Académique Documents
Professionnel Documents
Culture Documents
Volumen 7: Enrutamiento
www.juniper.net
Nmero de pieza: 530-017773-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the users warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen xi Convenciones del documento ........................................................................ xii Convenciones de la interfaz de usuario web ............................................ xii Convenciones de interfaz de lnea de comandos ..................................... xii Convenciones de nomenclatura y conjuntos de caracteres ..................... xiii Convenciones para las ilustraciones ....................................................... xiv Asistencia y documentacin tcnica............................................................... xv Captulo 1 Enrutamiento esttico 1
Vista general .................................................................................................... 1 Cmo funciona el enrutamiento esttico ................................................... 2 Cundo configurar rutas estticas .............................................................. 3 Configuracin de rutas estticas ................................................................ 4 Ajuste de rutas estticas ...................................................................... 5 Establecimiento de una ruta esttica para una interfaz de tnel.......... 8 Habilitacin del seguimiento de puertas de enlace .................................... 9 Reenvo de trfico a la interfaz Null ............................................................... 10 Impedir las consultas de rutas en otras tablas de enrutamiento............... 10 Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel ................................................................................................... 10 Evitar bucles creados por las rutas resumidas.......................................... 11 Rutas permanentemente activas .................................................................... 11 Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste ............................................................................................... 12 Captulo 2 Enrutamiento 13
Vista general .................................................................................................. 14 Tablas de enrutamiento del enrutador virtual................................................. 15 Tabla de enrutamiento basada en destinos.............................................. 16 Tabla de enrutamiento basada en el origen ............................................. 18 Tabla de enrutamiento segn la interfaz de origen .................................. 20 Creacin y modificacin de enrutadores virtuales .......................................... 22 Modificacin de enrutadores virtuales ..................................................... 22 Asignacin de una ID de enrutador virtual............................................... 23 Reenvo de trfico entre enrutadores virtuales......................................... 24 Configuracin de dos enrutadores virtuales ............................................. 24 Creacin y eliminacin de enrutadores virtuales ..................................... 26 Creacin de un enrutador virtual personalizado ................................ 26 Eliminacin de un enrutador virtual personalizado ........................... 27 Enrutadores virtuales y sistemas virtuales ............................................... 27 Creacin de un enrutador virtual en un Vsys..................................... 28 Compartir rutas entre enrutadores virtuales...................................... 29
Contenido
iii
Limitacin del nmero mximo de entradas de la tabla de enrutamiento........................................................................................... 30 Ejemplos y funciones del enrutamiento ......................................................... 30 Seleccin de rutas.................................................................................... 31 Establecimiento de una preferencia de ruta ...................................... 31 Mtricas de ruta ................................................................................ 32 Cambio de la secuencia predeterminada de consulta de rutas .......... 33 Consulta de rutas en mltiples enrutadores virtuales ........................ 35 Configuracin del enrutamiento multidireccional de igual coste .............. 36 Redistribucin de rutas............................................................................ 38 Configuracin de un mapa de rutas .................................................. 39 Filtrado de rutas................................................................................ 41 Configuracin de una lista de acceso................................................. 41 Redistribucin de rutas en OSPF ....................................................... 42 Exportacin e importacin de rutas entre enrutadores virtuales.............. 43 Configuracin de una regla de exportacin ....................................... 44 Configuracin de la exportacin automtica ..................................... 45 Captulo 3 Abrir primero la ruta ms corta 47
Vista general .................................................................................................. 48 reas ....................................................................................................... 48 Clasificacin de enrutadores .................................................................... 49 Protocolo de saludo ................................................................................. 50 Tipos de redes ......................................................................................... 50 Redes de difusin.............................................................................. 50 Redes punto a punto ......................................................................... 50 Redes punto a multipunto .................................................................51 Notificaciones de estado de conexiones .................................................. 51 Configuracin bsica de OSPF ....................................................................... 51 Creacin y eliminacin de una instancia de enrutamiento OSPF ............. 53 Creacin de una instancia de OSPF................................................... 53 Eliminacin de una instancia de OSPF .............................................. 53 Creacin y eliminacin de un rea OSPF ................................................. 54 Creacin de un rea OSPF.................................................................54 Eliminacin de un rea OSPF............................................................ 55 Asignacin de interfaces a un rea OSPF................................................. 55 Asignacin de interfaces a reas ....................................................... 55 Configuracin de un rango de reas.................................................. 56 Habilitacin de OSPF en interfaces.......................................................... 56 Habilitacin de OSPF en interfaces ................................................... 56 Inhabilitar OSPF en una interfaz ....................................................... 57 Verificacin de la configuracin............................................................... 57 Redistribucin de rutas en protocolos de enrutamiento ................................. 59 Resumen de rutas redistribuidas .................................................................... 60 Resumen de rutas redistribuidas ............................................................. 60 Parmetros globales de OSPF ........................................................................ 61 Notificacin de la ruta predeterminada....................................................62 Conexiones virtuales ............................................................................... 62 Creacin de una conexin virtual ...................................................... 63 Creacin de una conexin virtual automtica.................................... 64 Ajuste de parmetros OSPF de interfaz .......................................................... 64 Configuracin de seguridad............................................................................ 67 Autenticacin de vecinos ......................................................................... 67 Configuracin de una contrasea de texto no cifrado .......................67
iv
Contenido
Contenido
Configuracin de una contrasea MD5 ............................................. 67 Configuracin de una lista de vecinos de OSPF ....................................... 68 Rechazo de rutas predeterminadas.......................................................... 69 Proteccin contra inundaciones............................................................... 69 Configuracin de un umbral de saludo.............................................. 70 Configuracin de un umbral de LSA .................................................. 70 Habilitacin de la inundacin reducida ............................................. 70 Creacin de un circuito de demanda OSPF en una interfaz de tnel .............. 71 Interfaz de tnel punto a multipunto.............................................................. 71 Establecer el tipo de conexin OSPF ....................................................... 72 Inhabilitacin de la restriccin Route-Deny ............................................. 72 Creacin de una red punto a multipunto ................................................. 73 Captulo 4 Protocolo de informacin de enrutamiento 79
Vista general .................................................................................................. 80 Configuracin bsica de RIP........................................................................... 81 Creacin y eliminacin de una instancia RIP ........................................... 82 Creacin de una instancia RIP........................................................... 82 Eliminacin de una instancia RIP ...................................................... 83 Habilitacin y deshabilitacin de RIP en interfaces.................................. 83 Habilitar RIP en una interfaz ............................................................. 83 Inhabilitacin de RIP en una interfaz ................................................ 83 Redistribucin de rutas............................................................................ 84 Visualizacin de la informacin de RIP .......................................................... 85 Visualizacin de la base de datos RIP ...................................................... 85 Visualizacin de los detalles de RIP ......................................................... 86 Visualizacin de informacin de vecino RIP ............................................ 87 Visualizacin de detalles de RIP para una interfaz especfica ................... 88 Parmetros globales de RIP............................................................................ 89 Notificacin de la ruta predeterminada .......................................................... 90 Configuracin de los parmetros de interfaz de RIP....................................... 90 Configuracin de seguridad............................................................................ 92 Autenticar vecinos al establecer una contrasea...................................... 92 Configuracin de vecinos fiables ............................................................. 93 Rechazo de rutas predeterminadas.......................................................... 94 Proteccin contra inundaciones............................................................... 94 Configuracin de un umbral de actualizacin.................................... 95 Habilitacin de RIP en interfaces de tnel ......................................... 95 Configuraciones opcionales de RIP ................................................................ 96 Configuracin de la versin de RIP .......................................................... 96 Habilitacin e inhabilitacin de un resumen de prefijos........................... 98 Habilitacin de un resumen de prefijos ............................................. 98 Inhabilitar un resumen de prefijo ...................................................... 99 Establecimiento de rutas alternas ............................................................ 99 Circuitos de demanda en interfaces de tnel .........................................101 Configuracin de un vecino esttico ......................................................102 Configuracin de una interfaz de tnel punto a multipunto..........................102 Captulo 5 Protocolo de puertas de enlace de lmite 109
Vista general ................................................................................................110 Tipos de mensajes BGP..........................................................................110 Atributos de ruta....................................................................................111 BGP externo e interno ...........................................................................112
Contenido
Configuracin bsica de BGP........................................................................112 Creacin y habilitacin de una instancia de BGP ...................................113 Creacin de una instancia BGP........................................................113 Eliminacin de una instancia de BGP ..............................................114 Habilitacin e inhabilitacin de BGP en interfaces .................................114 Habilitacin de BGP en interfaces ...................................................114 Inhabilitacin de BGP en interfaces.................................................115 Configuracin de grupos de interlocutores e interlocutores BGP ............115 Configuracin de un interlocutor BGP .............................................117 Configuracin de un grupo de interlocutores IBGP ..........................117 Comprobacin de la configuracin BGP.................................................119 Configuracin de seguridad..........................................................................120 Autenticacin de vecinos BGP ...............................................................120 Rechazo de rutas predeterminadas........................................................121 Configuraciones opcionales de BGP .............................................................122 Redistribucin de rutas en BGP .............................................................123 Configuracin de una lista de acceso AS-Path ........................................124 Agregar rutas a BGP...............................................................................125 Notificacin de ruta condicional......................................................125 Establecimiento del peso de la ruta.................................................126 Establecimiento datributos de ruta..................................................126 Capacidad de route-refresh....................................................................127 Solicitud de una actualizacin de la tabla de enrutamiento entrante ..........................................................................................128 Solicitud de una actualizacin de la tabla de enrutamiento saliente ...........................................................................................128 Configuracin de la reflexin de rutas ...................................................128 Configurar una confederacin ...............................................................131 Comunidades BGP .................................................................................133 Agregacin de rutas ...............................................................................134 Agregacin de rutas con diferentes AS-Paths...................................134 Supresin de las rutas ms especficas en actualizaciones ..............134 Seleccin de rutas para el atributo Path ..........................................136 Cambiar atributos de una ruta agregada .........................................137 Cambiar atributos de una ruta agregada .........................................137 Captulo 6 Enrutamiento basado en directivas 139
Vista general del enrutamiento basado en directivas....................................140 Listas de acceso extendidas...................................................................140 Grupos de coincidencias ........................................................................141 Grupos de acciones................................................................................141 Consulta de rutas con enrutamiento basado en directivas............................142 Configuracin del enrutamiento basado en directivas ..................................143 Configuracin de una lista de acceso extendida.....................................143 Configuracin de un grupo de coincidencias .........................................145 Configuracin de un grupo de acciones .................................................145 Configuracin de una directiva de PBR..................................................146 Enlace de una directiva de enrutamiento basado en directivas..............146 Enlace de una directiva de enrutamiento basado en directivas a una interfaz ...........................................................................................146 Enlace de una directiva de enrutamiento basado en directivas a una zona................................................................................................147 Enlace de una directiva de enrutamiento basado en directivas a un enrutador virtual .............................................................................147
vi
Contenido
Contenido
Visualizacin de la salida de enrutamiento basado en directivas..................147 Visualizacin de una lista de acceso extendida ......................................147 Visualizacin de un grupo de coincidencias ...........................................148 Visualizacin de un grupo de acciones...................................................148 Visualizacin de la configuracin de una directiva de enrutamiento basado en directivas ..............................................................................149 Visualizacin de la configuracin completa de enrutamiento basado en directivas...............................................................................................150 Ejemplo de PBR avanzado ...........................................................................150 Enrutamiento ........................................................................................152 Elementos PBR ......................................................................................153 Listas de acceso extendidas ............................................................153 Grupos de coincidencias..................................................................154 Grupos de acciones .........................................................................154 Directivas de PBR............................................................................154 Asociacin de interfaces ........................................................................155 PBR avanzado con alta disponibilidad y posibilidad de ampliacin ..............155 Solucin de resistencia en PBR ..............................................................155 Solucin con posibilidad de ampliacin en PBR.....................................156 Captulo 7 Enrutamiento multicast 157
Vista general ................................................................................................157 Direcciones multicast ............................................................................158 Reenvo por rutas inversas ....................................................................158 Enrutamiento multicast en dispositivos de seguridad...................................159 Tabla de enrutamiento multicast ...........................................................159 Configuracin de una ruta multicast esttica .........................................160 Listas de acceso .....................................................................................161 Configurar Encapsulado de enrutamiento genrico en interfaces de tnel ......................................................................................................161 Directivas multicast......................................................................................163 Captulo 8 Protocolo de administracin de grupos de Internet 165
Vista general ................................................................................................166 Hosts .....................................................................................................166 Enrutadores multicast............................................................................167 IGMP en dispositivos de seguridad ...............................................................167 Habilitacin e inhabilitacin de IGMP en interfaces ...............................167 Habilitacin de IGMP en una interfaz ..............................................168 Desactivacin de IGMP en una interfaz ...........................................168 Configuracin de una lista de accesos para grupos aceptados ...............168 Configuracin de IGMP ..........................................................................169 Verificacin de una configuracin de IGMP ...........................................171 Parmetros operativos de IGMP.............................................................172 Proxy de IGMP .............................................................................................173 Informes de miembros en sentido ascendente hacia el origen ..............174 Datos multicast en sentido descendente a los receptores ......................175 Configuracin del proxy de IGMP ..........................................................176 Configuracin de un proxy de IGMP en una interfaz..............................176 Directivas multicast para configuraciones de IGMP y proxy de IGMP ....178 Creacin de una directiva de grupo multicast para IGMP ................178 Creacin de una configuracin de proxy de IGMP...........................178 Configuracin de un proxy de remitente de IGMP .................................185
Contenido
vii
Captulo 9
191
Vista general ................................................................................................192 PIM-SM ..................................................................................................193 rboles de distribucin multicast ....................................................194 Enrutador designado.......................................................................194 Asignacin de puntos de encuentro a grupos ..................................195 Reenvo de trfico a travs del rbol de distribucin .......................195 PIM-SSM ................................................................................................197 Configuracin de PIM-SM en dispositivos de seguridad ................................198 Habilitacin y eliminacin de una instancia PIM-SM en un VR ..............199 Habilitacin de una instancia PIM-SM .............................................199 Eliminacin de una instancia PIM-SM .............................................199 Habilitacin e inhabilitacin de PIM-SM en interfaces............................200 Habilitacin de PIM-SM en una interfaz...........................................200 Desactivacin de PIM-SM en una interfaz........................................200 Directivas de grupo multicast ................................................................200 Mensajes Static-RP-BSR...................................................................201 Mensajes Join-Prune........................................................................201 Definicin de una directiva de grupo multicast para PIM-SM...........201 Ajuste de una configuracin de PIM-SM bsica.............................................202 Verificacin de la configuracin ...................................................................207 Configuracin de puntos de encuentro.........................................................209 Configuracin de un punto de encuentro esttico..................................209 Configuracin de un punto de encuentro candidato ..............................210 Consideraciones sobre seguridad .................................................................211 Restriccin de grupos multicast .............................................................211 Restriccin de orgenes multicast ..........................................................212 Restriccin de puntos de encuentro.......................................................213 Parmetros de la interfaz PIM-SM ................................................................214 Definicin de una directiva vecina.........................................................214 Definicin de un lmite bootstrap ..........................................................215 Configuracin de un punto de encuentro del proxy .....................................215 PIM-SM e IGMPv3 ........................................................................................225 Captulo 10 Protocolo de descubrimiento de enrutador de ICMP 227
Vista general ................................................................................................227 Configuracin del protocolo de descubrimiento de enrutador de ICMP ........228 Habilitacin del protocolo de descubrimiento de enrutador de ICMP.....228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde WebUI .........................................................................................228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde CLI...............................................................................................229 Notificacin de una interfaz ............................................................229 Difusin de la direccin...................................................................229 Configuracin de un intervalo mximo de notificacin ...................230 Configuracin de un intervalo mnimo de notificacin ....................230 Configuracin de un valor de duracin de la notificacin ................230 Configuracin de un retardo de respuesta.......................................230 Configuracin de un intervalo de notificacin inicial .......................231 Configuracin de un nmero de paquetes de notificacin inicial.....231
viii
Contenido
Contenido
Contenido
ix
Contenido
xi
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Ayuda > Gua de configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
xii
Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
xiii
Internet
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Conmutador
Concentrador
xiv
xv
xvi
Captulo 1
Enrutamiento esttico
Este captulo explica el enrutamiento esttico y explica cundo y cmo configurar rutas estticas. Incluye las siguientes secciones: Vista general en esta pgina Cmo funciona el enrutamiento esttico en la pgina 2 Cundo configurar rutas estticas en la pgina 3 Configuracin de rutas estticas en la pgina 4 Habilitacin del seguimiento de puertas de enlace en la pgina 9 Reenvo de trfico a la interfaz Null en la pgina 10 Impedir las consultas de rutas en otras tablas de enrutamiento en la pgina 10 Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel en la pgina 10 Evitar bucles creados por las rutas resumidas en la pgina 11 Rutas permanentemente activas en la pgina 11 Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste en la pgina 12
Vista general
Una ruta esttica es una asignacin configurada manualmente de una direccin de red IP a un destino de salto siguiente (otro enrutador) que define en un dispositivo de reenvo de capa 3, como un enrutador. En una red que tiene pocas conexiones a otras redes o en las redes cuyas interconexiones de red son relativamente estables, suele resultar ms prctico definir rutas estticas que rutas dinmicas. ScreenOS mantiene las rutas estticas hasta que se eliminan explcitamente. No obstante, cuando sea necesario se puede dar prioridad a rutas dinmicas frente a las estticas.
Puede ver rutas estticas en la tabla de enrutamiento de ScreenOS. Para forzar el equilibrio de cargas, puede configurar en enrutamiento multidireccional de igual coste (ECMP). Para utilizar nicamente puertas de enlace activas, puede establecer el seguimiento de las puertas de enlace. Debe establecer por lo menos una ruta predeterminada como una ruta predeterminada (direccin de red 0.0.0.0/0). Una ruta predeterminada es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento.
NOTA:
La ruta ms especfica se determina aplicando en primer lugar el operador lgico AND bit por bit a la direccin de destino y a la mscara de red de cada entrada existente en la tabla de enrutamiento. Por ejemplo, el AND lgico bit por bit de la direccin IP 10.1.1.1 con la mscara de subred 255.255.255.0 es 10.1.1.0. La ruta que tenga el mayor nmero de bits con el valor 1 en la mscara de subred ser la ms especfica (tambin denominada ruta con la mayor coincidencia). La Figura 2 representa una red que utiliza enrutamiento esttico y un ejemplo de paquete IP. En este ejemplo, el host 1 de la red A desea acceder al host 2 de la red C. El paquete que se enviar incluye los siguientes datos en el encabezado: Direccin IP de origen Direccin IP de destino Carga (mensaje)
Host 1
Enrutador Z
Host 2
Vista general
Red
Red A Red B Red C
Red
Red A Red B Red C
Puerta de enlace
Enrutador X Conectada Conectada
En la Tabla 1, el enrutador X tiene configurada una ruta esttica hacia la red C con la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinado al host 2 de la red C, compara la direccin de destino del paquete con el contenido de su tabla de enrutamiento y detecta que la ltima entrada corresponde a la ruta ms especfica para la direccin de destino. En la ltima entrada de ruta se especifica que el trfico destinado a la red C debe enviarse al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como sabe que la red C est conectada directamente, enva el paquete a travs de la interfaz conectada a esa red. Si el enrutador Y falla o si la conexin entre el enrutador Y y la red C deja de estar disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a travs del enrutador Z, no est configurada de forma esttica en el enrutador X, por lo que ste no detecta la ruta alternativa.
Vista general
Si est utilizando dos VR en el mismo dispositivo de seguridad y llega trfico entrante a una interfaz de untrust-vr destinado a una red conectada a una interfaz de trust-vr, deber definir una entrada esttica en la tabla de enrutamiento de untrust-vr para la red de destino, indicando trust-vr como salto siguiente. Puede evitar establecer una ruta esttica en este caso, si exporta las rutas de trust-vr a untrust-vr. Cuando el dispositivo funciona en modo transparente, es necesario definir rutas estticas que dirijan el trfico administrativo originado en el dispositivo mismo (distinto del trfico de usuario que pasa por el cortafuegos) a los destinos remotos. Por ejemplo, deber definir rutas estticas que dirijan los mensajes de syslog, SNMP y WebTrends a la direccin de un administrador remoto. Tambin deber definir rutas que dirijan las peticiones de autenticacin a los servidores RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense.
NOTA:
Cuando el dispositivo de seguridad trabaja en modo transparente, es necesario definir una ruta esttica para el trfico administrativo generado por el dispositivo incluso aunque el destino se encuentre en la misma subred que ste. Para el trfico de red privada virtual (VPN) saliente donde exista ms de una interfaz de salida hacia el destino, deber establecer una ruta para dirigir el trfico saliente al enrutador externo a travs de la interfaz deseada. Si una interfaz en una zona de seguridad de trust-vr es NAT, y si esa interfaz tiene configurada una IP asignada (MIP) o IP virtual (VIP) para recibir trfico procedente de un origen en el dominio de enrutamiento untrust-vr, deber crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de enlace. De forma predeterminada, el dispositivo de seguridad utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. En un VR, tambin puede habilitar tablas de enrutamiento basadas en orgenes o basadas en interfaces de origen. Ambas tablas de enrutamiento, las basadas en orgenes y las basadas en interfaces de origen, contienen las rutas estticas que usted configura en el VR.
Vista general
La interfaz a travs de la cual se reenva el trfico enrutado. La interfaz puede ser cualquier interfaz compatible con ScreenOS, como una interfaz fsica (por ejemplo, ethernet1/2) o una interfaz de tnel. Tambin puede especificar la interfaz Null para determinadas aplicaciones. Consulte la Reenvo de trfico a la interfaz Null en la pgina 10. Opcionalmente, puede definir los siguientes elementos: La mtrica de ruta se utiliza para seleccionar la ruta activa cuando existen varias rutas hacia la misma red de destino y todas con el mismo valor de preferencia. La mtrica predeterminada para las rutas estticas es 1. Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que contengan valores de etiqueta especificados a un VR. Valor de preferencia para la ruta. De forma predeterminada, todas las rutas estticas tienen el mismo valor de preferencia que se establece en el VR. Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvo est inactiva o se haya eliminado la direccin IP de la interfaz). Esta seccin contiene los siguientes ejemplos: Ajuste de rutas estticas en la pgina 5 Establecimiento de una ruta esttica para una interfaz de tnel en la pgina 8
NOTA:
Las siguientes zonas deben vincularse antes de que se complete este ejemplo: ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24, respectivamente. Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los siguientes destinos: untrust-vr 1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el VR) 2. Administrador remoto en la subred 3.3.3.0/24
Vista general
3. La subred 2.2.40.0/24 en DMZ 4. La subred 2.20.0.0/16 en DMZ trust-vr 5. untrust-vr para todas las direcciones no encontradas en la tabla de enrutamiento de trust-vr (ruta predeterminada para el VR) 6. La subred 10.10.0.0/16 en la zona Trust 7. La subred 10.20.0.0/16 en la zona Trust 8. La subred 10.30.1.0/24 en la zona Trust
Figura 3: Configuracin de rutas estticas
Administracin remota NetScreen-Security Manager
3.3.3.10/32
untrust-vr
Internet
1 3.3.3.0/24 2.2.10.0/24 2.2.10.0/24 2.2.40.1/24 3.3.3.1/24 2.2.2.3/24 3 2.2.40.0/24
DMZ
2.2.10.3/24 2.20.30.1/24 4 2.20.30.0/24 2.20.30.2/24 2.20.3.1/24 2.20.4.1/24 2.20.3.0/24 2.20.4.0/24
2.2.45.7/32
Ruta predeterminada
10.1.1.0/24 10.1.1.2/24 10.10.30.1/24 10.10.30.1/24 7 10.20.1.0/24 10.10.30.5/32 10.1.1.4/24 10.30.1.1/24 10.1.1.3/24 8 10.20.1.1/24 10.30.1.0/24
6 10.10.30.0/24
10.10.40.0/24
Administracin local
10.20.1.1/24 10.20.3.1/24 10.20.4.1/24 10.20.3.0/24
Servidor Websense
10.30.4.7/32
10.20.4.0/24
Zona Trust
Vista general
WebUI
1. untrust-vr
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos para crear la puerta de enlace predeterminada untrust y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.2
Network > Routing > Destination> untrust-vr New: Introduzca los siguientes datos para dirigir los informes del sistema generados por el dispositivo de seguridad a la administracin remota, luego haga clic en OK:
Network Address/Netmask: 3.3.3.0/24 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.3
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 2.2.40.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.2
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 2.20.0.0/16 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.3
2. trust-vr
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.10.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.2
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.20.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.3
Vista general
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.30.1.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.4 NOTA:
Para eliminar una entrada, haga clic en Remove. Aparecer un mensaje pidiendo confirmacin para realizar la eliminacin. Haga clic en OK para continuar o en Cancel para cancelar la accin. CLI
1. untrust-vr
vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2 vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3 vrouter untrust-vr route 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2 vrouter untrust-vr route 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
trust-vr
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2 set vrouter trust-vr route 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3 set vrouter trust-vr route 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4 save
Tnel VPN
tunnel.1 10.10.1.1/24
Enrutador 1.1.1.250
Vista general
WebUI Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.5/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 NOTA:
Para que el tunnel.1 aparezca en la lista desplegable Interface, debe crear primero la interfaz tunnel.1. Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
Vista general
CLI
set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 save
Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel
Puede utilizar las rutas estticas o dinmicas con las interfaces de tnel de salida para encriptar el trfico dirigido a destinos especficos. Si una interfaz de tnel se queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay una ruta alternativa en una interfaz que no sea de tnel, el trfico no se enva encriptado. Para impedir que el trfico que debe estar encriptado se enve a una interfaz que no sea de tnel, defina una ruta esttica al mismo destino que el trfico del tnel con la interfaz Null como interfaz de salida. Asigne a esta ruta una mtrica ms alta que la de la ruta de la interfaz de tnel de modo que la ruta solamente se active si la ruta de la interfaz de tnel no est disponible. Si la interfaz de tnel se queda inactiva, la ruta con la interfaz Null se activa y el trfico para el destino del tnel se descarta.
10
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535 save
11
12
Captulo 2
Enrutamiento
Este captulo describe la administracin del enrutamiento y del enrutador virtual (VR). Incluye las siguientes secciones: Vista general en la pgina 14 Tablas de enrutamiento del enrutador virtual en la pgina 15 Tabla de enrutamiento basada en destinos en la pgina 16 Tabla de enrutamiento basada en el origen en la pgina 18 Tabla de enrutamiento segn la interfaz de origen en la pgina 20 Creacin y modificacin de enrutadores virtuales en la pgina 22 Modificacin de enrutadores virtuales en la pgina 22 Asignacin de una ID de enrutador virtual en la pgina 23 Reenvo de trfico entre enrutadores virtuales en la pgina 24 Configuracin de dos enrutadores virtuales en la pgina 24 Creacin y eliminacin de enrutadores virtuales en la pgina 26 Enrutadores virtuales y sistemas virtuales en la pgina 27 Limitacin del nmero mximo de entradas de la tabla de enrutamiento en la pgina 30 Ejemplos y funciones del enrutamiento en la pgina 30 Seleccin de rutas en la pgina 31 Configuracin del enrutamiento multidireccional de igual coste en la pgina 36 Redistribucin de rutas en la pgina 38 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43
13
Vista general
El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que alcanzan su destino final. Un enrutador es un dispositivo que est donde una red se encuentra con otra y dirige el trfico entre esas redes. De forma predeterminada, un dispositivo de seguridad entra al modo de funcionamiento de ruta y opera como un enrutador de capa 3. Sin embargo, puede configurar un dispositivo de seguridad para que funcione en modo transparente como un conmutador de capa 2.
NOTA:
En cualquier modo de funcionamiento, tendr que configurar manualmente algunas rutas. Los dispositivos de seguridad de Juniper Networks logran enturarse a travs de un proceso llamado enrutador virtual (VR). Un dispositivo de seguridad divide sus componentes de enrutamiento en dos o ms VR y cada VR mantiene su propia lista de redes conocidas en forma de una tabla de enrutamiento, lgica de enrutamiento y zonas de seguridad relacionadas. Un solo VR puede admitir una o ms de las siguientes rutas: Rutas estticas o configuradas manualmente Rutas dinmicas, como las que se aprenden por medio de un protocolo de enrutamiento dinmico Rutas multicast, como una ruta a un grupo de mquinas host Los dispositivos de seguridad de Juniper Networks tienen dos VR predefinidos: trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad No puede eliminar los enrutadores virtuales trust-vr ni untrust-vr. Pueden existir varios VR, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*) indica que trust-vr es el VR predeterminado en la interfaz de lnea de comandos (CLI). Puede ver la tabla de VR ejecutando el comando CLI get vrouter. Para configurar zonas e interfaces en otros VR, debe especificar el VR por nombre, por ejemplo untrust-vr. Para obtener informacin sobre las zonas, consulte Zonas en la pgina 2-25. Algunos dispositivos de seguridad le permiten crear otros VR personalizados. Al separar la informacin de enrutamiento en varios VR, podr controlar cunta informacin sobre enrutamiento puede ver en otros dominios de enrutamiento. Por ejemplo, puede mantener la informacin de enrutamiento de todas las zonas de seguridad de una red corporativa en el VR predefinido trust-vr y la informacin de enrutamiento de todas las zonas fuera de la red corporativa en el otro VR predefinido untrust-vr. Puede mantener la informacin sobre enrutamiento de redes internas separada de los orgenes no fiables afuera de la empresa porque los detalles de la tabla de enrutamiento de un VR no se pueden ver en la otra.
14
Vista general
Captulo 2: Enrutamiento
NOTA:
Cuando establece una direccin IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecta automticamente una ruta hacia la subred adyacente para canalizar el trfico que pasa por la interfaz. Un VR admite tres tipos de tablas de enrutamiento: La tabla de enrutamiento basada en destinos permite al dispositivo de seguridad realizar operaciones de consulta de rutas basndose en la direccin IP de destino de un paquete de datos entrante. De forma predeterminada, el dispositivo de seguridad utiliza nicamente direcciones IP de destino para encontrar la mejor ruta por la cual reenviar paquetes. La tabla de enrutamiento basada en orgenes permite al dispositivo de seguridad realizar operaciones de consulta de rutas basndose en la direccin IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para direcciones de origen especficas en las que el dispositivo de seguridad puede realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Tabla de enrutamiento basada en el origen en la pgina 18.
15
La tabla de enrutamiento basada en orgenes permite al dispositivo de seguridad realizar las operaciones de consulta de rutas basndose en la interfaz por la cual un paquete de datos entra al dispositivo. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para determinadas interfaces en las que el VR realiza operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Tabla de enrutamiento segn la interfaz de origen en la pgina 20.
La tabla de enrutamiento contiene la siguiente informacin de cada red de destino: La interfaz del dispositivo de seguridad a travs del que se reenva el trfico a la red de destino. El siguiente salto (next-hop), que puede ser otro VR en el dispositivo de seguridad o la direccin IP de una puerta de enlace (normalmente la direccin de un enrutador). El protocolo del cual se deriva la ruta. La columna del protocolo de la tabla de enrutamiento le permite conocer el tipo de ruta: Red conectada (C) Esttica (S) Autoexportada (A)
16
Captulo 2: Enrutamiento
Importada (I) Los protocolos de enrutamiento dinmico, como RIP (R), abrir primero la ruta ms corta u OSPF (O), tipo externo 1 y 2 de OSPF (E1 o E2, respectivamente), protocolo de puerta de enlace de lmite interno o externo (iB o eB, respectivamente) Permanente (P) Host (H) Aparece una entrada host-ruta con una mscara de 32 bits cuando se configura cada interfaz con una direccin IP. La ruta host siempre est activa en la tabla de rutas para que la consulta de rutas siempre tenga xito. Las rutas host se actualizan automticamente con los cambios configurados, como eliminacin de la direccin IP de interfaz, y nunca se redistribuyen ni se exportan. Las rutas host descartan la posibilidad de que haya trfico errtico y conservan la capacidad de procesamiento. La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias rutas hacia la misma red de destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, ms posibilidades existen que esa ruta se seleccione como ruta activa. Puede modificar el valor de preferencia en cada enrutador virtual para cada protocolo u origen de ruta. Consulte Seleccin de rutas en la pgina 31 para obtener ms informacin. La mtrica tambin se puede utilizar para seleccionar la ruta a utilizar cuando existen varias rutas para la misma red de destino con el mismo valor de preferencia. El valor de mtrica de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, pero puede especificar un valor diferente cuando se definen estas rutas. El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales y sistemas virtuales en la pgina 27. En este ejemplo, no aparecen entradas bajo el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la tabla trust-vr aparecen once entradas. La mayora de las tablas de enrutamiento contienen una ruta predeterminada (con la direccin de red 0.0.0.0/0), que es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento. Para ver un ejemplo del enrutamiento basado en el destino, consulte Configuracin de rutas estticas en la pgina 4.
17
18
Captulo 2: Enrutamiento
En la Figura 5, el trfico de los usuarios de la subred 10.1.1.0/24 se reenva al ISP 1, mientras que el trfico de los usuarios de la subred 10.1.2.0/24 se reenva al ISP 2. Es necesario configurar dos entradas en la tabla de enrutamiento del VR predeterminado trust-vr y habilitar el enrutamiento segn el origen: La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvo y enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvo y enrutador del ISP 2 (2.2.2.2) como siguiente salto
Figura 5: Ejemplo de enrutamiento segn el origen
10.1.1.0/24 ethernet1
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
ISP2
2.2.2.2
WebUI Network > Routing > Source Routing > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0 255.255.255.0 Interface: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0 255.255.255.0 Interface: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 NOTA:
En la WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Based Routing, luego haga clic en OK. CLI
set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr source-routing enable save
19
20
Captulo 2: Enrutamiento
En la Figura 6, el trfico de los usuarios de la subred 10.1.1.0/24 llega al dispositivo de seguridad en la interfaz ethernet1 y se reenva al ISP 1, mientras que el trfico procedente de los usuarios de la subred 10.1.2.0/24 llega al dispositivo en ethernet2 y se reenva al ISP 2. Deber configurar dos entradas en la tabla de enrutamiento del VR predeterminado trust-vr y habilitar SIBR: La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvos y ethernet3 como interfaz de reenvo y el enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet2 como interfaz de origen y ethernet4 como interfaz de reenvo y el enrutador del ISP 2 (2.2.2.2) como siguiente salto
Figura 6: Ejemplo de enrutamiento segn la interfaz de origen (SIBR)
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
WebUI Network > Routing > Source Interface Routing > New (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0 255.255.255.0 Interface: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
Network > Routing > Source Interface Routing > New (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0 255.255.255.0 Interface: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 NOTA:
En la WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Interface Based Routing, luego haga clic en OK.
21
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr sibr-routing enable save
Puede modificar los siguientes parmetros de los VR: Identificador de enrutador virtual (consulte Limitacin del nmero mximo de entradas de la tabla de enrutamiento en la pgina 30.) Nmero mximo de entradas permitidas en la tabla de enrutamiento. El valor de preferencia para las rutas, segn el protocolo (consulte Establecimiento de una preferencia de ruta en la pgina 31.) Hacer que el VR reenve el trfico segn la direccin IP de origen del paquete de datos (de forma predeterminada, un VR reenva el trfico segn la direccin IP de destino del paquete de datos.) Consulte Tabla de enrutamiento basada en el origen en la pgina 18.) Habilitar o deshabilitar la exportacin de rutas automtica al untrust-vr para interfaces configuradas en modo de ruta (slo para el trust-vr.) Aadir una ruta predeterminada con otro VR como siguiente salto (slo para el trust-vr.) Hacer capturas SNMP privadas para las MIB de enrutamiento dinmico (slo para el VR de nivel raz.) Permitir que rutas de interfaces inactivas sean tenidas en cuenta para notificacin (de forma predeterminada, slo las rutas activas definidas en interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a otros VR.)
22
Captulo 2: Enrutamiento
Hacer que el VR ignore las direcciones de subredes superpuestas para interfaces (de forma predeterminada, no es posible configurar direcciones IP de subredes superpuestas para interfaces en el mismo VR.) Permitir que el VR sincronice su configuracin con el VR en su interlocutor del protocolo de redundancia de NetScreen (NSRP.)
NOTA:
En la WebUI debe introducir la ID del enrutador en notacin decimal de puntos. En la CLI, puede introducir la ID del enrutador en notacin decimal de puntos (0.0.0.10) o simplemente introducir 10 (la CLI la convierte en 0.0.0.10.) WebUI Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10
CLI
set vrouter trust-vr router-id 10 save
23
NOTA:
No puede asignar o cambiar una ID de enrutador si ya ha habilitado un protocolo de enrutamiento dinmico en el VR. Si necesita cambiar la ID del enrutador, debe primero deshabilitar el protocolo de enrutamiento dinmico en el VR. Para obtener informacin sobre la desactivacin del protocolo de enrutamiento dinmico en VR, consulte el captulo correspondiente en este volumen.
Captulo 2: Enrutamiento
2. Asignar la zona al VR untrust-vr. 3. Volver a asignar las interfaces a la zona. En el siguiente ejemplo, la zona de seguridad untrust est asociada de forma predeterminada al trust-vr y la interfaz ethernet3 est asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust.) Primero debe definir la direccin IP y la mscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, despus cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr. WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Null IP Address/Netmask: 0.0.0.0/0
2. Asociar la zona untrust al untrust-vr
Network > Zones (untrust) > Edit: Seleccione untrust-vr de la lista desplegable Virtual Router Name, luego haga clic en OK.
3. Asociar la interfaz a la zona untrust
Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name, luego haga clic en OK. CLI
1. Desasociar la interfaz de la zona untrust
En el resultado del siguiente ejemplo, el comando get zone muestra la interfaz, zona y enlaces VR predeterminados. En los enlaces predeterminados, la zona untrust est asociada al trust-vr.
device-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root
25
13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root -------------------------------------------------------------
Puede elegir cambiar el enlace de la zona para untrust-vr. Al ejecutar el comando get zone, se muestra la interfaz, la zona y los enlaces de VR modificados; en este caso, la zona untrust est ahora vinculada a untrust-vr.
device-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared untrust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root 13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root ---------------------------------------------------------------
NOTA:
Slo ciertos dispositivos de seguridad admiten VR personalizados. Para crear VR personalizados, necesita una clave de licencia de software.
CLI
set vrouter name trust2-vr set vrouter trust2-vr auto-route-export save
26
Captulo 2: Enrutamiento
Cuando aparezca la peticin de confirmacin para la eliminacin (vrouter unset, are you sure? y/[n]), teclee Y.
save NOTA:
No puede eliminar los VR predefinidos untrust-vr y trust-vr, pero se puede eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR definido por el usuario o cambiar la ID del VR, debe eliminar primero el VR y despus volver a crearlo con el nuevo nombre o ID del VR.
NOTA:
nicamente los sistemas de seguridad de Juniper Networks (NetScreen-500, NetScreen-5200, NetScreen-5400) admiten vsys. Para crear objetos vsys, necesita una clave de licencia de software. Puede definir uno o ms VR personalizados para un vsys. Para obtener ms informacin sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales. En la Figura 7, cada uno de los tres vsys tiene dos VR asociados con ste: un VR de nivel vsys llamado nombresistvirt-vr y el untrust-vr.
27
Ingeniera
vsys1-vr Trust-vsys1
Untrust
vsys2-vr Trust-vsys2
vsys3-vr Trust-vsys3
CLI
set vsys mi-vsys1 (mi-vsys1) set vrouter name vr-1a (mi-vsys1/vr-1a) set router-id 10.1.1.9 (mi-vsys1/vr-1a) exit (mi-vsys1) exit
28
Captulo 2: Enrutamiento
El VR de nivel vsys que se crea cuando usted crea el vsys es el VR predeterminado para un vsys. Puede cambiar el VR predeterminado de un vsys por un VR personalizado. Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en este ejemplo sea el VR predeterminado para el vsys mi-vsys1: WebUI Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Virtual Routers > Edit (para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y haga clic en Apply. CLI
set vsys mi-vsys1 (mi-vsys1) set vrouter vr-1a (mi-vsys1/vr-1a) set default-vrouter (mi-vsys1/vr-1a) exit (mi-vsys1) exit
La zona de seguridad predefinida Trust-nombresistvirt est asociada de forma predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, puede asociar la zona de seguridad predefinida Trust-nombresistvirt y cualquier zona de seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el vsys. El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VR de nivel vsys no se pueden compartir, puede definir cualquier VR de nivel raz para ser compartido por el vsys. Esto le permite definir rutas en un VR de nivel vsys que utilizan un VR de nivel raz como siguiente salto. Puede tambin configurar la redistribucin de rutas entre un VR de nivel vsys y un VR de nivel raz compartido.
Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Routing Entries > New (para mi-vsys1-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 40.0.0.0 255.0.0.0 Next Hop Virtual Router Name: (seleccione) mi-enrutador
29
CLI
set vrouter name mi-enrutador sharable set vsys mi-vsys1 (mi-vsys1) set vrouter mi-vsys1-vr route 40.0.0.0/8 vrouter mi-enrutador (mi-vsys1) exit
NOTA:
Consulte la hoja de datos del producto pertinente para determinar el nmero mximo de entradas de la tabla de enrutamiento disponible en su dispositivo de seguridad de Juniper Networks. En este ejemplo, ajustar a 20 el nmero mximo de entradas de la tabla de enrutamiento para el trust-vr. WebUI Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Maximum Route Entry: Set limit at: (seleccione), 20
CLI
set vrouter trust-vr max-routes 20 save
30
Captulo 2: Enrutamiento
Redistribucin de rutas en la pgina 38 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43
Seleccin de rutas
Pueden existir varias rutas con el mismo prefijo (direccin IP y mscara) en la tabla de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona la que tiene el valor de preferencia ms bajo. Si los valores de preferencia son iguales, se comparan los valores de mtrica. En ese caso, se selecciona la ruta que tiene el valor de mtrica ms bajo.
NOTA:
Si hay varias rutas para el mismo destino con los mismos valores de preferencia y los mismos valores de mtrica, entonces cualquiera de ellas puede resultar seleccionada. En este caso, la eleccin de una ruta concreta sobre otra no est garantizada ni es predecible.
Protocolo
Conectado Esttico Autoexportado EBGP OSPF RIP Importado OSPF externo de tipo 2 IBGP
Tambin puede ajustar el valor de preferencia de la ruta para dirigir el trfico por el camino preferido.
31
En este ejemplo, especifica un valor de 4 como preferencia para cualquier ruta conectada aadida a la tabla de rutas del untrust-vr.
NOTA:
Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando y a continuacin habilitando el protocolo de enrutamiento dinmico), o, en el caso de rutas estticas, eliminndola y volvindola a aadir. Si cambia la preferencia de ruta no afectar a las rutas existentes. Para aplicar cambios a las rutas existentes, debe borrar las rutas y luego volver a agregarlas. Para las rutas dinmicas, debe deshabilitar el protocolo, luego volver a habilitarlo o reiniciar el dispositivo. Una ruta es conectada cuando el enrutador tiene una interfaz con una direccin IP en la red de destino. WebUI Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los siguientes datos y haga clic en OK:
Route Preference: Connected: 4
CLI
set vrouter untrust-vr preference connected 4 save
Mtricas de ruta
Las mtricas de ruta determinan el mejor camino que un paquete puede tomar para alcanzar un destino dado. Los enrutadores utilizan las mtricas de ruta para sopesar dos rutas al mismo destino y determinar la eleccin de una ruta sobre la otra. Cuando hay varias rutas hacia la misma red de destino con el mismo valor de preferencia, prevalece la ruta con la mtrica ms baja. Una mtrica de ruta se puede basar en cualquier elemento o bien en una combinacin de stos: Nmero de enrutadores que un paquete debe atravesar para alcanzar un destino Velocidad y ancho de banda relativas de la ruta Costo de los vnculos que conforman la ruta Otros factores Cuando las rutas son reconocidas dinmicamente, el enrutador contiguo al de origen de la ruta proporciona la mtrica. La mtrica predeterminada para rutas conectadas siempre es 0. La mtrica predeterminada para rutas estticas es 1.
32
Captulo 2: Enrutamiento
SIBR habilitado
No
No
SBR habilitado
No
No
1. Si el enrutamiento basado en la interfaz de origen se habilita en el VR, el dispositivo de seguridad primero comprueba la tabla de enrutamiento basada en la interfaz de origen para ver si existe una entrada de ruta que coincida con la interfaz en la que lleg el paquete. Si el dispositivo de seguridad encuentra una entrada de ruta para la interfaz de origen en la tabla de enrutamiento basada en la interfaz de origen, reenva los paquetes segn lo especificado por la entrada de enrutamiento correspondiente. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la interfaz de origen en la tabla de enrutamiento basada en la interfaz de origen, el dispositivo comprueba si el enrutamiento basado en el origen est habilitado en el VR.
33
2. Si el enrutamiento basado en el origen se habilita en el VR, el dispositivo de seguridad comprueba la tabla de enrutamiento basada en el origen para ver si existe una entrada de ruta que coincida con la direccin IP de origen del paquete. Si el dispositivo de seguridad encuentra una entrada de enrutamiento que coincida con la direccin IP de origen, reenva el paquete segn lo especificado por la entrada. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento basada en el origen, el dispositivo comprueba la tabla de enrutamiento basada en los destinos. 3. El dispositivo de seguridad comprueba la tabla de enrutamiento basada en los destinos en consulta de una entrada de enrutamiento que coincida con la direccin IP de destino del paquete. Si el dispositivo de seguridad encuentra una entrada de enrutamiento que coincida con la direccin IP de destino, reenva el paquete segn lo especificado por la entrada. Si el dispositivo no encuentra una entrada de enrutamiento que coincida exactamente con la direccin IP de destino pero hay una ruta predeterminada configurada para el VR, el dispositivo reenva el paquete segn lo especificado por la ruta predeterminada. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la direccin IP de destino y no hay ruta predeterminada configurada para el VR, el paquete se descarta. El orden en el que el dispositivo de seguridad comprueba las tablas de enrutamiento para encontrar una ruta que coincida est determinado por un valor de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento con el valor de preferencia ms alto se comprueba primero mientras que la tabla de enrutamiento con el valor de preferencia ms bajo es la ltima en comprobarse. De forma predeterminada, la tabla de enrutamiento basada en la interfaz de origen tiene el valor de preferencia ms alto (3), la tabla de enrutamiento basada en el origen tiene el siguiente valor de preferencia ms alto (2) y la tabla de enrutamiento basada en los destinos tiene el valor de preferencia ms bajo (1). Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para modificar el orden en el que el dispositivo de seguridad realiza la consulta de rutas en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del valor de preferencia ms alto al ms bajo. En el ejemplo siguiente, habilitar tanto el enrutamiento SIBR como el enrutamiento basado en el origen en el enrutador trust-vr. Desea que el dispositivo de seguridad lleve a cabo operaciones de consulta de rutas en las tablas de enrutamiento con el siguiente orden: Enrutamiento basado en el origen primero, SIBR, y luego enrutamiento basado en destinos Para configurar esta secuencia de consulta en la tabla de enrutamiento, debe configurar el enrutamiento basado en el origen con un valor de preferencia ms alto que el de SIBR en este ejemplo, asignar un valor de preferencia de 4 al enrutamiento basado en el origen. WebUI Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Route Lookup Preference (1-255): (seleccione) For Source Based Routing: 4 Enable Source Based Routing: (seleccione) Enable Source Interface Based Routing: (seleccione)
34
Captulo 2: Enrutamiento
CLI
set vrouter trust-vr sibr-routing enable set vrouter trust-vr source-routing enable set vrouter trust-vr route-lookup preference source-routing 4 save
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
ethernet4
ISP2 2.2.2.2
35
El trfico desde la subred 10.1.2.0/24 llega en el dispositivo de seguridad en ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que coincida, el dispositivo de seguridad realiza consultas de rutas en la tabla de enrutamiento basada en destinos. La ruta predeterminada en la tabla de enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente. A continuacin, el dispositivo de seguridad no comprueba la tabla de enrutamiento basada en el origen del untrust-vr para que busque la siguiente entrada:
* ID 1 IP-Prefix 10.1.2.0/24 Interface eth4 Gateway 2.2.2.250 P Pref S 20 Mtr 1 Vsys Root
En su lugar, el dispositivo de seguridad comprueba la tabla de enrutamiento con base en destinos y busca la siguiente entrada:
* ID 1 IP-Prefix 0.0.0.0/24 Interface eth3 Gateway 1.1.1.150 P Pref S 20 Mtr 0 Vsys Root
En el untrust-vr, el dispositivo de seguridad slo realiza consultas de rutas en la tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento basada en origen del untrust-vr contiene una entrada que coincida con el trfico. La ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta predeterminada) reenva el trfico en la interfaz ethernet3.
NOTA:
Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta va a una zona diferente a la prevista, no se podr producir una coincidencia de sesiones y es posible que el trfico no pueda pasar.
36
Captulo 2: Enrutamiento
NOTA:
Cuando el ECMP se habilita y las interfaces salientes son diferentes y estn en el modo NAT, las aplicaciones (como HTTP) que crean sesiones mltiples no funcionarn correctamente. Las aplicaciones (como telnet o SSH) que crean una sesin, deberan funcionar correctamente. ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o aumenta la eficacia de utilizacin del ancho de banda entre dos o ms destinos. Cuando el ECMP est habilitado, los dispositivos de seguridad utilizan las rutas definidas estticamente o memorizan dinmicamente varias rutas al mismo destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna rutas de igual coste en el modo de ronda recproca (round robin). Sin ECMP, el dispositivo de seguridad utiliza nicamente la primera ruta aprendida o definida. Las otras rutas que sean de igual coste no se utilizan hasta que la ruta activa deje de estarlo.
NOTA:
Al usar ECMP, si tiene dos dispositivos de seguridad en una relacin de vecindad y observa la prdida de un paquete y un equilibrio de cargas incorrecto, compruebe la configuracin del protocolo de resolucin de direcciones (ARP) del dispositivo vecino para asegurarse de que la funcin arp always-on-dest est deshabilitada (predeterminado). Para obtener ms informacin acerca de los comandos relacionados con ARP, consulte Interfaces fuera de lnea y flujo de trfico en la pgina 2-73. Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de enrutamiento basad en destinos trust-vr:
ID * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 20 Mtr 1 1 Vsys Root Root
En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP. Las dos rutas tienen los mismos valores mtricos; sin embargo, la primera ruta es una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad adquiri la primera ruta a travs de DHCP o de PPP y el dispositivo adquiri la ruta predeterminada a travs de la configuracin manual. La segunda ruta es una ruta esttica configurada manualmente (S con una preferencia automtica de 20). Con ECMP deshabilitado, el dispositivo de seguridad reenva todo el trfico a la ruta conectada en ethernet3.
37
Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de la ruta esttica a cero (0) para que coincida con la ruta conectada introduciendo el comando set vrouter trust-vr preference static 0 y luego habilitando ECMP. Con ECMP habilitado, la carga del dispositivo de seguridad equilibra el trfico alternando entre dos rutas ECMP vlidas. La siguiente pantalla muestra la tabla de enrutamiento actualizada.
ID * * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 0 Mtr 1 1 Vsys Root Root
Si habilita ECMP y el dispositivo de seguridad encuentra ms de una ruta coincidente del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta diferente de igual coste para cada consulta de ruta. Con las rutas indicadas anteriormente, el dispositivo de seguridad alterna entre ethernet3 y ethernet2 para reenviar el trfico a la red 0.0.0.0/0. Si hay ms de dos rutas de igual coste en la red, el dispositivo de seguridad realiza una seleccin de las rutas en orden rotativo (ronda recproca) hasta el mximo configurado de modo que el dispositivo seleccione una ruta ECMP diferente para cada consulta de ruta. ECMP est inhabilitado de forma predeterminada (el nmero mximo de rutas es 1). Para habilitar el enrutamiento ECMP, debe especificar el nmero mximo de rutas de igual coste por enrutador. Puede especificar hasta cuatro rutas. Una vez que establezca el nmero mximo de rutas, el dispositivo de seguridad no aadir o modificar rutas aunque reconozca ms. En el siguiente ejemplo, establecer el nmero mximo de rutas ECMP en el trust-vr en 2. Aunque puede haber 3 4 rutas de igual coste dentro de la misma zona y en la tabla de enrutamiento, el dispositivo de seguridad nicamente alterna entre el nmero configurado de rutas elegibles. En este caso, los datos slo se redireccionan a lo largo de las 2 rutas ECMP especificadas. WebUI Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Maximum ECMP Routes: Set Limit at: (seleccione), 2
CLI
set vrouter trust-vr max-ecmp-routes 2 save
Redistribucin de rutas
La tabla de enrutamiento de un VR contiene rutas agrupadas segn todos los protocolos de enrutamiento dinmico que se ejecutan en el VR, as como las rutas estticas y las rutas conectadas directamente. De forma predeterminada, un protocolo de enrutamiento dinmico (como OSPF, RIP o BGP) notifica a sus adyacentes o interlocutores slo las rutas que cumplen las siguientes condiciones: Las rutas deben estar activas en la tabla de enrutamiento.
38
Ejemplos y funciones del enrutamiento
Captulo 2: Enrutamiento
NOTA:
OSPF, RIP, y BGP tambin notifican las rutas conectadas de las interfaces de ScreenOS en las que estos protocolos estn habilitados. Para que un protocolo de enrutamiento dinmico pueda notificar rutas previamente reconocidas por otro protocolo, incluidas la rutas configuradas estticamente, es necesario redistribuir las rutas del protocolo origen al protocolo que realiza la notificacin. Puede redistribuir las rutas reconocidas por un protocolo de enrutamiento (incluidas la rutas configuradas estticamente) a otro protocolo de enrutamiento diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual tiene que traducir toda la informacin, en particular las rutas conocidas, del otro protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza OSPF y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus vecinos OSPF sobre cmo llegar a los dispositivos del dominio BGP. Las rutas se distribuyen entre los protocolos segn una regla de redistribucin que define el administrador del sistema o de la red. Cuando se aade una ruta a la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de enrutamiento del VR. Observe que todas las reglas de redistribucin se aplican cuando se aade o se elimina una ruta. No existe el concepto de orden de las reglas o de primera regla aplicable para las reglas de redistribucin.
NOTA:
Slo puede definir una regla de redistribucin entre dos protocolos cualesquiera. En el dispositivo de seguridad, se configura un mapa de rutas para especificar qu rutas van a ser redistribuidas y los atributos de las rutas redistribuidas.
39
Descripcin
Compara con una lista de acceso AS path determinada. Consulte Filtrado de rutas en la pgina 41. Compara con una lista de comunidades determinada. Consulte Filtrado de rutas en la pgina 41. Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2. Compara con una interfaz determinada. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 41. Compara con un valor de mtrica de ruta determinado. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 41. Compara con una direccin IP o etiqueta de ruta determinada.
Para cada condicin de comparacin, especifica si una ruta que cumple la condicin es aceptada (permit) o rechazada (deny). Si una ruta cumple la condicin y es aceptada, puede opcionalmente dar valor a los atributos para la ruta. La Tabla 4 detalla los atributos del mapa de rutas y las descripciones de cada uno.
Tabla 4: Atributos del mapa de rutas Atributos establecidos
BGP AS Path BGP Community BGP local preference BGP weight Offset metric
Descripcin
Aade una lista de acceso AS path determinada al principio de la lista de atributos de camino de la ruta coincidente. Establece el atributo de comunidad de la ruta coincidente a la lista de comunidades especificada. Establece el atributo local-pref de la ruta coincidente al valor especificado. Establece el peso de la ruta coincidente. Aumenta la mtrica de la ruta coincidente hasta el valor especificado. Esto aumenta la mtrica en una ruta menos deseable. Para las rutas RIP, puede aplicar el incremento tanto a las rutas notificadas (route-map out) o a las rutas reconocidas (route-map in). Para otras rutas, puede aplicar el incremento a las rutas que se exportan a otro VR. Establece el tipo de mtrica OSPF de la ruta coincidente a externo tipo 1 o externo tipo 2. Establece la mtrica de la ruta coincidente al valor especificado. Establece el siguiente salto de la ruta coincidente a la direccin IP especificada. Preserva la mtrica de una ruta coincidente que se exporta a otro VR. Conserva el valor de preferencia de la ruta coincidente que se exporta a otro VR. Establece la etiqueta de la ruta coincidente al valor especificado o la direccin IP.
OSPF metric type Metric Next-hop of route Preserve metric Preserve preference Tag
40
Captulo 2: Enrutamiento
Filtrado de rutas
El filtrado de rutas le permite controlar qu rutas se admiten en un VR, cules se notifican a los interlocutores y cules se redistribuyen de un protocolo de enrutamiento a otro. Puede aplicar filtros a las rutas entrantes enviadas por un interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a los enrutadores de interlocucin. Puede utilizar los siguientes mecanismos de filtrado: Lista de acceso: Consulte Configuracin de una lista de acceso para obtener informacin sobre la configuracin de la lista de acceso. Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas autnomos por los que ha pasado una notificacin de ruta y es parte de la informacin de ruta. Una lista de acceso AS-path es un conjunto de expresiones regulares que representan AS especficos. Puede utilizar una lista de acceso AS-path para filtrar las rutas segn el AS por el que ha pasado la ruta. Consulte Configuracin de una lista de acceso AS-Path en la pgina 124 para obtener informacin sobre la configuracin de una lista de acceso AS-path. Lista de comunidades BGP: Un atributo de comunidad contiene los identificadores de las comunidades a las que pertenece una ruta BGP. Una lista de comunidades BGP es un conjunto de comunidades BGP que puede utilizar para filtrar las rutas segn las comunidades a las que pertenecen. Consulte Comunidades BGP en la pgina 133 para obtener informacin sobre la configuracin de la lista de comunidades BGP.
41
IP Address/Netmask Filtering: 1.1.1.1/24 Sequence Number: 10 (sita esta declaracin con respecto a otras en la lista de acceso) WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10 save
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
AS Path Access List ID: 1 Permit: (seleccione) AS Path String: _65000_
2. Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Map Name: mapa_rutas1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: AS Path: (seleccione), 1
42
Captulo 2: Enrutamiento
3.
Regla de redistribucin
Network > Routing > Virtual Router > Edit (para el trust-vr) > Edit OSPF Instance > Redistributable Rules: Seleccione los siguientes datos y haga clic en Add:
Route Map: mapa_rutas1 Protocol: BGP
CLI
1. Lista de acceso BGP AS-path
set vrouter trust-vr device(trust-vr)-> set route-map name mapa_rutas1 permit 10 device(trust-vr/mapa_rutas1-10)-> set match as-path 1 device(trust-vr/mapa_rutas1-10)-> exit device(trust-vr)-> exit
3. Regla de redistribucin
set vrouter trust-vr protocol ospf redistribute route-map mapa_rutas1 protocol bgp save
43
La configuracin de una regla de exportacin o importacin es similar a la de una regla de redistribucin. Los mapas de rutas se configuran para especificar qu rutas van a ser exportadas/importadas y los atributos de las mismas. Puede configurar la exportacin automtica de todas las entradas de la tabla de rutas del trust-vr al untrust-vr. Puede configurar tambin que un enrutador virtual definido por el usuario exporte automticamente rutas a otro enrutador virtual. Las rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden ser exportadas.
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
2. Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Map Name: mapa_rutas1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 2
3. Regla de exportacin
Network > Routing > Virtual Routers > Export Rules > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Destination Virtual Router: untrust-vr Route Map: mapa_rutas1 Protocol: OSPF
CLI
trust-vr 1. Lista de accesos
44
Captulo 2: Enrutamiento
2.
Mapa de rutas
device(trust-vr)-> set route-map name mapa_rutas1 permit 10 device(trust-vr/mapa_rutas1-10)-> set match ip 2 device(trust-vr/mapa_rutas1-10)-> exit
3. Regla de exportacin
device(trust-vr)-> set export-to vrouter untrust-vr route-map mapa_rutas1 protocol ospf device(trust-vr)-> exit save
al poner a la vista todas las rutas fiables en la red no fiable. Si define reglas de importacin para el untrust-vr, slo se importan las rutas que cumplan las reglas de importacin. En este ejemplo, el trust-vr exporta automticamente todas las rutas al untrust-vr, pero una regla de importacin del untrust-vr permite que se exporten slo las rutas de OSPF interno. WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto Export Route to Untrust-VR, luego haga clic en OK.
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: from-ospf-trust Sequence No.: 10 Action: Permit (seleccione) Route Type: internal-ospf (seleccione)
CLI
trust-vr
set vrouter untrust-vr device(untrust-vr)-> set route-map name from-ospf-trust permit 10 device(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf device(untrust-vr/from-ospf-trust-10)-> exit device(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol ospf device(untrust-vr)-> exit save
45
46
Captulo 3
47
Configuracin de seguridad en la pgina 67 Autenticacin de vecinos en la pgina 67 Configuracin de una lista de vecinos de OSPF en la pgina 68 Rechazo de rutas predeterminadas en la pgina 69 Proteccin contra inundaciones en la pgina 69 Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71 Interfaz de tnel punto a multipunto en la pgina 71 Establecer el tipo de conexin OSPF en la pgina 72 Inhabilitacin de la restriccin Route-Deny en la pgina 72 Creacin de una red punto a multipunto en la pgina 73
Vista general
El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta ms corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para ejecutarse dentro de un nico sistema autnomo. Un enrutador que ejecute OSPF distribuye su informacin de estado (como interfaces disponibles para el uso y accesibilidad por parte de equipos vecinos) inundando peridicamente el sistema autnomo con notificaciones de estado de conexiones (LSA, link-state advertisements). Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizar una base de datos de estado de conexiones. Esta base de datos es una tabla que informa de la topologa y el estado de las redes de un rea. La distribucin constante de las LSA a travs del dominio de enrutamiento permite a todos los enrutadores de un sistema autnomo disponer de bases de datos de estado de conexiones idnticas. El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cul es la mejor ruta a una red cualquiera dentro del sistema autnomo. Esto se consigue generando un rbol de ruta ms corta, que es una representacin grfica de la ruta ms corta a una determinada red dentro del sistema autnomo. Aunque todos los enrutadores tienen la misma base de datos de estado de conexiones, sus rboles de ruta ms corta son exclusivos, ya que los enrutadores generan estos rboles situndose a s mismos en su raz.
reas
De forma predeterminada, todos los enrutadores se agrupan en una nica rea troncal llamada area 0 o backbone (normalmente es el rea 0.0.0.0). Sin embargo, las redes de gran tamao que se encuentran dispersas geogrficamente se suelen segmentar en mltiples reas. A medida que la red se ampla, las bases de datos de estado de conexin tambin crecen y se dividen en grupos ms pequeos para mejorar su posibilidad de ampliacin.
48
Vista general
Las reas reducen el volumen de informacin de enrutamiento que pasa a travs de la red, ya que cada enrutador slo tiene que actualizar la base de datos de estado del rea a la que pertenece. No necesita actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Un enrutador conectado a mltiples reas mantiene una base de estado de conexiones por cada rea a la que est conectado. Las reas deben estar conectadas directamente al rea 0, excepto cuando crean una conexin virtual. Para obtener ms informacin sobre conexiones virtuales, consulte la pgina 62. Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS y se inundan en todo un AS. Ciertas reas OSPF se pueden configurar como reas de rutas internas (stub areas); de este modo, las notificaciones externas de sistemas autnomos no inundarn estas reas. En OSPF se utilizan normalmente dos tipos de reas habituales: rea de ruta interna: rea que recibe resmenes de ruta del rea troncal pero que no recibe notificaciones de estado de conexiones de otras reas acerca de enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo). Un rea de ruta interna se puede considerar un rea exclusiva de rutas internas (totally stubby) si en ella no se admiten rutas de resumen. rea NSSA: al igual que las reas de rutas internas normales, las NSSA (Not So Stubby Area, reas no exclusivas de rutas internas) no pueden recibir enrutadores de protocolos distintos de OSPF fuera del rea actual. Sin embargo, los enrutadores externos conocidos dentro del rea tambin se pueden reconocer en otras reas, y as pasar a ellas.
Clasificacin de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su funcin o su posicin en la red: Enrutador interno: enrutador cuyas interfaces pertenecen a la misma rea. Enrutador de rea troncal: enrutador con una interfaz en el rea troncal. Enrutador de lmite de rea: enrutador conectado a dos o ms reas. Este tipo de enrutador resume las rutas desde distintas reas para su distribucin al rea troncal. En los dispositivos de seguridad con OSPF, el rea troncal se crea de forma predeterminada. Si se crea una segunda rea en un enrutador virtual, el dispositivo funcionar como enrutador de lmite de rea. Enrutador de lmite de sistema autnomo: cuando un rea OSPF limita con otro sistema autnomo, el enrutador situado entre los dos sistemas autnomos se considera el enrutador de lmite. Estos enrutadores se encargan de distribuir la informacin de enrutamiento de los sistemas autnomos externos por su sistema autnomo.
Vista general
49
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores utilizan el protocolo de saludo para establecer y mantener estas relaciones de vecindad. Cuando dos enrutadores establecen comunicacin bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no establecen una relacin de adyacencia, no podrn intercambiar informacin de enrutamiento. Cuando hay mltiples enrutadores en una red, es necesario configurar un enrutador como enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es responsable de inundar la red con LSA que contengan una lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador designado es el nico que puede formar adyacencias con otros enrutadores de la red. As, el enrutador designado es el nico de la red que puede proporcionar informacin de enrutamiento al resto de enrutadores. El enrutador designado de respaldo sustituye al enrutador designado en caso de que ste falle.
Tipos de redes
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF: Redes de difusin Redes punto a punto Redes punto a multipunto
Redes de difusin
Una red de difusin (broadcast) es una red que interconecta varios enrutadores y que puede enviar (o difundir) un nico mensaje fsico a todos los enrutadores conectados. Se parte de la base de que dos enrutadores cualesquiera en una red de difusin son capaces de comunicarse entre s. Ethernet es un ejemplo de red de difusin. En las redes de difusin, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multidifusin 224.0.0.5. En las redes de difusin, el protocolo de saludo decide cul ser el enrutador designado y el enrutador designado de respaldo para la red. Una red que no sea de difusin conecta varios enrutadores entre s pero no puede difundir mensajes a los enrutadores conectados. En las redes que no son de difusin, los paquetes del protocolo OSPF (que normalmente son multidifusin) se tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de seguridad Juniper Networks no admiten OSPF en redes que no sean de difusin.
50
Vista general
NOTA:
En dispositivos de seguridad, la configuracin punto a multipunto del OSPF solamente se admite en interfaces de tnel y se debe inhabilitar route-deny para que la red funcione correctamente. No se puede configurar una interfaz fsica Ethernet para conexiones punto a multipunto. Para obtener ms informacin, consulte Interfaz de tnel punto a multipunto en la pgina 71.
Sistema autnomo
Rutas a redes en otro sistema autnomo. A menudo, se trata de la ruta predeterminada (0.0.0.0/0).
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2,Enrutamiento.
51
En esta seccin se describen los pasos bsicos para configurar OSPF en un enrutador virtual ubicado en un dispositivo de seguridad: 1. Crear y habilitar la instancia de enrutamiento OSPF en un enrutador virtual. En este paso tambin se crea automticamente un rea troncal de OSPF, con una ID de rea de 0.0.0.0, que no se podr eliminar. 2. (Opcional) A menos que todas las interfaces OSPF se conecten al rea troncal, tendr que configurar una nueva rea OSPF con su propia ID de rea. Por ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de lmite de rea, tendr que crear otra rea OSPF adems del rea troncal. La nueva rea que se cree podr ser normal, de rutas internas o no exclusiva de rutas internas. 3. Asignar una o varias interfaces a cada rea OSPF. Las interfaces se deben agregar a un rea OSPF explcitamente, incluyendo el rea troncal. 4. Habilitar OSPF en cada interfaz. 5. Comprobar que el protocolo OSPF est configurado correctamente y funciona. En este ejemplo configuraremos el dispositivo de seguridad como enrutador de lmite de rea conectndolo al rea 0 a travs de la interfaz ethernet3 y al rea 10 a travs de ethernet1. Consulte la Figura 10.
Figura 10: Ejemplo de configuracin de OSPF
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.0/24 rea 10
10.1.2.0/24
Internet
rea 0
Opcionalmente tambin es posible configurar otros parmetros de OSPF, como: Parmetros globales, como conexiones virtuales, que se configuran en el enrutador virtual para el protocolo OSPF (consulte Parmetros globales de OSPF en la pgina 61). Parmetros de interfaz, como la autenticacin, que se configuran en la interfaz para el protocolo OSPF (consulte Ajuste de parmetros OSPF de interfaz en la pgina 64). Parmetros OSPF relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 67).
52
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) En el cuadro de texto, introduzca 0.0.0.10
2. Instancia de enrutamiento OSPF
Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance: Seleccione OSPF Enabled, luego haga clic en OK. CLI
1. ID de enrutador
set vrouter trust-vr protocol ospf set vrouter trust-vr protocol ospf enable save NOTA:
En la lnea de comandos CLI, tendr que crear la instancia de enrutamiento OSPF antes de poder habilitarla. Por lo tanto, tendr que ejecutar dos comandos CLI para habilitar una instancia de enrutamiento OSPF.
53
CLI
unset vrouter trust-vr protocol ospf deleting OSPF instance, are you sure? y/[n] save NOTA:
Parmetro de rea
Metric for default route
Descripcin
(Slo reas NSSA y de rutas internas.) Especifica la mtrica para la notificacin de ruta predeterminada
Metric type for the default (Slo rea NSSA.) Especifica el tipo de mtrica route externa (1 2) para la ruta predeterminada No summary (Slo reas NSSA y de rutas internas.) Especifica que las LSA de resumen no se difundirn por el rea (Todas las reas.) Especifica un rango de direcciones IP que se notificarn en las LSA de resumen, y si stas se notificarn o no
Range
54
CLI
set vrouter trust-vr protocol ospf area 10 save
55
Introduzca los siguientes datos en la seccin Area Range y haga clic en Add:
IP/Netmask: 10.1.2.0/24 Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise save
NOTA:
Si se desactiva la instancia de enrutamiento OSPF en el enrutador virtual (consulte Eliminacin de una instancia de OSPF en la pgina 53), OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
56
WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF, luego haga clic en Apply. Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable Protocol OSPF, luego haga clic en Apply. CLI
set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf enable save
Si se desactiva la instancia de enrutamiento OSPF en el enrutador virtual, OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado (consulte Eliminacin de una instancia de OSPF en la pgina 53).
Verificacin de la configuracin
Puede ver la configuracin introducida para trust-vr ejecutando el siguiente comando CLI:
device-> get vrouter trust-vr protocol ospf config VR: trust-vr RouterId: 10.1.1.250 ---------------------------------set protocol ospf set enable set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise set interface ethernet1 protocol ospf area 0.0.0.10 set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf area 0.0.0.0 set interface ethernet3 protocol ospf enable
57
Puede verificar si OSPF se est ejecutando en el enrutador virtual con el comando get vrouter trust-vr protocol ospf.
device-> get vrouter trust-vr protocol ospf VR: trust-vr RouterId: 10.1.1.250 ---------------------------------OSPF enabled Supports only single TOS(TOS0) route Enrutador interno Automatic vlink creation is disabled Numbers of areas is 2 Number of external LSA(s) is 0 SPF Suspend Count is 10 nodes Hold time between SPFs is 3 second(s) Advertising default-route lsa is off Default-route discovered by ospf will be added to the routing table RFC 1583 compatibility is disabled. Hello packet flooding protection is not enabled LSA flooding protection is not enabled Area 0.0.0.0 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 1 Area 0.0.0.10 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 0
Las zonas resaltadas muestran que OSPF se est ejecutando y verifican las zonas OSPF activas y las interfaces activas en cada zona OSPF.
NOTA:
Es recomendable asignar una ID de enrutador de forma explcita, en lugar de utilizar el valor predeterminado. Para obtener ms informacin sobre cmo configurar una ID de enrutador, consulte Enrutamiento en la pgina 13. Puede verificar si OSPF est habilitado en las interfaces y ver el estado de las interfaces con el comando get vrouter trust-vr protocol ospf interface.
device-> get vrouter trust-vr protocol ospf interface VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Interface IpAddr NetMask AreaId Status State -------------------------------------------------------------------------------ethernet3 2.2.2.2 255.255.255.0 0.0.0.0 enabled Designated Router ethernet1 10.1.1.1 255.255.255.0 0.0.0.10 enabled Up
Puede configurar la prioridad del enrutador virtual que desee seleccionar: el enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el ejemplo anterior, la columna de estado (State) indica la prioridad del enrutador virtual.
58
Puede verificar si la instancia de enrutamiento OSPF en el dispositivo de seguridad ha establecido adyacencias con los vecinos OSPF ejecutando el comando get vrouter trust-vr protocol ospf neighbor.
device-> get vrouter trust-vr protocol ospf neighbor VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Neighbor(s) on interface ethernet3 (Area 0.0.0.0) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------2.2.2.2 2.2.2.250 1 Full E Neighbor(s) on interface ethernet1 (Area 0.0.0.10) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------10.1.1.1 10.1.1.252 1 Full E
En la columna State del ejemplo anterior, Full indica adyacencias OSPF completas con vecinos.
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp save
59
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Summary Import: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 2.1.1.0/24
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 save
60
Descripcin
Especifica que una ruta predeterminada activa (0.0.0.0/0) en la tabla de rutas del enrutador virtual se notifica en todas las reas OSPF. Tambin es posible especificar el valor de mtrica o si la mtrica original de la ruta se preservar, as como el tipo de mtrica (ASE tipo 1 o tipo 2). Tambin se puede especificar que la ruta predeterminada siempre se notifique.
Valor predeterminado
La ruta predeterminada no se notifica.
Reject default route Especifica que cualquier ruta predeterminada reconocida en OSPF no se agregar a la tabla de rutas.
Automatic virtual link Maximum hello packets Maximum LSA packets RFC 1583 compatibility Enrutamiento multidireccional de igual coste (ECMP)
Especifica que el VR crear una conexin virtual Desactivado. automticamente si no puede acceder al rea troncal de OSPF. Especifica el nmero mximo de paquetes de saludo 10. OSPF que el VR puede recibir en un intervalo de saludo. Especifica el nmero mximo de paquetes LSA de No hay valor OSPF que el VR puede recibir dentro del intervalo en predeterminado. segundos especificado. Especifica que la instancia de enrutamiento OSPF es compatible con la norma RFC 1583, una versin anterior de OSPF. OSPF versin 2, tal y como se define en RFC 2328.
Especifica el nmero mximo de rutas (1-4) a utilizar Disabled (1). para equilibrar cargas con los destinos que tengan mltiples rutas de igual coste. Consulte la Configuracin del enrutamiento multidireccional de igual coste en la pgina 36. Configura el rea OSPF y la ID de enrutador para la No hay conexin conexin virtual. De forma opcional tambin puede virtual configurada. configurar el mtodo de autenticacin, el intervalo de saludo y el de retransmisin, el retardo de transmisin o el intervalo de interlocutor muerto para la conexin virtual.
61
NOTA:
En la WebUI, la mtrica predeterminada (1) 62 debe introducirse manualmente y el tipo de mtrica predeterminado es ASE tipo 1. CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 save
Conexiones virtuales
Aunque todas las reas deben estar conectadas directamente al rea troncal, algunas veces debe crear un rea nueva que no se puede conectar fsicamente al rea troncal. Para resolver este problema se puede configurar una conexin virtual. Una conexin virtual proporciona un rea remota con una ruta lgica al rea troncal a travs de otra rea. En los enrutadores, la conexin virtual se debe configurar en los dos extremos de la conexin. Para configurar una conexin virtual en el dispositivo de seguridad, debe definir: La ID del rea OSPF que va a cruzar la conexin virtual. No es posible crear una conexin virtual que cruce el rea troncal o un rea de rutas internas. La ID del enrutador al otro extremo de la conexin virtual. La Tabla 8 detalla los parmetros opcionales para las conexiones virtuales.
Tabla 8: Parmetros opcionales para conexiones virtuales Parmetro de conexin Descripcin virtual
Authentication Especifica la autenticacin por contrasea de texto no encriptado o la autenticacin MD5. Dead interval Especifica el intervalo en segundos en que no se producir respuesta desde un dispositivo OSPF vecino antes de que se determine que ste no funciona. Especifica el tiempo en segundos entre dos saludos OSPF.
Valor predeterminado
Sin autenticacin 40 segundos
Hello interval
10 segundos
62
Valor predeterminado
Especifica el tiempo en segundos que transcurrir antes 5 segundos de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. 1 segundo
Transmit delay Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a una interfaz.
Dispositivo A
ethernet 1
ethernet 2
rea 20
NOTA:
Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que OSPF se est ejecutando en las interfaces de los dispositivos A y B antes de que la conexin virtual se active. WebUI (dispositivo-A) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10 (seleccione) Router ID: 10.1.1.250
63
CLI (dispositivo-A) set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay 10 save
NOTA:
En la interfaz CLI, primero tendr que crear la conexin virtual y, a continuacin, configurar cualquier parmetro opcional para la conexin. As, en el ejemplo anterior, tendr que ejecutar dos comandos distintos para crear y despus configurar la conexin virtual. WebUI (dispositivo-B) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10 Router ID: 10.10.1.250
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK. CLI (dispositivo-B) set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 transit-delay 10 save
64
La Tabla 9 detalla los parmetros opcionales de interfaz de OSPF y sus valores predeterminados.
Tabla 9: Parmetros opcionales de interfaz de OSPF y sus valores predeterminados Parmetro OSPF de interfaz
Authentication
Descripcin
Valor predeterminado
Especifica si la comunicacin OSPF de la interfaz se No se utiliza verificar mediante autenticacin por contrasea de autenticacin. texto no encriptado o por MD5 (Message Digest 5). La contrasea de texto no encriptado debe ser una cadena de hasta 8 dgitos, mientras que la contrasea para autenticacin MD5 puede ser una cadena de hasta 16 dgitos. Para la contrasea MD5 tambin es necesario que se configuren cadenas clave. Especifica la mtrica de la interfaz. El coste asociado a una interfaz depende del ancho de banda de la conexin que tenga establecida dicha interfaz. Cuanto mayor sea el ancho de banda, menor ser el valor del coste (preferible). Especifica el intervalo en segundos en que no se producir respuesta desde un dispositivo OSPF vecino antes de que OSPF determine que no funciona. 1 para una conexin de 100 MB o ms 10 para una conexin de 10 MB 100 para una conexin de 1 MB 40 segundos.
Cost
Dead interval
Hello interval
Especifica el intervalo en segundos que transcurrir 10 segundos. entre el envo de un paquete de saludo a la red y el siguiente. Especifica una interfaz de tnel como vnculo punto a punto o como vnculo punto a multipunto. Consulte la Interfaz de tnel punto a multipunto en la pgina 71. Las interfaces Ethernet se tratan como interfaces de difusin. De forma predeterminada, las interfaces de tnel asociadas a las zonas OSPF son punto a punto.
Link type
Neighbor list
Especifica subredes, en forma de lista de acceso, en Ninguna (las adyacencias las que residen vecinos OSPF que pueden utilizarse se forman con todos los para formar adyacencias. vecinos de la interfaz). Las interfaces con OSPF Especifica que la direccin IP de la interfaz se notificar en el dominio OSPF como ruta OSPF y no habilitado transmiten como ruta externa, pero que la interfaz no y reciben paquetes OSPF. transmitir ni recibir paquetes OSPF. Esta opcin resulta til cuando en la interfaz tambin se ha habilitado BGP. Especifica la prioridad del enrutador virtual que se 1. elegir: enrutador designado o enrutador designado de respaldo. El enrutador con el valor de prioridad ms alto tiene ms posibilidades de ser elegido (aunque no se garantiza). Especifica el tiempo en segundos que transcurrir 5 segundos. antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA.
Passive Interface
Priority
Retransmit interval
65
Descripcin
Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a la interfaz. (Slo interfaces de tnel) Configura una interfaz de tnel como circuito de demanda, segn RFC 1793. Consulte Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71.
Valor predeterminado
1 segundo.
Demand circuit
Desactivado.
Reduce flooding Especifica la reduccin de inundaciones LSA en un circuito de demanda. Ignore MTU
Desactivado.
Especifica que se pase por alto cualquier Desactivado. incoherencia en los valores de la unidad de transmisin mxima (MTU) entre las interfaces locales y remotas que se encuentre durante las negociaciones de la base de datos OSPF ser ignorada. Esta opcin slo debe utilizarse cuando la MTU de la interfaz local sea ms lenta que la MTU de la interfaz remota.
NOTA:
Para formar adyacencias, todos los enrutadores OSPF de un rea deben utilizar los mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de retransmisin. En el siguiente ejemplo, configuramos los siguientes parmetros OSPF para la interfaz ethernet1: Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Hello Interval: 15 Retransmit Interval: 7 Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15 set interface ethernet1 protocol ospf retransmit-interval 7 set interface ethernet1 protocol ospf transit-delay 2 save
66
Configuracin de seguridad
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento OSPF y mtodos de prevencin de ataques.
NOTA:
Para que OSPF sea ms seguro, todos los enrutadores de un dominio OSPF deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador OSPF peligroso podra llegar a dejar fuera de lnea todo el domino de enrutamiento OSPF.
Autenticacin de vecinos
Un enrutador OSPF se puede suplantar fcilmente, ya que las LSA no se encriptan y la mayora de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos OSPF. OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes OSPF recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz OSPF tiene la autenticacin habilitada. Para la autenticacin MD5 se necesita la misma clave utilizada para los enrutadores OSPF de envo y recepcin. Puede especificar ms de una clave MD5 en el dispositivo de seguridad, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo de seguridad, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
CLI
set interface ethernet1 protocol ospf authentication password 12345678 save
Configuracin de seguridad
67
WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Authentication: MD5 Keys: (seleccione) 1234567890123456 9876543210987654 Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol ospf authentication md5 1234567890123456 set interface ethernet1 protocol ospf authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1 save
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Neighbor List: 4
68
Configuracin de seguridad
CLI
set vrouter trust-vr access-list 4 set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10 set interface ethernet1 protocol ospf neighbor-list 4 save
Configuracin de seguridad
69
CLI
set vrouter trust-vr protocol ospf hello-threshold 20 save
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10 save
CLI
set interface tunnel.1 protocol ospf reduce-flooding save
70
Configuracin de seguridad
NOTA:
Deber configurar la interfaz de tnel del interlocutor remoto como un circuito de demanda. Sin embargo, no necesita configurar la inundacin LSA reducida en el interlocutor remoto. WebUI Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Demand Circuit: (seleccione)
CLI
set interface tunnel.1 protocol ospf demand-circuit save
71
NOTA:
Debe configurar una interfaz de tnel como interfaz punto a multipunto antes de habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto a multipunto, ya no podr configurarla como circuito de demanda (consulte Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71). No obstante, puede configurar la interfaz para la inundacin LSA reducida. Para ver un ejemplo de asociacin de tneles mltiples a una interfaz de tnel, consulte Binding Automatic Route and NHTB Table Entries en la pgina 5-278. Las siguientes secciones incluyen ejemplos para: Configurar el tipo de conexin (consulte Establecer el tipo de conexin OSPF en la pgina 72) Establecer la funcin de rechazo de ruta (consulte Inhabilitacin de la restriccin Route-Deny en la pgina 72) Configurar una red con una interfaz de tnel de punto a multipunto (consulte Creacin de una red punto a multipunto en la pgina 73)
72
CLI
unset interface tunnel.1 route-deny save
73
Nueva York
VPN 3 VPN 4
San Francisco (OC) ethernet3 1.1.1.1 tunnel.1 10.0.0.1 4 VPN asociadas a tunnel.1
En la Figura 12, se originan cuatro VPN en el dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. En este ejemplo, configurar los siguientes ajustes en el dispositivo de seguridad de la oficina central OC: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y OSPF Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos de seguridad de las oficinas remotas: 1. Interfaz y OSPF 2. VPN 3. Directiva
74
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3) y configure la zona y la direccin IP. Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione Point-to-Multipoint de la lista de botones de opcin Link Type.
2. VPN
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y configure los parmetros de OSPF. CLI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.10.10.1/24
2. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn2 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn3 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn4 id 4 bind interface tunnel.1
75
3.
Rutas y OSPF
set vrouter trust router-id 10 set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable set interface tunnel.1 protocol ospf link-type p2mp unset interface tunnel.1 route-deny save NOTA:
De forma predeterminada, route-deny est inhabilitado. Sin embargo, si habilit la caracterstica route-deny en algn momento, necesitar inhabilitar la caracterstica para que la interfaz de tnel punto a multipunto funcione correctamente. Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina remota. Los dispositivos de seguridad de Juniper Networks aprenden sobre sus vecinos a travs de LSA. Para completar la configuracin mostrada en la Figura 12 en la pgina 74, debe repetir la seccin siguiente por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN, as como establecer directivas para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y untrust cambian.
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de oficina remota)
1. Interfaz y OSPF
Network > Interfaces > Haga clic en New Tunnel IF y contine con la pgina de configuracin.
2. VPN
Directivas (de todas las zonas a todas las zonas) > Haga clic en New CLI (dispositivo de oficina remota)
1. Interfaz y OSPF
set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface untrust ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.2/24 set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable
76
2.
VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3. Directiva (configure como sea necesario)
set policy id 1 from trust to untrust any any any permit set policy id 2 from untrust to trust any any any permit save
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtual protocol ospf config.
77
78
Captulo 4
79
Configuraciones opcionales de RIP en la pgina 96 Configuracin de la versin de RIP en la pgina 96 Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98 Establecimiento de rutas alternas en la pgina 99 Circuitos de demanda en interfaces de tnel en la pgina 101 Configuracin de un vecino esttico en la pgina 102 Configuracin de una interfaz de tnel punto a multipunto en la pgina 102
Vista general
El protocolo de informacin de enrutamiento RIP (Routing information protocol) es un protocolo de vector distancia que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas autnomos (AS) de tamao moderado. ScreenOS admite la versin 2 de RIP (RIPv2) tal como se define en la norma RFC 2453. Mientras que RIPv2 slo admite la autenticacin de contrasea simple (texto sin formato), la implementacin RIP de ScreenOS tambin admite extensiones de autenticacin MD5, tal como se definen en la norma RFC 2082.
NOTA:
El protocolo RIP no se admite en interfaces de tnel sin numerar. Se deben numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento por configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un fallo impredecible en el enrutamiento. El protocolo RIP administra la informacin de rutas en redes pequeas y homogneas, como las LAN corporativas. La ruta ms larga admitida en una red RIP es de 15 saltos. Un valor mtrico de 16 indica un destino no vlido o inaccesible (este valor tambin se denomina infinito ya que excede el mximo de 15 saltos permitidos para las redes RIP). El protocolo RIP no est diseado para grandes redes o para redes en las que las rutas se eligen en funcin de parmetros en tiempo real, como carga, fiabilidad o retardo medido. El protocolo RIP admite redes punto a punto (utilizadas con VPN) y redes Ethernet de difusin/multidifusin (broadcast/multicast). El protocolo RIP admite las conexiones de "punto a multipunto" a travs de las interfaces de tnel con o sin tener configurado un circuito de demanda. Para obtener ms informacin sobre circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 101. El protocolo RIP enva mensajes que contienen la tabla de enrutamiento completa a todos los enrutadores vecinos cada 30 segundos. Estos mensajes se envan normalmente como multidifusiones (multicast) a la direccin 224.0.0.9 del puerto RIP.
80
Vista general
La base de datos de enrutamiento RIP contiene una entrada para cada destino que sea accesible a travs de la instancia de enrutamiento RIP. La base de datos de enrutamiento RIP incluye la siguiente informacin: Direccin IPv4 de un destino. Recuerde que RIP no distingue entre redes y hosts. Direccin IP del primer enrutador de la ruta hacia el destino (el siguiente salto). Interfaz de red utilizada para acceder al primer enrutador. Valor mtrico que indica la distancia (o coste) para alcanzar el destino. La mayora de implementaciones RIP utilizan un valor mtrico de 1 para cada red. Un temporizador que indica el tiempo que ha transcurrido desde la ltima actualizacin de la entrada de la base de datos.
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en Enrutamiento en la pgina 13. En esta seccin se describen los pasos bsicos para configurar el protocolo RIP en un dispositivo de seguridad: 1. Crear la instancia de enrutamiento RIP en un enrutador virtual. 2. Habilitar la instancia RIP. 3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP. 4. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (como OSPF, BGP, o rutas configuradas de forma esttica) en la instancia RIP. En esta seccin se describe la correcta ejecucin de cada una de estas tareas utilizando la interfaz WebUI y la lnea de comandos CLI.
81
Opcionalmente, es posible configurar parmetros de RIP, como: Parmetros globales, como temporizadores y vecinos RIP fiables, que se configuran en el VR para el protocolo RIP (consulte Parmetros globales de RIP en la pgina 89) Parmetros de interfaz, como la autenticacin de dispositivos vecinos, que se configuran en la interfaz para el protocolo RIP (consulte Configuracin de los parmetros de interfaz de RIP en la pgina 90) Parmetros RIP relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 92)
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable save NOTA:
En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos etapas. Cree la instancia RIP y, a continuacin, habilite RIP.
82
NOTA:
Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual (consulte Eliminacin de una instancia RIP en la pgina 83), RIP dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
83
CLI
unset interface trust protocol rip enable unset interface trust protocol rip save
Redistribucin de rutas
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual (VR): Rutas reconocidas por el protocolo BGP Rutas reconocidas por el protocolo OSPF Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte Enrutamiento en la pgina 13. Las rutas importadas en RIP a partir de otros protocolos tienen un valor mtrico predeterminado de 10. Este valor se puede modificar (consulte Parmetros globales de RIP en la pgina 89). En este ejemplo, redistribuir rutas estticas que se encuentran en la subred 20.1.0.0/16 entre dispositivos vecinos RIP ubicados en el enrutador virtual trust-vr. Para ello, primero deber crear una lista de acceso para permitir las direcciones en la subred 20.1.0.0/16. A continuacin, configure un mapa de rutas que permita las direcciones incluidas en la lista de acceso que acaba de generar. Utilice el mapa de rutas para especificar la redistribucin de rutas estticas en la instancia de enrutamiento de RIP. WebUI Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 20 Sequence No.: 1 IP/Netmask: 20.1.0.0/16 Action: Permit (seleccione)
Network > Routing > Virtual Router (trust-vr) > Route Map > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: rtmap1 Sequence No.: 1 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 20 (seleccione)
84
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
Route Map: rtmap1 (seleccione) Protocol: Static (seleccione)
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1 set vrouter trust-vr route-map name rtmap1 permit 1 set vrouter trust-vr route-map rtmap1 1 match ip 20 set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static save
85
Despus de introducir el siguiente comando CLI, puede visualizar la entrada de la base de datos RIP:
device-> get vrouter trust-vr protocol rip database 10.10.10.0/24 VR: trust-vr ------------------------------------------------------------------------Total database entry: 3 Flags : Added in Multipath - M, RIP - R, Redistributed - I, Default (advertised) - D, Permanent - P, Summary - S, Unreachable - U, Hold - H DBID Prefix Nexthop Ifp Cost Flags Source 7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1 -------------------------------------------------------------------------
La base de datos RIP contiene los campos siguientes: DBID, el identificador de base de datos de la entrada Prefix, el prefijo y la direccin IP Nexthop, la direccin del salto siguiente (enrutador) Ifp, el tipo de conexin (Ethernet o tnel) La mtrica de coste asignada para indicar la distancia desde el origen Los indicadores (flags) pueden ser uno o varios de los siguientes: multidireccional (M), RIP (R), redistribuido (I), notificado de forma predeterminada (D), permanente (P), resumen (S), inaccesible (U) o retencin (H). En este ejemplo, el identificador de base de datos es 7, la direccin IP y el prefijo es 10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexin Ethernet con un coste de 2. Los indicadores son M y R e indican que esta ruta es multidireccional y usa RIP.
86
Puede visualizar los valores de RIP, los detalles del paquete, la informacin del temporizador RIP y una tabla de interfaz resumida.
87
Adems de visualizar la direccin IP y la versin de RIP, puede visualizar la informacin siguiente del vecino RIP: Antigedad de la entrada Tiempo de vencimiento Nmero de paquetes incorrectos Nmero de rutas incorrectas Indicadores: esttica (S), circuito de demanda (T), NHTB (N), fuera de lnea (D), en lnea (U), sondeo (P) o inicio de circuito de demanda (I)
Debe utilizar la CLI para visualizar los detalles de la interfaz RIP. CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2
88
Desde este resumen de informacin puede visualizar el nmero de paquetes incorrectos o de rutas incorrectas presentes, verificar qu gasto de procesamiento aade RIP a la conexin y ver la configuracin de la autenticacin.
Descripcin
Valor mtrico predeterminado para rutas importadas en RIP a partir de otros protocolos, como OSPF y BGP. Indica (en segundos) cundo enviar actualizaciones de rutas RIP a los dispositivos vecinos. Indica el nmero mximo de paquetes recibidos por actualizacin.
Valores predeterminados
10 30 segundos Sin mximo
Indica el tiempo (en segundos) que tiene que transcurrir para que una ruta deje 180 segundos de ser vlida desde el momento en el que un vecino deja de notificar la ruta. Indica el tiempo (en segundos) que tiene que transcurrir para que se elimine una ruta desde el momento de su invalidacin. Indica el nmero mximo de vecinos RIP permitidos. 120 segundos Depende de la plataforma
Indica una lista de acceso en la que se definen los vecinos RIP. Si no se Todos los vecinos especifica ningn vecino, RIP utiliza la difusin o la multidifusin para detectar son fiables vecinos en una interfaz. Consulte Configuracin de vecinos fiables en la pgina 93. Indica que se admiten vecinos RIP de otras subredes. Indica si se notifica la ruta predeterminada (0.0.0.0/0). Indica si RIP debe rechazar una ruta predeterminada reconocida de otro protocolo. Consulte Rechazo de rutas predeterminadas en la pgina 94. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Desactivado Desactivado Desactivado Ninguno Ninguno
Allow neighbors on different subnet Advertise default route Reject default routes Incoming route map Outgoing route map Maximum alternate routes Summarize advertised routes RIP protocol version
Especifica el nmero mximo de rutas RIP para el mismo prefijo que se puede 0 aadir a la base de datos de la ruta RIP. Consulte Establecimiento de rutas alternas en la pgina 99. Especifica la notificacin de una ruta de resumen que corresponde a todas las rutas incluidas dentro de un rango de resumen. Consulte Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98. Especifica la versin de RIP que utiliza el VR. Puede ignorar la versin interfaz a interfaz. Consulte Configuracin de la versin de RIP en la pgina 96. Ninguno
Versin 2
89
Descripcin
Valores predeterminados
Evita el flapping (rechazo) de una ruta a la tabla de rutas. Puede especificar un 90 segundos valor entre los valores mnimo (tres veces el valor del temporizador de actualizacin (update)) y mximo (suma del temporizador de actualizacin (update) y el de retencin (hold), sin exceder el valor del temporizador flush). Especifica el intervalo de retransmisin de las respuestas desencadenadas en un circuito de demanda. Puede establecer el temporizador de retransmisin y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. 5 segundos 10 reintentos
Retransmit timer
Poll-timer
Comprueba el vecino remoto del circuito de demanda para ver si est en lnea. 180 segundos Puede configurar el temporizador de sondeo en minutos y asignar una cuenta 0 reintentos de reintentos que se ajuste a sus necesidades de red. Una cuenta de reintentos de cero (0) supone un sondeo interminable.
CLI
set vrouter trust-vr protocol rip advertise-def-route metric number 5 save NOTA:
Consulte el Manual ScreenOS CLI Reference Guide: IPv4 Command Descriptions para obtener ms informacin sobre los parmetros globales que puede configurar en el contexto del protocolo de enrutamiento de RIP.
90
Descripcin
Indica si est habilitada la opcin de horizonte dividido (no notificar rutas reconocidas de una interfaz en actualizaciones enviadas a dicha interfaz, "split horizon"). Si est habilitada la opcin de horizonte dividido con rutas inalcanzables (poison reverse), las rutas reconocidas de una interfaz se notifican con un valor mtrico de 16 en las actualizaciones enviadas a dicha interfaz. Especifica la mtrica RIP de la interfaz.
Valor predeterminado
La opcin de horizonte dividido est habilitada. Las rutas inalcanzables estn inhabilitadas.
1.
Especifica la autenticacin por contrasea de texto no No se utiliza autenticacin. encriptado o la autenticacin MD5. Consulte Autenticar vecinos al establecer una contrasea en la pgina 92. Indica que la interfaz puede recibir, pero no transmitir No. paquetes RIP. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Ninguna. Ninguna.
Passive mode Incoming route map Outgoing route map RIP version for sending or receiving updates
Especifica la versin de protocolo RIP utilizada para Versin configurada para el enviar o recibir actualizaciones en la interfaz. La enrutador virtual. versin de la interfaz utilizada para enviar actualizaciones no necesita ser la misma que la versin para recibir las actualizaciones. Consulte Configuracin de la versin de RIP en la pgina 96. Especifica si los resmenes de rutas estn habilitados Desactivado. en la interfaz. Consulte Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98. Especifica el circuito de demanda en una interfaz de tnel especificada. El dispositivo de seguridad enva mensajes de actualizacin solamente cuando se producen cambios. Consulte Circuitos de demanda en interfaces de tnel en la pgina 101. Especifica la direccin IP de un vecino RIP asignado manualmente. Ninguna.
Route summarization
Demand-circuit
Static neighbor IP
Ninguna.
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y otro mapa de rutas de entrada en el nivel de la interfaz, ste ltimo tendr preferencia sobre el primero. Para obtener ms informacin, consulte Configuracin de un mapa de rutas en la pgina 39. En el siguiente ejemplo, configuramos los siguientes parmetros RIP para la interfaz trust: Active la autenticacin MD5 con la clave 1234567898765432 y la ID de clave 215. Habilite la opcin de horizonte dividido con rutas inalcanzables para la interfaz.
Configuracin de los parmetros de interfaz de RIP
91
WebUI Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes datos y haga clic en OK:
Authentication: MD5 (seleccione) Key: 1234567898765432 Key ID: 215 Split Horizon: Enabled with poison reverse (seleccione)
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id 215 set interface trust protocol rip split-horizon poison-reverse save
Configuracin de seguridad
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento RIP y mtodos de prevencin de ataques.
NOTA:
Para que RIP sea ms seguro, todos los enrutadores de un dominio RIP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador RIP comprometido podra llegar a dejar inservible todo el domino de enrutamiento RIP.
92
Configuracin de seguridad
WebUI Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
MD5 Keys: (seleccione) 1234567890123456 (primer campo de clave) 9876543210987654 (segundo campo de clave) Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456 set interface ethernet1 protocol rip authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1 save
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK:
Trusted Neighbors: (seleccione), 10 Maximum Neighbors: 1
Configuracin de seguridad
93
CLI
set vrouter trust-vr device(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1 device(trust-vr)-> set protocol rip device(trust-vr/rip)-> set max-neighbor-count 1 device(trust-vr/rip)-> set trusted-neighbors 10 device(trust-vr/rip)-> exit device(trust-vr)-> exit save
CLI
set vrouter trust-vr protocol rip reject-default-route save
94
Configuracin de seguridad
CLI
set vrouter trust-vr protocol rip threshold-update 4 save
Internet
Dispositivo-B (RIP)
WebUI Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP Instance: Seleccione Enable RIP y haga clic en OK. Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 10 Sequence No.: 10 IP/Netmask: 10.10.0.0/16 Action: Permit
Configuracin de seguridad
95
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: abcd Sequence No.: 10 Action: Permit Match Properties: Access List: (seleccione), 10
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione los siguientes datos y haga clic en OK:
Outgoing Route Map Filter: abcd
Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
Enable RIP: (seleccione)
Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
Enable RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface tunnel.1 protocol rip enable set interface trust protocol rip enable set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10 set vrouter trust-vr route-map name abcd permit 10 set vrouter trust-vr route-map abcd 10 match ip 10 set vrouter trust-vr protocol rip route-map abcd out save
96
NOTA:
No se recomienda usar ambas versiones 1 y 2 a la vez. Entre la versin 1 y 2 del protocolo pueden producirse complicaciones de red. Para enviar y recibir actualizaciones en interfaces RIP, la versin predeterminada de RIP es la versin que est configurada para el VR. En el ejemplo siguiente, establece la versin 1 de RIP en trust-vr. Para la interfaz ethernet3, establece la versin 2 de RIP tanto para enviar como para recibir actualizaciones. WebUI Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione V1 for Version, luego haga clic en Apply. Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 for Sending and Receiving in Update Version, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip version 1 set interface ethernet3 protocol rip receive-version v2 set interface ethernet3 protocol rip send-version v2 save
Para verificar la versin de RIP en el VR y en las interfaces RIP, puede introducir el comando get vrouter trust-vr protocol rip.
device-> get vrouter trust-vr protocol rip VR: trust-vr ---------------------------------State: enabled Version: 1 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 512 Not validating neighbor in same subnet: disabled Next RIP update scheduled after: 14 sec Advertising default route: disabled Default routes learnt by RIP will be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update Invalid Flush (Timers in seconds) ------------------------------------------------------------30 180 120 Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx -------------------------------------------------------------------------------ethernet3 20.20.1.2/24 enabled enabled S 0 1 2/2
En el ejemplo de arriba, el dispositivo de seguridad est ejecutando la versin 1 de RIP en trust-vr; pero se est ejecutando la versin 2 de RIP en la interfaz ethernet3 para enviar y recibir actualizaciones.
97
NOTA:
No puede habilitar selectivamente el resumen para un rango de resumen especfico; cuando habilita el resumen en una interfaz, todas las rutas de resumen configuradas aparecen en las actualizaciones de enrutamiento. Al configurar la ruta de resumen, no puede especificar los rangos de prefijos mltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la ruta predeterminada. Puede especificar opcionalmente una mtrica para la ruta de resumen. Si no especifica una mtrica, se utilizar la mtrica ms grande para todas las rutas incluidas en el rango de resumen. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para obtener ms informacin sobre cmo establecer una interfaz NULL, consulteEvitar bucles creados por las rutas resumidas en la pgina 11.
Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 set interface ethernet3 protocol rip summary-enable save
98
NOTA:
Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para obtener ms informacin sobre los circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 101. Solamente se aade a la tabla de enrutamiento de un enrutador virtual (VR) y se anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP aade la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se aade a la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a la tabla de enrutamiento y deja de utilizar la ruta antigua. Segn el lmite de la ruta alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base de datos RIP. Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter enrut_virtual protocol rip database. En el ejemplo siguiente, el nmero de rutas alternativas para la base de datos RIP se ajusta a un nmero mayor que 0. La base de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la ruta con el coste ms bajo, se incluye en la tabla de enrutamiento de VR.
99
device-> get vrouter trust-vr protocol rip database VR: trust-vr -------------------------------------------------------------------------------Total database entry: 14 Flags : Added in Multipath - M, RIP - R, Redistributed - I Default (advertised) - D, Permanent - P, Summary - S Unreachable - U, Hold - H DBID Prefix Nexthop Interface Cost Flags Source -------------------------------------------------------------------------------. . . 47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1 46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5
. .
Si est habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte Configuracin del enrutamiento multidireccional de igual coste en la pgina 36) y existen rutas mltiples de igual coste en la base de datos RIP para un prefijo dado, el protocolo RIP aade las rutas mltiples para el prefijo en la tabla de enrutamiento del VR hasta el lmite de ECMP. En algunos casos, el lmite de la ruta alternativa en la base de datos RIP puede hacer que las rutas RIP no se aadan a la tabla de enrutamiento del VR. Si el lmite de ECMP es inferior o igual al lmite de la ruta alternativa en la base de datos RIP, las rutas RIP que no se aadan a la tabla de enrutamiento del VR permanecern en la base de datos RIP; estas rutas se aaden a la tabla de enrutamiento del VR solamente si se elimina una ruta anteriormente aadida o si ya no es la mejor ruta RIP para el prefijo de red. Por ejemplo, si el lmite de ECMP es 2 y el lmite de la ruta alternativa en la base de datos RIP es 3, solamente podr haber dos rutas RIP para el mismo prefijo con el mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el mismo prefijo/mismo coste en la base de datos RIP, pero solamente se aaden dos rutas a la tabla de enrutamiento del VR. En el ejemplo siguiente, establezca en 1 el nmero de rutas alternativas permitidas para un prefijo de la base de datos RIP en trust-vr. Esto permite que haya una ruta mejor y una ruta alternativa en cualquier prefijo dado de la base de datos RIP en el VR. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance: Introduzca 1 en el campo Maximum Alternative Route, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip alt-route 1 save
100
CLI
set interface tunnel.1 protocol rip demand-circuit save
Despus de habilitar un circuito de demanda, puede activar su estado y sus temporizadores con el comando get vrouter enrut_virtual protocol rip database. La Tabla 12 detalla sugerencias para solucionar problemas de rendimiento provocados por ajustes del temporizador.
Tabla 12: Solucin de problemas del temporizador de retransmisin del circuito de demanda Rendimiento del circuito de demanda
Relativamente lento Sin prdidas Congestionado y con prdidas
Sugerencia
Puede reconfigurar el temporizador de retransmisin a un valor superior para reducir el nmero de retransmisiones. Puede reconfigurar el temporizador de retransmisiones para reducir la cuenta de reintentos. Puede reconfigurar el temporizador de retransmisiones a una cuenta de reintentos superior para dar al vecino esttico ms tiempo de respuesta antes de forzar al vecino esttico a un estado de sondeo (POLL).
102
numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento de configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un fallo impredecible en el enrutamiento. Debe inhabilitar el horizonte dividido en un tnel de interfaz de punto a multipunto que configure con circuitos de demanda de modo que los mensajes alcancen todos los sitios remotos. Para una interfaz de tnel punto a multipunto sin circuitos de demanda, puede dejar habilitada la opcin de horizonte dividido (predeterminada). RIP aprende dinmicamente sobre los vecinos. El protocolo RIP enva todos los mensajes transmitidos a la direccin multicast 224.0.0.9 y los reduplica a todos los tneles segn convenga. Si desea configurar RIP como tnel punto a multipunto con circuitos de demanda, debe disear su red en una configuracin radial hub and spoke.
NOTA:
En este ejemplo, nicamente se hace referencia a las interfaces de lnea de comandos y no describimos zonas y otros pasos de configuracin necesarios. La red de este ejemplo pertenece a una empresa de tamao mediano con su oficina central (OC) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la Figura 14 en la pgina 104. Los siguientes son los requisitos de configuracin especficos del dispositivo de seguridad en la OC: 1. Configure el VR para que ejecute una instancia de RIP, habilitar RIP y, a continuacin, configurar la interfaz tunnel.1. 2. Configure las cuatro VPN y asociarlas a la interfaz tunnel.1. 3. Configure vecinos estticos RIP en el dispositivo de seguridad de la oficina central (OC). 4. No cambie los valores predeterminados del temporizador en este ejemplo. Los siguientes son los requisitos de configuracin propios de los dispositivos de seguridad remotos de Juniper Networks: 1. Configure el VR para que ejecute una instancia de RIP, habilite RIP y, a continuacin, configure la interfaz tunnel.1. 2. Configure la VPN y asciela a la interfaz tunnel.1. 3. No configure vecinos estticos en los dispositivos de seguridad de la oficina remota. Los dispositivos de la oficina remota solamente tienen un dispositivo vecino que ser descubierto por las peticiones multicast iniciales.
103
NOTA:
VPN 2
VPN 1
San Francisco (OC) ethernet3 1.1.1.1 tunnel.1 10.0.0.1 4 VPN asociadas a tunnel.1
En el diagrama de red que se muestra en la Figura 14, se originan cuatro VPNs en el dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. En este ejemplo, configurar los siguientes ajustes en el dispositivo de seguridad de la oficina central OC: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y RIP 4. Vecinos estticos 5. Ruta de resumen Para poder comprobar el estado del circuito en el dispositivo de la oficina central OC, debe habilitar la supervisin de VPN. Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos de seguridad de las oficinas remotas: 1. Interfaces y zona de seguridad 2. VPN
104
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de la oficina central)
1. Zonas e interfaces de seguridad
Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3)
2. VPN
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador virtual. Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP, posteriormente habilite RIP en la interfaz.
4. Vecinos estticos
Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add Neighbor IP Address.
5. Ruta de resumen
Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP y configure la direccin IP del resumen. CLI (dispositivo de la oficina central)
1. Zonas e interfaces de seguridad
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.1/24
2. VPN
set ike gateway gw1 address 1.1.1.2 ripdc proposal pre-g2-3des-sha set ike gateway gw2 address 1.1.1.3 ripdc proposal pre-g2-3des-sha set ike gateway gw3 address 1.1.1.4 ripdc proposal pre-g2-3des-sha set ike gateway gw4 address 1.1.1.5 ripdc proposal pre-g2-3des-sha
main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare
105
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn vpn2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn vpn3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn vpn4 bind interface tunnel.1
3. Rutas y RIP
set vrouter trust protocol rip set vrouter trust protocol rip enable set vrouter protocol rip summary-ip 100.10.0.0/16 set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip enable set interface tunnel.1 protocol rip demand-circuit
4. Vecinos estticos
interface tunnel.1 protocol interface tunnel.1 protocol interface tunnel.1 protocol interface tunnel.1 protocol
Ruta de resumen
Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina remota. Al configurar la oficina remota, no necesita configurar vecinos estticos. En un entorno de circuito de demanda, solamente existe un vecino para el dispositivo remoto y ste aprende la informacin del vecino cuando enva un mensaje multicast durante el arranque. Para completar la configuracin mostrada en el diagrama de la pgina 104, debe repetir esta seccin por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y untrust cambian.
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse.
106
Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3)
2. VPN
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador virtual. Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP, posteriormente habilite RIP en la interfaz.
4. Directiva (configure como sea necesario)
Directivas (de todas las zonas a todas las zonas) > Haga clic en New CLI (dispositivo de oficina remota)
1. Protocolo de enrutamiento e interfaz
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface untrust ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.2/24
2. VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ripdc proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3. Rutas y RIP
set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip demand-circuit set interface tunnel.1 protocol rip enable
4. Directiva (configure como sea necesario)
set policy id 1 from trust to untrust any any any permit set policy id 2 from untrust to trust any any any permit save
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtuale protocol rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla de vecinos; la informacin del vecino no envejece ni expira. Puede ver la base de datos RIP ejecutando el comando get vrouter enrut_virtuale protocol rip database. Aparece una P de permanent junto a las entradas de los circuitos de demanda.
107
108
Captulo 5
109
Vista general
El protocolo BGP es un protocolo de vectores de rutas que se utiliza para transportar informacin de enrutamiento entre sistemas autnomos (AS). Un AS es un conjunto de enrutadores que se encuentran en el mismo dominio administrativo. La informacin de enrutamiento BGP incluye la secuencia de nmeros de los AS que un prefijo de red (una ruta) ha atravesado. La informacin de ruta asociada al prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento. ScreenOS es compatible con la versin 4 de BGP (BGP-4) tal y como se define en la norma RFC 1771. Dos interlocutores BGP establecen una sesin BGP para intercambiar informacin de enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos interlocutores. En primer lugar, los interlocutores BGP deben establecer una conexin TCP entre s para abrir una sesin BGP. Una vez establecida la conexin inicial, los interlocutores intercambian las tablas de enrutamiento completas. A medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian mensajes de actualizacin con los interlocutores. Cada enrutador BGP mantiene actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene sesiones, envindoles peridicamente mensajes de mantenimiento de conexin para verificar las conexiones. El interlocutor BGP slo notifica las rutas que est utilizando en ese momento. Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta que describen sus caractersticas. El enrutador BGP compara los atributos de ruta y el prefijo para elegir la mejor ruta de todas las disponibles para un destino determinado.
110
Vista general
NOTA:
El dispositivo de seguridad no enviar un mensaje de notificacin a un interlocutor si, durante el intercambio de mensajes de apertura, el interlocutor indica que admite protocolos con los que el dispositivo de seguridad no es compatible. Los mensajes de Keepalive se utilizan para el mantenimiento de la sesin BGP. De forma predeterminada, el dispositivo de seguridad enva mensajes de mantenimiento de conexin a los interlocutores cada 60 segundos. Este intervalo se puede configurar.
Atributos de ruta
Los atributos de ruta BGP son un grupo de parmetros que describen las caractersticas de una ruta. El protocolo BGP empareja los atributos con la ruta que describen y, a continuacin, compara todas las rutas disponibles para un destino para as seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta obligatorios y bien conocidos son: Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto). AS-Path contiene una lista de sistemas autnomos a travs de los cuales ha pasado la notificacin de ruta. Next-Hop es la direccin IP del enrutador al que se enva trfico para la ruta. Los atributos de ruta opcionales son: Multi-Exit Discriminator (MED) es una mtrica para aquellas rutas en las que hay mltiples vnculos entre sistemas autnomos (un AS configura el MED y otro AS lo utiliza para elegir una ruta). Local-Pref es una mtrica utilizada para informar a los interlocutores BGP de las preferencias del enrutador local para elegir una ruta. Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local seleccion una ruta menos especfica de un conjunto de rutas superpuestas recibidas de un interlocutor. Aggregator especifica el AS y el enrutador que realizaron la agregacin de la ruta. Communities especifica una o varias comunidades a las que pertenece la ruta. Cluster List contiene una lista de los clsteres de reflexin a travs de los cuales ha pasado la ruta. Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta opcionales antes de notificrsela a los interlocutores.
Vista general
111
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2, Enrutamiento. Los cinco pasos bsicos para configurar BGP en un VR en un dispositivo de seguridad son: 1. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtual, asignando primero un nmero de sistema autnomo a la instancia de BGP y habilitando despus la instancia. 2. Habilitar BGP en la interfaz conectada al interlocutor. 3. Habilitar cada interlocutor BGP. 4. Configurar uno o varios interlocutores BGP remotos. 5. Comprobar que el protocolo BGP est configurado correctamente y funciona. Esta seccin describe cmo realizar cada una de estas tareas utilizando CLI o WebUI para el siguiente ejemplo. La Figura 15 muestra el dispositivo de seguridad como un interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para que pueda establecer una sesin BGP con el interlocutor en AS 65500.
112
Sistemas autnomos
AS 65500
ID de enrutador 2.2.2.250
Interlocutores BGP
NOTA:
Los nmeros de sistemas autnomos (AS) son nmeros nicos a nivel global que se utilizan para intercambiar informacin de enrutamiento EBGP y para identificar el sistema autnomo. Las siguientes entidades asignan nmeros de AS: American Registry for Internet Numbers (ARIN), Rseaux IP Europens (RIPE) y Asia Pacific Network Information Center (APNIC). Los nmeros 64512 a 65535 son de uso privado y no para su notificacin global en Internet.
113
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10
2. Instancia de enrutamiento de BGP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
CLI
1. ID de enrutador
set vrouter trust-vr protocol bgp 65000 set vrouter trust-vr protocol bgp enable save
114
CLI
set interface ethernet4 protocol bgp save
NOTA:
No es posible asignar interlocutores IBGP y EBGP al mismo grupo de interlocutores. La Tabla 13 describe parmetros que se pueden configurar para interlocutores BGP y sus valores predeterminados. Una X en la columna Interlocutor indica un parmetro que se puede configurar para la direccin IP de un interlocutor, mientras que una X en la columna Grupo de interlocutores indica un parmetro que se puede configurar para un grupo de interlocutores.
115
Tabla 13: Parmetros de interlocutores BGP y grupos de interlocutores y valores predeterminados Grupo de interlocutores Descripcin
Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. X X Nmero de nodos entre el BGP local y el vecino.
Valor predeterminado
La ruta predeterminada no se notifica 0 (desactivado)
N/A Hace que la instancia de BGP descarte una conexin BGP existente con el interlocutor especificado y acepte una nueva conexin. Este parmetro resulta de utilidad cuando hay una conexin con un enrutador que queda fuera de lnea y luego vuelve a ponerse en lnea e intenta restablecer una conexin BGP, ya que permite un restablecimiento ms rpido de la conexin entre interlocutores1. Tiempo transcurrido sin que lleguen mensajes 180 segundos de un interlocutor antes de que se considere fuera de lnea. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la autenticacin MD-5. 1/3 del tiempo de retencin (hold-time) Slo se comprueba el identificador de interlocutor y el nmero de AS 0 Atributo de salto siguiente no cambiado
Hold time
X X
X X
X X X
Configura el valor de atributo MED. En las rutas enviadas al interlocutor, el atributo de ruta al salto siguiente se ajusta en la direccin IP de la interfaz del enrutador virtual local. El interlocutor es un cliente de reflexin cuando el protocolo BGP local se configura como el reflector de rutas. No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP. X Tras un intento fallido de inicio de sesin, tiempo que se tarda en reintentar iniciar la sesin BGP. Transmite el atributo de comunidad al interlocutor. Prioridad de ruta entre el BGP local y el interlocutor.
Reflector client
Ninguno
Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento 120 segundos
Retry time
1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexin BGP con el interlocutor especificado y acepte una nueva conexin. El uso de este comando de ejecucin no modifica la configuracin del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuracin del mapa de rutas que se aplica a este interlocutor.
116
Es posible configurar algunos parmetros en el nivel de interlocutores y en el de protocolo (consulte Configurar una confederacin en la pgina 131). Por ejemplo, puede configurar el valor de tiempo de espera para un interlocutor especfico con un valor de 210 segundos, mientras que el valor de tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configuracin del interlocutor tendr preferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED ajustado en el nivel de interlocutor slo se aplicar a las rutas que se notifiquen a esos interlocutores.
NOTA:
Deber habilitar cada conexin de interlocutor que configure. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500 Remote IP: 1.1.1.250
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione Peer Enabled y luego haga clic en OK. CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable save
NOTA:
Deber habilitar cada conexin de interlocutor que configure. Si configura interlocutores como parte de un grupo, tendr que habilitar las conexiones de los interlocutores una a una.
117
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic en Add. > Configure (para ibgp): En el campo Peer authentication, introduzca verify03 y haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 10.1.2.250 Peer Group: ibgp (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled y luego haga clic en OK. CLI
set vrouter trust-vr protocol bgp neighbor peer-group ibgp set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000 set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication verify03 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable save
118
Para comprobar si BGP se est ejecutando en el enrutador virtual, ejecute el comando get vrouter enrut_virtual protocol bgp .
device-> get vrouter trust-vr protocol bgp Admin State: habilitar Local Router ID: 10.1.1.250 Local AS number: 65000 Hold time: 180 Keepalive interval: 60 = 1/3 hold time, default Local MED is: 0 Always compare MED: disable Local preference: 100 Route Flap Damping: disable IGP synchronization: disable Route reflector: disable Cluster ID: not set (ID = 0) Confederation based on RFC 1965 Confederation (confederacin): disable (confederation ID = 0) Member AS: none Origin default route: disable Ignore default route: disable
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificacin del enrutador, as como todos los dems parmetros configurados relativos al BGP.
NOTA:
Es recomendable asignar una ID de enrutador de forma explcita, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte Enrutamiento en la pgina 13. Para comprobar si un interlocutor o grupo de interlocutores BGP est habilitado y Ver el estado de la sesin BGP, ejecute el comando get vrouter enrut_virtual protocol bgp neighbor.
device-> get vrouter trust-vr protocol bgp neighbor Peer AS Remote IP Local IP Wt Status State ConnID 65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up Total 1 BGP peers shown
En este ejemplo puede verificar si el interlocutor BGP est habilitado y si la sesin est activa.
119
El estado puede ser uno de los que aqu se indican: Idle: primer estado de la conexin. Connect: BGP est esperando una conexin de transporte TCP correcta. Active: BGP est iniciando una conexin de transporte. OpenSent: BGP est esperando un mensaje de apertura (OPEN) del interlocutor. OpenConfirm: BGP est esperando un mensaje de mantenimiento de conexin (KEEPALIVE) o notificacin (NOTIFICATION) del interlocutor. Established: BGP est intercambiado paquetes de actualizacin (UPDATE) con el interlocutor.
NOTA:
Un estado de sesin que cambia continuamente entre Active y Connect podra indicar un problema con la conexin entre interlocutores.
Configuracin de seguridad
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento BGP y ciertos mtodos de prevencin de ataques.
NOTA:
Para que BGP sea ms seguro, todos los enrutadores de un dominio BGP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP comprometido podra llegar a dejar fuera de lnea todo el domino de enrutamiento BGP.
120
Configuracin de seguridad
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500 Remote IP: 1.1.1.250
> Configure (para IP remota 1.1.1.250): Introduzca los siguientes datos y haga clic en OK:
Peer Authentication: Enable (seleccione) MD5 password: 1234567890123456 Peer Enabled: (seleccione)
CLI
set vrouter trust-vr (trust-vr)-> set protocol bgp (trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500 (trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456 (trust-vr/bgp)-> set neighbor 1.1.1.250 enable (trust-vr/bgp)-> exit (trust-vr)-> exit save
CLI
set vrouter trust-vr protocol bgp reject-default-route save
Configuracin de seguridad
121
Descripcin
Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. Crea rutas agregadas. Consulte Agregacin de rutas en la pgina 134. Compara los valores MED de las rutas. Crea una lista de acceso a rutas AS para permitir o denegar rutas. Crea listas de comunidades. Consulte Comunidades BGP en la pgina 133. Crea confederaciones. Consulte Configurar una confederacin en la pgina 131. Se pueden agregar rutas mltiples de igual coste para proporcionar equilibrio de cargas. Consulte Configuracin del enrutamiento multidireccional de igual coste en la pgina 36. Bloquea las notificaciones de una ruta hasta que es estable.
Valor predeterminado
La ruta predeterminada no se notifica Desactivado Desactivado
Desactivado (predeterminado = 1)
Desactivado
Tiempo transcurrido sin que lleguen 180 segundos mensajes de un interlocutor antes de que se considere fuera de lnea. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la mtrica de LOCAL_PREF. Configura el valor de atributo MED. Agrega entradas estticas de red y de subred en BGP. BGP anuncia estas rutas estticas a todos los interlocutores BGP. Consulte Agregar rutas a BGP en la pgina 125. Importa rutas a BGP desde otros protocolos de enrutamiento. Configura la instancia BGP local como reflector de rutas para clientes. Consulte Configuracin de la reflexin de rutas en la pgina 128. 1/3 del tiempo de espera (hold-time) 100 0
Desactivado
122
Descripcin
No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Valor predeterminado
Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento
Retry time
Tiempo que debe transcurrir desde un 12 segundos establecimiento de sesin BGP fallido con un interlocutor para que se vuelva a intentar establecer la sesin. Permite la sincronizacin con un protocolo de puerta de enlace interior, como OSPF o RIP. Desactivado
Synchronization
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf save
123
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
AS Path Access List ID: 2 Permit: (seleccione) AS Path String: _65000_
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$ set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_ save
124
125
Internet
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24 Check Reachability: Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24 save
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100 save
126
WebUI Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: setattr Sequence No.: 1 Action: Permit (seleccione) Set Properties: Metric: (seleccione), 100
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24 Route Map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1 set vrouter trust-vr route-map setattr 1 metric 100 set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr save
Capacidad de route-refresh
La caracterstica de route-refresh de BGP definida en RFC 2918 ofrece un mecanismo de restablecimiento suave que permite el intercambio dinmico de informacin sobre enrutamiento y solicitudes de actualizacin de rutas entre los interlocutores de BGP y la nueva notificacin de la tabla de enrutamiento entrante y saliente. Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas podran afectar las actualizaciones de la tabla de enrutamiento entrante o saliente ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra en vigencia nicamente despus de que se restablece la sesin BGP. Una sesin BPG se puede borrar mediante un restablecimiento suave o abrupto.
NOTA:
Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas se interrumpen y se vuelven a recuperar. Un restablecimiento suave permite que se aplique una directiva nueva o modificada sin borrar una sesin BGP activa. La caracterstica de route-refresh permite que se realice un restablecimiento suave por vecino y no requiere configuracin previa o memoria adicional. Los restablecimientos suaves entrantes y dinmicos se utilizan para generar actualizaciones entrantes de un vecino. Un restablecimiento suave saliente se utiliza para enviar un nuevo conjunto de actualizaciones a un vecino. Los restablecimientos salientes no requieren configuracin previa o almacenamiento de las actualizaciones de la tabla de enrutamiento.
127
La caracterstica de enrutamiento y actualizacin requiere que ambos interlocutores BGP notifiquen que admiten la funcin route-refresh en el mensaje de apertura (OPEN). Si el mtodo de route-refresh se negocia satisfactoriamente, cualquier interlocutor BGP puede utilizar la caracterstica de route-refresh para solicitar informacin completa sobre el enrutamiento desde el otro extremo.
NOTA:
Utilice el comando get neighbor dir_ip, un administrador puede verificar si se negoci la capacidad de route-refresh. El comando tambin muestra contadores, como el nmero de veces en que se envi o recibi la solicitud de route-refresh.
NOTA:
Si la caracterstica de route-refresh no est disponible, el comando lanza una excepcin cuando el administrador intenta utilizarla. WebUI Esta caracterstica no est disponible en WebUI. CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in
NOTA:
Una malla completa no implica que cada par de enrutadores est conectado directamente, sino que cada enrutador tiene que ser capaz de establecer y mantener una sesin IBGP con cada uno de los dems enrutadores.
128
Una configuracin de malla completa en las sesiones IBGP puede presentar problemas de ampliacin. Por ejemplo, en un AS con 8 enrutadores, cada uno de los 8 enrutadores necesitara intercomunicarse con los otros 7 enrutadores, lo que puede calcularse con esta frmula: Para un AS con 8 enrutadores, el nmero de sesiones IBGP de malla completa sera de 28. La reflexin de rutas es un mtodo para solucionar el problema de escalabilidad IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando as la necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman un clster, que se puede identificar por medio de una ID de clster. Los enrutadores situados fuera de ese clster lo consideran una nica entidad, en lugar de intercomunicarse de forma independiente con cada enrutador en malla completa. De esta forma se reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector, mientras que ste refleja rutas entre clientes. El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como reflector de rutas y se le puede asignar una identificacin de clster. Si especifica una identificacin de clster, la instancia de enrutamiento de BGP aade la identificacin del clster al atributo Cluster-List de una ruta. La ID de clster contribuye a evitar la formacin de bucles, puesto que la instancia de enrutamiento de BGP local descarta una ruta cuando su ID de clster aparece en la lista de clsteres de la ruta.
NOTA:
Antes de poder configurar una ID de clster, es necesario inhabilitar la instancia de enrutamiento de BGP. Despus de configurar un reflector de rutas en el enrutador virtual local, se definen los clientes del reflector. Es posible especificar direcciones IP individuales o un grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna configuracin en los clientes. En el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3. Sin reflexin de rutas, el cliente 3 notificar la ruta al dispositivo-A, pero el dispositivo-A no notificar esa ruta nuevamente a los clientes 1 y 2. Si configura el dispositivo-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 como sus clientes, el dispositivo-A notificar las rutas recibidas del cliente 3 a los clientes 1 y 2. Consulte la Figura 17.
129
Cliente 1 ID de enrutador 1.1.3.250 Dispositivo A ID de enrutador del reflector de rutas 1.1.1.250 Cliente 3 ID del enrutador 1.1.1.250
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance: Introduzca los siguientes datos, luego haga clic en Apply:
Route reflector: Enable Cluster ID: 99
> Configure (para IP remota 1.1.2.250): Seleccione Reflector Client, luego haga clic OK. > Configure (para Remote IP 1.1.3.250): Seleccione Reflector Client, luego haga clic OK. > Configure (para Remote IP 1.1.4.250): Seleccione Reflector Client, luego haga clic OK.
130
CLI
set vrouter trust-vr protocol bgp reflector set vrouter trust-vr protocol bgp reflector cluster-id 99 set vrouter trust-vr protocol bgp neighbor 1.1.2.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client set vrouter trust-vr protocol bgp neighbor 1.1.3.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.3.250 reflector-client set vrouter trust-vr protocol bgp neighbor 1.1.4.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.4.250 reflector-client save
IBGP
Subsistemas autnomos
Hay que especificar los siguientes datos por cada enrutador de una confederacin: El nmero de subsistema autnomo (nmero de AS especificado cuando se crea la instancia de enrutamiento BGP). La confederacin a la que pertenece el subsistema autnomo (nmero de AS visible para los enrutadores BGP fuera de la confederacin). Los nmeros de los otros subsistemas de la confederacin. Si la confederacin admite las normas RFC 1965 (predeterminado) o RFC 3065.
131
NOTA:
El atributo AS-Path (consulte Atributos de ruta en la pgina 111) se compone normalmente de una secuencia. Los ASs atravesados por la actualizacin de enrutamiento. La norma RFC 3065 permite que el atributo AS-Path incluya todos los AS que forman parte de la confederacin local atravesados por la actualizacin de enrutamiento. Figura 19muestra el dispositivo de seguridad como un enrutador BGP en el subsistema autnomo 65003 que pertenece a la confederacin 65000. Los otros subsistemas de la confederacin 65000 son 65002 y 65003.
Dispositivo de seguridad
Subsistemas autnomos
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos, luego haga clic en Apply:
AS Number (obligatorio): 65003
132
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados comunidades), que un enrutador BGP podr despus utilizar para controlar las rutas que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o modificar las comunidades de una ruta (si sta incluye el atributo de ruta Communities). Este atributo ofrece una tcnica alternativa para distribuir informacin de rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Puede utilizar el atributo Communities de muchas formas, pero su principal objetivo es simplificar la configuracin de directivas de enrutamiento en entornos de redes completos. La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un administrador de AS puede asignar a una comunidad una serie de rutas que precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones coloreado de rutas. Por ejemplo, es posible asignar un valor de comunidad a las rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen acceso. Hay dos tipos de comunidades: Una comunidad especfica est formada por un identificador de AS y un identificador de comunidad. Este ltimo es definido por el administrador de AS. Una comunidad bien conocida implica un manejo especial de las rutas que contienen esos valores de comunidad. A continuacin se muestran valores de comunidad bien conocida que se pueden especificar para las rutas BGP en el dispositivo de seguridad: no-export: las rutas con este atributo de ruta Communities no se notifican fuera de una confederacin BGP. no-advertise: las rutas con este atributo de ruta Communities no se notifican a otros interlocutores BGP. no-export-subconfed: las rutas con este atributo de ruta Communities no se notifican a interlocutores EBGP. Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de una lista de comunidad especificada, eliminar o asignar atributos a las rutas, agregar comunidades a la ruta o eliminarlas de ella. Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a Internet a sus clientes, cada una de las rutas de esos clientes podr recibir un nmero de comunidad especfico. A continuacin, esas rutas de clientes se notificarn a los ISP vecinos. Las rutas de otros ISP recibirn otros nmeros de comunidad y no se notificarn a los ISP vecinos.
133
Agregacin de rutas
La agregacin es una tcnica para resumir rangos de direcciones de enrutamiento (conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios parmetros opcionales que se pueden establecer al configurar una ruta agregada. Esta seccin contiene ejemplos de configuracin de rutas agregadas.
NOTA:
Si utiliza la opcin AS-Set con una ruta agregada, un cambio en una ruta contribuyente puede provocar que el atributo de la ruta agregada tambin cambie. Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta cambiado. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 AS-Set: (seleccione)
CLI
set vrouter trust protocol bgp set vrouter trust protocol bgp aggregate set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set set vrouter trust protocol bgp enable save NOTA:
134
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Summary-Only (seleccione)
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only save
En el ejemplo siguiente, filtrar las rutas del rango 1.2.3.0/24 para que sean eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello, primero configurar una lista de accesos que especifique las rutas a filtrar (1.2.3.0/24). A continuacin, configurar un mapa de rutas noadvert para permitir las rutas 1.2.3.0/24. Despus configurar una ruta agregada 1.0.0.0/8 y especificar el mapa de ruta noadvert como opcin de supresin para las actualizaciones salientes. WebUI Network > Routing > Virtual Routers > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 777 IP/Netmask: 1.2.3.0/24 Action: Permit (seleccione)
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: noadvert Sequence No.: 2 Action: Permit (seleccione) Match Properties: Access List (seleccione), 1 (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Route-Map (seleccione), noadvert (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 777 set vrouter trust-vr route-map name noadvert permit 2 set vrouter trust-vr route-map noadvert 2 match ip 1 set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert save
135
Network > Routing > Virtual Routers > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 3 Sequence No.: 999 IP/Netmask: 1.5.0.0/16 Action: Permit (seleccione)
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: advertset Sequence No.: 4 Action: Permit (seleccione) Match Properties: Access List (seleccione), 3 (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Advertise Map: advertset (seleccione)
CLI
set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888 set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999 set vrouter trust-vr route-map name advertset permit 4 set vrouter trust-vr route-map advertset 4 match ip 3 set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset save
136
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Attribute Map: aggmetric (seleccione)
CLI
set vrouter trust-vr route-map name aggmetric permit 5 set vrouter trust-vr route-map aggmetric 5 metric 1111 set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric save
137
138
Captulo 6
139
Visualizacin de la configuracin completa de enrutamiento basado en directivas en la pgina 150 Ejemplo de PBR avanzado en la pgina 150 PBR avanzado con alta disponibilidad y posibilidad de ampliacin en la pgina 155
140
Grupos de coincidencias
Los grupos de coincidencias proporcionan una manera de organizar (por grupo, nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias asocian el nmero de ID de lista de acceso extendida con un nombre de grupo de coincidencias nica y un nmero de ID de grupo de coincidencias. Este nmero de ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso extendidas al mismo grupo de coincidencias.
Grupos de acciones
Los grupos de acciones especifican la ruta que desea que tome el paquete. Se especifica la accin de la ruta al definir la siguiente interfaz, el salto siguiente o ambos. Cada entrada de accin configurada se supervisa para revisar la accesibilidad como se muestra a continuacin:
NOTA:
La supervisin de la accesibilidad no se refiere a las consultas del Protocolo de resolucin de direccin (ARP) de la capa 2 o seguimiento de la capa 3. Accesibilidad nicamente de la siguiente interfaz Si asocia la entrada de accin nicamente con la siguiente interfaz, el estado de conexiones determina la accesibilidad. Si la siguiente interfaz est activa, la entrada de accin es posible. Cualquier interfaz, incluyendo todas las interfaces lgicas, tales como de tnel, agregadas o redundantes, que son visibles en el VR en el cual reside la directiva, son candidatas para la siguiente interfaz. Por ejemplo, si configura la entrada de accin con una interfaz NULL, la entrada de accin es alcanzable todo el tiempo. Con una interfaz NULL como la siguiente interfaz, la consulta de PBR siempre tiene xito, de manera que ScreenOS detiene la consulta de rutas y descarta los paquetes. Accesibilidad nicamente de salto siguiente Si asocia el grupo de acciones nicamente con el salto siguiente, ste debe ser alcanzable a travs de una entrada de ruta en la tabla de enrutamiento de las rutas de destino. El salto siguiente configurado es alcanzable en tanto exista una ruta vlida en la tabla de enrutamiento de rutas de destino para resolver el salto siguiente. Accesibilidad de la siguiente interfaz y de salto siguiente Si configura la accesibilidad tanto para el salto siguiente como para la siguiente interfaz, el salto siguiente configurado debe ser alcanzable a travs de la siguiente interfaz configurada.
141
Si el salto siguiente es alcanzable a travs de la siguiente interfaz, la entrada de accin es alcanzable. Cualquier interfaz incluyendo todas las interfaces lgicas, tal como tnel, agregado o redundante, que son visibles en VR en el cual reside la directiva, son candidatas para ser la siguiente interfaz. ScreenOS descarta el paquete si el salto siguiente es alcanzable pero la siguiente interfaz es una interfaz NULL. Si configura la entrada de accin con una interfaz NULL como la siguiente interfaz y el salto siguiente como ruta esttica, ScreenOS pasa los paquetes a la ruta esttica. En el momento de la configuracin, tambin asigna un nmero de secuencia para especificar el orden en el cual desea que se procese la entrada de grupo de acciones.
NOTA:
142
172.24.76.71/22 El trfico de HTTP fluye de 172.18.2.10/24 al enrutador 172.24.76.2 El trfico de HTTPS fluye de 172.18.1.10/24 al enrutador 172.24.76.1
10.25.10.0/24
172.18.1.10/24
172.18.2.10/24
NOTA:
Opcionalmente, puede agregar tambin el nmero de tipo de servicio (TOS), el cual es un nmero de 1 a 255. En este ejemplo no se requiere un nmero TOS.
143
La lista de acceso 10 define la direccin IP de origen como 172.18.1.10, el puerto de destino como 80 y el protocolo como TCP. El punto de destino para la lista de acceso 10 define la direccin IP de destino como 172.18.2.10, el puerto de destino como 443 y el protocolo como TCP. La lista de acceso 20 define la direccin IP de origen como 172.18.2.10, el puerto de destino como 443 y el protocolo como TCP. El punto de destino para la lista de acceso 10 define la direccin IP de destino como 172.18.1.10, el puerto de destino como 80 y el protocolo como TCP. En la CLI despus de realizar la configuracin de la lista de acceso extendida, usted sale del contexto del enrutador virtual. El ejemplo de WebUI nicamente muestra la creacin de la lista de acceso 10. WebUI Network > Routing > PBR > Extended ACL List: Seleccione el enrutador virtual de la lista desplegable, luego haga clic en New para ver la pgina Configuration. Introduzca la siguiente informacin para crear las entradas de la lista de acceso 10:
Creacin de la lista de acceso 10
Extended ACL ID: 10 Sequence No.: 1 Source IP Address/Netmask: 172.18.1.10/32 Destination Port: 80-80 Protocol: TCP
Haga clic en OK. ScreenOS vuelve a una lista de listas de acceso. Haga clic en New para configurar una segunda entrada para la lista de acceso 10 e introduzca la siguiente informacin:
Creacin de la lista de acceso 10
Extended ACL ID: 10 Sequence No.: 2 Source IP Address/Netmask: 172.18.2.10/32 Destination Port: 443-443 Protocol: TCP
Haga clic en OK. ScreenOS lo regresa a una lista de listas de acceso. CLI
set vrouter trust-vr set access-list extended 10 src-ip 172.18.1.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 10 src-ip 172.18.2.10/32 dest-port 443-443 protocol tcp entry 2 set access-list extended 20 src-ip 172.18.2.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 20 src-ip 172.18.1.10/32 dest-port 443-443 protocol tcp entry 2 exit
144
CLI
set vrouter trust-vr set match-group name enrutador_izquierdo set match-group left ext-acl 10 match-entry 1 set match-group name enrutador_derecho set match-group right ext-acl 20 match-entry 1 exit
145
3. Configure los detalles del grupo de acciones. En este ejemplo, establecer la direccin de salto siguiente para cada grupo de acciones y luego asignar un nmero para indicar la prioridad de procesamiento. En este ejemplo, la prioridad de cada grupo de acciones es 1. WebUI Network > Routing > PBR > Action Group > Haga clic en New para ver la pgina Configuration CLI
set vrouter trust-vr set action-group name acci-derecha set action-group acci-derecha next-hop 172.24.76.2 action-entry 1 set action-group name acci-izquierda set action-group acci-izquierda next-hop 172.24.76.1 action-entry 1 exit
146
WebUI Network > Routing > PBR > Policy Binding CLI
set interface trust pbr directiva-redireccionar
147
Ejemplo:
set access-list dest-port 80-80 set access-list set access-list set access-list extended protocol extended extended extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 tcp entry 1 1 src-port 200-300 entry 2 2 dest-port 500-600 protocol udp entry 10 2 dest-ip 50.50.50.0/24 protocol udp entry 20
Ejemplo:
set set set set match-group match-group match-group match-group name pbr1_mg pbr1_mg ext-acl 1 match-entry 1 name pbr1_mg2 pbr1_mg2 ext-acl 2 match-entry 10
148
Ejemplo:
set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30
Ejemplo:
set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256
149
CLI
get vrouter trust-vr pbr policy name pbr1_policy
Ejemplo:
PBR policy: pbr1_policy in vr: trust-vr number of entries: 2 -----------------------------------------------PBR policy entry: 50 match-group: pbr1_mg2, action-group: pbr1_ag2 -----------------------PBR policy entry: 256 match-group: pbr1_mg, action-group: pbr1_ag ------------------------
Ejemplo:
set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256
NOTA:
Tambin podra configurar PBR para enviar trfico especfico para antispam, deep inspection (DI), prevencin y deteccin de intrusin (IDP), filtrado de web o cach. Puede combinar varios tipos de dispositivos de seguridad de Juniper Networks para que trabajen conjuntamente y proporcionen los servicios al mismo tiempo que mantienen una buena velocidad de procesamiento en la red y generan una carga de anlisis de AV aceptable. La Figura 21 muestra un dispositivo de seguridad que ejecuta PBR para dividir el trfico de AV de todo el otro trfico (derecha).
Figura 21: Enrutamiento selectivo por tipo de trfico
Trfico TCP
Analizador de AV Las directivas de PBR envan el trfico de HTTP, SMTP y POP3 a un analizador de AV.
Por ejemplo, si desea utilizar PBR para descargar nicamente el trfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicacin (AV).
NOTA:
Si nicamente tiene tres interfaces 10/100 disponibles, puede colocar un conmutador entre los dos dispositivos de seguridad y utilizar el etiquetado VLAN (802.1q) para configurar las mismas rutas para el trfico. En el siguiente ejemplo, realice los siguientes pasos para configurar el dispositivo de seguridad que proporciona las rutas de enrutamiento: 1. Configure el enrutamiento. 2. Configure PBR. 3. Enlace las directivas de PBR a las interfaces apropiadas. Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran nicamente los comandos CLI y la salida. Para obtener ms informacin sobre la configuracin de AV, consulte el Volumen 4: Deteccin ataques y mecanismos de defensa.
151
Enrutamiento
En este ejemplo, necesita crear dos zonas personalizadas. av-dmz-1 para trust-vr av-dmz-2 para untrust-vr Para configurar las zonas, introduzca los siguientes comandos:
set zone name av-dmz-1 set zone name av-dmz-2
Con la informacin que se muestra en la Tabla 15, configurar cuatro interfaces 10/100 Ethernet.
Tabla 15: Configuracin de interfaz para enrutamiento Nombre de interfaz
E1 E2 E3 E4
Zona
trust av-dmz-1 av-dmz-2 untrust
Enrutador virtual
trust-vr trust-vr untrust-vr untrust-vr
Direccin de IPv4
10.251.10.0/24 192.168.100.1/24 192.168.101.1/24 172.24.76.127/24
Despus de configurar las zonas, las interfaces y las rutas, necesita realizar las siguientes dos tareas: 1. Configure una ruta esttica de untrust-vr a trust-vr. Asigne una direccin IP de la puerta de enlace de 10.251.10.0/24 y un valor de preferencia de 20 a la entrada:
set vrouter "untrust-vr" set route 10.251.10.0/24 vrouter "trust-vr" preference 20 exit
2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la interfaz Trust a la interfaz Untrust:
set vrouter "trust-vr" set route 0.0.0.0/0 vrouter "untrust-vr" preference 20 exit
152
Mtr 0 0 0 0 0
Elementos PBR
Despus de configurar las interfaces y rutas, puede configurar PBR. Para que PBR funcione correctamente, debe configurar los siguientes elementos para trust-vr: Lista de acceso extendida Grupo de coincidencias Grupo de acciones Directiva de PBR
NOTA:
No necesita configurar una lista de acceso extendida para el trfico de regreso ya que el dispositivo de seguridad realiza una consulta de sesin antes que una consulta de rutas y luego aplica una directiva de PBR segn sea necesario. El trfico de retorno tiene una sesin existente. Cuando cualquier cliente en la subred 10.251.10.0/24 inicia el trfico que utiliza TCP al puerto 80, 110 25, desea que ScreenOS compare ese trfico con los criterios de lista de acceso extendida y realice la accin asociada con la lista de acceso. La accin obliga a ScreenOS a enrutar el trfico como usted indica, y no como otro trfico. Cada lista de acceso necesita tres entradas, una para cada tipo de trfico de TCP al que se dirige.
Ejemplo de PBR avanzado
153
Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes comandos:
set vrouter "trust-vr" set access-list extended 10 src-ip 10.251.10.0/24 dest-port 80-80 protocol tcp entry 1 set access-list extended 10 src-ip 10.251.10.0/24 dest-port 110-110 protocol tcp entry 2 set access-list extended 10 src-ip 10.251.10.0/24 dest-port 25-25 protocol tcp entry 3 exit
Grupos de coincidencias
Un grupo de coincidencias asocia una lista de acceso extendida con un nombre significativo al que se hace referencia en la directiva de PBR. Primero introduzca un contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente agregue una entrada que asocia el nombre del grupo de coincidencias recientemente creado con una lista de acceso y el nmero de entrada. Para crear grupos de coincidencias en trust-vr, introduzca los siguientes comandos:
set vrouter trust-vr set match-group name av-match-trust-vr set match-group av-match-trust-vr ext-acl 10 match-entry 1 exit
Grupos de acciones
A continuacin, crear un grupo de acciones, el cual indica a donde enviar el paquete. Para este ejemplo, crear un grupo de acciones para trust-vr con la accin establecida para enviar el trfico al salto siguiente.
estado de enlace activar/desactivar la directiva de enrutamiento. Con el salto siguiente, la accin se resuelve con el protocolo de resolucin de direccin (ARP). Para trust-vr, reenviar el trfico con la instruccin de siguiente salto a travs de 192.168.100.254 por medio de los siguientes comandos:
set vrouter trust-vr set action-group name av-action-redirect-trust-vr set action-group av-action-redirect-trust-vr next-hop 192.168.100.254 action-entry 1 exit
Directivas de PBR
A continuacin, definir la directiva de PBR, que requiere de los siguientes elementos: Nombre de la directiva de PBR
154
Nombre del grupo de coincidencias Nombre del grupo de acciones Para configurar la directiva de PBR, introduzca los siguientes comandos:
set vrouter trust-vr set pbr policy name av-redirect-policy-trust-vr set pbr policy av-redirect-policy-trust-vr match-group av-match-trust-vr action-group av-action-redirect-trust-vr 1 exit
Asociacin de interfaces
Finalmente, asociar la directiva de PBR a la interfaz de ingreso, e1. Para asociar la directiva de PBR a su interfaz de ingreso, introduzca los siguientes comandos:
set interface e1 pbr av-redirect-policy-trust-vr
NOTA:
155
156
Captulo 7
Enrutamiento multicast
Este captulo presenta los conceptos bsicos sobre el enrutamiento multicast. Incluye las siguientes secciones: Vista general en esta pgina Direcciones multicast en la pgina 158 Reenvo por rutas inversas en la pgina 158 Enrutamiento multicast en dispositivos de seguridad en la pgina 159 Tabla de enrutamiento multicast en la pgina 159 Configuracin de una ruta multicast esttica en la pgina 160 Listas de acceso en la pgina 161 Configurar Encapsulado de enrutamiento genrico en interfaces de tnel en la pgina 161 Directivas multicast en la pgina 163
Vista general
Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. Cualquier host puede ser un origen y los receptores pueden estar en cualquier punto de Internet. El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts, porque los enrutadores habilitados para multicast transmiten trfico multicast solamente a los hosts que desean recibirlo. Los hosts deben indicar su inters por recibir datos multicast y deben unirse a un grupo multicast para recibir los datos. Los enrutadores habilitados para multicast reenvan el trfico multicast solamente a los receptores interesados en recibirlo.
Vista general
157
Los entornos de enrutamiento multicast requieren los siguientes elementos para reenviar informacin multicast: Un mecanismo que se ejecute entre hosts y enrutadores para comunicar la informacin de miembros del grupo multicast. Los dispositivos de seguridad admiten las versiones 1, 2 y 3 del protocolo de administracin de grupo (IGMP). Los enrutadores y hosts utilizan IGMP slo para transmitir la informacin de miembros, no para reenviar ni enrutar trfico multicast. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165.) Un protocolo de enrutamiento multicast para alimentar la tabla de rutas multicast y reenviar datos a los hosts a travs de la red. Los dispositivos de seguridad de Juniper Networks admiten multicast independiente de protocolo modo Sparse (PIM-SM) y multicast independiente de protocolo modo de origen especfico (PIM-SSM). (Para obtener informacin sobre PIM-SM y PIM-SSM, consulte el Multicast independiente de protocolo en la pgina 191). Alternativamente, puede utilizar la funcin IGMP proxy para reenviar trfico multicast sin sobrecargar la CPU con la ejecucin de un protocolo de enrutamiento multicast. (Para obtener ms informacin, consulte Proxy de IGMP en la pgina 173). Las siguientes secciones presentan los conceptos bsicos utilizados en el enrutamiento multicast.
Direcciones multicast
Cuando un origen enva trfico multicast, la direccin de destino es una direccin del grupo multicast. Las direcciones del grupo multicast son direcciones de clase D desde la 224.0.0.0 hasta la 239.255.255.255.
158
Vista general
Origen 3.3.3.6
ethernet1 1.1.1.1
El dispositivo de seguridad comprueba si la interfaz de entrada coincide con la de salida para los paquetes destinados al remitente. Consulta en la tabla de rutas DST IF GATE 0.0.0.0.eth1 --10.1.1.0 eth3 ---1.1.1.0 eth1 ---
159
A continuacin se incluye un ejemplo de una tabla de enrutamiento multicast PIM-SM en el enrutador virtual trust-vr:
trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 0:06:24/Flags: LF Zone: Untrust Upstream : ethernet1/2 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 00:06:24/00:02:57 Join 0.0.0.0 FC (20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune Zone: Untrust Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust Upstream : ethernet1/1 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 0:06:24/Join 236.1.1.1 20.20.20.200 FC
160
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1 oif ethernet3 out-group 238.2.2.1 save
Listas de acceso
Una lista de acceso es una lista de una secuencia de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (acepta o rechaza la ruta). En el enrutamiento multicast, una instruccin tambin puede contener una direccin de grupo multicast. En el enrutamiento multicast, usted crea listas de acceso para permitir el trfico multicast a determinados grupos o hosts multicast. Por lo tanto, el estado de la accin o del reenvo siempre es Permit. No se pueden crear listas de acceso para denegar el acceso a determinados grupos o hosts. (Para obtener informacin adicional sobre listas de acceso, consulte Configuracin de una lista de acceso en la pgina 41.)
NOTA:
Puede habilitar GRE en una interfaz de tnel asociada a una interfaz de bucle invertido, siempre que la interfaz de bucle invertido se encuentre en la misma zona que la interfaz saliente. Para obtener informacin sobre las interfaces de bucle invertido, consulte Interfaces de bucle invertido en la pgina 2-57. Si desea transmitir paquetes multicast a travs de un tnel VPN IPSec entre un dispositivo de seguridad de Juniper Networks y un dispositivo o enrutador de otro fabricante, debe habilitar GRE. Los dispositivos de seguridad tienen limitaciones especficas de cada plataforma en cuanto al nmero de interfaces salientes a travs de las cuales se pueden transmitir paquetes multicast. En grandes entornos de VPN radiales (hub-and-spoke o cubo y radios), en los que el dispositivo de seguridad es el cubo, se puede evitar esta limitacin al crear un tnel GRE entre el enrutador de sentido ascendente del dispositivo de seguridad situado en el cubo y los dispositivos de seguridad situados en los radios.
161
En la Figura 23, el enrutador-A se encuentra en sentido ascendente con respecto al dispositivo-A. El enrutador-A tiene dos tneles GRE que terminan en el dispositivo-1 y dispositivo-2. El dispositivo-A est conectado al dispositivo-1 y al dispositivo-2 a travs de tneles VPN. Antes de que el enrutador-A transmita paquetes multicast, primero los encapsula en paquetes unicast IPv4. El dispositivo-A recibe estos paquetes como paquetes unicast y los enva al dispositivo-1 y al dispositivo-2.
Figura 23: GRE en interfaces de tnel
Origen
Internet
Dispositivo-1
Dispositivo-2
Receptores
Receptores
En este ejemplo, configurar la interfaz de tnel en el dispositivo-1. Realizar los pasos siguientes: 1. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trust-vr. 2. Habilitar la encapsulacin de GRE en el tunnel.1. 3. Especificar los puntos terminales local y remoto del tnel GRE. Este ejemplo muestra la configuracin de GRE solamente para el dispositivo de seguridad. (Para obtener informacin sobre las VPN, consulte el Volume 5: Virtual Private Networks).
162
WebUI Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego haga clic en Apply:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos, luego haga clic en Apply:
Encap: GRE (seleccione) Local Interface: ethernet3 Destination IP: 3.3.3.1
CLI
set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 set interface tunnel.1 tunnel encap gre set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1 save
Directivas multicast
De forma predeterminada, los dispositivos de seguridad de Juniper Networks no permiten que el trfico de control multicast, como mensajes IGMP o PIM, pase por los dispositivos de seguridad. Para permitir trfico de control multicast entre las zonas, debe configurar una directiva multicast que especifique lo siguiente: Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo Multicast: El grupo multicast cuyo trfico de control multicast desea que el dispositivo de seguridad permita. Puede especificar uno de los siguientes: La direccin IP del grupo multicast Una lista de accesos que defina a los grupos multicast a los que los hosts pueden unirse La palabra clave any, para permitir el trfico de control multicast para cualquier grupo multicast Trfico de control multicast: El tipo de mensaje de control multicast: mensajes IGMP o mensajes PIM. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165. Para obtener informacin sobre PIM, consulte Multicast independiente de protocolo en la pgina 191.)
Directivas multicast
163
Adems, puede especificar lo siguiente: Direccin multicast traducida: El dispositivo de seguridad puede traducir una direccin del grupo multicast de una zona interna a una direccin distinta en la interfaz de salida. Para traducir una direccin de grupo, debe especificar tanto la direccin multicast original como la direccin del grupo multicast traducida en la directiva multicast. Bi-direccional: Puede crear una directiva bidireccional para aplicarla a ambos sentidos del trfico.
NOTA:
Las directivas multicast solamente controlan el flujo del trfico de control de multicast. Para permitir el paso del trfico de datos (tanto unicast como multicast) entre las zonas, debe configurar directivas de cortafuegos. (Para obtener informacin sobre las directivas, consulte el Volumen 2: Fundamentos). No ordene directivas multicast como hara con las directivas de cortafuegos. De este modo, la directiva multicast ms reciente no sobrescribe ninguna anterior en caso de conflicto. En lugar de ello, el dispositivo de seguridad selecciona la coincidencia ms larga para resolver cualquier conflicto, igual que hacen otros protocolos de enrutamiento. Si encuentra una subred ms pequea que cumpla el criterio de consulta, utilizar esa directiva.
NOTA:
Para ver un ejemplo de configuracin de una directiva multicast para mensajes IGMP, consulte Creacin de una directiva de grupo multicast para IGMP en la pgina 178. Para ver un ejemplo de configuracin de una directiva multicast para mensajes PIM, consulte Definicin de una directiva de grupo multicast para PIM-SM en la pgina 201.
164
Directivas multicast
Captulo 8
165
Vista general
El protocolo multicast para administracin de grupos de Internet (IGMP) se utiliza entre hosts y enrutadores para establecer y mantener miembros de grupos multicast en una red. Los dispositivos de seguridad admiten las siguientes versiones de IGMP: IGMPv1, segn lo definido en la norma RFC 1112, Extensiones de host para multicast IP, define las operaciones bsicas para miembros de grupos multicast. IGMPv2, segn lo definido en la norma RFC 2236, Protocolo de administracin de grupos de Internet, versin 2, ampla la funcionalidad de IGMPv1. IGMPv3, segn lo definido en la norma RFC 3376, Protocolo de administracin de grupos de Internet, Versin 3, permite la filtracin de orgenes. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. IGMPv3 es necesario para ejecutar multicast independiente de protocolo en modo de origen especfico (PIM-SSM). (Para obtener ms informacin, consulte PIM-SSM en la pgina 197). El protocolo IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener los miembros de grupos multicast. Los protocolos de enrutamiento multicast, como PIM, procesan la informacin de miembros IGMP, crean entradas en la tabla de enrutamiento multicast y reenvan el trfico multicast a los hosts a travs de la red. Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts y enrutadores intercambian para mantener actualizada la informacin de miembro de grupos a travs de la red. Los hosts y los enrutadores que ejecutan versiones ms recientes de IGMP pueden funcionar con los que ejecuten versiones de IGMP anteriores.
Hosts
Los hosts envan mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qu hosts son miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 16 enumera los mensajes de IGMP que los hosts envan y el destino de los mensajes.
Tabla 16: Mensajes de host IGMP Versin de IGMP
IGMPv1 y v2
Mensaje de IGMP
Destino
Un host enva un informe de miembro la primera vez que se une a un grupo Direccin IP del grupo multicast y peridicamente, una vez que ya es miembro del grupo. El informe de multicast al que el host miembros indica a qu grupo multicast desea unirse el host. desea unirse Un host enva un informe de miembro la primera vez que se une a un grupo 224.0.0.22 multicast y peridicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la direccin multicast del grupo, el modo de filtracin, que es incluir o excluir y una lista de orgenes. Si el modo de filtracin es incluir, entonces los paquetes procedentes de las direcciones de la lista de origen se aceptan. Si el modo de filtracin es excluir, entonces los paquetes procedentes de orgenes distintos a los de la lista de origen se aceptan. Un host enva un mensaje Leave group cuando desea dejar el grupo multicast y dejar de recibir datos para ese grupo. grupo de todos los enrutadores (224.0.0.2)
IGMPv3
IGMPv2
166
Vista general
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qu grupos multicast tienen miembros en su red local. Cada red selecciona un enrutador designado, denominado el consultador. Generalmente, hay un consultador para cada red. El consultador enva mensajes IGMP a todos los hosts de la red para solicitar informacin de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la informacin de estos mensajes y actualizan su lista de miembros de grupos basndose en cada interfaz. Los enrutadores IGMPv3 mantienen una lista que incluye la direccin del grupo multicast, el modo de filtracin (incluir o excluir) y la lista de orgenes.
NOTA:
Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la direccin IP ms baja de la red. La Tabla 17 describe los mensajes que un contestador enva y los destinos.
Mensaje de IGMP
El consultador enva peridicamente consultas generales para solicitar la informacin de miembros de grupos.
Destino
grupo de todos los hosts (224.0.0.1).
El consultador enva una consulta especfica de grupo cuando recibe un El grupo multicast del que va a mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que salir el host. indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese grupo en su red local y deja de reenviar el trfico multicast a ese grupo. El consultador enva una consulta especfica de grupo y origen para verificar si hay algn receptor para ese grupo y origen especfico. El grupo multicast del que va a salir el host.
IGMPv3
167
CLI
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save
Para borrar la configuracin de IGMP introduzca el comando unset interface interfaz protocol igmp router.
168
Despus de crear una lista de accesos, aplquela a una interfaz. Una vez que aplique una lista de accesos a una interfaz, sta aceptar trfico solamente de los orgenes especificados en la lista de accesos. Por lo tanto, para denegar trfico procedente de un determinado grupo, host o consultador multicast, simplemente exclyalo de la lista de accesos. (Para obtener informacin adicional sobre listas de accesos, consulte Configuracin de una lista de acceso en la pgina 41). En este ejemplo, crear una lista de acceso en el trust-vr. La lista de accesos especifica lo siguiente: La identificacin de la lista de accesos es 1. Permitir el trfico a un grupo multicast 224.4.4.1/32. El nmero secuencial de esta declaracin es 1. Despus de crear la lista de accesos, permita que los hosts de ethernet1 se unan al grupo multicast especificado en la lista de accesos. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione)
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK:
Accept Groups Access List ID: 1
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 save
Configuracin de IGMP
Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks, simplemente habiltelo en modo enrutador en las interfaces que estn conectadas directamente a los hosts. Para garantizar la seguridad de la red, utilice las listas de accesos para limitar el trfico multicast slo a grupos, hosts y enrutadores multicast conocidos. En la Figura 24, los hosts de la zona Trust protegida por el dispositivo de seguridad NS1 son receptores potenciales del flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1 y ethernet2 estn conectadas a los hosts. El origen multicast est transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos siguientes para configurar IGMP en las interfaces que estn conectadas a los hosts: 1. Asigne direcciones IP a las interfaces y enlcelas a zonas. 2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.
169
3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. 4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes IGMP del grupo multicast 224.4.4.1/32.
Figura 24: Ejemplo de configuracin de IGMP
ethernet1 10.1.1.1/24
Origen Enrutador designado de origen ethernet3 1.1.1.1/24 NS1 ethernet 2 10.1.2.1/24 Zona Trust
Zona Untrust
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust IP Address/Netmask: 10.1.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit
170
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24
2. Lista de accesos
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save
Despus de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar el trfico multicast. (Para obtener informacin sobre PIM, consulte Multicast independiente de protocolo en la pgina 191).
Para enviar una consulta especfica de grupo desde ethernet2 al grupo multicast 224.4.4.1, introduzca el siguiente comando:
exec igmp interface ethernet2 query 224.4.4.1
171
Para enviar un informe de miembros de una interfaz en particular, utilice el comando exec igmp interface interfaz report. Por ejemplo, para enviar un informe de miembro desde ethernet2, introduzca el siguiente comando:
exec igmp interface ethernet2 report 224.4.4.1
Puede revisar los parmetros IGMP de una interfaz al introducir el comando siguiente:
device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds
Este resultado enumera la siguiente informacin: IGMP versin (2) Estado del consultador (yo soy el consultador.) Set and unset parameters Para mostrar informacin sobre grupos multicast, ejecute el siguiente comando CLI:
device-> get igmp group total groups matched: 1 multicast group interface *224.4.4.1 trust
172
Tabla 18: Parmetros de la interfaz del consultador de IGMP y valores predeterminados Parmetros de la interfaz IGMP
General query interval Maximum response time Last Member Query Interval
Descripcin
El intervalo en el cual la interfaz consultadora enva consultas generales al grupo de todos los hosts (224.0.0.1). El tiempo mximo entre una consulta general y la respuesta procedente del host.
Valor predeterminado
125 segundos 10 segundos
El intervalo en el que la interfaz enva una consulta especfica de grupo. Si no 1 segundo recibe ninguna respuesta despus de la segunda consulta especfica de grupo, asume que no hay ms miembros en ese grupo en su red local.
De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente acepta paquetes IGMP con la opcin router-alert IP y descarta los paquetes que no tienen esta opcin. Los paquetes IGMPv1 no tienen esta opcin y, por lo tanto, un dispositivo de seguridad que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de forma predeterminada. Puede configurar el dispositivo de seguridad para dejar de comprobar si los paquetes IGMP contienen la opcin router-alert IP y aceptar todos los paquetes IGMP, hacindolo compatible con versiones anteriores de enrutadores IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los paquetes IGMP: WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los siguientes datos y haga clic en OK:
Packet Without Router Alert Option: Permit (seleccione)
CLI
set interface ethernet1 protocol igmp no-check-router-alert save
Proxy de IGMP
Los enrutadores esperan y envan mensajes IGMP slo a sus hosts conectados; no reenvan mensajes IGMP ms all de su red local. Puede permitir que las interfaces de un dispositivo de seguridad de Juniper Networks reenven mensajes IGMP un salto ms all de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces conectadas a hosts funcionan como enrutadores y aquellas conectadas a enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y enrutador generalmente estn en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para permitir que el trfico de datos multicast pase entre zonas, tambin debe configurar una directiva de cortafuegos.
Proxy de IGMP
173
En los dispositivos que admiten mltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raz (vsys) y la otra interfaz en vsys separados. A continuacin, cree una directiva multicast para permitir trfico de control multicast entre los dos sistemas virtuales. (Para obtener ms informacin sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.) Mientras las interfaces reenvan informacin de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que estn asociadas, formando un rbol de distribucin multicast desde los receptores hasta el origen. Las siguientes secciones describen cmo las interfaces de hosts y enrutadores IGMP reenvan la informacin de miembros de IGMP en sentido ascendente hacia el origen, y cmo reenvan datos multicast en sentido descendente desde el origen hasta el receptor.
174
Proxy de IGMP
2. La interfaz del enrutador proxy de IGMP comprueba si hay alguna entrada para el grupo multicast: En caso afirmativo, ignora el informe de miembros. En caso negativo y si no hay ninguna directiva multicast para el grupo, descarta el informe de miembros. En caso negativo, pero si existe alguna directiva multicast para el grupo, crea una entrada (*, G) en la tabla de rutas multicast, con el host como iif y el enrutador como oif. Reenva el informe en sentido ascendente hacia la interfaz del host en la zona especificada en la directiva multicast. 1. Los hosts envan informes de miembros en sentido ascendente.
Zona Untrust
Zona Trust
Receptores
Proxy de IGMP
175
176
Proxy de IGMP
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust IP Address/Netmask: 10.1.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply:
Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
2. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24
2. IGMP
set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save
Proxy de IGMP
177
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional save
178
Proxy de IGMP
3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy est habilitado en las interfaces de host). a. b. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para permitir que reenve el trfico multicast aunque no sea consultador. De forma predeterminada, una interfaz IGMP slo acepta paquetes IGMP de su propia subred. En el ejemplo, las interfaces estn en subredes diferentes. Cuando habilite IGMP, permita que las interfaces acepten paquetes IGMP (consultas, informes de miembros y mensajes leave) procedentes de cualquier subred.
4. Configurar las rutas. 5. Configurar el tnel VPN. 6. Configurar una directiva para transmitir trfico de datos entre zonas. 7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas. En este ejemplo, restringir el trfico multicast a un grupo multicast (224.4.4.1/32).
Figura 26: Configuracin de IGMP proxy entre dos dispositivos
Elementos relacionados con NSI Zona Trust ethernet3 2.2.2.2/24 Interfaz de tnel, tunnel.1 NS1 Receptores Internet NS2 Tnel VPN Interfaz de tnel, tunnel.1 ethernet3 3.1.1.1/24 Elementos relacionados con NS2 ethernet1 10.3.1.1/24 Zona Untrust
Zona Untrust
Zona Trust
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT
Proxy de IGMP
179
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy (seleccione): Always (seleccione)
4. Rutas
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK.
Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
180
Proxy de IGMP
>> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Security Level: Compatible Phase 1 Proposal (para nivel de seguridad compatible): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7. Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust IP Address/Netmask: 10.3.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 3.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego haga clic en Apply:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Proxy de IGMP
181
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.1/24 Zone: Untrust
3. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione)
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4. Rutas
Network > Routing > Routing Entries > New (trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1 Preshared Key: fg2g4hvj Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Security Level: Compatible Phase 1 Proposal (para nivel de seguridad compatible): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)
182
Proxy de IGMP
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
7. Directiva multicast
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
Proxy de IGMP
183
7.
Directivas multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
CLI (NS2)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.3.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 10.2.2.1/24
3. IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface tunnel.1 protocol igmp host set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4hvj proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. Directiva
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust igmp-message bi-directional save
184
Proxy de IGMP
Receptores
Internet ethernet2
ethernet1
Origen
Proxy de IGMP
185
En la Figura 28, el origen est conectado a la interfaz ethernet2, enlazada a la zona DMZ en NS2. Est enviando trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. Tambin hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2: 1. Asignar direcciones IP a las interfaces fsicas enlazadas a las zonas de seguridad. 2. Crear los objetos de direcciones. 3. En ethernet1 y ethernet2: a. b. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy. Especifique la palabra clave always (siempre) para permitir que las interfaces reenven trfico multicast incluso aunque no sean consultadores.
4. Habilitar IGMP en modo host en ethernet3. 5. Configurar la ruta predeterminada. 6. Configurar las directivas de cortafuegos entre las zonas. 7. Configurar las directivas multicast entre las zonas.
NOTA:
ethernet3 2.2.2.2/24 Host del proxy IGMP de la zona Untrust NS2 Internet
Receptores
Origen 3.2.2.5
186
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 3.2.2.5/32 Zone: DMZ
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy-host IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.2/32 Zone: Untrust
Proxy de IGMP
187
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione)
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione)
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.250
5. Directiva
Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
188
Proxy de IGMP
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy-host Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
6. Directiva multicast
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 3.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address dmz source-dr 3.2.2.5/32 set address untrust proxy-host 2.2.2.2/32
3. IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp proxy always set interface ethernet2 protocol igmp enable set interface ethernet3 protocol igmp host set interface ethernet3 protocol igmp no-check-subnet set interface ethernet3 protocol igmp enable
Proxy de IGMP
189
4.
Ruta
set policy from dmz to trust source-dr mgroup1 any permit set policy from dmz to untrust source-dr mgroup1 any permit set policy from untrust to trust proxy-host mgroup1 any permit
6. Directivas multicast
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust igmp-message bi-directional set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message bi-directional set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
190
Proxy de IGMP
Captulo 9
191
Parmetros de la interfaz PIM-SM en la pgina 214 Definicin de una directiva vecina en la pgina 214 Definicin de un lmite bootstrap en la pgina 215 Configuracin de un punto de encuentro del proxy en la pgina 215 PIM-SM e IGMPv3 en la pgina 225
Vista general
El Multicast independiente de protocolo (PIM) es un protocolo de enrutamiento multicast que se ejecuta entre enrutadores. Mientras que el protocolo de administracin de grupos de Internet (IGMP) se ejecuta entre equipos y enrutadores para intercambiar informacin de miembros del grupo multicast, PIM se ejecuta entre enrutadores para reenviar el trfico multicast a los miembros del grupo multicast de toda la red. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165.)
Figura 29: IGMP
Origen
Internet
Los protocolos de enrutamiento multicast, tales como PIM-SM, completan la tabla de rutas multicast y redireccionan los datos a los hosts de toda la red.
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
192
Vista general
Para ejecutar PIM, tambin debe configurar rutas estticas o un protocolo de enrutamiento dinmico. PIM se denomina protocolo independiente porque utiliza la tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus comprobaciones RPF (reenvo por rutas inversas), pero no depende de la funcionalidad del protocolo de enrutamiento unicast. (Para obtener informacin sobre RPF, consulte Reenvo por rutas inversas en la pgina 158). PIM puede funcionar de los modos siguientes: El modo PIM-Dense (PIM-DM) enva grandes cantidades de trfico multicast a travs de la red y luego corta las rutas a hacia los receptores que no desean recibir trfico multicast. El modo PIM-Sparse (PIM-SM) reenva el trfico multicast solamente a los receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden utilizar el rbol de ruta compartida o el rbol de ruta ms corta (SPT) para reenviar la informacin multicast. (Para obtener ms informacin, consulte rboles de distribucin multicast en la pgina 194). El modo multicast especfico del origen PIM (PIM-SSM) est derivado del PIM-SM. Igual que PIM-SM, reenva trfico multicast slo a los receptores interesados. A diferencia de PIM-SM, forma inmediatamente un SPT al origen. Los dispositivos de seguridad de Juniper Networks admiten PIM-SM, segn la definicin draft-ietf-pim-sm-v2-new-06, as como PIM-SSM segn la definicin RFC 3569, Vista general de Multicast especfico de origen (SSM). Para obtener informacin sobre PIM-SM, consulte PIM-SM. Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 197.
PIM-SM
PIM-SM es un protocolo de enrutamiento multicast que reenva trfico multicast slo a los receptores interesados. Puede utilizar un rbol de distribucin compartido o el rbol de ruta ms corta (SPT) para reenviar trfico multicast a travs de la red. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 194). De forma predeterminada, PIM-SM utiliza el rbol de distribucin compartido con un punto de encuentro (RP) en la raz del rbol. Todos los orgenes de un grupo envan sus paquetes al RP, y el RP enva datos en direccin descendente por el rbol de distribucin compartido a todos los receptores de la red. Cuando se alcanza un umbral configurado, los receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los receptores recibir los datos multicast.
NOTA:
De forma predeterminada, los dispositivos de seguridad de Juniper Networks conmutan al SPT en el momento de recibir el primer byte. Con independencia del rbol utilizado para distribuir el trfico, slo los receptores que explcitamente se unan a un grupo multicast pueden recibir el trfico enviado a ese grupo. PIM-SM utiliza la tabla de enrutamiento unicast para realizar sus operaciones de reenvo por rutas inversas (RPF) al recibir mensajes de control multicast y utiliza la tabla de enrutamiento multicast para enviar trfico de datos multicast a los receptores.
Vista general
193
RP
Receptores
Receptores
Enrutador designado
Cuando en una red de rea local (LAN) multiacceso hay varios enrutadores multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del origen es responsable de enviar los paquetes multicast desde el origen al RP y a los receptores que estn en el rbol de distribucin especfico del origen. El DR en la LAN de los receptores es responsable de reenviar mensajes join-prune desde los receptores al RP, y de enviar el trfico de datos multicast a los receptores de la LAN. Los receptores envan mensajes join-prune cuando desean unirse a un grupo multicast o salir de l. El DR se selecciona a travs de un proceso de seleccin. Cada enrutador PIM-SM de una LAN tiene una prioridad DR que el usuario configura. Los enrutadores de PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (hello) que envan peridicamente a sus vecinos. Cuando los enrutadores reciben los mensajes de saludo, seleccionan el enrutador con la prioridad DR ms alta como DR para la LAN. Si varios enrutadores coinciden en tener la prioridad DR ms alta, el enrutador con la direccin IP ms alta se convertir en el DR de la LAN.
194
Vista general
Vista general
195
Enrutador designado (DR) 3. El RP desencapsula los mensajes REGISTER y enva paquetes multicast a los receptores.
Receptores
Receptores
Si la velocidad de transmisin de los datos del DR de origen alcanza un umbral configurado, el RP enva un mensaje PIM-SM join hacia el DR de origen, de modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes REGISTER. Cuando el DR de origen recibe el mensaje join, enva los paquetes multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes multicast del DR, enva al DR un mensaje register-stop. Cuando el DR recibe el mensaje register-stop, deja de enviar los mensajes REGISTER y enva los datos multicast nativos, que el RP enva en sentido descendente a los receptores. El host se une a un grupo Cuando un host se une a un grupo multicast, enva un mensaje IGMP join a ese grupo multicast. Cuando el DR de la LAN del host recibe el mensaje IGMP join, consulta el grupo en el RP. Crea una entrada (*, G) en la tabla de rutas multicast y enva un mensaje PIM-SM join a su RPF vecino en sentido ascendente hacia el RP. Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM join, realiza el mismo proceso de consulta RP y tambin comprueba si el mensaje join viene de un RPF vecino. Si es as, remite el mensaje PIM-SM join hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM join alcanza el RP. Cuando el RP recibe el mensaje join, enva los datos multicast en sentido descendente hacia el receptor.
196
Vista general
Punto de encuentro RP 1. Los hosts envan mensajes join de IGMP para el grupo multicast. Hosts/Receptores
Hosts/Receptores
Cada enrutador en sentido descendente realiza una comprobacin del RPF cuando recibe los datos multicast. Cada enrutador comprueba si recibi los paquetes multicast de la interfaz que utiliza para enviar trfico de datos hacia el RP. Si la comprobacin del RPF es correcta, el enrutador busca una entrada de reenvo (*, G) coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el origen en la entrada, que se convierte en una entrada (S, G) y reenva los paquetes multicast en sentido descendente. Este proceso contina en sentido descendente a lo largo del rbol de distribucin hasta que el host recibe los datos multicast. Cuando la velocidad de transmisin de datos alcanza un umbral configurado, el DR de la LAN del host puede formar el rbol de ruta ms corta directamente al origen multicast. Cuando el DR comienza a recibir trfico de datos directamente del origen, enva un mensaje prune especfico del origen en sentido ascendente hacia el RP. Cada enrutador intermedio corta del rbol de distribucin la conexin con el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de enviar trfico de datos multicast en sentido descendente hacia esa rama en particular del rbol de distribucin.
PIM-SSM
Adems de PIM-SM, los dispositivos de seguridad tambin admiten multicast especfico de origen PIM (SSM). PIM-SSM sigue el modelo de origen especfico (SSM) donde el trfico multicast se transmite a los canales, no slo a los grupos multicast. Un canal consiste en un origen y un grupo multicast. Un receptor se suscribe a un canal con un origen conocido y un grupo multicast. Los receptores proporcionan informacin sobre el origen a travs de IGMPv3. El enrutador designado en la LAN enva mensajes al origen y no a un punto de encuentro (RP).
Vista general
197
El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones PIM-SSM estn garantizadas dentro de este rango de direcciones. El dispositivo de seguridad manipula los informes de miembros IGMPv3 para los grupos multicast dentro del rango de direcciones 232/8 tal y como se muestra a continuacin: Si el informe contiene un modo de filtro include, el dispositivo enva el informe directamente a los orgenes de la lista de origen. Si el informe contiene un modo de filtro exclude, el dispositivo descarta el informe. No procesa informes (*, G) para los grupos multicast del rango de direcciones 232/8. Los pasos para configurar PIM-SSM en un dispositivo de seguridad son iguales a los necesarios para configurar PIM-SM pero con las siguientes diferencias: Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2 est habilitado de forma predeterminada en los dispositivos de seguridad). Cuando configure una directiva de grupo multicast, autorice los mensajes join-prune. (Los mensajes bootstrap no se utilizan). No configure un punto de encuentro. Las siguientes secciones explican la manera de configuracin de PIM-SM en dispositivos de seguridad.
198
Las siguientes secciones describen los pasos bsicos para la configuracin de PIM-SM en un dispositivo de seguridad. Creacin y habilitacin de una instancia PIM-SM en un VR Habilitacin de PIM-SM en las interfaces Configuracin de una directiva multicast para permitir que los mensajes PIM-SM pasen por el dispositivo de seguridad
199
CLI
set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable save
200
Mensajes Static-RP-BSR
Los mensajes Static-RP-BSR contienen informacin sobre los puntos de encuentro estticos (RP) y las asignaciones de grupo RP dinmicas. La configuracin de una directiva multicast que permita asignaciones estticas de RP y mensajes bootstrap (BSR) de una zona a otra, habilita el dispositivo de seguridad para que comparta las asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre dos enrutadores virtuales. Los enrutadores son capaces de memorizar las asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los RP en todas las zonas. Cuando el dispositivo de seguridad recibe un mensaje BSR, comprueba que venga de su vecino de reenvo por rutas inversas (RPF). A continuacin comprueba si hay directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que no estn autorizados en la directiva multicast y enva el mensaje BSR a los grupos permitidos en todas las zonas de destino que estn autorizadas por la directiva.
Mensajes Join-Prune
Las directivas de grupo multicast tambin controlan los mensajes join-prune. Cuando el dispositivo de seguridad recibe un mensaje join-prune para un origen y grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF vecino y la interfaz de la tabla de enrutamiento unicast. Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido descendente, la validacin de la directiva multicast no es necesaria. Si la interfaz RPF se encuentra en otra zona, el dispositivo de seguridad comprueba si hay una directiva multicast que permita mensajes join-prune para el grupo entre la zona de interfaz en sentido descendente y la zona de la interfaz RPF. Si hay una directiva multicast que permite mensajes join-prune entre las dos zonas, el dispositivo de seguridad reenva el mensaje a la interfaz RPF. Si no hay directiva multicast que permita mensajes join-prune entre las dos zonas, se descarta el mensaje join-prune.
201
CLI
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust pim-message bsr-static-rp join-prune bi-directional save
NOTA:
Si un dispositivo de seguridad se configura con varios enrutadores virtuales, todos los enrutadores virtuales deben tener las mismas opciones PIM-SM.
202
Algunos dispositivos de seguridad de Juniper Networks admiten varios sistemas virtuales. (Para obtener informacin sobre los sistemas virtuales, consulte Volumen 10: Sistemas virtuales). La configuracin de PIM-SM en un sistema virtual es igual que la configuracin de PIM-SM en el sistema raz. Si va a configurar PIM-SM en dos enrutadores virtuales que se encuentran en sistemas virtuales diferentes, debe configurar un proxy RP. (Para obtener informacin sobre la configuracin de un proxy RP, consulte Configuracin de un punto de encuentro del proxy en la pgina 215.) En este ejemplo, configurar PIM-SM en un enrutador trust-vr. Desea que los hosts de la zona Trust reciban trfico de datos multicast para el grupo multicast 224.4.4.1/32. Configurar el RIP como el protocolo de enrutamiento unicast en el enrutador trust-vr y cree una directiva de cortafuegos para permitir el trfico de datos entre las zonas Trust y Untrust. Crear una instancia PIM-SM en el enrutador trust-vr y habilitar PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en ethernet3 en la zona Untrust. Todas las interfaces estn en modo de ruta. A continuacin, configurar IGMP en ethernet1 y ethernet2, que estn conectados con los receptores. Finalmente, crear una directiva multicast que permita los mensajes static-RP-BSR y join-prune entre las zonas.
203
Punto de encuentro
ethernet3 1.1.1.1/24
Receptores
ethernet1 10.1.1.1/24
Zona Trust
ethernet2 10.1.2.1/24
Receptores
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
204
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 6.6.6.1/24 Zone: Untrust
3. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en OK:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
4. RIP
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: Seleccione Enable RIP y haga clic en OK. Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
RIP Instance: (seleccione) Protocol RIP: Enable (seleccione)
205
5.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione los siguientes datos, luego haga clic en OK.
Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para ethernet2) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para ethernet3) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7. Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static RP: (seleccione) Join/Prune: (seleccione)
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
206
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 6.6.6.1/24
3. IGMP
interface ethernet1 protocol igmp router interface ethernet1 protocol igmp enable interface ethernet2 protocol igmp router interface ethernet2 protocol igmp enable
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface ethernet3 protocol rip enable
5. PIM-SM
set vrouter trust-vr protocol pim set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface ethernet2 protocol pim set interface ethernet2 protocol pim enable set interface ethernet3 protocol pim set interface ethernet3 protocol pim enable
6. Directiva
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
Verificacin de la configuracin
Para verificar la configuracin de PIM-SM, ejecute el siguiente comando:
device-> get vrouter trust protocol pim PIM-SM enabled Number of interfaces : 1 SPT threshold : 1 Bps PIM-SM Pending Register Entries Count : 0 Multicast group accept policy list: 1 Virtual Router trust-vr - PIM RP policy -------------------------------------------------Group Address RP access-list Virtual Router trust-vr - PIM source policy -------------------------------------------------Group Address Source access-list
Verificacin de la configuracin
207
device->get vrouter trust protocol pim mroute trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone: Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/(10.10.10.1/24, 238.1.1.1) Zone: Trust Upstream : ethernet1/1 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/01:54:20/State Expires Join 0.0.0.0 01:56:35/00:00:42 State Expires Join Flags: LF : Joined : FC Flags: TLF Register Prune
: Joined : 20.20.20.200 FC
236.1.1.1
En cada entrada de la ruta puede verificar lo siguiente: El estado (S, G) o estado de reenvo (*, G) Si el estado de reenvo es (*, G), la direccin IP del RP; si el estado de reenvo es (S, G), la direccin IP de origen Zona que posee la ruta El estado de join y las interfaces entrantes y salientes Valores del temporizador Para visualizar los puntos de encuentro en cada zona, ejecute el siguiente comando:
device-> get vrouter trust protocol pim rp Flags : I - Imported, A - Always(override BSR mapping) C - Static Config, P - Static Proxy ----------------------------------------------------------------------------Trust 238.1.1.1/32 RP: 10.10.10.10 192 Static C Registering : 0 Active Groups : 1 238.1.1.1 Untrust 236.1.1.1/32 RP: 20.20.20.10 192 Static P Registering : 0 Active Groups : 1 236.1.1.1
208
Verificacin de la configuracin
Para verificar que hay un vecino de reenvo por rutas inversas, ejecute el siguiente comando:
device-> get vrouter trust protocol pim rpf Flags : RP address - R, Source address - S Address RPF Interface RPF Neighbor Flags ------------------------------------------------------10.10.11.51 ethernet3 10.10.11.51 R 10.150.43.133 ethernet3 10.10.11.51 S
Para visualizar el estado de los mensajes join-prune que el dispositivo de seguridad enva a cada vecino de un enrutador virtual, ejecute el siguiente comando:
device-> get vrouter untrust protocol pim join Neighbor Interface J/P Group Source --------------------------------------------------------------------1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1 (S,G) J 224.11.1.1 60.60.0.1
209
WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 2 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK:
Zone: Trust (seleccione) Address: 1.1.1.5 Access List: 2 Always: (seleccione)
CLI
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1 set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always save
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.2.2.1/32 Action: Permit
210
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos, luego haga clic en OK.
Interface: ethernet1 (seleccione) Access List: 1 (seleccione) Priority: 200
CLI
set set set set set interface ethernet1 protocol pim interface ethernet1 protocol pim enable vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1 mgroup-list 1 priority 200 save
211
WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.2.2.1/32 Action: Permit
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance: Seleccione los siguientes datos y haga clic en Apply:
Access Group: 1 (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 set vrouter trust-vr protocol pim accept-group 1 save
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32 Accept Source: 5 (seleccione) 212
Consideraciones sobre seguridad
CLI
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5 save
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32 Accept RP: 6 (seleccione)
CLI
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6 save
213
Descripcin
Valor predeterminado
Controla adyacencias vecinas. Para Desactivado obtener informacin adicional, consulte Definicin de una directiva vecina en la pgina 214. Especifica el intervalo en el que la interfaz 30 segundos enva mensajes de saludo a sus enrutadores vecinos. Especifica la prioridad de la interfaz para la eleccin del enrutador designado. 1
Hello interval
Especifica el intervalo, en segundos, en el 60 segundos que la interfaz enva mensajes join-prune. Especifica que la interfaz es un lmite bootstrap. Para obtener informacin adicional, consulte Definicin de un lmite bootstrap en la pgina 215. Desactivado
214
WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1 Sequence No.: 1 IP/Netmask: 2.1.1.1/24 Action: Permit
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2 IP/Netmask: 2.1.1.3/24 Action: Permit
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
Accepted Neighbors: 1
CLI
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1 set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2 set interface ethernet1 protocol pim neighbor-policy 1 save
215
En los dispositivos de seguridad de Juniper Networks, las interfaces asociadas a zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada zona se debe encontrar en un dominio PIM-SM diferente. Por ejemplo, si las interfaces de la zona Trust estn en modo NAT y las interfaces de la zona Untrust estn en modo de ruta, cada zona se debe encontrar en un dominio PIM-SM diferente. Adems, al configurar PIM-SM a travs de dos enrutadores virtuales que se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe estar en un dominio PIM-SM independiente. Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un RP proxy. Un RP proxy acta como un RP para grupos multicast memorizado de otro dominio PIM-SM, ya sea a travs de un RP esttico o a travs de mensajes bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su dominio, funciona como la raz del rbol de distribucin compartido y puede formar el rbol de ruta ms corta al origen. Puede configurar un RP proxy por cada zona en un enrutador virtual. Para configurar un RP proxy en una zona, debe configurar un RP candidato (C-RP) en dicha zona. A continuacin, el dispositivo de seguridad notifica la direccin IP del C-RP como la direccin IP del RP proxy. Cuando configure el C-RP, no especifique cualquier grupo multicast en la lista de grupo multicast. Esto permite que el C-RP acte como el RP proxy de cualquier grupo importado de otra zona. Si especifica grupos multicast, el C-RP funciona como el RP verdadero para los grupos especificados en la lista. Si hay un BSR en la zona, el RP proxy se notifica a s mismo como el RP para los grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy, ste funciona como el RP esttico para los grupos multicast importados de otras zonas. A continuacin debe configurar la direccin IP del C-RP como el RP esttico en todos los dems enrutadores de la zona. El RP proxy admite el uso de IP asignadas (MIP) para la traduccin de la direccin de origen. Una MIP es una asignacin directa (1:1) de una direccin IP a otra. Puede configurar una MIP cuando desee que el dispositivo de seguridad traduzca a otra direccin una direccin privada de una zona cuyas interfaces estn en modo NAT. Cuando un host de la MIP en la zona de un proxy RP enva un mensaje REGISTER, el dispositivo de seguridad traduce el origen IP a direccin MIP y enva un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo de seguridad recibe el mensaje join-prune para una direccin MIP, el dispositivo asigna la MIP a la direccin origen inicial y la enva al origen. El RP proxy tambin admite la traduccin de direcciones de grupos multicast entre las zonas. Puede configurar una directiva multicast que especifique la direccin original del grupo multicast y la direccin del grupo multicast traducida. Cuando el dispositivo de seguridad recibe un mensaje join-prune en una interfaz de la zona del RP proxy, traduce el grupo multicast, si es necesario, y enva el mensaje join al RP verdadero.
216
Considere el siguiente caso: ethernet1 en la zona Trust est en modo NAT, y ethernet3 en la zona Untrust est en modo de ruta. Hay una MIP para el origen en la zona Trust. El origen en la zona Trust enva trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores tanto en la zona Trust como en la zona Untrust. Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las zonas Trust y Untrust. La zona Trust se configura como el RP proxy. El RP y el BSR estn en la zona Untrust.
Figura 34: Ejemplo de punto de encuentro del proxy
ethernet1, modo NAT Zona Trust ethernet3, modo de rutas
Origen
Receptores
Receptores
A continuacin se indica el flujo de datos: 1. El origen enva datos al grupo multicast 224.4.4.1/32. 2. El enrutador designado (DR) encapsula los datos y enva mensajes REGISTER hacia el RP. 3. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a direccin IP del origen inicial a la direccin IP de la MIP. A continuacin reenva el mensaje hacia el RP para el grupo multicast. 4. El proxy RP enva entradas (*, G) al RP verdadero. 5. Los receptores de la zona Trust envan mensajes join al RP proxy. 6. El RP proxy enva los paquetes multicast a los receptores de la zona Trust.
217
Para configurar un RP proxy, debe hacer lo siguiente: 1. Cree una instancia PIM-SM en un enrutador virtual especfico. 2. Habilite PIM-SM en las interfaces apropiadas. 3. Configure el RP candidato en la zona del proxy RP. 4. Configure el RP proxy. En este ejemplo, los dispositivos de seguridad NS1 y NS2 estn conectados a travs de un tnel VPN. Ambos dispositivos ejecutan el protocolo de enrutamiento dinmico, BGP. Configure PIM-SM en ethernet1 y tunnel.1 en NS1 y en NS2. A continuacin, en NS2, configure ethernet1 como RP esttico, y cree un RP proxy en la zona Trust del enrutador trust-vr.
Figura 35: Ejemplo de configuracin del RP proxy
Elementos relacionados con NS2 Zona Untrust Zona Trust
Interfaz de tnel, tunnel.1 Origen ethernet3 4.1.1.1/24 VPN NS1 Enrutador bootstrap Punto de encuentro actual Receptore ethernet1 10.2.2.1/24 ethernet3 2.2.2.2/24 Interfaz de tnel, tunnel.1
Receptores
Zona Untrust
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT
218
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.4.1.0/24 Zone: Untrust
3. PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione Protocol PIM: Enable, luego haga clic en OK. Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
4. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK.
Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 4.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
Configuracin de un punto de encuentro del proxy
219
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway:
Security Level: Compatible Phase 1 Proposal (para nivel de seguridad compatible): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)
5. BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance.
AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 4.1.1.1 Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de agregar): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, luego haga clic en Add. A continuacin, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en Add de nuevo. Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes datos, luego haga clic en Apply:
Protocol BGP: Enable (seleccione)
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
220
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.4.1.1/24 Seleccione NAT y luego haga clic en Apply.
> IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router Protocol IGMP: Enable (seleccione)
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: corp IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: Untrust
221
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione Protocol PIM: Enable, luego haga clic en OK. Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK:
Zone: Trust (seleccione) Address:10.4.1.1/24
4. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway:
Security Level: Compatible Phase 1 Proposal (para nivel de seguridad compatible): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)
5. BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance.
AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
222
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 2.2.2.2 Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de agregar): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: En el campo IP/Netmask, introduzca 4.1.1.0/24 y luego haga clic en Add. En el campo IP/Netmask, introduzca 10.4.1.0/24, luego haga clic en Add. Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol BGP: Enable, luego haga clic en Apply.
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), corp Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7. Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust branch 10.4.1.0/24
223
3.
PIM-SM
set vrouter trust-vr set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface tunnel.1 protocol pim set interface tunnel.1 protocol pim enable
4. Tnel VPN
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To-Branch3 sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24
5. BGP
set vrouter trust-vr router-id 10 set vrouter trust-vr protocol bgp 6500 set vrouter trust-vr protocol bgp enable set vrouter trust-vr protocol bgp neighbor 4.1.1.1 set vrouter trust-vr protocol bgp network 2.2.2.0/24 set vrouter trust-vr protocol bgp network 10.2.2.0/24 set interface ethernet3 protocol bgp enable set interface ethernet3 protocol bgp neighbor 4.1.1.1
6. Directiva
set policy name To-Branch from untrust to trust branch any any permit
7. Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
CLI (NS2)
1. Interfaces
set interface ethernet 1 zone trust set interface ethernet 1 ip 10.4.1.1/24 set interface ethernet 1 protocol igmp router set interface ethernet 1 protocol igmp enable set interface ethernet 3 zone untrust set interface ethernet 3 ip 4.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust corp 2.2.2.0/24
3. PIM-SM
set vrouter trust protocol pim set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface tunnel.1 protocol pim set interface tunnel.1 protocol pim enable set vrouter trust protocol pim zone trust rp proxy set vrouter trust protocol pim zone trust rp candidate interface ethernet1 set vrouter trust protocol pim enable
224
4.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24
5. BGP
set vrouter trust-vr router-id 10 set vrouter trust-vr protocol bgp 6500 set vrouter trust-vr protocol bgp enable set vrouter trust-vr protocol bgp neighbor 2.2.2.2 set vrouter trust-vr protocol bgp network 4.1.1.0/24 set vrouter trust-vr protocol bgp network 10.4.1.0/24 set interface ethernet3 protocol bgp neighbor 2.2.2.2
6. Directiva
set policy name To-Corp from untrust to trust corp any any permit
7. Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
PIM-SM e IGMPv3
Los dispositivos NetScreen admiten las versiones 1, 2 y 3 del protocolo de administracin de grupos de Internet (IGMP). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts que reciben los datos para un grupo multicast pueden recibir datos desde cualquier origen que enve datos al grupo multicast. Los informes de miembros de IGMP v1 y v2 slo indican a qu grupos multicast desean unirse los hosts. No contienen informacin sobre los orgenes del trfico de datos multicast. Cuando PIM-SM recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas multicast, permitiendo que cualquier origen realice envos al grupo multicast. A esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a un grupo multicast sin conocer el origen que enva datos al grupo. La red cuenta con la informacin sobre el origen. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. El informe de miembro IGMPv3 contiene la direccin del grupo multicast, el modo de filtracin, que es include o exclude y una lista de orgenes. Si el modo de filtro es include, los receptores aceptan trfico multicast solamente de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de miembros IGMPv3 con una lista de origen y un modo de filtro include, crea entradas (S, G) en la tabla de rutas multicast para todos los orgenes de la lista de origen.
PIM-SM e IGMPv3
225
Si el modo de filtro es exclude, los receptores no aceptan trfico multicast de los orgenes que se encuentran en la lista; aceptan trfico multicast del resto de orgenes. Cuando PIM-SM recibe un informe de miembros IGMPv3 con lista de origen y un modo del filtro exclude, crea una entrada (*, G) para el grupo y enva un mensaje prune para los orgenes de la lista de origen. En este caso, puede ser que necesite configurar un punto de encuentro si los receptores no conocen la direccin del origen.
226
PIM-SM e IGMPv3
Captulo 10
Vista general
El protocolo de descubrimiento del enrutador de ICMP (IRDP) es un intercambio de mensajes de ICMP entre un host y un enrutador. El dispositivo de seguridad es el enrutador y notifica la direccin de IP de una interfaz especificada peridicamente o segn solicitud. Si el host est configurado para escuchar, puede configurar el dispositivo de seguridad para que enve notificaciones peridicamente. Si de manera explcita, el host enva solicitudes al enrutador, puede configurar el dispositivo de seguridad para que responda segn la solicitud.
NOTA:
IRDP no est disponible en todas las plataformas. Revise su hoja de datos para verificar si esta funcin est disponible a travs de su dispositivo de seguridad.
Vista general
227
ScreenOS admite un IRDP por interfaz. Debe asignar una direccin de IP antes que el IRDP est disponible en esa interfaz. De forma predeterminada, esta funcin est desactivada. Puede configurar esta funcin en un ambiente de alta disponibilidad (HA) con el protocolo de redundancia NetScreen (NSRP).
228
Ajustes predeterminados
Ajustes alternativos
Direcciones de IP primaria y Notificacin, puede agregar un valor de preferencia (-1 al 2147483647) secundaria notificadas Direcciones de IP de administracin y de webauth no notificadas
Broadcast-address Init Advertise Interval Init Advertise Packet Lifetime Max Advertise Interval Min Advertise Interval Response Delay
Desactivado 16 segundos 3
Habilitada 1 a 32 segundos 1 al 5
tres veces el valor del intervalo Valor de intervalo mximo de mximo de notificacin notificacin de hasta 9000 segundos 600 segundos 75% del valor del intervalo mximo de notificacin 2 segundos 4 a 1800 segundos 3 a travs del valor del intervalo mximo de notificacin 0 a 4 segundos
Difusin de la direccin
De forma predeterminada, excepto para el mensaje de notificacin de difusin inicial cuando IRDP se habilita, la interfaz no enva notificaciones de difusin. La direccin predeterminada es 224.0.0.1 (todos los hosts en la red). Para configurar la direccin de difusin predeterminada para la interfaz Untrust, introduzca el siguiente comando:
set interface untrust protocol irdp broadcast-address
Configuracin del protocolo de descubrimiento de enrutador de ICMP
229
230
Deshabilitacin de IRDP
Puede inhabilitar una interfaz para impedirle la ejecucin de IRDP, pero en tal caso ScreenOS borrar toda la memoria relacionada con la configuracin original. Para inhabilitar la interfaz Trust e impedirle que ejecute IRDP, introduzca el siguiente comando:
unset interface trust protocol irdp enable
Deshabilitacin de IRDP
231
232
ndice
A
reas OSPF .....................................................................48 definicin .................................................................54 interfaces, asignacin a ..........................................55
E
ECMP .........................................................................37, 61 Encapsulado de enrutamiento genrico (GRE) .........161 Enrutadores BGP adicin ....................................................................125 agregacin ..............................................................134 atributos, configuracin ........................................126 notificacin condicional........................................125 peso, establecimiento ...........................................126 predeterminado, rechazo .....................................121 redistribucin .........................................................123 reflexin .................................................................129 supresin ................................................................134 Enrutadores OSPF adyacencia ...............................................................50 creacin de instancia OSPF en enrutador virtual .....................................................................53 designado .................................................................50 designado de respaldo ............................................50 tipos ..........................................................................49 Enrutadores RIP alternativa ................................................................99 rechazo predeterminado ........................................94 redistribucin ...........................................................84 resumen, configuracin ..........................................98 enrutadores virtuales vase VR enrutamiento esttico ...........................................1, 2 a 9 configuracin .............................................................4 Interfaz Null, reenvo en .........................................10 multicast .................................................................160 utilizacin ...................................................................3 enrutamiento multicast IGMP .......................................................................165 PIM ..........................................................................191 enrutamiento segn el origen (SBR) ............................18 enrutamiento segn la interfaz de origen (SIBR) .......20 enrutamiento, multicast ..............................................157 equilibrio de cargas segn coste de cada ruta......37, 61
B
BGP atributos de ruta ....................................................111 comunidades .........................................................133 confederaciones ....................................................131 configuraciones, seguridad ..................................120 configuraciones, verificacin ...............................119 enrutador ...............................................................112 enrutador virtual, creacin de una instancia en 113 equilibrio de carga ..................................................37 expresiones regulares ...........................................124 interno ....................................................................112 introduccin al protocolo .....................................110 lista de acceso AS-path .........................................124 parmetros .............................................................122 tipos de mensaje ...................................................110 vecinos, autenticacin ..........................................120 BGP, configuracin grupos de interlocutores.......................................115 interlocutores .........................................................115 pasos .......................................................................112 BGP, habilitacin en interfaz ..............................................................114 en VR ......................................................................113
C
circuitos de demanda, RIP..........................................101 configuracin punto a multipunto OSPF .........................................................................71 consulta de rutas mltiple VR ..............................................................35 secuencia ..................................................................33
D
directivas multicast .................................................................163
I
IGMP configuracin, bsica ............................................169 configuracin, verificacin ...................................171 consultador ............................................................167
ndice
IX-I
directivas, multicast .............................................. 178 interfaces, habilitar en.......................................... 167 listas de accesos, uso ............................................ 168 Mensajes de host ................................................... 166 parmetros .................................................... 171, 172 interfaces, habilitar IGMP en ...................................... 167 Interfaz Null, definiendo las rutas con ........................ 10
P
PIM-SM ..........................................................................193 configuracin de puntos de encuentro ...............209 configuraciones de seguridad ..............................211 enrutador designado .............................................194 IGMPv3 ...................................................................225 instancias, creacin ..............................................199 parmetros de interfaz .........................................214 pasos de configuracin .........................................198 proxy RP ................................................................215 puntos de encuentro .............................................195 trfico, reenvo ......................................................195 PIM-SSM........................................................................197 Protocolo de administracin de grupos de Internet vase IGMP Protocolo de informacin de enrutamiento vaseRIP Proxies de IGMP ..........................................................173 emisor.....................................................................185 en interfaces ..........................................................176
L
listas de acceso enrutamiento multicast ........................................ 161 IGMP ....................................................................... 168 para rutas ................................................................. 41 PIM-SM ................................................................... 211
M
multicast rboles de distribucin ......................................... 194 direcciones ............................................................. 158 directivas ................................................................ 163 directivas para IGMP............................................. 178 reenvo por rutas inversas ................................... 158 rutas estticas ........................................................ 160 tablas de enrutamiento ........................................ 159 Multicast independiente de protocolo vase PIM
R
RIP autenticacin de vecinos ........................................92 base de datos ...........................................................99 configuracin de circuito de demanda ...............101 equilibrio de carga ..................................................37 filtrado de vecinos ...................................................93 instancias, creacin en VR .....................................82 interfaces, habilitar en ............................................83 inundaciones, proteccin contra ...........................94 parmetros de interfaz ...........................................90 parmetros globales................................................89 punto a multipunto ...............................................103 resumen de prefijo ..................................................98 versiones ..................................................................96 versiones, protocolo................................................96 RIP, configuracin circuitos de demanda ...........................................101 pasos .........................................................................81 seguridad ..................................................................92 RIP, visualizacin base de datos ...........................................................86 detalles de interfaz ..................................................88 detalles de protocolo...............................................86 informacin de vecinos ..........................................87 rutas exportacin ..............................................................43 filtrado ......................................................................41 importar ...................................................................43 mapas .......................................................................39
N
Nmeros de sistema autnomo (AS) ........................ 113
O
Open Shortest Path First vase OSPF OSPF rea de rutas internas ............................................. 49 rea no exclusiva de rutas internas ...................... 49 conexiones virtuales ............................................... 62 configuracin de seguridad.................................... 67 equilibrio de carga .................................................. 37 interfaces, asignacin a reas ............................... 55 interfaces, tnel....................................................... 71 inundacin, LSA reducida ...................................... 71 inundaciones, proteccin contra ........................... 69 LSA, supresin ......................................................... 70 notificaciones de estado de conexiones............... 48 parmetros de interfaz ........................................... 64 parmetros globales ............................................... 61 pasos de configuracin........................................... 52 protocolo de saludo ................................................ 50 punto a multipunto ................................................. 71 red punto a punto ................................................... 50 redes de difusin ..................................................... 50 soporte de ECMP ..................................................... 61 tipo de conexin, establecimiento ........................ 72
IX-II
ndice
ndice
mtricas ....................................................................32 preferencia ...............................................................31 redistribucin...........................................................38 seleccin ...................................................................31 Rutas BGP, agregadas agregacin ..............................................................134 AS-Path en ..............................................................136 AS-Set en ................................................................134 atributos de ............................................................137 Rutas OSPF predeterminadas, rechazo .....................................69 redistribucin...........................................................59 redistribuido, resumen ...........................................60 restriccin route-deny, inhabilitacin ...................72
V
VR ............................................................................38 a 44 BGP ...............................................................112 a 120 ECMP ........................................................................37 en vsys ......................................................................27 ID de enrutador .......................................................23 listas de acceso ........................................................41 mtricas de ruta ......................................................32 modificar ..................................................................22 OSPF .................................................................51 a 70 RIP .....................................................................81 a 96 SBR ............................................................................18 SIBR...........................................................................20 uso de dos ................................................................24 VR, rutas exportacin ..............................................................43 filtrado ......................................................................41 importar....................................................................43 mapas .......................................................................39 preferencia ...............................................................31 redistribucin ...........................................................38 seleccin ...................................................................31 VR, tablas de enrutamiento consulta ....................................................................33 consulta en mltiples VR ........................................35 entradas mximas...................................................30
S
Supresin de notificaciones de estado de conexiones (LSA) .............................................................................70
T
tablas de enrutamiento .................................................15 consulta ....................................................................33 consulta en mltiples VR ........................................35 multicast .................................................................159 seleccin de rutas ....................................................31 tipos ..........................................................................15
ndice
IX-III
IX-IV
ndice