Guía de inicio rápido del dispositivo de seguridad PIX 515E de

Cisco, versión 7.0

Contenidos
Guía de inicio rápido del dispositivo de seguridad PIX 515E de Cisco

Acerca del dispositivo de seguridad PIX 515E de Cisco

Verificación del contenido del paquete

Instalación del dispositivo de seguridad PIX 515E

Configuración del dispositivo de seguridad

Acerca de la configuración predeterminada de fábrica

Acerca del Administrador de dispositivos adaptables de seguridad

Acerca de la configuración desde la interfaz de línea de comandos

Uso de Startup Wizard (Asistente de inicio)

Escenarios de configuración comunes

Escenario 1: Configuración de DMZ

Escenario 2: Configuración de VPN sitio a sitio

Qué hacer a continuación

Procedimientos de actualización y mantenimiento opcionales

Obtención de licencias de encriptado DES y 3DES/AES

Restauración de la configuración predeterminada

Modos alternativos de acceder al dispositivo de seguridad

Comprobación de los indicadores LED

Obtención de documentación

Comentarios sobre documentación

Información general de la seguridad de los productos de Cisco

Obtención de asistencia técnica

Obtención de información y publicaciones adicionales

Guía de inicio rápido

Guía de inicio rápido del dispositivo de seguridad PIX 515E de Cisco

Acerca del dispositivo de seguridad PIX 515E de Cisco

El dispositivo de seguridad PIX 515E de Cisco ofrece un nivel de seguridad de tipo empresarial para las redes de empresas y
negocios pequeños y medianos en un dispositivo de seguridad modular diseñado para ese fin. Los dispositivos de seguridad PIX de
Cisco, que abarcan desde dispositivos compactos de escritorio "plug-and-play" para oficinas pequeñas y en casa hasta dispositivos de
gigabits de clase portadora para los entornos empresariales y de proveedores de servicios más exigentes, ofrecen seguridad,
desempeño y confiabilidad para entornos de red de todos los tamaños.

El dispositivo de seguridad PIX 515E de Cisco, que forma parte de la serie líder del mercado PIX 500 de Cisco, ofrece una amplia
gama de servicios de seguridad integrados, aceleración VPN de hardware, una función de alta disponibilidad de calidad y potentes
capacidades de administración remota en una solución fácil de implementar y de alto desempeño.

Acerca de este documento

En este documento, se explica cómo instalar y configurar el dispositivo de seguridad para utilizarlo en una implementación de VPN
o DMZ. Cuando haya completado los procedimientos que se describen aquí, el dispositivo de seguridad utilizará una configuración
VPN o DMZ básica. Este documento sólo ofrece información para poner en funcionamiento el dispositivo de seguridad con una
configuración básica.

Si desea más información, consulte la siguiente documentación:

• Cisco PIX Security Appliance Release Notes (release notes de los dispositivos de seguridad PIX de Cisco)

• Cisco PIX Security Appliance Hardware Installation Guide (Guía de instalación de hardware de los dispositivos de
seguridad PIX de Cisco)

• Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de la línea de comandos de los
dispositivos de seguridad de Cisco)

• Cisco Security Appliance Command Reference (Referencia de comandos de los dispositivos de seguridad de Cisco)

• Cisco Security Appliance System Log Messages (Mensajes de registro del sistema de los dispositivos de seguridad de Cisco)

Encontrará estos documentos en línea en la siguiente URL:

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_70/index.htm

1 Verificación del contenido del paquete

Verifique el contenido de la caja para asegurarse de que ha recibido todos los elementos necesarios para instalar y configurar el
dispositivo de seguridad PIX 515E.
2 Instalación del dispositivo de seguridad PIX 515E
Esta sección describe cómo instalar el dispositivo de seguridad PIX 515E en su propia red, que se puede parecer a la del modelo de
la figura 1.

Figura 1 Esquema de red de ejemplo

Para instalar el dispositivo de seguridad PIX 515E, siga estos pasos:

Paso 1 Siga estos pasos para montar el chasis en un bastidor:

a. Sujete los soportes al chasis con los tornillos suministrados. Los soportes se atornillan a los orificios próximos a la parte frontal
del chasis.

b. Sujete el chasis al bastidor del equipo.

Paso 2 Utilice uno de los cables de Ethernet amarillos suministrados (72-1482-01) para conectar la interfaz Ethernet 10/100 externa,
Ethernet 0, a un módem DSL, un módem cable, un router o un switch.

Paso 3 Utilice el otro cable de Ethernet amarillo suministrado (72-1482-01) para conectar la interfaz Ethernet 10/100 interna,
Ethernet 1, a un switch o hub.

Paso 4 Conecte un extremo del cable de alimentación a la parte posterior del dispositivo de seguridad PIX 515E y el otro extremo a
una toma de corriente.

Paso 5 Encienda el dispositivo de seguridad PIX 515E. El interruptor de corriente se encuentra en la parte posterior del chasis.

3 Configuración del dispositivo de seguridad

Esta sección describe la configuración inicial del dispositivo de seguridad. Para realizar los pasos de configuración, puede utilizar el
Administrador de dispositivos adaptables de seguridad (ASDM) o la interfaz de línea de comandos (CLI).

Nota Para ejecutar el ASDM, debe tener una licencia DES o una licencia 3DES-AES.

Acerca de la configuración predeterminada de fábrica

Los dispositivos de seguridad de Cisco se entregan con una configuración predeterminada de fábrica que permite ponerlos en marcha
rápidamente. Esta configuración satisface las necesidades de los entornos de conexión de red de la mayoría de las pequeñas y
medianas empresas. En forma predeterminada, el dispositivo de seguridad está configurado de la siguiente manera:

• La interfaz interna está configurada con una agrupación de direcciones DHCP predeterminada.

Esta configuración permite a un cliente de la red interna obtener una dirección DHCP del dispositivo de seguridad con el fin de
conectarse a dicho dispositivo. A continuación, los administradores pueden configurar y administrar el dispositivo de seguridad con
ASDM.

• La interfaz saliente está configurada para denegar todo el tráfico entrante a través de la interfaz externa.

Esta configuración protege la red interna del tráfico no solicitado.

En función de su política de seguridad de red, también debería pensar en la posibilidad de configurar el dispositivo de seguridad para
que deniegue todo el tráfico ICMP a través de la interfaz externa o cualquier otra interfaz que sea necesaria. Para configurar esta
política de control de acceso, utilice el comando icmp. Para obtener más información acerca del comando icmp, consulte
Cisco Security Appliance Command Reference (Referencia de comandos de los dispositivos de seguridad de Cisco).

Acerca del Administrador de dispositivos adaptables de seguridad

El Administrador de dispositivos adaptables de seguridad (ASDM) es una interfaz gráfica repleta de características que le permite
administrar y supervisar el dispositivo de seguridad. Su diseño seguro y basado en web permite un acceso seguro, para que pueda
conectarse y administrar el dispositivo de seguridad desde cualquier lugar con un explorador web.

Además de la capacidad de configuración y administración completa, ASDM incluye asistentes inteligentes para simplificar y
acelerar la implementación del dispositivo de seguridad.

Para ejecutar ASDM, debe tener una licencia DES o una licencia 3DES-AES. Asimismo, su explorador web debe tener activado Java
y JavaScript.

Acerca de la configuración desde la interfaz de línea de comandos

Además de la herramienta de configuración web ASDM, también puede utilizar la interfaz de línea de comandos para configurar el
dispositivo de seguridad. Para obtener más información, consulte Cisco Security Appliance Command Line Configuration Guide
(Guía de configuración de la línea de comandos de los dispositivos de seguridad de Cisco) y Cisco Security Appliance Command
Reference (Referencia de comandos de los dispositivos de seguridad de Cisco).

Uso de Startup Wizard (Asistente de inicio)

ASDM incluye un asistente de inicio para simplificar la configuración inicial del dispositivo de seguridad. Con unos cuantos pasos,
este asistente le permite configurar el dispositivo de seguridad para que los paquetes fluyan con seguridad entre la red interna y la red
externa.

Antes de iniciar el asistente, prepare la siguiente información:

• Un nombre de host único para identificar el dispositivo de seguridad en su red.

• Las direcciones IP de la interfaz externa, la interfaz interna y otras interfaces.

• Las direcciones IP que se utilizarán para la configuración de NAT o PAT.

• El intervalo de direcciones IP para el servidor DHCP.

Para utilizar el asistente de inicio para definir una configuración básica y simplificada en el dispositivo de seguridad, siga estos
pasos:

Paso 1 Si no lo ha hecho aún, conecte la interfaz interna Ethernet 1 del dispositivo de seguridad a un switch o hub mediante el cable
de Ethernet. Conecte una PC a este mismo switch para configurar el dispositivo de seguridad.

Paso 2 Configure la PC para utilizar DHCP (para recibir una dirección IP automáticamente desde el dispositivo de seguridad), o
asigne una dirección IP estática a la PC seleccionando una dirección que esté fuera de la red 192.168.1.0. (Las direcciones válidas
están comprendidas entre 192.168.1.2 y 192.168.1.254, con una máscara 255.255.255.0 y la ruta predeterminada 192.168.1.1.)

Nota La interfaz interna del dispositivo de seguridad tiene asignada la dirección 192.168.1.1 en forma predeterminada, por lo que
esta dirección no está disponible.
Paso 3 Compruebe el indicador LED LINK en la interfaz Ethernet 1. Cuando se establece una conexión, el indicador LED LINK de
la interfaz Ethernet 1 del dispositivo de seguridad y el indicador LED LINK correspondiente del switch o hub se iluminan con una
luz verde fija.

Paso 4 Inicie Startup Wizard (Asistente de inicio).

a. En la PC conectado al switch o hub, inicie un explorador de Internet.

b. En el campo de la dirección del explorador, introduzca esta URL: https://192.168.1.1/.

Nota El dispositivo de seguridad incluye la dirección IP predeterminada 192.168.1.1. Recuerde añadir la "s" de "https" o la
conexión fallará. HTTPS (HTTP sobre SSL) ofrece una conexión segura entre el explorador y el dispositivo de seguridad.

Paso 5 En la ventana emergente en la que se le pide un nombre de usuario y una contraseña, deje los dos campos en blanco.
Presione Intro.

Paso 6 Haga clic en Sí para aceptar los certificados. Haga clic en Sí para todos los certificados o solicitudes de autenticación
posteriores.

Paso 7 Después de iniciar ASDM, seleccione el menú Wizards (Asistentes) y, a continuación, elija Startup Wizard (Asistente de
inicio).

Paso 8 Siga las instrucciones del asistente para configurar el dispositivo de seguridad.

Para obtener información acerca de cualquier campo del asistente, haga clic en el botón Help (Ayuda) situado en la parte inferior de
la ventana.

4 Escenarios de configuración comunes

Esta sección ofrece ejemplos de dos escenarios de configuración de dispositivos de seguridad comunes:

• Alojamiento de un servidor web en una red DMZ

• Establecimiento de una conexión VPN sitio a sitio con otros socios comerciales u oficinas remotas

Utilice estos escenarios como guía a la hora de configurar la red. Sustituya las direcciones de red por las suyas y aplique las políticas
adicionales que necesite.

Escenario 1: Configuración de DMZ

Una zona desmilitarizada (DMZ) es una red independiente situada en una zona neutral comprendida entre una red privada (interna) y
una red pública (externa). Este escenario es una topología de red de ejemplo que es común a la mayoría de las implementaciones de
DMZ que utilizan el dispositivo de seguridad. El servidor web se encuentra en la interfaz DMZ, y los clientes HTTP de las redes
internas y externas pueden acceder al servidor web con seguridad.

En la figura 2, un cliente HTTP (10.10.10.10) de la red interna inicia comunicaciones HTTP con el servidor web DMZ (30.30.30.30).
Se proporciona acceso HTTP al servidor web DMZ para todos los clientes de Internet; todas las demás comunicaciones se deniegan.
La red está configurada para utilizar una agrupación de direcciones IP comprendida entre 30.30.30.50 y 30.30.30.60. (La agrupación
IP es el intervalo de direcciones IP disponible para la interfaz DMZ).

Figura 2 Esquema de red en un escenario de configuración de DMZ

Puesto que el servidor web DMZ se encuentra en una red DMZ privada, es necesario traducir su dirección IP privada en una
dirección IP pública (enrutable). Esta dirección pública permite a los clientes externos tener acceso HTTP al servidor web DMZ de la
misma forma que los clientes accederían a cualquier servidor en Internet.

Este escenario de configuración de DMZ, que se muestra en la figura 2, proporciona dos direcciones IP enrutables que están
disponibles de manera pública: una para la interfaz externa (209.165.156.10) y otra para el servidor web DMZ traducido
(209.165.156.11). El siguiente procedimiento describe cómo utilizar ASDM para configurar el dispositivo de seguridad para
establecer comunicaciones seguras entre clientes HTTP y el servidor web.

En este escenario de DMZ, el dispositivo de seguridad ya tiene configurada una interfaz externa, denominada dmz. Para configurar
la interfaz del dispositivo de seguridad para su DMZ, utilice el asistente de inicio. Asegúrese de que el nivel de seguridad se haya
configurado entre 0 y 100. (Una opción común es 50).

Información que hay que tener disponible

• Direcciones IP internas de los servidores situados dentro de la DMZ que desea que estén disponibles para los clientes de la red
pública (en este escenario, un servidor web).

• Direcciones IP externas que se utilizarán para servidores situados dentro de la DMZ. (Los clientes de la red pública utilizarán la
dirección IP externa para acceder al servidor situado dentro de la DMZ).

• La dirección IP del cliente que sustituirá las direcciones IP internas en el tráfico saliente. (El tráfico de cliente saliente parecerá
provenir de esta dirección para no exponer la dirección IP interna).

Paso 1: Configure agrupaciones IP para traducciones de red

Para que un cliente HTTP interno (10.10.10.10) pueda acceder al servidor web de la red DMZ (30.30.30.30), es necesario definir una
agrupación de direcciones IP (30.30.30.50-30.30.30.60) para la interfaz DMZ. Igualmente, se necesita una agrupación de IP
(209.165.156.10) para la interfaz externa para que el cliente HTTP interno se comunique con cualquier dispositivo en la red pública.
Utilice ASDM para administrar eficientemente agrupaciones de IP y para facilitar comunicaciones seguras entre clientes de red
protegidos y dispositivos en Internet.

1. Para iniciar ASDM, introduzca esta dirección IP predeterminada de fábrica en el campo de la dirección de un explorador web:
https://192.168.1.1.

2. Haga clic en el botón Configuration (Configuración) situado en la parte superior de la ventana de ASDM.

3. Seleccione la característica NAT en el lado izquierdo de la ventana de ASDM.

4. Haga clic en el botón Manage Pools (Administrar agrupaciones) en la parte inferior de la ventana de ASDM. Aparece la ventana
Manage Global Address Pools (Administrar agrupaciones de direcciones globales), que le permite agregar o editar agrupaciones de
direcciones globales.

Nota En la mayoría de las configuraciones, las agrupaciones globales se agregan a las interfaces menos seguras, o públicas.

5. En la ventana Manage Global Address Pools (Administrar agrupaciones de direcciones globales):

a. Seleccione la interfaz dmz.

b. Haga clic en el botón Add (Agregar).

Aparece la ventana Add Global Pool Item (Agregar elemento de agrupación global)

6. En la ventana Add Global Pool Item (Agregar elemento de agrupación global):

a. Seleccione dmz en el menú desplegable Interface (Interfaz).

b. Haga clic en el botón Range (Intervalo) para introducir el intervalo de direcciones IP.

c. Introduzca el intervalo de direcciones IP para la interfaz DMZ. En este escenario, el intervalo está comprendido entre
30.30.30.50 y 30.30.30.60.

d. Introduzca una ID de agrupación única. (Para este escenario, la ID de agrupación es 200).

e. Haga clic en el botón OK (Aceptar) para volver a la ventana Manage Global Address Pools (Administrar agrupaciones de
direcciones globales).

Nota También puede seleccionar Port Address Translation (PAT) (Traducción de direcciones de puertos (PAT)) o Port Address
Translation (PAT) using the IP address of the interface (Traducción de direcciones de puertos (PAT) utilizando la dirección IP de
la interfaz) si hay disponibles direcciones IP limitadas para la interfaz DMZ.

7. En la ventana Manage Global Address Pools (Administrar agrupaciones de direcciones globales):

a. Seleccione la interfaz outside (externa).

b. Haga clic en el botón Add (Agregar).

Aparece la ventana Add Global Pool Item (Agregar elemento de agrupación global)

8. Cuando aparezca la ventana Add Global Pool Item (Agregar elemento de agrupación global):

a. Seleccione outside (externa) en el menú desplegable Interface (Interfaz).

b. Haga clic en el botón Port Address Translation (PAT) using the IP address of the interface (Traducción de direcciones de
puertos (PAT) utilizando la dirección IP de la interfaz).

c. Asigne la misma ID de agrupación a esta agrupación, como en el paso 6d anterior. (Para este escenario, la ID de agrupación es
200).

d. Haga clic en el botón OK (Aceptar). La configuración debería ser similar a la siguiente:

9. Confirme que los valores de la configuración son correctos y, a continuación:

a. Haga clic en el botón OK (Aceptar).

b. Haga clic en el botón Apply (Aplicar) en la ventana principal.

Nota Dado que sólo hay disponibles dos direcciones IP públicas, y una está reservada para el servidor DMZ, todo el tráfico iniciado
por el cliente HTTP interno sale del dispositivo de seguridad utilizando la dirección IP de la interfaz externa. Esta configuración
permite enrutar el tráfico entre el cliente interno e Internet.

Paso 2: Configure traducciones de direcciones en redes privadas

NAT (Traducción de direcciones de red) reemplaza las direcciones IP de origen del tráfico de red intercambiado entre dos interfaces
del dispositivo de seguridad. Esta traducción evita que los espacios de direcciones privados se expongan en redes públicas y permite
el enrutamiento a través de redes públicas. PAT (Traducción de direcciones de puertos) es una extensión de la función NAT que
permite que varios host de las redes privadas se asignen a una sola dirección IP en la red pública. PAT es esencial para pequeñas y
medianas empresas que tienen disponible un número limitado de direcciones IP públicas.

Para configurar NAT entre la interfaz interna y la interfaz DMZ para el cliente HTTP interno, siga estos pasos comenzando desde la
página principal de ASMD:

1. Haga clic en el botón Configuration (Configuración) situado en la parte superior de la ventana de ASDM.

2. Seleccione la característica NAT en el lado izquierdo de la ventana de ASDM.

3. Haga clic en el botón Translation Rules (Reglas de traducción) y, a continuación, haga clic en el botón Add (Agregar) situado
en el lado derecho de la página de ASDM. Aparece la ventana Add Address Translation Rule (Agregar regla de traducción de
direcciones).

4. En la ventana Add Address Translation Rule (Agregar regla de traducción de direcciones), asegúrese de que esté seleccionado el
botón Use NAT (Utilizar NAT) y, a continuación, seleccione la interfaz inside (interna) en el menú desplegable.

5. Introduzca la dirección IP del cliente interno. En este escenario, la dirección IP es 10.10.10.10.

6. Seleccione 255.255.255.255 en el menú desplegable Mask (Máscara).

7. Seleccione la interfaz DMZ en el menú desplegable Translate Address on Interface (Traducir dirección en interfaz).

8. Haga clic en el botón Dynamic (Dinámica) en la sección Translate Address To (Traducir dirección en).

9. Seleccione 200 en el menú desplegable Address Pools (Agrupaciones de direcciones) de la ID de agrupación adecuada.

10. Haga clic en el botón OK (Aceptar).

11. Aparece una ventana emergente que le pregunta si desea continuar. Haga clic en el botón Proceed (Continuar).

12. En la página NAT Translation Rules (Reglas de traducción NAT), verifique si la configuración mostrada es correcta.

13. Haga clic en el botón Apply (Aplicar) para completar los cambios de configuración.

La configuración debería tener este aspecto:

Paso 3: Configure la identidad externa del servidor web DMZ

El servidor web DMZ tiene que ser accesible para todos los host de Internet. Esta configuración requiere la traducción de la dirección
IP del servidor web para que parezca estar en Internet, lo que permite que los clientes HTTP externos accedan a ella sin conocer la
presencia del dispositivo de seguridad. Realice los siguientes pasos para asignar la dirección IP del servidor web (30.30.30.30) de
manera estática a una dirección IP pública (209.165.156.11):

1. Haga clic en el botón Configuration (Configuración) situado en la parte superior de la ventana de ASDM. A continuación,
seleccione la característica NAT en el lado izquierdo de la ventana de ASDM.

2. Haga clic en el botón Translation Rules (Reglas de traducción). A continuación, haga clic en el botón Add (Agregar) en el lado
derecho de la página.

3. Seleccione la interfaz dmz externa en el menú desplegable de interfaces.

4. Introduzca la dirección IP (30.30.30.30) del servidor web o haga clic en el botón Browse (Examinar) para seleccionar el
servidor.

5. Seleccione 255.255.255.255 en el menú desplegable Mask (Máscara). A continuación, haga clic en el botón Static (Estática).

6. Introduzca la dirección IP externa (209.165.156.11) del servidor web. El botón Advanced (Avanzadas) le permite configurar
características como la limitación del número de conexiones por entrada estática y las reescrituras de DNS. Haga clic en el botón OK
(Aceptar).

7. Verifique los valores que ha introducido. A continuación, haga clic en el botón Apply (Aplicar).

La configuración debería tener este aspecto:

Paso 4: Proporcione acceso HTTP al servidor web DMZ

En forma predeterminada, el dispositivo de seguridad deniega todo el tráfico que ingresa desde la red pública. Debe crear reglas de
control de acceso en el dispositivo de seguridad para permitir que pasen tipos de tráfico específicos de la red privada a través del
dispositivo de seguridad hasta los recursos de la DMZ.

Para configurar una regla de control de acceso que permita pasar el tráfico HTTP a través del dispositivo de seguridad para que
cualquier cliente de Internet pueda acceder a un servidor web en el interior de la DMZ, siga estos pasos:

1. En la ventana de ASDM:

c. Haga clic en el botón Configuration (Configuración).

d. Seleccione el botón Security Policy (Política de seguridad) en el lado izquierdo de la pantalla de ASDM.

e. En la tabla, seleccione Add (Agregar).

2. En la ventana Add Rule (Agregar regla):

a. En Action (Acción), seleccione permit (permitir) en el menú desplegable para dejar que el tráfico pase a través del dispositivo
de seguridad.

b. En Source Host/Network (Red/host de origen), haga clic en el botón IP Address (Dirección IP).

c. Seleccione outside (externa) en el menú desplegable Interface (Interfaz).

d. Introduzca la dirección IP de la red/host de origen. (Utilice 0.0.0.0 para permitir que el tráfico se origine en cualquier host o red).

e. En Destination Host/Network (Red/host de destino), haga clic en el botón IP Address (Dirección IP).

f. Seleccione la interfaz dmz en el menú desplegable Interface (Interfaz).

g. En el campo de la dirección IP, introduzca la dirección IP de la red o host de destino (por ejemplo, un servidor web). (En este
escenario, la dirección IP del servidor web es 30.30.30.30).

h. Seleccione 255.255.255.255 en el menú desplegable Mask (Máscara).

Nota Como alternativa, para seleccionar los host/redes en ambos casos, haga clic en los botones Browse (Examinar) respectivos.
3. Especifique el tipo de tráfico que desea permitir:

Nota El tráfico HTTP siempre se dirige desde cualquier número puerto de origen TCP hacia un número de puerto TCP 80 de
destino fijo.

a. Haga clic en el botón TCP en Protocol and Service (Protocolo y servicio).

b. En Source Port (Puerto de origen), seleccione "=" (igual a) en el menú desplegable Service (Servicio).

c. Haga clic en el botón etiquetado con unos puntos suspensivos (...), desplácese por las opciones y seleccione Any (Cualquiera).

d. En Destination Port (Puerto de destino), seleccione "=" (igual a) en el menú desplegable Service (Servicio).

e. Haga clic en el botón etiquetado con unos puntos suspensivos (...), desplácese por las opciones y seleccione HTTP.

f. Haga clic en el botón OK (Aceptar).

Nota Para ver más características (por ejemplo, los mensajes de registro del sistema de ACL), haga clic en el botón More Options
(Más opciones) en la parte superior de la pantalla. Puede asignar un nombre a la regla de acceso en la ventana de la parte inferior.
g. Verifique que la información que ha introducido es correcta y haga clic en el botón OK (Aceptar).

Nota Aunque la dirección de destino especificada anteriormente es la dirección privada del servidor web DMZ (30.30.30.30), se
permite pasar a través del dispositivo de seguridad el tráfico HTTP que proviene de cualquier host de Internet que está destinado a
209.165.156.11. La traducción de direcciones (30.30.30.30 = 209.165.156.11) permite el tráfico.

h. Haga clic en el botón Apply (Aplicar) en la ventana principal.

Las configuraciones deberían tener este aspecto:

Ahora, los clientes HTTP de las redes privadas y públicas pueden acceder con seguridad al servidor web DMZ.

Escenario 2: Configuración de VPN sitio a sitio

Las características VPN (Red privada virtual) sitio a sitio que ofrece el dispositivo de seguridad permiten a las empresas ampliar sus
redes a lo largo de conexiones de Internet públicas de bajo costo hasta socios comerciales y oficinas remotas de todo el mundo,
manteniendo la seguridad de sus redes. Las conexiones VPN le permiten enviar datos desde una ubicación a otra a través de una
conexión segura, o "túnel". Para ello, primero se autentican ambos extremos de la conexión y, a continuación, se encriptan
automáticamente todos los datos enviados entre los dos sitios.

La figura 3 muestra un túnel VPN de ejemplo entre dos dispositivos de seguridad.

Figura 3 Esquema de red en un escenario de configuración VPN sitio a sitio

Para crear una conexión VPN como la de la ilustración anterior, tiene que configurar dos dispositivos de seguridad, uno a cada lado
de la conexión.

ASDM dispone de un asistente de configuración muy fácil de utilizar que lo guía rápidamente a través del proceso de configuración
de una VPN sitio a sitio en unos pocos pasos muy sencillos.

Paso 1: Configure el dispositivo de seguridad PIX en el primer sitio.

Configure el dispositivo de seguridad PIX en el primer sitio, que, en este escenario, es el dispositivo de seguridad PIX 1 (de ahora en
adelante denominado PIX 1).

1. Para iniciar ASDM, introduzca la dirección IP predeterminada de fábrica en el campo de la dirección de un explorador web:
https://192.168.1.1/admin.

2. En la página principal de ASDM, seleccione la opción VPN Wizard (Asistente de VPN) en el menú desplegable Wizards
(Asistentes). ASDM abre la primera página del asistente.

En la primera página del asistente, haga lo siguiente:

a. Seleccione la opción Site-to-Site VPN (VPN sitio a sitio).

Nota La opción Site-to-Site VPN (VPN sitio a sitio) conecta dos puertas de enlace de seguridad IPSec, que pueden incluir
dispositivos de seguridad, concentradores VPN u otros dispositivos compatibles con la conectividad IPSec sitio a sitio.

b. En el menú desplegable, seleccione outside (externa) como interfaz activada para el túnel VPN actual.

c. Haga clic en el botón Next (Siguiente) para continuar.

Paso 2: Proporcione información acerca del par VPN.

El par VPN es el sistema situado en el otro extremo de la conexión, normalmente en un sitio remoto.

Proporcione información acerca del par VPN. En este escenario, el par VPN es el dispositivo de seguridad PIX 2 (de ahora en
adelante denominado PIX 2).

1. Introduzca la dirección IP del par (de PIX 2 ) y un nombre de grupo de túnel.

2. Realice una de las siguientes acciones para especificar el tipo de autenticación que desea utilizar:

– Para utilizar una clave previamente compartida para la autenticación (por ejemplo, "CisCo"), haga clic en el botón Pre-Shared
Key (Clave previamente compartida) e introduzca una clave previamente compartida, que se comparte para las negociaciones IPSec
entre ambos dispositivos de seguridad.

Nota Cuando configura PIX 2 en el sitio remoto, el par VPN es PIX 1. Procure introducir la misma clave previamente compartida
(CisCo) que utilice aquí.

– Para utilizar certificados digitales para la autenticación, haga clic en el botón Certificate (Certificado) y, a continuación,
seleccione un Trustpoint Name (Nombre de punto de confianza) en el menú desplegable.

3. Haga clic en el botón Next (Siguiente) para continuar.

Paso 3: Configure la política IKE

IKE es un protocolo de negociación que incluye un método de encriptado para proteger datos y garantizar la privacidad, y un método
de autenticación para garantizar la identidad de los pares. En la mayoría de los casos, los valores predeterminados de ASDM son
suficientes para establecer canales VPN seguros entre los dos pares.

Para especificar la política IKE, siga estos pasos:

1. Seleccione los algoritmos de encriptado (DES/3DES/AES) y de autenticación (MD5/SHA), y el grupo Diffie-Hellman (2/01/05)
que utiliza el dispositivo de seguridad durante una asociación de seguridad IKE.
Nota Al configurar PIX 2, introduzca los valores exactos de cada una de las opciones que haya elegido para PIX 1. Las
discordancias de encriptado son la causa más común de errores del túnel VPN y pueden ralentizar el proceso.

2. Haga clic en el botón Next (Siguiente) para continuar.

Paso 4: Configure los parámetros de autenticación y encriptado IPSec

1. Seleccione un algoritmo de encriptado (DES/3DES/AES) y un algoritmo de autenticación (MD5/SHA).

2. Haga clic en el botón Next (Siguiente) para continuar.

Paso 5: Especifique redes y host locales

Identifique los host y las redes del sitio local a los que se permitirá utilizar este túnel IPSec para comunicarse con los pares del sitio
remoto. (Los pares del sitio remoto se especifican en un paso posterior).

Para agregar y quitar host y redes de manera dinámica desde el panel Selected (Seleccionado), haga clic en los botones >> o <<
respectivamente. En el escenario actual, el tráfico de la Red A (10.10.10.0) se encripta por medio de
SA 1 y se transmite a través del túnel VPN.

Para especificar una red o host local a los que se le permitirá el acceso al túnel IPSec, siga estos pasos:

1. Haga clic en IP Address (Dirección IP).

2. Para especificar si la interfaz es inside (interna) o outside (externa), seleccione una de las interfaces en el menú desplegable.

3. Introduzca la dirección IP y la máscara.

4. Haga clic en Add (Agregar).

5. Repita los pasos 1 a 5 para cada host o red que desee que acceda al túnel.

6. Haga clic en el botón Next (Siguiente) para continuar.

Paso 6: Especifique redes y host remotos

Identifique los host y redes del sitio remoto a los que se les permite utilizar este túnel IPSec para comunicarse con las redes y los host
locales que identificó en el paso 5. Para agregar y quitar host y redes de manera dinámica desde el panel Selected (Seleccionado),
haga clic en los botones >> o << respectivamente. En el escenario actual, para PIX 1, la red remota es la Red B (20.20.20.0), por lo
que se permite pasar a través del túnel al tráfico encriptado de esta red.

Para especificar una red o host remoto a los que se le permitirá el acceso al túnel IPSec, siga estos pasos:

1. Haga clic en IP Address (Dirección IP).

2. Para especificar si la interfaz es inside (interna) o outside (externa), seleccione una ubicación en el menú desplegable Interface
(Interfaz).

3. Introduzca la dirección IP y la máscara.

4. Haga clic en Add (Agregar).

5. Repita los pasos 1 a 5 para cada host o red que desee que tenga acceso al túnel.

6. Haga clic en el botón Next (Siguiente) para continuar.

Nota Al configurar PIX 2, asegúrese de que se hayan introducido los valores correctos. La red remota de PIX 1 es la red remota de
PIX 2, y viceversa.

Paso 7: Consulte los atributos de VPN y complete el asistente

Revise la lista de configuraciones del túnel VPN que acaba de crear.

Si está satisfecho con la configuración, haga clic en Finish (Finalizar) para completar el asistente y aplicar los cambios de
configuración en el dispositivo de seguridad.
Nota Al configurar PIX 2, introduzca los mismos valores para cada una de las opciones que haya elegido para PIX 1. Las
discordancias de encriptado y los algoritmos son una de las causas más comunes de errores del túnel VPN y pueden ralentizar el
proceso.

Así concluye el proceso de configuración de PIX 1.

Qué hacer a continuación

Acaba de configurar el dispositivo de seguridad local. Ahora, tiene que configurar el dispositivo de seguridad en el sitio remoto.

En el sitio remoto, configure el segundo dispositivo de seguridad para que actúe como un par VPN. Utilice el mismo procedimiento
que ha seguido para configurar el dispositivo de seguridad local. Comience en el Paso 1: Configure el dispositivo de seguridad PIX
en el primer sitio de la página 20 y termine en el Paso 7: Consulte los atributos de VPN y finalice el asistente de la página 27.

Nota Al configurar PIX 2, introduzca los mismos valores exactos para cada una de las opciones que haya elegido para PIX 1. Las
discordancias son una causa muy común de errores de configuración de VPN.

5 Procedimientos de actualización y mantenimiento opcionales

Obtención de licencias de encriptado DES y 3DES/AES
El dispositivo de seguridad le ofrece la opción de adquirir una licencia DES o 3DES-AES para activar características específicas que
ofrecen tecnología de encriptado como, por ejemplo, la administración remota segura (SSH, ASDM, etc), VPN sitio a sitio y VPN de
acceso remoto. Para activar la licencia, se necesita una clave de licencia de encriptado.

Si ha adquirido el dispositivo de seguridad con una licencia DES o 3DES-AES, la clave de licencia de encriptado está incluida en el
dispositivo de seguridad.

Si no ha adquirido el dispositivo de seguridad con una licencia DES o 3DES-AES, pero le gustaría adquirir una ahora, las licencias
de encriptado están disponibles gratuitamente en Cisco.com.

Si es un usuario registrado de Cisco.com y le gustaría obtener una licencia de encriptado DES o 3DES/AES, diríjase al siguiente sitio
web:

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl

Si no es un usuario registrado de Cisco.com, diríjase al siguiente sitio web:

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl

Introduzca su nombre, dirección de correo electrónico y el número de serie del dispositivo de seguridad tal y como aparece en la
salida del comando show version.

Nota Si solicita la actualización de la licencia, recibirá la nueva clave de activación del dispositivo de seguridad en un plazo de dos
horas (o menos).
Para utilizar la clave de activación, siga estos pasos:

Comando Propósito
Paso 1 pix# show version Muestra la versión del software, la configuración del hardware, la clave de
licencia y los datos de tiempo de actividad relacionados.
Paso 2 pix# configure Entra en el modo de configuración global.
terminal
Paso 3 pix(config)# Actualiza la clave de activación de encriptado al reemplazar la variable
activation-key activation-4-tuple-key por la clave de activación obtenida con la nueva
activation-5-tuple- licencia. La variable activation-5-tuple-key es una cadena hexadecimal de
key cinco elementos con un espacio entre cada elemento. Un ejemplo es
0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e. El "0x" es opcional; se
asume que todos los valores son hexadecimales.
Paso 4 pix(config)# exit Sale del modo de configuración global.
Paso 5 pix# copy Guarda la configuración.
running-config
startup-config
Paso 6 pix# reload Reinicia el dispositivo de seguridad y recarga la configuración.

Restauración de la configuración predeterminada

Para restaurar la configuración a los valores predeterminados de fábrica, existen varios métodos:

• Puede ejecutar el asistente de inicio en esta URL: https://192.168.1.1/.

• Utilice la línea de comandos tal y como se explica en el siguiente procedimiento.

Para restaurar la configuración predeterminada a los valores predeterminados de fábrica, siga estos pasos:

Comando Propósito
Paso 1 hostname> enable Accede al modo EXEC con privilegios.
Paso 2 Contraseña Introduzca la contraseña.
Paso 3 hostname# configure terminal Accede al modo de configuración global.
Paso 4 hostname(config)# configure Borra la configuración actual y la reemplaza por la
factory-default [inside_ip_address [ configuración predeterminada de fábrica. Al introducir el
address_mask]]1 comando configure factory-default , se borra la
configuración actual.
Paso 5 hostname(config)# write memory Escribe la configuración predeterminada de fábrica en la
memoria Flash.
1 Si se especifica la máscara de dirección y la dirección IP interna opcionales, la configuración predeterminada de fábrica lo refleja.

Modos alternativos de acceder al dispositivo de seguridad

Para acceder a la CLI para realizar tareas de administración, utilice el puerto de la consola en el dispositivo de seguridad. Para ello,
debe ejecutar un emulador de terminal serie en una PC o estación de trabajo.

Para configurar el sistema de forma que pueda administrar el dispositivo de seguridad desde la línea de comandos mediante el puerto
de la consola, siga estos pasos:

Paso 1 Conecte el cable azul de la consola de forma que haya un conector DB-9 en un extremo, tal y como requiere el puerto serie
de la computadora, y el conector RJ-45 esté en el otro extremo.

Nota Utilice el puerto de la consola para conectarse a una computadora e introducir los comandos de configuración. Busque el cable
azul de la consola en el kit de accesorios. El conjunto de cables azules de la consola consta de un cable de módem nulo con
conectores RJ-45 y un conector DB-9.
Paso 2 Conecte el conector RJ-45 al puerto de la consola del dispositivo de seguridad PIX 515E, y conecte el otro extremo al
conector del puerto serie de la computadora. (Consulte la figura 4).

Figura 4 Panel posterior del dispositivo de seguridad PIX de Cisco

• Si el dispositivo de seguridad PIX 515E tiene instalada una placa de circuitos Ethernet de cuatro puertos, las placas de circuitos
Ethernet se numeran de la manera que se indica en la figura 5. La placa de circuitos Ethernet de cuatro puertos es necesaria para
acceder a la licencia sin restricciones del dispositivo de seguridad PIX 515E.

Figura 5 Placa de circuitos Ethernet de cuatro puertos

• Si el dispositivo de seguridad PIX 515E tiene una o dos placas de circuitos Ethernet de un solo puerto instaladas en el conjunto
auxiliar situado a la izquierda de la unidad trasera, esas placas se numeran de arriba abajo, de forma que la placa de circuitos superior
es Ethernet 2 y la inferior, Ethernet 3.

Figura 6 Placas de circuitos Ethernet instaladas en el conjunto auxiliar

Nota Si necesita instalar una placa de circuitos opcional, consulte la sección "Installing a Circuit Board in the PIX 515E"
(Instalación de una placa de circuitos en el PIX 515E) de Cisco PIX Security Appliance Hardware Installation Guide (Guía de
instalación de hardware de los dispositivos de seguridad PIX de Cisco).

Si tiene un segundo dispositivo de seguridad PIX 515E que desea utilizar como unidad de migración tras error, instale la
característica de migración tras error y el cable tal y como se describe en la sección "Installing Failover" (Instalación de migración
tras error) de Cisco PIX Security Appliance Hardware Installation Guide (Guía de instalación de hardware de los dispositivos de
seguridad PIX de Cisco).

Paso 3 Conecte los cables internos, externos o perimetrales a los puertos de la interfaz. Comenzando desde la esquina superior
izquierda, los conectores son Ethernet 2, Ethernet 3, Ethernet 4 y Ethernet 5. El número máximo de interfaces permitidas es seis con
una licencia sin restricciones.
Nota No añada una placa de circuitos de un solo puerto en la ranura adicional situada bajo la placa de circuitos de cuatro puertos,
porque el número máximo de interfaces permitidas es seis.

Paso 4 Encienda la unidad con el interruptor de la parte posterior para iniciar el dispositivo de seguridad PIX 515E. No encienda las
unidades de migración tras error hasta que se haya configurado la unidad activa.

Comprobación de los indicadores LED

Tabla 1 Indicadores LED del panel frontal del dispositivo de seguridad PIX 515E

Indicador
LED Color Estado Descripción
POWER Verde Activado Activado cuando la unidad está encendida.
ACT Verde Activado Activado cuando la unidad es la unidad de migración tras error
activa. Si se produce una migración tras error, la luz se enciende
cuando la unidad es la unidad activa.
Desactivado Desactivado cuando la unidad está en modo de espera. Si la
migración tras error no está activada, está luz está apagada.
NETWORK Verde Parpadeando Activado cuando al menos una interfaz de red está dejando pasar
tráfico.

Figura 7 Indicadores LED del panel frontal del dispositivo de seguridad PIX 515E

Obtención de documentación
En Cisco.com, hay disponible documentación e información adicional de Cisco. Cisco también ofrece varias formas de obtener
asistencia técnica y otros recursos técnicos. En estas secciones, se explica cómo obtener información técnica de Cisco Systems.

Cisco.com

Puede acceder a la documentación más actualizada de Cisco en esta URL:

http://www.cisco.com/univercd/home/home.htm

Puede acceder al sitio web de Cisco en esta URL:

http://www.cisco.com

Puede acceder a los sitios web internacionales de Cisco en esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html
DVD de documentación
La documentación de Cisco y otra información adicional están disponibles en un paquete de DVD de documentación que se entrega
con el producto. El DVD de documentación se actualiza regularmente y puede estar más actualizado que la documentación impresa.
El paquete de DVD de documentación está disponible como una sola unidad.

Los usuarios registrados de Cisco.com (clientes directos de Cisco) pueden realizar el pedido de un DVD de documentación de Cisco
(número de producto DOC-DOCDVD=) desde la herramienta de pedidos o desde Cisco Marketplace.

Herramienta de pedidos de Cisco:

http://www.cisco.com/en/US/partner/ordering/index.shtml

Cisco Marketplace:

http://www.cisco.com/go/marketplace/

Cómo realizar pedidos de documentación

Encontrará instrucciones para realizar pedidos de documentación en esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Puede realizar pedidos de documentación de Cisco de las siguientes formas:

• Los usuarios registrados de Cisco.com (clientes directos de Cisco) pueden realizar pedidos de documentación de productos de
Cisco desde la herramienta de pedidos:

http://www.cisco.com/en/US/partner/ordering/index.shtml

• Los usuarios no registrados de Cisco pueden realizar pedidos de documentación a través de un representante de cuentas local,
llamando a las oficinas centrales corporativas de Cisco Systems (California, EE.UU.) al número 408 526-7208 o, desde cualquier
otro lugar de Norteamérica, llamando al número 1 800 553-NETS (6387).

Comentarios sobre documentación

Puede enviar comentarios sobre la documentación técnica a bug-doc@cisco.com.

Para enviar los comentarios, utilice la tarjeta de respuesta (si la tiene) situada detrás de la cubierta frontal del documento o escriba a
la siguiente dirección:

Cisco Systems
Attn: Customer Document Ordering
170 West Tasman Drive
San Jose, CA 95134-9883

Apreciamos sus comentarios.

Información general de la seguridad de los productos de Cisco

Cisco ofrece un portal en línea gratuito dedicado a la política de vulnerabilidad de la seguridad en esta URL:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

Desde este sitio, puede realizar estas tareas:

• Informar de vulnerabilidades de seguridad en los productos de Cisco.

• Obtener asistencia para incidencias de seguridad relacionadas con los productos de Cisco.

• Registrarse para recibir información sobre seguridad de Cisco.

En esta URL, hay disponible una lista de avisos y notificaciones de seguridad de los productos de Cisco:

http://www.cisco.com/go/psirt

Si prefiere ver los avisos y notificaciones en el momento en que se actualizan en tiempo real, puede acceder a un suministro PSIRT
RSS (Product Security Incident Response Team Really Simple Syndication) desde esta URL:
http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

Cómo informar de problemas de seguridad en los productos de Cisco

Cisco se compromete a entregar productos seguros. Probamos nuestros productos de manera interna antes de ponerlos a la venta y
nos esforzamos por corregir rápidamente todas las vulnerabilidades. Si cree que ha identificado una vulnerabilidad en un producto de
Cisco, póngase en contacto con PSIRT:

• Emergencias — security-alert@cisco.com

• No emergencias — psirt@cisco.com

Recomendación Le aconsejamos utilizar PGP (Pretty Good Privacy) o un producto compatible para encriptar cualquier
información confidencial que envíe a Cisco. PSIRT puede trabajar a partir de información encriptada compatible con las versiones 2.x
a 8.x de PGP.

Nunca utilice claves de encriptado anuladas o caducadas. La clave pública correcta que debe utilizar en sus mensajes con PSIRT es
la que tiene la fecha de creación más reciente en esta lista de servidores de claves públicas:

http://pgp.mit.edu:11371/pks/lookup?search=psirt%40cisco.com&op=index&exact=on

En caso de emergencia, también puede ponerse en contacto con PSIRT por teléfono:

• 1 877 228-7302

• 1 408 525-6532

Obtención de asistencia técnica

Para todos los clientes, socios, revendedores y distribuidores que disponen de contratos de servicio válidos de Cisco, el Soporte
técnico de Cisco les ofrece una asistencia técnica de calidad las 24 horas del día. El sitio web del Soporte técnico de Cisco en
Cisco.com dispone de amplios recursos de soporte en línea. Además, los ingenieros del Centro de asistencia técnica de Cisco (TAC)
le ofrecen ayuda telefónica. Si no dispone de un contrato de servicio válido de Cisco, póngase en contacto con su revendedor.

Sitio web de Soporte técnico de Cisco

El sitio web de Soporte técnico de Cisco dispone de herramientas y documentos en línea para la resolución de problemas técnicos de
los productos y tecnologías de Cisco. El sitio web está disponible las 24 horas del día y los 365 días del año en esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Para acceder a todas las herramientas del sitio web de Soporte técnico de Cisco, se necesita una ID de usuario y una contraseña de
Cisco.com. Si dispone de un contrato de servicio válido, pero no tiene ID de usuario o contraseña, puede registrarse en esta URL:

http://tools.cisco.com/RPF/register/register.do

Nota Utilice la Herramienta de identificación de productos de Cisco (CPI) para localizar el número de serie del producto antes de
enviar una solicitud web o realizar una llamada telefónica. Para acceder a la herramienta CPI desde el sitio web de Soporte técnico de
Cisco, haga clic en el enlace Tools & Resources (Herramientas y recursos) en Documentation & Tools (Documentación y
herramientas). Seleccione Cisco Product Identification Tool (Herramienta de identificación de productos de Cisco) en la lista
desplegable Alphabetical Index (Índice alfabético), o haga clic en el enlace Cisco Product Identification Tool (Herramienta de
identificación de productos de Cisco) en Alerts & RMAs (Alertas y RMA). La herramienta CPI ofrece tres opciones de búsqueda:
por ID de producto o nombre de modelo; por vista de árbol; o por productos concretos, copiando y pegando la salida del comando
show. En los resultados de búsqueda, aparece una ilustración del producto con la ubicación de la etiqueta del número de serie
resaltada. Busque la etiqueta del número de serie en su producto y anote la información antes de realizar una llamada de servicio.

Envío de una solicitud de servicio

La Herramienta de solicitud de servicio TAC en línea es el método más rápido de abrir solicitudes de servicio S3 y S4. (Las
solicitudes de servicio S3 y S4 son aquellas en las que su red ha resultado mínimamente afectada o en las que necesita información
sobre productos). Después de describir su situación, la Herramienta de solicitud de servicio TAC ofrece las soluciones
recomendadas. Si su problema no se resuelve con los recursos recomendados, la solicitud de servicio se asigna a un ingeniero de
TAC de Cisco. La Herramienta de solicitud de servicio TAC se encuentra en esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html/servicerequest

Para solicitudes de servicio S1 o S2 o, en caso de que no tenga acceso a Internet, póngase en contacto con el TAC de Cisco por
teléfono. (Las solicitudes de servicio S1 o S2 son aquellas en las que su red de producción no funciona o ha sufrido una degradación
grave). Las solicitudes de servicio S1 o S2 se asignan inmediatamente a ingenieros del TAC de Cisco para ayudarle a mantener en
funcionamiento sus operaciones comerciales.

Para abrir una solicitud de servicio por teléfono, utilice uno de los siguientes números:

Asia-Pacífico: +61 2 8446 7411 (Australia: 1 800 805 227)

EMEA: +32 2 704 55 55
EE.UU.: 1 800 553-2447

Para obtener una lista completa de contactos del TAC de Cisco, diríjase a esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html/contacts

Definiciones de los niveles de gravedad de las solicitudes de servicio

Para garantizar que todas las solicitudes de servicio se envíen en un formato estándar, Cisco ha establecido definiciones de los
niveles de gravedad.

Nivel de gravedad 1 (S1): Su red no funciona o el problema tiene un impacto crítico en sus operaciones comerciales. Usted y Cisco
dedicarán todos los recursos necesarios las 24 horas del día para resolver la situación.

Nivel de gravedad 2 (S2): El funcionamiento de una red existente se ha degradado gravemente, o el desempeño inadecuado de
productos de Cisco ha afectado negativamente a importantes aspectos de sus operaciones comerciales. Usted y Cisco dedicarán
recursos a tiempo completo durante el horario normal de trabajo para resolver el problema.

Nivel de gravedad 3 (S3): El problema ha perjudicado al desempeño operativo de su red, pero la mayoría de las operaciones
comerciales se siguen realizando. Usted y Cisco dedicarán recursos durante el horario normal de trabajo para restablecer el servicio a
unos niveles satisfactorios.

Nivel de gravedad 4 (S4): Necesita información o ayuda acerca de las capacidades, la instalación o la configuración de productos de
Cisco. El efecto es leve o nulo en las operaciones comerciales.

Obtención de información y publicaciones adicionales

Hay disponible información sobre los productos, tecnologías y soluciones de redes de Cisco en diversas fuentes en línea e impresas.

• Cisco Marketplace ofrece una gran variedad de libros, guías de referencia y logos de Cisco. Visite Cisco Marketplace, la tienda
de la empresa, en esta URL:

http://www.cisco.com/go/marketplace/

• Cisco Press publica una amplia variedad de títulos generales sobre conexión de red, capacitación y certificaciones. Tantos los
usuarios nuevos como los ya experimentados encontrarán útiles estas publicaciones. Para conocer los títulos actuales de Cisco Press
y obtener otra información, diríjase a Cisco Press en esta URL:

http://www.ciscopress.com

• Packet es una revista para usuarios técnicos de Cisco Systems para maximizar las inversiones en la conexión de red e Internet.
Cada trimestre, Packet informa sobre las últimas tendencias del sector, las novedades tecnológicas y los productos y soluciones de
Cisco, además de ofrecer recomendaciones para solucionar problemas e implementar redes, ejemplos de configuración, casos de
clientes, información sobre capacitación y certificaciones, y enlaces a muchísimos recursos en línea especializados. Puede acceder a
la revista Packet en esta URL:

http://www.cisco.com/packet

• iQ Magazine es una publicación trimestral de Cisco Systems diseñada para ayudar a las empresas en crecimiento a utilizar la
tecnología para aumentar sus ingresos, perfeccionar sus empresas y expandir sus servicios. La publicación identifica los retos a los
que se enfrentan estas empresas y las tecnologías que las ayudan a superarlos utilizando casos y estrategias comerciales reales para
ayudar a los lectores a tomar buenas decisiones de inversión en tecnología. Puede acceder a iQ Magazine en esta URL:
 http://www.cisco.com/go/iqmagazine

• Internet Protocol Journal es un periódico trimestral publicado por Cisco Systems destinado a ingenieros profesionales que
trabajan en el diseño, el desarrollo y el funcionamiento de redes de Internet e intranets públicas y privadas. Para acceder a Internet
Protocol Journal, visite esta URL:

http://www.cisco.com/ipj

• Cisco ofrece capacitación sobre conexión de red de primera clase. Consulte las ofertas actuales en esta URL:

http://www.cisco.com/en/US/learning/index.html

© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generación del PDF: 12 Abril 2008

http://www.cisco.com/cisco/web/support/LA/8/81/81657_prod_hw_vpndevc_ps2030_prod_quick_start09186a00803e01f0.html