Enrutamiento - Juniper Networks
Enrutamiento - Juniper Networks Enrutamiento - Juniper Networks
Conceptos y ejemplos Manual de referencia de ScreenOS Volumen 7: Enrutamiento Versión 5.3.0, Rev. B Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net Número de pieza: 093-1665-000-SP, Revisión B
- Page 2 and 3: ii Copyright Notice Copyright © 2
- Page 4 and 5: Conceptos y ejemplos, Manual de Ref
- Page 6 and 7: Conceptos y ejemplos, Manual de Ref
- Page 8 and 9: Conceptos y ejemplos, Manual de Ref
- Page 10 and 11: Conceptos y ejemplos, Manual de Ref
- Page 12 and 13: Conceptos y ejemplos, Manual de Ref
- Page 14 and 15: Conceptos y ejemplos, Manual de Ref
- Page 16 and 17: Conceptos y ejemplos, Manual de Ref
- Page 18 and 19: Conceptos y ejemplos, Manual de Ref
- Page 20 and 21: 5 Ruta predeterminada Conceptos y e
- Page 22 and 23: Conceptos y ejemplos, Manual de Ref
- Page 24 and 25: Conceptos y ejemplos, Manual de Ref
- Page 26 and 27: Conceptos y ejemplos, Manual de Ref
- Page 28 and 29: Conceptos y ejemplos, Manual de Ref
- Page 30 and 31: Conceptos y ejemplos, Manual de Ref
- Page 32 and 33: Conceptos y ejemplos, Manual de Ref
- Page 34 and 35: Conceptos y ejemplos, Manual de Ref
- Page 36 and 37: Conceptos y ejemplos, Manual de Ref
- Page 38 and 39: Conceptos y ejemplos, Manual de Ref
- Page 40 and 41: Conceptos y ejemplos, Manual de Ref
- Page 42 and 43: Conceptos y ejemplos, Manual de Ref
- Page 44 and 45: Conceptos y ejemplos, Manual de Ref
- Page 46 and 47: Conceptos y ejemplos, Manual de Ref
- Page 48 and 49: Conceptos y ejemplos, Manual de Ref
- Page 50 and 51: Conceptos y ejemplos, Manual de Ref
Conceptos y ejemplos<br />
Manual de referencia de ScreenOS<br />
Volumen 7:<br />
<strong>Enrutamiento</strong><br />
Versión 5.3.0, Rev. B<br />
<strong>Juniper</strong> <strong>Networks</strong>, Inc.<br />
1194 North Mathilda Avenue<br />
Sunnyvale, CA 94089<br />
USA<br />
408-745-2000<br />
www.juniper.net<br />
Número de pieza: 093-1665-000-SP, Revisión B
ii <br />
Copyright Notice<br />
Copyright © 2005 <strong>Juniper</strong> <strong>Networks</strong>, Inc. All rights reserved.<br />
<strong>Juniper</strong> <strong>Networks</strong> and the <strong>Juniper</strong> <strong>Networks</strong> logo are registered trademarks of <strong>Juniper</strong> <strong>Networks</strong>, Inc. in the United States and other countries. All other<br />
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of <strong>Juniper</strong> <strong>Networks</strong> or their respective<br />
owners. All specifications are subject to change without notice. <strong>Juniper</strong> <strong>Networks</strong> assumes no responsibility for any inaccuracies in this document or for<br />
any obligation to update information in this document. <strong>Juniper</strong> <strong>Networks</strong> reserves the right to change, modify, transfer, or otherwise revise this publication<br />
without notice.<br />
FCC Statement<br />
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A<br />
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the<br />
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and<br />
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential<br />
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.<br />
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency<br />
energy. If it is not installed in accordance with <strong>Juniper</strong> Network’s installation instructions, it may cause interference with radio and television reception.<br />
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC<br />
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no<br />
guarantee that interference will not occur in a particular installation.<br />
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user<br />
is encouraged to try to correct the interference by one or more of the following measures:<br />
Reorient or relocate the receiving antenna.<br />
Increase the separation between the equipment and receiver.<br />
Consult the dealer or an experienced radio/TV technician for help.<br />
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.<br />
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.<br />
Disclaimer<br />
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED<br />
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED<br />
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.<br />
Writer: Kristine Conley<br />
Editor: Lisa Eldridge
Contenido<br />
Acerca de este volumen ix<br />
Convenciones del documento ......................................................................... ix<br />
Convenciones de la interfaz de línea de comandos (CLI) ...........................x<br />
Convenciones para las ilustraciones ......................................................... xi<br />
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii<br />
Convenciones de la interfaz gráfica (WebUI) .......................................... xiii<br />
Documentación de <strong>Juniper</strong> <strong>Networks</strong>............................................................ xiv<br />
Capítulo 1 <strong>Enrutamiento</strong> estático 1<br />
Vista general ....................................................................................................2<br />
Cómo funciona el enrutamiento estático ...................................................2<br />
Cuándo configurar rutas estáticas..............................................................3<br />
Configurar rutas estáticas ..........................................................................5<br />
Ajustar rutas estáticas .........................................................................5<br />
Establecer una ruta estática para una interfaz de túnel .......................8<br />
Habilitar el seguimiento de las puertas de enlace ......................................9<br />
Reenviar tráfico a la interfaz nula...................................................................10<br />
Impedir búsqueda de rutas en otras tablas de enrutamiento ...................10<br />
Impedir que el tráfico de túnel se envíe a través de interfaces<br />
que no sean de túnel.........................................................................10<br />
Impedir la creación de bucles por las rutas resumidas.............................11<br />
Rutas permanentemente activas ....................................................................11<br />
Cambiar la preferencia de enrutamiento con rutas múltiples<br />
de igual coste...........................................................................................12<br />
Capítulo 2 <strong>Enrutamiento</strong> 13<br />
Vista general ..................................................................................................14<br />
Tablas de enrutamiento del enrutador virtual.................................................15<br />
Tabla de enrutamiento basada en destinos..............................................16<br />
Tabla de enrutamiento basada en el origen .............................................17<br />
Tabla de enrutamiento basada en la interfaz de origen ...........................20<br />
Crear y modificar enrutadores virtuales .........................................................22<br />
Modificar enrutadores virtuales ...............................................................22<br />
Asignar una ID del enrutador virtual........................................................23<br />
Reenviar tráfico entre enrutadores virtuales ............................................23<br />
Configurar dos enrutadores virtuales .......................................................24<br />
Crear y eliminar enrutadores virtuales.....................................................26<br />
Crear un enrutador virtual personalizado ..........................................27<br />
Eliminar un enrutador virtual personalizado .....................................27<br />
Enrutadores virtuales y sistemas virtuales ...............................................27<br />
Crear un enrutador virtual en un Vsys...............................................28<br />
Compartir rutas entre enrutadores virtuales......................................29<br />
Limitar el número máximo de entradas de la tabla de enrutamiento ......30<br />
Contenido iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
iv Contenido<br />
Ejemplos y características del enrutamiento ..................................................31<br />
Seleccionar rutas .....................................................................................31<br />
Establecer una preferencia de ruta....................................................31<br />
Métricas de ruta ................................................................................32<br />
Cambiar la secuencia predeterminada de consulta de rutas..............33<br />
Consultar rutas en múltiples enrutadores virtuales............................36<br />
Configurar el enrutamiento de rutas múltiples de igual coste...................37<br />
Redistribuir rutas.....................................................................................39<br />
Configurar un mapa de rutas.............................................................40<br />
Filtrar rutas .......................................................................................42<br />
Configurar una lista de acceso...........................................................42<br />
Redistribuir rutas en OSPF ................................................................43<br />
Exportar e importar rutas entre enrutadores virtuales .............................44<br />
Configurar una regla de exportación .................................................45<br />
Configurar la exportación automática ...............................................46<br />
Capítulo 3 Protocolo OSPF 47<br />
Vista general ..................................................................................................48<br />
Áreas .......................................................................................................48<br />
Clasificación de enrutadores....................................................................49<br />
Protocolo de saludo .................................................................................50<br />
Tipos de redes .........................................................................................50<br />
Redes de difusión..............................................................................50<br />
Redes punto a punto .........................................................................50<br />
Redes punto a multipunto.................................................................51<br />
Notificaciones de estado de conexiones ..................................................51<br />
Configuración básica de OSPF .......................................................................51<br />
Crear y eliminar una instancia de enrutamiento de OSPF........................53<br />
Crear una instancia de OSPF.............................................................53<br />
Eliminar una instancia de OSPF ........................................................53<br />
Crear y eliminar un área OSPF ................................................................54<br />
Crear un área OSPF...........................................................................54<br />
Eliminar un área OSPF......................................................................55<br />
Asignar interfaces a un área OSPF...........................................................55<br />
Asignar interfaces a áreas .................................................................55<br />
Configurar un rango de áreas............................................................56<br />
Habilitar OSPF en interfaces....................................................................56<br />
Habilitar OSPF en interfaces .............................................................56<br />
Inhabilitar OSPF en una interfaz .......................................................57<br />
Comprobar la configuración ....................................................................58<br />
Redistribución de rutas en protocolos de enrutamiento .................................59<br />
Resumen de rutas redistribuidas ....................................................................60<br />
Resumen de rutas redistribuidas .............................................................60<br />
Parámetros globales de OSPF ........................................................................61<br />
Notificar la ruta predeterminada..............................................................62<br />
Conexiones virtuales ...............................................................................63<br />
Crear una conexión virtual................................................................63<br />
Crear una conexión virtual automática..............................................65<br />
Ajustar parámetros de interfaz OSPF .............................................................65<br />
Configuración de seguridad............................................................................67<br />
Autenticar vecinos ...................................................................................67<br />
Configurar una contraseña de texto no cifrado .................................68<br />
Configurar una contraseña MD5 .......................................................68<br />
Configurar una lista de vecinos de OSPF .................................................68
Rechazar rutas predeterminadas .............................................................69<br />
Proteger contra inundaciones..................................................................70<br />
Configurar un límite de saludo ..........................................................70<br />
Configurar un límite de LSAs.............................................................70<br />
Habilitar la inundación reducida .......................................................71<br />
Crear un circuito de demanda OSPF en una interfaz de túnel ........................71<br />
Interfaz de túnel punto a multipunto..............................................................72<br />
Establecer el tipo de conexión OSPF .......................................................72<br />
Inhabilitar la restricción Route-Deny........................................................72<br />
Crear una red punto a multipunto ...........................................................73<br />
Capítulo 4 Protocolo de información de enrutamiento 79<br />
Vista general ..................................................................................................80<br />
Configuración básica de RIP...........................................................................81<br />
Crear y eliminar una instancia RIP ..........................................................82<br />
Crear una instancia RIP.....................................................................82<br />
Eliminar una instancia RIP ................................................................82<br />
Habilitar y deshabilitar RIP en interfaces .................................................83<br />
Habilitar RIP en una interfaz .............................................................83<br />
Inhabilitación de RIP en una interfaz ................................................83<br />
Redistribuir rutas.....................................................................................83<br />
Visualizar la información de RIP ....................................................................85<br />
Visualizar la base de datos RIP ................................................................85<br />
Visualizar los detalles de RIP ...................................................................86<br />
Visualizar información de vecino RIP ......................................................87<br />
Visualizar detalles de RIP para una interfaz específica .............................88<br />
Parámetros globales de RIP............................................................................89<br />
Notificar la ruta predeterminada ....................................................................90<br />
Configurar los parámetros de interfaz de RIP.................................................91<br />
Configuración de seguridad............................................................................92<br />
Autenticar vecinos mediante una contraseña ..........................................92<br />
Configurar vecinos fiables........................................................................93<br />
Rechazar rutas predeterminadas .............................................................94<br />
Proteger contra inundaciones..................................................................95<br />
Configurar un umbral de actualización..............................................95<br />
Habilitar RIP en interfaces de túnel...................................................95<br />
Configuraciones opcionales de RIP ................................................................97<br />
Configurar la versión de RIP ....................................................................97<br />
Habilitar y deshabilitar un resumen de prefijo .........................................99<br />
Habilitar un resumen de prefijo.........................................................99<br />
Inhabilitar un resumen de prefijo....................................................100<br />
Ajustar rutas alternas.............................................................................100<br />
Circuitos de demanda en interfaces de túnel .........................................101<br />
Configurar un vecino estático ................................................................103<br />
Configurar una interfaz de túnel punto a multipunto....................................103<br />
Capítulo 5 Protocolo BGP 109<br />
Vista general ................................................................................................110<br />
Tipos de mensajes BGP..........................................................................110<br />
Atributos de ruta....................................................................................111<br />
BGP externo e interno ...........................................................................111<br />
Configuración básica de BGP........................................................................112<br />
Crear y habilitar una instancia de BGP...................................................113<br />
Contenido<br />
Contenido v
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
vi Contenido<br />
Crear una instancia BGP..................................................................113<br />
Eliminar una instancia de BGP ........................................................114<br />
Habilitar y deshabilitar BGP en interfaces..............................................114<br />
Habilitar BGP en interfaces .............................................................114<br />
Inhabilitar BGP en interfaces...........................................................114<br />
Configurar grupos de interlocutores e interlocutores BGP ......................115<br />
Configurar un interlocutor BGP .......................................................116<br />
Configurar un grupo de interlocutores IBGP ....................................117<br />
Comprobar la configuración BGP...........................................................118<br />
Configuración de seguridad..........................................................................119<br />
Autenticar vecinos BGP..........................................................................120<br />
Rechazar rutas predeterminadas ...........................................................120<br />
Configuraciones opcionales de BGP .............................................................121<br />
Redistribuir rutas en BGP.......................................................................122<br />
Configurar una lista de acceso AS-Path..................................................123<br />
Agregar rutas a BGP...............................................................................124<br />
Notificar ruta condicional................................................................124<br />
Establecer el peso de la ruta............................................................125<br />
Establecer atributos de ruta.............................................................125<br />
Capacidad de enrutamiento-actualización .............................................126<br />
Solicitar una actualización de la tabla de enrutamiento entrante.....127<br />
Solicitar una actualización de la tabla de enrutamiento saliente ......127<br />
Configuración de la reflexión de rutas ...................................................127<br />
Configurar una confederación ...............................................................130<br />
Comunidades BGP.................................................................................131<br />
Agregar rutas.........................................................................................132<br />
Agregar rutas con diferentes AS-Paths.............................................132<br />
Suprimir las rutas más específicas en actualizaciones .....................133<br />
Seleccionar rutas para el atributo Path ............................................134<br />
Cambiar atributos de una ruta agregada .........................................135<br />
Capítulo 6 <strong>Enrutamiento</strong> multicast 137<br />
Vista general ................................................................................................137<br />
Direcciones multicast ............................................................................138<br />
Reenviar rutas inversas .........................................................................138<br />
<strong>Enrutamiento</strong> multicast en dispositivos de seguridad...................................139<br />
Tabla de enrutamiento multicast ...........................................................139<br />
Configurar una ruta multicast estática ...................................................140<br />
Listas de acceso.....................................................................................141<br />
Configurar el encapsulado genérico de enrutamiento<br />
en interfaces de túnel......................................................................141<br />
Directivas multicast......................................................................................143<br />
Capítulo 7 Protocolo IGMP 145<br />
Vista general ................................................................................................146<br />
Hosts .....................................................................................................147<br />
Enrutadores multicast............................................................................148<br />
IGMP en dispositivos de seguridad ...............................................................149<br />
Habilitar y deshabilitar IGMP en interfaces ............................................149<br />
Habilitar IGMP en una interfaz ........................................................149<br />
Inhabilitar IGMP en una interfaz......................................................150<br />
Configurar una lista de accesos para grupos aceptados .........................150<br />
Configurar IGMP ....................................................................................151
Verificar una configuración de IGMP......................................................153<br />
Parámetros operativos de IGMP.............................................................154<br />
Proxy de IGMP .............................................................................................155<br />
Informes de miembros en sentido ascendente hacia el origen ..............156<br />
Datos multicast en sentido descendente a los receptores ......................157<br />
Configurar el proxy de IGMP .................................................................158<br />
Configurar un proxy de IGMP en una interfaz........................................158<br />
Directivas Multicast para configuraciones de IGMP y proxy de IGMP.....160<br />
Crear una directiva de grupo multicast para IGMP ..........................160<br />
Crear una configuración de proxy de IGMP.....................................160<br />
Configurar un proxy del remitente de IGMP ..........................................167<br />
Capítulo 8 Multicast independiente de protocolo (PIM) 173<br />
Vista general ................................................................................................175<br />
PIM-SM..................................................................................................176<br />
Árboles de distribución multicast ....................................................176<br />
Enrutador designado.......................................................................177<br />
Asignar puntos de encuentro a grupos ............................................177<br />
Reenviar tráfico a través del árbol de distribución...........................178<br />
PIM-SSM ................................................................................................180<br />
Configuración de PIM-SM en dispositivos de seguridad................................180<br />
Habilitar y eliminar una instancia PIM-SM<br />
en un enrutador virtual (VR)............................................................181<br />
Habilitar de una instancia PIM-SM...................................................181<br />
Eliminar una instancia PIM-SM........................................................181<br />
Habilitar y deshabilitar PIM-SM en interfaces.........................................182<br />
Habilitar PIM-SM en una interfaz.....................................................182<br />
Inhabilitar PIM-SM en una interfaz ..................................................182<br />
Directivas de grupo multicast ................................................................182<br />
Mensajes Static-RP-BSR...................................................................183<br />
Mensajes Join-Prune........................................................................183<br />
Definir de una directiva de grupo multicast para PIM-SM................183<br />
Ajustar una configuración de PIM-SM básica ................................................184<br />
Comprobar la configuración.........................................................................189<br />
Configurar puntos de encuentro...................................................................191<br />
Configurar de un punto de encuentro estático .......................................191<br />
Configurar de un punto de encuentro candidato....................................192<br />
Consideraciones sobre seguridad .................................................................193<br />
Restringir grupos multicast....................................................................193<br />
Restringir orígenes multicast .................................................................194<br />
Restringir puntos de encuentro..............................................................195<br />
Parámetros de la interfaz PIM-SM ................................................................196<br />
Definir una directiva de vecindad ..........................................................196<br />
Definir un borde bootstrap ....................................................................197<br />
Configurar de un punto de encuentro del proxy...........................................198<br />
PIM-SM e IGMPv3 ........................................................................................207<br />
Índice ........................................................................................................................IX-I<br />
Contenido<br />
Contenido vii
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
viii Contenido
Acerca de este volumen<br />
Convenciones del documento<br />
El Volumen 7: <strong>Enrutamiento</strong> incluye los siguientes capítulos:<br />
Capítulo 1, “<strong>Enrutamiento</strong> estático,” explica las tablas de rutas y cómo<br />
configurar las rutas estáticas para enrutamiento basado en los destinos,<br />
enrutamiento basado en la interfaz de origen o enrutamiento basado en<br />
orígenes.<br />
Capítulo 2, “<strong>Enrutamiento</strong>,” explica cómo configurar los enrutadores virtuales<br />
en los dispositivos de seguridad y cómo redistribuir las entradas de la tabla de<br />
enrutamiento entre protocolos o entre enrutadores virtuales.<br />
Capítulo 3, “Protocolo OSPF,” explica cómo configurar Open Shortest Path First<br />
(OSPF).<br />
Capítulo 4, “Protocolo de información de enrutamiento,” explica cómo<br />
configurar Routing Information Protocol (RIP).<br />
Capítulo 5, “Protocolo BGP,” explica cómo configurar Border Gateway Protocol<br />
(BGP).<br />
Capítulo 6, “<strong>Enrutamiento</strong> multicast,” explica los fundamentos del<br />
enrutamiento multicast, incluyendo cómo configurar rutas multicast estáticas.<br />
Capítulo 7, “Protocolo IGMP,” explica cómo configurar Internet Group<br />
Management Protocol (IGMP).<br />
Capítulo 8, “Multicast independiente de protocolo (PIM),” explica cómo<br />
configurar Protocol Independent Multicast - Sparse Mode (PIM-SM) y Protocol<br />
Independent Multicast - Source Specific Multicast (PIM-SSM).<br />
Este documento utiliza distintos tipos de convenciones, que se explican en las<br />
siguientes secciones:<br />
“Convenciones de la interfaz de línea de comandos (CLI)” en la página x<br />
“Convenciones para las ilustraciones” en la página xi<br />
“Convenciones de nomenclatura y conjuntos de caracteres” en la página xii<br />
“Convenciones de la interfaz gráfica (WebUI)” en la página xiii<br />
Convenciones del documento ix
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Convenciones de la interfaz de línea de comandos (CLI)<br />
x Convenciones del documento<br />
Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos<br />
de CLI en ejemplos y en texto.<br />
En ejemplos:<br />
Los elementos entre corchetes [ ] son opcionales.<br />
Los elementos entre llaves { } son obligatorios.<br />
Si existen dos o más opciones alternativas, aparecerán separadas entre sí por<br />
barras verticales ( | ). Por ejemplo:<br />
set interface { ethernet1 | ethernet2 | ethernet3 } manage<br />
significa “establecer las opciones de administración de la interfaz ethernet1,<br />
ethernet2, o ethernet3”.<br />
Las variables aparecen en tipo cursiva.<br />
En texto:<br />
set admin user nombre1 password xyz<br />
Los comandos aparecen en tipo negrita.<br />
Las variables aparecen en tipo cursiva .<br />
NOTA: Para escribir palabras clave, basta con escribir los primeros caracteres que<br />
permitan al sistema reconocer de forma inequívoca la palabra que se está<br />
introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para<br />
que el sistema reconozca el comando set admin user kathleen j12fmt54.<br />
Aunque este método se puede utilizar para introducir comandos, en la presente<br />
documentación todos ellos se representan con sus palabras completas.
Convenciones para las ilustraciones<br />
Figura 1: Imágenes en las ilustraciones del manual<br />
Acerca de este volumen<br />
Las siguientes figuras conforman el conjunto básico de imágenes utilizado en las<br />
ilustraciones de este manual.<br />
Sistema autónomo<br />
Dispositivo de seguridad general<br />
Dominio de enrutamiento virtual<br />
Zona de seguridad<br />
Interfaz de la zona de seguridad<br />
Blanca = Interfaz de zona protegida<br />
(ejemplo = zona Trust)<br />
Negro = interfaz de zona externa<br />
(ejemplo = zona Untrust)<br />
Interfaz de túnel<br />
Túnel VPN<br />
Enrutador<br />
Conmutador<br />
Red de área local (LAN) con<br />
una única subred (ejemplo:<br />
10.1.1.0/24)<br />
Internet<br />
Rango de direcciones IP<br />
dinámicas (DIP)<br />
Equipo de escritorio<br />
Equipo portátil<br />
Dispositivo de red genérico<br />
(ejemplos: servidor NAT,<br />
concentrador de acceso)<br />
Servidor<br />
Concentrador (hub)<br />
Teléfono IP<br />
Convenciones del documento xi
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Convenciones de nomenclatura y conjuntos de caracteres<br />
xii Convenciones del documento<br />
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos<br />
(como direcciones, usuarios administradores, servidores de autenticación, puertas<br />
de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidas en las<br />
configuraciones de ScreenOS:<br />
Si una cadena de nombres incluye uno o más espacios, la cadena completa<br />
deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo:<br />
set address trust “local LAN” 10.1.1.0/24<br />
Se eliminará cualquier espacio al comienzo o al final de una cadena<br />
entrecomillada; por ejemplo, “ local LAN” se transformará en “local LAN”.<br />
Los espacios consecutivos múltiples se tratan como uno solo.<br />
En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el<br />
contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.<br />
Por ejemplo, “local LAN” es distinto de “local lan”.<br />
ScreenOS admite los siguientes conjuntos de caracteres:<br />
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de<br />
múltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres<br />
ASCII, europeo y hebreo. Entre los conjuntos MBCS, también conocidos como<br />
conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el<br />
coreano y el japonés.<br />
Caracteres ASCII desde el 32 (0x20 en notación hexadecimal) al 255 (0xff); a<br />
excepción de las comillas dobles ( “ ), que tienen un significado especial como<br />
delimitadores de cadenas de nombres que contengan espacios.<br />
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto<br />
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Convenciones de la interfaz gráfica (WebUI)<br />
Acerca de este volumen<br />
Una comilla angular ( > ) muestra la secuencia de navegación a través de WebUI, a<br />
la que puede llegar mediante un clic en las opciones de menú y vínculos. La<br />
siguiente figura muestra la siguiente ruta para abrir el cuadro de diálogo de<br />
configuración de direcciones—Objects > Addresses > List > New:<br />
Figura 2: Navegación de WebUI<br />
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de<br />
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.<br />
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes<br />
de configuración:<br />
La siguiente figura muestra la ruta al cuadro de diálogo de configuración de<br />
direcciones con los siguientes ajustes de configuración de muestra:<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: addr_1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.5/32<br />
Zone: Untrust<br />
Figura 3: Ruta de navegación y ajustes de configuración<br />
Convenciones del documento xiii
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Documentación de <strong>Juniper</strong> <strong>Networks</strong><br />
xiv Documentación de <strong>Juniper</strong> <strong>Networks</strong><br />
Para obtener documentación técnica sobre cualquier producto de <strong>Juniper</strong> <strong>Networks</strong>,<br />
visite www.juniper.net/techpubs/.<br />
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo<br />
“Case Manager” en la página Web http://www.juniper.net/support/ o llame al<br />
teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama<br />
desde fuera de los EE.UU.).<br />
Si encuentra algún error u omisión en este documento, póngase en contacto con<br />
nosotros a través de la siguiente dirección de correo electrónico:<br />
techpubs-comments@juniper.net
Capítulo 1<br />
<strong>Enrutamiento</strong> estático<br />
Este capítulo explica el enrutamiento estático y explica cuándo y cómo configurar<br />
rutas estáticas. Contiene las siguientes secciones:<br />
“Vista general” en la página 2<br />
“Cómo funciona el enrutamiento estático” en la página 2<br />
“Cuándo configurar rutas estáticas” en la página 3<br />
“Configurar rutas estáticas” en la página 5<br />
“Habilitar el seguimiento de las puertas de enlace” en la página 9<br />
“Reenviar tráfico a la interfaz nula” en la página 10<br />
“Impedir búsqueda de rutas en otras tablas de enrutamiento” en la<br />
página 10<br />
“Impedir que el tráfico de túnel se envíe a través de interfaces que no sean<br />
de túnel” en la página 10<br />
“Impedir la creación de bucles por las rutas resumidas” en la página 11<br />
“Rutas permanentemente activas” en la página 11<br />
“Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste” en<br />
la página 12<br />
1
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
2 Vista general<br />
Una ruta estática es una asignación configurada manualmente de una dirección de<br />
red IP a un destino de salto siguiente (otro enrutador) que se define en un<br />
dispositivo de reenvío de capa 3, como un enrutador.<br />
En una red que tiene pocas conexiones a otras redes o en las redes cuyas<br />
interconexiones de red son relativamente estables, suele resultar más práctico<br />
definir rutas estáticas que rutas dinámicas. ScreenOS mantiene las rutas estáticas<br />
hasta que se eliminan explícitamente. No obstante, cuando sea necesario se puede<br />
dar prioridad a rutas dinámicas frente a las estáticas.<br />
Puede ver rutas estáticas en la tabla de enrutamiento ScreenOS. Para forzar el<br />
equilibrio de cargas, puede configurar Equal Cost Multi-Path (ECMP). Para utilizar<br />
únicamente puertas de enlace activas, puede establecer el seguimiento de las<br />
puertas de enlace.<br />
Debe establecer por lo menos una ruta predeterminada como una ruta<br />
predeterminada (dirección de red 0.0.0.0/0). Una ruta predeterminada es una<br />
entrada comodín para los paquetes destinados a redes distintas de las definidas en<br />
la tabla de enrutamiento.<br />
Cómo funciona el enrutamiento estático<br />
Cuando un host envía paquetes a un host de otra red, cada encabezado de paquete<br />
contiene la dirección del host de destino. Cuando un enrutador recibe un paquete,<br />
compara la dirección de destino con todas las direcciones existentes en la tabla de<br />
enrutamiento. El enrutador selecciona en la tabla la ruta más específica a la<br />
dirección de destino y, a partir de la entrada de ruta seleccionada, determina el<br />
siguiente salto (“next-hop”) al que debe reenviar el paquete.<br />
NOTA: La ruta más específica se determina aplicando en primer lugar el operador lógico<br />
AND bit por bit a la dirección de destino y a la máscara de red de cada entrada<br />
existente en la tabla de enrutamiento. Por ejemplo, el AND lógico bit por bit de la<br />
dirección IP 10.1.1.1 con la máscara de subred 255.255.255.0 es 10.1.1.0. La ruta<br />
que tenga el mayor número de bits con el valor 1 en la máscara de subred será la<br />
más específica (también denominada “ruta con la mayor coincidencia”).<br />
La Figura 4 representa una red que utiliza enrutamiento estático y un paquete IP de<br />
muestra. En este ejemplo, el host 1 de la red A desea acceder al host 2 de la red C.<br />
El paquete que se enviará incluye los siguientes datos en el encabezado:<br />
Dirección IP de origen<br />
Dirección IP destino<br />
Carga (mensaje)
Figura 4: Ejemplo de enrutamiento estático<br />
IP<br />
ORIG<br />
IP<br />
DEST<br />
Host 1 Host 2 Carga de datos<br />
Host 1<br />
Enrutador X<br />
Cuándo configurar rutas estáticas<br />
Enrutador Y<br />
Red A Red B Red C<br />
Capítulo 1: <strong>Enrutamiento</strong> estático<br />
Enrutador Z Host 2<br />
La Tabla 1 resume la tabla de enrutamiento de cada enrutador.<br />
Tabla 1: Resumen de la tabla de enrutamiento para los enrutadores X, Y y Z<br />
Enrutador X Enrutador Y Enrutador Z<br />
Red<br />
Puerto de<br />
enlace Red<br />
Puerto de<br />
enlace Red<br />
Puerto de<br />
enlace<br />
Red A Conectado Red A Enrutador X Red A Enrutador X<br />
Red B Conectado Red B Conectado Red B Conectado<br />
Red C Enrutador Y Red C Conectado Red C Conectado<br />
En la Tabla 1, el enrutador X tiene configurada una ruta estática hacia la red C con<br />
la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X<br />
recibe el paquete destinado al host 2 de la red C, compara la dirección de destino<br />
del paquete con el contenido de su tabla de enrutamiento y detecta que la última<br />
entrada corresponde a la ruta más específica para la dirección de destino. En la<br />
última entrada de ruta se especifica que el tráfico destinado a la red C debe enviarse<br />
al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como conoce que<br />
la red C está conectada directamente, envía el paquete a través de la interfaz<br />
conectada a esa red.<br />
Si el enrutador Y falla o si la conexión entre el enrutador Y y la red C deja de estar<br />
disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la<br />
red C a través del enrutador Z, no está configurada de forma estática en el<br />
enrutador X, por lo que éste no detecta la ruta alternativa.<br />
Tiene que definir por lo menos algunas rutas estáticas incluso cuando utilice<br />
protocolos de enrutamiento dinámicos. Es necesario definir rutas estáticas cuando<br />
se cumplen condiciones como las siguientes:<br />
Para agregar una ruta predeterminada (0.0.0.0/0) a la tabla de enrutamiento de<br />
un enrutador virtual (VR) es necesario definir una ruta estática. Por ejemplo, si<br />
está utilizando dos VR en el mismo dispositivo de seguridad, la tabla de<br />
enrutamiento de trust-vr podría contener una ruta predeterminada que<br />
especificaría untrust-vr como el salto siguiente. Esto permitiría enrutar hacia<br />
untrust-vr el tráfico destinado a direcciones no expresadas en la tabla de<br />
enrutamiento de trust-vr. También puede definir una ruta predeterminada en<br />
untrust-vr para desviar el tráfico de la dirección IP específica a direcciones no<br />
encontradas en la tabla de enrutamiento de untrust-vr.<br />
Vista general 3
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
4 Vista general<br />
Si una red no está conectada directamente con el dispositivo de seguridad pero<br />
es accesible a través de un enrutador de una interfaz contenida en un enrutador<br />
virtual (VR), debe definirse una ruta estática hacia la red que contenga la<br />
dirección IP del enrutador. Por ejemplo, la interfaz de zona Untrust puede ser<br />
una subred con dos enrutadores, cada uno de los cuales se conecta a diferentes<br />
proveedores de servicio de Internet (ISP). Debe definir cuál enrutador va a<br />
utilizar para reenviar el tráfico a ISP específicos.<br />
Si está utilizando dos VRs en el mismo dispositivo de seguridad y llega tráfico<br />
entrante a una interfaz de untrust-vr destinado a una red conectada a una<br />
interfaz de trust-vr, deberá definir una entrada estática en la tabla de<br />
enrutamiento de untrust-vr para la red de destino, indicando trust-vr como salto<br />
siguiente. Puede evitar establecer una ruta estática en este caso, si exporta las<br />
rutas de trust-vr a untrust-vr.<br />
Cuando el dispositivo trabaja en modo transparente, es necesario definir rutas<br />
estáticas que dirijan el tráfico administrativo originado en el dispositivo mismo<br />
(distinto del tráfico de usuario que pasa por el cortafuegos) a los destinos<br />
remotos. Por ejemplo, deberá definir rutas estáticas que dirijan los mensajes de<br />
syslog, SNMP y WebTrends a la dirección de un administrador remoto. También<br />
deberá definir rutas que dirijan las peticiones de autenticación a los servidores<br />
RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense.<br />
NOTA: Cuando el dispositivo de seguridad trabaja en modo transparente, es necesario<br />
definir una ruta estática para el tráfico administrativo generado por el dispositivo<br />
incluso aunque el destino se encuentre en la misma subred que éste.<br />
Para el tráfico de Red privada virtual (VPN) saliente donde exista más de una<br />
interfaz de salida hacia el destino, deberá establecer una ruta para dirigir el<br />
tráfico saliente al enrutador externo a través de la interfaz deseada.<br />
Si una interfaz en una zona de seguridad de trust-vr es NAT, y si esa interfaz<br />
tiene configurada una IP asignada (MIP) o IP virtual (VIP) para recibir tráfico<br />
procedente de un origen en el dominio de enrutamiento untrust-vr, deberá<br />
crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de<br />
enlace.<br />
De forma predeterminada, el dispositivo de seguridad utiliza direcciones IP de<br />
destino para encontrar la mejor ruta por la que reenviar paquetes. En un VR,<br />
también puede habilitar tablas de enrutamiento basadas en orígenes o basadas<br />
en interfaces de origen. Ambas tablas de enrutamiento, las basadas en orígenes<br />
y las basadas en interfaces de origen, contienen las rutas estáticas que usted<br />
configura en el VR.
Configurar rutas estáticas<br />
Para configurar una ruta estática se necesita definir lo siguiente:<br />
Enrutador virtual (VR) al que pertenece la ruta.<br />
La dirección IP y la máscara de red de la red de destino.<br />
Capítulo 1: <strong>Enrutamiento</strong> estático<br />
El salto siguiente para la ruta, que puede ser otro VR en el dispositivo de<br />
seguridad o la dirección IP de una puerta de enlace (enrutador). Si especifica<br />
otro VR, asegúrese de que en su tabla de enrutamiento exista una entrada para<br />
la red de destino.<br />
La interfaz a través de la cual se reenvía el tráfico enrutado. La interfaz puede<br />
ser cualquier interfaz compatible con ScreenOS, como una interfaz física (por<br />
ejemplo, ethernet1/2) o una interfaz de túnel. También puede especificar la<br />
interfaz nula para determinadas aplicaciones. Consulte “Reenviar tráfico a la<br />
interfaz nula” en la página 10.<br />
Opcionalmente, puede definir los siguientes elementos:<br />
La métrica de ruta se utiliza para seleccionar la ruta activa cuando existen<br />
varias rutas hacia la misma red de destino y todas con el mismo valor de<br />
preferencia. La métrica predeterminada para las rutas estáticas es 1.<br />
Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir<br />
rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que<br />
contengan valores de etiqueta especificados a un VR.<br />
Valor de preferencia para la ruta. De forma predeterminada, todas las rutas<br />
estáticas tienen el mismo valor de preferencia que se establece en el VR.<br />
Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvío esté<br />
inactiva o se haya eliminado la dirección IP de la interfaz).<br />
Esta sección contiene los siguientes ejemplos:<br />
“Ajustar rutas estáticas” en esta página<br />
“Establecer una ruta estática para una interfaz de túnel” en la página 8<br />
Ajustar rutas estáticas<br />
En la Figura 5 en la página 6, un dispositivo de seguridad que opera con su interfaz<br />
de zona Trust en modo de traducción de direcciones de red (NAT) protege una red<br />
de múltiples niveles. Se utiliza tanto administración local como remota (a través de<br />
NetScreen-Security Manager). El dispositivo de seguridad envía capturas SNMP e<br />
informes syslog al administrador local (situado en una red de la zona Trust) y envía<br />
informes de NetScreen-Security Manager al administrador remoto (situado en una<br />
red de la zona Untrust). El dispositivo utiliza un servidor SecurID en la zona<br />
desmilitarizada (DMZ) para autenticar usuarios y un servidor Websense en la zona<br />
Trust para realizar el filtrado de web.<br />
NOTA: Las siguientes zonas deben vincularse antes de que se complete este ejemplo:<br />
ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust.<br />
Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24,<br />
respectivamente.<br />
Vista general 5
5<br />
Ruta<br />
predeterminada<br />
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 5: Configuración de rutas estáticas<br />
6 Vista general<br />
Dominio de<br />
enrutamiento virtual<br />
Dispositivo de<br />
seguridad<br />
Zona Untrust<br />
Administración local<br />
10.10.30.5/32<br />
Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los<br />
siguientes destinos:<br />
untrust-vr<br />
1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el<br />
VR)<br />
2. Administrador remoto en la subred 3.3.3.0/24<br />
3. La subred 2.2.40.0/24 en DMZ<br />
4. La subred 2.20.0.0/16 en DMZ<br />
trust-vr<br />
5. untrust-vr para todas las direcciones no encontradas en la tabla de<br />
enrutamiento de trust-vr (ruta predeterminada para el VR)<br />
6. La subred 10.10.0.0/16 en la zona Trust<br />
7. La subred 10.20.0.0/16 en la zona Trust<br />
8. La subred 10.30.1.0/24 en la zona Trust<br />
200.20.2.2/24<br />
2.2.2.2/24<br />
Internet<br />
2.2.2.0/24<br />
10.1.1.0/24<br />
10.20.1.0/24<br />
3.3.3.10/32<br />
3.3.3.0/24<br />
3.3.3.1/24<br />
2.2.2.3/24<br />
6<br />
10.1.1.2/24<br />
10.10.30.1/24<br />
10.10.30.1/24<br />
10.1.1.4/24<br />
10.30.1.1/24<br />
10.1.1.3/24<br />
10.20.1.1/24 8<br />
10.10.30.0/24 10.10.40.0/24<br />
7<br />
10.30.1.0/24<br />
1<br />
10.20.1.1/24<br />
10.20.3.1/24<br />
10.20.4.1/24<br />
10.20.3.0/24 10.20.4.0/24<br />
Zona Trust<br />
Administración remota<br />
NetScreen-Security Manager<br />
2<br />
Servidor Websense<br />
10.30.4.7/32<br />
Dominio de<br />
enrutador<br />
virtual<br />
2.2.10.0/24<br />
2.2.10.0/24<br />
2.2.40.1/24<br />
3<br />
2.2.45.7/32<br />
2.2.40.0/24<br />
trust-vr<br />
untrust-vr<br />
DMZ<br />
2.2.10.3/24<br />
2.20.30.1/24<br />
4<br />
2.20.30.0/24<br />
2.20.30.2/24<br />
2.20.3.1/24<br />
2.20.4.1/24<br />
2.20.3.0/24 2.20.4.0/24<br />
= Enrutador<br />
= Conmutador/Hub
WebUI<br />
Capítulo 1: <strong>Enrutamiento</strong> estático<br />
1. untrust-vr<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los<br />
siguientes datos para crear la puerta de enlace predeterminada untrust y haga<br />
clic en OK:<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.2<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los<br />
siguientes datos para dirigir los informes del sistema generados por el<br />
dispositivo de seguridad a la administración remota, luego haga clic en OK:<br />
Network Address / Netmask: 3.3.3.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.3<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 2.2.40.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet2<br />
Gateway IP Address: 2.2.10.2<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 2.20.0.0/16<br />
Gateway: (seleccione)<br />
Interface: ethernet2<br />
Gateway IP Address: 2.2.10.3<br />
2. trust-vr<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 0.0.0.0/0<br />
Next Hop Virtual Router Name: (seleccione); untrust-vr<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.10.0.0/16<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 10.1.1.2<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.20.0.0/16<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 10.1.1.3<br />
Vista general 7
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
8 Vista general<br />
CLI<br />
Figura 6: Ruta estática para una interfaz de túnel<br />
Zona Trust<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.30.1.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 10.1.1.4<br />
NOTA: Para eliminar una entrada, haga clic en Remove. Aparecerá un mensaje pidiendo<br />
confirmación para realizar la eliminación. Haga clic en OK para continuar o en<br />
Cancel para cancelar la acción.<br />
1. untrust-vr<br />
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2<br />
set vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3<br />
set vrouter untrust-vr route 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2<br />
set vrouter untrust-vr route 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3<br />
2. trust-vr<br />
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr<br />
set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2<br />
set vrouter trust-vr route 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3<br />
set vrouter trust-vr route 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4<br />
save<br />
Establecer una ruta estática para una interfaz de túnel<br />
En la Figura 6, un host fiable reside en una subred diferente de la interfaz fiable. Un<br />
servidor del Protocolo de transferencia de archivos (FTP) recibe tráfico entrante a<br />
través de un túnel VPN. Se necesita establecer una ruta estática para dirigir el tráfico<br />
que sale por la interfaz de túnel al enrutador interno que conduce a la subred donde<br />
reside el servidor.<br />
Interfaz Trust<br />
ethernet1<br />
10.1.1.1/24<br />
tunnel.1<br />
10.10.1.1/24<br />
Interfaz Untrust<br />
ethernet3<br />
1.1.1.1/24<br />
Enrutador<br />
1.1.1.250<br />
Internet<br />
Túnel VPN<br />
WebUI<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.2.2.5/32<br />
Zona Untrust<br />
Servidor FTP<br />
10.2.2.5
CLI<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Capítulo 1: <strong>Enrutamiento</strong> estático<br />
NOTA: Para que tunnel.1 aparezca en la lista desplegable “Interface”, primero debe crear<br />
la interfaz tunnel.1.<br />
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
save<br />
Habilitar el seguimiento de las puertas de enlace<br />
El dispositivo de seguridad permite que se dé seguimiento a las rutas estáticas<br />
independientes de la interfaz con puertas de enlace para obtener accesibilidad. No<br />
se da seguimiento a las rutas estáticas de forma predeterminada, pero usted puede<br />
configurar un dispositivo de seguridad para dar seguimiento a la accesibilidad de las<br />
rutas de las puertas de enlace. El dispositivo registra las rutas seguidas ya sea<br />
activas o inactivas, dependiendo de la accesibilidad de cada puerta de enlace. Por<br />
ejemplo, si no se puede obtener acceso a una puerta de enlace, el dispositivo de<br />
seguridad cambia la ruta a inactiva. Cuando la puerta de enlace se vuelve a activar,<br />
la ruta vuelva a activarse también.<br />
Para agregar una ruta estática con el seguimiento de la puerta de enlace, deberá<br />
establecer explícitamente la ruta a nivel del enrutador virtual (VR) y en la dirección<br />
de la puerta de enlace. No establezca una dirección IP para la interfaz.<br />
Puede utilizar este comando para agregar una ruta estática con una puerta de<br />
enlace de seguimiento para la dirección IP 1.1.1.254 con prefijo 1.1.1.0 y una<br />
longitud de 24. Establezca el seguimiento de la puerta de enlace al ingresar la<br />
dirección IP de la puerta de enlace pero no establezca la interfaz.<br />
WebUI<br />
Network > Routing > Routing Entries: Haga clic en New e ingrese lo siguiente:<br />
Gateway: (seleccione)<br />
Gateway IP Address: 1.1.1.254<br />
CLI<br />
set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254<br />
unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254<br />
save<br />
Vista general 9
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Reenviar tráfico a la interfaz nula<br />
10 Reenviar tráfico a la interfaz nula<br />
Puede configurar rutas estáticas usando la interfaz nula como interfaz de salida. La<br />
interfaz nula siempre se considera activa y el tráfico destinado a la interfaz nula<br />
siempre se descarta. Para convertir la ruta a la interfaz nula en una ruta de último<br />
recurso, defínala con una métrica más alta que la de las demás rutas. Los tres<br />
propósitos para utilizar rutas estáticas que reenvían tráfico a la interfaz nula son los<br />
siguientes:<br />
Impedir búsqueda de rutas en otras tablas de enrutamiento<br />
Impedir que el tráfico del túnel se envíe en interfaces que no sean de túnel<br />
Evitar bucles de tráfico<br />
Impedir búsqueda de rutas en otras tablas de enrutamiento<br />
Si se habilita el enrutamiento basado en interfaz de origen, de forma<br />
predeterminada el dispositivo de seguridad realiza operaciones de búsqueda en la<br />
tabla de enrutamiento basada en la interfaz de origen. (Para obtener información<br />
sobre la configuración del enrutamiento basado interfaz de origen, consulte “Tabla<br />
de enrutamiento basada en la interfaz de origen” en la página 20.). Si la ruta no se<br />
encuentra en la tabla de enrutamiento basada en la interfaz de origen y si el<br />
enrutamiento basado en el origen no está activado, el dispositivo de seguridad<br />
realiza operaciones de búsqueda de ruta en la tabla de enrutamiento basada en el<br />
origen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el origen, el<br />
dispositivo de seguridad realiza operaciones de búsqueda de la ruta en la tabla de<br />
enrutamiento basada en los destinos. Si desea evitar las operaciones de búsqueda<br />
de rutas en la tabla de enrutamiento basada en el origen o en la tabla de<br />
enrutamiento basada en los destinos, puede crear una ruta predeterminada en la<br />
tabla de enrutamiento basada en le interfaz de origen con la interfaz nula como la<br />
interfaz de salida. Utilice una métrica más alta que el resto de las rutas para<br />
asegurar que esta ruta sólo se utilice si no existe ninguna otra ruta basada en la<br />
interfaz que coincida con la ruta.<br />
Impedir que el tráfico de túnel se envíe a través de interfaces que no sean de túnel<br />
Puede utilizar las rutas estáticas o dinámicas con las interfaces de túnel de salida<br />
para encriptar el tráfico dirigido a destinos específicos. Si una interfaz de túnel se<br />
queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay<br />
una ruta alternativa en una interfaz que no sea de túnel, el tráfico no se envía<br />
encriptado. Para impedir que el tráfico que debe estar encriptado se envíe a una<br />
interfaz que no sea de túnel, defina una ruta estática al mismo destino que el tráfico<br />
del túnel con la interfaz nula como interfaz de salida. Asigne a esta ruta una métrica<br />
más alta que la de la ruta de la interfaz de túnel de modo que la ruta solamente se<br />
active si la ruta de la interfaz de túnel no está disponible. Si la interfaz de túnel se<br />
queda inactiva, la ruta con la interfaz nula se activa y el tráfico para el destino del<br />
túnel se descarta.
Impedir la creación de bucles por las rutas resumidas<br />
Rutas permanentemente activas<br />
Capítulo 1: <strong>Enrutamiento</strong> estático<br />
Cuando el dispositivo de seguridad anuncia rutas resumidas, es posible que el<br />
dispositivo reciba el tráfico destinado a prefijos que no se encuentran en sus tablas<br />
de enrutamiento. Puede reenviar el tráfico basado en su ruta predeterminada. El<br />
enrutador de recepción puede reenviar el tráfico de nuevo al dispositivo de<br />
seguridad debido a el anuncio de la ruta resumida. Para evitar dichos bucles, puede<br />
definir una ruta estática para el prefijo de la ruta resumida con la interfaz nula como<br />
la interfaz de salida y una métrica de ruta alta. Si el dispositivo de seguridad recibe<br />
el tráfico para los prefijos que se encuentren en su anuncio de ruta resumida pero<br />
no en sus tablas de enrutamiento, se descarta el tráfico.<br />
En este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia la<br />
red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los<br />
hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caerá en el<br />
rango de la ruta resumida. El dispositivo de seguridad acepta estos paquetes pero<br />
no tiene a dónde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red.<br />
Para evitar este comportamiento, establecerá una interfaz NULL para esta ruta.<br />
Establecer una preferencia y métrica elevadas es importante al establecer una<br />
interfaz NULL.<br />
WebUI<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 2.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Preference: 255<br />
Metric: 65535<br />
CLI<br />
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535<br />
save<br />
Hay ciertas situaciones en las que posiblemente desee que una ruta mantenga su<br />
estado activo en una tabla de enrutamiento incluso si la interfaz física asociada a la<br />
ruta se queda inactiva o no tiene una dirección IP asignada. Por ejemplo, un<br />
servidor XAuth puede asignar una dirección IP a una interfaz en un dispositivo de<br />
seguridad siempre que se necesite enviar tráfico al servidor. La ruta hacia el<br />
servidor de XAuth debe mantenerse activa incluso cuando no haya dirección IP<br />
asignada en la interfaz de modo que el tráfico que está destinado al servidor XAuth<br />
no se descarte.<br />
También es útil mantener activas las rutas a través de las interfaces en las que se<br />
configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo de<br />
seguridad reencamine el tráfico saliente a través de una interfaz diferente si las<br />
direcciones IP de destino no se pueden alcanzar a través de la interfaz original. Aun<br />
cuando el dispositivo de seguridad puede reencaminar el tráfico a otra interfaz,<br />
necesita ser capaz de enviar peticiones del comando ping en la interfaz original<br />
para determinar si los destinos llegan a ser otra vez accesibles.<br />
Rutas permanentemente activas 11
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste<br />
También puede cambiar la preferencia de enrutamiento de las rutas estáticas con<br />
Equal Cost Multipath (ECMP). Para obtener más información, consulte “Configurar<br />
el enrutamiento de rutas múltiples de igual coste” en la página 37.<br />
12 Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste
Capítulo 2<br />
<strong>Enrutamiento</strong><br />
Este capítulo describe la administración del enrutamiento y del enrutador virtual<br />
(VR). Contiene las siguientes secciones:<br />
“Vista general” en la página 14<br />
“Tablas de enrutamiento del enrutador virtual” en la página 15<br />
“Tabla de enrutamiento basada en destinos” en la página 16<br />
“Tabla de enrutamiento basada en el origen” en la página 17<br />
“Tabla de enrutamiento basada en la interfaz de origen” en la página 20<br />
“Crear y modificar enrutadores virtuales” en la página 22<br />
“Modificar enrutadores virtuales” en la página 22<br />
“Asignar una ID del enrutador virtual” en la página 23<br />
“Reenviar tráfico entre enrutadores virtuales” en la página 23<br />
“Configurar dos enrutadores virtuales” en la página 24<br />
“Crear y eliminar enrutadores virtuales” en la página 26<br />
“Enrutadores virtuales y sistemas virtuales” en la página 27<br />
“Limitar el número máximo de entradas de la tabla de enrutamiento” en la<br />
página 30<br />
“Ejemplos y características del enrutamiento” en la página 31<br />
“Seleccionar rutas” en la página 31<br />
“Configurar el enrutamiento de rutas múltiples de igual coste” en la<br />
página 37<br />
“Redistribuir rutas” en la página 39<br />
“Exportar e importar rutas entre enrutadores virtuales” en la página 44<br />
13
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
14 Vista general<br />
El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que<br />
alcanzan su destino final. Un enrutador es un dispositivo que está donde una red se<br />
encuentra con otra y dirige el tráfico entre esas redes.<br />
De forma predeterminada, un dispositivo de seguridad entra al modo de<br />
funcionamiento de ruta y opera como un enrutador de capa 3. Sin embargo, puede<br />
configurar un dispositivo de seguridad para que funcione en modo transparente<br />
como un conmutador de capa 2.<br />
NOTA: En cualquier modo de funcionamiento, tendrá que configurar manualmente<br />
algunas rutas.<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> logran enrutarse a través de un<br />
proceso llamado enrutador virtual (VR). Un dispositivo de seguridad divide sus<br />
componentes de enrutamiento en dos o más VRs y cada VR mantiene su propia<br />
lista de redes conocidas en forma de una tabla de enrutamiento, lógica de<br />
enrutamiento y zonas de seguridad relacionadas. Un solo VR puede admitir una o<br />
más de las siguientes rutas:<br />
Rutas estáticas o configuradas manualmente<br />
Rutas dinámicas, como las que se aprenden por medio de un protocolo de<br />
enrutamiento dinámico.<br />
Rutas multicast, como una ruta a un grupo de máquinas host<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> tienen dos VRs predefinidos:<br />
trust-vr, que de forma predeterminada contiene todas las zonas de seguridad<br />
predefinidas y todas las zonas definidas por el usuario.<br />
untrust-vr, que de forma predeterminada no contiene ninguna zona de<br />
seguridad.<br />
No se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Pueden existir<br />
varios VR, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*)<br />
indica que trust-vr es el VR predeterminado en la interfaz de línea de comandos<br />
(CLI). Puede ver la tabla de VR ejecutando el comando CLI get vrouter. Para<br />
configurar zonas e interfaces en otros VR, debe especificar el VR por nombre, por<br />
ejemplo untrust-vr. Para obtener información sobre las zonas, consulte “Crear y<br />
eliminar enrutadores virtuales” en la página 7-26.<br />
Algunos dispositivos de seguridad permiten crear otros VRs personalizados. Al<br />
separar la información de enrutamiento en varios VRs, podrá controlar cuánta<br />
información sobre enrutamiento puede verse en otros dominios de enrutamiento.<br />
Por ejemplo, se puede mantener la información de enrutamiento de todas las zonas<br />
de seguridad de una red corporativa en el VR predefinido trust-vr y la información<br />
de enrutamiento de todas las zonas fuera de la red corporativa en el otro VR<br />
predefinido untrust-vr. Se puede mantener la información sobre enrutamiento de<br />
redes internas separada de las fuentes no fiables fuera de la empresa porque los<br />
detalles de la tabla de enrutamiento de un VR no se pueden ver en la otra.
Tablas de enrutamiento del enrutador virtual<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
En un dispositivo de seguridad, cada VR mantiene sus propias tablas de<br />
enrutamiento. Una tabla de enrutamiento es una lista actualizada de redes y<br />
direcciones conocidas, desde donde se puede obtener acceso a éstas. Cuando se<br />
procesa un dispositivo de seguridad en un paquete entrante, éste realiza una<br />
consulta en la tabla de enrutamiento para buscar la interfaz apropiada que<br />
conduzca a la dirección de destino.<br />
Cada entrada de la tabla de enrutamiento identifica la red destino a la que se puede<br />
reenviar el tráfico. La red destino puede ser una red IP, una subred, una supernet o<br />
un host. Cada entrada de la tabla de enrutamiento puede ser unicast (paquete<br />
enviado a una sola dirección IP que hace referencia a una sola máquina host) o<br />
multicast (paquete enviado a una sola dirección IP que hace referencia a varias<br />
máquinas host).<br />
Las entradas de la tabla de enrutamiento pueden provenir de los siguientes<br />
orígenes:<br />
Redes interconectadas directamente (la red de destino es la dirección IP<br />
asignada a una interfaz en el modo de ruta)<br />
Protocolos de enrutamiento dinámico, como Open Shortest Path First (OSPF),<br />
Border Gateway Protocol (BGP) o Routing Information Protocol (RIP)<br />
Otros enrutadores o enrutadores virtuales en forma de rutas importadas<br />
Rutas configuradas estáticamente<br />
Rutas host<br />
NOTA: Cuando se establece una dirección IP para identificar una interfaz en el modo de<br />
ruta, la tabla de enrutamiento conecta automáticamente una ruta hacia la subred<br />
adyacente para canalizar el tráfico que pasa por la interfaz.<br />
Un VR admite tres tipos de tablas de enrutamiento:<br />
La tabla de enrutamiento basada en destinos permite al dispositivo de<br />
seguridad realizar operaciones de consulta de rutas basándose en la dirección<br />
IP de destino de un paquete de datos entrante. De forma predeterminada, el<br />
dispositivo de seguridad utiliza únicamente direcciones IP de destino para<br />
encontrar la mejor ruta por la cual reenviar paquetes.<br />
La tabla de enrutamiento basada en orígenes permite al dispositivo de<br />
seguridad realizar operaciones de consulta de rutas basándose en la dirección<br />
IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla<br />
de enrutamiento basada en orígenes, debe configurar rutas estáticas para<br />
direcciones de origen específicas en las que el dispositivo de seguridad puede<br />
realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla<br />
de enrutamiento está inhabilitada. Consulte “Tabla de enrutamiento basada en<br />
el origen” en la página 17.<br />
Tablas de enrutamiento del enrutador virtual 15
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
16 Tablas de enrutamiento del enrutador virtual<br />
La tabla de enrutamiento basada en orígenes permite al dispositivo de<br />
seguridad realizar las operaciones de consulta de rutas basándose en la interfaz<br />
por la cual un paquete de datos entra al dispositivo. Para agregar entradas a la<br />
tabla de enrutamiento basada en orígenes, debe configurar rutas estáticas para<br />
determinadas interfaces en las que el VR realiza operaciones de consulta de<br />
rutas. De forma predeterminada, esta tabla de enrutamiento está inhabilitada.<br />
Consulte “Tabla de enrutamiento basada en la interfaz de origen” en la<br />
página 20.<br />
Tabla de enrutamiento basada en destinos<br />
La tabla de enrutamiento basada en destinos está siempre presente en un VR.<br />
Además, puede habilitar tablas de enrutamiento basadas en orígenes o en<br />
interfaces de origen, o bien ambas, en un VR. A continuación se incluye un ejemplo<br />
de tablas de enrutamiento basadas en destino de ScreenOS:<br />
ns-> get route<br />
IPv4 Dest-Routes for (0 entries)<br />
--------------------------------------------------------------------------------<br />
H: Host C: Connected S: Static A: Auto-Exported<br />
I: Imported R: RIP P: Permanent D: Auto-Discovered<br />
iB: IBGP eB: EBGP O: OSPF E1: OSPF external type 1<br />
E2: OSPF external type 2<br />
IPv4 Dest-Routes for (11 entries)<br />
--------------------------------------------------------------------------------<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
--------------------------------------------------------------------------------<br />
* 8 0.0.0.0/0 eth1/1 10.100.37.1 S 20 1 Root<br />
* 7 1.1.1.1/32 eth1/2 0.0.0.0 H 0 0 Root<br />
* 3 192.168.1.1/32 mgt 0.0.0.0 H 0 0 Root<br />
* 2 192.168.1.0/24 mgt 0.0.0.0 C 0 0 Root<br />
* 4 10.100.37.0/24 eth1/1 0.0.0.0 C 0 0 Root<br />
* 5 10.100.37.170/32 eth1/1 0.0.0.0 H 0 0 Root<br />
* 6 1.1.1.0/24 eth1/2 0.0.0.0 C 0 0 Root<br />
* 9 11.3.3.0/24 agg1 0.0.0.0 C 0 0 Root<br />
* 10 11.3.3.0/32 agg1 0.0.0.0 H 0 0 Root<br />
* 11 3.3.3.0/24 tun.1 0.0.0.0 C 0 0 Root<br />
* 12 3.3.3.0/32 tun.1 0.0.0.0 H 0 0 Root<br />
La tabla de enrutamiento contiene la siguiente información de cada red de destino:<br />
La interfaz del dispositivo de seguridad a través del que se reenvía el tráfico a la<br />
red de destino.<br />
El siguiente salto (“next-hop”), que puede ser otro VR en el dispositivo de<br />
seguridad o la dirección IP de una puerta de enlace (normalmente la dirección<br />
de un enrutador).<br />
El protocolo del cual se deriva la ruta. La columna del protocolo de la tabla de<br />
enrutamiento le permite conocer el tipo de ruta:<br />
Red conectada (C)<br />
Estática (S)<br />
De exportación automática (A)
Importada (I)<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
Los protocolos de enrutamiento dinámico, como RIP (R), Open Shortest<br />
Path First u OSPF (O), tipo externo 1 y 2 de OSPF (E1 o E2,<br />
respectivamente), Border Gateway Protocol interno o externo (iB o eB,<br />
respectivamente)<br />
Permanente (P)<br />
Host (H)<br />
Una entrada de ruta host con una máscara de 32 bits aparece cuando<br />
configura cada interfaz con una dirección IP. La ruta host siempre está<br />
activa en la tabla de rutas para que la consulta de rutas siempre tenga éxito.<br />
Las rutas host se actualizan automáticamente con cambios configurados,<br />
como por ejemplo la eliminación de la dirección IP de interfaz y éstas<br />
nunca se redistribuyen ni se exportan. Las rutas host descartan la<br />
posibilidad de que exista tráfico errante y conservan la capacidad de<br />
procesamiento.<br />
La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias<br />
rutas hacia la misma red de destino. Este valor lo determina el protocolo o el<br />
origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, más<br />
posibilidades existen de que esa ruta se seleccione como ruta activa.<br />
Este valor de preferencia se puede modificar en cada enrutador virtual para<br />
cada protocolo u origen de ruta. Para obtener más información, consulte<br />
“Seleccionar rutas” en la página 31.<br />
La métrica también se puede utilizar para seleccionar la ruta a utilizar cuando<br />
existen varias rutas para la misma red de destino con el mismo valor de<br />
preferencia. El valor de métrica de las rutas conectadas es siempre 0. La<br />
métrica predeterminada de las rutas estáticas es 1, pero se puede especificar<br />
un valor diferente cuando se definen estas rutas.<br />
El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener más<br />
información sobre enrutadores virtuales, consulte “Enrutadores virtuales y<br />
sistemas virtuales” en la página 27. En este ejemplo, no aparecen entradas bajo<br />
el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la<br />
tabla trust-vr aparecen once entradas.<br />
La mayoría de las tablas de enrutamiento contienen una ruta predeterminada (con la<br />
dirección de red 0.0.0.0/0), que es una entrada comodín para los paquetes<br />
destinados a redes distintas de las definidas en la tabla de enrutamiento.<br />
Para ver un ejemplo del enrutamiento basado en el destino, consulte “Configurar<br />
rutas estáticas” en la página 5.<br />
Tabla de enrutamiento basada en el origen<br />
Se puede obligar a un dispositivo de seguridad a reenviar tráfico según la dirección<br />
IP de origen de un paquete de información en lugar de la dirección IP de destino.<br />
Esta función permite que el tráfico de los usuarios de una subred concreta sea<br />
reenviado por una ruta mientras que el tráfico de los usuarios de una subred<br />
diferente se reenvía por otra. Cuando el enrutamiento según el origen se habilita en<br />
Tablas de enrutamiento del enrutador virtual 17
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
18 Tablas de enrutamiento del enrutador virtual<br />
un VR, el dispositivo de seguridad realiza operaciones de consulta de la tabla de<br />
enrutamiento en la dirección IP del origen del paquete en una tabla de<br />
enrutamiento con base en orígenes. Si el dispositivo de seguridad no encuentra una<br />
ruta para la dirección IP de origen en la tabla de enrutamiento basada en orígenes,<br />
utiliza la dirección IP de destino del paquete para las operaciones de consulta de<br />
rutas en la tabla de enrutamiento basada en destinos.<br />
Las rutas basadas en el origen se definen como rutas configuradas estáticamente en<br />
VRs especificados. Las rutas basadas en orígenes son aplicables al VR en el que se<br />
les configura; sin embargo, puede especificar otro VR como siguiente salto para una<br />
ruta basada en orígenes. Tampoco se pueden redistribuir rutas basadas en el origen<br />
a otros VR o protocolos de enrutamiento.<br />
Para utilizar esta función:<br />
1. Cree al menos una ruta basada en origen especificando esta información:<br />
El nombre del VR en el que es aplicable el enrutamiento según el origen.<br />
La dirección IP de origen, que aparece como una entrada en la tabla de<br />
enrutamiento basada en orígenes, en la cual el dispositivo de seguridad<br />
realiza una búsqueda de la tabla de enrutamiento.<br />
El nombre de la interfaz de salida por la que se reenvía el paquete.<br />
El salto siguiente para la ruta basada en el origen (tenga en cuenta que si ya<br />
se ha especificado una puerta de enlace predeterminada para la interfaz<br />
con el comando CLI set interface interfaz gateway dir_ip, no es necesario<br />
especificar el parámetro de puerta de enlace; la puerta de enlace<br />
predeterminada de la interfaz se usa como siguiente salto para la ruta<br />
basada en el origen. También puede especificar otro VR como siguiente<br />
salto para la ruta basada en el origen con el comando set vrouter vrouter<br />
route source dir_ip/máscara_red vrouter salto-siguiente_vrouter).<br />
La métrica para la ruta basada en el origen. (Si hay varias rutas basadas en<br />
el origen con el mismo prefijo, sólo la ruta con la métrica más baja se<br />
utiliza para la consulta de rutas y el resto se marcan como “inactivas”).<br />
2. Habilitar el enrutamiento según el origen en el VR. El dispositivo de seguridad<br />
utiliza la IP de origen del paquete para las operaciones de consulta de rutas en<br />
la tabla de enrutamiento basada en orígenes. Si no se encuentra ninguna ruta<br />
para la dirección IP de origen, se utiliza la dirección IP de destino para consultar<br />
la tabla de enrutamiento.<br />
En la Figura 7, el tráfico de los usuarios de la subred 10.1.1.0/24 se reenvía al ISP 1,<br />
mientras que el tráfico de los usuarios de la subred 10.1.2.0/24 se reenvía al ISP 2.<br />
Es necesario configurar dos entradas en la tabla de enrutamiento del VR<br />
predeterminado trust-vr y habilitar el enrutamiento según el origen:<br />
La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvío, y enrutador del<br />
ISP 1 (1.1.1.1) como siguiente salto<br />
La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvío, y enrutador del<br />
ISP 2 (2.2.2.2) como siguiente salto
Figura 7: Ejemplo de enrutamiento según el origen<br />
10.1.1.0/24<br />
10.1.2.0/24<br />
ethernet1<br />
ethernet2<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
WebUI<br />
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.1.1.0 255.255.255.0<br />
Interface: ethernet3 (seleccione)<br />
Gateway IP Address: 1.1.1.1<br />
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.1.2.0 255.255.255.0<br />
Interface: ethernet4 (seleccione)<br />
Gateway IP Address: 2.2.2.2<br />
NOTA: En la WebUI, la preferencia y el valor de métrica predeterminados son 1.<br />
ISP1<br />
1.1.1.1<br />
2.2.2.2<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione<br />
Enable Source Based Routing, y haga clic en OK.<br />
CLI<br />
set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1<br />
metric 1<br />
set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2<br />
metric 1<br />
set vrouter trust-vr source-routing enable<br />
save<br />
ISP2<br />
Tablas de enrutamiento del enrutador virtual 19
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Tabla de enrutamiento basada en la interfaz de origen<br />
20 Tablas de enrutamiento del enrutador virtual<br />
El enrutamiento según la interfaz de origen (SIBR) permite al dispositivo de<br />
seguridad reenviar el tráfico en función de la interfaz de origen (la interfaz por la<br />
que el paquete de datos llega al dispositivo de seguridad). Cuando SIBR se habilita<br />
en un enrutador virtual (VR), el dispositivo de seguridad realiza operaciones de<br />
consulta de rutas en una tabla de enrutamiento de SIBR. Si el dispositivo de<br />
seguridad no encuentra ninguna entrada de ruta en la tabla de enrutamiento de<br />
SIBR para la interfaz de origen, puede realizar consultas de ruta en la tabla de<br />
enrutamiento basada en orígenes (si el enrutamiento basado en orígenes está<br />
habilitado en el VR) o en la tabla de enrutamiento basada en destinos.<br />
Define las rutas basadas en la interfaz origen como rutas estáticas para las<br />
interfaces de origen especificadas. Las rutas basadas en la interfaz de origen son<br />
aplicables al VR en el que se configuran; sin embargo, también puede especificar<br />
otro VR como siguiente salto para una ruta basada en la interfaz de origen. Sin<br />
embargo, tampoco se pueden exportar rutas basadas en la interfaz de origen a<br />
otros VRs ni redistribuirlas a un protocolo de enrutamiento.<br />
Para utilizar esta función:<br />
1. Cree al menos una ruta basada en la interfaz de origen especificando la<br />
información siguiente:<br />
El nombre del VR en el que es aplicable el enrutamiento según la interfaz<br />
de origen.<br />
La interfaz de origen en la que el dispositivo de seguridad realiza una<br />
consulta en la tabla SIBR. (Esta interfaz aparece como una entrada en la<br />
tabla de enrutamiento).<br />
La dirección IP y el prefijo de máscara de red para la ruta.<br />
El nombre de la interfaz de salida por la que se reenvía el paquete.<br />
El salto siguiente para la ruta basada en interfaz de origen. (Tenga en<br />
cuenta que si ya se ha especificado una puerta de enlace predeterminada<br />
para la interfaz con el comando CLI set interface interfaz gateway dir_ip,<br />
no es necesario especificar el parámetro de puerta de enlace; la puerta de<br />
enlace predeterminada de la interfaz se usa como siguiente salto para la<br />
ruta basada en la interfaz de origen. También puede especificar otro VR<br />
como siguiente salto para la ruta basada en el origen con el comando set<br />
vrouter vrouter route source dir_ip/máscara_red vrouter<br />
salto-siguiente_vrouter).<br />
La métrica para la ruta basada en interfaz de origen. (Si hay varias rutas<br />
con base en la interfaz de origen con el mismo prefijo, sólo la ruta con la<br />
métrica más baja se utiliza para la consulta de rutas y el resto se marcan<br />
como “inactivas”).<br />
2. Habilite SIBR para el VR. El dispositivo de seguridad utiliza la interfaz de origen<br />
del paquete para las operaciones de consulta de rutas en la tabla SIBR.
Capítulo 2: <strong>Enrutamiento</strong><br />
En la Figura 8, el tráfico de los usuarios de la subred 10.1.1.0/24 llega al dispositivo<br />
de seguridad en la interfaz ethernet1 y se reenvía al ISP 1, mientras que el tráfico<br />
procedente de los usuarios de la subred 10.1.2.0/24 llega al dispositivo en ethernet2<br />
y se reenvía al ISP 2. Deberá configurar dos entradas en la tabla de enrutamiento<br />
del VR predeterminado trust-vr y habilitar SIBR:<br />
La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvíos y<br />
ethernet3 como interfaz de reenvío, y el enrutador del ISP 1 (1.1.1.1) como<br />
siguiente salto.<br />
La subred 10.1.2.0/24, con ethernet2 como interfaz de origen para reenvíos y<br />
ethernet4 como interfaz de reenvío, y el enrutador del ISP 2 (2.2.2.2) como<br />
siguiente salto.<br />
Figura 8: Ejemplo de enrutamiento según la interfaz de origen (SIBR)<br />
10.1.1.0/24<br />
10.1.2.0/24<br />
ethernet1<br />
ethernet2<br />
ethernet3<br />
ethernet4<br />
WebUI<br />
Network > Routing > Source Interface Routing > New (para ethernet1):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.1.1.0 255.255.255.0<br />
Interface: ethernet3 (seleccione)<br />
Gateway IP Address: 1.1.1.1<br />
Network > Routing > Source Interface Routing > New (para ethernet2):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.1.2.0 255.255.255.0<br />
Interface: ethernet4 (seleccione)<br />
Gateway IP Address: 2.2.2.2<br />
NOTA: En la WebUI, la preferencia y el valor de métrica predeterminados son 1.<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione<br />
Enable Source Interface Based Routing, y haga clic en OK.<br />
CLI<br />
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface<br />
ethernet3 gateway 1.1.1.1 metric 1<br />
set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface<br />
ethernet4 gateway 2.2.2.2 metric 1<br />
set vrouter trust-vr sibr-routing enable<br />
save<br />
ISP1<br />
1.1.1.1<br />
ISP2<br />
2.2.2.2<br />
Tablas de enrutamiento del enrutador virtual 21
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Crear y modificar enrutadores virtuales<br />
Modificar enrutadores virtuales<br />
22 Crear y modificar enrutadores virtuales<br />
Esta sección incluye varios ejemplos y procedimientos para modificar enrutadores<br />
virtuales (VRs) existentes y para crear o eliminar VRs personalizados.<br />
Se puede modificar un VR personalizado o predeterminado mediante la WebUI o la<br />
CLI. Por ejemplo, para modificar el VR trust-vr:<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit<br />
CLI<br />
set vrouter trust-vr<br />
Se pueden modificar los siguientes parámetros de los VRs:<br />
Identificador de enrutador virtual (consulte “Limitar el número máximo de<br />
entradas de la tabla de enrutamiento” en la página 30).<br />
Número máximo de entradas permitidas en la tabla de enrutamiento.<br />
El valor de preferencia para las rutas, según el protocolo (consulte “Establecer<br />
una preferencia de ruta” en la página 31).<br />
Hacer que el VR reenvíe el tráfico según la dirección IP de origen del paquete<br />
de datos (de forma predeterminada, un VR reenvía el tráfico según la dirección<br />
IP de destino del paquete de datos). Consulte “Tabla de enrutamiento basada en<br />
el origen” en la página 17.)<br />
Habilitar o inhabilitar la exportación automática de rutas al untrust-vr para<br />
interfaces configuradas en modo de ruta (sólo para el trust-vr).<br />
Añadir una ruta predeterminada con otro VR como siguiente salto (sólo para el<br />
trust-vr).<br />
Hacer capturas SNMP privadas para las MIBs de enrutamiento dinámico (sólo<br />
para el VR de nivel raíz).<br />
Permitir que rutas de interfaces inactivas sean tenidas en cuenta para<br />
notificación (de forma predeterminada, sólo las rutas activas definidas en<br />
interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a<br />
otros VRs).<br />
Hacer que el VR ignore las direcciones de subredes superpuestas para<br />
interfaces (de forma predeterminada, no se pueden configurar direcciones IP<br />
de subredes superpuestas para interfaces en el mismo VR).<br />
Permitir que el VR sincronice su configuración con el VR de su interlocutor del<br />
NetScreen Redundancy Protocol (NSRP).
Asignar una ID del enrutador virtual<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
Con los protocolos de enrutamiento dinámico, cada dispositivo de enrutamiento<br />
utiliza una única identidad de enrutador para comunicar con otros dispositivos de<br />
enrutamiento. La identidad puede ser en forma de notación decimal con puntos,<br />
como una dirección IP, o un valor entero. Si no se define una ID de enrutador virtual<br />
concreto (VR ID) antes de la habilitación de un protocolo de enrutamiento<br />
dinámico, ScreenOS automáticamente selecciona la dirección IP más alta de las<br />
interfaces activas en el enrutador virtual (VR) como identidad del enrutador.<br />
De forma predeterminada todos los dispositivos de seguridad tienen asignada la<br />
dirección IP 192.168.1.1 a la interfaz VLAN1. Si no se especifica una ID del<br />
enrutador antes de la habilitación de un protocolo de enrutamiento dinámico en un<br />
dispositivo de seguridad, la dirección IP elegida como ID del enrutador será<br />
probablemente la dirección predeterminada 192.168.1.1. Esto puede provocar un<br />
problema de enrutamiento puesto que no puede haber varios VRs de seguridad con<br />
la misma ID de VR en un dominio de enrutamiento. Por lo tanto, recomendamos<br />
que siempre se asigne una ID de VR explícita que sea única en la red. Se puede<br />
establecer la ID del VR a la dirección de la interfaz de bucle invertido, puesto que la<br />
interfaz de bucle invertido no es una VSI (interfaz de seguridad virtual) en un clúster<br />
NSRP (protocolo de redundancia de NetScreen). (Consulte el Volumen 11:<br />
Alta disponibilidad para obtener más información sobre la configuración de un<br />
clúster NSRP).<br />
En este ejemplo, se asigna 0.0.0.10 como ID de enrutador para el trust-vr.<br />
NOTA: En la WebUI se debe introducir la ID del enrutador en notación decimal de puntos.<br />
En la CLI, se puede introducir la ID del enrutador en notación decimal de puntos<br />
(0.0.0.10) o simplemente introducir 10 (la CLI la convierte en 0.0.0.10).<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, escriba 0.0.0.10.<br />
CLI<br />
set vrouter trust-vr router-id 10<br />
save<br />
NOTA: No se puede asignar o cambiar una ID de enrutador si ya se ha habilitado un<br />
protocolo de enrutamiento dinámico en el VR. Si es necesario cambiar la ID del<br />
enrutador, se debe primero desactivar el protocolo de enrutamiento dinámico en<br />
el VR. Para más información sobre la desactivación del protocolo de enrutamiento<br />
dinámico en el VR, consulte el capítulo correspondiente en este volumen.<br />
Reenviar tráfico entre enrutadores virtuales<br />
Cuando hay dos versiones de VR en un dispositivo de seguridad, el tráfico de las<br />
zonas en un VR no se reenvía automáticamente a zonas de otro VR, aunque haya<br />
directivas que permitan el tráfico. Si el tráfico debe pasar entre los VRs, tiene que<br />
realizar uno de estos procedimientos:<br />
Crear y modificar enrutadores virtuales 23
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configurar dos enrutadores virtuales<br />
24 Crear y modificar enrutadores virtuales<br />
Configurar una ruta estática en un VR que defina otro VR como el siguiente<br />
salto para la ruta. Esta ruta puede incluso ser la ruta predeterminada del VR. Por<br />
ejemplo, se puede configurar una ruta predeterminada para el trust-vr con el<br />
untrust-vr como siguiente salto. Si el destino de un paquete de salida no<br />
coincide con ninguna de las entradas de la tabla de enrutamiento del trust-vr, se<br />
reenvía al untrust-vr. Para obtener información sobre la configuración de rutas<br />
estáticas, consulte “Configurar rutas estáticas” en la página 5.<br />
Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamiento<br />
de otro VR. Se pueden exportar e importar rutas concretas. También se pueden<br />
exportar todas las rutas de la tabla de enrutamiento del trust-vr a la tabla del<br />
untrust-vr. Esto posibilita el reenvío de paquetes recibidos en el untrust-vr a<br />
destinos del trust-vr. Para obtener información, consulte “Exportar e importar<br />
rutas entre enrutadores virtuales” en la página 44.<br />
Cuando hay varios VRs dentro de un dispositivo de seguridad, cada VR mantiene<br />
tablas de enrutamiento separadas. De forma predeterminada, todas las zonas de<br />
seguridad predefinidas y definidas por el usuario están asociadas al trust-vr. Esto<br />
significa que todas las interfaces asociadas a esas zonas de seguridad también<br />
pertenecen al trust-vr. Esta sección analiza cómo asociar una zona de seguridad (y<br />
sus interfaces) al VR untrust-vr.<br />
Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias<br />
zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre<br />
zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una<br />
vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen<br />
al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero<br />
primero hay que quitar todas las interfaces de la zona. (Para obtener más<br />
información sobre cómo vincular y desvincular una interfaz de una zona de<br />
seguridad, consulte “Protocolo OSPF” en la página 7-47.)<br />
A continuación se enumeran los pasos básicos para asociar una zona de seguridad<br />
al VR untrust-vr:<br />
1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No<br />
se puede modificar el vínculo de zona a VR si hay una interfaz asignada a la<br />
zona. Si se ha asignado una dirección IP a una interfaz, es necesario eliminar la<br />
asignación de dirección antes de quitar la interfaz de la zona.<br />
2. Asignar la zona al VR untrust-vr.<br />
3. Asignar de nuevo las interfaces a la zona.<br />
En el siguiente ejemplo, la zona de seguridad untrust está asociada de forma<br />
predeterminada al trust-vr y la interfaz ethernet3 está asociada a la zona de<br />
seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad<br />
untrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz<br />
ethernet3 con un valor de 0.0.0.0, después cambiar los enlaces para que la zona de<br />
seguridad untrust se asocie al untrust-vr.
WebUI<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
1. Desasociar la interfaz de la zona untrust<br />
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Null<br />
IP Address/Netmask: 0.0.0.0/0<br />
2. Asociar la zona untrust al untrust-vr<br />
Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista<br />
desplegable Virtual Router Name, luego haga clic en OK.<br />
3. Asociar la interfaz a la zona untrust<br />
Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista<br />
desplegable Zone Name, luego haga clic en OK.<br />
CLI<br />
1. Desasociar la interfaz de la zona untrust<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
2. Asociar la zona untrust al untrust-vr<br />
set zone untrust vrouter untrust-vr<br />
3. Asociar la interfaz a la zona untrust<br />
set interface eth3 zone untrust<br />
save<br />
Crear y modificar enrutadores virtuales 25
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Crear y eliminar enrutadores virtuales<br />
26 Crear y modificar enrutadores virtuales<br />
En el resultado del siguiente ejemplo, el comando get zone muestra la interfaz,<br />
zona y enlaces VR predeterminados. En los enlaces predeterminados, la zona<br />
untrust está asociada al trust-vr.<br />
ns-> get zone<br />
Total of 12 zones in vsys root. 7 policy configurable zone(s)<br />
-------------------------------------------------------------<br />
ID Name Type Attr VR Default-IF VSYS<br />
0 Null Null Shared untrust-vr null Root<br />
1 Untrust Sec(L3) Shared trust-vr ethernet3 Root<br />
2 Trust Sec(L3) trust-vr ethernet1 Root<br />
3 DMZ Sec(L3) trust-vr ethernet2 Root<br />
4 Self Func trust-vr self Root<br />
5 MGT Func trust-vr vlan1 Root<br />
6 HA Func trust-vr null Root<br />
10 Global Sec(L3) trust-vr null Root<br />
11 V1-Untrust Sec(L2) trust-vr v1-untrust Root<br />
12 V1-Trust Sec(L2) trust-vr v1-trust Root<br />
13 V1-DMZ Sec(L2) trust-vr v1-dmz Root<br />
16 Untrust-Tun Tun trust-vr null Root<br />
-------------------------------------------------------------<br />
Puede elegir cambiar el enlace de la zona para untrust-vr. Al ejecutar el comando<br />
get zone, se muestra la interfaz, la zona y los enlaces de VR modificados; en este<br />
caso, la zona untrust está ahora vinculada a untrust-vr.<br />
ns-> get zone<br />
Total of 12 zones in vsys root. 7 policy configurable zone(s)<br />
-------------------------------------------------------------<br />
ID Name Type Attr VR Default-IF VSYS<br />
0 Null Null Shared untrust-vr null Root<br />
1 Untrust Sec(L3) Shared untrust-vr ethernet3 Root<br />
2 Trust Sec(L3) trust-vr ethernet1 Root<br />
3 DMZ Sec(L3) trust-vr ethernet2 Root<br />
4 Self Func trust-vr self Root<br />
5 MGT Func trust-vr vlan1 Root<br />
6 HA Func trust-vr null Root<br />
10 Global Sec(L3) trust-vr null Root<br />
11 V1-Untrust Sec(L2) trust-vr v1-untrust Root<br />
12 V1-Trust Sec(L2) trust-vr v1-trust Root<br />
13 V1-DMZ Sec(L2) trust-vr v1-dmz Root<br />
16 Untrust-Tun Tun trust-vr null Root<br />
---------------------------------------------------------------<br />
Algunos dispositivos de seguridad permiten crear VRs personalizados además de<br />
los dos predefinidos. Se pueden modificar todos los aspectos de un VR definido por<br />
el usuario, incluidos la identidad del VR, el número máximo de entradas permitidas<br />
en la tabla de enrutamiento, y el valor de preferencia de las rutas de determinados<br />
protocolos.<br />
NOTA: Sólo determinados dispositivos de seguridad son compatibles con VRs<br />
personalizados. Para crear VRs personalizados, es necesaria una clave de licencia<br />
de software.
Crear un enrutador virtual personalizado<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
En este ejemplo, se crea un VR personalizado denominado trust2-vr y se habilita<br />
una exportación de rutas automática del VR trust2-vr al untrust-vr.<br />
WebUI<br />
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Virtual Router Name: trust2-vr<br />
Auto Export Route to Untrust-VR: (seleccione)<br />
CLI<br />
set vrouter name trust2-vr<br />
set vrouter trust2-vr auto-route-export<br />
save<br />
Eliminar un enrutador virtual personalizado<br />
En este ejemplo, se elimina un VR definido por el usuario existente denominado<br />
trust2-vr.<br />
WebUI<br />
Network > Routing > Virtual Routers: Haga clic en Remove para trust2-vr.<br />
CLI<br />
Cuando aparezca la petición de confirmación de la eliminación, haga clic en<br />
OK.<br />
unset vrouter trust2-vr<br />
Cuando aparezca la petición de confirmación para la eliminación (vrouter<br />
unset, are you sure? y/[n]), teclee Y.<br />
save<br />
NOTA: No se pueden eliminar los VRs predefinidos untrust-vr y trust-vr, pero se puede<br />
eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR<br />
definido por el usuario o cambiar la ID del VR, se debe primero eliminar el VR, y<br />
después volver a crearlo con el nuevo nombre o ID del VR.<br />
Enrutadores virtuales y sistemas virtuales<br />
Cuando un administrador del nivel raíz crea un vsys en sistemas con sistema<br />
virtual habilitado, automáticamente el vsys tiene los siguientes VRs disponibles<br />
para su uso:<br />
Cualquier VR de nivel raíz que haya sido definido como compartido. El<br />
untrust-vr es, de forma predefinida, un VR compartido accesible por cualquier<br />
vsys. Se puede configurar otro VR de nivel raíz como compartido.<br />
Un VR de nivel vsys. Cuando se crea un vsys, se crea automáticamente un VR<br />
de nivel vsys que mantiene la tabla de enrutamiento de la zona Trust-vsysname.<br />
Se puede elegir nombrar el VR como vsysname-vr o con un nombre definido<br />
por el usuario. Un VR de nivel vsys no puede ser compartido por otros vsys.<br />
Crear y modificar enrutadores virtuales 27
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 9: Enrutadores virtuales dentro de un Vsys<br />
untrust-vr<br />
(enrutador virtual<br />
a nivel de raíz<br />
compartido)<br />
Mail<br />
Untrust<br />
28 Crear y modificar enrutadores virtuales<br />
NOTA: Únicamente los sistemas de seguridad de <strong>Juniper</strong> <strong>Networks</strong> (NetScreen-500,<br />
NetScreen-5200, NetScreen-5400) admiten vsys. Para crear objetos vsys, es<br />
necesaria una clave de licencia de software.<br />
DMZ<br />
Se pueden definir uno o más VRs personalizados para un vsys. Para obtener más<br />
información sobre sistemas virtuales, consulte el Volumen 10: Sistemas virtuales. En<br />
la Figura 9, cada uno de los tres vsys tiene dos VR asociados con éste: un VR de<br />
nivel vsys llamado vsysname-vr y el untrust-vr.<br />
sistema raíz<br />
vsys1<br />
vsys2<br />
vsys3<br />
Finance<br />
Crear un enrutador virtual en un Vsys<br />
En este ejemplo, se define un VR personalizado vr-1a con la ID de VR 10.1.1.9 para<br />
el vsys my-vsys1.<br />
WebUI<br />
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers ><br />
New: Introduzca los siguientes datos y haga clic en Apply:<br />
Virtual Router Name: vr-1a<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, introduzca 10.1.1.9<br />
trust-vr<br />
Trust Eng<br />
Trust-vsys1<br />
Trust-vsys2<br />
Trust-vsys3<br />
vsys1-vr<br />
vsys2-vr<br />
vsys3-vr<br />
Automáticamente<br />
creados cuando<br />
se crea vsys
CLI<br />
set vsys my-vsys1<br />
(my-vsys1) set vrouter name vr-1a<br />
(my-vsys1/vr-1a) set router-id 10.1.1.9<br />
(my-vsys1/vr-1a) exit<br />
(my-vsys1) exit<br />
Teclee Y cuando aparezca la siguiente pregunta:<br />
Configuration modified, save? [y]/n<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
El VR de nivel vsys que se crea al crear el vsys es el VR predeterminado para un<br />
vsys. Se puede cambiar el VR predeterminado de un vsys por un VR personalizado.<br />
Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en<br />
este ejemplo sea el VR predeterminado para el vsys my-vsys1:<br />
WebUI<br />
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit<br />
(para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y<br />
haga clic en Apply.<br />
CLI<br />
set vsys my-vsys1<br />
(my-vsys1) set vrouter vr-1a<br />
(my-vsys1/vr-1a) set default-vrouter<br />
(my-vsys1/vr-1a) exit<br />
(my-vsys1) exit<br />
Teclee Y cuando aparezca la siguiente pregunta:<br />
Configuration modified, save? [y]/n<br />
La zona de seguridad predefinida Trust-vsysname está asociada de forma<br />
predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, se<br />
puede asociar la zona de seguridad predefinida Trust-vsysname y cualquier zona de<br />
seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el<br />
vsys.<br />
El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs<br />
de nivel vsys no se pueden compartir, se puede definir cualquier VR de nivel raíz<br />
para ser compartido por el vsys. Esto permite definir rutas en un VR de nivel vsys<br />
que utilizan un VR de nivel raíz como siguiente salto. Se puede también configurar<br />
la redistribución de rutas entre un VR de nivel vsys y un VR de nivel raíz<br />
compartido.<br />
Compartir rutas entre enrutadores virtuales<br />
En este ejemplo, el VR de nivel raíz my-router contiene las entradas de la tabla de<br />
enrutamiento para la red 4.0.0.0/8. Si se configura el VR de nivel raíz my-router<br />
como compartible por el vsys, se puede definir una ruta en un VR de nivel vsys para<br />
el destino 4.0.0.0/8 con my-router como siguiente salto. En este ejemplo, el vsys es<br />
my-vsys1 y el VR de nivel vsys es my-vsys1-vr.<br />
Crear y modificar enrutadores virtuales 29
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
30 Crear y modificar enrutadores virtuales<br />
WebUI<br />
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
CLI<br />
Virtual Router Name: my-router<br />
Shared and accessible by other vsys (seleccione)<br />
Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New<br />
(para my-vsys1-vr): Introduzca los siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 40.0.0.0 255.0.0.0<br />
Next Hop Virtual Router Name: (seleccione) my-router<br />
set vrouter name my-router sharable<br />
set vsys my-vsys1<br />
(my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrouter my-router<br />
(my-vsys1) exit<br />
Teclee Y cuando aparezca la siguiente pregunta:<br />
Configuration modified, save? [y]/n<br />
Limitar el número máximo de entradas de la tabla de enrutamiento<br />
A cada VR se le asignan las entradas de la tabla de enrutamiento que necesita de un<br />
conjunto del sistema. El número máximo de entradas disponibles depende del<br />
dispositivo de seguridad y del número de VRs configurados en el dispositivo. Se<br />
puede limitar el número máximo de entradas de la tabla de enrutamiento que<br />
pueden asignarse a un VR concreto. Esto sirve para prevenir que un VR utilice todas<br />
las entradas del sistema.<br />
NOTA: Consulte la hoja de datos del producto pertinente para determinar el número<br />
máximo de entradas de la tabla de enrutamiento disponible en su dispositivo de<br />
seguridad de <strong>Juniper</strong> <strong>Networks</strong>.<br />
En este ejemplo, se ajusta a 20 el número máximo de entradas de la tabla de<br />
enrutamiento para el trust-vr.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Maximum Route Entry:<br />
Set limit at: (seleccione), 20<br />
CLI<br />
set vrouter trust-vr max-routes 20<br />
save
Ejemplos y características del enrutamiento<br />
Seleccionar rutas<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
Después de configurar los VRs requeridos para su red, puede determinar cuáles<br />
características de enrutamiento desea emplear. Estas características afectan al<br />
comportamiento del enrutamiento y a los datos de la tabla de enrutamiento. Estas<br />
características se aplican a protocolos de enrutamiento estático y dinámico.<br />
Esta sección contiene los siguientes temas:<br />
“Seleccionar rutas” en la página 31<br />
“Configurar el enrutamiento de rutas múltiples de igual coste” en la página 37<br />
“Redistribuir rutas” en la página 39<br />
“Exportar e importar rutas entre enrutadores virtuales” en la página 44<br />
Pueden existir varias rutas con el mismo prefijo (dirección IP y máscara) en la tabla<br />
de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el<br />
mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona<br />
la que tiene el valor de preferencia más bajo. Si los valores de preferencia son<br />
iguales, se comparan los valores de métrica. En ese caso, se selecciona la ruta que<br />
tiene el valor de métrica más bajo.<br />
NOTA: Si hay varias rutas para el mismo destino con los mismos valores de preferencia y<br />
los mismos valores de métrica, entonces cualquiera de ellas puede resultar<br />
seleccionada. En este caso, la elección de una ruta concreta sobre otra no está<br />
garantizada ni es predecible.<br />
Establecer una preferencia de ruta<br />
Una preferencia de ruta es un peso añadido a la ruta que influye en la<br />
determinación del mejor camino para que el tráfico alcance su destino. Cuando se<br />
importa o añade una ruta a la tabla de enrutamiento, el VR añade un valor de<br />
preferencia, determinado por el protocolo por el cual es reconocida. Se prefiere un<br />
valor de preferencia bajo (un número próximo a 0) a un valor de preferencia alto<br />
(un número alejado de 0).<br />
En un VR, puede establecer el valor de preferencia para rutas de acuerdo con el<br />
protocolo. La Tabla 2 detalla los valores de preferencia predeterminados para rutas<br />
de cada protocolo.<br />
Ejemplos y características del enrutamiento 31
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
32 Ejemplos y características del enrutamiento<br />
Tabla 2: Valores de preferencia predeterminados de las rutas<br />
Protocolo Preferencia predeterminada<br />
Connected 0<br />
Static 20<br />
Auto-Exported 30<br />
EBGP 40<br />
OSPF 60<br />
RIP 100<br />
Imported 140<br />
OSPF External Type 2 200<br />
IBGP 250<br />
También se puede ajustar el valor de preferencia de la ruta para dirigir el tráfico por<br />
el camino preferido.<br />
En este ejemplo, se especifica un valor de 4 como preferencia para cualquier ruta<br />
“conectada” añadida a la tabla de rutas del untrust-vr.<br />
NOTA: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas<br />
OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene<br />
efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando<br />
y a continuación habilitando el protocolo de enrutamiento dinámico), o, en el caso<br />
de rutas estáticas, eliminándola y volviéndola a añadir.<br />
Una ruta es conectada cuando el enrutador tiene una interfaz con una dirección IP<br />
en la red de destino.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Route Preference:<br />
Connected: 4<br />
CLI<br />
set vrouter untrust-vr preference connected 4<br />
save<br />
Métricas de ruta<br />
Las métricas de ruta determinan el mejor camino que un paquete puede tomar para<br />
alcanzar un destino dado. Los enrutadores utilizan las métricas de ruta para sopesar<br />
dos rutas al mismo destino y determinar la elección de una ruta sobre la otra.<br />
Cuando hay varias rutas hacia la misma red de destino con el mismo valor de<br />
preferencia, prevalece la ruta con la métrica más baja.
Una métrica de ruta se puede basar en cualquier elemento o bien en una<br />
combinación de éstos:<br />
Número de enrutadores que un paquete debe atravesar para alcanzar un<br />
destino<br />
Velocidad y ancho de banda relativas de la ruta<br />
Costo económico de los enlaces que conforman la ruta<br />
Otros factores<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
Cuando las rutas son reconocidas dinámicamente, el enrutador contiguo al de<br />
origen de la ruta proporciona la métrica. La métrica predeterminada para rutas<br />
conectadas siempre es 0. La métrica predeterminada para rutas estáticas es 1.<br />
Cambiar la secuencia predeterminada de consulta de rutas<br />
Si activa tanto el enrutamiento basado en el origen como el enrutamiento basado<br />
en interfaz de origen en un VR, el VR realiza búsquedas de la ruta, comprobando el<br />
paquete entrante con las tablas de enrutamiento en un orden específico. Esta<br />
sección describe la secuencia de búsqueda de la ruta predeterminada y cómo se<br />
puede modificar dicha secuencia configurando los valores de preferencia para cada<br />
tabla de enrutamiento.<br />
Si un paquete entrante no coincide con una sesión existente, el dispositivo de<br />
seguridad ejecuta los pasos restantes con el procedimiento First Packet Processing. La<br />
Figura 10 en la página 34 muestra la secuencia predeterminada de consulta de rutas.<br />
Ejemplos y características del enrutamiento 33
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
34 Ejemplos y características del enrutamiento<br />
Figura 10: Secuencia predeterminada de consulta de rutas<br />
paquete entrante<br />
¿SIBR<br />
activado?<br />
No<br />
¿SIBR<br />
activado?<br />
No<br />
¿Se encontró<br />
la ruta en<br />
DRT?<br />
No<br />
Descartar paquete<br />
Sí<br />
No<br />
Sí<br />
No<br />
Sí<br />
¿La ruta se<br />
encontró<br />
en tabla<br />
SIBR?<br />
¿La ruta se<br />
encontró<br />
en tabla<br />
SIBR?<br />
1. Si el enrutamiento basado en la interfaz de origen se activa en el VR, el<br />
dispositivo de seguridad primero comprueba la tabla de enrutamiento basada<br />
en la interfaz de origen para una entrada de ruta que coincida con la interfaz en<br />
la que llegó el paquete. Si el dispositivo de seguridad encuentra una entrada de<br />
ruta para la interfaz de origen en la tabla de enrutamiento basada en la interfaz<br />
de origen, reenvía los paquetes según lo especificado por la entrada de<br />
enrutamiento correspondiente. Si el dispositivo de seguridad no encuentra una<br />
entrada de enrutamiento para la interfaz de origen en la tabla de enrutamiento<br />
basada en la interfaz de origen, el dispositivo comprueba si el enrutamiento<br />
basado en el origen se habilita en el VR.<br />
2. Si el enrutamiento basado en el origen se activa en el VR, el dispositivo de<br />
seguridad comprueba la tabla de enrutamiento basada en el origen para una<br />
entrada de ruta que coincida con la dirección IP de origen del paquete. Si el<br />
dispositivo de seguridad encuentra una entrada de enrutamiento que coincida<br />
con la dirección IP de origen, reenvía el paquete según lo especificado por la<br />
entrada. Si el dispositivo de seguridad no encuentra una entrada de<br />
enrutamiento para la dirección IP de origen en la tabla de enrutamiento<br />
basada en el origen, el dispositivo comprueba la tabla de enrutamiento<br />
basada en los destinos.<br />
Sí<br />
Reenviar el paquete en la<br />
interfaz de salida especificada<br />
o de siguiente salto
Capítulo 2: <strong>Enrutamiento</strong><br />
3. El dispositivo de seguridad comprueba la tabla de enrutamiento basada en los<br />
destinos en búsqueda de una entrada de enrutamiento que coincida con la<br />
dirección IP de destino del paquete. Si el dispositivo de seguridad encuentra<br />
una entrada de enrutamiento que coincida con la dirección IP de destino,<br />
reenvía el paquete según lo especificado por la entrada. Si el dispositivo no<br />
encuentra una entrada de enrutamiento que coincida exactamente con la<br />
dirección IP de destino pero hay una ruta predeterminada configurada para el<br />
VR, el dispositivo reenvía el paquete según lo especificado por la ruta<br />
predeterminada. Si el dispositivo de seguridad no encuentra una entrada de<br />
enrutamiento para la dirección IP de destino y no hay ruta predeterminada<br />
configurada para el VR, el paquete se descarta.<br />
El orden en el que el dispositivo de seguridad comprueba las tablas de<br />
enrutamiento para encontrar una ruta que coincida está determinado por un valor<br />
de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento<br />
con el valor de preferencia más alto se comprueba primero mientras que la tabla de<br />
enrutamiento con el valor de preferencia más bajo es la última en comprobarse. De<br />
forma predeterminada, la tabla de enrutamiento basada en la interfaz de origen<br />
tiene el valor de preferencia más alto (3), la tabla de enrutamiento basada en el<br />
origen tiene el siguiente valor de preferencia más alto (2) y la tabla de enrutamiento<br />
basada en los destinos tiene el valor de preferencia más bajo (1).<br />
Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para<br />
modificar el orden en el que el dispositivo de seguridad realiza la búsqueda de rutas<br />
en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del<br />
valor de preferencia más alto al más bajo.<br />
En el ejemplo siguiente, habilitará tanto el enrutamiento SIBR como el<br />
enrutamiento basado en el origen en el enrutador trust-vr. Desea que el dispositivo<br />
de seguridad lleve a cabo operaciones de búsqueda de rutas en las tablas de<br />
enrutamiento con el siguiente orden: <strong>Enrutamiento</strong> basado en el origen primero,<br />
SIBR, y luego enrutamiento basado en destinos Para configurar esta secuencia de<br />
búsqueda en la tabla de enrutamiento, debe configurar el enrutamiento basado en<br />
el origen con un valor de preferencia más alto que el de SIBR (en este ejemplo,<br />
asignará un valor de preferencia de 4 al enrutamiento basado en el origen).<br />
WebUI<br />
Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Route Lookup Preference (1-255): (seleccione)<br />
For Source Based Routing: 4<br />
Enable Source Based Routing: (seleccione)<br />
Enable Source Interface Based Routing: (seleccione)<br />
CLI<br />
set vrouter trust-vr sibr-routing enable<br />
set vrouter trust-vr source-routing enable<br />
set vrouter trust-vr route-lookup preference source-routing 4<br />
save<br />
Ejemplos y características del enrutamiento 35
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 11: Consulta de rutas en múltiples VRs<br />
10.1.1.0/24<br />
10.1.2.0/24<br />
36 Ejemplos y características del enrutamiento<br />
Consultar rutas en múltiples enrutadores virtuales<br />
Sólo puede especificar otro VR como el salto siguiente para una entrada de<br />
enrutamiento basada en destinos solamente y no para una entrada de<br />
enrutamiento basada en el origen o en la interfaz. Por ejemplo, la ruta<br />
predeterminada en la tabla de enrutamiento basada en destinos puede especificar<br />
el untrust-vr como el siguiente salto, luego la entrada del untrust-vr puede<br />
especificar otro VR, como DMZ. El dispositivo verificará hasta un total de tres VR.<br />
Donde la búsqueda de rutas en un VR da lugar a búsquedas de rutas en otro VR, el<br />
dispositivo de seguridad siempre lleva a cabo las segundas operaciones de<br />
búsqueda de rutas en la tabla de enrutamiento basada en destinos.<br />
En el ejemplo, habilitará el enrutamiento basado en origen tanto en las tablas de<br />
enrutamiento trust-vr como en las tablas de enrutamiento untrust-vr. Trust-vr posee<br />
las siguientes entradas de enrutamiento:<br />
Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con<br />
ethernet3 como la interfaz del reenvío, y el enrutador en 1.1.1.1 como el<br />
siguiente salto.<br />
Una ruta predeterminada, con el untrust-vr como el siguiente salto.<br />
El untrust-vr posee las siguientes entradas de enrutamiento:<br />
Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con<br />
ethernet4 como la interfaz del reenvío, y el enrutador en 2.2.2.2 como el<br />
siguiente salto.<br />
Una ruta predeterminada, con ethernet3 como la interfaz del reenvío y el<br />
enrutador en 1.1.1.1 como el siguiente salto.<br />
La Figura 11 muestra cómo el tráfico de la subred 10.1.2.0/24 siempre se reenvía a<br />
través de ethernet3 al enrutador en 1.1.1.1.<br />
ethernet1<br />
ethernet2<br />
ethernet3<br />
ethernet4<br />
La tabla de enrutamiento basada en el origen para el trust-vr incluye la siguiente<br />
entrada:<br />
ISP1<br />
1.1.1.1<br />
ISP2<br />
2.2.2.2<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 1 10.1.1.0/24 eth3 2.2.2.250 S 20 1 Root
Capítulo 2: <strong>Enrutamiento</strong><br />
La tabla de enrutamiento basada en destinos para el untrust-vr incluye la siguiente<br />
entrada:<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 1 0.0.0.0/24 n/a untrust-vr S 20 0 Root<br />
El tráfico desde la subred 10.1.2.0/24 llega en el dispositivo de seguridad en<br />
ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que<br />
coincida, el dispositivo de seguridad realiza búsquedas de rutas en la tabla de<br />
enrutamiento basada en destinos. La ruta predeterminada en la tabla de<br />
enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente.<br />
A continuación, el dispositivo de seguridad no comprueba la tabla de enrutamiento<br />
basada en el origen para que el untrust-vr busque la siguiente entrada:<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 1 10.1.2.0/24 eth4 2.2.2.250 S 20 1 Root<br />
En su lugar, el dispositivo de seguridad comprueba la tabla de enrutamiento con<br />
base en destinos y busca la siguiente entrada:<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 1 0.0.0.0/24 eth3 1.1.1.150 S 20 0 Root<br />
En el untrust-vr, el dispositivo de seguridad sólo realiza búsquedas de rutas en la<br />
tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento<br />
basada en origen del untrust-vr contiene una entrada que coincida con el tráfico.<br />
La ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta<br />
predeterminada) reenvía el tráfico en la interfaz ethernet3.<br />
Configurar el enrutamiento de rutas múltiples de igual coste<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten el enrutamiento de<br />
rutas múltiples de igual coste (ECMP) por cada sesión. Las rutas de igual coste<br />
tienen los mismos valores de preferencia y de métrica. Una vez que un dispositivo<br />
de seguridad asocia una sesión con una ruta, el dispositivo de seguridad utiliza<br />
dicha ruta hasta que memoriza otra mejor o hasta que la actual deja de ser<br />
utilizable. Las rutas elegibles deben tener interfaces de salida que pertenezcan a las<br />
misma zona.<br />
NOTA: Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta<br />
va a una zona diferente a la prevista, no se podrá producir una coincidencia de<br />
sesión y puede que el tráfico no pueda pasar.<br />
ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o<br />
aumenta la eficacia de utilización del ancho de banda entre dos o más destinos.<br />
Cuando el ECMP está habilitado, los dispositivos de seguridad utilizan las rutas<br />
definidas estáticamente o memorizan dinámicamente varias rutas al mismo<br />
destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna<br />
rutas de igual coste en el modo de ronda recíproca (“round robin”).<br />
Sin ECMP, el dispositivo de seguridad utiliza únicamente la primera ruta aprendida<br />
o definida. Las otras rutas que sean de igual coste no se utilizan hasta que la ruta<br />
activa actualmente deje de estarlo.<br />
Ejemplos y características del enrutamiento 37
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
38 Ejemplos y características del enrutamiento<br />
NOTA: Al usar ECMP, si tiene dos dispositivos de seguridad en una relación de vecindad y<br />
nota la pérdida de un paquete y un equilibrio de cargas incorrecto, compruebe la<br />
configuración del protocolo de resolución de direcciones (Address Resolution<br />
Protocol, ARP) del dispositivo vecino para asegurarse de que la característica arp<br />
always-on-dest está desactivada (predeterminado). Para obtener más información<br />
acerca de comandos relacionados con ARP, consulte “Interfaces inactivas y flujo<br />
de tráfico” en la página 2-75.<br />
Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de<br />
enrutamiento basad en destinos trust-vr:<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root<br />
9 0.0.0.0/0 ethernet2 2.2.2.250 S 20 1 Root<br />
En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a<br />
dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP.<br />
Las dos rutas tienen los mismos valores métricos; sin embargo, la primera ruta es<br />
una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad<br />
adquirió la primera ruta a través de DHCP o de PPP y el dispositivo adquirió la ruta<br />
predeterminada a través de la configuración manual. La segunda ruta es una ruta<br />
estática configurada manualmente (S con una preferencia automática de 20). Con<br />
ECMP desactivado, el dispositivo de seguridad reenvía todo el tráfico a la ruta<br />
conectada en ethernet3.<br />
Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de<br />
la ruta estática a cero (0) para que coincida con la ruta conectada introduciendo el<br />
comando set vrouter trust-vr preference static 0 y luego activando ECMP. Con<br />
ECMP activado, la carga del dispositivo de seguridad equilibra el tráfico alternando<br />
entre dos rutas ECMP válidas. La siguiente pantalla muestra la tabla de<br />
enrutamiento actualizada.<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root<br />
* 9 0.0.0.0/0 ethernet2 2.2.2.250 S 0 1 Root<br />
Si activa ECMP y el dispositivo de seguridad encuentra más de una ruta coincidente<br />
del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta<br />
diferente de igual coste para cada búsqueda de ruta. Con las rutas indicadas<br />
anteriormente, el dispositivo de seguridad alterna entre ethernet3 y ethernet2 para<br />
reenviar tráfico a la red 0.0.0.0/0.<br />
Si hay más de dos rutas de igual coste en la red, el dispositivo de seguridad realiza<br />
una selección de las rutas en orden rotativo (ronda recíproca) hasta el máximo<br />
configurado de modo que el dispositivo seleccione una ruta ECMP diferente para<br />
cada consulta de ruta.
Redistribuir rutas<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
ECMP se desactiva de forma predeterminada (el número máximo de rutas es 1).<br />
Para activar el enrutamiento ECMP, debe especificar el número máximo de rutas de<br />
igual coste por enrutador. Puede especificar hasta cuatro rutas. Una vez que esté<br />
establecido el número máximo de rutas, el dispositivo de seguridad no añadirá o<br />
modificará rutas aunque reconozca más.<br />
En el siguiente ejemplo, se establece el número máximo de rutas ECMP en el<br />
trust-vr en 2. Aunque pueda haber 3 ó 4 rutas de igual coste dentro de la misma<br />
zona y en la tabla de enrutamiento, el dispositivo de seguridad únicamente alterna<br />
entre el número configurado de rutas elegibles. En este caso, los datos sólo se<br />
reenvían a lo largo de las 2 rutas ECMP especificadas.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Maximum ECMP Routes:<br />
Set Limit at: (seleccione), 2<br />
CLI<br />
set vrouter trust-vr max-ecmp-routes 2<br />
save<br />
La tabla de enrutamiento de un VR contiene rutas agrupadas según todos los<br />
protocolos de enrutamiento dinámico que se ejecutan en el VR, así como las rutas<br />
estáticas y las rutas conectadas directamente. De forma predeterminada, un<br />
protocolo de enrutamiento dinámico (como OSPF, RIP o BGP) notifica a sus<br />
adyacentes o interlocutores sólo las rutas que cumplen las siguientes condiciones:<br />
Las rutas deben estar activas en la tabla de enrutamiento.<br />
Las rutas deben ser reconocidas por el protocolo de enrutamiento dinámico.<br />
NOTA: OSPF, RIP, y BGP también notifican las rutas conectadas de las interfaces de<br />
ScreenOS en las que estos protocolos están habilitados.<br />
Para que un protocolo de enrutamiento dinámico pueda notificar rutas previamente<br />
reconocidas por otro protocolo, incluidas la rutas configuradas estáticamente, es<br />
necesario redistribuir las rutas del protocolo origen al protocolo que realiza la<br />
notificación.<br />
Se pueden redistribuir las rutas reconocidas por un protocolo de enrutamiento<br />
(incluidas la rutas configuradas estáticamente) a otro protocolo de enrutamiento<br />
diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor<br />
notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual<br />
tiene que traducir toda la información, en particular las rutas conocidas, del otro<br />
protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza OSPF<br />
y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio<br />
OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus<br />
vecinos OSPF sobre cómo llegar a los dispositivos del dominio BGP.<br />
Ejemplos y características del enrutamiento 39
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
40 Ejemplos y características del enrutamiento<br />
Las rutas se distribuyen entre los protocolos según una regla de redistribución que<br />
define el administrador del sistema o de la red. Cuando se añade una ruta a la tabla<br />
de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de<br />
redistribución definidas en el VR para determinar si la ruta tiene que ser<br />
redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un<br />
enrutador virtual, se le aplican una a una todas las reglas de redistribución definidas<br />
en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de<br />
enrutamiento del VR. Observe que todas las reglas de redistribución se aplican<br />
cuando se añade o se elimina una ruta. No existe el concepto de orden de las reglas<br />
o de “primera regla aplicable” para las reglas de redistribución.<br />
NOTA: Se puede definir sólo una regla de redistribución entre dos protocolos<br />
cualesquiera.<br />
En el dispositivo de seguridad, se configura un mapa de rutas para especificar qué<br />
rutas van a ser redistribuidas y los atributos de las rutas redistribuidas.<br />
Configurar un mapa de rutas<br />
Un mapa de rutas consiste en un conjunto de declaraciones que se aplican en orden<br />
secuencial a una ruta. Cada declaración del mapa de rutas define una condición que<br />
se comprueba con la ruta. Una ruta se compara con cada declaración de un mapa<br />
de rutas determinado en orden creciente del número de secuencia hasta que haya<br />
una coincidencia, entonces se realiza la acción especificada en la declaración. Si la<br />
ruta cumple la condición de la declaración del mapa de rutas, la ruta es aceptada o<br />
rechazada. Una declaración del mapa de rutas puede también modificar ciertos<br />
atributos de una ruta coincidente. Hay un rechazo implícito al final de todo mapa de<br />
rutas; esto es, si una ruta no coincide con ninguna entrada del mapa de rutas, se<br />
rechaza. La Tabla 3 detalla las condiciones de comparación del mapa de rutas y<br />
ofrece una descripción de cada una.
Tabla 3: Condiciones de comparación del mapa de rutas<br />
Condición de<br />
comparación Descripción<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
BGP AS Path Compara con una lista de acceso AS path determinada. Consulte “Filtrar<br />
rutas” en la página 42.<br />
BGP Community Compara con una lista de comunidades determinada. Consulte “Filtrar<br />
rutas” en la página 42.<br />
OSPF route type Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2.<br />
Interface Compara con una interfaz determinada.<br />
IP address Compara con una lista de acceso determinada. Consulte “Filtrar rutas”<br />
en la página 42.<br />
Metric Compara con un valor de métrica de ruta determinado<br />
Next-hop Compara con una lista de acceso determinada. Consulte la “Filtrar rutas”<br />
en la página 42.<br />
Tag Compara con una dirección IP o etiqueta de ruta determinada.<br />
Para cada condición de comparación, se especifica si una ruta que cumple la<br />
condición es aceptada (“permitted”) o rechazada (“denied”). Si una ruta cumple<br />
la condición y es aceptada, se puede opcionalmente dar valor a los atributos para<br />
la ruta. La Tabla 4 detalla los atributos del mapa de rutas y las descripciones de<br />
cada uno.<br />
Tabla 4: Atributos del mapa de rutas<br />
Conjunto de atributos Descripción<br />
BGP AS Path Añade una lista de acceso AS path determinada al principio de lista de<br />
atributos de camino de la ruta coincidente.<br />
BGP Community Fija el atributo de comunidad de la ruta coincidente a la lista de<br />
comunidades especificada.<br />
BGP local preference Fija el atributo local-pref de la ruta coincidente al valor especificado.<br />
BGP weight Establece el peso de la ruta coincidente.<br />
Offset metric Aumenta la métrica de la ruta coincidente hasta el valor especificado.<br />
Esto aumenta la métrica en una ruta menos deseable. Para las rutas<br />
RIP, se puede aplicar el incremento tanto a las rutas notificadas<br />
(route-map out) o a las rutas aprendidas (route-map in). Para otras<br />
rutas, puede aplicar el incremento a las rutas que se exportan a<br />
otro VR.<br />
OSPF metric type Fija el tipo de métrica OSPF de la ruta coincidente a externo tipo 1 o<br />
externo tipo 2.<br />
Metric Fija la métrica de la ruta coincidente al valor especificado.<br />
Next-hop of route Fija el siguiente salto de la ruta coincidente a la dirección IP<br />
especificada.<br />
Preserve metric Preserva la métrica de una ruta coincidente que se exporta a otro VR.<br />
Preserve preference Conserva el valor de preferencia de la ruta coincidente que se exporta a<br />
otro VR.<br />
Tag Fija la etiqueta de la ruta coincidente al valor especificado o la<br />
dirección IP.<br />
Ejemplos y características del enrutamiento 41
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Filtrar rutas<br />
42 Ejemplos y características del enrutamiento<br />
El filtrado de rutas permite controlar qué rutas se admiten en una VR, cuáles se<br />
notifican a los interlocutores y cuáles se redistribuyen de un protocolo de<br />
enrutamiento a otro. Se pueden aplicar filtros a las rutas entrantes enviadas por un<br />
interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a<br />
los enrutadores de interlocución. Se pueden utilizar los siguientes mecanismos de<br />
filtrado:<br />
Lista de acceso: Consulte ”Configurar una lista de acceso” para obtener<br />
información sobre la configuración de la lista de acceso.<br />
Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas<br />
autónomos por los que ha pasado una notificación de ruta y es parte de la<br />
información de ruta. Una lista de acceso AS-path es un conjunto de expresiones<br />
regulares que representan ASs específicos. Se puede utilizar una lista de acceso<br />
AS-path para filtrar las rutas según el AS por el que ha pasado la ruta. Consulte<br />
“Configurar una lista de acceso AS-Path” en la página 123 para obtener<br />
información sobre la configuración de una lista de acceso AS-path.<br />
Lista de comunidades BGP: Un atributo de comunidad contiene los<br />
identificadores de las comunidades a las que pertenece una ruta BGP. Una lista<br />
de comunidades BGP es un conjunto de comunidades BGP que se puede utilizar<br />
para filtrar las rutas según las comunidades a las que pertenecen. Consulte<br />
“Comunidades BGP” en la página 131 para obtener información sobre la<br />
configuración de la lista de comunidades BGP.<br />
Configurar una lista de acceso<br />
Una lista de acceso es una lista de declaraciones con la que se compara la ruta.<br />
Cada declaración especifica la dirección/máscara IP de un prefijo de red y el estado<br />
de reenvío (acepta o rechaza la ruta). Por ejemplo, una declaración de una lista de<br />
acceso puede permitir las rutas de la subred 1.1.1.0/24. Otra de la misma lista de<br />
acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la<br />
declaración de la lista de acceso, se aplica el estado de reenvío especificado.<br />
La secuencia de declaraciones en una lista de acceso es importante, puesto que una<br />
ruta se compara ordenadamente con todas las declaraciones desde la primera hasta<br />
que coincide con una. Si hay una coincidencia, todas las demás de la lista se<br />
ignoran. Se deben colocar las declaraciones más específicas antes de las menos<br />
específicas. Por ejemplo, colocar la declaración que rechaza las rutas de la subred<br />
1.1.1.1/30 antes de la que permite las rutas de la subred 1.1.1.0/24.<br />
También puede utilizar listas de acceso para controlar el flujo del tráfico multicast.<br />
Para obtener información, consulte “Listas de acceso” en la página 141.<br />
En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de acceso tiene las<br />
siguientes características:<br />
Identifier: 2 (se debe especificar un identificador de lista de acceso cuando se<br />
configura la lista de acceso)<br />
Forwarding Status: permit<br />
IP Address/Netmask Filtering: 1.1.1.1/24
Capítulo 2: <strong>Enrutamiento</strong><br />
Sequence Number: 10 (sitúa esta declaración con respecto a otras en la lista de<br />
acceso)<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 2<br />
Sequence No.: 10<br />
IP/Netmask: 1.1.1.1/24<br />
Action: Permit<br />
CLI<br />
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10<br />
save<br />
Redistribuir rutas en OSPF<br />
En este ejemplo, se redistribuyen determinadas rutas BGP que han pasado por el<br />
sistema autónomo 65000 en OSPF. Primero se configura una lista de acceso<br />
AS-path que permite las rutas que han pasado por el AS 65000. (Para obtener más<br />
información sobre la configuración de una lista de acceso AS-path, consulte<br />
“Configurar una lista de acceso AS-Path” en la página 123). A continuación, se<br />
configura un mapa de rutas “rtmap1” que selecciona las rutas de la lista de acceso<br />
AS-path. Por último, en OSPF se especifica una regla de redistribución que utiliza el<br />
mapa de rutas “rtmap1” y luego especifica BGP como protocolo de origen de las<br />
rutas.<br />
WebUI<br />
1. Lista de acceso BGP AS-path<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP<br />
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:<br />
AS Path Access List ID: 1<br />
Permit: (seleccione)<br />
AS Path String: _65000_<br />
2. Mapa de rutas<br />
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: rtmap1<br />
Sequence No.: 10<br />
Action: Permit (seleccione)<br />
Match Properties:<br />
AS Path: (seleccione), 1<br />
3. Regla de redistribución<br />
Network > Routing > Virtual Router > Edit (para el trust-vr) > Edit OSPF<br />
Instance > Redistributable Rules: Seleccione los siguientes datos y haga clic en<br />
Add:<br />
Route Map: rtmap1<br />
Protocol: BGP<br />
Ejemplos y características del enrutamiento 43
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
CLI<br />
44 Ejemplos y características del enrutamiento<br />
1. Lista de acceso BGP AS-path<br />
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_<br />
2. Mapa de rutas<br />
set vrouter trust-vr<br />
ns(trust-vr)-> set route-map name rtmap1 permit 10<br />
ns(trust-vr/rtmap1-10)-> set match as-path 1<br />
ns(trust-vr/rtmap1-10)-> exit<br />
ns(trust-vr)-> exit<br />
3. Regla de redistribución<br />
set vrouter trust-vr protocol ospf redistribute route-map rtmap1 protocol bgp<br />
save<br />
Exportar e importar rutas entre enrutadores virtuales<br />
Si tenemos dos VRs configurados en un dispositivo de seguridad, se puede permitir<br />
que rutas especificadas en un VR sean reconocidas por el otro VR. Para hacerlo, se<br />
deben definir reglas de exportación en el VR origen que exporten las rutas al VR<br />
destino. Cuando se exportan rutas, un enrutador virtual permite a otros VR<br />
reconocer su red. En el VR destino, se pueden configurar opcionalmente reglas de<br />
importación para controlar las rutas que pueden ser importadas del VR origen. Si no<br />
hay reglas de importación en el VR destino, se aceptan todas las rutas exportadas.<br />
Para exportar e importar rutas entre enrutadores virtuales:<br />
1. Definir una regla de exportación en el VR origen.<br />
2. Definir una regla de importación en el VR destino (opcional). Aunque este paso<br />
es opcional, una regla de importación permite un mayor control de las rutas<br />
que el enrutador virtual de destino acepta del enrutador virtual de origen.<br />
En el dispositivo de seguridad, se configura una regla de exportación o importación<br />
con las especificaciones que se dan a continuación:<br />
El enrutador virtual de destino (para las reglas de exportación) o el enrutador<br />
virtual de origen (para las reglas de importación)<br />
El protocolo de las rutas que van a ser exportadas/importadas<br />
Qué rutas van a ser exportadas/importadas<br />
Los atributos nuevos o modificados de las rutas exportadas/importadas<br />
(opcional)<br />
La configuración de una regla de exportación o importación es similar a la de una<br />
regla de redistribución. Se configura un mapa de rutas para especificar qué rutas van<br />
a ser exportadas/importadas y los atributos de las mismas.<br />
Se puede configurar la exportación automática de todas las entradas de la tabla de<br />
rutas del trust-vr al untrust-vr. Se puede configurar también que un enrutador virtual<br />
definido por el usuario exporte automáticamente rutas a otro enrutador virtual. Las<br />
rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden<br />
ser exportadas.
Configurar una regla de exportación<br />
Capítulo 2: <strong>Enrutamiento</strong><br />
En este ejemplo, las rutas OSPF de la red 1.1.1.1/24 del enrutador virtual trust-vr se<br />
exportan al dominio de enrutamiento del untrust-vr. Primero se crea una lista de<br />
acceso para el prefijo de red 1.1.1.1/24, que luego se utiliza en el mapa de rutas<br />
“rtmap1” para filtrar las rutas de la red 1.1.1.1/24. En segundo lugar, se crea una<br />
regla de exportación de ruta para exportar las rutas OSPF coincidentes del trust-vr<br />
al enrutador virtual untrust-vr.<br />
WebUI<br />
trust-vr<br />
1. Lista de accesos<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 2<br />
Sequence No.: 10<br />
IP/Netmask: 1.1.1.1/24<br />
Action: Permit<br />
2. Mapa de rutas<br />
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: rtmap1<br />
Sequence No.: 10<br />
Action: permit (seleccione)<br />
Match Properties:<br />
Access List: (seleccione), 2<br />
3. Regla de exportación<br />
Network > Routing > Virtual Routers > Export Rules > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
trust-vr<br />
Destination Virtual Router: untrust-vr<br />
Route Map: rtmap1<br />
Protocol: OSPF<br />
1. Lista de accesos<br />
set vrouter trust-vr<br />
ns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10<br />
2. Mapa de rutas<br />
ns(trust-vr)-> set route-map name rtmap1 permit 10<br />
ns(trust-vr/rtmap1-10)-> set match ip 2<br />
ns(trust-vr/rtmap1-10)-> exit<br />
3. Regla de exportación<br />
ns(trust-vr)-> set export-to vrouter untrust-vr route-map rtmap1 protocol ospf<br />
ns(trust-vr)-> exit<br />
save<br />
Ejemplos y características del enrutamiento 45
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
46 Ejemplos y características del enrutamiento<br />
Configurar la exportación automática<br />
Se puede configurar la exportación automática de todas las rutas del trust-vr al<br />
untrust-vr.<br />
PRECAUCIÓN: Esta característica puede anular el aislamiento entre trust-vr y<br />
untrust-vr, ya que hace que todas las rutas fiables sean visibles en la red no fiable.<br />
Si se definen reglas de importación para el untrust-vr, sólo se importan las rutas que<br />
cumplan las reglas de importación. En este ejemplo, el trust-vr exporta<br />
automáticamente todas las rutas al untrust-vr, pero una regla de importación del<br />
untrust-vr permite que se exporten sólo las rutas de OSPF interno.<br />
WebUI<br />
trust-vr<br />
Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto<br />
Export Route to Untrust-VR, luego haga clic en OK.<br />
untrust-vr<br />
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Map Name: from-ospf-trust<br />
Sequence No.: 10<br />
Action: permit (seleccione)<br />
Route Type: internal-ospf (seleccione)<br />
trust-vr<br />
set vrouter trust-vr auto-route-export<br />
untrust-vr<br />
set vrouter untrust-vr<br />
ns(untrust-vr)-> set route-map name from-ospf-trust permit 10<br />
ns(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf<br />
ns(untrust-vr/from-ospf-trust-10)-> exit<br />
ns(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol<br />
ospf<br />
ns(untrust-vr)-> exit<br />
save
Capítulo 3<br />
Protocolo OSPF<br />
En este capítulo se describe el protocolo de enrutamiento OSPF (Open Shortest Path<br />
First) en los dispositivos de seguridad. Contiene las siguientes secciones:<br />
“Vista general” en la página 48<br />
“Áreas” en la página 48<br />
“Clasificación de enrutadores” en la página 49<br />
“Protocolo de saludo” en la página 50<br />
“Tipos de redes” en la página 50<br />
“Notificaciones de estado de conexiones” en la página 51<br />
“Configuración básica de OSPF” en la página 51<br />
“Crear y eliminar una instancia de enrutamiento de OSPF” en la página 53<br />
“Crear y eliminar un área OSPF” en la página 54<br />
“Asignar interfaces a un área OSPF” en la página 55<br />
“Habilitar OSPF en interfaces” en la página 56<br />
“Comprobar la configuración” en la página 58<br />
“Redistribución de rutas en protocolos de enrutamiento” en la página 59<br />
“Resumen de rutas redistribuidas” en la página 60<br />
“Parámetros globales de OSPF” en la página 61<br />
“Notificar la ruta predeterminada” en la página 62<br />
“Conexiones virtuales” en la página 63<br />
“Ajustar parámetros de interfaz OSPF” en la página 65<br />
47
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
Áreas<br />
48 Vista general<br />
“Configuración de seguridad” en la página 67<br />
“Autenticar vecinos” en la página 67<br />
“Configurar una lista de vecinos de OSPF” en la página 68<br />
“Rechazar rutas predeterminadas” en la página 69<br />
“Proteger contra inundaciones” en la página 70<br />
“Crear un circuito de demanda OSPF en una interfaz de túnel” en la página 71<br />
“Interfaz de túnel punto a multipunto” en la página 72<br />
“Establecer el tipo de conexión OSPF” en la página 72<br />
“Inhabilitar la restricción Route-Deny” en la página 72<br />
“Crear una red punto a multipunto” en la página 73<br />
El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta<br />
más corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para<br />
ejecutarse dentro de un único sistema autónomo (AS). Un enrutador que ejecute<br />
OSPF distribuye su información de estado (como interfaces disponibles para el uso<br />
y accesibilidad por parte de equipos vecinos) inundando periódicamente el sistema<br />
autónomo con notificaciones de estado de conexiones (LSA, link-state<br />
advertisements).<br />
Los enrutadores OSPF utilizan las LSAs de los enrutadores contiguos para actualizar<br />
una base de datos de estado de conexiones. Esta base de datos es una tabla que<br />
informa de la topología y el estado de las redes de un área. La distribución<br />
constante de las LSAs a través del dominio de enrutamiento permite a todos los<br />
enrutadores de un sistema autónomo disponer de bases de datos de estado de<br />
conexiones idénticas.<br />
El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar<br />
cuál es la mejor ruta a una red cualquiera dentro del sistema autónomo. Esto se<br />
consigue generando un árbol de ruta más corta, que es una representación gráfica<br />
de la ruta más corta a una determinada red dentro del sistema autónomo. Aunque<br />
todos los enrutadores tienen la misma base de datos de estado de conexiones, cada<br />
enrutador tiene su propio árbol de rutas más cortas, ya que cada uno genera su<br />
árbol y se coloca en su parte superior..<br />
De forma predeterminada, todos los enrutadores se agrupan en una única área<br />
troncal llamada area 0 o “backbone” (normalmente es el área 0.0.0.0). Sin<br />
embargo, las redes de gran tamaño que se encuentran dispersas geográficamente<br />
se suelen segmentar en múltiples áreas. A medida que la red se amplía, las bases de<br />
datos de estado de conexión también crecen y se dividen en grupos más pequeños<br />
para mejorar su posibilidad de ampliación.
Clasificación de enrutadores<br />
Capítulo 3: Protocolo OSPF<br />
Las áreas reducen el volumen de información de enrutamiento que pasa a través de<br />
la red, ya que cada enrutador sólo tiene que actualizar la base de datos de estado<br />
del área a la que pertenece. No necesita actualizar la información de estado de las<br />
redes o enrutadores que se encuentran en otras áreas. Un enrutador conectado a<br />
múltiples áreas mantiene una base de estado de conexiones por cada área a la que<br />
está conectado. Las áreas deben estar conectadas directamente al área 0, excepto<br />
cuando crean una conexión virtual. Para obtener más información sobre<br />
conexiones virtuales, consulte la página 63.<br />
Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS e<br />
inundan todo un AS. Ciertas áreas OSPF se pueden configurar como áreas de rutas<br />
internas (stub areas); de este modo, las notificaciones externas de sistemas<br />
autónomos no inundarán estas áreas. En OSPF se utilizan normalmente dos tipos<br />
de áreas habituales:<br />
Área de ruta interna: área que recibe resúmenes de ruta del área troncal pero<br />
que no recibe notificaciones de estado de conexiones de otras áreas acerca de<br />
enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo).<br />
Un área de ruta interna se puede considerar un área exclusiva de rutas internas<br />
(totally stubby) si en ella no se admiten rutas de resumen.<br />
Área NSSA: al igual que las áreas de rutas internas normales, las NSSAs (Not So<br />
Stubby Area, áreas no exclusivas de rutas internas) no pueden recibir<br />
enrutadores de protocolos distintos de OSPF fuera del área actual. Sin embargo,<br />
los enrutadores externos conocidos dentro del área también se pueden<br />
reconocer en otras áreas, y así pasar a ellas.<br />
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo<br />
con su función o su posición en la red:<br />
Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área.<br />
Enrutador de área troncal: enrutador con una interfaz en el área troncal.<br />
Enrutador de borde de área: enrutador conectado a dos o más áreas. Este tipo<br />
de enrutador resume las rutas desde distintas áreas para su distribución al área<br />
troncal. En los dispositivos de seguridad con OSPF, el área troncal se crea de<br />
forma predeterminada. Si se crea una segunda área en un enrutador virtual, el<br />
dispositivo funcionará como enrutador de borde de área.<br />
Enrutador de límite de sistema autónomo: cuando un área OSPF limita con<br />
otro sistema autónomo, el enrutador situado entre los dos sistemas autónomos<br />
se considera el enrutador de límite. Estos enrutadores se encargan de distribuir<br />
la información de enrutamiento de los sistemas autónomos externos por su<br />
sistema autónomo.<br />
Vista general 49
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Protocolo de saludo<br />
Tipos de redes<br />
50 Vista general<br />
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los<br />
enrutadores utilizan el protocolo de saludo para establecer y mantener estas<br />
relaciones de vecindad. Cuando dos enrutadores establecen comunicación<br />
bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no<br />
establecen una relación de adyacencia, no podrán intercambiar información de<br />
enrutamiento.<br />
Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutador<br />
como enrutador designado y otro como enrutador designado de respaldo. El<br />
enrutador designado es responsable de inundar la red con LSAs que contengan una<br />
lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador<br />
designado es el único que puede formar adyacencias con otros enrutadores de la<br />
red. Así, el enrutador designado es el único de la red que puede proporcionar<br />
información de enrutamiento al resto de enrutadores. El enrutador designado de<br />
respaldo sustituye al enrutador designado en caso de que éste falle.<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten los siguientes tipos de<br />
redes OSPF:<br />
Redes de difusión<br />
Redes punto a punto<br />
Redes punto a multipunto<br />
Redes de difusión<br />
Una red de difusión es una red que interconecta varios enrutadores y que puede<br />
enviar (o difundir) un único mensaje físico a todos los enrutadores conectados. Se<br />
parte de la base de que dos enrutadores cualesquiera en una red de difusión son<br />
capaces de comunicarse entre sí. Ethernet es un ejemplo de red de difusión.<br />
En las redes de difusión, el enrutador OSPF detecta dinámicamente los enrutadores<br />
vecinos enviando paquetes de saludo a la dirección multidifusión 224.0.0.5. En las<br />
redes de difusión, el protocolo de saludo decide cuál será el enrutador designado y<br />
el enrutador designado de respaldo para la red.<br />
Una red que no sea de difusión conecta varios enrutadores entre sí pero no puede<br />
difundir mensajes a los enrutadores conectados. En las redes que no son de<br />
difusión, los paquetes del protocolo OSPF (que normalmente son multidifusión) se<br />
tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de<br />
seguridad <strong>Juniper</strong> <strong>Networks</strong> no admiten OSPF en redes que no sean de difusión.<br />
Redes punto a punto<br />
Una red punto a punto une dos enrutadores a través de una red de área extensa<br />
(WAN). Un ejemplo de red punto a punto serían dos dispositivos de seguridad<br />
conectados a través de un túnel VPN IPSec. En las redes punto a punto, el enrutador<br />
OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo<br />
a la dirección multicast 224.0.0.5.
Redes punto a multipunto<br />
Notificaciones de estado de conexiones<br />
Tabla 5: Resumen del contenido y tipos de LSA<br />
Tipo de LSA Enviado por<br />
LSA de<br />
enrutador<br />
Configuración básica de OSPF<br />
Capítulo 3: Protocolo OSPF<br />
Una red punto a multipunto es una red de no difusión en la que OSPF trata las<br />
conexiones entre enrutadores como vínculos punto a punto. Para la red no existe<br />
ninguna elección de un enrutador designado ni de inundación LSA. Un enrutador<br />
en una red punto a multipunto envía paquetes de saludo a todos los vecinos con<br />
quienes pueda comunicarse directamente.<br />
NOTA: En dispositivos de seguridad, la configuración punto a multipunto del OSPF<br />
solamente se admite en interfaces de túnel y se debe inhabilitar route-deny para<br />
que la red funcione correctamente. No se puede configurar una interfaz física<br />
Ethernet para conexiones punto a multipunto. Para obtener más información,<br />
consulte “Interfaz de túnel punto a multipunto” en la página 72.<br />
Cada enrutador OSPF envía notificaciones de estado de conexiones (LSAs) que<br />
definen la información de estado local del enrutador. Además, hay otros tipos de<br />
LSA que un enrutador envía, dependiendo de la función de OSPF del enrutador. La<br />
Tabla 5 detalla los tipos de LSA, donde se abarca cada tipo y el contenido de cada<br />
tipo de LSA.<br />
Distribuido<br />
por Información enviada en la LSA<br />
Todos los enrutadores OSPF Área Describe el estado de todas las interfaces de enrutador en<br />
toda el área.<br />
LSA de red Enrutador designado en redes de<br />
difusión y NBMA<br />
LSA de<br />
resumen<br />
Externo de<br />
sistema<br />
autónomo<br />
Área Contiene una lista de todos los enrutadores conectados a la<br />
red.<br />
Enrutadores de borde de área Área Describe una ruta a un destino fuera del área, pero dentro<br />
del sistema autónomo. Hay dos tipos:<br />
Las LSAs de resumen de tipo 3 describen rutas a redes.<br />
Las LSAs de resumen de tipo 4 describen rutas limítrofes<br />
con otros sistemas autónomos.<br />
Enrutador de límite de sistema<br />
autónomo<br />
Sistema<br />
autónomo<br />
Rutas a redes en otro sistema autónomo. A menudo, se<br />
trata de la ruta predeterminada (0.0.0.0/0).<br />
Creará OSPF por cada enrutador virtual en un dispositivo de seguridad. Si dispone<br />
de varios enrutadores virtuales (VR) en un sistema, podrá habilitar una instancia de<br />
OSPF por cada enrutador virtual.<br />
NOTA: Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de<br />
seguridad, deberá asignar una ID de enrutador virtual, tal y como se describe en el<br />
Capítulo 2,“<strong>Enrutamiento</strong>”.<br />
Configuración básica de OSPF 51
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 12: Ejemplo de configuración de OSPF<br />
52 Configuración básica de OSPF<br />
En esta sección se describen los pasos básicos para configurar OSPF en un<br />
enrutador virtual ubicado en un dispositivo de seguridad:<br />
1. Crear y habilitar la instancia de enrutamiento de OSPF en un enrutador virtual.<br />
En este paso también se crea automáticamente un área troncal de OSPF, con<br />
una ID de área de 0.0.0.0, que no se podrá eliminar.<br />
2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal,<br />
tendrá que configurar una nueva área OSPF con su propia ID de área. Por<br />
ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de borde<br />
de área, tendrá que crear otra área OSPF además del área troncal. La nueva<br />
área que se cree podrá ser normal, de rutas internas o no exclusiva de rutas<br />
internas.<br />
3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben<br />
agregar a un área OSPF explícitamente, incluyendo el área troncal.<br />
4. Habilitar OSPF en cada interfaz.<br />
5. Comprobar que el protocolo OSPF está configurado correctamente y funciona.<br />
En este ejemplo configuraremos el dispositivo de seguridad como enrutador de<br />
borde de área conectándolo al área 0 a través de la interfaz ethernet3 y al área 10 a<br />
través de ethernet1. Consulte la Figura 12.<br />
Zona Trust ethernet1 ethernet3 Zona Untrust<br />
10.1.1.0/24 10.1.2.0/24<br />
Área 10<br />
Internet<br />
Área 0<br />
Opcionalmente también es posible configurar otros parámetros de OSPF, como:<br />
Parámetros globales, como conexiones virtuales, que se configuran en el<br />
enrutador virtual para el protocolo OSPF (consulte “Parámetros globales de<br />
OSPF” en la página 61).<br />
Parámetros de interfaz, como la autenticación, que se configuran en la interfaz<br />
para el protocolo OSPF (consulte “Ajustar parámetros de interfaz OSPF” en la<br />
página 65).<br />
Parámetros OSPF relacionados con la seguridad, que se configuran en el<br />
enrutador virtual o en la interfaz (consulte “Configuración de seguridad” en la<br />
página 67).
Crear y eliminar una instancia de enrutamiento de OSPF<br />
Capítulo 3: Protocolo OSPF<br />
Es posible crear y habilitar una instancia de enrutamiento de OSPF en un VR<br />
específico ubicado en un dispositivo de seguridad. Para eliminar una instancia de<br />
enrutamiento de OSPF, desactive la instancia OSPF y luego elimínela. Al crear la<br />
instancia de enrutamiento de OSPF se crea automáticamente el área troncal OSPF.<br />
Si crea y habilita una instancia de enrutamiento de OSPF en un enrutador virtual,<br />
OSPF podrá transmitir y recibir paquetes en todas las interfaces habilitadas para<br />
OSPF del enrutador.<br />
Crear una instancia de OSPF<br />
En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a<br />
trust-vr. A continuación creará una instancia de enrutamiento de OSPF en él. (Para<br />
obtener más información sobre enrutadores virtuales y su configuración en<br />
dispositivos de seguridad, consulte el Capítulo 2, “<strong>Enrutamiento</strong>.”)<br />
WebUI<br />
1. ID de enrutador<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, escriba 0.0.0.10.<br />
2. Instancia de enrutamiento de OSPF<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance:<br />
Seleccione OSPF Enabled, luego haga clic en OK.<br />
CLI<br />
1. ID de enrutador<br />
set vrouter trust-vr router-id 10<br />
2. Instancia de enrutamiento de OSPF<br />
set vrouter trust-vr protocol ospf<br />
set vrouter trust-vr protocol ospf enable<br />
save<br />
NOTA: En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento de<br />
OSPF antes de poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos<br />
CLI para habilitar una instancia de enrutamiento de OSPF.<br />
Eliminar una instancia de OSPF<br />
En este ejemplo inhabilitará la instancia de enrutamiento de OSPF en el enrutador<br />
virtual trust-vr. OSPF dejará de transmitir y procesar paquetes OSPF en todas las<br />
interfaces habilitadas para OSPF en el enrutador trust-vr.<br />
WebUI<br />
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:<br />
Desactive OSPF Enabled, luego haga clic en OK.<br />
Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF<br />
Instance, luego haga clic en OK en el mensaje de confirmación.<br />
Configuración básica de OSPF 53
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
54 Configuración básica de OSPF<br />
CLI<br />
Crear y eliminar un área OSPF<br />
unset vrouter trust-vr protocol ospf<br />
deleting OSPF instance, are you sure? y/[n] y<br />
save<br />
NOTA: En CLI, confirme la eliminación de la instancia OSPF.<br />
Las áreas reducen el volumen de información de enrutamiento que tiene que pasar<br />
por la red, ya que los enrutadores OSPF sólo actualizan la base de datos de estado<br />
de conexiones del área a la que pertenecen. No necesitan actualizar la información<br />
de estado de las redes o enrutadores que se encuentran en otras áreas.<br />
Todas las zonas deben conectarse a la zona 0, que se crea al configurar una<br />
instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un<br />
área OSPF adicional, también es posible definirla como área de rutas internas o<br />
área no exclusiva de rutas internas. Si desea más información sobre estos tipos de<br />
áreas, consulte “Áreas” en la página 48.<br />
La Tabla 6 detalla los parámetros de área, con descripciones de cada parámetro e<br />
indica el valor predeterminado de cada uno de éstos.<br />
Tabla 6: Parámetros de áreas de OSPF y sus valores predeterminados<br />
Parámetro de área Descripción<br />
Metric for default route (Sólo áreas NSSA y de rutas internas). Especifica<br />
la métrica para la notificación de ruta<br />
predeterminada<br />
Metric type for the default<br />
route<br />
Crear un área OSPF<br />
En el siguiente ejemplo creará un área OSPF con la ID de area 10.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance<br />
> Area: Introduzca los siguientes datos y haga clic en OK:<br />
Area ID: 10<br />
Type: normal (seleccione)<br />
Action: Add<br />
(Sólo área NSSA). Especifica el tipo de métrica<br />
externa (1 ó 2) para la ruta predeterminada.<br />
No summary (Sólo áreas NSSA y de rutas internas). Especifica<br />
que las LSAs de resumen no se difundirán por el<br />
área<br />
Range (Todas las áreas). Especifica un rango de<br />
direcciones IP que se notificarán en las LSAs de<br />
resumen, y si éstas se notificarán o no.<br />
Valor<br />
predeterminado<br />
1<br />
1<br />
Las LSAs de<br />
resumen se<br />
difunden por el<br />
área.<br />
—
CLI<br />
set vrouter trust-vr protocol ospf area 10<br />
save<br />
Eliminar un área OSPF<br />
Asignar interfaces a un área OSPF<br />
Capítulo 3: Protocolo OSPF<br />
Antes de que pueda eliminar un área de OSPF, debe desactivar el proceso de OSPF<br />
para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un<br />
área de OSPF con una ID de área de 10.<br />
WebUI<br />
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:<br />
Anule la selección de OSPF Enabled, luego haga clic en OK.<br />
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance<br />
> Area: Haga clic en Remove.<br />
CLI<br />
unset vrouter trust-vr protocol ospf enable<br />
unset vrouter trust-vr protocol ospf area 0.0.0.10<br />
save<br />
Una vez se ha creado un área, es posible asignarle una o varias interfaces, ya sea<br />
utilizando la WebUI o el comando CLI set interface.<br />
Asignar interfaces a áreas<br />
En el siguiente ejemplo asignará la interfaz ethernet1 al área OSPF 10 y la interfaz<br />
ethernet3 al área OSPF 0.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance<br />
> Area > Configure (Area 10): Utilice el botón Add para mover la interfaz<br />
ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces.<br />
Haga clic en OK.<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Area > Configure (Area 0): Utilice el botón Add para mover la<br />
interfaz ethernet3 de la columna Available Interface(s) a la columna Selected<br />
Interfaces. Haga clic en OK.<br />
CLI<br />
set interface ethernet1 protocol ospf area 10<br />
set interface ethernet3 protocol ospf area 0<br />
save<br />
Configuración básica de OSPF 55
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Habilitar OSPF en interfaces<br />
56 Configuración básica de OSPF<br />
Configurar un rango de áreas<br />
De forma predeterminada, un enrutador de borde de área no agrega las rutas<br />
enviadas de un área a otra. Si configura un rango de áreas permitirá que un grupo<br />
de subredes en un área se consolide en una única dirección de red para notificarse<br />
en otras áreas por medio de una única notificación de conexión de resumen. Al<br />
configurar un rango de áreas, deberá especificar si desea notificar o retener el rango<br />
de áreas definido en las notificaciones.<br />
En el siguiente ejemplo definirá los siguientes rangos de áreas para el area 10:<br />
10.1.1.0/24, se notificará.<br />
10.1.2.0/24, no se notificará.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la<br />
sección Area Range y haga clic en Add:<br />
IP / Netmask: 10.1.1.0/24<br />
Type: (seleccione) Advertise<br />
Introduzca los siguientes datos en la sección Area Range y haga clic en Add:<br />
IP / Netmask: 10.1.2.0/24<br />
Type: (seleccione) No Advertise<br />
CLI<br />
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise<br />
set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise<br />
save<br />
De forma predeterminada, el protocolo OSPF está inhabilitado en todas las<br />
interfaces del enrutador virtual (VR). Este protocolo se debe habilitar explícitamente<br />
en una interfaz antes de poder asignarla a un área. Si se desactiva OSPF en una<br />
interfaz, dejará de transmitir o recibir paquetes en esa interfaz, pero sus<br />
parámetros de configuración se conservarán.<br />
NOTA: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual<br />
(consulte “Eliminar una instancia de OSPF” en la página 53), OSPF dejará de<br />
transmitir y procesar paquetes en todas las interfaces del enrutador que tengan<br />
este protocolo habilitado.<br />
Habilitar OSPF en interfaces<br />
En este ejemplo habilitará la instancia de enrutamiento de OSPF en la interfaz<br />
ethernet1 (que previamente se había asignado al area 10) y en la interfaz ethernet3<br />
(que previamente se asignó al area 0).
Capítulo 3: Protocolo OSPF<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable<br />
Protocol OSPF, luego haga clic en Apply.<br />
Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable<br />
Protocol OSPF, luego haga clic en Apply.<br />
CLI<br />
set interface ethernet1 protocol ospf enable<br />
set interface ethernet3 protocol ospf enable<br />
save<br />
Inhabilitar OSPF en una interfaz<br />
En este ejemplo inhabilitará la instancia de enrutamiento de OSPF únicamente en<br />
la interfaz ethernet1. Las demás interfaces del enrutador virtual trust-vr (VR) en que<br />
se habilitó OSPF seguirán transmitiendo y procesando paquetes OSPF.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Elimine Enable<br />
Protocol OSPF, luego haga clic en Apply.<br />
CLI<br />
unset interface ethernet1 protocol ospf enable<br />
save<br />
NOTA: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual, OSPF<br />
dejará de transmitir y procesar paquetes en todas las interfaces del enrutador que<br />
tengan este protocolo habilitado (consulte “Eliminar una instancia de OSPF” en la<br />
página 53).<br />
Configuración básica de OSPF 57
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Comprobar la configuración<br />
58 Configuración básica de OSPF<br />
Puede ver la configuración introducida para trust-vr ejecutando el siguiente<br />
comando CLI:<br />
ns-> get vrouter trust-vr protocol ospf config<br />
VR: trust-vr RouterId: 10.1.1.250<br />
---------------------------------set<br />
protocol ospf<br />
set enable<br />
set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise<br />
set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise<br />
set interface ethernet1 protocol ospf area 0.0.0.10<br />
set interface ethernet1 protocol ospf enable<br />
set interface ethernet3 protocol ospf area 0.0.0.0<br />
set interface ethernet3 protocol ospf enable<br />
Puede verificar si OSPF se está ejecutando en el enrutador virtual con el comando<br />
get vrouter trust-vr protocol ospf.<br />
ns-> get vrouter trust-vr protocol ospf<br />
VR: trust-vr RouterId: 10.1.1.250<br />
----------------------------------<br />
OSPF enabled<br />
Supports only single TOS(TOS0) route<br />
Internal Router<br />
Automatic vlink creation is disabled<br />
Numbers of areas is 2<br />
Number of external LSA(s) is 0<br />
SPF Suspend Count is 10 nodes<br />
Hold time between SPFs is 3 second(s)<br />
Advertising default-route lsa is off<br />
Default-route discovered by ospf will be added to the routing table<br />
RFC 1583 compatibility is disabled.<br />
Hello packet flooding protection is not enabled<br />
LSA flooding protection is not enabled<br />
Area 0.0.0.0<br />
Total number of interfaces is 1, Active number of interfaces is 1<br />
SPF algorithm executed 2 times<br />
Number of LSA(s) is 1<br />
Area 0.0.0.10<br />
Total number of interfaces is 1, Active number of interfaces is 1<br />
SPF algorithm executed 2 times<br />
Number of LSA(s) is 0<br />
Las zonas resaltadas muestran que OSPF se está ejecutando y verifican las zonas<br />
OSPF activas y las interfaces activas en cada zona OSPF.<br />
NOTA: Es recomendable asignar una ID de enrutador de forma explícita, en lugar de<br />
utilizar el valor predeterminado. Para más información sobre cómo configurar una<br />
ID de enrutador, consulte el Capítulo 2, “<strong>Enrutamiento</strong>.”
Puede verificar si OSPF está habilitado en las interfaces y ver el estado de las<br />
interfaces con el comando get vrouter trust-vr protocol ospf interface.<br />
Capítulo 3: Protocolo OSPF<br />
ns-> get vrouter trust-vr protocol ospf interface<br />
VR: trust-vr RouterId: 10.1.1.250<br />
----------------------------------<br />
Interface IpAddr NetMask AreaId Status State<br />
-------------------------------------------------------------------------------ethernet3<br />
2.2.2.2 255.255.255.0 0.0.0.0 enabled Designated Router<br />
ethernet1 10.1.1.1 255.255.255.0 0.0.0.10 enabled Up<br />
Puede configurar la prioridad del enrutador virtual que desee seleccionar: el<br />
enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el<br />
ejemplo anterior, la columna del estado (State) enumerar la prioridad del<br />
enrutador virtual.<br />
Puede verificar si la instancia de enrutamiento de OSPF en el dispositivo de<br />
seguridad ha establecido adyacencias con los vecinos OSPF ejecutando el<br />
comando get vrouter trust-vr protocol ospf neighbor.<br />
ns-> get vrouter trust-vr protocol ospf neighbor<br />
VR: trust-vr RouterId: 10.1.1.250<br />
----------------------------------<br />
Neighbor(s) on interface ethernet3 (Area 0.0.0.0)<br />
IpAddr/If Index RouterId Priority State Options<br />
------------------------------------------------------------------------------<br />
2.2.2.2 2.2.2.250 1 Full E<br />
Neighbor(s) on interface ethernet1 (Area 0.0.0.10)<br />
IpAddr/If Index RouterId Priority State Options<br />
------------------------------------------------------------------------------<br />
10.1.1.1 10.1.1.252 1 Full E<br />
En la columna “State” del ejemplo anterior, “Full” indica adyacencias OSPF<br />
completas con vecinos.<br />
Redistribución de rutas en protocolos de enrutamiento<br />
La redistribución de rutas es el intercambio de información sobre rutas entre<br />
protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos<br />
de rutas en la instancia de enrutamiento de OSPF de un mismo enrutador virtual:<br />
Rutas reconocidas por BGP o RIP<br />
Rutas conectadas directamente<br />
Rutas importadas<br />
Rutas configuradas estáticamente<br />
Cuando se configura la redistribución de rutas, primero se debe especificar un<br />
mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más<br />
información sobre la creación de mapas de rutas para la redistribución, consulte el<br />
Capítulo 2, “<strong>Enrutamiento</strong>.”<br />
Redistribución de rutas en protocolos de enrutamiento 59
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
60 Resumen de rutas redistribuidas<br />
En el siguiente ejemplo redistribuirá en el dominio de enrutamiento OSPF actual<br />
una ruta originada en un dominio de enrutamiento BGP. Tanto en el ejemplo de la<br />
WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de<br />
rutas llamado add-bgp.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en<br />
Add:<br />
Route Map: add-bgp<br />
Protocol: BGP<br />
Resumen de rutas redistribuidas<br />
Resumen de rutas redistribuidas<br />
CLI<br />
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp<br />
save<br />
En las grandes redes, donde pueden coexistir miles de direcciones de red, ciertos<br />
enrutadores podrían llegar a congestionarse por la gran cantidad de información de<br />
rutas. Si ya redistribuyó rutas de un protocolo externo en la instancia de<br />
enrutamiento OSPF actual, podrá reunir las rutas en una ruta de red general o<br />
resumida. Al resumir múltiples direcciones, hará que un grupo de rutas se<br />
reconozcan como una sola, simplificando así el proceso de consulta.<br />
Una de las ventajas de crear resúmenes de rutas en redes grandes y complejas es<br />
que se pueden aislar los cambios topológicos de otros enrutadores. Por ejemplo, si<br />
una conexión específica en un dominio falla continuamente, la ruta resumida no<br />
cambiaría, de modo que ningún enrutador externo al dominio tendría que<br />
modificar una y otra vez su tabla de enrutamiento debido a los fallos de conexión.<br />
Además de crear menos entradas en las tablas de enrutamiento de los enrutadores<br />
troncales, la generación de resúmenes evita que las LSAs se propaguen por otras<br />
áreas cuando una de las redes incluidas en el resumen desaparece (por un fallo) o<br />
reaparece. En los resúmenes también se pueden incluir rutas interzonales y rutas<br />
externas.<br />
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan<br />
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al<br />
final de esta sección encontrará un ejemplo de creación de una ruta resumida y un<br />
ejemplo de establecer una interfaz NULL.<br />
En este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF<br />
actual. A continuación resumirá el conjunto de rutas importadas en la dirección de<br />
red 2.1.1.0/24.
Capítulo 3: Protocolo OSPF<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en<br />
Add:<br />
CLI<br />
Parámetros globales de OSPF<br />
Route Map: add-bgp<br />
Protocol: BGP<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Summary Import: Introduzca los siguientes datos y haga clic en<br />
Add:<br />
IP/Netmask: 2.1.1.0/24<br />
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp<br />
set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24<br />
save<br />
En esta sección se describen parámetros globales de OSPF que se pueden<br />
configurar de forma opcional en un enrutador virtual (VR). Cuando se configura un<br />
parámetro OSPF en el nivel de enrutador virtual, los datos de configuración<br />
afectarán a las operaciones de todas las interfaces que tengan habilitado el<br />
protocolo OSPF. Es posible modificar los valores de los parámetros globales del<br />
protocolo de enrutamiento OSPF por medio de las interfaces CLI y WebUI.<br />
La Tabla 7 detalla los parámetros globales de OSPF y sus valores predeterminados.<br />
Tabla 7: Parámetros globales de OSPF y sus valores predeterminados<br />
Parámetros<br />
globales de OSPF Descripción<br />
Advertise default<br />
route<br />
Especifica que una ruta predeterminada activa<br />
(0.0.0.0/0) en la tabla de rutas del enrutador<br />
virtual se notifica en todas las áreas OSPF. También<br />
es posible especificar el valor de métrica o si la<br />
métrica original de la ruta se preservará, así como<br />
el tipo de métrica (ASE tipo 1 o tipo 2). También se<br />
puede especificar que la ruta predeterminada<br />
siempre se notifique.<br />
Reject default route Especifica que cualquier ruta predeterminada<br />
reconocida en OSPF no se agregará a la tabla<br />
de rutas.<br />
Automatic virtual<br />
link<br />
Maximum hello<br />
packets<br />
Especifica que el VR creará una conexión virtual<br />
automáticamente si no puede acceder al área<br />
troncal de OSPF.<br />
Especifica el número máximo de paquetes de<br />
saludo OSPF que el VR puede recibir en un intervalo<br />
de saludo.<br />
Valor<br />
predeterminado<br />
La ruta<br />
predeterminada no<br />
se notifica.<br />
La ruta<br />
predeterminada<br />
reconocida en<br />
OSPF se agrega a la<br />
tabla de rutas.<br />
Desactivado.<br />
10.<br />
Parámetros globales de OSPF 61
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Notificar la ruta predeterminada<br />
62 Parámetros globales de OSPF<br />
Parámetros<br />
globales de OSPF Descripción<br />
Maximum LSA<br />
packets<br />
RFC 1583<br />
compatibility<br />
Equal cost<br />
multipath routing<br />
(ECMP)<br />
Virtual link<br />
configuration<br />
La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de<br />
rutas, aunque un prefijo más específico anulará la ruta predeterminada.<br />
En este ejemplo, usted anunciará la ruta predeterminada de la instancia de<br />
enrutamiento OSPF actual.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance: Seleccione Advertising Default Route Enable, luego haga clic en OK.<br />
CLI<br />
Especifica el número máximo de paquetes LSA de<br />
OSPF que el VR puede recibir dentro del intervalo en<br />
segundos especificado.<br />
Especifica que la instancia de enrutamiento de OSPF<br />
es compatible con la norma RFC 1583, una versión<br />
anterior de OSPF.<br />
Especifica el número máximo de rutas (1-4) a utilizar<br />
para equilibrar cargas con los destinos que tengan<br />
múltiples rutas de igual coste. Consulte “Configurar el<br />
enrutamiento de rutas múltiples de igual coste” en la<br />
página 37.<br />
Configura el área OSPF y la ID de enrutador para la<br />
conexión virtual. De forma opcional también puede<br />
configurar el método de autenticación, el intervalo de<br />
saludo y el de retransmisión, el retardo de<br />
transmisión o el intervalo muerto del interlocutor<br />
para la conexión virtual.<br />
Valor<br />
predeterminado<br />
No hay valor<br />
predeterminado.<br />
OSPF versión 2, tal<br />
y como se define<br />
en RFC 2328.<br />
Desactivado (1).<br />
No hay conexión<br />
virtual configurada.<br />
NOTA: En la WebUI, la métrica predeterminada (1) 62 debe ingresarse manualmente y el<br />
tipo de métrica predeterminado es ASE tipo 1.<br />
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1<br />
save
Conexiones virtuales<br />
Capítulo 3: Protocolo OSPF<br />
Aunque todas las áreas deben estar conectadas directamente al área troncal,<br />
algunas veces debe crear un área nueva que no se puede conectar físicamente al<br />
área troncal. Para resolver este problema se puede configurar una conexión virtual.<br />
Una conexión virtual proporciona un área remota con una ruta lógica al área troncal<br />
a través de otra área.<br />
En los enrutadores, la conexión virtual se debe configurar en los dos extremos de la<br />
conexión. Para configurar una conexión virtual en el dispositivo de seguridad, debe<br />
definir:<br />
La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una<br />
conexión virtual que cruce el área troncal o un área de rutas internas.<br />
La ID del enrutador al otro extremo de la conexión virtual.<br />
La Tabla 8 detalla los parámetros opcionales para las conexiones virtuales.<br />
Tabla 8: Parámetros opcionales para conexiones virtuales<br />
Parámetro de<br />
conexión<br />
virtual Descripción<br />
Authentication Especifica la autenticación por contraseña de texto no<br />
encriptado o la autenticación MD5.<br />
Dead interval Especifica el intervalo en segundos en que no se<br />
producirá respuesta desde un dispositivo OSPF vecino<br />
antes de que se determine que éste no funciona.<br />
Hello interval Especifica el tiempo en segundos entre dos<br />
saludos OSPF.<br />
Retransmit<br />
interval<br />
Especifica el tiempo en segundos que transcurrirá antes<br />
de que la interfaz reenvíe una LSA a un vecino que no<br />
respondió a la primera LSA.<br />
Transmit delay Especifica el tiempo en segundos entre las<br />
transmisiones de paquetes de actualización de<br />
estado de conexión enviados a una interfaz.<br />
Crear una conexión virtual<br />
Valor<br />
predeterminado<br />
Sin autenticación<br />
40 segundos<br />
10 segundos<br />
5 segundos<br />
1 segundo<br />
En el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desde<br />
el Dispositivo-A con ID de enrutador 10.10.1.250 al Dispositivo-B con la ID de<br />
enrutador 10.1.1.250. Consulte “<strong>Enrutamiento</strong>” en la página 13 para obtener más<br />
información sobre la configuración de IDs de enrutadores en los dispositivos de<br />
seguridad). También puede configurar la conexión virtual con un retardo de tránsito<br />
de 10 segundos. En cada dispositivo de seguridad, tendrá que identificar la ID de<br />
enrutador del dispositivo en el otro extremo de la conexión virtual.<br />
La Figura 13 muestra el ejemplo de configuración de red para una conexión virtual.<br />
Parámetros globales de OSPF 63
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 13: Creación de una conexión virtual<br />
Área 10<br />
Dispositivo-A ethernet 1<br />
Área 20<br />
64 Parámetros globales de OSPF<br />
ethernet 2<br />
ethernet1<br />
Enrutador<br />
10.1.1.250<br />
WebUI (Dispositivo-A)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:<br />
Area ID: 10 (seleccione)<br />
Router ID: 10.1.1.250<br />
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK.<br />
CLI (Dispositivo-A)<br />
Dispositivo-B<br />
ID de<br />
enrutador<br />
10.1.1.250<br />
ethernet2<br />
El Dispositivo-A y el Dispositivo-B<br />
tienen una conexión virtual entre sí<br />
a través del área OSPF 10.<br />
Área 0<br />
Internet<br />
NOTA: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que<br />
OSPF se esté ejecutando en las interfaces de los dispositivos A y B antes de que la<br />
conexión virtual se active.<br />
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250<br />
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay<br />
10<br />
save<br />
NOTA: En la interfaz CLI, primero tendrá que crear la conexión virtual y, a continuación,<br />
configurar cualquier parámetro opcional para la conexión. Así, en el ejemplo<br />
anterior, tendrá que ejecutar dos comandos distintos para crear y después<br />
configurar la conexión virtual.<br />
WebUI (Dispositivo-B)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:<br />
Area ID: 10<br />
Router ID: 10.10.1.250<br />
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK.
CLI (Dispositivo-B)<br />
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250<br />
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250<br />
transit-delay 10<br />
save<br />
Crear una conexión virtual automática<br />
Capítulo 3: Protocolo OSPF<br />
Puede hacer que un enrutador virtual (VR) cree automáticamente una conexión<br />
virtual para las instancias en las que no sea posible acceder al área troncal de la red.<br />
Si el enrutador virtual crea conexiones virtuales automáticamente se ahorrará el<br />
tiempo necesario para crear cada una de las conexiones virtuales de forma manual.<br />
En el siguiente ejemplo configuraremos la creación automática de conexiones<br />
virtuales.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance: Seleccione Automatically Generate Virtual Links, luego haga clic en<br />
OK.<br />
CLI<br />
set vrouter trust-vr protocol ospf auto-vlink<br />
save<br />
Ajustar parámetros de interfaz OSPF<br />
En esta sección se describen los parámetros OSPF que se pueden configurar en el<br />
nivel de interfaz. Cuando se configura un parámetro OSPF en el nivel de interfaz,<br />
los datos de configuración afectan únicamente al funcionamiento OSPF de la<br />
interfaz especificada. Puede modificar los ajustes de los parámetros de la interfaz<br />
mediante comandos de interfaz en la CLI o utilizando la WebUI.<br />
La Tabla 9 detalla los parámetros opcionales de interfaz de OSPF y sus valores<br />
predeterminados.<br />
Tabla 9: Parámetros opcionales de interfaz de OSPF y sus valores predeterminados<br />
Parámetro de<br />
interfaz OSPF Descripción Valor predeterminado<br />
Authentication Especifica si la comunicación OSPF de la interfaz se<br />
verificará mediante autenticación por contraseña de<br />
texto no encriptado o por MD5 (Message Digest 5).<br />
La contraseña de texto no encriptado debe ser una<br />
cadena de hasta 8 dígitos, mientras que la<br />
contraseña para autenticación MD5 puede ser una<br />
cadena de hasta 16 dígitos. Para la contraseña MD5<br />
también es necesario que se configuren cadenas<br />
clave.<br />
Cost Especifica la métrica de la interfaz. El coste<br />
asociado a una interfaz depende del ancho de<br />
banda de la conexión que tenga establecida dicha<br />
interfaz. Cuanto mayor sea el ancho de banda,<br />
menor será el valor del coste (preferible).<br />
No se utiliza<br />
autenticación.<br />
1 para una conexión de<br />
100MB o más<br />
10 para una conexión de<br />
10MB<br />
100 para una conexión<br />
de 1MB<br />
Ajustar parámetros de interfaz OSPF 65
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
66 Ajustar parámetros de interfaz OSPF<br />
Parámetro de<br />
interfaz OSPF Descripción Valor predeterminado<br />
Dead interval Especifica el intervalo en segundos en que no se<br />
producirá respuesta desde un dispositivo OSPF<br />
vecino antes de que OSPF determine que no<br />
funciona.<br />
Hello interval Especifica el intervalo en segundos que transcurrirá<br />
entre el envío de un paquete de saludo a la red y<br />
el siguiente.<br />
Link type Especifica una interfaz de túnel como vínculo punto<br />
a punto o como vínculo punto a multipunto.<br />
Consulte “Interfaz de túnel punto a multipunto” en<br />
la página 72.<br />
Neighbor list Especifica subredes, en forma de lista de acceso, en<br />
las que residen vecinos OSPF que pueden utilizarse<br />
para formar adyacencias.<br />
Passive<br />
Interface<br />
Especifica que la dirección IP de la interfaz se<br />
notificará en el dominio OSPF como ruta OSPF y no<br />
como ruta externa, pero que la interfaz no<br />
transmitirá ni recibirá paquetes OSPF. Esta opción<br />
resulta útil cuando en la interfaz también se ha<br />
habilitado BGP.<br />
Priority Especifica la prioridad del enrutador virtual que se<br />
elegirá: enrutador designado o enrutador designado<br />
de respaldo. El enrutador con el valor de prioridad<br />
más alto tiene más posibilidades de ser elegido<br />
(aunque no se garantiza).<br />
Retransmit<br />
interval<br />
Especifica el tiempo en segundos que transcurrirá<br />
antes de que la interfaz reenvíe una LSA a un vecino<br />
que no respondió a la primera LSA.<br />
Transit delay Especifica el tiempo en segundos entre las<br />
transmisiones de paquetes de actualización de<br />
estado de conexión enviados a la interfaz.<br />
Demand circuit (Sólo interfaces de túnel) Configura una interfaz de<br />
túnel como circuito de demanda, según RFC 1793.<br />
Consulte “Crear un circuito de demanda OSPF en<br />
una interfaz de túnel” en la página 71.<br />
Reduce flood Especifica la reducción de inundaciones LSA en un<br />
circuito de demanda.<br />
Ignore MTU Especifica que cualquier incoherencia en los valores<br />
Maximum Transmission Unit (MTU) entre las<br />
interfaces locales y remotas que se encuentre<br />
durante las negociaciones de la base de datos OSPF<br />
será ignorada. Esta opción sólo debe utilizarse<br />
cuando el MTU de la interfaz local sea más lento<br />
que el MTU de la interfaz remota.<br />
40 segundos.<br />
10 segundos.<br />
Las interfaces Ethernet<br />
se tratan como interfaces<br />
de difusión.<br />
De forma<br />
predeterminada, las<br />
interfaces de túnel<br />
asociadas a las zonas<br />
OSPF son punto a punto.<br />
Ninguna (las adyacencias<br />
se forman con todos los<br />
vecinos de la interfaz).<br />
Las interfaces con OSPF<br />
habilitado transmiten y<br />
reciben paquetes OSPF.<br />
1.<br />
5 segundos.<br />
1 segundo.<br />
Desactivado.<br />
Desactivado.<br />
Desactivado.<br />
NOTA: Para formar adyacencias, todos los enrutadores OSPF de un área deben utilizar los<br />
mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de<br />
retransmisión.
Configuración de seguridad<br />
Autenticar vecinos<br />
Capítulo 3: Protocolo OSPF<br />
En el siguiente ejemplo, configuramos los siguientes parámetros OSPF para la<br />
interfaz ethernet1:<br />
Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos.<br />
Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos.<br />
Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
Hello Interval: 15<br />
Retransmit Interval: 7<br />
Transit Delay: 2<br />
CLI<br />
set interface ethernet1 protocol ospf hello-interval 15<br />
set interface ethernet1 protocol ospf retransmit-interval 7<br />
set interface ethernet1 protocol ospf transit-delay 2<br />
save<br />
En esta sección se describen posibles problemas de seguridad en el dominio de<br />
enrutamiento OSPF y ciertos métodos de prevención de ataques.<br />
NOTA: Para que OSPF sea más seguro, todos los enrutadores de un dominio OSPF<br />
deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo<br />
enrutador OSPF peligroso podría llegar a dejar inservible todo el domino de<br />
enrutamiento OSPF.<br />
Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan<br />
y la mayoría de los analizadores de protocolo permiten desencapsular paquetes<br />
OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques será<br />
autenticando los vecinos OSPF.<br />
OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos:<br />
por autenticación de contraseña simple y por autenticación MD5. Se descartarán<br />
todos los paquetes OSPF recibidos en la interfaz que no se autentiquen. De forma<br />
predeterminada, ninguna interfaz OSPF tiene la autenticación habilitada.<br />
Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores<br />
OSPF de envío y recepción. Puede especificar más de una clave MD5 en el<br />
dispositivo de seguridad, cada una de las cuales tendrá su propia clave. Si configura<br />
varias claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador<br />
para la clave que se utilizará para autenticar las comunicaciones con el enrutador<br />
vecino. De esta forma es posible cambiar periódicamente las claves MD5 por<br />
parejas de enrutadores minimizando el riesgo de que algún paquete se descarte.<br />
Configuración de seguridad 67
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
68 Configuración de seguridad<br />
Configurar una contraseña de texto no cifrado<br />
En este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para<br />
OSPF en la interfaz ethernet1.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
CLI<br />
Password: (seleccione), 12345678<br />
set interface ethernet1 protocol ospf authentication password 12345678<br />
save<br />
Configurar una contraseña MD5<br />
En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y<br />
seleccionará una de ellas para que sea la clave activa. Cada clave MD5 puede tener<br />
16 caracteres. El número identificador de clave debe estar entre 0 y 255. El<br />
identificador de clave predeterminado es 0, de manera que no tenga que<br />
especificar el identificador de clave para la primera clave MD5 que introduzca.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
Authentication:<br />
MD5 Keys: (seleccione)<br />
1234567890123456<br />
9876543210987654<br />
Key ID: 1<br />
Preferred: (seleccione)<br />
Configurar una lista de vecinos de OSPF<br />
CLI<br />
set interface ethernet1 protocol ospf authentication md5 1234567890123456<br />
set interface ethernet1 protocol ospf authentication md5 9876543210987654<br />
key-id 1<br />
set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1<br />
save<br />
Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los<br />
enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto<br />
puede provocar problemas de estabilidad o rendimiento si el dispositivo conectado<br />
no es fiable.<br />
De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador<br />
virtual (VR) ScreenOS forma adyacencias con todos los vecinos OSPF que se<br />
comunican en una interfaz con OSPF. Es posible limitar los dispositivos de una<br />
interfaz que pueden formar adyacencias con la instancia de enrutamiento de OSPF<br />
definiendo una lista de subredes que contengan vecinos OSPF que se puedan elegir.
Capítulo 3: Protocolo OSPF<br />
Sólo los hosts o enrutadores que se encuentren en la subredes definidas podrán<br />
formar adyacencias con la instancia de enrutamiento de OSPF. Para especificar las<br />
subredes que contienen vecinos OSPF válidos, se debe definir una lista de acceso a<br />
las subredes en el nivel del enrutador virtual (VR).<br />
En este ejemplo configuraremos una lista de acceso que permitirá la comunicación<br />
con los hosts de la subred 10.10.10.130/27. A continuación especificaremos la lista<br />
de acceso para que configure vecinos OSPF válidos.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Access List > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Rechazar rutas predeterminadas<br />
Access List ID: 4<br />
Sequence No.: 10<br />
IP/Netmask: 10.10.10.130/27<br />
Action: Permit (seleccione)<br />
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
Neighbor List: 4<br />
set vrouter trust-vr access-list 4<br />
set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10<br />
set interface ethernet1 protocol ospf neighbor-list 4<br />
save<br />
En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada<br />
(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El<br />
enrutador puede descartar los paquetes, causando una interrupción en el servicio, o<br />
puede entregar información crítica a los paquetes antes de reenviarlos. En los<br />
dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>, OSPF acepta en principio cualquier<br />
ruta predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla<br />
de rutas.<br />
En el siguiente ejemplo especificaremos que una ruta predeterminada no se<br />
reconozca en OSPF.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance: Seleccione la casilla de verificación Do Not Add Default-route<br />
Learned in OSPF, luego haga clic en OK.<br />
CLI<br />
set vrouter trust-vr protocol ospf reject-default-route<br />
save<br />
Configuración de seguridad 69
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Proteger contra inundaciones<br />
70 Configuración de seguridad<br />
Un enrutador peligroso o que no funcione correctamente puede inundar a sus<br />
vecinos con paquetes de saludo OSPF o con LSAs. Cada enrutador capta la<br />
información de las LSAs enviadas por otros enrutadores en la red para recuperar la<br />
información de rutas para la tabla de enrutamiento. La protección contra<br />
inundaciones de LSA permite determinar el número de LSAs que entrarán en el<br />
enrutador virtual (VR). Si éste recibe demasiadas LSAs, el enrutador fallará por una<br />
inundación LSA. Los ataques por LSAs se producen cuando un enrutador genera<br />
un número excesivo de LSAs en un periodo corto de tiempo, puesto que hace que<br />
los demás enrutadores OSPF de la red se mantengan ocupados ejecutando el<br />
algoritmo SPF.<br />
En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el número<br />
máximo de paquetes de saludo por intervalo de saludo y el número máximo de<br />
LSAs que recibirá una interfaz OSPF durante un intervalo determinado. Los<br />
paquetes que excedan el límite configurado se descartarán. De forma<br />
predeterminada, el límite de paquetes de saludo OSPF es de 10 paquetes por<br />
intervalo de saludo (el intervalo de saludo predeterminado para una interfaz OSPF<br />
es de 10 segundos). No hay ningún límite de LSAs predefinido; si no impone un<br />
límite de LSAs, se aceptarán todas.<br />
Configurar un límite de saludo<br />
En el siguiente ejemplo configuraremos un límite de 20 paquetes por intervalo de<br />
saludo. Este intervalo, que se puede configurar independientemente en cada<br />
interfaz OSPF, no variará; seguirá ajustado a 10 segundos.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance: Introduzca los siguientes datos y haga clic en OK:<br />
Prevent Hello Packet Flooding Attack: On<br />
Max Hello Packet: 20<br />
CLI<br />
set vrouter trust-vr protocol ospf hello-threshold 20<br />
save<br />
Configurar un límite de LSAs<br />
En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20<br />
segundos para evitar ataques por inundación de LSAs.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF<br />
Instance: Introduzca los siguientes datos y haga clic en OK:<br />
LSA Packet Threshold Time: 20<br />
Maximum LSAs: 10<br />
CLI<br />
set vrouter trust-vr protocol ospf lsa-threshold 20 10<br />
save
Habilitar la inundación reducida<br />
Capítulo 3: Protocolo OSPF<br />
Puede habilitar la característica de reducción de inundaciones para suprimir la<br />
inundación LSA en las interfaces de punto a punto, como interfaz serie, de túnel o<br />
línea asíncrona de abonado digital (ADSL), o interfaces de difusión, como las<br />
interfaces de Ethernet. En el ejemplo siguiente, habilitará la supresión periódica de<br />
LSA sin afectar al flujo de paquetes de saludo hacia la interfaz tunnel.1.<br />
WebUI<br />
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
CLI<br />
Reduce Flooding: (seleccione)<br />
set interface tunnel.1 protocol ospf reduce-flooding<br />
save<br />
Crear un circuito de demanda OSPF en una interfaz de túnel<br />
Los circuitos de demanda de OSPF, según lo definido en RFC 1793, son segmentos<br />
de red en los que el tiempo de conexión o de utilización afecta al coste de utilizar<br />
tales conexiones. En un circuito de demanda, el tráfico generado por OSPF necesita<br />
ser limitado a los cambios en la topología de la red. En los dispositivos de seguridad<br />
de <strong>Juniper</strong> <strong>Networks</strong>, únicamente las interfaces de punto a punto, como las<br />
interfaces de serie, de túnel o de línea asíncrona de abonado digital (ADSL), pueden<br />
ser circuitos de demanda y para que funcionen adecuadamente, ambos extremos<br />
del túnel se deben configurar manualmente comoos circuitos de demanda.<br />
En interfaces de túnel configuradas como circuitos de demanda, el dispositivo de<br />
seguridad suprime el envío de paquetes de saludo OSPF y la actualización periódica<br />
de inundaciones LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza<br />
el estado completo “Full” (los saludos “Hello” coinciden y los LSAs del enrutador y<br />
de la red reflejan a todos los vecinos adyacentes), el dispositivo de seguridad<br />
suprime los paquetes de saludo periódicos y LSA se actualiza. El dispositivo de<br />
seguridad inunda solamente LSAs cuyo contenido haya cambiado.<br />
En el ejemplo siguiente, configurará la interfaz tunnel.1 como un circuito de<br />
demanda.<br />
NOTA: Deberá configurar la interfaz de túnel del interlocutor remoto como un circuito de<br />
demanda. Sin embargo, no necesita configurar la inundación LSA reducida en el<br />
interlocutor remoto.<br />
WebUI<br />
Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos y haga<br />
clic en Apply:<br />
CLI<br />
Demand Circuit: (seleccione)<br />
set interface tunnel.1 protocol ospf demand-circuit<br />
save<br />
Crear un circuito de demanda OSPF en una interfaz de túnel 71
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Interfaz de túnel punto a multipunto<br />
72 Interfaz de túnel punto a multipunto<br />
Al asociar una interfaz de túnel a una zona OSPF en un dispositivo de seguridad, de<br />
forma predeterminada se crea un túnel OSPF punto a punto. La interfaz de túnel<br />
punto a punto puede formar una adyacencia con solamente un enrutador OSPF en<br />
el extremo remoto. Si la interfaz de túnel local va a ser asociada a múltiples túneles,<br />
debe configurar la interfaz de túnel local como interfaz punto a multipunto e<br />
inhabilitar la característica route-deny en la interfaz de túnel.<br />
NOTA: Debe configurar una interfaz de túnel como interfaz punto a multipunto antes de<br />
habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto<br />
a multipunto, ya no podrá configurarla como circuito de demanda (consulte<br />
“Crear un circuito de demanda OSPF en una interfaz de túnel” en la página 71).<br />
Sin embargo, puede configurar la interfaz para la inundación LSA reducida.<br />
Establecer el tipo de conexión OSPF<br />
Inhabilitar la restricción Route-Deny<br />
Para ver un ejemplo de asociación de múltiples túneles a una interfaz de túnel,<br />
consulte “Asociar entradas automáticas en la tabla de rutas y en la tabla NHTB” en<br />
la página 5-278. Las siguientes secciones incluyen ejemplos para:<br />
Establecer el tipo de conexión (consulte “Establecer el tipo de conexión OSPF”<br />
en esta página)<br />
Establecer la característica route-deny (consulte “Inhabilitar la restricción<br />
Route-Deny” en esta página)<br />
Configurar una red con una interfaz de túnel de punto a multipunto (consulte<br />
“Crear una red punto a multipunto” en la página 73)<br />
Si se propone formar adyacencias OSPF en múltiples túneles, necesitará establecer<br />
el tipo de conexión como punto a multipunto (p2mp).<br />
En el siguiente ejemplo establecerá el tipo de conexión de tunnel.1 en punto a<br />
multipunto (p2mp) para cumplir con los requisitos de su red.<br />
WebUI<br />
Network > Interface > Edit > OSPF: Seleccione “Point-to-Multipoint” en la<br />
lista de botones de opción “Link Type”.<br />
CLI<br />
set interface tunnel.1 protocol ospf link-type p2mp<br />
save<br />
De forma predeterminada, potencialmente el dispositivo de seguridad puede enviar<br />
y recibir paquetes a través de la misma interfaz a menos que esté configurado<br />
explícitamente para no enviarlos ni recibirlos en la misma interfaz. En un entorno<br />
punto a multipunto, este comportamiento puede ser deseable. Para configurar el<br />
dispositivo de seguridad para enviar y recibir en la misma interfaz, debe inhabilitar<br />
la restricción route-deny. En este ejemplo inhabilitará la restricción route-deny<br />
mediante CLI en la interfaz de túnel punto a multipunto tunnel.1.
WebUI<br />
NOTA: Para establecer la restricción route-deny debe utilizarse la CLI.<br />
CLI<br />
Crear una red punto a multipunto<br />
unset interface tunnel.1 route-deny<br />
save<br />
Capítulo 3: Protocolo OSPF<br />
La Figura 14 muestra una empresa de tamaño mediano con su oficina central (CO)<br />
en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York.<br />
Cada oficina tiene un solo dispositivo de seguridad.<br />
Los siguientes son los requisitos de configuración específicos del dispositivo de<br />
seguridad en la CO:<br />
1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a<br />
continuación, configurar la interfaz tunnel.1.<br />
2. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1.<br />
Los siguientes son los requisitos de configuración propios de los dispositivos de<br />
seguridad remotos:<br />
1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a<br />
continuación, configurar la interfaz tunnel.1.<br />
2. Configurar la VPN y asociarla a la interfaz tunnel.1.<br />
Los valores de temporizadores para todos los dispositivos deben coincidir para<br />
que las adyacencias puedan formarse. La Figura 14 muestra el escenario descrito<br />
de la red.<br />
Interfaz de túnel punto a multipunto 73
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 14: Ejemplo de red punto a multipunto<br />
Nueva York<br />
tunnel.1 10.0.0.2<br />
untrust 2.2.2.2<br />
74 Interfaz de túnel punto a multipunto<br />
En la Figura 14, se originan cuatro VPNs en el dispositivo de seguridad de San<br />
Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles,<br />
Montreal y Chicago.<br />
En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de<br />
la oficina central CO:<br />
1. Interfaces y zona de seguridad<br />
2. VPN<br />
3. Rutas y OSPF<br />
Para completar la configuración de la red, configurará los siguientes ajustes en cada<br />
uno de los cuatro dispositivos de seguridad de las oficinas remotas:<br />
1. Interfaz y OSPF<br />
2. VPN<br />
Los Angeles Montreal<br />
tunnel.1 10.0.0.3<br />
untrust 3.3.3.3<br />
VPN 1<br />
San Francisco (CO)<br />
ethernet3 1.1.1.1<br />
tunnel.1 10.0.0.1<br />
4 VPNs asociadas a<br />
tunnel.1<br />
3. Directivas<br />
VPN 2<br />
Internet<br />
VPN 3<br />
tunnel.1 10.0.0.4<br />
untrust 4.4.4.4<br />
VPN 4<br />
Chicago<br />
tunnel.1 10.0.0.5<br />
untrust 5.5.5.5
WebUI (dispositivo de la oficina central)<br />
Capítulo 3: Protocolo OSPF<br />
NOTA: Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es<br />
muy largo. La porción CLI del ejemplo está completa. Puede consultar en la<br />
porción CLI los ajustes y valores exactos que deben utilizarse.<br />
1. Interfaces y zona de seguridad<br />
Network > Interfaces > Haga clic en New Tunnel IF y continúe a la página de<br />
configuración.<br />
Network > Interfaces > Edit (para ethernet3) y configure la zona y la dirección<br />
IP.<br />
Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione<br />
“Point-to-Multipoint” en la lista de botones de opción “Link Type”.<br />
2. VPN<br />
VPNs > AutoKey Advanced > Gateway<br />
3. Rutas y OSPF<br />
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador<br />
virtual y configure los parámetros de OSPF.<br />
CLI (dispositivo de la oficina central)<br />
1. Interfaces y zona de seguridad<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.10.10.1/24<br />
2. VPN<br />
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare<br />
ospfp2mp proposal pre-g2-3des-sha<br />
set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshare<br />
ospfp2mp proposal pre-g2-3des-sha<br />
set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshare<br />
ospfp2mp proposal pre-g2-3des-sha<br />
set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshare<br />
ospfp2mp proposal pre-g2-3des-sha<br />
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn1 monitor rekey<br />
set vpn1 id 1 bind interface tunnel.1<br />
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn2 monitor rekey<br />
set vpn2 id 2 bind interface tunnel.1<br />
set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn3 monitor rekey<br />
set vpn3 id 3 bind interface tunnel.1<br />
set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn4 monitor rekey<br />
set vpn4 id 4 bind interface tunnel.1<br />
Interfaz de túnel punto a multipunto 75
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
76 Interfaz de túnel punto a multipunto<br />
3. Rutas y OSPF<br />
set vrouter trust router-id 10<br />
set vrouter trust protocol ospf<br />
set vrouter trust protocol ospf enable<br />
set interface tunnel.1 protocol ospf area 0<br />
set interface tunnel.1 protocol ospf enable<br />
set interface tunnel.1 protocol ospf link-type p2mp<br />
unset interface tunnel.1 route-deny<br />
save<br />
NOTA: De forma predeterminada, route-deny está inhabilitado. Sin embargo, si<br />
habilitó la característica route-deny en algún momento, necesitará inhabilitar<br />
la característica para que la interfaz de túnel punto a multipunto funcione<br />
correctamente.<br />
Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina<br />
remota. Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> aprenden sobre sus<br />
vecinos a través de LSAs.<br />
Para completar la configuración mostrada en la Figura 14 en la página 74, debe<br />
repetir la sección siguiente por cada dispositivo remoto y cambiar las direcciones IP,<br />
los nombres de puerta de enlace y los nombres de VPN, así como establecer<br />
directivas para cumplir las necesidades de la red. En cada sitio remoto, las zonas<br />
trust y untrust cambian.<br />
NOTA: Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es<br />
muy largo. La porción CLI del ejemplo está completa. Puede consultar en la<br />
porción CLI los ajustes y valores exactos que deben utilizarse.<br />
WebUI (dispositivo de oficina remota)<br />
1. Interfaz y OSPF<br />
Network > Interfaces > Haga clic en New Tunnel IF y continúe con la página<br />
de configuración.<br />
2. VPN<br />
VPNs > AutoKey Advanced > Gateway<br />
3. Directivas<br />
Policies (from All zones to All zones) > Haga clic en New<br />
CLI (dispositivo de oficina remota)<br />
1. Interfaz y OSPF<br />
set vrouter trust protocol ospf<br />
set vrouter trust protocol ospf enable<br />
set interface untrust ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.0.0.2/24<br />
set interface tunnel.1 protocol ospf area 0<br />
set interface tunnel.1 protocol ospf enable
Capítulo 3: Protocolo OSPF<br />
2. VPN<br />
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare<br />
ospfp2mp proposal pre-g2-3des-sha<br />
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn1 monitor rekey<br />
set vpn vpn1 id 1 bind interface tunnel.1<br />
3. Directiva (configure como sea necesario)<br />
set policy id 1 from trust to untrust any any any permit<br />
set policy id 2 from untrust to trust any any any permit<br />
save<br />
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol<br />
ospf config.<br />
Interfaz de túnel punto a multipunto 77
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
78 Interfaz de túnel punto a multipunto
Capítulo 4<br />
Protocolo de información de<br />
enrutamiento<br />
En este capítulo se describe la versión 2 del Protocolo de información de<br />
enrutamiento (RIP) en los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>. Contiene<br />
las siguientes secciones:<br />
“Vista general” en la página 80<br />
“Configuración básica de RIP” en la página 81<br />
“Crear y eliminar una instancia RIP” en la página 82<br />
“Habilitar y deshabilitar RIP en interfaces” en la página 83<br />
“Redistribuir rutas” en la página 83<br />
“Visualizar la información de RIP” en la página 85<br />
“Visualizar la base de datos RIP” en la página 85<br />
“Visualizar los detalles de RIP” en la página 86<br />
“Visualizar información de vecino RIP” en la página 87<br />
“Visualizar detalles de RIP para una interfaz específica” en la página 88<br />
“Parámetros globales de RIP” en la página 89<br />
“Notificar la ruta predeterminada” en la página 90<br />
“Configurar los parámetros de interfaz de RIP” en la página 91<br />
“Configuración de seguridad” en la página 92<br />
“Autenticar vecinos mediante una contraseña” en la página 92<br />
“Configurar vecinos fiables” en la página 93<br />
“Rechazar rutas predeterminadas” en la página 94<br />
“Proteger contra inundaciones” en la página 95<br />
79
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
80 Vista general<br />
“Configuraciones opcionales de RIP” en la página 97<br />
“Configurar la versión de RIP” en la página 97<br />
“Habilitar y deshabilitar un resumen de prefijo” en la página 99<br />
“Ajustar rutas alternas” en la página 100<br />
“Circuitos de demanda en interfaces de túnel” en la página 101<br />
“Configurar un vecino estático” en la página 103<br />
“Configurar una interfaz de túnel punto a multipunto” en la página 103<br />
El protocolo RIP (Routing information protocol) es un protocolo de vector distancia<br />
que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas<br />
autónomos (AS) de tamaño moderado. ScreenOS admite la versión 2 de RIP (RIPv2)<br />
tal como se define en la norma RFC 2453. Mientras que RIPv2 sólo admite la<br />
autenticación de contraseña simple (texto sin formato), la implementación RIP de<br />
ScreenOS también admite extensiones de autenticación MD5, tal como se definen<br />
en la norma RFC 2082.<br />
NOTA: RIP no se admite en interfaces de túnel sin numerar. Se deben numerar todas las<br />
interfaces que utilizan protocolo RIP. Cualquier intento por configurar y ejecutar<br />
una interfaz sin numerar utilizando RIP puede provocar un error impredecible en<br />
el enrutamiento.<br />
RIP administra la información de rutas en redes pequeñas y homogéneas, como las<br />
LAN corporativas. La ruta más larga admitida en una red RIP es de 15 saltos. Un<br />
valor métrico de 16 indica un destino no válido o inaccesible (este valor también se<br />
denomina “infinito” ya que excede el máximo de 15 saltos permitidos para las<br />
redes RIP).<br />
El protocolo RIP no está diseñado para grandes redes o para redes en las que las<br />
rutas se eligen en función de parámetros en tiempo real, como carga, fiabilidad o<br />
retardo medido. RIP admite redes punto a punto (utilizadas con VPNs) y redes<br />
Ethernet de difusión/multidifusión (broadcast/multicast). RIP admite las conexiones<br />
de "punto a multipunto" a través de las interfaces de túnel con o sin tener<br />
configurado un circuito de demanda. Para obtener más información sobre circuitos<br />
de demanda, consulte “Circuitos de demanda en interfaces de túnel” en la<br />
página 101.<br />
RIP envía mensajes que contienen la tabla de enrutamiento completa a todos los<br />
enrutadores vecinos cada 30 segundos. Estos mensajes se envían normalmente<br />
como multidifusiones a la dirección 224.0.0.9 del puerto RIP.<br />
La base de datos de enrutamiento RIP contiene una entrada para cada destino que<br />
sea accesible a través de la instancia de enrutamiento RIP. La base de datos de<br />
enrutamiento RIP incluye la siguiente información:
Configuración básica de RIP<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Dirección IPv4 de un destino. Recuerde que RIP no distingue entre redes y<br />
hosts.<br />
Dirección IP del primer enrutador de la ruta hacia el destino (el siguiente salto).<br />
Interfaz de red utilizada para acceder al primer enrutador.<br />
Valor métrico que indica la distancia (o coste) para alcanzar el destino. La<br />
mayoría de implementaciones RIP utilizan un valor métrico de 1 para cada red.<br />
Un temporizador que indica el tiempo que ha transcurrido desde la última<br />
actualización de la entrada de la base de datos.<br />
Creará RIP por cada enrutador virtual en un dispositivo de seguridad. Si dispone de<br />
varios enrutadores virtuales (VR) dentro de un sistema, podrá habilitar múltiples<br />
instancias de RIP, una instancia de la versión 1 o de la 2 por cada enrutador virtual.<br />
De forma predeterminada, los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong><br />
admiten la versión 2 de RIP.<br />
NOTA: Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de<br />
seguridad, deberá asignar una ID de enrutador virtual, tal y como se describe en el<br />
Capítulo 2, “<strong>Enrutamiento</strong>”.<br />
En esta sección se describen los pasos básicos para configurar el protocolo RIP en<br />
un dispositivo de seguridad:<br />
1. Crear la instancia de enrutamiento RIP en un enrutador virtual.<br />
2. Habilitar la instancia RIP.<br />
3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP.<br />
4. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (como<br />
OSPF, BGP, o rutas configuradas de forma estática) en la instancia RIP.<br />
En esta sección se describe la correcta ejecución de cada una de estas tareas<br />
utilizando la interfaz WebUI y la línea de comandos CLI.<br />
Opcionalmente, es posible configurar parámetros de RIP, como:<br />
Parámetros globales, como temporizadores y vecinos RIP fiables, que se<br />
configuran en el VR para el protocolo RIP (consulte “Parámetros globales de<br />
RIP” en la página 89)<br />
Parámetros de interfaz, como la autenticación de dispositivos vecinos, que se<br />
configuran en la interfaz para el protocolo RIP (consulte “Configurar los<br />
parámetros de interfaz de RIP” en la página 91)<br />
Parámetros RIP relacionados con la seguridad, que se configuran en el<br />
enrutador virtual o en la interfaz (consulte “Configuración de seguridad” en la<br />
página 92)<br />
Configuración básica de RIP 81
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Crear y eliminar una instancia RIP<br />
82 Configuración básica de RIP<br />
Cada instancia de enrutamiento de RIP se crea y se habilita en un enrutador virtual<br />
(VR) específico ubicado en un dispositivo de seguridad. Cuando se crea y se habilita<br />
una instancia de enrutamiento de RIP en un enrutador virtual, RIP transmite y<br />
recibe paquetes en todas las interfaces habilitadas para RIP de dicho enrutador.<br />
Cuando se elimina una instancia de enrutamiento de RIP en un enrutador virtual, se<br />
eliminan las configuraciones RIP correspondientes para todas las interfaces de<br />
dicho enrutador.<br />
(Para obtener más información sobre VR y su configuración en dispositivos de<br />
seguridad, consulte “<strong>Enrutamiento</strong>” en la página 13).<br />
Crear una instancia RIP<br />
Cree una instancia de enrutamiento RIP en el trust-vr y a continuación habilite el<br />
RIP.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Escriba una<br />
identificación de enrutador virtual y luego seleccione Create RIP Instance.<br />
CLI<br />
Seleccione Enable RIP y haga clic en OK.<br />
1. ID de enrutador<br />
set vrouter trust-vr router-id 10<br />
2. Instancia de enrutamiento de RIP<br />
set vrouter trust-vr protocol rip<br />
set vrouter trust-vr protocol rip enable<br />
save<br />
NOTA: En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos<br />
etapas. Cree la instancia RIP y, a continuación, habilite RIP.<br />
Eliminar una instancia RIP<br />
En este ejemplo, inhabilitará la instancia de enrutamiento de RIP en trust-vr. RIP<br />
dejará de transmitir y procesar paquetes en todas las interfaces habilitadas para RIP<br />
en trust-vr.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:<br />
Anule la selección de Enable RIP y haga clic en OK.<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y<br />
luego haga clic en OK en el mensaje de confirmación.<br />
CLI<br />
unset vrouter trust-vr protocol rip enable<br />
unset vrouter trust-vr protocol rip<br />
save
Habilitar y deshabilitar RIP en interfaces<br />
Redistribuir rutas<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
De forma predeterminada, RIP está inhabilitado en todas las interfaces del<br />
enrutador virtual (VR) y es necesario habilitarlo de forma explícita en una interfaz.<br />
Si se inhabilita RIP a nivel de interfaz, RIP no transmitirá ni recibirá paquetes en la<br />
interfaz especificada. Los parámetros de configuración de interfaz se conservan<br />
cuando se inhabilita RIP en una interfaz.<br />
NOTA: Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual<br />
(consulte “Eliminar una instancia RIP” en la página 82), RIP dejará de transmitir y<br />
procesar paquetes en todas las interfaces del enrutador que tengan este protocolo<br />
habilitado.<br />
Habilitar RIP en una interfaz<br />
En este ejemplo, habilitará RIP en la interfaz Trust.<br />
WebUI<br />
Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP<br />
Enable, luego haga clic en Apply.<br />
CLI<br />
set interface trust protocol rip enable<br />
save<br />
Inhabilitación de RIP en una interfaz<br />
En este ejemplo, inhabilitará RIP en la interfaz Trust. Para eliminar completamente<br />
la configuración de RIP introduzca el segundo comando CLI antes de guardar.<br />
WebUI<br />
Network > Interface (para Trust) > RIP: Elimine el Protocol RIP Enable, luego<br />
haga clic en Apply.<br />
CLI<br />
unset interface trust protocol rip enable<br />
unset interface trust protocol rip<br />
save<br />
La redistribución de rutas es el intercambio de información sobre rutas entre<br />
protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden<br />
redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual<br />
(VR):<br />
Rutas reconocidas por el protocolo BGP<br />
Rutas reconocidas por el protocolo OSPF<br />
Rutas conectadas directamente<br />
Rutas importadas<br />
Rutas configuradas estáticamente<br />
Configuración básica de RIP 83
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
84 Configuración básica de RIP<br />
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para<br />
obtener más información sobre la creación de mapas de rutas para la<br />
redistribución, consulte Capítulo 2, “<strong>Enrutamiento</strong>”.<br />
Las rutas importadas en RIP a partir de otros protocolos tienen un valor métrico<br />
predeterminado de 10. Este valor se puede modificar (consulte “Parámetros<br />
globales de RIP” en la página 89).<br />
En este ejemplo, redistribuirá rutas estáticas que se encuentran en la subred<br />
20.1.0.0/16 entre dispositivos vecinos RIP ubicados en el enrutador virtual trust-vr.<br />
Para ello, primero deberá crear una lista de acceso para permitir direcciones en la<br />
subred 20.1.0.0/16. A continuación, configure un mapa de rutas que permita las<br />
direcciones incluidas en la lista de acceso que acaba de generar. Utilice el mapa de<br />
rutas para especificar la redistribución de rutas estáticas en la instancia de<br />
enrutamiento de RIP.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Access List > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 20<br />
Sequence No.: 1<br />
IP/Netmask: 20.1.0.0/16<br />
Action: Permit (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Route Map > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: rtmap1<br />
Sequence No.: 1<br />
Action: Permit (seleccione)<br />
Match Properties:<br />
Access List: (seleccione), 20 (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance ><br />
Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:<br />
Route Map: rtmap1 (seleccione)<br />
Protocol: Static (seleccione)<br />
CLI<br />
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1<br />
set vrouter trust-vr route-map name rtmap1 permit 1<br />
set vrouter trust-vr route-map rtmap1 1 match ip 20<br />
set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static<br />
save
Visualizar la información de RIP<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Después de modificar los parámetros RIP, puede visualizar los siguientes tipos de<br />
detalles de RIP:<br />
Base de datos, que muestra la información de enrutamiento<br />
Protocolo, que proporciona los detalles de interfaz y de RIP de un enrutador<br />
virtual (VR)<br />
Vecino<br />
Visualizar la base de datos RIP<br />
Puede verificar la información de enrutamiento de RIP desde la CLI. Puede elegir<br />
visualizar una lista completa de todas las entradas de la base de datos RIP o de una<br />
sola entrada.<br />
En este ejemplo, visualiza la información detallada desde la base de datos RIP.<br />
Puede visualizar todas las entradas de la base de datos o limitar el resultado a una<br />
sola entrada de la base de datos añadiendo la dirección IP y la máscara del VR que<br />
desee.<br />
En este ejemplo, especifica trust-vr y añade el prefijo y la dirección IP 10.10.10.0/24<br />
para visualizar una sola entrada de la tabla.<br />
WebUI<br />
NOTA: Debe utilizar la CLI para visualizar la base de datos RIP.<br />
CLI<br />
get vrouter trust-vr protocol rip database prefix 10.10.10.0/24<br />
save<br />
Después de introducir el siguiente comando CLI, puede visualizar la entrada de la<br />
base de datos RIP:<br />
ns-> get vrouter trust-vr protocol rip database 10.10.10.0/24<br />
VR: trust-vr<br />
-------------------------------------------------------------------------<br />
Total database entry: 3<br />
Flags: Added in Multipath - M, RIP - R, Redistributed - I,<br />
Default (advertised) - D, Permanent - P, Summary - S,<br />
Unreachable - U, Hold - H<br />
DBID Prefix Nexthop Ifp Cost Flags Source<br />
7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1<br />
-------------------------------------------------------------------------<br />
La base de datos RIP contiene los campos siguientes:<br />
DBID, el identificador de base de datos de la entrada<br />
Prefix, el prefijo y la dirección IP<br />
Nexthop, la dirección del salto siguiente (enrutador)<br />
Visualizar la información de RIP 85
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Visualizar los detalles de RIP<br />
86 Visualizar la información de RIP<br />
Ifp, el tipo de conexión (Ethernet o túnel)<br />
La métrica de coste asignada para indicar la distancia desde el origen<br />
Flags, pueden ser uno o varios de lo siguiente: multipath (M), RIP (R), Redistributed<br />
(I), Advertised default (D), Permanent (P), Summary (S), Unreachable (U) o Hold (H).<br />
En este ejemplo, el identificador de base de datos es 7, la dirección IP y el prefijo es<br />
10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexión Ethernet con un<br />
coste de 2. Los flags son M y R e indican que esta ruta es multidireccional y usa RIP.<br />
Puede visualizar los detalles de RIP para verificar que la configuración de RIP<br />
coincida con sus necesidades de red. Puede limitar el resultado solamente a la tabla<br />
de resumen de la interfaz añadiendo interface al comando CLI.<br />
Puede visualizar la información de RIP completa para comprobar una configuración<br />
o verificar que los cambios guardados estén activos.<br />
WebUI<br />
NOTA: Debe utilizar la CLI para visualizar los detalles de RIP.<br />
CLI<br />
get vrouter trust-vr protocol rip<br />
Este comando produce resultados similares al siguiente resultado:<br />
ns-> get vrouter trust-vr protocol rip<br />
VR: trust-vr<br />
----------------------------------------------------------------------------<br />
State: enabled<br />
Version: 2<br />
Default metric for routes redistributed into RIP: 10<br />
Maximum neighbors per interface: 16<br />
Not validating neighbor in same subnet: disabled<br />
RIP update transmission not scheduled<br />
Maximum number of Alternate routes per prefix: 2<br />
Advertising default route: disabled<br />
Default routes learnt by RIP will not be accepted<br />
Incoming routes filter and offset-metric: not configured<br />
Outgoing routes filter and offset-metric: not configured<br />
Update packet threshold is not configured<br />
Total number of RIP interfaces created on vr(trust-vr): 1<br />
Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in seconds)<br />
----------------------------------------------------------------------------<br />
30| 180| 120| 5| 40|90<br />
Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I<br />
Demand Circuit - D<br />
Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx<br />
----------------------------------------------------------------------------tun.1<br />
122.1.2.114/8 enabled disabled SD 1 1 v1v2/v1v<br />
Puede visualizar los valores de RIP, los detalles del paquete, la información del<br />
temporizador RIP y una tabla de interfaz resumida.
Visualizar información de vecino RIP<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Puede visualizar los detalles sobre los vecinos RIP de un enrutador virtual (VR).<br />
Puede recuperar una lista de información de todos los vecinos o una entrada de un<br />
vecino específico añadiendo la dirección IP del vecino que desee. Puede comprobar<br />
el estado de una ruta y verificar la conexión entre el vecino y el dispositivo de<br />
seguridad desde estas estadísticas.<br />
En el ejemplo siguiente, visualice la información de vecino RIP para el trust-vr.<br />
WebUI<br />
NOTA: Debe utilizar la CLI para visualizar la información de vecino RIP.<br />
CLI<br />
get vrouter trust-vr protocol rip neighbors<br />
Este comando produce resultados similares al siguiente resultado:<br />
ns-> get vrouter trust-vr protocol rip neighbors<br />
VR: trust-vr<br />
--------------------------------------------------------------------------------<br />
Flags: Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P,<br />
Demand Circuit Init - I<br />
Neighbors on interface tunnel.1<br />
--------------------------------------------------------------------------------<br />
IpAddress Version Age Expires BadPackets BadRoutes Flags<br />
--------------------------------------------------------------------------------<br />
10.10.10.1 v2 - - 0 0 TSD<br />
Además de visualizar la dirección IP y la versión de RIP, puede visualizar la<br />
información siguiente del vecino RIP:<br />
Antigüedad de la entrada<br />
Tiempo de vencimiento<br />
Número de paquetes incorrectos<br />
Número de rutas incorrectas<br />
Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o<br />
demand circuit init (I)<br />
Visualizar la información de RIP 87
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Visualizar detalles de RIP para una interfaz específica<br />
88 Visualizar la información de RIP<br />
Puede visualizar toda la información pertinente de RIP de todas las interfaces y un<br />
resumen de los detalles del enrutador vecino. Opcionalmente, puede añadir la<br />
dirección IP de un vecino específico para limitar el resultado.<br />
En el ejemplo siguiente, puede visualizar la información sobre la interfaz tunnel.1<br />
del vecino que reside en la dirección IP 10.10.10.2.<br />
WebUI<br />
NOTA: Debe utilizar la CLI para visualizar los detalles de la interfaz RIP.<br />
CLI<br />
get interface tunnel.1 protocol rip neighbor 10.10.10.2<br />
Este comando produce resultados similares al siguiente resultado:<br />
ns-> get interface tunnel.1 protocol rip<br />
VR: trust-vr<br />
----------------------------------------------------------------------------<br />
Interface: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabled<br />
Receive version v1v2, Send Version v1v2<br />
State: Down, Passive: No<br />
Metric: 1, Split Horizon: enabled, Poison Reverse: disabled<br />
Demand Circuit: configured<br />
Incoming routes filter and offset-metric: not configured<br />
Outgoing routes filter and offset-metric: not configured<br />
Authentication: none<br />
Current neighbor count: 1<br />
Update not scheduled<br />
Transmit Updates: 0 (0 triggered), Receive Updates: 0<br />
Update packets dropped because flooding: 0<br />
Bad packets: 0, Bad routes: 0<br />
Flags: Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P<br />
Neighbors on interface tunnel.1<br />
----------------------------------------------------------------------------<br />
IpAddress Version Age Expires BadPackets BadRoutes Flags<br />
----------------------------------------------------------------------------<br />
10.10.10.1 - - - 0 0 TSD<br />
f<br />
Desde este resumen de información puede visualizar el número de paquetes<br />
incorrectos o de rutas incorrectas presentes, verificar cualquier sobrecarga que RIP<br />
añada a la conexión y ver la configuración de la autenticación.
Parámetros globales de RIP<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
En esta sección se describen los parámetros globales de RIP que se pueden<br />
configurar en un enrutador virtual (VR). Cuando se configura un parámetro RIP a<br />
nivel de enrutador virtual, los datos de configuración afectarán a las operaciones de<br />
todas las interfaces que tengan habilitado el protocolo RIP. Es posible modificar los<br />
valores de los parámetros globales del protocolo de enrutamiento RIP por medio de<br />
las interfaces CLI y WebUI.<br />
La Tabla 10 detalla los parámetros globales de RIP y sus valores predeterminados.<br />
Tabla 10: Parámetros globales de RIP y sus valores predeterminados<br />
Parámetro<br />
global de RIP Descripción<br />
Default metric Valor métrico predeterminado para rutas importadas<br />
en RIP a partir de otros protocolos, como OSPF y BGP.<br />
Update timer Indica (en segundos) cuándo enviar actualizaciones de<br />
rutas RIP a los dispositivos vecinos.<br />
Maximum<br />
packets per<br />
update<br />
Indica el número máximo de paquetes recibidos por<br />
actualización.<br />
Invalid timer Indica el tiempo (en segundos) que tiene que<br />
transcurrir para que una ruta deje de ser válida desde el<br />
momento en el que un vecino deja de notificar la ruta.<br />
Flush timer Indica el tiempo (en segundos) que tiene que<br />
transcurrir para que se elimine una ruta desde el<br />
momento de su invalidación.<br />
Maximum<br />
neighbors<br />
Trusted<br />
neighbors<br />
Allow neighbors<br />
on different<br />
subnet<br />
Advertise default<br />
route<br />
Reject default<br />
routes<br />
Incoming route<br />
map<br />
Outgoing route<br />
map<br />
Maximum<br />
alternate routes<br />
Valor(es)<br />
predeterminado(s)<br />
10<br />
30 segundos<br />
Sin máximo<br />
180 segundos<br />
120 segundos<br />
Indica el número máximo de vecinos RIP permitidos. Depende de la<br />
plataforma<br />
Indica una lista de acceso en la que se definen los<br />
vecinos RIP. Si no se especifica ningún vecino, RIP<br />
utiliza la difusión o la multidifusión para detectar<br />
vecinos en una interfaz. Consulte “Configurar vecinos<br />
fiables” en la página 93.<br />
Todos los vecinos<br />
son fiables<br />
Indica que se admiten vecinos RIP de otras subredes. Desactivado<br />
Indica si se notifica la ruta predeterminada (0.0.0.0/0). Desactivado<br />
Indica si RIP debe rechazar una ruta predeterminada<br />
reconocida de otro protocolo. Consulte “Rechazar rutas<br />
predeterminadas” en la página 94.<br />
Desactivado<br />
Indica el filtro para las rutas que RIP debe reconocer. Ninguna<br />
Indica el filtro para las rutas que RIP debe notificar. Ninguna<br />
Especifica el número máximo de rutas RIP para el<br />
mismo prefijo que se puede añadir a la base de datos<br />
de la ruta RIP. Consulte “Ajustar rutas alternas” en la<br />
página 100.<br />
0<br />
Parámetros globales de RIP 89
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Notificar la ruta predeterminada<br />
90 Notificar la ruta predeterminada<br />
Parámetro<br />
global de RIP Descripción<br />
Summarize<br />
advertised routes<br />
RIP protocol<br />
version<br />
Especifica la notificación de una ruta de resumen que<br />
corresponde a todas las rutas incluidas dentro de un<br />
rango de resumen. Consulte “Habilitar y deshabilitar un<br />
resumen de prefijo” en la página 99.<br />
Especifica la versión de RIP que utiliza el VR. Puede<br />
ignorar la versión interfaz a interfaz. Consulte<br />
“Configurar la versión de RIP” en la página 97.<br />
Hold-timer Evita el “flapping” (rechazo) de una ruta a la tabla de<br />
rutas. Puede especificar un valor entre los valores<br />
mínimo (tres veces el valor del temporizador de<br />
actualización (update)) y máximo (suma del<br />
temporizador de actualización (update) y el de<br />
retención (hold), sin exceder el valor del temporizador<br />
flush).<br />
Retransmit timer Especifica el intervalo de retransmisión de las<br />
respuestas desencadenadas en un circuito de demanda.<br />
Puede establecer el temporizador de retransmisión y<br />
asignar una cuenta de reintentos que se ajuste a sus<br />
necesidades de red.<br />
Poll-timer Comprueba el vecino remoto del circuito de demanda<br />
para ver si está activa la conexión con ese vecino.<br />
Puede configurar el temporizador de retransmisión en<br />
minutos y asignar una cuenta de reintentos que se<br />
ajuste a sus necesidades de red. Una cuenta de<br />
reintentos de cero (0) supone un sondeo interminable.<br />
Puede cambiar la configuración de RIP incluyendo la notificación de la ruta<br />
predeterminada (una ruta que no es RIP) y modificando la métrica asociada con la<br />
ruta predeterminada presente en una tabla de enrutamiento de VP determinada.<br />
De forma predeterminada, la ruta predeterminada (0.0.0.0/0) no se notifica a los<br />
vecinos RIP. El siguiente comando notifica la ruta predeterminada a los vecinos RIP<br />
en el enrutador virtual trust-vr con un valor métrico de 5 (hay que introducir un<br />
valor métrico). La ruta predeterminada debe existir en la tabla de enrutamiento.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Advertising Default Route: (seleccione)<br />
Metric: 5<br />
CLI<br />
set vrouter trust-vr protocol rip adv-default-route metric number 5<br />
save<br />
Valor(es)<br />
predeterminado(s)<br />
Ninguna<br />
Versión 2<br />
90 segundos<br />
5 segundos<br />
10 reintentos<br />
180 segundos<br />
0 reintentos<br />
NOTA: Consulte el manual ScreenOS CLI Reference Guide para obtener más información<br />
sobre los parámetros globales que se pueden configurar en el contexto del<br />
protocolo de enrutamiento RIP.
Configurar los parámetros de interfaz de RIP<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
En esta sección se describen los parámetros RIP que se pueden configurar en el<br />
nivel de interfaz. Cuando se configura un parámetro RIP en el nivel de interfaz, los<br />
datos de configuración afectan únicamente al funcionamiento RIP de la interfaz<br />
especificada. Puede modificar los ajustes de los parámetros de la interfaz mediante<br />
comandos de interfaz en la CLI o utilizando la WebUI.<br />
La Tabla 11 detalla los parámetros de interfaz de RIP y sus valores predeterminados.<br />
Tabla 11: Parámetros de interfaz de RIP y sus valores predeterminados<br />
Parámetro RIP de interfaz Descripción<br />
Split-horizon Indica si está habilitada la opción de<br />
horizonte dividido (no notificar rutas<br />
reconocidas de una interfaz en<br />
actualizaciones enviadas a dicha interfaz,<br />
“split horizon”). Si está habilitada la opción<br />
de horizonte dividido con rutas<br />
inalcanzables (“poison reverse”), las rutas<br />
reconocidas de una interfaz se notifican<br />
con un valor métrico de 16 en las<br />
actualizaciones enviadas a dicha interfaz.<br />
RIP metric Especifica la métrica RIP de la interfaz. 1<br />
Autenticación Especifica la autenticación por contraseña<br />
de texto no encriptado o la autenticación<br />
MD5. Consulte “Autenticar vecinos<br />
mediante una contraseña” en la página 92.<br />
Passive mode Indica que la interfaz puede recibir, pero no<br />
transmitir paquetes RIP.<br />
Incoming route map Indica el filtro para las rutas que RIP debe<br />
reconocer.<br />
Outgoing route map Indica el filtro para las rutas que RIP debe<br />
notificar.<br />
RIP version for sending or<br />
receiving updates<br />
Especifica la versión de protocolo RIP<br />
utilizada para enviar o recibir<br />
actualizaciones en la interfaz. La versión de<br />
la interfaz utilizada para enviar<br />
actualizaciones no necesita ser la misma<br />
que la versión para recibir las<br />
actualizaciones. Consulte “Configurar la<br />
versión de RIP” en la página 97.<br />
Route Summarization Especifica si los resúmenes de rutas están<br />
habilitados en la interfaz. Consulte<br />
“Habilitar y deshabilitar un resumen de<br />
prefijo” en la página 99.<br />
Demand-circuit Especifica el circuito de demanda en una<br />
interfaz de túnel especificada. El dispositivo<br />
de seguridad envía mensajes de<br />
actualización solamente cuando se<br />
producen cambios. Consulte “Circuitos de<br />
demanda en interfaces de túnel” en la<br />
página 101.<br />
Static neighbor IP Especifica la dirección IP de un vecino RIP<br />
asignado manualmente.<br />
Valor<br />
predeterminado<br />
La opción de<br />
horizonte dividido<br />
está habilitada. Las<br />
rutas inalcanzables<br />
están inhabilitadas.<br />
No se utiliza<br />
autenticación.<br />
No<br />
Ninguna.<br />
Ninguna.<br />
Versión configurada<br />
para el enrutador<br />
virtual.<br />
Desactivado.<br />
Ninguna.<br />
Ninguna.<br />
Configurar los parámetros de interfaz de RIP 91
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configuración de seguridad<br />
92 Configuración de seguridad<br />
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o<br />
en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene<br />
preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por<br />
ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y<br />
otro mapa de rutas de entrada en el nivel de la interfaz, éste último tendrá<br />
preferencia sobre el primero. Para obtener más información, consulte “Configurar<br />
un mapa de rutas” en la página 40.<br />
En el siguiente ejemplo, configuramos los siguientes parámetros RIP para la interfaz<br />
trust:<br />
Active la autenticación MD5 con la clave 1234567898765432 y la ID de clave<br />
215.<br />
Habilite la opción de horizonte dividido con rutas inalcanzables para la interfaz.<br />
WebUI<br />
Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Authentication: MD5 (seleccione)<br />
Key: 1234567898765432<br />
Key ID: 215<br />
Split Horizon: Enabled with poison reverse (seleccione)<br />
CLI<br />
set interface trust protocol rip authentication md5 1234567898765432 key-id<br />
215<br />
set interface trust protocol rip split-horizon poison-reverse<br />
save<br />
En esta sección se describen posibles problemas de seguridad en el dominio de<br />
enrutamiento RIP y ciertos métodos de prevención de ataques.<br />
NOTA: Para que RIP sea más seguro, todos los enrutadores de un dominio RIP deben<br />
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador<br />
RIP comprometido podría llegar a dejar inservible todo el domino de<br />
enrutamiento RIP.<br />
Autenticar vecinos mediante una contraseña<br />
Un enrutador RIP se puede suplantar fácilmente, ya que los paquetes RIP no se<br />
encriptan, y la mayoría de los analizadores de protocolo permiten desencapsular<br />
paquetes RIP. La mejor forma de acabar con el riesgo de este tipo de ataques será<br />
autenticando a los vecinos RIP.<br />
RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por<br />
autenticación de contraseña simple y por autenticación MD5. Todos los paquetes<br />
RIP recibidos en la interfaz que no se autentiquen se descartarán. De forma<br />
predeterminada, ninguna interfaz RIP tiene la autenticación habilitada.
Configurar vecinos fiables<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Para la autenticación MD5 es necesario utilizar la misma clave para los enrutadores<br />
RIP de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo<br />
de seguridad, cada una de las cuales tendrá su propia clave. Si configura varias<br />
claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador para<br />
la clave que se utilizará para autenticar las comunicaciones con el enrutador vecino.<br />
De esta forma es posible cambiar periódicamente las claves MD5 por parejas de<br />
enrutadores minimizando el riesgo de que algún paquete se descarte.<br />
En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y<br />
seleccionará una de ellas para que sea la clave activa. El identificador de clave<br />
predeterminado es 0, de forma que no tendrá que especificar el identificador para<br />
la primera clave MD5 que introduzca.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
MD5 Keys: (seleccione)<br />
1234567890123456 (primer campo de clave)<br />
9876543210987654 (segundo campo de clave)<br />
Key ID: 1<br />
Preferred: (seleccione)<br />
CLI<br />
set interface ethernet1 protocol rip authentication md5 1234567890123456<br />
set interface ethernet1 protocol rip authentication md5 9876543210987654<br />
key-id 1<br />
set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1<br />
save<br />
Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los<br />
enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto<br />
puede provocar problemas de estabilidad o rendimiento si los dispositivos<br />
conectados no son fiables. Con objeto de evitar este problema, puede utilizar una<br />
lista de acceso para filtrar los dispositivos admitidos como vecinos RIP. De forma<br />
predeterminada, sólo se admiten como vecinos RIP los dispositivos ubicados en la<br />
misma subred que el enrutador virtual (VR).<br />
En este ejemplo, configurará los siguientes parámetros globales para la instancia de<br />
enrutamiento RIP que se está ejecutando en el trust-vr:<br />
El número máximo de vecinos RIP es 1.<br />
La dirección IP del vecino fiable, 10.1.1.1, figura en una lista de acceso.<br />
Configuración de seguridad 93
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Rechazar rutas predeterminadas<br />
94 Configuración de seguridad<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Access List > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 10<br />
Sequence No.: 1<br />
IP/Netmask: 10.1.1.1/32<br />
Action: Permit (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Trusted Neighbors: (seleccione), 10<br />
Maximum Neighbors: 1<br />
CLI<br />
set vrouter trust-vr<br />
ns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1<br />
ns(trust-vr)-> set protocol rip<br />
ns(trust-vr/rip)-> set max-neighbor-count 1<br />
ns(trust-vr/rip)-> set trusted-neighbors 10<br />
ns(trust-vr/rip)-> exit<br />
ns(trust-vr)-> exit<br />
save<br />
En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada<br />
(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El<br />
enrutador puede descartar los paquetes, causando una interrupción en el servicio, o<br />
puede entregar información crítica a los paquetes antes de reenviarlos. En los<br />
dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>, RIP acepta en principio cualquier<br />
ruta predeterminada reconocida en RIP y agrega la ruta predeterminada a la tabla<br />
de rutas.<br />
En el siguiente ejemplo, configurará la instancia de enrutamiento RIP que se está<br />
ejecutando en el trust-vr para que rechace todas las rutas predeterminadas<br />
reconocidas en RIP.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Reject Default Route Learnt by RIP: (seleccione)<br />
CLI<br />
set vrouter trust-vr protocol rip reject-default-route<br />
save
Proteger contra inundaciones<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Un enrutador que se encuentre comprometido o que no funcione correctamente<br />
puede inundar a sus vecinos con paquetes de actualización de enrutamiento RIP. En<br />
el enrutador virtual (VR), es posible configurar el número máximo de paquetes de<br />
actualización que se pueden recibir en una interfaz RIP durante un intervalo de<br />
actualización para impedir la inundación con paquetes de actualización. Todos los<br />
paquetes de actualización que excedan el umbral de actualización configurado se<br />
descartarán. Si no se establece ningún umbral de actualización, se aceptarán todos<br />
los paquetes de actualización.<br />
Es necesario actuar con cuidado al configurar un umbral de actualización cuando<br />
los vecinos tienen tablas de enrutamiento de grandes dimensiones, ya que el<br />
número de actualizaciones de enrutamiento puede ser bastante elevado durante un<br />
intervalo determinado debido a las actualizaciones flash. Los paquetes de<br />
actualización que excedan el umbral se descartan, y es posible que no se<br />
reconozcan rutas válidas.<br />
Configurar un umbral de actualización<br />
En este ejemplo, ajustará a 4 el número máximo de paquetes de actualización de<br />
enrutamiento que RIP puede recibir en una interfaz.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Maximum Number Packets per Update Time: (seleccione), 4<br />
set vrouter trust-vr protocol rip threshold-update 4<br />
save<br />
Habilitar RIP en interfaces de túnel<br />
En el siguiente ejemplo se crea y habilita una instancia de enrutamiento RIP en el<br />
trust-vr del Dispositivo-A. RIP se habilita en la interfaz de túnel VPN y en la interfaz<br />
de zona Trust. Sólo las rutas que se encuentran en la subred 10.10.0.0/16 se<br />
notifican al vecino RIP del Dispositivo-B. Esto se realiza configurando en primer<br />
lugar una lista de acceso que sólo permita las direcciones de la subred 10.10.0.0/16<br />
y especificando después un mapa de rutas abcd que permita las rutas que coincidan<br />
con la lista de acceso. A continuación, se indica el mapa de rutas para filtrar las<br />
rutas notificadas a los vecinos RIP.<br />
Configuración de seguridad 95
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 15: Ejemplo de interfaz de túnel con RIP<br />
Zona Trust<br />
10.20.0.0/16<br />
10.10.0.0/16<br />
96 Configuración de seguridad<br />
La Figura 15 muestra el escenario de la red que se describe.<br />
Dispositivo-A (RIP)<br />
Enrutador RIP tunnel.1 Enrutador RIP<br />
WebUI<br />
Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP<br />
Instance: Seleccione Enable RIP y haga clic en OK.<br />
Network > Routing > Virtual Router > Access List (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 10<br />
Sequence No.: 10<br />
IP/Netmask: 10.10.0.0/16<br />
Action: Permit<br />
Internet Dispositivo-B (RIP) 1.1.1.1/16<br />
Túnel VPN<br />
Zona Untrust<br />
2.2.2.2/16
CLI<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: abcd<br />
Sequence No.: 10<br />
Action: Permit<br />
Match Properties:<br />
Access List: (seleccione), 10<br />
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP<br />
Instance: Seleccione los siguientes datos y haga clic en OK:<br />
Outgoing Route Map Filter: abcd<br />
Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
Enable RIP: (seleccione)<br />
Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos<br />
y haga clic en Apply:<br />
Enable RIP: (seleccione)<br />
Configuraciones opcionales de RIP<br />
Configurar la versión de RIP<br />
set vrouter trust-vr protocol rip<br />
set vrouter trust-vr protocol rip enable<br />
set interface tunnel.1 protocol rip enable<br />
set interface trust protocol rip enable<br />
set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10<br />
set vrouter trust-vr route-map name abcd permit 10<br />
set vrouter trust-vr route-map abcd 10 match ip 10<br />
set vrouter trust-vr protocol rip route-map abcd out<br />
save<br />
Esta sección describe las diversas funciones de RIP que puede configurar.<br />
En los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>, puede configurar la versión<br />
de Routing Information Protocol (RIP) para el enrutador virtual (VR) y para cada<br />
interfaz RIP que envíe y reciba actualizaciones. Según RFC 2453, el VR puede<br />
ejecutar una versión de RIP diferente de la instancia de RIP ejecutada en una<br />
interfaz determinada. Puede configurar también diversas versiones de RIP para<br />
enviar y recibir actualizaciones en una interfaz RIP.<br />
En el VR, puede configurar la versión 1 o la versión 2 de RIP; el valor<br />
predeterminado es la versión 2. Para enviar actualizaciones en interfaces RIP, puede<br />
configurar la versión 1, la versión 2 o el modo compatible con la versión 1 de RIP<br />
(descrito en RFC 2453). Para recibir actualizaciones en interfaces RIP, puede<br />
configurar la versión 1 o la versión 2 de RIP o ambas versiones; 1 y 2.<br />
Configuraciones opcionales de RIP 97
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
98 Configuraciones opcionales de RIP<br />
NOTA: No se recomienda usar ambas versiones 1 y 2 a la vez. Entre la versión 1 y 2 del<br />
protocolo pueden producirse complicaciones de red.<br />
Para enviar y recibir actualizaciones en interfaces RIP, la versión predeterminada de<br />
RIP es la versión que está configurada para el VR.<br />
En el ejemplo siguiente, establece la versión 1 de RIP en trust-vr. Para la interfaz<br />
ethernet3, establece la versión 2 de RIP tanto para enviar como para recibir<br />
actualizaciones.<br />
WebUI<br />
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP<br />
Instance: Seleccione V1 para Version, luego haga clic en Apply.<br />
Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para<br />
Sending and Receiving in Update Version, luego haga clic en Apply.<br />
CLI<br />
set vrouter trust-vr protocol rip version 1<br />
set interface ethernet3 protocol rip receive-version v2<br />
set interface ethernet3 protocol rip send-version v2<br />
save<br />
Para verificar la versión de RIP en el VR y en las interfaces RIP, puede introducir el<br />
comando get vrouter trust-vr protocol rip.<br />
ns-> get vrouter trust-vr protocol rip<br />
VR: trust-vr<br />
----------------------------------<br />
State: enabled<br />
Version: 1<br />
Default metric for routes redistributed into RIP: 10<br />
Maximum neighbors per interface: 512<br />
Not validating neighbor in same subnet: disabled<br />
Next RIP update scheduled after: 14 sec<br />
Advertising default route: disabled<br />
Default routes learnt by RIP will be accepted<br />
Incoming routes filter and offset-metric: not configured<br />
Outgoing routes filter and offset-metric: not configured<br />
Update packet threshold is not configured<br />
Total number of RIP interfaces created on vr(trust-vr): 1<br />
Update Invalid Flush (Timers in seconds)<br />
-------------------------------------------------------------<br />
30 180 120<br />
Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I<br />
Demand Circuit - D<br />
Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx<br />
-------------------------------------------------------------------------------ethernet3<br />
20.20.1.2/24 enabled enabled S 0 1 2/2<br />
En el ejemplo de arriba, el dispositivo de seguridad está ejecutando la versión 1 de<br />
RIP en trust-vr; pero se está ejecutando la versión 2 de RIP en la interfaz ethernet3<br />
para enviar y recibir actualizaciones.
Habilitar y deshabilitar un resumen de prefijo<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Puede configurar una ruta de resumen que englobe el rango de prefijos de ruta al<br />
que RIP deberá notificar. Entonces, el dispositivo de seguridad notifica solamente la<br />
ruta que corresponde al rango de resumen en lugar de notificar individualmente<br />
cada ruta incluida en el rango de resumen. Esto puede reducir el número de<br />
entradas de ruta enviadas en las actualizaciones de RIP y reducir el número de<br />
entradas que los vecinos RIP necesitan almacenar en sus tablas de enrutamiento.<br />
Habilite el resumen de ruta en la interfaz RIP desde la que el dispositivo envía.<br />
Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resumen en<br />
otra interfaz.<br />
NOTA: No puede habilitar selectivamente el resumen para un rango de resumen<br />
específico; cuando habilita el resumen en una interfaz, todas las rutas de resumen<br />
configuradas aparecen en las actualizaciones de enrutamiento.<br />
Al configurar la ruta de resumen, no puede especificar los rangos de prefijos<br />
múltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la<br />
ruta predeterminada. Puede especificar opcionalmente una métrica para la ruta de<br />
resumen. Si no especifica una métrica, se utilizará la métrica más grande para<br />
todas las rutas incluidas en el rango de resumen.<br />
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan<br />
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para<br />
obtener más información sobre establecer una interfaz NULL, consulte“Impedir la<br />
creación de bucles por las rutas resumidas” en la página 11.<br />
Habilitar un resumen de prefijo<br />
En el ejemplo siguiente, configure una ruta de resumen 10.1.0.0/16, que englobe<br />
los prefijos 10.1.1.0/24 y 10.1.2.0/24. Para permitir que ethernet3 envíe la ruta de<br />
resumen en las actualizaciones de RIP, necesita habilitar el resumen en la interfaz.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (for trust-vr) > Edit RIP Instance<br />
> Summary IP: Introduzca los siguientes datos y haga clic en Add:<br />
Summary IP: 10.1.0.0<br />
Netmask: 16<br />
Metric: 1<br />
Network > Interface > Edit (para ethernet3) > RIP: Seleccione<br />
Summarization, luego haga clic en Apply.<br />
CLI<br />
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16<br />
set interface ethernet3 protocol rip summary-enable<br />
save<br />
Configuraciones opcionales de RIP 99
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Ajustar rutas alternas<br />
100 Configuraciones opcionales de RIP<br />
Inhabilitar un resumen de prefijo<br />
En el ejemplo siguiente, inhabilite una ruta de resumen del prefijo para ethernet3<br />
en el trust-vr.<br />
WebUI<br />
Network > Interface Edit > RIP: Desactive Summarization, luego haga clic en<br />
Apply.<br />
CLI<br />
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16<br />
unset interface ethernet3 protocol rip summary-enable<br />
save<br />
El dispositivo de seguridad mantiene una base de datos RIP para las rutas que ha<br />
reconocido el protocolo y las rutas que se redistribuyen en RIP. De forma<br />
predeterminada, solamente se mantiene la mejor ruta de un prefijo dado en la base<br />
de datos. Puede permitir la existencia de una, dos o tres rutas alternativas de RIP<br />
para el mismo prefijo en la base de datos RIP. Si permite las rutas alternativas para<br />
un prefijo en la base de datos RIP, las rutas al mismo prefijo con un origen RIP o un<br />
‘siguiente salto’ diferente se añaden a la base de datos RIP. Esto hace que RIP pueda<br />
admitir los circuitos de demanda y la conmutación rápida en caso de error.<br />
NOTA: Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para<br />
obtener más información sobre circuitos de demanda, consulte “Circuitos de<br />
demanda en interfaces de túnel” en la página 101.<br />
Solamente se añade a la tabla de enrutamiento de un enrutador virtual (VR) y se<br />
anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo<br />
dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP añade<br />
la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se añade a<br />
la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la<br />
tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a<br />
la tabla de enrutamiento y deja de utilizar la ruta antigua. Según el límite de la ruta<br />
alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base<br />
de datos RIP.<br />
Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter<br />
vrouter protocol rip database. En el ejemplo siguiente, el número de rutas<br />
alternativas para la base de datos RIP se ajusta a un número mayor que 0. La base<br />
de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos<br />
RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la<br />
ruta con el coste más bajo, se incluye en la tabla de enrutamiento de VR.
Capítulo 4: Protocolo de información de enrutamiento<br />
ns-> get vrouter trust-vr protocol rip database<br />
VR: trust-vr<br />
--------------------------------------------------------------------------------<br />
Total database entry: 14<br />
Flags: Added in Multipath - M, RIP - R, Redistributed - I<br />
Default (advertised) - D, Permanent - P, Summary - S<br />
Unreachable - U, Hold - H<br />
DBID Prefix Nexthop Interface Cost Flags Source<br />
--------------------------------------------------------------------------------<br />
.<br />
.<br />
.<br />
47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1<br />
46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5<br />
.<br />
.<br />
Si está habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte<br />
“Configurar el enrutamiento de rutas múltiples de igual coste” en la página 37) y<br />
existen rutas múltiples de igual coste en la base de datos RIP para un prefijo dado,<br />
RIP añade las rutas múltiples para el prefijo en la tabla de enrutamiento del VR<br />
hasta el límite de ECMP. En algunos casos, el límite de la ruta alternativa en la base<br />
de datos RIP puede hacer que las rutas RIP no se añadan a la tabla de enrutamiento<br />
del VR. Si el límite de ECMP es inferior o igual al límite de la ruta alternativa en la<br />
base de datos RIP, las rutas RIP que no se añadan a la tabla de enrutamiento del VR<br />
permanecerán en la base de datos RIP; estas rutas se añaden a la tabla de<br />
enrutamiento del VR solamente si se elimina una ruta anteriormente añadida o si<br />
ya no es la “mejor” ruta RIP para el prefijo de red.<br />
Por ejemplo, si el límite de ECMP es 2 y el límite de la ruta alternativa en la base de<br />
datos RIP es 3, solamente podrá haber dos rutas RIP para el mismo prefijo con el<br />
mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el<br />
mismo prefijo/mismo coste en la base de datos RIP, pero solamente se añaden dos<br />
rutas a la tabla de enrutamiento del VR.<br />
En el ejemplo siguiente, establezca en 1 el número de rutas alternativas permitidas<br />
para un prefijo de la base de datos RIP en trust-vr. Esto permite que haya una ruta<br />
“mejor” y una ruta alternativa en cualquier prefijo dado de la base de datos RIP en<br />
el VR.<br />
WebUI<br />
Network > Routing > Edit (for trust-vr) > Edit RIP Instance: Introduzca 1 en<br />
el campo Maximum Alternative Route, luego haga clic en Apply.<br />
CLI<br />
set vrouter trust-vr protocol rip alt-route 1<br />
save<br />
Circuitos de demanda en interfaces de túnel<br />
Un circuito de demanda es una conexión de punto a punto entre dos interfaces<br />
de túnel. Sobrecarga mínima de red en términos del paso de mensajes entre los<br />
puntos extremo del circuito de demanda. Los circuitos de demanda de RIP,<br />
definidos por RFC 2091 para las redes de área extensa, admiten grandes<br />
cantidades de vecinos RIP en los túneles VPN de los dispositivos de seguridad<br />
de <strong>Juniper</strong> <strong>Networks</strong>.<br />
Configuraciones opcionales de RIP 101
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
102 Configuraciones opcionales de RIP<br />
Los circuitos de demanda de RIP eliminan la transmisión periódica de los paquetes<br />
RIP a través de la interfaz de túnel. Para evitar la sobrecarga, el dispositivo de<br />
seguridad envía la información RIP solamente cuando se producen cambios en la<br />
base de datos de enrutamiento. El dispositivo de seguridad retransmite también las<br />
actualizaciones y peticiones hasta que se reciben los reconocimientos válidos. El<br />
dispositivo de seguridad reconoce los vecinos RIP mediante la configuración de<br />
vecinos estática; y si se desactiva el túnel VPN, el RIP limpia las rutas reconocidas<br />
desde la dirección IP del vecino.<br />
Las rutas reconocidas de los circuitos de demanda no caducan con los<br />
temporizadores RIP porque los circuitos de demanda están en un estado<br />
permanente. Las rutas en estado permanente se eliminan solamente bajo las<br />
condiciones siguientes:<br />
Una ruta antes accesible cambia a inalcanzable en una respuesta entrante<br />
El túnel VPN se desactiva o el circuito de demanda está desactivado debido a<br />
un número excesivo de retransmisiones no reconocidas<br />
En el dispositivo de seguridad, también puede configurar una interfaz de túnel de<br />
punto a punto o de punto a multipunto como circuito de demanda. Debe inhabilitar<br />
route-deny (si está configurado) en un túnel de punto a multipunto de modo que<br />
todas las rutas puedan alcanzar sitios remotos. Aunque no se requiera, también<br />
puede inhabilitar el horizonte dividido en la interfaz de punto a multipunto con los<br />
circuitos de demanda. Si inhabilita el horizonte dividido, los puntos extremos<br />
pueden reconocerse mutuamente.<br />
Debe configurar la supervisión de VPN con reencriptación en los túneles VPN para<br />
reconocer el estado del túnel.<br />
Después de configurar el circuito de demanda y los vecinos estáticos, puede ajustar<br />
el temporizador/retransmisor RIP, el temporizador de sondeo, y el temporizador de<br />
retención para ajustarse a sus requisitos de red.<br />
Los ejemplos sobre cómo configurar un circuito de demanda y un vecino estático se<br />
muestran después de esta sección. Un ejemplo de configuración de red RIP con<br />
circuitos de demanda a través de interfaces de túnel de punto a multipunto empieza<br />
en la página104.<br />
En el ejemplo siguiente, configurará la interfaz tunnel.1 para que actúe como<br />
circuito de demanda y guardará la configuración.<br />
WebUI<br />
Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit, luego haga<br />
clic en Apply.<br />
CLI<br />
set interface tunnel.1 protocol rip demand-circuit<br />
save<br />
Después de habilitar un circuito de demanda, puede activar su estado y sus<br />
temporizadores con el comando get vrouter vrouter protocol rip database. La<br />
Tabla 12 detalla sugerencias para solucionar problemas de rendimiento provocados<br />
por ajustes del temporizador.
Configurar un vecino estático<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
Tabla 12: Solución de problemas del temporizador de retransmisión del circuito de<br />
demanda<br />
Rendimiento del circuito de<br />
demanda Sugerencia<br />
Relativamente lento Puede reconfigurar el temporizador de retransmisión a un<br />
valor superior para reducir el número de retransmisiones.<br />
Sin pérdidas Puede reconfigurar el temporizador de retransmisiones<br />
para reducir la cuenta de reintentos.<br />
Congestionado y con pérdidas Puede reconfigurar el temporizador de retransmisiones a<br />
una cuenta de reintentos superior para dar al vecino<br />
estático más tiempo de respuesta antes de forzar al vecino<br />
estático a un estado de POLL.<br />
Una interfaz de punto a multipunto que esté ejecutando RIP requiere vecinos<br />
configurados estáticamente. Para los circuitos de demanda de configuración<br />
manual, es la única forma de que un dispositivo de seguridad reconozca las<br />
direcciones vecinas en las interfaces de punto a multipunto. Para configurar un<br />
vecino estático RIP introduzca el nombre de la interfaz y la dirección IP del<br />
vecino RIP.<br />
En el ejemplo siguiente, configurará el vecino RIP con la dirección IP 10.10.10.2<br />
de la interfaz tunnel.1.<br />
WebUI<br />
Network > Interfaces > (Edit) RIP: Haga clic en el botón Static Neighbor IP<br />
para avanzar a la tabla Static Neighbor IP. Introduzca la dirección IP del vecino<br />
estático y haga clic en Add.<br />
CLI<br />
set interface tunnel.1 protocol rip neighbor 10.10.10.2<br />
unset interface tunnel.1 protocol rip neighbor 10.10.10.2<br />
save<br />
Configurar una interfaz de túnel punto a multipunto<br />
RIP punto a multipunto se admite en interfaces de túnel numeradas para las<br />
versiones 1 y 2 de RIP.<br />
PRECAUCIÓN: RIP no se admite en interfaces de túnel sin numerar. Se deben<br />
numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento por<br />
configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un<br />
error impredecible en el enrutamiento.<br />
Configurar una interfaz de túnel punto a multipunto 103
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
104 Configurar una interfaz de túnel punto a multipunto<br />
Debe inhabilitar el horizonte dividido en un túnel de interfaz de punto a multipunto<br />
que configure con circuitos de demanda de modo que los mensajes alcancen todos<br />
los sitios remotos. Para una interfaz de túnel punto a multipunto sin circuitos de<br />
demanda, puede dejar habilitada la opción de horizonte dividido (predeterminada).<br />
RIP reconoce dinámicamente a los vecinos. RIP envía todos los mensajes<br />
transmitidos a la dirección multicast 224.0.0.9 y los reduplica a todos los túneles<br />
según convenga.<br />
Si desea configurar RIP como túnel punto a multipunto con circuitos de demanda,<br />
debe diseñar su red en una configuración radial (“hub and spoke”).<br />
NOTA: En este ejemplo, únicamente se hace referencia a las interfaces de línea de<br />
comandos y no discutimos zonas y otros pasos de configuración necesarios.<br />
La red de este ejemplo pertenece a una empresa de tamaño mediano con su oficina<br />
central (CO) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y<br />
Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la<br />
Figura 16 en la página 105.<br />
Los siguientes son los requisitos de configuración específicos del dispositivo de<br />
seguridad en la CO:<br />
1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a<br />
continuación, configurar la interfaz tunnel.1.<br />
2. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1.<br />
3. Configurar vecinos estáticos RIP en el dispositivo de seguridad de la oficina<br />
central (CO).<br />
4. No cambiar los valores predeterminados del temporizador en este ejemplo.<br />
Los siguientes son los requisitos de configuración propios de los dispositivos de<br />
seguridad remotos de <strong>Juniper</strong> <strong>Networks</strong>:<br />
1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a<br />
continuación, configurar la interfaz tunnel.1.<br />
2. Configurar la VPN y asociarla a la interfaz tunnel.1.<br />
3. No configurar vecinos estáticos en los dispositivos de seguridad de la oficina<br />
remota. Los dispositivos de la oficina remota solamente tienen un dispositivo<br />
vecino que será descubierto por las peticiones multicast iniciales.<br />
NOTA: No es necesario cambiar los valores predeterminados del temporizador en<br />
este ejemplo.
Figura 16: Ejemplo de red punto a multipunto con interfaz de túnel<br />
Capítulo 4: Protocolo de información de enrutamiento<br />
En el diagrama de red que se muestra en la Figura 16, se originan cuatro VPNs en el<br />
dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en<br />
Nueva York, Los Angeles, Montreal y Chicago.<br />
En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de<br />
la oficina central CO:<br />
1. Interfaces y zona de seguridad<br />
2. VPN<br />
3. Rutas y RIP<br />
4. Vecinos estáticos<br />
5. Ruta de resumen<br />
Para poder comprobar el estado del circuito en el dispositivo de la oficina central<br />
CO, debe habilitar la supervisión de VPN.<br />
Para completar la configuración de la red, configurará los siguientes ajustes en cada<br />
uno de los cuatro dispositivos de seguridad de las oficinas remotas:<br />
1. Interfaces y zona de seguridad<br />
2. VPN<br />
3. Rutas y RIP<br />
4. Vecinos estáticos<br />
5. Ruta de resumen<br />
Los Angeles<br />
Nueva York Chicago<br />
tunnel.1 10.0.0.2<br />
Untrust 1.1.1.2<br />
tunnel.1 10.0.0.3<br />
Untrust 1.1.1.3<br />
San Francisco (CO)<br />
ethernet3 1.1.1.1<br />
tunnel.1 10.0.0.1<br />
4 VPNs asociadas a tunnel.1<br />
VPN 1 VPN 2<br />
Internet<br />
VPN 3<br />
Montreal<br />
tunnel.1 10.0.0.4<br />
Untrust 1.1.1.4<br />
VPN 4<br />
tunnel.1 10.0.0.5<br />
Untrust 1.1.1.5<br />
Configurar una interfaz de túnel punto a multipunto 105
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
NOTA: Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es<br />
muy largo. La porción CLI del ejemplo está completa. Puede consultar en la<br />
porción CLI los ajustes y valores exactos que deben utilizarse.<br />
106 Configurar una interfaz de túnel punto a multipunto<br />
WebUI (dispositivo de la oficina central)<br />
1. Zonas e interfaces de seguridad<br />
Network > Interfaces > Haga clic en New Tunnel IF y continúe a la página de<br />
configuración.<br />
Network > Interfaces > Edit (para ethernet3)<br />
2. VPN<br />
VPNs > AutoKey Advanced > Gateway<br />
3. Rutas y RIP<br />
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador<br />
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador<br />
virtual.<br />
Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite<br />
RIP en la interfaz.<br />
4. Vecinos estáticos<br />
Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add<br />
Neighbor IP Address.<br />
5. Ruta de resumen<br />
Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP y<br />
configure la dirección IP del resumen.<br />
CLI (dispositivo de la oficina central)<br />
1. Zonas e interfaces de seguridad<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.0.0.1/24<br />
2. VPN<br />
set ike gateway gw1 address 1.1.1.2 main outgoing-interface ethernet3 preshare<br />
ripdc proposal pre-g2-3des-sha<br />
set ike gateway gw2 address 1.1.1.3 main outgoing-interface ethernet3 preshare<br />
ripdc proposal pre-g2-3des-sha<br />
set ike gateway gw3 address 1.1.1.4 main outgoing-interface ethernet3 preshare<br />
ripdc proposal pre-g2-3des-sha<br />
set ike gateway gw4 address 1.1.1.5 main outgoing-interface ethernet3 preshare<br />
ripdc proposal pre-g2-3des-sha<br />
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn1 monitor rekey<br />
set vpn vpn1 bind interface tunnel.1
Capítulo 4: Protocolo de información de enrutamiento<br />
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn2 monitor rekey<br />
set vpn vpn2 bind interface tunnel.1<br />
set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn3 monitor rekey<br />
set vpn vpn3 bind interface tunnel.1<br />
set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn4 monitor rekey<br />
set vpn vpn4 bind interface tunnel.1<br />
3. Rutas y RIP<br />
set vrouter trust protocol rip<br />
set vrouter trust protocol rip enable<br />
set vrouter protocol rip summary-ip 100.10.0.0/16<br />
set interface tunnel.1 protocol rip<br />
set interface tunnel.1 protocol rip enable<br />
set interface tunnel.1 protocol rip demand-circuit<br />
4. Vecinos estáticos<br />
set interface tunnel.1 protocol rip neighbor 10.0.0.2<br />
set interface tunnel.1 protocol rip neighbor 10.0.0.3<br />
set interface tunnel.1 protocol rip neighbor 10.0.0.4<br />
set interface tunnel.1 protocol rip neighbor 10.0.0.5<br />
5. Ruta de resumen<br />
set interface tunnel.1 protocol rip summary-enable<br />
save<br />
Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina<br />
remota. Al configurar la oficina remota, no necesita configurar vecinos estáticos. En<br />
un entorno de circuito de demanda, solamente existe un vecino para el dispositivo<br />
remoto y éste reconoce la información del vecino cuando envía un mensaje<br />
multicast durante el arranque.<br />
Para completar la configuración mostrada en el diagrama de la página105, debe<br />
repetir esta sección por cada dispositivo remoto y cambiar las direcciones IP, los<br />
nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades<br />
de la red. En cada sitio remoto, las zonas trust y untrust cambian.<br />
NOTA: Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es<br />
muy largo. La porción CLI del ejemplo está completa. Puede consultar en la<br />
porción CLI los ajustes y valores exactos que deben utilizarse.<br />
WebUI (dispositivo de oficina remota)<br />
1. Zonas e interfaces de seguridad<br />
Network > Interfaces > Haga clic en New Tunnel IF y continúe a la página de<br />
configuración.<br />
Network > Interfaces > Edit (para ethernet3)<br />
2. VPN<br />
VPNs > AutoKey Advanced > Gateway<br />
Configurar una interfaz de túnel punto a multipunto 107
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
108 Configurar una interfaz de túnel punto a multipunto<br />
3. Rutas y RIP<br />
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador<br />
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador<br />
virtual.<br />
Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite<br />
RIP en la interfaz.<br />
4. Directiva (configure como sea necesario)<br />
Directivas (de todas las zonas a todas las zonas) > Haga clic en New.<br />
CLI (dispositivo de oficina remota)<br />
1. Protocolo de enrutamiento e interfaz<br />
set vrouter trust-vr protocol rip<br />
set vrouter trust-vr protocol rip enable<br />
set interface untrust ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.0.0.2/24<br />
2. VPN<br />
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare<br />
ripdc proposal pre-g2-3des-sha<br />
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha<br />
set vpn vpn1 monitor rekey<br />
set vpn vpn1 id 1 bind interface tunnel.1<br />
3. Rutas y RIP<br />
set interface tunnel.1 protocol rip<br />
set interface tunnel.1 protocol rip demand-circuit<br />
set interface tunnel.1 protocol rip enable<br />
4. Directiva (configure como sea necesario)<br />
set policy id 1 from trust to untrust any any any permit<br />
set policy id 2 from untrust to trust any any any permit<br />
save<br />
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol<br />
rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla de<br />
vecinos; la información del vecino no envejece ni expira. Puede ver la base de datos<br />
RIP ejecutando el comando get vrouter vrouter protocol rip database. P de<br />
permanent aparece junto a las entradas de los circuitos de demanda.
Capítulo 5<br />
Protocolo BGP<br />
En este capítulo se describe el protocolo BGP (protocolo de puerta de enlace de<br />
borde, o Border Gateway Protocol) en los dispositivos de seguridad de <strong>Juniper</strong><br />
<strong>Networks</strong>. Contiene las siguientes secciones:<br />
“Vista general” en la página 110<br />
“Tipos de mensajes BGP” en la página 110<br />
“Atributos de ruta” en la página 111<br />
“BGP externo e interno” en la página 111<br />
“Configuración básica de BGP” en la página 112<br />
“Crear y habilitar una instancia de BGP” en la página 113<br />
“Habilitar y deshabilitar BGP en interfaces” en la página 114<br />
“Configurar grupos de interlocutores e interlocutores BGP” en la página 115<br />
“Comprobar la configuración BGP” en la página 118<br />
“Configuración de seguridad” en la página 119<br />
“Autenticar vecinos BGP” en la página 120<br />
“Rechazar rutas predeterminadas” en la página 120<br />
“Redistribuir rutas en BGP” en la página 122<br />
“Configurar una lista de acceso AS-Path” en la página 123<br />
“Agregar rutas a BGP” en la página 124<br />
“Capacidad de enrutamiento-actualización” en la página 126<br />
“Configuración de la reflexión de rutas” en la página 127<br />
“Configurar una confederación” en la página 130<br />
“Comunidades BGP” en la página 131<br />
“Agregar rutas” en la página 132<br />
109
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
Tipos de mensajes BGP<br />
110 Vista general<br />
El protocolo BGP (Border Gateway Protocol) es un protocolo de vectores de rutas<br />
que se utiliza para transportar información de enrutamiento entre sistemas<br />
autónomos (AS). Un AS es un conjunto de enrutadores que se encuentran en el<br />
mismo dominio administrativo.<br />
La información de enrutamiento BGP incluye la secuencia de números de los AS<br />
que un prefijo de red (una ruta) ha atravesado. La información de ruta asociada al<br />
prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento.<br />
ScreenOS es compatible con la versión 4 de BGP (BGP-4) tal y como se define en la<br />
norma RFC 1771.<br />
Dos interlocutores BGP establecen una sesión BGP para intercambiar información de<br />
enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos<br />
interlocutores. En primer lugar, los interlocutores BGP deben establecer una<br />
conexión TCP entre sí para abrir una sesión BGP. Una vez establecida la conexión<br />
inicial, los interlocutores intercambian las tablas de enrutamiento completas. A<br />
medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian<br />
mensajes de actualización con los interlocutores. Cada enrutador BGP mantiene<br />
actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene<br />
sesiones, enviándoles periódicamente mensajes de mantenimiento de conexión<br />
para verificar las conexiones.<br />
El interlocutor BGP sólo notifica las rutas que está utilizando en ese momento.<br />
Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta<br />
que describen sus características. El enrutador BGP compara los atributos de ruta y<br />
el prefijo para elegir la mejor ruta de todas las disponibles para un destino<br />
determinado.<br />
El protocolo BGP utiliza cuatro tipos de mensajes para la comunicación con los<br />
interlocutores:<br />
Los mensajes de Open permiten que los interlocutores BGP se identifiquen<br />
mutuamente antes de iniciar la sesión GP. Estos mensajes se envían cuando los<br />
interlocutores han establecido una sesión TCP. Durante el intercambio de<br />
mensajes de apertura, los interlocutores BGP especifican su versión de<br />
protocolo, número de AS, tiempo de espera e identificador BGP.<br />
Los mensajes de Update notifican rutas al interlocutor y descartan las rutas<br />
notificadas previamente.<br />
Los mensajes de Notification indican errores. La sesión BGP se termina y se<br />
cierra la sesión TCP.<br />
NOTA: El dispositivo de seguridad no enviará un mensaje de notificación a un interlocutor<br />
si, durante el intercambio de mensajes de apertura, el interlocutor indica que<br />
admite protocolos con los que el dispositivo de seguridad no es compatible.<br />
Los mensajes de Keepalive se utilizan para el mantenimiento de la sesión BGP.<br />
De forma predeterminada, el dispositivo de seguridad envía mensajes de<br />
mantenimiento de conexión a los interlocutores cada 60 segundos. Este<br />
intervalo se puede configurar.
Atributos de ruta<br />
BGP externo e interno<br />
Capítulo 5: Protocolo BGP<br />
Los atributos de ruta BGP son un grupo de parámetros que describen las<br />
características de una ruta. El protocolo BGP empareja los atributos con la ruta que<br />
describen y, a continuación, compara todas las rutas disponibles para un destino<br />
para así seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta<br />
obligatorios y bien conocidos son:<br />
Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto).<br />
AS-Path contiene una lista de sistemas autónomos a través de los cuales ha<br />
pasado la notificación de ruta.<br />
Next-Hop es la dirección IP del enrutador al que se envía tráfico para la ruta.<br />
Los atributos de ruta opcionales son:<br />
Multi-Exit Discriminator (MED) es una métrica para aquellas rutas en las que<br />
hay múltiples vínculos entre sistemas autónomos (un AS configura el MED y<br />
otro AS lo utiliza para elegir una ruta).<br />
Local-Pref es una métrica utilizada para informar a los interlocutores BGP de<br />
las preferencias del enrutador local para elegir una ruta.<br />
Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local<br />
seleccionó una ruta menos específica de un conjunto de rutas superpuestas<br />
recibidas de un interlocutor.<br />
Aggregator especifica el AS y el enrutador que realizaron la agregación de<br />
la ruta.<br />
Communities especifica una o varias comunidades a las que pertenece la ruta.<br />
Cluster List contiene una lista de los clústeres de reflexión a través de los<br />
cuales ha pasado la ruta.<br />
Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta<br />
opcionales antes de notificársela a los interlocutores.<br />
El protocolo BGP externo (EBGP) se utiliza entre sistemas autónomos, p. ej., cuando<br />
distintas redes ISP se conectan entre sí o una red empresarial se conecta a una red<br />
ISP. El protocolo BGP interno (IBGP) se utiliza dentro de un sistema autónomo, p.<br />
ej., una red de una empresa. El objetivo principal de IBGP es distribuir los<br />
enrutadores reconocidos por EBGP en los enrutadores del AS. Un enrutador IBGP<br />
puede notificar a sus interlocutores IBGP rutas reconocidas por sus interlocutores<br />
EBGP, pero no puede notificar rutas reconocidas por sus interlocutores IBGP a otros<br />
interlocutores IBGP. Esta restricción impide que se formen bucles de notificación de<br />
ruta dentro de la red, pero también implica que una red IBGP debe estar<br />
absolutamente mallada (es decir, cada enrutador BGP de la red debe tener una<br />
sesión con cada uno de los otros enrutadores de la red).<br />
Ciertos atributos de ruta sólo son aplicables a EBGP o IBGP. Por ejemplo, el atributo<br />
MED sólo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-PREF sólo<br />
está presente en mensajes IBGP.<br />
Vista general 111
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configuración básica de BGP<br />
Figura 17: Ejemplo de configuración BGP<br />
Número del<br />
sistema<br />
autónomo<br />
ID del enrutador<br />
1.1.1.250<br />
112 Configuración básica de BGP<br />
En un dispositivo de seguridad, cada instancia BGP se crea individualmente por<br />
cada enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podrá<br />
habilitar múltiples instancias de BGP, una por cada enrutador virtual.<br />
NOTA: Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de<br />
seguridad, deberá asignar una ID de enrutador virtual, tal y como se describe en el<br />
Capítulo 2, “<strong>Enrutamiento</strong>”.<br />
AS 65000<br />
Los cinco pasos básicos para configurar BGP en un VR en un dispositivo de<br />
seguridad son:<br />
1. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtual,<br />
asignando primero un número de sistema autónomo a la instancia de BGP y<br />
habilitando después la instancia.<br />
2. Habilitar BGP en la interfaz conectada al interlocutor.<br />
3. Habilitar cada interlocutor BGP.<br />
4. Configurar uno o varios interlocutores BGP remotos.<br />
5. Comprobar que el protocolo BGP está configurado correctamente y funciona.<br />
Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI<br />
para el siguiente ejemplo. La Figura 17 muestra el dispositivo de seguridad como un<br />
interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para<br />
que pueda establecer una sesión BGP con el interlocutor en AS 65500.<br />
Dispositivo de seguridad local<br />
Dirección IP de<br />
interfaz 1.1.1.1/24<br />
BGP habilitado<br />
Sistemas autónomos<br />
Interlocutores BGP<br />
Dirección IP de<br />
interfaz 2.2.2.2/24<br />
BGP habilitado<br />
Enrutador remoto<br />
AS 65500<br />
Número del<br />
sistema<br />
autónomo<br />
ID de enrutador<br />
2.2.2.250
Crear y habilitar una instancia de BGP<br />
Capítulo 5: Protocolo BGP<br />
Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual<br />
(VR) específico ubicado en un dispositivo de seguridad. Para crear una instancia de<br />
enrutamiento BGP, primero se debe especificar el número de sistema autónomo en<br />
el que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el número de<br />
sistema autónomo será el mismo que el de otros enrutadores IBGP de la red.<br />
Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de<br />
enrutamiento BGP será capaz de establecer contacto e iniciar una sesión con los<br />
interlocutores BGP que configure.<br />
NOTA: Los números de sistemas autónomos (AS) son números exclusivos en todo el<br />
mundo que se utilizan para intercambiar información de enrutamiento EBGP y<br />
para identificar el sistema autónomo. Las siguientes entidades asignan números<br />
de AS: American Registry for Internet Numbers (ARIN), Réseaux IP Européens<br />
(RIPE) y Asia Pacific Network Information Center (APNIC). Los números 64512 a<br />
65535 son de uso privado y no para su notificación global en Internet.<br />
Crear una instancia BGP<br />
En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a<br />
trust-vr. A continuación creará y habilitará una instancia de enrutamiento BGP en el<br />
trust-vr, que se encuentra en el dispositivo de seguridad en AS 65000. (Para obtener<br />
más información sobre enrutadores virtuales y cómo configurar un enrutador<br />
virtual en dispositivos de seguridad, consulte “<strong>Enrutamiento</strong>” en la página 13).<br />
WebUI<br />
1. ID de enrutador<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, escriba 0.0.0.10<br />
2. Instancia de enrutamiento de BGP<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP<br />
Instance: Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
AS Number (obligatorio): 65000<br />
BGP Enabled: (seleccione)<br />
1. ID de enrutador<br />
set vrouter trust-vr router-id 10<br />
2. Instancia de enrutamiento de BGP<br />
set vrouter trust-vr protocol bgp 65000<br />
set vrouter trust-vr protocol bgp enable<br />
save<br />
Configuración básica de BGP 113
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
114 Configuración básica de BGP<br />
Eliminar una instancia de BGP<br />
En este ejemplo inhabilitará y eliminará la instancia de enrutamiento de BGP en el<br />
enrutador trust-vr. BGP detendrá todas las sesiones con los interlocutores.<br />
WebUI<br />
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance:<br />
Anule la selección de BGP Enabled y haga clic en OK.<br />
Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP<br />
Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación.<br />
CLI<br />
unset vrouter trust-vr protocol bgp enable<br />
unset vrouter trust-vr protocol bgp 65000<br />
save<br />
Habilitar y deshabilitar BGP en interfaces<br />
Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma<br />
predeterminada, las interfaces del dispositivo de seguridad no están asociadas a<br />
ningún protocolo de enrutamiento).<br />
Habilitar BGP en interfaces<br />
En este ejemplo habilitará BGP en la interfaz ethernet4.<br />
WebUI<br />
Network > Interface Edit > BGP: Marque la habilitación de Protocol BGP,<br />
luego haga clic en OK.<br />
CLI<br />
set interface ethernet4 protocol bgp<br />
save<br />
Inhabilitar BGP en interfaces<br />
En este ejemplo inhabilitará BGP en la interfaz ethernet4. En las demás interfaces<br />
en las que haya habilitado BGP podrán continuar transmitiendo y procesando<br />
paquetes BGP.<br />
WebUI<br />
Network > Interfaces > Configure (para ethernet4): Desactive Protocol BGP,<br />
luego haga clic en OK.<br />
CLI<br />
unset interface ethernet4 protocol bgp<br />
save
Configurar grupos de interlocutores e interlocutores BGP<br />
Capítulo 5: Protocolo BGP<br />
Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas,<br />
necesitan identificarse mutuamente para poder iniciar una sesión BGP. Es necesario<br />
especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar<br />
parámetros para establecer y mantener la sesión. Los interlocutores pueden ser<br />
interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGP,<br />
habrá que especificar el sistema autónomo en el que reside el interlocutor.<br />
Todas las sesiones BGP se autentican comprobando el identificador de interlocutor<br />
BGP y el número de AS notificado por los interlocutores. Las conexiones correctas<br />
con un interlocutor se registran. Si surge algún problema durante la conexión con el<br />
interlocutor, el interlocutor enviará o recibirá un mensaje de notificación BGP, lo<br />
que hará que la conexión falle o se cierre.<br />
Es posible configurar parámetros para direcciones de interlocutores individuales.<br />
También se pueden asignar interlocutores a un grupo de interlocutores, lo que<br />
permitirá configurar parámetros para el grupo en su conjunto.<br />
NOTA: No es posible asignar interlocutores IBGP y EBGP al mismo grupo de<br />
interlocutores.<br />
La Tabla 13 describe parámetros que se pueden configurar para interlocutores BGP<br />
y sus valores predeterminados. Una “X” en la columna Interlocutor indica un<br />
parámetro que se puede configurar para la dirección IP de un interlocutor, mientras<br />
que una “X” en la columna Grupo de interlocutores indica un parámetro que se<br />
puede configurar para un grupo de interlocutores.<br />
Tabla 13: Parámetros de interlocutores BGP y grupos de interlocutores y valores predeterminados<br />
Parámetro<br />
BGP Interlocutor<br />
Advertise<br />
default route<br />
Grupo de<br />
interlocutores Descripción Valor predeterminado<br />
X Notifica la ruta predeterminada en el enrutador<br />
virtual a interlocutores BGP.<br />
La ruta predeterminada<br />
no se notifica.<br />
EBGP multihop X X Número de nodos entre el BGP local y el vecino. 0 (desactivado)<br />
Force connect X X Hace que la instancia de BGP descarte una conexión<br />
BGP existente con el interlocutor especificado y<br />
acepte una nueva conexión. Este parámetro resulta<br />
de utilidad cuando hay una conexión con un<br />
enrutador que falla y, a continuación, reaparece e<br />
intenta restablecer una conexión BGP, ya que<br />
permite un restablecimiento más rápido de la<br />
conexión entre interlocutores1 .<br />
N/D<br />
Hold time X X Tiempo transcurrido sin que lleguen mensajes de<br />
un interlocutor antes de que se considere fuera<br />
de servicio.<br />
Keepalive X X Tiempo entre transmisiones de mantenimiento de<br />
conexión (keepalive).<br />
MD5<br />
authentication<br />
180 segundos<br />
1/3 del tiempo de<br />
espera (hold-time)<br />
X X Configura la autenticación MD-5. Sólo se comprueba<br />
el identificador de<br />
interlocutor y el<br />
número de AS.<br />
MED X Configura el valor de atributo MED. 0<br />
Configuración básica de BGP 115
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Parámetro<br />
BGP Interlocutor<br />
Next-hop self X X En las rutas enviadas al interlocutor, el atributo de<br />
ruta al salto siguiente se ajusta en la dirección IP de<br />
la interfaz del enrutador virtual local.<br />
Reflector client X X El interlocutor es un cliente de reflexión cuando el<br />
protocolo BGP local se configura como el reflector<br />
de rutas.<br />
Reject default<br />
route<br />
116 Configuración básica de BGP<br />
X No tiene en cuenta las notificaciones de ruta<br />
predeterminada procedentes de los<br />
interlocutores BGP.<br />
Retry time X X Tras un intento fallido de inicio de sesión, tiempo<br />
que se tarda en reintentar iniciar la sesión BGP.<br />
Send<br />
community<br />
Grupo de<br />
interlocutores Descripción Valor predeterminado<br />
Es posible configurar ciertos parámetros en el nivel de interlocutores y en el de<br />
protocolo (consulte “Configurar una confederación” en la página 130). Por ejemplo,<br />
puede configurar el valor de tiempo de espera para un interlocutor específico con<br />
un valor de 210 segundos, mientras que el valor de tiempo de espera<br />
predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la<br />
configuración del interlocutor tendrá preferencia. Los valores MED ajustados en el<br />
nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED<br />
ajustado en el nivel de interlocutor sólo se aplicará a las rutas que se notifiquen a<br />
esos interlocutores.<br />
Configurar un interlocutor BGP<br />
En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este<br />
interlocutor tiene los siguientes atributos:<br />
Dirección IP 1.1.1.250<br />
Reside en AS 65500<br />
Atributo de salto<br />
siguiente no cambiado<br />
Ninguna<br />
Las rutas<br />
predeterminadas de los<br />
interlocutores se<br />
agregan a la tabla de<br />
enrutamiento<br />
120 segundos<br />
X X Transmite el atributo de comunidad al interlocutor. Atributo de comunidad<br />
no enviado a los<br />
interlocutores.<br />
Weight X X Prioridad de ruta entre el BGP local y el interlocutor. 100<br />
1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexión BGP con el<br />
interlocutor especificado y acepte una nueva conexión. El uso de este comando de ejecución no modifica la configuración<br />
del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuración del mapa de rutas que se aplica a<br />
este interlocutor.<br />
NOTA: Deberá habilitar cada conexión de interlocutor que configure.
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65500<br />
Remote IP: 1.1.1.250<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors > Configure (para el interlocutor que acabe de agregar):<br />
Seleccione Peer Enabled y luego haga clic en OK.<br />
CLI<br />
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500<br />
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable<br />
save<br />
Configurar un grupo de interlocutores IBGP<br />
Ahora configurará un grupo de interlocutores IBGP llamado ibgp que contendrá las<br />
siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo<br />
de interlocutores, podrá configurar parámetros (como la autenticación MD5) que se<br />
aplicarán a todos los miembros del grupo de interlocutores.<br />
NOTA: Deberá habilitar cada conexión de interlocutor que configure. Si configura<br />
interlocutores como parte de un grupo, tendrá que habilitar las conexiones de los<br />
interlocutores una a una.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic<br />
en Add.<br />
> Configure (para ibgp): En el campo Peer authentication, introduzca<br />
verify03 y haga clic en OK.<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 10.1.2.250<br />
Peer Group: ibgp (seleccione)<br />
Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 10.1.3.250<br />
Peer Group: ibgp (seleccione)<br />
Configuración básica de BGP 117
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Comprobar la configuración BGP<br />
118 Configuración básica de BGP<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled<br />
y luego haga clic en OK.<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled<br />
y luego haga clic en OK.<br />
CLI<br />
set vrouter trust-vr protocol bgp neighbor peer-group ibgp<br />
set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication<br />
verify03<br />
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp<br />
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp<br />
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable<br />
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable<br />
save<br />
Puede revisar la configuración introducida a través de WebUI o CLI ejecutando el<br />
comando get vrouter vrouter protocol bgp config.<br />
ns-> get vrouter trust-vr protocol bgp config<br />
set protocol bgp 65000<br />
set enable<br />
set neighbor peer-group "ibgp"<br />
set neighbor peer-group "ibgp" md5-authentication "cq1tu6gVNU5gvfsO60CsvxVPNnntO<br />
PwY/g=="<br />
set neighbor 10.1.2.250 remote-as 65000<br />
output continues...<br />
exit<br />
Para comprobar si BGP se está ejecutando en el enrutador virtual, ejecute el<br />
comando get vrouter vrouter protocol bgp.<br />
ns-> get vrouter trust-vr protocol bgp<br />
Admin State: enable<br />
Local Router ID: 10.1.1.250<br />
Local AS number: 65000<br />
Hold time: 180<br />
Keepalive interval: 60 = 1/3 hold time, default<br />
Local MED is: 0<br />
Always compare MED: disable<br />
Local preference: 100<br />
Route Flap Damping: disable<br />
IGP synchronization: disable<br />
Route reflector: disable<br />
Cluster ID: not set (ID = 0)<br />
Confederation based on RFC 1965<br />
Confederation: disable (confederation ID = 0)<br />
Member AS: none<br />
Origin default route: disable<br />
Ignore default route: disable
Capítulo 5: Protocolo BGP<br />
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la<br />
identificación del enrutador, así como todos los demás parámetros configurados<br />
relativos al BGP.<br />
NOTA: Es recomendable asignar una ID de enrutador de forma explícita, en lugar de<br />
utilizar la ID predeterminada. Para más información sobre cómo configurar una ID<br />
de enrutador, consulte el Capítulo 2, “<strong>Enrutamiento</strong>”.<br />
Configuración de seguridad<br />
Para verificar si un interlocutor o grupo de interlocutores BGP está habilitado y<br />
ver el estado de la sesión de BGP, ejecute el comando get vrouter vrouter protocol<br />
bgp neighbor.<br />
ns-> get vrouter trust-vr protocol bgp neighbor<br />
Peer AS Remote IP Local IP Wt Status State ConnID<br />
65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up<br />
Total 1 BGP peers shown<br />
En este ejemplo puede verificar si el interlocutor BGP está habilitado y si la sesión<br />
está activa.<br />
El estado puede ser uno de los que aquí se indican:<br />
Idle: primer estado de la conexión.<br />
Connect: BGP está esperando una conexión de transporte TCP correcta.<br />
Active: BGP está iniciando una conexión de transporte<br />
OpenSent: BGP está esperando un mensaje de apertura (OPEN) del<br />
interlocutor.<br />
OpenConfirm: BGP está esperando un mensaje de mantenimiento de conexión<br />
(KEEPALIVE) o notificación (NOTIFICATION) del interlocutor.<br />
Established: BGP está intercambiado paquetes de actualización (UPDATE) con<br />
el interlocutor.<br />
NOTA: Un estado de sesión que cambia continuamente entre Active y Connect podría indicar<br />
un problema con la conexión entre interlocutores.<br />
En esta sección se describen posibles problemas de seguridad en el dominio de<br />
enrutamiento BGP y ciertos métodos de prevención de ataques.<br />
NOTA: Para que BGP sea más seguro, todos los enrutadores de un dominio BGP deben<br />
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP<br />
comprometido podría llegar a dejar inservible todo el domino de enrutamiento BGP.<br />
Configuración de seguridad 119
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Autenticar vecinos BGP<br />
Rechazar rutas predeterminadas<br />
120 Configuración de seguridad<br />
Un enrutador BGP se puede suplantar fácilmente, ya que los paquetes BGP no se<br />
encriptan, y la mayoría de los analizadores de protocolo permiten desencapsular<br />
paquetes BGP. La mejor forma de acabar con el riesgo de este tipo de ataques será<br />
autenticando los interlocutores BGP.<br />
BGP ofrece autenticación MD5 para validar los paquetes BGP recibidos de un<br />
interlocutor. Para la autenticación MD5 es necesario utilizar la misma clave para los<br />
enrutadores BGP de envío y de recepción. Todos los paquetes BGP recibidos de un<br />
determinado interlocutor que no se autentiquen se descartarán. De forma<br />
predeterminada, para un determinado interlocutor BGP sólo se comprobarán el<br />
identificador de interlocutor y el número de AS.<br />
En el siguiente ejemplo configuraremos un interlocutor BGP con la dirección IP<br />
remota 1.1.1.250 en AS 65500. A continuación configuraremos el interlocutor para<br />
la autenticación MD5 utilizando la clave 1234567890123456.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65500<br />
Remote IP: 1.1.1.250<br />
> Configure (para IP remota 1.1.1.250): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Peer Authentication: Enable (seleccione)<br />
MD5 password: 1234567890123456<br />
Peer Enabled: (seleccione)<br />
CLI<br />
set vrouter trust-vr<br />
(trust-vr)-> set protocol bgp<br />
(trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500<br />
(trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456<br />
(trust-vr/bgp)-> set neighbor 1.1.1.250 enable<br />
(trust-vr/bgp)-> exit<br />
(trust-vr)-> exit<br />
save<br />
En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada<br />
(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El<br />
enrutador puede descartar los paquetes, causando una interrupción en el servicio, o<br />
puede eliminar información crítica de los paquetes antes de reenviarlos. En los<br />
dispositivos de seguridad, BGP acepta en principio cualquier ruta predeterminada<br />
enviada por interlocutores BGP y agrega la ruta predeterminada a la tabla de rutas.<br />
En este ejemplo, configurará la instancia de enrutamiento BGP que se está<br />
ejecutando en el trust-vr para que no tenga en cuenta las rutas predeterminadas<br />
enviadas por interlocutores BGP.
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Configuraciones opcionales de BGP<br />
Ignore default route from peer: (seleccione)<br />
set vrouter trust-vr protocol bgp reject-default-route<br />
save<br />
En esta sección se describen los parámetros que se pueden configurar para el<br />
protocolo de enrutamiento BGP en el enrutador virtual. Es posible configurarlos con<br />
los comandos contextuales BGP de la interfaz de línea de comandos o con la<br />
WebUI. En esta sección también se muestran algunas de las configuraciones de<br />
parámetros más complejas.<br />
La Tabla 14 describe los parámetros de BGP y sus valores predeterminados.<br />
Tabla 14: Parámetros opcionales de BGP y sus valores predeterminados<br />
Parámetro del protocolo<br />
BGP Descripción Valor predeterminado<br />
Advertise default route Notifica la ruta predeterminada en el<br />
enrutador virtual a interlocutores BGP.<br />
Aggregate Crea rutas agregadas. Consulte “Agregar<br />
rutas” en la página 132.<br />
La ruta predeterminada<br />
no se notifica<br />
Desactivado<br />
Always compare MED Compara los valores MED de las rutas. Desactivado<br />
AS path access list Crea una lista de acceso a rutas AS para<br />
permitir o denegar rutas.<br />
—<br />
Community list Crea listas de comunidades. Consulte<br />
“Comunidades BGP” en la página 131.<br />
—<br />
AS confederation Crea confederaciones. Consulte<br />
“Configurar una confederación” en la<br />
página 130.<br />
—<br />
Equal cost multipath<br />
(ECMP)<br />
Se pueden agregar rutas múltiples de igual<br />
coste para proporcionar equilibrio de<br />
cargas. Consulte “Configurar el<br />
enrutamiento de rutas múltiples de igual<br />
coste” en la página 37.<br />
Flap damping Bloquea las notificaciones de una ruta<br />
hasta que es estable.<br />
Hold time Tiempo transcurrido sin que lleguen<br />
mensajes de un interlocutor antes de que<br />
se considere fuera de servicio.<br />
Keepalive Tiempo entre transmisiones de<br />
mantenimiento de conexión (keepalive).<br />
Local preference Configura la métrica de LOCAL_PREF. 100<br />
MED Configura el valor de atributo MED. 0<br />
Desactivado<br />
(predeterminado = 1)<br />
Desactivado<br />
180 segundos<br />
1/3 del tiempo de<br />
espera (hold-time)<br />
Configuraciones opcionales de BGP 121
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Redistribuir rutas en BGP<br />
122 Configuraciones opcionales de BGP<br />
Parámetro del protocolo<br />
BGP Descripción Valor predeterminado<br />
Network Agrega entradas estáticas de red y de<br />
subred en BGP. BGP anuncia estas rutas<br />
estáticas a todos los interlocutores BGP.<br />
Consulte “Agregar rutas a BGP” en la<br />
página 124.<br />
Route redistribution Importa rutas a BGP desde otros<br />
protocolos de enrutamiento.<br />
Reflector Configura la instancia BGP local como<br />
reflector de rutas para clientes. Consulte<br />
“Configuración de la reflexión de rutas”<br />
en la página 127.<br />
Reject default route No tiene en cuenta las notificaciones de<br />
ruta predeterminada procedentes de los<br />
interlocutores BGP.<br />
Retry time Tiempo que debe transcurrir desde un<br />
establecimiento de sesión BGP fallido con<br />
un interlocutor para que se vuelva a<br />
intentar establecer la sesión.<br />
Synchronization Permite la sincronización con un<br />
protocolo de puerta de enlace interior,<br />
como OSPF o RIP.<br />
La redistribución de rutas es el intercambio de información sobre rutas entre<br />
protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos<br />
de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual:<br />
Rutas reconocidas por OSPF o RIP<br />
Rutas conectadas directamente<br />
Rutas importadas<br />
Rutas configuradas estáticamente<br />
Cuando se configura la redistribución de rutas, primero se debe especificar un<br />
mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más<br />
información sobre la creación de mapas de rutas para la redistribución, consulte el<br />
Capítulo 2, “<strong>Enrutamiento</strong>.”<br />
En el siguiente ejemplo redistribuirá en el dominio de enrutamiento BGP actual una<br />
ruta originada en un dominio de enrutamiento OSPF. Tanto en el ejemplo de la<br />
WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de<br />
rutas llamado add-ospf.<br />
—<br />
—<br />
Desactivado<br />
Las rutas<br />
predeterminadas de los<br />
interlocutores se<br />
agregan a la tabla de<br />
enrutamiento<br />
12 segundos<br />
Desactivado
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add:<br />
Route Map: add-ospf<br />
Protocol: OSPF<br />
Configurar una lista de acceso AS-Path<br />
CLI<br />
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf<br />
save<br />
El atributo AS-path contiene una lista de sistemas autónomos (AS) que atraviesa una<br />
ruta determinada. BGP añade el número de AS local al atributo AS-path cuando una<br />
ruta pasa por el AS. Para filtrar rutas de acuerdo con la información de AS-path es<br />
posible utilizar una lista de acceso AS-path. Esta lista está formada por un conjunto<br />
de expresiones regulares que definen la información de ruta del sistema autónomo<br />
e indican si las rutas que coinciden con esa información se deben permitir o<br />
denegar. Por ejemplo, podemos utilizar una lista de acceso AS-path para filtrar rutas<br />
que han pasado por un AS determinado o rutas que proceden de un AS.<br />
Las expresiones regulares son un método para definir la búsqueda de un patrón<br />
específico en el atributo AS-path. Es posible utilizar símbolos y caracteres especiales<br />
para construir una expresión regular. Por ejemplo, para buscar rutas que hayan<br />
pasado por AS 65000, puede utilizar la expresión regular _65000_ (los guiones<br />
bajos equivalen a un número cualquiera de caracteres delante o detrás de 65000).<br />
También puede utilizar la expresión regular “65000$” para buscar rutas originadas<br />
en AS 65000 (el signo de dólar indica el final del atributo AS-path, que podría ser el<br />
AS donde se originó la ruta).<br />
En el siguiente ejemplo configuraremos una lista de acceso AS-path para el trust-vr<br />
que permitirá las rutas que hayan pasado por AS 65000, pero no las que hayan sido<br />
originadas en AS 65000.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP<br />
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:<br />
AS Path Access List ID: 2<br />
Deny: (seleccione)<br />
AS Path String: 65000$<br />
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP<br />
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:<br />
AS Path Access List ID: 2<br />
Permit: (seleccione)<br />
AS Path String: _65000_<br />
CLI<br />
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$<br />
set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_<br />
save<br />
Configuraciones opcionales de BGP 123
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Agregar rutas a BGP<br />
124 Configuraciones opcionales de BGP<br />
Para permitir que el BGP notifique las rutas de red, es necesario redistribuir las rutas<br />
desde el protocolo de origen al protocolo de notificación (BGP) en el mismo<br />
enrutador virtual (VR). También puede agregar rutas estáticas directamente en BGP.<br />
Si el prefijo de red es accesible desde el VR, el BGP anuncia esta ruta a los<br />
interlocutores sin exigir que la ruta esté redistribuida en BGP. Al agregar un prefijo<br />
de red en BGP, puede especificar varias opciones:<br />
Seleccionando “Yes” en la opción de comprobación de accesibilidad, puede<br />
especificar si desde el VR debe ser accesible un prefijo de red diferente antes de<br />
que BGP anuncie la ruta a los interlocutores. Por ejemplo, si el prefijo que desea<br />
que el BGP anuncie se debe alcanzar a través de una interfaz de enrutador<br />
específica, asegúrese de que la interfaz del enrutador sea accesible antes de<br />
que el BGP anuncie la red a los interlocutores. Si la interfaz del enrutador que<br />
especifique es accesible, BGP anuncia la ruta a sus interlocutores. Si la<br />
interfaz del enrutador que especifique no es accesible, la ruta no se agregará<br />
al BGP y, consecuentemente, no se notificará a los interlocutores del BGP. Si la<br />
interfaz del enrutador que especifique deja de ser accesible, el BGP retira la<br />
ruta a sus interlocutores.<br />
Seleccionando “No” en la opción de comprobación de accesibilidad, puede<br />
especificar que el prefijo de red sea anunciado tanto si es accesible desde el VR<br />
como si no. De forma predeterminada, el prefijo de red debe ser accesible<br />
desde el VR antes de que el BGP anuncie la ruta a los interlocutores. Si habilita<br />
la comprobación de accesibilidad, la ruta se puede conectar.<br />
Puede asignar un peso al prefijo de la red. El peso es un atributo que se<br />
puede asignar localmente a una ruta; no se anuncia a los interlocutores. Si<br />
existe más de una ruta hacia un destino, tiene prioridad la ruta con el valor<br />
de peso más alto.<br />
Puede establecer los atributos de la ruta tomándolos de un mapa de rutas<br />
(consulte “Configurar un mapa de rutas” en la página 40). El BGP anuncia la<br />
ruta con los atributos de ruta especificados en el mapa de rutas.<br />
Notificar ruta condicional<br />
En el ejemplo siguiente, agregará una ruta estática a la red 4.4.4.0/24. Especificará<br />
que la interfaz del enrutador 5.5.5.0/24 debe ser accesible desde el enrutador<br />
virtual para que el BGP pueda anunciar la ruta 4.4.4.0/24 a los interlocutores. Si no<br />
es posible acceder a la red 5.5.5.0.24, BGP no notificará la red 4.4.4.0/24. Consulte<br />
la Figura 18.
Figura 18: Ejemplo de notificación de ruta BGP condicional<br />
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > <strong>Networks</strong>: Introduzca los siguientes datos y haga clic en Add:<br />
CLI<br />
4.4.4.0/24<br />
5.5.5.0/24<br />
IP/Netmask: 4.4.4.0/24<br />
Check Reachability:<br />
Yes: (seleccione), 5.5.5.0/24<br />
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24<br />
save<br />
Establecer el peso de la ruta<br />
En el ejemplo siguiente establecerá un valor de 100 para el peso de la ruta<br />
4.4.4.0/24. (Puede especificar un valor de peso entre 0 y 65535).<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > <strong>Networks</strong>: Introduzca los siguientes datos y haga clic en Add:<br />
IP/Netmask: 4.4.4.0/24<br />
Weight: 100<br />
CLI<br />
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100<br />
save<br />
Establecer atributos de ruta<br />
Internet<br />
La ruta a 4.4.4.0/24 sólo se anuncia si<br />
5.5.5.0/24 está accesible.<br />
En el ejemplo siguiente configurará un comando setattr del mapa de ruta que<br />
establecerá la métrica de la ruta en 100. A continuación, configurará una ruta<br />
estática en BGP que utilice el setattr del mapa de la ruta. (No es necesario<br />
establecer el mapa de la ruta de forma que coincida con el prefijo de red de<br />
la entrada de la ruta).<br />
Configuraciones opcionales de BGP 125
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
126 Configuraciones opcionales de BGP<br />
WebUI<br />
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: setattr<br />
Sequence No.: 1<br />
Action: Permit (seleccione)<br />
Set Properties:<br />
Metric: (seleccione), 100<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > <strong>Networks</strong>: Introduzca los siguientes datos y haga clic en Add:<br />
IP/Netmask: 4.4.4.0/24<br />
Route Map: setattr (seleccione)<br />
CLI<br />
set vrouter trust-vr route-map name setattr permit 1<br />
set vrouter trust-vr route-map setattr 1 metric 100<br />
set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr<br />
save<br />
Capacidad de enrutamiento-actualización<br />
La característica de enrutamiento-actualización de BGP definida en RFC 2918 ofrece<br />
un mecanismo de restablecimiento liviano que permite el intercambio dinámico<br />
de información sobre enrutamiento y solicitudes de actualización de rutas entre<br />
los interlocutores de BGP y la nueva notificación de la tabla de enrutamiento<br />
entrante y saliente.<br />
Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas<br />
podrían afectar a las actualizaciones de la tabla de enrutamiento entrante o saliente<br />
ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra<br />
en vigencia únicamente después de que se restablece la sesión BGP. Una sesión<br />
BPG se puede borrar al efectuar un restablecimiento liviano o abrupto.<br />
NOTA: Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas se<br />
interrumpen y seguidamente vuelven a restablecerse.<br />
Un restablecimiento liviano permite que se aplique una directiva nueva<br />
o modificada sin borrar una sesión BGP activa. La característica de<br />
enrutamiento-actualización permite que se realice un restablecimiento liviano<br />
por vecino y no requiere configuración previa o memoria adicional.<br />
Un restablecimiento liviano entrante y dinámico se utiliza para generar<br />
actualizaciones entrantes de un vecino. Un restablecimiento liviano saliente<br />
se utiliza para enviar un nuevo conjunto de actualizaciones a un vecino. Los<br />
restablecimientos salientes no requieren configuración previa o almacenamiento<br />
de las actualizaciones de la tabla de enrutamiento.
Capítulo 5: Protocolo BGP<br />
La característica de enrutamiento y actualización requiere que ambos interlocutores<br />
BGP notifiquen el soporte de la característica de enrutamiento-actualización en el<br />
mensaje de apertura (OPEN). Si el método de enrutamiento-actualización se<br />
negocia satisfactoriamente, cualquier interlocutor BGP puede utilizar la<br />
característica de enrutamiento-actualización para solicitar información<br />
completa sobre el enrutamiento desde el otro extremo.<br />
NOTA: Los administradores utilizan el comando get neighbor dir_ip para verificar si se<br />
negoció la capacidad de enrutamiento-actualización. El comando también<br />
muestra contadores, como el número de veces en que se envió o recibió la<br />
solicitud de enrutamiento-actualización.<br />
Solicitar una actualización de la tabla de enrutamiento entrante<br />
En este ejemplo, usted solicita que se envíe la tabla de enrutamiento entrante del<br />
intelocutor vecino en 10.10.10.10 al trust-vr del interlocutor BGP local utilizando el<br />
comando soft-in.<br />
NOTA: Si la característica de enrutamiento-actualización no está disponible, el comando<br />
lanza una excepción cuando el administrador intenta utilizarla.<br />
Configuración de la reflexión de rutas<br />
WebUI<br />
Esta característica no está disponible en WebUI.<br />
CLI<br />
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in<br />
Solicitar una actualización de la tabla de enrutamiento saliente<br />
En este ejemplo, usted envía la tabla de enrutamiento completa para trust-vr a<br />
través de las actualizaciones del interlocutor BGP local al interlocutor vecino en<br />
10.10.10.10 utilizando el comando soft-out.<br />
WebUI<br />
Esta característica no está disponible en WebUI.<br />
CLI<br />
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-out<br />
Como un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor<br />
IBGP a otro interlocutor IBGP (consulte “BGP externo e interno” en la página 111),<br />
es necesaria una malla completa de sesiones IBGP, donde cada enrutador en un AS<br />
BGP será interlocutor de todos los demás enrutadores del AS.<br />
NOTA: Una malla completa no implica que cada par de enrutadores esté conectado<br />
directamente, sino que cada enrutador tiene que ser capaz de establecer y<br />
mantener una sesión IBGP con cada uno de los demás enrutadores.<br />
Configuraciones opcionales de BGP 127
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
128 Configuraciones opcionales de BGP<br />
Una configuración de malla completa en las sesiones IBGP puede presentar<br />
problemas de ampliación. Por ejemplo, en un AS con 8 enrutadores, cada uno de<br />
los 8 enrutadores necesitaría intercomunicarse con los otros 7 enrutadores, lo que<br />
puede calcularse con esta fórmula:<br />
Para un AS con 8 enrutadores, el número de sesiones IBGP de malla completa<br />
sería de 28.<br />
La reflexión de rutas es un método para solucionar el problema de escalabilidad<br />
IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas<br />
reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando así la<br />
necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman<br />
un clúster, que se puede identificar por medio de una ID de clúster. Los enrutadores<br />
fuera de ese clúster lo consideran una única entidad, en lugar de intercomunicarse<br />
de forma independiente con cada enrutador en malla completa. De esta forma se<br />
reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector,<br />
mientras que éste refleja rutas entre clientes.<br />
El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como<br />
reflector de rutas y se le puede asignar una identificación de clúster. Si especifica<br />
una identificación de clúster, la instancia de enrutamiento de BGP añade la<br />
identificación del clúster al atributo Cluster-List de una ruta. La ID de clúster<br />
contribuye a evitar la formación de bucles, puesto que la instancia de enrutamiento<br />
de BGP local descarta una ruta cuando su ID de clúster aparece en la lista de<br />
clústeres de la ruta.<br />
NOTA: Antes de poder configurar una ID de clúster, es necesario inhabilitar la instancia de<br />
enrutamiento de BGP.<br />
Después de configurar un reflector de rutas en el enrutador virtual local, se definen<br />
los clientes del reflector. Es posible especificar direcciones IP individuales o un<br />
grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna<br />
configuración en los clientes.<br />
En el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3.<br />
Sin reflexión de rutas, el cliente 3 notificará la ruta al dispositivo-A, pero el<br />
dispositivo-A no notificará esa ruta nuevamente a los clientes 1 y 2. Si configura el<br />
dispositivo-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 como sus<br />
clientes, el dispositivo-A notificará las rutas recibidas del cliente 3 a los clientes 1 y<br />
2. Consulte Figura 19.
Figura 19: Ejemplo de reflexión de rutas BGP<br />
Número del<br />
sistema<br />
autónomo<br />
Cliente 1<br />
ID del enrutador<br />
1.1.3.250<br />
Cliente 2<br />
ID del enrutador<br />
1.1.4.250<br />
AS 65000<br />
Dispositivo-A<br />
ID del enrutador<br />
del reflector de<br />
rutas 1.1.1.250<br />
Cliente 3<br />
ID del enrutador<br />
1.1.1.250<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance: Introduzca los siguientes datos y haga clic en Apply:<br />
Route reflector: Enable<br />
Cluster ID: 99<br />
> Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 1.1.2.250<br />
Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 1.1.3.250<br />
Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 1.1.4.250<br />
Sistemas autónomos<br />
ID del enrutador<br />
2.2.2.250<br />
Ruta de<br />
notificación de<br />
interlocutor EBGP<br />
a 5.5.5.0/24<br />
Capítulo 5: Protocolo BGP<br />
AS 65500<br />
> Configure (para IP remota 1.1.2.250): Seleccione Reflector Client, luego<br />
haga clic OK.<br />
> Configure (para remota IP 1.1.3.250): Seleccione Reflector Client, luego<br />
haga clic OK.<br />
> Configure (para remota IP 1.1.4.250): Seleccione Reflector Client, luego<br />
haga clic OK.<br />
CLI<br />
set vrouter trust-vr protocol bgp reflector<br />
set vrouter trust-vr protocol bgp reflector cluster-id 99<br />
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client<br />
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 reflector-client<br />
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 remote-as 65000<br />
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 reflector-client<br />
save<br />
Número del<br />
sistema<br />
autónomo<br />
Configuraciones opcionales de BGP 129
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configurar una confederación<br />
Figura 20: Confederaciones BGP<br />
AS 65000 (confederación)<br />
Subsistema AS 65001<br />
IBGP<br />
130 Configuraciones opcionales de BGP<br />
Al igual que la reflexión de rutas (consulte “Configuración de la reflexión de rutas”<br />
en la página 127), las confederaciones ofrecen otra forma de resolver el problema de<br />
ampliación de las mallas completas en entornos IBGP y se describen en la norma<br />
RFC 1965. Una confederación divide un sistema autónomo en varios AS más<br />
pequeños, con cada subsistema autónomo funcionando como una red IBGP de<br />
malla completa. Cualquier enrutador fuera de la confederación verá la<br />
confederación completa como un único sistema autónomo con un solo<br />
identificador; las redes de los subsistemas no son visibles fuera de la confederación.<br />
Las sesiones entre enrutadores en dos subsistemas distintos de la misma<br />
confederación, conocidas como sesiones EIBGP, no son más que sesiones EBGP<br />
entre sistemas autónomos, pero en las que los enrutadores también intercambian<br />
información de enrutamiento como si fueran interlocutores IBGP. La Figura 20<br />
ilustra las confederaciones BGP.<br />
EBGP<br />
Subsistema AS 65002<br />
IBGP<br />
Subsistemas autónomos<br />
EBGP<br />
Sistemas autónomos<br />
Subsistema AS 65003<br />
Hay que especificar los siguientes datos por cada enrutador de una confederación:<br />
El número de subsistema autónomo (número de AS especificado cuando se<br />
crea la instancia de enrutamiento BGP).<br />
La confederación a la que pertenece el subsistema autónomo (número de AS<br />
visible para los enrutadores BGP fuera de la confederación).<br />
Los números de los otros subsistemas de la confederación.<br />
EBGP<br />
AS 65500<br />
Si la confederación admite las normas RFC 1965 (predeterminado) o RFC 3065<br />
NOTA: El atributo AS-Path (consulte “Atributos de ruta” en la página 111) se compone<br />
normalmente de una secuencia. Los ASs atravesados por la actualización de<br />
enrutamiento. La norma RFC 3065 permite que el atributo AS-Path incluya todos<br />
los AS que forman parte de la confederación local atravesados por la actualización<br />
de enrutamiento.<br />
La Figura 21 muestra el dispositivo de seguridad como un enrutador BGP en el<br />
subsistema autónomo 65003 que pertenece a la confederación 65000. Los otros<br />
subsistemas de la confederación 65000 son 65002 y 65003.<br />
IBGP
Figura 21: Ejemplo de configuración de confederación BGP<br />
Subsistema AS 65001<br />
Comunidades BGP<br />
AS 65000 (confederación)<br />
Subsistema AS 65002 Subsistema AS 65003<br />
Subsistemas autónomos<br />
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP<br />
Instance: Introduzca los siguientes datos y haga clic en Apply:<br />
AS Number (obligatorio): 65003<br />
> Confederation: Introduzca los siguientes datos y haga clic en Apply:<br />
Enable: (seleccione)<br />
ID: 65000<br />
Supported RFC: RFC 1965 (seleccione)<br />
Introduzca los siguientes datos y haga clic en Add:<br />
Peer member area ID: 65001<br />
Introduzca los siguientes datos y haga clic en Add:<br />
Peer member area ID: 65002<br />
> Parámetros: Seleccione BGP Enable<br />
CLI<br />
set vrouter trust-vr protocol bgp 65003<br />
set vrouter trust-vr protocol bgp confederation id 65000<br />
set vrouter trust-vr protocol bgp confederation peer 65001<br />
set vrouter trust-vr protocol bgp confederation peer 65002<br />
set vrouter trust-vr protocol bgp enable<br />
save<br />
Dispositivo de seguridad<br />
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados<br />
comunidades), que un enrutador BGP podrá después utilizar para controlar las rutas<br />
que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede<br />
agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o<br />
modificar las comunidades de una ruta (si ésta incluye el atributo de ruta<br />
Communities). Este atributo ofrece una técnica alternativa para distribuir<br />
información de rutas de acuerdo con los prefijos de direcciones IP o el atributo<br />
AS-path. Puede utilizar el atributo Communities de muchas formas, pero su<br />
principal objetivo es simplificar la configuración de directivas de enrutamiento en<br />
entornos de redes completos.<br />
Configuraciones opcionales de BGP 131
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Agregar rutas<br />
132 Configuraciones opcionales de BGP<br />
La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un<br />
administrador de AS puede asignar a una comunidad una serie de rutas que<br />
precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones<br />
coloreado de rutas. Por ejemplo, es posible asignar un valor de comunidad a las<br />
rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen<br />
acceso.<br />
Hay dos tipos de comunidades:<br />
Una comunidad específica está formada por un identificador de AS y un<br />
identificador de comunidad. Este último es definido por el administrador de<br />
AS.<br />
Una comunidad bien conocida implica un manejo especial de las rutas que<br />
contienen esos valores de comunidad. A continuación se muestran valores de<br />
comunidad bien conocida que se pueden especificar para las rutas BGP en el<br />
dispositivo de seguridad:<br />
no-export: las rutas con este atributo de ruta Communities no se notifican<br />
fuera de una confederación BGP.<br />
no-advertise: las rutas con este atributo de ruta Communities no se<br />
notifican a otros interlocutores BGP.<br />
no-export-subconfed: las rutas con este atributo de ruta Communities no<br />
se notifican a interlocutores EBGP.<br />
Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de<br />
una lista de comunidad especificada, eliminar o asignar atributos a las rutas,<br />
agregar comunidades a la ruta o eliminarlas de ella.<br />
Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a<br />
Internet a sus clientes, cada una de las rutas de esos clientes podrá recibir un<br />
número de comunidad específico. A continuación, esas rutas de clientes se<br />
notificarán a los ISPs vecinos. Las rutas de otros ISP recibirán otros números de<br />
comunidad y no se notificarán a los ISPc vecinos.<br />
La agregación es una técnica para resumir rangos de direcciones de enrutamiento<br />
(conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios<br />
parámetros opcionales que se pueden establecer al configurar una ruta agregada.<br />
Esta sección contiene ejemplos de configuración de rutas agregadas.<br />
Agregar rutas con diferentes AS-Paths<br />
Al configurar una ruta agregada, puede especificar que el campo AS-Set del atributo<br />
de ruta AS-Path de BGP incluya las rutas AS de todas las rutas contribuyentes. Para<br />
especificar esto, utilice la opción AS-Set en la configuración de rutas agregadas.<br />
NOTA: Si utiliza la opción AS-Set con una ruta agregada, un cambio en una ruta<br />
contribuyente puede provocar que el atributo de la ruta agregada también cambie.<br />
Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta<br />
cambiado.
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en<br />
Apply:<br />
Aggregate State: Enable (seleccione)<br />
IP/Netmask: 1.0.0.0/8<br />
AS-Set: (seleccione)<br />
CLI<br />
set vrouter trust protocol bgp<br />
set vrouter trust protocol bgp aggregate<br />
set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set<br />
set vrouter trust protocol bgp enable<br />
save<br />
NOTA: Debe habilitar la agregación de BGP antes de habilitar BGP.<br />
Suprimir las rutas más específicas en actualizaciones<br />
Al configurar una ruta agregada, puede especificar que las rutas más específicas<br />
(More-Specific) sean filtradas (excluidas) de las actualizaciones de enrutamiento.<br />
(Un interlocutor BGP prefiere una ruta más específica, si está anunciada, a una ruta<br />
agregada). Puede suprimir las rutas más específicas de cualquiera de estas dos<br />
maneras:<br />
Utilice la opción Summary-Only en la configuración de rutas agregadas para<br />
suprimir todas las rutas más específicas.<br />
Utilice la opción Supress-Map en la configuración de rutas agregadas para<br />
suprimir las rutas especificadas en un mapa de rutas.<br />
En el ejemplo siguiente, el BGP anuncia la ruta agregada 1.0.0.0/8, pero las rutas<br />
más específicas son excluidas mediante filtro de las actualizaciones de rutas<br />
salientes.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en<br />
Apply:<br />
Aggregate State: Enable (seleccione)<br />
IP/Netmask: 1.0.0.0/8<br />
Suppress Option: Summary-Only (seleccione)<br />
CLI<br />
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only<br />
save<br />
Configuraciones opcionales de BGP 133
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
134 Configuraciones opcionales de BGP<br />
En el ejemplo siguiente, filtrará las rutas del rango 1.2.3.0/24 para que sean<br />
eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello,<br />
primero configurará una lista de accesos que especifique las rutas a filtrar<br />
(1.2.3.0/24). A continuación, configurará un mapa de rutas ‘noadvert’ para permitir<br />
las rutas 1.2.3.0/24. Después configurará una ruta agregada 1.0.0.0/8 y especificará<br />
el mapa de ruta ‘noadvert’ como opción de supresión para las actualizaciones<br />
salientes.<br />
WebUI<br />
Network > Routing > Virtual Router > Access List (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 1<br />
Sequence No.: 777<br />
IP/Netmask: 1.2.3.0/24<br />
Action: Permit (seleccione)<br />
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: noadvert<br />
Sequence No.: 2<br />
Action: Permit (seleccione)<br />
Match Properties:<br />
Access List (seleccione), 1 (seleccione)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en<br />
Apply:<br />
Aggregate State: Enable (seleccione)<br />
IP/Netmask: 1.0.0.0/8<br />
Suppress Option: Route-Map (seleccione), noadvert (seleccione)<br />
CLI<br />
set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 777<br />
set vrouter trust-vr route-map name noadvert permit 2<br />
set vrouter trust-vr route-map noadvert 2 match ip 1<br />
set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert<br />
save<br />
Seleccionar rutas para el atributo Path<br />
Al configurar una ruta agregada, puede especificar qué rutas deben o no deben ser<br />
utilizadas para construir el atributo de ruta AS-Path del BGP de la ruta agregada.<br />
Utilice la opción Advertise-Map en la configuración de rutas agregadas para<br />
seleccionar las rutas. Puede utilizar esta opción con la opción AS-Set para<br />
seleccionar rutas anunciadas con el atributo AS-Set.<br />
En el ejemplo siguiente, configurará una ruta agregada 1.0.0.0/8 que se notificará<br />
con el atributo AS-Set. El atributo AS-Set anunciado consiste en todas las rutas más<br />
específicas que caigan en el rango de prefijo 1.5.0.0/16, pero no las rutas que<br />
caigan en el rango de prefijo 1.5.6.0/24; configurará los rangos de prefijo a incluir y<br />
excluir en el mapa de rutas “advertset”.
Capítulo 5: Protocolo BGP<br />
WebUI<br />
Network > Routing > Virtual Router > Access List (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 3<br />
Sequence No.: 888<br />
IP/Netmask: 1.5.6.0/24<br />
Action: Deny (seleccione)<br />
Network > Routing > Virtual Router > Access List (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 3<br />
Sequence No.: 999<br />
IP/Netmask: 1.5.0.0/16<br />
Action: Permit (seleccione)<br />
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: advertset<br />
Sequence No.: 4<br />
Action: Permit (seleccione)<br />
Match Properties:<br />
Access List (seleccione), 3 (seleccione)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en<br />
Apply:<br />
Aggregate State: Enable (seleccione)<br />
IP/Netmask: 1.0.0.0/8<br />
Advertise Map: advertset (seleccione)<br />
CLI<br />
set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888<br />
set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999<br />
set vrouter trust-vr route-map name advertset permit 4<br />
set vrouter trust-vr route-map advertset 4 match ip 3<br />
set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset<br />
save<br />
Cambiar atributos de una ruta agregada<br />
Al configurar una ruta agregada, puede establecer sus atributos basándose en un<br />
mapa de ruta especificado. En el ejemplo siguiente, configurará una ruta agregada<br />
1.0.0.0/8 que se notificará con la métrica 1111 en las actualizaciones salientes.<br />
WebUI<br />
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Map Name: aggmetric<br />
Sequence No.: 5<br />
Action: Permit (seleccione)<br />
Set Properties: (seleccione)<br />
Metric: 1111<br />
Configuraciones opcionales de BGP 135
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
136 Configuraciones opcionales de BGP<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP<br />
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en<br />
Apply:<br />
Aggregate State: Enable (seleccione)<br />
IP/Netmask: 1.0.0.0/8<br />
Attribute Map: aggmetric (seleccione)<br />
CLI<br />
set vrouter trust-vr route-map name aggmetric permit 5<br />
set vrouter trust-vr route-map aggmetric 5 metric 1111<br />
set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric<br />
save
Capítulo 6<br />
<strong>Enrutamiento</strong> multicast<br />
Vista general<br />
Este capítulo presenta los conceptos básicos sobre el enrutamiento multicast.<br />
Contiene las siguientes secciones:<br />
“Vista general” en esta página<br />
“Direcciones multicast” en la página 138<br />
“Reenviar rutas inversas” en la página 138<br />
“<strong>Enrutamiento</strong> multicast en dispositivos de seguridad” en la página 139<br />
“Tabla de enrutamiento multicast” en la página 139<br />
“Configurar una ruta multicast estática” en la página 140<br />
“Listas de acceso” en la página 141<br />
“Configurar el encapsulado genérico de enrutamiento en interfaces de<br />
túnel” en la página 141<br />
“Directivas multicast” en la página 143<br />
Las empresas utilizan el enrutamiento multicast para transmitir tráfico, como<br />
secuencias de datos o vídeo, desde un origen a un grupo de receptores<br />
simultáneamente. Cualquier host puede ser un origen, y los receptores pueden<br />
estar en cualquier punto de Internet.<br />
El enrutamiento IP multicast proporciona un método eficiente para reenviar tráfico<br />
a múltiples hosts, porque los enrutadores habilitados para multicast transmiten<br />
tráfico multicast solamente a los hosts que desean recibirlo. Los hosts deben<br />
señalizar su interés por recibir datos multicast y deben unirse a un grupo multicast<br />
para recibir los datos. Los enrutadores habilitados para multicast reenvían tráfico<br />
multicast solamente a los receptores interesados en recibirlo.<br />
Vista general 137
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Direcciones multicast<br />
Reenviar rutas inversas<br />
138 Vista general<br />
Los entornos de enrutamiento multicast requieren los siguientes elementos para<br />
reenviar información multicast:<br />
Un mecanismo entre hosts y enrutadores para comunicar información de<br />
miembros del grupo multicast. Los dispositivos de seguridad admiten las<br />
versiones 1, 2 y 3 de IGMP (Internet Group Management Protocol). Los<br />
enrutadores y hosts utilizan IGMP sólo para transmitir la información de<br />
miembros, no para reenviar ni enrutar tráfico multicast. (Para obtener<br />
información sobre IGMP, consulte el Capítulo 7, “Protocolo IGMP”).<br />
Un protocolo de enrutamiento multicast para alimentar la tabla de rutas<br />
multicast y reenviar datos a los hosts a través de la red. Los dispositivos de<br />
seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten Protocol Independent Multicast -<br />
Sparse Mode (PIM-SM) y Protocol Independent Multicast - Source Specific<br />
Multicast (PIM-SSM). (Para obtener información sobre PIM-SM y PIM-SSM,<br />
consulte el Capítulo 8, “Multicast independiente de protocolo (PIM)”).<br />
Alternativamente, puede utilizar la característica IGMP Proxy para reenviar<br />
tráfico multicast sin sobrecargar la CPU con la ejecución de un protocolo de<br />
enrutamiento multicast. (Para obtener información sobre IGMP Proxy, consulte<br />
“Proxy de IGMP” en la página 155).<br />
Las siguientes secciones presentan los conceptos básicos utilizados en el<br />
enrutamiento multicast.<br />
Cuando un origen envía tráfico multicast, la dirección de destino es una dirección<br />
del grupo multicast. Las direcciones del grupo multicast son direcciones de Clase D<br />
desde la 224.0.0.0 hasta la 239.255.255.255.<br />
Cuando un enrutador multicast recibe paquetes multicast, utiliza un proceso<br />
denominado reenvío por rutas inversas (“reverse path forwarding ” o RPF) para<br />
comprobar la validez de los paquetes. Antes de crear una ruta multicast, el<br />
enrutador realiza operaciones de búsqueda de rutas en la tabla de rutas unicast para<br />
comprobar si la interfaz en la cual recibió el paquete (interfaz de entrada) es la<br />
misma interfaz que debe utilizar para enviar los paquetes de vuelta al remitente. Si<br />
lo es, el enrutador crea la entrada de la ruta multicast y reenvía el paquete al<br />
enrutador del salto siguiente. Si no lo es, el enrutador descarta el paquete. Los<br />
enrutadores multicast no efectúan esta comprobación de RPF para rutas estáticas.<br />
La Figura 22 muestra el dispositivo de seguridad y el flujo de procesamiento de<br />
paquetes multicast.
Figura 22: Reenvío por rutas inversas<br />
Origen<br />
3.3.3.6<br />
enrutador<br />
externo<br />
1.1.1.250<br />
1. El paquete multicast<br />
procedente de 1.1.1.250<br />
llega a ethernet1.<br />
ethernet1<br />
1.1.1.1<br />
<strong>Enrutamiento</strong> multicast en dispositivos de seguridad<br />
Tabla de enrutamiento multicast<br />
2. El dispositivo de<br />
seguridad comprueba<br />
si la interfaz de<br />
entrada coincide con<br />
la de salida para los<br />
paquetes destinados<br />
al remitente.<br />
Consulta en la tabla de rutas<br />
DST IF GATE<br />
0.0.0.0 eth1 ---<br />
10.1.1.0 eth3 ---<br />
1.1.1.0 eth1 ---<br />
ethernet3<br />
10.1.1.1<br />
Capítulo 6: <strong>Enrutamiento</strong> multicast<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> tienen dos enrutadores virtuales<br />
predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente<br />
de enrutamiento independiente, con sus propias tablas de rutas unicast y<br />
multicast. (Para obtener información sobre tablas de rutas unicast, consulte el<br />
Capítulo 1, “<strong>Enrutamiento</strong> estático”). Cuando el dispositivo de seguridad recibe<br />
un paquete multicast entrante, realiza una consulta de rutas a través de la tabla<br />
de rutas multicast.<br />
La tabla de rutas multicast se alimentan con las rutas estáticas multicast o las rutas<br />
aprendidas a través de protocolo de enrutamiento multicast. El dispositivo de<br />
seguridad utiliza la información de la tabla de rutas multicast para reenviar tráfico<br />
multicast. Los dispositivos de seguridad mantienen una tabla de enrutamiento<br />
multicast para cada protocolo de enrutamiento de un enrutador virtual.<br />
La tabla de enrutamiento multicast contiene información específica sobre el<br />
protocolo de enrutamiento más la información siguiente:<br />
Cada entrada comienza con el estado de reenvío. El estado de reenvío puede<br />
tener uno de los siguientes formatos: (*, G) o (S, G). El formato (*, G) se<br />
denomina entrada “asterisco coma G”, donde el * se refiere a cualquier origen<br />
y G es una dirección de grupo multicast específica. El formato (S, G) se<br />
denomina entrada “S coma G”, donde S es la dirección IP de origen y G es la<br />
dirección del grupo multicast.<br />
Las interfaces de sentido ascendente y descendente.<br />
El vecino de reenvío por rutas inversas (RPF).<br />
3a. En caso afirmativo,<br />
enviar los paquetes<br />
multicast al destino.<br />
3b. En caso negativo, descartar el paquete.<br />
<strong>Enrutamiento</strong> multicast en dispositivos de seguridad 139
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
140 <strong>Enrutamiento</strong> multicast en dispositivos de seguridad<br />
A continuación se incluye un ejemplo de una tabla de enrutamiento multicast<br />
PIM-SM en el enrutador virtual trust-vr:<br />
trust-vr - PIM-SM routing table<br />
-----------------------------------------------------------------------------<br />
Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G<br />
Forward - F, Null - N , Negative Cache - E, Local Receivers - L<br />
SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S<br />
Turnaround Router - K<br />
-----------------------------------------------------------------------------<br />
Total PIM-SM mroutes: 2<br />
(*, 236.1.1.1) RP 20.20.20.10 00:06:24/- Flags: LF<br />
Zone : Untrust<br />
Upstream : ethernet1/2 State : Joined<br />
RPF Neighbor : local Expires : -<br />
Downstream :<br />
ethernet1/2 00:06:24/00:02:57 Join 0.0.0.0 FC<br />
(20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune<br />
Zone : Untrust<br />
Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust<br />
Upstream : ethernet1/1 State : Joined<br />
RPF Neighbor : local Expires : -<br />
Downstream :<br />
ethernet1/2 00:06:24/- Join 236.1.1.1 20.20.20.200 FC<br />
Configurar una ruta multicast estática<br />
Puede definir una ruta multicast estática desde un origen a un grupo multicast (S, G)<br />
o utilizar comodines tanto para el origen como para el grupo multicast, o para<br />
ambos. Las rutas multicast estáticas se utilizan típicamente para admitir el reenvío<br />
de datos multicast desde hosts pertenecientes a interfaces en modo “IGMP router<br />
proxy” a los enrutadores en sentido ascendente de las interfaces en el modo host<br />
de IGMP. (Para obtener información sobre IGMP Proxy, consulte “Proxy de IGMP”<br />
en la página 155). También puede utilizar rutas multicast estáticas para permitir el<br />
reenvío multicast entre dominios. Puede crear una ruta estática para una pareja (S,<br />
G) con cualquier interfaz de entrada o de salida. También puede crear una ruta<br />
estática y definir mediante comodines el origen o el grupo multicast, o ambos,<br />
indicando 0.0.0.0. Al configurar una ruta estática, también puede especificar la<br />
dirección del grupo multicast original y una dirección diferente para el grupo<br />
multicast en la interfaz saliente.<br />
En este ejemplo configurará una ruta multicast estática desde un origen con la<br />
dirección IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el<br />
dispositivo de seguridad para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1<br />
en la interfaz saliente.<br />
WebUI<br />
Network > Routing > MCast Routing > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source IP: 20.20.20.200<br />
MGroup: 238.1.1.1<br />
Incoming Interface: ethernet1 (seleccione)<br />
Outgoing Interface: ethernet3 (seleccione)<br />
Translated MGroup: 238.2.2.1
Listas de acceso<br />
CLI<br />
Capítulo 6: <strong>Enrutamiento</strong> multicast<br />
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1<br />
oif ethernet3 out-group 238.2.2.1<br />
save<br />
Una lista de acceso es una lista de declaraciones con la que se compara la ruta.<br />
Cada declaración especifica la dirección/máscara IP de un prefijo de red y el estado<br />
de reenvío (acepta o rechaza la ruta). En el enrutamiento multicast, una instrucción<br />
también puede contener una dirección de grupo multicast. En el enrutamiento<br />
multicast, usted crea listas de accesos para permitir tráfico multicast a<br />
determinados grupos o hosts multicast. Por lo tanto, el estado de la acción o del<br />
reenvío es siempre Permit. No se pueden crear listas de accesos para denegar<br />
ciertos grupos o hosts. (Para obtener información adicional sobre listas de accesos,<br />
consulte “Configurar una lista de acceso” en la página 42).<br />
Configurar el encapsulado genérico de enrutamiento en interfaces de túnel<br />
El encapsulado de paquetes multicast en paquetes unicast es un método común<br />
para transmitir paquetes multicast a través de una red no preparada para multicast<br />
y a través de túneles IPSec. La versión 1 del protocolo GRE (encapsulado genérico<br />
de enrutamiento, Generic Routing Encapsulation) es un mecanismo que encapsula<br />
cualquier tipo de paquete dentro de paquetes unicast IPv4. Los dispositivos de<br />
seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten GREv1 para encapsular paquetes IP en<br />
paquetes unicast IPv4. Para obtener información adicional sobre GRE, consulte<br />
RFC 1701, Generic Routing Encapsulation (GRE).<br />
En los dispositivos de seguridad, la encapsulación GRE se habilita en interfaces<br />
de túnel.<br />
NOTA: Puede habilitar GRE en una interfaz de túnel asociada a una interfaz de bucle<br />
invertido, siempre que la interfaz de bucle invertido se encuentre en la misma<br />
zona que la interfaz saliente. Para obtener más información sobre interfaces de<br />
bucle invertido, consulte “Interfaces de bucle invertido (loopback)” en la<br />
página 2-60.<br />
Si desea transmitir paquetes multicast a través de un túnel VPN IPSec entre un<br />
dispositivo de seguridad de <strong>Juniper</strong> <strong>Networks</strong> y un dispositivo o enrutador de otro<br />
fabricante, debe habilitar GRE.<br />
Los dispositivos de seguridad tienen limitaciones específicas de cada plataforma en<br />
cuanto al número de interfaces salientes a través de las cuales se pueden transmitir<br />
paquetes multicast. En grandes entornos de VPN radiales (“hub-and-spoke” o “cubo<br />
y radios”), en los que el dispositivo de seguridad es el cubo, se puede evitar esta<br />
limitación creando un túnel GRE entre el enrutador de sentido ascendente del<br />
dispositivo de seguridad situado en el “cubo” y los dispositivos de seguridad<br />
situados en los radios.<br />
<strong>Enrutamiento</strong> multicast en dispositivos de seguridad 141
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 23: GRE en interfaces de túnel<br />
Dispositivo-1<br />
142 <strong>Enrutamiento</strong> multicast en dispositivos de seguridad<br />
En la Figura 23, el enrutador-A se encuentra en sentido ascendente con respecto al<br />
Dispositivo-A. El enrutador-A tiene dos túneles GRE que terminan en Dispositivo-1 y<br />
Dispositivo-2. El Dispositivo-A está conectado al Dispositivo-1 y al Dispositivo-2 a<br />
través de túneles VPN. Antes de transmitir paquetes multicast, Enrutador-A primero<br />
los encapsula en paquetes unicast IPv4. El Dispositivo-A recibe estos paquetes<br />
como paquetes unicast y los envía al Dispositivo-1 y al Dispositivo-2.<br />
Dispositivo A<br />
Receptores<br />
Enrutador-A<br />
Origen<br />
Internet<br />
Túneles GRE<br />
Túneles VPN<br />
con GRE<br />
En este ejemplo, configurará la interfaz de túnel en Dispositivo-1. Ejecutará los<br />
pasos siguientes:<br />
1. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trust-vr.<br />
2. Habilitar la encapsulación de GRE en el tunnel.1.<br />
Receptores<br />
3. Especificar los puntos terminales local y remoto del túnel GRE.<br />
Dispositivo-2<br />
Este ejemplo muestra la configuración de GRE solamente para el dispositivo de<br />
seguridad. (Para obtener información sobre VPN, consulte el Volumen 5:<br />
Redes privadas virtuales.)
Directivas multicast<br />
Capítulo 6: <strong>Enrutamiento</strong> multicast<br />
WebUI<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga<br />
clic en Apply:<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interfaz: ethernet3 (trust-vr)<br />
Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
Encap: GRE (seleccione)<br />
Local Interface: ethernet3<br />
Destination IP: 3.3.3.1<br />
CLI<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
set interface tunnel.1 tunnel encap gre<br />
set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1<br />
save<br />
De forma predeterminada, los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> no<br />
permiten que el tráfico de control multicast, como mensajes IGMP o PIM, pase por<br />
dispositivos de seguridad. Para permitir tráfico de control multicast entre zonas,<br />
debe configurar una directiva multicast que especifique lo siguiente:<br />
Origen: La zona desde la que se inicia el tráfico<br />
Destino: La zona a la que se envía el tráfico<br />
Grupo Multicast: El grupo multicast cuyo tráfico de control multicast desea que<br />
el dispositivo de seguridad permita. Puede especificar uno de los siguientes:<br />
La dirección IP del grupo multicast<br />
Una lista de accesos que defina al grupo (o grupos) multicast a los que los<br />
hosts puedan unirse<br />
La palabra clave any, para permitir el tráfico de control multicast para<br />
cualquier grupo multicast<br />
Tráfico de control multicast: El tipo de mensaje de control multicast: mensajes<br />
IGMP o mensajes PIM. (Para obtener información sobre IGMP, consulte el<br />
Capítulo 7, “<strong>Enrutamiento</strong> multicast”. Para obtener información sobre PIM,<br />
consulte el Capítulo 8, “<strong>Enrutamiento</strong> multicast”).<br />
Directivas multicast 143
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
144 Directivas multicast<br />
Además, puede especificar lo siguiente:<br />
Dirección multicast traducida: El dispositivo de seguridad puede traducir una<br />
dirección del grupo multicast de una zona interna a una dirección distinta en la<br />
interfaz de salida. Para traducir una dirección de grupo, debe especificar tanto<br />
la dirección multicast original como la dirección del grupo multicast traducida<br />
en la directiva multicast.<br />
Bi-direccional: Puede crear una directiva bidireccional para aplicarla a ambos<br />
sentidos del tráfico.<br />
NOTA: Las directivas multicast solamente controlan el flujo del tráfico de control<br />
multicast. Para permitir el tráfico de datos (tanto unicast como multicast) entre<br />
zonas, debe configurar directivas de cortafuegos. (Para obtener información sobre<br />
directivas, consulte el Volumen 2: Fundamentos.)<br />
Las directivas multicast no se ordenan como las directivas de cortafuegos. De este<br />
modo, la directiva multicast más reciente no sobrescribe ninguna anterior en caso<br />
de conflicto. En lugar de ello, el dispositivo de seguridad selecciona la coincidencia<br />
más larga para resolver cualquier conflicto, igual que hacen otros protocolos de<br />
enrutamiento. Si encuentra una subred más pequeña que cumpla el criterio de<br />
búsqueda, utilizará esa directiva.<br />
NOTA: Para ver un ejemplo de configuración de una directiva multicast para mensajes<br />
IGMP, consulte “Crear una directiva de grupo multicast para IGMP” en la<br />
página 160. Para ver un ejemplo de configuración de una directiva multicast para<br />
mensajes PIM, consulte “Definir de una directiva de grupo multicast para PIM-SM”<br />
en la página 183.
Capítulo 7<br />
Protocolo IGMP<br />
Este capítulo describe el protocolo multicast Internet Group Management<br />
Protocol (IGMP) en dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>. Contiene<br />
las siguientes secciones:<br />
“Vista general” en la página 146<br />
“Hosts” en la página 147<br />
“Enrutadores multicast” en la página 148<br />
“IGMP en dispositivos de seguridad” en la página 149<br />
“Habilitar y deshabilitar IGMP en interfaces” en la página 149<br />
“Configurar una lista de accesos para grupos aceptados” en la página 150<br />
“Configurar IGMP” en la página 151<br />
“Verificar una configuración de IGMP” en la página 153<br />
“Parámetros operativos de IGMP” en la página 154<br />
“Proxy de IGMP” en la página 155<br />
“Configurar el proxy de IGMP” en la página 158<br />
“Configurar un proxy de IGMP en una interfaz” en la página 158<br />
“Directivas Multicast para configuraciones de IGMP y proxy de IGMP” en la<br />
página 160<br />
“Configurar un proxy del remitente de IGMP” en la página 167<br />
145
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Vista general<br />
146 Vista general<br />
El protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre<br />
hosts y enrutadores para establecer y mantener miembros de grupos multicast en<br />
una red. Los dispositivos de seguridad son compatibles con las siguientes versiones<br />
de IGMP:<br />
IGMPv1, según lo definido en RFC 1112, Host Extensions for IP Multicasting,<br />
define las operaciones básicas para miembros de grupos multicast.<br />
IGMPv2, según lo definido en RFC 2236, Internet Group Management Protocol,<br />
Versión 2, amplía la funcionalidad de IGMPv1.<br />
IGMPv3, según lo definido en RFC 3376, Internet Group Management Protocol,<br />
Versión 3, permite el filtrado de orígenes. Los hosts que ejecutan IGMPv3<br />
indican a qué grupos multicast desean unirse y desde qué orígenes esperan<br />
recibir tráfico multicast. IGMPv3 se requiere cuando “Protocol Independent<br />
Multicast” se ejecuta en el modo “Source-Specific Multicast” (PIM-SSM). (Para<br />
obtener información sobre PIM-SSM, consulte “PIM-SSM” en la página 180).<br />
IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener<br />
los miembros de grupos multicast. Los protocolos de enrutamiento multicast,<br />
como PIM, procesan la información de miembros IGMP, crean entradas en la tabla<br />
de enrutamiento multicast y reenvían tráfico multicast a los hosts a través de la red.
Hosts<br />
Figure 24: Ejemplo de IGMP<br />
Origen<br />
Internet<br />
Capítulo 7: Protocolo IGMP<br />
Los protocolos de<br />
enrutamiento multicast,<br />
tales como PIM-SM,<br />
alimentan la tabla de<br />
rutas multicast y<br />
reenvían datos a los<br />
hosts de toda la red.<br />
Hosts y enrutadores<br />
utilizan IGMP para<br />
intercambiar información<br />
de miembros del grupo<br />
multicast.<br />
Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts<br />
y enrutadores intercambian para mantener actualizada la información de<br />
miembro de grupos a través de la red. Los hosts y los enrutadores que ejecutan<br />
versiones más recientes de IGMP pueden convivir con los que ejecuten versiones<br />
de IGMP anteriores.<br />
Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como<br />
miembros en esos grupos. Los enrutadores aprenden cuáles hosts son miembros de<br />
grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 15<br />
describe los mensajes de IGMP que los hosts envían y el destino de los mensajes.<br />
Vista general 147
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Enrutadores multicast<br />
148 Vista general<br />
Tabla 15: Mensajes de host IGMP<br />
Versión de<br />
IGMP Mensaje de IGMP Destino<br />
IGMPv1 y v2 Un host envía un informe de miembro la primera vez que se<br />
une a un grupo multicast y periódicamente, una vez que ya<br />
es miembro del grupo. El informe de miembros indica a qué<br />
grupo multicast desea unirse el host.<br />
IGMPv3 Un host envía un informe de miembro la primera vez que se<br />
une a un grupo multicast y periódicamente, una vez que ya<br />
es miembro del grupo. El informe de miembro contiene la<br />
dirección multicast del grupo, el modo de filtrado, que es<br />
“include” o “exclude”, y una lista de orígenes. Si el modo de<br />
filtrado es include, los paquetes procedentes de las<br />
direcciones en la lista de origen se aceptan. Si el modo de<br />
filtrado es exclude, los paquetes procedentes de orígenes<br />
distintos de los de la lista son aceptados.<br />
IGMPv2 Un host envía un mensaje “Leave Group” cuando desea dejar<br />
el grupo multicast y dejar de recibir datos para ese grupo.<br />
Dirección IP del<br />
grupo multicast al<br />
que el host desea<br />
unirse<br />
224.0.0.22<br />
“all routers group”<br />
(224.0.0.2)<br />
Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros<br />
en su red local. Cada red selecciona un enrutador designado, denominado el<br />
consultador. Generalmente, hay un “consultador” por cada red. El consultador envía<br />
mensajes IGMP a todos los hosts de la red para solicitar información de miembros<br />
de grupo. Cuando los hosts responden con sus informes de miembros, los<br />
enrutadores toman la información de estos mensajes y actualizan su lista de<br />
miembros de grupos en cada interfaz. Los enrutadores IGMPv3 mantienen una lista<br />
que incluye la dirección del grupo multicast, el modo de filtrado (include o exclude)<br />
y la lista de orígenes.<br />
NOTA: Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador<br />
de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la<br />
dirección IP más baja de la red.<br />
La Tabla 16 describe los mensajes que un contestador envía y los destinos.
Tabla 16: Mensajes del consultador IGMP<br />
IGMP en dispositivos de seguridad<br />
Versión<br />
de IGMP Mensaje de IGMP Destino<br />
IGMPv1,<br />
v2 y v3<br />
IGMPv2 y<br />
v3<br />
Capítulo 7: Protocolo IGMP<br />
En algunos enrutadores, IGMP se habilita automáticamente cuando se habilita un<br />
protocolo de enrutamiento multicast. En dispositivos de seguridad de <strong>Juniper</strong><br />
<strong>Networks</strong>, debe habilitar explícitamente IGMP y un protocolo de enrutamiento<br />
multicast.<br />
Habilitar y deshabilitar IGMP en interfaces<br />
El consultador envía periódicamente consultas generales<br />
para solicitar la información de miembros de grupos.<br />
El consultador envía una consulta específica de grupo<br />
cuando recibe un mensaje Leave Group de IGMPv2 o un<br />
informe de miembros IGMPv3 que indique un cambio en<br />
los miembros del grupo. Si el consultador no recibe<br />
ninguna respuesta en un plazo especificado, asume que<br />
no hay miembros para ese grupo en su red local y deja de<br />
reenviar tráfico multicast a ese grupo.<br />
IGMPv3 El consultador envía una consulta group-and-source para<br />
verificar si hay algún receptor para ese grupo y origen<br />
concretos.<br />
De forma predeterminada, IGMP está inhabilitado en todas las interfaces. Debe<br />
habilitar IGMP en el modo enrutador en todas las interfaces que estén conectadas a<br />
hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta IGMPv2 de<br />
forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar<br />
IGMPv1, IGMPv2 y v3, o solamente IGMPv3.<br />
Habilitar IGMP en una interfaz<br />
En este ejemplo, habilitará IGMP en modo enrutador en la interfaz ethernet1 que<br />
está conectada con un host.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
CLI<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp enable<br />
save<br />
grupo “all hosts”<br />
(224.0.0.1)<br />
El grupo multicast que el<br />
host está abandonando.<br />
El grupo multicast que el<br />
host está abandonando.<br />
IGMP en dispositivos de seguridad 149
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
150 IGMP en dispositivos de seguridad<br />
Inhabilitar IGMP en una interfaz<br />
En este ejemplo, inhabilitará IGMP en la interfaz ethernet1. El dispositivo de<br />
seguridad mantiene la configuración de IGMP, pero la inhabilita.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol<br />
IGMP Enable, luego haga clic en Apply.<br />
CLI<br />
unset interface ethernet1 protocol igmp enable<br />
save<br />
Para borrar la configuración de IGMP ejecute el comando unset interface interfaz<br />
protocol igmp router.<br />
Configurar una lista de accesos para grupos aceptados<br />
Hay algunos aspectos de seguridad que debe considerar al ejecutar IGMP. Los<br />
usuarios malévolos pueden ejecutar consultas IGMP, informes de miembros y dejar<br />
mensajes. En los dispositivos de seguridad, puede restringir el tráfico multicast sólo<br />
a los hosts y grupos multicast conocidos. Además, también puede especificar los<br />
consultadores permitidos en su red. Estas restricciones se establecen creando listas<br />
de accesos y aplicándolas a una interfaz.<br />
Una lista de accesos es una lista secuencial de instrucciones que especifican una<br />
dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de<br />
accesos siempre deben tener un estado de reenvío “permit” y deben especificar<br />
uno de los siguientes:<br />
grupos multicast a los que los hosts pueden unirse<br />
hosts desde los que la interfaz del enrutador IGMP puede recibir<br />
mensajes IGMP<br />
Consultadores desde los que la interfaz del enrutador de IGMP puede<br />
recibir mensajes IGMP<br />
Después de crear una lista de accesos, aplíquela a una interfaz. Una vez aplicada<br />
una lista de accesos a una interfaz, ésta acepta tráfico solamente de los indicados<br />
en su lista de accesos. Por lo tanto, para denegar tráfico procedente de un<br />
determinado grupo, host o consultador multicast, simplemente exclúyalo de la lista<br />
de accesos. (Para obtener información adicional sobre listas de accesos, consulte<br />
“Configurar una lista de acceso” en la página 42).<br />
En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de accesos<br />
especifica lo siguiente:<br />
La identificación de la lista de accesos es 1<br />
Permitir el tráfico a un grupo multicast 224.4.4.1/32<br />
El número secuencial de esta instrucción es 1<br />
Después de crear la lista de accesos, permita que los hosts en ethernet1 se unan al<br />
grupo multicast especificado en la lista de accesos.
Configurar IGMP<br />
Capítulo 7: Protocolo IGMP<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Access List ID: 1<br />
Sequence No.: 1<br />
IP/Netmask: 224.4.4.1/32<br />
Action: Permit (seleccione)<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Accept Group’s Access List ID: 1<br />
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1<br />
set interface ethernet1 protocol igmp accept groups 1<br />
save<br />
Para ejecutar IGMP en un dispositivo de seguridad de <strong>Juniper</strong> <strong>Networks</strong>,<br />
simplemente habilítelo en modo enrutador en las interfaces que están conectadas<br />
directamente con los hosts. Para garantizar la seguridad de la red, utilice las listas<br />
de accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores<br />
multicast conocidos.<br />
En la Figura 25, los hosts de la zona Trust protegida por el dispositivo de seguridad<br />
NS1 son receptores potenciales del flujo multicast procedente del origen en la zona<br />
Untrust. Las interfaces ethernet1 y ethernet2 están conectadas con los hosts. El<br />
origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los<br />
pasos siguientes para configurar IGMP en las interfaces que están conectadas con<br />
los hosts:<br />
1. Asigne direcciones IP a las interfaces y asócielas a zonas.<br />
2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.<br />
3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2.<br />
4. Restrinja las interfaces (ethernet1 y ethernet2) a recibir mensajes IGMP para el<br />
grupo multicast 224.4.4.1/32.<br />
IGMP en dispositivos de seguridad 151
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 25: Ejemplo de configuración de IGMP<br />
Origen<br />
Enrutador<br />
designado<br />
de origen<br />
Zona Untrust<br />
WebUI<br />
152 IGMP en dispositivos de seguridad<br />
ethernet3<br />
1.1.1.1/24<br />
NS1<br />
1. Zonas e interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
IP Address/Netmask: 10.1.1.1/24<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
IP Address/Netmask: 10.1.2.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
IP Address/Netmask: 1.1.1.1/24<br />
2. Lista de accesos<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 1<br />
Sequence No.: 1<br />
IP/Netmask: 224.4.4.1/32<br />
Action: Permit<br />
3. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Accept Group’s Access List ID: 1<br />
ethernet1<br />
10.1.1.1/24<br />
ethernet 2<br />
10.1.2.1/24<br />
Zona Trust<br />
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:
CLI<br />
Verificar una configuración de IGMP<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Accept Group’s Access List ID: 1<br />
1. Zonas e interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet2 zone trust<br />
set interface ethernet2 ip 10.2.1.1/24<br />
2. Lista de accesos<br />
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1<br />
3. IGMP<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp accept groups 1<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet2 protocol igmp router<br />
set interface ethernet2 protocol igmp accept groups 1<br />
set interface ethernet2 protocol igmp enable<br />
save<br />
Capítulo 7: Protocolo IGMP<br />
Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un<br />
protocolo de enrutamiento multicast, como PIM, para reenviar tráfico multicast.<br />
(Para obtener información sobre PIM, consulte el Capítulo 8, “Multicast<br />
independiente de protocolo (PIM)”).<br />
Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando<br />
correctamente, existe una serie de comandos exec y get.<br />
Para enviar consultas generales o específicas de grupos a una interfaz en<br />
particular, utilice el comando exec igmp interface interfaz query. Por ejemplo,<br />
para enviar una consulta general desde ethernet2, introduzca:<br />
exec igmp interface ethernet2 query<br />
Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast<br />
224.4.4.1, introduzca:<br />
exec igmp interface ethernet2 query 224.4.4.1<br />
Para enviar un informe de miembros de una interfaz en particular, utilice el<br />
comando exec igmp interface interfaz report. Por ejemplo, para enviar un<br />
informe de miembros desde ethernet2 introduzca:<br />
exec igmp interface ethernet2 report 224.4.4.1<br />
Puede revisar los parámetros IGMP de una interfaz ejecutando el comando<br />
siguiente:<br />
ns-> get igmp interface<br />
Interface trust support IGMP version 2 router. It is enabled.<br />
IGMP proxy is disabled.<br />
Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier.<br />
IGMP en dispositivos de seguridad 153
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
154 IGMP en dispositivos de seguridad<br />
There are 0 multicast groups active.<br />
Inbound Router access list number: not set<br />
Inbound Host access list number: not set<br />
Inbound Group access list number: not set<br />
query-interval: 125 seconds<br />
query-max-response-time 10 seconds<br />
leave-interval 1 seconds<br />
last-member-query-interval 1 seconds<br />
Este resultado detalla la siguiente información:<br />
Versión de IGMP (2)<br />
Estado del consultador (I am the querier).<br />
Parámetros Set y unset<br />
Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI:<br />
ns-> get igmp group<br />
Parámetros operativos de IGMP<br />
total groups matched: 1<br />
multicast group interface last reporter expire ver<br />
*224.4.4.1 trust 0.0.0.0 ------ v2<br />
Al habilitar IGMP en modo de enrutador en una interfaz, la interfaz se inicia como<br />
consultador. Como consultador, la interfaz utiliza ciertos ajustes predeterminados<br />
que usted puede modificar. Cuando establece parámetros en este nivel, esto afecta<br />
únicamente la interfaz que especifica. La Tabla 17 detalla los parámetros de interfaz<br />
del contestador de IGMP y sus valores predeterminados.<br />
Tabla 17: Parámetros de la interfaz del consultador de IGMP y valores predeterminados<br />
Parámetros de<br />
la interfaz<br />
IGMP Descripción<br />
General query<br />
interval<br />
Maximum<br />
response time<br />
Last Member<br />
Query Interval<br />
El intervalo en el cual la interfaz consultadora envía<br />
consultas generales al grupo “all hosts” (224.0.0.1).<br />
El tiempo máximo entre una consulta general y la<br />
respuesta procedente del host.<br />
El intervalo en el que la interfaz envía una consulta<br />
específica de grupo. Si no recibe ninguna respuesta<br />
después de la segunda consulta específica de grupo,<br />
asume que no hay más miembros en ese grupo en su red<br />
local.<br />
Valor<br />
predeterminado<br />
125 segundos<br />
10 segundos<br />
1 segundo<br />
De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente<br />
acepta paquetes IGMP con la opción router-alert IP, y descarta los paquetes que no<br />
tienen esta opción. Los paquetes IGMPv1 no tienen esta opción y, por lo tanto, un<br />
dispositivo de seguridad que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de<br />
forma predeterminada. Puede configurar el dispositivo de seguridad para dejar de
Proxy de IGMP<br />
Capítulo 7: Protocolo IGMP<br />
comprobar si los paquetes IGMP contienen la opción router-alert IP y aceptar todos<br />
los paquetes IGMP, haciéndolo compatible con versiones anteriores de enrutadores<br />
IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los<br />
paquetes IGMP:<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
CLI<br />
Packet Without Router Alert Option: Permit (seleccione)<br />
set interface ethernet1 protocol igmp no-check-router-alert<br />
save<br />
Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no<br />
reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces<br />
de un dispositivo de seguridad de <strong>Juniper</strong> <strong>Networks</strong> reenvíen mensajes IGMP un<br />
salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP<br />
permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el<br />
origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast.<br />
Al ejecutar IGMP proxy en un dispositivo de seguridad, las interfaces conectadas<br />
con los hosts funcionan como enrutadores y las conectadas con enrutadores de<br />
niveles superiores funcionan como hosts.Típicamente, las interfaces de hosts y<br />
enrutadores están en zonas diferentes. Para permitir que los mensajes de IGMP<br />
pasen entre zonas, debe configurar una directiva multicast. A continuación, para<br />
permitir que el tráfico de datos multicast pase entre zonas, también debe configurar<br />
una directiva del cortafuegos.<br />
En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una<br />
interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados. A<br />
continuación, cree una directiva multicast para permitir tráfico de control multicast<br />
entre los dos sistemas virtuales. (Para obtener más información acerca de los<br />
sistemas virtuales, consulte el Volumen 5: Redes privadas virtuales).<br />
Mientras las interfaces reenvían información de miembros IGMP, crean entradas en<br />
la tabla de rutas multicast del enrutador virtual al que están asociadas las interfaces,<br />
construyendo un árbol de distribución multicast desde los receptores hasta el<br />
origen. Las siguientes secciones describen cómo las interfaces de hosts y<br />
enrutadores IGMP reenvían la información de miembros de IGMP en sentido<br />
ascendente hacia el origen, y cómo reenvían datos multicast en sentido<br />
descendente desde el origen hasta el receptor.<br />
Proxy de IGMP 155
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Informes de miembros en sentido ascendente hacia el origen<br />
156 Proxy de IGMP<br />
Cuando un host conectado a una interfaz de enrutador en un dispositivo de<br />
seguridad se une a un grupo multicast, envía un informe de miembros al grupo<br />
multicast. Cuando la interfaz del enrutador recibe el informe de miembros del host<br />
recién unido, comprueba si tiene una entrada para el grupo multicast. A<br />
continuación, el dispositivo de seguridad lleva a cabo una de las acciones<br />
siguientes:<br />
Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el<br />
informe de miembros.<br />
Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast,<br />
comprueba si hay una directiva multicast para el grupo que especifique a qué<br />
zona(s) la interfaz del enrutador debe enviar el informe.<br />
Si no hay ninguna directiva multicast para el grupo, la interfaz del<br />
enrutador no reenvía el informe.<br />
Si hay alguna directiva multicast para el grupo, la interfaz del enrutador<br />
crea una entrada para el grupo multicast y reenvía el informe de miembros<br />
a la interfaz del host proxy en la zona especificada en la directiva multicast.<br />
Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si<br />
tiene una entrada (*, G) para ese grupo multicast.<br />
Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz<br />
del enrutador a la lista de las interfaces de salida para esa entrada.<br />
Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de<br />
entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del<br />
enrutador. A continuación, la interfaz del host proxy reenvía el informe a su<br />
enrutador en sentido ascendente.
Datos multicast en sentido descendente a los receptores<br />
Figura 26: Configuración del host proxy de IGMP<br />
3. La interfaz del host proxy de IGMP<br />
comprueba si tiene una entrada (*, G)<br />
para el grupo multicast:<br />
• En caso afirmativo, agrega la interfaz del<br />
enrutador a las interfaces salientes en<br />
una entrada multicast de la tabla de<br />
rutas.<br />
• En caso negativo, crea la entrada y<br />
reenvía el informe de miembros al<br />
enrutador en sentido ascendente.<br />
2. La interfaz del enrutador proxy de GMP<br />
comprueba si hay alguna entrada para el<br />
grupo multicast:<br />
• En caso afirmativo, ignora el informe de<br />
miembros.<br />
• En caso negativo y si no hay ninguna<br />
directiva multicast para el grupo,<br />
descarta el informe de miembros.<br />
• En caso negativo, pero si existe alguna<br />
directiva multicast para el grupo, crea<br />
una entrada (*, G) en la tabla de rutas<br />
multicast, con el host como iif y el<br />
enrutador como oif. Reenvía el informe<br />
en sentido ascendente hacia la interfaz<br />
del host en la zona especificada en la<br />
directiva multicast.<br />
1. Los hosts envían informes de miembros<br />
en sentido ascendente.<br />
Capítulo 7: Protocolo IGMP<br />
Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast<br />
para un grupo multicast, comprueba si hay una sesión existente para ese grupo.<br />
Si hay una sesión para el grupo, la interfaz reenvía los datos multicast<br />
basándose en la información de la sesión.<br />
Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una<br />
entrada (S, G) en la tabla de rutas multicast.<br />
Si hay una entrada (S, G), la interfaz reenvía los datos multicast en<br />
consecuencia.<br />
Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna<br />
entrada (*, G) para el grupo.<br />
Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta<br />
el paquete.<br />
Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada<br />
(S, G). Cuando la interfaz recibe paquetes multicast subsiguientes para ese<br />
grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida)<br />
que, a su vez, reenvía el tráfico a su host conectado.<br />
La Figura 26 muestra un ejemplo de una configuración de host proxy de IGMP.<br />
Enrutador<br />
designado<br />
de origen<br />
Zona<br />
Untrust<br />
Zona<br />
Trust<br />
Origen<br />
Internet<br />
Receptores<br />
Interfaz del<br />
host proxy de<br />
IGMP<br />
Interfaz del<br />
enrutador proxy<br />
de IGMP<br />
4. El origen envía datos multicast en<br />
sentido descendente hacia el receptor.<br />
5. La interfaz del host proxy de IGMP<br />
comprueba si existe alguna sesión<br />
para el grupo:<br />
• En caso afirmativo, reenvía los datos<br />
multicast.<br />
• En caso negativo, comprueba si hay<br />
alguna entrada (S, G) para el grupo:<br />
• En caso afirmativo, reenvía los datos<br />
multicast.<br />
• En caso negativo, compruebe si hay<br />
alguna entrada (*, G):<br />
• En caso negativo, descarta los<br />
datos.<br />
• En caso afirmativo, crea una<br />
entrada (S, G) y reenvía datos<br />
utilizando la interfaz de entrada y<br />
de salida desde la entrada (*, G).<br />
6. La interfaz del enrutador proxy de<br />
IGMP reenvía datos a los receptores.<br />
Proxy de IGMP 157
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configurar el proxy de IGMP<br />
158 Proxy de IGMP<br />
En esta sección se describen los pasos básicos necesarios para configurar IGMP<br />
proxy en un dispositivo de seguridad de <strong>Juniper</strong> <strong>Networks</strong>:<br />
1. Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma<br />
predeterminada, el proxy de IGMP está habilitado en las interfaces de hosts.<br />
2. Habilitar IGMP en el modo enrutador en interfaces en sentido descendente.<br />
3. Habilitar IGMP proxy en interfaces de enrutador.<br />
4. Configurar una directiva multicast que permita que el tráfico de control<br />
multicast pase de una zona a otra.<br />
5. Configurar una directiva para entregar tráfico de datos entre zonas.<br />
Configurar un proxy de IGMP en una interfaz<br />
Al ejecutar IGMP proxy en un dispositivo de seguridad, la interfaz en sentido<br />
descendente se configura en modo enrutador y la interfaz en sentido ascendente<br />
en modo host. (Observe que una interfaz puede estar en modo host o en modo<br />
enrutador, pero no en ambos). Además, para que una interfaz de enrutador reenvíe<br />
tráfico multicast, debe ser el consultador en la red local. Para permitir que una<br />
interfaz no consultadora reenvíe tráfico multicast, debe especificar la palabra clave<br />
always al habilitar IGMP on la interfaz.<br />
De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su<br />
propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe<br />
habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de<br />
orígenes de otras subredes al ejecutar IGMP proxy.<br />
En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está<br />
conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1:<br />
Habilitar IGMP en el modo host<br />
Permitir que acepte mensajes IGMP desde todos los orígenes, sin importar la<br />
subred<br />
La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada con los<br />
hosts. Configure lo siguiente en ethernet3:<br />
Habilitar IGMP en el modo enrutador<br />
Permitir que reenvíe tráfico multicast aunque no sea un consultador.<br />
Permitir que acepte mensajes IGMP procedentes de orígenes de otras subredes.
WebUI<br />
Capítulo 7: Protocolo IGMP<br />
1. Zonas e interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
IP Address/Netmask: 10.1.2.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
Zone Name: Trust<br />
IP Address/Netmask: 10.1.1.1/24<br />
2. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
CLI<br />
IGMP Mode: Host (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
Proxy: (seleccione)<br />
Always (seleccione)<br />
1. Zonas e interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.2.1/24<br />
set interface ethernet3 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
2. IGMP<br />
set interface ethernet1 protocol igmp host<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet1 protocol igmp no-check-subnet<br />
set interface ethernet3 protocol igmp router<br />
set interface ethernet3 protocol igmp proxy<br />
set interface ethernet3 protocol igmp proxy always<br />
set interface ethernet3 protocol igmp enable<br />
set interface ethernet3 protocol igmp no-check-subnet<br />
save<br />
Proxy de IGMP 159
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Directivas Multicast para configuraciones de IGMP y proxy de IGMP<br />
160 Proxy de IGMP<br />
Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con sus<br />
hosts conectados. Con IGMP Proxy, los dispositivos de seguridad pueden necesitar<br />
enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el<br />
envío interzonal de mensajes IGMP, debe configurar una directiva multicast que lo<br />
permita específicamente. Al crear una directiva multicast, debe especificar lo<br />
siguiente:<br />
Origen: La zona desde la que se inicia el tráfico<br />
Destino: La zona a la que se envía el tráfico<br />
Grupo multicast: Puede ser un grupo multicast, una lista de accesos que<br />
especifique grupos multicast o “any”<br />
Además, puede especificar que la directiva sea bidireccional para aplicar la directiva<br />
a ambos sentidos del tráfico.<br />
Crear una directiva de grupo multicast para IGMP<br />
En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz<br />
del host en la zona Untrust. Defina una directiva multicast que permita que los<br />
mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las<br />
zonas Trust y Untrust. La palabra clave bi-directional se utiliza para permitir el<br />
tráfico en ambos sentidos.<br />
WebUI<br />
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)<br />
CLI<br />
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust<br />
igmp-message bi-directional<br />
save<br />
Crear una configuración de proxy de IGMP<br />
Como se indica en la Figura 27, usted configurará IGMP proxy en los dispositivos<br />
de seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice<br />
los pasos siguientes en los dispositivos de seguridad de ambos lugares:<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas<br />
de seguridad.<br />
2. Crear los objetos de direcciones.
Capítulo 7: Protocolo IGMP<br />
3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy<br />
en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está<br />
habilitado en las interfaces de host).<br />
a. Especifique la palabra clave always en ethernet1 de NS1 para permitir que<br />
reenvíe tráfico multicast incluso aunque no sea un consultador.<br />
b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes IGMP<br />
de su propia subred. En el ejemplo, las interfaces están en subredes<br />
diferentes. Al habilitar IGMP, permita que las interfaces acepten paquetes<br />
IGMP (consultas, informes de miembros y mensajes “leave”) procedentes<br />
de cualquier subred.<br />
4. Configurar las rutas.<br />
5. Configurar el túnel VPN.<br />
6. Configurar una directiva para transmitir tráfico de datos entre zonas.<br />
7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas.<br />
En este ejemplo, restringirá el tráfico multicast a un grupo multicast<br />
(224.4.4.1/32).<br />
Figura 27: Configuración de IGMP Proxy entre dos dispositivos<br />
Origen<br />
Zona Trust<br />
ethernet1<br />
10.2.2.1/24<br />
Enrutador<br />
designado<br />
Elementos relacionados con NSI<br />
ethernet3<br />
2.2.2.2/24<br />
Interfaz de túnel<br />
tunnel.1<br />
NS1<br />
Zona Untrust<br />
WebUI (NS1)<br />
Internet<br />
Túnel VPN<br />
Zona Untrust<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
NS2<br />
Interfaz de túnel<br />
tunnel.1<br />
ethernet3<br />
3.1.1.1/24<br />
Elementos relacionados con NS2<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Interface Mode: NAT<br />
ethernet1<br />
10.3.1.1/24<br />
Zona Trust<br />
Receptores<br />
Proxy de IGMP 161
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
162 Proxy de IGMP<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga<br />
clic en OK:<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: branch<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.3.1.0/24<br />
Zone: Untrust<br />
3. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Host (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
Proxy (seleccione): Always (seleccione)<br />
4. Rutas<br />
Network > Routing > Routing Entries > New: Introduzca los siguientes datos<br />
y haga clic en OK:<br />
Network Address / Netmask: 10.3.1.0/24<br />
Gateway (seleccione):<br />
Interface: tunnel.1 (seleccione)
Capítulo 7: Protocolo IGMP<br />
5. VPN<br />
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos<br />
y haga clic en OK:<br />
Gateway Name: To_Branch<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1<br />
Preshared Key: fg2g4h5j<br />
Outgoing Interface: ethernet3<br />
>> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Compatible<br />
Phase 1 Proposal (para Compatible Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (Protección de la identificación)<br />
6. Directivas<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), branch<br />
Destination Address:<br />
Address Book Entry: (seleccione), any (seleccione)<br />
Service: any<br />
Action: Permit<br />
7. Directiva multicast<br />
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
WebUI (NS2)<br />
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
IP Address/Netmask: 10.3.1.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
IP Address/Netmask: 3.1.1.1/24<br />
Proxy de IGMP 163
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
164 Proxy de IGMP<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga<br />
clic en Apply:<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: mgroup1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 224.4.4.1/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: source-dr<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.1/24<br />
Zone: Untrust<br />
3. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Proxy (seleccione): Always (seleccione)<br />
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
IGMP Mode: Host (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
4. Rutas<br />
Network > Routing > Routing Entries > New (trust-vr): Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.2.2.0/24<br />
Gateway (seleccione):<br />
Interface: tunnel.1 (seleccione)
Capítulo 7: Protocolo IGMP<br />
5. VPN<br />
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos<br />
y haga clic en OK:<br />
Gateway Name: To_Corp<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
Preshared Key: fg2g4hvj<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de Gateway:<br />
Security Level: Compatible<br />
Phase 1 Proposal (para Compatible Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (Protección de la identificación)<br />
6. Directivas<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), source-dr<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: ANY<br />
Action: Permit<br />
7. Directiva multicast<br />
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)<br />
CLI (NS1)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address untrust branch1 10.3.1.0/24<br />
3. IGMP<br />
set interface ethernet1 protocol igmp host<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet1 protocol igmp no-check-subnet<br />
set interface tunnel.1 protocol igmp router<br />
set interface tunnel.1 protocol igmp proxy<br />
set interface tunnel.1 protocol igmp proxy always<br />
set interface tunnel.1 protocol igmp enable<br />
set interface tunnel.1 protocol igmp no-check-subnet<br />
Proxy de IGMP 165
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
166 Proxy de IGMP<br />
4. Rutas<br />
set route 10.3.1.0/24 interface tunnel.1<br />
5. Túnel VPN<br />
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3<br />
preshare fg2g4h5j proposal pre-g2-3des-sha<br />
set vpn Corp_Branch gateway To_Branch sec-level compatible<br />
set vpn Corp_Branch bind interface tunnel.1<br />
set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any<br />
6. Directivas<br />
set policy name To_Branch from untrust to trust branch1 any any permit<br />
7. Directivas multicast<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust<br />
igmp-message bi-directional<br />
save<br />
CLI (NS2)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.3.1.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 3.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust mgroup1 224.4.4.1/32<br />
set address untrust source-dr 10.2.2.1/24<br />
3. IGMP<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp proxy<br />
set interface ethernet1 protocol igmp proxy always<br />
set interface ethernet1 protocol igmp enable<br />
set interface tunnel.1 protocol igmp host<br />
set interface tunnel.1 protocol igmp enable<br />
set interface tunnel.1 protocol igmp no-check-subnet<br />
4. Rutas<br />
set route 10.2.2.0/24 interface tunnel.1<br />
5. Túnel VPN<br />
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3<br />
preshare fg2g4hvj proposal pre-g2-3des-sha<br />
set vpn Branch_Corp gateway To_Corp sec-level compatible<br />
set vpn Branch_Corp bind interface tunnel.1<br />
set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any<br />
6. Directivas<br />
set policy from untrust to trust source-dr mgroup1 any permit<br />
7. Directiva multicast<br />
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust<br />
igmp-message bi-directional<br />
save
Configurar un proxy del remitente de IGMP<br />
Figura 28: Proxy del remitente de IGMP<br />
Receptores<br />
Capítulo 7: Protocolo IGMP<br />
En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente<br />
desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones,<br />
el origen puede estar en la misma red que la interfaz del enrutador. Cuando un<br />
origen se conecta a una interfaz que se encuentra en la misma red a la que la<br />
interfaz del proxy del enrutador IGMP envía tráfico multicast, el dispositivo de<br />
seguridad comprueba si hay lo siguiente:<br />
Una directiva del grupo multicast permitiendo el tráfico desde la zona de origen<br />
a la zona de la interfaz del host IGMP proxy<br />
Una lista de accesos de los orígenes aceptables<br />
Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz<br />
IGMP proxy o si el origen no se encuentra en la lista de orígenes aceptables, el<br />
dispositivo de seguridad descarta el tráfico. Si existe una directiva multicast entre la<br />
zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de<br />
orígenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la<br />
tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen está<br />
conectado y la interfaz saliente es la interfaz del host IGMP proxy. A continuación,<br />
el dispositivo de seguridad envía los datos en sentido ascendente a la interfaz del<br />
host IGMP proxy, que envía los datos a todas sus interfaces conectadas, salvo a la<br />
interfaz conectada con el origen.<br />
La Figura 28 muestra un ejemplo del proxy del remitente de IGMP.<br />
Internet<br />
La interfaz del IGMP proxy de ethernet3<br />
envía tráfico multicast a todas las<br />
interfaces de enrutador proxy<br />
tráfico multicast<br />
ethernet2<br />
Tabla de rutas multicast<br />
iff = ethernet2<br />
oif = ethernet3 Origen<br />
ethernet1<br />
Receptores<br />
En la Figura 29, el origen está conectado a la interfaz ethernet2, asociada a la zona<br />
DMZ en NS2. Está enviando tráfico multicast al grupo multicast 224.4.4.1/32. Hay<br />
receptores conectados a la interfaz ethernet1 asociada a la zona Trust en NS2. Tanto<br />
ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz<br />
ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy.<br />
También hay receptores conectados con la interfaz ethernet1 asociada a la zona<br />
Trust en NS1. Realice los pasos siguientes en NS2:<br />
Proxy de IGMP 167
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
168 Proxy de IGMP<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas<br />
de seguridad.<br />
2. Cree los objetos de direcciones.<br />
3. En ethernet1 y ethernet2:<br />
a. Habilite IGMP en el modo enrutador y habilite IGMP proxy.<br />
b. Especifique la palabra clave always para permitir que las interfaces<br />
reenvíen tráfico multicast incluso aunque no sean consultadores.<br />
4. Habilite IGMP en modo host en ethernet3.<br />
5. Configure la ruta predeterminada.<br />
6. Configure las directivas de cortafuegos entre las zonas.<br />
7. Configure las directivas multicast entre las zonas.<br />
Figura 29: Ejemplo de red de proxy del remitente de IGMP<br />
Receptores<br />
ethernet1<br />
10.2.2.1/24<br />
Zona Trust<br />
Nota: Las zonas de seguridad no<br />
se muestran en esta ilustración.<br />
NOTA: Este ejemplo sólo contiene la configuración de NS2, no la de NS1.<br />
NS1<br />
WebUI (NS2)<br />
ethernet3<br />
1.1.1.1/24<br />
Zona Untrust<br />
Internet<br />
ethernet 3<br />
2.2.2.2/24<br />
Host del proxy<br />
IGMP de la<br />
zona Untrust<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
NS2<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Interface Mode: NAT<br />
ethernet1, 10.2.2.1<br />
Proxy del enrutador<br />
IGMP de zona Trust<br />
ethernet2, 3.2.2.1/24<br />
zona DMZ, Proxy del<br />
enrutador IGMP<br />
Receptores<br />
Origen<br />
3.2.2.5
Capítulo 7: Protocolo IGMP<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: DMZ<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 3.2.2.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: mgroup1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 224.4.4.1/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: source-dr<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 3.2.2.5/32<br />
Zone: DMZ<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: proxy-host<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 2.2.2.2/32<br />
Zone: Untrust<br />
3. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Proxy (seleccione): Always (seleccione)<br />
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Proxy (seleccione): Always (seleccione)<br />
Proxy de IGMP 169
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
170 Proxy de IGMP<br />
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los<br />
siguientes datos y haga clic en Apply:<br />
IGMP Mode: Host (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Packet From Different Subnet: Permit (seleccione)<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
5. Directivas<br />
Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: source-dr<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: ANY<br />
Action: Permit<br />
Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), source-dr<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: ANY<br />
Action: Permit<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), proxy-host<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: ANY<br />
Action: Permit<br />
6. Directiva multicast<br />
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)
Capítulo 7: Protocolo IGMP<br />
MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)<br />
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
CLI (NS2)<br />
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
IGMP Message: (seleccione)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet2 zone dmz<br />
set interface ethernet2 ip 3.2.2.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
2. Direcciones<br />
set address trust mgroup1 224.4.4.1/32<br />
set address dmz source-dr 3.2.2.5/32<br />
set address untrust proxy-host 2.2.2.2/32<br />
3. IGMP<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp proxy always<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet2 protocol igmp router<br />
set interface ethernet2 protocol igmp proxy always<br />
set interface ethernet2 protocol igmp enable<br />
set interface ethernet3 protocol igmp host<br />
set interface ethernet3 protocol igmp no-check-subnet<br />
set interface ethernet3 protocol igmp enable<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
5. Directivas<br />
set policy from dmz to trust source-dr mgroup1 any permit<br />
set policy from dmz to untrust source-dr mgroup1 any permit<br />
set policy from untrust to trust proxy-host mgroup1 any permit<br />
6. Directivas multicast<br />
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust<br />
igmp-message bi-directional<br />
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message<br />
bi-directional<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust<br />
igmp-message bi-directional<br />
save<br />
Proxy de IGMP 171
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
172 Proxy de IGMP
Capítulo 8<br />
Multicast independiente de protocolo<br />
(PIM)<br />
En este capítulo se describe el Protocol Independent Multicast (PIM) en los<br />
dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>. Contiene las siguientes secciones:<br />
“Vista general” en la página 175<br />
“PIM-SM” en la página 176<br />
“Árboles de distribución multicast” en la página 176<br />
“Enrutador designado” en la página 177<br />
“Asignar puntos de encuentro a grupos” en la página 177<br />
“Reenviar tráfico a través del árbol de distribución” en la página 178<br />
“Configuración de PIM-SM en dispositivos de seguridad” en la página 180<br />
“Habilitar y eliminar una instancia PIM-SM en un enrutador virtual (VR)” en<br />
la página 181<br />
“Habilitar y deshabilitar PIM-SM en interfaces” en la página 182<br />
“Directivas de grupo multicast” en la página 182<br />
“Ajustar una configuración de PIM-SM básica” en la página 184<br />
“Comprobar la configuración” en la página 189<br />
“Configurar puntos de encuentro” en la página 191<br />
“Configurar de un punto de encuentro estático” en la página 191<br />
“Configurar de un punto de encuentro candidato” en la página 192<br />
“Consideraciones sobre seguridad” en la página 193<br />
“Restringir grupos multicast” en la página 193<br />
“Restringir orígenes multicast” en la página 194<br />
“Restringir puntos de encuentro” en la página 195<br />
173
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
174 <br />
“Parámetros de la interfaz PIM-SM” en la página 196<br />
“Definir una directiva de vecindad” en la página 196<br />
“Definir un borde bootstrap” en la página 197<br />
“Configurar de un punto de encuentro del proxy” en la página 198<br />
“PIM-SM e IGMPv3” en la página 207
Vista general<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
El protocolo PIM es un protocolo de enrutamiento multicast que se ejecuta entre<br />
enrutadores. Mientras que el protocolo Internet Group Management Protocol (IGMP)<br />
se ejecuta entre equipos y enrutadores para intercambiar información de miembros<br />
del grupo multicast, PIM se ejecuta entre enrutadores para reenviar tráfico multicast<br />
a los miembros del grupo multicast de toda la red. (Para obtener información sobre<br />
IGMP, consulte “Protocolo IGMP” en la página 145).<br />
Figura 30: IGMP<br />
Origen<br />
Internet<br />
Los protocolos de<br />
enrutamiento multicast,<br />
tales como PIM-SM,<br />
alimentan la tabla de<br />
rutas multicast y<br />
reenvían datos a los<br />
hosts de toda la red.<br />
Hosts y enrutadores<br />
utilizan IGMP para<br />
intercambiar información<br />
de miembros del grupo<br />
multicast.<br />
Para ejecutar PIM, también debe configurar o bien rutas estáticas o un protocolo de<br />
enrutamiento dinámico. PIM se llama independiente del protocolo porque utiliza la<br />
tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus<br />
comprobaciones RPF (reenvío por rutas inversas), pero no depende de la<br />
funcionalidad del protocolo de enrutamiento unicast. (Para obtener información<br />
sobre RPF, consulte “Reenviar rutas inversas” en la página 138).<br />
PIM puede funcionar de los modos siguientes:<br />
El modo PIM-Dense (PIM-DM) inunda toda la red con tráfico multicast y luego<br />
corta las rutas a hacia los receptores que no desean recibir tráfico multicast.<br />
El modo PIM-Sparse (PIM-SM) reenvia tráfico multicast solamente a los<br />
receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden<br />
utilizar el árbol de ruta compartida o el árbol de ruta más corta (SPT) para<br />
reenviar la información multicast. (Para obtener información sobre árboles de<br />
distribución multicast, consulte “Árboles de distribución multicast” en la<br />
página 176).<br />
Vista general 175
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
PIM-SM<br />
176 Vista general<br />
El modo multicast específico del origen PIM (“PIM-Source Specific Multicast<br />
Mode” o PIM-SSM) está derivado del PIM-SM. Igual que PIM-SM, reenvía tráfico<br />
multicast sólo a los receptores interesados. A diferencia de PIM-SM, forma<br />
inmediatamente un SPT al origen.<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten PIM-SM, según la<br />
definición draft-ietf-pim-sm-v2-new-06, así como PIM-SSM según la definición<br />
RFC 3569, An Overview of Source-Specific Multicast (SSM). Para obtener<br />
información sobre PIM-SM, consulte “PIM-SM.” Para obtener información sobre<br />
PIM-SSM, consulte “PIM-SSM” en la página 180.<br />
PIM-SM es un protocolo de enrutamiento multicast que reenvía tráfico multicast<br />
sólo a los receptores interesados. Puede utilizar un árbol de distribución compartido<br />
o el árbol de ruta más corta (SPT) para reenviar tráfico multicast a través de la red.<br />
(Para obtener información sobre árboles de distribución multicast, consulte<br />
“Árboles de distribución multicast” en la página 176). De forma predeterminada,<br />
PIM-SM utiliza el árbol de distribución compartido con un punto de encuentro (RP)<br />
en la raíz del árbol. Todos los orígenes de un grupo envían sus paquetes al RP, y el<br />
RP envía datos en dirección descendente por el árbol de distribución compartido a<br />
todos los receptores de la red. Cuando se alcanza un umbral configurado, los<br />
receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los<br />
receptores recibir los datos multicast.<br />
NOTA: De forma predeterminada, los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong><br />
conmutan al SPT en el momento de recibir el primer byte.<br />
Con independencia del árbol utilizado para distribuir el tráfico, sólo los receptores<br />
que explícitamente se unan a un grupo multicast pueden recibir el tráfico enviado a<br />
ese grupo. PIM-SM utiliza la tabla de enrutamiento unicast para realizar sus<br />
operaciones de reenvío por rutas inversas (RPF) al recibir mensajes de control<br />
multicast y utiliza la tabla de enrutamiento multicast para enviar tráfico de datos<br />
multicast a los receptores.<br />
Árboles de distribución multicast<br />
Los enrutadores multicast reenvían el tráfico multicast en sentido descendente<br />
desde el origen a los receptores a través de un árbol de distribución multicast. Hay<br />
dos tipos de árboles de distribución multicast:<br />
El árbol de la ruta más corta (SPT): El origen se encuentra en la raíz del árbol y<br />
reenvía los datos multicast en sentido descendente a cada receptor.<br />
Denominada también árbol específico del origen o “source-specific tree”.<br />
Árbol de distribución compartido: El origen transmite el tráfico multicast al<br />
punto de encuentro (“rendezvous point” o RP), que típicamente es un<br />
enrutador en el núcleo de la red. A continuación, el RP reenvía el tráfico en<br />
sentido descendente a los receptores del árbol de distribución.
Figura 31: PIM<br />
Árbol de la ruta más corta<br />
Árbol de distribución compartido<br />
Árbol de la ruta más corta<br />
1. El origen envía tráfico multicast en<br />
sentido descendente a los receptores.<br />
Receptores<br />
Enrutador designado<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Cuando en una red de área local (LAN) multiacceso hay varios enrutadores<br />
multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del<br />
origen es responsable de enviar los paquetes multicast desde el origen al RP y a los<br />
receptores que están en el árbol de distribución específico del origen. El DR en la<br />
LAN de los receptores es responsable de reenviar mensajes join-prune desde los<br />
receptores al RP, y de enviar el tráfico de datos multicast a los receptores de la LAN.<br />
Los receptores envían mensajes join-prune cuando desean unirse a un grupo<br />
multicast o salir de él.<br />
El DR se selecciona a través de un proceso de selección. Cada enrutador PIM-SM de<br />
una LAN tiene una prioridad DR configurable por el usuario. Los enrutadores de<br />
PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (“hello”) que<br />
envían periódicamente a sus vecinos. Cuando los enrutadores reciben los mensajes<br />
de saludo, seleccionan el enrutador con la prioridad DR más alta como DR para la<br />
LAN. Si varios enrutadores coinciden en tener la prioridad DR más alta, el enrutador<br />
con la dirección IP más alta se convertirá en el DR de la LAN.<br />
Asignar puntos de encuentro a grupos<br />
Árbol de distribución compartido<br />
2. El origen envía tráfico multicast en sentido<br />
descendente hacia el punto de encuentro (RP).<br />
3. El RP reenvía tráfico multicast en sentido<br />
descendente a los receptores.<br />
Un punto de encuentro (“rendezvous point” o RP) envía paquetes multicast para<br />
determinados grupos multicast. Un dominio PIM-SM es un grupo de enrutadores<br />
PIM-SM con las mismas asignaciones de grupo RP. Hay dos maneras de asignar<br />
grupos multicast a un RP: estáticamente y dinámicamente.<br />
Asignación de RP estática<br />
Para crear una asignación estática entre un RP y un grupo multicast, debe<br />
configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que<br />
cambie la dirección del RP, deberá volver a configurar la dirección del RP.<br />
RP<br />
Receptores<br />
Vista general 177
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Figura 32: Datos de envío origen<br />
178 Vista general<br />
Asignación de RP dinámica<br />
PIM-SM también proporciona un mecanismo de asignación dinámica de RPs a<br />
grupos multicast. En primer lugar, configure los puntos de encuentro de candidatos<br />
(C-RPs) para cada grupo multicast. A continuación, los C-RPs envían notificaciones<br />
Candidate-RP a un enrutador de la LAN, denominado enrutador “bootstrap” (BSR).<br />
Las notificaciones contienen el grupo multicast para el cual el enrutador actúa como<br />
RP y la prioridad del C-RP.<br />
El BSR recoge estas notificaciones C-RP y las emite en un mensaje BSR a todos los<br />
enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un<br />
algoritmo hash bien conocido para seleccionar un RP activo por cada grupo<br />
multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignación<br />
de grupo RP entre los RPs candidatos. Para obtener información sobre el proceso de<br />
selección de BSR, consulte draft-ietf-pim-sm-bsr-03.txt.<br />
Reenviar tráfico a través del árbol de distribución<br />
Esta sección describe cómo los enrutadores PIM-SM envían mensajes “join” al<br />
punto de encuentro (RP) de un grupo multicast y cómo el RP envía datos multicast<br />
a los receptores de la red. En un entorno de red multicast, un dispositivo de<br />
seguridad puede funcionar como RP, como enrutador designado en la red del<br />
origen o en la red de los receptores, o como enrutador intermedio.<br />
El origen envía datos a un grupo<br />
Cuando un origen comienza a enviar paquetes multicast, transmite esos paquetes a<br />
través de la red. Cuando el enrutador designado (DR) en esa red de área local (LAN)<br />
recibe los paquetes multicast, consulta la interfaz saliente y la dirección IP del salto<br />
siguiente hacia el RP en la tabla de rutas unicast. A continuación, el DR encapsula<br />
los paquetes multicast en paquetes unicast, denominados mensajes REGISTER, y<br />
los reenvía a la dirección IP del siguiente salto. Cuando el RP recibe los mensajes<br />
REGISTER, desencapsula los paquetes y envía los paquetes multicast en sentido<br />
descendente por el árbol de distribución hacia los receptores.<br />
1. El origen envía los paquetes<br />
multicast en sentido<br />
descendente.<br />
2. El DR encapsula los<br />
paquetes y envía mensajes<br />
REGISTER al RP.<br />
Origen<br />
3. El RP desencapsula los mensajes<br />
REGISTER y envía paquetes<br />
multicast a los receptores.<br />
Punto de encuentro (RP)<br />
Enrutador designado (DR)<br />
Receptores Receptores<br />
Si la velocidad de transmisión de los datos del DR de origen alcanza un umbral<br />
configurado, el RP envía un mensaje PIM-SM adjunto hacia el DR de origen, de<br />
modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes<br />
REGISTER. Cuando el DR de origen recibe el mensaje adjunto, envía los paquetes
Figura 33: El host se une a un grupo<br />
Hosts/Receptores<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes<br />
multicast del DR, envía al DR un mensaje register-stop. Cuando el DR recibe el<br />
mensaje register-stop, deja de enviar los mensajes REGISTER y envía los datos<br />
multicast nativos, que el RP envía en sentido descendente a los receptores.<br />
El host se une a un grupo<br />
Cuando un host se une a un grupo multicast, envía un mensaje IGMP adjunto a ese<br />
grupo multicast. Cuando el DR de la LAN del host recibe el mensaje IGMP adjunto,<br />
consulta el grupo en el RP. Crea una entrada (*, G) en la tabla de rutas multicast y<br />
envía un mensaje PIM-SM adjunto a su RPF vecino en sentido ascendente hacia el<br />
RP. Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM<br />
adjuntos, realiza el mismo proceso de consulta RP y también comprueba si el<br />
mensaje adjunto viene de un RPF vecino. Si es así, remite el mensaje PIM-SM<br />
adjunto hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM adjunto<br />
alcanza el RP. Cuando el RP recibe el mensaje adjunto, envía los datos multicast en<br />
sentido descendente hacia el receptor.<br />
Enrutador designado (DR)<br />
Origen<br />
1. Hosts envía los mensaje<br />
adjuntos de IGMP para el<br />
grupo multicast.<br />
2. DR envía los mensajes<br />
adjuntos IGMP al RP.<br />
Puento de<br />
Encuentro (RP)<br />
Hosts/Receptores<br />
3. RP envía datos multicast<br />
en sentido descendente<br />
a los receptores.<br />
Cada enrutador en sentido descendente realiza una comprobación del RPF cuando<br />
recibe los datos multicast. Cada enrutador comprueba si recibió los paquetes<br />
multicast de la interfaz que utiliza para enviar tráfico de datos hacia el RP. Si la<br />
comprobación del RPF es correcta, el enrutador busca una entrada de reenvío (*, G)<br />
coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el<br />
origen en la entrada, que se convierte en una entrada (S, G) y reenvía los paquetes<br />
multicast en sentido descendente. Este proceso continúa en sentido descendente a<br />
lo largo del árbol de distribución hasta que el host recibe los datos multicast.<br />
Cuando la velocidad de transmisión de datos alcanza un umbral configurado, el DR<br />
de la LAN del host puede formar el árbol de ruta más corta directamente al origen<br />
multicast. Cuando el DR comienza a recibir tráfico de datos directamente del<br />
origen, envía un mensaje prune específico del origen en sentido ascendente hacia<br />
el RP. Cada enrutador intermedio “corta” del árbol de distribución la conexión con<br />
el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de<br />
enviar tráfico de datos multicast en sentido descendente hacia esa rama en<br />
particular del árbol de distribución.<br />
Vista general 179
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
PIM-SSM<br />
180 Configuración de PIM-SM en dispositivos de seguridad<br />
Además de PIM-SM, los dispositivos de seguridad también admiten<br />
PIM-Source-Specific Multicast (SSM). PIM-SSM sigue el modelo source-specific (SSM)<br />
donde el tráfico multicast se transmite a los canales, no sólo a los grupos multicast.<br />
Un canal consiste en un origen y un grupo multicast. Un receptor se suscribe a un<br />
canal con un origen conocido y un grupo multicast. Los receptores proporcionan<br />
información sobre el origen a través de IGMPv3. El enrutador designado en la LAN<br />
envía mensajes al origen y no a un punto de encuentro (RP).<br />
El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM<br />
en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones<br />
PIM-SSM están garantizadas dentro de este rango de direcciones. El dispositivo de<br />
seguridad manipula los informes de miembros IGMPv3 para los grupos multicast<br />
dentro del rango de direcciones 232/8 tal y como sigue:<br />
Si el informe contiene un modo de filtro include, el dispositivo envía el informe<br />
directamente a los orígenes de la lista de origen.<br />
Si el informe contiene un modo de filtro exclude, el dispositivo descarta el<br />
informe. No procesa informes (*, G) para los grupos multicast del rango de<br />
direcciones 232/8.<br />
Los pasos para configurar PIM-SSM en un dispositivo de seguridad son iguales a los<br />
necesarios para configurar PIM-SM pero con las siguientes diferencias:<br />
Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2 está<br />
habilitado de forma predeterminada en los dispositivos de seguridad).<br />
Cuando configure una directiva de grupo multicast, autorice los mensajes<br />
join-prune. (Los mensajes bootstrap no se utilizan).<br />
No configure un punto de encuentro.<br />
Las siguientes secciones explican cómo configurar PIM-SM en dispositivos<br />
de seguridad.<br />
Configuración de PIM-SM en dispositivos de seguridad<br />
Los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> tienen dos enrutadores virtuales<br />
predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente<br />
de enrutamiento independiente con sus propias tablas de rutas. Protocol<br />
Independent Multicast - Sparse Mode (PIM-SM) utiliza la tabla de rutas del enrutador<br />
virtual en el cual está configurado para consultar la interfaz de reenvío por rutas<br />
inversas (PIM-SM) y la dirección IP siguiente. Por lo tanto, para ejecutar PIM-SM en<br />
un dispositivo de seguridad, primero debe configurar rutas estáticas o un protocolo<br />
de enrutamiento dinámico en un enrutador virtual, y luego tiene que configurar el<br />
PIM-SM en el mismo enrutador virtual. (Para obtener información sobre<br />
enrutadores virtuales, consulte el Capítulo 2, “<strong>Enrutamiento</strong>”, en la página 13).<br />
Los dispositivos de seguridad admiten los siguientes protocolos de enrutamiento<br />
dinámico:<br />
Open Shortest Path First (OSPF): Para obtener más información acerca de<br />
OSPF, consulte el Capítulo 3, “Protocolo OSPF”, en la página 47.
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Routing Information Protocol (RIP): Para obtener más información acerca de<br />
RIP, consulte el Capítulo 4, “Protocolo de información de enrutamiento”, en la<br />
página 79.<br />
Border Gateway Protocol (BGP):Para obtener más información acerca de BGP,<br />
consulte el Capítulo 5, “Protocolo BGP”, en la página 109.<br />
Las secciones siguientes describen los pasos básicos necesarios para configurar un<br />
PIM-SM en un dispositivo de seguridad:<br />
Crear y habilitar una instancia PIM-SM en un enrutador virtual (VR).<br />
Habilitar PIM-SM en las interfaces.<br />
Configurar una directiva multicast para permitir que los mensajes PIM-SM<br />
pasen por el dispositivo de seguridad.<br />
Habilitar y eliminar una instancia PIM-SM en un enrutador virtual (VR)<br />
Puede configurar una instancia PIM-SM para cada enrutador virtual. PIM-SM utiliza<br />
la tabla de rutas unicast del enrutador virtual para realizar su comprobación del<br />
RPF. Después de crear y habilitar una instancia de enrutamiento PIM-SM en un<br />
enrutador virtual, puede habilitar el PIM-SM en las interfaces del enrutador virtual.<br />
Habilitar de una instancia PIM-SM<br />
En este ejemplo, creará y habilitará una instancia PIM-SM para el enrutador virtual<br />
trust-vr.<br />
WebUI<br />
Network > Routing > Virtual Routers > Edit (for trust-vr) > Create PIM<br />
Instance: Seleccione Protocol PIM: Enable, luego haga clic en Apply.<br />
CLI<br />
ns-> set vrouter trust-vr<br />
ns(trust-vr)-> set protocol pim<br />
ns(trust.vr/pim)-> set enable<br />
ns(trust.vr/pim)-> exit<br />
ns(trust-vr)-> exit<br />
save<br />
Eliminar una instancia PIM-SM<br />
En este ejemplo eliminará la instancia PIM-SM del enrutador virtual trust-vr. Cuando<br />
elimine la instancia PIM-SM de un enrutador virtual, el dispositivo de seguridad<br />
inhabilita el PIM-SM en las interfaces y borra todos los parámetros de la interfaz<br />
PIM-SM.<br />
WebUI<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance,<br />
luego haga clic en OK en el mensaje de confirmación.<br />
CLI<br />
unset vrouter trust-vr protocol pim<br />
deleting PIM instance, are you sure? y/[n] y<br />
save<br />
Configuración de PIM-SM en dispositivos de seguridad 181
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Habilitar y deshabilitar PIM-SM en interfaces<br />
Directivas de grupo multicast<br />
182 Configuración de PIM-SM en dispositivos de seguridad<br />
De forma predeterminada, PIM-SM está inhabilitado en todas las interfaces.<br />
Después de crear y habilitar el PIM-SM en un enrutador virtual, debe habilitar el<br />
PIM-SM en las interfaces de ese enrutador virtual que transmiten tráfico de datos<br />
multicast. Si una interfaz está conectada con un receptor, también debe configurar<br />
IGMP en modo enrutador en esa interfaz. (Para obtener información sobre IGMP,<br />
consulte “Protocolo IGMP” en la página 145).<br />
Cuando habilita el PIM-SM en una interfaz que está asociada a una zona, el PIM-SM<br />
se habilita automáticamente en la zona a la que pertenece dicha interfaz. A<br />
continuación, puede configurar los parámetros PIM-SM para dicha zona. De forma<br />
similar, cuando se inhabilitan parámetros PIM-SM de interfaces en una zona, todos<br />
los parámetros PIM-SM relacionados con dicha zona se eliminan automáticamente.<br />
Habilitar PIM-SM en una interfaz<br />
En este ejemplo habilitará PIM-SM en la interfaz ethernet1.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
CLI<br />
set interface ethernet1 protocol pim<br />
set interface ethernet1 protocol pim enable<br />
save<br />
Inhabilitar PIM-SM en una interfaz<br />
En este ejemplo deshabilitará PIM-SM en la interfaz ethernet1. Recuerde que<br />
cualquier otra interfaz en la que haya habilitado PIM-SM todavía sigue<br />
transmitiendo y procesando los paquetes PIM-SM.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Desactive Protocol PIM<br />
Enable, luego haga clic en Apply.<br />
CLI<br />
unset interface ethernet1 protocol pim enable<br />
save<br />
De forma predeterminada, los dispositivos de seguridad no permiten que los<br />
mensajes de tráfico de control multicast, como por ejemplo mensajes PIM-SM,<br />
pasen de una zona a otra. Debe configurar una directiva de grupo multicast para<br />
permitir que los mensajes PIM-SM pasen de una zona a otra. Las directivas de grupo<br />
multicast controlan dos tipos de mensajes PIM-SM: los mensajes static-RP-BSR y<br />
mensajes join-prune.
Mensajes Static-RP-BSR<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Los mensajes Static-RP-BSR contienen información sobre los puntos de encuentro<br />
estáticos (RP) y las asignaciones de grupo RP dinámicas. La configuración de una<br />
directiva multicast, que permita asignaciones estáticas de RP y mensajes bootstrap<br />
(BSR) de una zona a otra, habilita el dispositivo de seguridad para que comparta las<br />
asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre<br />
dos enrutadores virtuales. Los enrutadores son capaces de memorizar las<br />
asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los<br />
RP en todas las zonas.<br />
Cuando el dispositivo de seguridad recibe un mensaje BSR, comprueba que venga<br />
de su vecino de reenvío por rutas inversas (RPF). A continuación comprueba si hay<br />
directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que<br />
no estén autorizados en la directiva multicast y envía el mensaje BSR a los grupos<br />
permitidos en todas las zonas de destino que están autorizadas por la directiva.<br />
Mensajes Join-Prune<br />
Las directivas de grupo multicast también controlan los mensajes join-prune.<br />
Cuando el dispositivo de seguridad recibe un mensaje join-prune para un origen y<br />
grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF<br />
vecino y la interfaz de la tabla de enrutamiento unicast.<br />
Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido<br />
descendente, la validación de la directiva multicast no es necesaria.<br />
Si la interfaz RPF se encuentra en otra zona, el dispositivo de seguridad<br />
comprueba si hay una directiva multicast que permita mensajes join-prune<br />
para el grupo entre la zona de interfaz en sentido descendente y la zona de<br />
la interfaz RPF.<br />
Si hay una directiva multicast que permite mensajes join-prune entre las<br />
dos zonas, el dispositivo de seguridad reenvía el mensaje a la interfaz<br />
del RPF.<br />
Si no hay directiva multicast que permita mensajes join-prune entre las<br />
dos zonas, se descarta el mensaje join-prune.<br />
Definir de una directiva de grupo multicast para PIM-SM<br />
En este ejemplo, definirá una directiva de grupo multicast bidireccional que permita<br />
todos los mensajes PIM-SM entre las zonas Trust y Untrust para el grupo 224.4.4.1.<br />
WebUI<br />
Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
PIM Message: (seleccione)<br />
BSR-Static RP: (seleccione)<br />
Join/Prune: (seleccione)<br />
CLI<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust<br />
pim-message bsr-static-rp join-prune bi-directional<br />
save<br />
Configuración de PIM-SM en dispositivos de seguridad 183
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Ajustar una configuración de PIM-SM básica<br />
184 Ajustar una configuración de PIM-SM básica<br />
Un dispositivo de seguridad puede funcionar como un punto de encuentro (RP),<br />
como un enrutador designado de origen (DR), como un receptor DR y como un<br />
enrutador intermedio. No puede funcionar como un enrutador bootstrap.<br />
Puede configurar PIM-SM en un enrutador virtual (VR) o a través de dos<br />
enrutadores virtuales. Realice los siguientes pasos para configurar PIM-SM en<br />
un enrutador virtual:<br />
1. Configure las zonas y las interfaces.<br />
2. Configure rutas estáticas o un protocolo de enrutamiento dinámico, como por<br />
ejemplo Routing Information Protocol (RIP), Border Gateway Protocol (BGP) o<br />
Open Shortest Path First (OSPF), en un enrutador virtual específico del<br />
dispositivo de seguridad.<br />
3. Cree una directiva de cortafuegos para que el tráfico de datos unicast y<br />
multicast pase de una zona a otra.<br />
4. Cree y habilite una instancia de enrutamiento PIM-SM en el mismo enrutador<br />
virtual en el que haya configurado las rutas estáticas o un protocolo del<br />
enrutamiento dinámico.<br />
5. Habilite PIM-SM en interfaces que reenvíen el tráfico en sentido ascendente<br />
hacia el origen o el RP, y en sentido descendente hacia los receptores.<br />
6. Habilite IGMP en las interfaces conectadas a los hosts.<br />
7. Configure una directiva multicast para permitir que los mensajes de PIM-SM<br />
pasen de una zona a otra.<br />
Cuando configure PIM-SM entre dos enrutadores virtuales, debe configurar el RP en<br />
la zona del enrutador virtual en la que se encuentre el RP. A continuación, configure<br />
una directiva de grupo multicast que permita los mensajes join-prune y los<br />
mensajes BSR-static-RP entre las zonas en cada enrutador virtual. También debe<br />
exportar las rutas unicast entre los dos enrutadores virtuales para asegurar la<br />
exactitud de la información de reenvío por rutas inversas (RPF). Para obtener<br />
información acerca de la exportación de rutas, consulte “Exportar e importar rutas<br />
entre enrutadores virtuales” en la página 44.<br />
NOTA: Si un dispositivo de seguridad se configura con múltiples enrutadores virtuales,<br />
todos los enrutadores virtuales deben tener las mismas opciones PIM-SM.<br />
Algunos dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong> admiten varios sistemas<br />
virtuales. (Para obtener más información acerca de los sistemas virtuales, consulte<br />
el Volumen 10: Sistemas virtuales). La configuración de PIM-SM en un sistema virtual<br />
es igual que la configuración de PIM-SM en el sistema raíz. Si va a configurar<br />
PIM-SM en dos enrutadores virtuales que se encuentran en sistemas virtuales<br />
diferentes, debe configurar un proxy RP. (Para obtener información sobre la<br />
configuración de un proxy RP, consulte “Configurar de un punto de encuentro del<br />
proxy” en la página 198).
Figura 34: Configuración PIM-SM básica<br />
ethernet1<br />
10.1.1.1/24<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
En este ejemplo, configurará PIM-SM en un enrutador trust-vr. Desea que los hosts<br />
de la zona Trust reciban tráfico de datos multicast para el grupo multicast<br />
224.4.4.1/32. Configurará el RIP como el protocolo de enrutamiento unicast en el<br />
enrutador trust-vr y cree una directiva de cortafuegos para permitir el tráfico de<br />
datos entre las zonas Trust y Untrust. Creará una instancia PIM-SM en el enrutador<br />
trust-vr y habilitará PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en<br />
ethernet3 en la zona Untrust. Todas las interfaces están en modo de ruta. A<br />
continuación, configurará IGMP en ethernet1 y ethernet2, que están conectados<br />
con los receptores. Finalmente, creará una directiva multicast que permita los<br />
mensajes static-RP-BSR y join-prune entre las zonas.<br />
ethernet3<br />
1.1.1.1/24<br />
Origen<br />
Receptores<br />
Enrutador<br />
designado<br />
Zona Untrust<br />
Punto de<br />
encuentro<br />
Zona Trust ethernet2<br />
10.1.2.1/24<br />
Enrutador<br />
bootstrap<br />
Receptores<br />
Ajustar una configuración de PIM-SM básica 185
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
WebUI<br />
186 Ajustar una configuración de PIM-SM básica<br />
1. Zonas e interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.2.1/24<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
IP Address/Netmask: 1.1.1.1/24<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: mgroup1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 224.4.4.1/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: source-dr<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 6.6.6.1/24<br />
Zone: Untrust<br />
3. IGMP<br />
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)<br />
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los<br />
siguientes datos y haga clic en OK:<br />
IGMP Mode: Router (seleccione)<br />
Protocol IGMP: Enable (seleccione)
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
4. RIP<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance:<br />
Seleccione Enable RIP y haga clic en OK.<br />
Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
RIP Instance: (seleccione)<br />
Protocol RIP: Enable (seleccione)<br />
5. PIM-SM<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance:<br />
Seleccione los siguientes datos, luego haga clic en OK.<br />
Protocol PIM: Enable (seleccione)<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Network > Interfaces > Edit (para ethernet2) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Network > Interfaces > Edit (para ethernet3) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
6. Directivas<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), source-dr<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: any<br />
Action: Permit<br />
7. Directiva multicast<br />
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
PIM Message: (seleccione)<br />
BSR Static RP: (seleccione)<br />
Join/Prune: (seleccione)<br />
Ajustar una configuración de PIM-SM básica 187
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
CLI<br />
188 Ajustar una configuración de PIM-SM básica<br />
1. Zonas e interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet2 zone trust<br />
set interface ethernet2 ip 10.1.2.1/24<br />
set interface ethernet2 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Direcciones<br />
set address trust mgroup1 224.4.4.1/32<br />
set address untrust source-dr 6.6.6.1/24<br />
3. IGMP<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet2 protocol igmp router<br />
set interface ethernet2 protocol igmp enable<br />
4. RIP<br />
set vrouter trust-vr protocol rip<br />
set vrouter trust-vr protocol rip enable<br />
set interface ethernet3 protocol rip enable<br />
5. PIM-SM<br />
set vrouter trust-vr protocol pim<br />
set vrouter trust-vr protocol pim enable<br />
set interface ethernet1 protocol pim<br />
set interface ethernet1 protocol pim enable<br />
set interface ethernet2 protocol pim<br />
set interface ethernet2 protocol pim enable<br />
set interface ethernet3 protocol pim<br />
set interface ethernet3 protocol pim enable<br />
6. Directivas<br />
set policy from untrust to trust source-dr mgroup1 any permit<br />
7. Directiva multicast<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust<br />
pim-message bsr-static-rp join bi-directional<br />
save
Comprobar la configuración<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Para verificar la configuración de PIM-SM, ejecute el comando siguiente:<br />
ns-> get vrouter trust protocol pim<br />
PIM-SM enabled<br />
Number of interfaces : 1<br />
SPT threshold : 1 Bps<br />
PIM-SM Pending Register Entries Count : 0<br />
Multicast group accept policy list: 1<br />
Virtual Router trust-vr - PIM RP policy<br />
--------------------------------------------------<br />
Group Address RP access-list<br />
Virtual Router trust-vr - PIM source policy<br />
--------------------------------------------------<br />
Group Address Source access-list<br />
Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente:<br />
ns-> get igmp group<br />
total groups matched: 1<br />
multicast group interface last reporter expire ver<br />
*224.4.4.1 trust 0.0.0.0 ------ v2<br />
ns->get vrouter trust protocol pim mroute<br />
trust-vr - PIM-SM routing table<br />
-----------------------------------------------------------------------------<br />
Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G<br />
Forward - F, Null - N, Negative Cache - E, Local Receivers - L<br />
SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S<br />
Turnaround Router - K<br />
-----------------------------------------------------------------------------<br />
Total PIM-SM mroutes: 2<br />
(*, 236.1.1.1) RP 20.20.20.10 01:54:20/- Flags: LF<br />
Zone : Untrust<br />
Upstream : ethernet1/2 State : Joined<br />
RPF Neighbor : local Expires : -<br />
Downstream :<br />
ethernet1/2 01:54:20/- Join 0.0.0.0 FC<br />
(10.10.10.1/24, 238.1.1.1) 01:56:35/00:00:42 Flags: TLF Register Prune<br />
Zone : Trust<br />
Upstream : ethernet1/1 State : Joined<br />
RPF Neighbor : local Expires : -<br />
Downstream :<br />
ethernet1/2 01:54:20/- Join 236.1.1.1 20.20.20.200 FC<br />
Comprobar la configuración 189
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
190 Comprobar la configuración<br />
En cada entrada de la ruta puede verificar lo siguiente:<br />
El estado (S, G) o estado de reenvío (*, G)<br />
Si el estado de reenvío es (*, G), la dirección IP del RP; si el estado de reenvío es<br />
(S, G), la dirección IP de origen<br />
Zona que posee la ruta<br />
El estado de “conexión” y las interfaces entrantes y salientes<br />
Valores del temporizador<br />
Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente:<br />
ns-> get vrouter trust protocol pim rp<br />
Flags: I - Imported, A - Always(override BSR mapping)<br />
C - Static Config, P - Static Proxy<br />
-----------------------------------------------------------------------------<br />
Trust<br />
238.1.1.1/32 RP: 10.10.10.10 192 Static - C<br />
Registering : 0<br />
Active Groups : 1<br />
238.1.1.1<br />
Untrust<br />
236.1.1.1/32 RP: 20.20.20.10 192 Static - P<br />
Registering : 0<br />
Active Groups : 1<br />
236.1.1.1<br />
Para verificar que hay un vecino de reenvío por rutas inversas, ejecute el comando<br />
siguiente:<br />
ns-> get vrouter trust protocol pim rpf<br />
Flags: RP address - R, Source address - S<br />
Address RPF Interface RPF Neighbor Flags<br />
-------------------------------------------------------<br />
10.10.11.51 ethernet3 10.10.11.51 R<br />
10.150.43.133 ethernet3 10.10.11.51 S<br />
Para visualizar el estado de los mensajes join-prune que el dispositivo de seguridad<br />
envía a cada vecino de un enrutador virtual, ejecute el comando siguiente:<br />
ns-> get vrouter untrust protocol pim join<br />
Neighbor Interface J/P Group Source<br />
---------------------------------------------------------------------<br />
1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1<br />
(S,G) J 224.11.1.1 60.60.0.1
Configurar puntos de encuentro<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Puede configurar un punto de encuentro (RP) estático si desea asociar un RP<br />
específico a uno o más grupos multicast. Puede configurar múltiples RP estáticos<br />
con cada RP asignado a un grupo multicast diferente.<br />
Debe configurar un RP estático cuando en la red no haya enrutador bootstrap.<br />
Aunque un dispositivo de seguridad puede recibir y procesar mensajes bootstrap,<br />
no realiza funciones de enrutador bootstrap.<br />
Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee<br />
asignar RP a grupos multicast de forma dinámica. Puede crear un C-RP para<br />
cada zona.<br />
Configurar de un punto de encuentro estático<br />
Cuando configure un RP estático, debe especifica lo siguiente:<br />
La zona del RP estático<br />
La dirección IP del RP estático<br />
Una lista de accesos que define los grupos multicast del RP estático (Para<br />
obtener información sobre las listas de accesos, consulte “Listas de acceso” en<br />
la página 141).<br />
Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen el<br />
mismo RP, incluya la palabra clave always. Si no incluye esta palabra clave, y el<br />
dispositivo de seguridad descubre que hay otro RP asignado dinámicamente a los<br />
mismos grupos multicast, utilizará el RP dinámico.<br />
En este ejemplo, creará una lista de accesos para el grupo multicast 224.4.4.1, y a<br />
continuación creará un RP estático para dicho grupo. La dirección IP del RP estático<br />
es 1.1.1.5/24. Especifique la palabra clave always para asegurarse de que el<br />
dispositivo de seguridad utilice siempre el mismo RP para eso.<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 2<br />
Sequence No.: 1<br />
IP/Netmask: 224.4.4.1/32<br />
Action: Permit<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance ><br />
RP Address > New: Introduzca los siguientes datos y haga clic en OK:<br />
Zone: Trust (seleccione)<br />
Address:1.1.1.5<br />
Access List: 2<br />
Always: (seleccione)<br />
CLI<br />
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1<br />
set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always<br />
save<br />
Configurar puntos de encuentro 191
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configurar de un punto de encuentro candidato<br />
192 Configurar puntos de encuentro<br />
Cuando configura un enrutador virtual como RP candidato, debe especificar<br />
lo siguiente:<br />
La zona en la que se configura el C-RP<br />
La dirección IP de la interfaz que se notifica como C-RP<br />
Una lista de acceso que define los grupos multicast del C-RP<br />
La prioridad de C-RP notificada<br />
En este ejemplo, habilitará PIM-SM en la interfaz ethernet1 que está asocidad a la<br />
zona Trust. Creará una lista de acceso que defina los grupos multicast del C-RP. A<br />
continuación creará un C-RP en la zona Trust del enrutador trust-vr. Establecerá la<br />
prioridad del C-RP a 200.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 1<br />
Sequence No.: 1<br />
IP/Netmask: 224.2.2.1/32<br />
Action: Permit<br />
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:<br />
Sequence No.: 2<br />
IP/Netmask: 224.3.3.1/32<br />
Action: Permit<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance ><br />
RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos, luego haga<br />
clic en OK.<br />
Interface: ethernet1 (seleccione)<br />
Access List: 1 (seleccione)<br />
Priority: 200<br />
CLI<br />
set interface ethernet1 protocol pim<br />
set interface ethernet1 protocol pim enable<br />
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1<br />
set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2<br />
set vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1<br />
mgroup-list 1 priority 200<br />
save
Consideraciones sobre seguridad<br />
Restringir grupos multicast<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
Al ejecutar PIM-SM, hay algunas opciones que se pueden configurar en un<br />
enrutador virtual (VR) para controlar el tráfico hacia y desde el enrutador virtual.<br />
Los ajustes definidos en el enrutador virtual afectan a todas las interfaces PIM-SM<br />
habilitadas en el enrutador virtual.<br />
Cuando una interfaz recibe mensajes de tráfico de control multicast (mensajes<br />
IGMP o PIM-SM) de otras zonas, del dispositivo de seguridad comprueba primero si<br />
hay una directiva multicast que permita dicho tráfico. Si el dispositivo de seguridad<br />
encuentra una directiva multicast que permita el tráfico, comprueba las opciones<br />
del enrutador virtual que se pudieran aplicar al tráfico. Por ejemplo, si configura el<br />
enrutador virtual para aceptar mensajes join-prune desde grupos multicast<br />
especificados en una lista de acceso, el dispositivo de seguridad comprueba si dicho<br />
tráfico es para un grupo multicast de la lista. Si es así, el dispositivo permite el<br />
tráfico. Si no lo es, el dispositivo descarta el tráfico.<br />
Puede restringir un VR para que sólo reenvíe mensajes join-prune de PIM-SM de un<br />
conjunto de grupos multicast determinado. Indique los grupos multicast<br />
autorizados en una lista de accesos. Cuando utilice esta característica, el VR<br />
descarta los mensajes join-prune que son para los grupos que no están en la lista de<br />
acceso.<br />
En este ejemplo, creará una lista de acceso con en número de identificación 1 que<br />
autoriza a los siguientes grupos: 224.2.2.1/32 y 224.3.3.1/32. A continuación,<br />
configure el enrutador trust-vr para aceptar mensajes join-prune de los grupos<br />
multicast que se encuentran en la lista de acceso.<br />
Consideraciones sobre seguridad 193
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
194 Consideraciones sobre seguridad<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Restringir orígenes multicast<br />
Access List ID: 1<br />
Sequence No.: 1<br />
IP/Netmask: 224.2.2.1/32<br />
Action: Permit<br />
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:<br />
Sequence No.: 2<br />
IP/Netmask: 224.3.3.1/32<br />
Action: Permit<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance:<br />
Seleccione los siguientes datos y haga clic en Apply:<br />
Access Group: 1 (seleccione)<br />
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1<br />
set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2<br />
set vrouter trust-vr protocol pim accept-group 1<br />
save<br />
Puede controlar los orígenes desde los que un grupo multicast recibe datos.<br />
Identifique el origen, u orígenes, permitido en una lista de acceso, a continuación<br />
vincule la lista de acceso a los grupos multicast. Esto evita que orígenes no<br />
autorizados envíen datos a su red. Si utiliza esta característica, el dispositivo de<br />
seguridad descarta datos multicast de los orígenes que no se encuentran en la<br />
lista. Si el enrutador virtual es el punto de encuentra de la zona, comprobará la<br />
lista de acceso antes de aceptar un mensaje REGISTER de un origen. El<br />
dispositivo de seguridad descarta los mensajes REGISTER que no provienen<br />
de un origen autorizado.<br />
En este ejemplo, primero creará una lista de acceso con el número de identificación<br />
5, que especifica el origen autorizado 1.1.1.1/32. A continuación configurará el<br />
enrutador trust-vr para que acepte datos multicast para el grupo multicast<br />
224.4.4.1/32 desde el origen especificado en la lista de acceso.<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 5<br />
Sequence No.: 1<br />
IP/Netmask: 1.1.1.1/32<br />
Action: Permit<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance ><br />
MGroup: Seleccione los siguientes datos y haga clic en Add:<br />
MGroup: 224.4.4.1/32<br />
Accept Source: 5 (seleccione)
CLI<br />
Restringir puntos de encuentro<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1<br />
set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5<br />
save<br />
Puede controlar que puntos de encuentro (RPS) están asignados a un grupo<br />
multicast. Identifique los RP autorizados en una lista de acceso, a continuación<br />
vincule la lista de acceso a los grupos multicast. Cuando el enrutador virtual (VR)<br />
recibe un mensaje bootstrap para un determinado grupo, comprueba la lista de la<br />
RP autorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona<br />
ningún RP para el grupo multicast.<br />
En este ejemplo, creará una lista de accesos con el número de identificación 6, que<br />
especifica el RP autorizado, 2.1.1.1/32. A continuación, configurará el enrutador<br />
trust-vr para que acepte el RP de la lista de acceso para el grupo multicast<br />
224.4.4.1/32.<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Access List ID: 6<br />
Sequence No.: 1<br />
IP/Netmask: 2.1.1.1/32<br />
Action: Permit<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance ><br />
MGroup: Seleccione los siguientes datos y haga clic en Add:<br />
MGroup: 224.4.4.1/32<br />
Accept RP: 6 (seleccione)<br />
CLI<br />
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1<br />
set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6<br />
save<br />
Consideraciones sobre seguridad 195
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Parámetros de la interfaz PIM-SM<br />
196 Parámetros de la interfaz PIM-SM<br />
Puede cambiar ciertos elementos predeterminados de cada interfaz en la que<br />
habilite PIM-SM. Cuando ajuste los parámetros en este nivel, únicamente afectará<br />
a la interfaz que usted especifique.<br />
La Tabla 18 describe los parámetros de la interfaz PIM-SM y sus valores<br />
predeterminados:<br />
Tabla 18: Parámetros PIM-SIM<br />
Definir una directiva de vecindad<br />
Parámetros de la interfaz<br />
PIM-SIM Descripción<br />
Neighbor policy Controla adyacencias vecinas. Para<br />
obtener información adicional, consulte<br />
“Definir una directiva de vecindad” en la<br />
página 196.<br />
Hello interval Especifica el intervalo en el que la<br />
interfaz envía mensajes de saludo a sus<br />
enrutadores vecinos.<br />
Designates route priority Especifica la prioridad de la interfaz<br />
para la elección del enrutador<br />
designado.<br />
Join-Prune Interval Especifica el intervalo, en segundos, en<br />
el que la interfaz envía mensajes<br />
join-prune.<br />
Bootstrap border Especifica que la interfaz es un borde<br />
bootstrap. Para obtener información<br />
adicional, consulte “Definir un borde<br />
bootstrap” en la página 197.<br />
Puede controlar los elementos vecinos con los que una interfaz puede formar una<br />
adyacencia. Los enrutadores PIM-SM envían periódicamente mensajes de saludo<br />
para anunciarse como enrutadores PIM-SM. Si utiliza esta característica, la interfaz<br />
comprueba su lista de vecinos autorizados o rechazados y forma adyacencias con<br />
aquellos que estén autorizados.<br />
En este ejemplo, se creará una lista de acceso que especifique lo siguiente:<br />
El número de identificación es 1.<br />
La primera instrucción permite 2.1.1.1/24.<br />
La segunda instrucción permite 2.1.1.3/24.<br />
Valor<br />
predeterminado<br />
Desactivado<br />
30 segundos<br />
A continuación, especificará que ethernet1 puede formar una adyacencia con los<br />
vecinos de la lista de acceso.<br />
1<br />
60 segundos<br />
Desactivado
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
WebUI<br />
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):<br />
Introduzca los siguientes datos y haga clic en OK:<br />
CLI<br />
Definir un borde bootstrap<br />
Access List ID: 1<br />
Sequence No.: 1<br />
IP/Netmask: 2.1.1.1/24<br />
Action: Permit<br />
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:<br />
Sequence No.: 2<br />
IP/Netmask: 2.1.1.3/24<br />
Action: Permit<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
Accepted Neighbors: 1<br />
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1<br />
set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2<br />
set interface ethernet1 protocol pim neighbor-policy 1<br />
save<br />
Una interfaz que es un borde bootstrap (BSR) recibe y procesa mensajes BSR, pero<br />
no los reenvía a otras interfaces aunque tengan una directiva de grupo multicast<br />
que autorice mensajes BSR de una zona a otra. Así se asegura que las asignaciones<br />
RP-a-grupo permanezcan siempre dentro de una zona.<br />
En este ejemplo, configurará ethernet1 como borde bootstrap.<br />
WebUI<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Seleccione Bootstrap<br />
Border, luego haga clic en Apply.<br />
CLI<br />
set interface ethernet1 protocol pim boot-strap-border<br />
save<br />
Parámetros de la interfaz PIM-SM 197
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
Configurar de un punto de encuentro del proxy<br />
198 Configurar de un punto de encuentro del proxy<br />
Un dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas<br />
asignaciones de punto de encuentro (RP) a grupo. En un dominio PIM-SM con<br />
asignaciones RP-group dinámicas, los enrutadores PIM-SM de un dominio escuchan<br />
los mensajes del mismo enrutador bootstrap (BSR) para seleccionar sus<br />
asignaciones RP-group. En un dominio PIM-SM con asignaciones RP-group<br />
estáticas, debe configurar el RP estático en cada enrutador en el dominio. (Para<br />
obtener información sobre asignaciones RP-group, consulte “Configurar puntos de<br />
encuentro” en la página 191).<br />
En los dispositivos de seguridad de <strong>Juniper</strong> <strong>Networks</strong>, las interfaces asociadas a<br />
zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar<br />
PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada<br />
zona deben encontrarse en un dominio PIM-SM diferente. Por ejemplo, si las<br />
interfaces de la zona Trust están en modo NAT y las interfaces de la zona Untrust<br />
están en modo de ruta, cada zona deben encontrarse en un dominio PIM-SM<br />
diferente. Además, al configurar PIM-SM a través de dos enrutadores virtuales que<br />
se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe<br />
estar en un dominio PIM-SM independiente.<br />
Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un<br />
RP proxy. Un RP proxy actúa como un RP para grupos multicast memorizado de<br />
otro dominio PIM-SM, ya sea a través de un RP estático o a través de mensajes<br />
bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su<br />
dominio, funciona como la raíz del árbol de distribución compartido y puede<br />
formar el árbol de ruta más corta al origen.<br />
Puede configurar un RP proxy por cada zona en un enrutador virtual. Para<br />
configurar un RP proxy en una zona, debe configurar un RP candidato(C-RP) en<br />
dicha zona. A continuación, el dispositivo de seguridad notifica la dirección IP del<br />
C-RP como la dirección IP del RP proxy. Cuando configure el C-RP, no especifique<br />
ningún grupo multicast en la lista de grupo multicast. Esto permite que el C-RP<br />
actúe como el RP proxy de cualquier grupo importado de otra zona. Si especifica<br />
grupos multicast, el C-RP funciona como el RP verdadero para los grupos<br />
especificados en la lista.<br />
Si hay un BSR en la zona, el RP proxy se notifica a si mismo como el RP para los<br />
grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy,<br />
éste funciona como el RP estático para los grupos multicast importados de otras<br />
zonas. A continuación debe configurar la dirección IP del C-RP como el RP estático<br />
en todos los demás enrutadores de la zona.<br />
El RP proxy admite el uso de IPs asignadas (MIP) para la traducción de la dirección<br />
de origen. Una MIP es una asignación directa (“1:1”) de una dirección IP a otra.<br />
Puede configurar una MIP cuando desee que el dispositivo de seguridad traduzca a<br />
otra dirección una dirección privada de una zona cuyas interfaces estén en modo<br />
NAT. Cuando un host de la MIP en la zona de un proxy RP envía un mensaje<br />
REGISTER, el dispositivo de seguridad traduce el origen IP a dirección MIP y envía<br />
un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo de seguridad<br />
recibe el mensaje join-prune para una dirección MIP, el dispositivo asigna la MIP a la<br />
dirección origen inicial y la envía al origen.
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
El RP proxy también admite la traducción de direcciones de grupos multicast entre<br />
las zonas. Puede configurar una directiva multicast que especifique la dirección<br />
original del grupo multicast y la dirección del grupo multicast traducida. Cuando el<br />
dispositivo de seguridad recibe un mensaje join-prune en una interfaz de la zona del<br />
RP proxy, traduce el grupo multicast, si es necesario, y envía el mensaje adjunto al<br />
RP verdadero.<br />
Considere el caso siguiente:<br />
ethernet1 en la zona Trust está en modo NAT, y ethernet3 en la zona Untrust<br />
está en modo de ruta.<br />
Hay una MIP para el origen en la zona Trust.<br />
El origen en la zona Trust envía tráfico multicast al grupo multicast<br />
224.4.4.1/32.<br />
Hay receptores tanto en la zona Trust como en la zona Untrust.<br />
Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las<br />
zonas Trust y Untrust.<br />
La zona Trust se configura como el RP proxy.<br />
El RP y el BSR están en la zona Untrust.<br />
Figura 35: Ejemplo de punto de encuentro del proxy<br />
Origen<br />
Zona Trust<br />
Enrutador<br />
designado (DR)<br />
Receptores<br />
ethernet1<br />
modo NAT<br />
ethernet3<br />
modo de ruta<br />
A continuación se indica el flujo de datos:<br />
1. El origen envía datos al grupo multicast 224.4.4.1/32.<br />
Zona Untrust<br />
Punto de<br />
encuentro (RP)<br />
Receptores<br />
Enrutador<br />
bootstrap<br />
(BSR)<br />
2. El enrutador designado (DR) encapsula los datos y envía mensajes REGISTER<br />
hacia el RP.<br />
3. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a<br />
dirección IP del origen inicial a la dirección IP de la MIP. A continuación reenvía<br />
el mensaje hacia el RP para el grupo multicast.<br />
Configurar de un punto de encuentro del proxy 199
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
200 Configurar de un punto de encuentro del proxy<br />
4. El proxy RP envía entradas (*, G) al RP real.<br />
5. Los receptores de la zona Trust envían mensajes adjuntos al RP proxy.<br />
6. El RP proxy envía los paquetes multicast a los receptores de la zona Trust.<br />
Para configurar un RP proxy, debe hacer el siguiente:<br />
1. Cree una instancia PIM-SM en un enrutador virtual específico.<br />
2. Habilite PIM-SM en las interfaces apropiadas.<br />
3. Configure el RP candidato en la zona del proxy RP.<br />
4. Configure el RP proxy.<br />
Figura 36: Ejemplo de configuración del RP proxy<br />
Origen<br />
Punto de<br />
encuentro<br />
real<br />
Zona Trust<br />
Receptores<br />
Enrutador<br />
bootstrap<br />
En este ejemplo, los dispositivos de seguridad NS1 y el NS2 están conectados a<br />
través de un túnel VPN. Ambos dispositivos ejecutan el protocolo de enrutamiento<br />
dinámico, BGP. Configure PIM-SM en ethernet1 y tunnel.1 en NS1 y en NS2. A<br />
continuación, en NS2, configure ethernet1 como RP estático, y cree un RP proxy en<br />
la zona Trust del enrutador trust-vr.<br />
Zona Untrust<br />
NS1<br />
ethernet1<br />
10.2.2.1/24<br />
Elementos relacionados con NS1<br />
Interfaz de túnel<br />
tunnel.1<br />
ethernet3<br />
4.1.1.1/24<br />
VPN<br />
ethernet3<br />
2.2.2.2/24<br />
Interfaz de túnel<br />
tunnel.1<br />
Elementos relacionados con NS2<br />
ethernet1<br />
10.4.1.1/24<br />
NS2<br />
Zona Untrust<br />
Zona Trust<br />
Punto de<br />
encuentro<br />
del proxy<br />
Receptores
WebUI (NS1)<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Introduzca los siguientes datos y haga clic en OK:<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos<br />
y haga clic en OK:<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga<br />
clic en OK:<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: mgroup1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 224.4.4.1/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: branch<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.4.1.0/24<br />
Zone: Untrust<br />
3. PIM-SM<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance:<br />
Seleccione Protocol PIM: Enable, luego haga clic enOK.<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Configurar de un punto de encuentro del proxy 201
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
202 Configurar de un punto de encuentro del proxy<br />
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
4. VPN<br />
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos<br />
y haga clic en OK.<br />
Gateway Name: To_Branch<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 4.1.1.1<br />
Preshared Key: fg2g4h5j<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
Gateway:<br />
Security Level: Compatible<br />
Phase 1 Proposal (For Compatible Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (Protección de la identificación)<br />
5. BGP<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, escriba 0.0.0.10.<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP<br />
Instance.<br />
AS Number (obligatorio): 65000<br />
BGP Enabled: (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 4.1.1.1<br />
Outgoing Interface: ethernet3<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione<br />
Peer Enabled y luego haga clic en OK.<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
<strong>Networks</strong>: Escriba 2.2.2.0/24 en el campo IP/Netmask, luego haga clic en Add.<br />
A continuación, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en<br />
Add de nuevo.<br />
Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
Protocol BGP: Enable (seleccione)
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
6. Directivas<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), branch<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: any<br />
Action: Permit<br />
7. Directiva multicast<br />
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
WebUI (NS2)<br />
MGroup Address: IP/Netmask (seleccione), 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
PIM Message: (seleccione)<br />
BSR Static IP: (seleccione)<br />
Join/Prune: (seleccione)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y<br />
haga clic en Apply:<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.4.1.1/24<br />
Seleccione NAT y luego haga clic en Apply.<br />
> IGMP: Introduzca los siguientes datos y haga clic en Apply:<br />
IGMP Mode: Router<br />
Protocol IGMP: Enable (seleccione)<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 4.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga<br />
clic en OK:<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Configurar de un punto de encuentro del proxy 203
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
204 Configurar de un punto de encuentro del proxy<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: mgroup1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 224.4.4.1/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic<br />
en OK:<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 2.2.2.0/24<br />
Zone: Untrust<br />
3. PIM-SM<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance:<br />
Seleccione Protocol PIM: Enable, luego haga clic enOK.<br />
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes<br />
datos y haga clic en Apply:<br />
PIM Instance: (seleccione)<br />
Protocol PIM: Enable (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance ><br />
RP Address > New: Introduzca los siguientes datos y haga clic en OK:<br />
Zone: Trust (seleccione)<br />
Address: 10.4.1.1/24<br />
4. VPN<br />
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos<br />
y haga clic en OK:<br />
Gateway Name: To_Corp<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
Preshared Key: fg2g4h5j<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de Gateway:<br />
Security Level: Compatible<br />
Phase 1 Proposal (para Compatible Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (Protección de la identificación)
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
5. BGP<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
Virtual Router ID: Custom (seleccione)<br />
En el cuadro de texto, escriba 0.0.0.10.<br />
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP<br />
Instance.<br />
AS Number (obligatorio): 65000<br />
BGP Enabled: (seleccione)<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
Neighbors: Introduzca los siguientes datos y haga clic en Add:<br />
AS Number: 65000<br />
Remote IP: 2.2.2.2<br />
Outgoing Interface: ethernet3<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione<br />
Peer Enabled y luego haga clic en OK.<br />
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance ><br />
<strong>Networks</strong>:<br />
En el campo IP/Netmask, introduzca 4.1.1.0/24 y luego haga clic en Add.<br />
En el campo IP/Netmask, introduzca 10.4.1.0/24, luego haga clic en Add.<br />
Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol<br />
BGP: Enable, luego haga clic en Apply.<br />
6. Directivas<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y<br />
haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), mgroup1<br />
Service: any<br />
Action: Permit<br />
7. Directiva multicast<br />
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes<br />
datos y haga clic en OK:<br />
MGroup Address: IP/Netmask (seleccione), 224.4.4.1/32<br />
Bidirectional: (seleccione)<br />
PIM Message: (seleccione)<br />
BSR Static IP: (seleccione)<br />
Join/Prune: (seleccione)<br />
Configurar de un punto de encuentro del proxy 205
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
CLI (NS1)<br />
206 Configurar de un punto de encuentro del proxy<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust mgroup1 224.4.4.1/32<br />
set address untrust branch 10.4.1.0/24<br />
3. PIM-SM<br />
set vrouter trust-vr<br />
set vrouter trust-vr protocol pim enable<br />
set interface ethernet1 protocol pim<br />
set interface ethernet1 protocol pim enable<br />
set interface tunnel.1 protocol pim<br />
set interface tunnel.1 protocol pim enable<br />
4. Túnel VPN<br />
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3<br />
preshare fg2g4h5j proposal pre-g2-3des-sha<br />
set vpn Corp_Branch gateway To-Branch3 sec-level compatible<br />
set vpn Corp_Branch bind interface tunnel.1<br />
set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24<br />
5. BGP<br />
set vrouter trust-vr router-id 10<br />
set vrouter trust-vr protocol bgp 6500<br />
set vrouter trust-vr protocol bgp enable<br />
set vrouter trust-vr protocol bgp neighbor 4.1.1.1<br />
set vrouter trust-vr protocol bgp network 2.2.2.0/24<br />
set vrouter trust-vr protocol bgp network 10.2.2.0/24<br />
set interface ethernet3 protocol bgp enable<br />
set interface ethernet3 protocol bgp neighbor 4.1.1.1<br />
6. Directivas<br />
set policy name To-Branch from untrust to trust branch any any permit<br />
7. Directiva multicast<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust<br />
pim-message bsr-static-rp join bi-directional<br />
save<br />
CLI (NS2)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.4.1.1/24<br />
set interface ethernet1 protocol igmp router<br />
set interface ethernet1 protocol igmp enable<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 4.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3
PIM-SM e IGMPv3<br />
2. Direcciones<br />
set address trust mgroup1 224.4.4.1/32<br />
set address untrust corp 2.2.2.0/24<br />
Capítulo 8: Multicast independiente de protocolo (PIM)<br />
3. PIM-SM<br />
set vrouter trust protocol pim<br />
set interface ethernet1 protocol pim<br />
set interface ethernet1 protocol pim enable<br />
set interface tunnel.1 protocol pim<br />
set interface tunnel.1 protocol pim enable<br />
set vrouter trust protocol pim zone trust rp proxy<br />
set vrouter trust protocol pim zone trust rp candidate interface ethernet1<br />
set vrouter trust protocol pim enable<br />
4. Túnel VPN<br />
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3<br />
preshare fg2g4h5j proposal pre-g2-3des-sha<br />
set vpn Branch_Corp gateway To_Corp sec-level compatible<br />
set vpn Branch_Corp bind interface tunnel.1<br />
set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24<br />
5. BGP<br />
set vrouter trust-vr router-id 10<br />
set vrouter trust-vr protocol bgp 6500<br />
set vrouter trust-vr protocol bgp enable<br />
set vrouter trust-vr protocol bgp neighbor 2.2.2.2<br />
set vrouter trust-vr protocol bgp network 4.1.1.0/24<br />
set vrouter trust-vr protocol bgp network 10.4.1.0/24<br />
set interface ethernet3 protocol bgp neighbor 2.2.2.2<br />
6. Directivas<br />
set policy name To-Corp from untrust to trust corp any any permit<br />
7. Directiva multicast<br />
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust<br />
pim-message bsr-static-rp join bi-directional<br />
save<br />
Los dispositivos NetScreen admiten las versiones 1, 2 y 3 de IGMP (Internet Group<br />
Management Protocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts<br />
que reciben los datos para un grupo multicast pueden recibir datos desde cualquier<br />
origen que envíe datos al grupo multicast. Los informes de miembros de IGMP v1 y<br />
v2 sólo indican con qué grupos multicast desean unirse los hosts. No contienen<br />
información sobre los orígenes del tráfico de datos multicast. Cuando PIM-SM<br />
recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas<br />
multicast, permitiendo que cualquier origen realice envíos al grupo multicast. A<br />
esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a<br />
un grupo multicast sin conocer del origen que envía datos al grupo. La red cuenta<br />
con la información sobre el origen.<br />
Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y<br />
desde qué orígenes esperan recibir tráfico multicast. El informe de miembro<br />
IGMPv3 contiene la dirección del grupo multicast, el modo de filtrado, que es<br />
“include” o “exclude”, y una lista de orígenes.<br />
PIM-SM e IGMPv3 207
Conceptos y ejemplos, Manual de Referencia de ScreenOS<br />
208 PIM-SM e IGMPv3<br />
Si el modo de filtrado es include, los receptores aceptan tráfico multicast solamente<br />
de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de<br />
miembros IGMPv3 con una lista de origen y un modo de filtro include, crea<br />
entradas (S, G) en la tabla de rutas multicast para todos los orígenes de la lista<br />
de origen.<br />
Si es el modo de filtro es exclude, los receptores no aceptan tráfico multicast de<br />
los orígenes que se encuentran en la lista; aceptan tráfico multicast del resto de<br />
orígenes. Cuando PIM-SM recibe un informe miembros IGMPv3 con la lista de<br />
origen y un modo de filtro exclude, crea una entrada (*, G) para el grupo y envía un<br />
mensaje prune para los orígenes de la lista de origen. En este caso, puede ser que<br />
necesite configurar un punto de encuentro si los receptores no conocen la<br />
dirección del origen.
Índice<br />
A<br />
Áreas OSPF.....................................................................48<br />
definición .................................................................54<br />
interfaces, asignación a..........................................55<br />
B<br />
BGP<br />
atributos de ruta ....................................................111<br />
comunidades .........................................................131<br />
confederaciones ....................................................130<br />
configuraciones, seguridad ..................................119<br />
configuraciones, verificación ...............................118<br />
enrutador virtual, creación de una<br />
instancia en .........................................................113<br />
equilibrio de carga ..................................................38<br />
expresiones regulares...........................................123<br />
externos .................................................................111<br />
interno ....................................................................111<br />
introducción al protocolo .....................................110<br />
lista de acceso AS-path .........................................123<br />
parámetros.............................................................121<br />
tipos de mensaje ...................................................110<br />
vecinos, autenticación ..........................................120<br />
BGP, configuración<br />
grupos de interlocutores.......................................115<br />
interlocutores.........................................................115<br />
pasos.......................................................................112<br />
BGP, habilitación<br />
en interfaz..............................................................114<br />
en VR ......................................................................113<br />
C<br />
circuitos de demanda, RIP..........................................101<br />
configuración punto a multipunto<br />
OSPF .........................................................................72<br />
consulta de rutas<br />
múltiple VR ..............................................................36<br />
secuencia..................................................................33<br />
D<br />
directivas<br />
multicast.................................................................143<br />
E<br />
ECMP.........................................................................38, 62<br />
Encapsulado genérico de enrutamiento (GRE) ........141<br />
Enrutadores BGP<br />
agregar............................................................124, 132<br />
atributos, configuración........................................125<br />
notificación condicional........................................124<br />
peso, establecimiento ...........................................125<br />
predeterminado, rechazo .....................................120<br />
redistribución.........................................................122<br />
reflexión .................................................................128<br />
supresión ................................................................133<br />
Enrutadores OSPF<br />
adyacencia ...............................................................50<br />
creación de instancia OSPF en enrutador<br />
virtual .....................................................................53<br />
designado .................................................................50<br />
designado de respaldo............................................50<br />
tipos ..........................................................................49<br />
Enrutadores RIP<br />
alternativa ..............................................................100<br />
rechazo predeterminado ........................................94<br />
redistribución...........................................................83<br />
resumen, configuración..........................................99<br />
enrutadores virtuales<br />
véase VRs<br />
enrutamiento estático ...........................................2, 2 a 9<br />
configuración .............................................................5<br />
Interfaz nula, reenvío en ........................................10<br />
multicast.................................................................140<br />
utilización ...................................................................3<br />
enrutamiento multicast<br />
IGMP .......................................................................145<br />
PIM..........................................................................173<br />
enrutamiento según el origen (SBR)............................17<br />
enrutamiento según la interfaz de origen (SIBR) .......20<br />
enrutamiento, multicast..............................................137<br />
equilibrio de cargas según coste de cada ruta......38, 62<br />
I<br />
IGMP<br />
configuración, básica ............................................151<br />
configuración, verificación...................................153<br />
consultador ............................................................148<br />
directivas, multicast ..............................................160<br />
interfaces, habilitar en ..........................................149<br />
listas de accesos, uso ............................................150<br />
mensajes de host...................................................147<br />
parámetros.....................................................153, 154<br />
Índice IX-I
Concepts & Examples ScreenOS Reference Guide<br />
IX-II Índice<br />
interfaces, habilitar IGMP en...................................... 149<br />
Interfaz nula, definir rutas con .................................... 10<br />
Internet Group Management Protocol<br />
véase IGMP<br />
L<br />
listas de acceso<br />
enrutamiento multicast ........................................ 141<br />
IGMP ....................................................................... 150<br />
para rutas................................................................. 42<br />
PIM-SM ................................................................... 193<br />
load-balancing by path cost ......................................... 62<br />
M<br />
multicast<br />
árboles de distribución......................................... 176<br />
direcciones............................................................. 138<br />
directivas................................................................ 143<br />
directivas para IGMP............................................. 160<br />
reenvío por rutas inversas ................................... 138<br />
rutas estáticas........................................................ 140<br />
tablas de enrutamiento ........................................ 139<br />
N<br />
Números de sistema autónomo (AS) ........................ 113<br />
O<br />
Open Shortest Path First<br />
Consulte OSPF<br />
OSPF<br />
área de rutas internas............................................. 49<br />
área no exclusiva de rutas internas ...................... 49<br />
conexiones virtuales ............................................... 63<br />
configuración de seguridad.................................... 67<br />
ECMP support.......................................................... 62<br />
equilibrio de carga .................................................. 38<br />
interfaces, asignación a áreas ............................... 55<br />
interfaces, túnel....................................................... 72<br />
inundación, LSA reducida ...................................... 71<br />
inundaciones, protección contra........................... 70<br />
LSA, supresión......................................................... 71<br />
notificaciones de estado de conexiones............... 48<br />
parámetros de interfaz........................................... 65<br />
parámetros globales ............................................... 61<br />
pasos de configuración........................................... 52<br />
protocolo de saludo ................................................ 50<br />
punto a multipunto ................................................. 72<br />
red punto a punto ................................................... 50<br />
redes de difusión..................................................... 50<br />
soporte de ECMP..................................................... 62<br />
tipo de conexión, establecimiento........................ 72<br />
vecinos, autenticación............................................ 67<br />
vecinos, filtrado....................................................... 68<br />
P<br />
PIM-SM..........................................................................176<br />
configuración de puntos de encuentro...............191<br />
configuraciones de seguridad ..............................193<br />
enrutador designado.............................................177<br />
IGMPv3 ...................................................................207<br />
instancias, creación ..............................................181<br />
parámetros de interfaz .........................................196<br />
pasos de configuración.........................................180<br />
proxy RP ................................................................198<br />
puntos de encuentro.............................................177<br />
tráfico, reenvío ......................................................178<br />
PIM-SSM........................................................................180<br />
Protocol Independent Multicast<br />
véase PIM<br />
Protocolo de información de enrutamiento<br />
véase RIP<br />
Proxies de IGMP<br />
emisor.....................................................................167<br />
en interfaces ..........................................................158<br />
Proxy de IGMP .............................................................155<br />
R<br />
RIP<br />
autenticación de vecinos........................................92<br />
base de datos.........................................................100<br />
configuración de circuito de demanda...............101<br />
equilibrio de carga ..................................................38<br />
filtrado de vecinos...................................................93<br />
instancias, creación en VR .....................................82<br />
interfaces, habilitar en............................................83<br />
inundaciones, protección contra...........................95<br />
parámetros de interfaz ...........................................91<br />
parámetros globales................................................89<br />
punto a multipunto ...............................................104<br />
resumen de prefijo..................................................99<br />
versiones ..................................................................97<br />
versiones, protocolo................................................97<br />
RIP, configuración<br />
circuitos de demanda ...........................................102<br />
pasos.........................................................................81<br />
seguridad..................................................................92<br />
RIP, visualización<br />
base de datos...........................................................86<br />
detalles de interfaz..................................................88<br />
detalles de protocolo...............................................86<br />
información de vecinos..........................................87<br />
rutas<br />
exportación..............................................................44<br />
filtrado ......................................................................42<br />
importar ...................................................................44<br />
mapas .......................................................................40<br />
métricas....................................................................32<br />
preferencia...............................................................31<br />
redistribución...........................................................39<br />
selección...................................................................31
Rutas BGP, agregado<br />
AS-Path en..............................................................134<br />
AS-Set en ................................................................132<br />
atributos de ............................................................135<br />
Rutas BGP, agregar<br />
agregar....................................................................132<br />
Rutas OSPF<br />
predeterminado, rechazo.......................................69<br />
redistribución...........................................................59<br />
redistribuido, resumen ...........................................60<br />
restricción route-deny, inhabilitación...................73<br />
S<br />
Supresión de notificaciones de estado de<br />
conexiones (LSA).........................................................71<br />
T<br />
tablas de enrutamiento .................................................15<br />
búsqueda en múltiples VR .....................................36<br />
consulta ....................................................................33<br />
multicast.................................................................139<br />
selección de rutas....................................................31<br />
tipos ..........................................................................15<br />
V<br />
VR, rutas<br />
exportación ..............................................................44<br />
filtrado ......................................................................42<br />
importar ...................................................................44<br />
mapas .......................................................................40<br />
preferencia...............................................................31<br />
redistribución...........................................................39<br />
selección...................................................................31<br />
VR, tablas de enrutamiento<br />
búsqueda en múltiples VR .....................................36<br />
consulta ....................................................................33<br />
entradas máximas ..................................................30<br />
VRs .......................................................................... 39 a 44<br />
BGP ............................................................... 112 a 119<br />
ECMP ........................................................................38<br />
en vsys......................................................................27<br />
ID de enrutador .......................................................23<br />
listas de acceso........................................................42<br />
métricas de ruta ......................................................32<br />
modificar..................................................................22<br />
OSPF ................................................................. 51 a 70<br />
RIP..................................................................... 81 a 97<br />
SBR............................................................................17<br />
SIBR ..........................................................................20<br />
uso de dos ................................................................24<br />
Índice<br />
Índice IX-III
Concepts & Examples ScreenOS Reference Guide<br />
IX-IV Índice