Ce v7 SP

Conceptos y ejemplos Manual de referencia de ScreenOS
Volumen 7: Enrutamiento
Versin 6.0.0, Rev. 02
Juniper Networks, Inc.

1194 North Mathilda Avenue Sunnyvale, CA 94089 USA. 408-745-2000
www.juniper.net
Nmero de pieza: 530-017773-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the users warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen xi Convenciones del documento ........................................................................ xii Convenciones de la interfaz de usuario web ............................................ xii Convenciones de interfaz de lnea de comandos ..................................... xii Convenciones de nomenclatura y conjuntos de caracteres ..................... xiii Convenciones para las ilustraciones ....................................................... xiv Asistencia y documentacin tcnica............................................................... xv Captulo 1 Enrutamiento esttico 1
Vista general .................................................................................................... 1 Cmo funciona el enrutamiento esttico ................................................... 2 Cundo configurar rutas estticas .............................................................. 3 Configuracin de rutas estticas ................................................................ 4 Ajuste de rutas estticas ...................................................................... 5 Establecimiento de una ruta esttica para una interfaz de tnel.......... 8 Habilitacin del seguimiento de puertas de enlace .................................... 9 Reenvo de trfico a la interfaz Null ............................................................... 10 Impedir las consultas de rutas en otras tablas de enrutamiento............... 10 Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel ................................................................................................... 10 Evitar bucles creados por las rutas resumidas.......................................... 11 Rutas permanentemente activas .................................................................... 11 Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste ............................................................................................... 12 Captulo 2 Enrutamiento 13
Vista general .................................................................................................. 14 Tablas de enrutamiento del enrutador virtual................................................. 15 Tabla de enrutamiento basada en destinos.............................................. 16 Tabla de enrutamiento basada en el origen ............................................. 18 Tabla de enrutamiento segn la interfaz de origen .................................. 20 Creacin y modificacin de enrutadores virtuales .......................................... 22 Modificacin de enrutadores virtuales ..................................................... 22 Asignacin de una ID de enrutador virtual............................................... 23 Reenvo de trfico entre enrutadores virtuales......................................... 24 Configuracin de dos enrutadores virtuales ............................................. 24 Creacin y eliminacin de enrutadores virtuales ..................................... 26 Creacin de un enrutador virtual personalizado ................................ 26 Eliminacin de un enrutador virtual personalizado ........................... 27 Enrutadores virtuales y sistemas virtuales ............................................... 27 Creacin de un enrutador virtual en un Vsys..................................... 28 Compartir rutas entre enrutadores virtuales...................................... 29
Contenido
iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Limitacin del nmero mximo de entradas de la tabla de enrutamiento........................................................................................... 30 Ejemplos y funciones del enrutamiento ......................................................... 30 Seleccin de rutas.................................................................................... 31 Establecimiento de una preferencia de ruta ...................................... 31 Mtricas de ruta ................................................................................ 32 Cambio de la secuencia predeterminada de consulta de rutas .......... 33 Consulta de rutas en mltiples enrutadores virtuales ........................ 35 Configuracin del enrutamiento multidireccional de igual coste .............. 36 Redistribucin de rutas............................................................................ 38 Configuracin de un mapa de rutas .................................................. 39 Filtrado de rutas................................................................................ 41 Configuracin de una lista de acceso................................................. 41 Redistribucin de rutas en OSPF ....................................................... 42 Exportacin e importacin de rutas entre enrutadores virtuales.............. 43 Configuracin de una regla de exportacin ....................................... 44 Configuracin de la exportacin automtica ..................................... 45 Captulo 3 Abrir primero la ruta ms corta 47
Vista general .................................................................................................. 48 reas ....................................................................................................... 48 Clasificacin de enrutadores .................................................................... 49 Protocolo de saludo ................................................................................. 50 Tipos de redes ......................................................................................... 50 Redes de difusin.............................................................................. 50 Redes punto a punto ......................................................................... 50 Redes punto a multipunto .................................................................51 Notificaciones de estado de conexiones .................................................. 51 Configuracin bsica de OSPF ....................................................................... 51 Creacin y eliminacin de una instancia de enrutamiento OSPF ............. 53 Creacin de una instancia de OSPF................................................... 53 Eliminacin de una instancia de OSPF .............................................. 53 Creacin y eliminacin de un rea OSPF ................................................. 54 Creacin de un rea OSPF.................................................................54 Eliminacin de un rea OSPF............................................................ 55 Asignacin de interfaces a un rea OSPF................................................. 55 Asignacin de interfaces a reas ....................................................... 55 Configuracin de un rango de reas.................................................. 56 Habilitacin de OSPF en interfaces.......................................................... 56 Habilitacin de OSPF en interfaces ................................................... 56 Inhabilitar OSPF en una interfaz ....................................................... 57 Verificacin de la configuracin............................................................... 57 Redistribucin de rutas en protocolos de enrutamiento ................................. 59 Resumen de rutas redistribuidas .................................................................... 60 Resumen de rutas redistribuidas ............................................................. 60 Parmetros globales de OSPF ........................................................................ 61 Notificacin de la ruta predeterminada....................................................62 Conexiones virtuales ............................................................................... 62 Creacin de una conexin virtual ...................................................... 63 Creacin de una conexin virtual automtica.................................... 64 Ajuste de parmetros OSPF de interfaz .......................................................... 64 Configuracin de seguridad............................................................................ 67 Autenticacin de vecinos ......................................................................... 67 Configuracin de una contrasea de texto no cifrado .......................67
iv
Contenido
Contenido
Configuracin de una contrasea MD5 ............................................. 67 Configuracin de una lista de vecinos de OSPF ....................................... 68 Rechazo de rutas predeterminadas.......................................................... 69 Proteccin contra inundaciones............................................................... 69 Configuracin de un umbral de saludo.............................................. 70 Configuracin de un umbral de LSA .................................................. 70 Habilitacin de la inundacin reducida ............................................. 70 Creacin de un circuito de demanda OSPF en una interfaz de tnel .............. 71 Interfaz de tnel punto a multipunto.............................................................. 71 Establecer el tipo de conexin OSPF ....................................................... 72 Inhabilitacin de la restriccin Route-Deny ............................................. 72 Creacin de una red punto a multipunto ................................................. 73 Captulo 4 Protocolo de informacin de enrutamiento 79
Vista general .................................................................................................. 80 Configuracin bsica de RIP........................................................................... 81 Creacin y eliminacin de una instancia RIP ........................................... 82 Creacin de una instancia RIP........................................................... 82 Eliminacin de una instancia RIP ...................................................... 83 Habilitacin y deshabilitacin de RIP en interfaces.................................. 83 Habilitar RIP en una interfaz ............................................................. 83 Inhabilitacin de RIP en una interfaz ................................................ 83 Redistribucin de rutas............................................................................ 84 Visualizacin de la informacin de RIP .......................................................... 85 Visualizacin de la base de datos RIP ...................................................... 85 Visualizacin de los detalles de RIP ......................................................... 86 Visualizacin de informacin de vecino RIP ............................................ 87 Visualizacin de detalles de RIP para una interfaz especfica ................... 88 Parmetros globales de RIP............................................................................ 89 Notificacin de la ruta predeterminada .......................................................... 90 Configuracin de los parmetros de interfaz de RIP....................................... 90 Configuracin de seguridad............................................................................ 92 Autenticar vecinos al establecer una contrasea...................................... 92 Configuracin de vecinos fiables ............................................................. 93 Rechazo de rutas predeterminadas.......................................................... 94 Proteccin contra inundaciones............................................................... 94 Configuracin de un umbral de actualizacin.................................... 95 Habilitacin de RIP en interfaces de tnel ......................................... 95 Configuraciones opcionales de RIP ................................................................ 96 Configuracin de la versin de RIP .......................................................... 96 Habilitacin e inhabilitacin de un resumen de prefijos........................... 98 Habilitacin de un resumen de prefijos ............................................. 98 Inhabilitar un resumen de prefijo ...................................................... 99 Establecimiento de rutas alternas ............................................................ 99 Circuitos de demanda en interfaces de tnel .........................................101 Configuracin de un vecino esttico ......................................................102 Configuracin de una interfaz de tnel punto a multipunto..........................102 Captulo 5 Protocolo de puertas de enlace de lmite 109
Vista general ................................................................................................110 Tipos de mensajes BGP..........................................................................110 Atributos de ruta....................................................................................111 BGP externo e interno ...........................................................................112
Contenido
Configuracin bsica de BGP........................................................................112 Creacin y habilitacin de una instancia de BGP ...................................113 Creacin de una instancia BGP........................................................113 Eliminacin de una instancia de BGP ..............................................114 Habilitacin e inhabilitacin de BGP en interfaces .................................114 Habilitacin de BGP en interfaces ...................................................114 Inhabilitacin de BGP en interfaces.................................................115 Configuracin de grupos de interlocutores e interlocutores BGP ............115 Configuracin de un interlocutor BGP .............................................117 Configuracin de un grupo de interlocutores IBGP ..........................117 Comprobacin de la configuracin BGP.................................................119 Configuracin de seguridad..........................................................................120 Autenticacin de vecinos BGP ...............................................................120 Rechazo de rutas predeterminadas........................................................121 Configuraciones opcionales de BGP .............................................................122 Redistribucin de rutas en BGP .............................................................123 Configuracin de una lista de acceso AS-Path ........................................124 Agregar rutas a BGP...............................................................................125 Notificacin de ruta condicional......................................................125 Establecimiento del peso de la ruta.................................................126 Establecimiento datributos de ruta..................................................126 Capacidad de route-refresh....................................................................127 Solicitud de una actualizacin de la tabla de enrutamiento entrante ..........................................................................................128 Solicitud de una actualizacin de la tabla de enrutamiento saliente ...........................................................................................128 Configuracin de la reflexin de rutas ...................................................128 Configurar una confederacin ...............................................................131 Comunidades BGP .................................................................................133 Agregacin de rutas ...............................................................................134 Agregacin de rutas con diferentes AS-Paths...................................134 Supresin de las rutas ms especficas en actualizaciones ..............134 Seleccin de rutas para el atributo Path ..........................................136 Cambiar atributos de una ruta agregada .........................................137 Cambiar atributos de una ruta agregada .........................................137 Captulo 6 Enrutamiento basado en directivas 139
Vista general del enrutamiento basado en directivas....................................140 Listas de acceso extendidas...................................................................140 Grupos de coincidencias ........................................................................141 Grupos de acciones................................................................................141 Consulta de rutas con enrutamiento basado en directivas............................142 Configuracin del enrutamiento basado en directivas ..................................143 Configuracin de una lista de acceso extendida.....................................143 Configuracin de un grupo de coincidencias .........................................145 Configuracin de un grupo de acciones .................................................145 Configuracin de una directiva de PBR..................................................146 Enlace de una directiva de enrutamiento basado en directivas..............146 Enlace de una directiva de enrutamiento basado en directivas a una interfaz ...........................................................................................146 Enlace de una directiva de enrutamiento basado en directivas a una zona................................................................................................147 Enlace de una directiva de enrutamiento basado en directivas a un enrutador virtual .............................................................................147
vi
Contenido
Contenido
Visualizacin de la salida de enrutamiento basado en directivas..................147 Visualizacin de una lista de acceso extendida ......................................147 Visualizacin de un grupo de coincidencias ...........................................148 Visualizacin de un grupo de acciones...................................................148 Visualizacin de la configuracin de una directiva de enrutamiento basado en directivas ..............................................................................149 Visualizacin de la configuracin completa de enrutamiento basado en directivas...............................................................................................150 Ejemplo de PBR avanzado ...........................................................................150 Enrutamiento ........................................................................................152 Elementos PBR ......................................................................................153 Listas de acceso extendidas ............................................................153 Grupos de coincidencias..................................................................154 Grupos de acciones .........................................................................154 Directivas de PBR............................................................................154 Asociacin de interfaces ........................................................................155 PBR avanzado con alta disponibilidad y posibilidad de ampliacin ..............155 Solucin de resistencia en PBR ..............................................................155 Solucin con posibilidad de ampliacin en PBR.....................................156 Captulo 7 Enrutamiento multicast 157
Vista general ................................................................................................157 Direcciones multicast ............................................................................158 Reenvo por rutas inversas ....................................................................158 Enrutamiento multicast en dispositivos de seguridad...................................159 Tabla de enrutamiento multicast ...........................................................159 Configuracin de una ruta multicast esttica .........................................160 Listas de acceso .....................................................................................161 Configurar Encapsulado de enrutamiento genrico en interfaces de tnel ......................................................................................................161 Directivas multicast......................................................................................163 Captulo 8 Protocolo de administracin de grupos de Internet 165
Vista general ................................................................................................166 Hosts .....................................................................................................166 Enrutadores multicast............................................................................167 IGMP en dispositivos de seguridad ...............................................................167 Habilitacin e inhabilitacin de IGMP en interfaces ...............................167 Habilitacin de IGMP en una interfaz ..............................................168 Desactivacin de IGMP en una interfaz ...........................................168 Configuracin de una lista de accesos para grupos aceptados ...............168 Configuracin de IGMP ..........................................................................169 Verificacin de una configuracin de IGMP ...........................................171 Parmetros operativos de IGMP.............................................................172 Proxy de IGMP .............................................................................................173 Informes de miembros en sentido ascendente hacia el origen ..............174 Datos multicast en sentido descendente a los receptores ......................175 Configuracin del proxy de IGMP ..........................................................176 Configuracin de un proxy de IGMP en una interfaz..............................176 Directivas multicast para configuraciones de IGMP y proxy de IGMP ....178 Creacin de una directiva de grupo multicast para IGMP ................178 Creacin de una configuracin de proxy de IGMP...........................178 Configuracin de un proxy de remitente de IGMP .................................185
Contenido
vii
Captulo 9
Multicast independiente de protocolo
191
Vista general ................................................................................................192 PIM-SM ..................................................................................................193 rboles de distribucin multicast ....................................................194 Enrutador designado.......................................................................194 Asignacin de puntos de encuentro a grupos ..................................195 Reenvo de trfico a travs del rbol de distribucin .......................195 PIM-SSM ................................................................................................197 Configuracin de PIM-SM en dispositivos de seguridad ................................198 Habilitacin y eliminacin de una instancia PIM-SM en un VR ..............199 Habilitacin de una instancia PIM-SM .............................................199 Eliminacin de una instancia PIM-SM .............................................199 Habilitacin e inhabilitacin de PIM-SM en interfaces............................200 Habilitacin de PIM-SM en una interfaz...........................................200 Desactivacin de PIM-SM en una interfaz........................................200 Directivas de grupo multicast ................................................................200 Mensajes Static-RP-BSR...................................................................201 Mensajes Join-Prune........................................................................201 Definicin de una directiva de grupo multicast para PIM-SM...........201 Ajuste de una configuracin de PIM-SM bsica.............................................202 Verificacin de la configuracin ...................................................................207 Configuracin de puntos de encuentro.........................................................209 Configuracin de un punto de encuentro esttico..................................209 Configuracin de un punto de encuentro candidato ..............................210 Consideraciones sobre seguridad .................................................................211 Restriccin de grupos multicast .............................................................211 Restriccin de orgenes multicast ..........................................................212 Restriccin de puntos de encuentro.......................................................213 Parmetros de la interfaz PIM-SM ................................................................214 Definicin de una directiva vecina.........................................................214 Definicin de un lmite bootstrap ..........................................................215 Configuracin de un punto de encuentro del proxy .....................................215 PIM-SM e IGMPv3 ........................................................................................225 Captulo 10 Protocolo de descubrimiento de enrutador de ICMP 227
Vista general ................................................................................................227 Configuracin del protocolo de descubrimiento de enrutador de ICMP ........228 Habilitacin del protocolo de descubrimiento de enrutador de ICMP.....228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde WebUI .........................................................................................228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde CLI...............................................................................................229 Notificacin de una interfaz ............................................................229 Difusin de la direccin...................................................................229 Configuracin de un intervalo mximo de notificacin ...................230 Configuracin de un intervalo mnimo de notificacin ....................230 Configuracin de un valor de duracin de la notificacin ................230 Configuracin de un retardo de respuesta.......................................230 Configuracin de un intervalo de notificacin inicial .......................231 Configuracin de un nmero de paquetes de notificacin inicial.....231
viii
Contenido
Contenido
Deshabilitacin de IRDP...............................................................................231 Visualizacin de los ajustes de IRDP.............................................................231 ndice ........................................................................................................................IX-I
Contenido
ix
Contenido
Acerca de este volumen

El Volumen 7: Enrutamiento incluye las siguientes secciones:
El Captulo 1, Enrutamiento esttico, explica las tablas de rutas y cmo configurar las rutas estticas para enrutamiento basado en los destinos, enrutamiento basado en la interfaz de origen o enrutamiento basado en orgenes. El Captulo 2, Enrutamiento, explica cmo configurar los enrutadores virtuales en los dispositivos de seguridad y cmo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre enrutadores virtuales. El Captulo 3, Abrir primero la ruta ms corta, explica cmo configurar OSPF (abrir primero la ruta ms corta). El Captulo 4, Protocolo de informacin de enrutamiento, explica cmo configurar el protocolo de informacin de enrutamiento (RIP). El Captulo 5, Protocolo de puertas de enlace de lmite, explica cmo configurar el protocolo de puerta de enlace de lmites (BGP). El Captulo 6, Enrutamiento basado en directivas, explica la manera de obligar al trfico interesante a que siga una ruta especfica en la red. El Captulo 7, Enrutamiento multicast, explica los fundamentos del enrutamiento multicast, incluyendo cmo configurar rutas multicast estticas. El , Protocolo de administracin de grupos de Internet, explica cmo configurar el protocolo de gestin de grupos de Internet (IGMP). El Captulo 9, Multicast independiente de protocolo, explica cmo configurar la opcin de multicast independiente de protocolo en modo Sparse (PIM-SM) y multicast independiente de protocolo - multicast de origen especfico (PIM-SSM). El Captulo 10, Protocolo de descubrimiento de enrutador de ICMP, explica la forma de configurar un intercambio de mensajes del protocolo de mensajes de control de Internet (ICMP) entre un host y un enrutador.
xi
Convenciones del documento

Este documento utiliza las convenciones descritas en las secciones siguientes:

Convenciones de la interfaz de usuario web en esta pgina Convenciones de interfaz de lnea de comandos en esta pgina Convenciones de nomenclatura y conjuntos de caracteres en la pgina xiii Convenciones para las ilustraciones en la pgina xiv
Convenciones de la interfaz de usuario web

En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegacin aparece en la parte superior de la pantalla, cada pgina separada por signos de mayor y menor. Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Ayuda > Gua de configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Convenciones de interfaz de lnea de comandos

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de lnea de comandos (CLI) en ejemplos y en texto. En ejemplos:

Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios.
xii
Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:

set admin user nombre1 contrasea xyz
En el texto, los comandos estn en negrita y las variables en cursiva.
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS:
Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.

ScreenOS admite los siguientes conjuntos de caracteres:

Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
xiii
Convenciones para las ilustraciones

La siguiente figura muestra el conjunto bsico de imgenes utilizado en las ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo o bien dominio de enrutamiento virtual Red de rea local (LAN) con una nica subred o bien zona de seguridad
Internet
Rango dinmico de IP (DIP)
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Dispositivo de red genrico
Interfaz de tnel Servidor Tnel VPN
Enrutador Dispositivos de seguridad Juniper Networks
Conmutador
Concentrador
xiv
Asistencia y documentacin tcnica

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/customers/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con Juniper Networks al techpubs-comments@juniper.net.
xv
xvi
Captulo 1
Enrutamiento esttico
Este captulo explica el enrutamiento esttico y explica cundo y cmo configurar rutas estticas. Incluye las siguientes secciones:
Vista general en esta pgina

Cmo funciona el enrutamiento esttico en la pgina 2 Cundo configurar rutas estticas en la pgina 3 Configuracin de rutas estticas en la pgina 4 Habilitacin del seguimiento de puertas de enlace en la pgina 9
Reenvo de trfico a la interfaz Null en la pgina 10

Impedir las consultas de rutas en otras tablas de enrutamiento en la pgina 10 Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel en la pgina 10 Evitar bucles creados por las rutas resumidas en la pgina 11

Rutas permanentemente activas en la pgina 11 Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste en la pgina 12
Vista general
Una ruta esttica es una asignacin configurada manualmente de una direccin de red IP a un destino de salto siguiente (otro enrutador) que define en un dispositivo de reenvo de capa 3, como un enrutador. En una red que tiene pocas conexiones a otras redes o en las redes cuyas interconexiones de red son relativamente estables, suele resultar ms prctico definir rutas estticas que rutas dinmicas. ScreenOS mantiene las rutas estticas hasta que se eliminan explcitamente. No obstante, cuando sea necesario se puede dar prioridad a rutas dinmicas frente a las estticas.
Puede ver rutas estticas en la tabla de enrutamiento de ScreenOS. Para forzar el equilibrio de cargas, puede configurar en enrutamiento multidireccional de igual coste (ECMP). Para utilizar nicamente puertas de enlace activas, puede establecer el seguimiento de las puertas de enlace. Debe establecer por lo menos una ruta predeterminada como una ruta predeterminada (direccin de red 0.0.0.0/0). Una ruta predeterminada es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento.
Cmo funciona el enrutamiento esttico

Cuando un host enva paquetes a un host de otra red, cada encabezado de paquete contiene la direccin del host de destino. Cuando un enrutador recibe un paquete, compara la direccin de destino con todas las direcciones existentes en la tabla de enrutamiento. El enrutador selecciona en la tabla la ruta ms especfica a la direccin de destino y, a partir de la entrada de ruta seleccionada, determina el siguiente salto (next-hop) al que debe reenviar el paquete.
NOTA:
La ruta ms especfica se determina aplicando en primer lugar el operador lgico AND bit por bit a la direccin de destino y a la mscara de red de cada entrada existente en la tabla de enrutamiento. Por ejemplo, el AND lgico bit por bit de la direccin IP 10.1.1.1 con la mscara de subred 255.255.255.0 es 10.1.1.0. La ruta que tenga el mayor nmero de bits con el valor 1 en la mscara de subred ser la ms especfica (tambin denominada ruta con la mayor coincidencia). La Figura 2 representa una red que utiliza enrutamiento esttico y un ejemplo de paquete IP. En este ejemplo, el host 1 de la red A desea acceder al host 2 de la red C. El paquete que se enviar incluye los siguientes datos en el encabezado:

Direccin IP de origen Direccin IP de destino Carga (mensaje)
Figura 2: Ejemplo de enrutamiento esttico

IP ORIG Host 1 IP DEST Host 2 Carga de datos Enrutador Y Enrutador X Red A Red B Red C
Host 1
Enrutador Z
Host 2
Vista general
Captulo 1: Enrutamiento esttico
La Tabla 1 resume la tabla de enrutamiento de cada enrutador.

Tabla 1: Resumen de la tabla de enrutamiento para los enrutadores X, Y y Z Enrutador X Red
Red A Red B Red C
Enrutador Y Puerta de enlace

Conectada Conectada Enrutador Y
Enrutador Z Puerta de enlace

Enrutador X Conectada Conectada
Red
Red A Red B Red C
Red
Red A Red B Red C
Puerta de enlace
Enrutador X Conectada Conectada
En la Tabla 1, el enrutador X tiene configurada una ruta esttica hacia la red C con la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinado al host 2 de la red C, compara la direccin de destino del paquete con el contenido de su tabla de enrutamiento y detecta que la ltima entrada corresponde a la ruta ms especfica para la direccin de destino. En la ltima entrada de ruta se especifica que el trfico destinado a la red C debe enviarse al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como sabe que la red C est conectada directamente, enva el paquete a travs de la interfaz conectada a esa red. Si el enrutador Y falla o si la conexin entre el enrutador Y y la red C deja de estar disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a travs del enrutador Z, no est configurada de forma esttica en el enrutador X, por lo que ste no detecta la ruta alternativa.
Cundo configurar rutas estticas

Tiene que definir por lo menos algunas rutas estticas incluso cuando utilice protocolos de enrutamiento dinmicos. Es necesario definir rutas estticas cuando se cumplen condiciones como las siguientes:
Para agregar una ruta predeterminada (0.0.0.0/0) a la tabla de enrutamiento de un enrutador virtual (VR) es necesario definir una ruta esttica. Por ejemplo, si est utilizando dos VR en el mismo dispositivo de seguridad, la tabla de enrutamiento de trust-vr podra contener una ruta predeterminada que especificara untrust-vr como el salto siguiente. Esto permitira enrutar hacia untrust-vr el trfico destinado a direcciones no expresadas en la tabla de enrutamiento de trust-vr. Tambin puede definir una ruta predeterminada en untrust-vr para desviar el trfico de la direccin IP especfica a direcciones no encontradas en la tabla de enrutamiento de untrust-vr. Si una red no est conectada directamente con el dispositivo de seguridad pero es accesible a travs de un enrutador de una interfaz contenida en un enrutador virtual (VR), debe definirse una ruta esttica hacia la red que contenga la direccin IP del enrutador. Por ejemplo, la interfaz de zona Untrust puede ser una subred con dos enrutadores, cada uno de los cuales se conecta a diferentes proveedores de servicio de Internet (ISP). Debe definir cul enrutador va a utilizar para reenviar el trfico a ISP especficos.
Vista general
Si est utilizando dos VR en el mismo dispositivo de seguridad y llega trfico entrante a una interfaz de untrust-vr destinado a una red conectada a una interfaz de trust-vr, deber definir una entrada esttica en la tabla de enrutamiento de untrust-vr para la red de destino, indicando trust-vr como salto siguiente. Puede evitar establecer una ruta esttica en este caso, si exporta las rutas de trust-vr a untrust-vr. Cuando el dispositivo funciona en modo transparente, es necesario definir rutas estticas que dirijan el trfico administrativo originado en el dispositivo mismo (distinto del trfico de usuario que pasa por el cortafuegos) a los destinos remotos. Por ejemplo, deber definir rutas estticas que dirijan los mensajes de syslog, SNMP y WebTrends a la direccin de un administrador remoto. Tambin deber definir rutas que dirijan las peticiones de autenticacin a los servidores RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense.
NOTA:
Cuando el dispositivo de seguridad trabaja en modo transparente, es necesario definir una ruta esttica para el trfico administrativo generado por el dispositivo incluso aunque el destino se encuentre en la misma subred que ste.
Para el trfico de red privada virtual (VPN) saliente donde exista ms de una interfaz de salida hacia el destino, deber establecer una ruta para dirigir el trfico saliente al enrutador externo a travs de la interfaz deseada. Si una interfaz en una zona de seguridad de trust-vr es NAT, y si esa interfaz tiene configurada una IP asignada (MIP) o IP virtual (VIP) para recibir trfico procedente de un origen en el dominio de enrutamiento untrust-vr, deber crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de enlace. De forma predeterminada, el dispositivo de seguridad utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. En un VR, tambin puede habilitar tablas de enrutamiento basadas en orgenes o basadas en interfaces de origen. Ambas tablas de enrutamiento, las basadas en orgenes y las basadas en interfaces de origen, contienen las rutas estticas que usted configura en el VR.
Configuracin de rutas estticas

Para configurar una ruta esttica se necesita definir lo siguiente:

Enrutador virtual (VR) al que pertenece la ruta. La direccin IP y la mscara de red de la red de destino. El salto siguiente para la ruta, que puede ser otro VR en el dispositivo de seguridad o la direccin IP de una puerta de enlace (enrutador). Si especifica otro VR, asegrese de que en su tabla de enrutamiento exista una entrada para la red de destino.
Vista general
La interfaz a travs de la cual se reenva el trfico enrutado. La interfaz puede ser cualquier interfaz compatible con ScreenOS, como una interfaz fsica (por ejemplo, ethernet1/2) o una interfaz de tnel. Tambin puede especificar la interfaz Null para determinadas aplicaciones. Consulte la Reenvo de trfico a la interfaz Null en la pgina 10.
Opcionalmente, puede definir los siguientes elementos:

La mtrica de ruta se utiliza para seleccionar la ruta activa cuando existen varias rutas hacia la misma red de destino y todas con el mismo valor de preferencia. La mtrica predeterminada para las rutas estticas es 1. Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que contengan valores de etiqueta especificados a un VR. Valor de preferencia para la ruta. De forma predeterminada, todas las rutas estticas tienen el mismo valor de preferencia que se establece en el VR. Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvo est inactiva o se haya eliminado la direccin IP de la interfaz).
Esta seccin contiene los siguientes ejemplos:

Ajuste de rutas estticas en la pgina 5 Establecimiento de una ruta esttica para una interfaz de tnel en la pgina 8
Ajuste de rutas estticas

En la Figura 3 en la pgina 6, un dispositivo de seguridad que opera con su interfaz de zona Trust en modo de traduccin de direcciones de red (NAT) protege una red de mltiples niveles. Se utiliza tanto administracin local como remota (a travs de NetScreen-Security Manager). El dispositivo de seguridad enva capturas SNMP e informes syslog al administrador local (situado en una red de la zona Trust) y enva informes de NetScreen-Security Manager al administrador remoto (situado en una red de la zona Untrust). El dispositivo utiliza un servidor SecurID en la zona desmilitarizada (DMZ) para autenticar usuarios y un servidor Websense en la zona Trust para realizar el filtrado de web.
NOTA:
Las siguientes zonas deben vincularse antes de que se complete este ejemplo: ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24, respectivamente. Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los siguientes destinos: untrust-vr 1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el VR) 2. Administrador remoto en la subred 3.3.3.0/24
Vista general
3. La subred 2.2.40.0/24 en DMZ 4. La subred 2.20.0.0/16 en DMZ trust-vr 5. untrust-vr para todas las direcciones no encontradas en la tabla de enrutamiento de trust-vr (ruta predeterminada para el VR) 6. La subred 10.10.0.0/16 en la zona Trust 7. La subred 10.20.0.0/16 en la zona Trust 8. La subred 10.30.1.0/24 en la zona Trust
Figura 3: Configuracin de rutas estticas
Administracin remota NetScreen-Security Manager
3.3.3.10/32
untrust-vr
Dominio de enrutamiento virtual Zona Untrust
Internet
1 3.3.3.0/24 2.2.10.0/24 2.2.10.0/24 2.2.40.1/24 3.3.3.1/24 2.2.2.3/24 3 2.2.40.0/24
DMZ
2.2.10.3/24 2.20.30.1/24 4 2.20.30.0/24 2.20.30.2/24 2.20.3.1/24 2.20.4.1/24 2.20.3.0/24 2.20.4.0/24
200.20.2.2/24 2.2.2.2/24 2.2.2.0/24
2.2.45.7/32
Ruta predeterminada
Dispositivo de seguridad Dominio del enrutador virtual trust-vr = Enrutador = Conmutador/concentrador
10.1.1.0/24 10.1.1.2/24 10.10.30.1/24 10.10.30.1/24 7 10.20.1.0/24 10.10.30.5/32 10.1.1.4/24 10.30.1.1/24 10.1.1.3/24 8 10.20.1.1/24 10.30.1.0/24
6 10.10.30.0/24
10.10.40.0/24
Administracin local
10.20.1.1/24 10.20.3.1/24 10.20.4.1/24 10.20.3.0/24
Servidor Websense
10.30.4.7/32
10.20.4.0/24
Zona Trust
Vista general
WebUI
1. untrust-vr
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos para crear la puerta de enlace predeterminada untrust y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.2
Network > Routing > Destination> untrust-vr New: Introduzca los siguientes datos para dirigir los informes del sistema generados por el dispositivo de seguridad a la administracin remota, luego haga clic en OK:
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
2. trust-vr
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr
Vista general
Network Address/Netmask: 10.30.1.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.4 NOTA:
Para eliminar una entrada, haga clic en Remove. Aparecer un mensaje pidiendo confirmacin para realizar la eliminacin. Haga clic en OK para continuar o en Cancel para cancelar la accin. CLI
1. untrust-vr
set set set set

2.
vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2 vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3 vrouter untrust-vr route 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2 vrouter untrust-vr route 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
trust-vr
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2 set vrouter trust-vr route 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3 set vrouter trust-vr route 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4 save
Establecimiento de una ruta esttica para una interfaz de tnel

En la Figura 4, un host fiable reside en una subred diferente de la interfaz fiable. Un servidor del protocolo de transferencia de archivos (FTP) recibe trfico a travs de un tnel VPN. Se necesita establecer una ruta esttica para dirigir el trfico que sale por la interfaz de tnel al enrutador interno que conduce a la subred donde reside el servidor.
Figura 4: Ruta esttica para una interfaz Tunnel
Interfaz Trust ethernet1 10.1.1.1/24 Zona Trust Interfaz Untrust ethernet3 1.1.1.1/24 Zona Untrust Internet Servidor FTP 10.2.2.5
Tnel VPN
tunnel.1 10.10.1.1/24
Enrutador 1.1.1.250
Vista general
WebUI Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.5/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 NOTA:
Para que el tunnel.1 aparezca en la lista desplegable Interface, debe crear primero la interfaz tunnel.1. Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
Habilitacin del seguimiento de puertas de enlace

El dispositivo de seguridad permite que se d seguimiento a las rutas estticas independientes de la interfaz con puertas de enlace para obtener accesibilidad. No se da seguimiento a las rutas estticas de forma predeterminada, pero es posible configurar un dispositivo de seguridad para dar seguimiento a la accesibilidad de las rutas de las puertas de enlace. El dispositivo registra las rutas sometidas a seguimiento segn estn activas o inactivas, dependiendo de la accesibilidad de cada puerta de enlace. Por ejemplo, si no se puede obtener acceso a una puerta de enlace, el dispositivo de seguridad cambia la ruta a inactiva. Cuando la puerta de enlace se vuelve a activar, la ruta se invierte a activa. Para agregar una ruta esttica con el seguimiento de la puerta de enlace, deber establecer explcitamente la ruta a nivel del enrutador virtual (VR) y en la direccin de la puerta de enlace. No establezca una direccin IP para la interfaz. Puede utilizar este comando para agregar una ruta esttica con una puerta de enlace de seguimiento para la direccin IP 1.1.1.254 con prefijo 1.1.1.0 y una longitud de 24. Establezca el seguimiento de la puerta de enlace introduciendo la direccin IP de la puerta de enlace pero no establezca la interfaz. WebUI Network > Routing > Destination: Haga clic en New y luego introduzca lo siguiente:
IPv4/Netmask: 1.1.1.0/24 Gateway: (seleccione) Gateway IP Address: 1.1.1.254
Vista general
CLI
set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 save
Reenvo de trfico a la interfaz Null

Puede configurar rutas estticas usando la interfaz Null como interfaz de salida. La interfaz Null siempre se considera activa y el trfico destinado a la interfaz Null siempre se descarta. Para convertir la ruta a la interfaz Null en una ruta de ltimo recurso, defnala con una mtrica ms alta que la de las dems rutas. Las rutas estticas que reenvan trfico a la interfaz Null se utilizan principalmente con tres objetivos:

Impedir la consulta de rutas en otras tablas de enrutamiento Impedir que el trfico del tnel se enve en interfaces que no sean de tnel Evitar bucles de trfico
Impedir las consultas de rutas en otras tablas de enrutamiento

Si se habilita el enrutamiento basado en interfaz de origen, de forma predeterminada el dispositivo de seguridad realiza operaciones de consulta en la tabla de enrutamiento basada en la interfaz de origen. (Para obtener informacin sobre la configuracin del enrutamiento basado interfaz de origen, consulte Tabla de enrutamiento segn la interfaz de origen en la pgina 20.) Si la ruta no se encuentra en la tabla de enrutamiento basada en la interfaz de origen y si el enrutamiento basado en el origen no est activado, el dispositivo de seguridad realiza operaciones de consulta de rutas en la tabla de enrutamiento basada en el origen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el origen, el dispositivo de seguridad realiza operaciones de consulta de la ruta en la tabla de enrutamiento basada en los destinos. Si desea evitar las operaciones de consulta de rutas en la tabla de enrutamiento basada en el origen o en la tabla de enrutamiento basada en los destinos, puede crear una ruta predeterminada en la tabla de enrutamiento basada en le interfaz de origen con la interfaz Null como la interfaz de salida. Utilice una mtrica ms alta que el resto de las rutas para asegurar que esta ruta slo se utilice si no existe ninguna otra ruta basada en la interfaz que coincida con la ruta.
Impedir que el trfico de tnel se enve a travs de interfaces que no sean de tnel
Puede utilizar las rutas estticas o dinmicas con las interfaces de tnel de salida para encriptar el trfico dirigido a destinos especficos. Si una interfaz de tnel se queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay una ruta alternativa en una interfaz que no sea de tnel, el trfico no se enva encriptado. Para impedir que el trfico que debe estar encriptado se enve a una interfaz que no sea de tnel, defina una ruta esttica al mismo destino que el trfico del tnel con la interfaz Null como interfaz de salida. Asigne a esta ruta una mtrica ms alta que la de la ruta de la interfaz de tnel de modo que la ruta solamente se active si la ruta de la interfaz de tnel no est disponible. Si la interfaz de tnel se queda inactiva, la ruta con la interfaz Null se activa y el trfico para el destino del tnel se descarta.
10
Reenvo de trfico a la interfaz Null
Evitar bucles creados por las rutas resumidas

Cuando el dispositivo de seguridad anuncia rutas resumidas, es posible que el dispositivo reciba el trfico destinado a prefijos que no se encuentran en sus tablas de enrutamiento. Puede reenviar el trfico basado en su ruta predeterminada. El enrutador de recepcin puede reenviar el trfico de nuevo al dispositivo de seguridad debido a el anuncio de la ruta resumida. Para evitar dichos bucles, puede definir una ruta esttica para el prefijo de la ruta resumida con la interfaz Null como la interfaz de salida y una mtrica de ruta alta. Si el dispositivo de seguridad recibe el trfico para los prefijos que se encuentren en su anuncio de ruta resumida pero no en sus tablas de enrutamiento, se descarta el trfico. En este ejemplo establecer una interfaz NULL para la ruta resumida creada hacia la red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caer en el rango de la ruta resumida. El dispositivo de seguridad acepta estos paquetes pero no tiene a dnde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red. Para evitar este comportamiento, establecer una interfaz NULL para esta ruta. Establecer una preferencia y mtrica elevadas es importante al establecer una interfaz NULL. WebUI Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 2.1.1.0/24 Gateway: (seleccione) Interface: Null Gateway IP Address: 0.0.0.0 Preference: 255 Metric: 65535
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535 save
Rutas permanentemente activas

Hay ciertas situaciones en las que posiblemente desee que una ruta mantenga su estado activo en una tabla de enrutamiento incluso si la interfaz fsica asociada a la ruta se queda inactiva o no tiene una direccin IP asignada. Por ejemplo, un servidor XAuth puede asignar una direccin IP a una interfaz en un dispositivo de seguridad siempre que se necesite enviar trfico al servidor. La ruta hacia el servidor de XAuth debe mantenerse activa incluso cuando no haya direccin IP asignada en la interfaz de modo que el trfico que est destinado al servidor XAuth no se descarte. Tambin es til mantener activas las rutas a travs de las interfaces en las que se configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo de seguridad reencamine el trfico saliente a travs de una interfaz diferente si las direcciones IP de destino no se pueden alcanzar a travs de la interfaz original. Aunque el dispositivo de seguridad puede reencaminar el trfico a otra interfaz, necesita ser capaz de enviar peticiones del comando ping en la interfaz original para determinar si los destinos llegan a ser otra vez accesibles.
Rutas permanentemente activas
11
Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste

Tambin puede cambiar la preferencia de enrutamiento de las rutas estticas con enrutamiento multidireccional de igual coste (Equal Cost Multipath, ECMP). Consulte Configuracin del enrutamiento multidireccional de igual coste en la pgina 36 para obtener ms informacin.
12
Cambiar la preferencia de enrutamiento con enrutamiento multidireccional de igual coste
Captulo 2
Enrutamiento
Este captulo describe la administracin del enrutamiento y del enrutador virtual (VR). Incluye las siguientes secciones:

Vista general en la pgina 14 Tablas de enrutamiento del enrutador virtual en la pgina 15

Tabla de enrutamiento basada en destinos en la pgina 16 Tabla de enrutamiento basada en el origen en la pgina 18 Tabla de enrutamiento segn la interfaz de origen en la pgina 20
Creacin y modificacin de enrutadores virtuales en la pgina 22

Modificacin de enrutadores virtuales en la pgina 22 Asignacin de una ID de enrutador virtual en la pgina 23 Reenvo de trfico entre enrutadores virtuales en la pgina 24 Configuracin de dos enrutadores virtuales en la pgina 24 Creacin y eliminacin de enrutadores virtuales en la pgina 26 Enrutadores virtuales y sistemas virtuales en la pgina 27 Limitacin del nmero mximo de entradas de la tabla de enrutamiento en la pgina 30
Ejemplos y funciones del enrutamiento en la pgina 30

Seleccin de rutas en la pgina 31 Configuracin del enrutamiento multidireccional de igual coste en la pgina 36 Redistribucin de rutas en la pgina 38 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43

13
Vista general
El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que alcanzan su destino final. Un enrutador es un dispositivo que est donde una red se encuentra con otra y dirige el trfico entre esas redes. De forma predeterminada, un dispositivo de seguridad entra al modo de funcionamiento de ruta y opera como un enrutador de capa 3. Sin embargo, puede configurar un dispositivo de seguridad para que funcione en modo transparente como un conmutador de capa 2.
NOTA:
En cualquier modo de funcionamiento, tendr que configurar manualmente algunas rutas. Los dispositivos de seguridad de Juniper Networks logran enturarse a travs de un proceso llamado enrutador virtual (VR). Un dispositivo de seguridad divide sus componentes de enrutamiento en dos o ms VR y cada VR mantiene su propia lista de redes conocidas en forma de una tabla de enrutamiento, lgica de enrutamiento y zonas de seguridad relacionadas. Un solo VR puede admitir una o ms de las siguientes rutas:

Rutas estticas o configuradas manualmente Rutas dinmicas, como las que se aprenden por medio de un protocolo de enrutamiento dinmico Rutas multicast, como una ruta a un grupo de mquinas host
Los dispositivos de seguridad de Juniper Networks tienen dos VR predefinidos:

trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad
No puede eliminar los enrutadores virtuales trust-vr ni untrust-vr. Pueden existir varios VR, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*) indica que trust-vr es el VR predeterminado en la interfaz de lnea de comandos (CLI). Puede ver la tabla de VR ejecutando el comando CLI get vrouter. Para configurar zonas e interfaces en otros VR, debe especificar el VR por nombre, por ejemplo untrust-vr. Para obtener informacin sobre las zonas, consulte Zonas en la pgina 2-25. Algunos dispositivos de seguridad le permiten crear otros VR personalizados. Al separar la informacin de enrutamiento en varios VR, podr controlar cunta informacin sobre enrutamiento puede ver en otros dominios de enrutamiento. Por ejemplo, puede mantener la informacin de enrutamiento de todas las zonas de seguridad de una red corporativa en el VR predefinido trust-vr y la informacin de enrutamiento de todas las zonas fuera de la red corporativa en el otro VR predefinido untrust-vr. Puede mantener la informacin sobre enrutamiento de redes internas separada de los orgenes no fiables afuera de la empresa porque los detalles de la tabla de enrutamiento de un VR no se pueden ver en la otra.
14
Vista general
Captulo 2: Enrutamiento
Tablas de enrutamiento del enrutador virtual

En un dispositivo de seguridad, cada VR mantiene sus propias tablas de enrutamiento. Una tabla de enrutamiento es una lista actualizada de redes y direcciones conocidas, desde donde se puede obtener acceso a stas. Cuando un dispositivo de seguridad procesa un paquete entrante, realiza una consulta en la tabla de enrutamiento para buscar la interfaz correspondiente que conduzca a la direccin de destino. Cada entrada de la tabla de enrutamiento identifica la red destino a la que se puede reenviar el trfico. La red destino puede ser una red IP, una subred, una supernet o un host. Cada entrada de la tabla de enrutamiento puede ser unicast (paquete enviado a una sola direccin IP que hace referencia a una sola mquina host) o multicast (paquete enviado a una sola direccin IP que hace referencia a varias mquinas host). Las entradas de la tabla de enrutamiento pueden provenir de los siguientes orgenes:
Redes interconectadas directamente (la red de destino es la direccin IP que asigna a una interfaz en el modo de ruta) Protocolos de enrutamiento dinmico, como protocolo de abrir primero la ruta ms corta (OSPF), el protocolo de puerta de enlace de lmites (BGP) o el protocolo de informacin de enrutamiento (RIP) Otros enrutadores o enrutadores virtuales en forma de rutas importadas Rutas configuradas estticamente Rutas host

NOTA:
Cuando establece una direccin IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecta automticamente una ruta hacia la subred adyacente para canalizar el trfico que pasa por la interfaz. Un VR admite tres tipos de tablas de enrutamiento:
La tabla de enrutamiento basada en destinos permite al dispositivo de seguridad realizar operaciones de consulta de rutas basndose en la direccin IP de destino de un paquete de datos entrante. De forma predeterminada, el dispositivo de seguridad utiliza nicamente direcciones IP de destino para encontrar la mejor ruta por la cual reenviar paquetes. La tabla de enrutamiento basada en orgenes permite al dispositivo de seguridad realizar operaciones de consulta de rutas basndose en la direccin IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para direcciones de origen especficas en las que el dispositivo de seguridad puede realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Tabla de enrutamiento basada en el origen en la pgina 18.
15
La tabla de enrutamiento basada en orgenes permite al dispositivo de seguridad realizar las operaciones de consulta de rutas basndose en la interfaz por la cual un paquete de datos entra al dispositivo. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para determinadas interfaces en las que el VR realiza operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Tabla de enrutamiento segn la interfaz de origen en la pgina 20.
Tabla de enrutamiento basada en destinos

La tabla de enrutamiento basada en destinos est siempre presente en un VR. Adems, puede habilitar las tablas de enrutamiento basadas en orgenes o basadas en interfaces de origen, o ambas, en un VR. El siguiente es un ejemplo de tablas de enrutamiento con base en el destino de ScreenOS:
device-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP P: Permanent D: Auto-Discovered iB: IBGP eB: EBGP O: OSPF E1: OSPF external type 1 E2: OSPF external type 2 IPv4 Dest-Routes for <trust-vr> (11 entries) -------------------------------------------------------------------------------ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------* 8 0.0.0.0/0 eth1/1 10.100.37.1 S 20 1 Root * 7 1.1.1.1/32 eth1/2 0.0.0.0 H 0 0 Root * 3 192.168.1.1/32 mgt 0.0.0.0 H 0 0 Root * 2 192.168.1.0/24 mgt 0.0.0.0 C 0 0 Root * 4 10.100.37.0/24 eth1/1 0.0.0.0 C 0 0 Root * 5 10.100.37.170/32 eth1/1 0.0.0.0 H 0 0 Root * 6 1.1.1.0/24 eth1/2 0.0.0.0 C 0 0 Root * 9 11.3.3.0/24 agg1 0.0.0.0 C 0 0 Root * 10 11.3.3.0/32 agg1 0.0.0.0 H 0 0 Root * 11 3.3.3.0/24 tun.1 0.0.0.0 C 0 0 Root * 12 3.3.3.0/32 tun.1 0.0.0.0 H 0 0 Root
La tabla de enrutamiento contiene la siguiente informacin de cada red de destino:

La interfaz del dispositivo de seguridad a travs del que se reenva el trfico a la red de destino. El siguiente salto (next-hop), que puede ser otro VR en el dispositivo de seguridad o la direccin IP de una puerta de enlace (normalmente la direccin de un enrutador). El protocolo del cual se deriva la ruta. La columna del protocolo de la tabla de enrutamiento le permite conocer el tipo de ruta:

Red conectada (C) Esttica (S) Autoexportada (A)
16

Importada (I) Los protocolos de enrutamiento dinmico, como RIP (R), abrir primero la ruta ms corta u OSPF (O), tipo externo 1 y 2 de OSPF (E1 o E2, respectivamente), protocolo de puerta de enlace de lmite interno o externo (iB o eB, respectivamente) Permanente (P) Host (H) Aparece una entrada host-ruta con una mscara de 32 bits cuando se configura cada interfaz con una direccin IP. La ruta host siempre est activa en la tabla de rutas para que la consulta de rutas siempre tenga xito. Las rutas host se actualizan automticamente con los cambios configurados, como eliminacin de la direccin IP de interfaz, y nunca se redistribuyen ni se exportan. Las rutas host descartan la posibilidad de que haya trfico errtico y conservan la capacidad de procesamiento.

La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias rutas hacia la misma red de destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, ms posibilidades existen que esa ruta se seleccione como ruta activa. Puede modificar el valor de preferencia en cada enrutador virtual para cada protocolo u origen de ruta. Consulte Seleccin de rutas en la pgina 31 para obtener ms informacin.
La mtrica tambin se puede utilizar para seleccionar la ruta a utilizar cuando existen varias rutas para la misma red de destino con el mismo valor de preferencia. El valor de mtrica de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, pero puede especificar un valor diferente cuando se definen estas rutas. El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales y sistemas virtuales en la pgina 27. En este ejemplo, no aparecen entradas bajo el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la tabla trust-vr aparecen once entradas.
La mayora de las tablas de enrutamiento contienen una ruta predeterminada (con la direccin de red 0.0.0.0/0), que es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento. Para ver un ejemplo del enrutamiento basado en el destino, consulte Configuracin de rutas estticas en la pgina 4.
17
Tabla de enrutamiento basada en el origen

Puede obligar a un dispositivo de seguridad a reenviar trfico segn la direccin IP de origen de un paquete de informacin en lugar de la direccin IP de destino. Esta funcin permite que el trfico de los usuarios de una subred concreta se reenve por una ruta mientras que el trfico de los usuarios de una subred diferente se reenva por otra. Cuando el enrutamiento segn el origen se habilita en un VR, el dispositivo de seguridad realiza operaciones de consulta de la tabla de enrutamiento en la direccin IP del origen del paquete en una tabla de enrutamiento con base en orgenes. Si el dispositivo de seguridad no encuentra una ruta para la direccin IP de origen en la tabla de enrutamiento basada en orgenes, utiliza la direccin IP de destino del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en destinos. Usted define las rutas basadas en el origen como rutas configuradas estticamente en VR especificados. Las rutas basadas en orgenes son aplicables al VR en el que usted las configura; sin embargo, puede especificar otro VR como siguiente salto para una ruta basada en orgenes. Tampoco puede redistribuir rutas basadas en el origen a otros VR o protocolos de enrutamiento. Para utilizar esta funcin: 1. Cree al menos una ruta basada en origen especificando esta informacin:

El nombre del VR en el que es aplicable el enrutamiento segn el origen. La direccin IP de origen, que aparece como una entrada en la tabla de enrutamiento basada en orgenes, en la cual el dispositivo de seguridad realiza una consulta de la tabla de enrutamiento. El nombre de la interfaz de salida por la que se reenva el paquete. El salto siguiente para la ruta basada en el origen (tenga en cuenta que si ya ha especificado una puerta de enlace predeterminada para la interfaz con el comando CLI set interface interfaz gateway dir_ip, no necesita especificar el parmetro de puerta de enlace; la puerta de enlace predeterminada de la interfaz se usa como siguiente salto para la ruta basada en el origen. Tambin puede especificar otro VR como siguiente salto para la ruta basada en el origen con el comando set vrouter enrut_virtual route source dir_ip/mscara_red vrouter enrut_virtual_salto_siguiente.) La mtrica para la ruta basada en el origen. (Si hay varias rutas basadas en el origen con el mismo prefijo, slo la ruta con la mtrica ms baja se utiliza para la consulta de rutas y el resto se marcan como inactivas.)

2. Habilitar el enrutamiento segn el origen en el VR. El dispositivo de seguridad utiliza la IP de origen del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en orgenes. Si no se encuentra ninguna ruta para la direccin IP de origen, se utiliza la direccin IP de destino para consultar la tabla de enrutamiento.
18
En la Figura 5, el trfico de los usuarios de la subred 10.1.1.0/24 se reenva al ISP 1, mientras que el trfico de los usuarios de la subred 10.1.2.0/24 se reenva al ISP 2. Es necesario configurar dos entradas en la tabla de enrutamiento del VR predeterminado trust-vr y habilitar el enrutamiento segn el origen:
La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvo y enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvo y enrutador del ISP 2 (2.2.2.2) como siguiente salto
Figura 5: Ejemplo de enrutamiento segn el origen
10.1.1.0/24 ethernet1
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
ISP2
2.2.2.2
WebUI Network > Routing > Source Routing > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0 255.255.255.0 Interface: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0 255.255.255.0 Interface: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 NOTA:
En la WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Based Routing, luego haga clic en OK. CLI
set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr source-routing enable save
19
Tabla de enrutamiento segn la interfaz de origen

El enrutamiento segn la interfaz de origen (SIBR) permite al dispositivo de seguridad reenviar el trfico en funcin de la interfaz de origen (la interfaz por la que el paquete de datos llega al dispositivo de seguridad.) Cuando SIBR se habilita en un enrutador virtual (VR), el dispositivo de seguridad realiza operaciones de consulta de rutas en una tabla de enrutamiento de SIBR. Si el dispositivo de seguridad no encuentra ninguna entrada de ruta en la tabla de enrutamiento de SIBR para la interfaz de origen, puede realizar consultas de ruta en la tabla de enrutamiento basada en orgenes (si el enrutamiento basado en orgenes est habilitado en el VR) o en la tabla de enrutamiento basada en destinos. Las rutas basadas en la interfaz origen se definen como rutas estticas para las interfaces de origen especificadas. Las rutas basadas en la interfaz de origen se aplican al VR en el que se configuran; sin embargo, tambin puede especificar otro VR como siguiente salto para una ruta basada en la interfaz de origen. Sin embargo, tampoco puede exportar rutas basadas en la interfaz de origen a otros VR ni redistribuirlas a un protocolo de enrutamiento. Para utilizar esta funcin: 1. Cree al menos una ruta basada en la interfaz de origen especificando la informacin siguiente:
El nombre del VR en el que es aplicable el enrutamiento segn la interfaz de origen. La interfaz de origen en la que el dispositivo de seguridad realiza una consulta en la tabla SIBR. (Esta interfaz aparece como una entrada en la tabla de enrutamiento.) La direccin IP y el prefijo de mscara de red para la ruta. El nombre de la interfaz de salida por la que se reenva el paquete. El salto siguiente para la ruta basada en interfaz de origen. (Tenga en cuenta que si ya ha especificado una puerta de enlace predeterminada para la interfaz con el comando CLI interface gateway dir_ip, no es necesario especificar el parmetro de puerta de enlace; la puerta de enlace predeterminada de la interfaz se usa como siguiente salto para la ruta basada en la interfaz de origen. Tambin puede especificar otro VR como siguiente salto para la ruta basada en el origen con el comando set vrouter enrut_virtual route source dir_ip/mscara_red vrouter enrut_virtual_salto_siguiente.) La mtrica para la ruta basada en interfaz de origen. (Si hay varias rutas con base en la interfaz de origen con el mismo prefijo, slo la ruta con la mtrica ms baja se utiliza para la consulta de rutas y el resto se marcan como inactivas.)

2. Habilite SIBR para el VR. El dispositivo de seguridad utiliza la interfaz de origen del paquete para las operaciones de consulta de rutas en la tabla SIBR.
20
En la Figura 6, el trfico de los usuarios de la subred 10.1.1.0/24 llega al dispositivo de seguridad en la interfaz ethernet1 y se reenva al ISP 1, mientras que el trfico procedente de los usuarios de la subred 10.1.2.0/24 llega al dispositivo en ethernet2 y se reenva al ISP 2. Deber configurar dos entradas en la tabla de enrutamiento del VR predeterminado trust-vr y habilitar SIBR:
La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvos y ethernet3 como interfaz de reenvo y el enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet2 como interfaz de origen y ethernet4 como interfaz de reenvo y el enrutador del ISP 2 (2.2.2.2) como siguiente salto
Figura 6: Ejemplo de enrutamiento segn la interfaz de origen (SIBR)
10.1.1.0/24 ethernet1 ethernet3
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
ethernet4 ISP2 2.2.2.2
WebUI Network > Routing > Source Interface Routing > New (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0 255.255.255.0 Interface: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
Network > Routing > Source Interface Routing > New (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0 255.255.255.0 Interface: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 NOTA:
En la WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Interface Based Routing, luego haga clic en OK.
21
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr sibr-routing enable save
Creacin y modificacin de enrutadores virtuales

Esta seccin incluye varios ejemplos y procedimientos para modificar enrutadores virtuales (VR) existentes y para crear o eliminar VR personalizados.
Modificacin de enrutadores virtuales

Puede modificar un VR personalizado o predeterminado mediante la WebUI o la CLI. Por ejemplo, para modificar el VR trust-vr: WebUI Network > Routing > Virtual Router (trust-vr) > Edit CLI
set vrouter trust-vr
Puede modificar los siguientes parmetros de los VR:

Identificador de enrutador virtual (consulte Limitacin del nmero mximo de entradas de la tabla de enrutamiento en la pgina 30.) Nmero mximo de entradas permitidas en la tabla de enrutamiento. El valor de preferencia para las rutas, segn el protocolo (consulte Establecimiento de una preferencia de ruta en la pgina 31.) Hacer que el VR reenve el trfico segn la direccin IP de origen del paquete de datos (de forma predeterminada, un VR reenva el trfico segn la direccin IP de destino del paquete de datos.) Consulte Tabla de enrutamiento basada en el origen en la pgina 18.) Habilitar o deshabilitar la exportacin de rutas automtica al untrust-vr para interfaces configuradas en modo de ruta (slo para el trust-vr.) Aadir una ruta predeterminada con otro VR como siguiente salto (slo para el trust-vr.) Hacer capturas SNMP privadas para las MIB de enrutamiento dinmico (slo para el VR de nivel raz.) Permitir que rutas de interfaces inactivas sean tenidas en cuenta para notificacin (de forma predeterminada, slo las rutas activas definidas en interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a otros VR.)

22
Hacer que el VR ignore las direcciones de subredes superpuestas para interfaces (de forma predeterminada, no es posible configurar direcciones IP de subredes superpuestas para interfaces en el mismo VR.) Permitir que el VR sincronice su configuracin con el VR en su interlocutor del protocolo de redundancia de NetScreen (NSRP.)
Asignacin de una ID de enrutador virtual

Con los protocolos de enrutamiento dinmico, cada dispositivo de enrutamiento utiliza una identidad de enrutador exclusiva para comunicarse con otros dispositivos de enrutamiento. La identidad puede ser en forma de notacin decimal con puntos, como una direccin IP, o un valor entero. Si no define una ID de enrutador virtual concreto (VR ID) antes de la habilitacin de un protocolo de enrutamiento dinmico, ScreenOS automticamente selecciona la direccin IP ms alta de las interfaces activas en el enrutador virtual (VR) como identidad del enrutador. De forma predeterminada todos los dispositivos de seguridad tienen asignada la direccin IP 192.168.1.1 a la interfaz VLAN1. Si no especifica una ID del enrutador antes de la habilitacin de un protocolo de enrutamiento dinmico en un dispositivo de seguridad, la direccin IP elegida como ID del enrutador ser probablemente la direccin predeterminada 192.168.1.1. Esto puede provocar un problema de enrutamiento puesto que no puede haber varios VR de seguridad con la misma ID de VR en un dominio de enrutamiento. Por lo tanto, recomendamos que siempre asigne una ID de VR explcita que sea nica en la red. Puede establecer la ID del VR en la direccin de la interfaz de bucle invertido, puesto que la interfaz de bucle invertido no es una VSI (interfaz de seguridad virtual) en un clster NSRP (protocolo de redundancia de NetScreen.) (Consulte el Volumen 11: Alta Disponibilidad para obtener ms informacin sobre la configuracin de un clster NSRP.) En este ejemplo, asignar 0.0.0.10 como ID de enrutador para el trust-vr.
NOTA:
En la WebUI debe introducir la ID del enrutador en notacin decimal de puntos. En la CLI, puede introducir la ID del enrutador en notacin decimal de puntos (0.0.0.10) o simplemente introducir 10 (la CLI la convierte en 0.0.0.10.) WebUI Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10
CLI
set vrouter trust-vr router-id 10 save
23
NOTA:
No puede asignar o cambiar una ID de enrutador si ya ha habilitado un protocolo de enrutamiento dinmico en el VR. Si necesita cambiar la ID del enrutador, debe primero deshabilitar el protocolo de enrutamiento dinmico en el VR. Para obtener informacin sobre la desactivacin del protocolo de enrutamiento dinmico en VR, consulte el captulo correspondiente en este volumen.
Reenvo de trfico entre enrutadores virtuales

Cuando hay dos versiones de VR en un dispositivo de seguridad, el trfico de las zonas en un VR no se reenva automticamente a zonas de otro VR, aunque haya directivas que permitan el trfico. Si el trfico debe pasar entre los VR, tiene que realizar uno de estos procedimientos:
Configurar una ruta esttica en un VR que defina otro VR como el siguiente salto para la ruta. Esta ruta puede incluso ser la ruta predeterminada del VR. Por ejemplo, puede configurar una ruta predeterminada para el trust-vr con el untrust-vr como siguiente salto. Si el destino de un paquete de salida no coincide con ninguna de las entradas de la tabla de enrutamiento del trust-vr, se reenva al untrust-vr. Para obtener informacin sobre la configuracin de rutas estticas, consulte Configuracin de rutas estticas en la pgina 4. Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamiento de otro VR. Puede exportar e importar rutas concretas. Tambin puede exportar todas las rutas de la tabla de enrutamiento del trust-vr a la tabla del untrust-vr. Esto permite el reenvo de paquetes recibidos en el untrust-vr a destinos del trust-vr. Para obtener informacin, consulte Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43.
Configuracin de dos enrutadores virtuales

Cuando hay varios VR dentro de un dispositivo de seguridad, cada VR mantiene tablas de enrutamiento separadas. De forma predeterminada, todas las zonas de seguridad predefinidas y definidas por el usuario estn asociadas al trust-vr. Esto significa que todas las interfaces asociadas a esas zonas de seguridad tambin pertenecen al trust-vr. Esta seccin analiza cmo asociar una zona de seguridad (y sus interfaces) al VR untrust-vr. Puede asociar una zona de seguridad a un slo VR. Puede asociar varias zonas de seguridad a un slo VR cuando no hay superposicin de direcciones entre zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que una zona est asociada a un VR, todas las interfaces de la zona pertenecen al VR. Puede cambiar la asociacin de una zona de seguridad de un VR a otro, pero primero hay que quitar todas las interfaces de la zona. (Para obtener ms informacin sobre cmo enlazar y desenlazar una interfaz de una zona de seguridad, consulte Interfaces en la pgina 2-33.) A continuacin se enumeran los pasos bsicos para asociar una zona de seguridad al VR untrust-vr: 1. Eliminar todas las interfaces de la zona que quiera asociar al untrust-vr. No puede modificar el vnculo de zona a VR si hay una interfaz asignada a la zona. Si ha asignado una direccin IP a una interfaz, deber eliminar la asignacin de direcciones antes de quitar la interfaz de la zona.
24
2. Asignar la zona al VR untrust-vr. 3. Volver a asignar las interfaces a la zona. En el siguiente ejemplo, la zona de seguridad untrust est asociada de forma predeterminada al trust-vr y la interfaz ethernet3 est asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust.) Primero debe definir la direccin IP y la mscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, despus cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr. WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Null IP Address/Netmask: 0.0.0.0/0
2. Asociar la zona untrust al untrust-vr
Network > Zones (untrust) > Edit: Seleccione untrust-vr de la lista desplegable Virtual Router Name, luego haga clic en OK.
3. Asociar la interfaz a la zona untrust
Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name, luego haga clic en OK. CLI
1. Desasociar la interfaz de la zona untrust
unset interface ethernet3 ip unset interface ethernet3 zone

2. Asociar la zona untrust al untrust-vr
set zone untrust vrouter untrust-vr

3. Asociar la interfaz a la zona untrust
set interface eth3 zone untrust save
En el resultado del siguiente ejemplo, el comando get zone muestra la interfaz, zona y enlaces VR predeterminados. En los enlaces predeterminados, la zona untrust est asociada al trust-vr.
device-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root
25
13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root -------------------------------------------------------------
Puede elegir cambiar el enlace de la zona para untrust-vr. Al ejecutar el comando get zone, se muestra la interfaz, la zona y los enlaces de VR modificados; en este caso, la zona untrust est ahora vinculada a untrust-vr.
device-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared untrust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root 13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root ---------------------------------------------------------------
Creacin y eliminacin de enrutadores virtuales

Algunos dispositivos de seguridad le permiten crear VR personalizados adems de los dos predefinidos. Puede modificar todos los aspectos de un VR definido por el usuario, incluidos la identidad del VR, el nmero mximo de entradas permitidas en la tabla de enrutamiento, y el valor de preferencia de las rutas de determinados protocolos.
NOTA:
Slo ciertos dispositivos de seguridad admiten VR personalizados. Para crear VR personalizados, necesita una clave de licencia de software.
Creacin de un enrutador virtual personalizado

En este ejemplo, crear un VR personalizado denominado trust2-vr y habilitar una exportacin de rutas automtica del VR trust2-vr al untrust-vr. WebUI Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK:
Virtual Router Name: trust2-vr Auto Export Route to Untrust-VR: (seleccione)
CLI
set vrouter name trust2-vr set vrouter trust2-vr auto-route-export save
26
Eliminacin de un enrutador virtual personalizado

En este ejemplo, eliminar un VR definido por el usuario existente denominado trust2-vr. WebUI Network > Routing > Virtual Routers: Haga clic en Remove para trust2-vr. Cuando aparezca la peticin de confirmacin de la eliminacin, haga clic en OK. CLI
unset vrouter trust2-vr
Cuando aparezca la peticin de confirmacin para la eliminacin (vrouter unset, are you sure? y/[n]), teclee Y.
save NOTA:
No puede eliminar los VR predefinidos untrust-vr y trust-vr, pero se puede eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR definido por el usuario o cambiar la ID del VR, debe eliminar primero el VR y despus volver a crearlo con el nuevo nombre o ID del VR.
Enrutadores virtuales y sistemas virtuales

Cuando un administrador del nivel raz crea un vsys en sistemas con sistema virtual habilitado, automticamente el vsys tiene los siguientes VR disponibles para su uso:
Cualquier VR de nivel raz que haya sido definido como compartido. El untrust-vr es, de forma predefinida, un VR compartido accesible por cualquier vsys. Puede configurar otro VR de nivel raz como compartido. Un VR de nivel vsys. Cuando crea un vsys, se crea automticamente un VR de nivel vsys que mantiene la tabla de enrutamiento de la zona Trust-nombresistvirt. Puede elegir nombrar el VR como nombresistvirt-vr o con un nombre definido por el usuario. Un VR de nivel vsys no puede ser compartido por otros vsys.
NOTA:
nicamente los sistemas de seguridad de Juniper Networks (NetScreen-500, NetScreen-5200, NetScreen-5400) admiten vsys. Para crear objetos vsys, necesita una clave de licencia de software. Puede definir uno o ms VR personalizados para un vsys. Para obtener ms informacin sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales. En la Figura 7, cada uno de los tres vsys tiene dos VR asociados con ste: un VR de nivel vsys llamado nombresistvirt-vr y el untrust-vr.
27
Figura 7: Enrutadores virtuales dentro de un Vsys

trust-vr untrust-vr (enrutador virtual a nivel de raz compartido) Correo Finanzas DMZ Trust
Ingeniera
sistema raz vsys1 vsys2 vsys3
vsys1-vr Trust-vsys1
Untrust
Automticamente creados cuando crea vsys
Creacin de un enrutador virtual en un Vsys

En este ejemplo, definir un VR personalizado vr-1a con la ID de VR 10.1.1.9 para el vsys mi-vsys1. WebUI Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Virtual Routers > New: Introduzca los siguientes datos, luego haga clic en Apply:
Virtual Router Name: vr-1a Virtual Router ID: Custom (seleccione) En el cuadro de texto, introduzca 10.1.1.9
CLI
set vsys mi-vsys1 (mi-vsys1) set vrouter name vr-1a (mi-vsys1/vr-1a) set router-id 10.1.1.9 (mi-vsys1/vr-1a) exit (mi-vsys1) exit
Teclee Y cuando aparezca la siguiente pregunta:

Configuration modified, save? [y]/n
28
El VR de nivel vsys que se crea cuando usted crea el vsys es el VR predeterminado para un vsys. Puede cambiar el VR predeterminado de un vsys por un VR personalizado. Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en este ejemplo sea el VR predeterminado para el vsys mi-vsys1: WebUI Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Virtual Routers > Edit (para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y haga clic en Apply. CLI
set vsys mi-vsys1 (mi-vsys1) set vrouter vr-1a (mi-vsys1/vr-1a) set default-vrouter (mi-vsys1/vr-1a) exit (mi-vsys1) exit

La zona de seguridad predefinida Trust-nombresistvirt est asociada de forma predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, puede asociar la zona de seguridad predefinida Trust-nombresistvirt y cualquier zona de seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el vsys. El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VR de nivel vsys no se pueden compartir, puede definir cualquier VR de nivel raz para ser compartido por el vsys. Esto le permite definir rutas en un VR de nivel vsys que utilizan un VR de nivel raz como siguiente salto. Puede tambin configurar la redistribucin de rutas entre un VR de nivel vsys y un VR de nivel raz compartido.
Compartir rutas entre enrutadores virtuales

En este ejemplo, el VR de nivel raz mi-enrutador contiene las entradas de la tabla de enrutamiento para la red 4.0.0.0/8. Si configura el VR de nivel raz mi-enrutador como compartible por el vsys, puede definir una ruta en un VR de nivel vsys para el destino 4.0.0.0/8 con mi-enrutador como siguiente salto. En este ejemplo, el vsys es mi-vsys1 y el VR de nivel vsys es mi-vsys1-vr. WebUI Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK:
Virtual Router Name: mi-enrutador Shared and accessible by other vsys (seleccione)
Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Routing Entries > New (para mi-vsys1-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 40.0.0.0 255.0.0.0 Next Hop Virtual Router Name: (seleccione) mi-enrutador
29
CLI
set vrouter name mi-enrutador sharable set vsys mi-vsys1 (mi-vsys1) set vrouter mi-vsys1-vr route 40.0.0.0/8 vrouter mi-enrutador (mi-vsys1) exit

Limitacin del nmero mximo de entradas de la tabla de enrutamiento

A cada VR se le asignan las entradas de la tabla de enrutamiento que necesita de entre un conjunto del sistema. El nmero mximo de entradas disponibles depende del dispositivo de seguridad y del nmero de VR configurados en el dispositivo. Puede limitar el nmero mximo de entradas de la tabla de enrutamiento que pueden ser asignadas para un VR concreto. Esto sirve para prevenir que un VR utilice todas las entradas del sistema.
NOTA:
Consulte la hoja de datos del producto pertinente para determinar el nmero mximo de entradas de la tabla de enrutamiento disponible en su dispositivo de seguridad de Juniper Networks. En este ejemplo, ajustar a 20 el nmero mximo de entradas de la tabla de enrutamiento para el trust-vr. WebUI Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Maximum Route Entry: Set limit at: (seleccione), 20
CLI
set vrouter trust-vr max-routes 20 save
Ejemplos y funciones del enrutamiento

Despus de configurar los VR requeridos para su red, puede determinar qu funciones de enrutamiento desea emplear. Estas funciones afectan el comportamiento del enrutamiento y los datos de la tabla de enrutamiento. Estas funciones se aplican a protocolos de enrutamiento esttico y dinmico. Esta seccin contiene los siguientes temas:

Seleccin de rutas en la pgina 31 Configuracin del enrutamiento multidireccional de igual coste en la pgina 36
30

Redistribucin de rutas en la pgina 38 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43
Seleccin de rutas
Pueden existir varias rutas con el mismo prefijo (direccin IP y mscara) en la tabla de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona la que tiene el valor de preferencia ms bajo. Si los valores de preferencia son iguales, se comparan los valores de mtrica. En ese caso, se selecciona la ruta que tiene el valor de mtrica ms bajo.
NOTA:
Si hay varias rutas para el mismo destino con los mismos valores de preferencia y los mismos valores de mtrica, entonces cualquiera de ellas puede resultar seleccionada. En este caso, la eleccin de una ruta concreta sobre otra no est garantizada ni es predecible.
Establecimiento de una preferencia de ruta

Una preferencia de ruta es un peso aadido a la ruta que influye en la determinacin del mejor camino para que el trfico alcance su destino. Cuando se importa o aade una ruta a la tabla de enrutamiento, el VR aade un valor de preferencia, determinado por el protocolo por el cual es reconocida. Se prefiere un valor de preferencia bajo (un nmero prximo a 0) a un valor de preferencia alto (un nmero alejado de 0.) En un VR, puede establecer el valor de preferencia para rutas de acuerdo con el protocolo. La Tabla 2 detalla los valores de preferencia predeterminados para rutas de cada protocolo.
Tabla 2: Valores de preferencia predeterminados de las rutas Preferencia predeterminada
0 20 30 40 60 100 140 200 250
Protocolo
Conectado Esttico Autoexportado EBGP OSPF RIP Importado OSPF externo de tipo 2 IBGP
Tambin puede ajustar el valor de preferencia de la ruta para dirigir el trfico por el camino preferido.
Ejemplos y funciones del enrutamiento 31
En este ejemplo, especifica un valor de 4 como preferencia para cualquier ruta conectada aadida a la tabla de rutas del untrust-vr.
NOTA:
Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando y a continuacin habilitando el protocolo de enrutamiento dinmico), o, en el caso de rutas estticas, eliminndola y volvindola a aadir. Si cambia la preferencia de ruta no afectar a las rutas existentes. Para aplicar cambios a las rutas existentes, debe borrar las rutas y luego volver a agregarlas. Para las rutas dinmicas, debe deshabilitar el protocolo, luego volver a habilitarlo o reiniciar el dispositivo. Una ruta es conectada cuando el enrutador tiene una interfaz con una direccin IP en la red de destino. WebUI Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los siguientes datos y haga clic en OK:
Route Preference: Connected: 4
CLI
set vrouter untrust-vr preference connected 4 save
Mtricas de ruta
Las mtricas de ruta determinan el mejor camino que un paquete puede tomar para alcanzar un destino dado. Los enrutadores utilizan las mtricas de ruta para sopesar dos rutas al mismo destino y determinar la eleccin de una ruta sobre la otra. Cuando hay varias rutas hacia la misma red de destino con el mismo valor de preferencia, prevalece la ruta con la mtrica ms baja. Una mtrica de ruta se puede basar en cualquier elemento o bien en una combinacin de stos:
Nmero de enrutadores que un paquete debe atravesar para alcanzar un destino Velocidad y ancho de banda relativas de la ruta Costo de los vnculos que conforman la ruta Otros factores

Cuando las rutas son reconocidas dinmicamente, el enrutador contiguo al de origen de la ruta proporciona la mtrica. La mtrica predeterminada para rutas conectadas siempre es 0. La mtrica predeterminada para rutas estticas es 1.
32
Cambio de la secuencia predeterminada de consulta de rutas

Si habilita tanto el enrutamiento basado en el origen como el enrutamiento basado en interfaz de origen en un VR, el VR realiza consultas de rutas, comprobando el paquete entrante con las tablas de enrutamiento en un orden especfico. Esta seccin describe la secuencia de consulta de la ruta predeterminada y cmo puede modificar dicha secuencia configurando los valores de preferencia para cada tabla de enrutamiento. Si un paquete entrante no coincide con una sesin existente, el dispositivo de seguridad ejecuta los pasos restantes con procesamiento del primer paquete. La Figura 8 muestra la secuencia predeterminada de consulta de rutas.
Figura 8: Secuencia predeterminada de consulta de rutas
paquete entrante
SIBR habilitado
La ruta se encontr en tabla SIBR?
No
No
SBR habilitado
La ruta se encontr en tabla SBR?
Reenve el paquete en la interfaz de salida especificada o de siguiente salto
No
No
Se encontr la ruta en DRT? No Descartar el paquete
1. Si el enrutamiento basado en la interfaz de origen se habilita en el VR, el dispositivo de seguridad primero comprueba la tabla de enrutamiento basada en la interfaz de origen para ver si existe una entrada de ruta que coincida con la interfaz en la que lleg el paquete. Si el dispositivo de seguridad encuentra una entrada de ruta para la interfaz de origen en la tabla de enrutamiento basada en la interfaz de origen, reenva los paquetes segn lo especificado por la entrada de enrutamiento correspondiente. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la interfaz de origen en la tabla de enrutamiento basada en la interfaz de origen, el dispositivo comprueba si el enrutamiento basado en el origen est habilitado en el VR.
2. Si el enrutamiento basado en el origen se habilita en el VR, el dispositivo de seguridad comprueba la tabla de enrutamiento basada en el origen para ver si existe una entrada de ruta que coincida con la direccin IP de origen del paquete. Si el dispositivo de seguridad encuentra una entrada de enrutamiento que coincida con la direccin IP de origen, reenva el paquete segn lo especificado por la entrada. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento basada en el origen, el dispositivo comprueba la tabla de enrutamiento basada en los destinos. 3. El dispositivo de seguridad comprueba la tabla de enrutamiento basada en los destinos en consulta de una entrada de enrutamiento que coincida con la direccin IP de destino del paquete. Si el dispositivo de seguridad encuentra una entrada de enrutamiento que coincida con la direccin IP de destino, reenva el paquete segn lo especificado por la entrada. Si el dispositivo no encuentra una entrada de enrutamiento que coincida exactamente con la direccin IP de destino pero hay una ruta predeterminada configurada para el VR, el dispositivo reenva el paquete segn lo especificado por la ruta predeterminada. Si el dispositivo de seguridad no encuentra una entrada de enrutamiento para la direccin IP de destino y no hay ruta predeterminada configurada para el VR, el paquete se descarta. El orden en el que el dispositivo de seguridad comprueba las tablas de enrutamiento para encontrar una ruta que coincida est determinado por un valor de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento con el valor de preferencia ms alto se comprueba primero mientras que la tabla de enrutamiento con el valor de preferencia ms bajo es la ltima en comprobarse. De forma predeterminada, la tabla de enrutamiento basada en la interfaz de origen tiene el valor de preferencia ms alto (3), la tabla de enrutamiento basada en el origen tiene el siguiente valor de preferencia ms alto (2) y la tabla de enrutamiento basada en los destinos tiene el valor de preferencia ms bajo (1). Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para modificar el orden en el que el dispositivo de seguridad realiza la consulta de rutas en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del valor de preferencia ms alto al ms bajo. En el ejemplo siguiente, habilitar tanto el enrutamiento SIBR como el enrutamiento basado en el origen en el enrutador trust-vr. Desea que el dispositivo de seguridad lleve a cabo operaciones de consulta de rutas en las tablas de enrutamiento con el siguiente orden: Enrutamiento basado en el origen primero, SIBR, y luego enrutamiento basado en destinos Para configurar esta secuencia de consulta en la tabla de enrutamiento, debe configurar el enrutamiento basado en el origen con un valor de preferencia ms alto que el de SIBR en este ejemplo, asignar un valor de preferencia de 4 al enrutamiento basado en el origen. WebUI Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Route Lookup Preference (1-255): (seleccione) For Source Based Routing: 4 Enable Source Based Routing: (seleccione) Enable Source Interface Based Routing: (seleccione)
34
CLI
set vrouter trust-vr sibr-routing enable set vrouter trust-vr source-routing enable set vrouter trust-vr route-lookup preference source-routing 4 save
Consulta de rutas en mltiples enrutadores virtuales

Slo puede especificar otro VR como el salto siguiente para una entrada de enrutamiento basada en destinos, y no para una entrada de enrutamiento basada en el origen o en la interfaz. Por ejemplo, la ruta predeterminada en la tabla de enrutamiento basada en destinos puede especificar el untrust-vr como el siguiente salto, luego la entrada del untrust-vr puede especificar otro VR, como DMZ. El dispositivo verificar hasta un total de tres VR. Donde la consulta de rutas en un VR da lugar a consultas de rutas en otro VR, el dispositivo de seguridad siempre lleva a cabo las segundas operaciones de consulta de rutas en la tabla de enrutamiento basada en destinos. En el ejemplo, habilitar el enrutamiento basado en origen tanto en las tablas de enrutamiento trust-vr como en las tablas de enrutamiento untrust-vr. Trust-vr posee las siguientes entradas de enrutamiento:
Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con ethernet3 como la interfaz de reenvo y el enrutador en 1.1.1.1 como el siguiente salto Una ruta predeterminada, con el untrust-vr como el siguiente salto
El untrust-vr posee las siguientes entradas de enrutamiento:

Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con ethernet4 como la interfaz de reenvo y el enrutador en 2.2.2.2 como el siguiente salto Una ruta predeterminada, con ethernet3 como la interfaz de reenvo y el enrutador en 1.1.1.1 como el siguiente salto
La Figura 9 muestra cmo el trfico de la subred 10.1.2.0/24 siempre se reenva a travs de ethernet3 al enrutador en 1.1.1.1.
Figura 9: Consulta de rutas en mltiples VR
10.1.1.0/24 ethernet1 ethernet3
ISP1 1.1.1.1
ethernet2 10.1.2.0/24
ethernet4
ISP2 2.2.2.2
La tabla de enrutamiento basada en el origen para el trust-vr incluye la siguiente entrada:

* ID 1 IP-Prefix 10.1.1.0/24 Interface eth3 Gateway 2.2.2.250 P Pref S 20 Mtr 1 Vsys Root
La tabla de enrutamiento basada en destinos para el untrust-vr incluye la siguiente entrada:

* ID 1 IP-Prefix 0.0.0.0/24 Interface n/a Gateway untrust-vr P Pref S 20 Mtr 0 Vsys Root
El trfico desde la subred 10.1.2.0/24 llega en el dispositivo de seguridad en ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que coincida, el dispositivo de seguridad realiza consultas de rutas en la tabla de enrutamiento basada en destinos. La ruta predeterminada en la tabla de enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente. A continuacin, el dispositivo de seguridad no comprueba la tabla de enrutamiento basada en el origen del untrust-vr para que busque la siguiente entrada:
En su lugar, el dispositivo de seguridad comprueba la tabla de enrutamiento con base en destinos y busca la siguiente entrada:
En el untrust-vr, el dispositivo de seguridad slo realiza consultas de rutas en la tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento basada en origen del untrust-vr contiene una entrada que coincida con el trfico. La ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta predeterminada) reenva el trfico en la interfaz ethernet3.
Configuracin del enrutamiento multidireccional de igual coste

Los dispositivos de seguridad de Juniper Networks admiten el enrutamiento multidireccional de igual coste (ECMP) de forma especfica en cada sesin. Las rutas de igual coste tienen los mismos valores de preferencia y de mtrica. Una vez que un dispositivo de seguridad asocia una sesin con una ruta, el dispositivo de seguridad utiliza dicha ruta hasta que memoriza otra mejor o hasta que la actual deja de ser utilizable. Las rutas elegibles deben tener interfaces de salida que pertenezcan a las misma zona.
NOTA:
Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta va a una zona diferente a la prevista, no se podr producir una coincidencia de sesiones y es posible que el trfico no pueda pasar.
36
NOTA:
Cuando el ECMP se habilita y las interfaces salientes son diferentes y estn en el modo NAT, las aplicaciones (como HTTP) que crean sesiones mltiples no funcionarn correctamente. Las aplicaciones (como telnet o SSH) que crean una sesin, deberan funcionar correctamente. ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o aumenta la eficacia de utilizacin del ancho de banda entre dos o ms destinos. Cuando el ECMP est habilitado, los dispositivos de seguridad utilizan las rutas definidas estticamente o memorizan dinmicamente varias rutas al mismo destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna rutas de igual coste en el modo de ronda recproca (round robin). Sin ECMP, el dispositivo de seguridad utiliza nicamente la primera ruta aprendida o definida. Las otras rutas que sean de igual coste no se utilizan hasta que la ruta activa deje de estarlo.
NOTA:
Al usar ECMP, si tiene dos dispositivos de seguridad en una relacin de vecindad y observa la prdida de un paquete y un equilibrio de cargas incorrecto, compruebe la configuracin del protocolo de resolucin de direcciones (ARP) del dispositivo vecino para asegurarse de que la funcin arp always-on-dest est deshabilitada (predeterminado). Para obtener ms informacin acerca de los comandos relacionados con ARP, consulte Interfaces fuera de lnea y flujo de trfico en la pgina 2-73. Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de enrutamiento basad en destinos trust-vr:
ID * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 20 Mtr 1 1 Vsys Root Root
En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP. Las dos rutas tienen los mismos valores mtricos; sin embargo, la primera ruta es una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad adquiri la primera ruta a travs de DHCP o de PPP y el dispositivo adquiri la ruta predeterminada a travs de la configuracin manual. La segunda ruta es una ruta esttica configurada manualmente (S con una preferencia automtica de 20). Con ECMP deshabilitado, el dispositivo de seguridad reenva todo el trfico a la ruta conectada en ethernet3.
Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de la ruta esttica a cero (0) para que coincida con la ruta conectada introduciendo el comando set vrouter trust-vr preference static 0 y luego habilitando ECMP. Con ECMP habilitado, la carga del dispositivo de seguridad equilibra el trfico alternando entre dos rutas ECMP vlidas. La siguiente pantalla muestra la tabla de enrutamiento actualizada.
ID * * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 0 Mtr 1 1 Vsys Root Root
Si habilita ECMP y el dispositivo de seguridad encuentra ms de una ruta coincidente del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta diferente de igual coste para cada consulta de ruta. Con las rutas indicadas anteriormente, el dispositivo de seguridad alterna entre ethernet3 y ethernet2 para reenviar el trfico a la red 0.0.0.0/0. Si hay ms de dos rutas de igual coste en la red, el dispositivo de seguridad realiza una seleccin de las rutas en orden rotativo (ronda recproca) hasta el mximo configurado de modo que el dispositivo seleccione una ruta ECMP diferente para cada consulta de ruta. ECMP est inhabilitado de forma predeterminada (el nmero mximo de rutas es 1). Para habilitar el enrutamiento ECMP, debe especificar el nmero mximo de rutas de igual coste por enrutador. Puede especificar hasta cuatro rutas. Una vez que establezca el nmero mximo de rutas, el dispositivo de seguridad no aadir o modificar rutas aunque reconozca ms. En el siguiente ejemplo, establecer el nmero mximo de rutas ECMP en el trust-vr en 2. Aunque puede haber 3 4 rutas de igual coste dentro de la misma zona y en la tabla de enrutamiento, el dispositivo de seguridad nicamente alterna entre el nmero configurado de rutas elegibles. En este caso, los datos slo se redireccionan a lo largo de las 2 rutas ECMP especificadas. WebUI Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Maximum ECMP Routes: Set Limit at: (seleccione), 2
CLI
set vrouter trust-vr max-ecmp-routes 2 save
Redistribucin de rutas
La tabla de enrutamiento de un VR contiene rutas agrupadas segn todos los protocolos de enrutamiento dinmico que se ejecutan en el VR, as como las rutas estticas y las rutas conectadas directamente. De forma predeterminada, un protocolo de enrutamiento dinmico (como OSPF, RIP o BGP) notifica a sus adyacentes o interlocutores slo las rutas que cumplen las siguientes condiciones:
Las rutas deben estar activas en la tabla de enrutamiento.
38
Las rutas deben ser reconocidas por el protocolo de enrutamiento dinmico.
NOTA:
OSPF, RIP, y BGP tambin notifican las rutas conectadas de las interfaces de ScreenOS en las que estos protocolos estn habilitados. Para que un protocolo de enrutamiento dinmico pueda notificar rutas previamente reconocidas por otro protocolo, incluidas la rutas configuradas estticamente, es necesario redistribuir las rutas del protocolo origen al protocolo que realiza la notificacin. Puede redistribuir las rutas reconocidas por un protocolo de enrutamiento (incluidas la rutas configuradas estticamente) a otro protocolo de enrutamiento diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual tiene que traducir toda la informacin, en particular las rutas conocidas, del otro protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza OSPF y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus vecinos OSPF sobre cmo llegar a los dispositivos del dominio BGP. Las rutas se distribuyen entre los protocolos segn una regla de redistribucin que define el administrador del sistema o de la red. Cuando se aade una ruta a la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de enrutamiento del VR. Observe que todas las reglas de redistribucin se aplican cuando se aade o se elimina una ruta. No existe el concepto de orden de las reglas o de primera regla aplicable para las reglas de redistribucin.
NOTA:
Slo puede definir una regla de redistribucin entre dos protocolos cualesquiera. En el dispositivo de seguridad, se configura un mapa de rutas para especificar qu rutas van a ser redistribuidas y los atributos de las rutas redistribuidas.
Configuracin de un mapa de rutas

Un mapa de rutas consiste en un conjunto de declaraciones que se aplican en orden secuencial a una ruta. Cada declaracin del mapa de rutas define una condicin que se comprueba con la ruta. Una ruta se compara con cada declaracin de un mapa de rutas determinado en orden creciente del nmero de secuencia hasta que haya una coincidencia, entonces se realiza la accin especificada en la declaracin. Si la ruta cumple la condicin de la declaracin del mapa de rutas, la ruta es aceptada o rechazada. Una declaracin del mapa de rutas puede tambin modificar ciertos atributos de una ruta coincidente. Hay un rechazo implcito al final de todo mapa de rutas; esto es, si una ruta no coincide con ninguna entrada del mapa de rutas, se rechaza. La Tabla 3 detalla las condiciones de comparacin del mapa de rutas y ofrece una descripcin de cada una.
Tabla 3: Condiciones de comparacin del mapa de rutas Condicin de comparacin

BGP AS Path BGP Community OSPF route type Interface IP address Metric Next-hop Tag
Descripcin
Compara con una lista de acceso AS path determinada. Consulte Filtrado de rutas en la pgina 41. Compara con una lista de comunidades determinada. Consulte Filtrado de rutas en la pgina 41. Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2. Compara con una interfaz determinada. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 41. Compara con un valor de mtrica de ruta determinado. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 41. Compara con una direccin IP o etiqueta de ruta determinada.
Para cada condicin de comparacin, especifica si una ruta que cumple la condicin es aceptada (permit) o rechazada (deny). Si una ruta cumple la condicin y es aceptada, puede opcionalmente dar valor a los atributos para la ruta. La Tabla 4 detalla los atributos del mapa de rutas y las descripciones de cada uno.
Tabla 4: Atributos del mapa de rutas Atributos establecidos
BGP AS Path BGP Community BGP local preference BGP weight Offset metric
Descripcin
Aade una lista de acceso AS path determinada al principio de la lista de atributos de camino de la ruta coincidente. Establece el atributo de comunidad de la ruta coincidente a la lista de comunidades especificada. Establece el atributo local-pref de la ruta coincidente al valor especificado. Establece el peso de la ruta coincidente. Aumenta la mtrica de la ruta coincidente hasta el valor especificado. Esto aumenta la mtrica en una ruta menos deseable. Para las rutas RIP, puede aplicar el incremento tanto a las rutas notificadas (route-map out) o a las rutas reconocidas (route-map in). Para otras rutas, puede aplicar el incremento a las rutas que se exportan a otro VR. Establece el tipo de mtrica OSPF de la ruta coincidente a externo tipo 1 o externo tipo 2. Establece la mtrica de la ruta coincidente al valor especificado. Establece el siguiente salto de la ruta coincidente a la direccin IP especificada. Preserva la mtrica de una ruta coincidente que se exporta a otro VR. Conserva el valor de preferencia de la ruta coincidente que se exporta a otro VR. Establece la etiqueta de la ruta coincidente al valor especificado o la direccin IP.
OSPF metric type Metric Next-hop of route Preserve metric Preserve preference Tag
40
Filtrado de rutas
El filtrado de rutas le permite controlar qu rutas se admiten en un VR, cules se notifican a los interlocutores y cules se redistribuyen de un protocolo de enrutamiento a otro. Puede aplicar filtros a las rutas entrantes enviadas por un interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a los enrutadores de interlocucin. Puede utilizar los siguientes mecanismos de filtrado:
Lista de acceso: Consulte Configuracin de una lista de acceso para obtener informacin sobre la configuracin de la lista de acceso. Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas autnomos por los que ha pasado una notificacin de ruta y es parte de la informacin de ruta. Una lista de acceso AS-path es un conjunto de expresiones regulares que representan AS especficos. Puede utilizar una lista de acceso AS-path para filtrar las rutas segn el AS por el que ha pasado la ruta. Consulte Configuracin de una lista de acceso AS-Path en la pgina 124 para obtener informacin sobre la configuracin de una lista de acceso AS-path. Lista de comunidades BGP: Un atributo de comunidad contiene los identificadores de las comunidades a las que pertenece una ruta BGP. Una lista de comunidades BGP es un conjunto de comunidades BGP que puede utilizar para filtrar las rutas segn las comunidades a las que pertenecen. Consulte Comunidades BGP en la pgina 133 para obtener informacin sobre la configuracin de la lista de comunidades BGP.
Configuracin de una lista de acceso

Una lista de acceso es una lista de declaraciones de secuencia con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (acepta o rechaza la ruta). Por ejemplo, una declaracin de una lista de acceso puede permitir las rutas de la subred 1.1.1.0/24. Otra de la misma lista de acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la declaracin de la lista de acceso, se aplica el estado de reenvo especificado. La secuencia de declaraciones de una lista de acceso es importante, puesto que una ruta se compara ordenadamente con todas las declaraciones desde la primera hasta que coincide con una. Si hay una coincidencia, todas las dems de la lista se ignoran. Debe colocar las declaraciones ms especficas antes de las menos especficas. Por ejemplo, colocar la declaracin que rechaza las rutas de la subred 1.1.1.1/30 antes de la que permite las rutas de la subred 1.1.1.0/24. Tambin puede utilizar listas de acceso para controlar el flujo del trfico multicast. Para obtener informacin, consulte Listas de acceso en la pgina 161. En este ejemplo, crear una lista de acceso en el trust-vr. La lista de acceso tiene las siguientes caractersticas:
Identifier: 2 (debe especificar un identificador de lista de acceso cuando se configura la lista de acceso) Forwarding Status: permit

IP Address/Netmask Filtering: 1.1.1.1/24 Sequence Number: 10 (sita esta declaracin con respecto a otras en la lista de acceso)
WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10 save
Redistribucin de rutas en OSPF

En este ejemplo, redistribuir determinadas rutas BGP que han pasado por el sistema autnomo 65000 en OSPF. Primero configura una lista de acceso AS-path que permite las rutas que han pasado por el AS 65000. (Para obtener ms informacin sobre la configuracin de una lista de acceso AS-path, consulte Configuracin de una lista de acceso AS-Path en la pgina 124.) Luego, configurar un mapa de rutas mapa_rutas1 que selecciona las rutas de la lista de acceso AS-path. Por ltimo, en OSPF especificar una regla de redistribucin que utilizar el mapa de rutas mapa_rutas1 y luego especificar BGP como protocolo de origen de las rutas. WebUI
1. Lista de acceso BGP AS-path
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
AS Path Access List ID: 1 Permit: (seleccione) AS Path String: _65000_
2. Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Map Name: mapa_rutas1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: AS Path: (seleccione), 1
42
3.
Regla de redistribucin
Network > Routing > Virtual Router > Edit (para el trust-vr) > Edit OSPF Instance > Redistributable Rules: Seleccione los siguientes datos y haga clic en Add:
Route Map: mapa_rutas1 Protocol: BGP
CLI
1. Lista de acceso BGP AS-path
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_

2. Mapa de rutas
set vrouter trust-vr device(trust-vr)-> set route-map name mapa_rutas1 permit 10 device(trust-vr/mapa_rutas1-10)-> set match as-path 1 device(trust-vr/mapa_rutas1-10)-> exit device(trust-vr)-> exit
3. Regla de redistribucin
set vrouter trust-vr protocol ospf redistribute route-map mapa_rutas1 protocol bgp save
Exportacin e importacin de rutas entre enrutadores virtuales

Si tiene dos VR configurados en un dispositivo de seguridad, puede permitir que rutas especificadas en un VR sean reconocidas por el otro VR. Para hacerlo, debe definir reglas de exportacin en el VR origen que exporten las rutas al VR destino. Cuando se exportan rutas, un enrutador virtual permite a otros VR reconocer su red. En el VR destino, puede configurar opcionalmente reglas de importacin para controlar las rutas que pueden ser importadas del VR origen. Si no hay reglas de importacin en el VR destino, se aceptan todas las rutas exportadas. Para exportar e importar rutas entre enrutadores virtuales: 1. Defina una regla de exportacin en el VR origen. 2. Defina una regla de importacin en el VR destino (opcional). Aunque este paso es opcional, una regla de importacin le permite un mayor control de las rutas que el enrutador virtual de destino acepta del enrutador virtual de origen. En el dispositivo de seguridad, se configura una regla de exportacin o importacin con las especificaciones que se dan a continuacin:
El enrutador virtual de destino (para las reglas de exportacin) o el enrutador virtual de origen (para las reglas de importacin) El protocolo de las rutas que van a ser exportadas/importadas Qu rutas van a ser exportadas/importadas Los atributos nuevos o modificados de las rutas exportadas/importadas (opcional)

La configuracin de una regla de exportacin o importacin es similar a la de una regla de redistribucin. Los mapas de rutas se configuran para especificar qu rutas van a ser exportadas/importadas y los atributos de las mismas. Puede configurar la exportacin automtica de todas las entradas de la tabla de rutas del trust-vr al untrust-vr. Puede configurar tambin que un enrutador virtual definido por el usuario exporte automticamente rutas a otro enrutador virtual. Las rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden ser exportadas.
Configuracin de una regla de exportacin

En este ejemplo, las rutas OSPF de la red 1.1.1.1/24 del enrutador virtual trust-vr se exportan al dominio de enrutamiento del untrust-vr. Primero crear una lista de acceso para el prefijo de red 1.1.1.1/24, que luego se utilizar en el mapa de rutas mapa_rutas1 para filtrar las rutas de la red 1.1.1.1/24. En segundo lugar, crear una regla de exportacin de rutas para exportar las rutas OSPF coincidentes del trust-vr al enrutador virtual untrust-vr. WebUI
trust-vr 1. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
2. Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Map Name: mapa_rutas1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 2
3. Regla de exportacin
Network > Routing > Virtual Routers > Export Rules > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Destination Virtual Router: untrust-vr Route Map: mapa_rutas1 Protocol: OSPF
CLI
trust-vr 1. Lista de accesos
set vrouter trust-vr device(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10
44
2.
Mapa de rutas
device(trust-vr)-> set route-map name mapa_rutas1 permit 10 device(trust-vr/mapa_rutas1-10)-> set match ip 2 device(trust-vr/mapa_rutas1-10)-> exit
3. Regla de exportacin
device(trust-vr)-> set export-to vrouter untrust-vr route-map mapa_rutas1 protocol ospf device(trust-vr)-> exit save
Configuracin de la exportacin automtica

Puede configurar la exportacin automtica de todas las rutas del trust-vr al untrust-vr.
PRECAUCIN: Esta funcin puede anular el aislamiento entre trust-vr y untrust-vr
al poner a la vista todas las rutas fiables en la red no fiable. Si define reglas de importacin para el untrust-vr, slo se importan las rutas que cumplan las reglas de importacin. En este ejemplo, el trust-vr exporta automticamente todas las rutas al untrust-vr, pero una regla de importacin del untrust-vr permite que se exporten slo las rutas de OSPF interno. WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto Export Route to Untrust-VR, luego haga clic en OK.
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: from-ospf-trust Sequence No.: 10 Action: Permit (seleccione) Route Type: internal-ospf (seleccione)
CLI
trust-vr
set vrouter trust-vr auto-route-export

untrust-vr
set vrouter untrust-vr device(untrust-vr)-> set route-map name from-ospf-trust permit 10 device(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf device(untrust-vr/from-ospf-trust-10)-> exit device(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol ospf device(untrust-vr)-> exit save
46
Captulo 3
Abrir primero la ruta ms corta

En este captulo se describe el protocolo de enrutamiento OSPF (Open Shortest Path First) en los dispositivos de seguridad. Incluye las siguientes secciones:
Vista general en la pgina 48

reas en la pgina 48 Clasificacin de enrutadores en la pgina 49 Protocolo de saludo en la pgina 50 Tipos de redes en la pgina 50 Notificaciones de estado de conexiones en la pgina 51
Configuracin bsica de OSPF en la pgina 51

Creacin y eliminacin de una instancia de enrutamiento OSPF en la pgina 53 Creacin y eliminacin de un rea OSPF en la pgina 54 Asignacin de interfaces a un rea OSPF en la pgina 55 Habilitacin de OSPF en interfaces en la pgina 56 Verificacin de la configuracin en la pgina 57

Redistribucin de rutas en protocolos de enrutamiento en la pgina 59 Resumen de rutas redistribuidas en la pgina 60 Parmetros globales de OSPF en la pgina 61

Notificacin de la ruta predeterminada en la pgina 62 Conexiones virtuales en la pgina 62
Ajuste de parmetros OSPF de interfaz en la pgina 64
47
Configuracin de seguridad en la pgina 67

Autenticacin de vecinos en la pgina 67 Configuracin de una lista de vecinos de OSPF en la pgina 68 Rechazo de rutas predeterminadas en la pgina 69 Proteccin contra inundaciones en la pgina 69
Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71 Interfaz de tnel punto a multipunto en la pgina 71

Establecer el tipo de conexin OSPF en la pgina 72 Inhabilitacin de la restriccin Route-Deny en la pgina 72 Creacin de una red punto a multipunto en la pgina 73
Vista general
El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta ms corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para ejecutarse dentro de un nico sistema autnomo. Un enrutador que ejecute OSPF distribuye su informacin de estado (como interfaces disponibles para el uso y accesibilidad por parte de equipos vecinos) inundando peridicamente el sistema autnomo con notificaciones de estado de conexiones (LSA, link-state advertisements). Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizar una base de datos de estado de conexiones. Esta base de datos es una tabla que informa de la topologa y el estado de las redes de un rea. La distribucin constante de las LSA a travs del dominio de enrutamiento permite a todos los enrutadores de un sistema autnomo disponer de bases de datos de estado de conexiones idnticas. El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cul es la mejor ruta a una red cualquiera dentro del sistema autnomo. Esto se consigue generando un rbol de ruta ms corta, que es una representacin grfica de la ruta ms corta a una determinada red dentro del sistema autnomo. Aunque todos los enrutadores tienen la misma base de datos de estado de conexiones, sus rboles de ruta ms corta son exclusivos, ya que los enrutadores generan estos rboles situndose a s mismos en su raz.
reas
De forma predeterminada, todos los enrutadores se agrupan en una nica rea troncal llamada area 0 o backbone (normalmente es el rea 0.0.0.0). Sin embargo, las redes de gran tamao que se encuentran dispersas geogrficamente se suelen segmentar en mltiples reas. A medida que la red se ampla, las bases de datos de estado de conexin tambin crecen y se dividen en grupos ms pequeos para mejorar su posibilidad de ampliacin.
48
Vista general
Captulo 3: Abrir primero la ruta ms corta
Las reas reducen el volumen de informacin de enrutamiento que pasa a travs de la red, ya que cada enrutador slo tiene que actualizar la base de datos de estado del rea a la que pertenece. No necesita actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Un enrutador conectado a mltiples reas mantiene una base de estado de conexiones por cada rea a la que est conectado. Las reas deben estar conectadas directamente al rea 0, excepto cuando crean una conexin virtual. Para obtener ms informacin sobre conexiones virtuales, consulte la pgina 62. Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS y se inundan en todo un AS. Ciertas reas OSPF se pueden configurar como reas de rutas internas (stub areas); de este modo, las notificaciones externas de sistemas autnomos no inundarn estas reas. En OSPF se utilizan normalmente dos tipos de reas habituales:
rea de ruta interna: rea que recibe resmenes de ruta del rea troncal pero que no recibe notificaciones de estado de conexiones de otras reas acerca de enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo). Un rea de ruta interna se puede considerar un rea exclusiva de rutas internas (totally stubby) si en ella no se admiten rutas de resumen. rea NSSA: al igual que las reas de rutas internas normales, las NSSA (Not So Stubby Area, reas no exclusivas de rutas internas) no pueden recibir enrutadores de protocolos distintos de OSPF fuera del rea actual. Sin embargo, los enrutadores externos conocidos dentro del rea tambin se pueden reconocer en otras reas, y as pasar a ellas.
Clasificacin de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su funcin o su posicin en la red:

Enrutador interno: enrutador cuyas interfaces pertenecen a la misma rea. Enrutador de rea troncal: enrutador con una interfaz en el rea troncal. Enrutador de lmite de rea: enrutador conectado a dos o ms reas. Este tipo de enrutador resume las rutas desde distintas reas para su distribucin al rea troncal. En los dispositivos de seguridad con OSPF, el rea troncal se crea de forma predeterminada. Si se crea una segunda rea en un enrutador virtual, el dispositivo funcionar como enrutador de lmite de rea. Enrutador de lmite de sistema autnomo: cuando un rea OSPF limita con otro sistema autnomo, el enrutador situado entre los dos sistemas autnomos se considera el enrutador de lmite. Estos enrutadores se encargan de distribuir la informacin de enrutamiento de los sistemas autnomos externos por su sistema autnomo.
Vista general
49
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores utilizan el protocolo de saludo para establecer y mantener estas relaciones de vecindad. Cuando dos enrutadores establecen comunicacin bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no establecen una relacin de adyacencia, no podrn intercambiar informacin de enrutamiento. Cuando hay mltiples enrutadores en una red, es necesario configurar un enrutador como enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es responsable de inundar la red con LSA que contengan una lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador designado es el nico que puede formar adyacencias con otros enrutadores de la red. As, el enrutador designado es el nico de la red que puede proporcionar informacin de enrutamiento al resto de enrutadores. El enrutador designado de respaldo sustituye al enrutador designado en caso de que ste falle.
Tipos de redes
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF:

Redes de difusin Redes punto a punto Redes punto a multipunto
Redes de difusin
Una red de difusin (broadcast) es una red que interconecta varios enrutadores y que puede enviar (o difundir) un nico mensaje fsico a todos los enrutadores conectados. Se parte de la base de que dos enrutadores cualesquiera en una red de difusin son capaces de comunicarse entre s. Ethernet es un ejemplo de red de difusin. En las redes de difusin, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multidifusin 224.0.0.5. En las redes de difusin, el protocolo de saludo decide cul ser el enrutador designado y el enrutador designado de respaldo para la red. Una red que no sea de difusin conecta varios enrutadores entre s pero no puede difundir mensajes a los enrutadores conectados. En las redes que no son de difusin, los paquetes del protocolo OSPF (que normalmente son multidifusin) se tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de seguridad Juniper Networks no admiten OSPF en redes que no sean de difusin.
Redes punto a punto

Una red punto a punto une dos enrutadores a travs de una red de rea extensa (WAN). Un ejemplo de red punto a punto seran dos dispositivos de seguridad conectados a travs de un tnel VPN IPSec. En las redes punto a punto, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multicast 224.0.0.5.
50
Vista general
Redes punto a multipunto

Una red punto a multipunto es una red que no es de difusin en la que OSPF trata las conexiones entre enrutadores como vnculos punto a punto. Para la red no existe ninguna eleccin de un enrutador designado ni de inundacin LSA. Un enrutador en una red punto a multipunto enva paquetes de saludo a todos los vecinos con quienes pueda comunicarse directamente.
NOTA:
En dispositivos de seguridad, la configuracin punto a multipunto del OSPF solamente se admite en interfaces de tnel y se debe inhabilitar route-deny para que la red funcione correctamente. No se puede configurar una interfaz fsica Ethernet para conexiones punto a multipunto. Para obtener ms informacin, consulte Interfaz de tnel punto a multipunto en la pgina 71.
Notificaciones de estado de conexiones

Cada enrutador OSPF enva notificaciones de estado de conexiones (LSA) que definen la informacin de estado local del enrutador. Adems, hay otros tipos de LSA que un enrutador enva, dependiendo de la funcin de OSPF del enrutador. La Tabla 5 detalla los tipos de LSA, dnde se inunda cada tipo de LSA y el contenido de cada tipo de LSA.
Tabla 5: Resumen del contenido y tipos de LSA Distribuido en
rea rea rea
Tipo de LSA Enviado por

LSA de enrutador LSA de red LSA de resumen Todos los enrutadores OSPF Enrutador designado en redes de difusin y NBMA Enrutadores de lmite de rea
Informacin enviada en la LSA

Describe el estado de todas las interfaces de enrutador en toda el rea. Contiene una lista de todos los enrutadores conectados a la red. Describe una ruta a un destino fuera del rea, pero dentro del sistema autnomo. Hay dos tipos:
Las LSA de resumen de tipo 3 describen rutas a redes. Las LSA de resumen de tipo 4 describen rutas limtrofes
con otros sistemas autnomos. Externo de sistema autnomo Enrutador de lmite de sistema autnomo Sistema autnomo Rutas a redes en otro sistema autnomo. A menudo, se trata de la ruta predeterminada (0.0.0.0/0).
Configuracin bsica de OSPF

Crear OSPF por cada enrutador virtual en un dispositivo de seguridad. Si dispone de varios enrutadores virtuales (VR) en un sistema, podr habilitar una instancia de OSPF por cada enrutador virtual.
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2,Enrutamiento.
51
En esta seccin se describen los pasos bsicos para configurar OSPF en un enrutador virtual ubicado en un dispositivo de seguridad: 1. Crear y habilitar la instancia de enrutamiento OSPF en un enrutador virtual. En este paso tambin se crea automticamente un rea troncal de OSPF, con una ID de rea de 0.0.0.0, que no se podr eliminar. 2. (Opcional) A menos que todas las interfaces OSPF se conecten al rea troncal, tendr que configurar una nueva rea OSPF con su propia ID de rea. Por ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de lmite de rea, tendr que crear otra rea OSPF adems del rea troncal. La nueva rea que se cree podr ser normal, de rutas internas o no exclusiva de rutas internas. 3. Asignar una o varias interfaces a cada rea OSPF. Las interfaces se deben agregar a un rea OSPF explcitamente, incluyendo el rea troncal. 4. Habilitar OSPF en cada interfaz. 5. Comprobar que el protocolo OSPF est configurado correctamente y funciona. En este ejemplo configuraremos el dispositivo de seguridad como enrutador de lmite de rea conectndolo al rea 0 a travs de la interfaz ethernet3 y al rea 10 a travs de ethernet1. Consulte la Figura 10.
Figura 10: Ejemplo de configuracin de OSPF
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.0/24 rea 10
10.1.2.0/24
Internet
rea 0
Opcionalmente tambin es posible configurar otros parmetros de OSPF, como:

Parmetros globales, como conexiones virtuales, que se configuran en el enrutador virtual para el protocolo OSPF (consulte Parmetros globales de OSPF en la pgina 61). Parmetros de interfaz, como la autenticacin, que se configuran en la interfaz para el protocolo OSPF (consulte Ajuste de parmetros OSPF de interfaz en la pgina 64). Parmetros OSPF relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 67).
52
Creacin y eliminacin de una instancia de enrutamiento OSPF

Es posible crear y habilitar una instancia de enrutamiento OSPF en un VR especfico ubicado en un dispositivo de seguridad. Para eliminar una instancia de enrutamiento OSPF, desactive la instancia OSPF y luego elimnela. Al crear la instancia de enrutamiento OSPF se crea automticamente el rea troncal OSPF. Si crea y habilita una instancia de enrutamiento OSPF en un enrutador virtual, OSPF podr transmitir y recibir paquetes en todas las interfaces habilitadas para OSPF del enrutador.
Creacin de una instancia de OSPF

En el siguiente ejemplo, en primer lugar asignar 0.0.0.10 como ID de enrutador a trust-vr. A continuacin crear una instancia de enrutamiento OSPF en l. (Para obtener ms informacin sobre VR y la configuracin de un VR en dispositivos de seguridad, consulte Enrutamiento en la pgina 13). WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) En el cuadro de texto, introduzca 0.0.0.10
2. Instancia de enrutamiento OSPF
Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance: Seleccione OSPF Enabled, luego haga clic en OK. CLI
1. ID de enrutador
set vrouter trust-vr router-id 10

2. Instancia de enrutamiento OSPF
set vrouter trust-vr protocol ospf set vrouter trust-vr protocol ospf enable save NOTA:
En la lnea de comandos CLI, tendr que crear la instancia de enrutamiento OSPF antes de poder habilitarla. Por lo tanto, tendr que ejecutar dos comandos CLI para habilitar una instancia de enrutamiento OSPF.
Eliminacin de una instancia de OSPF

En este ejemplo inhabilitar la instancia de enrutamiento OSPF en el enrutador virtual trust-vr. OSPF dejar de transmitir y procesar paquetes OSPF en todas las interfaces habilitadas para OSPF en el enrutador trust-vr. WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Desactive OSPF Enabled, luego haga clic en OK. Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF Instance, luego haga clic en OK en el mensaje de confirmacin.
53
CLI
unset vrouter trust-vr protocol ospf deleting OSPF instance, are you sure? y/[n] save NOTA:
En CLI, confirme la eliminacin de la instancia OSPF.
Creacin y eliminacin de un rea OSPF

Las reas reducen el volumen de informacin de enrutamiento que tiene que pasar por la red, ya que los enrutadores OSPF slo actualizan la base de datos de estado de conexiones del rea a la que pertenecen. No necesitan actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un rea OSPF adicional, tambin es posible definirla como rea de rutas internas o rea no exclusiva de rutas internas. Si desea ms informacin sobre estos tipos de reas, consulte reas en la pgina 48. La Tabla 6 detalla los parmetros de rea, con descripciones de cada parmetro, e indica el valor predeterminado de cada uno de stos.
Tabla 6: Parmetros de reas de OSPF y sus valores predeterminados Valor predeterminado
1
Parmetro de rea
Metric for default route
Descripcin
(Slo reas NSSA y de rutas internas.) Especifica la mtrica para la notificacin de ruta predeterminada
Metric type for the default (Slo rea NSSA.) Especifica el tipo de mtrica route externa (1 2) para la ruta predeterminada No summary (Slo reas NSSA y de rutas internas.) Especifica que las LSA de resumen no se difundirn por el rea (Todas las reas.) Especifica un rango de direcciones IP que se notificarn en las LSA de resumen, y si stas se notificarn o no
1 Las LSA de resumen se difunden por el rea
Range
Creacin de un rea OSPF

En el siguiente ejemplo crear un rea OSPF con la ID de area 10. WebUI Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area: Introduzca los siguientes datos y haga clic en OK:
Area ID: 10 Type: normal (seleccione) Action: Add
54
CLI
set vrouter trust-vr protocol ospf area 10 save
Eliminacin de un rea OSPF

Antes de que pueda eliminar un rea de OSPF, debe desactivar el proceso de OSPF para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un rea de OSPF con una ID de rea de 10. WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Elimine la seleccin OSPF Enabled, luego haga clic en OK. Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area: Haga clic en Remove. CLI
unset vrouter trust-vr protocol ospf enable unset vrouter trust-vr protocol ospf area 0.0.0.10 save
Asignacin de interfaces a un rea OSPF

Una vez que se ha creado un rea, es posible asignarle una o varias interfaces, ya sea utilizando la WebUI o el comando CLI set interface.
Asignacin de interfaces a reas

En el siguiente ejemplo asignar la interfaz ethernet1 al area OSPF 10 y la interfaz ethernet3 al area OSPF 0. WebUI Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure (Area 10): Utilice el botn Add para mover la interfaz ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (Area 0): Utilice el botn Add para mover la interfaz ethernet3 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK. CLI
set interface ethernet1 protocol ospf area 10 set interface ethernet3 protocol ospf area 0 save
55
Configuracin de un rango de reas

De forma predeterminada, un enrutador de lmite de rea no agrega las rutas enviadas de un rea a otra. Si configura un rango de reas permitir que un grupo de subredes en un rea se consolide en una nica direccin de red para notificarse en otras reas por medio de una nica notificacin de conexin de resumen. Al configurar un rango de reas, deber especificar si desea notificar o retener el rango de reas definido en las notificaciones. En el siguiente ejemplo definir los siguientes rangos de reas para el area 10:

10.1.1.0/24, se notificar. 10.1.2.0/24, no se notificar.
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la seccin Area Range y haga clic en Add:
IP/Netmask: 10.1.1.0/24 Type: (seleccione) Advertise
Introduzca los siguientes datos en la seccin Area Range y haga clic en Add:
IP/Netmask: 10.1.2.0/24 Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise save
Habilitacin de OSPF en interfaces

De forma predeterminada, el protocolo OSPF est inhabilitado en todas las interfaces del enrutador virtual (VR). Este protocolo se debe habilitar explcitamente en una interfaz antes de poder asignarla a un rea. Si se desactiva OSPF en una interfaz, dejar de transmitir o recibir paquetes en esa interfaz, pero sus parmetros de configuracin se conservarn.
NOTA:
Si se desactiva la instancia de enrutamiento OSPF en el enrutador virtual (consulte Eliminacin de una instancia de OSPF en la pgina 53), OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
Habilitacin de OSPF en interfaces

En este ejemplo habilitar la instancia de enrutamiento OSPF en la interfaz ethernet1 (que previamente se haba asignado al area 10) y en la interfaz ethernet3 (que previamente se asign al area 0).
56
WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF, luego haga clic en Apply. Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable Protocol OSPF, luego haga clic en Apply. CLI
set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf enable save
Inhabilitar OSPF en una interfaz

En este ejemplo inhabilitar la instancia de enrutamiento OSPF nicamente en la interfaz ethernet1. Las dems interfaces del enrutador virtual trust-vr (VR) en que se habilit OSPF seguirn transmitiendo y procesando paquetes OSPF. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Elimine Enable Protocol OSPF, luego haga clic en Apply. CLI
unset interface ethernet1 protocol ospf enable save NOTA:
Si se desactiva la instancia de enrutamiento OSPF en el enrutador virtual, OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado (consulte Eliminacin de una instancia de OSPF en la pgina 53).
Verificacin de la configuracin
Puede ver la configuracin introducida para trust-vr ejecutando el siguiente comando CLI:
device-> get vrouter trust-vr protocol ospf config VR: trust-vr RouterId: 10.1.1.250 ---------------------------------set protocol ospf set enable set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise set interface ethernet1 protocol ospf area 0.0.0.10 set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf area 0.0.0.0 set interface ethernet3 protocol ospf enable
57
Puede verificar si OSPF se est ejecutando en el enrutador virtual con el comando get vrouter trust-vr protocol ospf.
device-> get vrouter trust-vr protocol ospf VR: trust-vr RouterId: 10.1.1.250 ---------------------------------OSPF enabled Supports only single TOS(TOS0) route Enrutador interno Automatic vlink creation is disabled Numbers of areas is 2 Number of external LSA(s) is 0 SPF Suspend Count is 10 nodes Hold time between SPFs is 3 second(s) Advertising default-route lsa is off Default-route discovered by ospf will be added to the routing table RFC 1583 compatibility is disabled. Hello packet flooding protection is not enabled LSA flooding protection is not enabled Area 0.0.0.0 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 1 Area 0.0.0.10 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 0
Las zonas resaltadas muestran que OSPF se est ejecutando y verifican las zonas OSPF activas y las interfaces activas en cada zona OSPF.
NOTA:
Es recomendable asignar una ID de enrutador de forma explcita, en lugar de utilizar el valor predeterminado. Para obtener ms informacin sobre cmo configurar una ID de enrutador, consulte Enrutamiento en la pgina 13. Puede verificar si OSPF est habilitado en las interfaces y ver el estado de las interfaces con el comando get vrouter trust-vr protocol ospf interface.
device-> get vrouter trust-vr protocol ospf interface VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Interface IpAddr NetMask AreaId Status State -------------------------------------------------------------------------------ethernet3 2.2.2.2 255.255.255.0 0.0.0.0 enabled Designated Router ethernet1 10.1.1.1 255.255.255.0 0.0.0.10 enabled Up
Puede configurar la prioridad del enrutador virtual que desee seleccionar: el enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el ejemplo anterior, la columna de estado (State) indica la prioridad del enrutador virtual.
58
Puede verificar si la instancia de enrutamiento OSPF en el dispositivo de seguridad ha establecido adyacencias con los vecinos OSPF ejecutando el comando get vrouter trust-vr protocol ospf neighbor.
device-> get vrouter trust-vr protocol ospf neighbor VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Neighbor(s) on interface ethernet3 (Area 0.0.0.0) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------2.2.2.2 2.2.2.250 1 Full E Neighbor(s) on interface ethernet1 (Area 0.0.0.10) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------10.1.1.1 10.1.1.252 1 Full E
En la columna State del ejemplo anterior, Full indica adyacencias OSPF completas con vecinos.
Redistribucin de rutas en protocolos de enrutamiento

La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento OSPF de un mismo enrutador virtual:

Rutas reconocidas por BGP o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutamiento. En el siguiente ejemplo redistribuir en el dominio de enrutamiento OSPF actual una ruta originada en un dominio de enrutamiento BGP. Tanto en el ejemplo de la WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de rutas llamado add-bgp. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
Route Map: add-bgp Protocol: BGP
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp save
Redistribucin de rutas en protocolos de enrutamiento 59
Resumen de rutas redistribuidas

En las grandes redes, donde pueden coexistir miles de direcciones de red, algunos enrutadores podran llegar a congestionarse por la gran cantidad de informacin de ruta. Si ya redistribuy rutas de un protocolo externo en la instancia de enrutamiento OSPF actual, podr reunir las rutas en una ruta de red general o resumida. Al resumir mltiples direcciones, har que un grupo de rutas se reconozcan como una sola, simplificando as el proceso de consulta. Una de las ventajas de crear resmenes de rutas en redes grandes y complejas es que se pueden aislar los cambios topolgicos de otros enrutadores. Por ejemplo, si una conexin especfica en un dominio falla continuamente, la ruta resumida no cambiara, de modo que ningn enrutador externo al dominio tendra que modificar una y otra vez su tabla de enrutamiento debido a los fallos de conexin. Adems de crear menos entradas en las tablas de enrutamiento de los enrutadores troncales, la generacin de resmenes evita que las LSA se propaguen por otras reas cuando una de las redes incluidas en el resumen queda fuera de lnea o vuelve a ponerse en lnea. En los resmenes tambin se pueden incluir rutas interzonales y rutas externas. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al final de esta seccin encontrar un ejemplo de creacin de una ruta resumida y un ejemplo de establecer una interfaz NULL.

En este ejemplo redistribuir las rutas BGP a la instancia de enrutamiento OSPF actual. A continuacin resumir el conjunto de rutas importadas en la direccin de red 2.1.1.0/24. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
Route Map: add-bgp Protocol: BGP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Summary Import: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 2.1.1.0/24
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 save
60
Parmetros globales de OSPF

En esta seccin se describen parmetros globales de OSPF que se pueden configurar de forma opcional en un enrutador virtual (VR). Cuando se configura un parmetro OSPF en el nivel de enrutador virtual, los datos de configuracin afectarn a las operaciones de todas las interfaces que tengan habilitado el protocolo OSPF. Es posible modificar los valores de los parmetros globales del protocolo de enrutamiento OSPF por medio de las interfaces CLI y WebUI. La Tabla 7 detalla los parmetros globales de OSPF y sus valores predeterminados.
Tabla 7: Parmetros globales de OSPF y sus valores predeterminados Parmetros globales de OSPF
Advertise default route
Descripcin
Especifica que una ruta predeterminada activa (0.0.0.0/0) en la tabla de rutas del enrutador virtual se notifica en todas las reas OSPF. Tambin es posible especificar el valor de mtrica o si la mtrica original de la ruta se preservar, as como el tipo de mtrica (ASE tipo 1 o tipo 2). Tambin se puede especificar que la ruta predeterminada siempre se notifique.
Valor predeterminado
La ruta predeterminada no se notifica.
Reject default route Especifica que cualquier ruta predeterminada reconocida en OSPF no se agregar a la tabla de rutas.
La ruta predeterminada reconocida en OSPF se agrega a la tabla de rutas.
Automatic virtual link Maximum hello packets Maximum LSA packets RFC 1583 compatibility Enrutamiento multidireccional de igual coste (ECMP)
Especifica que el VR crear una conexin virtual Desactivado. automticamente si no puede acceder al rea troncal de OSPF. Especifica el nmero mximo de paquetes de saludo 10. OSPF que el VR puede recibir en un intervalo de saludo. Especifica el nmero mximo de paquetes LSA de No hay valor OSPF que el VR puede recibir dentro del intervalo en predeterminado. segundos especificado. Especifica que la instancia de enrutamiento OSPF es compatible con la norma RFC 1583, una versin anterior de OSPF. OSPF versin 2, tal y como se define en RFC 2328.
Especifica el nmero mximo de rutas (1-4) a utilizar Disabled (1). para equilibrar cargas con los destinos que tengan mltiples rutas de igual coste. Consulte la Configuracin del enrutamiento multidireccional de igual coste en la pgina 36. Configura el rea OSPF y la ID de enrutador para la No hay conexin conexin virtual. De forma opcional tambin puede virtual configurada. configurar el mtodo de autenticacin, el intervalo de saludo y el de retransmisin, el retardo de transmisin o el intervalo de interlocutor muerto para la conexin virtual.
Virtual link configuration
61
Notificacin de la ruta predeterminada

La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de rutas, aunque un prefijo ms especfico anular la ruta predeterminada. En este ejemplo, usted anunciar la ruta predeterminada de la instancia de enrutamiento OSPF actual. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Advertising Default Route Enable, luego haga clic en OK.
NOTA:
En la WebUI, la mtrica predeterminada (1) 62 debe introducirse manualmente y el tipo de mtrica predeterminado es ASE tipo 1. CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 save
Conexiones virtuales
Aunque todas las reas deben estar conectadas directamente al rea troncal, algunas veces debe crear un rea nueva que no se puede conectar fsicamente al rea troncal. Para resolver este problema se puede configurar una conexin virtual. Una conexin virtual proporciona un rea remota con una ruta lgica al rea troncal a travs de otra rea. En los enrutadores, la conexin virtual se debe configurar en los dos extremos de la conexin. Para configurar una conexin virtual en el dispositivo de seguridad, debe definir:
La ID del rea OSPF que va a cruzar la conexin virtual. No es posible crear una conexin virtual que cruce el rea troncal o un rea de rutas internas. La ID del enrutador al otro extremo de la conexin virtual.
La Tabla 8 detalla los parmetros opcionales para las conexiones virtuales.

Tabla 8: Parmetros opcionales para conexiones virtuales Parmetro de conexin Descripcin virtual
Authentication Especifica la autenticacin por contrasea de texto no encriptado o la autenticacin MD5. Dead interval Especifica el intervalo en segundos en que no se producir respuesta desde un dispositivo OSPF vecino antes de que se determine que ste no funciona. Especifica el tiempo en segundos entre dos saludos OSPF.
Sin autenticacin 40 segundos
Hello interval
10 segundos
62
Parmetro de conexin Descripcin virtual

Retransmit interval
Especifica el tiempo en segundos que transcurrir antes 5 segundos de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. 1 segundo
Transmit delay Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a una interfaz.
Creacin de una conexin virtual

En el siguiente ejemplo crear una conexin virtual a travs del rea OSPF 10 desde el dispositivo-A con ID de enrutador 10.10.1.250 al dispositivo-B con la ID de enrutador 10.1.1.250. Consulte Enrutamiento en la pgina 13 para obtener ms informacin sobre la configuracin de ID de enrutadores en los dispositivos de seguridad). Tambin puede configurar la conexin virtual con un retardo de trnsito de 10 segundos. En cada dispositivo de seguridad, tendr que identificar la ID de enrutador del dispositivo en el otro extremo de la conexin virtual. La Figura 11 muestra el ejemplo de configuracin de red para una conexin virtual.
Figura 11: Creacin de una conexin virtual
rea 10 ethernet1 ID de enrutador 10.1.1.250 ID de enrutador 10.1.1.250 El dispositivo-A y el dispositivo-B tienen una conexin virtual entre s a travs del rea OSPF 10. Dispositivo B ethernet2 Internet rea 0
Dispositivo A
ethernet 1
ethernet 2
rea 20
NOTA:
Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que OSPF se est ejecutando en las interfaces de los dispositivos A y B antes de que la conexin virtual se active. WebUI (dispositivo-A) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10 (seleccione) Router ID: 10.1.1.250
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK.
63
CLI (dispositivo-A) set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay 10 save
NOTA:
En la interfaz CLI, primero tendr que crear la conexin virtual y, a continuacin, configurar cualquier parmetro opcional para la conexin. As, en el ejemplo anterior, tendr que ejecutar dos comandos distintos para crear y despus configurar la conexin virtual. WebUI (dispositivo-B) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10 Router ID: 10.10.1.250
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK. CLI (dispositivo-B) set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 transit-delay 10 save
Creacin de una conexin virtual automtica

Puede hacer que un enrutador virtual (VR) cree automticamente una conexin virtual para las instancias en las que no sea posible acceder al rea troncal de la red. Si el enrutador virtual crea conexiones virtuales automticamente se ahorrar el tiempo necesario para crear cada una de las conexiones virtuales de forma manual. En el siguiente ejemplo configuraremos la creacin automtica de conexiones virtuales. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Automatically Generate Virtual Links, luego haga clic en OK. CLI
set vrouter trust-vr protocol ospf auto-vlink save
Ajuste de parmetros OSPF de interfaz

En esta seccin se describen los parmetros OSPF que se pueden configurar en el nivel de interfaz. Cuando se configura un parmetro OSPF en el nivel de interfaz, los datos de configuracin afectan nicamente al funcionamiento OSPF de la interfaz especificada. Puede modificar los ajustes de los parmetros de la interfaz mediante comandos de interfaz en la CLI o utilizando la WebUI.
64
La Tabla 9 detalla los parmetros opcionales de interfaz de OSPF y sus valores predeterminados.
Tabla 9: Parmetros opcionales de interfaz de OSPF y sus valores predeterminados Parmetro OSPF de interfaz
Authentication
Descripcin
Especifica si la comunicacin OSPF de la interfaz se No se utiliza verificar mediante autenticacin por contrasea de autenticacin. texto no encriptado o por MD5 (Message Digest 5). La contrasea de texto no encriptado debe ser una cadena de hasta 8 dgitos, mientras que la contrasea para autenticacin MD5 puede ser una cadena de hasta 16 dgitos. Para la contrasea MD5 tambin es necesario que se configuren cadenas clave. Especifica la mtrica de la interfaz. El coste asociado a una interfaz depende del ancho de banda de la conexin que tenga establecida dicha interfaz. Cuanto mayor sea el ancho de banda, menor ser el valor del coste (preferible). Especifica el intervalo en segundos en que no se producir respuesta desde un dispositivo OSPF vecino antes de que OSPF determine que no funciona. 1 para una conexin de 100 MB o ms 10 para una conexin de 10 MB 100 para una conexin de 1 MB 40 segundos.
Cost
Dead interval
Hello interval
Especifica el intervalo en segundos que transcurrir 10 segundos. entre el envo de un paquete de saludo a la red y el siguiente. Especifica una interfaz de tnel como vnculo punto a punto o como vnculo punto a multipunto. Consulte la Interfaz de tnel punto a multipunto en la pgina 71. Las interfaces Ethernet se tratan como interfaces de difusin. De forma predeterminada, las interfaces de tnel asociadas a las zonas OSPF son punto a punto.
Link type
Neighbor list
Especifica subredes, en forma de lista de acceso, en Ninguna (las adyacencias las que residen vecinos OSPF que pueden utilizarse se forman con todos los para formar adyacencias. vecinos de la interfaz). Las interfaces con OSPF Especifica que la direccin IP de la interfaz se notificar en el dominio OSPF como ruta OSPF y no habilitado transmiten como ruta externa, pero que la interfaz no y reciben paquetes OSPF. transmitir ni recibir paquetes OSPF. Esta opcin resulta til cuando en la interfaz tambin se ha habilitado BGP. Especifica la prioridad del enrutador virtual que se 1. elegir: enrutador designado o enrutador designado de respaldo. El enrutador con el valor de prioridad ms alto tiene ms posibilidades de ser elegido (aunque no se garantiza). Especifica el tiempo en segundos que transcurrir 5 segundos. antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA.
Passive Interface
Priority
Retransmit interval
65
Parmetro OSPF de interfaz

Transit delay
Descripcin
Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a la interfaz. (Slo interfaces de tnel) Configura una interfaz de tnel como circuito de demanda, segn RFC 1793. Consulte Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71.
1 segundo.
Demand circuit
Desactivado.
Reduce flooding Especifica la reduccin de inundaciones LSA en un circuito de demanda. Ignore MTU
Desactivado.
Especifica que se pase por alto cualquier Desactivado. incoherencia en los valores de la unidad de transmisin mxima (MTU) entre las interfaces locales y remotas que se encuentre durante las negociaciones de la base de datos OSPF ser ignorada. Esta opcin slo debe utilizarse cuando la MTU de la interfaz local sea ms lenta que la MTU de la interfaz remota.
NOTA:
Para formar adyacencias, todos los enrutadores OSPF de un rea deben utilizar los mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de retransmisin. En el siguiente ejemplo, configuramos los siguientes parmetros OSPF para la interfaz ethernet1:

Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.
WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Hello Interval: 15 Retransmit Interval: 7 Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15 set interface ethernet1 protocol ospf retransmit-interval 7 set interface ethernet1 protocol ospf transit-delay 2 save
66
Configuracin de seguridad
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento OSPF y mtodos de prevencin de ataques.
NOTA:
Para que OSPF sea ms seguro, todos los enrutadores de un dominio OSPF deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador OSPF peligroso podra llegar a dejar fuera de lnea todo el domino de enrutamiento OSPF.
Autenticacin de vecinos
Un enrutador OSPF se puede suplantar fcilmente, ya que las LSA no se encriptan y la mayora de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos OSPF. OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes OSPF recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz OSPF tiene la autenticacin habilitada. Para la autenticacin MD5 se necesita la misma clave utilizada para los enrutadores OSPF de envo y recepcin. Puede especificar ms de una clave MD5 en el dispositivo de seguridad, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo de seguridad, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
Configuracin de una contrasea de texto no cifrado

En este ejemplo, crearemos la contrasea de texto no encriptado 12345678 para OSPF en la interfaz ethernet1. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Password: (seleccione), 12345678
CLI
set interface ethernet1 protocol ospf authentication password 12345678 save
Configuracin de una contrasea MD5

En el siguiente ejemplo, crear dos claves MD5 distintas para la interfaz ethernet1 y seleccionar una de ellas para que sea la clave activa. Cada clave MD5 puede tener 16 caracteres. El nmero identificador de clave debe estar entre 0 y 255. El identificador de clave predeterminado es 0, de manera que no es necesario especificar el identificador de clave para la primera clave MD5 que introduzca.
67
WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Authentication: MD5 Keys: (seleccione) 1234567890123456 9876543210987654 Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol ospf authentication md5 1234567890123456 set interface ethernet1 protocol ospf authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1 save
Configuracin de una lista de vecinos de OSPF

Los entornos de acceso mltiple permiten que los dispositivos, incluyendo los enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar problemas de estabilidad o rendimiento si el dispositivo conectado no es fiable. De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtual (VR) ScreenOS forma adyacencias con todos los vecinos OSPF que se comunican en una interfaz con OSPF. Es posible limitar los dispositivos de una interfaz que pueden formar adyacencias con la instancia de enrutamiento OSPF definiendo una lista de subredes que contengan vecinos OSPF que se puedan elegir. Slo los hosts o enrutadores que se encuentren en la subredes definidas podrn formar adyacencias con la instancia de enrutamiento OSPF. Para especificar las subredes que contienen vecinos OSPF vlidos, se debe definir una lista de acceso a las subredes en el nivel del enrutador virtual (VR). En este ejemplo configuraremos una lista de acceso que permitir la comunicacin con los hosts de la subred 10.10.10.130/27. A continuacin especificaremos la lista de acceso para que configure vecinos OSPF vlidos. WebUI Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 4 Sequence No.: 10 IP/Netmask: 10.10.10.130/27 Action: Permit (seleccione)
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Neighbor List: 4
68
CLI
set vrouter trust-vr access-list 4 set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10 set interface ethernet1 protocol ospf neighbor-list 4 save
Rechazo de rutas predeterminadas

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede entregar informacin crtica a los paquetes antes de reenviarlos. En los dispositivos de seguridad de Juniper Networks, OSPF acepta en principio cualquier ruta predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla de rutas. En el siguiente ejemplo especificaremos que una ruta predeterminada no se reconozca en OSPF. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione la casilla de verificacin Do Not Add Default-route Learned in OSPF, luego haga clic en OK. CLI
set vrouter trust-vr protocol ospf reject-default-route save
Proteccin contra inundaciones

Un enrutador peligroso o que no funcione correctamente puede inundar a sus vecinos con paquetes de saludo OSPF o con LSA. Cada enrutador capta la informacin de las LSA enviadas por otros enrutadores en la red para recuperar la informacin de rutas para la tabla de enrutamiento. La proteccin contra inundaciones de LSA permite determinar el nmero de LSA que entrarn en el enrutador virtual (VR). Si ste recibe demasiadas LSA, el enrutador fallar por una inundacin LSA. Los ataques por LSA se producen cuando un enrutador genera un nmero excesivo de LSA en un periodo corto de tiempo, puesto que hace que los dems enrutadores OSPF de la red se mantengan ocupados ejecutando el algoritmo SPF. En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el nmero mximo de paquetes de saludo por intervalo de saludo y el nmero mximo de LSA que recibir una interfaz OSPF durante un intervalo determinado. Los paquetes que excedan el lmite configurado se descartarn. De forma predeterminada, el lmite de paquetes de saludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo predeterminado para una interfaz OSPF es de 10 segundos). No hay ningn lmite de LSA predefinido; si no impone un lmite de LSA, se aceptarn todas.
69
Configuracin de un umbral de saludo

En el siguiente ejemplo configuraremos un umbral de 20 paquetes por intervalo de saludo. Este intervalo, que se puede configurar independientemente en cada interfaz OSPF, no variar; seguir ajustado a 10 segundos. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK:
Prevent Hello Packet Flooding Attack: On Max Hello Packet: 20
CLI
set vrouter trust-vr protocol ospf hello-threshold 20 save
Configuracin de un umbral de LSA

En este ejemplo estableceremos un lmite OSPF de 10 paquetes LSA cada 20 segundos para evitar ataques por inundacin de LSA. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK:
LSA Packet Threshold Time: 20 Maximum LSAs: 10
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10 save
Habilitacin de la inundacin reducida

Puede habilitar la caracterstica de reduccin de inundaciones para suprimir la inundacin LSA en las interfaces de punto a punto, como serie, de tnel o lnea asncrona de abonado digital (ADSL), o interfaces de difusin, como las interfaces de Ethernet. En el ejemplo siguiente, habilitar la supresin peridica de LSA sin afectar al flujo de paquetes de saludo hacia la interfaz tunnel.1. WebUI Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Reduce Flooding: (seleccione)
CLI
set interface tunnel.1 protocol ospf reduce-flooding save
70
Creacin de un circuito de demanda OSPF en una interfaz de tnel

Los circuitos de demanda de OSPF, segn lo definido en la norma RFC 1793, son segmentos de red en los que el tiempo de conexin o de utilizacin afecta al coste de uso de dichas conexiones. En un circuito de demanda, el trfico generado por OSPF necesita limitarse a los cambios en la topologa de la red. En los dispositivos de seguridad de Juniper Networks, nicamente las interfaces de punto a punto, como las interfaces serie, de tnel o de lnea asncrona de abonado digital (ADSL), pueden ser circuitos de demanda, y para que funcionen adecuadamente, ambos extremos del tnel se deben configurar manualmente como circuitos de demanda. En interfaces de tnel configuradas como circuitos de demanda, el dispositivo de seguridad suprime el envo de paquetes de saludo OSPF y la actualizacin peridica de inundaciones LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza el estado completo Full (los saludos Hellocoinciden y los LSA del enrutador y de la red reflejan a todos los vecinos adyacentes), el dispositivo de seguridad suprime los paquetes de saludo peridicos y el LSA se actualiza. El dispositivo de seguridad inunda solamente LSA cuyo contenido haya cambiado. En el ejemplo siguiente, configurar la interfaz tunnel.1 como un circuito de demanda.
NOTA:
Deber configurar la interfaz de tnel del interlocutor remoto como un circuito de demanda. Sin embargo, no necesita configurar la inundacin LSA reducida en el interlocutor remoto. WebUI Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego haga clic en Apply:
Demand Circuit: (seleccione)
CLI
set interface tunnel.1 protocol ospf demand-circuit save
Interfaz de tnel punto a multipunto

Al asociar una interfaz de tnel a una zona OSPF en un dispositivo de seguridad, de forma predeterminada se crea un tnel OSPF punto a punto. La interfaz de tnel punto a punto puede formar una adyacencia con solamente un enrutador OSPF en el extremo remoto. Si la interfaz de tnel local va a ser asociada a mltiples tneles, debe configurar la interfaz de tnel local como interfaz punto a multipunto e inhabilitar la caracterstica route-deny en la interfaz de tnel.
Creacin de un circuito de demanda OSPF en una interfaz de tnel 71
NOTA:
Debe configurar una interfaz de tnel como interfaz punto a multipunto antes de habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto a multipunto, ya no podr configurarla como circuito de demanda (consulte Creacin de un circuito de demanda OSPF en una interfaz de tnel en la pgina 71). No obstante, puede configurar la interfaz para la inundacin LSA reducida. Para ver un ejemplo de asociacin de tneles mltiples a una interfaz de tnel, consulte Binding Automatic Route and NHTB Table Entries en la pgina 5-278. Las siguientes secciones incluyen ejemplos para:
Configurar el tipo de conexin (consulte Establecer el tipo de conexin OSPF en la pgina 72) Establecer la funcin de rechazo de ruta (consulte Inhabilitacin de la restriccin Route-Deny en la pgina 72) Configurar una red con una interfaz de tnel de punto a multipunto (consulte Creacin de una red punto a multipunto en la pgina 73)
Establecer el tipo de conexin OSPF

Si se propone formar adyacencias OSPF en mltiples tneles, necesitar establecer el tipo de conexin como punto a multipunto (p2mp). En el siguiente ejemplo establecer el tipo de conexin de tunnel.1 en punto a multipunto (p2mp) para cumplir con los requisitos de su red. WebUI Network > Interface > Edit > OSPF: Seleccione Point-to-Multipoint de la lista de botones de opcin Link Type. CLI
set interface tunnel.1 protocol ospf link-type p2mp save
Inhabilitacin de la restriccin Route-Deny

De forma predeterminada, el dispositivo de seguridad puede enviar y recibir paquetes a travs de la misma interfaz a menos que est configurado explcitamente para no enviarlos y recibirlos en la misma interfaz. En un entorno punto a multipunto, este comportamiento puede ser deseable. Para configurar el dispositivo de seguridad para enviar y recibir en la misma interfaz, debe inhabilitar la restriccin route-deny. En este ejemplo inhabilitar la restriccin route-deny mediante CLI en la interfaz de tnel punto a multipunto tunnel.1. WebUI
NOTA:
Para establecer la restriccin route-deny debe utilizarse la CLI.
72
CLI
unset interface tunnel.1 route-deny save
Creacin de una red punto a multipunto

La Figura 12 muestra una empresa de tamao mediano con su oficina central (OC) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Los siguientes son los requisitos de configuracin especficos del dispositivo de seguridad en la OC: 1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a continuacin, configurar la interfaz tunnel.1. 2. Configurar las cuatro VPN y asociarlas a la interfaz tunnel.1. Los siguientes son los requisitos de configuracin propios de los dispositivos de seguridad remotos: 1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a continuacin, configurar la interfaz tunnel.1. 2. Configurar la VPN y asociarla a la interfaz tunnel.1. Los valores de temporizadores para todos los dispositivos deben coincidir para que las adyacencias puedan formarse. La Figura 12 muestra el escenario descrito de la red.
73
Figura 12: Ejemplo de red punto a multipunto

Los Angeles Montreal
tunnel.1 10.0.0.3 untrust 3.3.3.3
tunnel.1 10.0.0.4 untrust 4.4.4.4
Nueva York
Chicago tunnel.1 10.0.0.5 Untrust 5.5.5.5
tunnel.1 10.0.0.2 Untrust 2.2.2.2
VPN 2 VPN 1 Internet
VPN 3 VPN 4
San Francisco (OC) ethernet3 1.1.1.1 tunnel.1 10.0.0.1 4 VPN asociadas a tunnel.1
En la Figura 12, se originan cuatro VPN en el dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. En este ejemplo, configurar los siguientes ajustes en el dispositivo de seguridad de la oficina central OC: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y OSPF Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos de seguridad de las oficinas remotas: 1. Interfaz y OSPF 2. VPN 3. Directiva
74
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3) y configure la zona y la direccin IP. Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione Point-to-Multipoint de la lista de botones de opcin Link Type.
2. VPN
VPNs > AutoKey Advanced > Gateway

3. Rutas y OSPF
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y configure los parmetros de OSPF. CLI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.10.10.1/24
2. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn2 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn3 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn4 id 4 bind interface tunnel.1
75
3.
Rutas y OSPF
set vrouter trust router-id 10 set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable set interface tunnel.1 protocol ospf link-type p2mp unset interface tunnel.1 route-deny save NOTA:
De forma predeterminada, route-deny est inhabilitado. Sin embargo, si habilit la caracterstica route-deny en algn momento, necesitar inhabilitar la caracterstica para que la interfaz de tnel punto a multipunto funcione correctamente. Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina remota. Los dispositivos de seguridad de Juniper Networks aprenden sobre sus vecinos a travs de LSA. Para completar la configuracin mostrada en la Figura 12 en la pgina 74, debe repetir la seccin siguiente por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN, as como establecer directivas para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y untrust cambian.
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de oficina remota)
1. Interfaz y OSPF
Network > Interfaces > Haga clic en New Tunnel IF y contine con la pgina de configuracin.
2. VPN

3. Directiva
Directivas (de todas las zonas a todas las zonas) > Haga clic en New CLI (dispositivo de oficina remota)
1. Interfaz y OSPF
set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface untrust ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.2/24 set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable
76
2.
VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3. Directiva (configure como sea necesario)
set policy id 1 from trust to untrust any any any permit set policy id 2 from untrust to trust any any any permit save
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtual protocol ospf config.
77
78
Captulo 4
Protocolo de informacin de enrutamiento

En este captulo se describe la versin 2 del protocolo de informacin de enrutamiento (RIP) en los dispositivos de seguridad de Juniper Networks. Incluye las siguientes secciones:

Vista general en la pgina 80 Configuracin bsica de RIP en la pgina 81

Creacin y eliminacin de una instancia RIP en la pgina 82 Habilitacin y deshabilitacin de RIP en interfaces en la pgina 83 Redistribucin de rutas en la pgina 84
Visualizacin de la informacin de RIP en la pgina 85

Visualizacin de la base de datos RIP en la pgina 85 Visualizacin de los detalles de RIP en la pgina 86 Visualizacin de informacin de vecino RIP en la pgina 87 Visualizacin de detalles de RIP para una interfaz especfica en la pgina 88

Parmetros globales de RIP en la pgina 89 Notificacin de la ruta predeterminada en la pgina 90 Configuracin de los parmetros de interfaz de RIP en la pgina 90 Configuracin de seguridad en la pgina 92

Autenticar vecinos al establecer una contrasea en la pgina 92 Configuracin de vecinos fiables en la pgina 93 Rechazo de rutas predeterminadas en la pgina 94 Proteccin contra inundaciones en la pgina 94
79
Configuraciones opcionales de RIP en la pgina 96

Configuracin de la versin de RIP en la pgina 96 Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98 Establecimiento de rutas alternas en la pgina 99 Circuitos de demanda en interfaces de tnel en la pgina 101 Configuracin de un vecino esttico en la pgina 102
Configuracin de una interfaz de tnel punto a multipunto en la pgina 102
Vista general
El protocolo de informacin de enrutamiento RIP (Routing information protocol) es un protocolo de vector distancia que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas autnomos (AS) de tamao moderado. ScreenOS admite la versin 2 de RIP (RIPv2) tal como se define en la norma RFC 2453. Mientras que RIPv2 slo admite la autenticacin de contrasea simple (texto sin formato), la implementacin RIP de ScreenOS tambin admite extensiones de autenticacin MD5, tal como se definen en la norma RFC 2082.
NOTA:
El protocolo RIP no se admite en interfaces de tnel sin numerar. Se deben numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento por configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un fallo impredecible en el enrutamiento. El protocolo RIP administra la informacin de rutas en redes pequeas y homogneas, como las LAN corporativas. La ruta ms larga admitida en una red RIP es de 15 saltos. Un valor mtrico de 16 indica un destino no vlido o inaccesible (este valor tambin se denomina infinito ya que excede el mximo de 15 saltos permitidos para las redes RIP). El protocolo RIP no est diseado para grandes redes o para redes en las que las rutas se eligen en funcin de parmetros en tiempo real, como carga, fiabilidad o retardo medido. El protocolo RIP admite redes punto a punto (utilizadas con VPN) y redes Ethernet de difusin/multidifusin (broadcast/multicast). El protocolo RIP admite las conexiones de "punto a multipunto" a travs de las interfaces de tnel con o sin tener configurado un circuito de demanda. Para obtener ms informacin sobre circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 101. El protocolo RIP enva mensajes que contienen la tabla de enrutamiento completa a todos los enrutadores vecinos cada 30 segundos. Estos mensajes se envan normalmente como multidifusiones (multicast) a la direccin 224.0.0.9 del puerto RIP.
80
Vista general
Captulo 4: Protocolo de informacin de enrutamiento
La base de datos de enrutamiento RIP contiene una entrada para cada destino que sea accesible a travs de la instancia de enrutamiento RIP. La base de datos de enrutamiento RIP incluye la siguiente informacin:
Direccin IPv4 de un destino. Recuerde que RIP no distingue entre redes y hosts. Direccin IP del primer enrutador de la ruta hacia el destino (el siguiente salto). Interfaz de red utilizada para acceder al primer enrutador. Valor mtrico que indica la distancia (o coste) para alcanzar el destino. La mayora de implementaciones RIP utilizan un valor mtrico de 1 para cada red. Un temporizador que indica el tiempo que ha transcurrido desde la ltima actualizacin de la entrada de la base de datos.

Configuracin bsica de RIP

Crear RIP por cada enrutador virtual en un dispositivo de seguridad. Si dispone de varios enrutadores virtuales (VR) dentro de un sistema, podr habilitar mltiples instancias de RIP, una instancia de la versin 1 o de la 2 por cada enrutador virtual. De forma predeterminada, los dispositivos de seguridad de Juniper Networks admiten la versin 2 de RIP.
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en Enrutamiento en la pgina 13. En esta seccin se describen los pasos bsicos para configurar el protocolo RIP en un dispositivo de seguridad: 1. Crear la instancia de enrutamiento RIP en un enrutador virtual. 2. Habilitar la instancia RIP. 3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP. 4. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (como OSPF, BGP, o rutas configuradas de forma esttica) en la instancia RIP. En esta seccin se describe la correcta ejecucin de cada una de estas tareas utilizando la interfaz WebUI y la lnea de comandos CLI.
81
Opcionalmente, es posible configurar parmetros de RIP, como:

Parmetros globales, como temporizadores y vecinos RIP fiables, que se configuran en el VR para el protocolo RIP (consulte Parmetros globales de RIP en la pgina 89) Parmetros de interfaz, como la autenticacin de dispositivos vecinos, que se configuran en la interfaz para el protocolo RIP (consulte Configuracin de los parmetros de interfaz de RIP en la pgina 90) Parmetros RIP relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 92)
Creacin y eliminacin de una instancia RIP

Cada instancia de enrutamiento de RIP se crea y se habilita en un enrutador virtual (VR) especfico ubicado en un dispositivo de seguridad. Cuando se crea y se habilita una instancia de enrutamiento de RIP en un enrutador virtual, RIP transmite y recibe paquetes en todas las interfaces habilitadas para RIP de dicho enrutador. Cuando se elimina una instancia de enrutamiento de RIP en un enrutador virtual, se eliminan las configuraciones RIP correspondientes para todas las interfaces de dicho enrutador. (Para obtener ms informacin sobre VR y su configuracin en dispositivos de seguridad, consulte Enrutamiento en la pgina 13.
Creacin de una instancia RIP

Cree una instancia de enrutamiento RIP en el trust-vr y a continuacin habilite el RIP. WebUI Network > Routing > Virtual Router (trust-vr) > Edit: Escriba una Virtual Router ID y luego seleccione Create RIP Instance. Seleccione Enable RIP y haga clic en OK. CLI
1. ID de enrutador

2. Instancia de enrutamiento de RIP
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable save NOTA:
En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos etapas. Cree la instancia RIP y, a continuacin, habilite RIP.
82
Eliminacin de una instancia RIP

En este ejemplo, inhabilitar la instancia de enrutamiento de RIP en trust-vr. RIP dejar de transmitir y procesar paquetes en todas las interfaces habilitadas para RIP en trust-vr. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Anule la seleccin de Enable RIP y haga clic en OK. Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y luego haga clic en OK en el mensaje de confirmacin. CLI
unset vrouter trust-vr protocol rip enable unset vrouter trust-vr protocol rip save
Habilitacin y deshabilitacin de RIP en interfaces

De forma predeterminada, el protocolo RIP est inhabilitado en todas las interfaces del enrutador virtual (VR) y es necesario habilitarlo de forma explcita en una interfaz. Si se inhabilita RIP a nivel de interfaz, RIP no transmitir ni recibir paquetes en la interfaz especificada. Los parmetros de configuracin de interfaz se conservan cuando se inhabilita RIP en una interfaz.
NOTA:
Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual (consulte Eliminacin de una instancia RIP en la pgina 83), RIP dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
Habilitar RIP en una interfaz

En este ejemplo, habilitar RIP en la interfaz Trust. WebUI Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP Enable, luego haga clic en Apply. CLI
set interface trust protocol rip enable save
Inhabilitacin de RIP en una interfaz

En este ejemplo, inhabilitar RIP en la interfaz Trust. Para eliminar completamente la configuracin de RIP introduzca el segundo comando CLI antes de guardar. WebUI Network > Interface (para Trust) > RIP: Elimine el Protocol RIP Enable, luego haga clic en Apply.
83
CLI
unset interface trust protocol rip enable unset interface trust protocol rip save
Redistribucin de rutas
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual (VR):

Rutas reconocidas por el protocolo BGP Rutas reconocidas por el protocolo OSPF Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte Enrutamiento en la pgina 13. Las rutas importadas en RIP a partir de otros protocolos tienen un valor mtrico predeterminado de 10. Este valor se puede modificar (consulte Parmetros globales de RIP en la pgina 89). En este ejemplo, redistribuir rutas estticas que se encuentran en la subred 20.1.0.0/16 entre dispositivos vecinos RIP ubicados en el enrutador virtual trust-vr. Para ello, primero deber crear una lista de acceso para permitir las direcciones en la subred 20.1.0.0/16. A continuacin, configure un mapa de rutas que permita las direcciones incluidas en la lista de acceso que acaba de generar. Utilice el mapa de rutas para especificar la redistribucin de rutas estticas en la instancia de enrutamiento de RIP. WebUI Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Route Map > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: rtmap1 Sequence No.: 1 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 20 (seleccione)
84
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
Route Map: rtmap1 (seleccione) Protocol: Static (seleccione)
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1 set vrouter trust-vr route-map name rtmap1 permit 1 set vrouter trust-vr route-map rtmap1 1 match ip 20 set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static save
Visualizacin de la informacin de RIP

Despus de modificar los parmetros RIP, puede visualizar los siguientes tipos de detalles de RIP:

Base de datos, que muestra la informacin de enrutamiento Protocolo, que proporciona los detalles de interfaz y de RIP de un enrutador virtual (VR) Vecinos
Visualizacin de la base de datos RIP

Puede verificar la informacin de enrutamiento de RIP desde la CLI. Puede elegir visualizar una lista completa de todas las entradas de la base de datos RIP o de una sola entrada. En este ejemplo, visualiza la informacin detallada desde la base de datos RIP. Puede visualizar todas las entradas de la base de datos o limitar el resultado a una sola entrada de la base de datos aadiendo la direccin IP y la mscara del VR que desee. En este ejemplo, especifica trust-vr y aade el prefijo y la direccin IP 10.10.10.0/24 para visualizar una sola entrada de la tabla. WebUI
NOTA:
Debe utilizar la CLI para visualizar la base de datos RIP. CLI

get vrouter trust-vr protocol rip database prefix 10.10.10.0/24 save
85
Despus de introducir el siguiente comando CLI, puede visualizar la entrada de la base de datos RIP:
device-> get vrouter trust-vr protocol rip database 10.10.10.0/24 VR: trust-vr ------------------------------------------------------------------------Total database entry: 3 Flags : Added in Multipath - M, RIP - R, Redistributed - I, Default (advertised) - D, Permanent - P, Summary - S, Unreachable - U, Hold - H DBID Prefix Nexthop Ifp Cost Flags Source 7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1 -------------------------------------------------------------------------
La base de datos RIP contiene los campos siguientes:

DBID, el identificador de base de datos de la entrada Prefix, el prefijo y la direccin IP Nexthop, la direccin del salto siguiente (enrutador) Ifp, el tipo de conexin (Ethernet o tnel) La mtrica de coste asignada para indicar la distancia desde el origen
Los indicadores (flags) pueden ser uno o varios de los siguientes: multidireccional (M), RIP (R), redistribuido (I), notificado de forma predeterminada (D), permanente (P), resumen (S), inaccesible (U) o retencin (H). En este ejemplo, el identificador de base de datos es 7, la direccin IP y el prefijo es 10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexin Ethernet con un coste de 2. Los indicadores son M y R e indican que esta ruta es multidireccional y usa RIP.
Visualizacin de los detalles de RIP

Puede visualizar los detalles de RIP para verificar que la configuracin de RIP coincida con sus necesidades de red. Puede limitar el resultado solamente a la tabla de resumen de la interfaz aadiendo interface al comando CLI. Puede visualizar la informacin de RIP completa para comprobar una configuracin o verificar que los cambios guardados estn activos. WebUI
NOTA:
Debe utilizar la CLI para visualizar los detalles de RIP. CLI

get vrouter trust-vr protocol rip
86
Este comando produce resultados similares al siguiente resultado:

device-> get vrouter trust-vr protocol rip VR: trust-vr ---------------------------------------------------------------------------State: enabled Version: 2 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 16 Not validating neighbor in same subnet: disabled RIP update transmission not scheduled Maximum number of Alternate routes per prefix: 2 Advertising default route: disabled Default routes learnt by RIP will not be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in seconds) ---------------------------------------------------------------------------30| 180| 120| 5| 40|90 Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx ----------------------------------------------------------------------------tun.1 122.1.2.114/8 enabled disabled SD 1 1 v1v2/v1v
Puede visualizar los valores de RIP, los detalles del paquete, la informacin del temporizador RIP y una tabla de interfaz resumida.
Visualizacin de informacin de vecino RIP

Puede visualizar los detalles sobre los vecinos RIP de un enrutador virtual (VR). Puede recuperar una lista de informacin de todos los vecinos o una entrada de un vecino especfico aadiendo la direccin IP del vecino que desee. Puede comprobar el estado de una ruta y verificar la conexin entre el vecino y el dispositivo de seguridad desde estas estadsticas. En el ejemplo siguiente, visualice la informacin de vecino RIP para el trust-vr. WebUI
NOTA:
Debe utilizar la CLI para visualizar la informacin de vecino RIP. CLI

get vrouter trust-vr protocol rip neighbors

device-> get vrouter trust-vr protocol rip neighbors VR: trust-vr -------------------------------------------------------------------------------Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P, Demand Circuit Init - I Neighbors on interface tunnel.1 -------------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags -------------------------------------------------------------------------------10.10.10.1 v2 0 0 TSD
87
Adems de visualizar la direccin IP y la versin de RIP, puede visualizar la informacin siguiente del vecino RIP:

Antigedad de la entrada Tiempo de vencimiento Nmero de paquetes incorrectos Nmero de rutas incorrectas Indicadores: esttica (S), circuito de demanda (T), NHTB (N), fuera de lnea (D), en lnea (U), sondeo (P) o inicio de circuito de demanda (I)
Visualizacin de detalles de RIP para una interfaz especfica

Puede visualizar toda la informacin pertinente de RIP de todas las interfaces y un resumen de los detalles del enrutador vecino. Opcionalmente, puede aadir la direccin IP de un vecino especfico para limitar el resultado. En el ejemplo siguiente, puede visualizar la informacin sobre la interfaz tunnel.1 del vecino que reside en la direccin IP 10.10.10.2. WebUI
NOTA:
Debe utilizar la CLI para visualizar los detalles de la interfaz RIP. CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2

device-> get interface tunnel.1 protocol rip VR: trust-vr ---------------------------------------------------------------------------Interface: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabled Receive version v1v2, Send Version v1v2 State: Down, Passive: No Metric: 1, Split Horizon: enabled, Poison Reverse: disabled Demand Circuit: configured Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Authentication: none Current neighbor count: 1 Update not scheduled Transmit Updates: 0 (0 triggered), Receive Updates: 0 Update packets dropped because flooding: 0 Bad packets: 0, Bad routes: 0 Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P Neighbors on interface tunnel.1 ---------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags ---------------------------------------------------------------------------10.10.10.1 0 0 TSD
f
88
Desde este resumen de informacin puede visualizar el nmero de paquetes incorrectos o de rutas incorrectas presentes, verificar qu gasto de procesamiento aade RIP a la conexin y ver la configuracin de la autenticacin.
Parmetros globales de RIP

En esta seccin se describen los parmetros globales de RIP que se pueden configurar en un enrutador virtual (VR). Cuando se configura un parmetro RIP a nivel de enrutador virtual, los datos de configuracin afectarn a las operaciones de todas las interfaces que tengan habilitado el protocolo RIP. Es posible modificar los valores de los parmetros globales del protocolo de enrutamiento RIP por medio de las interfaces CLI y WebUI. La Tabla 10 detalla los parmetros globales de RIP y sus valores predeterminados.
Tabla 10: Parmetros globales de RIP y sus valores predeterminados Parmetro global de RIP
Default metric Update timer Maximum packets per update Invalid timer Flush timer Maximum neighbors Trusted neighbors
Descripcin
Valor mtrico predeterminado para rutas importadas en RIP a partir de otros protocolos, como OSPF y BGP. Indica (en segundos) cundo enviar actualizaciones de rutas RIP a los dispositivos vecinos. Indica el nmero mximo de paquetes recibidos por actualizacin.
Valores predeterminados
10 30 segundos Sin mximo
Indica el tiempo (en segundos) que tiene que transcurrir para que una ruta deje 180 segundos de ser vlida desde el momento en el que un vecino deja de notificar la ruta. Indica el tiempo (en segundos) que tiene que transcurrir para que se elimine una ruta desde el momento de su invalidacin. Indica el nmero mximo de vecinos RIP permitidos. 120 segundos Depende de la plataforma
Indica una lista de acceso en la que se definen los vecinos RIP. Si no se Todos los vecinos especifica ningn vecino, RIP utiliza la difusin o la multidifusin para detectar son fiables vecinos en una interfaz. Consulte Configuracin de vecinos fiables en la pgina 93. Indica que se admiten vecinos RIP de otras subredes. Indica si se notifica la ruta predeterminada (0.0.0.0/0). Indica si RIP debe rechazar una ruta predeterminada reconocida de otro protocolo. Consulte Rechazo de rutas predeterminadas en la pgina 94. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Desactivado Desactivado Desactivado Ninguno Ninguno
Allow neighbors on different subnet Advertise default route Reject default routes Incoming route map Outgoing route map Maximum alternate routes Summarize advertised routes RIP protocol version
Especifica el nmero mximo de rutas RIP para el mismo prefijo que se puede 0 aadir a la base de datos de la ruta RIP. Consulte Establecimiento de rutas alternas en la pgina 99. Especifica la notificacin de una ruta de resumen que corresponde a todas las rutas incluidas dentro de un rango de resumen. Consulte Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98. Especifica la versin de RIP que utiliza el VR. Puede ignorar la versin interfaz a interfaz. Consulte Configuracin de la versin de RIP en la pgina 96. Ninguno
Versin 2
Parmetros globales de RIP
89
Parmetro global de RIP

Hold-timer
Descripcin
Valores predeterminados
Evita el flapping (rechazo) de una ruta a la tabla de rutas. Puede especificar un 90 segundos valor entre los valores mnimo (tres veces el valor del temporizador de actualizacin (update)) y mximo (suma del temporizador de actualizacin (update) y el de retencin (hold), sin exceder el valor del temporizador flush). Especifica el intervalo de retransmisin de las respuestas desencadenadas en un circuito de demanda. Puede establecer el temporizador de retransmisin y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. 5 segundos 10 reintentos
Retransmit timer
Poll-timer
Comprueba el vecino remoto del circuito de demanda para ver si est en lnea. 180 segundos Puede configurar el temporizador de sondeo en minutos y asignar una cuenta 0 reintentos de reintentos que se ajuste a sus necesidades de red. Una cuenta de reintentos de cero (0) supone un sondeo interminable.

Puede cambiar la configuracin de RIP incluyendo la notificacin de la ruta predeterminada (una ruta que no es RIP) y modificando la mtrica asociada con la ruta predeterminada presente en una tabla de enrutamiento de VP determinada. De forma predeterminada, la ruta predeterminada (0.0.0.0/0) no se notifica a los vecinos RIP. El siguiente comando notifica la ruta predeterminada a los vecinos RIP en el enrutador virtual trust-vr con un valor mtrico de 5 (hay que introducir un valor mtrico). La ruta predeterminada debe existir en la tabla de enrutamiento. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK:
Advertising Default Route: (seleccione) Metric: 5
CLI
set vrouter trust-vr protocol rip advertise-def-route metric number 5 save NOTA:
Consulte el Manual ScreenOS CLI Reference Guide: IPv4 Command Descriptions para obtener ms informacin sobre los parmetros globales que puede configurar en el contexto del protocolo de enrutamiento de RIP.
Configuracin de los parmetros de interfaz de RIP

En esta seccin se describen los parmetros RIP que se pueden configurar en el nivel de interfaz. Cuando se configura un parmetro RIP en el nivel de interfaz, los datos de configuracin afectan nicamente al funcionamiento RIP de la interfaz especificada. Puede modificar los ajustes de los parmetros de la interfaz mediante comandos de interfaz en la CLI o utilizando la WebUI.
90
La Tabla 11 detalla los parmetros de interfaz de RIP y sus valores predeterminados.

Tabla 11: Parmetros de interfaz de RIP y sus valores predeterminados Parmetro RIP de interfaz
Split-horizon
Descripcin
Indica si est habilitada la opcin de horizonte dividido (no notificar rutas reconocidas de una interfaz en actualizaciones enviadas a dicha interfaz, "split horizon"). Si est habilitada la opcin de horizonte dividido con rutas inalcanzables (poison reverse), las rutas reconocidas de una interfaz se notifican con un valor mtrico de 16 en las actualizaciones enviadas a dicha interfaz. Especifica la mtrica RIP de la interfaz.
La opcin de horizonte dividido est habilitada. Las rutas inalcanzables estn inhabilitadas.
RIP metric Authentication
1.
Especifica la autenticacin por contrasea de texto no No se utiliza autenticacin. encriptado o la autenticacin MD5. Consulte Autenticar vecinos al establecer una contrasea en la pgina 92. Indica que la interfaz puede recibir, pero no transmitir No. paquetes RIP. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Ninguna. Ninguna.
Passive mode Incoming route map Outgoing route map RIP version for sending or receiving updates
Especifica la versin de protocolo RIP utilizada para Versin configurada para el enviar o recibir actualizaciones en la interfaz. La enrutador virtual. versin de la interfaz utilizada para enviar actualizaciones no necesita ser la misma que la versin para recibir las actualizaciones. Consulte Configuracin de la versin de RIP en la pgina 96. Especifica si los resmenes de rutas estn habilitados Desactivado. en la interfaz. Consulte Habilitacin e inhabilitacin de un resumen de prefijos en la pgina 98. Especifica el circuito de demanda en una interfaz de tnel especificada. El dispositivo de seguridad enva mensajes de actualizacin solamente cuando se producen cambios. Consulte Circuitos de demanda en interfaces de tnel en la pgina 101. Especifica la direccin IP de un vecino RIP asignado manualmente. Ninguna.
Route summarization
Demand-circuit
Static neighbor IP
Ninguna.
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y otro mapa de rutas de entrada en el nivel de la interfaz, ste ltimo tendr preferencia sobre el primero. Para obtener ms informacin, consulte Configuracin de un mapa de rutas en la pgina 39. En el siguiente ejemplo, configuramos los siguientes parmetros RIP para la interfaz trust:
Active la autenticacin MD5 con la clave 1234567898765432 y la ID de clave 215. Habilite la opcin de horizonte dividido con rutas inalcanzables para la interfaz.
Configuracin de los parmetros de interfaz de RIP
91
WebUI Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes datos y haga clic en OK:
Authentication: MD5 (seleccione) Key: 1234567898765432 Key ID: 215 Split Horizon: Enabled with poison reverse (seleccione)
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id 215 set interface trust protocol rip split-horizon poison-reverse save
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento RIP y mtodos de prevencin de ataques.
NOTA:
Para que RIP sea ms seguro, todos los enrutadores de un dominio RIP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador RIP comprometido podra llegar a dejar inservible todo el domino de enrutamiento RIP.
Autenticar vecinos al establecer una contrasea

Un enrutador RIP se puede suplantar fcilmente, ya que los paquetes RIP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes RIP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos RIP. RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes RIP recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz RIP tiene la autenticacin habilitada. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores RIP de envo y recepcin. Puede especificar ms de una clave MD5 en el dispositivo de seguridad, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo de seguridad, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte. En el siguiente ejemplo, crear dos claves MD5 distintas para la interfaz ethernet1 y seleccionar una de ellas para que sea la clave activa. El identificador de clave predeterminado es 0, de forma que no tendr que especificar el identificador para la primera clave MD5 que introduzca.
92
WebUI Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
MD5 Keys: (seleccione) 1234567890123456 (primer campo de clave) 9876543210987654 (segundo campo de clave) Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456 set interface ethernet1 protocol rip authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1 save
Configuracin de vecinos fiables

Los entornos de acceso mltiple permiten que los dispositivos, incluyendo los enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar problemas de estabilidad o rendimiento si los dispositivos conectados no son fiables. Con objeto de evitar este problema, puede utilizar una lista de acceso para filtrar los dispositivos admitidos como vecinos RIP. De forma predeterminada, slo se admiten como vecinos RIP los dispositivos ubicados en la misma subred que el enrutador virtual (VR). En este ejemplo, configurar los siguientes parmetros globales para la instancia de enrutamiento RIP que se est ejecutando en el trust-vr:

El nmero mximo de vecinos RIP es 1. La direccin IP del vecino fiable, 10.1.1.1, figura en una lista de acceso.
WebUI Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK:
Trusted Neighbors: (seleccione), 10 Maximum Neighbors: 1
93
CLI
set vrouter trust-vr device(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1 device(trust-vr)-> set protocol rip device(trust-vr/rip)-> set max-neighbor-count 1 device(trust-vr/rip)-> set trusted-neighbors 10 device(trust-vr/rip)-> exit device(trust-vr)-> exit save

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede entregar informacin crtica a los paquetes antes de reenviarlos. En los dispositivos de seguridad de Juniper Networks, RIP acepta en principio cualquier ruta predeterminada reconocida en RIP y agrega la ruta predeterminada a la tabla de rutas. En el siguiente ejemplo, configurar la instancia de enrutamiento RIP que se est ejecutando en el trust-vr para que rechace todas las rutas predeterminadas reconocidas en RIP. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK:
Reject Default Route Learnt by RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip reject-default-route save
Proteccin contra inundaciones

Un enrutador que se encuentre comprometido o que no funcione correctamente puede inundar a sus vecinos con paquetes de actualizacin de enrutamiento RIP. En el enrutador virtual (VR), es posible configurar el nmero mximo de paquetes de actualizacin que se pueden recibir en una interfaz RIP durante un intervalo de actualizacin para impedir la inundacin con paquetes de actualizacin. Todos los paquetes de actualizacin que excedan el umbral de actualizacin configurado se descartarn. Si no se establece ningn umbral de actualizacin, se aceptarn todos los paquetes de actualizacin. Es necesario actuar con cuidado al configurar un umbral de actualizacin cuando los vecinos tienen tablas de enrutamiento de grandes dimensiones, ya que el nmero de actualizaciones de enrutamiento puede ser bastante elevado durante un intervalo determinado debido a las actualizaciones flash. Los paquetes de actualizacin que excedan el umbral se descartan, y es posible que no se reconozcan rutas vlidas.
94
Configuracin de un umbral de actualizacin

En este ejemplo, ajustar a 4 el nmero mximo de paquetes de actualizacin de enrutamiento que RIP puede recibir en una interfaz. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK:
Maximum Number Packets per Update Time: (seleccione), 4
CLI
set vrouter trust-vr protocol rip threshold-update 4 save
Habilitacin de RIP en interfaces de tnel

En el siguiente ejemplo se crea y habilita una instancia de enrutamiento RIP en el trust-vr del Dispositivo-A. RIP se habilita en la interfaz de tnel VPN y en la interfaz de zona Trust. Slo las rutas que se encuentran en la subred 10.10.0.0/16 se notifican al vecino RIP del Dispositivo-B. Esto se realiza configurando en primer lugar una lista de acceso que slo permita las direcciones de la subred 10.10.0.0/16 y especificando despus un mapa de rutas abcd que permita las rutas que coincidan con la lista de acceso. A continuacin, se indica el mapa de rutas para filtrar las rutas notificadas a los vecinos RIP. La Figura 13 muestra el escenario descrito de la red.
Figura 13: Ejemplo de interfaz de tnel con RIP
Zona Trust 10.20.0.0/16 10.10.0.0/16 Tnel VPN Enrutador RIP tunnel.1 Enrutador RIP Dispositivo-A (RIP) Zona Untrust 1.1.1.1/16 2.2.2.2/16
Internet
Dispositivo-B (RIP)
WebUI Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP Instance: Seleccione Enable RIP y haga clic en OK. Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
95
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: abcd Sequence No.: 10 Action: Permit Match Properties: Access List: (seleccione), 10
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione los siguientes datos y haga clic en OK:
Outgoing Route Map Filter: abcd
Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
Enable RIP: (seleccione)
Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
Enable RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface tunnel.1 protocol rip enable set interface trust protocol rip enable set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10 set vrouter trust-vr route-map name abcd permit 10 set vrouter trust-vr route-map abcd 10 match ip 10 set vrouter trust-vr protocol rip route-map abcd out save
Configuraciones opcionales de RIP

Esta seccin describe las diversas funciones de RIP que puede configurar.
Configuracin de la versin de RIP

En los dispositivos de seguridad de Juniper Networks, puede configurar la versin de Routing Information Protocol (RIP) para el enrutador virtual (VR) y para cada interfaz RIP que enve y reciba actualizaciones. Segn RFC 2453, el VR puede ejecutar una versin de RIP diferente de la instancia de RIP ejecutada en una interfaz determinada. Puede configurar tambin diversas versiones de RIP para enviar y recibir actualizaciones en una interfaz RIP. En el VR, puede configurar la versin 1 o la versin 2 de RIP; el valor predeterminado es la versin 2. Para enviar actualizaciones en interfaces RIP, puede configurar la versin 1, la versin 2 o el modo compatible con la versin 1 de RIP (descrito en RFC 2453). Para recibir actualizaciones en interfaces RIP, puede configurar la versin 1 o la versin 2 de RIP o ambas versiones; 1 y 2.
96
NOTA:
No se recomienda usar ambas versiones 1 y 2 a la vez. Entre la versin 1 y 2 del protocolo pueden producirse complicaciones de red. Para enviar y recibir actualizaciones en interfaces RIP, la versin predeterminada de RIP es la versin que est configurada para el VR. En el ejemplo siguiente, establece la versin 1 de RIP en trust-vr. Para la interfaz ethernet3, establece la versin 2 de RIP tanto para enviar como para recibir actualizaciones. WebUI Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione V1 for Version, luego haga clic en Apply. Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 for Sending and Receiving in Update Version, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip version 1 set interface ethernet3 protocol rip receive-version v2 set interface ethernet3 protocol rip send-version v2 save
Para verificar la versin de RIP en el VR y en las interfaces RIP, puede introducir el comando get vrouter trust-vr protocol rip.
device-> get vrouter trust-vr protocol rip VR: trust-vr ---------------------------------State: enabled Version: 1 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 512 Not validating neighbor in same subnet: disabled Next RIP update scheduled after: 14 sec Advertising default route: disabled Default routes learnt by RIP will be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update Invalid Flush (Timers in seconds) ------------------------------------------------------------30 180 120 Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx -------------------------------------------------------------------------------ethernet3 20.20.1.2/24 enabled enabled S 0 1 2/2
En el ejemplo de arriba, el dispositivo de seguridad est ejecutando la versin 1 de RIP en trust-vr; pero se est ejecutando la versin 2 de RIP en la interfaz ethernet3 para enviar y recibir actualizaciones.
Configuraciones opcionales de RIP 97
Habilitacin e inhabilitacin de un resumen de prefijos

Puede configurar una ruta de resumen que englobe el rango de prefijos de ruta al que deber notificar RIP. El dispositivo de seguridad notificar solamente la ruta que corresponde al rango de resumen en lugar de notificar individualmente cada ruta incluida en el rango del resumen. Esto puede reducir el nmero de entradas de ruta enviadas en las actualizaciones de RIP y reducir el nmero de entradas que los vecinos RIP necesitan almacenar en sus tablas de enrutamiento. Habilite el resumen de ruta en la interfaz RIP desde la que el dispositivo enva. Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resumen en otra interfaz.
NOTA:
No puede habilitar selectivamente el resumen para un rango de resumen especfico; cuando habilita el resumen en una interfaz, todas las rutas de resumen configuradas aparecen en las actualizaciones de enrutamiento. Al configurar la ruta de resumen, no puede especificar los rangos de prefijos mltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la ruta predeterminada. Puede especificar opcionalmente una mtrica para la ruta de resumen. Si no especifica una mtrica, se utilizar la mtrica ms grande para todas las rutas incluidas en el rango de resumen. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para obtener ms informacin sobre cmo establecer una interfaz NULL, consulteEvitar bucles creados por las rutas resumidas en la pgina 11.
Habilitacin de un resumen de prefijos

En el ejemplo siguiente, configure una ruta de resumen 10.1.0.0/16, que englobe los prefijos 10.1.1.0/24 y 10.1.2.0/24. Para permitir que ethernet3 enve la ruta de resumen en las actualizaciones de RIP, necesita habilitar el resumen en la interfaz. WebUI Network > Routing > Virtual Routers > Edit (for trust-vr) > Edit RIP Instance > Summary IP: Introduzca los siguientes datos y haga clic en Add:
Summary IP: 10.1.0.0 Netmask: 16 Metric: 1
Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 set interface ethernet3 protocol rip summary-enable save
98
Inhabilitar un resumen de prefijo

En el ejemplo siguiente, inhabilite una ruta de resumen del prefijo para ethernet3 en el trust-vr. WebUI Network > Interfaces > Edit > RIP: Desactive Summarization, luego haga clic en Apply. CLI
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 unset interface ethernet3 protocol rip summary-enable save
Establecimiento de rutas alternas

El dispositivo de seguridad mantiene una base de datos RIP para las rutas que ha aprendido el protocolo y las rutas que se redistribuyen en RIP. De forma predeterminada, solamente se mantiene la mejor ruta de un prefijo dado en la base de datos. Puede permitir la existencia de una, dos o tres rutas alternativas de RIP para el mismo prefijo en la base de datos RIP. Si permite las rutas alternativas para un prefijo en la base de datos RIP, las rutas al mismo prefijo con un origen RIP o un siguiente salto diferente se aaden a la base de datos RIP. Esto hace que RIP pueda admitir los circuitos de demanda y la conmutacin por error rpida.
NOTA:
Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para obtener ms informacin sobre los circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 101. Solamente se aade a la tabla de enrutamiento de un enrutador virtual (VR) y se anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP aade la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se aade a la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a la tabla de enrutamiento y deja de utilizar la ruta antigua. Segn el lmite de la ruta alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base de datos RIP. Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter enrut_virtual protocol rip database. En el ejemplo siguiente, el nmero de rutas alternativas para la base de datos RIP se ajusta a un nmero mayor que 0. La base de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la ruta con el coste ms bajo, se incluye en la tabla de enrutamiento de VR.
Configuraciones opcionales de RIP 99
device-> get vrouter trust-vr protocol rip database VR: trust-vr -------------------------------------------------------------------------------Total database entry: 14 Flags : Added in Multipath - M, RIP - R, Redistributed - I Default (advertised) - D, Permanent - P, Summary - S Unreachable - U, Hold - H DBID Prefix Nexthop Interface Cost Flags Source -------------------------------------------------------------------------------. . . 47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1 46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5
. .
Si est habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte Configuracin del enrutamiento multidireccional de igual coste en la pgina 36) y existen rutas mltiples de igual coste en la base de datos RIP para un prefijo dado, el protocolo RIP aade las rutas mltiples para el prefijo en la tabla de enrutamiento del VR hasta el lmite de ECMP. En algunos casos, el lmite de la ruta alternativa en la base de datos RIP puede hacer que las rutas RIP no se aadan a la tabla de enrutamiento del VR. Si el lmite de ECMP es inferior o igual al lmite de la ruta alternativa en la base de datos RIP, las rutas RIP que no se aadan a la tabla de enrutamiento del VR permanecern en la base de datos RIP; estas rutas se aaden a la tabla de enrutamiento del VR solamente si se elimina una ruta anteriormente aadida o si ya no es la mejor ruta RIP para el prefijo de red. Por ejemplo, si el lmite de ECMP es 2 y el lmite de la ruta alternativa en la base de datos RIP es 3, solamente podr haber dos rutas RIP para el mismo prefijo con el mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el mismo prefijo/mismo coste en la base de datos RIP, pero solamente se aaden dos rutas a la tabla de enrutamiento del VR. En el ejemplo siguiente, establezca en 1 el nmero de rutas alternativas permitidas para un prefijo de la base de datos RIP en trust-vr. Esto permite que haya una ruta mejor y una ruta alternativa en cualquier prefijo dado de la base de datos RIP en el VR. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance: Introduzca 1 en el campo Maximum Alternative Route, luego haga clic en Apply. CLI
set vrouter trust-vr protocol rip alt-route 1 save
100
Circuitos de demanda en interfaces de tnel

Un circuito de demanda es una conexin de punto a punto entre dos interfaces de tnel. La carga de procesamiento de la red es mnima en lo que respecta a la cantidad de mensajes que pasan entre los extremos del circuito de demanda. Los circuitos de demanda de RIP, definidos en la norma RFC 2091 para las redes de rea extensa, admiten grandes cantidades de vecinos RIP en los tneles VPN de los dispositivos de seguridad de Juniper Networks. Los circuitos de demanda de RIP eliminan la transmisin peridica de los paquetes RIP a travs de la interfaz de tnel. Para miticar la carga de procesamiento de la red, el dispositivo de seguridad enva la informacin de RIP solamente cuando se producen cambios en la base de datos de enrutamiento. El dispositivo de seguridad retransmite tambin las actualizaciones y peticiones hasta que se reciben los reconocimientos vlidos. El dispositivo de seguridad aprende los vecinos RIP mediante la configuracin de vecinos esttica; y si queda fuera de lnea el tnel VPN, el protocolo RIP limpia las rutas aprendidas desde la direccin IP del vecino. Las rutas aprendidas de los circuitos de demanda no caducan con los temporizadores RIP porque los circuitos de demanda estn en un estado permanente. Las rutas en estado permanente se eliminan solamente bajo las condiciones siguientes:
Una ruta que antes estaba accesible pasa a estar inaccesible en una respuesta entrante El tnel VPN queda fuera de lnea o el circuito de demanda est fuera de lnea debido a un nmero excesivo de retransmisiones no reconocidas
En el dispositivo de seguridad, tambin puede configurar una interfaz de tnel de punto a punto o de punto a multipunto como circuito de demanda. Debe inhabilitar route-deny (si est configurado) en un tnel de punto a multipunto de modo que todas las rutas puedan alcanzar sitios remotos. Aunque no se requiera, tambin puede inhabilitar el horizonte dividido en la interfaz de punto a multipunto con los circuitos de demanda. Si inhabilita el horizonte dividido, los puntos extremos podrn reconocerse mutuamente. Debe configurar la supervisin de VPN con reencriptacin en los tneles VPN para aprender el estado del tnel. Despus de configurar el circuito de demanda y los vecinos estticos, puede ajustar el temporizador/retransmisor RIP, el temporizador de sondeo, y el temporizador de retencin para ajustarse a sus requisitos de red. Los ejemplos sobre cmo configurar un circuito de demanda y un vecino esttico se muestran despus de esta seccin. Un ejemplo de configuracin de red RIP con circuitos de demanda a travs de interfaces de tnel de punto a multipunto empieza en la pgina 103. En el ejemplo siguiente, configurar la interfaz_tunnel.1 para que acte como circuito de demanda y guardar la configuracin. WebUI Network > Interfaces > Edit > RIP: Seleccione Demand Circuit, luego haga clic en Apply.
101
CLI
set interface tunnel.1 protocol rip demand-circuit save
Despus de habilitar un circuito de demanda, puede activar su estado y sus temporizadores con el comando get vrouter enrut_virtual protocol rip database. La Tabla 12 detalla sugerencias para solucionar problemas de rendimiento provocados por ajustes del temporizador.
Tabla 12: Solucin de problemas del temporizador de retransmisin del circuito de demanda Rendimiento del circuito de demanda
Relativamente lento Sin prdidas Congestionado y con prdidas
Sugerencia
Puede reconfigurar el temporizador de retransmisin a un valor superior para reducir el nmero de retransmisiones. Puede reconfigurar el temporizador de retransmisiones para reducir la cuenta de reintentos. Puede reconfigurar el temporizador de retransmisiones a una cuenta de reintentos superior para dar al vecino esttico ms tiempo de respuesta antes de forzar al vecino esttico a un estado de sondeo (POLL).
Configuracin de un vecino esttico

Una interfaz de punto a multipunto que est ejecutando RIP requiere vecinos configurados estticamente. Para los circuitos de demanda de configuracin manual, es la nica forma de que un dispositivo de seguridad aprenda las direcciones vecinas en las interfaces de punto a multipunto. Para configurar un vecino esttico RIP introduzca el nombre de la interfaz y la direccin IP del vecino RIP. En el ejemplo siguiente configurar el vecino RIP con la direccin IP 10.10.10.2 de la interfaz tunnel.1. WebUI Network > Interfaces > (Edit) RIP: Haga clic en el botn Static Neighbor IP para avanzar a la tabla Static Neighbor IP. Introduzca la direccin IP del vecino esttico y haga clic en Add. CLI
set interface tunnel.1 protocol rip neighbor 10.10.10.2 unset interface tunnel.1 protocol rip neighbor 10.10.10.2 save
Configuracin de una interfaz de tnel punto a multipunto

El protocolo RIP punto a multipunto se admite en las interfaces de tnel numeradas de las versiones 1 y 2 de RIP.
102
PRECAUCIN: RIP no se admite en interfaces de tnel sin numerar. Se debe
numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento de configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un fallo impredecible en el enrutamiento. Debe inhabilitar el horizonte dividido en un tnel de interfaz de punto a multipunto que configure con circuitos de demanda de modo que los mensajes alcancen todos los sitios remotos. Para una interfaz de tnel punto a multipunto sin circuitos de demanda, puede dejar habilitada la opcin de horizonte dividido (predeterminada). RIP aprende dinmicamente sobre los vecinos. El protocolo RIP enva todos los mensajes transmitidos a la direccin multicast 224.0.0.9 y los reduplica a todos los tneles segn convenga. Si desea configurar RIP como tnel punto a multipunto con circuitos de demanda, debe disear su red en una configuracin radial hub and spoke.
NOTA:
En este ejemplo, nicamente se hace referencia a las interfaces de lnea de comandos y no describimos zonas y otros pasos de configuracin necesarios. La red de este ejemplo pertenece a una empresa de tamao mediano con su oficina central (OC) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la Figura 14 en la pgina 104. Los siguientes son los requisitos de configuracin especficos del dispositivo de seguridad en la OC: 1. Configure el VR para que ejecute una instancia de RIP, habilitar RIP y, a continuacin, configurar la interfaz tunnel.1. 2. Configure las cuatro VPN y asociarlas a la interfaz tunnel.1. 3. Configure vecinos estticos RIP en el dispositivo de seguridad de la oficina central (OC). 4. No cambie los valores predeterminados del temporizador en este ejemplo. Los siguientes son los requisitos de configuracin propios de los dispositivos de seguridad remotos de Juniper Networks: 1. Configure el VR para que ejecute una instancia de RIP, habilite RIP y, a continuacin, configure la interfaz tunnel.1. 2. Configure la VPN y asciela a la interfaz tunnel.1. 3. No configure vecinos estticos en los dispositivos de seguridad de la oficina remota. Los dispositivos de la oficina remota solamente tienen un dispositivo vecino que ser descubierto por las peticiones multicast iniciales.
103
NOTA:
No es necesario cambiar los valores predeterminados del temporizador en este ejemplo.

Figura 14: Ejemplo de red punto a multipunto con interfaz de tnel
Los Angeles tunnel.1 10.0.0.3 Untrust 1.1.1.3 Nueva York tunnel.1 10.0.0.2 Untrust 1.1.1.2 tunnel.1 10.0.0.5 Untrust 1.1.1.5 Montreal tunnel.1 10.0.0.4 Untrust 1.1.1.4 Chicago
VPN 2
VPN 3 Internet VPN 4
VPN 1
San Francisco (OC) ethernet3 1.1.1.1 tunnel.1 10.0.0.1 4 VPN asociadas a tunnel.1
En el diagrama de red que se muestra en la Figura 14, se originan cuatro VPNs en el dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. En este ejemplo, configurar los siguientes ajustes en el dispositivo de seguridad de la oficina central OC: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y RIP 4. Vecinos estticos 5. Ruta de resumen Para poder comprobar el estado del circuito en el dispositivo de la oficina central OC, debe habilitar la supervisin de VPN. Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos de seguridad de las oficinas remotas: 1. Interfaces y zona de seguridad 2. VPN
104
3. Rutas y RIP 4. Vecinos estticos 5. Ruta de resumen
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse. WebUI (dispositivo de la oficina central)
1. Zonas e interfaces de seguridad
Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3)
2. VPN

3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador virtual. Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP, posteriormente habilite RIP en la interfaz.
4. Vecinos estticos
Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add Neighbor IP Address.
5. Ruta de resumen
Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP y configure la direccin IP del resumen. CLI (dispositivo de la oficina central)
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.1/24
2. VPN
set ike gateway gw1 address 1.1.1.2 ripdc proposal pre-g2-3des-sha set ike gateway gw2 address 1.1.1.3 ripdc proposal pre-g2-3des-sha set ike gateway gw3 address 1.1.1.4 ripdc proposal pre-g2-3des-sha set ike gateway gw4 address 1.1.1.5 ripdc proposal pre-g2-3des-sha
main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare
105
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn vpn2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn vpn3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn vpn4 bind interface tunnel.1
3. Rutas y RIP
set vrouter trust protocol rip set vrouter trust protocol rip enable set vrouter protocol rip summary-ip 100.10.0.0/16 set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip enable set interface tunnel.1 protocol rip demand-circuit
4. Vecinos estticos
set set set set

5.
interface tunnel.1 protocol interface tunnel.1 protocol interface tunnel.1 protocol interface tunnel.1 protocol
rip rip rip rip
neighbor neighbor neighbor neighbor
10.0.0.2 10.0.0.3 10.0.0.4 10.0.0.5
Ruta de resumen
set interface tunnel.1 protocol rip summary-enable save
Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina remota. Al configurar la oficina remota, no necesita configurar vecinos estticos. En un entorno de circuito de demanda, solamente existe un vecino para el dispositivo remoto y ste aprende la informacin del vecino cuando enva un mensaje multicast durante el arranque. Para completar la configuracin mostrada en el diagrama de la pgina 104, debe repetir esta seccin por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y untrust cambian.
NOTA:
Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es muy largo. La porcin CLI del ejemplo est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse.
106
WebUI (dispositivo de oficina remota)

Network > Interfaces > Haga clic en New Tunnel IF y contine en la pgina de configuracin. Network > Interfaces > Edit (para ethernet3)
2. VPN

3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador virtual. Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP, posteriormente habilite RIP en la interfaz.
Directivas (de todas las zonas a todas las zonas) > Haga clic en New CLI (dispositivo de oficina remota)
1. Protocolo de enrutamiento e interfaz
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface untrust ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.2/24
2. VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ripdc proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3. Rutas y RIP
set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip demand-circuit set interface tunnel.1 protocol rip enable
set policy id 1 from trust to untrust any any any permit set policy id 2 from untrust to trust any any any permit save
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtuale protocol rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla de vecinos; la informacin del vecino no envejece ni expira. Puede ver la base de datos RIP ejecutando el comando get vrouter enrut_virtuale protocol rip database. Aparece una P de permanent junto a las entradas de los circuitos de demanda.
107
108
Captulo 5
Protocolo de puertas de enlace de lmite

En este captulo se describe el protocolo de puertas de enlace de lmite (Border Gateway Protocol, BGP) en los dispositivos de seguridad de Juniper Networks. Incluye las siguientes secciones:

Tipos de mensajes BGP en la pgina 110 Atributos de ruta en la pgina 111 BGP externo e interno en la pgina 112
Configuracin bsica de BGP en la pgina 112

Creacin y habilitacin de una instancia de BGP en la pgina 113 Habilitacin e inhabilitacin de BGP en interfaces en la pgina 114 Configuracin de grupos de interlocutores e interlocutores BGP en la pgina 115 Comprobacin de la configuracin BGP en la pgina 119

Configuracin de seguridad en la pgina 120

Autenticacin de vecinos BGP en la pgina 120 Rechazo de rutas predeterminadas en la pgina 121 Redistribucin de rutas en BGP en la pgina 123 Configuracin de una lista de acceso AS-Path en la pgina 124 Agregar rutas a BGP en la pgina 125 Capacidad de route-refresh en la pgina 127 Configuracin de la reflexin de rutas en la pgina 128 Configurar una confederacin en la pgina 131
109

Comunidades BGP en la pgina 133 Agregacin de rutas en la pgina 134
Vista general
El protocolo BGP es un protocolo de vectores de rutas que se utiliza para transportar informacin de enrutamiento entre sistemas autnomos (AS). Un AS es un conjunto de enrutadores que se encuentran en el mismo dominio administrativo. La informacin de enrutamiento BGP incluye la secuencia de nmeros de los AS que un prefijo de red (una ruta) ha atravesado. La informacin de ruta asociada al prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento. ScreenOS es compatible con la versin 4 de BGP (BGP-4) tal y como se define en la norma RFC 1771. Dos interlocutores BGP establecen una sesin BGP para intercambiar informacin de enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos interlocutores. En primer lugar, los interlocutores BGP deben establecer una conexin TCP entre s para abrir una sesin BGP. Una vez establecida la conexin inicial, los interlocutores intercambian las tablas de enrutamiento completas. A medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian mensajes de actualizacin con los interlocutores. Cada enrutador BGP mantiene actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene sesiones, envindoles peridicamente mensajes de mantenimiento de conexin para verificar las conexiones. El interlocutor BGP slo notifica las rutas que est utilizando en ese momento. Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta que describen sus caractersticas. El enrutador BGP compara los atributos de ruta y el prefijo para elegir la mejor ruta de todas las disponibles para un destino determinado.
Tipos de mensajes BGP

El protocolo BGP utiliza cuatro tipos de mensajes para la comunicacin con los interlocutores:
Los mensajes de Open permiten que los interlocutores BGP se identifiquen mutuamente antes de iniciar la sesin GP. Estos mensajes se envan cuando los interlocutores han establecido una sesin TCP. Durante el intercambio de mensajes de apertura, los interlocutores BGP especifican su versin de protocolo, nmero de AS, tiempo de espera e identificador BGP. Los mensajes de Update notifican rutas al interlocutor y descartan las rutas notificadas previamente. Los mensajes de Notification indican errores. La sesin BGP se termina y se cierra la sesin TCP.
110
Vista general
Captulo 5: Protocolo de puertas de enlace de lmite
NOTA:
El dispositivo de seguridad no enviar un mensaje de notificacin a un interlocutor si, durante el intercambio de mensajes de apertura, el interlocutor indica que admite protocolos con los que el dispositivo de seguridad no es compatible.
Los mensajes de Keepalive se utilizan para el mantenimiento de la sesin BGP. De forma predeterminada, el dispositivo de seguridad enva mensajes de mantenimiento de conexin a los interlocutores cada 60 segundos. Este intervalo se puede configurar.
Atributos de ruta
Los atributos de ruta BGP son un grupo de parmetros que describen las caractersticas de una ruta. El protocolo BGP empareja los atributos con la ruta que describen y, a continuacin, compara todas las rutas disponibles para un destino para as seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta obligatorios y bien conocidos son:

Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto). AS-Path contiene una lista de sistemas autnomos a travs de los cuales ha pasado la notificacin de ruta. Next-Hop es la direccin IP del enrutador al que se enva trfico para la ruta.
Los atributos de ruta opcionales son:

Multi-Exit Discriminator (MED) es una mtrica para aquellas rutas en las que hay mltiples vnculos entre sistemas autnomos (un AS configura el MED y otro AS lo utiliza para elegir una ruta). Local-Pref es una mtrica utilizada para informar a los interlocutores BGP de las preferencias del enrutador local para elegir una ruta. Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local seleccion una ruta menos especfica de un conjunto de rutas superpuestas recibidas de un interlocutor. Aggregator especifica el AS y el enrutador que realizaron la agregacin de la ruta. Communities especifica una o varias comunidades a las que pertenece la ruta. Cluster List contiene una lista de los clsteres de reflexin a travs de los cuales ha pasado la ruta.

Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta opcionales antes de notificrsela a los interlocutores.
Vista general
111
BGP externo e interno

El protocolo BGP externo (EBGP) se utiliza entre sistemas autnomos, p. ej., cuando distintas redes ISP se conectan entre s o una red empresarial se conecta a una red ISP. El protocolo BGP interno (IBGP) se utiliza dentro de un sistema autnomo, p. ej., una red de una empresa. El objetivo principal de IBGP es distribuir los enrutadores reconocidos por EBGP en los enrutadores del AS. Un enrutador IBGP puede notificar a sus interlocutores IBGP rutas reconocidas por sus interlocutores EBGP, pero no puede notificar rutas reconocidas por sus interlocutores IBGP a otros interlocutores IBGP. Esta restriccin impide que se formen bucles de notificacin de ruta dentro de la red, pero tambin implica que una red IBGP debe estar absolutamente mallada (es decir, cada enrutador BGP de la red debe tener una sesin con cada uno de los otros enrutadores de la red). Algunos atributos de ruta slo son aplicables a EBGP o a IBGP. Por ejemplo, el atributo MED slo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-PREF slo est presente en mensajes IBGP.
Configuracin bsica de BGP

En un dispositivo de seguridad, cada instancia BGP se crea individualmente por cada enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podr habilitar mltiples instancias de BGP, una por cada enrutador virtual.
NOTA:
Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo de seguridad, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2, Enrutamiento. Los cinco pasos bsicos para configurar BGP en un VR en un dispositivo de seguridad son: 1. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtual, asignando primero un nmero de sistema autnomo a la instancia de BGP y habilitando despus la instancia. 2. Habilitar BGP en la interfaz conectada al interlocutor. 3. Habilitar cada interlocutor BGP. 4. Configurar uno o varios interlocutores BGP remotos. 5. Comprobar que el protocolo BGP est configurado correctamente y funciona. Esta seccin describe cmo realizar cada una de estas tareas utilizando CLI o WebUI para el siguiente ejemplo. La Figura 15 muestra el dispositivo de seguridad como un interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para que pueda establecer una sesin BGP con el interlocutor en AS 65500.
112
Figura 15: Ejemplo de configuracin BGP

Nmero del sistema autnomo Nmero del sistema autnomo
Sistemas autnomos
AS 65000 Dispositivo de seguridad local Enrutador remoto
AS 65500
ID del enrutador 1.1.1.250
Direccin IP de interfaz 1.1.1.1/24 BGP habilitado
Direccin IP de interfaz 2.2.2.2/24 BGP habilitado
ID de enrutador 2.2.2.250
Interlocutores BGP
Creacin y habilitacin de una instancia de BGP

Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual (VR) especfico ubicado en un dispositivo de seguridad. Para crear una instancia de enrutamiento BGP, primero se debe especificar el nmero de sistema autnomo en el se que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el nmero de sistema autnomo ser el mismo que el de otros enrutadores IBGP de la red. Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de enrutamiento BGP ser capaz de establecer contacto e iniciar una sesin con los interlocutores BGP que configure.
NOTA:
Los nmeros de sistemas autnomos (AS) son nmeros nicos a nivel global que se utilizan para intercambiar informacin de enrutamiento EBGP y para identificar el sistema autnomo. Las siguientes entidades asignan nmeros de AS: American Registry for Internet Numbers (ARIN), Rseaux IP Europens (RIPE) y Asia Pacific Network Information Center (APNIC). Los nmeros 64512 a 65535 son de uso privado y no para su notificacin global en Internet.
Creacin de una instancia BGP

En el siguiente ejemplo, en primer lugar asignar 0.0.0.10 como ID de enrutador a trust-vr. A continuacin crear y habilitar una instancia de enrutamiento BGP en el trust-vr, que se encuentra en el dispositivo de seguridad en AS 65000. (Para obtener ms informacin sobre enrutadores virtuales y cmo configurar un enrutador virtual en dispositivos de seguridad, consulte Enrutamiento en la pgina 13).
113
WebUI
1. ID de enrutador
Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10
2. Instancia de enrutamiento de BGP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
CLI
1. ID de enrutador

2. Instancia de enrutamiento de BGP
set vrouter trust-vr protocol bgp 65000 set vrouter trust-vr protocol bgp enable save
Eliminacin de una instancia de BGP

En este ejemplo inhabilitar y eliminar la instancia de enrutamiento de BGP en el enrutador trust-vr. BGP detendr todas las sesiones con los interlocutores. WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance: Anule la seleccin de BGP Enabled y haga clic en OK. Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP Instance, luego haga clic en OK cuando aparezca el mensaje de confirmacin. CLI
unset vrouter trust-vr protocol bgp enable unset vrouter trust-vr protocol bgp 65000 save
Habilitacin e inhabilitacin de BGP en interfaces

Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma predeterminada, las interfaces del dispositivo de seguridad no estn asociadas a ningn protocolo de enrutamiento).
Habilitacin de BGP en interfaces

En este ejemplo habilitar BGP en la interfaz ethernet4. WebUI Network > Interfaces > Edit> BGP: Marque la opcin Protocol BGP enable, y luego haga clic en OK.
114
CLI
set interface ethernet4 protocol bgp save
Inhabilitacin de BGP en interfaces

En este ejemplo inhabilitar BGP en la interfaz ethernet4. En las dems interfaces en las que haya habilitado BGP podrn continuar transmitiendo y procesando paquetes BGP. WebUI Network > Interfaces > Configure (para ethernet4): Elimine la marca de la opcin Protocol BGP enable, y luego haga clic en OK. CLI
unset interface ethernet4 protocol bgp save
Configuracin de grupos de interlocutores e interlocutores BGP

Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas, necesitan identificarse mutuamente para poder iniciar una sesin BGP. Es necesario especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar parmetros para establecer y mantener la sesin. Los interlocutores pueden ser interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGP, habr que especificar el sistema autnomo en el que reside el interlocutor. Todas las sesiones BGP se autentican comprobando el identificador de interlocutor BGP y el nmero de AS notificado por los interlocutores. Las conexiones correctas con un interlocutor se registran. Si surge algn problema durante la conexin con el interlocutor, el interlocutor enviar o recibir un mensaje de notificacin BGP, lo que har que la conexin falle o se cierre. Es posible configurar parmetros para direcciones de interlocutores individuales. Tambin se pueden asignar interlocutores a un grupo de interlocutores, lo que permitir configurar parmetros para el grupo en su conjunto.
NOTA:
No es posible asignar interlocutores IBGP y EBGP al mismo grupo de interlocutores. La Tabla 13 describe parmetros que se pueden configurar para interlocutores BGP y sus valores predeterminados. Una X en la columna Interlocutor indica un parmetro que se puede configurar para la direccin IP de un interlocutor, mientras que una X en la columna Grupo de interlocutores indica un parmetro que se puede configurar para un grupo de interlocutores.
115
Tabla 13: Parmetros de interlocutores BGP y grupos de interlocutores y valores predeterminados Grupo de interlocutores Descripcin
Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. X X Nmero de nodos entre el BGP local y el vecino.
Parmetro BGP Interlocutor

Advertise default X route EBGP multihop Force connect X X
La ruta predeterminada no se notifica 0 (desactivado)
N/A Hace que la instancia de BGP descarte una conexin BGP existente con el interlocutor especificado y acepte una nueva conexin. Este parmetro resulta de utilidad cuando hay una conexin con un enrutador que queda fuera de lnea y luego vuelve a ponerse en lnea e intenta restablecer una conexin BGP, ya que permite un restablecimiento ms rpido de la conexin entre interlocutores1. Tiempo transcurrido sin que lleguen mensajes 180 segundos de un interlocutor antes de que se considere fuera de lnea. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la autenticacin MD-5. 1/3 del tiempo de retencin (hold-time) Slo se comprueba el identificador de interlocutor y el nmero de AS 0 Atributo de salto siguiente no cambiado
Hold time
Keepalive MD5 authentication
X X
X X
MED Next-hop self
X X X
Configura el valor de atributo MED. En las rutas enviadas al interlocutor, el atributo de ruta al salto siguiente se ajusta en la direccin IP de la interfaz del enrutador virtual local. El interlocutor es un cliente de reflexin cuando el protocolo BGP local se configura como el reflector de rutas. No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP. X Tras un intento fallido de inicio de sesin, tiempo que se tarda en reintentar iniciar la sesin BGP. Transmite el atributo de comunidad al interlocutor. Prioridad de ruta entre el BGP local y el interlocutor.
Reflector client
Ninguno
Reject default route
Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento 120 segundos
Retry time
Send community Weight
Atributo de comunidad no enviado a los interlocutores 100
1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexin BGP con el interlocutor especificado y acepte una nueva conexin. El uso de este comando de ejecucin no modifica la configuracin del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuracin del mapa de rutas que se aplica a este interlocutor.
116
Es posible configurar algunos parmetros en el nivel de interlocutores y en el de protocolo (consulte Configurar una confederacin en la pgina 131). Por ejemplo, puede configurar el valor de tiempo de espera para un interlocutor especfico con un valor de 210 segundos, mientras que el valor de tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configuracin del interlocutor tendr preferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED ajustado en el nivel de interlocutor slo se aplicar a las rutas que se notifiquen a esos interlocutores.
Configuracin de un interlocutor BGP

En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este interlocutor tiene los siguientes atributos:

Direccin IP 1.1.1.250 Reside en AS 65500
NOTA:
Deber habilitar cada conexin de interlocutor que configure. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500 Remote IP: 1.1.1.250
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione Peer Enabled y luego haga clic en OK. CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable save
Configuracin de un grupo de interlocutores IBGP

Ahora configurar un grupo de interlocutores IBGP llamado ibgp que contendr las siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo de interlocutores, podr configurar parmetros (como la autenticacin MD5) que se aplicarn a todos los miembros del grupo de interlocutores.
NOTA:
Deber habilitar cada conexin de interlocutor que configure. Si configura interlocutores como parte de un grupo, tendr que habilitar las conexiones de los interlocutores una a una.
117
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic en Add. > Configure (para ibgp): En el campo Peer authentication, introduzca verify03 y haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 10.1.2.250 Peer Group: ibgp (seleccione)
Introduzca los siguientes datos y haga clic en Add:

AS Number: 65000 Remote IP: 10.1.3.250 Peer Group: ibgp (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled y luego haga clic en OK. CLI
set vrouter trust-vr protocol bgp neighbor peer-group ibgp set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000 set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication verify03 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable save
118
Comprobacin de la configuracin BGP

Puede revisar la configuracin introducida a travs de WebUI o CLI ejecutando el comando get vrouter enrut_virtual protocol bgp config.
device-> get set protocol set enable set neighbor set neighbor PwY/g==" set neighbor vrouter trust-vr protocol bgp config bgp 65000 peer-group "ibgp" peer-group "ibgp" md5-authentication "cq1tu6gVNU5gvfsO60CsvxVPNnntO 10.1.2.250 remote-as 65000
output continues... exit
Para comprobar si BGP se est ejecutando en el enrutador virtual, ejecute el comando get vrouter enrut_virtual protocol bgp .
device-> get vrouter trust-vr protocol bgp Admin State: habilitar Local Router ID: 10.1.1.250 Local AS number: 65000 Hold time: 180 Keepalive interval: 60 = 1/3 hold time, default Local MED is: 0 Always compare MED: disable Local preference: 100 Route Flap Damping: disable IGP synchronization: disable Route reflector: disable Cluster ID: not set (ID = 0) Confederation based on RFC 1965 Confederation (confederacin): disable (confederation ID = 0) Member AS: none Origin default route: disable Ignore default route: disable
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificacin del enrutador, as como todos los dems parmetros configurados relativos al BGP.
NOTA:
Es recomendable asignar una ID de enrutador de forma explcita, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte Enrutamiento en la pgina 13. Para comprobar si un interlocutor o grupo de interlocutores BGP est habilitado y Ver el estado de la sesin BGP, ejecute el comando get vrouter enrut_virtual protocol bgp neighbor.
device-> get vrouter trust-vr protocol bgp neighbor Peer AS Remote IP Local IP Wt Status State ConnID 65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up Total 1 BGP peers shown
En este ejemplo puede verificar si el interlocutor BGP est habilitado y si la sesin est activa.
119
El estado puede ser uno de los que aqu se indican:

Idle: primer estado de la conexin. Connect: BGP est esperando una conexin de transporte TCP correcta. Active: BGP est iniciando una conexin de transporte. OpenSent: BGP est esperando un mensaje de apertura (OPEN) del interlocutor. OpenConfirm: BGP est esperando un mensaje de mantenimiento de conexin (KEEPALIVE) o notificacin (NOTIFICATION) del interlocutor. Established: BGP est intercambiado paquetes de actualizacin (UPDATE) con el interlocutor.
NOTA:
Un estado de sesin que cambia continuamente entre Active y Connect podra indicar un problema con la conexin entre interlocutores.
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento BGP y ciertos mtodos de prevencin de ataques.
NOTA:
Para que BGP sea ms seguro, todos los enrutadores de un dominio BGP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP comprometido podra llegar a dejar fuera de lnea todo el domino de enrutamiento BGP.
Autenticacin de vecinos BGP

Un enrutador BGP se puede suplantar fcilmente, ya que los paquetes BGP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes BGP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los interlocutores BGP. BGP ofrece autenticacin MD5 para validar los paquetes BGP recibidos de un interlocutor. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores BGP de envo y de recepcin. Todos los paquetes BGP recibidos de un determinado interlocutor que no se autentiquen se descartarn. De forma predeterminada, para un determinado interlocutor BGP slo se comprobarn el identificador de interlocutor y el nmero de AS. En el siguiente ejemplo configuraremos un interlocutor BGP con la direccin IP remota 1.1.1.250 en AS 65500. A continuacin configuraremos el interlocutor para la autenticacin MD5 utilizando la clave 1234567890123456.
120
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
> Configure (para IP remota 1.1.1.250): Introduzca los siguientes datos y haga clic en OK:
Peer Authentication: Enable (seleccione) MD5 password: 1234567890123456 Peer Enabled: (seleccione)
CLI
set vrouter trust-vr (trust-vr)-> set protocol bgp (trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500 (trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456 (trust-vr/bgp)-> set neighbor 1.1.1.250 enable (trust-vr/bgp)-> exit (trust-vr)-> exit save

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede eliminar informacin crtica de los paquetes antes de reenviarlos. En los dispositivos de seguridad, BGP acepta en principio cualquier ruta predeterminada enviada por interlocutores BGP y agrega la ruta predeterminada a la tabla de rutas. En este ejemplo, configurar la instancia de enrutamiento BGP que se est ejecutando en el trust-vr para que no tenga en cuenta las rutas predeterminadas enviadas por interlocutores BGP. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance: Introduzca los siguientes datos y haga clic en OK:
Ignore default route from peer: (seleccione)
CLI
set vrouter trust-vr protocol bgp reject-default-route save
Configuracin de seguridad 121
Configuraciones opcionales de BGP

En esta seccin se describen los parmetros que se pueden configurar para el protocolo de enrutamiento BGP en el enrutador virtual. Es posible configurarlos con los comandos contextuales BGP de la interfaz de lnea de comandos o con la WebUI. Esta seccin explica parte de las configuraciones de parmetros ms complejas. La Tabla 14 describe los parmetros de BGP y sus valores predeterminados.
Tabla 14: Parmetros opcionales de BGP y sus valores predeterminados Parmetro del protocolo BGP
Advertise default route Aggregate Always compare MED AS path access list Community list AS confederation
Descripcin
Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. Crea rutas agregadas. Consulte Agregacin de rutas en la pgina 134. Compara los valores MED de las rutas. Crea una lista de acceso a rutas AS para permitir o denegar rutas. Crea listas de comunidades. Consulte Comunidades BGP en la pgina 133. Crea confederaciones. Consulte Configurar una confederacin en la pgina 131. Se pueden agregar rutas mltiples de igual coste para proporcionar equilibrio de cargas. Consulte Configuracin del enrutamiento multidireccional de igual coste en la pgina 36. Bloquea las notificaciones de una ruta hasta que es estable.
La ruta predeterminada no se notifica Desactivado Desactivado
Equal cost multipath (ECMP)
Desactivado (predeterminado = 1)
Flap damping Hold time
Desactivado
Tiempo transcurrido sin que lleguen 180 segundos mensajes de un interlocutor antes de que se considere fuera de lnea. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la mtrica de LOCAL_PREF. Configura el valor de atributo MED. Agrega entradas estticas de red y de subred en BGP. BGP anuncia estas rutas estticas a todos los interlocutores BGP. Consulte Agregar rutas a BGP en la pgina 125. Importa rutas a BGP desde otros protocolos de enrutamiento. Configura la instancia BGP local como reflector de rutas para clientes. Consulte Configuracin de la reflexin de rutas en la pgina 128. 1/3 del tiempo de espera (hold-time) 100 0
Keepalive Local preference MED Network
Route redistribution Reflector
Desactivado
122
Parmetro del protocolo BGP

Reject default route
Descripcin
No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento
Retry time
Tiempo que debe transcurrir desde un 12 segundos establecimiento de sesin BGP fallido con un interlocutor para que se vuelva a intentar establecer la sesin. Permite la sincronizacin con un protocolo de puerta de enlace interior, como OSPF o RIP. Desactivado
Synchronization
Redistribucin de rutas en BGP

La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual:

Rutas reconocidas por OSPF o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutamiento. En el siguiente ejemplo redistribuir en el dominio de enrutamiento BGP actual una ruta originada en un dominio de enrutamiento OSPF. Tanto en el ejemplo de la WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de rutas llamado add-ospf. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add:
Route Map: add-ospf Protocol: OSPF
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf save
123
Configuracin de una lista de acceso AS-Path

El atributo AS-path contiene una lista de sistemas autnomos (AS) que atraviesa una ruta determinada. BGP aade el nmero de AS local al atributo AS-path cuando una ruta pasa por el AS. Para filtrar rutas de acuerdo con la informacin de AS-path es posible utilizar una lista de acceso AS-path. Esta lista est formada por un conjunto de expresiones regulares que definen la informacin de ruta del sistema autnomo e indican si las rutas que coinciden con esa informacin se deben permitir o denegar. Por ejemplo, podemos utilizar una lista de acceso AS-path para filtrar rutas que han pasado por un AS determinado o rutas que proceden de un AS. Las expresiones regulares son un mtodo para definir la bsqueda de un patrn especfico en el atributo AS-path. Es posible utilizar smbolos y caracteres especiales para construir una expresin regular. Por ejemplo, para buscar rutas que hayan pasado por AS 65000, puede utilizar la expresin regular _65000_ (los guiones equivalen a un nmero cualquiera de caracteres delante o detrs de 65000). Tambin puede utilizar la expresin regular 65000$ para buscar rutas originadas en AS 65000 (el signo de dlar indica el final del atributo AS-path, que podra ser el AS donde se origin la ruta). En el siguiente ejemplo configuraremos una lista de acceso AS-path para el trust-vr que permitir las rutas que hayan pasado por AS 65000, pero no las que hayan sido originadas en AS 65000. WebUI Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
AS Path Access List ID: 2 Deny: (seleccione) AS Path String: 65000$
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
AS Path Access List ID: 2 Permit: (seleccione) AS Path String: _65000_
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$ set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_ save
124
Agregar rutas a BGP

Para permitir que el BGP anuncie las rutas de red, es necesario redistribuir las rutas desde el protocolo de origen al protocolo de notificacin (BGP) en el mismo enrutador virtual (VR). Tambin puede agregar rutas estticas directamente en BGP. Si el prefijo de red es accesible desde el VR, el BGP anuncia esta ruta a los interlocutores sin exigir que la ruta est redistribuida en BGP. Al agregar un prefijo de red en BGP, puede especificar varias opciones:
Seleccionando Yes en la opcin de comprobacin de accesibilidad, puede especificar si desde el VR debe ser accesible un prefijo de red diferente antes de que BGP anuncie la ruta a los interlocutores. Por ejemplo, si el prefijo que desea que el BGP anuncie se debe alcanzar a travs de una interfaz de enrutador especfica, asegrese de que la interfaz del enrutador sea accesible antes de que el BGP anuncie la red a los interlocutores. Si la interfaz del enrutador que especifique es accesible, BGP anuncia la ruta a sus interlocutores. Si la interfaz del enrutador que especifique no es accesible, la ruta no se agregar al BGP y, consecuentemente, no se anunciar a los interlocutores del BGP. Si la interfaz del enrutador que especifique deja de ser accesible, el BGP retira la ruta a sus interlocutores. Seleccionando No en la opcin de comprobacin de accesibilidad, puede especificar que el prefijo de red sea anunciado tanto si es accesible desde el VR como si no. De forma predeterminada, el prefijo de red debe ser accesible desde el VR antes de que el BGP anuncie la ruta a los interlocutores. Si habilita la comprobacin de accesibilidad, la ruta se puede conectar. Puede asignar un peso al prefijo de la red. El peso es un atributo que se puede asignar localmente a una ruta; no se anuncia a los interlocutores. Si existe ms de una ruta hacia un destino, tiene prioridad la ruta con el valor de peso ms alto. Puede establecer los atributos de la ruta tomndolos de un mapa de rutas (consulte Configuracin de un mapa de rutas en la pgina 39). El BGP anuncia la ruta con los atributos de ruta especificados en el mapa de rutas.
Notificacin de ruta condicional

En el ejemplo siguiente, agregar una ruta esttica a la red 4.4.4.0/24. Especificar que la interfaz del enrutador 5.5.5.0/24 debe ser accesible desde el enrutador virtual para que el BGP pueda anunciar la ruta 4.4.4.0/24 a los interlocutores. Si no es posible acceder a la red 5.5.5.0.24, BGP no notificar la red 4.4.4.0/24. Consulte la Figura 16.
125
Figura 16: Ejemplo de notificacin de ruta BGP condicional

4.4.4.0/24 5.5.5.0/24
Internet
La ruta a 4.4.4.0/24 slo se anuncia si 5.5.5.0/24 se vuelve inaccesible.
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24 Check Reachability: Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24 save
Establecimiento del peso de la ruta

En el ejemplo siguiente establecer un valor de 100 para el peso de la ruta 4.4.4.0/24. (Puede especificar un valor de peso entre 0 y 65535). WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24 Weight: 100
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100 save
Establecimiento datributos de ruta

En el ejemplo siguiente configurar un setattr del mapa de ruta que establecer la mtrica de la ruta en 100. A continuacin, configurar una ruta esttica en BGP que utilice el setattr del mapa de rutas. (No es necesario establecer el mapa de rutas de forma que coincida con el prefijo de red de la entrada de la ruta).
126
WebUI Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: setattr Sequence No.: 1 Action: Permit (seleccione) Set Properties: Metric: (seleccione), 100
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24 Route Map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1 set vrouter trust-vr route-map setattr 1 metric 100 set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr save
Capacidad de route-refresh
La caracterstica de route-refresh de BGP definida en RFC 2918 ofrece un mecanismo de restablecimiento suave que permite el intercambio dinmico de informacin sobre enrutamiento y solicitudes de actualizacin de rutas entre los interlocutores de BGP y la nueva notificacin de la tabla de enrutamiento entrante y saliente. Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas podran afectar las actualizaciones de la tabla de enrutamiento entrante o saliente ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra en vigencia nicamente despus de que se restablece la sesin BGP. Una sesin BPG se puede borrar mediante un restablecimiento suave o abrupto.
NOTA:
Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas se interrumpen y se vuelven a recuperar. Un restablecimiento suave permite que se aplique una directiva nueva o modificada sin borrar una sesin BGP activa. La caracterstica de route-refresh permite que se realice un restablecimiento suave por vecino y no requiere configuracin previa o memoria adicional. Los restablecimientos suaves entrantes y dinmicos se utilizan para generar actualizaciones entrantes de un vecino. Un restablecimiento suave saliente se utiliza para enviar un nuevo conjunto de actualizaciones a un vecino. Los restablecimientos salientes no requieren configuracin previa o almacenamiento de las actualizaciones de la tabla de enrutamiento.
127
La caracterstica de enrutamiento y actualizacin requiere que ambos interlocutores BGP notifiquen que admiten la funcin route-refresh en el mensaje de apertura (OPEN). Si el mtodo de route-refresh se negocia satisfactoriamente, cualquier interlocutor BGP puede utilizar la caracterstica de route-refresh para solicitar informacin completa sobre el enrutamiento desde el otro extremo.
NOTA:
Utilice el comando get neighbor dir_ip, un administrador puede verificar si se negoci la capacidad de route-refresh. El comando tambin muestra contadores, como el nmero de veces en que se envi o recibi la solicitud de route-refresh.
Solicitud de una actualizacin de la tabla de enrutamiento entrante

En este ejemplo, usted solicita que se enve la tabla de enrutamiento entrante del intelocutor vecino en 10.10.10.10 al trust-vr del interlocutor BGP local utilizando el comando soft-in.
NOTA:
Si la caracterstica de route-refresh no est disponible, el comando lanza una excepcin cuando el administrador intenta utilizarla. WebUI Esta caracterstica no est disponible en WebUI. CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in
Solicitud de una actualizacin de la tabla de enrutamiento saliente

En este ejemplo, usted enva la tabla de enrutamiento completa para trust-vr a travs de las actualizaciones del interlocutor BGP local al interlocutor vecino en 10.10.10.10 utilizando el comando soft-out. WebUI Esta caracterstica no est disponible en WebUI. CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-out
Configuracin de la reflexin de rutas

Como un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor IBGP a otro interlocutor IBGP (consulte BGP externo e interno en la pgina 112), es necesaria una malla completa de sesiones IBGP, donde cada enrutador en un AS BGP ser interlocutor de todos los dems enrutadores del AS.
NOTA:
Una malla completa no implica que cada par de enrutadores est conectado directamente, sino que cada enrutador tiene que ser capaz de establecer y mantener una sesin IBGP con cada uno de los dems enrutadores.
128
Una configuracin de malla completa en las sesiones IBGP puede presentar problemas de ampliacin. Por ejemplo, en un AS con 8 enrutadores, cada uno de los 8 enrutadores necesitara intercomunicarse con los otros 7 enrutadores, lo que puede calcularse con esta frmula: Para un AS con 8 enrutadores, el nmero de sesiones IBGP de malla completa sera de 28. La reflexin de rutas es un mtodo para solucionar el problema de escalabilidad IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando as la necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman un clster, que se puede identificar por medio de una ID de clster. Los enrutadores situados fuera de ese clster lo consideran una nica entidad, en lugar de intercomunicarse de forma independiente con cada enrutador en malla completa. De esta forma se reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector, mientras que ste refleja rutas entre clientes. El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como reflector de rutas y se le puede asignar una identificacin de clster. Si especifica una identificacin de clster, la instancia de enrutamiento de BGP aade la identificacin del clster al atributo Cluster-List de una ruta. La ID de clster contribuye a evitar la formacin de bucles, puesto que la instancia de enrutamiento de BGP local descarta una ruta cuando su ID de clster aparece en la lista de clsteres de la ruta.
NOTA:
Antes de poder configurar una ID de clster, es necesario inhabilitar la instancia de enrutamiento de BGP. Despus de configurar un reflector de rutas en el enrutador virtual local, se definen los clientes del reflector. Es posible especificar direcciones IP individuales o un grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna configuracin en los clientes. En el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3. Sin reflexin de rutas, el cliente 3 notificar la ruta al dispositivo-A, pero el dispositivo-A no notificar esa ruta nuevamente a los clientes 1 y 2. Si configura el dispositivo-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 como sus clientes, el dispositivo-A notificar las rutas recibidas del cliente 3 a los clientes 1 y 2. Consulte la Figura 17.
129
Figura 17: Ejemplo de reflexin de rutas BGP

Nmero del sistema autnomo Nmero del sistema autnomo
Sistemas autnomos AS 65000
AS 65500 ID de enrutador 2.2.2.250
Cliente 1 ID de enrutador 1.1.3.250 Dispositivo A ID de enrutador del reflector de rutas 1.1.1.250 Cliente 3 ID del enrutador 1.1.1.250
Cliente 2 ID del enrutador 1.1.4.250
Interlocutor EBGP que notifica la ruta a 5.5.5.0/24
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance: Introduzca los siguientes datos, luego haga clic en Apply:
Route reflector: Enable Cluster ID: 99
> Neighbors: Introduzca los siguientes datos y haga clic en Add:



> Configure (para IP remota 1.1.2.250): Seleccione Reflector Client, luego haga clic OK. > Configure (para Remote IP 1.1.3.250): Seleccione Reflector Client, luego haga clic OK. > Configure (para Remote IP 1.1.4.250): Seleccione Reflector Client, luego haga clic OK.
130
CLI
set vrouter trust-vr protocol bgp reflector set vrouter trust-vr protocol bgp reflector cluster-id 99 set vrouter trust-vr protocol bgp neighbor 1.1.2.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client set vrouter trust-vr protocol bgp neighbor 1.1.3.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.3.250 reflector-client set vrouter trust-vr protocol bgp neighbor 1.1.4.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 1.1.4.250 reflector-client save
Configurar una confederacin

Al igual que la reflexin de rutas (consulte Configuracin de la reflexin de rutas en la pgina 128), las confederaciones ofrecen otra forma de resolver el problema de ampliacin de las mallas completas en entornos IBGP y se describen en la norma RFC 1965. Una confederacin divide un sistema autnomo en varios AS ms pequeos, con cada subsistema autnomo funcionando como una red IBGP de malla completa. Cualquier enrutador situado fuera de la confederacin ver la confederacin completa como un nico sistema autnomo con un solo identificador; las redes de los subsistemas no son visibles fuera de la confederacin. Las sesiones entre enrutadores en dos subsistemas distintos de la misma confederacin, conocidas como sesiones EIBGP, no son ms que sesiones EBGP entre sistemas autnomos, pero en las que los enrutadores tambin intercambian informacin de enrutamiento como si fueran interlocutores IBGP. La Figura 18 ilustra las confederaciones BGP.
Figura 18: Confederaciones BGP
Sistemas autnomos AS 65000 (confederacin) Subsistema AS 65001 EBGP Subsistema AS 65002 EBGP IBGP IBGP Subsistema AS 65003 EBGP AS 65500
IBGP
Subsistemas autnomos
Hay que especificar los siguientes datos por cada enrutador de una confederacin:
El nmero de subsistema autnomo (nmero de AS especificado cuando se crea la instancia de enrutamiento BGP). La confederacin a la que pertenece el subsistema autnomo (nmero de AS visible para los enrutadores BGP fuera de la confederacin). Los nmeros de los otros subsistemas de la confederacin. Si la confederacin admite las normas RFC 1965 (predeterminado) o RFC 3065.

131
NOTA:
El atributo AS-Path (consulte Atributos de ruta en la pgina 111) se compone normalmente de una secuencia. Los ASs atravesados por la actualizacin de enrutamiento. La norma RFC 3065 permite que el atributo AS-Path incluya todos los AS que forman parte de la confederacin local atravesados por la actualizacin de enrutamiento. Figura 19muestra el dispositivo de seguridad como un enrutador BGP en el subsistema autnomo 65003 que pertenece a la confederacin 65000. Los otros subsistemas de la confederacin 65000 son 65002 y 65003.
Figura 19: Ejemplo de configuracin de confederacin BGP

AS 65000 (confederacin) Subsistema AS 65001 Subsistema AS 65002 Subsistema AS 65003
Dispositivo de seguridad
Subsistemas autnomos
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos, luego haga clic en Apply:
AS Number (obligatorio): 65003
> Confederation: Introduzca los siguientes datos y haga clic en Apply:

Enable: (seleccione) ID: 65000 Supported RFC: RFC 1965 (seleccione)

Peer member area ID: 65001

Peer member area ID: 65002
> Parmetros: Seleccione BGP Enable CLI

set vrouter trust-vr protocol bgp 65003 set vrouter trust-vr protocol bgp confederation id 65000 set vrouter trust-vr protocol bgp confederation peer 65001 set vrouter trust-vr protocol bgp confederation peer 65002 set vrouter trust-vr protocol bgp enable save
132
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados comunidades), que un enrutador BGP podr despus utilizar para controlar las rutas que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o modificar las comunidades de una ruta (si sta incluye el atributo de ruta Communities). Este atributo ofrece una tcnica alternativa para distribuir informacin de rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Puede utilizar el atributo Communities de muchas formas, pero su principal objetivo es simplificar la configuracin de directivas de enrutamiento en entornos de redes completos. La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un administrador de AS puede asignar a una comunidad una serie de rutas que precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones coloreado de rutas. Por ejemplo, es posible asignar un valor de comunidad a las rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen acceso. Hay dos tipos de comunidades:
Una comunidad especfica est formada por un identificador de AS y un identificador de comunidad. Este ltimo es definido por el administrador de AS. Una comunidad bien conocida implica un manejo especial de las rutas que contienen esos valores de comunidad. A continuacin se muestran valores de comunidad bien conocida que se pueden especificar para las rutas BGP en el dispositivo de seguridad:
no-export: las rutas con este atributo de ruta Communities no se notifican fuera de una confederacin BGP. no-advertise: las rutas con este atributo de ruta Communities no se notifican a otros interlocutores BGP. no-export-subconfed: las rutas con este atributo de ruta Communities no se notifican a interlocutores EBGP.
Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de una lista de comunidad especificada, eliminar o asignar atributos a las rutas, agregar comunidades a la ruta o eliminarlas de ella. Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a Internet a sus clientes, cada una de las rutas de esos clientes podr recibir un nmero de comunidad especfico. A continuacin, esas rutas de clientes se notificarn a los ISP vecinos. Las rutas de otros ISP recibirn otros nmeros de comunidad y no se notificarn a los ISP vecinos.
133
Agregacin de rutas
La agregacin es una tcnica para resumir rangos de direcciones de enrutamiento (conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios parmetros opcionales que se pueden establecer al configurar una ruta agregada. Esta seccin contiene ejemplos de configuracin de rutas agregadas.
Agregacin de rutas con diferentes AS-Paths

Al configurar una ruta agregada, puede especificar que el campo AS-Set del atributo de ruta AS-Path de BGP incluya las rutas AS de todas las rutas contribuyentes. Para especificar esto, utilice la opcin AS-Set en la configuracin de rutas agregadas.
NOTA:
Si utiliza la opcin AS-Set con una ruta agregada, un cambio en una ruta contribuyente puede provocar que el atributo de la ruta agregada tambin cambie. Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta cambiado. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 AS-Set: (seleccione)
CLI
set vrouter trust protocol bgp set vrouter trust protocol bgp aggregate set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set set vrouter trust protocol bgp enable save NOTA:
Debe habilitar la agregacin de BGP antes de habilitar BGP.
Supresin de las rutas ms especficas en actualizaciones

Al configurar una ruta agregada, puede especificar que las rutas ms especficas (More-Specific) sean filtradas (excluidas) de las actualizaciones de enrutamiento. (Un interlocutor BGP prefiere una ruta ms especfica, si est anunciada, a una ruta agregada). Puede suprimir las rutas ms especficas de cualquiera de estas dos maneras:
Utilice la opcin Summary-Only en la configuracin de rutas agregadas para suprimir todas las rutas ms especficas. Utilice la opcin Supress-Map en la configuracin de rutas agregadas para suprimir las rutas especificadas en un mapa de rutas.
En el ejemplo siguiente, el BGP anuncia la ruta agregada 1.0.0.0/8, pero las rutas ms especficas son excluidas mediante filtro de las actualizaciones de rutas salientes.
134
WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Summary-Only (seleccione)
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only save
En el ejemplo siguiente, filtrar las rutas del rango 1.2.3.0/24 para que sean eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello, primero configurar una lista de accesos que especifique las rutas a filtrar (1.2.3.0/24). A continuacin, configurar un mapa de rutas noadvert para permitir las rutas 1.2.3.0/24. Despus configurar una ruta agregada 1.0.0.0/8 y especificar el mapa de ruta noadvert como opcin de supresin para las actualizaciones salientes. WebUI Network > Routing > Virtual Routers > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: noadvert Sequence No.: 2 Action: Permit (seleccione) Match Properties: Access List (seleccione), 1 (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic en Apply:
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Route-Map (seleccione), noadvert (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 777 set vrouter trust-vr route-map name noadvert permit 2 set vrouter trust-vr route-map noadvert 2 match ip 1 set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert save
135
Seleccin de rutas para el atributo Path

Al configurar una ruta agregada, puede especificar qu rutas deben o no deben ser utilizadas para construir el atributo de ruta AS-Path del BGP de la ruta agregada. Utilice la opcin Advertise-Map en la configuracin de rutas agregadas para seleccionar las rutas. Puede utilizar esta opcin con la opcin AS-Set para seleccionar rutas anunciadas con el atributo AS-Set. En el ejemplo siguiente, configurar una ruta agregada 1.0.0.0/8 que se anunciar con el atributo AS-Set. El atributo AS-Set anunciado consiste en todas las rutas ms especficas que caigan en el rango de prefijo 1.5.0.0/16, pero no las rutas que caigan en el rango de prefijo 1.5.6.0/24; configurar los rangos de prefijo a incluir y excluir en el mapa de rutas advertset. WebUI Network > Routing > Virtual Routers > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Access List ID: 3 Sequence No.: 888 IP/Netmask: 1.5.6.0/24 Action: Deny (seleccione)
Network > Routing > Virtual Routers > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: advertset Sequence No.: 4 Action: Permit (seleccione) Match Properties: Access List (seleccione), 3 (seleccione)
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Advertise Map: advertset (seleccione)
CLI
set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888 set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999 set vrouter trust-vr route-map name advertset permit 4 set vrouter trust-vr route-map advertset 4 match ip 3 set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset save
136
Cambiar atributos de una ruta agregada

Al configurar una ruta agregada, puede establecer sus atributos basndose en un mapa de ruta especificado. En el ejemplo siguiente, configurar una ruta agregada 1.0.0.0/8 que se anunciar con la mtrica 1111 en las actualizaciones salientes. WebUI Network > Routing > Virtual Routers > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK:
Map Name: aggmetric Sequence No.: 5 Action: Permit (seleccione) Set Properties: (seleccione) Metric: 1111
Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Attribute Map: aggmetric (seleccione)
CLI
set vrouter trust-vr route-map name aggmetric permit 5 set vrouter trust-vr route-map aggmetric 5 metric 1111 set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric save
137
138
Captulo 6
Enrutamiento basado en directivas

El enrutamiento basado en directivas (PBR) proporciona un mecanismo flexible para reenviar los paquetes de datos basados en directivas que un administrador de red configura. Este captulo consta de las siguientes secciones:
Vista general del enrutamiento basado en directivas en la pgina 140

Listas de acceso extendidas en la pgina 140 Grupos de coincidencias en la pgina 141 Grupos de acciones en la pgina 141

Consulta de rutas con enrutamiento basado en directivas en la pgina 142 Configuracin del enrutamiento basado en directivas en la pgina 143

Configuracin de una lista de acceso extendida en la pgina 143 Configuracin de un grupo de coincidencias en la pgina 145 Configuracin de un grupo de acciones en la pgina 145 Configuracin de una directiva de PBR en la pgina 146 Enlace de una directiva de enrutamiento basado en directivas en la pgina 146
Visualizacin de la salida de enrutamiento basado en directivas en la pgina 147

Visualizacin de una lista de acceso extendida en la pgina 147 Visualizacin de un grupo de coincidencias en la pgina 148 Visualizacin de un grupo de acciones en la pgina 148 Visualizacin de la configuracin de una directiva de enrutamiento basado en directivas en la pgina 149
139
Visualizacin de la configuracin completa de enrutamiento basado en directivas en la pgina 150

Ejemplo de PBR avanzado en la pgina 150 PBR avanzado con alta disponibilidad y posibilidad de ampliacin en la pgina 155
Vista general del enrutamiento basado en directivas

El enrutamiento PBR le permite implementar directivas que ocasiona que los paquetes tomen rutas distintas de manera selectiva. El enrutamiento PBR proporciona un mecanismo de enrutamiento para las redes que se basan en el soporte de la capa de aplicacin, como el antivirus (AV), deep inspection (DI) o antispam, filtrado de web o que requieren de una va automtica para aplicaciones especficas. Como primera parte del proceso de consulta de rutas, ScreenOS revisa si hay PBR y la revisin de PBR es transparente para todo el trfico que no es PBR, cuando un paquete entra en el dispositivo de seguridad. PBR est habilitado en el nivel de interfaz y configurado dentro de un contexto de enrutador virtual; pero puede elegir la asociacin de las directivas de PBR a una interfaz, una zona, un enrutador virtual (VR) o una combinacin de interfaz, zona o VR. Se utilizan los siguientes tres mdulos para crear una directiva de PBR:

Listas de acceso extendidas Grupos de coincidencias Grupos de acciones
Listas de acceso extendidas

Las listas de acceso extendido enumeran los criterios de coincidencia que define para las directivas de PBR. Los criterios de coincidencia de PBR determinan la ruta de un flujo determinado de trfico de datos. Los criterios de coincidencia incluyen los siguientes:

Direccin IP de origen Direccin IP destino Puerto de origen Puerto de destino Protocolo, como HTTP Prioridad de calidad de servicio (QoS) (opcional)
140
Captulo 6: Enrutamiento basado en directivas
Grupos de coincidencias
Los grupos de coincidencias proporcionan una manera de organizar (por grupo, nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias asocian el nmero de ID de lista de acceso extendida con un nombre de grupo de coincidencias nica y un nmero de ID de grupo de coincidencias. Este nmero de ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso extendidas al mismo grupo de coincidencias.
Grupos de acciones
Los grupos de acciones especifican la ruta que desea que tome el paquete. Se especifica la accin de la ruta al definir la siguiente interfaz, el salto siguiente o ambos. Cada entrada de accin configurada se supervisa para revisar la accesibilidad como se muestra a continuacin:
NOTA:
La supervisin de la accesibilidad no se refiere a las consultas del Protocolo de resolucin de direccin (ARP) de la capa 2 o seguimiento de la capa 3.
Accesibilidad nicamente de la siguiente interfaz Si asocia la entrada de accin nicamente con la siguiente interfaz, el estado de conexiones determina la accesibilidad. Si la siguiente interfaz est activa, la entrada de accin es posible. Cualquier interfaz, incluyendo todas las interfaces lgicas, tales como de tnel, agregadas o redundantes, que son visibles en el VR en el cual reside la directiva, son candidatas para la siguiente interfaz. Por ejemplo, si configura la entrada de accin con una interfaz NULL, la entrada de accin es alcanzable todo el tiempo. Con una interfaz NULL como la siguiente interfaz, la consulta de PBR siempre tiene xito, de manera que ScreenOS detiene la consulta de rutas y descarta los paquetes.
Accesibilidad nicamente de salto siguiente Si asocia el grupo de acciones nicamente con el salto siguiente, ste debe ser alcanzable a travs de una entrada de ruta en la tabla de enrutamiento de las rutas de destino. El salto siguiente configurado es alcanzable en tanto exista una ruta vlida en la tabla de enrutamiento de rutas de destino para resolver el salto siguiente.
Accesibilidad de la siguiente interfaz y de salto siguiente Si configura la accesibilidad tanto para el salto siguiente como para la siguiente interfaz, el salto siguiente configurado debe ser alcanzable a travs de la siguiente interfaz configurada.
141
Si el salto siguiente es alcanzable a travs de la siguiente interfaz, la entrada de accin es alcanzable. Cualquier interfaz incluyendo todas las interfaces lgicas, tal como tnel, agregado o redundante, que son visibles en VR en el cual reside la directiva, son candidatas para ser la siguiente interfaz. ScreenOS descarta el paquete si el salto siguiente es alcanzable pero la siguiente interfaz es una interfaz NULL. Si configura la entrada de accin con una interfaz NULL como la siguiente interfaz y el salto siguiente como ruta esttica, ScreenOS pasa los paquetes a la ruta esttica. En el momento de la configuracin, tambin asigna un nmero de secuencia para especificar el orden en el cual desea que se procese la entrada de grupo de acciones.
Consulta de rutas con enrutamiento basado en directivas

Cuando se habilita el enrutamiento basado en directivas en una interfaz, ScreenOS revisa todo el trfico enviado a esa interfaz para ver si incluye enrutamiento basado en directivas. Cuando un paquete entra al dispositivo de seguridad, ScreenOS revisa la interfaz de entrada para una configuracin de directiva de PBR. Si PBR est habilitado en esa interfaz de entrada, se aplican las siguientes acciones al paquete: 1. ScreenOS aplica la directiva de PBR asociada a la interfaz de entrada al paquete. 2. Si no existe una directiva de PBR al nivel de la interfaz, entonces ScreenOS aplica la directiva de PBR unida a la zona asociada con la interfaz de entrada al paquete. 3. Si no existe una directiva de PBR al nivel de zona, entonces ScreenOS aplica la directiva de PBR unida a VR asociado con la interfaz de entrada al paquete. ScreenOS encuentra el grupo de coincidencias y luego procesa las entradas de grupo de acciones. La primera entrada de accin alcanzable del grupo de acciones con una ruta vlida es la que se utiliza para reenviar el paquete. Si no existen rutas alcanzables entre las entradas de accin, entonces se realiza una consulta de rutas regular. Si la entrada de accin es alcanzable, ScreenOS realiza una consulta de rutas con la interfaz preferida como la siguiente interfaz (si se especifica) y el salto siguiente como la direccin IP (si se especifica) en lugar de utilizar el IP de destino. Si una ruta coincide con la siguiente interfaz y salto siguiente indicados, ScreenOS reenva el paquete. De lo contrario, ScreenOS utiliza la direccin IP de destino.
NOTA:
Para obtener ms informacin sobre la consulta de rutas, consulte el Volumen 2: Fundamentos.
142
Consulta de rutas con enrutamiento basado en directivas
Configuracin del enrutamiento basado en directivas

La Figura 20 muestra una manera en que PBR diferencia las rutas de trfico de servicio enviando el trfico de HTTP a lo largo de una ruta y el trfico de HTTPS a lo largo de otra. La Figura 20 muestra dos nodos, uno en 172.18.1.10 y otro en 172.18.2.10. Cuando el dispositivo de seguridad recibe el trfico de HTTP, ScreenOS enruta el trfico a travs del enrutador 172.24.76.1; y cuando el dispositivo de seguridad recibe el trfico de HTTPS, ScreenOS enruta el trfico a travs del enrutador 172.24.76.2. Lo contrario sucede en el nodo 172.18.2.10. El trfico de HTTP del nodo 172.18.2.10 fluye al enrutador 172.24.76.2 y el trfico de HTTPS fluye al enrutador 172.24.76.1.
Figura 20: Enrutamiento del trfico de HTTP y HTTPS con enrutamiento basado en directivas
172.24.76.1 Enrutador izquierdo 172.24.76.2 Enrutador derecho
172.24.76.71/22 El trfico de HTTP fluye de 172.18.2.10/24 al enrutador 172.24.76.2 El trfico de HTTPS fluye de 172.18.1.10/24 al enrutador 172.24.76.1
10.25.10.0/24
172.18.1.10/24
172.18.2.10/24
Configuracin de una lista de acceso extendida

Puede configurar una lista de acceso extendida con la interfaz de usuario web (WebUI) o la interfaz de lnea de comandos (CLI) desde dentro de un contexto de enrutador virtual. Primero, configure la lista de acceso extendida en el enrutador virtual (VR) de ingreso. En este ejemplo que se encuentra en la pgina 143, el VR de ingreso es trust-vr. Si utiliza CLI, necesita introducir el contexto del enrutador virtual. Este ejemplo requiere de dos listas de acceso: 10 y 20. El nmero de secuencia de acceso es un nmero de 1 a 99. Las entradas 1 y 2 son necesarias para cada lista de acceso extendida.
NOTA:
Opcionalmente, puede agregar tambin el nmero de tipo de servicio (TOS), el cual es un nmero de 1 a 255. En este ejemplo no se requiere un nmero TOS.
143
La lista de acceso 10 define la direccin IP de origen como 172.18.1.10, el puerto de destino como 80 y el protocolo como TCP. El punto de destino para la lista de acceso 10 define la direccin IP de destino como 172.18.2.10, el puerto de destino como 443 y el protocolo como TCP. La lista de acceso 20 define la direccin IP de origen como 172.18.2.10, el puerto de destino como 443 y el protocolo como TCP. El punto de destino para la lista de acceso 10 define la direccin IP de destino como 172.18.1.10, el puerto de destino como 80 y el protocolo como TCP. En la CLI despus de realizar la configuracin de la lista de acceso extendida, usted sale del contexto del enrutador virtual. El ejemplo de WebUI nicamente muestra la creacin de la lista de acceso 10. WebUI Network > Routing > PBR > Extended ACL List: Seleccione el enrutador virtual de la lista desplegable, luego haga clic en New para ver la pgina Configuration. Introduzca la siguiente informacin para crear las entradas de la lista de acceso 10:
Creacin de la lista de acceso 10
Extended ACL ID: 10 Sequence No.: 1 Source IP Address/Netmask: 172.18.1.10/32 Destination Port: 80-80 Protocol: TCP
Haga clic en OK. ScreenOS vuelve a una lista de listas de acceso. Haga clic en New para configurar una segunda entrada para la lista de acceso 10 e introduzca la siguiente informacin:
Creacin de la lista de acceso 10
Extended ACL ID: 10 Sequence No.: 2 Source IP Address/Netmask: 172.18.2.10/32 Destination Port: 443-443 Protocol: TCP
Haga clic en OK. ScreenOS lo regresa a una lista de listas de acceso. CLI
set vrouter trust-vr set access-list extended 10 src-ip 172.18.1.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 10 src-ip 172.18.2.10/32 dest-port 443-443 protocol tcp entry 2 set access-list extended 20 src-ip 172.18.2.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 20 src-ip 172.18.1.10/32 dest-port 443-443 protocol tcp entry 2 exit
144
Configuracin de un grupo de coincidencias

Puede configurar un grupo de coincidencias desde dentro de un contexto de enrutador virtual. En el ejemplo de la pgina 143, necesita configurar dos grupos de coincidencias: Enrutador izquierdo y enrutador derecho. Puede asociar una lista de acceso 10 extendida con el enrutador izquierdo y una lista de acceso 20 extendida con el enrutador derecho. Un nombre de grupo de coincidencias es un identificador nico de no ms de 31 caracteres alfanumricos. El VR de ingreso es trust-vr. Si utiliza CLI, necesita introducir el contexto del enrutador virtual. En la CLI, despus de realizar la configuracin de la lista de acceso extendida, se sale del contexto del enrutador virtual. El ejemplo de WebUI nicamente muestra la creacin de un grupo de coincidencias para el enrutador izquierdo. WebUI Network > Routing > PBR > Match Group > Seleccione el enrutador virtual correcto de la lista desplegable, luego haga clic en New para ver la pgina Match Group Configuration. Introduzca la siguiente informacin para configurar el enrutador izquierdo:
Match Group Name: enrutador_izquierdo Sequence No.: 1 Extended ACL: Seleccione 10 de la lista desplegable.
CLI
set vrouter trust-vr set match-group name enrutador_izquierdo set match-group left ext-acl 10 match-entry 1 set match-group name enrutador_derecho set match-group right ext-acl 20 match-entry 1 exit
Configuracin de un grupo de acciones

Puede configurar un grupo de acciones dentro de un contexto de enrutamiento virtual. En el ejemplo que se encuentra en la pgina 143 es posible que existan dos grupos de acciones diferentes: el dispositivo de seguridad puede reenviar el trfico al enrutador izquierdo o al enrutador derecho. Por esta razn, necesita configurar dos diferentes grupos de acciones. Para configurar estos dos grupos de acciones, realice las siguientes tareas: 1. Entre al contexto de enrutamiento virtual. En este ejemplo, el enrutador virtual es trust-vr. 2. Denomine el grupo de acciones con un nombre nico y con significado. En este ejemplo, los nombres acci-derecha y acci-izquierda son descriptivos de los flujos de trfico posibles.
145
3. Configure los detalles del grupo de acciones. En este ejemplo, establecer la direccin de salto siguiente para cada grupo de acciones y luego asignar un nmero para indicar la prioridad de procesamiento. En este ejemplo, la prioridad de cada grupo de acciones es 1. WebUI Network > Routing > PBR > Action Group > Haga clic en New para ver la pgina Configuration CLI
set vrouter trust-vr set action-group name acci-derecha set action-group acci-derecha next-hop 172.24.76.2 action-entry 1 set action-group name acci-izquierda set action-group acci-izquierda next-hop 172.24.76.1 action-entry 1 exit
Configuracin de una directiva de PBR

Puede configurar una directiva de PBR desde dentro de un contexto de enrutador virtual. Cada directiva de PBR necesita tener un nombre nico. En este ejemplo, la directiva se denomina directiva-redireccionar. Una directiva de PBR puede contener un nombre de grupo de coincidencias y un nombre de grupo de acciones. En este ejemplo, el trfico puede fluir de dos diferentes formas, as que se necesitan dos instrucciones diferentes: acci-izquierda con el nmero de secuencia 1 y acci-derecha con el nmero de secuencia 2. La instruccin de directiva con el nmero de secuencia 1 se procesa primero. WebUI Network > Routing > PBR > Policy > Haga clic en New para ver la pgina Configuration CLI
set vrouter trust-vr set pbr policy name directiva-redireccionar set pbr policy directiva-redireccionar match-group left action-group acci-izquierda 1 set pbr policy directiva-redireccionar match-group right action-group acci-derecha 2 exit
Enlace de una directiva de enrutamiento basado en directivas

Puede asociar una directiva de PBR a una interfaz, una zona o un enrutador virutal dentro de un contexto de enrutador virtual.
Enlace de una directiva de enrutamiento basado en directivas a una interfaz

Puede asociar la directiva de PBR directiva-redireccionar a la interfaz de ingreso. En este ejemplo, la interfaz es la interfaz trust.
146
WebUI Network > Routing > PBR > Policy Binding CLI
set interface trust pbr directiva-redireccionar
Enlace de una directiva de enrutamiento basado en directivas a una zona

Puede asociar la directiva de PBR directiva-redireccionar a una zona. En este ejemplo, la zona es la zona Trust. WebUI Network > Routing > PBR > Policy Binding CLI
set zone trust pbr directiva-redireccionar
Enlace de una directiva de enrutamiento basado en directivas a un enrutador virtual

Puede asociar la directiva de PBR directiva-redireccionar a un enrutador virtual. En este ejemplo, el enrutador virtual es trust-vr. WebUI Network > Routing > PBR > Policy Binding CLI
set vrouter trust-vr pbr directiva-redireccionar
Visualizacin de la salida de enrutamiento basado en directivas

Puede ver la informacin relacionada con el enrutamiento basado en directivas con WebUI o CLI.
Visualizacin de una lista de acceso extendida

Puede ver la lista completa de las listas de acceso extendidas desde WebUI o CLI. En CLI puede especificar ver una lista de acceso extendida determinada. En el segundo ejemplo de CLI, el ejemplo muestra que existen dos listas de acceso extendidas en trust-vr, pero el usuario indic la lista de acceso extendido 2. Segn se especific, ScreenOS regres dos entradas de lista de acceso, 10 y 20, nicamente para la segunda lista de acceso extendida. WebUI Network > Routing > PBR > Access List Ext CLI 1 get vrouter trust-vr pbr access-list configuration
147
Ejemplo:
set access-list dest-port 80-80 set access-list set access-list set access-list extended protocol extended extended extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 tcp entry 1 1 src-port 200-300 entry 2 2 dest-port 500-600 protocol udp entry 10 2 dest-ip 50.50.50.0/24 protocol udp entry 20
CLI 2 get vrouter trust-vr pbr access-list 2 Ejemplo:

PBR access-list: 2 in vr: trust-vr, number of entries: 2 -----------------------------------------------PBR access-list entry: 10 -----------------------dest port range 500-600 protocols: udp PBR access-list entry: 20 -----------------------dest ip-address 50.50.50.0/24 protocols: udp
Visualizacin de un grupo de coincidencias

Puede ver los detalles de grupo de coincidencias desde WebUI o CLI. WebUI Network > Routing > PBR > Match Group CLI
get vrouter trust-vr pbr match-group config
Ejemplo:
set set set set match-group match-group match-group match-group name pbr1_mg pbr1_mg ext-acl 1 match-entry 1 name pbr1_mg2 pbr1_mg2 ext-acl 2 match-entry 10
Visualizacin de un grupo de acciones

Puede ver los detalles de grupo de acciones desde WebUI o CLI. WebUI Network > Routing > PBR > Action Group CLI 1 get vrouter trust-vr pbr action-group configuration
148
Ejemplo:
set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30
CLI 2 get vrouter trust-vr pbr match-group name pbr1_ag2 Ejemplo:

device-> get vr tr pbr action-group name pbr1_ag2 PBR action-group: pbr1_ag2 in vr: trust-vr number of entries: 3 -----------------------------------------------PBR action-group entry: 10 next-interface: N/A, next-hop: 30.30.30.30 -----------------------PBR action-group entry: 20 next-interface: ethernet3, next-hop: 0.0.0.0 -----------------------PBR action-group entry: 30 next-interface: ethernet3, next-hop: 60.60.60.60 ------------------------
Visualizacin de la configuracin de una directiva de enrutamiento basado en directivas

Puede ver la configuracin de directivas de enrutamiento basado en directivas desde WebUI o CLI. En la CLI puede escoger ver la configuracin o puede introducir el nombre de directiva para ver una configuracin de directiva individual. WebUI Network > Routing > PBR > Policy CLI
get vrouter trust-vr pbr policy config
Ejemplo:
set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256
149
CLI
get vrouter trust-vr pbr policy name pbr1_policy
Ejemplo:
PBR policy: pbr1_policy in vr: trust-vr number of entries: 2 -----------------------------------------------PBR policy entry: 50 match-group: pbr1_mg2, action-group: pbr1_ag2 -----------------------PBR policy entry: 256 match-group: pbr1_mg, action-group: pbr1_ag ------------------------
Visualizacin de la configuracin completa de enrutamiento basado en directivas

Puede ver la configuracin de enrutamiento basado en directivas desde WebUI o CLI. WebUI Network > Routing > PBR > Access List Ext Network > Routing > PBR > Match Group Network > Routing > PBR > Action Group Network > Routing > PBR > Policy CLI
get vrouter trust-vr pbr configuration
Ejemplo:
set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256
Ejemplo de PBR avanzado

PBR le permite definir y descargar nicamente los tipos de trfico que ScreenOS necesita procesar. Durante el procesamiento de tipos especficos de trfico, como el trfico que necesita anlisis antivirus (AV), la red no se satura porque no analiza los tipos de paquetes que no requieren anlisis en busca de virus.
150
NOTA:
Tambin podra configurar PBR para enviar trfico especfico para antispam, deep inspection (DI), prevencin y deteccin de intrusin (IDP), filtrado de web o cach. Puede combinar varios tipos de dispositivos de seguridad de Juniper Networks para que trabajen conjuntamente y proporcionen los servicios al mismo tiempo que mantienen una buena velocidad de procesamiento en la red y generan una carga de anlisis de AV aceptable. La Figura 21 muestra un dispositivo de seguridad que ejecuta PBR para dividir el trfico de AV de todo el otro trfico (derecha).
Figura 21: Enrutamiento selectivo por tipo de trfico
Trfico TCP
Dispositivo de seguridad con PBR configurado
Analizador de AV Las directivas de PBR envan el trfico de HTTP, SMTP y POP3 a un analizador de AV.
Por ejemplo, si desea utilizar PBR para descargar nicamente el trfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicacin (AV).
NOTA:
Si nicamente tiene tres interfaces 10/100 disponibles, puede colocar un conmutador entre los dos dispositivos de seguridad y utilizar el etiquetado VLAN (802.1q) para configurar las mismas rutas para el trfico. En el siguiente ejemplo, realice los siguientes pasos para configurar el dispositivo de seguridad que proporciona las rutas de enrutamiento: 1. Configure el enrutamiento. 2. Configure PBR. 3. Enlace las directivas de PBR a las interfaces apropiadas. Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran nicamente los comandos CLI y la salida. Para obtener ms informacin sobre la configuracin de AV, consulte el Volumen 4: Deteccin ataques y mecanismos de defensa.
Ejemplo de PBR avanzado 151
Enrutamiento
En este ejemplo, necesita crear dos zonas personalizadas.

av-dmz-1 para trust-vr av-dmz-2 para untrust-vr
Para configurar las zonas, introduzca los siguientes comandos:

set zone name av-dmz-1 set zone name av-dmz-2
Con la informacin que se muestra en la Tabla 15, configurar cuatro interfaces 10/100 Ethernet.
Tabla 15: Configuracin de interfaz para enrutamiento Nombre de interfaz
E1 E2 E3 E4
Zona
trust av-dmz-1 av-dmz-2 untrust
Enrutador virtual
trust-vr trust-vr untrust-vr untrust-vr
Direccin de IPv4
10.251.10.0/24 192.168.100.1/24 192.168.101.1/24 172.24.76.127/24
Para configurar las interfaces, introduzca los siguientes comandos:

set interface e1 set interface e2 set interface e3 set interface e4 zone trust vrouter trust-vr ip 10.251.10.0/24 zone av-dmz-1 vrouter trust-vr ip 192.168.100.1/24 zone av-dmz-2 vrouter untrust-vr ip 192.168.101.1/24 zone untrust vrouter untrust-vr ip 172.24.76.127/24
Despus de configurar las zonas, las interfaces y las rutas, necesita realizar las siguientes dos tareas: 1. Configure una ruta esttica de untrust-vr a trust-vr. Asigne una direccin IP de la puerta de enlace de 10.251.10.0/24 y un valor de preferencia de 20 a la entrada:
set vrouter "untrust-vr" set route 10.251.10.0/24 vrouter "trust-vr" preference 20 exit
2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la interfaz Trust a la interfaz Untrust:
set vrouter "trust-vr" set route 0.0.0.0/0 vrouter "untrust-vr" preference 20 exit
152
Puede verificar los cambios con el comando get route:

Routing Table: IPv4 Dest-Routes for <untrust-vr> (6 entries) ---------------------------------------------------------------------------ID IP-Prefix Interface Gateway P Pref Mtr Vsys ---------------------------------------------------------------------------* 6 0.0.0.0/0 eth4 172.24.76.1 C 0 1 Root * 3 10.251.10.0/24 n/a trust-vr S 20 0 Root * 4 172.24.76.0/22 eth4 0.0.0.0 C 0 0 Root * 2 192.168.101.1/32 eth3 0.0.0.0 H 0 0 Root * 5 172.24.76.127/32 eth4 0.0.0.0 H 0 0 Root * 1 192.168.101.0/24 eth3 0.0.0.0 C 0 0 Root IPv4 Dest-Routes for <trust-vr> (5 entries) -----------------------------------------------------------ID IP-Prefix Interface Gateway P Pref -----------------------------------------------------------* 5 0.0.0.0/0 n/a untrust-vr S 20 * 1 10.251.10.0/24 eth1 0.0.0.0 C 0 * 4 192.168.100.1/32 eth2 0.0.0.0 H 0 * 3 192.168.100.0/24 eth2 0.0.0.0 C 0 * 2 10.251.10.1/32 eth1 0.0.0.0 H 0
Mtr 0 0 0 0 0
Vsys Root Root Root Root Root
Ahora est listo para configurar PBR.
Elementos PBR
Despus de configurar las interfaces y rutas, puede configurar PBR. Para que PBR funcione correctamente, debe configurar los siguientes elementos para trust-vr:

Lista de acceso extendida Grupo de coincidencias Grupo de acciones Directiva de PBR
Listas de acceso extendidas

Para este ejemplo, determinar que desea enviar el trfico de HTTP (puerto 80), SMTP (puerto 110) y POP3 (puerto 25) para el procesamiento de AV. Para enviar estos tres tipos de paquetes a un dispositivo de seguridad, configure una lista de acceso extendido en trust-vr.
NOTA:
No necesita configurar una lista de acceso extendida para el trfico de regreso ya que el dispositivo de seguridad realiza una consulta de sesin antes que una consulta de rutas y luego aplica una directiva de PBR segn sea necesario. El trfico de retorno tiene una sesin existente. Cuando cualquier cliente en la subred 10.251.10.0/24 inicia el trfico que utiliza TCP al puerto 80, 110 25, desea que ScreenOS compare ese trfico con los criterios de lista de acceso extendida y realice la accin asociada con la lista de acceso. La accin obliga a ScreenOS a enrutar el trfico como usted indica, y no como otro trfico. Cada lista de acceso necesita tres entradas, una para cada tipo de trfico de TCP al que se dirige.
Ejemplo de PBR avanzado 153
Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes comandos:
set vrouter "trust-vr" set access-list extended 10 src-ip 10.251.10.0/24 dest-port 80-80 protocol tcp entry 1 set access-list extended 10 src-ip 10.251.10.0/24 dest-port 110-110 protocol tcp entry 2 set access-list extended 10 src-ip 10.251.10.0/24 dest-port 25-25 protocol tcp entry 3 exit
Grupos de coincidencias
Un grupo de coincidencias asocia una lista de acceso extendida con un nombre significativo al que se hace referencia en la directiva de PBR. Primero introduzca un contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente agregue una entrada que asocia el nombre del grupo de coincidencias recientemente creado con una lista de acceso y el nmero de entrada. Para crear grupos de coincidencias en trust-vr, introduzca los siguientes comandos:
set vrouter trust-vr set match-group name av-match-trust-vr set match-group av-match-trust-vr ext-acl 10 match-entry 1 exit
Grupos de acciones
A continuacin, crear un grupo de acciones, el cual indica a donde enviar el paquete. Para este ejemplo, crear un grupo de acciones para trust-vr con la accin establecida para enviar el trfico al salto siguiente.
PRECAUCIN: Si la accin es enviar el trfico a la siguiente interfaz, el cambio de
estado de enlace activar/desactivar la directiva de enrutamiento. Con el salto siguiente, la accin se resuelve con el protocolo de resolucin de direccin (ARP). Para trust-vr, reenviar el trfico con la instruccin de siguiente salto a travs de 192.168.100.254 por medio de los siguientes comandos:
set vrouter trust-vr set action-group name av-action-redirect-trust-vr set action-group av-action-redirect-trust-vr next-hop 192.168.100.254 action-entry 1 exit
Directivas de PBR
A continuacin, definir la directiva de PBR, que requiere de los siguientes elementos:
Nombre de la directiva de PBR
154

Nombre del grupo de coincidencias Nombre del grupo de acciones
Para configurar la directiva de PBR, introduzca los siguientes comandos:

set vrouter trust-vr set pbr policy name av-redirect-policy-trust-vr set pbr policy av-redirect-policy-trust-vr match-group av-match-trust-vr action-group av-action-redirect-trust-vr 1 exit
Asociacin de interfaces
Finalmente, asociar la directiva de PBR a la interfaz de ingreso, e1. Para asociar la directiva de PBR a su interfaz de ingreso, introduzca los siguientes comandos:
set interface e1 pbr av-redirect-policy-trust-vr
PBR avanzado con alta disponibilidad y posibilidad de ampliacin

Con el ejemplo anterior de PBR como base, puede mejorar la flexibilidad de su red con alta disponibilidad (HA) o posibilidad de ampliacin.
Solucin de resistencia en PBR

Una solucin slida de PBR puede incluir las siguientes configuraciones de dispositivo:

Dos dispositivos de seguridad que proporcionan red Otros dos dispositivos de seguridad que proporcionan anlisis de AV
Cada par de dispositivos ejecuta el protocolo de redundancia de NetScreen (NSRP) en una configuracin activa/pasiva para proporcionar proteccin de cambio en caso de fallo. Para los dos dispositivos de seguridad que ejecutan el enrutamiento, un dispositivo se encarga de la funcin de enrutamiento si ocurre un fallo del hardware. En caso del par que proporciona el anlisis de AV, si ocurre un fallo en uno de los dispositivos, el otro dispositivo se encarga de la funcin de anlisis.
NOTA:
Para obtener ms informacin, consulte el Volumen 11: Alta Disponibilidad.
155
Solucin con posibilidad de ampliacin en PBR

Las soluciones PBR se amplan bien. Si necesita ms capacidad, puede agregar ms dispositivos de seguridad. Al dividir la subred /24 en dos subredes /25, puede configurar una lista de acceso extendida para la subred inferior /25 y otra lista de acceso extendido para la subred superior /25, luego agregue dos dispositivos de seguridad para proporcionar servicios de anlisis en DMZ. Tambin puede implementar el equilibrio de carga si crea una configuracin de NSRP activa/activa. Un dispositivo puede procesar el trfico de la subred inferior /25 y el otro dispositivo puede procesar el trfico de la subred superior /25. Cada dispositivo respalda al otro.
156
Captulo 7
Enrutamiento multicast
Este captulo presenta los conceptos bsicos sobre el enrutamiento multicast. Incluye las siguientes secciones:
Vista general en esta pgina

Direcciones multicast en la pgina 158 Reenvo por rutas inversas en la pgina 158
Enrutamiento multicast en dispositivos de seguridad en la pgina 159

Tabla de enrutamiento multicast en la pgina 159 Configuracin de una ruta multicast esttica en la pgina 160 Listas de acceso en la pgina 161 Configurar Encapsulado de enrutamiento genrico en interfaces de tnel en la pgina 161
Directivas multicast en la pgina 163
Vista general
Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. Cualquier host puede ser un origen y los receptores pueden estar en cualquier punto de Internet. El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts, porque los enrutadores habilitados para multicast transmiten trfico multicast solamente a los hosts que desean recibirlo. Los hosts deben indicar su inters por recibir datos multicast y deben unirse a un grupo multicast para recibir los datos. Los enrutadores habilitados para multicast reenvan el trfico multicast solamente a los receptores interesados en recibirlo.
Vista general
157
Los entornos de enrutamiento multicast requieren los siguientes elementos para reenviar informacin multicast:
Un mecanismo que se ejecute entre hosts y enrutadores para comunicar la informacin de miembros del grupo multicast. Los dispositivos de seguridad admiten las versiones 1, 2 y 3 del protocolo de administracin de grupo (IGMP). Los enrutadores y hosts utilizan IGMP slo para transmitir la informacin de miembros, no para reenviar ni enrutar trfico multicast. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165.) Un protocolo de enrutamiento multicast para alimentar la tabla de rutas multicast y reenviar datos a los hosts a travs de la red. Los dispositivos de seguridad de Juniper Networks admiten multicast independiente de protocolo modo Sparse (PIM-SM) y multicast independiente de protocolo modo de origen especfico (PIM-SSM). (Para obtener informacin sobre PIM-SM y PIM-SSM, consulte el Multicast independiente de protocolo en la pgina 191). Alternativamente, puede utilizar la funcin IGMP proxy para reenviar trfico multicast sin sobrecargar la CPU con la ejecucin de un protocolo de enrutamiento multicast. (Para obtener ms informacin, consulte Proxy de IGMP en la pgina 173).
Las siguientes secciones presentan los conceptos bsicos utilizados en el enrutamiento multicast.
Direcciones multicast
Cuando un origen enva trfico multicast, la direccin de destino es una direccin del grupo multicast. Las direcciones del grupo multicast son direcciones de clase D desde la 224.0.0.0 hasta la 239.255.255.255.
Reenvo por rutas inversas

Cuando un enrutador multicast recibe paquetes multicast, utiliza un proceso denominado reenvo por rutas inversas (reverse path forwarding o RPF) para comprobar la validez de los paquetes. Antes de crear una ruta multicast, el enrutador realiza operaciones de consulta de rutas en la tabla de rutas unicast para comprobar si la interfaz en la cual recibi el paquete (interfaz de entrada) es la misma interfaz que debe utilizar para enviar los paquetes de vuelta al remitente. Si lo es, el enrutador crea la entrada de la ruta multicast y reenva el paquete al enrutador del salto siguiente. Si no lo es, el enrutador descarta el paquete. Los enrutadores multicast no efectan esta comprobacin de RPF para rutas estticas. La Figura 22 muestra el dispositivo de seguridad y el flujo de procesamiento de paquetes multicast.
158
Vista general
Captulo 7: Enrutamiento multicast
Figura 22: Reenvo por rutas inversas

El paquete multicast procedente de 1.1.1.250 llega a ethernet1. ethernet3 10.1.1.1
Origen 3.3.3.6
enrutador externo 1.1.1.250
ethernet1 1.1.1.1
El dispositivo de seguridad comprueba si la interfaz de entrada coincide con la de salida para los paquetes destinados al remitente. Consulta en la tabla de rutas DST IF GATE 0.0.0.0.eth1 --10.1.1.0 eth3 ---1.1.1.0 eth1 ---
3a. En caso afirmativo, enviar los paquetes multicast al destino.
3b. En caso negativo, descartar el paquete.
Enrutamiento multicast en dispositivos de seguridad

Los dispositivos de seguridad de Juniper Networks tienen dos enrutadores virtuales predefinidos (VR): trust-vr y untrust-vr. Cada enrutador virtual es un componente de enrutamiento independiente, con sus propias tablas de rutas unicast y multicast. (Para obtener informacin sobre tablas de rutas unicast, consulte Enrutamiento esttico en la pgina 1.) Cuando el dispositivo de seguridad recibe un paquete multicast entrante, consulta la ruta entre las rutas indicadas en la tabla de rutas multicast.
Tabla de enrutamiento multicast

La tabla de rutas multicast se alimenta con las rutas estticas multicast o las rutas aprendidas a travs del protocolo de enrutamiento multicast. El dispositivo de seguridad utiliza la informacin de la tabla de rutas multicast para reenviar trfico multicast. Los dispositivos de seguridad mantienen una tabla de enrutamiento multicast para cada protocolo de enrutamiento de un enrutador virtual. La tabla de enrutamiento multicast contiene informacin especfica sobre el protocolo de enrutamiento ms la informacin siguiente:
Cada entrada comienza con el estado de reenvo. El estado de reenvo puede tener uno de los siguientes formatos: (*, G) o (S, G). El formato (*, G) se denomina entrada asterisco coma G, donde el * se refiere a cualquier origen y G es una direccin de grupo multicast especfica. El formato (S, G) se denomina entrada S coma G, donde S es la direccin IP de origen y G es la direccin del grupo multicast. Las interfaces de sentido ascendente y descendente. El vecino de reenvo por rutas inversas (RPF).

Enrutamiento multicast en dispositivos de seguridad 159
A continuacin se incluye un ejemplo de una tabla de enrutamiento multicast PIM-SM en el enrutador virtual trust-vr:
trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 0:06:24/Flags: LF Zone: Untrust Upstream : ethernet1/2 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 00:06:24/00:02:57 Join 0.0.0.0 FC (20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune Zone: Untrust Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust Upstream : ethernet1/1 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 0:06:24/Join 236.1.1.1 20.20.20.200 FC
Configuracin de una ruta multicast esttica

Puede definir una ruta multicast esttica desde un origen a un grupo multicast (S, G) o utilizar comodines tanto para el origen como para el grupo multicast, o para ambos. Las rutas multicast estticas se utilizan tpicamente para admitir el reenvo de datos multicast desde hosts pertenecientes a interfaces en modo proxy de enrutador IGMP a los enrutadores en sentido ascendente de las interfaces en el modo host de IGMP. (Para obtener ms informacin, consulte Proxy de IGMP en la pgina 173). Tambin puede utilizar rutas multicast estticas para permitir el reenvo multicast entre dominios. Puede crear una ruta esttica para una pareja (S, G) con cualquier interfaz de entrada o de salida. Tambin puede crear una ruta esttica y definir mediante comodines el origen o el grupo multicast, o ambos, indicando 0.0.0.0. Al configurar una ruta esttica, tambin puede especificar la direccin del grupo multicast original y una direccin diferente para el grupo multicast en la interfaz saliente. En este ejemplo configurar una ruta multicast esttica desde un origen con la direccin IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el dispositivo de seguridad para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1 en la interfaz saliente. WebUI Network > Routing > MCast Routing > New: Introduzca los siguientes datos y haga clic en OK:
Source IP: 20.20.20.200 MGroup: 238.1.1.1 Incoming Interface: ethernet1 (seleccione) Outgoing Interface: ethernet3(seleccione) Translated MGroup: 238.2.2.1
160
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1 oif ethernet3 out-group 238.2.2.1 save
Listas de acceso
Una lista de acceso es una lista de una secuencia de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (acepta o rechaza la ruta). En el enrutamiento multicast, una instruccin tambin puede contener una direccin de grupo multicast. En el enrutamiento multicast, usted crea listas de acceso para permitir el trfico multicast a determinados grupos o hosts multicast. Por lo tanto, el estado de la accin o del reenvo siempre es Permit. No se pueden crear listas de acceso para denegar el acceso a determinados grupos o hosts. (Para obtener informacin adicional sobre listas de acceso, consulte Configuracin de una lista de acceso en la pgina 41.)
Configurar Encapsulado de enrutamiento genrico en interfaces de tnel

El encapsulado de paquetes multicast en paquetes unicast es un mtodo comn para transmitir paquetes multicast a travs de una red no preparada para multicast y a travs de tneles IPSec. La versin 1 del protocolo de Encapsulado de enrutamiento genrico (GRE) es un mecanismo que encapsula cualquier tipo de paquete dentro de paquetes unicast IPv4. Los dispositivos de seguridad de Juniper Networks admiten GREv1 para encapsular paquetes IP en paquetes unicast IPv4. Para obtener informacin adicional sobre GRE, consulte RFC 1701, Encapsulado de enrutamiento genrico (GRE). En los dispositivos de seguridad, usted habilita la encapsulacin GRE en interfaces de tnel.
NOTA:
Puede habilitar GRE en una interfaz de tnel asociada a una interfaz de bucle invertido, siempre que la interfaz de bucle invertido se encuentre en la misma zona que la interfaz saliente. Para obtener informacin sobre las interfaces de bucle invertido, consulte Interfaces de bucle invertido en la pgina 2-57. Si desea transmitir paquetes multicast a travs de un tnel VPN IPSec entre un dispositivo de seguridad de Juniper Networks y un dispositivo o enrutador de otro fabricante, debe habilitar GRE. Los dispositivos de seguridad tienen limitaciones especficas de cada plataforma en cuanto al nmero de interfaces salientes a travs de las cuales se pueden transmitir paquetes multicast. En grandes entornos de VPN radiales (hub-and-spoke o cubo y radios), en los que el dispositivo de seguridad es el cubo, se puede evitar esta limitacin al crear un tnel GRE entre el enrutador de sentido ascendente del dispositivo de seguridad situado en el cubo y los dispositivos de seguridad situados en los radios.
Enrutamiento multicast en dispositivos de seguridad 161
En la Figura 23, el enrutador-A se encuentra en sentido ascendente con respecto al dispositivo-A. El enrutador-A tiene dos tneles GRE que terminan en el dispositivo-1 y dispositivo-2. El dispositivo-A est conectado al dispositivo-1 y al dispositivo-2 a travs de tneles VPN. Antes de que el enrutador-A transmita paquetes multicast, primero los encapsula en paquetes unicast IPv4. El dispositivo-A recibe estos paquetes como paquetes unicast y los enva al dispositivo-1 y al dispositivo-2.
Figura 23: GRE en interfaces de tnel
Origen
Internet
Enrutador-A Tneles GRE
Tneles VPN con GRE
Dispositivo-1
Dispositivo-2
Receptores
Receptores
En este ejemplo, configurar la interfaz de tnel en el dispositivo-1. Realizar los pasos siguientes: 1. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trust-vr. 2. Habilitar la encapsulacin de GRE en el tunnel.1. 3. Especificar los puntos terminales local y remoto del tnel GRE. Este ejemplo muestra la configuracin de GRE solamente para el dispositivo de seguridad. (Para obtener informacin sobre las VPN, consulte el Volume 5: Virtual Private Networks).
162
WebUI Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego haga clic en Apply:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos, luego haga clic en Apply:
Encap: GRE (seleccione) Local Interface: ethernet3 Destination IP: 3.3.3.1
CLI
set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 set interface tunnel.1 tunnel encap gre set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1 save
Directivas multicast
De forma predeterminada, los dispositivos de seguridad de Juniper Networks no permiten que el trfico de control multicast, como mensajes IGMP o PIM, pase por los dispositivos de seguridad. Para permitir trfico de control multicast entre las zonas, debe configurar una directiva multicast que especifique lo siguiente:

Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo Multicast: El grupo multicast cuyo trfico de control multicast desea que el dispositivo de seguridad permita. Puede especificar uno de los siguientes:

La direccin IP del grupo multicast Una lista de accesos que defina a los grupos multicast a los que los hosts pueden unirse La palabra clave any, para permitir el trfico de control multicast para cualquier grupo multicast
Trfico de control multicast: El tipo de mensaje de control multicast: mensajes IGMP o mensajes PIM. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165. Para obtener informacin sobre PIM, consulte Multicast independiente de protocolo en la pgina 191.)
163
Adems, puede especificar lo siguiente:

Direccin multicast traducida: El dispositivo de seguridad puede traducir una direccin del grupo multicast de una zona interna a una direccin distinta en la interfaz de salida. Para traducir una direccin de grupo, debe especificar tanto la direccin multicast original como la direccin del grupo multicast traducida en la directiva multicast. Bi-direccional: Puede crear una directiva bidireccional para aplicarla a ambos sentidos del trfico.
NOTA:
Las directivas multicast solamente controlan el flujo del trfico de control de multicast. Para permitir el paso del trfico de datos (tanto unicast como multicast) entre las zonas, debe configurar directivas de cortafuegos. (Para obtener informacin sobre las directivas, consulte el Volumen 2: Fundamentos). No ordene directivas multicast como hara con las directivas de cortafuegos. De este modo, la directiva multicast ms reciente no sobrescribe ninguna anterior en caso de conflicto. En lugar de ello, el dispositivo de seguridad selecciona la coincidencia ms larga para resolver cualquier conflicto, igual que hacen otros protocolos de enrutamiento. Si encuentra una subred ms pequea que cumpla el criterio de consulta, utilizar esa directiva.
NOTA:
Para ver un ejemplo de configuracin de una directiva multicast para mensajes IGMP, consulte Creacin de una directiva de grupo multicast para IGMP en la pgina 178. Para ver un ejemplo de configuracin de una directiva multicast para mensajes PIM, consulte Definicin de una directiva de grupo multicast para PIM-SM en la pgina 201.
164
Captulo 8
Protocolo de administracin de grupos de Internet

Este captulo describe el protocolo multicast para administracin de grupos de Internet (IGMP) en dispositivos de seguridad de Juniper Networks. Incluye las siguientes secciones:

Hosts en la pgina 166 Enrutadores multicast en la pgina 167
IGMP en dispositivos de seguridad en la pgina 167

Habilitacin e inhabilitacin de IGMP en interfaces en la pgina 167 Configuracin de una lista de accesos para grupos aceptados en la pgina 168 Configuracin de IGMP en la pgina 169 Verificacin de una configuracin de IGMP en la pgina 171 Parmetros operativos de IGMP en la pgina 172

Proxy de IGMP en la pgina 173

Configuracin del proxy de IGMP en la pgina 176 Configuracin de un proxy de IGMP en una interfaz en la pgina 176 Directivas multicast para configuraciones de IGMP y proxy de IGMP en la pgina 178 Configuracin de un proxy de remitente de IGMP en la pgina 185
165
Vista general
El protocolo multicast para administracin de grupos de Internet (IGMP) se utiliza entre hosts y enrutadores para establecer y mantener miembros de grupos multicast en una red. Los dispositivos de seguridad admiten las siguientes versiones de IGMP:
IGMPv1, segn lo definido en la norma RFC 1112, Extensiones de host para multicast IP, define las operaciones bsicas para miembros de grupos multicast. IGMPv2, segn lo definido en la norma RFC 2236, Protocolo de administracin de grupos de Internet, versin 2, ampla la funcionalidad de IGMPv1. IGMPv3, segn lo definido en la norma RFC 3376, Protocolo de administracin de grupos de Internet, Versin 3, permite la filtracin de orgenes. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. IGMPv3 es necesario para ejecutar multicast independiente de protocolo en modo de origen especfico (PIM-SSM). (Para obtener ms informacin, consulte PIM-SSM en la pgina 197).
El protocolo IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener los miembros de grupos multicast. Los protocolos de enrutamiento multicast, como PIM, procesan la informacin de miembros IGMP, crean entradas en la tabla de enrutamiento multicast y reenvan el trfico multicast a los hosts a travs de la red. Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts y enrutadores intercambian para mantener actualizada la informacin de miembro de grupos a travs de la red. Los hosts y los enrutadores que ejecutan versiones ms recientes de IGMP pueden funcionar con los que ejecuten versiones de IGMP anteriores.
Hosts
Los hosts envan mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qu hosts son miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 16 enumera los mensajes de IGMP que los hosts envan y el destino de los mensajes.
Tabla 16: Mensajes de host IGMP Versin de IGMP
IGMPv1 y v2
Mensaje de IGMP
Destino
Un host enva un informe de miembro la primera vez que se une a un grupo Direccin IP del grupo multicast y peridicamente, una vez que ya es miembro del grupo. El informe de multicast al que el host miembros indica a qu grupo multicast desea unirse el host. desea unirse Un host enva un informe de miembro la primera vez que se une a un grupo 224.0.0.22 multicast y peridicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la direccin multicast del grupo, el modo de filtracin, que es incluir o excluir y una lista de orgenes. Si el modo de filtracin es incluir, entonces los paquetes procedentes de las direcciones de la lista de origen se aceptan. Si el modo de filtracin es excluir, entonces los paquetes procedentes de orgenes distintos a los de la lista de origen se aceptan. Un host enva un mensaje Leave group cuando desea dejar el grupo multicast y dejar de recibir datos para ese grupo. grupo de todos los enrutadores (224.0.0.2)
IGMPv3
IGMPv2
166
Vista general
Captulo 8: Protocolo de administracin de grupos de Internet
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qu grupos multicast tienen miembros en su red local. Cada red selecciona un enrutador designado, denominado el consultador. Generalmente, hay un consultador para cada red. El consultador enva mensajes IGMP a todos los hosts de la red para solicitar informacin de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la informacin de estos mensajes y actualizan su lista de miembros de grupos basndose en cada interfaz. Los enrutadores IGMPv3 mantienen una lista que incluye la direccin del grupo multicast, el modo de filtracin (incluir o excluir) y la lista de orgenes.
NOTA:
Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la direccin IP ms baja de la red. La Tabla 17 describe los mensajes que un contestador enva y los destinos.
Tabla 17: Mensajes del consultador IGMP Versin de IGMP

IGMPv1, v2 y v3 IGMPv2 y v3
Mensaje de IGMP
El consultador enva peridicamente consultas generales para solicitar la informacin de miembros de grupos.
Destino
grupo de todos los hosts (224.0.0.1).
El consultador enva una consulta especfica de grupo cuando recibe un El grupo multicast del que va a mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que salir el host. indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese grupo en su red local y deja de reenviar el trfico multicast a ese grupo. El consultador enva una consulta especfica de grupo y origen para verificar si hay algn receptor para ese grupo y origen especfico. El grupo multicast del que va a salir el host.
IGMPv3
IGMP en dispositivos de seguridad

En algunos enrutadores, IGMP se habilita automticamente cuando habilita un protocolo de enrutamiento multicast. En los dispositivos de seguridad de Juniper Networks, debe habilitar explcitamente IGMP y un protocolo de enrutamiento multicast.
Habilitacin e inhabilitacin de IGMP en interfaces

De forma predeterminada, IGMP est desactivado en todas las interfaces. Debe habilitar IGMP en el modo de enrutador en todas las interfaces que estn conectadas a hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar IGMPv1, IGMPv2 y v3 o solamente IGMPv3.
IGMP en dispositivos de seguridad 167
Habilitacin de IGMP en una interfaz

En este ejemplo, habilita IGMP en modo enrutador en la interfaz ethernet1 que est conectada con un host. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
CLI
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save
Desactivacin de IGMP en una interfaz

En este ejemplo, desactivar IGMP en la interfaz ethernet1. El dispositivo de seguridad mantiene la configuracin de IGMP, pero la desactiva. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP Enable, luego haga clic en Apply. CLI
unset interface ethernet1 protocol igmp enable save
Para borrar la configuracin de IGMP introduzca el comando unset interface interfaz protocol igmp router.
Configuracin de una lista de accesos para grupos aceptados

Hay algunos problemas de seguridad que debe tener en cuenta al ejecutar IGMP. Los usuarios maliciosos pueden falsificar consultas IGMP, informes de miembros y dejar mensajes. En los dispositivos de seguridad, puede restringir el trfico multicast slo a los hosts y grupos multicast conocidos. Adems, tambin puede especificar los consultadores permitidos en su red. Estas restricciones se establecen por medio de la creacin de listas de accesos y su aplicacin a una interfaz. Una lista de acceso es una secuencia de declaraciones que especifica una direccin IP y un estado de reenvo (permit o deny). En IGMP, las listas de accesos siempre deben tener un estado de reenvo permit y deben especificar uno de los siguientes:

Grupos multicast a los que los hosts se pueden unir Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes IGMP Consultadores desde los que la interfaz del enrutador de IGMP puede recibir mensajes IGMP
168
Despus de crear una lista de accesos, aplquela a una interfaz. Una vez que aplique una lista de accesos a una interfaz, sta aceptar trfico solamente de los orgenes especificados en la lista de accesos. Por lo tanto, para denegar trfico procedente de un determinado grupo, host o consultador multicast, simplemente exclyalo de la lista de accesos. (Para obtener informacin adicional sobre listas de accesos, consulte Configuracin de una lista de acceso en la pgina 41). En este ejemplo, crear una lista de acceso en el trust-vr. La lista de accesos especifica lo siguiente:

La identificacin de la lista de accesos es 1. Permitir el trfico a un grupo multicast 224.4.4.1/32. El nmero secuencial de esta declaracin es 1.
Despus de crear la lista de accesos, permita que los hosts de ethernet1 se unan al grupo multicast especificado en la lista de accesos. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK:
Accept Groups Access List ID: 1
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 save
Configuracin de IGMP
Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks, simplemente habiltelo en modo enrutador en las interfaces que estn conectadas directamente a los hosts. Para garantizar la seguridad de la red, utilice las listas de accesos para limitar el trfico multicast slo a grupos, hosts y enrutadores multicast conocidos. En la Figura 24, los hosts de la zona Trust protegida por el dispositivo de seguridad NS1 son receptores potenciales del flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1 y ethernet2 estn conectadas a los hosts. El origen multicast est transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos siguientes para configurar IGMP en las interfaces que estn conectadas a los hosts: 1. Asigne direcciones IP a las interfaces y enlcelas a zonas. 2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.
3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. 4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes IGMP del grupo multicast 224.4.4.1/32.
Figura 24: Ejemplo de configuracin de IGMP
ethernet1 10.1.1.1/24
Origen Enrutador designado de origen ethernet3 1.1.1.1/24 NS1 ethernet 2 10.1.2.1/24 Zona Trust
Zona Untrust
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2. Lista de accesos
170
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24
2. Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1

3. IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save
Despus de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar el trfico multicast. (Para obtener informacin sobre PIM, consulte Multicast independiente de protocolo en la pgina 191).
Verificacin de una configuracin de IGMP

Para verificar la conectividad y asegurarse de que IGMP se est ejecutando correctamente, existe una serie de comandos exec y get que puede utilizar.
Para enviar consultas generales o especficas de grupos a una interfaz en particular, utilice el comando exec igmp interface interfaz query. Por ejemplo, para enviar una consulta general desde ethernet2, introduzca el siguiente comando:
exec igmp interface ethernet2 query
Para enviar una consulta especfica de grupo desde ethernet2 al grupo multicast 224.4.4.1, introduzca el siguiente comando:
exec igmp interface ethernet2 query 224.4.4.1
Para enviar un informe de miembros de una interfaz en particular, utilice el comando exec igmp interface interfaz report. Por ejemplo, para enviar un informe de miembro desde ethernet2, introduzca el siguiente comando:
exec igmp interface ethernet2 report 224.4.4.1
Puede revisar los parmetros IGMP de una interfaz al introducir el comando siguiente:
device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds
Este resultado enumera la siguiente informacin:

IGMP versin (2) Estado del consultador (yo soy el consultador.) Set and unset parameters
Para mostrar informacin sobre grupos multicast, ejecute el siguiente comando CLI:
device-> get igmp group total groups matched: 1 multicast group interface *224.4.4.1 trust
last reporter 0.0.0.0
expire ver ------ v2
Parmetros operativos de IGMP

Cuando habilita IGMP en modo de enrutador en una interfaz, la interfaz se inicia como consultador. Como consultador, la interfaz utiliza determinados ajustes predeterminados que usted puede modificar. Cuando establece parmetros en este nivel, solamente resulta afectada la interfaz que se haya especificado. La Tabla 18 enumera los parmetros de interfaz del consultador de IGMP y sus valores predeterminados.
172
Tabla 18: Parmetros de la interfaz del consultador de IGMP y valores predeterminados Parmetros de la interfaz IGMP
General query interval Maximum response time Last Member Query Interval
Descripcin
El intervalo en el cual la interfaz consultadora enva consultas generales al grupo de todos los hosts (224.0.0.1). El tiempo mximo entre una consulta general y la respuesta procedente del host.
125 segundos 10 segundos
El intervalo en el que la interfaz enva una consulta especfica de grupo. Si no 1 segundo recibe ninguna respuesta despus de la segunda consulta especfica de grupo, asume que no hay ms miembros en ese grupo en su red local.
De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente acepta paquetes IGMP con la opcin router-alert IP y descarta los paquetes que no tienen esta opcin. Los paquetes IGMPv1 no tienen esta opcin y, por lo tanto, un dispositivo de seguridad que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de forma predeterminada. Puede configurar el dispositivo de seguridad para dejar de comprobar si los paquetes IGMP contienen la opcin router-alert IP y aceptar todos los paquetes IGMP, hacindolo compatible con versiones anteriores de enrutadores IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los paquetes IGMP: WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los siguientes datos y haga clic en OK:
Packet Without Router Alert Option: Permit (seleccione)
CLI
set interface ethernet1 protocol igmp no-check-router-alert save
Proxy de IGMP
Los enrutadores esperan y envan mensajes IGMP slo a sus hosts conectados; no reenvan mensajes IGMP ms all de su red local. Puede permitir que las interfaces de un dispositivo de seguridad de Juniper Networks reenven mensajes IGMP un salto ms all de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces conectadas a hosts funcionan como enrutadores y aquellas conectadas a enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y enrutador generalmente estn en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para permitir que el trfico de datos multicast pase entre zonas, tambin debe configurar una directiva de cortafuegos.
Proxy de IGMP
173
En los dispositivos que admiten mltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raz (vsys) y la otra interfaz en vsys separados. A continuacin, cree una directiva multicast para permitir trfico de control multicast entre los dos sistemas virtuales. (Para obtener ms informacin sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.) Mientras las interfaces reenvan informacin de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que estn asociadas, formando un rbol de distribucin multicast desde los receptores hasta el origen. Las siguientes secciones describen cmo las interfaces de hosts y enrutadores IGMP reenvan la informacin de miembros de IGMP en sentido ascendente hacia el origen, y cmo reenvan datos multicast en sentido descendente desde el origen hasta el receptor.
Informes de miembros en sentido ascendente hacia el origen

Cuando un host conectado a una interfaz de enrutador en un dispositivo de seguridad se une a un grupo multicast, enva un informe de miembros al grupo multicast. Cuando la interfaz del enrutador recibe el informe de miembros del host que se acaba de conectar, comprueba si tiene una entrada para el grupo multicast. A continuacin, el dispositivo de seguridad lleva a cabo una de las acciones siguientes:
Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el informe de miembros. Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, comprueba si hay una directiva multicast para el grupo que especifique a qu zona la interfaz del enrutador debe enviar el informe.
Si no hay ninguna directiva multicast para el grupo, la interfaz del enrutador no reenva el informe. Si hay alguna directiva multicast para el grupo, la interfaz del enrutador crea una entrada para el grupo multicast y reenva el informe de miembros a la interfaz del host proxy en la zona especificada en la directiva multicast.
Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiene una entrada (*, G) para ese grupo multicast.
Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz del enrutador a la lista de las interfaces de salida para esa entrada. Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del enrutador. A continuacin, la interfaz del host proxy reenva el informe a su enrutador en sentido ascendente.
174
Proxy de IGMP
Datos multicast en sentido descendente a los receptores

Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast para un grupo multicast, comprueba si hay una sesin existente para ese grupo.
Si hay una sesin para el grupo, la interfaz reenva los datos multicast basndose en la informacin de la sesin. Si no hay sesin para el grupo, la interfaz comprueba si el grupo tiene una entrada (S, G) en la tabla de rutas multicast.
Si hay una entrada (S, G), la interfaz reenva los datos multicast en consecuencia. Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna entrada (*, G) para el grupo. Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el paquete. Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada (S, G). Cuando la interfaz recibe paquetes multicast subsiguientes para ese grupo, reenva el trfico a la interfaz del enrutador (la interfaz de salida) que, a su vez, reenva el trfico a su host conectado.
La Figura 25 muestra un ejemplo de una configuracin de host proxy de IGMP.

Figura 25: Configuracin del host proxy de IGMP
3. La interfaz del host proxy de IGMP comprueba si tiene una entrada (*, G) para el grupo multicast: En caso afirmativo, agrega la interfaz del enrutador a las interfaces salientes en una entrada multicast de la tabla de rutas. En caso negativo, crea la entrada y reenva el informe de miembros al enrutador en sentido ascendente. Enrutador designado de origen Internet Origen 4. El origen enva datos multicast en sentido descendente hacia el receptor. 5. La interfaz del host proxy de IGMP comprueba si existe alguna sesin para el grupo: En caso afirmativo, reenva los datos multicast. En caso negativo, compruebe si hay alguna entrada (S, G) para el grupo: Interfaz del host proxy de IGMP En caso afirmativo, reenva los datos multicast. En caso negativo, compruebe si hay alguna entrada (*, G): En caso negativo, descarta los datos. Interfaz del enrutador proxy de IGMP En caso afirmativo, crea una entrada (S, G) y reenva datos utilizando la interfaz de entrada y de salida desde la entrada (*, G).
2. La interfaz del enrutador proxy de IGMP comprueba si hay alguna entrada para el grupo multicast: En caso afirmativo, ignora el informe de miembros. En caso negativo y si no hay ninguna directiva multicast para el grupo, descarta el informe de miembros. En caso negativo, pero si existe alguna directiva multicast para el grupo, crea una entrada (*, G) en la tabla de rutas multicast, con el host como iif y el enrutador como oif. Reenva el informe en sentido ascendente hacia la interfaz del host en la zona especificada en la directiva multicast. 1. Los hosts envan informes de miembros en sentido ascendente.
Zona Untrust
Zona Trust
6. La interfaz del enrutador proxy de IGMP reenva datos a los receptores.
Receptores
Proxy de IGMP
175
Configuracin del proxy de IGMP

En esta seccin se describen los pasos bsicos necesarios para configurar IGMP proxy en un dispositivo de seguridad de Juniper Networks: 1. Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma predeterminada, el proxy de IGMP est habilitado en las interfaces de hosts. 2. Habilitar IGMP en el modo enrutador en interfaces en sentido descendente. 3. Habilitar IGMP proxy en interfaces de enrutador. 4. Configurar una directiva multicast que permita que el trfico de control multicast pase de una zona a otra. 5. Configurar una directiva para entregar trfico de datos entre zonas.
Configuracin de un proxy de IGMP en una interfaz

Cuando ejecute IGMP proxy en un dispositivo de seguridad, la interfaz en sentido descendente se configura en modo enrutador y la interfaz en sentido ascendente en modo host. (Observe que una interfaz puede estar en modo host o en modo enrutador, pero no en ambos). Adems, para que una interfaz de enrutador reenve el trfico multicast, debe ser el consultador en la red local. Para permitir que una interfaz no consultadora reenve el trfico multicast, debe especificar la palabra clave always al habilitar IGMP en la interfaz. De forma predeterminada, una interfaz IGMP slo acepta los mensajes IGMP de su propia subred. Ignora los mensajes IGMP procedentes de orgenes externos. Debe habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de orgenes de otras subredes cuando ejecute IGMP proxy. En este ejemplo, la interfaz ethernet1 tiene la direccin IP 10.1.2.1/24 y est conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1:

Habilite IGMP en el modo host Permita que acepte mensajes IGMP desde todos los orgenes, sin importar la subred
La interfaz ethernet3 tiene la direccin IP 10.1.1.1/24 y est conectada a los hosts. Configure lo siguiente en ethernet3:

Habilite IGMP en el modo enrutador. Permita que reenve trfico multicast aunque no sea un consultador. Permita que acepte mensajes IGMP procedentes de orgenes de otras subredes.
176
Proxy de IGMP
WebUI
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply:
2. IGMP
IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24
2. IGMP
set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save
Proxy de IGMP
177
Directivas multicast para configuraciones de IGMP y proxy de IGMP

Normalmente, un dispositivo de seguridad intercambia mensajes IGMP slo con sus hosts conectados. Con IGMP proxy, los dispositivos de seguridad podran necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el envo de mensajes IGMP entre zonas, debe configurar una directiva multicast que lo permita especficamente. Cuando cree una directiva multicast, debe especificar lo siguiente:

Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo multicast: Puede ser un grupo multicast, una lista de accesos que especifique grupos multicast o any
Adems, puede especificar que la directiva sea bidireccional para aplicar la directiva a ambos sentidos del trfico.
Creacin de una directiva de grupo multicast para IGMP

En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz del host en la zona Untrust. Defina una directiva multicast que permita que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las zonas Trust y Untrust. Utilice la palabra clave bidirectional para permitir el trfico en ambos sentidos. WebUI MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional save
Creacin de una configuracin de proxy de IGMP

Como se indica en la Figura 26, se configura IGMP proxy en los dispositivos de seguridad NS1 y NS2. Estn interconectados a travs de un tnel VPN. Realice los pasos siguientes en los dispositivos de seguridad de ambas ubicaciones: 1. Asignar direcciones IP a las interfaces fsicas asociadas a las zonas de seguridad. 2. Crear los objetos de direcciones.
178
Proxy de IGMP
3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy est habilitado en las interfaces de host). a. b. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para permitir que reenve el trfico multicast aunque no sea consultador. De forma predeterminada, una interfaz IGMP slo acepta paquetes IGMP de su propia subred. En el ejemplo, las interfaces estn en subredes diferentes. Cuando habilite IGMP, permita que las interfaces acepten paquetes IGMP (consultas, informes de miembros y mensajes leave) procedentes de cualquier subred.
4. Configurar las rutas. 5. Configurar el tnel VPN. 6. Configurar una directiva para transmitir trfico de datos entre zonas. 7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas. En este ejemplo, restringir el trfico multicast a un grupo multicast (224.4.4.1/32).
Figura 26: Configuracin de IGMP proxy entre dos dispositivos
Elementos relacionados con NSI Zona Trust ethernet3 2.2.2.2/24 Interfaz de tnel, tunnel.1 NS1 Receptores Internet NS2 Tnel VPN Interfaz de tnel, tunnel.1 ethernet3 3.1.1.1/24 Elementos relacionados con NS2 ethernet1 10.3.1.1/24 Zona Untrust
ethernet1 10.2.2.1/24 Enrutador designado Origen
Zona Untrust
Zona Trust
WebUI (NS1)
1. Interfaces
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT
Proxy de IGMP
179
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3. IGMP
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy (seleccione): Always (seleccione)
4. Rutas
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK.
Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
180
Proxy de IGMP
>> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Security Level: Compatible Phase 1 Proposal (para nivel de seguridad compatible): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7. Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
WebUI (NS2)
1. Interfaces
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego haga clic en Apply:
2. Direcciones
Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
Proxy de IGMP
181
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.1/24 Zone: Untrust
3. IGMP
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione)
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
4. Rutas
Network > Routing > Routing Entries > New (trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1 Preshared Key: fg2g4hvj Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
182
Proxy de IGMP
6.
Directiva
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address untrust branch1 10.3.1.0/24

3. IGMP
set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.3.1.0/24 interface tunnel.1

5. Tnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
Proxy de IGMP
183
7.
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
CLI (NS2)
1. Interfaces
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 10.2.2.1/24
3. IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface tunnel.1 protocol igmp host set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.2.2.0/24 interface tunnel.1

5. Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4hvj proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. Directiva
set policy from untrust to trust source-dr mgroup1 any permit

set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust igmp-message bi-directional save
184
Proxy de IGMP
Configuracin de un proxy de remitente de IGMP

En IGMP proxy, el trfico multicast generalmente viaja en sentido descendente desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones, el origen puede estar en la misma red que la interfaz del enrutador. Cuando un origen se conecta a una interfaz que se encuentra en la misma red a la que la interfaz del proxy del enrutador IGMP enva trfico multicast, el dispositivo de seguridad comprueba si hay lo siguiente:
Una directiva del grupo multicast que permite el trfico desde la zona de origen a la zona de la interfaz del host IGMP proxy Una lista de accesos de los orgenes aceptables
Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy o si el origen no se encuentra en la lista de orgenes aceptables, el dispositivo de seguridad descarta el trfico. Si existe una directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de orgenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen est conectado y la interfaz saliente es la interfaz del host IGMP proxy. Luego, el dispositivo de seguridad enva los datos en sentido ascendente a la interfaz del host IGMP proxy, que enva los datos a todas sus interfaces de enrutador proxy conectadas, salvo a la interfaz conectada con el origen. La Figura 27 muestra un ejemplo del proxy de remitente de IGMP.
Figura 27: Proxy de remitente de IGMP
La interfaz del IGMP proxy de ethernet enva trfico multicast a todas las interfaces de enrutador proxy
Receptores
Internet ethernet2
ethernet1
Receptores trfico multicast
Tabla de rutas multicast iff = ethernet2 oif = ethernet3
Origen
Proxy de IGMP
185
En la Figura 28, el origen est conectado a la interfaz ethernet2, enlazada a la zona DMZ en NS2. Est enviando trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. Tambin hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2: 1. Asignar direcciones IP a las interfaces fsicas enlazadas a las zonas de seguridad. 2. Crear los objetos de direcciones. 3. En ethernet1 y ethernet2: a. b. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy. Especifique la palabra clave always (siempre) para permitir que las interfaces reenven trfico multicast incluso aunque no sean consultadores.
4. Habilitar IGMP en modo host en ethernet3. 5. Configurar la ruta predeterminada. 6. Configurar las directivas de cortafuegos entre las zonas. 7. Configurar las directivas multicast entre las zonas.
NOTA:
Este ejemplo slo contiene la configuracin de NS2, no la de NS1.
Figura 28: Ejemplo de red de proxy de remitente de IGMP
ethernet1 10.2.2.1/24 Zona Trust Receptores NS1
ethernet1 1.1.1.1/24 Zona Untrust
ethernet3 2.2.2.2/24 Host del proxy IGMP de la zona Untrust NS2 Internet
ethernet1, 10.2.2.1 Proxy del enrutador IGMP de zona Trust
Receptores
Nota: Las zonas de seguridad no se muestran en esta ilustracin.
Origen 3.2.2.5
ethernet2, 3.2.2.1/24 Zona DMZ, proxy del enrutador de IGMP
186
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.2.2.1/24
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2. Direcciones
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 3.2.2.5/32 Zone: DMZ
Address Name: proxy-host IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.2/32 Zone: Untrust
Proxy de IGMP
187
3.
IGMP
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
5. Directiva
Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
188
Proxy de IGMP
Source Address: Address Book Entry: (seleccione), proxy-host Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 3.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address dmz source-dr 3.2.2.5/32 set address untrust proxy-host 2.2.2.2/32
3. IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp proxy always set interface ethernet2 protocol igmp enable set interface ethernet3 protocol igmp host set interface ethernet3 protocol igmp no-check-subnet set interface ethernet3 protocol igmp enable
Proxy de IGMP
189
4.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250

5. Directivas
set policy from dmz to trust source-dr mgroup1 any permit set policy from dmz to untrust source-dr mgroup1 any permit set policy from untrust to trust proxy-host mgroup1 any permit
6. Directivas multicast
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust igmp-message bi-directional set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message bi-directional set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
190
Proxy de IGMP
Captulo 9
Multicast independiente de protocolo

En este captulo se describe el pulticast independiente de protocolo (PIM) en los dispositivos de seguridad de Juniper Networks. Contiene las siguientes secciones:

PIM-SM en la pgina 193 rboles de distribucin multicast en la pgina 194 Enrutador designado en la pgina 194 Asignacin de puntos de encuentro a grupos en la pgina 195 Reenvo de trfico a travs del rbol de distribucin en la pgina 195
Configuracin de PIM-SM en dispositivos de seguridad en la pgina 198

Habilitacin y eliminacin de una instancia PIM-SM en un VR en la pgina 199 Habilitacin e inhabilitacin de PIM-SM en interfaces en la pgina 200 Directivas de grupo multicast en la pgina 200

Ajuste de una configuracin de PIM-SM bsica en la pgina 202 Verificacin de la configuracin en la pgina 207 Configuracin de puntos de encuentro en la pgina 209

Configuracin de un punto de encuentro esttico en la pgina 209 Configuracin de un punto de encuentro candidato en la pgina 210
Consideraciones sobre seguridad en la pgina 211

Restriccin de grupos multicast en la pgina 211 Restriccin de orgenes multicast en la pgina 212 Restriccin de puntos de encuentro en la pgina 213
191
Parmetros de la interfaz PIM-SM en la pgina 214

Definicin de una directiva vecina en la pgina 214 Definicin de un lmite bootstrap en la pgina 215

Configuracin de un punto de encuentro del proxy en la pgina 215 PIM-SM e IGMPv3 en la pgina 225
Vista general
El Multicast independiente de protocolo (PIM) es un protocolo de enrutamiento multicast que se ejecuta entre enrutadores. Mientras que el protocolo de administracin de grupos de Internet (IGMP) se ejecuta entre equipos y enrutadores para intercambiar informacin de miembros del grupo multicast, PIM se ejecuta entre enrutadores para reenviar el trfico multicast a los miembros del grupo multicast de toda la red. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165.)
Figura 29: IGMP
Origen
Internet
Los protocolos de enrutamiento multicast, tales como PIM-SM, completan la tabla de rutas multicast y redireccionan los datos a los hosts de toda la red.
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
192
Vista general
Captulo 9: Multicast independiente de protocolo
Para ejecutar PIM, tambin debe configurar rutas estticas o un protocolo de enrutamiento dinmico. PIM se denomina protocolo independiente porque utiliza la tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus comprobaciones RPF (reenvo por rutas inversas), pero no depende de la funcionalidad del protocolo de enrutamiento unicast. (Para obtener informacin sobre RPF, consulte Reenvo por rutas inversas en la pgina 158). PIM puede funcionar de los modos siguientes:
El modo PIM-Dense (PIM-DM) enva grandes cantidades de trfico multicast a travs de la red y luego corta las rutas a hacia los receptores que no desean recibir trfico multicast. El modo PIM-Sparse (PIM-SM) reenva el trfico multicast solamente a los receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden utilizar el rbol de ruta compartida o el rbol de ruta ms corta (SPT) para reenviar la informacin multicast. (Para obtener ms informacin, consulte rboles de distribucin multicast en la pgina 194). El modo multicast especfico del origen PIM (PIM-SSM) est derivado del PIM-SM. Igual que PIM-SM, reenva trfico multicast slo a los receptores interesados. A diferencia de PIM-SM, forma inmediatamente un SPT al origen. Los dispositivos de seguridad de Juniper Networks admiten PIM-SM, segn la definicin draft-ietf-pim-sm-v2-new-06, as como PIM-SSM segn la definicin RFC 3569, Vista general de Multicast especfico de origen (SSM). Para obtener informacin sobre PIM-SM, consulte PIM-SM. Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 197.
PIM-SM
PIM-SM es un protocolo de enrutamiento multicast que reenva trfico multicast slo a los receptores interesados. Puede utilizar un rbol de distribucin compartido o el rbol de ruta ms corta (SPT) para reenviar trfico multicast a travs de la red. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 194). De forma predeterminada, PIM-SM utiliza el rbol de distribucin compartido con un punto de encuentro (RP) en la raz del rbol. Todos los orgenes de un grupo envan sus paquetes al RP, y el RP enva datos en direccin descendente por el rbol de distribucin compartido a todos los receptores de la red. Cuando se alcanza un umbral configurado, los receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los receptores recibir los datos multicast.
NOTA:
De forma predeterminada, los dispositivos de seguridad de Juniper Networks conmutan al SPT en el momento de recibir el primer byte. Con independencia del rbol utilizado para distribuir el trfico, slo los receptores que explcitamente se unan a un grupo multicast pueden recibir el trfico enviado a ese grupo. PIM-SM utiliza la tabla de enrutamiento unicast para realizar sus operaciones de reenvo por rutas inversas (RPF) al recibir mensajes de control multicast y utiliza la tabla de enrutamiento multicast para enviar trfico de datos multicast a los receptores.
Vista general
193
rboles de distribucin multicast

Los enrutadores multicast reenvan el trfico multicast en sentido descendente desde el origen a los receptores a travs de un rbol de distribucin multicast. Hay dos tipos de rboles de distribucin multicast:
El rbol de la ruta ms corta (SPT): El origen se encuentra en la raz del rbol y reenva los datos multicast en sentido descendente a cada receptor. Denominada tambin rbol especfico del origen. rbol de distribucin compartido: El origen transmite el trfico multicast al punto de encuentro (RP), que tpicamente es un enrutador en el ncleo de la red. A continuacin, el RP reenva el trfico en sentido descendente a los receptores del rbol de distribucin.
Figura 30: PIM

rbol de la ruta ms corta rbol de distribucin compartido rbol de distribucin compartido rbol de la ruta ms corta 1. El origen enva trfico multicast en sentido descendente a los receptores. 2. El origen enva trfico multicast en sentido descendente hacia el punto de encuentro (RP). 3. El RP reenva el trfico multicast en sentido descendente a los receptores.
RP
Receptores
Receptores
Enrutador designado
Cuando en una red de rea local (LAN) multiacceso hay varios enrutadores multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del origen es responsable de enviar los paquetes multicast desde el origen al RP y a los receptores que estn en el rbol de distribucin especfico del origen. El DR en la LAN de los receptores es responsable de reenviar mensajes join-prune desde los receptores al RP, y de enviar el trfico de datos multicast a los receptores de la LAN. Los receptores envan mensajes join-prune cuando desean unirse a un grupo multicast o salir de l. El DR se selecciona a travs de un proceso de seleccin. Cada enrutador PIM-SM de una LAN tiene una prioridad DR que el usuario configura. Los enrutadores de PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (hello) que envan peridicamente a sus vecinos. Cuando los enrutadores reciben los mensajes de saludo, seleccionan el enrutador con la prioridad DR ms alta como DR para la LAN. Si varios enrutadores coinciden en tener la prioridad DR ms alta, el enrutador con la direccin IP ms alta se convertir en el DR de la LAN.
194
Vista general
Asignacin de puntos de encuentro a grupos

Un punto de encuentro (RP) enva paquetes multicast para grupos multicast determinados. Un dominio PIM-SM es un grupo de enrutadores PIM-SM con las mismas asignaciones de grupo RP. Hay dos maneras de asignar grupos multicast a un RP: estticamente y dinmicamente. Asignacin de RP esttica Para crear una asignacin esttica entre un RP y un grupo multicast, debe configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que cambie la direccin del RP, deber volver a configurar la direccin del RP. Asignacin de RP dinmica PIM-SM tambin proporciona un mecanismo de asignacin dinmica de RP a grupos multicast. En primer lugar, configure los puntos de encuentro de candidatos (C-RP) para cada grupo multicast. A continuacin, los C-RP envan anuncios Candidate-RP a un enrutador de la LAN, denominado enrutador bootstrap (BSR). Los anuncios contienen el grupo multicast para el cual el enrutador acta como RP y la prioridad del C-RP. El BSR recoge estos anuncios C-RP y los emite en un mensaje BSR a todos los enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un algoritmo hash bien conocido para seleccionar un RP activo por cada grupo multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignacin de grupo RP entre los RP candidatos. Para obtener informacin sobre el proceso de seleccin de BSR, consulte draft-ietf-pim-sm-bsr-03.txt.
Reenvo de trfico a travs del rbol de distribucin

Esta seccin describe la manera en la cual los enrutadores PIM-SM envan mensajes join al punto de encuentro (RP) de un grupo multicast y la manera en la cual el RP enva datos multicast a los receptores de la red. En un entorno de red multicast, un dispositivo de seguridad puede funcionar como RP, como enrutador designado en la red del origen o en la red de los receptores, o como enrutador intermedio. El origen enva datos a un grupo Cuando un origen comienza a enviar paquetes multicast, transmite esos paquetes a travs de la red. Cuando el enrutador designado (DR) en esa red de rea local (LAN) recibe los paquetes multicast, consulta la interfaz saliente y la direccin IP del salto siguiente hacia el RP en la tabla de rutas unicast. A continuacin, el DR encapsula los paquetes multicast en paquetes unicast, denominados mensajes REGISTER y los reenva a la direccin IP del siguiente salto. Cuando el RP recibe los mensajes REGISTER, desencapsula los paquetes y enva los paquetes multicast en sentido descendente por el rbol de distribucin hacia los receptores.
Vista general
195
Figura 31: Envo de datos desde el origen

1.El origen enva los paquetes multicast en sentido descendente. Origen
2. El DR encapsula los paquetes y enva mensajes REGISTER al RP.
Punto de encuentro (RP)
Enrutador designado (DR) 3. El RP desencapsula los mensajes REGISTER y enva paquetes multicast a los receptores.
Receptores
Receptores
Si la velocidad de transmisin de los datos del DR de origen alcanza un umbral configurado, el RP enva un mensaje PIM-SM join hacia el DR de origen, de modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes REGISTER. Cuando el DR de origen recibe el mensaje join, enva los paquetes multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes multicast del DR, enva al DR un mensaje register-stop. Cuando el DR recibe el mensaje register-stop, deja de enviar los mensajes REGISTER y enva los datos multicast nativos, que el RP enva en sentido descendente a los receptores. El host se une a un grupo Cuando un host se une a un grupo multicast, enva un mensaje IGMP join a ese grupo multicast. Cuando el DR de la LAN del host recibe el mensaje IGMP join, consulta el grupo en el RP. Crea una entrada (*, G) en la tabla de rutas multicast y enva un mensaje PIM-SM join a su RPF vecino en sentido ascendente hacia el RP. Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM join, realiza el mismo proceso de consulta RP y tambin comprueba si el mensaje join viene de un RPF vecino. Si es as, remite el mensaje PIM-SM join hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM join alcanza el RP. Cuando el RP recibe el mensaje join, enva los datos multicast en sentido descendente hacia el receptor.
196
Vista general
Figura 32: El host se une a un grupo

Origen
Enrutador designado (DR)
2. DR enva mensajes IGMPjoin al RP.
Punto de encuentro RP 1. Los hosts envan mensajes join de IGMP para el grupo multicast. Hosts/Receptores
3. RP enva datos multicast en sentido descendente a los receptores.
Hosts/Receptores
Cada enrutador en sentido descendente realiza una comprobacin del RPF cuando recibe los datos multicast. Cada enrutador comprueba si recibi los paquetes multicast de la interfaz que utiliza para enviar trfico de datos hacia el RP. Si la comprobacin del RPF es correcta, el enrutador busca una entrada de reenvo (*, G) coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el origen en la entrada, que se convierte en una entrada (S, G) y reenva los paquetes multicast en sentido descendente. Este proceso contina en sentido descendente a lo largo del rbol de distribucin hasta que el host recibe los datos multicast. Cuando la velocidad de transmisin de datos alcanza un umbral configurado, el DR de la LAN del host puede formar el rbol de ruta ms corta directamente al origen multicast. Cuando el DR comienza a recibir trfico de datos directamente del origen, enva un mensaje prune especfico del origen en sentido ascendente hacia el RP. Cada enrutador intermedio corta del rbol de distribucin la conexin con el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de enviar trfico de datos multicast en sentido descendente hacia esa rama en particular del rbol de distribucin.
PIM-SSM
Adems de PIM-SM, los dispositivos de seguridad tambin admiten multicast especfico de origen PIM (SSM). PIM-SSM sigue el modelo de origen especfico (SSM) donde el trfico multicast se transmite a los canales, no slo a los grupos multicast. Un canal consiste en un origen y un grupo multicast. Un receptor se suscribe a un canal con un origen conocido y un grupo multicast. Los receptores proporcionan informacin sobre el origen a travs de IGMPv3. El enrutador designado en la LAN enva mensajes al origen y no a un punto de encuentro (RP).
Vista general
197
El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones PIM-SSM estn garantizadas dentro de este rango de direcciones. El dispositivo de seguridad manipula los informes de miembros IGMPv3 para los grupos multicast dentro del rango de direcciones 232/8 tal y como se muestra a continuacin:
Si el informe contiene un modo de filtro include, el dispositivo enva el informe directamente a los orgenes de la lista de origen. Si el informe contiene un modo de filtro exclude, el dispositivo descarta el informe. No procesa informes (*, G) para los grupos multicast del rango de direcciones 232/8.
Los pasos para configurar PIM-SSM en un dispositivo de seguridad son iguales a los necesarios para configurar PIM-SM pero con las siguientes diferencias:
Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2 est habilitado de forma predeterminada en los dispositivos de seguridad). Cuando configure una directiva de grupo multicast, autorice los mensajes join-prune. (Los mensajes bootstrap no se utilizan). No configure un punto de encuentro.
Las siguientes secciones explican la manera de configuracin de PIM-SM en dispositivos de seguridad.
Configuracin de PIM-SM en dispositivos de seguridad

Los dispositivos de seguridad de Juniper Networks tienen dos enrutadores virtuales predefinidos (VR): trust-vr y untrust-vr. Cada enrutador virtual es un componente de enrutamiento independiente con sus propias tablas de rutas. El multicast independiente de protocolo Modo Sparse (PIM-SM) utiliza la tabla de rutas del enrutador virtual en el cual est configurado para consultar la interfaz de reenvo por rutas inversas (PIM-SM) y la direccin IP siguiente. Por lo tanto, para ejecutar PIM-SM en un dispositivo de seguridad, primero debe configurar rutas estticas o un protocolo de enrutamiento dinmico en un enrutador virtual, y luego tiene que configurar el PIM-SM en el mismo enrutador virtual. (Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutamiento en la pgina 13.) Los dispositivos de seguridad admiten los siguientes protocolos de enrutamiento dinmico:
Abrir primero la ruta ms corta (OSPF). Para obtener ms informacin, consulte Abrir primero la ruta ms corta en la pgina 47. Protocolo de informacin de enrutamiento (RIP). Para obtener ms informacin, consulte Protocolo de informacin de enrutamiento en la pgina 79. Protocolo de puerta de enlace de lmite (BGP). Para obtener ms informacin, consulte Protocolo de puertas de enlace de lmite en la pgina 109.
198
Las siguientes secciones describen los pasos bsicos para la configuracin de PIM-SM en un dispositivo de seguridad.

Creacin y habilitacin de una instancia PIM-SM en un VR Habilitacin de PIM-SM en las interfaces Configuracin de una directiva multicast para permitir que los mensajes PIM-SM pasen por el dispositivo de seguridad
Habilitacin y eliminacin de una instancia PIM-SM en un VR

Puede configurar una instancia PIM-SM para cada enrutador virtual. PIM-SM utiliza la tabla de rutas unicast del enrutador virtual para realizar su comprobacin del RPF. Despus de crear y habilitar una instancia de enrutamiento PIM-SM en un enrutador virtual, puede habilitar el PIM-SM en las interfaces del enrutador virtual.
Habilitacin de una instancia PIM-SM

En este ejemplo, crear y habilitar una instancia PIM-SM para el enrutador virtual trust-vr. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Create PIM Instance: Seleccione Protocol PIM: Enable, luego haga clic en Apply. CLI
device-> set vrouter trust-vr device(trust-vr)-> set protocol pim device(trust.vr/pim)-> set enable device(trust.vr/pim)-> exit device(trust-vr)-> exit save
Eliminacin de una instancia PIM-SM

En este ejemplo eliminar la instancia PIM-SM del enrutador virtual trust-vr. Cuando elimine la instancia PIM-SM de un enrutador virtual, el dispositivo de seguridad inhabilita el PIM-SM en las interfaces y borra todos los parmetros de la interfaz PIM-SM. WebUI Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance, luego haga clic en OK en el mensaje de confirmacin. CLI
unset vrouter trust-vr protocol pim deleting PIM instance, are you sure? y/[n] y save
Configuracin de PIM-SM en dispositivos de seguridad 199
Habilitacin e inhabilitacin de PIM-SM en interfaces

De forma predeterminada, PIM-SM est desactivado en todas las interfaces. Despus de crear y habilitar el PIM-SM en un enrutador virtual, debe habilitar PIM-SM en las interfaces de ese enrutador virtual que transmiten trfico de datos multicast. Si una interfaz est conectada con un receptor, tambin debe configurar IGMP en modo enrutador en esa interfaz. (Para obtener informacin sobre IGMP, consulte Protocolo de administracin de grupos de Internet en la pgina 165.) Cuando habilita PIM-SM en una interfaz que est asociada a una zona, PIM-SM se habilita automticamente en la zona a la que pertenece dicha interfaz. A continuacin, puede configurar los parmetros PIM-SM para dicha zona. De forma similar, cuando se desactivan los parmetros PIM-SM de interfaces en una zona, todos los parmetros PIM-SM relacionados con dicha zona se eliminan automticamente.
Habilitacin de PIM-SM en una interfaz

En este ejemplo habilitar PIM-SM en la interfaz ethernet1. WebUI Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
CLI
set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable save
Desactivacin de PIM-SM en una interfaz

En este ejemplo deshabilitar PIM-SM en la interfaz ethernet1. Recuerde que cualquier otra interfaz en la que haya habilitado PIM-SM todava sigue transmitiendo y procesando los paquetes PIM-SM. WebUI Network > Interfaces > Edit (para ethernet1) > PIM: Desactive Protocol PIM Enable, luego haga clic en Apply. CLI
unset interface ethernet1 protocol pim enable save
Directivas de grupo multicast

De forma predeterminada, los dispositivos de seguridad no permiten que los mensajes de trfico de control multicast, como por ejemplo mensajes PIM-SM, pasen de una zona a otra. Debe configurar una directiva de grupo multicast para permitir que los mensajes PIM-SM pasen de una zona a otra. Las directivas de grupo multicast controlan dos tipos de mensajes PIM-SM: los mensajes static-RP-BSR y los mensajes join-prune.
200
Mensajes Static-RP-BSR
Los mensajes Static-RP-BSR contienen informacin sobre los puntos de encuentro estticos (RP) y las asignaciones de grupo RP dinmicas. La configuracin de una directiva multicast que permita asignaciones estticas de RP y mensajes bootstrap (BSR) de una zona a otra, habilita el dispositivo de seguridad para que comparta las asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre dos enrutadores virtuales. Los enrutadores son capaces de memorizar las asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los RP en todas las zonas. Cuando el dispositivo de seguridad recibe un mensaje BSR, comprueba que venga de su vecino de reenvo por rutas inversas (RPF). A continuacin comprueba si hay directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que no estn autorizados en la directiva multicast y enva el mensaje BSR a los grupos permitidos en todas las zonas de destino que estn autorizadas por la directiva.
Mensajes Join-Prune
Las directivas de grupo multicast tambin controlan los mensajes join-prune. Cuando el dispositivo de seguridad recibe un mensaje join-prune para un origen y grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF vecino y la interfaz de la tabla de enrutamiento unicast.
Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido descendente, la validacin de la directiva multicast no es necesaria. Si la interfaz RPF se encuentra en otra zona, el dispositivo de seguridad comprueba si hay una directiva multicast que permita mensajes join-prune para el grupo entre la zona de interfaz en sentido descendente y la zona de la interfaz RPF.
Si hay una directiva multicast que permite mensajes join-prune entre las dos zonas, el dispositivo de seguridad reenva el mensaje a la interfaz RPF. Si no hay directiva multicast que permita mensajes join-prune entre las dos zonas, se descarta el mensaje join-prune.
Definicin de una directiva de grupo multicast para PIM-SM

En este ejemplo, definir una directiva de grupo multicast bidireccional que permita todos los mensajes PIM-SM entre las zonas Trust y Untrust para el grupo 224.4.4.1. WebUI Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR-Static RP: (seleccione) Join/Prune: (seleccione)
Configuracin de PIM-SM en dispositivos de seguridad 201
CLI
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust pim-message bsr-static-rp join-prune bi-directional save
Ajuste de una configuracin de PIM-SM bsica

Un dispositivo de seguridad puede funcionar como un punto de encuentro (RP), como un enrutador designado de origen (DR), como un receptor DR y como un enrutador intermedio. No puede funcionar como un enrutador bootstrap. Puede configurar PIM-SM en un enrutador virtual (VR) o a travs de dos enrutadores virtuales. Realice los siguientes pasos para configurar PIM-SM en un enrutador virtual: 1. Configure las zonas y las interfaces. 2. Configure rutas estticas o un protocolo de enrutamiento dinmico, como por ejemplo el protocolo de informacin de enrutamiento (RIP), el protocolo de puerta de enlace de lmite (BGP) o abrir primero la ruta ms corta (OSPF), en un enrutador virtual especfico del dispositivo de seguridad. 3. Cree una directiva de cortafuegos para que el trfico de datos unicast y multicast pase de una zona a otra. 4. Cree y habilite una instancia de enrutamiento PIM-SM en el mismo enrutador virtual en el que haya configurado las rutas estticas o un protocolo del enrutamiento dinmico. 5. Habilite PIM-SM en interfaces que reenven el trfico en sentido ascendente hacia el origen o el RP, y en sentido descendente hacia los receptores. 6. Habilite IGMP en las interfaces conectadas a los hosts. 7. Configure una directiva multicast para permitir que los mensajes de PIM-SM pasen de una zona a otra. Cuando configure PIM-SM entre dos enrutadores virtuales, debe configurar el RP en la zona del enrutador virtual en la que se encuentre el RP. A continuacin, configure una directiva de grupo multicast que permita los mensajes join-prune y los mensajes BSR-static-RP entre las zonas en cada enrutador virtual. Tambin debe exportar las rutas unicast entre los dos enrutadores virtuales para asegurar la exactitud de la informacin de reenvo por rutas inversas (RPF). Para obtener informacin acerca de la exportacin de rutas, consulte Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 43.
NOTA:
Si un dispositivo de seguridad se configura con varios enrutadores virtuales, todos los enrutadores virtuales deben tener las mismas opciones PIM-SM.
202
Algunos dispositivos de seguridad de Juniper Networks admiten varios sistemas virtuales. (Para obtener informacin sobre los sistemas virtuales, consulte Volumen 10: Sistemas virtuales). La configuracin de PIM-SM en un sistema virtual es igual que la configuracin de PIM-SM en el sistema raz. Si va a configurar PIM-SM en dos enrutadores virtuales que se encuentran en sistemas virtuales diferentes, debe configurar un proxy RP. (Para obtener informacin sobre la configuracin de un proxy RP, consulte Configuracin de un punto de encuentro del proxy en la pgina 215.) En este ejemplo, configurar PIM-SM en un enrutador trust-vr. Desea que los hosts de la zona Trust reciban trfico de datos multicast para el grupo multicast 224.4.4.1/32. Configurar el RIP como el protocolo de enrutamiento unicast en el enrutador trust-vr y cree una directiva de cortafuegos para permitir el trfico de datos entre las zonas Trust y Untrust. Crear una instancia PIM-SM en el enrutador trust-vr y habilitar PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en ethernet3 en la zona Untrust. Todas las interfaces estn en modo de ruta. A continuacin, configurar IGMP en ethernet1 y ethernet2, que estn conectados con los receptores. Finalmente, crear una directiva multicast que permita los mensajes static-RP-BSR y join-prune entre las zonas.
203
Figura 33: Configuracin PIM-SM bsica

Zona Untrust Origen
Enrutador designado Enrutador bootstrap
Punto de encuentro
ethernet3 1.1.1.1/24
Receptores
ethernet1 10.1.1.1/24
Zona Trust
ethernet2 10.1.2.1/24
Receptores
WebUI
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en OK:

Interface Mode: NAT
204
2. Direcciones
Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 6.6.6.1/24 Zone: Untrust
3. IGMP
4. RIP
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: Seleccione Enable RIP y haga clic en OK. Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes datos, luego haga clic en Apply:
RIP Instance: (seleccione) Protocol RIP: Enable (seleccione)
205
5.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione los siguientes datos, luego haga clic en OK.
Protocol PIM: Enable (seleccione)
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
6. Directiva
Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static RP: (seleccione) Join/Prune: (seleccione)
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
206
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 6.6.6.1/24
3. IGMP
set set set set

4. RIP
interface ethernet1 protocol igmp router interface ethernet1 protocol igmp enable interface ethernet2 protocol igmp router interface ethernet2 protocol igmp enable
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface ethernet3 protocol rip enable
5. PIM-SM
set vrouter trust-vr protocol pim set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface ethernet2 protocol pim set interface ethernet2 protocol pim enable set interface ethernet3 protocol pim set interface ethernet3 protocol pim enable
6. Directiva
set policy from untrust to trust source-dr mgroup1 any permit

set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
Para verificar la configuracin de PIM-SM, ejecute el siguiente comando:
device-> get vrouter trust protocol pim PIM-SM enabled Number of interfaces : 1 SPT threshold : 1 Bps PIM-SM Pending Register Entries Count : 0 Multicast group accept policy list: 1 Virtual Router trust-vr - PIM RP policy -------------------------------------------------Group Address RP access-list Virtual Router trust-vr - PIM source policy -------------------------------------------------Group Address Source access-list
207
Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente:

device-> get igmp group total groups matched: 1 multicast group interface *224.4.4.1 trust
last reporter 0.0.0.0
expire ver ------ v2
device->get vrouter trust protocol pim mroute trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone: Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/(10.10.10.1/24, 238.1.1.1) Zone: Trust Upstream : ethernet1/1 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/01:54:20/State Expires Join 0.0.0.0 01:56:35/00:00:42 State Expires Join Flags: LF : Joined : FC Flags: TLF Register Prune
: Joined : 20.20.20.200 FC
236.1.1.1
En cada entrada de la ruta puede verificar lo siguiente:

El estado (S, G) o estado de reenvo (*, G) Si el estado de reenvo es (*, G), la direccin IP del RP; si el estado de reenvo es (S, G), la direccin IP de origen Zona que posee la ruta El estado de join y las interfaces entrantes y salientes Valores del temporizador

Para visualizar los puntos de encuentro en cada zona, ejecute el siguiente comando:
device-> get vrouter trust protocol pim rp Flags : I - Imported, A - Always(override BSR mapping) C - Static Config, P - Static Proxy ----------------------------------------------------------------------------Trust 238.1.1.1/32 RP: 10.10.10.10 192 Static C Registering : 0 Active Groups : 1 238.1.1.1 Untrust 236.1.1.1/32 RP: 20.20.20.10 192 Static P Registering : 0 Active Groups : 1 236.1.1.1
208
Para verificar que hay un vecino de reenvo por rutas inversas, ejecute el siguiente comando:
device-> get vrouter trust protocol pim rpf Flags : RP address - R, Source address - S Address RPF Interface RPF Neighbor Flags ------------------------------------------------------10.10.11.51 ethernet3 10.10.11.51 R 10.150.43.133 ethernet3 10.10.11.51 S
Para visualizar el estado de los mensajes join-prune que el dispositivo de seguridad enva a cada vecino de un enrutador virtual, ejecute el siguiente comando:
device-> get vrouter untrust protocol pim join Neighbor Interface J/P Group Source --------------------------------------------------------------------1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1 (S,G) J 224.11.1.1 60.60.0.1
Configuracin de puntos de encuentro

Puede configurar un punto de encuentro esttico (RP) si desea asociar un RP especfico a uno o ms grupos multicast. Puede configurar mltiples RP estticos con cada RP asignado a un grupo multicast diferente. Debe configurar un RP esttico cuando en la red no haya enrutador bootstrap. Aunque un dispositivo de seguridad puede recibir y procesar mensajes bootstrap, no realiza funciones de enrutador bootstrap. Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee asignar RP a grupos multicast de forma dinmica. Puede crear un C-RP para cada zona.
Configuracin de un punto de encuentro esttico

Cuando configure un RP esttico, debe especificar lo siguiente:

La zona del RP esttico La direccin IP del RP esttico Una lista de accesos que define los grupos multicast del RP esttico (para obtener ms informacin, consulte Listas de acceso en la pgina 161).
Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen el mismo RP, incluya la palabra clave always. Si no incluye esta palabra clave, y el dispositivo de seguridad descubre que hay otro RP asignado dinmicamente a los mismos grupos multicast, utilizar el RP dinmico. En este ejemplo, crear una lista de accesos para el grupo multicast 224.4.4.1, y a continuacin crear un RP esttico para dicho grupo. La direccin IP del RP esttico es 1.1.1.5/24. Especifique la palabra clave always para asegurarse de que el dispositivo de seguridad utilice siempre el mismo RP para eso.
209
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK:
Zone: Trust (seleccione) Address: 1.1.1.5 Access List: 2 Always: (seleccione)
CLI
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1 set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always save
Configuracin de un punto de encuentro candidato

Cuando configura un enrutador virtual como C-RP candidato, debe especificar lo siguiente:

La zona en la que se configura el C-RP La direccin IP de la interfaz que se notifica como C-RP Una lista de acceso que define los grupos multicast del C-RP La prioridad de C-RP notificada
En este ejemplo, habilitar PIM-SM en la interfaz ethernet1 que est asociada a la zona Trust. Crear una lista de acceso que defina los grupos multicast del C-RP. A continuacin crear un C-RP en la zona Trust del enrutador trust-vr. Establecer la prioridad del C-RP a 200. WebUI Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
210
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos, luego haga clic en OK.
Interface: ethernet1 (seleccione) Access List: 1 (seleccione) Priority: 200
CLI
set set set set set interface ethernet1 protocol pim interface ethernet1 protocol pim enable vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1 mgroup-list 1 priority 200 save
Consideraciones sobre seguridad

Al ejecutar PIM-SM, hay algunas opciones que se pueden configurar en un enrutador virtual (VR) para controlar el trfico hacia y desde el enrutador virtual. Los ajustes definidos en el enrutador virtual afectan a todas las interfaces PIM-SM habilitadas en el enrutador virtual. Cuando una interfaz recibe mensajes de trfico de control multicast (mensajes IGMP o PIM-SM) de otras zonas, el dispositivo de seguridad comprueba primero si hay una directiva multicast que permita dicho trfico. Si el dispositivo de seguridad encuentra una directiva multicast que permita el trfico, comprueba las opciones del enrutador virtual que se pudieran aplicar al trfico. Por ejemplo, si configura el enrutador virtual para aceptar mensajes join-prune desde grupos multicast especificados en una lista de acceso, el dispositivo de seguridad comprueba si dicho trfico es para un grupo multicast de la lista. Si es as, el dispositivo permite el trfico. En caso contrario, el dispositivo descarta el trfico.
Restriccin de grupos multicast

Puede restringir un VR para que slo reenve mensajes join-prune de PIM-SM de un conjunto de grupos multicast determinado. Indique los grupos multicast autorizados en una lista de accesos. Cuando utilice esta funcin, el VR descarta los mensajes join-prune que son para los grupos que no estn en la lista de acceso. En este ejemplo, crear una lista de acceso con en nmero de identificacin 1 que autoriza a los siguientes grupos: 224.2.2.1/32 y 224.3.3.1/32. A continuacin, configure el enrutador trust-vr para aceptar mensajes join-prune de los grupos multicast que se encuentran en la lista de acceso.
211
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance: Seleccione los siguientes datos y haga clic en Apply:
Access Group: 1 (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 set vrouter trust-vr protocol pim accept-group 1 save
Restriccin de orgenes multicast

Puede controlar los orgenes desde los que un grupo multicast recibe datos. Identifique los orgenes permitidos en una lista de acceso, y seguidamente vincule la lista de acceso a los grupos multicast. Esto evita que orgenes no autorizados enven datos a su red. Si utiliza esta funcin, el dispositivo de seguridad descarta datos multicast de los orgenes que no se encuentran en la lista. Si el enrutador virtual es el punto de encuentro de la zona, comprobar la lista de acceso antes de aceptar un mensaje REGISTER de un origen. El dispositivo de seguridad descarta los mensajes REGISTER que no provienen de un origen autorizado. En este ejemplo, primero crear una lista de acceso con el nmero de identificacin 5, que especifica el origen autorizado 1.1.1.1/32. A continuacin configurar el enrutador trust-vr para que acepte datos multicast para el grupo multicast 224.4.4.1/32 desde el origen especificado en la lista de acceso. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32 Accept Source: 5 (seleccione) 212
CLI
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5 save
Restriccin de puntos de encuentro

Puede controlar qu puntos de encuentro (RP) estn asignados a un grupo multicast. Identifique los RP autorizados en una lista de acceso, a continuacin vincule la lista de acceso a los grupos multicast. Cuando el enrutador virtual (VR) recibe un mensaje bootstrap para un determinado grupo, comprueba la lista de RP autorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona ningn RP para el grupo multicast. En este ejemplo, crear una lista de accesos con el nmero de identificacin 6, que especifica el RP autorizado, 2.1.1.1/32. A continuacin, configurar el enrutador trust-vr para que acepte el RP de la lista de acceso para el grupo multicast 224.4.4.1/32. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32 Accept RP: 6 (seleccione)
CLI
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6 save
213
Parmetros de la interfaz PIM-SM

Puede cambiar determinados elementos predeterminados de cada interfaz en la que habilite PIM-SM. Cuando ajuste los parmetros en este nivel, nicamente afectar a la interfaz que usted especifique. La Tabla 19 describe los parmetros de la interfaz PIM-SM y sus valores predeterminados:
Tabla 19: Parmetros PIM-SIM Parmetros de la interfaz PIM-SIM
Neighbor policy
Descripcin
Controla adyacencias vecinas. Para Desactivado obtener informacin adicional, consulte Definicin de una directiva vecina en la pgina 214. Especifica el intervalo en el que la interfaz 30 segundos enva mensajes de saludo a sus enrutadores vecinos. Especifica la prioridad de la interfaz para la eleccin del enrutador designado. 1
Hello interval
Designates router priority Join-Prune interval Bootstrap border
Especifica el intervalo, en segundos, en el 60 segundos que la interfaz enva mensajes join-prune. Especifica que la interfaz es un lmite bootstrap. Para obtener informacin adicional, consulte Definicin de un lmite bootstrap en la pgina 215. Desactivado
Definicin de una directiva vecina

Puede controlar los elementos vecinos con los que una interfaz puede formar una adyacencia. Los enrutadores PIM-SM envan peridicamente mensajes de saludo para anunciarse como enrutadores PIM-SM. Si utiliza esta funcin, la interfaz comprueba su lista de vecinos autorizados o rechazados y forma adyacencias con aquellos que estn autorizados. En este ejemplo, se crear una lista de acceso que especifique lo siguiente:

El nmero de identificacin es 1. La primera instruccin permite 2.1.1.1/24. La segunda instruccin permite 2.1.1.3/24.
A continuacin, especificar que ethernet 1 puede formar una adyacencia con los vecinos de la lista de acceso.
214
Parmetros de la interfaz PIM-SM
Accepted Neighbors: 1
CLI
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1 set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2 set interface ethernet1 protocol pim neighbor-policy 1 save
Definicin de un lmite bootstrap

Una interfaz que es un lmite bootstrap (BSR) recibe y procesa mensajes BSR, pero no los reenva a otras interfaces aunque tengan una directiva de grupo multicast que autorice mensajes BSR de una zona a otra. As se asegura que las asignaciones RP-a-grupo permanezcan siempre dentro de una zona. En este ejemplo, configurar ethernet1 como lmite bootstrap. WebUI Network > Interfaces > Edit (para ethernet1) > PIM: Seleccione Bootstrap Border, luego haga clic en Apply. CLI
set interface ethernet1 protocol pim boot-strap-border save
Configuracin de un punto de encuentro del proxy

Un dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas asignaciones de punto de encuentro (RP) a grupo. En un dominio PIM-SM con asignaciones RP-grupo dinmicas, los enrutadores PIM-SM de un dominio escuchan los mensajes del mismo enrutador bootstrap (BSR) para seleccionar sus asignaciones RP-grupo. En un dominio PIM-SM con asignaciones RP-grupo estticas, debe configurar el RP esttico en cada enrutador en el dominio. (Para obtener informacin sobre asignaciones RP-grupo, consulte Configuracin de puntos de encuentro en la pgina 209.)
215
En los dispositivos de seguridad de Juniper Networks, las interfaces asociadas a zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada zona se debe encontrar en un dominio PIM-SM diferente. Por ejemplo, si las interfaces de la zona Trust estn en modo NAT y las interfaces de la zona Untrust estn en modo de ruta, cada zona se debe encontrar en un dominio PIM-SM diferente. Adems, al configurar PIM-SM a travs de dos enrutadores virtuales que se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe estar en un dominio PIM-SM independiente. Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un RP proxy. Un RP proxy acta como un RP para grupos multicast memorizado de otro dominio PIM-SM, ya sea a travs de un RP esttico o a travs de mensajes bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su dominio, funciona como la raz del rbol de distribucin compartido y puede formar el rbol de ruta ms corta al origen. Puede configurar un RP proxy por cada zona en un enrutador virtual. Para configurar un RP proxy en una zona, debe configurar un RP candidato (C-RP) en dicha zona. A continuacin, el dispositivo de seguridad notifica la direccin IP del C-RP como la direccin IP del RP proxy. Cuando configure el C-RP, no especifique cualquier grupo multicast en la lista de grupo multicast. Esto permite que el C-RP acte como el RP proxy de cualquier grupo importado de otra zona. Si especifica grupos multicast, el C-RP funciona como el RP verdadero para los grupos especificados en la lista. Si hay un BSR en la zona, el RP proxy se notifica a s mismo como el RP para los grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy, ste funciona como el RP esttico para los grupos multicast importados de otras zonas. A continuacin debe configurar la direccin IP del C-RP como el RP esttico en todos los dems enrutadores de la zona. El RP proxy admite el uso de IP asignadas (MIP) para la traduccin de la direccin de origen. Una MIP es una asignacin directa (1:1) de una direccin IP a otra. Puede configurar una MIP cuando desee que el dispositivo de seguridad traduzca a otra direccin una direccin privada de una zona cuyas interfaces estn en modo NAT. Cuando un host de la MIP en la zona de un proxy RP enva un mensaje REGISTER, el dispositivo de seguridad traduce el origen IP a direccin MIP y enva un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo de seguridad recibe el mensaje join-prune para una direccin MIP, el dispositivo asigna la MIP a la direccin origen inicial y la enva al origen. El RP proxy tambin admite la traduccin de direcciones de grupos multicast entre las zonas. Puede configurar una directiva multicast que especifique la direccin original del grupo multicast y la direccin del grupo multicast traducida. Cuando el dispositivo de seguridad recibe un mensaje join-prune en una interfaz de la zona del RP proxy, traduce el grupo multicast, si es necesario, y enva el mensaje join al RP verdadero.
216
Considere el siguiente caso:

ethernet1 en la zona Trust est en modo NAT, y ethernet3 en la zona Untrust est en modo de ruta. Hay una MIP para el origen en la zona Trust. El origen en la zona Trust enva trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores tanto en la zona Trust como en la zona Untrust. Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las zonas Trust y Untrust. La zona Trust se configura como el RP proxy. El RP y el BSR estn en la zona Untrust.

Figura 34: Ejemplo de punto de encuentro del proxy

ethernet1, modo NAT Zona Trust ethernet3, modo de rutas
Zona Untrust Punto de encuentro (RP)
Origen
Enrutador bootstrap (BSR)
Receptores
Receptores
A continuacin se indica el flujo de datos: 1. El origen enva datos al grupo multicast 224.4.4.1/32. 2. El enrutador designado (DR) encapsula los datos y enva mensajes REGISTER hacia el RP. 3. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a direccin IP del origen inicial a la direccin IP de la MIP. A continuacin reenva el mensaje hacia el RP para el grupo multicast. 4. El proxy RP enva entradas (*, G) al RP verdadero. 5. Los receptores de la zona Trust envan mensajes join al RP proxy. 6. El RP proxy enva los paquetes multicast a los receptores de la zona Trust.
217
Para configurar un RP proxy, debe hacer lo siguiente: 1. Cree una instancia PIM-SM en un enrutador virtual especfico. 2. Habilite PIM-SM en las interfaces apropiadas. 3. Configure el RP candidato en la zona del proxy RP. 4. Configure el RP proxy. En este ejemplo, los dispositivos de seguridad NS1 y NS2 estn conectados a travs de un tnel VPN. Ambos dispositivos ejecutan el protocolo de enrutamiento dinmico, BGP. Configure PIM-SM en ethernet1 y tunnel.1 en NS1 y en NS2. A continuacin, en NS2, configure ethernet1 como RP esttico, y cree un RP proxy en la zona Trust del enrutador trust-vr.
Figura 35: Ejemplo de configuracin del RP proxy
Elementos relacionados con NS2 Zona Untrust Zona Trust
Interfaz de tnel, tunnel.1 Origen ethernet3 4.1.1.1/24 VPN NS1 Enrutador bootstrap Punto de encuentro actual Receptore ethernet1 10.2.2.1/24 ethernet3 2.2.2.2/24 Interfaz de tnel, tunnel.1
ethernet1 10.4.1.1/24 NS2 Punto de encuentro del proxy
Receptores
Zona Trust Elementos relacionados con NS1
Zona Untrust
WebUI (NS1)
1. Interfaces
218
2. Direcciones
Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.4.1.0/24 Zone: Untrust
3. PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione Protocol PIM: Enable, luego haga clic en OK. Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
4. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK.
Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 4.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
219
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway:
5. BGP
Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance.
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 4.1.1.1 Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de agregar): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, luego haga clic en Add. A continuacin, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en Add de nuevo. Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes datos, luego haga clic en Apply:
Protocol BGP: Enable (seleccione)
6. Directiva
Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
220
7.
Directiva multicast
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
WebUI (NS2)
1. Interfaces
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.4.1.1/24 Seleccione NAT y luego haga clic en Apply.
> IGMP: Introduzca los siguientes datos, luego haga clic en Apply:
IGMP Mode: Router Protocol IGMP: Enable (seleccione)
2. Direcciones
Address Name: corp IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: Untrust
221
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: Seleccione Protocol PIM: Enable, luego haga clic en OK. Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos, luego haga clic en Apply:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK:
Zone: Trust (seleccione) Address:10.4.1.1/24
4. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway:
5. BGP
Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance.
222
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000 Remote IP: 2.2.2.2 Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de agregar): Seleccione Peer Enabled y luego haga clic en OK. Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: En el campo IP/Netmask, introduzca 4.1.1.0/24 y luego haga clic en Add. En el campo IP/Netmask, introduzca 10.4.1.0/24, luego haga clic en Add. Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol BGP: Enable, luego haga clic en Apply.
6. Directiva
Source Address: Address Book Entry: (seleccione), corp Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
CLI (NS1)
1. Interfaces
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust branch 10.4.1.0/24
223
3.
PIM-SM
set vrouter trust-vr set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface tunnel.1 protocol pim set interface tunnel.1 protocol pim enable
4. Tnel VPN
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To-Branch3 sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24
5. BGP
set vrouter trust-vr router-id 10 set vrouter trust-vr protocol bgp 6500 set vrouter trust-vr protocol bgp enable set vrouter trust-vr protocol bgp neighbor 4.1.1.1 set vrouter trust-vr protocol bgp network 2.2.2.0/24 set vrouter trust-vr protocol bgp network 10.2.2.0/24 set interface ethernet3 protocol bgp enable set interface ethernet3 protocol bgp neighbor 4.1.1.1
6. Directiva
set policy name To-Branch from untrust to trust branch any any permit
CLI (NS2)
1. Interfaces
set interface ethernet 1 zone trust set interface ethernet 1 ip 10.4.1.1/24 set interface ethernet 1 protocol igmp router set interface ethernet 1 protocol igmp enable set interface ethernet 3 zone untrust set interface ethernet 3 ip 4.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust corp 2.2.2.0/24
3. PIM-SM
set vrouter trust protocol pim set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface tunnel.1 protocol pim set interface tunnel.1 protocol pim enable set vrouter trust protocol pim zone trust rp proxy set vrouter trust protocol pim zone trust rp candidate interface ethernet1 set vrouter trust protocol pim enable
224
4.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24
5. BGP
set vrouter trust-vr router-id 10 set vrouter trust-vr protocol bgp 6500 set vrouter trust-vr protocol bgp enable set vrouter trust-vr protocol bgp neighbor 2.2.2.2 set vrouter trust-vr protocol bgp network 4.1.1.0/24 set vrouter trust-vr protocol bgp network 10.4.1.0/24 set interface ethernet3 protocol bgp neighbor 2.2.2.2
6. Directiva
set policy name To-Corp from untrust to trust corp any any permit
PIM-SM e IGMPv3
Los dispositivos NetScreen admiten las versiones 1, 2 y 3 del protocolo de administracin de grupos de Internet (IGMP). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts que reciben los datos para un grupo multicast pueden recibir datos desde cualquier origen que enve datos al grupo multicast. Los informes de miembros de IGMP v1 y v2 slo indican a qu grupos multicast desean unirse los hosts. No contienen informacin sobre los orgenes del trfico de datos multicast. Cuando PIM-SM recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas multicast, permitiendo que cualquier origen realice envos al grupo multicast. A esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a un grupo multicast sin conocer el origen que enva datos al grupo. La red cuenta con la informacin sobre el origen. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. El informe de miembro IGMPv3 contiene la direccin del grupo multicast, el modo de filtracin, que es include o exclude y una lista de orgenes. Si el modo de filtro es include, los receptores aceptan trfico multicast solamente de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de miembros IGMPv3 con una lista de origen y un modo de filtro include, crea entradas (S, G) en la tabla de rutas multicast para todos los orgenes de la lista de origen.
PIM-SM e IGMPv3
225
Si el modo de filtro es exclude, los receptores no aceptan trfico multicast de los orgenes que se encuentran en la lista; aceptan trfico multicast del resto de orgenes. Cuando PIM-SM recibe un informe de miembros IGMPv3 con lista de origen y un modo del filtro exclude, crea una entrada (*, G) para el grupo y enva un mensaje prune para los orgenes de la lista de origen. En este caso, puede ser que necesite configurar un punto de encuentro si los receptores no conocen la direccin del origen.
226
PIM-SM e IGMPv3
Captulo 10
Protocolo de descubrimiento de enrutador de ICMP

Este captulo explica el protocolo de descubrimiento del enrutador del protocolo de mensajes de control de internet (ICMP) como se define en la norma RFC 1256. Incluye las siguientes secciones:

Vista general en la pgina 227 Configuracin del protocolo de descubrimiento de enrutador de ICMP en la pgina 228
Habilitacin del protocolo de descubrimiento de enrutador de ICMP en la pgina 228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde WebUI en la pgina 228 Configuracin del protocolo de descubrimiento del enrutador de ICMP desde CLI en la pgina 229

Deshabilitacin de IRDP en la pgina 231 Visualizacin de los ajustes de IRDP en la pgina 231
Vista general
El protocolo de descubrimiento del enrutador de ICMP (IRDP) es un intercambio de mensajes de ICMP entre un host y un enrutador. El dispositivo de seguridad es el enrutador y notifica la direccin de IP de una interfaz especificada peridicamente o segn solicitud. Si el host est configurado para escuchar, puede configurar el dispositivo de seguridad para que enve notificaciones peridicamente. Si de manera explcita, el host enva solicitudes al enrutador, puede configurar el dispositivo de seguridad para que responda segn la solicitud.
NOTA:
IRDP no est disponible en todas las plataformas. Revise su hoja de datos para verificar si esta funcin est disponible a travs de su dispositivo de seguridad.
Vista general
227
ScreenOS admite un IRDP por interfaz. Debe asignar una direccin de IP antes que el IRDP est disponible en esa interfaz. De forma predeterminada, esta funcin est desactivada. Puede configurar esta funcin en un ambiente de alta disponibilidad (HA) con el protocolo de redundancia NetScreen (NSRP).
Configuracin del protocolo de descubrimiento de enrutador de ICMP

Puede habilitar y deshabilitar el IRDP y configurar o ver los ajustes del IRDP con la WebUI o la CLI.
Habilitacin del protocolo de descubrimiento de enrutador de ICMP

Cuando habilita el IRDP en una interfaz, ScreenOS inicia una notificacin inmediata de IRDP en la red. Para obtener informacin sobre la configuracin de una interfaz, consulte Interfaces en la pgina 2-33. En el siguiente ejemplo, puede configurar IRDP para la interfaz Trust. WebUI Network > Interfaces (edit) > IRDP: Seleccione la casilla de verificacin IRDP Enable. CLI
set interface trust protocol irdp enable
Configuracin del protocolo de descubrimiento del enrutador de ICMP desde WebUI

Para configurar IRDP desde WebUI: Network > Interface > Edit > IRDP: Introduzca los ajustes deseados, luego haga clic en OK. La Tabla 20 enumera los parmetros de IRDP, valores predeterminados y ajustes disponibles.
228
Captulo 10: Protocolo de descubrimiento de enrutador de ICMP
Tabla 20: Ajustes de IRDP en WebUI Parmetro

IPv4 address
Ajustes predeterminados
Direcciones de IP primaria y
Ajustes alternativos
Notificacin, puede agregar un valor de preferencia (-1 al 2147483647)
secundaria notificadas
Direcciones de IP de
administracin y de webauth no notificadas Broadcast-address Init Advertise Interval Init Advertise Packet Lifetime Max Advertise Interval Min Advertise Interval Response Delay Desactivado 16 segundos 3 Habilitada 1 a 32 segundos 1 al 5
tres veces el valor del intervalo Valor de intervalo mximo de mximo de notificacin notificacin de hasta 9000 segundos 600 segundos 75% del valor del intervalo mximo de notificacin 2 segundos 4 a 1800 segundos 3 a travs del valor del intervalo mximo de notificacin 0 a 4 segundos
Configuracin del protocolo de descubrimiento del enrutador de ICMP desde CLI

Puede configurar varios parmetros de IRDP desde la CLI para controlar cmo se lleva a cabo la notificacin y solicitud.
Notificacin de una interfaz

De forma predeterminada, ScreenOS notifica la direccin IP primaria del dispositivo de seguridad; sin embargo, la direccin IP no se notifica para WebAuth y la administracin. Tambin puede asociar un estado de preferencia para un dispositivo de seguridad. El estado de preferencia es un nmero del -1 al 2147483647. Los nmeros mayores tienen una mayor preferencia. Puede asignar diferentes valores de preferencia para diferentes dispositivos de seguridad. Por ejemplo, puede asignar un nmero de preferencia mayor para el dispositivo de seguridad que principalmente maneja el trfico de la red. Para un dispositivo de seguridad de respaldo, puede asignar un nmero de preferencia ms bajo. Para notificar la interfaz Untrust con una direccin IP de 10.10.10.10 con una preferencia de 250, introduzca los siguientes comandos.
set interface untrust protocol irdp 10.10.10.10 advertise set interface untrust protocol irdp 10.10.10.10 preference 250 save
Difusin de la direccin
De forma predeterminada, excepto para el mensaje de notificacin de difusin inicial cuando IRDP se habilita, la interfaz no enva notificaciones de difusin. La direccin predeterminada es 224.0.0.1 (todos los hosts en la red). Para configurar la direccin de difusin predeterminada para la interfaz Untrust, introduzca el siguiente comando:
set interface untrust protocol irdp broadcast-address
229
Configuracin de un intervalo mximo de notificacin

El intervalo mximo de notificacin es el nmero mximo de segundos que transcurre entre las notificaciones de ICMP. Este intervalo puede ser un valor de 4 a 1800 segundos. El valor predeterminado es de 600 segundos. Para establecer el intervalo mximo de notificacin en 800 segundos para la interfaz Untrust, introduzca los siguientes comandos:
set interface untrust protocol irdp max-adv-interval 800 save
Configuracin de un intervalo mnimo de notificacin

El intervalo mnimo de notificacin es el lmite menor (en segundos) del perodo de notificacin, el cual se calcula en el 75 por ciento del valor mximo de notificacin. El rango del valor del intervalo mnimo de notificacin es de 3 hasta el valor mximo de notificacin. Cuando cambia el valor mximo de notificacin, el valor del intervalo mnimo de notificacin se calcula automticamente. Cuando establece el intervalo mximo de notificacin en 800 segundos, ScreenOS vuelve a calcular automticamente el intervalo mnimo de notificacin en 600 segundos. Para establecer el intervalo mnimo de notificacin en 500 segundos para la interfaz Untrust, introduzca los siguientes comandos:
set interface untrust protocol irdp min-adv-interval 500 save
Configuracin de un valor de duracin de la notificacin

De forma predeterminada, el valor de duracin de la notificacin es tres veces el intervalo mximo de notificacin. Puede establecer el valor de duracin de la notificacin. El rango del valor es el valor del intervalo mximo de notificacin (4 a 1800 segundos) durante 9000 segundos. Para establecer el valor de duracin de la notificacin en 5000 segundos para la interfaz Untrust, introduzca los siguientes comandos:
set interface untrust protocol untrust lifetime 5000 save
Configuracin de un retardo de respuesta

De forma predeterminada, el dispositivo de seguridad espera de 0 a 2 segundos antes de responder a una peticin del cliente. Puede cambiar el ajuste de retardo de la respuesta a sin retardo (0 segundos) hasta un retardo de respuesta de cuatro segundos. Por ejemplo, si configura el retardo de respuesta en 4 segundos, el dispositivo de seguridad espera de 0 a 4 segundos antes de responder. Para establecer un retardo, el valor de retardo de la respuesta en 4 segundos para la interfaz Untrust, introduzca los siguientes comandos:
set interface untrust protocol irdp response-delay 4 save
230
Captulo 10: Protocolo de descubrimiento de enrutador de ICMP
Configuracin de un intervalo de notificacin inicial

El intervalo de notificacin inicial es el nmero de segundos durante el perodo de inicio del IRDP asignado para la notificacin. De forma predeterminada, este intervalo es de 16 segundos. El rango del valor para este intervalo es de 1 a 32 segundos. Para establecer el Intervalo de notificacin inicial en 24 segundos para la interfaz Untrust, introduzca los siguientes comandos:
set interface untrust protocol irdp init-adv-interval save
Configuracin de un nmero de paquetes de notificacin inicial

De forma predeterminada, el dispositivo de seguridad enva tres paquetes de notificacin durante el perodo de inicio especificado. Puede cambiar este ajuste de 1 al 5. Para cambiar el nmero de paquetes iniciales enviados a 5, introduzca los siguientes comandos:
set interface untrust protocol irdp init-adv-packet 5 save
Deshabilitacin de IRDP
Puede inhabilitar una interfaz para impedirle la ejecucin de IRDP, pero en tal caso ScreenOS borrar toda la memoria relacionada con la configuracin original. Para inhabilitar la interfaz Trust e impedirle que ejecute IRDP, introduzca el siguiente comando:
unset interface trust protocol irdp enable
Visualizacin de los ajustes de IRDP

Puede ver la informacin de IRDP en la WebUI o en la CLI. Para ver los ajustes de IRDP, introduzca los comandos get irdp o get irdp interface nombre_interfaz. WebUI Network > Interface > Edit > IRDP: Puede ver si el IRDP est habilitado. CLI 1 device> get irdp
Total 1 IRDP instance enabled ---------------------------------------------------------------interface dest-addr lifetime adv-interval Next-Adv(sec) ---------------------------------------------------------------untrust 255.255.255.255 6000 450 to 600 358
Deshabilitacin de IRDP
231
CLI 2 device-> get irdp interface untrust

IRDP enabled on untrust: advertisement interval next advertisement in advertisement lifetime advertisement address initial advertise interval initial advertise packet solicitation response delay 10.100.37.90 : : : : : : : : 450 to 600 sec 299 sec 6000 sec 255.255.255.255 16 sec 3 4 sec pref 250, advertise YES
232
Visualizacin de los ajustes de IRDP
ndice
A
reas OSPF .....................................................................48 definicin .................................................................54 interfaces, asignacin a ..........................................55
E
ECMP .........................................................................37, 61 Encapsulado de enrutamiento genrico (GRE) .........161 Enrutadores BGP adicin ....................................................................125 agregacin ..............................................................134 atributos, configuracin ........................................126 notificacin condicional........................................125 peso, establecimiento ...........................................126 predeterminado, rechazo .....................................121 redistribucin .........................................................123 reflexin .................................................................129 supresin ................................................................134 Enrutadores OSPF adyacencia ...............................................................50 creacin de instancia OSPF en enrutador virtual .....................................................................53 designado .................................................................50 designado de respaldo ............................................50 tipos ..........................................................................49 Enrutadores RIP alternativa ................................................................99 rechazo predeterminado ........................................94 redistribucin ...........................................................84 resumen, configuracin ..........................................98 enrutadores virtuales vase VR enrutamiento esttico ...........................................1, 2 a 9 configuracin .............................................................4 Interfaz Null, reenvo en .........................................10 multicast .................................................................160 utilizacin ...................................................................3 enrutamiento multicast IGMP .......................................................................165 PIM ..........................................................................191 enrutamiento segn el origen (SBR) ............................18 enrutamiento segn la interfaz de origen (SIBR) .......20 enrutamiento, multicast ..............................................157 equilibrio de cargas segn coste de cada ruta......37, 61
B
BGP atributos de ruta ....................................................111 comunidades .........................................................133 confederaciones ....................................................131 configuraciones, seguridad ..................................120 configuraciones, verificacin ...............................119 enrutador ...............................................................112 enrutador virtual, creacin de una instancia en 113 equilibrio de carga ..................................................37 expresiones regulares ...........................................124 interno ....................................................................112 introduccin al protocolo .....................................110 lista de acceso AS-path .........................................124 parmetros .............................................................122 tipos de mensaje ...................................................110 vecinos, autenticacin ..........................................120 BGP, configuracin grupos de interlocutores.......................................115 interlocutores .........................................................115 pasos .......................................................................112 BGP, habilitacin en interfaz ..............................................................114 en VR ......................................................................113
C
circuitos de demanda, RIP..........................................101 configuracin punto a multipunto OSPF .........................................................................71 consulta de rutas mltiple VR ..............................................................35 secuencia ..................................................................33
D
directivas multicast .................................................................163
I
IGMP configuracin, bsica ............................................169 configuracin, verificacin ...................................171 consultador ............................................................167
ndice
IX-I
directivas, multicast .............................................. 178 interfaces, habilitar en.......................................... 167 listas de accesos, uso ............................................ 168 Mensajes de host ................................................... 166 parmetros .................................................... 171, 172 interfaces, habilitar IGMP en ...................................... 167 Interfaz Null, definiendo las rutas con ........................ 10
vecinos, autenticacin ............................................67 vecinos, filtrado .......................................................68
P
PIM-SM ..........................................................................193 configuracin de puntos de encuentro ...............209 configuraciones de seguridad ..............................211 enrutador designado .............................................194 IGMPv3 ...................................................................225 instancias, creacin ..............................................199 parmetros de interfaz .........................................214 pasos de configuracin .........................................198 proxy RP ................................................................215 puntos de encuentro .............................................195 trfico, reenvo ......................................................195 PIM-SSM........................................................................197 Protocolo de administracin de grupos de Internet vase IGMP Protocolo de informacin de enrutamiento vaseRIP Proxies de IGMP ..........................................................173 emisor.....................................................................185 en interfaces ..........................................................176
L
listas de acceso enrutamiento multicast ........................................ 161 IGMP ....................................................................... 168 para rutas ................................................................. 41 PIM-SM ................................................................... 211
M
multicast rboles de distribucin ......................................... 194 direcciones ............................................................. 158 directivas ................................................................ 163 directivas para IGMP............................................. 178 reenvo por rutas inversas ................................... 158 rutas estticas ........................................................ 160 tablas de enrutamiento ........................................ 159 Multicast independiente de protocolo vase PIM
R
RIP autenticacin de vecinos ........................................92 base de datos ...........................................................99 configuracin de circuito de demanda ...............101 equilibrio de carga ..................................................37 filtrado de vecinos ...................................................93 instancias, creacin en VR .....................................82 interfaces, habilitar en ............................................83 inundaciones, proteccin contra ...........................94 parmetros de interfaz ...........................................90 parmetros globales................................................89 punto a multipunto ...............................................103 resumen de prefijo ..................................................98 versiones ..................................................................96 versiones, protocolo................................................96 RIP, configuracin circuitos de demanda ...........................................101 pasos .........................................................................81 seguridad ..................................................................92 RIP, visualizacin base de datos ...........................................................86 detalles de interfaz ..................................................88 detalles de protocolo...............................................86 informacin de vecinos ..........................................87 rutas exportacin ..............................................................43 filtrado ......................................................................41 importar ...................................................................43 mapas .......................................................................39
N
Nmeros de sistema autnomo (AS) ........................ 113
O
Open Shortest Path First vase OSPF OSPF rea de rutas internas ............................................. 49 rea no exclusiva de rutas internas ...................... 49 conexiones virtuales ............................................... 62 configuracin de seguridad.................................... 67 equilibrio de carga .................................................. 37 interfaces, asignacin a reas ............................... 55 interfaces, tnel....................................................... 71 inundacin, LSA reducida ...................................... 71 inundaciones, proteccin contra ........................... 69 LSA, supresin ......................................................... 70 notificaciones de estado de conexiones............... 48 parmetros de interfaz ........................................... 64 parmetros globales ............................................... 61 pasos de configuracin........................................... 52 protocolo de saludo ................................................ 50 punto a multipunto ................................................. 71 red punto a punto ................................................... 50 redes de difusin ..................................................... 50 soporte de ECMP ..................................................... 61 tipo de conexin, establecimiento ........................ 72
IX-II
ndice
ndice
mtricas ....................................................................32 preferencia ...............................................................31 redistribucin...........................................................38 seleccin ...................................................................31 Rutas BGP, agregadas agregacin ..............................................................134 AS-Path en ..............................................................136 AS-Set en ................................................................134 atributos de ............................................................137 Rutas OSPF predeterminadas, rechazo .....................................69 redistribucin...........................................................59 redistribuido, resumen ...........................................60 restriccin route-deny, inhabilitacin ...................72
V
VR ............................................................................38 a 44 BGP ...............................................................112 a 120 ECMP ........................................................................37 en vsys ......................................................................27 ID de enrutador .......................................................23 listas de acceso ........................................................41 mtricas de ruta ......................................................32 modificar ..................................................................22 OSPF .................................................................51 a 70 RIP .....................................................................81 a 96 SBR ............................................................................18 SIBR...........................................................................20 uso de dos ................................................................24 VR, rutas exportacin ..............................................................43 filtrado ......................................................................41 importar....................................................................43 mapas .......................................................................39 preferencia ...............................................................31 redistribucin ...........................................................38 seleccin ...................................................................31 VR, tablas de enrutamiento consulta ....................................................................33 consulta en mltiples VR ........................................35 entradas mximas...................................................30
S
Supresin de notificaciones de estado de conexiones (LSA) .............................................................................70
T
tablas de enrutamiento .................................................15 consulta ....................................................................33 consulta en mltiples VR ........................................35 multicast .................................................................159 seleccin de rutas ....................................................31 tipos ..........................................................................15
ndice
IX-III
IX-IV
ndice

Ce v7 SP

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ce v7 SP

Uploaded by

Copyright:

Available Formats

Conceptos y ejemplos Manual de referencia de ScreenOS

Versin 6.0.0, Rev. 02

Juniper Networks, Inc.

Manual de referencia de ScreenOS: Conceptos y ejemplos

Manual de referencia de ScreenOS: Conceptos y ejemplos

Manual de referencia de ScreenOS: Conceptos y ejemplos

Multicast independiente de protocolo

Manual de referencia de ScreenOS: Conceptos y ejemplos

Acerca de este volumen

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones del documento

Convenciones de la interfaz de usuario web

Convenciones de interfaz de lnea de comandos

Convenciones del documento

Acerca de este volumen

Las variables aparecen en cursiva:

En el texto, los comandos estn en negrita y las variables en cursiva.

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS admite los siguientes conjuntos de caracteres:

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones para las ilustraciones

Rango dinmico de IP (DIP)

Dispositivo de red genrico

Interfaz de tnel Servidor Tnel VPN

Enrutador Dispositivos de seguridad Juniper Networks

Convenciones del documento

Acerca de este volumen

Asistencia y documentacin tcnica

Asistencia y documentacin tcnica

Manual de referencia de ScreenOS: Conceptos y ejemplos

Asistencia y documentacin tcnica

Vista general en esta pgina

Reenvo de trfico a la interfaz Null en la pgina 10

Manual de referencia de ScreenOS: Conceptos y ejemplos

Cmo funciona el enrutamiento esttico

Direccin IP de origen Direccin IP de destino Carga (mensaje)

Figura 2: Ejemplo de enrutamiento esttico

Captulo 1: Enrutamiento esttico

La Tabla 1 resume la tabla de enrutamiento de cada enrutador.

Enrutador Y Puerta de enlace

Enrutador Z Puerta de enlace

Cundo configurar rutas estticas

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin de rutas estticas

Captulo 1: Enrutamiento esttico

Opcionalmente, puede definir los siguientes elementos:

Esta seccin contiene los siguientes ejemplos:

Ajuste de rutas estticas

Manual de referencia de ScreenOS: Conceptos y ejemplos

Dominio de enrutamiento virtual Zona Untrust

200.20.2.2/24 2.2.2.2/24 2.2.2.0/24

Dispositivo de seguridad Dominio del enrutador virtual trust-vr = Enrutador = Conmutador/concentrador

Captulo 1: Enrutamiento esttico

Manual de referencia de ScreenOS: Conceptos y ejemplos

set set set set

Establecimiento de una ruta esttica para una interfaz de tnel

Captulo 1: Enrutamiento esttico

Habilitacin del seguimiento de puertas de enlace

Manual de referencia de ScreenOS: Conceptos y ejemplos

Reenvo de trfico a la interfaz Null

Impedir las consultas de rutas en otras tablas de enrutamiento

Reenvo de trfico a la interfaz Null