimos para la contrasea son:
-
Debe tener una longitud de ocho caracteres.
No debe coincidir con el nombre de usuario.
Debe ser distinta de la contrasea actual.
Debe contener caracteres de tres de las siguientes categoras como

mnimo: letras en mayscula, letras en minscula, nmeros, caracteres
especiales disponibles en los teclados estndares (los caracteres ' ' " \
no se pueden utilizar).
99
VPN
Contrasea: contrasea de Easy VPN.
Medidor de seguridad de la contrasea: si la opcin Complejidad de

contrasea mnima est habilitada, el Medidor de seguridad de la
contrasea indica el nivel de seguridad de la contrasea, en funcin de las
reglas de complejidad. La escala de colores va desde el rojo (no aceptable)
hasta el verde (segura) pasando por el amarillo (aceptable).
Interfaz: puerto WAN que se debe usar para este tnel.
Habilitar: seleccione esta casilla para habilitar el tnel VPN o desactvela

para deshabilitar el tnel. El tnel est habilitado de forma predeterminada.
Modo de tnel: el modo Tnel dividido permite que el trfico destinado a

Internet se enve sin cifrar directamente a Internet. El modo Tnel completo
permite enviar todo el trfico al dispositivo del extremo principal, desde
donde se enrutar a los recursos de destino (lo que excluye la red
corporativa de la ruta para acceder a la Web).
Direccin IP: direccin IP asignada a la interfaz VPN.
Mscara de subred: mscara de subred.
Autenticacin ampliada: utiliza un nombre de usuario de host IPsec y una

contrasea para autenticar los clientes de VPN. Tambin puede utilizar la
base de datos de usuarios hallada en Administracin de usuarios. Para usar
el host IPsec, haga clic en el botn de opcin y especifique un valor en los
campos Nombre de usuario y Contrasea. Para usar la opcin Dispositivo
perimetral, haga clic en el botn de opcin y seleccione la base de datos
en el men desplegable. Para agregar o editar la base de datos, haga clic
en Agregar/Editar para mostrar la ventana Administracin de usuarios.

Tipo de gateway de seguridad local: mtodo de identificacin del router

para establecer el tnel VPN. La gateway de seguridad remota es el otro
router. Al menos uno de los routers debe tener una direccin IP esttica o un
nombre de host de DNS dinmico para poder establecer una conexin.
-
100
Solo IP: direccin IP de WAN esttica. Si conoce la direccin IP del

router VPN remoto, elija Direccin IP y especifique la direccin. Si no
conoce la direccin IP del router VPN remoto, seleccione IP por DNS
resuelta y escriba el nombre de dominio del router. Un router Cisco
puede obtener la direccin IP de un dispositivo VPN remoto en funcin
del DNS resuelto.
VPN
IP + Autenticacin de nombre de dominio (FQDN): este dispositivo

tiene una direccin IP esttica y un nombre de dominio registrado, por
ejemplo, MiServidor.MiDominio.com. Si conoce la direccin IP del router
VPN remoto, elija Direccin IP y especifique la direccin. Si no conoce
la direccin IP del router VPN remoto, seleccione IP por DNS resuelta y
escriba el nombre de dominio del router. Los routers Cisco pueden
obtener la direccin IP de un dispositivo VPN remoto en funcin del DNS
resuelto.

USUARIO): este dispositivo tiene una direccin IP esttica y utiliza una
direccin de correo electrnico para la autenticacin. Si conoce la
direccin IP del router VPN remoto, elija Direccin IP y especifique la
direccin IP. Si no conoce la direccin IP del router VPN remoto,
seleccione IP por DNS resuelta y escriba el nombre de dominio real del
router. Los routers Cisco pueden obtener la direccin IP de un
dispositivo VPN remoto en funcin del DNS resuelto.

conexin de tnel.

dos gateways. Para la gateway remota, elija Direccin IP e IP por DNS
resuelta.
Tipo de grupo de seguridad local: especifique los recursos LAN que

pueden acceder a este tnel.
-
Direccin IP: elija esta opcin para que solo un dispositivo LAN pueda
acceder al tnel VPN. A continuacin, especifique la direccin IP del
equipo. Solo este dispositivo puede usar este tnel VPN.
Subred: elija esta opcin (que es la predeterminada) para permitir que

todos los dispositivos de una subred puedan acceder al tnel VPN.
Especifique la mscara y la direccin IP de la subred.
101
VPN
Rango IP: elija esta opcin para que un rango de dispositivos pueda
acceder al tnel VPN. A continuacin, especifique el rango de
direcciones IP. Para ello, escriba la primera direccin IP en el campo IP
inicial y escriba la direccin final en el campo IP final.
Nombre de dominio: si desea usar la autenticacin mediante nombre de

dominio, especifique el nombre de dominio.
Correo electrnico: si desea usar la autenticacin mediante correo

electrnico, escriba la direccin de correo electrnico.
Configuracin de cliente remoto para un nico usuario

Especifique el mtodo para identificar al cliente para establecer el tnel VPN. Las
siguientes opciones estn disponibles para una VPN de usuario nico o de tipo
tnel:
Solo IP: el cliente de VPN remoto tiene una direccin IP de WAN esttica. Si
conoce la direccin IP del cliente, elija Direccin IP y especifique la
direccin. Si no conoce la direccin IP del cliente, seleccione IP por DNS
resuelta y escriba el nombre de dominio del cliente en Internet. El router
obtiene la direccin IP del cliente de la VPN remota usando el DNS resuelto.
La direccin IP del cliente de la VPN remota se muestra en la seccin
Estado de VPN en la pgina Resumen.
IP + Autenticacin de nombre de dominio (FQDN): el cliente tiene una

direccin IP esttica y un nombre de dominio registrado. Especifique
tambin un valor en Nombre de dominio para usarlo en la autenticacin. El
nombre de dominio se puede usar solo para una conexin de tnel.
Si conoce la direccin IP del cliente de la VPN remota, elija Direccin IP y
especifique la direccin. Si no conoce la direccin IP del cliente de la VPN
remota, seleccione IP por DNS resuelta y escriba el nombre de dominio
real del cliente en Internet. El router obtiene la direccin IP del cliente de la
VPN remota usando el DNS resuelto. La direccin IP del cliente de la VPN
remota se mostrar en la seccin Estado de VPN en la pgina Resumen.
102

USUARIO): el cliente tiene una direccin IP esttica y el usuario puede
utilizar cualquier direccin de correo electrnico para la autenticacin. La
direccin IP de WAN actual aparece automticamente. Especifique
cualquier direccin de correo electrnico para usarla en la autenticacin.
VPN
Si conoce la direccin IP del cliente de la VPN remota, elija Direccin IP y

especifique la direccin. Si no conoce la direccin IP del cliente de la VPN
remota, seleccione IP por DNS resuelta y escriba el nombre de dominio
real del cliente en Internet. El dispositivo obtiene la direccin IP de un
cliente de la VPN remota usando el DNS resuelto. La direccin IP del
dispositivo de la VPN remota se muestra en la seccin Estado de VPN en la
pgina Resumen.
IP dinmica + Autenticacin de nombre de dominio (FQDN): el cliente

tiene una direccin IP dinmica y un nombre de host de DNS dinmico
registrado (suministrado por proveedores como DynDNS.com). Especifique
un valor en Nombre de dominio para usarlo en la autenticacin. El nombre
de dominio se puede usar solo para una conexin de tnel.
IP dinmica + Autenticacin de direccin de correo electrnico (FQDN

DE USUARIO): el cliente tiene una direccin IP dinmica y no tiene un
nombre de host de DNS dinmico. Especifique cualquier direccin de
correo electrnico para usarla en la autenticacin.
Configuracin de un cliente remoto para un grupo

Especifique el mtodo para identificar a los clientes para establecer el tnel VPN.
Las siguientes opciones estn disponibles para las VPN de grupo:
Autenticacin de nombre de dominio (FQDN): identifica al cliente

mediante un nombre de dominio registrado. Especifique un valor en
Nombre de dominio para usarlo en la autenticacin. El nombre de dominio
se puede usar solo para una conexin de tnel.
Autenticacin de direccin de correo electrnico (FQDN DE USUARIO):

identifica al cliente mediante la direccin de correo electrnico para la
autenticacin. Especifique la direccin en los campos proporcionados.
Cliente VPN Microsoft XP/2000: el software cliente es el cliente VPN

Microsoft XP/2000 integrado.
Configuracin de IPSec
Para que el cifrado sea correcto, los dos extremos de un tnel VPN deben
coincidir en los mtodos de cifrado, descifrado y autenticacin. Especifique
exactamente los mismos ajustes para los dos routers.
Especifique los ajustes para la fase 1 y la fase 2. En la fase 1 se establecen las
claves precompartidas para crear un canal de comunicacin autenticado y
seguro. En la fase 2, los pares IKE utilizan el canal seguro para negociar las
asociaciones de seguridad para otros servicios como IPsec. Hay que especificar
los mismos ajustes cuando se configuren otros routers para este tnel.
103
104
VPN
Grupo DH, fase 1/ fase 2: DH (Diffie-Hellman) es un protocolo de

intercambio de claves. Hay tres grupos de longitudes de claves principales
diferentes: Grupo 1: 768 bits, Grupo 2: 1024 bits y Grupo 5: 1536 bits. Para
conseguir una mayor velocidad y un menor nivel de seguridad, elija la
opcin Grupo 1. Para conseguir una velocidad menor y un mayor nivel de
seguridad, elija la opcin Grupo 5. El Grupo 1 est seleccionado de manera
predeterminada.
Cifrado, fase 1/fase 2: mtodo de cifrado para esta fase, que puede ser
DES, 3DES, AES-128, AES-192 o AES-256. El mtodo determina la longitud
de la clave usada para cifrar o descifrar los paquetes ESP. Se recomienda
usar AES-256 porque es ms seguro.
Autenticacin, fase 1/fase 2: mtodo de autenticacin para esta fase, que

puede ser MD5 o SHA1. El mtodo de autenticacin determina la forma en
que se validan los paquetes de encabezado ESP (Encapsulating Security
Payload, carga de seguridad encapsulada). MD5 es un algoritmo de hash
unidireccional que produce un resumen de 128 bits. SHA1 es un algoritmo
de hash unidireccional que produce un resumen de 160 bits. Se
recomienda usar SHA1 porque es ms seguro. Los dos extremos del tnel
VPN deben utilizar el mismo mtodo de autenticacin.
Vigencia de SA, fase 1/fase 2: tiempo durante el cual un tnel VPN est
activo en esta fase. El valor predeterminado para la fase 1 es de
28800 segundos. El valor predeterminado para la fase 2 es de
3600 segundos.
Seguridad perfecta hacia delante: cuando se habilita PFS (Perfect

Forward Secrecy, seguridad perfecta hacia delante), la negociacin de IKE
de fase 2 generar un nuevo material de clave para el cifrado y la
autenticacin del trfico de IP, de forma que los hackers que utilicen la
fuerza bruta para romper las claves de cifrado no puedan obtener las
claves IPsec futuras. Si desea habilitar esta funcin, active la casilla; en caso
contrario, desactvela. Se recomienda utilizar esta funcin.
Complejidad de clave precompartida mnima: active la opcin Habilitar

para activar el Medidor de seguridad de clave precompartida.
Clave precompartida: clave precompartida que se debe usar para

autenticar el par IKE remoto. Se pueden especificar hasta 30 caracteres del
teclado o valores hexadecimales, por ejemplo, Mi_@123 o
4d795f40313233. Ambos extremos del tnel VPN deben usar la misma
clave precompartida. Se recomienda cambiar la clave precompartida de
forma peridica para maximizar la seguridad de la VPN.
VPN
Medidor de seguridad de clave precompartida: al habilitar la opcin

Complejidad de clave precompartida mnima, este medidor indica el nivel
de seguridad de la clave precompartida. Al especificar una clave
precompartida, aparecen barras de colores. La escala de colores va desde
el rojo (dbil) hasta el verde (segura) pasando por el amarillo (aceptable).
SUGERENCIA Especifique una clave precompartida compleja que tenga ms de ocho

caracteres, letras en mayscula y minscula, nmeros y smbolos como *^+= (los caracteres ' ' " \ no se pueden utilizar).
Ajustes avanzados para IKE con clave precompartida e IKE

con certificado
Para la mayora de los usuarios, los ajustes bsicos son suficientes. Sin embargo,
los usuarios avanzados pueden hacer clic en Avanzado para mostrar los ajustes
avanzados. Si cambia los ajustes avanzados en un router, tambin deber
cambiarlos en el otro router.
Modo agresivo: se pueden aplicar dos modos de negociacin SA de IKE,

que son el Modo principal y el Modo agresivo. Si la seguridad de la red es el
aspecto prioritario, se recomienda aplicar el Modo principal. Si la velocidad
de la red es el aspecto prioritario, se recomienda aplicar el Modo agresivo.
Active esta casilla para habilitar el Modo agresivo o djela desactivada si
desea usar el Modo principal.
Si el Tipo de gateway de seguridad remota es uno de los tipos de IP
dinmica, hay que utilizar el Modo agresivo. La casilla est activada
automticamente. Este ajuste no se puede cambiar.
Comprimir (compatible con el protocolo de compresin de carga til de

IP [IPComp]): un protocolo que reduce el tamao de los datagramas IP.
Active la casilla para que el router pueda proponer la compresin al iniciar
una conexin. Si el retransmisor rechaza esta propuesta, el router no
aplicar la compresin. Cuando el router es el retransmisor, acepta la
compresin, incluso si esta no est habilitada. Si habilita esta funcin para
este router, tambin tendr que habilitarla en el router en el otro extremo del
tnel.
Mantener activo: intenta restablecer la conexin VPN en caso de que se

produzca alguna interrupcin.
105
106
VPN
Algoritmo de hash de AH: el protocolo AH (Authentication Header,

encabezado de autenticacin) describe el formato del paquete y los
estndares predeterminados para la estructura del paquete. Cuando AH es
el protocolo de seguridad, la proteccin se extiende al encabezado IP para
comprobar la integridad de todo el paquete. Active la casilla para usar esta
funcin y seleccionar un mtodo de autenticacin: MD5 o SHA1. MD5
genera un resumen de 128 bits para autenticar los datos del paquete. SHA1
genera un resumen de 160 bits para autenticar los datos del paquete.
Ambos extremos del tnel deben usar el mismo algoritmo.
Difusin de NetBIOS: difunde los mensajes utilizados para la resolucin de

nombres en las redes Windows para identificar los recursos, por ejemplo,
equipos, impresoras y servidores de archivos. Estos mensajes los utilizan
algunas aplicaciones de software y funciones de Windows, por ejemplo, el
Entorno de red. El trfico de difusin LAN normalmente no se reenva a
travs de un tnel VPN. Sin embargo, se puede activar esta casilla para
permitir que las difusiones de NetBIOS procedentes de un extremo del
tnel se difundan de nuevo hasta el otro extremo.
NAT Traversal: NAT (Network Address Translation, conversin de

direcciones de red) permite a los usuarios que tengan direcciones de LAN
privadas acceder a los recursos de Internet utilizando una direccin IP
pblicamente enrutable como direccin de origen. Sin embargo, para el
trfico entrante, la gateway de NAT no tiene un mtodo automtico para
convertir la direccin IP pblica a un destino concreto de la LAN privada.
Este problema impide que se realicen correctamente los intercambios de
IPsec. Si el router VPN est detrs de una gateway de NAT, active esta
casilla para habilitar la opcin NAT Traversal. Hay que utilizar el mismo
ajuste en los dos extremos del tnel.
Autenticacin ampliada: permite especificar un nombre de usuario y una

contrasea para autenticar las solicitudes de tnel IPSec entrantes, adems
de una clave precompartida o un certificado.
-
Host IPsec: indica que se use un host IPsec para la autenticacin

ampliada.
Nombre de usuario: nombre de usuario para la autenticacin.
Contrasea: contrasea de autenticacin.
Dispositivo perimetral: proporciona una direccin IP para el solicitante

del tnel entrante (despus de la autenticacin) a partir del rango de IP
virtual configurado en la ventana Resumen. En el men desplegable,
seleccione el dispositivo. Para agregar o editar el dominio del
dispositivo, haga clic en Agregar/Editar para mostrar la ventana
Administracin de usuarios.
VPN
Paso a travs de VPN
Modo de configuracin: proporciona una direccin IP para el solicitante del

tnel entrante (despus de la autenticacin) a partir del rango de IP virtual
configurado en la ventana VPN > Resumen.
Paso a travs de VPN

Paso a travs de VPN permite a los clientes de VPN pasar a travs de este router y
conectarse a un punto de terminacin de la VPN. Esta opcin est habilitada de
forma predeterminada.
Para habilitar la funcin Paso a travs de VPN, active la opcin Habilitar para los
protocolos permitidos:
IPSec Passthrough: IPSec (Internet Protocol Security, seguridad del

protocolo Internet) es un conjunto de protocolos utilizados para implementar
el intercambio seguro de paquetes en la capa IP.
PPTP Passthrough: el protocolo PPTP (Point-to-Point Tunneling Protocol,

protocolo de tunelizacin punto a punto) permite tunelizar el protocolo PPP
(Point-to-Point Protocol, protocolo punto a punto) a travs de una red IP.
L2TP Passthrough: L2TP (Layer 2 Tunneling Protocol, protocolo de

tunelizacin de capa 2) es el mtodo utilizado para habilitar las sesiones
punto a punto utilizando Internet en la capa 2.
Servidor PPTP
Se pueden habilitar hasta 10 tneles de VPN de PPTP (Point-to-Point Tunneling
Protocol, protocolo de tunelizacin de punto a punto) para los usuarios que
ejecuten el software cliente de PPTP. Por ejemplo, en Windows XP o 2000, un
usuario abre el panel Conexiones de red para crear una nueva conexin. En el
asistente, el usuario selecciona la opcin para crear una conexin con el lugar de
trabajo usando una conexin de red privada virtual. El usuario debe conocer la
direccin IP de WAN de este dispositivo. Para obtener ms informacin, consulte
la documentacin o los archivos de ayuda del sistema operativo.
Para habilitar el servidor PPTP y permitir los tneles VPN de PPTP, active la casilla
Habilitar y especifique el rango:
107
VPN
Servidor PPTP
Inicio de rango y Fin de rango: rango de direcciones de LAN que se debe asignar
a los clientes de VPN de PPTP. El rango de direcciones IP de la LAN para los
clientes de VPN de PPTP debe estar fuera del rango de DHCP normal del router.
La Tabla de conexiones muestra los tneles que estn en uso. Las cuentas de
usuario de PPTP se agregan a la ventana Administracin de usuarios. Seleccione
Unassigned (Sin asignar) en la columna Grupo.
108
9
Administracin de certificados
Un certificado digital certifica que una clave pblica es propiedad del firmante del
certificado. Esto permite que los dems (partes que confan) puedan confiar en las
firmas o en las afirmaciones efectuadas mediante la clave privada
correspondiente a la clave pblica certificada. Mediante este modelo de
relaciones de confianza, una CA (Certificate Authority, autoridad de certificacin)
es un tercero de confianza en el que confan tanto el firmante (propietario) del
certificado como la parte que confa en el certificado. Las CA estn presentes en
muchos esquemas PKI (Public Key Infrastructure, infraestructura de clave pblica).
La funcin Administracin de certificados se utiliza para generar e instalar
certificados SSL.
Mi certificado
Se pueden agregar hasta 50 certificados autofirmados o autorizados por terceros.
Tambin se pueden crear certificados usando el Generador de certificados o
importarlos desde un equipo o un dispositivo USB.
Los navegadores no confan de forma inherente en los certificados SSL
autofirmados. Aunque estos certificados se pueden usar para el cifrado, es
posible que los navegadores muestren mensajes de advertencia en los que se
indica al usuario que el certificado en cuestin no lo ha emitido ninguna entidad en
la que el usuario haya decidido confiar.
Los usuarios tambin pueden conectarse sin tener un certificado instalado en el
equipo. El usuario ve una advertencia de seguridad cuando se conecta al tnel
VPN, pero puede continuar sin esta medida adicional de proteccin.
Para configurar un certificado como el principal, haga clic en el botn de opcin
del certificado que desee y haga clic en Seleccionar como certificado principal.
Para mostrar la informacin del certificado, haga clic en el icono Detalles.
109
Mi certificado
Procedimiento para exportar o mostrar un certificado o una clave privada

El certificado de cliente permite al cliente conectarse a la VPN. Para exportar o
mostrar un certificado o una clave privada:
PASO 1 Haga clic en el icono que proceda: Exportar certificado para el cliente, Exportar
certificado para el administrador o Exportar clave privada. Aparece la ventana

Descarga de archivo.
Exportar certificado para el cliente: certificado de cliente que le permite
conectarse a la VPN.
Exportar certificado para el administrador: contiene la clave privada y se puede
exportar una copia para que acte como archivo de copia de seguridad. Por
ejemplo, antes de restablecer el dispositivo a los ajustes predeterminados, puede
exportar el certificado. Despus de reiniciar el dispositivo, importe este archivo
para restaurar el certificado.
Exportar clave privada: determinadas aplicaciones de software de cliente de
VPN requieren una credencial con una clave privada, un certificado de CA y un
certificado por separado.
PASO 2 Haga clic en Abrir para mostrar la clave. Haga clic en Guardar para guardar la
clave.
Importacin de un certificado autofirmado o de terceros

Una CSR (Certificate Signing Request, solicitud de firma de certificado) que se
genere externamente no se puede autorizar ni firmar. Para agregar una CSR
externa, hay que usar una Autorizacin de CSR.
Para importar un certificado:
PASO 1 Haga clic en Agregar.
PASO 2 Seleccione Autorizado por terceros o Autofirmado.
PASO 3 Seleccione Importar de PC o Importar de dispositivo USB.
PASO 4 Busque el certificado de la autoridad de certificacin (solo terceros).
PASO 5 Busque el certificado y la clave privada (terceros o autofirmados).
110

SSL (Secure Sockets Layer, capa de sockets seguros) es la tecnologa de
seguridad estndar para crear un enlace cifrado entre un servidor web y un
navegador. Este enlace garantiza que todos los datos transmitidos entre el
servidor web y el navegador sigan siendo privados y estn completos. SSL es un
estndar del sector que utilizan millones de sitios web para proteger las
transacciones en lnea con sus clientes. Para poder generar un enlace SSL, el
servidor web debe contar con un certificado SSL.
Los certificados SSL emitidos por las autoridades de certificacin de confianza no
muestran un mensaje de advertencia y establecen un enlace seguro entre un sitio
web y un navegador de forma transparente. El candado significa que el usuario
tiene un enlace cifrado con una empresa para la que una autoridad de
certificacin ha emitido un certificado SSL de confianza.
La Tabla de certificado habilita los certificados y muestra informacin sobre los
certificados.
Para ver ms informacin acerca de los certificados, haga clic en Detalles.
Para importar un certificado de terceros, haga clic en Agregar e importe el
certificado:
PASO 2 Busque el certificado de la autoridad de certificacin.
Certificado IPSec de confianza

IPSec se utiliza en el intercambio de generacin de claves y datos de
autenticacin, as como en el protocolo de establecimiento de claves, el algoritmo
de cifrado o el mecanismo de validacin y autenticacin segura de las
transacciones en lnea con certificados SSL.
Para mostrar la informacin del certificado, haga clic en el icono Detalles.
Para exportar o mostrar un certificado, haga clic en el icono Exportar certificado.
Se muestra una ventana emergente en la que puede abrir el certificado para
inspeccionarlo o bien guardarlo en un equipo.
111
Para importar un certificado de terceros, haga clic en Agregar e importe el

certificado:
PASO 1 Seleccione el certificado de la autoridad de certificacin.
PASO 3 Busque el certificado (terceros o autofirmado).
El Certificate Request Generator (Generador de solicitudes de certificados)
recopila informacin y genera un archivo de claves privadas y una solicitud de
certificado. Puede optar por generar un certificado autofirmado o una CSR para
que la firme una autoridad de certificacin externa. Cuando se guarda la
configuracin, la CSR generada o el certificado autofirmado se mostrarn en Mi
certificado.
Para generar un certificado:
PASO 1 Especifique los siguientes parmetros:
112
Tipo: tipo de solicitud de certificado.
Nombre del pas: pas de origen.
Nombre del estado o provincia: estado o provincia (opcional).
Nombre de la localidad: municipio (opcional).
Nombre de la organizacin: organizacin (opcional).
Nombre de unidad organizativa: subconjunto de la organizacin.
Nombre comn: nombre comn de la organizacin.
Direccin de correo electrnico: direccin de correo electrnico de

contacto (opcional).
Longitud de clave de cifrado: longitud de la clave.
Duracin vlida: nmero de das durante los que es vlido un certificado.
Autorizacin de CSR
PASO 2 Haga clic en Guardar. Se abre la ventana Mi certificado.
Autorizacin de CSR
Una CSR es un certificado de identidad digital generado mediante un generador
de certificados. Un certificado no est completo hasta que lo firma una CA. Este
dispositivo puede funcionar como una CA para firmar o autorizar una CSR que se
haya generado externamente mediante la opcin Administracin de certificados >
Autorizacin de CSR. Una vez que este dispositivo firma una CSR generada
externamente, la CSR firmada se convierte en un certificado de confianza y se
muestra en la ventana Certificado IPSec de confianza. Para restaurar la
configuracin predeterminada del dispositivo, incluidos los certificados
predeterminados, use la ventana Ajustes predeterminados.
Para firmar un certificado:
PASO 1 Haga clic en Explorar para identificar la CSR.
PASO 2 Para seleccionar la clave privada correspondiente para autorizar y firmar la CSR,
seleccione el certificado para asociarlo con la solicitud mediante el men

desplegable Mi certificado.
113
114
Autorizacin de CSR
10
Registro
Los registros reflejan el estado del sistema, ya sea utilizando traps o de forma
peridica.

Permite configurar alertas y registros de SMS (Short Message Service, servicio
de mensajes cortos).
Configuracin de la funcin de envo de SMS del registro del sistema
Para configurar el enlace para el registro, lleve a cabo los siguientes pasos:
PASO 1 Haga clic en Habilitar.
PASO 2 Seleccione USB1 o USB2 para enviar el registro a travs de los puertos USB.
PASO 3 Seleccione la opcin Nmero de marcado 1, Nmero de marcado 2 (o las dos
opciones) y especifique el nmero de telfono al que desee llamar.

PASO 4 Haga clic en Prueba para probar el enlace.
PASO 5 Especifique cundo se debe enviar el registro:
Cuando se active un enlace.
Cuando se desactive un enlace.
Cuando se produzca un error en la autenticacin.
Cuando se reinicie el sistema.
115
10
Registro
Configuracin de los servidores del registro del sistema

Para habilitar un servidor, haga clic en Habilitar y escriba un nombre en el campo
Servidor Syslog.
Configuracin de las notificaciones por correo electrnico
Para configurar las notificaciones por correo electrnico, active la opcin
Habilitar y cumplimente la siguiente informacin:
116
Servidor de correo: nombre o direccin IP del servidor de correo.
Autenticacin: tipo de autenticacin para iniciar sesin en un servidor de

correo.
-
Ninguno: no se exige ninguna autenticacin.
Inicio de sesin sencillo: autenticacin en formato sin cifrar.
TLS: protocolo de autenticacin de conexin segura (por ejemplo, Gmail

utiliza la opcin de autenticacin TLS en el puerto 587).
SSL: protocolo de autenticacin de conexin segura (por ejemplo, Gmail

utiliza la opcin de autenticacin SSL en el puerto 465).
Puerto SMTP: nmero del puerto SMTP (Simple Mail Transfer Protocol,
protocolo simple de transferencia de correo).
Nombre de usuario: nombre del usuario del correo electrnico. Por

ejemplo:
Servidor de correo: smtp.gmail.com
Autenticacin: SSL
Puerto SMTP: 465
Nombre de usuario: xxxxx@gmail.com
Contrasea: yyyyyy
Contrasea: contrasea del correo electrnico.
Enviar correo electrnico a 1 y (opcional) 2: direccin de correo

electrnico. Por ejemplo, Enviar correo electrnico a: zzz@empresa.com.
Longitud de la cola de registro: nmero de entradas de registro que se

deben crear antes de enviar una notificacin. Por ejemplo, 10 entradas.
Umbral de tiempo de registro: tiempo que debe transcurrir entre las

notificaciones del registro. Por ejemplo, 10 minutos.
10
Registro
Alerta de tiempo real: evento que desencadena una notificacin inmediata.
Alerta por correo electrnico cuando se acceda a contenido bloqueado/

filtrado: correo electrnico de alerta que se enva cuando se intenta
acceder un dispositivo que est bloqueado o filtrado.
Alerta por correo electrnico de ataque de hacker: correo electrnico de

alerta que se enva cuando un hacker intenta obtener acceso mediante un
ataque DoS (Denial-Of-Service, denegacin de servicio).
Para enviar el registro por correo electrnico de forma inmediata, haga clic en
Enviar registro ahora.
Configuracin de los registros
Seleccione qu eventos se deben producir para que se generen entradas en el
registro:
Desbordamiento de Syn: la velocidad con la que se reciben solicitudes de

conexiones TCP es superior a la capacidad del dispositivo para procesarlas.
Simulacin de IP: paquetes IP con direcciones IP de origen aparentemente

falsificadas que se envan con el propsito de ocultar la identidad del
emisor o suplantar la identidad de otro sistema informtico.
Intento de inicio de sesin no autorizado: se ha rechazado el intento para

iniciar sesin en la red.
Ping de la muerte: deteccin de un ping malintencionado o con una

estructura incorrecta que se ha enviado a un equipo. Un ping tiene
normalmente 32 bytes de tamao (u 84 bytes si tenemos en cuenta el
encabezado del protocolo de Internet [IP]). Tradicionalmente, muchos
sistemas informticos no admitan un paquete de ping con un tamao
superior al tamao del paquete IPv4 mximo (65 535 bytes). El hecho de
enviar un ping de un tamao ms grande poda generar un error en el
equipo de destino.
Win Nuke: ataque de denegacin de servicio remoto que afecta a los

sistemas operativos Microsoft Windows 95, Microsoft Windows NT y
Microsoft Windows 3.1x.
Directivas de denegacin: acceso denegado en funcin de las directivas

configuradas.
Inicio de sesin autorizado: un usuario autorizado ha iniciado sesin en la

red.
117
10
Registro
Mensajes de error del sistema: se han registrado mensajes de error del

sistema.
Directivas de permiso: un usuario autorizado ha iniciado sesin en la red

haciendo uso de las directivas configuradas.
Kernel: todos los mensajes del kernel del sistema.
Cambios de configuracin: ocasiones en las que se ha modificado la

configuracin del dispositivo.
IPSec y VPN de PPTP: estado de desconexin, conexin y negociacin del

tnel VPN.
VPN SSL: estado de desconexin, conexin y negociacin del tnel VPN

SSL.
Red: indica si las interfaces WAN o DMZ estn conectadas o

desconectadas.
Informacin adicional (botones de registro)

indique que se permita el contenido bloqueado. Haga clic en Actualizar para
actualizar los datos.
Haga clic en los siguientes botones para ver ms informacin:
Ver registro del sistema: muestra el registro del sistema. Para especificar
un registro, seleccione el filtro en el men desplegable.
Las entradas del registro incluyen la fecha y la hora del evento, el tipo de
evento y un mensaje. El mensaje especifica el tipo de directiva, por
ejemplo, una regla de acceso, la direccin IP de la LAN del origen (SRC) y la
direccin MAC.
118
Tabla de registro de salida: informacin de paquetes salientes.
Tabla de registro entrante: informacin de paquetes entrantes.
Borrar registro ahora: haga clic en esta opcin para borrar el registro sin
enviarlo por correo electrnico nicamente si no desea volver a ver la
informacin en el futuro.
10
Registro

Se muestra informacin detallada acerca de los puertos y los dispositivos
conectados.
Procesos
Se muestra informacin detallada acerca de los procesos en ejecucin.
119
10
120
Registro
Procesos
11
VPN SSL
Una VPN SSL (Secure Sockets Layer Virtual Private Network, red privada virtual
con capa de sockets seguros) permite a los usuarios establecer un tnel VPN
seguro y con acceso remoto para este dispositivo usando un navegador web. Los
usuarios no necesitan disponer de clientes software ni hardware preinstalados en
sus equipos. Las VPN SSL proporcionan un acceso seguro y fcil a una amplia
gama de recursos web y aplicaciones habilitadas para la Web prcticamente
desde cualquier equipo en Internet. Algunos de ellos son:
Sitios web internos
Aplicaciones habilitadas para la Web
Recursos compartidos de archivos de NT o Active Directory (es decir, Mi

sitio de red)
Acceso a MS Outlook Web
Acceso de aplicaciones (acceso de reenvo de puertos a otras aplicaciones

basadas en TCP)
Las VPN SSL utilizan el protocolo de sockets seguros y su sucesor (el protocolo
de seguridad de capa de transporte) para proporcionar una conexin segura
entre los usuarios remotos y los recursos internos compatibles especficos
configurados en una ubicacin central. Este dispositivo reconoce las conexiones a
las que se debe aplicar un proxy. El portal web de VPN SSL interacta con el
subsistema de autenticacin para autenticar a los usuarios.
El acceso a los recursos por parte de los usuarios de las sesiones de VPN SSL se
proporciona por grupos. Los usuarios (por ejemplo, los partners empresariales) se
pueden organizar en un grupo que no tenga acceso directo a los recursos
de la red interna. O, en el caso de los usuarios que requieran acceso a todos los
recursos de la red interna, este dispositivo admite el uso de la funcin Pasaje
virtual, que permite a los usuarios autorizados obtener una direccin IP desde este
dispositivo a travs de un tnel VPN SSL, por lo que forman parte de la red interna.
121
11
VPN SSL
Estado
Estado
Muestra el estado de los tneles VPN SSL. Desde esta ventana, se puede cerrar
sesin para un usuario.
La Tabla de estado de SSL muestra esta informacin:
Usuario: nombre del usuario.
Grupo: grupo asociado.
IP: direccin IP.
Hora de inicio de sesin: tiempo que lleva el usuario registrado en el tnel.
Para cerrar la sesin de un usuario, haga clic en el icono de la columna Cierre de

sesin.
La funcin de Administracin de grupos permite controlar los grupos de usuarios,
incluido el acceso a los recursos. Un administrador puede crear varios grupos de
usuarios, en los que cada grupo tenga acceso a un conjunto diferente de recursos
en la LAN. El escenario habitual cuenta con dos grupos de usuarios, uno de los
cuales contiene los empleados y el otro los partners empresariales. Aunque este
dispositivo admite varios dominios, es habitual encontrar una pequea empresa
con un nico dominio vinculado a una base de datos de autenticacin concreta,
por ejemplo, una base de datos local, RADIUS o LDAP.
La Tabla de estado de SSL contiene la siguiente informacin:
122
Grupo: nombre del grupo.
Dominio: base de datos desde la que se autoriza el usuario.
Usuario: tipos y nombres de usuario. Haga clic en Detalles para mostrarlos.
Recurso: recursos de sistema a los que el grupo puede acceder. Haga clic
en Detalles para mostrarlos.
Estado: estado del grupo.
11
VPN SSL
Eliminacin de un grupo
Para eliminar un grupo, haga clic en el nombre del grupo que desee eliminar de la
Tabla de estado de SSL y haga clic en Eliminar. Si los usuarios pertenecen
nicamente a un grupo, cuando el administrador elimine el grupo, los usuarios
correspondientes se eliminarn tambin automticamente.
Para eliminar un grupo que sea el predeterminado para un dominio de
autenticacin, elimine el dominio correspondiente. El grupo no se puede eliminar
mediante la ventana Edit Group Settings (Editar ajustes de grupo).
Si el grupo no es el predeterminado para un dominio de autenticacin, elimine
todos los usuarios del grupo y, a continuacin, elimine el grupo.
Adicin o edicin de un grupo
Para agregar (o modificar) un grupo, haga clic en Agregar (o seleccione una
entrada y haga clic en Editar) y especifique los siguientes parmetros:
Nombre de grupo: nombre del grupo. Si va a editar un grupo existente, no

se puede modificar este parmetro.
Dominio: dominio del grupo. Haga clic en Agregar o en Editar para mostrar
la ventana Administracin de grupos.
Habilitado: active esta opcin para habilitar este grupo.
Tiempo de inactividad de la sesin: periodo de tiempo que puede estar

inactiva una conexin antes de que se termine la sesin.
Seleccione los recursos que se deben habilitar para este grupo:
Servicio: servicios disponibles para este grupo.
Marcador de servicio personalizado: los servicios (Telnet, SSH y FTP) y

los servicios de escritorio remoto (RDP5 y VNC) pueden usar los
marcadores establecidos para el grupo. De esta forma, los usuarios no
tienen que recordar ni definir un nombre de servidor ni una direccin IP.
Solo tienen que hacer clic para usar los recursos preconfigurados del
administrador.
Los administradores pueden ver todos los marcadores configurados que se
muestran en un portal web de usuarios.
123
11
VPN SSL
Mi escritorio: habilita RDP5 y VNC. Los marcadores de ActiveX de las

mejoras del cliente de RDP5 (Remote Desktop Protocol Client, protocolo
de escritorio remoto) ahora son compatibles con las opciones avanzadas
de Windows para la asignacin de recursos, con opciones para redirigir
unidades, impresoras, puertos y smartCards. VNC (Virtual Network
Computing, computacin virtual en red) es un sistema compartido de
escritorio grfico que utiliza el protocolo RFB (Remote Frame Buffer, bfer
de trama remota) para controlar de forma remota otro equipo. Transmite las
acciones que se realizan con el ratn y el teclado de un equipo a otro. Las
actualizaciones de la pantalla grfica se retransmiten en la otra direccin a
travs de una red.
Terminal Services: permite el uso de aplicaciones como Word, Excel y

PowerPoint.
Otros: permite el acceso a Mi sitio de red y a la funcin Pasaje virtual. Esta

funcin puede ser de dos tipos: un tnel dividido (donde el trfico que no
est especficamente etiquetado para el tnel se enva mediante otra
conexin virtual) o un tnel completo (donde todo el trfico se enva a travs
del tnel).
Los recursos para cada grupo de usuarios predeterminado se muestran en la

tabla.
Nombre de recurso/
Nombre de grupo
Todos los
usuarios
Supervisor
Usuario
mvil
Personal de
sucursal
Servicios de Internet
Telnet
SSH
FTP
Servicios
Word
Excel
Power Point
Access
Microsoft Terminal
124
11
VPN SSL
Nombre de recurso/
Nombre de grupo
Todos los
usuarios
Supervisor
Usuario
mvil
Outlook
Internet Explorer
FrontPage
ERP
Personal de
sucursal
Escritorio remoto
RDP5
VNC
Mi sitio de red
Pasaje virtual
VPN SSL es compatible con las aplicaciones de Terminal Services habituales de
Microsoft, por ejemplo, Word, Excel, PowerPoint, Access, Outlook, Internet
Explorer, FrontPage y ERP. Para cada aplicacin de Terminal Services que se vaya
a poner a disposicin de los usuarios, configure un recurso y especifique la
direccin IP del servidor de aplicaciones y la ruta a la aplicacin.
Para agregar (o modificar) un recurso, haga clic en Agregar (o seleccione una
entrada y haga clic en Editar) y especifique los siguientes parmetros:
Descripcin de la aplicacin: descripcin de la aplicacin.
Aplicacin y ruta: ruta y nombres de los archivos ejecutables.
Directorio de trabajo: directorio de aplicaciones.
Direccin de host: la direccin IP del equipo donde se aloja el servicio.
Icono de la aplicacin: icono que se debe mostrar.
Habilitar: habilita el recurso.
125
11
VPN SSL
Los ajustes avanzados de VPN SSL limitan el rango de direcciones IP que pueden
acceder a los servicios, cambiar el puerto de servicio o modificar las pancartas.
Para modificar los ajustes avanzados, especifique los siguientes parmetros:
126
Inicio de rango de direccin de cliente: direccin IP de inicio del rango

permitido.
Fin de rango de direccin de cliente: direccin IP de finalizacin del rango

permitido.
Puerto de servicio: nmero de puerto para VPN SSL.
Nombre de la empresa: cadena que se muestra como una pancarta con el

nombre de la empresa.
Nombre de recurso: cadena que se muestra como una pancarta con el

nombre del recurso.
12
Asistente
La pgina Asistente se utiliza para iniciar el asistente para la configuracin bsica

que le orientar durante el proceso de configuracin inicial del dispositivo. El
asistente Regla de acceso ofrece orientacin durante el proceso de configuracin
de la directiva de seguridad para la red.
Configuracin bsica
Use el asistente para la configuracin bsica con objeto de cambiar el nmero de
puertos WAN o configurar la conexin a Internet.
Haga clic en Iniciar ahora para ejecutar el asistente para la configuracin bsica.
Siga las instrucciones que aparezcan en pantalla para continuar. Consulte la
informacin que le proporcione el ISP para especificar los ajustes necesarios para
la conexin.
Configuracin de regla de acceso
Use el asistente Configuracin de regla de acceso para crear las reglas de acceso
del cortafuegos. Haga clic en Iniciar ahora para ejecutar el asistente
Configuracin de regla de acceso. El asistente proporciona informacin sobre las
reglas predeterminadas para este dispositivo. Siga las instrucciones que
aparezcan en pantalla para continuar.
127
12
128
Asistente
13
Administracin de usuarios
La pgina Administracin de usuarios permite controlar el acceso de los usuarios

y los dominios. Se usa principalmente para PPTP, el cliente Cisco VPN (tambin
conocido como EasyVPN) y la VPN SSL.
Para agregar o modificar un dominio:
PASO 1 Haga clic en Agregar (o seleccione una entrada y haga clic en Editar).
PASO 2 Elija un valor en Tipo de autenticacin y especifique la informacin necesaria:
Local Data Base (Base de datos local): permite autenticarse en una base de
datos local.
-
Dominio: nombre de dominio que seleccionan los usuarios para iniciar

sesin en el portal de VPN SSL.
Radius (PAP, CHAP, MSCHAP, MSCHAPv2): permite autenticarse en un

servidor RADIUS utilizando los protocolos PAP (Password Authentication
Protocol, protocolo de autenticacin de contrasea), CHAP (Challenge
Handshake Authentication Protocol, protocolo de autenticacin por desafo
mutuo), MSCHAP (Microsoft Challenge Handshake Authentication Protocol,
protocolo de autenticacin por desafo mutuo de Microsoft) o MSCHAPv2,
(Microsoft Challenge Handshake Authentication Protocol Version 2,
protocolo de autenticacin por desafo mutuo de Microsoft, versin 2).
-

Servidor Radius: direccin IP del servidor RADIUS.
Contrasea de Radius: secreto de autenticacin.
129
13
Administracin de usuarios
Active Directory: autenticacin de Windows Active Directory. Tenga en

cuenta que la autenticacin de Active Directory es la ms propensa a
errores. Si no puede autenticarse usando Active Directory, consulte el
procedimiento de solucin de problemas que figura al final de esta seccin.
-

Direccin de servidor AD: direccin IPv4 del servidor de Active

Directory.
Nombre de dominio AD: nombre de dominio del servidor de Active

Directory.
LDAP: Lightweight Directory Access Protocol, protocolo ligero de acceso al

directorio.
-

Direccin de servidor LDAP: direccin IPv4 del servidor LDAP.
Nombre de DN base de LDAP: base de bsqueda para las consultas

LDAP. Un ejemplo de cadena de base de bsqueda es
CN=Users,DC=yourdomain,DC=com.
PASO 3 Haga clic en Aceptar.
Para agregar o modificar un usuario, haga clic en Agregar (o seleccione una

entrada y haga clic en Editar) y especifique la siguiente informacin:
130
Nombre de usuario: nombre que utiliza el usuario para iniciar sesin en el

portal de VPN SSL.
Contrasea: contrasea que se utiliza para la autenticacin.
Grupo: grupos extrados de la Tabla de estado de SSL en Administracin

de grupos. De forma predeterminada, el men desplegable Grupo tiene 5
opciones: 4 grupos VPN SSL predeterminados y una opcin Unassigned
(Sin asignar). El grupo Unassigned (Sin asignar) contiene usuarios de VPN
PPTP y de EasyVPN. El grupo Administrador tiene solo un usuario. El
nombre de usuario predeterminado del grupo Administrador es cisco.
Dominio: nombre del dominio incluido en la Tabla de administracin de

dominios.
14
Recursos adicionales
Soporte
Comunidad de soporte
de Cisco
www.cisco.com/go/smallbizsupport
Soporte y recursos de
Cisco
www.cisco.com/go/smallbizhelp
Contactos de soporte
telefnico
www.cisco.com/en/US/support/
tsd_cisco_small_business
_support_center_contacts.html
Descargas de firmware
de Cisco
www.cisco.com/cisco/software/
navigator.html?i=!ch
Seleccione un enlace para descargar
firmware de productos de Cisco. No es
necesario iniciar sesin.
Solicitud de cdigo
abierto de Cisco
www.cisco.com/go/
smallbiz_opensource_request
www.cisco.com/web/partners/sell/smb
Central de partners de
Cisco (inicio de sesin del
partner requerido)
Documentacin de productos
Routers y cortafuegos de
Cisco
www.cisco.com/go/smallbizrouters
Para conocer los resultados de las pruebas relacionadas con EU Lot 26, consulte www.cisco.com/go/eu-lot26-results.
Cisco y el logotipo de Cisco son marcas comerciales o registradas de Cisco Systems, Inc. o de sus filiales en Estados Unidos y en otros
pases. Para ver una lista de las marcas comerciales de Cisco, visite esta URL: www.cisco.com/go/trademarks. Las marcas comerciales
de terceros a las que se hace referencia en esta documentacin pertenecen a sus respectivos propietarios. El uso del trmino "partner"
(o sus equivalentes) no implica una relacin de sociedad entre Cisco y cualquier otra empresa. (1110R)
Copyright 2014
Revisin: 9 de abril de 2014
78-21283-01B0
131
14
132
Recursos adicionales

Manual Rv320 Cisco Router

Cargado por

Copyright:

Formatos disponibles

Manual Rv320 Cisco Router

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Rv320 Cisco Router

Cargado por

Copyright:

Formatos disponibles

GUA DE

Caractersticas de la interfaz de usuario

Captulo 2: Resumen del sistema

Informacin del sistema

Estado de configuracin VPN

Estado de VPN SSL

Estado de ajuste de registro

Ajustes de los puertos WAN1 o WAN2

Ajustes de los puertos USB1 o USB2

Ajustes de conmutacin por error y recuperacin

Reenvo (de puertos)

Conversin de direccin de puerto

Adicin o edicin de un nombre de servicio

Configuracin de NAT uno a uno

Clonacin de direcciones MAC

Asignacin de un valor de DNS dinmico a una interfaz WAN

Gua de administracin de Cisco RV320/RV325

Configuracin de enrutamiento dinmico

Configuracin de rutas estticas

Equilibrio de carga entrante

Actualizacin de dispositivos USB

Base de datos local de DNS

Anuncio de router (IPv6)

Captulo 5: Administracin del sistema

Conexiones WAN duales

Administracin del ancho de banda

Seleccin de idioma o Configuracin de idioma

Copia de seguridad y restauracin

Captulo 6: Administracin de puertos

Gua de administracin de Cisco RV320/RV325

Agregar un nuevo tnel

Configuracin de grupo local

Ajustes avanzados para IKE con clave precompartida e IKE con

Paso a travs de VPN

Captulo 9: Administracin de certificados

Certificado SSL de confianza

Certificado IPSec de confianza

Gua de administracin de Cisco RV320/RV325

Captulo 10: Registro

Registro del sistema

Estadsticas del sistema

Captulo 11: VPN SSL

Captulo 12: Asistente

Captulo 13: Administracin de usuarios

Gua de administracin de Cisco RV320/RV325

Uso de la ventana Introduccin

configurado para convertirse en un cliente DHCP, se asigna a dicho equipo una

predeterminado cisco y la contrasea predeterminada cisco (en minscula).

para utilizar el asistente a fin de configurar la conexin a Internet. Tambin puede

Sugerencias para la solucin de problemas

Compruebe que el navegador web no est configurado para trabajar sin

Compruebe los ajustes de la conexin de la red de rea local para el

Compruebe que haya especificado los ajustes correctos en el asistente

Reinicie el mdem y el dispositivo apagndolos. A continuacin, encienda

Si tiene un mdem DSL, pida al ISP que lo configure en el modo de puente.

Caractersticas de la interfaz de usuario

Gua de administracin de Cisco RV320/RV325

Gua de administracin de Cisco RV320/RV325

Gua de administracin de Cisco RV320/RV325

Informacin del sistema