Cisco Router and Security Device Manager Benutzerhandbuch · Cisco SDM-Warnung: Firewall 21 Firewallrichtlinie bearbeiten 22 Hinzufügen einer neuen Regel 25 Datenverkehr hinzufügen

Firmenhauptsitz in den USACisco Systems, Inc.170 West Tasman DriveSan Jose, CA 95134-1706USAhttp://www.cisco.comTel.: 408 526-4000

800 553-NETS (6387)Fax: 408 527-0883

Cisco Router and Security Device Manager Benutzerhandbuch2.4.1

Kundenbestellnummer: Dokumentnummer: OL-9961-04

http://www.cisco.com

DIE SPEZIFIKATIONEN UND INFORMATIONEN ZU DEN PRODUKTEN IN DIESEM HANDBUCH KNNEN SICH OHNE VORHERIGE ANKNDIGUNG NDERN. ES WIRD DAVON AUSGEGANGEN, DASS ALLE DARLEGUNGEN, INFORMATIONEN UND EMPFEHLUNGEN IN DIESEM HANDBUCH KORREKT SIND, SIE WERDEN JEDOCH OHNE JEGLICHE GEWHRLEISTUNG, WEDER AUSDRCKLICH NOCH IMPLIZIERT, VORGELEGT. DIE BENUTZER TRAGEN DIE VOLLE VERANTWORTUNG FR DIE ANWENDUNG JEGLICHER PRODUKTE.

DIE SOFTWARELIZENZ UND EINGESCHRNKTE GEWHRLEISTUNG FR DAS BEGLEITENDE PRODUKT SIND IN DEM INFORMATIONSPAKET AUSGEFHRT, DAS DIESEM PRODUKT BEILIEGT, UND SIND DURCH DIESEN VERWEIS HIER AUFGENOMMEN. WENN SIE DIE SOFTWARELIZENZ ODER EINGESCHRNKTE GEWHRLEISTUNG NICHT FINDEN KNNEN, ERHALTEN SIE EIN EXEMPLAR BEI IHREM CISCO-REPRSENTANTEN.

Die Cisco-Implementierung der TCP Header-Komprimierung ist die Adaption eines Programms, das von der University of California, Berkeley (UCB) als Teil der ffentlichen Domnenversion von UCB des UNIX-Betriebssystems entwickelt wurde. Alle Rechte vorbehalten. Copyright 1981, Regents of the University of California.

UNGEACHTET ALLER HIERIN ENTHALTENEN GEWHRLEISTUNGEN WERDEN ALLE DOKUMENTDATEIEN UND DIE SOFTWARE DIESER LIEFERANTEN IM VORLIEGENDEN ZUSTAND MIT ALLEN FEHLERN GELIEFERT. CISCO UND DIE OBEN GENANNTEN LIEFERANTEN SCHLIESSEN JEGLICHE GEWHRLEISTUNG, AUSDRCKLICH ODER IMPLIZIERT, EINSCHLIESSLICH, UNEINGESCHRNKT, JEGLICHER GEWHRLEISTUNG FR MARKTFHIGKEIT, EIGNUNG FR EINEN BESTIMMTEN ZWECK UND WAHRUNG DER RECHTE DRITTER ODER SOLCHE GEWHRLEISTUNG, DIE AUS EINER GESCHFTS-, NUTZUNGS- ODER HANDELSPRAXIS ENTSTEHT, AUS.

CISCO ODER SEINE LIEFERANTEN HAFTEN IN KEINEM FALL FR INDIREKTE; SPEZIELLE; FOLGE- ODER BEGLEITSCHDEN, EINSCHLIESSLICH, OHNE BESCHRNKUNG, ENTGANGENE GEWINNE SOWIE DEN VERLUST ODER DIE BESCHDIGUNG VON DATEN, DIE AUS DER VERWENDUNG ODER UNFHIGKEIT DER VERWENDUNG DIESES HANDBUCHS ENTSTEHEN, AUCH WENN CISCO ODER SEINE LIEFERANTEN AUF DIE MGLICHKEIT SOLCHER SCHDEN HINGEWIESEN WURDEN.

Die in diesem Dokument verwendeten IP (Internet Protocol)-Adressen sind frei erfunden. Alle im Dokument enthaltenen Beispiele, Befehlszeilenausgaben und Abbildungen dienen nur Darstellungszwecken. Die Verwendung tatschlich vorhandener IP-Adressen in darstellenden Inhalten ist nicht beabsichtigt und zufllig.

Cisco Router and Security Device Manager 2.4 Benutzerhandbuch 2007 Cisco Systems, Inc. Alle Rechte vorbehalten.

Cisco OL-9961-04

I N H A L T

Startseite 1

LAN-Assistent 1

Ethernet-Konfiguration 3

LAN-Assistent: Schnittstelle auswhlen 4

LAN-Assistent: IP-Adresse und Subnetzmaske 4

LAN-Assistent: DHCP-Server aktivieren 5

LAN-Assistent: DHCP-Adressen-Pool 5

DHCP-Optionen 6

LAN-Assistent: VLAN-Modus 7

LAN-Assistent: Switch-Port 7

IRB-Bridge 8

BVI-Konfiguration 9

DHCP-Pool fr BVI 9

IRB fr Ethernet 10

Layer 3-Ethernetkonfiguration 10802.1Q-Konfiguration 10Trunk oder Routerkonfiguration 11Switchmodul konfigurieren 11Gigabit Ethernetschnittstelle konfigurieren 11

bersicht 12

Wie gehe ich vor? 13Wie konfiguriere ich eine statische Route? 13Wie zeige ich Aktivitten in meiner LAN-Schnittstelle an? 14

iiiRouter and Security Device Manager 2.4 Benutzerhandbuch

Inhalt

Wie aktiviere oder deaktiviere ich eine Schnittstelle? 14Wie zeige ich die IOS-Befehle an, die ich an den Router sende? 15Wie starte ich die Wireless-Anwendung von Cisco SDM aus? 16

802.1x-Authentifizierung 1

LAN-Assistent: 802.1x-Authentifizierung (Switch-Ports) 2Erweiterte Optionen 3

LAN-Assistent: RADIUS-Server fr 802.1x-Authentifizierung 5

802.1x-Authentifizierung (Switch-Ports) bearbeiten 7

LAN-Assistent: 802.1x-Authentifizierung (VLAN oder Ethernet) 9802.1x-Ausnahmeliste 11

802.1x-Authentifizierung auf Layer-3-Schnittstellen 12802.1x-Authentifizierung bearbeiten 14

Wie gehe ich vor? 15Wie lsst sich die 802.1x-Authentifizierung auf mehreren Ethernet-Ports konfigurieren? 15

Verbindungserstellungsassistenten 1

Verbindung erstellen 1

Willkommensfenster fr den WAN-Schnittstellenassistenten 3

Willkommensfenster fr den ISDN-Assistenten 3

Willkommensfenster fr den Analogmodem-Assistenten 3

Willkommensfenster fr den Assistenten fr die zustzliche Sicherung 3

Schnittstelle auswhlen 4

Kapselung: PPPoE 4

IP-Adresse: ATM oder Ethernet mit PPPoE/PPPoA 5

IP-Adresse: ATM mit RFC 1483-Routing 6

IP-Adresse: Ethernet ohne PPPoE 7

IP-Adresse: Seriell mit Point-to-Point-Protokoll 7

ivCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

IP-Adresse: Seriell mit HDLC oder Frame Relay 8

IP-Adresse: ISDN BRI oder Analogmodem 9

Authentifizierung 10

Switch-Typ und SPIDs 11

Whl-Zeichenfolge 13

Sicherungskonfiguration 13Sicherungskonfiguration: Primre Schnittstelle und Primre Next Hop-IP-Adresse 13Sicherungskonfiguration: Hostname oder IP-Adresse, der bzw. die verfolgt werden soll 14

Erweiterte Optionen 15

Kapselung 16

PVC 18

Konfigurieren von LMI und DLCI 20

Takteinstellungen konfigurieren 21

Verbindung lschen 23

bersicht 26

Konnektivittstest und Fehlerbehebung 27

Wie gehe ich vor? 31Wie zeige ich die IOS-Befehle an, die ich an den Router sende? 31Wie konfiguriere ich eine nicht untersttzte WAN-Schnittstelle? 31Wie aktiviere oder deaktiviere ich eine Schnittstelle? 32Wie zeige ich Aktivitten auf meiner WAN-Schnittstelle an? 32Wie konfiguriere ich NAT auf einer WAN-Schnittstelle? 33Wie konfiguriere ich NAT auf einer nicht untersttzten Schnittstelle? 34Wie konfiguriere ich ein Protokoll fr dynamisches Routing? 34Wie konfiguriere ich Dial-on-Demand Routing fr meine ISDN- oder asynchrone Schnittstelle? 35Wie kann ich die Konfiguration einer Wireless-Schnittstelle bearbeiten? 37

vCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Schnittstelle/Verbindung bearbeiten 1

Verbindung: Ethernet fr IRB 7

Verbindung: Ethernet fr Routing 8Existierende Dynamische DNS Methoden 10Eine Dynamische DNS Methode hinzufgen 10

Wireless 12

Verknpfung 12

NAT 15

Switch-Portmodus bearbeiten 15

Anwendungsdienst 17

Allgemein 18

Ethernet-Konfigurationstyp auswhlen 21

Verbindung: VLAN 22

Subschnittstellenliste 23

Add or Edit BVI Interface (BVI-Schnittstelle hinzufgen oder bearbeiten) 23

Loopback-Schnittstelle hinzufgen oder bearbeiten 24

Verbindung: Virtuelle Vorlagenschnittstelle 24

Verbindung: Ethernet LAN 25

Verbindung: Ethernet WAN 26

Ethernet-Eigenschaften) 28

Verbindung: Ethernet with No Encapsulation (Ethernet ohne Kapselung) 30

Verbindung: ADSL 31

Verbindung: ADSL over ISDN 35

Verbindung: G.SHDSL 38

DSL-Controller konfigurieren 42

G.SHDSL-Verbindung hinzufgen 44

viCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Verbindung: Serial Interface, Frame Relay Encapsulation (Serielle Schnittstelle, Frame Relay-Kapselung) 47

Verbindung: Serial Interface, PPP Encapsulation (Serielle Schnittstelle, PPP-Kapselung) 50

Verbindung: Serial Interface, HDLC Encapsulation (Serielle Schnittstelle, HDLC-Kapselung) 53

GRE-Tunnelschnittstelle hinzufgen/bearbeiten 55

Verbindung: ISDN BRI 56

Verbindung: Analoges Modem 59

Verbindung: (Zustzliche Sicherung) 62

Authentifizierung 64

SPID-Details 65

Dialer-Optionen 66

Sicherungskonfiguration 69

Firewall erstellen 1

Assistent fr die Konfiguration der Basisfirewall 4Konfiguration der Basisfirewall-Schnittstelle 4Konfiguration der Firewall fr den Remotezugriff 5

Assistent fr die Konfiguration der erweiterten Firewall 6Erweiterte Firewall-Schnittstellenkonfiguration 6Konfiguration erweiterter Firewall-DMZ-Dienste 7

DMZ-Dienstkonfiguration 8Anwendung Sicherheitsstufe 9Domainname Serverkonfiguration 9Konfiguration des URL-Filter-Servers 10Schnittstellenzone auswhlen 10Innere Zonen mit ZPF 11bersicht 11

SDM-Warnung: SDM-Zugriff 13

viiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Wie gehe ich vor? 15Wie zeige ich Aktivitten auf meiner Firewall an? 15Wie konfiguriere ich eine Firewall auf einer nicht untersttzten Schnittstelle? 17Wie konfiguriere ich eine Firewall, nachdem ich ein VPN konfiguriert habe? 18Wie lasse ich bestimmten Datenverkehr ber eine DMZ-Schnittstelle zu? 19Wie ndere ich eine existierende Firewall, um Datenverkehr von einem neuen Netzwerk oder Host zuzulassen? 20Wie konfiguriere ich NAT auf einer nicht untersttzten Schnittstelle? 21Wie konfiguriere ich NAT Passthrough fr eine Firewall? 21Wie lasse ich ber eine Firewall Datenverkehr zu meinem Easy VPN-Konzentrator zu? 22Wie verknpfe ich eine Regel mit einer Schnittstelle? 23Wie hebe ich die Verknpfung einer Zugriffsregel mit einer Schnittstelle auf? 24Wie lsche ich eine Regel, die mit einer Schnittstelle verknpft ist? 25Wie erstelle ich eine Zugriffsregel fr eine Java-Liste? 26Wie lasse ich bestimmten Datenverkehr in meinem Netzwerk zu, wenn ich kein DMZ-Netzwerk besitze? 27

Firewallrichtlinie 1

Firewallrichtlinie/ACL bearbeiten 1Whlen eines Datenverkehrsflusses 3Untersuchen des Datenverkehrsdiagramms und Auswhlen einer Datenverkehrsrichtung 6Vornehmen von nderungen an den Zugriffsregeln 8ndern von Prfregeln 13Anwendungseintrag fr Anwendungsname hinzufgen 15Anwendungseintrag fr RPC hinzufgen 16Anwendungseintrag fr Fragment hinzufgen 17Anwendungseintrag fr HTTP hinzufgen/bearbeiten 18

viiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Java Applet-Blockierung 19Cisco SDM-Warnung: Prfregel 21Cisco SDM-Warnung: Firewall 21

Firewallrichtlinie bearbeiten 22Hinzufgen einer neuen Regel 25

Datenverkehr hinzufgen 27Anwendungsprfung 28URL-Filter 28Quality of Service 29Prfparameter 29Auswhlen des Datenverkehrs 29Regel lschen 29

Anwendungssicherheit 1

Das Anwendungssicherheit-Fenster 2

Keine Anwendungssicherheit-Regel 4

E-mail 5

Instant Messaging 6

Peer-to-Peer Anwendungen 7

URL-Filterung 8

HTTP 9Header Options 11Content-Optionen 12

Anwendungen/Protokolle 14Timeouts und Grenzwerte fr Prfparameterzuordnungen und CBAC 16Ordnen Sie einer Schnittstelle die Regel zu 19Prfregel bearbeiten 19Zulassungs-, Sperr- und Alarmsteuerungen 21

ixCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Site-to-Site-VPN 1

VPN Design Guide 1

Site-to-Site-VPN erstellen 1Site-to-Site-VPN-Assistent 4Standards anzeigen 6VPN-Verbindungsinformationen 6IKE-Einstellungen 8Transformationssatz 12Zu schtzender Datenverkehr 14Zusammenfassung der Konfiguration 16

Spoke-Konfiguration 17Sicherer GRE-Tunnel (GRE over IPSec) 17GRE-Tunnel-Informationen 18VPN-Authentifizierungsinformationen 19Sicherungs-GRE-Tunnel-Informationen 20Routing-Informationen 21Informationen zu statischem Routing 23

Routing-Protokoll auswhlen 25bersicht ber die Konfiguration 25

Site-to-Site-VPN bearbeiten 26Neue Verbindung hinzufgen 29Zustzliche Crypto Maps hinzufgen 30Crypto Map-Assistant: Willkommen 31Crypto Map-Assistant: bersicht ber die Konfiguration 31Verbindung lschen 32Ping 32Spiegel generieren... 33Cisco SDM-Warnung: NAT-Regeln mit ACL 34

xCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Wie gehe ich vor? 35Wie erstelle ich ein VPN fr mehrere Standorte? 35Wie konfiguriere ich nach der Konfiguration eines VPN das VPN auf dem Peer-Router? 38Wie bearbeite ich einen vorhandenen VPN-Tunnel? 39Wie erhalte ich die Besttigung, dass mein VPN funktioniert? 40Wie konfiguriere ich einen Sicherungs-Peer fr mein VPN? 41Wie nehme ich mehrere Gerte auf, auf denen VPN in unterschiedlichem Umfang untersttzt wird? 41Wie konfiguriere ich ein VPN auf einer nicht untersttzten Schnittstelle? 42Wie konfiguriere ich ein VPN, nachdem ich eine Firewall konfiguriert habe? 43Wie konfiguriere ich NAT Passthrough fr ein VPN? 43

Easy VPN Remote 1

Easy VPN Remote erstellen 1Easy VPN Remote-Client konfigurieren 1Server-Informationen 2Authentifizierung 4Schnittstellen und Verbindungseinstellungen 5bersicht ber die Konfiguration 7

Easy VPN Remote bearbeiten 8Easy VPN Remote hinzufgen/bearbeiten 15Easy VPN Remote hinzufgen oder bearbeiten: Easy VPN-Einstellungen 18Easy VPN Remote hinzufgen oder bearbeiten: Authentifizierungsinformationen 21SSH-Anmeldeinformationen eingeben 23Fenster XAuth-Anmeldung 24Easy VPN Remote hinzufgen oder bearbeiten: Allgemeine Einstellungen 24

Netzwerkerweiterungsoptionen 26

xiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Easy VPN Remote hinzufgen oder bearbeiten: Authentifizierungsinformationen 27Easy VPN Remote hinzufgen oder bearbeiten: Schnittstellen und Verbindungen 29

Wie mache ich... 31Wie bearbeite ich eine existierende Easy VPN-Verbindung? 31Wie konfiguriere ich ein Backup fr eine Easy VPN-Verbindung? 31

Easy VPN-Server 1

Easy VPN-Server erstellen 1Willkommen beim Easy VPN-Server-Assistenten 2Schnittstelle und Authentifizierung 2Gruppenautorisierung und Gruppenrichtlinien-Lookup 3Benutzerauthentifizierung (XAuth) 4

Benutzerkonten fr XAuth 5RADIUS-Server hinzufgen 6

Gruppenautorisierung: Benutzergruppenrichtlinien 6Allgemeine Gruppeninformationen 8DNS und WINS Konfiguration 9Split-Tunneling 10Clienteinstellungen 12

Whlen Sie die Browser Proxy-Einstellungen 16Browser Proxy-Einstellungen hinzufgen oder bearbeiten 16

Benutzerauthentifizierung (XAuth) 17Clientaktualisierung 18

Den Client-Aktualisierungseintrag hinzufgen oder bearbeiten 19bersicht 21

Browser Proxy-Einstellungen 22

Den Easy VPN-Server hinzufgen oder bearbeiten 23Easy VPN-Serververbindung hinzufgen/bearbeiten 25Beschrnkter Zugriff 26

xiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Konfiguration von Gruppenrichtlinien 26

IP-Pools 29Lokalen IP-Pool hinzufgen/bearbeiten 30

IP-Adressenbereich hinzufgen 31

Enhanced Easy VPN 1Schnittstelle und Authentifizierung 1

RADIUS-Server 2Gruppenautorisierungs- und Gruppenbenutzerrichtlinien 4Hinzufgen oder Bearbeiten eines Easy VPN-Servers: Registerkarte Allgemein 5Hinzufgen oder Bearbeiten eines Easy VPN-Servers: Registerkarte IKE 6Hinzufgen oder Bearbeiten eines Easy VPN-Servers: Registerkarte IPSec 8Virtuelle Tunnelschnittstelle erstellen 9

DMVPN 1

Dynamic Multipoint VPN 1Dynamic Multipoint VPN (DMVPN) Hub-Assistent 3

Hub-Typ 3Pre-Shared Key konfigurieren 4Konfiguration der Hub-GRE-Tunnelschnittstelle 5Erweiterte Konfiguration fr die Tunnelschnittstelle 6Primrer Hub 7Routing-Protokoll auswhlen 8Routing-Informationen 8

Dynamic Multipoint VPN (DMVPN) Spoke-Assistent 10DMVPN-Netzwerktopologie 11Hub-Informationen angeben 11Spoke-GRE-Tunnelschnittstellen-Konfiguration 12Cisco SDM-Warnung: DMVPN Dependency (DMVPN-Abhngigkeit) 13

xiiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Dynamic Multipoint VPN (DMVPN) bearbeiten 14Bereich Allgemein 16Bereich NHRP 18

Konfiguration der NHRP-Zuordnung 19Bereich Routing 20

Wie konfiguriere ich ein DMVPN manuell? 22

Globale VPN-Einstellungen 1

Globale VPN-Einstellungen 1Globale VPN-Einstellungen: IKE 3Globale VPN-Einstellungen: IPSec 4Einstellungen fr VPN-Schlssel-Verschlsselung 5

IP Security 1

IPSec-Richtlinien 1IPSec-Richtlinie hinzufgen/bearbeiten 4Crypto Map hinzufgen oder bearbeiten: Allgemeines 6Crypto Map hinzufgen oder bearbeiten: Peer-Informationen 7Crypto Map hinzufgen oder bearbeiten: Transformationsstze 8Crypto Map hinzufgen oder bearbeiten: Schutz des Datenverkehrs 11

Stze mit dynamischen Crypto Maps 13Satz mit dynamischen Crypto Maps hinzufgen/bearbeiten 14Crypto Map mit dieser IPSec-Richtlinie verknpfen 14

IPSec-Profile 15IPSec-Profil hinzufgen oder bearbeiten 16

IPSec-Profil hinzufgen/bearbeiten und Dynamische Crypto Map hinzufgen 17

Transformationssatz 18Transformationssatz hinzufgen/bearbeiten 21

IPSec-Regeln 24

xivCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Internet Key Exchange 1

Internet Key Exchange (IKE) 1IKE-Richtlinien 2

IKE-Richtlinie hinzufgen oder bearbeiten 4IKE-Pre-shared Keys 7

Neuen Pre-Shared Key hinzufgen/bearbeiten 8IKE-Profile 10

IKE-Profil hinzufgen oder bearbeiten 11

Public-Key-Infrastruktur 1

Zertifikat-Assistenten 1Willkommen beim SCEP-Assistenten 3Certificate Authority-(CA-)Informationen 3

Erweiterte Optionen 5Namensattribute fr Zertifikatsinhaber 5

Weitere Zertifikatsinhaberattribute 6

RSA-Schlssel 8

bersicht 9

CA-Serverzertifikat 10

Registrierungsstatus 11

Begrungsbildschirm des Assistenten zum Ausschneiden und Einfgen 11

Registrierungsaufgabe 11

Registrierungsanforderung 12

Mit nicht abgeschlossener Registrierung fortfahren 12

CA-Zertifikat importieren 14

Router-Zertifikat(e) importieren 14

Digitale Zertifikate 15Trustpoint-Informationen 17Details zum Zertifikat 17

xvCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

berprfung der Sperrung 17berprfung der Sperrung, nur CRL 18

Fenster RSA-Schlssel 19RSA-Schlsselpaar generieren 20

USB-Token Anmeldeinformationen 21

USB Token 22USB-Token hinzufgen oder bearbeiten 23

Firewall ffnen 25Details zu Firewall ffnen 26

Certificate Authority-Server 1

CA-Server erstellen 1Erforderliche Aufgaben fr PKI-Konfigurationen 3CA-Server-Assistent: Willkommen 4CA-Server-Assistent: Certificate Authority-Informationen 4

Erweiterte Optionen 6CA-Server-Assistent: RSA-Schlssel 8Firewall ffnen 9CA-Server-Assistent: bersicht 9

CA-Server verwalten 11CA-Server sichern 13

Fenster CA-Server verwalten: Fenster wiederherstellen 13CA-Server wiederherstellen 13

CA-Server-Einstellungen bearbeiten Registerkarte Allgemein 14CA-Server-Einstellungen bearbeiten Registerkarte Erweitert 15

CA-Server verwalten: CA-Server nicht konfiguriert 15

Zertifikate verwalten 15Anstehende Anforderungen 15Gesperrte Zertifikate 18Zertifikat sperren 19

xviCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Cisco IOS SSL VPN 1

Cisco IOS SSL VPN-Links unter Cisco.com 2

SSL VPN erstellen 2Persistent Self-Signed Certificate (Bleibendes selbst signiertes Zertifikat) 4Willkommen 6SSL VPN-Gateways 6Benutzerauthentifizierung 8Intranet-Websites konfigurieren 9

URL hinzufgen/bearbeiten 10Customize SSL VPN Portal (SSL VPN-Portal anpassen) 10SSL VPN Passthrough-Konfiguration 11Benutzerrichtlinie 11

Details zur SSL VPN-Gruppenrichtlinie: Richtlinienname 12Select the SSL VPN User Group (SSL VPN-Benutzergruppe auswhlen) 12Erweiterte Funktionen auswhlen 13Thin Client (Portweiterleitung) 13

Server hinzufgen oder bearbeiten 14Weitere Informationen zu Servern fr die Portweiterleitung 15

Full Tunnel 16Suchen nach dem Installationspaket fr Cisco SDM 18

Cisco Secure Desktop aktivieren 20Common Internet File System 21Clientless Citrix aktivieren 21bersicht 22

Edit SSL VPN (SSL VPN bearbeiten) 22

SSL VPN-Kontext 24Bestimmen von inneren und ueren Schnittstellen 26Gateway auswhlen 26Kontext: Gruppenrichtlinien 26

Weitere Informationen zu Gruppenrichtlinien 27

xviiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Gruppenrichtlinie: Registerkarte Allgemein 28Gruppenrichtlinie: Registerkarte Clientless 29Gruppenrichtlinie: Registerkarte Thin Client 30Gruppenrichtlinie: Registerkarte SSL VPN-Client (Full Tunnel) 30

Erweiterte Tunneloptionen 32Weitere Informationen zu Split Tunneling 34DNS- und WINS-Server 35

Kontext: HTML-Einstellungen 35Farbe auswhlen 37

Kontext: NetBIOS-Namensserver-Listen 38NetBIOS-Namensserver-Listen hinzufgen oder bearbeiten 38NBNS-Server hinzufgen oder bearbeiten 38

Kontext: Port-Weiterleitungslisten 39Port-Weiterleitungsliste hinzufgen oder bearbeiten 39

Kontext: URL-Listen 39URL-Liste hinzufgen oder bearbeiten 40

Kontext: Cisco Secure Desktop 40

SSL VPN-Gateways 41Add or Edit a SSL VPN Gateway (SSL VPN Gateway hinzufgen oder bearbeiten) 42

Pakete 43Paket installieren 44

Cisco IOS SSL VPN-Kontexte, Gateways und Richtlinien 44

Wie gehe ich vor? 51Wie kann ich berprfen, ob mein Cisco IOS SSL VPN funktioniert? 52Wie konfiguriere ich ein Cisco IOS SSL VPN nachdem ich eine Firewall konfiguriert habe? 53Wie kann ich eine VRF-Instanz mit einem Cisco IOS SSL VPN-Kontext verknpfen? 53

xviiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

VPN-Fehlerbehebung 1

VPN-Fehlerbehebung 1

VPN-Fehlerbehebung: Easy VPN-Client angeben 4

VPN-Fehlerbehebung: Generate Traffic (Datenverkehr generieren) 4

VPN-Fehlerbehebung: GRE-Datenverkehr generieren 6

Cisco SDM-Warnung: SDM aktiviert die Router-Debugging-Meldungen... 7

Sicherheitsprfung 1

Willkommensseite 5

Seite zur Schnittstellenauswahl 5

Seite Berichtskarte 6

Seite Beheben 6Deaktivieren des Finger-Dienstes 8Deaktivieren des PAD-Dienstes 8Deaktivieren des TCP Small Servers-Dienstes 9Deaktivieren des UDP Small Servers-Dienstes 10Deaktivieren des IP BOOTP Server-Dienstes 10Deaktivieren des IP-Identifizierungsdienstes 11Deaktivieren von CDP 12Deaktivieren von IP Source Routing 12Aktivieren des Dienstes fr Kennwortverschlsselung 13Aktivieren von TCP Keepalives fr eingehende Telnet-Sitzungen 13Aktivieren von TCP Keepalives fr ausgehende Telnet-Sitzungen 14Aktivieren von Sequenznummern und Zeitstempeln fr Debugging-Meldungen 14Aktivieren von IP CEF 15Deaktivieren von Gratuitous ARP-Anfragen 15Einstellen der Mindestlnge fr Kennwrter auf weniger als 6 Zeichen 16Einstellen der Authentifizierungsfehlerrate auf weniger als 3 Wiederholungen 16

xixCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Einstellen der TCP Synwait-Zeit 17Festlegen eines Banners 17Logging aktivieren 18Einstellen von Geheimes Kennwort aktivieren 19Deaktivieren von SNMP 19Einstellen des Scheduler-Intervalls 20Einstellen von Scheduler Allocate 20Einstellen von Benutzern 21Aktivieren von Telnet-Einstellungen 21Aktivieren von NetFlow Switching 22IP Redirects deaktivieren 22Deaktivieren von IP Proxy Arp 23Deaktivieren von IP Directed Broadcast 23Deaktivieren des MOP-Dienstes 24Deaktivieren von IP Unreachables 24Deaktivieren von IP Mask Reply 25Deaktivieren von IP Unreachables fr NULL-Schnittstelle 26Aktivieren von Unicast RPF fr alle ueren Schnittstellen 26Aktivieren der Firewall fr alle ueren Schnittstellen 27Festlegen der Zugriffsklasse fr den HTTP-Server-Dienst 28Festlegen der Zugriffsklasse fr VTY-Leitungen 29Aktivieren von SSH fr Zugriff auf den Router 29AAA aktivieren 30

Konfigurationsbersichtsbildschirm 30

Cisco SDM und Cisco IOS AutoSecure 31

Sicherheitskonfigurationen, die Cisco SDM rckgngig machen kann 33

Rckgngig machen von Problembehebungen in der Sicherheitsprfung 34

Bildschirm Telnet-/SSH-Konto hinzufgen/bearbeiten 35

Seite Benutzerkonten fr Telnet/SSH konfigurieren 35

xxCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Aktivieren der Seite fr geheime Kennwrter und Textbanner 36

Seite Logging 37

Routing 1

Statische IP-Route hinzufgen/bearbeiten 4

RIP-Route hinzufgen/bearbeiten 5

OSPF-Route hinzufgen oder bearbeiten 6

EIGRP-Route hinzufgen oder bearbeiten 8

Network Address Translation 1

Network Address Translation Assistenten 1Basic NAT-Assistent: Willkommen 2Basic NAT-Assistent: Verbindung 2bersicht 3Advanced NAT-Assistent: Willkommen 4Advanced NAT-Assistent: Verbindung 4

IP-Adresse hinzufgen 4Advanced NAT-Assistent: Netzwerke 4

Netzwerk hinzufgen 5Advanced NAT-Assistent: ffentliche Server-IP-Adressen 6

Adressenbersetzungsregel hinzufgen oder bearbeiten 7Advanced NAT-Assistent: ACL-Konflikt 8

Details 8

Regeln fr Network Address Translation 9NAT-Schnittstellen bestimmen 14Einstellungen fr bersetzungs-Timeout 14Routenzuordnung bearbeiten 16

Routenzuordnungseintrag bearbeiten 17Adressen-Pools 18

Adressen-Pool hinzufgen/bearbeiten 19

xxiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Regel fr statische Adressenbersetzung hinzufgen oder bearbeiten: Von innen nach auen 20Regel fr statische Adressenbersetzung hinzufgen oder bearbeiten: Von auen nach innen 24Regel fr dynamische Adressenbersetzung hinzufgen oder bearbeiten: Von innen nach auen 27Regel fr dynamische Adressenbersetzung hinzufgen oder bearbeiten: Von auen nach innen 30

Wie macht man . . 33Wie konfiguriert man die Adressenbersetzung von innen nach auen 33Wie konfiguriert man NAT mit einem LAN und mehreren WANs? 33

Cisco IOS IPS 1

IPS erstellen 2IPS erstellen: Willkommen 3IPS erstellen: Schnittstellen auswhlen 3IPS erstellen: SDF Standort 3IPS erstellen: Signaturdatei 4IPS erstellen: Speicherort und Kategorie der Konfigurationsdatei 6

Hinzufgen oder Bearbeiten eines Konfigurationsspeicherorts 6Verzeichnisauswahl 7Signaturdatei 7

IPS erstellen: bersicht 8IPS erstellen: bersicht 9

IPS bearbeiten 10IPS bearbeiten: IPS-Richtlinien 11

IPS an einer Schnittstelle aktivieren oder bearbeiten 14IPS bearbeiten: Globale Einstellungen 16

Globale Einstellungen bearbeiten 18Einen Signaturstandort hinzufgen oder bearbeiten 20IPS bearbeiten: SDEE-Meldungen 21SDEE-Meldungstext 22

xxiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

IPS bearbeiten: Globale Einstellungen 25Globale Einstellungen bearbeiten 26IPS-Voraussetzungen bearbeiten 27Hinzufgen eines ffentlichen Schlssels 29

IPS bearbeiten: Autoaktualisierung 29IPS bearbeiten: SEAP-Konfiguration 31

IPS bearbeiten: SEAP-Konfiguration: Zielwertbewertung 31Hinzufgen einer Zielwertbewertung 33IPS bearbeiten: SEAP-Konfiguration: Ereignisaktions-Overrides 33Hinzufgen oder Bearbeiten von Ereignisaktions-Overrides 35IPS bearbeiten: SEAP-Konfiguration: Ereignisaktionsfilter 36Hinzufgen oder Bearbeiten eines Ereignisaktionsfilters 38

IPS bearbeiten: Signaturen 41IPS bearbeiten: Signaturen 48

Signatur bearbeiten 53Dateiauswahl 56Aktionen zuweisen 57Signaturen importieren 58Signatur hinzufgen, bearbeiten oder klonen 61

Cisco Security Center 62Mitgelieferte IPS-Signaturdefinitionsdateien 62

Sicherheits-Dashboard 64

IPS-Migration 68Migrationsassistent: Willkommen 68Migrationsassistent: Auswhlen der IOS IPS Backup-Signaturdatei 68

Signaturdatei 69

Heap-Gre fr Java 69

xxiiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Netzwerk-Modulmanagement 1

IDS-Netzwerkmodul-Verwaltung 1IP-Adresse fr IDS-Sensorschnittstelle 4Feststellung der IP-Adresse 5Checkliste fr IDS NM-Konfiguration 6Konfiguration der IDS NM-Schnittstellenberwachung 8

Netzwerkmodul-Anmeldung 8

Feature Unavailable (Funktion nicht vorhanden) 8

Switchmodul-Schnittstellenauswahl 9

Quality of Service 1

QoS-Richtlinie erstellen 1

QoS-Assistent 2Auswahl der Schnittstelle 2

QoS-Richtlinienerstellung 3

bersicht ber die QoS-Konfiguration 4

QoS-Richtlinie bearbeiten 5Verknpfung mit QoS-Richtlinie herstellen oder aufheben 8QoS-Klassenzuordnung hinzufgen oder bearbeiten 9

bereinstimmungs-DSCP-Werte bearbeiten 11bereinstimmungs-Protokollwerte bearbeiten 11Benutzerdefinierte Protokolle hinzufgen 12bereinstimmungs-ACL bearbeiten 12

bereinstimmungs-DSCP-Werte bearbeiten 12

Network Admission Control 1

NAC Register erstellen 2Andere Aufgaben einer NAC-Implementierung 3Willkommen 4NAC-Richtlinienserver 5

xxivCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Auswahl der Schnittstelle 7NAC-Ausnahmeliste 8

Einen Eintrag in der Ausnahmeliste hinzufgen oder bearbeiten 9Whlen Sie eine Ausnahmerichtlinie aus 9Ausnahmerichtlinie hinzufgen 10

Regel fr agentlosen Host 11NAC fr Remotezugriff konfigurieren 12Firewall ndern 13

Fenster Details 13bersicht ber die Konfiguration 14

Register NAC Bearbeiten 15NAC-Komponenten 16Fenster Ausnahmeliste 16Fenster Ausnahmeregeln 16

NAC Timeouts 17Eine NAC-Regel konfigurieren 18

Wie gehe ich vor? 19Wie konfiguriere ich einen NAC-Regelserver? 19Wie installiere und konfiguriere ich einen Posture-Agent auf einem Host? 20

Routereigenschaftean 1

Gerteeigenschaften 1

Datum und Uhrzeit: Takteigenschaften 3Datums- und Uhrzeiteigenschaften 3NTP 5

NTP-Serverdetails bearbeiten/hinzufgen 6SNTP 7

NTP-Serverdetails hinzufgen 8Logging 9SNMP 10

xxvCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Netflow 12Netflow-Sprecher 12

Routerzugriff 13Benutzerkonten: Benutzerkonten fr Routerzugriff konfigurieren 13

Benutzernamen hinzufgen/bearbeiten 14Kennwort fr Ansicht 17

vty-Einstellungen 17VTY-Leitungen bearbeiten 18Verwaltungszugriffsrichtlinien konfigurieren 20Verwaltungsrichtlinie hinzufgen/bearbeiten 22Fehlermeldungen beim Verwaltungszugriff 23SSH 26

DHCP-Konfiguration 27DHCP-Pools 27Add or Edit DHCP Pool (DHCP-Pool hinzufgen oder bearbeiten) 29DHCP-Bindungen 30DHCP-Bindung hinzufgen oder bearbeiten 31

DNS-Eigenschaften 32

Dynamische DNS-Methoden 33Dynamische DNS-Methoden hinzufgen oder bearbeiten 34

ACL-Editor 1

Ntzliche Vorgehensweisen fr Zugriffsregeln und Firewalls 4

Regelfenster 4Regel hinzufgen/bearbeiten 9Mit Schnittstelle verknpfen 12Standardregeleintrag hinzufgen 14Eintrag fr erweiterte Regel hinzufgen 16Regel auswhlen 20

xxviCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Port-to-Application Mapping 1

Port-to-Application Mappings 1Port-Map-Eintrag hinzufgen oder bearbeiten 4

Zonenbasierte Richtlinienfirewall (Zone-Based Policy Firewall) 1

Fenster Zone 2Hinzufgen oder Bearbeiten einer Zone 3Allgemeine zonenbasierte Richtlinienregeln 4

Zonenpaare 6Hinzufgen oder Bearbeiten eines Zonenpaars 7Hinzufgen einer Zone 7Auswhlen einer Zone 8

Authentifizierung, Autorisierung und Accounting 1

AAA-Hauptfenster 1

AAA-Server und -Gruppen 3Fenster AAA-Server 3

TACACS+-Server hinzufgen/bearbeiten 4RADIUS-Server hinzufgen/bearbeiten 5Globale Einstellungen bearbeiten 6

Fenster AAA-Servergruppen 7AAA-Servergruppe hinzufgen oder bearbeiten 8

Authentifizierungs- und Autorisierungs-Richtlinien 9Die Fenster Authentifizierungs- und Autorisierungs-Richtlinien 9Authentifizierungs-NAC 10Authentifizierungs-802.1x 11Eine Methodenliste zur Authentifikation oder Autorisation hinzufgen oder bearbeiten 12

xxviiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Routerbereitstellung 1

Secure Device Provisioning 1

Routerbereitstellung ber USB 2

Routerbereitstellung ber USB (Datei laden) 2

Tipps zur SDP-Fehlerbehebung 3

Cisco Common Classification Policy Language 1

Richtlinienzuordnung 1Richtlinienzuordnungsfenster 2

Hinzufgen oder Bearbeiten einer Richtlinienzuordnung 4Hinzufgen einer Prfrichtlinienzuordnung 4

Richtlinienzuordnung fr Layer 7 5Anwendungsprfung 5Konfigurieren von Deep Packet Inspection 6

Klassenzuordnungen 7Verknpfen einer Klassenzuordnung 8

Klassenzuordnung Erweiterte Optionen 8QoS-Klassenzuordnung 9

Hinzufgen oder Bearbeiten einer QoS-Klassenzuordnung 10Hinzufgen oder Bearbeiten einer QoS-Klassenzuordnung 10Auswahl einer Klassenzuordnung 10

Deep Inspection 11Fenster Klassenzuordnung und Dienstgruppe 11

Hinzufgen oder Bearbeiten einer Prfklassenzuordnung 14Verknpfen der Parameterzuordnung 15Hinzufgen einer HTTP-Prfklassenzuordnung 15HTTP-Anforderungs-Header 16Felder fr HTTP-Anforderungs-Header 17HTTP-Anforderungsinhalt 18Argumente fr HTTP-Anforderungs-Header 19

xxviiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

HTTP-Methode 19Port-Missbrauch anfordern 19URI-Anforderung 20Antwort-Header 21Antwort-Header-Felder 21HTTP-Antwortinhalt 23HTTP-Antwort + Statuszeile 23Anforderungs-/Antwort-Header-Kriterien 24Felder fr HTTP-Anforderungs-/Antwort-Header 25Anforderungs-/Antwortinhalt 26Anforderungs-/Antwort-Protokollverletzung 27Hinzufgen oder Bearbeiten einer IMAP-Klassenzuordnung 27Hinzufgen oder Bearbeiten einer SMTP-Klassenzuordnung 27Hinzufgen oder Bearbeiten einer SUNRPC-Klassenzuordnung 28Hinzufgen oder Bearbeiten einer Instant Messaging-Klassenzuordnung 28Hinzufgen oder Bearbeiten einer Punkt-zu-Punkt-Klassenzuordnung 28Hinzufgen einer P2P-Regel 29Hinzufgen oder Bearbeiten einer POP3-Klassenzuordnung 30

Parameterzuordnungen 30Parameterzuordnungsfenster 30

Hinzufgen oder Bearbeiten einer Parameterzuordnung fr Protokollinformationen 31Hinzufgen oder Bearbeiten eines Servereintrags 32 Hinzufgen oder Bearbeiten eines regulren Ausdrucks 32Hinzufgen eines Musters 33Regulren Ausdruck erstellen 34Metazeichen fr regulren Ausdruck 37

xxixCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

URL-Filterung 1

Fenster URL-Filterung 2Globale Einstellungen bearbeiten 2Allgemeine Einstellungen fr die URL-Filterung 4Liste lokaler URLs 6

Lokalen URL hinzufgen oder bearbeiten 7URL-Liste importieren 8

URL-Filter-Server 8Hinzufgen oder Bearbeiten von URL-Filter-Servern 9

Vorrang bei der URL-Filterung 10

Konfigurationsverwaltung 1

Manuelles Bearbeiten der Konfigurationsdatei 1

Config Editor 2

Auf werksseitige Einstellungen zurcksetzen 4

This Feature Not Supported (Diese Funktion wird nicht untersttzt) 7

Weitere Informationen... 1

IP-Adressen und Subnetzmasken 1Hostfeld und Netzwerkfeld 4

Verfgbare Schnittstellenkonfigurationen 5

DHCP-Adressen-Pools 6

Bedeutung der Schlsselwrter Zulassen und Verweigern 7

Dienste und Ports 8

Weitere Informationen zu NAT 15Beispielszenarios fr die statische Adressenbersetzung 15Beispielszenarios fr die dynamische Adressenbersetzung 18Ursachen, warum Cisco SDM keine NAT-Regel bearbeiten kann 20

xxxCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Weitere Informationen zu VPN 21Ressourcen unter Cisco.com 21Weitere Informationen zu VPN-Verbindungen und IPSec-Richtlinien 22Weitere Informationen zu IKE 24Weitere Informationen zu IKE-Richtlinien 26Zulssige Transformationskombinationen 26

Ursachen, warum eine serielle Schnittstellen- oder Unterschnittstellenkonfiguration schreibgeschtzt sein kann 28

Ursachen, warum eine ATM-Schnittstellen- oder Unterschnittstellenkonfiguration schreibgeschtzt sein kann 29

Ursachen, warum eine Ethernet-Schnittstellenkonfiguration schreibgeschtzt sein kann 30

Ursachen, warum eine ISDN BRI-Schnittstellenkonfiguration schreibgeschtzt sein kann 31

Ursachen, warum eine Analogmodem-Schnittstellenkonfiguration schreibgeschtzt sein kann 32

Beispielszenario zur Verwendung der Firewallrichtlinien 33

Empfehlungen zur DMVPN-Konfiguration 34

White Papers zu Cisco SDM 35

Erste Schritte 1

Was ist neu an dieser Ausgabe? 2

Untersttzte Cisco IOS-Versionen 3

Anzeigen von Router-Informationen 1

bersicht 2

Schnittstellenstatus 6

Firewallstatus 10

Zone-Based Policy Firewall-Status 11

xxxiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

VPN-Status 13IPSec-Tunnel 13DMVPN-Tunnel 15Easy VPN-Server 16IKE-SAs 18SSL VPN-Komponenten 19

SSL VPN-Kontext 21Benutzersitzungen 21URL-Mangling 22Port-Weiterleitung 22CIFS 22Full Tunnel 23Benutzerliste 24

Datenverkehrsstatus 25Wichtigste Sprecher (Netflow) 26

Hufigste Protokolle 26Wichtigste Sprecher 27

QoS 28Anwendung/Protokoll Datenverkehr 30

NAC-Status 32

Logging 33Syslog 34Firewall-Protokoll 36Anwendungssicherheitslog 39SDEE-Meldungsbericht 40

IPS-Status 42

IPS-Signaturstatistiken 43

Statistiken zur IPS-Warnung 44

802.1x-Authentifizierungsstatus 45

xxxiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Befehle im Men Datei 1

Aktive Konfiguration auf PC speichern 1

Konfiguration an Router senden 1

In Startkonfiguration schreiben 2

Auf werksseitige Einstellungen zurcksetzen 2

Dateiverwaltung 3Rename 6New Folder 6

SDF auf PC speichern 7

Beenden 7

Squeeze flash kann nicht durchgefhrt werden 7

Befehle im Men Bearbeiten 1

Einstellungen 1

Befehle im Men Ansicht 1

Startseite 1

Konfigurieren 1

Monitor 1

Aktive Konfiguration 2

Show-Befehle 2

Cisco SDM-Standardregeln 3

Aktualisieren 4

xxxiiiCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Inhalt

Befehle im Men Extras 1

Ping 1

Telnet 1

Sicherheitsprfung 1

USB-Token-PIN-Einstellungen 2

Wireless-Anwendung 3

Aktualisieren von Cisco SDM 3

CCO-Anmeldung 5

Befehle im Men Hilfe 1

Hilfethemen 1

Cisco SDM auf CCO 1

Hardware-/Softwarematrix 1

ber diesen Router... 2

ber Cisco SDM 2

xxxivCisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04

Cisco Router and Security DevOL-9961-04

K A P I T E L 1

Startseite

Auf der Startseite erhalten Sie allgemeine Informationen ber Hardware, Software und Konfiguration des Routers. Diese Seite enthlt die folgenden Abschnitte:

Hostname

Der konfigurierte Name des Routers.

ber Ihren Router

In diesem Abschnitt werden allgemeine Informationen ber Hardware und Software des Routers angezeigt. Er enthlt die folgenden Felder:

Hardware Software

Modelltyp Zeigt die Modellnummer des Routers.

IOS-Version Die Version der Cisco IOS-Software, die derzeit auf dem Router ausgefhrt wird.

Speicher verfgbar/gesamt Verfgbarer RAM/gesamter RAM.

Cisco SDM-Version Die Version der Cisco Router and Security Device Manager (Cisco SDM)-Software, die derzeit auf dem Router ausgefhrt wird.

1-1ice Manager 2.4 Benutzerhandbuch

Kapitel 1 Startseite

Mehr?

ber den Link Mehr? wird ein Popup-Fenster mit weiteren Details zu Hardware und Software angezeigt.

Hardwaredetails Zustzlich zu den Informationen im Abschnitt ber Ihren Router informiert diese Registerkarte ber Folgendes:

Ob der Router vom Flash oder von der Konfigurationsdatei bootet

Ob der Router Beschleuniger hat, z. B. VPN-Beschleuniger

Ein Diagramm der Hardwarekonfiguration mit dem Flashspeicher und den installierten Gerten, wie z.B. USB-Flash und USB-Tokens.

Softwaredetails Zustzlich zu den Informationen im Abschnitt ber Ihren Router informiert diese Registerkarte ber Folgendes:

Die im IOS-Abbild enthaltenen Funktionsstze

Die geladene Cisco SDM-Version.

Konfigurationsbersicht

Dieser Abschnitt der Startseite enthlt eine bersicht ber die vorgenommenen Konfigurationseinstellungen.

Hinweis Wenn Sie Informationen zu einer Funktion, die in diesem Hilfethema erlutert werden, nicht auf der Startseite wiederfinden, wird die Funktion vom Cisco IOS-Abbild nicht untersttzt. Beispiel: Wenn der Router ein Cisco IOS-Abbild verwendet, das Sicherheitsfunktionen nicht untersttzt, sind die Bereiche Firewallrichtlinie, VPN und Intrusion Prevention auf der Startseite nicht enthalten.

Flash-Kapazitt gesamt Flash und Webflash (sofern zutreffend).

Funktionsverfgbarkeit Die im Cisco IOS-Abbild verfgbaren Funktionen, die der Router verwendet, werden durch eine berprfung ermittelt. Cisco SDM fhrt eine berprfung auf folgende Funktionen durch: IP, Firewall, VPN, IPS und NAC.

Hardware Software

1-2Cisco Router and Security Device Manager 2.4 Benutzerhandbuch

OL-9961-04


Aktive Konfiguration anzeigen

Mit einem Mausklick auf diese Schaltflche wird die aktive Konfiguration des Routers angezeigt.

Schnittstellen und Verbindungen

Aktiv (n): Die Anzahl der aktiven LAN- und WAN-Verbindungen.

Inaktiv (n): Die Anzahl der inaktiven LAN- und WAN-Verbindungen.

Doppelpfeil: Klicken Sie darauf, um Details ein- bzw. auszublenden.

Untersttztes LAN gesamt Die Gesamtzahl der LAN-Schnittstellen im Router.

Untersttztes WAN gesamt

Die Gesamtzahl der von Cisco SDM untersttzten WAN-Schnittstellen im Router.

Konfigurierte LAN-Schnittstelle

Die Anzahl untersttzter LAN-Schnittstellen, die derzeit auf dem Router konfiguriert sind.

WAN-Verbindungen gesamt

Die Gesamtzahl der von Cisco SDM untersttzten WAN-Verbindungen im Router.

DHCP-Server Konfiguriert/Nicht konfiguriert

DHCP-Pool (Detailansicht)

Wenn ein Pool konfiguriert ist, Start- und Endadresse des DHCP-Pools.

Wenn mehrere Pools konfiguriert sind, Liste der konfigurierten Pool-Namen.

Anzahl der DHCP-Clients(Detailansicht)

Aktuelle Anzahl der Clients, die Adressen leasen.

Schnittstelle Art IP/Maske Beschreibung

Name der konfigurierten Schnittstelle

Schnittstellentyp IP-Adresse und Subnetzmaske

Beschreibung der Schnittstelle


OL-9961-04


FirewallrichtlinienAktiv/Inaktiv Vertrauenswrdig (n) Nicht

vertrauenswrdig (n)DMZ (n)

Aktiv Es ist eine Firewall eingerichtet.

Inaktiv Es ist keine Firewall eingerichtet.

Die Anzahl der vertrauenswrdigen (inneren) Schnittstellen.

Die Anzahl der nicht vertrauenswrdigen (ueren) Schnittstellen.

Die Anzahl der DMZ-Schnittstellen.

Schnittstelle Firewallsymbol NAT Prfregel Zugriffsregel

Der Name der Schnittstelle, der eine Firewall zugeordnet wurde.

Ob die Schnittstelle als innere oder uere Schnittstelle angegeben ist.

Der Name oder die Nummer der NAT-Regel, die dieser Schnittstelle zugeordnet ist.

Die Namen oder Nummern der eingehenden und ausgehenden Prfregeln.

Die Namen oder Nummern der eingehenden und ausgehenden Zugriffsregeln.

VPNAktiv (n)- Die Anzahl aktiver VPN-Verbindungen.

IPSec (Site-to-Site) Die Anzahl der konfigurierten Site-to-Site-VPN-Verbindungen.

GRE over IPSec Die Anzahl der konfigurierten GRE over IPSec-Verbindungen (GRE: Generic Routing Encapsulation).

XAuth-Anmeldung erforderlich

Die Anzahl der Easy VPN-Verbindungen, die eine XAuth-Anmeldung erwarten. Siehe Hinweis.

Easy VPN Remote Die Anzahl der konfigurierten Easy VPN Remote-Verbindungen.


OL-9961-04


Hinweis Einige VPN-Server oder -Konzentratoren authentifizieren Clients mit Extended Authentication (XAuth). Hier wird die Anzahl der VPN-Tunnel angezeigt, die eine XAuth-Anmeldung erwarten. Wenn ein Easy VPN-Tunnel eine XAuth-Anmeldung erwartet, wird ein separater Mitteilungsbereich mit der Schaltflche Anmeldung angezeigt. Wenn Sie auf Anmeldung klicken, knnen Sie die Anmeldeinformationen fr den Tunnel eingeben.

Wenn XAuth fr einen Tunnel konfiguriert wurde, wird er erst aktiviert, wenn die Anmeldeinformationen und das Kennwort angegeben wurden. Es gibt keine Zeitbegrenzung, nach der nicht mehr auf diese Informationen gewartet wird.

Anzahl der DMVPN-Clients Wenn der Router als DMVPN-Hub konfiguriert ist, die Anzahl der DMVPN-Clients.

Anzahl der aktiven VPN-Clients

Wenn der Router als Easy VPN-Server fungiert, die Anzahl der Easy VPN-Clients mit aktiven Verbindungen.

Schnittstelle Typ IPSec-Richtlinie Beschreibung

Der Name einer Schnittstelle mit einer konfigurierten VPN-Verbindung.

Der Typ der auf der Schnittstelle konfigurierten VPN-Verbindung.

Der Name der IPSec-Richtlinie, die mit der VPN-Verbindung verknpft ist.

Eine Beschreibung der Verbindung.

VPNAktiv (n)- Die Anzahl aktiver VPN-Verbindungen.

NAC-Regeln Aktiv oder Inaktiv

Spalte Schnittstelle Spalte NAC Regelungen

Der Name der Schnittstelle, auf welche die Regel anzuwenden ist. Z.B. FastEthernet 0 oder Ethernet 0/0.

Der Name der NAC Regel.


OL-9961-04


Routing Intrusion Prevention

Anzahl der statischen Routen

Die Anzahl der auf dem Router konfigurierten statischen Routen.

Aktive Signaturen Anzahl der vom Router verwendeten aktiven Signaturen. Sie knnen integriert sein oder von einem Remote-Standort geladen werden.

Protokolle fr dynamisches Routing

Liste der Protokolle fr dynamisches Routing, die auf dem Router konfiguriert sind.

Anzahl IPS-aktivierter Schnittstellen

Die Anzahl der Routerschnittstellen, auf denen IPS aktiviert wurde.

SDF-Version Die Version der SDF-Dateien in diesem Router.

Sicherheits-Dashboard Ein Link zur IPS-Sicherheitskonsole, auf der die wichtigsten zehn Signaturen angezeigt und bernommen werden knnen.


OL-9961-04


K A P I T E L 2

LAN-Assistent

Der Cisco Router and Security Device Manager-(Cisco SDM-)LAN-Assistent leitet Sie durch die Konfiguration einer LAN-Schnittstelle. Dieser Bildschirm listet die LAN-Schnittstellen im Router auf. Sie knnen beliebige im Fenster angezeigte Schnittstelle auswhlen und auf Konfigurieren klicken, um die Schnittstelle als LAN-Schnittstelle zu verwenden und diese zu konfigurieren.

Dieses Fenster listet die Routerschnittstellen auf, die als innere Schnittstellen in der Startkonfiguration angegeben wurden, sowie die Ethernet-Schnittstellen und Switch-Ports, die nicht als WAN-Schnittstellen konfiguriert wurden. Die Liste umfasst Schnittstellen, die bereits konfiguriert wurden.

Wenn Sie eine Schnittstelle als LAN-Schnittstelle konfiguriert haben, fgt Cisco SDM die Beschreibung $ETH-LAN$ zur Konfigurationsdatei hinzu, sodass diese Schnittstelle knftig als LAN-Schnittstelle erkannt werden kann.

Schnittstelle

Der Name der Schnittstelle.

Konfigurieren

Klicken Sie auf diese Schaltflche, um eine von Ihnen ausgewhlte Schnittstelle zu konfigurieren. Wenn die Schnittstelle vorher noch nicht konfiguriert wurde, werden Sie von Cisco SDM zum LAN-Assistenten geleitet, der Sie bei der Konfiguration untersttzt. Wenn die Schnittstelle mit Cisco SDM konfiguriert wurde, zeigt Cisco SDM ein Fenster Bearbeiten an, in dem Sie die Konfigurationseinstellungen ndern knnen.


Kapitel 2 LAN-Assistent

Die Schaltflche Konfigurieren ist eventuell deaktiviert, wenn einer LAN-Schnittstelle eine Konfiguration zugewiesen wurde, die nicht von Cisco SDM untersttzt wird. Eine Liste solcher Konfigurationen finden Sie unter Ursachen, warum eine Ethernet-Schnittstellenkonfiguration schreibgeschtzt sein kann.

Welche Aufgabe mchten Sie ausfhren?

Aufgabe Vorgehensweise

Konfigurieren oder Bearbeiten einer LAN-Schnittelle oder eines LAN-Switch-Ports

Whlen Sie die VLAN-Schnittstelle oder den Switch-Port in der Liste aus, und klicken Sie auf Konfigurieren. Wenn die Schnittstelle vorher noch nicht konfiguriert wurde oder wenn Sie einen Switch-Port auswhlen, werden Sie von Cisco SDM durch einen LAN-Assistenten geleitet, in dem Sie die Konfiguration der Schnittstelle vornehmen knnen. Wenn die Schnittstelle bereits konfiguriert wurde, oder wenn es sich nicht um einen Switch-Port handelt, knnen Sie auf Konfigurieren klicken, um ein Fenster Bearbeiten anzuzeigen, ber das Sie nderungen an der LAN-Konfiguration vornehmen knnen.

Erneutes Konfigurieren der IP-Adresse, der Maske oder der DHCP-Eigenschaften einer Schnittstelle, die bereits konfiguriert wurde

Whlen Sie eine Schnittstelle mit einer IP-Adresse aus, und klicken Sie auf Konfigurieren.


OL-9961-04

Kapitel 2 LAN-AssistentEthernet-Konfiguration

Sie knnen beliebig oft zu diesem Bildschirm zurckkehren, um weitere LAN-Schnittstellen zu konfigurieren.

Ethernet-KonfigurationDer Assistent leitet Sie durch die Konfiguration einer Ethernet-Schnittstelle im LAN. Sie mssen folgende Informationen angeben:

Eine IP-Adresse und Subnetzmaske fr die Ethernet-Schnittstelle

Einen DHCP-Adressen-Pool, wenn Sie DHCP in dieser Schnittstelle verwenden mchten

Die Adressen der DNS- und WINS-Server im WAN

Einen Domnennamen

Ausfhren bestimmter LAN-bezogener Konfigurationen fr Elemente wie DHCP-Server- oder Maximum Transmission Unit-(MTU-)Einstellungen

Klicken Sie auf in der Cisco SDM-Leiste Kategorie auf Schnittstellen und Verbindungen, klicken Sie auf die Registerkarte Schnittstellen und Verbindungen bearbeiten, und fhren Sie die nderungen an der Konfiguration aus.

Informationen zum Ausfhren verwandter Konfigurationsaufgaben

Lesen Sie eine der folgenden Vorgehensweisen:

Wie konfiguriere ich eine statische Route?

Wie zeige ich Aktivitten in meiner LAN-Schnittstelle an?

Wie aktiviere oder deaktiviere ich eine Schnittstelle?

Wie zeige ich die IOS-Befehle an, die ich an den Router sende?

Wie starte ich die Wireless-Anwendung von Cisco SDM aus?

Aufgabe Vorgehensweise


OL-9961-04

Kapitel 2 LAN-AssistentLAN-Assistent: Schnittstelle auswhlen

LAN-Assistent: Schnittstelle auswhlenWhlen Sie die Schnittstelle aus, in der Sie die LAN-Verbindung ber dieses Fenster konfigurieren mchten. Dieses Fenster listet die Schnittstellen auf, die Ethernet-LAN-Konfigurationen untersttzten knnen.

LAN-Assistent: IP-Adresse und SubnetzmaskeIn diesem Fenster knnen Sie eine IP-Adresse und Subnetzmaske fr die Ethernet-Schnittstelle, die Sie im ersten Fenster ausgewhlt haben, konfigurieren.

IP-Adresse

Geben Sie die IP-Adresse fr die Schnittstelle im durch Punkte getrennten Dezimalformat ein. Ihr Netzwerkadministrator kann die IP-Adressen der LAN-Schnittstellen ermitteln. Weitere Informationen finden Sie unter IP-Adressen und Subnetzmasken.

Subnetzmaske

Geben Sie die Subnetzmaske ein. Diesen Wert erhalten Sie von Ihrem Netzwerkadministrator. Die Subnetzmaske ermglicht es dem Router, zu ermitteln, zu welchem Teil die IP-Adresse zur Definition des Netzwerks und des Hostanteils der Adresse verwendet wird.

Whlen Sie alternativ die Anzahl der Netzwerkbits aus. Dieser Wert wird verwendet, um die Subnetzmaske zu berechnen. Sie erhalten die Anzahl der einzugebenden Netzwerk-Bits von Ihrem Netzwerkadministrator.


OL-9961-04

Kapitel 2 LAN-AssistentLAN-Assistent: DHCP-Server aktivieren

LAN-Assistent: DHCP-Server aktivierenIn diesem Bildschirm knnen Sie einen DHCP-Server in Ihrem Router aktivieren. Ein DHCP-Server weist automatisch den Gerten im LAN IP-Adressen zu, die erneut verwendet werden knnen. Wenn ein Gert im Netzwerk aktiv wird, erhlt es vom DHCP-Server eine IP-Adresse. Wenn das Gert vom Netzwerk getrennt wird, wird die IP-Adresse in den Pool zurckgegeben, sodass sie von einem anderen Gert verwendet werden kann.

So aktivieren einen DHCP-Server im Router:Klicken Sie auf Ja.

LAN-Assistent: DHCP-Adressen-PoolIn diesem Bildschirm knnen Sie den DHCP-IP-Adressen-Pool konfigurieren. Die IP-Adressen, die der DHCP-Server zuweist, werden von einem allgemeinen Pool bezogen, den Sie konfigurieren, indem der Bereich fr die Start-IP-Adressen und der Bereich fr die End-IP-Adressen angegeben wird.

Weitere Informationen finden Sie unter DHCP-Adressen-Pools.

Hinweis Wenn keine zusammenhngenden Adressen-Pools im Router konfiguriert sind, sind die Start-IP- und End-IP-Adressenfelder schreibgeschtzt.

Start-IP

Geben Sie den Beginn des IP-Adressenbereichs ein, den der DHCP-Server beim Zuweisen von Adressen an Gerte im LAN verwenden soll. Dies ist die IP-Adresse mit dem niedrigsten Wert im angegebenen Bereich.

End-IP

Geben Sie die IP-Adresse mit den hchsten Zahlenwerten im Bereich der IP-Adressen ein.

Felder DNS-Server und WINS-Server

Wenn dieses Fenster die Felder DNS Server und WINS Server anzeigt, knnen Sie auf DHCP-Optionen klicken, um weitere Informationen dazu zu erhalten.


OL-9961-04

Kapitel 2 LAN-AssistentDHCP-Optionen

DHCP-OptionenIn diesem Fenster konfigurieren Sie DHCP-Optionen, die an Hosts im LAN gesendet werden, die IP-Adressen vom Router anfordern. Es handelt sich dabei nicht um Optionen fr den Router, der konfiguriert wird, sondern um Parameter, die an die Hosts im LAN gesendet werden, die Adressen anfordern. Um diese Eigenschaften fr den Router festzulegen, klicken Sie in der Cisco SDM-Leiste Kategorie auf Zustzliche Aufgaben, klicken auf DHCP, und konfigurieren Sie diese Einstellungen im Fenster DHCP-Pools.

DNS-Server 1

Der DNS-Server ist blicherweise ein Server, der eine Zuordnung eines bekannten Gertenamens mit dessen IP-Adresse vornimmt. Wenn ein DNS-Server fr Ihr Netzwerk konfiguriert ist, geben Sie die IP-Adresse fr dieses Gert hier ein.

DNS-Server 2

Wenn sich ein zustzlicher DNS-Server im Netzwerk befindet, knnen Sie die IP-Adresse fr diesen Server in dieses Feld eingeben.

Domnenname

Der DHCP-Server, den Sie in diesem Router konfigurieren, stellt Dienste fr andere Gerte innerhalb dieser Domne bereit. Geben Sie den Name dieser Domne ein.

WINS-Server 1

Einige Clients erfordern eventuell den Windows-Internet-Namensserver (Windows Internet Naming Service, WINS) fr eine Verbindung mit Gerten im Internet. Wenn ein WINS-Server im Netzwerk konfiguriert ist, geben Sie die IP-Adresse fr diesen Server in dieses Feld ein.

WINS-Server 2

Wenn sich ein zustzlicher WINS-Server im Netzwerk befindet, geben Sie die IP-Adresse fr diesen Server in dieses Feld ein.


OL-9961-04

Kapitel 2 LAN-AssistentLAN-Assistent: VLAN-Modus

LAN-Assistent: VLAN-ModusIn diesem Bildschirm knnen Sie den Typ der VLAN-Informationen ermitteln, die ber den Switch-Port bertragen werden. Switch-Ports knnen entweder fr den Zugriffsmodus vorgesehen sein in diesem Fall werden nur Daten weitergeleitet, die fr das VLAN bestimmt sind, dem Sie zugewiesen wurden oder sie knnen fr den Trunk-Modus vorgesehen sein in diesem Fall werden Daten weitergeleitet, die fr alle VLANs bestimmt sind, einschlielich des VLANs, dem sie zugewiesen sind.

Wenn dieser Switch-Port mit einem einzelnen Gert verbunden ist, wie beispielsweise einem PC oder IP-Telefon, oder wenn das Gert mit einem Port oder einem Netzwerkgert verbunden ist, wie beispielsweise einem anderen Switch, der als Zugriffsmodusport fungiert, whlen Sie die Option Einzelgert.

Wenn dieser Switch-Port mit einem Port in einem Netzwerkgert, wie einem anderen Switch, der als Trunk-Modus fungiert, verbunden ist, whlen Sie Netzwerkgert.

LAN-Assistent: Switch-PortIn diesem Bildschirm knnen Sie dem Switch-Port eine bestehende VLAN-Nummer zuweisen oder eine neue VLAN-Schnittstelle erstellen, die dem VLAN-Switch-Port zugewiesen werden soll.

Bestehendes VLAN

Wenn Sie den Switch-Port einem VLAN zuweisen mchten, das bereits definiert wurde, wie beispielsweise zum Standard-VLAN (VLAN 1), geben Sie die VLAN-ID-Nummer in das Feld Netzwerk-Identifier (VLAN) ein.

Neues VLAN

Wenn Sie eine neue VLAN-Schnittstelle erstellen mchten, der der Switch-Port zugewiesen werden soll, geben Sie die neue VLAN-ID-Nummer im Feld Neues VLAN ein, und geben Sie anschlieend die IP-Adresse und Subnetzmaske der neuen logischen VLAN-Schnittstelle in die Felder IP-Adresse und Subnetzmaske ein.


OL-9961-04

Kapitel 2 LAN-AssistentIRB-Bridge

Nehmen Sie dieses VLAN in eine IRB-Bridge auf, die eine Bridge mit Ihrem Wireless-Netzwerk bildet. (Wireless-Anwendung zur Durchfhrung verwenden.)

Wenn Sie dieses Kontrollkstchen aktivieren, wird der Switch-Port in eine Bridge zu Ihrem Wireless-Netzwerk eingebunden. Es muss kein anderer Teil der Bridge mit der Wireless-Anwendung konfiguriert werden. Die Felder IP-Adresse und Subnetzmaske unter Neues VLAN sind deaktiviert, wenn dieses Kontrollkstchen aktiviert wird.

Gehen Sie nach Erstellung dieser LAN-Konfiguration wie folgt vor, um die Wireless-Anwendung zu starten und die Bridging-Konfiguration zu vervollstndigen.

Schritt 1 Whlen Sie im Cisco SDM-Men Extras die Option Wireless-Anwendung. Die Wireless-Anwendung wird in einem separaten Browser-Fenster geffnet.

Schritt 2 Klicken Sie in der Wireless-Anwendung auf Wireless Express Security und dann auf Bridging, um die Informationen fr die Bridging-Konfiguration einzugeben.

IRB-BridgeWenn Sie ein VLAN als Teil einer IRB-Bridge konfigurieren, muss die Bridge zu einer Bridge-Gruppe gehren.

Um eine neue Bridge-Gruppe zu erstellen, zu der diese Schnittstelle gehren soll, klicken Sie auf Neue Bridge-Gruppe erstellen, und geben Sie einen Wert im Bereich von 1 bis 255 ein.

Wenn dieses VLAN zu einer bestehenden Bridge-Gruppe gehren soll, klicken Sie auf Einer vorhandenen Bridge-Gruppe beitreten, und whlen Sie eine Bridge-Gruppe aus.

Hinweis Wenn Sie die Bridge-Konfiguration in der Wireless-Anwendung vornehmen, mssen Sie dieselbe Bridge-Gruppennummer verwenden, die Sie auf diesem Bildschirm eingegeben haben.


OL-9961-04

Kapitel 2 LAN-AssistentBVI-Konfiguration

BVI-KonfigurationWeisen Sie der BVI-Schnittstelle eine IP-Adresse und eine Subnetzmaske zu. Wenn Sie auf dem vorherigen Bildschirm eine bestehende Bridge-Gruppe gewhlt haben, erscheinen die IP-Adresse und die Subnetzmaske auf diesem Bildschirm. Sie knnen die Werte ndern oder unverndert lassen.

IP-Adresse

Geben Sie die IP-Adresse fr die Schnittstelle im durch Punkte getrennten Dezimalformat ein. Ihr Netzwerkadministrator kann die IP-Adressen der LAN-Schnittstellen ermitteln. Weitere Informationen finden Sie unter IP-Adressen und Subnetzmasken.

Netzwerkmaske

Geben Sie die Subnetzmaske ein. Diesen Wert erhalten Sie von Ihrem Netzwerkadministrator. Die Subnetzmaske ermglicht es dem Router, zu ermitteln, zu welchem Teil die IP-Adresse zur Definition des Netzwerks und des Hostanteils der Adresse verwendet wird.

Subnetz-Bits

Whlen Sie alternativ die Anzahl der Netzwerkbits aus. Dieser Wert wird verwendet, um die Subnetzmaske zu berechnen. Sie erhalten die Anzahl der einzugebenden Netzwerk-Bits von Ihrem Netzwerkadministrator.

DHCP-Pool fr BVIWenn Sie den Router als DHCP-Server konfigurieren, knnen Sie einen Pool von IP-Adressen fr die Clients im Netzwerk erstellen. Wenn der Client sich im Netz abmeldet, steht die Adresse wieder als Pool-Adresse fr andere Hosts zur Verfgung.


OL-9961-04

Kapitel 2 LAN-AssistentIRB fr Ethernet

Konfiguration des DHCP-Servers

Aktivieren Sie diese Option, wenn der Router als DHCP-Server fungieren soll. Geben Sie dann die Start- und die End-IP-Adresse des Pools ein. Geben Sie IP-Adressen desselben Subnetzes ein, zu dem die IP-Adresse gehrt, die Sie der Schnittstelle zugewiesen haben. Wenn Sie der Schnittstelle beispielsweise die IP-Adresse 10.10.22.1 zugewiesen haben, verfgen Sie bei einer Subnetzmaske von 255.255.255.0 ber 250 Adressen fr den Pool, und Sie knnen z. B. die Start-IP-Adresse 10.10.22.2 und die End-IP-Adresse 10.10.22.253 angeben.

IRB fr EthernetWenn Ihr Router ber eine Wireless-Schnittstelle verfgt, knnen Sie integriertes Routing und Bridging (IRB) verwenden, damit die Schnittstelle in eine Bridge zum drahtlosen LAN eingebunden wird. Zudem knnen Sie festlegen, dass Datenverkehr, der an das drahtlose Netzwerk gerichtet ist, ber diese Schnittstelle geleitet wird. Klicken Sie auf Ja, wenn Sie diese Schicht-3-Schnittstelle fr integriertes Routing und Bridging konfigurieren mchten.

Wenn diese Schnittstelle nicht als Teil der Bridge zur Wireless-Schnittstelle verwendet werden soll, klicken Sie auf Nein. Sie knnen sie trotzdem als regulre Routingschnittstelle konfigurieren.

Layer 3-EthernetkonfigurationCisco SDM untersttzt die Layer 3-Ethernetkonfiguration auf Routern mit installierten 3750 Switchmodulen. Sie knnen VLAN Konfigurationen erstellen und Router Ethernet Schnittstellen als DHCP Server bestimmen.

802.1Q-KonfigurationSie knnen ein VLAN konfigurieren, dass das 802.1Q Kapselungsprotokoll fr Trunkverbindungen nicht benutzt. Definieren Sie eine VLAN ID-Nummer und berprfen Sie das Native VLAN, wenn Sie nicht wollen, dass das VLAN die 802.1Q Identifizierung benutzt.

Wenn Sie die 802.1Q Identifizierung benutzen wollen, lassen Sie das VLAN Kstchen leer.


OL-9961-04

Kapitel 2 LAN-AssistentLayer 3-Ethernetkonfiguration

Trunk oder RouterkonfigurationSie knnen Layer 3 Ethernet Schnittstellen fr 802.1Q Trunk oder fr Basisrouting konfigurieren. Wenn Sie die Schnittstelle fr 802.1Q Trunk konfigurieren, knnen Sie VLANs an der Schnittstelle und ein systemeigenes VLAN konfigurieren, das kein 802.1q Kapselungsprotokoll benutzt. Wenn Sie die Schnittstelle fr das Routing konfigurieren, knnen Sie keine Subschnittstellen oder zustzliche VLANs an der Schnittstelle konfigurieren.

Switchmodul konfigurierenWenn Sie eine Gigabit Ethernetschnittstelle fr das Routing konfigurieren, knnen Sie dieses Fenster mit Informationen ber das Switchmodul versorgen. Es ist nicht zwingend notwendig, dass Sie diese Informationen bereitstellen.

Sie knnen eine IP-Adresse und eine Subnetzmaske fr das Switchmodul bereitstellen, ebenso erwartete Loginanmeldeinformationen, um sich in die Switchmodulschnittstelle einzuloggen.

Aktivieren Sie das Feld am Ende des Bildschirms, wenn Sie sich in das Switchmodul einloggen wollen, nachdem die Informationen in diesem Assistenten bereitgestellt wurden und die Konfiguration an den Router bergeben wurde.

Gigabit Ethernetschnittstelle konfigurierenIn diesem Fenster geben Sie eine IP-Adresse und die Informationen zur Subnetzmaske fr die Gigabit Ethernetschnittstellen ein. Weitere Informationen ber IP-Adressen und Subnetzmasken finden Sie LAN-Assistent: IP-Adresse und Subnetzmaske.

IP-Adresse von Physischen Schnittstellen

Geben Sie die IP-Adresse und die Subnetzmaske fr die physische Gigabit Ethernetschnittstelle in diesen Feldern ein.


OL-9961-04

Kapitel 2 LAN-Assistentbersicht

IP-Adresse von VLAN Subschnittstellen

Geben Sie die IP-Adresse und Subnetzmaske fr die VLAN Schnittstelle ein, die Sie an der physischen Schnittstelle erstellen wollen. Diese Felder erscheinen, wenn Sie diese Schnittstelle fr das Routing konfigurieren. Diese Felder erscheinen nicht, wenn Sie diese Schnittstelle fr Integriertes Routing und Bridging (IRB) konfigurieren.

bersichtDieses Fenster bietet eine bersicht der Konfigurationsnderungen, die in der von Ihnen ausgewhlten Schnittstelle vorgenommen wurden.

So speichern Sie diese Konfiguration in der aktiven Konfiguration des Routers und verlassen diesen Assistenten:

Klicken Sie auf Fertig stellen. Cisco SDM speichert die Konfigurationsnderungen in der aktiven Konfiguration des Routers. Auch wenn die nderungen sofort wirksam werden, gehen diese verloren, wenn der Router ausgeschaltet wird.

Wenn Sie im Fenster Benutzereinstellungen die Option Zeigen Sie die Befehle in der Vorschau an, bevor Sie diese an den Router senden aktiviert haben, wird das Fenster Senden angezeigt. In diesem Fenster knnen Sie die CLI-Befehle anzeigen, die an den Router gesendet werden.


OL-9961-04

Kapitel 2 LAN-AssistentWie gehe ich vor?

Wie gehe ich vor?Dieser Abschnitt enthlt Verfahren fr Aufgaben, die Sie nicht mit dem Assistenten ausfhren knnen.

Wie konfiguriere ich eine statische Route?So konfigurieren Sie eine statische Route:

Schritt 1 Klicken Sie in der Leiste Kategorie auf Routing.

Schritt 2 Klicken Sie in der Gruppe Statisches Routing auf Hinzufgen....

Das Dialogfeld Statische IP-Route hinzufgen wird angezeigt.

Schritt 3 Geben Sie im Feld Prfix die IP-Adresse des Zielnetzwerks der statischen Route ein.

Schritt 4 Geben Sie im Feld Prfixmaske die Subnetzmaske des Zielnetzwerks ein.

Schritt 5 Wenn diese statische Route als Standardroute fungieren soll, aktivieren Sie das Kontrollkstchen Zur Standardroute machen.

Schritt 6 Whlen Sie in der Gruppe Weiterleitung aus, ob eine Routerschnittstelle oder die IP-Adresse des Zielrouters als Weiterleitungsmethode fr Daten identifiziert werden soll, und whlen Sie dann entweder die Weiterleitungs-Routerschnittstelle aus, oder geben Sie die IP-Adresse des Zielrouters ein.

Schritt 7 Geben Sie optional in das Feld Distanzmetrik fr diese Route die Distanzmetrik ein, die in der Routingtabelle gespeichert werden soll.

Schritt 8 Wenn diese statische Route als permanente Route konfiguriert werden soll, d. h. dass sie nicht gelscht wird, auch wenn die Schnittstelle deaktiviert wird oder der Router nicht mit dem nchsten Router kommunizieren kann, aktivieren Sie das Kontrollkstchen Permanente Route.

Schritt 9 Klicken Sie auf OK.


OL-9961-04


Wie zeige ich Aktivitten in meiner LAN-Schnittstelle an?Sie knnen Aktivitten in einer LAN-Schnittstelle ber den Monitor-Modus in Cisco SDM anzeigen. Der Monitor-Modus kann Statistiken ber die LAN-Schnittstelle anzeigen, einschlielich der Anzahl an Paketen und Bytes, die von der Schnittstelle gesendet oder empfangen wurden, und die Anzahl an gesendeten oder empfangenen Fehlern, die aufgetreten sind. So zeigen Sie die Statistiken zu einer LAN-Schnittstelle an:

Schritt 1 Klicken Sie in der Symbolleiste auf Monitor.

Schritt 2 Klicken Sie im linken Bereich auf Schnittstellenstatus.

Schritt 3 Whlen Sie im Feld Schnittstelle auswhlen die LAN-Schnittstelle aus, fr die Sie Statistiken anzeigen mchten.

Schritt 4 Whlen Sie die Datenelemente aus, die Sie anzeigen mchten, indem Sie die dazugehrigen Kontrollkstchen aktivieren. Sie knnen gleichzeitig bis zu vier Statistiken anzeigen.

Schritt 5 Klicken Sie auf berwachung starten, um Statistiken fr alle ausgewhlten Datenelemente anzuzeigen.

Daraufhin wird der Bildschirm Details zur Schnittstelle mit den ausgewhlten Statistiken angezeigt. Der Bildschirm zeigt standardmig Echtzeitdaten an. Dafr wird der Router alle 10 Sekunden abgefragt. Wenn die Schnittstelle aktiv ist und Daten bertragen werden, sollten Sie jetzt sehen, dass die Anzahl der ber die Schnittstelle gesendeten Pakete und Byte zunimmt.

Wie aktiviere oder deaktiviere ich eine Schnittstelle?Sie knnen eine Schnittstelle deaktivieren, ohne ihre Konfiguration zu entfernen, und Sie knnen auch eine Schnittstelle, die Sie deaktiviert haben, wieder neu aktivieren.

Schritt 1 Klicken Sie in der Leiste Kategorie auf Schnittstellen und Verbindungen.

Schritt 2 Klicken Sie auf die Registerkarte Schnittstelle/Verbindung bearbeiten.


OL-9961-04


Schritt 3 Whlen Sie die Schnittstelle aus, die Sie deaktivieren oder aktivieren mchten.

Schritt 4 Wenn die Schnittstelle aktiviert ist, wird unterhalb der Schnittstellenliste die Schaltflche Deaktivieren angezeigt. Klicken Sie auf diese Schaltflche, die Schnittstelle zu deaktivieren. Wenn die Schnittstelle derzeit deaktiviert ist, wird die Schaltflche Aktivieren unter der Schnittstellenliste angezeigt. Klicken Sie auf diese Schaltflche, die Schnittstelle zu deaktivieren.

Wie zeige ich die IOS-Befehle an, die ich an den Router sende?Wenn Sie einen Assistenten zur Konfiguration einer Funktion abschlieen, knnen Sie die Cisco IOS-Befehle anzeigen, die Sie an den Router senden, wenn Sie auf Fertig stellen klicken.

Schritt 1 Whlen Sie im Cisco SDM-Men Bearbeiten die Option Einstellungen aus.

Schritt 2 Aktivieren Sie Zeigen Sie die Befehle in der Vorschau an, bevor Sie diese an den Router senden.

Schritt 3 Klicken Sie auf OK.

Wenn Sie das nchste Mal einen Assistenten zur Konfiguration des Routers verwenden und im Fenster bersicht auf Fertig stellen klicken, wird das Fenster Senden angezeigt. In diesem Fenster knnen Sie die Befehle ansehen, die an die Routerkonfiguration gesendet werden. Klicken Sie auf Senden, wenn Sie mit dem berprfen der Befehle fertig sind.

Whrend der Bearbeitung einer Konfiguration wird das Fenster Senden angezeigt, wenn Sie im Dialogfeld auf OK klicken. In diesem Fenster knnen Sie die Cisco IOS-Befehle ansehen, die an den Router gesendet werden.


OL-9961-04


Wie starte ich die Wireless-Anwendung von Cisco SDM aus?Verwenden Sie das folgende Verfahren, um die Wireless-Anwendung von Cisco SDM aus zu starten.

Schritt 1 Klicken Sie im Cisco SDM-Men auf Extras, und whlen Sie die Option Wireless-Anwendung. Die Wireless-Anwendung wird in einem separaten Browser-Fenster gestartet.

Schritt 2 Klicken Sie im linken Rahmen auf den Titel des Konfigurationsbildschirms, mit dem Sie arbeiten mchten. Die Hilfe fr den jeweiligen Bildschirm knnen Sie durch Anklicken des Hilfe-Symbols in der oberen rechten Ecke anzeigen. Das Symbol sieht wie ein offenes Buch mit einem Fragezeichen aus.


OL-9961-04


K A P I T E L 3

802.1x-Authentifizierung

Die 802.1x-Authentifizierung erlaubt es einem Cisco IOS-Remote-Router, authentifizierte VPN-Benutzer ber einen jederzeit aktiven VPN-Tunnel mit einem sicheren Netzwerk zu verbinden. Der Cisco IOS-Router authentifiziert Benutzer ber einen RADIUS-Server im sicheren Netzwerk.

Die 802.1x-Authentifizierung wird auf Switch-Ports oder (geroutete) Ethernet-Ports angewandt, jedoch nicht auf beide Schnittstellentypen. Wenn die 802.1x-Authentifizierung auf einen Ethernet-Port angewandt wird, knnen nicht authentifizierte Benutzer auerhalb des VPN-Tunnels ins Internet geleitet werden.

Die 802.1x-Authentifizierung wird mithilfe des LAN-Assistenten auf Schnittstellen konfiguriert. Bevor Sie jedoch 802.1x auf einer Schnittstelle aktivieren knnen, muss AAA auf Ihrem Cisco IOS-Router aktiviert werden. Wenn Sie versuchen, den LAN-Assistenten zu verwenden, bevor AAA aktiviert ist, wird ein Fenster angezeigt, das Sie fragt, ob Sie AAA aktivieren mchten. Wenn Sie sich entscheiden, AAA zu aktivieren, dann werden die 802.1x-Konfigurationsbildschirme als Teil des LAN-Assistenten angezeigt. Wenn Sie sich entscheiden, AAA nicht zu aktivieren, dann werden die 802.1x-Konfigurationsbildschirme nicht angezeigt.


Kapitel 3 802.1x-AuthentifizierungLAN-Assistent: 802.1x-Authentifizierung (Switch-Ports)

LAN-Assistent: 802.1x-Authentifizierung (Switch-Ports)

ber dieses Fenster knnen Sie die 802.1x-Authentifizierung auf dem Switch-Port bzw. den Switch-Ports aktivieren, die Sie im LAN-Assistenten zur Konfiguration ausgewhlt haben.

802.1x-Authentifizierung aktivieren

Aktivieren Sie die Option 802.1x-Authentifizierung aktivieren, um die 802.1x-Authentifizierung auf dem Switch-Port zu aktivieren.

Hostmodus

Whlen Sie Einzeln oder Mehrere. Der Modus Einzeln gewhrt nur einem authentifizierten Client Zugang. Der Modus Mehrere gewhrt einer beliebigen Anzahl von Clients Zugang, nachdem ein Client authentifiziert wurde.

Hinweis Ports auf Cisco 85x- und Cisco 87x-Routern knnen nur auf den Modus mit mehreren Hosts eingestellt werden. Fr diese Router ist der Modus Einzeln deaktiviert.

Gast-VLAN

Aktivieren Sie die Option Gast-VLAN, um ein VLAN fr Clients ohne 802.1x-Untersttzung zu aktivieren. Wenn Sie diese Option aktivieren, whlen Sie ein VLAN aus der VLAN-Dropdown-Liste aus.

Fehler bei der VLAN-Authentifizierung

Aktivieren Sie die Option Fehler bei der VLAN-Authentifizierung, um ein VLAN fr Clients zu aktivieren, welche die 802.1x-Authorisierung nicht passieren. Wenn Sie diese Option aktivieren, whlen Sie ein VLAN aus der VLAN-Dropdown-Liste aus.


OL-9961-04


Periodische erneute Authentifizierung

Aktivieren Sie Periodische erneute Authentifizierung, um in regelmigen Abstnden eine erneute Authentifizierung von 802.1x-Clients zu erzwingen. Konfigurieren Sie das Intervall lokal oder erlauben Sie dem RADIUS-Server, das Intervall festzulegen. Wenn Sie das Intervall fr die erneute Authentifizierung lokal konfigurieren, geben Sie einen Wert im Bereich von 1 bis 65535 Sekunden ein. Die Standardeinstellung lautet 3600 Sekunden.

Erweiterte Optionen

Klicken Sie auf Erweiterte Optionen, um ein Fenster mit weiteren 802.1x-Authentifizierungsparametern zu ffnen.

Erweiterte Optionenber dieses Fenster knnen Sie die Standardwerte fr eine Reihe von 802.1x-Authentifizierungsparametern ndern.

Timeout fr Radius-Server

Geben Sie die Zeit in Sekunden ein, die der Cisco IOS-Router warten soll, bevor ein Timeout fr die Verbindung zum RADIUS-Server erfolgt. Die Werte mssen in einem Bereich von 1 bis 65535 Sekunden liegen. Die Standardeinstellung lautet 30 Sekunden.

Timeout fr Supplicant-Antwort

Geben Sie die Zeit in Sekunden ein, die der Cisco IOS-Router auf eine Antwort vom 802.1x-Client warten soll, bevor ein Timeout fr die Verbindung mit dem Client erfolgt. Die Werte mssen in einem Bereich von 1 bis 65535 Sekunden liegen. Die Standardeinstellung lautet 30 Sekunden.

Timeout fr erneute Versuche von Supplicant

Geben Sie die Zeit in Sekunden ein, whrend der der Cisco IOS-Router versuchen soll, eine Verbindung zum 802.1x-Client herzustellen, bevor ein Timeout fr die Verbindung mit dem Client erfolgt. Die Werte mssen in einem Bereich von 1 bis 65535 Sekunden liegen. Die Standardeinstellung lautet 30 Sekunden.


OL-9961-04


Ruhezeitdauer

Geben Sie die Zeit in Sekunden ein, die der Cisco IOS-Router zwischen der ersten Verbindung mit einem Client und dem Senden einer Anmeldeanforderung warten soll. Die Werte mssen in einem Bereich von 1 bis 65535 Sekunden liegen. Die Standardeinstellung lautet 60 Sekunden.

Zeitdauer fr Ratenlimit

Die Werte mssen in einem Bereich von 1 bis 65535 Sekunden liegen. Die Standardeinstellung lautet jedoch 0 Sekunden, wodurch Zeitdauer fr Ratenlimit deaktiviert wird.

Maximale Versuche fr erneute Authentifizierung

Geben Sie die maximale Anzahl an Versuchen fr eine erneute Authentifizierung eines 802.1x-Clients durch den Cisco IOS-Router ein. Die Werte mssen in einem Bereich von 1 bis 10 liegen. Die Standardeinstellung lautet 2.

Maximale Wiederholungen

Geben Sie die maximale Anzahl an Anmeldeanforderungen ein, die an den Client gesendet werden knnen. Die Werte mssen in einem Bereich von 1 bis 10 liegen. Die Standardeinstellung lautet 2.

Auf Standardwerte zurcksetzen

Klicken Sie auf Auf Standardwerte zurcksetzen, um alle erweiterten Optionen auf die Standardwerte zurckzusetzen.


OL-9961-04

Kapitel 3 802.1x-AuthentifizierungLAN-Assistent: RADIUS-Server fr 802.1x-Authentifizierung

LAN-Assistent: RADIUS-Server fr 802.1x-Authentifizierung

Die 802.1x-Authentifizierungsinformationen werden in einer Regeldatenbank konfiguriert und gespeichert, die auf RADIUS-Servern liegt, auf denen Cisco Secure ACS Version 3.3 luft. Der Router muss die Anmeldeinformationen von 802.1x-Clients fr gltig erklren, indem er mit dem RADIUS-Server kommuniziert. Verwenden Sie dieses Fenster, um die Informationen einzugeben, die der Router braucht, um den Kontakt mit einem oder mehreren RADIUS-Servern aufzunehmen. Auf jedem RADIUS-Server, den Sie festlegen, muss die Cisco Secure ACS Software Version 3.3 installiert und konfiguriert sein.

Hinweis Alle Ihre Cisco IOS-Routerschnittstellen mit aktivierter 802.1x-Autorisierung verwenden die in diesem Fenster eingerichteten RADIUS-Server. Wenn Sie eine neue Schnittstelle konfigurieren, wird dieser Bildschirm erneut angezeigt. Zu den RADIUS-Serverinformationen muss jedoch nichts hinzugefgt bzw. daran gendert werden.

Die RADIUS-Clientquelle auswhlen

Das Konfigurieren der RADIUS-Quelle ermglicht Ihnen, die Quellen-IP-Adresse festzulegen und in RADIUS-Paketen an den RADIUS-Server zu senden. Wenn Sie weitere Informationen ber eine Schnittstelle bentigen, whlen Sie die Schnittstelle aus und klicken Sie auf die Schaltflche Details.

Die Quellen-IP-Adresse in den RADIUS-Paketen, die vom Router gesendet werden, muss als die NAD-IP-Adresse in der Cisco ACS Version 3.3 oder spter konfiguriert werden.

Wenn Sie Router whlt Quelle aus aktivieren, ist die IP-Quelladresse in den RADIUS-Paketen die Adresse der Schnittstelle, ber die die RADIUS-Pakete den Router verlassen.

Wenn Sie eine Schnittstelle auswhlen, ist die Quellen-IP-Adresse in den RADIUS-Paketen die Adresse der Schnittstelle, die Sie als die RADIUS-Clientquelle ausgewhlt haben.


OL-9961-04

Kapitel 3 802.1x-AuthentifizierungLAN-Assistent: RADIUS-Server fr 802.1x-Authentifizierung

Hinweis Cisco IOS-Software gestattet die Konfiguration einer Single-RADIUS-Quellschnittstelle auf dem Router. Wenn der Router bereits eine RADIUS-Quelle konfiguriert hat und Sie eine andere Quelle auswhlen, ndert sich die IP-Adresse, die in den Paketen an den RADIUS-Server steht, in die IP-Adresse der neuen Quelle und kann dann eventuell nicht mehr mit der NAD-IP-Adresse auf dem konfigurierten Cisco ACS bereinstimmen.

Details

Klicken Sie auf Details, um einen kurzen Einblick in die Informationen ber eine Schnittstelle zu erhalten, bevor Sie diese auswhlen. Auf dem Bildschirm werden die IP-Adresse und die Subnetzmaske, die der Schnittstelle zugewiesenen Zugriffsregeln und die Prfregeln, die zugewiesenen IPSec- und QoS-Richtlinien angezeigt und angegeben, ob Easy VPN fr die Schnittstelle konfiguriert wurde.

Spalten Server-IP, Timeout und Parameter

Die Spalten Server-IP, Timeout und Parameter enthalten die Informationen, die der Router fr den Kontakt mit einem RADIUS-Server braucht. Wenn keine RADIUS-Server Informationen mit der ausgewhlten Schnittstelle verknpft sind, sind diese Spalten leer.

Zweck des Kontrollkstchens 802.1x

Aktivieren Sie dieses Kontrollkstchen, wenn Sie die aufgelisteten RADIUS-Server fr 802.1x verwenden mchten. Der Server muss ber die erforderlichen konfigurierten 802.1x-Autorisierungsinformationen verfgen, wenn 802.1x erfolgreich eingesetzt wird.

Hinzufgen, Bearbeiten und Ping

Um Informationen zu einem RADIUS-Server anzugeben, klicken Sie auf die Taste Hinzufgen und geben Sie die Informationen in den angezeigten Bildschirm ein. Whlen Sie eine Zeile aus und klicken Sie auf Bearbeiten, um die Informationen zu einem RADIUS-Server zu ndern. Whlen Sie eine Zeile aus und klicken Sie auf Ping, um die Verbindung zwischen Router und RADIUS-Server zu testen.


OL-9961-04

Kapitel 3 802.1x-Authentifizierung802.1x-Authentifizierung (Switch-Ports) bearbeiten

Hinweis Wenn Sie einen Ping-Test durchfhren, geben Sie die IP-Adresse der RADIUS-Quellschnittstelle in das Feld Quelle im Dialogfeld Ping ein. Wenn Sie die Option Router whlt Quelle ausgewhlt haben, mssen Sie keinen Wert in das Feld Quelle im Dialogfeld Ping eingeben.

Die Schaltflchen Bearbeiten und Ping sind deaktiviert, wenn fr die ausgewhlte Schnittstelle keine RADIUS-Server-Informationen zur Verfgung stehen.

802.1x-Authentifizierung (Switch-Ports) bearbeitenIn diesem Fenster knnen Sie 802.1x-Authentifizierungsparameter aktivieren und konfigurieren.

Wenn eine Meldung wie 802.1x kann nicht fr einen im Trunk-Modus betriebenen Port konfiguriert werden anstelle der 802.1x-Authentifizierungsparameter angezeigt wird, kann fr den Switch keine 802.1x-Authentifizierung aktiviert werden.

Wenn die 802.1x-Authentifizierungsparameter angezeigt werden, aber deaktiviert sind, trifft eine der folgenden Mglichkeiten zu:

AAA wurde nicht aktiviert.

Um AAA zu aktivieren, rufen Sie Konfigurieren > Zustzliche Aufgaben > AAA auf.

AAA wurde aktiviert, aber es wurde keine 802.1x-Authentifizierungsrichtlinie konfiguriert.

Um eine 802.1x-Authentifizierungsrichtlinie zu konfigurieren, rufen Sie Konfigurieren > Zustzliche Aufgaben > AAA > Authentifizierungsrichtlinien > 802.1x auf.

802.1x-Authentifizierung aktivieren

Aktivieren Sie die Option 802.1x-Authentifizierung aktivieren, um die 802.1x-Authentifizierung auf diesem Switch-Port zu aktivieren.


OL-9961-04

Kapitel 3 802.1x-Authentifizierung802.1x-Authentifizierung (Switch-Ports) bearbeiten

Hostmodus

Whlen Sie Einzeln oder Mehrere. Der Modus Einzeln gewhrt nur einem authentifizierten Client Zugang. Der Modus Mehrere gewhrt einer beliebigen Anzahl von Clients Zugang, nachdem ein Client authentifiziert wurde.

Hinweis Ports auf Cisco 87x-Routern knnen nur auf den Modus mit mehreren Hosts eingestellt werden. Fr diese Router ist der Modus Einzeln deaktiviert.

Gast-VLAN

Aktivieren Sie die Option Gast-VLAN, um ein VLAN fr Clients ohne 802.1x-Untersttzung zu aktivieren. Wenn Sie diese Option aktivieren, whlen Sie ein VLAN aus der VLAN-Dropdown-Liste aus.

Fehler bei der VLAN-Authentifizierung

Aktivieren Sie Fehler bei der VLAN-Authentifizierung, um VLAN fr Clients zu aktivieren, die die 802.1x-Autorisierung nicht passieren. Wenn Sie diese Option aktivieren, whlen Sie ein VLAN aus der VLAN-Dropdown-Liste aus.

Periodische erneute Authentifizierung

Aktivieren Sie Periodische erneute Authentifizierung, um in regelmigen Abstnden eine erneute Authentifizierung von 802.1x-Clients zu erzwingen. Konfigurieren Sie das Intervall lokal oder erlauben Sie dem RADIUS-Server, das Intervall festzulegen. Wenn Sie das Intervall fr die erneute Authentifizierung lokal konfigurieren, geben Sie einen Wert im Bereich von 1 bis 65535 Sekunden ein. Die Standardeinstellung lautet 3600 Sekunden.

Erweiterte Optionen

Klicken Sie auf Erweiterte Optionen, um ein Fenster mit weiteren 802.1x-Authentifizierungsparametern zu ffnen.


OL-9961-04

Kapitel 3 802.1x-AuthentifizierungLAN-Assistent: 802.1x-Authentifizierung (VLAN oder Ethernet)

LAN-Assistent: 802.1x-Authentifizierung (VLAN oder Ethernet)

ber dieses Fenster knnen Sie die 802.1x-Authentifizierung auf dem Ethernet-Port aktivieren, den Sie im LAN-Assistenten zur Konfiguration ausgewhlt haben. Bei Cisco 87x-Routern ist dieses Fenster fr die Konfiguration eines VLAN mit 802.1x-Authentifizierung verfgbar.

Hinweis Bevor Sie 802.1x auf einem VLAN konfigurieren, stellen Sie sicher, dass 802.1x nicht auf VLAN-Switch-Ports konfiguriert ist. Achten Sie auch darauf, dass das VLAN fr DHCP konfiguriert ist.

Verwendung der 802.1x-Authentifizierung, um vertrauenswrdigen und nicht vertrauenswrdigen Verkehr auf der Schnittstelle voneinander zu trennen

Aktivieren Sie 802.1x-Authentifizierung verwenden, um vertrauenswrdigen und nicht vertrauenswrdigen Verkehr auf der Schnittstelle voneinander zu trennen, um die 802.1x-Authentifizierung zu aktivieren.

Hinweis Der IP-Adresspool kann die IP-Adresse berschneiden, die fr eine Loopback-Schnittstelle verwendet wird. Sie werden jedoch aufgefordert, eine solche berschneidung zu besttigen, bevor sie zugelassen wird.

Whlen Sie Neuen Pool erstellen, um einen neuen IP-Adresspool fr die Ausgabe von IP-Adressen an nicht vertrauenswrdige Clients zu konfigurieren. Die folgenden Felder knnen bereits mit zuvor eingegebenen Informationen gefllt sein, Sie knnen sie jedoch ndern oder ausfllen:

Netzwerk Geben Sie die IP-Netzwerkadresse ein, aus welcher der Pool von IP-Adressen abgeleitet wird.

Subnetzmaske Geben Sie die Subnetzmaske ein, um das Netzwerk und die Host-Teile der IP-Adresse zu definieren, die in das Feld Netzwerk eingegeben wurde.


OL-9961-04


Wenn Sie einen vorhandenen IP-Adresspool fr die Ausgabe von IP-Adressen an nicht vertrauenswrdige Clients verwenden mchten, whlen Sie Select an existing pool (Vorhandenen Pool auswhlen). Whlen Sie den vorhandenen Pool aus dem Dropdown-Men. Um weitere Informationen zu einem vorhandenen Pool anzuzeigen, klicken Sie auf Details.

Ausnahmelisten

Klicken Sie auf Ausnahmelisten, um eine Ausnahmeliste zu erstellen oder zu bearbeiten. Eine Ausnahmeliste schliet bestimmte Clients von der 802.1x-Authentifizierung aus, damit sie den VPN-Tunnel verwenden knnen.

DNS-Server 1 Der DNS-Server ist ein Server, der eine Zuordnung eines bekannten Gertenamens mit dessen IP-Adresse vornimmt. Wenn ein DNS-Server fr Ihr Netzwerk konfiguriert ist, geben Sie die IP-Adresse fr diesen Server ein.

DNS-Server 2 Wenn sich ein zustzlicher DNS-Server im Netzwerk befindet, geben Sie die IP-Adresse fr diesen Server ein.

WINS-Server 1 Einige Clients erfordern eventuell den Windows-Internet-Namensserver (Windows Internet Naming Service, WINS) fr eine Verbindung mit Gerten im Internet. Wenn ein WINS-Server im Netzwerk konfiguriert ist, geben Sie die IP-Adresse fr diesen Server ein.

WINS-Server 2 Wenn sich ein zustzlicher WINS-Server im Netzwerk befindet, geben Sie die IP-Adresse fr diesen Server ein.


OL-9961-04


Cisco IP-Telefone von der 802.1x-Authentifizierung ausschlieen

Aktivieren Sie die Option Exempt Cisco IP phones from 802.1x authentication (Cisco IP-Telefone von der 802.1x-Authentifizierung ausschlieen), um Cisco IP-Telefone von der 802.1x-Authentifizierung auszuschlieen, sodass sie den VPN-Tunnel verwenden knnen.

802.1x-AusnahmelisteEine Ausnahmeliste schliet bestimmte Clients von der 802.1x-Authentifizierung aus, damit sie den VPN-Tunnel verwenden knnen. Ausgeschlossene Clients werden ber ihre MAC-Adresse identifiziert.

Hinzufgen

Klicken Sie auf Hinzufgen, um ein Fenster zu ffnen, in dem Sie die MAC-Adresse eines Clients hinzufgen knnen. Die MAC-Adresse muss dem Format eines der folgenden Beispiele entsprechen:

0030.6eb1.37e4

00-30-6e-b1-37-e4

Cisco SDM weist falsch formatierte

Documents

Cisco Router and Security Device Manager Benutzerhandbuch · Cisco SDM-Warnung: Firewall 21 Firewallrichtlinie bearbeiten 22 Hinzufügen einer neuen Regel 25 Datenverkehr hinzufügen