Juniper Networks NetScreen

NetScreen conceptos y ejemplosreenOS

o

ScreenOS 5.1.0

Ref. 093-1367-000-SP

Revisión B

Manual de referencia de Sc

Volumen 6: Enrutamient

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright Notice

Copyright © 2004 Juniper Networks, Inc. All rights reserved.

Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

Juniper Networks, Inc.

ATTN: General Counsel

1194 N. Mathilda Ave.

Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

Contenido

i

uales .................................21

e los dispositivos NetScreen..23rutadores virtuales ..................... 23

ntre enrutadores virtuales .......... 24

s enrutadores virtuales.............. 24ión de una zona al untrust-vr.... 25

personalizados ......................... 27ón de un enrutador virtual ................................................... 27ción de un enrutador virtual ................................................... 28

y sistemas virtuales ................... 29ón de un enrutador virtual ................................................... 30rtir rutas entre enrutadores ................................................... 32

adores virtuales.....................33al............................................... 34ión de una ID de enrutador

................................................... 35

entradas de la tabla de ................................................... 36ión de las entradas de la tabla .................................................. 36

..............................................37................................................... 37cimiento de una preferencia ................................................... 38

................................................... 39

Juniper Networks NetScreen conceptos y ejemplos – Volumen 6: Enrutamiento

ContenidoPrefacio ....................................................................... vii

Convenciones ..........................................................viiiConvenciones de la interfaz de línea de comandos (CLI) .....................................................viii

Convenciones de la interfaz gráfica (WebUI) .............. ix

Convenciones para las ilustraciones........................... xi

Convenciones de nomenclatura y conjuntos de caracteres ...................................................................xii

Documentación de NetScreen de Juniper Networks ................................................. xiii

Capítulo 1 Tablas de enrutamiento y enrutamiento estático..........................................................................1

Fundamentos del enrutamiento .................................2Métodos de enrutamiento............................................2

Enrutamiento estático.............................................2Enrutamiento dinámico..........................................3Enrutamiento multicast ...........................................3

Tablas de enrutamiento................................................4

Enrutamiento con rutas estáticas..................................6

Enrutadores virtuales de los dispositivos NetScreen....8

Cuándo configurar rutas estáticas.............................9

Configuración de rutas estáticas .............................11Ejemplo: Rutas estáticas.......................................12Ejemplo: Ruta para una interfaz de túnel.............16

Reenvío de tráfico a la interfaz nula ..........................18

Rutas permanentemente activas ...............................19

Capítulo 2 Enrutadores virt

Enrutadores virtuales dUtilización de dos en

Reenvío de tráfico e

Configuración de doEjemplo: Asociac

Enrutadores virtualesEjemplo: Creacipersonalizado ...Ejemplo: Eliminapersonalizado ...

Enrutadores virtualesEjemplo: Creacien un vsys .........Ejemplo: Compavirtuales.............

Modificación de enrutID del enrutador virtu

Ejemplo: Asignacvirtual ................

Número máximo de enrutamiento...........

Ejemplo: Limitacde enrutamiento

Selección de rutas .....Preferencia de ruta .

Ejemplo: Establede ruta ..............

Métrica de ruta .......

Contenido

ii

utadores..................................... 70

................................................... 71

................................................... 71n ................................................ 71unto........................................... 72ultipunto ................................... 72

tado de conexiones .................. 72

de OSPF ................................74tancia de enrutamiento ................................................... 75ón de una instancia ................................................... 75ción de una instancia ................................................... 76

a OSPF ....................................... 77ón de un área OSPF ................... 78

aces a un área OSPF ................. 79ión de interfaces a áreas......... 79ración de un rango de áreas... 80

en interfaces............................ 81ción de OSPF en interfaces....... 81tar OSPF en una interfaz ............ 82

configuración ......................... 83

s.............................................86bución de rutas en OSPF............ 86

distribuidas ................................ 87n de rutas redistribuidas ........... 87ucles creados por las ................................................... 88

e OSPF ..................................89ción de la ruta .................................................. 90


Tablas de enrutamiento ...........................................40Enrutamiento según el origen.....................................40

Ejemplo: Enrutamiento según el origen................42

Enrutamiento según la interfaz de origen...................44Ejemplo: Enrutamiento según la interfaz de origen .............................................................45

Secuencia de consulta de rutas ................................46Ejemplo: Cambiar el orden de las consultas de rutas ................................................................49

Consulta de rutas en múltiples enrutadores virtuales.......................................................................50

Enrutamiento de rutas múltiples de igual coste .......52Activación del enrutamiento de rutas múltiples de igual coste ............................................................54

Ejemplo: Configurar el máximo de rutas ECMP....54

Redistribución de rutas.............................................55Configuración de un mapa de rutas .........................56

Filtrado de rutas..........................................................58

Listas de acceso.........................................................58Ejemplo: Configuración de una lista de acceso............................................................59Ejemplo: Redistribución de rutas en OSPF ............60

Exportación e importación de rutas entre enrutadores virtuales ................................................62

Ejemplo: Configuración de una regla de exportación ....................................................63Ejemplo: Configuración de la exportación automática ..........................................................65

Capítulo 3 Protocolo OSPF..........................................67

Introducción al protocolo OSPF ...............................69Áreas...........................................................................69

Clasificación de enr

Protocolo de saludo

Tipos de redes.........Redes de difusióRedes punto a pRedes punto a m

Notificaciones de es

Configuración básicaCreación de una insde OSPF...................

Ejemplo: Creacide OSPF ............Ejemplo: Eliminade OSPF ............

Definición de un áreEjemplo: Creaci

Asignación de interfEjemplo: AsignacEjemplo: Configu

Habilitación de OSPFEjemplo: HabilitaEjemplo: Inhabili

Comprobación de la

Redistribución de rutaEjemplo: Redistri

Resumen de rutas reEjemplo: ResumeEjemplo: Evitar brutas resumidas .

Parámetros globales dEjemplo: Notificapredeterminada

Contenido

iii

formación ........................................115

olo RIP.................................117

de RIP .................................118tancia RIP ................................ 119ón de una instancia RIP ........... 119ción de una instancia RIP ........ 120

n interfaces ............................. 121ción de RIP en interfaces ........ 121

itación de RIP ................................................. 122

as............................................. 122bución de rutas en RIP............. 123

rmación de RIP ..................124ase de datos RIP ..................... 124ar los detalles en la base ................................................. 124

detalles de protocolo RIP......... 127ar los detalles de protocolo RIP127

rmación de vecino RIP ............ 128ar los detalles de los ................................................. 128

detalles de protocolo RIP ................................................. 129ar RIP en una a ............................................. 129

e RIP ...................................130ta predeterminada.................. 132ción de la ruta ................................................ 132

RIP......................................133e parámetros de interfaz RIP .. 134


Conexiones virtuales...................................................92Ejemplo: Creación de una conexión virtual ........93Ejemplo: Creación de una conexión virtual automática ..........................................................95

Parámetros de interfaz OSPF ....................................96Ejemplo: Ajuste de parámetros de interfaz OSPF ...................................................98

Configuración de seguridad....................................99Autenticación de vecinos...........................................99

Ejemplo: Configuración de una contraseña de texto no cifrado ..............................................99Ejemplo: Configuración de una contraseña MD5.................................................100

Filtrado de vecinos OSPF ..........................................101Ejemplo: Configuración de una lista de vecinos..........................................................101

Rechazo de rutas predeterminadas.........................102Ejemplo: Eliminación de la ruta predeterminada.................................................102

Protección contra inundaciones ..............................103Ejemplo: Configuración de un límite de saludo ...........................................................103Ejemplo: Configuración de un límite de LSAs.....104

Circuitos de demanda en interfaces de túnel .......105Ejemplo: Crear un circuito de demanda OSPF.............................................105Ejemplo: Habilitar la inundación reducida ........106

Interfaz de túnel punto a multipunto ......................107Establecer el tipo de conexión.................................107

Ejemplo: Establecer el tipo de conexión OSPF...107Ejemplo: Inhabilitar la restricción Route-Deny....108Ejemplo: Red punto a multipunto.......................108

Capítulo 4 Protocolo de inde enrutamiento (RIP) ........

Introducción al protoc

Configuración básicaCreación de una ins

Ejemplo: CreaciEjemplo: Elimina

Habilitación de RIP eEjemplo: HabilitaEjemplo: Inhabilen una interfaz..

Redistribución de rutEjemplo: Redistri

Visualización de la infoVisualización de la b

Ejemplo: Visualizde datos RIP......

Visualización de los Ejemplo: Visualiz

Visualización de infoEjemplo: Visualizvecinos RIP........

Visualización de los de una interfaz........

Ejemplo: Visualizinterfaz específic

Parámetros globales dNotificación de la ru

Ejemplo: Notificapredeterminada

Parámetros de interfazEjemplo: Ajuste d

Contenido

iv

uerta de enlace ........................................159

olo BGP ...............................160GP ............................................ 161

................................................. 161

o............................................... 162

de BGP................................163ión de una instancia de BGP .. 164ón de una instancia BGP ......... 164ción de una instancia ................................................. 165

en interfaces ........................... 166ción de BGP en interfaces ...... 166tación de BGP en interfaces.... 166

interlocutor BGP ..................... 167ración de un

................................................. 170ración de un grupo IBGP........................................ 171

configuración BGP ................ 173

uridad..................................175cinos ........................................ 175ración de la

D5............................................ 175

edeterminadas ........................ 176o de rutas predeterminadas ... 176

nales de BGP .....................177as............................................. 179bución de rutas en BGP ........... 180

ath .......................................... 180ración de una lista

................................................. 181


Configuración de seguridad..................................135

Autenticación de vecinos.........................................135

Ejemplo: Configuración de una contraseña MD5.................................................136

Filtrado de vecinos RIP..............................................137

Ejemplo: Configuración de vecinos fiables .......137

Rechazo de rutas predeterminadas.........................138

Ejemplo: Rechazo de rutas predeterminadas....138

Protección contra inundaciones ..............................139

Ejemplo: Configuración de un umbral de actualización .....................................................139

Ejemplo: Habilitación de RIP en interfaces de túnel ..............................................................140

Configuraciones opcionales de RIP .......................142

Versión de protocolo RIP...........................................142

Ejemplo: Ajustar las versiones de protocolo RIP.................................................142

Resumen de prefijos .................................................144

Ejemplo: Habilitar el resumen de prefijos ...........144

Ejemplo: Inhabilitar el resumen de prefijos ........145

Rutas alternativas......................................................146

Ejemplo: Ajuste de rutas alternativas..................147

Circuitos de demanda en interfaces de túnel .........148

Ejemplo: Configuración de un circuito de demanda......................................................149

Configuración de un vecino estático.......................150

Ejemplo: Configuración de un vecino estático ..............................................................150

Interfaz de túnel punto a multipunto ......................151

Ejemplo: Punto a multipunto con circuitos de demanda...........................................................151

Capítulo 5 Protocolo de pde límite (BGP) ...................

Introducción al protocTipos de mensajes B

Atributos de ruta......

BGP externo e intern

Configuración básicaCreación y habilitac

Ejemplo: CreaciEjemplo: Eliminade BGP..............

Habilitación de BGP Ejemplo: HabilitaEjemplo: Inhabili

Configuración de unEjemplo: Configuinterlocutor BGPEjemplo: Configude interlocutores

Comprobación de la

Configuración de segAutenticación de ve

Ejemplo: Configuautenticación M

Rechazo de rutas prEjemplo: Rechaz

Configuraciones opcioRedistribución de rut

Ejemplo: Redistri

Lista de acceso AS-pEjemplo: Configude acceso ........

Contenido

v

............................................208

........................................211

............................................212................................................. 214

t ............................................... 215

etScreen..............................216................................................. 216r IGMP en una interfaz............. 216

itación de IGMP en ................................................. 217

la seguridad ............................ 217rar una lista de accesos ptados .................................... 218

a de IGMP ............................... 219ración básica de IGMP .......... 219

nfiguración de IGMP............... 222

os de IGMP............................... 224

............................................226s de miembros en sentido ia el origen.............................. 226ulticast en sentido

los receptores .......................... 227

roxy de IGMP ........................... 229

terfaces .................................... 229e IGMP en interfaces ............... 230

irectiva multicast ...................... 232a de grupo multicast ................................................. 232ración básica de Proxy

................................................. 233

e IGMP.................................... 245el remitente de IGMP............... 246


Adición de rutas a BGP.............................................182Ejemplo: Notificación de ruta condicional ........183Ejemplo: Establecer el peso de la ruta ..............184Ejemplo: Establecer atributos de ruta ................185

Reflexión de rutas .....................................................186Ejemplo: Configuración de la reflexión de rutas ..............................................................187

Confederaciones .....................................................189Ejemplo: Configurar una confederación ...........190

Comunidades BGP ...................................................192

Agregación de rutas.................................................193Ejemplo: Agregar rutas con diferentes AS-Paths..............................................................193Ejemplos: Suprimir las rutas más específicas en actualizaciones ..................................................194Ejemplo: Seleccionar rutas para el atributo Path.......................................................196Ejemplo: Cambiar atributos de la ruta agregada ...................................................198

Capítulo 6 Enrutamiento multicast............................199

Introducción al enrutamiento multicast .................200Direcciones multicast ...............................................200

Reenvío por rutas inversas ........................................201

Enrutamiento multicast en dispositivos NetScreen..202Tabla de enrutamiento multicast..............................202

Rutas multicast estáticas...........................................204Ejemplo: Configuración de una ruta multicast estática ...............................................204

Listas de acceso.......................................................205

Encapsulado de enrutamiento genérico .................205Ejemplo: Configuración de interfaces de túnel GRE ......................................................207

Directivas multicast.....

Capítulo 7 IGMP ...............

Introducción a IGMP ..Hosts ........................

Enrutadores multicas

IGMP en dispositivos NIGMP en interfaces..

Ejemplo: HabilitaEjemplo: Inhabiluna interfaz .......

Aspectos relativos a Ejemplo: Configupara grupos ace

Configuración básicEjemplo: Configu

Verificación de la co

Parámetros operativ

Proxy de IGMP ............Envío de informeascendente hacEnvío de datos mdescendente a

Configuración del p

Proxy de IGMP en inEjemplo: Proxy d

Creación de u na dEjemplo: Directivpara IGMP.........Ejemplo: Configude IGMP............

Proxy del remitente dEjemplo: Proxy d

Contenido

vi

configuración......................278

............................................282

................................................. 282

n RP estático ........................... 283

................................................. 284

n RP candidato ....................... 284

seguridad ..........................286

s multicast ............................... 286

ir grupos multicast................... 286

ulticast ..................................... 288

ir orígenes multicast................ 288

................................................. 289

ir RP......................................... 289

faz PIM-SM ...........................291

................................................. 291

una directiva vecina................ 292

................................................. 293

un límite bootstrap ................... 293

............................................294

RP proxy ................................. 297

ración del RP proxy ................ 298

............................................311

............................................312

os NetScreen........................... 312

......................................... IX-I


Capítulo 8 PIM ..........................................................253

Introducción al protocolo PIM................................255

PIM-SM....................................................................256

Árboles de distribución multicast ..............................258

Enrutador designado................................................259

Asignación de puntos de encuentro a grupos.........259

Asignación de RP estático..................................259

Asignación de RP dinámico ...............................259

Reenvío de tráfico a través del árbol de distribución..........................................................260

El origen envía datos a un grupo.......................260

El host se une a un grupo...................................262

PIM-SM en dispositivos NetScreen ..........................264

Creación de una instancia PIM-SM ..........................265

Ejemplo: Habilitar una instancia PIM-SM en un enrutador virtual .................................................265

Ejemplo: Quitar una instancia PIM-SM................266

PIM-SM en interfaces ................................................267

Ejemplo: PIM-SM en una interfaz ........................267

Ejemplo: Inhabilitar PIM-SM en una interfaz .......268

Directivas de grupo multicast ...................................269

Mensajes Static-RP-BSR .......................................269

Mensajes Join-Prune...........................................269

Ejemplo: Directiva de grupo multicast para PIM-SM .......................................................270

Configuración PIM-SM básica................................271

Ejemplo: Configuración PIM-SM básica .............272

Comprobación de la

Configuración de RPs.

RP estático...............

Ejemplo: Crear u

RP candidato ..........

Ejemplo: Crear u

Aspectos relativos a la

Restricción de grupo

Ejemplo: Restring

Restringir orígenes m

Ejemplo: Restring

Restricción de RPs ...

Ejemplo: Restring

Parámetros de la inter

Directiva vecina......

Ejemplo: Definir

Límite bootstrap.......

Ejemplo: Definir

RP Proxy ......................

Configuración de un

Ejemplo: Configu

PIM-SM e IGMPv3........

PIM-SSM ......................

PIM-SSM en dispositiv

Índice ................................

vii

s sistemas y dispositivos de biar información de protocolos de uso habitual y los de enrutamiento dinámico en la tabla de enrutamiento método eficiente para reenviar itir tráfico, como secuencias de

ar rutas estáticas para el

ómo redistribuir las entradas de

positivos NetScreen: OSPF ormation Protocol, protocolo de e puerta de enlace de límite)

multicast estáticas

ment Protocol (IGMP), Protocol lticast - Source Specific


Prefacio

El enrutamiento es una parte fundamental de los dispositivos de seguridad como loNetScreen. El enrutamiento dinámico permite a los dispositivos NetScreen intercamenrutamiento con enrutadores y otros dispositivos de red mediante la utilización de tablas de enrutamiento que se crean y se actualizan automáticamente. Los protocoreducen mucho el intervalo entre los cambios en la topología de la red y los ajustesporque estos se realizan automáticamente. El enrutamiento multicast proporciona untráfico a múltiples hosts. Las empresas utilizan el enrutamiento multicast para transmdatos o vídeo, desde un origen a un grupo de receptores simultáneamente.

El Volumen 6, “Enrutamiento”, describe lo siguiente:

• Fundamentos del enrutamiento, incluyendo tablas de rutas y cómo configurenrutamiento basado en destinos o el enrutamiento basado en orígenes

• Cómo configurar los enrutadores virtuales en los dispositivos NetScreen y cla tabla de enrutamiento entre protocolos o entre enrutadores virtuales

• Cómo configurar los siguientes protocolos de enrutamiento dinámico en dis(Open Shortest Path First, abrir primero la ruta más corta), RIP (Routing Infinformación de enrutamiento) y BGP (Border Gateway Protocol, protocolo d

• Fundamentos del enrutamiento multicast, incluyendo cómo configurar rutas

• Cómo configurar los protocolos multicast siguientes: Internet Group ManageIndependent Multicast - Sparse Mode (PIM-SM) y Protocol Independent MuMulticast (PIM-SSM)

Prefacio Convenciones

viii

guientes secciones:

)s de la interfaz de línea de

por barras verticales ( | ).

manage, ethernet2 o ethernet3”.

vo en el caso de las variables, ra visualizar el número de serie

permitan al sistema reconocer te escribir set adm u joe . Aunque este método se se representan con sus


CONVENCIONES

Este documento contiene distintos tipos de convenciones, que se explican en las si

• “Convenciones de la interfaz de línea de comandos (CLI)”

• “Convenciones de la interfaz gráfica (WebUI)” en la página ix

• “Convenciones para las ilustraciones” en la página xi

• “Convenciones de nomenclatura y conjuntos de caracteres” en la página xii

Convenciones de la interfaz de línea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):

• Los comandos entre corchetes [ ] son opcionales.

• Los elementos entre llaves { } son obligatorios.

• Si existen dos o más opciones alternativas, aparecerán separadas entre sí Por ejemplo:

set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1

• Las variables aparecen en cursiva. Por ejemplo:

set admin user name password

Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system pade un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos palabras completas.


ix

de la WebUI por las que se uadro de diálogo de > New . A continuación se

libretas de direcciones.

New.e diálogo de configuración .

4


Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cconfiguración de direcciones se representa como sigue: Objects > Addresses > Listmuestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.

2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.

3. Haga clic en List.Aparecerá la tabla de

4. Haga clic en el vínculoAparecerá el cuadro dde nuevas direcciones

1

2

3


x

e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben

lic en OK :

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.


Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32


xi

ustraciones de este manual:

ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)

quipo portátil

ango de direcciones IP dinámicas DIP)


Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il

Dispositivo NetScreen genérico

Zona de seguridad

Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Túnel VPN

Ru(

I

E

S

D(c

Interfaz de túnel

E

R(


xii

rescomo direcciones, usuarios ales, túneles de VPN y zonas)

n espacio, la ejemplo,

entrecomillada;

or el contrario, en e indistintamente.

últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

ión de las comillas dobles ( “ ), res que contengan espacios.

mite tanto SBCS como MBCS,


Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “ local LAN” 10.1.1.0/24 .

• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.

• NetScreen tratará varios espacios consecutivos como uno solo.

• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.

ScreenOS admite los siguientes conjuntos de caracteres:

• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.

Prefacio Documentación de NetScreen de Juniper Networks

xiii

r Networks, visite

ase Manager” en la página web os EE.UU.) o al

n nosotros a través de la


DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.

Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).

Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

Prefacio Documentación de NetScreen de Juniper Networks

xiv

1

1

Capítulo 1

to

enOS mantiene una tabla de eneralmente, la tabla de

idas manualmente para definir n una tabla de enrutamiento s multicast, consulte

nrutamiento básico que realiza n. Contiene las siguientes


Tablas de enrutamiento y enrutamienestático

Para que un dispositivo NetScreen pueda reenviar paquetes de una red a otra, Screenrutamiento que contiene entradas para todas las direcciones de red conocidas. Genrutamiento contiene una o más rutas estáticas, que son configuraciones introducrutas a destinos específicos. Además, los dispositivos NetScreen también mantieneindependiente para las rutas multicast. Para obtener información acerce de las ruta“Enrutamiento multicast en dispositivos NetScreen” en la página 202.

En este capítulo se describe la tabla de enrutamiento de ScreenOS, el proceso de eel dispositivo NetScreen y como configurar rutas estáticas en dispositivos NetScreesecciones:

• “Fundamentos del enrutamiento” en la página 2

– “Métodos de enrutamiento” en la página 2

– “Tablas de enrutamiento” en la página 4

– “Enrutamiento con rutas estáticas” en la página 6

• “Enrutadores virtuales de los dispositivos NetScreen” en la página 8

• “Cuándo configurar rutas estáticas” en la página 9

• “Configuración de rutas estáticas” en la página 11

– “Reenvío de tráfico a la interfaz nula” en la página 18

– “Rutas permanentemente activas” en la página 19

Capítulo 1 Tablas de enrutamiento y enrutamiento estático Fundamentos del enrutamiento

2

anzan su destino final. Un en incorporan funciones de u destino.

tico, dinámico, y multicast. r manualmente las rutas y

as interconexiones hacia otras rutamiento dinámico para que utamiento dinámico permiten a s en la topología de la red local red distante. Los protocolos iples receptores

que se puede definir en un n salvo que se modifiquen tivamente estables, suele . ScreenOS mantiene las rutas se puede dar prioridad al


FUNDAMENTOS DEL ENRUTAMIENTOEl enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que alcenrutador es el punto de unión de dos redes. Los dispositivos de seguridad NetScreenrutamiento que permiten a ScreenOS reenviar eficazmente el tráfico protegido a s

Métodos de enrutamientoEn los dispositivos NetScreen se pueden configurar tres tipos de enrutamiento: estáCuando una red utiliza el enrutamiento estático, el administrador tiene que configuramantener actualizadas las tablas de enrutamiento en los enrutadores. En redes cuyredes son numerosas o cambian frecuentemente, conviene utilizar protocolos de enlas tablas de enrutamiento se actualicen de forma automática. Los protocolos de enrlos enrutadores actualizar automáticamente sus tablas cuando se producen cambioo cuando algún enrutador vecino comunica que se ha producido un cambio en una multicast habilitan los enrutadores para que reenvíen tráfico desde un origen a múltsimultáneamente.

Enrutamiento estáticoLas rutas estáticas son asignaciones de direcciones IP a una red de salto siguiente1

dispositivo de reenvío de capa 3, como un enrutador. Estas asignaciones no cambiamanualmente. En redes cuyas interconexiones hacia otras redes son escasas o relaresultar más práctico definir rutas estáticas que configurar el enrutamiento dinámicoestáticas hasta que se eliminan explícitamente. No obstante, cuando sea necesarioenrutamiento dinámico frente al estático.

1. Un destino de salto siguiente es un enrutador.


3

onibilidad de redes y subredes ción del enrutamiento. Estos ar los cambios necesarios en

apítulo 3, “Protocolo OSPF”.

Capítulo 4, “Protocolo de

lo 5, “Protocolo de puerta de

cias de datos o vídeo, desde un en, y los receptores pueden

múltiples hosts, porque los osts que desean recibirlo. Los o multicast para recibir los te a los receptores interesados

tamiento multicast”.


Enrutamiento dinámicoEn el enrutamiento dinámico, los enrutadores intercambian información sobre la dispy ajustan las tablas de enrutamiento analizando los mensajes entrantes de actualizamensajes alimentan la red, ordenando a los enrutadores recalcular las rutas y realizsus tablas de enrutamiento.

Para obtener información acerca de Open Shortest Path First (OSPF), consulte el C

Para obtener información acerca de Routing Information Protocol (RIP), consulte el información de enrutamiento (RIP)”.

Para obtener información sobre Border Gateway Protocol (BGP), consulte el Capítuenlace de límite (BGP)”.

Enrutamiento multicastLas empresas utilizan el enrutamiento multicast para transmitir tráfico, como secuenorigen a un grupo de receptores simultáneamente. Cualquier host puede ser un origestar en cualquier punto de Internet.

El enrutamiento IP multicast proporciona un método eficiente para reenviar tráfico aenrutadores habilitados para multicast transmiten tráfico multicast solamente a los hhosts deben señalizar su interés por recibir datos multicast y deben unirse a un grupdatos. Los enrutadores habilitados para multicast reenvian tráfico multicast solamenen recibirlo.

Para obtener información acerca de las rutas multicast, consulte el Capítulo 6, “Enru


4

irigir el tráfico por tales redes. es y direcciones conocidas con sitivo NetScreen, ScreenOS

nduce a la dirección de destino. S, consulte el Volumen 2, a las rutas multicast. Para multicast” en la página 202.

nte ruta, es identificada por la ediante una dirección IP y

radas de la tabla de

ignada a una interfaz en el

ta automáticamente una ruta hacia la


Tablas de enrutamientoNormalmente, los enrutadores están conectados a varias redes y se encargan de dCada enrutador cuenta con su propia tabla de enrutamiento, que es una lista de redinformación para llegar a ellas. Cuando se procesa un paquete entrante en un dispoconsulta la tabla de enrutamiento para averiguar cuál es la interfaz adecuada que coPara obtener más información sobre la secuencia de flujo de paquetes en ScreenO“Fundamentos”. Los enrutadores también mantienen una tabla de enrutamiento parobtener información acerca de las rutas multicast, consulte “Tabla de enrutamiento

Cada entrada de la tabla de enrutamiento, denominada entrada de ruta, o simplemered de destino a la que se puede reenviar el tráfico. La red de destino, identificada mmáscara de red, puede ser una red IP, una subred, una superred o un host. Las entenrutamiento ScreenOS pueden provenir de los siguientes orígenes:

• Redes interconectadas directamente (la red de destino es la dirección IP asmodo de ruta)2

• Protocolos de enrutamiento dinámico, como OSPF, BGP o RIP

• Rutas importadas desde otros enrutadores o enrutadores virtuales

• Rutas configuradas estáticamente

2. Cuando se establece una dirección IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecsubred adyacente para canalizar el tráfico que pasa por la interfaz.


5

la red de destino.positivo NetScreen o la ador).

ias rutas hacia la misma red de enor sea el valor de preferencia ruta activa.

cada protocolo u origen de ruta. el Volumen 6.

ed xternal type 1

----------------------

ncia Métrica Vsys

1000

10010100

rootrootrootrootrootrootrootroot

f Mtr Vsys


A continuación se presenta un ejemplo de una tabla de enrutamiento de ScreenOS:

La tabla de enrutamiento contiene la siguiente información de cada red de destino:

• La interfaz del dispositivo NetScreen a través del que se reenvía el tráfico a• El siguiente salto (“next-hop”), que puede ser otro enrutador virtual en el dis

dirección IP de una puerta de enlace (normalmente la dirección de un enrut• El protocolo del cual se deriva la ruta.• La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen var

destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto mde una ruta, más posibilidades existen de que esa ruta se seleccione como

Este valor de preferencia se puede modificar en cada enrutador virtual para Para obtener más información, consulte el capítulo “Enrutadores virtuales” d

C - Connected, S - Static, A - Auto-Exported, I - ImportiB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF eE2 - OSPF external type 2

Total 8 entries

--------------------------------------------------------

Red de destino Interfaz de reenvío de datos Siguiente salto Protocolo Prefere

* 9 0.0.0.0/0* 11 192.168.1.100/32* 10 1.1.0.0/16* 4 10.1.1.1/32* 1 192.168.1.1/32* 5 2.2.0.0/16* 2 10.3.3.0/24* 3 10.2.2.0/24

eth3eth2eth3eth3eth1eth3eth2eth3

10.31.1.110.3.3.10010.31.1.110.2.2.2500.0.0.010.2.2.2500.0.0.00.0.0.0

eBiBeBSCSCC

40250402002000

ID IP-Prefix Interface Gateway P Pre

Ruta predeterminada


6

o existen varias rutas para la de las rutas conectadas es uede especificar un valor

mación sobre enrutadores 29.

dirección de red 0.0.0.0/0), que as en la tabla de enrutamiento.

ontiene la dirección del host de todas las direcciones existentes 3 a la dirección de destino y, a ue debe reenviar el paquete.

a ilustración, el host 1 de la red nformación en el encabezado:

stino y a la máscara de red de cada máscara de subred 255.255.255.0 es mbién denominada “ruta con la mayor

Host 2

Red C


• La métrica también se puede utilizar para seleccionar la ruta a utilizar cuandmisma red de destino con el mismo valor de preferencia. El valor de métricasiempre 0. La métrica predeterminada de las rutas estáticas es 1, pero se pdiferente cuando se definen estas rutas.

• El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener más inforvirtuales, consulte “Enrutadores virtuales y sistemas virtuales” en la página

La mayoría de las tablas de enrutamiento contienen una ruta predeterminada (con laes una entrada comodín para los paquetes destinados a redes distintas de las definid

Enrutamiento con rutas estáticasCuando un host envía paquetes a un host de otra red, cada encabezado de paquete cdestino. Cuando un enrutador recibe un paquete, compara la dirección de destino conen la tabla de enrutamiento. El enrutador selecciona en la tabla la ruta más específicapartir de la entrada de ruta seleccionada, determina el siguiente salto (“next-hop”) al q

La ilustración siguiente representa una red que utiliza el enrutamiento estático. En estA desea alcanzar el host 2 de la red C, para lo que crea un paquete con la siguiente i

3. La ruta más específica se determina aplicando en primer lugar el operador lógico AND bit por bit a la dirección de deentrada existente en la tabla de enrutamiento. Por ejemplo, el AND lógico bit por bit de la dirección IP 10.1.1.1 con la 10.1.1.0. La ruta que tenga el mayor número de bits con el valor 1 en la máscara de subred será la más específica (tacoincidencia”).

Enrutador X

Host 1

Red A

Enrutador Z

Red B

Enrutador Y

IPORIG

Host 1 Host 2 Carga de datos

IPDEST


7

d C con la puerta de enlace do al host 2 de la red C,

miento y detecta que la última a entrada de ruta se especifica nrutador Y recibe el paquete y, e la interfaz conectada a esa

red C deja de estar disponible, vés del enrutador Z, no está de la ruta alternativa.

erta de lace

rutador X

nectada

nectada


A continuación, se representa la tabla de enrutamiento de cada enrutador.

En el ejemplo anterior, el enrutador X tiene configurada una ruta estática hacia la re(siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinacompara la dirección de destino del paquete con el contenido de su tabla de enrutaentrada corresponde a la ruta más específica para la dirección de destino. En la últimque el tráfico destinado a la red C debe enviarse al enrutador Y para su entrega. El ecomo conoce que la red C está conectada directamente, envía el paquete a través dred.

Tenga en cuenta que si el enrutador Y falla o si la conexión entre el enrutador Y y lael paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a traconfigurada de forma estática en el enrutador X, por lo que éste no tiene constancia

Tablas de enrutamientoEnrutador X Enrutador Y Enrutador Z

Red Puerta de enlace

Red Puerta de enlace

Red Puen

Red A Conectada Red A Enrutador X Red A En

Red B Conectada Red B Conectada Red B Co

Red C Enrutador Y Red C Conectada Red C Co

Capítulo 1 Tablas de enrutamiento y enrutamiento estático Enrutadores virtuales de los dispositivos NetScreen

8

virtuales. Los enrutadores cast que se pueden activar de n dos enrutadores virtuales

d predefinidas y todas las

ridad.

izados. Dividiendo la lar qué información de un iento. Por ejemplo, se puede d corporativa en el enrutador de la red corporativa en el otro nrutamiento de un enrutador e puede mantener aislada de procedente de zonas de un l aunque existan directivas que ico de datos, deberá exportar otro como siguiente salto

nalizados, utilizar dos o más bre enrutadores virtuales,


ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREENScreenOS puede dividir su componente de enrutamiento en dos o más enrutadoresvirtuales admiten protocolos de enrutamiento estático y dinámico, y protocolos multiforma simultánea en un solo enrutador virtual. Los dispositivos NetScreen incorporapredefinidos:

• trust-vr, que de forma predeterminada contiene todas las zonas de seguridazonas definidas por el usuario.

• untrust-vr, que de forma predeterminada no contiene ninguna zona de segu

Algunos dispositivos NetScreen permiten crear otros enrutadores virtuales personalinformación de enrutamiento en dos (o más) enrutadores virtuales, se puede controdeterminado dominio de enrutamiento será visible desde otros dominios de enrutammantener la información de enrutamiento de todas las zonas de seguridad de una revirtual predefinido trust-vr, y la información de enrutamiento de todas las zonas fueraenrutador virtual predefinido untrust-vr. Gracias a que la información de la tabla de evirtual no es visible desde el otro, la información de enrutamiento de la red interna sfuentes no fiables situadas fuera de la empresa. Esto también significa que el tráficoenrutador virtual no se reenvía automáticamente a las zonas de otro enrutador virtuapermitan el tráfico. Si desea que dos enrutadores virtuales puedan intercambiar tráflas rutas entre esos VR o configurar una ruta estática en uno de ellos que defina al (“next-hop”).

Este capítulo no contiene información sobre cómo crear enrutadores virtuales persoenrutadores virtuales ni exportar rutas entre ellos. Para obtener más información soconsulte “Enrutadores virtuales” en la página 21.

Capítulo 1 Tablas de enrutamiento y enrutamiento estático Cuándo configurar rutas estáticas

9

or virtual pueda dirigir tráfico a unque esté utilizando el cas cuando se cumplen

ro es accesible a través de un irse una ruta estática hacia la zona Untrust puede

onexiones de Internet, por lo ráfico destinado a cada

to de un enrutador virtual es adores virtuales en el mismo una ruta predeterminada que untrust-vr el tráfico destinado a puede definir una ruta no encontradas en la tabla de

en y llega tráfico entrante a una vr, deberá definir una entrada icando trust-vr como salto adas de la tabla de


CUÁNDO CONFIGURAR RUTAS ESTÁTICASLa tabla de enrutamiento proporciona la información necesaria para que un enrutaddiferentes interfaces y subredes. Probablemente necesitará definir rutas estáticas aenrutamiento dinámico en el dispositivo NetScreen. Es necesario definir rutas estáticondiciones como las siguientes:

• Si una red no está conectada directamente con el dispositivo NetScreen peenrutador de una interfaz contenida en un enrutador virtual (VR), debe definred que contenga la dirección IP del enrutador. Por ejemplo, la interfaz de laencontrarse en una subred con dos enrutadores, cada uno con diferentes cque será necesario definir qué enrutador deberá utilizarse para reenviar el tproveedor específico.

• Para agregar una ruta predeterminada (0.0.0.0/0) en la tabla de enrutamiennecesario definir una ruta estática. Por ejemplo, si está utilizando dos enrutdispositivo NetScreen, la tabla de enrutamiento de trust-vr podría contener especificaría untrust-vr como el salto siguiente. Esto permitiría enrutar haciadirecciones no expresadas en la tabla de enrutamiento de trust-vr. Tambiénpredeterminada en untrust-vr para desviar el tráfico destinado a direccionesenrutamiento de untrust-vr hacia la dirección IP específica de un enrutador.

• Si está utilizando dos enrutadores virtuales en el mismo dispositivo NetScreinterfaz de untrust-vr destinado a una red conectada a una interfaz de trust-estática en la tabla de enrutamiento de untrust-vr para la red de destino, indsiguiente. (Observe que no es necesario definir esta ruta estática si las entrenrutamiento de trust-vr se exportan a untrust-vr).

Capítulo 1 Tablas de enrutamiento y enrutamiento estático Cuándo configurar rutas estáticas

10

utas estáticas que dirijan el e usuario que pasa por el cas que dirijan los mensajes de bién deberá definir rutas que DAP, y las comprobaciones de

ia el destino, deberá establecer erfaz deseada.

l dominio de enrutamiento ir tráfico procedente de un MIP o VIP en untrust-vr que

destino para encontrar la mejor abilitar tablas de enrutamiento to, las basadas en orígenes y enrutador virtual.

ecesario definir una ruta que el destino se encuentre en a través de la cual enviar el


• Cuando el dispositivo funciona en modo transparente, es necesario definir rtráfico administrativo originado en el dispositivo mismo (distinto del tráfico dcortafuegos) a los destinos remotos. Por ejemplo, deberá definir rutas estátisyslog, SNMP y WebTrends a la dirección de un administrador remoto. Tamdirijan las peticiones de autenticación a los servidores RADIUS, SecurID y LURL al servidor Websense.

• Para el tráfico VPN saliente donde exista más de una interfaz de salida hacuna ruta para dirigir el tráfico saliente al enrutador externo a través de la int

• Si el modo de funcionamiento de una interfaz en una zona de seguridad detrust-vr es NAT, y si esa interfaz tiene configurada una MIP o VIP para reciborigen en el dominio de enrutamiento untrust-vr, deberá crear una ruta a la apunte a trust-vr como puerta de enlace.

• De forma predeterminada, el dispositivo NetScreen utiliza direcciones IP de ruta por la que reenviar paquetes. En un enrutador virtual, también puede hbasadas en orígenes o basadas en interfaces. Ambas tablas de enrutamienlas basadas en interfaces, contienen las rutas estáticas que configure en el

Nota: Cuando el dispositivo NetScreen trabaja en modo transparente, es nestática para el tráfico administrativo generado por el dispositivo incluso aunla misma subred que éste. Esta ruta se requiere para especificar la interfaztráfico.

Capítulo 1 Tablas de enrutamiento y enrutamiento estático Configuración de rutas estáticas

11

ositivo NetScreen o la dirección asegúrese de que en su tabla

de ser cualquier interfaz /2) o una interfaz de túnel. (consulte “Reenvío de tráfico a

o existen varias rutas hacia la predeterminada para las rutas

al redistribuir rutas. Por an valores de etiqueta

odas las rutas estáticas tienen

esté inactiva o se haya ctivas” en la página 19.


CONFIGURACIÓN DE RUTAS ESTÁTICASPara configurar una ruta estática se necesita definir lo siguiente:

• El enrutador virtual en el cual se está agregando la ruta.

• La dirección IP y la máscara de red de la red de destino.

• El salto siguiente para la ruta, que puede ser otro enrutador virtual en el dispIP de una puerta de enlace (enrutador). Si especifica otro enrutador virtual, de enrutamiento exista una entrada para la red de destino.

• La interfaz a través de la cual se reenvía el tráfico enrutado. La interfaz puecompatible con ScreenOS, como una interfaz física (por ejemplo, ethernet1También puede especificar la interfaz nula para determinadas aplicaciones la interfaz nula” en la página 18).

• (Opcional) La métrica de ruta se utiliza para seleccionar la ruta activa cuandmisma red de destino, y todas con el mismo valor de preferencia. La métricaestáticas es 1.

• (Opcional) Una etiqueta de ruta es un valor que se puede utilizar como filtroejemplo, puede seleccionar importar solamente aquellas rutas que contengespecificados a un enrutador virtual.

• (Opcional) Un valor de preferencia para la ruta. De forma predeterminada, tel mismo valor de preferencia que se establece en el enrutador virtual.

• (Opcional) Si la ruta se debe mantener activa aunque la interfaz del reenvíoeliminado la dirección IP de la interfaz. Consulte “Rutas permanentemente a


12

zona Trust en modo NAT ota (a través de rmes syslog al administrador

Manager al administrador urID en la zona DMZ para de URLs.

stinos siguientes (los números

el VR)

iento de trust-vr (ruta

a Trust, ethernet2 a la zona 10.1.1.1/24, 2.2.10.1/24 y


Ejemplo: Rutas estáticasEn el ejemplo siguiente, un dispositivo NetScreen que funciona con su interfaz de laprotege una red de múltiples niveles. Se utiliza tanto administración local como remNetScreen-Security Manager). El dispositivo NetScreen envía capturas SNMP e infolocal (situado en una red de la zona Trust) y envía informes de NetScreen-Security remoto (situado en una red de la zona Untrust). El dispositivo utiliza un servidor Secautenticar usuarios y un servidor Websense en la zona Trust para realizar el filtrado

Las tablas de enrutamiento de trust-vr y untrust-vr deben contener rutas hacia los desiguientes corresponden al gráfico mostrado en página 13):

untrust-vr

1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para

2. Administrador remoto en la subred 3.3.3.0/24

3. La subred 2.2.40.0/24 en la zona DMZ

4. La subred 2.20.0.0/16 en la zona DMZ

trust-vr

5. untrust-vr para todas las direcciones no encontradas en la tabla de enrutampredeterminada para el VR)

6. La subred 10.10.0.0/16 en la zona Trust



Nota: El ejemplo siguiente asume que ethernet1 ya está asociada a la zonDMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son2.2.2.1/24, respectivamente.


13

4

= Enrutador

= Conmutador/ concentrador (switch o hub)

r

Zona DMZ

2.2.40.0/24 2.20.30.0/24

2.20.3.0/24 2.20.4.0/24

10.0/24

2.20.30.2/242.20.3.1/242.20.4.1/24

Servidor SecurID2.2.45.7/32

2.2.10.3/242.20.30.1/24

r


12

6

7

8

3

Internet

NetScreen

Administración remotaNetScreen-Security Manage

3.3.3.10/32

3.3.3.0/24

2.2.2.0/24

Zona Untrust

Zona Trust

10.1.1.0/24

2.2.

2.2.10.2/242.2.40.1/24

10.30.1.0/24

10.20.1.0/24

10.10.40.0/2410.10.30.0/24

10.20.3.0/24 10.20.4.0/24

10.20.1.2/2410.20.3.1/2410.20.4.1/24

10.1.1.2/2410.10.30.1/2410.10.40.1/24

10.1.1.4/2410.30.1.1/24

10.1.1.3/2410.20.1.1/24

Administración local10.10.30.5/32

Servidor Websense10.30.4.7/32

3.3.3.1/242.2.2.3/24

200.20.2.2/242.2.2.2/245

Rutapredeterminada

untrust-vr

trust-v

Configuración de rutas estáticas


14

ntes datos para crear la puerta

ntes datos para dirigir los ción remota, y haga clic en OK :

ntes datos y haga clic en OK :

ntes datos y haga clic en OK :


WebUI

1. untrust-vrNetwork > Routing > Routing Entries > untrust-vr New: Introduzca los siguiede enlace predeterminada en la zona no fiable y haga clic en OK :

Network Address/Netmask: 0.0.0.0/0

Gateway: (seleccione)

Interface: ethernet3

Gateway IP Address: 2.2.2.2

Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguieinformes del sistema generados por el dispositivo NetScreen a la administra





Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie





Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie






15

es datos y haga clic en OK :

untrust-vr




saje del sistema pidiendo en Cancel para cancelar la


2. trust-vrNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient


Next Hop Virtual Router Name: (seleccione);

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient















Nota: Para eliminar una entrada, haga clic en Remove . Aparecerá un menconfirmación para realizar la eliminación. Haga clic en OK para continuar oacción.


16

t3 gateway 2.2.2.2et3 gateway 2.2.2.3net2 gateway 2.2.10.2net2 gateway 2.2.10.3

et1 gateway 10.1.1.2et1 gateway 10.1.1.3et1 gateway 10.1.1.4

Un servidor FTP recibe tráfico fico que sale por la interfaz de

Servidor FTP 10.2.2.5

ntrust


CLI

1. untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 3.3.3.0/24 interface ethernset vrouter untrust-vr route 2.2.40.0/24 interface etherset vrouter untrust-vr route 2.20.0.0/16 interface ether

2. trust-vrset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter trust-vr route 10.10.0.0/16 interface ethernset vrouter trust-vr route 10.20.0.0/16 interface ethernset vrouter trust-vr route 10.30.1.0/24 interface ethernsave

Ejemplo: Ruta para una interfaz de túnelEn este ejemplo, un host fiable reside en una subred diferente que la interfaz fiable.entrante a través de un túnel VPN. Se necesita establecer una ruta para dirigir el trátúnel al enrutador interno que conduce a la subred donde reside el servidor.

Enrutador1.1.1.250

Internet

Túnel VPN

Interfaz Trustethernet1

10.1.1.1/24

Tunnel.110.10.1.1/24

Interfaz Untrustethernet31.1.1.1/24

Zona UZona Trust


17



1 gateway 1.1.1.250

ro debe crear la interfaz


WebUI




Interface: tunnel.1







CLI

set vrouter trust-vr route 10.2.2.5/32 interface tunnel.set vrouter trust-vr route 0.0.0.0/0 interface ethernet3save

Nota: Para que tunnel.1 aparezca en la lista desplegable “Interface”, primetunnel.1.


18

ntras que la interfaz nula convertir la ruta a la interfaz s rutas. Hay tres usos para las

áfico:

erminada el dispositivo ada en la interfaz de origen. nterfaz de origen, consulte encuentra en la tabla de el origen no está activado, el enrutamiento basada en el rigen, el dispositivo NetScreen

da en los destinos. Si desea da en el origen o en la tabla de en la tabla de enrutamiento a. Utilice una métrica más alta te ninguna otra ruta basada en

salida para encriptar el tráfico das las rutas definidas en la sea de túnel, el tráfico no se nvíe a una interfaz que no sea


Reenvío de tráfico a la interfaz nulaPuede configurar rutas estáticas usando la interfaz nula como interfaz de salida. Miesiempre se considera activa, el tráfico destinado a la interfaz nula se descarta. Paranula en una ruta de “último recurso”, defínala con una métrica más alta que las demárutas estáticas que emplean la interfaz nula como interfaz en la que se reenvía el tr

• Impedir consulta de rutas en otras tablas de enrutamiento

Si se habilita el enrutamiento basado en interfaz de origen, de forma predetNetScreen realiza operaciones de consulta en la tabla de enrutamiento bas(Para obtener información sobre la configuración del enrutamiento basado i“Enrutamiento según la interfaz de origen” en la página 44.). Si la ruta no seenrutamiento basada en la interfaz de origen y si el enrutamiento basado endispositivo NetScreen realiza operaciones de consulta de ruta en la tabla deorigen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el orealiza operaciones de consulta de la ruta en la tabla de enrutamiento basaevitar las operaciones de consulta de rutas en la tabla de enrutamiento basaenrutamiento basada en los destinos, puede crear una ruta predeterminadabasada en le interfaz de origen con la interfaz nula como la interfaz de salidque el resto de las rutas para asegurar que esta ruta sólo se utilice si no exisla interfaz que coincida con la ruta.

• Impedir que el tráfico del túnel se envíe en interfaces que no sean de túnel

Puede utilizar las rutas estáticas o dinámicas con las interfaces de túnel de dirigido a destinos específicos. Si una interfaz de túnel se queda inactiva, tointerfaz quedan inactivas. Si hay una ruta alternativa en una interfaz que noenvía encriptado. Para impedir que el tráfico que debe estar encriptado se e


19

n la interfaz nula como interfaz de túnel de modo que la ruta nterfaz de túnel queda inactiva, escarta.

positivo reciba el tráfico uede reenviar el tráfico basado ico de nuevo al dispositivo puede definir una ruta estática lida y una métrica de ruta alta. ren en su anuncio de ruta

do activo en una tabla de ne una dirección IP asignada. dispositivo NetScreen siempre ntenerse activa incluso cuando do al servidor XAuth no se

nfigura el seguimiento de IP. El te a través de una interfaz az original. Aun cuando el z de enviar peticiones del vez accesibles.


de túnel, defina una ruta estática al mismo destino que el tráfico del túnel code salida. Asigne a esta ruta una métrica más alta que la ruta de la interfaz solamente se active si la ruta de la interfaz de túnel no está disponible. Si la ila ruta con la interfaz nula se activa y el tráfico para el destino del túnel se d

• Evitar bucles de tráfico

Cuando el dispositivo NetScreen anuncia rutas resumidas, puede que el disdestinado a prefijos que no se encuentran en sus tablas de enrutamiento. Pen su ruta predeterminada. El enrutador de recepción puede reenviar el tráfNetScreen debido al anuncio de la ruta resumida. Para evitar dichos bucles,para el prefijo de la ruta resumida con la interfaz nula como la interfaz de saSi el dispositivo NetScreen recibe el tráfico para los prefijos que se encuentresumida pero no en sus tablas de enrutamiento, se descarta el tráfico.

Rutas permanentemente activasHay ciertas situaciones en las que quizás le interese que una ruta mantenga su estaenrutamiento incluso si la interfaz física asociada a la ruta se queda inactiva o no tiePor ejemplo, un servidor XAuth puede asignar una dirección IP a una interfaz en unque se necesite enviar tráfico al servidor. La ruta hacia el servidor de XAuth debe mano haya dirección IP asignada en la interfaz de modo que el tráfico que está destinadescarte.

También es útil mantener activas las rutas a través de las interfaces en las que se coseguimiento de IP permite que el dispositivo NetScreen reencamine el tráfico saliendiferente si las direcciones IP de destino no se pueden alcanzar a través de la interfdispositivo NetScreen puede reencaminar el tráfico a otra interfaz, necesita ser capacomando ping en la interfaz original para determinar si los destinos llegan a ser otra


20

2

21

Capítulo 2

s sistemas y dispositivos de áfico seguro a los destinos ue utilice sólo rutas estáticas, amiento siempre que haya un táticas, consulte “Tablas de rmite a los dispositivos sitivos de red mediante la actualizan automáticamente.

bios en la topología de la red y ara obtener información sobre

202.

ispositivos NetScreen y cómo ste capítulo contiene las

a 36


Enrutadores virtuales

El enrutamiento es una parte fundamental de los dispositivos de seguridad como loNetScreen. Sin el enrutamiento, los dispositivos de seguridad no podrían reenviar trpotenciales de forma efectiva. Se puede configurar un dispositivo NetScreen para qpero entonces se debe añadir, eliminar o modificar una entrada de la tabla de enrutcambio en la red. (Para obtener más información sobre la configuración de rutas esenrutamiento y enrutamiento estático” en la página 1). El enrutamiento dinámico peNetScreen intercambiar información de enrutamiento con enrutadores y otros dispoutilización de protocolos de uso habitual y tablas de enrutamiento que se crean y seLos protocolos de enrutamiento dinámico reducen mucho el intervalo entre los camlos ajustes en la tabla de enrutamiento porque estos se realizan automáticamente. Pla tabla de rutas multicast, consulte “Tabla de enrutamiento multicast” en la página

En este capítulo se explica cómo configurar los enrutadores virtuales (VRs) en los dredistribuir las entradas de la tabla de enrutamiento entre protocolos o entre VRs. Esiguientes secciones:

• “Enrutadores virtuales de los dispositivos NetScreen” en la página 23

– “Utilización de dos enrutadores virtuales” en la página 23

– “Reenvío de tráfico entre enrutadores virtuales” en la página 24

– “Configuración de dos enrutadores virtuales” en la página 24

– “Enrutadores virtuales personalizados” en la página 27

– “Enrutadores virtuales y sistemas virtuales” en la página 29

• “Modificación de enrutadores virtuales” en la página 33

– “ID del enrutador virtual” en la página 34

– “Número máximo de entradas de la tabla de enrutamiento” en la págin

Capítulo 2 Enrutadores virtuales

22

gina 54

a 62


• “Selección de rutas” en la página 37

– “Preferencia de ruta” en la página 37

– “Métrica de ruta” en la página 39

• “Tablas de enrutamiento” en la página 40

– “Enrutamiento según el origen” en la página 40

– “Enrutamiento según la interfaz de origen” en la página 44

– “Secuencia de consulta de rutas” en la página 46

– “Consulta de rutas en múltiples enrutadores virtuales” en la página 50

• “Enrutamiento de rutas múltiples de igual coste” en la página 52

– “Activación del enrutamiento de rutas múltiples de igual coste” en la pá

• “Redistribución de rutas” en la página 55

– “Configuración de un mapa de rutas” en la página 56

– “Filtrado de rutas” en la página 58

– “Listas de acceso” en la página 58

• “Exportación e importación de rutas entre enrutadores virtuales” en la págin

Capítulo 2 Enrutadores virtuales Enrutadores virtuales de los dispositivos NetScreen

23

virtuales. Los enrutadores s multicast que se pueden de Juniper Networks

d predefinidas y las zonas

ridad.

en algunos dispositivos “Enrutadores virtuales enrutadores virtuales res virtuales predefinidos y los

asterisco (*) indica que trust-vr bla de VRs ejecutando el pecificar el VR por nombre, por

ede controlar qué información nrutamiento. Por ejemplo, se una red corporativa en el VR

red corporativa en el otro VR n VR no es visible desde el fuentes no fiables situadas


ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREENScreenOS puede dividir su componente de enrutamiento en dos o más enrutadoresvirtuales (VRs) admiten protocolos de enrutamiento estático y dinámico, y protocoloactivar de forma simultánea en un solo enrutador virtual. Los dispositivos NetScreenincorporan dos enrutadores virtuales predefinidos:

• trust-vr, que de forma predeterminada contiene todas las zonas de seguridadefinidas por el usuario.

• untrust-vr, que de forma predeterminada no contiene ninguna zona de segu

No se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Sin embargo, NetScreen se pueden crear y configurar enrutadores virtuales adicionales (consultepersonalizados” en la página 27 para obtener más información sobre la creación depersonalizados). Se pueden configurar determinados parámetros para los enrutadopersonalizados (consulte “Modificación de enrutadores virtuales” en la página 33).

Pueden existir varios VRs, pero trust-vr es el predeterminado. En la tabla de VR, unes el VR predeterminado en la interfaz de línea de comandos (CLI). Puede ver la tacomando CLI get vrouter . Para configurar zonas e interfaces en otros VRs, debe esejemplo untrust-vr .

Utilización de dos enrutadores virtualesDividiendo la información de enrutamiento en dos enrutadores virtuales (VRs), se pude un determinado dominio de enrutamiento será visible desde otros dominios de epuede mantener la información de enrutamiento de todas las zonas de seguridad depredefinido trust-vr, y la información de enrutamiento de todas las zonas fuera de lapredefinido untrust-vr. Gracias a que la información de la tabla de enrutamiento de uotro, la información de enrutamiento de la red interna se puede mantener aislada defuera de la empresa.


24

o se reenvía automáticamente ermitan el tráfico. Para habilitar respondientes entradas en la

salto para la ruta. Esta ruta nfigurar una ruta estino de un paquete de salida

st-vr, se reenvía al untrust-vr. sulte “Tablas de enrutamiento y

nto de otro VR. Se pueden rutas de la tabla de e paquetes recibidos en el xportación e importación de

rtuales (VRs) en un dispositivo a predeterminada, todas las

vr. Esto significa que todas las a sección analiza cómo asociar

nas de seguridad a un sólo VR es de las zonas deben estar en la zona pertenecen al VR. Se ay que quitar todas las iar una interfaz con respecto a ntos”).


Reenvío de tráfico entre enrutadores virtualesCuando hay dos enrutadores virtuales (VRs) en un dispositivo NetScreen, el tráfico nentre las zonas que se encuentran en distintos VR, aunque existan directivas que pel paso de tráfico de un VR a otro, es necesario estar seguro de que existen las cortabla de enrutamiento. Para ello, se puede hacer lo siguiente:

• Configurar una ruta estática en un VR que defina otro VR como el siguientepuede incluso ser la ruta predeterminada del VR. Por ejemplo, se puede copredeterminada para el trust-vr con el untrust-vr como siguiente salto. Si el dno coincide con ninguna de las entradas de la tabla de enrutamiento del truPara obtener más información sobre la configuración de rutas estáticas, conenrutamiento estático” en la página 1.

• Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamieexportar e importar rutas concretas. También se pueden exportar todas las enrutamiento del trust-vr a la tabla del untrust-vr. Esto posibilita el reenvío duntrust-vr a destinos del trust-vr. Para obtener más información, consulte “Erutas entre enrutadores virtuales” en la página 62.

Configuración de dos enrutadores virtualesComo se ha mencionado anteriormente, se pueden configurar varios enrutadores viNetScreen manteniendo una tabla de enrutamiento separada para cada VR. De formzonas de seguridad predefinidas y definidas por el usuario están asociadas al trust-interfaces asociadas a esas zonas de seguridad también pertenecen al trust-vr. Estuna zona de seguridad (y sus interfaces) al VR untrust-vr.

Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias zocuando no hay superposición de direcciones entre zonas. Esto es, todas las interfacmodo de ruta. Una vez que una zona está asociada a un VR, todas las interfaces depuede cambiar el vínculo de una zona de seguridad de un VR a otro, pero primero hinterfaces de la zona. (Para obtener más información sobre cómo asociar y desasocuna zona de seguridad, consulte el capítulo “Interfaces” en el Volumen 2, “Fundame


25

al VR untrust-vr:

o se puede modificar el vínculo dirección IP a una interfaz, es

a zona.

erminada al trust-vr y la interfaz ociadas a la zona de seguridad ernet3 con un valor de 0.0.0.0,

trust-vr.

ga clic en OK :

ble Virtual Router Name y haga

legable Zone Name y haga clic


A continuación se enumeran los pasos básicos para asociar una zona de seguridad

1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. Nde zona a VR si hay una interfaz asignada a la zona. Si se ha asignado unanecesario eliminar la asignación de dirección antes de quitar la interfaz de l

2. Asignar la zona al VR untrust-vr.

3. Asignar de nuevo las interfaces a la zona.

Ejemplo: Asociación de una zona al untrust-vrEn el siguiente ejemplo, la zona de seguridad untrust está asociada de forma predetethernet3 está asociada a la zona de seguridad untrust. (No hay otras interfaces asuntrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz ethdespués cambiar los enlaces para que la zona de seguridad untrust se asocie al un

WebUI

1. Desasociar la interfaz de la zona untrustNetwork > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y ha

Zone Name: Null

IP Address/Netmask: 0.0.0.0/0

2. Asociar la zona untrust al untrust-vrNetwork > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegaclic en OK .

3. Asociar la interfaz a la zona untrustNetwork > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista despen OK .


26

stra la interfaz, la zona y los , la zona untrust está asociada a y enlaces del VR después de

. 7 policy configurable zone(s)------------------------------- VR Default-IF VSYSed untrust-vr null Rooted untrust-vr ethernet3 Root trust-vr ethernet1 Root trust-vr ethernet2 Root trust-vr self Root trust-vr vlan1 Root trust-vr null Root trust-vr null Root trust-vr v1-untrust Root trust-vr v1-trust Root trust-vr v1-dmz Root trust-vr null Root---------------------------------

ciada al untrust-vr


CLI

1. Desasociar la interfaz de la zona untrustset interface ethernet3 0.0.0.0/0unset interface ethernet3 zone

2. Asociar la zona untrust al untrust-vrset zone untrust vr untrust-vr

3. Asociar la interfaz a la zona untrustset interface eth3 zone untrustsave

En las siguientes imágenes, el resultado del comando get zone de la izquierda mueenlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminadosal trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zonhaber reconfigurado los enlaces, la zona untrust está ahora asociada al untrust-vr.

ns-> get zoneTotal of 12 zones in vsys root. 7 policy configurable zone(s)-------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS

0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root10 Global Sec(L3) trust-vr null Root11 V1-Untrust Sec(L2) trust-vr v1-untrust Root12 V1-Trust Sec(L2) trust-vr v1-trust Root13 V1-DMZ Sec(L2) trust-vr v1-dmz Root16 Untrust-Tun Tun trust-vr null Root

ns-> get zoneTotal of 12 zones in vsys root------------------------------ID Name Type Attr

0 Null Null Shar 1 Untrust Sec(L3) Shar 2 Trust Sec(L3) 3 DMZ Sec(L3) 4 Self Func 5 MGT Func 6 HA Func 10 Global Sec(L3) 11 V1-Untrust Sec(L2) 12 V1-Trust Sec(L2) 13 V1-DMZ Sec(L2) 16 Untrust-Tun Tun

------------------------------

Zona untrust asociada al trust-vr (enlaces predeterminados) Zona untrust aso


27

alizados además de los dos rio, incluidos la identidad del r de preferencia de las rutas de

a exportación de rutas

y haga clic en OK :

)

cesaria una clave de licencia de


Enrutadores virtuales personalizadosAlgunos dispositivos NetScreen1 permiten crear enrutadores virtuales (VRs) personpredefinidos. Se pueden modificar todos los aspectos de un VR definido por el usuaVR, el número máximo de entradas permitidas en la tabla de enrutamiento, y el valodeterminados protocolos.

Ejemplo: Creación de un enrutador virtual personalizadoEn este ejemplo, se crea un VR personalizado denominado trust2-vr y se habilita unautomática del VR trust2-vr al untrust-vr.

WebUI

Network > Routing > Virtual Routers > New: Introduzca los siguientes datos

Virtual Router Name: trust2-vr

Auto Export Route to Untrust-VR: (seleccione

CLI

set vrouter name trust2-vrset vrouter trust2-vr auto-route-exportsave

1. Sólo determinados dispositivos NetScreen admiten VRs personalizados. Para crear VRs personalizados, es nesoftware.


28

te denominado trust2-vr.

r .

OK .

set, are you sure? y/[n]),

ntrust-vr y trust-vr, pero se bre de un VR definido por el volver a crearlo con el nuevo


Ejemplo: Eliminación de un enrutador virtual personalizadoEn este ejemplo, se elimina un enrutador virtual (VR) definido por el usuario existen

WebUI

Network > Routing > Virtual Routers: Haga clic en Remove para el trust2-v

Cuando aparezca la petición de confirmación de la eliminación, haga clic en

CLI

unset vrouter trust2-vr

Cuando aparezca la petición de confirmación para la eliminación (vrouter unteclee Y.

save

Nota: No se pueden eliminar los enrutadores virtuales (VRs) predefinidos upuede eliminar cualquier VR definido por el usuario. Para modificar el nomusuario o cambiar la ID del VR, se debe primero eliminar el VR, y despuésnombre o ID del VR.


29

habilitado2, automáticamente el

st-vr es, de forma predefinida, de nivel raíz como compartido.VR de nivel vsys que mantiene rar el VR como vsysname-vr o mpartido por otros vsys.

nformación sobre sistemas a uno de los tres vsys tiene dos

, es necesaria una clave de licencia

s1-vr

-vr Creados automáticamente cuando se crea vsys


Enrutadores virtuales y sistemas virtualesCuando un administrador del nivel raíz crea un vsys en sistemas con sistema virtual vsys tiene los siguientes enrutadores virtuales (VRs) disponibles para su uso:

• Cualquier VR de nivel raíz que haya sido definido como compartido. El untruun VR compartido accesible por cualquier vsys. Se puede configurar otro VR

• Un VR de nivel vsys. Cuando se crea un vsys, se crea automáticamente un la tabla de enrutamiento de la zona Trust-vsysname. Se puede elegir nombcon un nombre definido por el usuario. Un VR de nivel vsys no puede ser co

Se pueden definir uno o más VRs personalizados para un vsys. Para obtener más ivirtuales, consulte el Volumen 9, “Sistemas virtuales”. En la siguiente ilustración, cadVRs asociados: un VR de nivel vsys llamado vsysname-vr, y el untrust-vr.

2. Sólo los sistemas NetScreen (NetScreen-500, -5200, -5400) soporta sistemas virtuales. Para crear objetos vsysde software.

vsys1

vsys2

vsys3

sistema

DMZMail

Untrust

Finance

Trust Eng

Trust-vsys1

Trust-vsys2

Trust-vsys3

untrust-vr(enrutador virtual de

nivel raíz compartido)

trust-vr

vsy

vsys2

vsys3-vr


30

10.1.1.9 para el vsys my-vsys1.

Introduzca los siguientes datos


Ejemplo: Creación de un enrutador virtual en un vsysEn este ejemplo, se define un enrutador virtual personalizado vr-1a con la ID de VR

WebUI

Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > New:y haga clic en Apply :

Virtual Router Name: vr-1a

Virtual Router ID: Custom (seleccione)

En el cuadro de texto, introduzca 10.1.1.9

CLI

set vsys my-vsys1(my-vsys1) set vrouter name vr-1a(my-vsys1/vr-1a) set router-id 10.1.1.9(my-vsys1/vr-1a) exit(my-vsys1) exit

Teclee Y cuando aparezca la siguiente pregunta:

Configuration modified, save? [y]/n


31

ys. Se puede cambiar el VR el VR personalizado vr-1a ys1:

(para vr-1a): Seleccione Make

inada al VR de nivel vsys que inida Trust-vsysname y ponible para el vsys.

e nivel vsys no se pueden s. Esto permite definir rutas en también configurar la


El VR de nivel vsys que se crea al crear el vsys es el VR predeterminado para un vspredeterminado de un vsys por un VR personalizado. Por ejemplo, puede hacer quecreado anteriormente en este ejemplo sea el VR predeterminado para el vsys my-vs

WebUI

Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit This Vrouter Default-Vrouter for the System y haga clic en Apply .

CLI

set vsys my-vsys1(my-vsys1) set vrouter vr-1a(my-vsys1/vr-1a) set default-vrouter(my-vsys1/vr-1a) exit(my-vsys1) exit



La zona de seguridad predefinida Trust-vsysname está asociada de forma predetermse crea al crear el vsys. No obstante, se puede asociar la zona de seguridad predefcualquier zona de seguridad de nivel vsys definida por el usuario a cualquier VR dis

El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs dcompartir, se puede definir cualquier VR de nivel raíz para ser compartido por el vsyun VR de nivel vsys que utilizan un VR de nivel raíz como siguiente salto. Se puederedistribución de rutas entre un VR de nivel vsys y un VR de nivel raíz compartido.


32

as de la tabla de enrutamiento por el vsys, se puede definir nte salto. En este ejemplo, el

y haga clic en OK :

one)

ara my-vsys1-vr): Introduzca los

0

y-router

ter my-router


Ejemplo: Compartir rutas entre enrutadores virtualesEn este ejemplo, el enrutador virtual (VR) de nivel raíz my-router contiene las entradpara la red 4.0.0.0/8. Si se configura el VR de nivel raíz my-router como compartibleuna ruta en un VR de nivel vsys para el destino 4.0.0.0/8 con my-router como siguievsys es my-vsys1 y el VR de nivel vsys es my-vsys1-vr.

WebUI

Network > Routing > Virtual Routers > New: Introduzca los siguientes datos

Virtual Router Name: my-router

Shared and accessible by other vsys (selecci

Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New (psiguientes datos y haga clic en OK :

Network Address/Netmask: 40.0.0.0 255.0.0.

Next Hop Virtual Router Name: (seleccione) m

CLI

set vrouter name my-router sharableset vsys my-vsys1(my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrou(my-vsys1) exit



Capítulo 2 Enrutadores virtuales Modificación de enrutadores virtuales

33

nte WebUI o CLI. Por ejemplo,

para obtener más información)

sulte “Número máximo de rmación)

ncia de ruta” en la página 37

te de datos (de forma el paquete de datos). Consulte ón.

a al untrust-vr para interfaces

uiente salto

s de enrutamiento dinámico

cación (de forma n ser redistribuidas a otros


MODIFICACIÓN DE ENRUTADORES VIRTUALESSe puede modificar un enrutador virtual (VR) personalizado o predeterminado mediapara modificar el VR trust-vr:

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit

CLI

set vrouter trust-vr

Se pueden modificar los siguientes parámetros de los VRs:

• La ID de enrutador virtual (consulte “ID del enrutador virtual” en la página 34

• El número máximo de entradas permitidas en la tabla de enrutamiento (conentradas de la tabla de enrutamiento” en la página 36 para obtener más info

• El valor de preferencia para las rutas, según el protocolo (consulte “Preferepara obtener más información)

• Hacer que el VR reenvíe el tráfico según la dirección IP de origen del paquepredeterminada, un VR reenvía el tráfico según la dirección IP de destino d“Enrutamiento según el origen” en la página 40 para obtener más informaci

• (Sólo para el trust-vr) Habilitar o inhabilitar la exportación de rutas automáticconfiguradas en modo de ruta

• (Sólo para el trust-vr) Añadir una ruta predeterminada con otro VR como sig

• (Sólo para el VR de nivel raíz) Hacer capturas SNMP privadas para las MIB

• Permitir que rutas de interfaces inactivas sean tenidas en cuenta para notifipredeterminada, sólo las rutas activas definidas en interfaces activas puedeprotocolos o exportadas a otros VRs).


34

rfaces (de forma puestas para interfaces en el

del protocolo NetScreen

za una única identidad de e ser en forma de notación de enrutador virtual concreto áticamente selecciona la tidad del enrutador.

ión IP 192.168.1.1 a la interfaz colo de enrutamiento dinámico bablemente la dirección sto que no puede haber varios

, Juniper Networks recomienda tablecer la ID del VR a la o es una VSI (interfaz de onsulte el Volumen 10, “Alta SRP).


• Hacer que el VR ignore las direcciones de subredes superpuestas para intepredeterminada, no se pueden configurar direcciones IP de subredes supermismo VR).

• Permitir que el VR sincronice su configuración con el VR en su interlocutor Redundancy Protocol (NSRP)

ID del enrutador virtualCon los protocolos de enrutamiento dinámico, cada dispositivo de enrutamiento utilienrutador para comunicar con otros dispositivos de enrutamiento. La identidad pueddecimal con puntos, como una dirección IP, o un valor entero. Si no se define una IDantes de la habilitación de un protocolo de enrutamiento dinámico, ScreenOS automdirección IP más alta de las interfaces activas en el enrutador virtual (VR) como iden

De forma predeterminada todos los dispositivos NetScreen tienen asignada la direccVLAN1. Si no se especifica una ID del enrutador antes de la habilitación de un protoen un dispositivo NetScreen, la dirección IP elegida como ID del enrutador será propredeterminada 192.168.1.1. Esto puede provocar un problema de enrutamiento pueVRs NetScreen con la misma ID de VR en un dominio de enrutamiento. Por lo tantoque siempre se asigne una ID de VR explícita que sea única en la red. Se puede esdirección de la interfaz de bucle invertido, puesto que la interfaz de bucle invertido nseguridad virtual) en un clúster NSRP (protocolo de redundancia de NetScreen). (Cdisponibilidad” para obtener más información sobre la configuración de un clúster N


35

s datos y haga clic en OK :

os. En CLI, se puede introducir cir 10 (la CLI la convierte en

litado un protocolo de r la ID del enrutador, se debe ás información sobre la l capítulo correspondiente en


Ejemplo: Asignación de una ID de enrutador virtualEn este ejemplo, se asigna 0.0.0.10 como ID de enrutador para el trust-vr.

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguiente


En el cuadro de texto, escriba 0.0.0.10

CLI

set vrouter trust-vr router-id 10save

Nota: En WebUI se debe introducir la ID del enrutador en notación decimal de puntla ID del enrutador en notación decimal de puntos (0.0.0.10) o simplemente introdu0.0.0.10).

Nota: No se puede asignar o cambiar una ID de enrutador si ya se ha habienrutamiento dinámico en el enrutador virtual (VR). Si es necesario cambiaprimero desactivar el protocolo de enrutamiento dinámico en el VR. Para mdesactivación del protocolo de enrutamiento dinámico en el VR, consulte eeste volumen.


36

tonecesita de un conjunto del reen3 y del número de VRs tabla de enrutamiento que

ice todas las entradas del

ntoamiento para el trust-vr.

uientes datos y haga clic en

tamiento disponible en su dispositivo


Número máximo de entradas de la tabla de enrutamienCada enrutador virtual (VR) se asigna las entradas de la tabla de enrutamiento que sistema. El número máximo de entradas disponibles depende del dispositivo NetScconfigurados en el dispositivo. Se puede limitar el número máximo de entradas de lapueden ser asignadas para un VR concreto. Esto sirve para prevenir que un VR utilsistema.

Ejemplo: Limitación de las entradas de la tabla de enrutamieEn este ejemplo, se ajusta a 20 el número máximo de entradas de la tabla de enrut

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los sig OK :

Maximum Route Entry:

Set limit at: (seleccione), 20

CLI

set vrouter trust-vr max-routes 20save

3. Consulte la hoja de datos del producto en cuestión para determinar el número máximo de entradas de la tabla de enruNetScreen.

Capítulo 2 Enrutadores virtuales Selección de rutas

37

de enrutamiento. Cuando la valores de preferencia de cada referencia son iguales, se lor de métrica más bajo4.

n del mejor camino para que el iento, el enrutador virtual (VR)

econocida. Se prefiere un valor ero alejado de 0).

a siguiente tabla muestra el

tonces cualquiera de ellas puede .


SELECCIÓN DE RUTASPueden existir varias rutas con el mismo prefijo (dirección IP y máscara) en la tablatabla de enrutamiento contiene varias rutas para el mismo destino, se comparan losruta. Se selecciona la que tiene el valor de preferencia más bajo. Si los valores de pcomparan los valores de métrica. En ese caso, se selecciona la ruta que tiene el va

Preferencia de rutaUna preferencia de ruta es un peso añadido a la ruta que influye en la determinaciótráfico alcance su destino. Cuando se importa o añade una ruta a la tabla de enrutamañade a la ruta un valor de preferencia, determinado por el protocolo por el cual es rde preferencia bajo (un número próximo a 0) a un valor de preferencia alto (un núm

En un VR, se puede establecer el valor de preferencia de ruta según el protocolo. Lvalor de preferencia predeterminado para las rutas de cada protocolo.

4. Si hay varias rutas para el mismo destino con los mismos valores de preferencia y los mismos valores de métrica, enresultar seleccionada. En este caso, la elección de una ruta concreta sobre otra no está garantizada ni es predecible

Protocolo Preferencia predeterminada

Connected 0

Static 20

Auto-Exported 30

EBGP 40

OSPF 60

RIP 100

Imported 140

OSPF External Type 2 200

IBGP 250


38

el camino preferido.

onectada”5 añadida a la tabla

siguientes datos y haga clic en

OSPF de tipo 1), la ta sea reconocida de

e enrutamiento


También se puede ajustar el valor de preferencia de la ruta para dirigir el tráfico por

Ejemplo: Establecimiento de una preferencia de rutaEn este ejemplo, se especifica un valor de 4 como preferencia para cualquier ruta “cde rutas del untrust-vr.

WebUI

Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los OK :

Route Preference:

Connected: 4

CLI

set vrouter untrust-vr preference connected 4save

Nota: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, la rutasnueva preferencia aparece en la tabla de rutas, pero no tiene efecto hasta que la runuevo (lo cual se consigue inhabilitando y a continuación habilitando el protocolo ddinámico), o, en el caso de rutas estáticas, eliminándola y volviéndola a añadir.

5. Una ruta es conectada cuando el enrutador tiene una interfaz con una dirección IP en la red de destino.


39

alcanzar un destino dado. Los determinar la elección de una mo valor de preferencia,

vesar para alcanzar el destino, rman, o una combinación de

utador contiguo al de origen de s siempre 0. La métrica or de métrica diferente cuando


Métrica de rutaLas métricas de ruta determinan el mejor camino que un paquete puede tomar paraenrutadores utilizan las métricas de ruta para sopesar dos rutas al mismo destino y ruta sobre la otra. Cuando hay varias rutas hacia la misma red de destino con el misprevalece la ruta con la métrica más baja.

Una métrica de ruta depende del número de enrutadores que un paquete debe atrala velocidad relativa y el ancho de banda de la ruta, el coste de los enlaces que la foestos (y otros) elementos. Cuando las rutas son reconocidas dinámicamente, el enrla ruta proporciona la métrica. La métrica predeterminada de las rutas conectadas epredeterminada de las rutas estáticas es 1, no obstante se puede especificar un valse configuran estas rutas.

Capítulo 2 Enrutadores virtuales Tablas de enrutamiento

40

:

en realizar operaciones de datos entrante. De forma

ino para encontrar la mejor ruta

en realizar operaciones de datos entrante. Para agregar tas estáticas para direcciones eraciones de consulta de rutas. sulte “Enrutamiento según el

ing” o SIBR) permite al ose en la interfaz por la que un IBR”, debe configurar rutas

de consulta de rutas. De forma utamiento según la interfaz de

n VR, puede habilitar una o origen.

de origen de un paquete de que el tráfico de los usuarios uarios de una subred diferente dor virtual (VR), el dispositivo

ón IP del origen del paquete en entra una ruta para la dirección e destino del paquete para las


TABLAS DE ENRUTAMIENTOUn enrutador virtual de NetScreen (VR) admite tres tipos de tablas de enrutamiento

• La tabla de enrutamiento basada en destinos permite al dispositivo NetScreconsulta de rutas basándose en la dirección IP de destino de un paquete depredeterminada, el dispositivo NetScreen sólo utiliza direcciones IP de destpor la que reenviar paquetes.

• La tabla de enrutamiento basada en orígenes permite al dispositivo NetScreconsulta de rutas basándose en la dirección IP de origen de un paquete de entradas a la tabla de enrutamiento basada en orígenes, debe configurar rude origen específicas en las que el dispositivo NetScreen puede realizar opDe forma predeterminada, esta tabla de enrutamiento está inhabilitada. Conorigen” en la sección siguiente.

• La tabla de enrutamiento basada en orígenes (“source interface-based routdispositivo NetScreen realizar las operaciones de consulta de rutas basándpaquete de datos entra al dispositivo. Para agregar entradas a la tabla de “Sestáticas para determinadas interfaces en las que el VR realiza operacionespredeterminada, esta tabla de enrutamiento está inhabilitada. Consulte “Enrorigen” en la página 44.

La tabla de enrutamiento basada en destinos está siempre presente en un VR. En uambas tablas de enrutamiento basadas en orígenes o basadas en las interfaces de

Enrutamiento según el origenSe puede obligar a un dispositivo NetScreen a reenviar tráfico según la dirección IPinformación en lugar de la dirección IP de destino. Por ejemplo, esta función permitede una subred concreta sea reenviado por una ruta mientras que el tráfico de los usse reenvía por otra. Cuando el enrutamiento según el origen se habilita en un enrutaNetScreen realiza operaciones de consulta de la tabla de enrutamiento en la direcciuna tabla de enrutamiento basadas en orígenes. Si el dispositivo NetScreen no encuIP de origen en la tabla de enrutamiento basada en orígenes, utiliza la dirección IP doperaciones de consulta de rutas en la tabla de enrutamiento basada en destinos.


41

n VRs especificados. Las rutas emplo, no se puede especificar n redistribuir rutas basadas en

iente:

en

una consulta en la tabla de utamiento basada en orígenes).

e si ya se ha especificado una et interface interface gateway ; la puerta de enlace basada en el origen. No se en el origen).

s con el mismo prefijo sólo la to se marcan como “inactivas”).

utiliza la IP de origen del nto basada en orígenes. Si no ón IP de destino para consultar


Las rutas basadas en el origen se definen como rutas configuradas estáticamente ebasadas en el origen sólo son aplicables a los VRs en los que se configuran. Por ejotro VR como siguiente salto para una ruta basada en el origen. Tampoco se puedeel origen a otros VRs o protocolos de enrutamiento.

Para utilizar esta función:

1. Cree al menos una ruta basada en origen especificando la información sigu

– El nombre del VR en el que es aplicable el enrutamiento según el orig

– La dirección IP de origen sobre la que el dispositivo NetScreen realizaenrutamiento (esta dirección aparece como entrada de la tabla de enr

– El nombre de la interfaz de salida por la que se reenvía el paquete

– El salto siguiente para la ruta basada en el origen (tenga en cuenta qupuerta de enlace predeterminada para la interfaz con el comando CLI sip_addr , no es necesario especificar el parámetro de puerta de enlacepredeterminada de la interfaz se usa como siguiente salto para la rutapuede especificar otro VR como siguiente salto para una ruta basada

– La métrica para la ruta basada en el origen (si hay varias de estas rutaruta con la métrica más baja se utiliza para la consulta de rutas y el res

2. Habilitar el enrutamiento según el origen en el VR. El dispositivo NetScreenpaquete para las operaciones de consulta de rutas en la tabla de enrutamiese encuentra ninguna ruta para la dirección IP de origen, se utiliza la direccila tabla de enrutamiento.


42

a al ISP 1, mientras que el figurar dos entradas en la tabla nto según el origen.

del ISP 1 (1.1.1.1) como

del ISP 2 (2.2.2.2) como

iguientes datos y haga clic en

.255.0

ISP 11.1.1.1

ISP 22.2.2.2

t1

t2


Ejemplo: Enrutamiento según el origenEn el siguiente ejemplo, el tráfico de los usuarios de la subred 10.1.1.0/24 se reenvítráfico de los usuarios de la subred 10.1.2.0/24 se reenvía al ISP 2. Es necesario conde enrutamiento del enrutador virtual predeterminado trust-vr y habilitar el enrutamie

• La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvío, y enrutadorsiguiente salto

• La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvío, y enrutadorsiguiente salto

WebUI

Network > Routing > Source Routing > New (para trust-vr): Introduzca los s OK:

Network Address/Netmask: 10.1.1.0 255.255

Interfaz: ethernet3 (seleccione)


10.1.1.0/24

10.1.2.0/24

etherne

etherne


43

iguientes datos y haga clic en

.255.0

le Source Based Routing , y

ethernet3 gateway

ethernet4 gateway

1.


Network > Routing > Source Routing > New (para trust-vr): Introduzca los s OK:




Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione Enabhaga clic en OK.

CLI

set vrouter trust-vr route source 10.1.1.0/24 interface 1.1.1.1 metric 1

set vrouter trust-vr route source 10.1.2.0/24 interface 2.2.2.2 metric 1

set vrouter trust-vr source-routing enablesave

Nota: En WebUI, la preferencia y el valor de métrica predeterminados son


44

ivo NetScreen reenviar tráfico ispositivo NetScreen). Cuando

ciones de consulta de rutas en a entrada de ruta en la tabla de sulta de la ruta en la tabla de itado en el VR) o en la tabla de

rfaces de origen especificadas. nfiguran. Por ejemplo, no se de origen. Tampoco se pueden tocolo de enrutamiento.

rmación siguiente:

rfaz de origen

iones de consulta en la tabla to).

n cuenta que si ya se ha el comando CLI set interface

e puerta de enlace; la puerta de sada en la interfaz de origen. sada en la interfaz de origen).

e estas rutas con el mismo e rutas y el resto se marcan

NetScreen utiliza la IP de la la tabla de enrutamiento


Enrutamiento según la interfaz de origenEl enrutamiento según la interfaz de origen (denominado “SIBR”) permite al dispositen función de la interfaz de origen (la interfaz por la que el paquete de datos llega al dSIBR se habilita en un enrutador virtual (VR), el dispositivo NetScreen realiza operauna tabla de enrutamiento de SIBR. Si el dispositivo NetScreen no encuentra ningunenrutamiento de SIBR para la interfaz de origen, puede realizar operaciones de conenrutamiento basada en orígenes (si el enrutamiento basado en orígenes está habilenrutamiento basada en destinos.

Las rutas basadas en la interfaz origen se definen como rutas estáticas para las inteLas rutas basadas en interfaces de origen sólo son aplicables al VR en el que se copuede especificar otro VR como siguiente salto para una ruta basada en la interfaz exportar rutas basadas en la interfaz de origen a otros VRs ni redistribuirlas a un pro

Para utilizar esta función:

1. Cree al menos una ruta basada en la interfaz de origen especificando la info

– El nombre del VR en el que es aplicable el enrutamiento según la inte

– La interfaz de origen en la cual el dispositivo NetScreen realiza operacSIBR (la interfaz aparece como una entrada en la tabla de enrutamien

– La dirección IP y el prefijo de máscara de red para la ruta

– El nombre de la interfaz de salida por la que se reenvía el paquete

– El salto siguiente para la ruta basada en la interfaz de origen (tenga eespecificado una puerta de enlace predeterminada para la interfaz coninterface gateway ip_addr , no es necesario especificar el parámetro denlace predeterminada se utilizará como siguiente salto para la ruta baNo se puede especificar otro VR como siguiente salto para una ruta ba

– La métrica para la ruta basada en la interfaz de origen (si hay varias dprefijo sólo la ruta con la métrica más baja se utiliza para la consulta dcomo “inactivas”).

2. Habilitar el enrutamiento según la interfaz de origen en el VR. El dispositivointerfaz de origen del paquete para las operaciones de consulta de rutas enbasada en interfaces de origen.


45

ispositivo NetScreen en la suarios de la subred rar dos entradas en la tabla de

y ethernet3 como interfaz de

y ethernet4 como interfaz de

duzca los siguientes datos y

.255.0

ISP 11.1.1.1

ISP 22.2.2.2


Ejemplo: Enrutamiento según la interfaz de origenEn el ejemplo siguiente, el tráfico de los usuarios de la subred 10.1.1.0/24 llega al dinterfaz ethernet1 y se reenvían al ISP 1, mientras que el tráfico procedente de los u10.1.2.0/24 llegan al dispositivo en ethernet2 y se reenvían al ISP 2. Deberá configuenrutamiento del VR predeterminado trust-vr y habilitar SIBR:

• La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvíosreenvío, y el enrutador del ISP 1 (1.1.1.1) como siguiente salto

• La subred 10.1.2.0/24, con ethernet2 como interfaz de origen para reenvíosreenvío, y el enrutador del ISP 2 (2.2.2.2) como siguiente salto

WebUI

Network > Routing > Source Interface Routing > New (para ethernet1): Introhaga clic en OK:




10.1.1.0/24

10.1.2.0/24

ethernet3

ethernet4

ethernet1

ethernet2


46


.255.0

able Source Interface Based

10.1.1.0/24 interface

10.1.2.0/24 interface

al (VR), el VR realiza consultas rden específico. Esta sección ficar dicha secuencia

te no coincide con una sesión “First Packet Processing”. A

1.


Network > Routing > Source Interface Routing > New (para ethernet2): Introhaga clic en OK:




Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione EnRouting , y haga clic en OK.

CLI

set vrouter trust-vr route source in-interface ethernet1ethernet3 gateway 1.1.1.1 metric 1

set vrouter trust-vr route source in-interface ethernet2ethernet4 gateway 2.2.2.2 metric 1

set vrouter trust-vr sibr-routing enablesave

Secuencia de consulta de rutasSi activa tanto el enrutamiento basado en el origen como SIBR en un enrutador virtude la ruta comprobando el paquete entrante con las tablas de enrutamiento en un odescribe la secuencia de consulta de la ruta predeterminada y cómo se puede modiconfigurando los valores de preferencia para cada tabla de rutas.

Consulte “Secuencia de flujo de paquetes” en la página 2 -12. Si un paquete entranexistente, el dispositivo NetScreen ejecuta los pasos restantes con el procedimientocontinuación se muestra la secuencia de consulta de la ruta predeterminada.

Nota: En WebUI, la preferencia y el valor de métrica predeterminados son


47

tabla de enrutamiento SIBR ete. Si el dispositivo NetScreen SIBR, reenvía los paquetes

l dispositivo NetScreen no tabla de enrutamiento SIBR, el ilita en el VR.

el paquete terfaz de pecificada iente salto


1. Si SIBR se activa en el VR, el dispositivo NetScreen primero comprueba la para una entrada de ruta que coincida con la interfaz en la que llegó el paquencuentra una entrada para la interfaz de origen en la tabla de enrutamientosegún lo especificado por la entrada de enrutamiento correspondiente. Si eencuentra una entrada de enrutamiento para la dirección IP de origen en ladispositivo comprueba si el enrutamiento basado en el origen (SBR) se hab

Paquete entrante

Descartar paquete

Reenviaren la in

salida eso de sigu

S

N

S

N

S

N

S

N

N

S

¿Se halló ruta en tabla SBR?

¿Se halló ruta en tabla

SIBR?

¿SIBR activado?

¿SBR activado?

¿Se hallóruta en DRT?


48

a de enrutamiento de SBR hay paquete. Si el dispositivo cción IP de origen, reenvía el encuentra una entrada de , el dispositivo comprueba la

destinos en consulta de una uete. Si el dispositivo

cción IP de destino, reenvía el una entrada de enrutamiento predeterminada configurada ta predeterminada. Si el rección IP de destino y no hay

ara encontrar una ruta que utamiento. La tabla de ue la tabla de enrutamiento con ada, la tabla de enrutamiento

el siguiene valor de preferencia ferencia más bajo (1).

odificar el orden en el que el itivo comprueba las tablas de


2. Si SBR se activa en el VR, el dispositivo NetScreen comprueba si en la tabluna entrada de enrutamiento que coincida con la dirección IP de origen del NetScreen encuentra una entrada de enrutamiento que coincida con la direpaquete según lo especificado por la entrada. Si el dispositivo NetScreen noenrutamiento para la dirección IP de origen en la tabla de enrutamiento SBRtabla de enrutamiento basada en los destinos (DRT).

3. El dispositivo NetScreen comprueba la tabla de enrutamiento basada en losentrada de enrutamiento que coincida con la dirección IP de destino del paqNetScreen encuentra una entrada de enrutamiento que coincida con la direpaquete según lo especificado por la entrada. Si el dispositivo no encuentraque coincida exactamente con la dirección IP de destino pero hay una ruta para el VR, el dispositivo reenvía el paquete según lo especificado por la rudispositivo NetScreen no encuentra una entrada de enrutamiento para la diruta predeterminada configurada para el VR, el paquete se descarta.

El orden en el que el dispositivo NetScreen comprueba las tablas de enrutamiento pcoincida está determinado por un valor de preferencia asignado a cada tabla de enrenrutamiento con el valor de preferencia más alto se comprueba primero, mientras qel valor de preferencia más bajo es la última en comprobarse. De forma predeterminSIBR tiene el valor de preferencia más alto (3), la tabla de enrutamiento SBR tiene más alto (2), y la tabla de enrutamiento basada en los destinos tiene el valor de pre

Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para mdispositivo NetScreen realiza la consulta de rutas en un VR. Recuerde que el disposenrutamiento del valor de preferencia más alto al más bajo.


49

basado en el origen en el consulta de rutas en las tablas SIBR, y luego enrutamiento amiento, debe configurar el BR (en este ejemplo, asignará

ientes datos y haga clic en OK :

e)

ccione)

ing 4


Ejemplo: Cambiar el orden de las consultas de rutasEn el ejemplo siguiente, habilitará tanto el enrutamiento SIBR como el enrutamientoenrutador trust-vr. Desea que el dispositivo NetScreen lleve a cabo operaciones de de enrutamiento con el siguiente orden: Enrutamiento basado en el origen primero, basado en destinos Para configurar esta secuencia de consulta en la tabla de enrutenrutamiento basado en el origen con un valor de preferencia más alto que el de SIun valor de preferencia de 4 al enrutamiento basado en el origen).

WebUI

Network > Routing > Virtual Router > Edit (para trust-vr): Introduzca los sigu

Route Lookup Preference (1-255): (seleccion

For Source Based Routing: 4

Enable Source Based Routing: (seleccione)

Enable Source Interface Based Routing: (sele

CLI

set vrouter trust-vr sibr-routing enableset vrouter trust-vr source-routing enableset vrouter trust-vr route-lookup preference source-routsave


50

ntrada de enrutamiento basada o en la interfaz. Por ejemplo, la icar al untrust-vr como el salto ro VR, el dispositivo NetScreen enrutamiento basada en

las de enrutamiento trust-vr s de enrutamiento:

con ethernet3 como la interfaz

con ethernet4 como la interfaz

rutador en 1.1.1.1 como el

en 1.1.1.1, tal y como se


Consulta de rutas en múltiples enrutadores virtualesSólo puede especificar otro enrutador virtual (VR) como el salto siguiente para una een destinos solamente y no para una entrada de enrutamiento basada en el origen ruta predeterminada en la tabla de enrutamiento basada en destinos puede especifsiguiente. Donde la consulta de rutas en un VR dan lugar a consultas de rutas en otsiempre lleva a cabo las segundas operaciones de consulta de rutas en la tabla de destinos. El ejemplo siguiente ilustra este comportamiento.

En el ejemplo siguiente, habilitará el enrutamiento basado en origen tanto en las tabcomo en las tablas de enrutamiento untrust-vr. Trust-vr posee las siguientes entrada

• Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, del reenvío, y el enrutador en 1.1.1.1 como el siguiente salto

• Una ruta predeterminada, con el untrust-vr como el siguiente salto

El untrust-vr posee las siguientes entradas de enrutamiento:

• Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, del reenvío, y el enrutador en 2.2.2.2 como el siguiente salto

• Una ruta predeterminada, con ethernet3 como la interfaz del reenvío y el ensiguiente salto

El tráfico desde la subred 10.1.2.0/24 siempre se enviará en ethernet3 al enrutador muestra en el siguiente gráfico.


51

ISP 11.1.1.1

ISP 22.2.2.2

áfico desde la subred 10.1.2.0/24 a al dispositivo NetScreen en rnet2. Puesto que no hay entrada de tamiento basada en el origen que cida, el dispositivo NetScreen realiza sultas de rutas en la tabla de tamiento basada en destinos. La ruta eterminada en la tabla de tamiento basada en destinos

ecifica el untrust-vr como el salto iente.

el untrust-vr, el dispositivo NetScreen realiza consultas de rutas en la tabla nrutamiento basada en destinos,

uso si la tabla de enrutamiento basada rigen del untrust-vr contiene una ada que coincida con el tráfico. erve que la ruta que coincide en la a de enrutamiento basada en destinos uta predeterminada) reenvía el tráfico a interfaz ethernet3.


Trust-VRTabla de enrutamiento basada en el origen

ID IP-Prefix Interface Gateway P Pref Mtr Vsys* 1 10.1.1.0/24 eth3 2.2.2.250 S 20 1 Root

Tabla de enrutamiento basada en destinos

ID IP-Prefix Interface Gateway P Pref Mtr Vsys* 1 0.0.0.0/24 n/a untrust-vr S 20 0 Root

Untrust-VRTabla de enrutamiento basada en el origen

ID IP-Prefix Interface Gateway P Pref Mtr Vsys* 1 10.1.2.0/24 eth4 2.2.2.250 S 20 1 Root

Tabla de enrutamiento basada en destinos ID IP-Prefix Interface Gateway P Pref Mtr Vsys* 1 0.0.0.0/24 eth3 1.1.1.150 S 20 0 Root

10.1.1.0/24

10.1.2.0/24

ethernet3

ethernet4

ethernet1

ethernet2

El trllegetheenrucoinconenrupredenruespsigu

En sólode einclen oentrObstabl(la ren l

?

Capítulo 2 Enrutadores virtuales Enrutamiento de rutas múltiples de igual coste

52

e (ECMP) por cada sesión. Las que un dispositivo NetScreen memoriza otra mejor o hasta

da que pertenezcan a la misma

menta la eficacia de utilización itivo NetScreen utiliza las rutas ediante un protocolo de nda recíproca (“round robin”). mplo Telnet y SSH. Si las

que crean múltiples sesiones, de origen traducida diferente.

efinida. Las otras rutas que lo.

iento basad en destinos

lta va a una zona diferente a la no pueda pasar.

ad y nota pérdida de paquetes solución de direcciones la característica arp sobre comandos relacionados lumen de los fundamentales.


ENRUTAMIENTO DE RUTAS MÚLTIPLES DE IGUAL COSTELos dispositivos NetScreen admiten el enrutamiento de rutas múltiples de igual costrutas de igual coste tienen los mismos valores de preferencia y de métrica. Una vezasocia una sesión con una ruta, el dispositivo NetScreen utiliza dicha ruta hasta queque la actual deja de ser utilizable. Las rutas elegibles deben tener interfaces de salizona.

ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o audel ancho de banda entre dos o más destinos. Cuando se habilita ECMP, un disposdefinidas estáticamente o memoriza dinámicamente varias rutas al mismo destino menrutamiento. El dispositivo NetScreen asigna rutas de igual coste en el modo de roECMP funciona mejor con las aplicaciones que crean una sola sesión, como por ejeinterfaces de salida son diferentes y se encuentran en modo NAT, las aplicaciones como HTTP, no funcionan correctamente porque cada sesión lleva una dirección IP

Sin ECMP, el dispositivo NetScreen utiliza únicamente la primera ruta aprendida o dsean de igual coste no se utilizan hasta que la ruta activa actualmente deje de estar

Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de enrutamtrust-vr:

Nota: Si las interfaces de salida no pertenecen a la misma zona y el paquete de vueprevista, no se podrá producir una coincidencia de sesión y es posible que el tráfico

Nota: Al usar ECMP, si tiene dos dispositivos NetScreen en una relación de vecindy un equilibrio de cargas incorrecto, compruebe la configuración del protocolo de re(Address Resolution Protocol, ARP) del dispositivo vecino para asegurarse de que always-on-dest está desactivada (predeterminado). Para obtener más informacióncon ARP, consulte “Interfaces inactivas y flujo de tráfico” en la página 2 -99 en el vo


53

ISP diferentes, y el objetivo es

na ruta conectada (C con una HCP o de PPP, y el dispositivo ta es una ruta estática sactivado, el dispositivo

la ruta estática a cero (0) para reference static 0 y luego el tráfico alternando entre dos ada.

el mismo coste en una tabla de onsulta de ruta. Con las rutas 2 para reenviar tráfico a la red

a selección de las rutas en itivo seleccione una ruta ECMP

Vsys Root Root

Vsys Root Root


En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a dosutilizar ambas rutas predeterminadas con ECMP.

Las dos rutas tienen los mismos valores métricos; sin embargo, la primera ruta es upreferencia de 0). El dispositivo de NetScreen adquirió la primera ruta a través de Dadquirió la ruta predeterminada a través de la configuración manual. La segunda ruconfigurada manualmente (S con una preferencia automática de 20). Con ECMP deNetScreen reenvía todo el tráfico a la ruta conectada en ethernet3.

Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta deque coincida con la ruta conectada introduciendo el comando set vrouter trust-vr pactivando ECMP. Con ECMP activado, la carga del dispositivo NetScreen equilibra rutas ECMP válidas. La siguiente pantalla muestra la tabla de enrutamiento actualiz

Si activa ECMP y el dispositivo NetScreen encuentra más de una ruta coincidente denrutamiento, el dispositivo selecciona una ruta diferente de igual coste para cada cindicadas anteriormente, el dispositivo NetScreen alterna entre ethernet3 y ethernet0.0.0.0/0.

Si hay más de dos rutas de igual coste en la red, el dispositivo NetScreen realiza unorden rotativo (ronda recíproca) hasta el máximo configurado de modo que el disposdiferente para cada consulta de rutas.

ID IP-Prefix Interface Gateway P Pref Mtr* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 9 0.0.0.0/0 ethernet2 2.2.2.250 S 20 1

ID IP-Prefix Interface Gateway P Pref Mtr * 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1

* 9 0.0.0.0/0 ethernet2 2.2.2.250 S 0 1


54

costeactivar el enrutamiento ECMP, pecificar hasta cuatro rutas. á o modificará rutas aunque

utador trust-vr. Aunque puede enrutamiento, el dispositivo caso, los datos sólo se

uientes datos y haga clic en


Activación del enrutamiento de rutas múltiples de igual ECMP se desactiva de forma predeterminada (número máximo de rutas = 1). Para debe especificar el número máximo de rutas de igual coste por enrutador. Puede esUna vez establecido el número máximo de rutas, el dispositivo NetScreen no añadirreconozca más.

Ejemplo: Configurar el máximo de rutas ECMPEn el siguiente ejemplo, ajustará a dos el número máximo de rutas ECMP en el enrque haya tres o cuatro rutas de igual coste dentro de la misma zona y en la tabla deNetScreen solamente alterna entre el número configurado de rutas válidas. En estereenvían a lo largo de las dos rutas ECMP especificadas.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los sig OK :

Maximum ECMP Routes:

Set Limit at: (seleccione), 2

CLI

set vrouter trust-vr max-ecmp-routes 2save

Capítulo 2 Enrutadores virtuales Redistribución de rutas

55

ún todos los protocolos de utas conectadas directamente. o BGP) notifica a sus

6.

reconocidas por otro protocolo, protocolo origen al protocolo

idas la rutas configuradas mite al protocolo de el dominio actual tiene que uyo propio. Por ejemplo, si un utamiento que utiliza el para informar a todos sus

define el administrador del utador virtual, se le aplican una tiene que ser redistribuida. e aplican una a una todas las liminada de otro protocolo de ndo se añade o se elimina una a las reglas de redistribución.

s van a ser redistribuidas y los

s están habilitados.


REDISTRIBUCIÓN DE RUTASLa tabla de enrutamiento de un enrutador virtual (VR) contiene rutas agrupadas segenrutamiento dinámico que se ejecutan en el VR, así como las rutas estáticas y las rDe forma predeterminada, un protocolo de enrutamiento dinámico (como OSPF, RIPadyacentes o interlocutores sólo las rutas que cumplen las siguientes condiciones:

• Las rutas deben estar activas en la tabla de enrutamiento.

• Las rutas deben ser reconocidas por el protocolo de enrutamiento dinámico

Para que un protocolo de enrutamiento dinámico pueda notificar rutas previamente incluidas la rutas configuradas estáticamente, es necesario redistribuir las rutas del que realiza la notificación.

Se pueden redistribuir las rutas reconocidas por un protocolo de enrutamiento (incluestáticamente) a otro protocolo de enrutamiento diferente en el mismo VR. Esto perenrutamiento receptor notificar las rutas redistribuidas. Cuando se importa una ruta,traducir toda la información, en particular las rutas conocidas, del otro protocolo al sdominio de enrutamiento utiliza el protocolo OSPF y conecta con un dominio de enrprotocolo BGP, el dominio OSPF tiene que importar todas las rutas del dominio BGPvecinos OSPF sobre cómo llegar a los dispositivos del dominio BGP.

Las rutas se distribuyen entre los protocolos según una regla de redistribución7 quesistema o de la red. Cuando se añade una ruta a la tabla de enrutamiento de un enra una todas las reglas de redistribución definidas en el VR para determinar si la rutaCuando se elimina una ruta de la tabla de enrutamiento de un enrutador virtual, se lreglas de redistribución definidas en el VR para determinar si la ruta tiene que ser eenrutamiento del VR. Observe que todas las reglas de redistribución se aplican cuaruta. No existe el concepto de orden de las reglas o de “primera regla aplicable” par

En el dispositivo NetScreen, se configura un mapa de rutas para especificar qué rutaatributos de las rutas redistribuidas.

6. OSPF, RIP, y BGP también notifican las rutas conectadas de las interfaces de ScreenOS en las que estos protocolo

7. Se puede definir sólo una regla de redistribución entre dos protocolos cualesquiera.


56

n secuencial a una ruta. Cada na ruta se compara con cada

cuencia hasta que haya una cumple la condición de la mapa de rutas puede también e todo mapa de rutas; esto es,

aciones de un mapa de rutas:

sulte “Filtrado de rutas” en la

lte “Filtrado de rutas” en la página

de tipo 2.

iltrado de rutas” en la página 58.

iltrado de rutas” en la página 58.

a.


Configuración de un mapa de rutasUn mapa de rutas consiste en un conjunto de declaraciones que se aplican en ordedeclaración de mapa de rutas define una condición que se comprueba con la ruta. Udeclaración de un mapa de rutas determinado en orden creciente del número de secoincidencia, entonces se realiza la acción especificada en la declaración. Si la rutadeclaración del mapa de rutas, la ruta es aceptada o rechazada. Una declaración demodificar ciertos atributos de una ruta coincidente. Hay un rechazo implícito al final dsi una ruta no coincide con ninguna entrada del mapa de rutas, se rechaza.

A continuación se muestran las condiciones que se pueden configurar en las declar

Condición de comparación

Descripción

BGP AS Path Compara con una lista de acceso AS path determinada. Conpágina 58.

BGP Community Compara con una lista de comunidades determinada. Consu58.

OSPF route type Compara con un OSPF interno, externo de tipo 1, o externo

Interface Compara con una interfaz determinada.

IP address Compara con una lista de acceso determinada. Consulte “F

Metric Compara con un valor de métrica de ruta determinado.

Next-hop Compara con una lista de acceso determinada. Consulte “F

Tag Compara con una dirección IP o etiqueta de ruta determinad


57

ión es aceptada (“permitted”) o onalmente dar valor a los n una declaración de mapa de

lista de atributos de camino de la

omunidades especificada.

do.

ado. Esto aumenta la métrica en l incremento tanto a las rutas in”). Para otras rutas, puede

r virtual (VR).

1 o externo tipo 2.

cificada.

VR.

porta a otro VR.

ección IP.


Para cada condición de comparación, se especifica si una ruta que cumple la condicrechazada (“denied”). Si una ruta cumple la condición y es aceptada, se puede opciatributos para la ruta. A continuación se muestran los atributos que se pueden fijar erutas:

Conjunto de atributos DescripciónBGP AS Path Añade una lista de acceso AS path determinada al principio de la

ruta coincidente.

BGP Community Fija el atributo de comunidad de la ruta coincidente a la lista de c

BGP local preference Fija el atributo local-pref de la ruta coincidente al valor especifica

BGP Weight Establece el peso de la ruta coincidente.

Offset metric Aumenta la métrica de la ruta coincidente hasta el valor especificuna ruta menos deseable. Para las rutas RIP, se puede aplicar enotificadas (“route-map out”) o a las rutas aprendidas (“route-mapaplicar el incremento a las rutas que se exportan a otro enrutado

OSPF metric type Fija el tipo de métrica OSPF de la ruta coincidente a externo tipo

Metric Fija la métrica de la ruta coincidente al valor especificado.

Next-hop of route Fija el siguiente salto de la ruta coincidente a la dirección IP espe

Preserve metric Preserva la métrica de una ruta coincidente que se exporta a otro

Preserve preference Conserva el valor de preferencia de la ruta coincidente que se ex

Tag Fija la etiqueta de la ruta coincidente al valor especificado o la dir


58

VR), cuáles se notifican a los ueden aplicar filtros a las rutas

por el enrutador virtual de anismos de filtrado:

es IP determinados. Se puede Consulte Listas de acceso para

as autónomos por los que ha ta de acceso AS-path es un ede utilizar una lista de acceso ulte “Lista de acceso AS-path”

de acceso AS-path.

adores de las comunidades a unto de comunidades BGP que necen. Consulte “Comunidades a lista de comunidades BGP.

da declaración especifica la r la ruta). Por ejemplo, una Otra de la misma lista de claración de la lista de acceso,

uesto que una ruta se compara n una. Si hay una coincidencia, s más específicas antes de las subred 1.1.1.1/30 antes de la

ara obtener más información,


Filtrado de rutasEl filtrado de rutas permite controlar qué rutas se admiten en una enrutador virtual (interlocutores, y cuáles se redistribuyen de un protocolo de enrutamiento a otro. Se pentrantes enviadas por un interlocutor de enrutamiento o a rutas salientes enviadasNetScreen a los enrutadores de interlocución. Se pueden utilizar los siguientes mec

• Lista de acceso: Una lista de acceso es un conjunto de prefijos de direccionutilizar una lista de acceso para filtrar las rutas en base a los prefijos de red. obtener información sobre la configuración de la lista de acceso.

• Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistempasado una notificación de ruta y es parte de la información de ruta. Una lisconjunto de expresiones regulares que representan ASs específicos. Se puAS-path para filtrar las rutas según el AS por el que ha pasado la ruta. Consen la página 180 para obtener información sobre la configuración de la lista

• Lista de comunidades BGP: Un atributo de comunidad contiene los identificlas que pertenece una ruta BGP. Una lista de comunidades BGP es un conjse puede utilizar para filtrar las rutas según las comunidades a las que perteBGP” en la página 192 para obtener información sobre la configuración de l

Listas de accesoUna lista de acceso es una lista de declaraciones con la que se compara la ruta. Cadirección/máscara IP de un prefijo de red y el estado de reenvío (aceptar o rechazadeclaración de una lista de acceso puede permitir las rutas de la subred 1.1.1.0/24. acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la dese aplica el estado de reenvío especificado.

Observe que la secuencia de declaraciones en una lista de acceso es importante, pordenadamente con todas las declaraciones desde la primera hasta que coincide cotodas las demás de la lista se ignoran. Por tanto, se deben colocar las declaracionemenos específicas. Por ejemplo, colocar la declaración que rechaza las rutas de la que permite las rutas de la subred 1.1.1.0/24.

También puede utilizar listas de acceso para controlar el flujo del tráfico multicast. Pconsulte “Listas de acceso” en la página 205.


59

las siguientes características:

se configura la lista de acceso)

ta de acceso)

troduzca los siguientes datos y

10


Ejemplo: Configuración de una lista de accesoEn este ejemplo, se crea una lista de acceso en el trust-vr. La lista de acceso tiene

• Identifier: 2 (se debe especificar un identificador de lista de acceso cuando

• Forwarding Status: permit

• IP Address/Netmask Filtering: 1.1.1.1/24

• Sequence Number: 10 (sitúa esta declaración con respecto a otras en la lis

WebUI

Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Inhaga clic en OK :

Access List ID: 2

Sequence No.: 10

IP/Netmask: 1.1.1.1/24

Action: Permit

CLI

set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 save


60

istema autónomo 65000 en han pasado por el AS 65000. th, consulte “Lista de acceso que selecciona las rutas de la ión que utiliza el mapa de rutas

ce > AS Path: Introduzca los

uzca los siguientes datos y haga


Ejemplo: Redistribución de rutas en OSPFEn este ejemplo, se redistribuyen determinadas rutas BGP que han pasado por el sOSPF. Primero se configura una lista de acceso AS-path que permite las rutas que (Para obtener más información sobre la configuración de una lista de acceso AS-paAS-path” en la página 180). A continuación, se configura un mapa de rutas “rtmap1”lista de acceso AS-path. Por último, en OSPF se especifica una regla de redistribuc“rtmap1” y especifica BGP como protocolo de origen de las rutas.

WebUI

1. Lista de acceso BGP AS-pathNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :

AS Path Access List ID: 1

Permit: (seleccione)

AS Path String: _65000_

2. Mapa de rutasNetwork > Routing > Virtual Routers > Route Map > New (para trust-vr): Introdclic en OK :

Map Name: rtmap1

Sequence No.: 10

Action: Permit (seleccione)

Match Properties:

AS Path: (seleccione), 1


61

ce > Redistributable Rules:

permit _65000_

p rtmap1 protocol bgp


3. Regla de redistribuciónNetwork > Routing > Virtual Router > Edit (para trust-vr) > Edit OSPF InstanIntroduzca los siguientes datos y haga clic en Add :

Route Map: rtmap1

Protocol: BGP

CLI

1. Lista de acceso BGP AS-pathset vrouter trust-vr protocol bgp as-path-access-list 1

2. Mapa de rutasset vrouter trust-vrns(trust-vr)-> set route-map name rtmap1 permit 10ns(trust-vr/rtmap1-10)-> set match as-path 1ns(trust-vr/rtmap1-10)-> exitns(trust-vr)-> exit

3. Regla de redistribuciónset vrouter trust-vr protocol ospf redistribute route-masave

Capítulo 2 Enrutadores virtuales Exportación e importación de rutas entre enrutadores virtuales

62

UALESn, se puede permitir que rutas finir reglas de exportación en el ador virtual permite a otros VR importación para controlar las l VR destino, se aceptan todas

aso es opcional, una regla de e destino acepta del enrutador

n las especificaciones que se

r virtual de origen (para las

cional)

gla de redistribución. Se das y los atributos de las

rutas del trust-vr al untrust-vr. e automáticamente rutas a otro n modo NAT no pueden ser


EXPORTACIÓN E IMPORTACIÓN DE RUTAS ENTRE ENRUTADORES VIRTSi tenemos dos enrutadores virtuales (VR) configurados en un dispositivo NetScreeespecificadas en un VR sean reconocidas por el otro VR. Para hacerlo, se deben deVR origen que exporten las rutas al VR destino. Cuando se exportan rutas, un enrutreconocer su red. En el VR destino, se pueden configurar opcionalmente reglas de rutas que pueden ser importadas del VR origen. Si no hay reglas de importación en elas rutas exportadas.

Para exportar e importar rutas entre enrutadores virtuales:

1. Definir una regla de exportación en el VR origen.

2. Definir una regla de importación en el VR destino (opcional). Aunque este pimportación permite un mayor control de las rutas que el enrutador virtual dvirtual de origen.

En el dispositivo NetScreen, se configura una regla de exportación o importación codan a continuación:

• El enrutador virtual de destino (para las reglas de exportación) o el enrutadoreglas de importación)

• El protocolo de las rutas que van a ser exportadas/importadas

• Qué rutas van a ser exportadas/importadas

• Los atributos nuevos o modificados de las rutas exportadas/importadas (op

La configuración de una regla de exportación o importación es similar a la de una reconfigura un mapa de rutas para especificar qué rutas van a ser exportadas/importamismas.

Se puede configurar la exportación automática de todas las entradas de la tabla de Se puede configurar también que un enrutador virtual definido por el usuario exportenrutador virtual. Las rutas de las redes directamente conectadas a las interfaces eexportadas.


63

exportan al dominio de d 1.1.1.1/24, que luego se ndo lugar, se crea una regla de or virtual untrust-vr.




Ejemplo: Configuración de una regla de exportaciónEn este ejemplo, las rutas OSPF de la red 1.1.1.1/24 del enrutador virtual trust-vr seenrutamiento del untrust-vr. Primero se crea una lista de acceso para el prefijo de reutiliza en el mapa de rutas “rtmap1” para filtrar las rutas de la red 1.1.1.1/24. En seguexportación de ruta para exportar las rutas OSPF coincidentes del trust-vr al enrutad

WebUI

trust-vr

1. Lista de accesosNetwork > Routing > Virtual Routers > Access List: > New (para trust-vr): Inhaga clic en OK :

Access List ID: 2

Sequence No.: 10


Action: Permit

2. Mapa de rutasNetwork > Routing > Virtual Routers > Route Map > New (para trust-vr): Introhaga clic en OK :

Map Name: rtmap1

Sequence No.: 10


Match Properties:

Access List: (seleccione), 2


64

oduzca los siguientes datos y

p rtmap1 protocol ospf


3. Regla de exportaciónNetwork > Routing > Virtual Routers > Export Rules > New (para trust-vr): Intrhaga clic en OK :

Destination Virtual Router: untrust-vr

Route Map: rtmap1

Protocol: OSPF

CLI

trust-vr

1. Lista de accesosset vrouter trust-vrns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10

2. Mapa de rutasns(trust-vr)-> set route-map name rtmap1 permit 10ns(trust-vr/rtmap1-10)-> set match ip 2ns(trust-vr/rtmap1-10)-> exit

3. Regla de exportaciónns(trust-vr)-> set export-to vrouter untrust-vr route-mans(trust-vr)-> exitsave


65

ust-vr. Sin embargo, esto no trust-vr. Si se definen reglas de mportación. En este ejemplo, el ortación del untrust-vr permite

xport Route to Untrust-VR , y



Ejemplo: Configuración de la exportación automáticaSe puede configurar la exportación automática de todas las rutas del trust-vr al untrsignifica necesariamente que el untrust-vr importe todas las rutas exportadas por el importación para el untrust-vr, sólo se importan las rutas que cumplan las reglas de itrust-vr exporta automáticamente todas las rutas al untrust-vr, pero una regla de impsólo las rutas de OSPF interno.

WebUI

trust-vr

Network > Routing > Virtual Router > Edit (para trust-vr): Seleccione Auto Eluego haga clic en OK .

untrust-vr

Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: Intrhaga clic en OK:

Map Name: from-ospf-trust

Sequence No.: 10

Action: permit (seleccione)

Route Type: internal-ospf (seleccione)


66

it 10 internal-ospf

map from-ospf-trust


CLI

trust-vr

set vrouter trust-vr auto-route-export

untrust-vr

set vrouter untrust-vrns(untrust-vr)-> set route-map name from-ospf-trust permns(untrust-vr/from-ospf-trust-10)-> set match route-typens(untrust-vr/from-ospf-trust-10)-> exitns(untrust-vr)-> set import-from vrouter trust-vr route-

protocol ospfns(untrust-vr)-> exitsave

3

67

Capítulo 3

h First, es decir, abrir primero la mas:


Protocolo OSPF

En este capítulo se describe el protocolo de enrutamiento OSPF (Open Shortest Patruta más corta) en los dispositivos NetScreen. Para ello se tratarán los siguientes te

• “Introducción al protocolo OSPF” en la página 69

– “Áreas” en la página 69

– “Clasificación de enrutadores” en la página 70

– “Protocolo de saludo” en la página 71

– “Tipos de redes” en la página 71

– “Notificaciones de estado de conexiones” en la página 72

• “Configuración básica de OSPF” en la página 74

– “Creación de una instancia de enrutamiento de OSPF” en la página 75

– “Definición de un área OSPF” en la página 77

– “Asignación de interfaces a un área OSPF” en la página 79

– “Habilitación de OSPF en interfaces” en la página 81

– “Comprobación de la configuración” en la página 83

• “Redistribución de rutas” en la página 86

– “Resumen de rutas redistribuidas” en la página 87

• “Parámetros globales de OSPF” en la página 89

– “Conexiones virtuales” en la página 92

• “Parámetros de interfaz OSPF” en la página 96

Capítulo 3 Protocolo OSPF

68
• “Configuración de seguridad” en la página 99

– “Autenticación de vecinos” en la página 99

– “Filtrado de vecinos OSPF” en la página 101

– “Rechazo de rutas predeterminadas” en la página 102

– “Protección contra inundaciones” en la página 103

• “Circuitos de demanda en interfaces de túnel” en la página 105

• “Interfaz de túnel punto a multipunto” en la página 107

– “Establecer el tipo de conexión” en la página 107

Capítulo 3 Protocolo OSPF Introducción al protocolo OSPF

69

más corta) es un protocolo de ma autónomo. Un enrutador para el uso y accesibilidad por icaciones de estado de

r una base de datos de estado do de las redes de un área. La

odos los enrutadores de un

cuál es la mejor ruta a una red uta más corta, que es una a autónomo. Aunque todos los ruta más corta son exclusivos,

al llamada area 0 o “backbone” cuentran dispersas mplía, las bases de datos de jorar su posibilidad de

la red, ya que cada enrutador necesita actualizar la . Un enrutador conectado a está conectado. Todas las licada más adelante).


INTRODUCCIÓN AL PROTOCOLO OSPFEl protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta puerta de enlace interior (IGP) desarrollado para ejecutarse dentro de un único sisteque ejecute OSPF distribuye su información de estado (como interfaces disponiblesparte de equipos vecinos) inundando periódicamente el sistema autónomo con notifconexiones (LSAs, link-state advertisements).

Los enrutadores OSPF utilizan las LSAs de los enrutadores contiguos para actualizade conexiones. Esta base de datos es una tabla que informa de la topología y el estadistribución constante de las LSAs a través del dominio de enrutamiento permite a tsistema autónomo disponer de bases de datos de estado de conexiones idénticas.

El protocolo OSPF utiliza la base de datos de estado de conexiones para determinarcualquiera dentro del sistema autónomo. Esto se consigue generando un árbol de rrepresentación gráfica de la ruta más corta a una determinada red dentro del sistemenrutadores tienen la misma base de datos de estado de conexiones, sus árboles deya que los enrutadores generan estos árboles situándose a sí mismos en su raíz.

ÁreasDe forma predeterminada, todos los enrutadores se agrupan en una única área tronc(normalmente es el area 0.0.0.0). Sin embargo, las redes de gran tamaño que se engeográficamente se suelen segmentar en múltiples áreas. A medida que la red se aestado de conexión también crecen y se dividen en grupos más pequeños para meampliación.

Las áreas reducen el volumen de información de enrutamiento que pasa a través desólo tiene que actualizar la base de datos de estado del área a la que pertenece. Noinformación de estado de las redes o enrutadores que se encuentran en otras áreasmúltiples áreas mantiene una base de estado de conexiones por cada área a la quezonas deben estar directamente conectadas con la zona 0, con una excepción (exp


70

y se inundan en todo un AS. ); de este modo, las se utilizan normalmente dos

ro que no recibe notificaciones por protocolos distintos a rea exclusiva de rutas internas

Not So Stubby Area, áreas no istintos de OSPF fuera del área mbién se pueden reconocer en

on su función o su posición en

.

tipo de enrutador resume las sitivos NetScreen con OSPF, el en un enrutador virtual, el

on otro sistema autónomo, el or de límite. Estos enrutadores tónomos externos por su


Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS Ciertas áreas OSPF se pueden configurar como áreas de rutas internas (stub areasnotificaciones externas de sistemas autónomos no inundarán estas áreas. En OSPFtipos de áreas habituales:

• Área de ruta interna: área que recibe resúmenes de ruta del área troncal pede estado de conexiones de otras áreas acerca de enrutadores reconocidosOSPF (BGP, por ejemplo). Un área de ruta interna se puede considerar un á(totally stubby) si en ella no se admiten rutas de resumen.

• Área NSSA: al igual que las áreas de rutas internas normales, las NSSAs (exclusivas de rutas internas) no pueden recibir enrutadores de protocolos dactual. Sin embargo, los enrutadores externos conocidos dentro del área taotras áreas, y así pasar a ellas.

Clasificación de enrutadoresLos enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo cla red:

• Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área

• Enrutador de área troncal: enrutador con una interfaz en el área troncal.

• Enrutador de límite de área: enrutador conectado a dos o más áreas. Esterutas desde distintas áreas para su distribución al área troncal. En los dispoárea troncal se crea de forma predeterminada. Si se crea una segunda áreadispositivo funcionará como enrutador de límite de área.

• Enrutador de límite de sistema autónomo: cuando un área OSPF limita cenrutador situado entre los dos sistemas autónomos se considera el enrutadse encargan de distribuir la información de enrutamiento de los sistemas ausistema autónomo.


71

tadores utilizan el protocolo de os enrutadores establecen rutadores no establecen una

r como enrutador designado y de inundar la red con LSAs la red. El enrutador designado nrutador designado es el único res. El enrutador designado de

viar (o difundir) un único enrutadores cualesquiera en e red de difusión.

vecinos enviando paquetes de aludo decide cuál será el


Protocolo de saludoDos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrusaludo (“hello”) para establecer y mantener estas relaciones de vecindad. Cuando dcomunicación bidireccional, se dice que han establecido una adyacencia. Si dos enrelación de adyacencia, no podrán intercambiar información de enrutamiento.

Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutadootro como enrutador designado de respaldo. El enrutador designado es responsableque contengan una lista de todos los enrutadores que admitan OSPF incorporados aes el único que puede formar adyacencias con otros enrutadores de la red. Así, el ede la red que puede proporcionar información de enrutamiento al resto de enrutadorespaldo sustituye al enrutador designado en caso de que éste falle.

Tipos de redesLos dispositivos NetScreen admiten los siguientes tipos de redes OSPF:

• Redes de difusión

• Redes punto a punto

• Redes punto a multipunto

Redes de difusiónUna red de difusión es una red que interconecta varios enrutadores y que puede enmensaje físico a todos los enrutadores conectados. Se parte de la base de que dosuna red de difusión son capaces de comunicarse entre sí. Ethernet es un ejemplo d

En las redes de difusión, el enrutador OSPF detecta dinámicamente los enrutadoressaludo a la dirección multicast 224.0.0.5. En las redes de difusión, el protocolo de senrutador designado y el enrutador designado de respaldo para la red.


72

fundir mensajes a los ocolo OSPF (que normalmente ositivos NetScreen no admiten

AN). Un ejemplo de red punto ec. En las redes punto a punto, tes de saludo a la dirección

xiones entre enrutadores como nado ni de inundación LSA. Un os con quienes pueda

finen la información de estado , según su función OSPF. En la

amente se admite en interfaces o se puede configurar una mación, consulte “Interfaz de

SAas interfaces de enrutador en toda


Una red que no es de difusión conecta varios enrutadores entre sí pero no puede dienrutadores conectados. En las redes que no son de difusión, los paquetes del protson multicast) se tienen que enviar a cada uno de los enrutadores vecinos. Los dispOSPF en redes que no sean de difusión.

Redes punto a puntoUna red punto a punto une dos enrutadores a través de una red de área extensa (Wa punto serían dos dispositivos NetScreen conectados a través de un túnel VPN IPSel enrutador OSPF detecta dinámicamente los enrutadores vecinos enviando paquemulticast 224.0.0.5.

Redes punto a multipuntoUna red punto a multipunto es una red de no difusión en la que OSPF trata las conevínculos punto a punto. Para la red no existe ninguna elección de un enrutador desigenrutador en una red punto a multipunto envía paquetes de saludo a todos los vecincomunicarse directamente.

Notificaciones de estado de conexionesCada enrutador OSPF envía notificaciones de estado de conexiones (LSAs) que delocal del enrutador. Además, hay otros tipos de LSAs que un enrutador puede enviarsiguiente tabla se muestran de forma resumida los tipos de LSA:

Nota: En dispositivos NetScreen, la configuración punto a multipunto del OSPF solde túnel, y debe inhabilitarse route-deny para que la red funcione correctamente. Ninterfaz física Ethernet para conexiones punto a multipunto. Para obtener más infortúnel punto a multipunto” en la página 107.

Tipo de LSA Enviado por Distribuido por Información enviada en la LLSA de enrutador

Todos los enrutadores OSPF

Área Describe el estado de todas lel área.


73

s enrutadores conectados a la

o fuera del área, pero dentro del tipos: 3 describen rutas a redes. 4 describen rutas limítrofes con

a autónomo. A menudo, se trata 0.0.0/0).

SA


LSA de red Enrutador designado en redes de difusión y NBMA

Área Contiene una lista de todos lored.

LSA de resumen

Enrutadores de límite de área

Área Describe una ruta a un destinsistema autónomo. Hay dos Las LSAs de resumen de tipoLas LSAs de resumen de tipootros sistemas autónomos.

Externo de sistema autónomo

Enrutador de límite de sistema autónomo

Sistema autónomo Rutas a redes en otro sistemde la ruta predeterminada (0.

Tipo de LSA Enviado por Distribuido por Información enviada en la L

Capítulo 3 Protocolo OSPF Configuración básica de OSPF

74

varios enrutadores virtuales ual.

dor virtual ubicado en un

al. En este paso también se .0.0, que no se podrá eliminar.cal, tendrá que configurar una

etScreen va a funcionar como rea troncal. La nueva área que . agregar a un área OSPF

na. el ejemplo que se muestra a plo configuraremos el vés de la interfaz ethernet3 y al

NetScreen, deberá asignar una les”.

Zona Untrust

Area 0

Internet


CONFIGURACIÓN BÁSICA DE OSPFCreará OSPF por cada enrutador virtual en un dispositivo NetScreen. Si dispone de(VRs) en un sistema, podrá habilitar una instancia de OSPF por cada enrutador virt

En esta sección se describen los pasos básicos para configurar OSPF en un enrutadispositivo NetScreen:

1. Crear y habilitar la instancia de enrutamiento de OSPF en un enrutador virtucrea automáticamente un área troncal de OSPF, con una ID de área de 0.0

2. (Opcional) A menos que todas las interfaces OSPF se conecten al área tronnueva área OSPF con su propia ID de área. Por ejemplo, si el dispositivo Nenrutador de límite de área, tendrá que crear otra área OSPF además del áse cree podrá ser normal, de rutas internas o no exclusiva de rutas internas

3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se debenexplícitamente, incluyendo el área troncal.

4. Habilitar OSPF en cada interfaz.5. Comprobar que el protocolo OSPF está configurado correctamente y funcio

En esta sección se describe la correcta ejecución de cada una de estas tareas paracontinuación, utilizando la interfaz WebUI y la línea de comandos CLI. En este ejemdispositivo NetScreen como enrutador de límite de área conectándolo al area 0 a traarea 10 a través de ethernet1.

Nota: Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo ID de enrutador virtual, tal y como se describe en el Capítulo 2, “Enrutadores virtua

Zona Trust

Area 10

10.1.1.0/24 10.1.2.0/24

ethernet3ethernet1


75

rutador virtual para el protocolo

faz para el protocolo OSPF

nrutador virtual o en la interfaz

o en un dispositivo NetScreen. ncal OSPF. Si crea y habilita itir y recibir paquetes en todas

rust-vr. A continuación creará enrutadores virtuales y su

les”).


: Seleccione OSPF Enabled y


Opcionalmente también es posible configurar otros parámetros de OSPF, como:

• Parámetros globales, como conexiones virtuales, que se configuran en el enOSPF (consulte “Parámetros globales de OSPF” en la página 89)

• Parámetros de interfaz, como la autenticación, que se configuran en la inter(consulte “Parámetros de interfaz OSPF” en la página 96)

• Parámetros OSPF relacionados con la seguridad, que se configuran en el e(consulte “Configuración de seguridad” en la página 99)

Creación de una instancia de enrutamiento de OSPFEs posible crear y habilitar una instancia de enrutamiento de OSPF en un VR ubicadAl crear la instancia de enrutamiento de OSPF se crea automáticamente el área trouna instancia de enrutamiento de OSPF en un enrutador virtual, OSPF podrá transmlas interfaces habilitadas para OSPF del enrutador.

Ejemplo: Creación de una instancia de OSPFEn el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a tuna instancia de enrutamiento de OSPF en él. (Para obtener más información sobreconfiguración en dispositivos NetScreen, consulte el Capítulo 2, “Enrutadores virtua

WebUI

1. ID de enrutador



En el cuadro de texto, escriba 0.0.0.10.

2. Instancia de enrutamiento de OSPF

Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instancehaga clic en OK .


76

irtual trust-vr. OSPF dejará de en el enrutador trust-vr.

Anule la selección de OSPF

e: haga clic en OK cuando

miento de OSPF antes de habilitar una instancia de

nrutamiento de OSPF antes de eliminar una instancia de


CLI

1. ID de enrutadorset vrouter trust-vr router-id 10

2. Instancia de enrutamiento de OSPFset vrouter trust-vr protocol ospfset vrouter trust-vr protocol ospf enablesave

Ejemplo: Eliminación de una instancia de OSPFEn este ejemplo inhabilitará la instancia de enrutamiento de OSPF en el enrutador vtransmitir y procesar paquetes OSPF en todas las interfaces habilitadas para OSPF

WebUI

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Enabled y haga clic en OK .

Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF Instancaparezca el mensaje de confirmación de borrado .

CLIunset vrouter trust-vr protocol ospf enableunset vrouter trust-vr protocol ospfsave

Nota: En la línea de comandos CLI, tendrá que crear la instancia de enrutapoder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos CLI para enrutamiento de OSPF.

Nota: En la línea de comandos CLI, tendrá que desactivar la instancia de epoder eliminarla. Por lo tanto, tendrá que ejecutar dos comandos CLI para enrutamiento de OSPF.


77

por la red, ya que los ea a la que pertenecen. No uentran en otras áreas.

ia de enrutamiento OSPF en el definirla como área de rutas s tipos de áreas, consulte

Valor predeterminadora la 1

para la 1

s de Las LSA de resumen se difunden por el área.

e no.

—


Definición de un área OSPFLas áreas reducen el volumen de información de enrutamiento que tiene que pasar enrutadores OSPF sólo actualizan la base de datos de estado de conexiones del árnecesitan actualizar la información de estado de las redes o enrutadores que se enc

Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancenrutador virtual. Si es necesario crear un área OSPF adicional, también es posibleinternas o área no exclusiva de rutas internas. Si desea más información sobre esto“Áreas” en la página 69.

De forma opcional puede configurar los siguientes parámetros para las áreas:

Parámetro de área DescripciónMetric for default route (Sólo áreas NSSA y de rutas internas). Especifica la métrica pa

notificación de ruta predeterminada.

Metric type for the default route

(Sólo área NSSA). Especifica el tipo de métrica externa (1 ó 2) ruta predeterminada.

No summary (Sólo áreas NSSA y de rutas internas). Especifica que las LSAresumen no se difundirán por el área.

Range (Todas las áreas). Especifica un rango de direcciones IP que snotificarán en las LSAs de resumen, y si éstas se notificarán o


78

Area: Introduzca los siguientes


Ejemplo: Creación de un área OSPFEn el siguiente ejemplo creará un área OSPF con la ID de area 10.

WebUINetwork > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance >datos y haga clic en OK :

Area ID: 10Type: normal (seleccione)Action: Add

CLI

set vrouter trust-vr protocol ospf area 10save


79

tilizando la interfaz WebUI o el

ethernet3 al area OSPF 0.

Area > Configure (Area 10): le Interface(s) a la columna

nce > Area > Configure a Available Interface(s) a la


Asignación de interfaces a un área OSPFUna vez se ha creado un área, es posible asignarle una o varias interfaces, ya sea ucomando CLI set interface .

Ejemplo: Asignación de interfaces a áreas

En el siguiente ejemplo asignará la interfaz ethernet1 al area OSPF 10 y la interfaz

WebUI

Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance >Utilice el botón Add para mover la interfaz ethernet1 de la columna AvailabSelected Interfaces. Haga clic en OK .

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Insta(Area 0): Utilice el botón Add para mover la interfaz ethernet3 de la columncolumna Selected Interfaces. Haga clic en OK .

CLI

set interface ethernet1 protocol ospf area 10set interface ethernet3 protocol ospf area 0save


80

as de un área a otra. Si olide en una única dirección de de resumen. Al configurar un finido en las notificaciones.

nce > Area > Configure clic en Add :

d :

0/24 advertise0/24 no-advertise


Ejemplo: Configuración de un rango de áreasDe forma predeterminada, un enrutador de límite de área no agrega las rutas enviadconfigura un rango de áreas permitirá que un grupo de subredes en un área se consred para notificarse en otras áreas por medio de una única notificación de conexiónrango de áreas, deberá especificar si desea notificar o retener el rango de áreas de

En el siguiente ejemplo definirá los siguientes rangos de áreas para el area 10:

• 10.1.1.0/24, se notificará.

• 10.1.2.0/24, no se notificará.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Insta(0.0.0.10): Introduzca los siguientes datos en la sección Area Range y haga

IP / Netmask: 10.1.1.0/24

Type: (seleccione) Advertise

Introduzca los siguientes datos en la sección Area Range y haga clic en Ad

IP / Netmask: 10.1.2.0/24

Type: (seleccione) No Advertise

CLI

set vrouter trust-vr protocol ospf area 10 range 10.1.1.set vrouter trust-vr protocol ospf area 10 range 10.1.2.save


81

s del enrutador virtual (VR). arla a un área. Si se desactiva s parámetros de configuración

et1 (que previamente se había ).

rotocol OSPF y haga clic en

rotocol OSPF y haga clic en

(consulte “Ejemplo: Eliminación aquetes en todas las interfaces


Habilitación de OSPF en interfacesDe forma predeterminada, el protocolo OSPF está inhabilitado en todas las interfaceEste protocolo se debe habilitar explícitamente en una interfaz antes de poder asignOSPF en una interfaz, dejará de transmitir o recibir paquetes en esa interfaz, pero suse conservarán.

Ejemplo: Habilitación de OSPF en interfacesEn este ejemplo habilitará la instancia de enrutamiento de OSPF en la interfaz ethernasignado al area 10) y en la interfaz ethernet3 (que previamente se asignó al area 0

WebUI

Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable P Apply .

Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable P Apply .

CLI

set interface ethernet1 protocol ospf enableset interface ethernet3 protocol ospf enablesave

Nota: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual de una instancia de OSPF” en la página 76), OSPF dejará de transmitir y procesar pdel enrutador que tengan este protocolo habilitado.


82

interfaz ethernet1. Las demás itiendo y procesando paquetes

Enable Protocol OSPF y haga

(consulte “Ejemplo: Eliminación aquetes en todas las interfaces


Ejemplo: Inhabilitar OSPF en una interfazEn este ejemplo inhabilitará la instancia de enrutamiento de OSPF únicamente en lainterfaces del enrutador virtual trust-vr (VR) en que se habilitó OSPF seguirán transmOSPF.

WebUI

Network > Interfaces > Edit (para ethernet1) > OSPF: Anule la selección de clic en Apply .

CLI

unset interface ethernet1 protocol ospf enablesave

Nota: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual de una instancia de OSPF” en la página 76), OSPF dejará de transmitir y procesar pdel enrutador que tengan este protocolo habilitado.


83

o CLI:

ise


Comprobación de la configuraciónPuede ver la configuración introducida para trust-vr ejecutando el siguiente comand

ns-> get vrouter trust-vr protocol ospf configVR: trust-vr RouterId: 10.1.1.250----------------------------------set protocol ospfset enableset area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertiseset area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertset area 0.0.0.10set vlink area-id 0.0.0.10 router-id 10.1.1.250exitset interface ethernet1 protocol ospf area 0.0.0.10set interface ethernet1 protocol ospf enableset interface ethernet3 protocol ospf area 0.0.0.0set interface ethernet3 protocol ospf enable


84

get vrouter trust-vr protocol

OSPF activas y las interfaces

lugar de utilizar la ID , consulte el Capítulo 2,

le

ces is 1

ces is 1


Puede verificar si OSPF se está ejecutando en el enrutador virtual con el comando ospf .

Las zonas resaltadas muestran que OSPF se está ejecutando y verifican las zonas activas en cada zona OSPF.

Nota: Es recomendable asignar siempre una ID de enrutador de forma explícita, enpredeterminada. Para más información sobre cómo configurar una ID de enrutador“Enrutadores virtuales”.

ns-> get vrouter trust-vr protocol ospfVR: trust-vr RouterId: 10.1.1.250----------------------------------OSPF enabledSupports only single TOS(TOS0) routeInternal RouterAutomatic vlink creation is disabledNumbers of areas is 2Number of external LSA(s) is 0SPF Suspend Count is 10 nodesHold time between SPFs is 3 second(s)Advertising default-route lsa is offDefault-route discovered by ospf will be added to the routing tabRFC 1583 compatibility is disabled.Hello packet flooding protection is not enabledLSA flooding protection is not enabledArea 0.0.0.0 Total number of interfaces is 1, Active number of interfa SPF algorithm executed 2 times Number of LSA(s) is 1Area 0.0.0.10 Total number of interfaces is 1, Active number of interfa SPF algorithm executed 2 times Number of LSA(s) is 0


85

faces con el comando get

or designado (DR) o el do (State) lista la prioridad del

a establecido adyacencias con hbor .

as con vecinos.

-------

Router

-----

-----


Puede verificar si OSPF está habilitado en las interfaces y ver el estado de las intervrouter trust-vr protocol ospf interface .

Puede configurar la prioridad del enrutador virtual que desee seleccionar: el enrutadenrutador designado de respaldo (BDR). En el ejemplo anterior, la columna del estaenrutador virtual.

Puede verificar si instancia de enrutamiento de OSPF en el dispositivo NetScreen hlos vecinos OSPF ejecutando el comando get vrouter trust-vr protocol ospf neig

En la columna “State” del ejemplo anterior, “Full” indica adyacencias OSPF complet

ns-> get vrouter trust-vr protocol ospf interfaceVR: trust-vr RouterId: 10.1.1.250----------------------------------Interface IpAddr NetMask AreaId Status State-------------------------------------------------------------------------

ethernet3 2.2.2.2 255.255.255.0 0.0.0.0 enabled Designated

ethernet1 10.1.1.1 255.255.255.0 0.0.0.10 enabled Up

ns-> get vrouter trust-vr protocol ospf neighborVR: trust-vr RouterId: 10.1.1.250---------------------------------- Neighbor(s) on interface ethernet3 (Area 0.0.0.0)IpAddr/If Index RouterId Priority State Options-------------------------------------------------------------------------2.2.2.2 2.2.2.250 1 Full E Neighbor(s) on interface ethernet1 (Area 0.0.0.10)IpAddr/If Index RouterId Priority State Options-------------------------------------------------------------------------10.1.1.1 10.1.1.252 1 Full E

Capítulo 3 Protocolo OSPF Redistribución de rutas

86

los de enrutamiento. Por miento de OSPF de un mismo

de rutas para filtrar las rutas as de rutas para la

a ruta originada en un dominio de la base de que ya ha creado

nce > Redistributable Rules:

p add-bgp protocol bgp


REDISTRIBUCIÓN DE RUTASLa redistribución de rutas es el intercambio de información sobre rutas entre protocoejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutaenrutador virtual:

• Rutas reconocidas por BGP o RIP

• Rutas conectadas directamente

• Rutas importadas


Cuando se configura la redistribución de rutas, primero se debe especificar un mapaque se vayan a redistribuir. Para obtener más información sobre la creación de mapredistribución, consulte el Capítulo 2, “Enrutadores virtuales”.

Ejemplo: Redistribución de rutas en OSPF

En el siguiente ejemplo redistribuirá en el dominio de enrutamiento OSPF actual unde enrutamiento BGP. Tanto en el ejemplo de WebUI como en el de CLI, partiremos un mapa de rutas llamado add-bgp.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF InstaIntroduzca los siguientes datos y haga clic en Add :

Route Map: add-bgp

Protocol: BGP

CLI

set vrouter trust-vr protocol ospf redistribute route-masave


87

, ciertos enrutadores pueden ibuido rutas de un protocolo ruta de red general o resumida. na sola, simplificando así el

que se pueden aislar los en un dominio falla no al dominio tendría que

oncales, la generación de incluidas en el resumen as interzonales y rutas externas.

bucles. Puede configurar una un ejemplo de creación de una

tual. A continuación resumirá el

nce > Redistributable Rules:

nce > Summary Import:


Resumen de rutas redistribuidasEn las grandes redes, donde pueden coexistir cientos o miles de direcciones de redllegar a congestionarse por la gran cantidad de información de ruta. Si ya ha redistrexterno en la instancia de enrutamiento OSPF actual, podrá reunir las rutas en una Al resumir múltiples direcciones, hará que un grupo de rutas se reconozcan como uproceso de consulta.

Una de las ventajas de crear resúmenes de rutas en redes grandes y complejas es cambios topológicos de otros enrutadores. Por ejemplo, si una conexión específica continuamente, la ruta resumida no cambiaría, de modo que ningún enrutador extermodificar una y otra vez su tabla de enrutamiento debido a los fallos de conexión.

Además de crear menos entradas en las tablas de enrutamiento de los enrutadores trresúmenes evita que las LSAs se propaguen por otras áreas cuando una de las redesdesaparece (por un fallo) o reaparece. En los resúmenes también se pueden incluir rut

En ocasiones, una ruta resumida puede crear oportunidades para que se produzcanruta hacia una interfaz NULL para evitar bucles. Al final de esta sección encontrará ruta resumida y un ejemplo de establecer una interfaz NULL.

Ejemplo: Resumen de rutas redistribuidasEn este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF acconjunto de rutas importadas en la dirección de red 2.1.1.0/24.

WebUI


Route Map: add-bgpProtocol: BGP




88

p add-bgp protocol bgp.1.0/24

la red 2.1.1.0/24 del ejemplo .4. Cualquier paquete dirigido a s paquetes pero no tiene a r este comportamiento,

ncia y métrica elevadas al

atos y haga clic en OK :

ference 255 metric


CLI

set vrouter trust-vr protocol ospf redistribute route-maset vrouter trust-vr protocol ospf summary-import ip 2.1save

Ejemplo: Evitar bucles creados por las rutas resumidasEn este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia anterior. Dentro de la red 2.1.1.0/24 se encuentran los hosts 2.1.1.2, 2.1.1.3 y 2.1.12.1.1.10 caerá en el rango de la ruta resumida. El dispositivo NetScreen acepta estodónde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red. Para evitaestablecerá una interfaz NULL para esta ruta. Es importante establecer una prefereestablecer una interfaz NULL.

WebUI

Network > Routing > Destination > trust-vr New: Introduzca los siguientes d



Interface: Null


Preference: 255

Metric: 65535

CLI

set vrouter trust-vr route 2.1.1.0/24 interface null pre65535

save

Capítulo 3 Protocolo OSPF Parámetros globales de OSPF

89

rar de forma opcional en un tador virtual, los datos de ado el protocolo OSPF. Es nto OSPF por medio de las

minados.

Valor predeterminado

la tabla SPF. rica tipo ASE ada

La ruta predeterminada no se notifica.

OSPF no La ruta predeterminada reconocida en OSPF se agrega a la tabla de rutas.

ente si Desactivado

ue el VR 10

e el VR No hay valor predeterminado.


PARÁMETROS GLOBALES DE OSPFEn esta sección se describen parámetros globales de OSPF que se pueden configuenrutador virtual (VR). Cuando se configura un parámetro OSPF en el nivel de enruconfiguración afectarán a las operaciones de todas las interfaces que tengan habilitposible modificar los valores de los parámetros globales del protocolo de enrutamieinterfaces CLI y WebUI.

La siguiente tabla muestra los parámetros globales de OSPF y sus valores predeter

Parámetros globales de OSPF

Descripción

Advertise default route Especifica que una ruta predeterminada activa (0.0.0.0/0) ende rutas del enrutador virtual se notifica en todas las áreas OTambién es posible especificar el valor de métrica o si la métoriginal de la ruta se preservará, así como el tipo de métrica (1 o 2). También se puede especificar que la ruta predeterminsiempre se notifique.

Reject default route Especifica que cualquier ruta predeterminada reconocida en se agregará a la tabla de rutas.

Automatic virtual link Especifica que el VR creará una conexión virtual automáticamno puede acceder al área troncal de OSPF.

Maximum hello packets Especifica el número máximo de paquetes de saludo OSPF qpuede recibir en un intervalo de saludo.

Maximum LSA packets Especifica el número máximo de paquetes LSA de OSPF qupuede recibir dentro del intervalo en segundos especificado.


90

rutas, aunque un prefijo más

iento OSPF actual.

nce: Seleccione Advertising

patible Los dispositivos NetScreen admiten OSPF, versión 2, tal y como se define en RFC 2328.

uilibrar oste. la página

Disabled (1)

irtual. De cación, el isión o el

No hay conexión virtual configurada.

trica predeterminado es tipo



Ejemplo: Notificación de la ruta predeterminadaLa ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla deespecífico anulará la ruta predeterminada.

En este ejemplo, usted anunciará la ruta predeterminada de la instancia de enrutam

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF InstaDefault Route Enable y haga clic en OK .

RFC 1583 compatibility Especifica que la instancia de enrutamiento de OSPF es comcon la norma RFC 1583, una versión anterior de OSPF.

Equal cost multipath routing (ECMP)

Especifica el número máximo de rutas (1-4) a utilizar para eqcargas con los destinos que tengan múltiples rutas de igual cConsulte “Enrutamiento de rutas múltiples de igual coste” en 52.

Virtual link configuration Configura el área OSPF y la ID de enrutador para la conexión vforma opcional también puede configurar el método de autentiintervalo de saludo y el de retransmisión, el retardo de transmintervalo muerto del interlocutor para la conexión virtual.

Nota: En la interfaz WebUI, la métrica predeterminada es 1 y el tipo de méASE 1.

Parámetros globales de OSPF

Descripción


91

metric 1 metric-type 1


CLI

set vrouter trust-vr protocol ospf advertise-default-routesave


92

Sin embargo, en ocasiones es al. Para resolver este problema a con una ruta lógica al área

conexión. Para configurar una

una conexión virtual que cruce

ales:


do o la No se utiliza autenticación.

puesta ue

40 segundos

10 segundos

e la mera

5 segundos

na 1 segundo


Conexiones virtualesTodas las áreas de una red OSPF se deben conectar directamente al área troncal. necesario crear una nueva área que no se podrá conectar físicamente al área troncse puede configurar una conexión virtual. Esta conexión proporciona un área remottroncal a través de otra área.

En los enrutadores, la conexión virtual se debe configurar en los dos extremos de laconexión virtual en el dispositivo NetScreen, debe definir:

• La ID del área OSPF que va a cruzar la conexión virtual. No es posible crearel área troncal o un área de rutas internas.

• La ID del enrutador al otro extremo de la conexión virtual.

De forma opcional puede configurar los siguientes parámetros para conexiones virtu

Parámetro de conexión virtual

Descripción

Authentication Especifica la autenticación por contraseña de texto no encriptaautenticación MD5.

Dead interval Especifica el intervalo en segundos en que no se producirá resdesde un dispositivo OSPF vecino antes de que se determine qéste no funciona.

Hello interval Especifica el tiempo en segundos entre dos saludos OSPF.

Retransmit interval Especifica el tiempo en segundos que transcurrirá antes de quinterfaz reenvíe una LSA a un vecino que no respondió a la priLSA.

Transmit delay Especifica el tiempo en segundos entre las transmisiones de paquetes de actualización de estado de conexión enviados a uinterfaz.


93

e el dispositivo NetScreen-A 0.1.1.250. (Consulte el Capítulo s de enrutadores en los o de tránsito de 10 segundos. ivo en el otro extremo de la

nce > Virtual Link: Introduzca

criba 10 y haga clic en OK .

que OSPF se esté ejecutando .

Area 0

Internet

en-B tienen re sí a través


Ejemplo: Creación de una conexión virtualEn el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desdcon ID de enrutador 10.10.1.250 al dispositivo NetScreen-B con la ID de enrutador 12, “Enrutadores virtuales”para obtener más información sobre la configuración de IDdispositivos NetScreen). También puede configurar la conexión virtual con un retardEn cada dispositivo NetScreen, tendrá que identificar la ID de enrutador del dispositconexión virtual.

WebUI (NetScreen-A)Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instalos siguientes datos y haga clic en Add :

Area ID: 10 (seleccione)

Router ID: 10.1.1.250

> Configure: En el campo Transmit Delay, es

Nota: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse deen las interfaces de los dispositivos A y B antes de que la conexión virtual se active

ID de enrutador 10.1.1.250

ID de enrutador

10.10.1.250

Area 10

Area 20

NetScreen-B

NetScreen-ANetScreen-A y NetScreuna conexión virtual entdel área OSPF 10.

e1

e1

e2

e2


94

er-id 10.1.1.250er-id 10.1.1.250

nce > Virtual Link: Introduzca

criba 10 y haga clic en OK .

er-id 10.10.1.250er-id 10.10.1.250

ntinuación, configurar cualquier e ejecutar dos comandos


CLI (NetScreen-A)

set vrouter trust-vr protocol ospf vlink area-id 10 routset vrouter trust-vr protocol ospf vlink area-id 10 rout

transit-delay 10save

WebUI (NetScreen-B)

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instalos siguientes datos y haga clic en Add :

Area ID: 10

Router ID: 10.10.1.250

> Configure: En el campo Transmit Delay, es

CLI (NetScreen B)

set vrouter trust-vr protocol ospf vlink area-id 10 routset vrouter trust-vr protocol ospf vlink area-id 10 rout

transit-delay 10save

Nota: En la interfaz CLI, primero tendrá que crear la conexión virtual y, a coparámetro opcional para la conexión. Así, en el ejemplo anterior, tendrá qudistintos para crear y después configurar la conexión virtual.


95

al para las instancias en las exiones virtuales iones virtuales de forma es virtuales.

ce: Seleccione Automatically


Ejemplo: Creación de una conexión virtual automáticaPuede hacer que un enrutador virtual (VR) cree automáticamente una conexión virtuque no sea posible acceder al área troncal de la red. Si el enrutador virtual crea conautomáticamente se ahorrará el tiempo necesario para crear cada una de las conexmanual. En el siguiente ejemplo configuraremos la creación automática de conexion

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF InstanGenerate Virtual Links y haga clic en OK .

CLI

set vrouter trust-vr protocol ospf auto-vlinksave

Capítulo 3 Protocolo OSPF Parámetros de interfaz OSPF

96

nivel de interfaz. Cuando se ctan únicamente al parámetros de la interfaz

s predeterminados.


iante

er

la lave.

No se utiliza autenticación.

faz da el

1 para una conexión de 100 MB o más 10 para una conexión de 10 MB 100 para una conexión de 1 MB

esta que

40 segundos

o de 10 segundos

mo Las interfaces Ethernet se tratan como interfaces de difusión.De forma predeterminada, las interfaces de túnel asociadas a las zonas OSPF son punto a punto.


PARÁMETROS DE INTERFAZ OSPFEn esta sección se describen los parámetros OSPF que se pueden configurar en elconfigura un parámetro OSPF en el nivel de interfaz, los datos de configuración afefuncionamiento OSPF de la interfaz especificada. Puede modificar los ajustes de losmediante comandos interface de CLI o utilizando WebUI.La siguiente tabla muestra los parámetros OSPF de interfaz opcionales y sus valore

Parámetro de interfaz OSPF

Descripción

Authentication Especifica si la comunicación OSPF de la interfaz se verificará medautenticación por contraseña de texto no encriptado o por MD5 (“Message Digest 5”). La contraseña de texto no encriptado debe suna cadena de hasta 8 dígitos, mientras que la contraseña para autenticación MD5 puede ser una cadena de hasta 16 dígitos. Paracontraseña MD5 también es necesario que se configuren cadenas c

Cost Especifica la métrica de la interfaz. El coste asociado a una interdepende del ancho de banda de la conexión que tenga establecidicha interfaz. Cuanto mayor sea el ancho de banda, menor serávalor del coste (preferible).

Dead interval Especifica el intervalo en segundos en que no se producirá respudesde un dispositivo OSPF vecino antes de que OSPF determineno funciona.

Hello interval Especifica el intervalo en segundos que transcurrirá entre el envíun paquete de saludo a la red y el siguiente.

Link type Especifica una interfaz de túnel como vínculo punto a punto o covínculo punto a multipunto. Consulte “Interfaz de túnel punto a multipunto” en la página 107.


97

iden Ninguna (las adyacencias se forman con todos los vecinos de la interfaz)

inio faz

Las interfaces con OSPF habilitado transmiten y reciben paquetes OSPF

dor el

1

a ra

5 segundos

etes 1 segundo

cuito en

Desactivado

Desactivado

e se será

Desactivado

lizar los mismos valores en el



Neighbor list Especifica subredes, en forma de lista de acceso, en las que resvecinos OSPF que pueden utilizarse para formar adyacencias.

Passive Interface Especifica que la dirección IP de la interfaz se notificará en el domOSPF como ruta OSPF y no como ruta externa, pero que la interno transmitirá ni recibirá paquetes OSPF. Esta opción resulta útilcuando en la interfaz también se ha habilitado BGP.

Priority Especifica la prioridad del enrutador virtual que se elegirá: enrutadesignado o enrutador designado de respaldo. El enrutador con valor de prioridad más alto tiene más posibilidades de ser elegido(aunque no se garantiza).

Retransmit interval Especifica el tiempo en segundos que transcurrirá antes de que linterfaz reenvíe una LSA a un vecino que no respondió a la primeLSA.

Transit delay Especifica el tiempo en segundos entre las transmisiones de paqude actualización de estado de conexión enviados a la interfaz.

Demand circuit (Sólo interfaces de túnel) Configura una interfaz de túnel como cirde demanda, según RFC 1793. Consulte “Circuitos de demanda interfaces de túnel” en la página 105.

Reduce floods Especifica la reducción de inundaciones LSA en un circuito de demanda.

Ignore MTU Especifica que cualquier incoherencia en los valores Maximum Transmission Unit (MTU) entre las interfaces locales y remotas quencuentre durante las negociaciones de la base de datos OSPF ignorada. Esta opción sólo debe utilizarse cuando el MTU de la interfaz local sea más lento que el MTU de la interfaz remota.

Nota: Para formar adyacencias, todos los enrutadores OSPF de un área deben utiintervalo de saludo, el intervalo muerto y el intervalo de retransmisión.

Parámetro de interfaz OSPF

Descripción


98

hernet1:

s.

tes datos y haga clic en Apply :

l 7


Ejemplo: Ajuste de parámetros de interfaz OSPFEn este ejemplo configuraremos los siguientes parámetros OSPF para la interfaz et

• Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundo

• Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos.

• Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.

WebUI

Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguien

Hello Interval: 15

Retransmit Interval: 7

Transit Delay: 2

CLI

set interface ethernet1 protocol ospf hello-interval 15set interface ethernet1 protocol ospf retransmit-intervaset interface ethernet1 protocol ospf transit-delay 2save

Capítulo 3 Protocolo OSPF Configuración de seguridad

99

rutamiento OSPF y algunos

y la mayoría de los de acabar con el riesgo de este

r autenticación de contraseña ue no se autentiquen se

n habilitada.

OSPF de envío y recepción. uales tendrá su propia clave. Si tificador para la clave que se es posible cambiar e que algún paquete se

doSPF en la interfaz ethernet1.


deben configurarse con el llegar a dejar inservible todo el


CONFIGURACIÓN DE SEGURIDADEn esta sección se describen posibles problemas de seguridad en el dominio de enmétodos de prevención de ataques.

Autenticación de vecinosUn enrutador OSPF se puede suplantar fácilmente, ya que las LSAs no se encriptananalizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma tipo de ataques será autenticando los vecinos OSPF.

OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: posimple y por autenticación MD5. Todos los paquetes OSPF recibidos en la interfaz qdescartarán. De forma predeterminada, ninguna interfaz OSPF tiene la autenticació

Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadoresPuede especificar varias claves MD5 en el dispositivo NetScreen, cada una de las cconfigura varias claves MD5 en el dispositivo NetScreen, podrá seleccionar un idenutilizará para autenticar las comunicaciones con el enrutador vecino. De esta formaperiódicamente las claves MD5 por parejas de enrutadores minimizando el riesgo ddescarte.

Ejemplo: Configuración de una contraseña de texto no cifraEn este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para O

WebUI


Password: (seleccione), 12345678

Nota: Para que OSPF sea más seguro, todos los enrutadores de un dominio OSPFmismo nivel de seguridad. De lo contrario, un solo enrutador OSPF peligroso podríadomino de enrutamiento OSPF.


100

sword 12345678

seleccionará una de ellas para no tendrá que especificar el


1234567890123456 9876543210987654

5022313610981757

active-md5-key-id 1


CLIset interface ethernet1 protocol ospf authentication passave

Ejemplo: Configuración de una contraseña MD5En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 yque sea la clave activa. El identificador de clave predeterminado es 0, de forma queidentificador para la primera clave MD5 que introduzca.

WebUI


Authentication:

MD5 Keys: (seleccione)

1234567890123456

9876543210987654

5022313610981757

Key ID: 1

Preferred: (seleccione)

CLI

set interface ethernet1 protocol ospf authentication md5set interface ethernet1 protocol ospf authentication md5

key-id 1set interface ethernet1 protocol ospf authentication md5

key-id 2set interface ethernet1 protocol ospf authentication md5save


101

adores, se puedan conectar a dad o rendimiento si el

l (VR) NetScreen forma PF. Es posible limitar los

utamiento de OSPF definiendo hosts o enrutadores que se enrutamiento de OSPF. Para ta de acceso a las subredes en

con los hosts de la subred ure vecinos OSPF válidos.

a los siguientes datos y haga



Filtrado de vecinos OSPFLos entornos de acceso múltiple permiten que los dispositivos, incluyendo los enrutuna red de forma relativamente sencilla. Esto puede provocar problemas de estabilidispositivo conectado no es fiable.

De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtuaadyacencias con todos los vecinos OSPF que se comunican en una interfaz con OSdispositivos de una interfaz que pueden formar adyacencias con la instancia de enruna lista de subredes que contengan vecinos OSPF que se puedan elegir. Sólo los encuentren en la subredes definidas podrán formar adyacencias con la instancia deespecificar las subredes que contienen vecinos OSPF válidos, se debe definir una lisel nivel del enrutador virtual (VR).

Ejemplo: Configuración de una lista de vecinosEn este ejemplo configuraremos una lista de acceso que permitirá la comunicación 10.10.10.130/27. A continuación especificaremos la lista de acceso para que config

WebUI

Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzcclic en OK :

Access List ID: 4

Sequence No.: 10

IP/Netmask: 10.10.10.130/27



Neighbor List: 4


102

0/27 10

0.0.0.0/0) en el dominio de os paquetes, causando una s de reenviarlos. En los conocida en OSPF y agrega la

zca en OSPF.

nce: Seleccione la casilla de K .


CLI

set vrouter trust-vr access-list 4set vrouter trust-vr access-list 4 permit ip 10.10.10.13set interface ethernet1 protocol ospf neighbor-list 4save

Rechazo de rutas predeterminadasEn los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada (enrutamiento para que los paquetes se desvíen a él. El enrutador puede descartar linterrupción en el servicio, o puede entregar información crítica a los paquetes antedispositivos NetScreen, OSPF acepta en principio cualquier ruta predeterminada reruta predeterminada a la tabla de rutas.

Ejemplo: Eliminación de la ruta predeterminada

En el siguiente ejemplo especificaremos que una ruta predeterminada no se recono

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instaverificación Do Not Add Default-route Learned in OSPF y haga clic en O

CLI

set vrouter trust-vr protocol ospf reject-default-routesave


103

os con paquetes de saludo tros enrutadores en la red para a inundaciones de LSA permite ibe demasiadas LSAs, el do un enrutador genera un emás enrutadores OSPF de la

paquetes de saludo por rante un intervalo determinado. inada, el límite de paquetes de eterminado para una interfaz n límite de LSAs, se aceptarán

ludo. Este intervalo, que se justado a 10 segundos.

nce: Introduzca los siguientes


Protección contra inundacionesUn enrutador peligroso o que no funcione correctamente puede inundar a sus vecinOSPF o con LSAs. Cada enrutador capta la información de las LSAs enviadas por orecuperar la información de rutas para la tabla de enrutamiento. La protección contrdeterminar el número de LSAs que entrarán en el enrutador virtual (VR). Si éste recenrutador fallará por una inundación LSA. Los ataques por LSAs se producen cuannúmero excesivo de LSAs en un periodo corto de tiempo, puesto que hace que los dred se mantengan ocupados ejecutando el algoritmo SPF.

En los enrutadores virtuales NetScreen, es posible configurar el número máximo deintervalo de saludo y el número máximo de LSAs que recibirá una interfaz OSPF duLos paquetes que excedan el límite configurado se descartarán. De forma predetermsaludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo predOSPF es de 10 segundos). No hay ningún límite de LSAs predefinido; si no impone utodas.

Ejemplo: Configuración de un límite de saludo

En el siguiente ejemplo configuraremos un límite de 20 paquetes por intervalo de sapuede configurar independientemente en cada interfaz OSPF, no variará; seguirá a

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instadatos y haga clic en OK :

Prevent Hello Packet Flooding Attack: On

Max Hello Packet: 20

CLI

set vrouter trust-vr protocol ospf hello-threshold 20save


104

ndos para evitar ataques por

nce: Introduzca los siguientes


Ejemplo: Configuración de un límite de LSAs

En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20 seguinundación de LSAs.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instadatos y haga clic en OK :

LSA Packet Threshold Time: 20

Maximum LSAs: 10

CLI

set vrouter trust-vr protocol ospf lsa-threshold 20 10save

Capítulo 3 Protocolo OSPF Circuitos de demanda en interfaces de túnel

105

egmentos de red en los que el circuito de demanda, el tráfico los dispositivos NetScreen, las n correcto funcionamiento, anda.

creen suprime el envío de sminuir la sobrecarga. Cuando LSAs del enrutador y de la red tes de saludo periódicos y LSA cambiado.

a.

clic en Apply :

anda con OSPF (consulte

de demanda. Sin embargo, no


CIRCUITOS DE DEMANDA EN INTERFACES DE TÚNELLos circuitos de demanda de OSPF, según lo definido en la norma RFC1793, son stiempo de conexión o de utilización afecta al coste de utilizar tales conexiones. En ungenerado por OSPF necesita ser limitado a los cambios en la topología de la red. Eninterfaces punto a punto y de túnel serie pueden ser circuitos de demanda; y para uambos extremos del túnel se deben configurar manualmente como circuitos de dem

En interfaces de túnel configuradas como circuitos de demanda, el dispositivo NetSpaquetes de saludo OSPF y la actualización periódica de inundaciones LSA para diel vecino OSPF alcanza el estado completo “Full” (los saludos “Hello” coinciden y losreflejan a todos los vecinos adyacentes), el dispositivo NetScreen suprime los paquese actualiza. El dispositivo NetScreen inunda solamente LSAs cuyo contenido haya

Ejemplo: Crear un circuito de demanda OSPFEn el ejemplo siguiente, configurará la interfaz tunnel.1 como un circuito de demand

WebUI

Network > Interface > Edit > OSPF: Introduzca los siguientes datos y haga

Demand Circuit: (seleccione)

CLI

set interface tunnel.1 protocol ospf demand-circuitsave

Nota: No se puede configurar una interfaz punto a multipunto como circuito de dem“Interfaz de túnel punto a multipunto” en la página 107).

Nota: Deberá configurar la interfaz de túnel del interlocutor remoto como un circuitonecesita configurar la inundación LSA reducida en el interlocutor remoto.

Capítulo 3 Protocolo OSPF Circuitos de demanda en interfaces de túnel

106

nes LSA, puede habilitar la de LSA sin afectar al flujo de

s datos y haga clic en Apply :


Ejemplo: Habilitar la inundación reducidaSi no desea configurar un circuito de demanda pero necesita suprimir las inundacioreducción de inundaciones. En el ejemplo siguiente, habilitará la supresión periódicapaquetes de saludo hacia la interfaz tunnel.1.

WebUI

Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguiente

Reduce Flooding: (seleccione)

CLI

set interface tunnel.1 protocol ospf reduce-floodingsave

Capítulo 3 Protocolo OSPF Interfaz de túnel punto a multipunto

107

rma predeterminada se crea un acencia con solamente un a múltiples túneles, debe

característica route-deny en la

lte “Entradas automáticas en la en el capítulo “Características ra establecer el tipo de vínculo,

a multipunto.

el tipo de conexión como punto

p2mp) para cumplir los

botones de opción Link Type.

de habilitar OSPF en la drá configurarla como circuito 05). No obstante, puede


INTERFAZ DE TÚNEL PUNTO A MULTIPUNTOAl asociar una interfaz de túnel a una zona OSPF en un dispositivo NetScreen, de fotúnel OSPF punto a punto. La interfaz de túnel punto a punto puede formar una adyenrutador OSPF en el extremo remoto. Si la interfaz de túnel local va a ser asociadaconfigurar la interfaz de túnel local como interfaz punto a multipunto e inhabilitar lainterfaz de túnel.

Para ver un ejemplo de asociación de múltiples túneles a una interfaz de túnel, consutabla de rutas y la tabla NHTB” en la sección “Múltiples túneles por interfaz de túnel”VPN avanzadas” del volumen “VPNs”. Al final de esta sección encontrará ejemplos paestablecer la función route-deny y configurar una red con una interfaz de túnel punto

Establecer el tipo de conexiónSi se propone formar adyacencias OSPF en múltiples túneles, necesitará establecera multipunto (p2mp).

Ejemplo: Establecer el tipo de conexión OSPFEn este ejemplo establecerá el tipo de conexión de tunnel.1 en punto a multipunto (requisitos de su red.

WebUI

Network > Interface (Edit) > OSPF: Seleccione Point-to-Multipoint en la lista de

CLI

set interface tunnel.1 protocol ospf link-type p2mpsave

Nota: Debe configurar una interfaz de túnel como interfaz punto a multipunto antesinterfaz. Una vez configurada la interfaz como interfaz punto a multipunto, ya no pode demanda (consulte “Circuitos de demanda en interfaces de túnel” en la página 1configurar la interfaz para la inundación LSA reducida.


108

a través de la misma interfaz a a interfaz. En un entorno punto o NetScreen para enviar y lo inhabilitará la restricción

central (CO) en San Francisco

dispositivo NetScreen puede Una zona personalizada ra con un mínimo esfuerzo en os deben coincidir para que las

oficina central CO:

LI.


Ejemplo: Inhabilitar la restricción Route-DenyDe forma predeterminada, el dispositivo NetScreen puede enviar y recibir paquetesmenos que esté configurado explícitamente para no enviarlos ni recibirlos en la misma multipunto, este comportamiento puede ser deseable. Para configurar el dispositivrecibir en la misma interfaz, debe inhabilitar la restricción route-deny. En este ejemproute-deny mediante CLI en la interfaz de túnel punto a multipunto tunnel.1.

WebUI

CLI

unset interface tunnel.1 route-denysave

Ejemplo: Red punto a multipuntoLa red de este ejemplo pertenece a una empresa de tamaño mediano con su oficinay delegaciones en Chicago, Los Angeles, Montreal y Nueva York.

Cada oficina tiene un solo dispositivo NetScreen y cada red situada detrás de cada comunicarse con todas las redes situadas detrás de los otros dispositivos remotos. llamada vpn permite a estos cinco dispositivos enviar y recibir tráfico de forma seguconfiguración de directivas. Los valores de temporizadores para todos los dispositivadyacencias puedan formarse.

En este ejemplo, configurará los siguientes ajustes en el dispositivo NetScreen de la

1. Interfaces y zona de seguridad

2. Rutas y OSPF

3. VPN

4. Directiva

Nota: Para establecer la restricción route-deny debe utilizarse la interfaz C


109

uno de los cuatro dispositivos

en el dispositivo NetScreen de ontreal y Chicago.

s

.0.3.3

.0.2.2

.0.4.4

.0.5.5

Trust2.2.2.1

Trust3.3.3.1

Trust4.4.4.1

Trust5.5.5.1


Para completar la configuración de la red, configurará los siguientes ajustes en cadaNetScreen de las oficinas remotas:


2. OSPF

3. VPN

4. Directiva

En este diagrama de la interfaz de túnel punto a multipunto, cuatro VPNs se originanSan Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, M

New York

Los Angele

Montreal

Chicago

tunnel.1 10.0Untrust 3.3.3




VPN 4

VPN 3

VPN 2

VPN 1

Internettunnel.1 10.0.0.1ethernet3 1.1.1.1

4 VPNs asociadas a tunnel.1

Los 5 dispositivos NetScreen residen en una zona llamada vpn.

ethernet110.1.1.1

San Francisco (CO)


110

hacia el dispositivo remoto de

ionales que conducen a las alores específicos que necesita e.

IP de host10.1.2.5

ork


Desde el punto de vista del dispositivo en la oficina CO, el tráfico procedente de CONueva York sigue la ruta mostrada en esta ilustración.

WebUI (dispositivo de la oficina central)

1. Interfaces y zona de seguridadNetwork > Zones > New

Network > Interfaces > New Tunnel IF

Network > Interfaces > Edit (para ethernet3)

Network > Interface > Edit (para tunnel.1) > OSPF

Nota: En este ejemplo, cada sección de WebUI enumera solamente rutas navegacpáginas necesarias para configurar el dispositivo. Para consultar los parámetros y vestablecer para cualquier sección de WebUI, consulte la sección de CLI que le sigu

Zona Untrust

ethernet110.1.1.1

Zona VPN10.1.2.1

IP de host10.1.1.5

CO New Y

ethernet31.1.1.1

Untrust2.2.2.2

tunnel.1 tunnel.1


111

ace ethernet3 preshare




posal g2-esp-3des-sha



2. VPNVPNs > AutoKey Advanced > Gateway

3. Rutas y OSPFNetwork > Routing > Virtual Routers > Edit

CLI (dispositivo de la oficina central)

1. Interfaces y zona de seguridadset zone name vpn tunnel untrustset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone vpnset interface tunnel.1 ip 10.0.0.1/24save

2. VPNset ike gateway gw1 address 2.2.2.2 main outgoing-interf

ospfp2mp proposal pre-g2-3des-sha

set ike gateway gw2 address 3.3.3.3 main outgoing-interfospfp2mp proposal pre-g2-3des-sha



set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proset vpn vpn1 monitor rekeyset vpn1 id 1 bind interface tunnel.1

set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proset vpn vpn2 monitor rekey


112



teway 1.1.1.10

remotas. Los dispositivos

litó la característica route-deny nel punto a multipunto funcione


set vpn2 id 2 bind interface tunnel.1


set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proset vpn vpn4 monitor rekeyset vpn4 id 4 bind interface tunnel.1save

3. Rutas y OSPFset vrouter trust route 0.0.0.0/0 interface ethernet3 ga

set vrouter trust router-id 10set vrouter trust protocol ospfset vrouter trust protocol ospf enable

set interface tunnel.1 protocol ospf area 0set interface tunnel.1 protocol ospf enableset interface tunnel.1 protocol ospf link-type p2mpunset interface tunnel.1 route-denysave

4. Directiva (configure como sea necesario)set policy id 1 from trust to vpn any any any permitset policy id 2 from vpn to trust any any any permitsave

Puede seguir estos pasos para configurar los dispositivos NetScreen de las oficinasNetScreen aprenden sobre sus vecinos a través de LSAs.

Nota: De forma predeterminada, route-deny está inhabilitado. Sin embargo, si habien algún momento, necesitará inhabilitar la característica para que la interfaz de túcorrectamente.


113

tir la sección siguiente por cada s nombres de VPN, así como zona denominada vpn cambia.

, sin embargo, está completa. e.


Para completar la configuración mostrada en el diagrama de la página 110, debe repedispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y loestablecer directivas para cumplir las necesidades de la red. Por cada sitio remoto, la

WebUI (dispositivo de oficina remota)

1. Interfaces y zona de seguridadNetwork > Zones > New


Network > Interfaces > Edit (para ethernet3)

Network > Interface > Edit (para tunnel.1) > OSPF

2. VPNVPNs > AutoKey Advanced > Gateway

3. Rutas y OSPFNetwork > Routing > Virtual Routers > Edit

CLI (dispositivo de oficina remota)

1. Interfaces y zona de seguridadset zone name vpn tunnel untrustset interface ethernet3 zone untrustset interface untrust ip 2.2.2.2/24set interface tunnel.1 zone vpnset interface tunnel.1 ip 10.0.0.2/24save

Nota: Los procedimientos de WebUI están abreviados. La porción CLI del ejemploPuede consultar en la porción CLI los ajustes y valores exactos que deben utilizars


114

rface untrust preshare


l ospf config .


2. OSPFset vrouter trust protocol ospfset vrouter trust protocol ospf enable

set interface tunnel.1 protocol ospf area 0set interface tunnel.1 protocol ospf enablesave

3. VPNset ike gateway gw1 address 1.1.1.1/24 main outgoing-inte

ospfp2mp proposal pre-g2-3des-shaset vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proset vpn vpn1 monitor rekeyset vpn vpn1 id 1 bind interface tunnel.1save


Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protoco

4

115

Capítulo 4

iento

g Information Protocol) en los

ágina 129


Protocolo de información de enrutam(RIP)

En este capítulo se describe la versión 2 del protocolo de enrutamiento RIP (Routindispositivos NetScreen. Para ello se tratarán los siguientes temas:

• “Introducción al protocolo RIP” en la página 117

• “Configuración básica de RIP” en la página 118

– “Creación de una instancia RIP” en la página 119

– “Habilitación de RIP en interfaces” en la página 121

– “Redistribución de rutas” en la página 122

• “Visualización de la información de RIP” en la página 124

– “Visualización de la base de datos RIP” en la página 124

– “Visualización de los detalles de protocolo RIP” en la página 127

– “Visualización de información de vecino RIP” en la página 128

– “Visualización de los detalles de protocolo RIP de una interfaz” en la p

• “Parámetros globales de RIP” en la página 130

• “Parámetros de interfaz RIP” en la página 133

– “Notificación de la ruta predeterminada” en la página 132



– “Filtrado de vecinos RIP” en la página 137

Capítulo 4 Protocolo de información de enrutamiento (RIP)

116

– “Protección contra inundaciones” en la página 139

• “Configuraciones opcionales de RIP” en la página 142

– “Versión de protocolo RIP” en la página 142

– “Resumen de prefijos” en la página 144

– “Rutas alternativas” en la página 146

– “Circuitos de demanda en interfaces de túnel” en la página 148

– “Configuración de un vecino estático” en la página 150

• “Interfaz de túnel punto a multipunto” en la página 151

Capítulo 4 Protocolo de información de enrutamiento (RIP) Introducción al protocolo RIP

117

ue se utiliza como protocolo de ScreenOS admite la versión 2 admite la autenticación de te extensiones de autenticación

LANs corporativas. La ruta más no no válido o inaccesible (este os para las redes RIP).

utas se eligen en función de s punto a punto (utilizadas con

as conexiones de "punto a de demanda. Para obtener

terfaces de túnel” en la

rutadores vecinos cada 30 ión 224.0.0.9 del puerto RIP.

sea accesible a través de la uiente información:

hosts.

lto).

ayoría de implementaciones

ctualización de la entrada de la


INTRODUCCIÓN AL PROTOCOLO RIPEl protocolo RIP (Routing information protocol) es un protocolo de vector distancia qpuerta de enlace interior (IGP) en sistemas autónomos (AS) de tamaño moderado. de RIP (RIPv2) tal como se define en la norma RFC 2453. Mientras que RIPv2 sólocontraseña simple (texto plano), la implementación RIP de NetScreen también admiMD5, tal como se definen en la norma RFC 2082.

RIP administra la información de rutas en redes pequeñas y homogéneas, como las larga admitida en una red RIP es de 15 saltos. Un valor métrico de 16 indica un destivalor también se denomina “infinito” ya que excede el máximo de 15 saltos permitid

El protocolo RIP no está diseñado para grandes redes o para redes en las que las rparámetros en tiempo real, como carga, fiabilidad o retardo medido. RIP admite redeVPNs) y redes Ethernet de difusión/multidifusión (broadcast/multicast). RIP admite lmultipunto" a través de las interfaces de túnel con o sin tener configurado un circuitomás información sobre circuitos de demanda, consulte “Circuitos de demanda en inpágina 148.

RIP envía mensajes que contienen la tabla de enrutamiento completa a todos los ensegundos. Estos mensajes se envían normalmente como multidifusiones a la direcc

La base de datos de enrutamiento RIP contiene una entrada para cada destino queinstancia de enrutamiento RIP. La base de datos de enrutamiento RIP incluye la sig

• Dirección IPv4 de un destino. Recuerde que RIP no distingue entre redes y

• Dirección IP del primer enrutador de la ruta hacia el destino (el siguiente sa

• Interfaz de red utilizada para acceder al primer enrutador.

• Valor métrico que indica la distancia (o coste) para alcanzar el destino. La mRIP utilizan un valor métrico de 1 para cada red.

• Un temporizador que indica el tiempo que ha transcurrido desde la última abase de datos.

Capítulo 4 Protocolo de información de enrutamiento (RIP) Configuración básica de RIP

118

ios enrutadores virtuales (VRs) versión 1 o de la 2 por cada

ersión 2 de RIP.

un dispositivo NetScreen:

o OSPF, BGP, o rutas

ndo la interfaz WebUI y la línea

nfiguran en el enrutador virtual 30)

e configuran en la interfaz para

utador virtual o en la interfaz



CONFIGURACIÓN BÁSICA DE RIPCreará RIP por cada enrutador virtual en un dispositivo NetScreen. Si dispone de vardentro de un sistema, podrá habilitar múltiples instancias de RIP, una instancia de laenrutador virtual. De forma predeterminada, los dispositivos NetScreen admiten la v

En esta sección se describen los pasos básicos para configurar el protocolo RIP en

1. Crear la instancia de enrutamiento RIP en un enrutador virtual.

2. Habilitar la instancia RIP.

3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP.

4. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (comconfiguradas de forma estática) en la instancia RIP.

En esta sección se describe la correcta ejecución de cada una de estas tareas utilizade comandos CLI.

Opcionalmente, es posible configurar parámetros de RIP, como:

• Parámetros globales, como temporizadores y vecinos RIP fiables, que se copara el protocolo RIP (consulte “Parámetros globales de RIP” en la página 1

• Parámetros de interfaz, como la autenticación de dispositivos vecinos, que sel protocolo RIP (consulte “Parámetros de interfaz RIP” en la página 133)

• Parámetros RIP relacionados con la seguridad, que se configuran en el enr(consulte “Configuración de seguridad” en la página 135)



119

(VR) específico ubicado en un e RIP en un enrutador virtual, o enrutador.

eliminan las configuraciones

ositivos NetScreen, consulte el

P.

Instance .

aliza en dos etapas. Cree la


Creación de una instancia RIPCada instancia de enrutamiento de RIP se crea y se habilita en un enrutador virtualdispositivo NetScreen. Cuando se crea y se habilita una instancia de enrutamiento dRIP transmite y recibe paquetes en todas las interfaces habilitadas para RIP de dich

Cuando se elimina una instancia de enrutamiento de RIP en un enrutador virtual, seRIP correspondientes para todas las interfaces de dicho enrutador.

Para obtener más información sobre enrutadores virtuales y su configuración en dispCapítulo 2, “Enrutadores virtuales”.

Ejemplo: Creación de una instancia RIPCree una instancia de enrutamiento RIP en el trust-vr y a continuación habilite el RI

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create RIP

Seleccione Enable RIP y haga clic en OK .

CLI


2. Instancia de enrutamiento de RIPset vrouter trust-vr protocol ripset vrouter trust-vr protocol rip enablesave

Nota: En CLI, el proceso de crear una instancia de enrutamiento RIP se reinstancia RIP y, a continuación, habilite RIP.


120

jará de transmitir y procesar

le la selección de Enable RIP

luego haga clic en OK cuando


Ejemplo: Eliminación de una instancia RIPEn este ejemplo, inhabilitará la instancia de enrutamiento de RIP en trust-vr. RIP depaquetes en todas las interfaces habilitadas para RIP en trust-vr.

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance : Anuy luego haga clic en OK .

Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance yaparezca el mensaje de confirmación.

CLIunset vrouter trust-vr protocol rip enableunset vrouter trust-vr protocol ripsave


121

r virtual (VR) y es necesario RIP no transmitirá ni recibirá conservan cuando se inhabilita

ble y haga clic en Apply .

onsulte “Ejemplo: Eliminación tes en todas las interfaces del


Habilitación de RIP en interfacesDe forma predeterminada, RIP está inhabilitado en todas las interfaces del enrutadohabilitarlo de forma explícita en una interfaz. Si se inhabilita RIP a nivel de interfaz, paquetes en la interfaz especificada. Los parámetros de configuración de interfaz seRIP en una interfaz.

Ejemplo: Habilitación de RIP en interfacesEn este ejemplo, habilitará RIP en la interfaz Trust.

WebUI

Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP Ena

CLI

set interface trust protocol rip enablesave

Nota: Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual (cde una instancia RIP” en la página 120), RIP dejará de transmitir y procesar paqueenrutador que tengan este protocolo habilitado.


122

la configuración de RIP

Enable y haga clic en Apply .

los de enrutamiento. Por amiento de RIP de un mismo

ener más información sobre la res virtuales”.

determinado de 10. Este valor


Ejemplo: Inhabilitación de RIP en una interfazEn este ejemplo, inhabilitará RIP en la interfaz Trust. Para eliminar completamente introduzca el segundo comando CLI antes de guardar.

WebUI

Network > Interface (para Trust) > RIP: Anule la selección de Protocol RIP

CLI

unset interface trust protocol rip enableunset interface trust protocol ripsave

Redistribución de rutasLa redistribución de rutas es el intercambio de información sobre rutas entre protocoejemplo, los siguientes tipos de rutas se pueden redistribuir en la instancia de enrutenrutador virtual (VR):

• Rutas reconocidas por el protocolo BGP

• Rutas reconocidas por el protocolo OSPF




Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para obtcreación de mapas de rutas para la redistribución, consulte el Capítulo 2, “Enrutado

Las rutas importadas en RIP a partir de otros protocolos tienen un valor métrico prese puede modificar (consulte “Parámetros globales de RIP” en la página 130).


123

.0/16 entre dispositivos vecinos ta de acceso para permitir e permita las direcciones

especificar la redistribución de



distributable Rules: Introduzca

6 1


Ejemplo: Redistribución de rutas en RIPEn este ejemplo, redistribuirá rutas estáticas que se encuentran en la subred 20.1.0RIP ubicados en el enrutador virtual trust-vr. Para ello, primero deberá crear una lisdirecciones en la subred 20.1.0.0/16. A continuación, configure un mapa de rutas quincluidas en la lista de acceso que acaba de generar. Utilice el mapa de rutas para rutas estáticas en la instancia de enrutamiento de RIP.

WebUINetwork > Routing > Virtual Router (trust-vr) > Access List > New: Introduzcclic en OK :

Access List ID: 20

Sequence No.: 1

IP/Netmask: 20.1.0.0/16


Network > Routing > Virtual Router (trust-vr) > Route Map > New: Introduzcclic en OK :

Map Name: rtmap1

Sequence No.: 1


Match Properties:

Access List: (seleccione), 20 (seleccione)

Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > Relos siguientes datos y haga clic en Add :

Route Map: rtmap1 (seleccione)

Protocol: Static (seleccione)

CLIset vrouter trust-vr access-list 20 permit ip 20.1.0.0/1set vrouter trust-vr route-map name rtmap1 permit 1

Capítulo 4 Protocolo de información de enrutamiento (RIP) Visualización de la información de RIP

124

rtmap1 protocol static

etalles de RIP:

un enrutador virtual (VR)

elegir visualizar una lista

uede visualizar todas las datos añadiendo la dirección IP


set vrouter trust-vr route-map rtmap1 1 match ip 20set vrouter trust-vr protocol rip redistribute route-mapsave

VISUALIZACIÓN DE LA INFORMACIÓN DE RIPDespués de modificar los parámetros RIP, puede visualizar los siguientes tipos de d

• Base de datos, que muestra la información de enrutamiento

• Protocolo, que proporciona los detalles de interfaz y de protocolo de RIP de

• Vecino

Visualización de la base de datos RIPPuede verificar la información de enrutamiento de RIP desde la interfaz CLI. Puedecompleta de todas las entradas de la base de datos RIP o de una sola entrada.

Ejemplo: Visualizar los detalles en la base de datos RIPEn este ejemplo, se visualiza la información detallada desde la base de datos RIP. Pentradas de la base de datos o limitar el resultado a una sola entrada de la base de y la máscara del VR que desee.


125

para visualizar una sola

10.0/24


En este ejemplo, especifica trust-vr y añade el prefijo y la dirección IP 10.10.10.0/24entrada de la tabla.

WebUI

CLI

get vrouter trust-vr protocol rip database prefix 10.10.save

Nota: Debe utilizar la interfaz CLI para visualizar la base de datos RIP.


126

tos RIP.

(I), Advertised default (D),

10.10.10.0/24 y el salto y R e indican que esta ruta es

----------

ource0.20.20.1----------


Después de introducir el comando CLI, puede visualizar la entrada de la base de da

La base de datos RIP contiene los campos siguientes:

• DBID, el identificador de base de datos de la entrada

• Prefix, el prefijo y la dirección IP

• Nexthop, la dirección del salto siguiente (enrutador)

• Ifp, el tipo de conexión (Ethernet o túnel)

• La métrica de coste asignada para indicar la distancia desde el origen

Flags, pueden ser uno o varios de lo siguiente: Multipath (M), RIP (R), RedistributedPermanent (P), Summary (S), Unreachable (U) o Hold (H).

En este ejemplo, el identificador de base de datos es 7, la dirección IP y el prefijo essiguiente es 20.20.20.1. Es una conexión Ethernet con un coste de 2. Los flags son Mmultidireccional y usa RIP.

ns-> get vrouter trust-vr protocol rip database 10.10.10.0/24VR: trust-vr------------------------------------------------------------------Total database entry: 3Flags : Added in Multipath - M, RIP - R, Redistributed - I, Default (advertised) - D, Permanent - P, Summary - S, Unreachable - U, Hold - HDBID Prefix Nexthop Ifp Cost Flags S 7 10.10.10.0/24 20.20.20.1 eth1 2 MR 2------------------------------------------------------------------


127

coincida con sus necesidades ndo interface al comando CLI.

guración o verificar que los

n del temporizador RIP y una

IP.

ds)

I

x/Tx

2/v1v


Visualización de los detalles de protocolo RIPPuede visualizar los detalles de protocolo RIP para verificar que la configuración de RIPde red. Puede limitar el resultado solamente a la tabla de resumen de la interfaz añadie

Ejemplo: Visualizar los detalles de protocolo RIPPuede visualizar la información de protocolo RIP completa para comprobar una conficambios guardados estén activos.

WebUI

CLIget vrouter trust-vr protocol rip

Puede visualizar los valores del protocolo RIP, los detalles del paquete, la informaciótabla de interfaz resumida.

Nota: Debe utilizar la interfaz CLI para visualizar los detalles del protocolo R

ns-> get vrouter trust-vr protocol ripVR: trust-vr----------------------------------------------------------------------------State: enabledVersion: 2Default metric for routes redistributed into RIP: 10Maximum neighbors per interface: 16Not validating neighbor in same subnet: disabledRIP update transmission not scheduledMaximum number of Alternate routes per prefix: 2Advertising default route: disabledDefault routes learnt by RIP will not be acceptedIncoming routes filter and offset-metric: not configuredOutgoing routes filter and offset-metric: not configuredUpdate packet threshold is not configuredTotal number of RIP interfaces created on vr(trust-vr): 1

Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in secon------------------------------------------------------------- 30| 180| 120| 5| 40| 90

Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - Demand Circuit - DInterface IP-Prefix Admin State Flags NbrCnt Metric Ver-R

----------------------------------------------------------------------------tun.1 122.1.2.114/8 enabled disabled SD 1 1 v1v


128

recuperar una lista de irección IP del vecino que el dispositivo NetScreen

n siguiente del vecino RIP:

and circuit init (I)

.

------ll - P,

------s Flags

------ 0 TSD


Visualización de información de vecino RIPPuede visualizar los detalles sobre los vecinos RIP de un enrutador virtual (VR). Puedeinformación de todos los vecinos o una entrada de un vecino específico añadiendo la ddesee. Puede comprobar el estado de una ruta y verificar la conexión entre el vecino ydesde estas estadísticas.

Ejemplo: Visualizar los detalles de los vecinos RIPEn el ejemplo siguiente, visualice la información de vecino RIP para el trust-vr.

WebUI

CLIget vrouter trust-vr protocol rip neighbors

Además de visualizar la dirección IP y la versión de RIP, puede visualizar la informació

• Antiguedad de la entrada

• Tiempo de caducidad

• Número de paquetes incorrectos

• Número de rutas incorrectas

• Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o dem

Nota: Debe utilizar la interfaz CLI para visualizar la información de vecino RIP

ns-> get vrouter trust-vr protocol rip neighborsVR: trust-vr----------------------------------------------------------------------Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Po Demand Circuit Init - INeighbors on interface tunnel.1----------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoute

----------------------------------------------------------------------10.10.10.1 v2 - - 0


129

zun resumen de los detalles para limitar el resultado.

ino que reside en la

o de rutas incorrectas ción de la autenticación.

.


Visualización de los detalles de protocolo RIP de una interfaPuede visualizar toda la información pertinente del protocolo RIP de todas las interfaces y del enrutador vecino. Opcionalmente, puede añadir la dirección IP de un vecino específico

Ejemplo: Visualizar RIP en una interfaz específicaEn el ejemplo siguiente, puede visualizar la información sobre la interfaz tunnel.1 del vecdirección IP 10.10.10.2.

WebUI

CLIget interface tunnel.1 protocol rip neighbor 10.10.10.2

f

Desde este resumen de información puede visualizar el número de paquetes incorrectospresentes, verificar cualquier sobrecarga que RIP añada a la conexión y ver la configura

Nota: Debe utilizar la interfaz CLI para visualizar los detalles de la interfaz RIP

ns-> get interface tunnel.1 protocol ripVR: trust-vr----------------------------------------------------------------------------Interfaz: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabledReceive version v1v2, Send Version v1v2State: Down, Passive: NoMetric: 1, Split Horizon: enabled, Poison Reverse: disabledDemand Circuit: configuredIncoming routes filter and offset-metric: not configuredOutgoing routes filter and offset-metric: not configuredAuthentication: noneCurrent neighbor count: 1Update not scheduledTransmit Updates: 0 (0 triggered), Receive Updates: 0Update packets dropped because flooding: 0Bad packets: 0, Bad routes: 0

Flags: Static - S, Demand Circuit - T, NHTB - N Down - D, Up - U, Poll - PNeighbors on interface tunnel.1----------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags

----------------------------------------------------------------------------10.10.10.1 - - - 0 0 TSD

Capítulo 4 Protocolo de información de enrutamiento (RIP) Parámetros globales de RIP

130

urar en un enrutador virtual e configuración afectarán a las le modificar los valores de los

CLI y WebUI.

inados.

Valor(es) predeterminado(s)

artir de 10

IP a los 30 segundos

ón. Sin máximo

e una ruta e notificar

180 segundos

ue se 120 segundos

Depende de la plataforma

. Si no se n para RIP” en la

Todos los vecinos son fiables

Desactivado

Desactivado


PARÁMETROS GLOBALES DE RIPEn esta sección se describen los parámetros globales de RIP que se pueden config(VR). Cuando se configura un parámetro RIP a nivel de enrutador virtual, los datos doperaciones de todas las interfaces que tengan habilitado el protocolo RIP. Es posibparámetros globales del protocolo de enrutamiento RIP por medio de las interfaces

La siguiente tabla muestra los parámetros globales de RIP y sus valores predeterm

Parámetro global de RIP Descripción

Default metric Valor métrico predeterminado para rutas importadas en RIP a potros protocolos, como OSPF y BGP.

Update timer Indica (en segundos) cuándo enviar actualizaciones de rutas Rdispositivos vecinos.

Maximum packets per update

Indica el número máximo de paquetes recibidos por actualizaci

Invalid timer Indica el tiempo (en segundos) que tiene que transcurrir para qudeje de ser válida desde el momento en el que un vecino deja dla ruta.

Flush timer Indica el tiempo (en segundos) que tiene que transcurrir para qelimine una ruta desde el momento de su invalidación.

Maximum neighbors Indica el número máximo de vecinos RIP permitidos.

Trusted neighbors Indica una lista de acceso en la que se definen los vecinos RIPespecifica ningún vecino, RIP utiliza la difusión o la multidifusiódetectar vecinos en una interfaz. Consulte “Filtrado de vecinos página 137.

Allow neighbors on different subnet

Indica que se admiten vecinos RIP de otras subredes.

Advertise default route Indica si se notifica la ruta predeterminada (0.0.0.0/0).


131

a de otro página

Desactivado

Ninguna

Ninguna

o que se s

0

nde a ulte

Ninguna

ignorar la en la

Versión 2

de r del porizador l valor del

90 segundos

el os que se

5 segundos10 reintentos

si dicho isión en ne un

180 segundos0 reintentos

Valor(es) predeterminado(s)


Reject default route Indica si RIP debe rechazar una ruta predeterminada reconocidprotocolo. Consulte “Rechazo de rutas predeterminadas” en la 138.

Incoming route map Indica el filtro para las rutas que debe reconocer RIP.

Outgoing route map Indica el filtro para las rutas que debe notificar RIP.

Maximum alternate routes Especifica el número máximo de rutas RIP para el mismo prefijpuede añadir a la base de datos de la ruta RIP. Consulte “Rutaalternativas” en la página 146.

Summarize advertised routes

Especifica la notificación de una ruta de resumen que correspotodas las rutas incluidas dentro de un rango de resumen. Cons“Resumen de prefijos” en la página 144.

RIP protocol version Especifica la versión de protocolo RIP que utiliza el VR. Puede versión interfaz a interfaz. Consulte “Versión de protocolo RIP” página 142.

Hold-timer Evita el ‘flapping’ (rechazo) de una ruta a la tabla de rutas. Pueespecificar un valor entre los valores mínimo (tres veces el valotemporizador de actualización (update)) y máximo (suma del temde actualización (update) y el de retención (hold), sin exceder etemporizador flush).

Retransmit timer Especifica el intervalo de retransmisión de las respuestas desencadenadas en un circuito de demanda. Puede establecertemporizador de retransmisión y asignar una cuenta de reintentajuste a sus necesidades de red.

Poll-timer Comprueba el vecino remoto del circuito de demanda para ver vecino está vivo. Puede configurar el temporizador de retransmminutos y asignar una cuenta de reintentos que se ajuste a susnecesidades de red. Una cuenta de reintentos de cero (0) suposondeo interminable.

Parámetro global de RIP Descripción


132

minada y modificando la

inos RIP. El siguiente comando un valor métrico de 5 (hay que amiento.


ic number 5

ación sobre los parámetros P.


Notificación de la ruta predeterminadaPuede cambiar la configuración de RIP incluyendo la notificación de la ruta predetermétrica asociada a la ruta predeterminada.

Ejemplo: Notificación de la ruta predeterminadaDe forma predeterminada, la ruta predeterminada (0.0.0.0/0) no se notifica a los vecnotifica la ruta predeterminada a los vecinos RIP en el enrutador virtual trust-vr con introducir un valor métrico). La ruta predeterminada debe existir en la tabla de enrut

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Intrhaga clic en OK :

Advertising Default Route: (seleccione)

Metric: 5

CLI

set vrouter trust-vr protocol rip adv-default-route metrsave

Nota: Consulte el manual NetScreen CLI Reference Guide para obtener más informglobales que se pueden configurar en el contexto del protocolo de enrutamiento RI

Capítulo 4 Protocolo de información de enrutamiento (RIP) Parámetros de interfaz RIP

133

vel de interfaz. Cuando se únicamente al funcionamiento

interfaz mediante comandos de

ados.

Valor predeterminadoficar dicha e

16 en

La opción de horizonte dividido está habilitada. Las rutas inalcanzables están inhabilitadas.

1

do o la ágina

No se utiliza autenticación.

RIP. No

Ninguna

Ninguna

para para en la

Versión configurada para el enrutador virtual

erfaz. Desactivado


PARÁMETROS DE INTERFAZ RIPEn esta sección se describen los parámetros RIP que se pueden configurar en el niconfigura un parámetro RIP en el nivel de interfaz, los datos de configuración afectanRIP de la interfaz especificada. Puede modificar los ajustes de los parámetros de la interfaz en la interfaz CLI o utilizando la interfaz WebUI.

La siguiente tabla muestra los parámetros RIP de interfaz y sus valores predetermin

Parámetro de interfaz RIP DescripciónSplit-horizon Indica si está habilitada la opción de horizonte dividido (no noti

rutas reconocidas de una interfaz en actualizaciones enviadas ainterfaz, "split horizon"). Si está habilitada la opción de horizontdividido con rutas inalcanzables (poison reverse), las rutas reconocidas de una interfaz se notifican con un valor métrico delas actualizaciones enviadas a dicha interfaz.

RIP metric Especifica la métrica RIP de la interfaz.

Authentication Especifica la autenticación por contraseña de texto no encriptaautenticación MD5. Consulte “Autenticación de vecinos” en la p135.

Passive mode Indica que la interfaz puede recibir, pero no transmitir paquetes

Incoming route map Indica el filtro para las rutas que debe reconocer RIP.

Outgoing route map Indica el filtro para las rutas que debe notificar RIP.

RIP version for sending or receiving updates

Especifica la versión de protocolo RIP para enviar o recibir actualizaciones en la interfaz. La versión de la interfaz utilizadaenviar actualizaciones no necesita ser la misma que la versiónrecibir las actualizaciones. Consulte “Versión de protocolo RIP”página 142.

Route summarization Especifica si los resúmenes de rutas están habilitados en la intConsulte “Resumen de prefijos” en la página 144.

Capítulo 4 Protocolo de información de enrutamiento (RIP) Parámetros de interfaz RIP

134

n el nivel de la interfaz. Un rutas definido en el nivel del nrutador virtual y otro mapa de mero. Para obtener más

:

e 215.

faz.

tos y haga clic en OK :

eleccione)

567898765432 key-id 215verse

te .

Ninguna

ente. Ninguna



Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o emapa de rutas definido en el nivel de la interfaz tiene preferencia sobre un mapa deenrutador virtual. Por ejemplo, si define un mapa de rutas de entrada en el nivel del erutas de entrada en el nivel de la interfaz, éste último tendrá preferencia sobre el priinformación, consulte “Configuración de un mapa de rutas” en la página 56.

Ejemplo: Ajuste de parámetros de interfaz RIPEn este ejemplo configuraremos los siguientes parámetros RIP para la interfaz trust

• Active la autenticación MD5 con la clave 1234567898765432 y la ID de clav

• Habilite la opción de horizonte dividido con rutas inalcanzables para la inter

WebUI

Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes da

Authentication: MD5 (seleccione)

Key: 1234567898765432

Key ID: 215

Split Horizon: Enabled with poison reverse (s

CLIset interface trust protocol rip authentication md5 1234set interface trust protocol rip split-horizon poison-resave

Demand-circuit Especifica el circuito de demanda en una interfaz de túnel especificada. El dispositivo NetScreen envía mensajes de actualización solamente cuando se producen cambios. Consul“Circuitos de demanda en interfaces de túnel” en la página 148

Static neighbor IP Especifica la dirección IP de un vecino RIP asignado manualm

Parámetro de interfaz RIP Descripción

Capítulo 4 Protocolo de información de enrutamiento (RIP) Configuración de seguridad

135

rutamiento RIP y algunos

criptan, y la mayoría de los acabar con el riesgo de este

nticación de contraseña simple autentiquen se descartarán. De

RIP de envío y recepción. las cuales tendrá su propia r un identificador para la clave forma es posible cambiar

e que algún paquete se

en configurarse con el mismo ar a dejar inservible todo el



Autenticación de vecinosUn enrutador RIP se puede suplantar fácilmente, ya que los paquetes RIP no se enanalizadores de protocolo permiten desencapsular paquetes RIP. La mejor forma detipo de ataques será autenticando los vecinos RIP.

RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por autey por autenticación MD5. Todos los paquetes RIP recibidos en la interfaz que no se forma predeterminada, ninguna interfaz RIP tiene la autenticación habilitada.

Para la autenticación MD5 es necesario utilizar la misma clave para los enrutadoresPuede especificar más de una clave MD5 en el dispositivo NetScreen, cada una declave. Si configura varias claves MD5 en el dispositivo NetScreen, podrá seleccionaque se utilizará para autenticar las comunicaciones con el enrutador vecino. De estaperiódicamente las claves MD5 por parejas de enrutadores minimizando el riesgo ddescarte.

Nota: Para que RIP sea más seguro, todos los enrutadores de un dominio RIP debnivel de seguridad. De lo contrario, un solo enrutador RIP comprometido podría llegdomino de enrutamiento RIP.


136

seleccionará una de ellas para no tendrá que especificar el


e)

123456789012345676543210987654 key-id 1active-md5-key-id 1


Ejemplo: Configuración de una contraseña MD5En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 yque sea la clave activa. El identificador de clave predeterminado es 0, de forma queidentificador para la primera clave MD5 que introduzca.

WebUI

Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguiente

MD5 Keys: (seleccione)

1234567890123456 (primer campo de clave)

9876543210987654 (segundo campo de clav

Key ID: 1

Preferred: (seleccione)

CLI

set interface ethernet1 protocol rip authentication md5 set interface ethernet1 protocol rip authentication md5 98set interface ethernet1 protocol rip authentication md5 save


137

adores, se puedan conectar a dad o rendimiento si los tilizar una lista de acceso para e admiten como vecinos RIP

enrutamiento RIP que se está


zca los siguientes datos y haga


Filtrado de vecinos RIPLos entornos de acceso múltiple permiten que los dispositivos, incluyendo los enrutuna red de forma relativamente sencilla. Esto puede provocar problemas de estabilidispositivos conectados no son fiables. Con objeto de evitar este problema, puede ufiltrar los dispositivos admitidos como vecinos RIP. De forma predeterminada, sólo slos dispositivos ubicados en la misma subred que el enrutador virtual NetScreen.

Ejemplo: Configuración de vecinos fiablesEn este ejemplo, configurará los siguientes parámetros globales para la instancia deejecutando en el trust-vr:

• El número máximo de vecinos RIP es 1.

• La dirección IP del vecino fiable, 10.1.1.1, figura en una lista de acceso.

WebUI

Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzcclic en OK :

Access List ID: 10

Sequence No.: 1

IP/Netmask: 10.1.1.1/32


Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduclic en OK :

Trusted Neighbors: (seleccione), 10

Maximum Neighbors: 1


138

1

0.0.0.0/0) en el dominio de os paquetes, causando una s de reenviarlos. En los nocida en RIP y agrega la ruta

do en el trust-vr para que


ne)


CLI

set vrouter trust-vrns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 ns(trust-vr)-> set protocol ripns(trust-vr/rip)-> set max-neighbor-count 1ns(trust-vr/rip)-> set trusted-neighbors 10ns(trust-vr/rip)-> exitns(trust-vr)-> exitsave

Rechazo de rutas predeterminadasEn los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada (enrutamiento para que los paquetes se desvíen a él. El enrutador puede descartar linterrupción en el servicio, o puede entregar información crítica a los paquetes antedispositivos NetScreen, RIP acepta en principio cualquier ruta predeterminada recopredeterminada a la tabla de rutas.

Ejemplo: Rechazo de rutas predeterminadasEn este ejemplo, configurará la instancia de enrutamiento RIP que se está ejecutanrechace todas las rutas predeterminadas reconocidas en RIP.

WebUI


Reject Default Route Learnt by RIP: (seleccio

CLI

set vrouter trust-vr protocol rip reject-default-routesave


139

de inundar a sus vecinos con s posible configurar el número ante un intervalo de aquetes de actualización que ingún umbral de actualización,

s vecinos tienen tablas de utamiento puede ser bastante quetes de actualización que

nrutamiento que RIP puede


(seleccione), 4


Protección contra inundacionesUn enrutador que se encuentre comprometido o que no funcione correctamente puepaquetes de actualización de enrutamiento RIP. En el enrutador virtual NetScreen emáximo de paquetes de actualización que se pueden recibir en una interfaz RIP duractualización para impedir la inundación con paquetes de actualización. Todos los pexcedan el umbral de actualización configurado se descartarán. Si no se establece nse aceptarán todos los paquetes de actualización.

Es necesario actuar con cuidado al configurar un umbral de actualización cuando loenrutamiento de grandes dimensiones, ya que el número de actualizaciones de enrelevado durante un intervalo determinado debido a las actualizaciones flash. Los paexcedan el umbral se descartan, y es posible que no se reconozcan rutas válidas.

Ejemplo: Configuración de un umbral de actualizaciónEn este ejemplo, ajustará a 4 el número máximo de paquetes de actualización de erecibir en una interfaz.

WebUI


Maximum Number Packets per Update Time:

CLI

set vrouter trust-vr protocol rip threshold-update 4save


140

ust-vr del dispositivo st. Sólo las rutas que se to se realiza configurando en .0.0/16 y especificando

acceso. A continuación, se

ce: Seleccione Enable RIP y


en-B (RIP)

trust

Enrutador RIP

1.1.1.1/16

2.2.2.2/16


Ejemplo: Habilitación de RIP en interfaces de túnelEn el siguiente ejemplo se crea y habilita una instancia de enrutamiento RIP en el trNetScreen-A. RIP se habilita en la interfaz de túnel VPN y en la interfaz de zona Truencuentran en la subred 10.10.0.0/16 se notifican al vecino RIP de NetScreen B. Esprimer lugar una lista de acceso que sólo permita las direcciones de la subred 10.10después un mapa de rutas abcd que permita las rutas que coincidan con la lista deindica el mapa de rutas para filtrar las rutas notificadas a los vecinos RIP.

WebUI

Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP Instanhaga clic en OK .

Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduclic en OK :

Access List ID: 10

Sequence No.: 10

IP/Netmask: 10.10.0.0/16

Action: Permit

NetScreen-A (RIP) NetScre

10.10.0.0/16

Zona Trust Zona Un

Tunnel.1

10.20.0.0/16

Túnel VPN

Internet

Enrutador RIP


141


: Seleccione los siguientes

datos y haga clic en Apply :

os y haga clic en Apply :

16 10


Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introhaga clic en OK :

Map Name: abcd

Sequence No.: 10

Action: Permit

Match Properties:

Access List: (seleccione), 10

Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instancedatos y haga clic en OK :

Outgoing Route Map Filter: abcd

Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes

Enable RIP: (seleccione)

Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes dat

Enable RIP: (seleccione)

CLI

set vrouter trust-vr protocol ripset vrouter trust-vr protocol rip enableset interface tunnel.1 protocol rip enableset interface trust protocol rip enableset vrouter trust-vr access-list 10 permit ip 10.10.0.0/set vrouter trust-vr route-map name abcd permit 10set vrouter trust-vr route-map abcd 10 match ip 10set vrouter trust-vr protocol rip route-map abcd outsave

Capítulo 4 Protocolo de información de enrutamiento (RIP) Configuraciones opcionales de RIP

142

enrutador virtual (VR) y para VR puede ejecutar una versión de configurar también diversas .

do es la versión 2. Para enviar do compatible con la versión 1 IP, puede configurar la versión

e protocolo RIP es la versión

interfaz ethernet3, establece la

: Seleccione V1 para Version y

ding and Receiving en Update

tocolo pueden producirse


CONFIGURACIONES OPCIONALES DE RIPEsta sección describe las diversas funciones de RIP que puede configurar.

Versión de protocolo RIPEn los dispositivos NetScreen, puede configurar la versión de protocolo RIP para elcada interfaz RIP que envíe y reciba actualizaciones. Según la norma RFC 2453, el de RIP diferente de la instancia de RIP ejecutada en una interfaz determinada. Pueversiones de protocolo RIP para enviar y recibir actualizaciones en una interfaz RIP

En el VR, puede configurar la versión 1 o la versión 2 de RIP; el valor predeterminaactualizaciones en interfaces RIP, puede configurar la versión 1, la versión 2 o el mode RIP (descrito en la norma RFC 2453). Para recibir actualizaciones en interfaces R1 o la versión 2 de RIP o ambas versiones; 1 y 2.

Para enviar y recibir actualizaciones en interfaces RIP, la versión predeterminada dque está configurada para el VR.

Ejemplo: Ajustar las versiones de protocolo RIPEn el ejemplo siguiente, establece la versión 1 del protocolo RIP en trust-vr. Para laversión 2 del protocolo RIP tanto para enviar como para recibir actualizaciones.

WebUI

Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instanceluego haga clic en Apply .

Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para SenVersion y luego haga clic en Apply .

Nota: No se recomienda usar ambas versiones 1 y 2. Entre la versión 1 y 2 del procomplicaciones de red.


143

comando get vrouter trust-vr

P en trust-vr; pero se está aciones.

ssive - I

ric Ver-Rx/Tx------------- 1 2/2


CLI

set vrouter trust-vr protocol rip version 1set interface ethernet3 protocol rip receive-version v2set interface ethernet3 protocol rip send-version v2save

Para verificar la versión de RIP en el VR y en las interfaces RIP, puede introducir elprotocol rip .

En el ejemplo de arriba, el dispositivo NetScreen está ejecutando la versión 1 de RIejecutando la versión 2 de RIP en la interfaz ethernet3 para enviar y recibir actualiz

VR: trust-vr----------------------------------State: enabledVersion: 1Default metric for routes redistributed into RIP: 10Maximum neighbors per interface: 512Not validating neighbor in same subnet: disabledNext RIP update scheduled after: 14 secAdvertising default route: disabledDefault routes learnt by RIP will be acceptedIncoming routes filter and offset-metric: not configuredOutgoing routes filter and offset-metric: not configuredUpdate packet threshold is not configuredTotal number of RIP interfaces created on vr(trust-vr): 1

Update Invalid Flush (Timers in seconds)------------------------------------------------------------- 30 180 120Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Pa Demand Circuit - DInterface IP-Prefix Admin State Flags NbrCnt Met-------------------------------------------------------------------ethernet3 20.20.1.2/24 enabled enabled S 0


144

ue deberá notificar RIP. go del resumen en lugar de

ucir el número de entradas de vecinos RIP necesitan RIP desde la que el dispositivo n en otra interfaz.

es solapados. Tampoco puede ar opcionalmente una métrica ande para todas las rutas

bucles. Puede configurar una establecer una interfaz NULL,

s prefijos 10.1.1.0/24 y ones de RIP, necesita habilitar

e > Summary IP: Introduzca los

y haga clic en Apply .

ecífico; cuando habilita el ctualizaciones de enrutamiento.


Resumen de prefijosPuede configurar una ruta de resumen que englobe el rango de prefijos de ruta al qEntonces, el dispositivo NetScreen notifica solamente la ruta que corresponde al rannotificar individualmente cada ruta incluida en el rango de resumen. Esto puede redruta enviadas en las actualizaciones de RIP y reducir el número de entradas que losalmacenar en sus tablas de enrutamiento. Habilite el resumen de ruta en la interfaz envía. Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resume

Al configurar la ruta de resumen, no puede especificar los rangos de prefijos múltiplespecificar un rango de prefijos que incluya la ruta predeterminada. Puede especificpara la ruta de resumen. Si no especifica una métrica, se utilizará la métrica más grincluidas en el rango de resumen.

En ocasiones, una ruta resumida puede crear oportunidades para que se produzcanruta hacia una interfaz NULL para evitar bucles. Para obtener más información sobreconsulte “Ejemplo: Evitar bucles creados por las rutas resumidas” en la página 88.

Ejemplo: Habilitar el resumen de prefijosEn el ejemplo siguiente, configure una ruta de resumen 10.1.0.0/16, que englobe lo10.1.2.0/24. Para permitir que ethernet3 envíe la ruta de resumen en las actualizaciel resumen en la interfaz.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instancsiguientes datos y haga clic en Add :

Summary IP: 10.1.0.0

Netmask: 16

Metric: 1

Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization

Nota: No puede habilitar selectivamente el resumen para un rango de resumen espresumen en una interfaz, todas las rutas de resumen configuradas aparecen en las a


145

n el trust-vr.

nce > Summary IP: Anule la

16


CLI

set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16set interface ethernet3 protocol rip summary-enablesave

Ejemplo: Inhabilitar el resumen de prefijosEn el ejemplo siguiente, inhabilite una ruta de resumen de prefijos para ethernet3 e

WebUI

Network > Routing > Virtual Routers > Edit (para ethernet3) > Edit RIP Instaselección en Summarization y luego haga clic en Apply.

CLI

unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/unset interface ethernet3 protocol rip summary-enablesave


146

endido el protocolo y las rutas ejor ruta de un prefijo dado en e RIP para el mismo prefijo en datos RIP, las rutas al mismo os RIP. Esto hace que RIP

uncia en actualizaciones RIP la la tabla de enrutamiento de un IP. Si se añade a la base de

nrutamiento de un VR, RIP se la ruta antigua. Según el límite de la base de datos RIP. router protocol rip database . e ajusta a un número mayor la base de datos RIP, una con ste más bajo, se incluye en la

demanda. Para obtener más ces de túnel” en la página 148.

--------------

gs Source--------------

10.10.90.1 10.10.90.5


Rutas alternativasEl dispositivo NetScreen mantiene una base de datos RIP para las rutas que ha aprque se redistribuyen en RIP. De forma predeterminada, solamente se mantiene la mla base de datos. Puede permitir la existencia de una, dos o tres rutas alternativas dla base de datos RIP. Si permite las rutas alternativas para un prefijo en la base de prefijo con un origen RIP o un ‘siguiente salto’ diferente se añaden a la base de datpueda admitir los circuitos de demanda y la conmutación por fallo rápida.

Solamente se añade a la tabla de enrutamiento de un enrutador virtual (VR) y se anmejor ruta de la base de datos RIP de un prefijo dado. Si se elimina la mejor ruta deVR, el RIP añade la siguiente ruta mejor para el mismo prefijo de la base de datos Rdatos RIP una ruta nueva, que es mejor que la mejor ruta existente en la tabla de eactualiza para utilizar la nueva ruta mejor a la tabla de enrutamiento y deja de utilizarde la ruta alternativa que haya configurado, RIP puede o no eliminar la ruta antigua Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter vEn el ejemplo siguiente, el número de rutas alternativas para la base de datos RIP sque 0. La base de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la ruta con el cotabla de enrutamiento de VR.

Nota: Juniper Networks recomienda el uso de rutas alternativas con los circuitos deinformación sobre circuitos de demanda, consulte “Circuitos de demanda en interfa

VR: trust-vr-------------------------------------------------------------------Total database entry: 14Flags: Added in Multipath - M, RIP - R, Redistributed - I Default (advertised) - D, Permanent - P, Summary - S Unreachable - U, Hold - HDBID Prefix Nexthop Interface Cost Fla------------------------------------------------------------------- . . . 47 10.10.70.0/24 10.10.90.1 eth4 2 MR 46 10.10.70.0/24 10.10.90.5 eth4 4 R . . .


147

nrutamiento de rutas múltiples atos RIP para un prefijo dado, el límite de ECMP. En algunos tas RIP no se añadan a la tabla lternativa en la base de datos án en la base de datos RIP; a ruta anteriormente añadida o

datos RIP es 3, solamente nrutamiento del VR. Puede lamente se añaden dos rutas a

para un prefijo de la base de en cualquier prefijo dado de la

el campo Maximum Alternative


Si está habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte “Ede igual coste” en la página 52) y existen varias rutas de igual coste en la base de dRIP añade las rutas múltiples para el prefijo en la tabla de enrutamiento del VR hastacasos, el límite de la ruta alternativa en la base de datos RIP puede hacer que las rude enrutamiento del VR. Si el límite de ECMP es inferior o igual al límite de la ruta aRIP, las rutas RIP que no se añadan a la tabla de enrutamiento del VR permanecerestas rutas se añaden a la tabla de enrutamiento del VR solamente si se elimina unsi ya no es la “mejor” ruta RIP para el prefijo de red.

Por ejemplo, si el límite de ECMP es 2 y el límite de la ruta alternativa en la base depodrá haber dos rutas RIP para el mismo prefijo con el mismo coste en la tabla de ehaber otras rutas con el mismo prefijo/mismo coste en la base de datos RIP, pero sola tabla de enrutamiento del VR.

Ejemplo: Ajuste de rutas alternativasEn el ejemplo siguiente, establezca en 1 el número de rutas alternativas permitidas datos RIP en trust-vr. Esto permite que haya una ruta “mejor” y una ruta alternativa base de datos RIP en el VR.

WebUI

Network > Routing > Edit (para trust-vr) > Edit RIP Instance: Introduzca 1 enRoute y luego, haga clic en Apply.

CLI

set vrouter trust-vr protocol rip alt-route 1save


148

nel. Sobrecarga mínima de red . Los circuitos de demanda de

des cantidades de vecinos RIP

RIP a través de la interfaz de olamente cuando se producen también las actualizaciones y n aprende los vecinos RIP limpia las rutas aprendidas

es RIP porque los circuitos de inan solamente bajo las

a un número excesivo de

o a punto o de punto a do) en un túnel de punto a se requiera, también puede de demanda. Si inhabilita el

aprender el estado del túnel.

r el temporizador/retransmisor requisitos de red.

muestran después de esta de interfaces de túnel de punto


Circuitos de demanda en interfaces de túnelUn circuito de demanda es una conexión de punto a punto entre dos interfaces de túen términos del paso de mensajes entre los puntos extremo del circuito de demandaRIP, definidos por la norma RFC 2091 para las redes de área extensa, admiten granen los túneles VPN de los dispositivos NetScreen.

Los circuitos de demanda de RIP eliminan la transmisión periódica de los paquetes túnel. Para evitar la sobrecarga, el dispositivo NetScreen envía la información RIP scambios en la base de datos de enrutamiento. El dispositivo NetScreen retransmitepeticiones hasta que se reciben los reconocimientos válidos. El dispositivo NetScreemediante la configuración de vecinos estática, y si se desactiva el túnel VPN, el RIPdesde la dirección IP del vecino.

Las rutas aprendidas de los circuitos de demanda no caducan con los temporizadordemanda están en un estado permanente. Las rutas en estado permanente se elimcondiciones siguientes:

• Una ruta antes accesible cambia a inalcanzable en una respuesta entrante

• El túnel VPN se desactiva o el circuito de demanda está desactivado debidoretransmisiones no reconocidas

En el dispositivo NetScreen, también puede configurar una interfaz de túnel de puntmultipunto como circuito de demanda. Debe inhabilitar route-deny (si está configuramultipunto de modo que todas las rutas puedan alcanzar sitios remotos. Aunque noinhabilitar el horizonte dividido en la interfaz de punto a multipunto con los circuitos horizonte dividido, los puntos extremos pueden aprender entre sí.

Debe configurar la supervisión de VPN con reencriptación en los túneles VPN para

Después de configurar el circuito de demanda y los vecinos estáticos, puede ajustaRIP, el temporizador de sondeo, y el temporizador de retención para ajustarse a sus

Los ejemplos sobre cómo configurar un circuito de demanda y un vecino estático sesección. Un ejemplo de configuración de red RIP con circuitos de demanda a travésa multipunto empieza en la página 151.


149

o de demanda y guardará la

Apply.

izadores con el comando get ión del rendimiento del circuito

ión a un valor s.

iones para

iones a una stático más ático a un


Ejemplo: Configuración de un circuito de demandaEn el ejemplo siguiente, configurará la interfaz tunnel.1 para que actúe como circuitconfiguración.

WebUI

Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit y haga clic en

CLI

set interface tunnel.1 protocol rip demand-circuitsave

Después de habilitar un circuito de demanda, puede activar su estado y sus temporvrouter vrouter protocol rip database . Puede modificar los temporizadores en funcde demanda.

Rendimiento del circuito de demanda

Sugerencia

Relativamente lento Puede reconfigurar el temporizador de retransmissuperior para reducir el número de retransmisione

Sin pérdidas Puede reconfigurar el temporizador de retransmisreducir la cuenta de reintentos.

Congestionado y con pérdidas Puede reconfigurar el temporizador de retransmiscuenta de reintentos superior para dar al vecino etiempo de respuesta antes de forzar al vecino estestado de POLL (sondeo).


150

urados estáticamente. Para los tivo NetScreen aprenda las no estático RIP introduzca el

la interfaz tunnel.1.

para avanzar a la tabla en Add .

2


Configuración de un vecino estáticoUna interfaz de punto a multipunto que esté ejecutando RIP requiere vecinos configcircuitos de demanda de configuración manual, es la única forma de que un disposidirecciones vecinas en las interfaces de punto a multipunto. Para configurar un vecinombre de la interfaz y la dirección IP del vecino RIP.

Ejemplo: Configuración de un vecino estáticoEn el ejemplo siguiente configurará el vecino RIP con la dirección IP 10.10.10.2 de

WebUI

Network > Interfaces > (Edit) RIP: Haga clic en el botón Static Neighbor IPStatic Neighbor IP. Introduzca la dirección IP del vecino estático y haga clic

CLI

set interface tunnel.1 protocol rip neighbor 10.10.10.2unset interface tunnel.1 protocol rip neighbor 10.10.10.save

Capítulo 4 Protocolo de información de enrutamiento (RIP) Interfaz de túnel punto a multipunto

151

es 1 y 2 de RIP.

ue configure con o sin circuitos nde dinámicamente sobre los 9 y los reduplica a todos los

ebe diseñar su red en una

central (CO) en San Francisco un solo dispositivo NetScreen.

een en la CO:

ntinuación, configurar la zona y

entral (CO).

reen remotos:

ntinuación, configurar la zona y

emota. Los dispositivos de la por las peticiones multicast


INTERFAZ DE TÚNEL PUNTO A MULTIPUNTORIP punto a multipunto se admite en interfaces de túnel numeradas para las version

Debe inhabilitar el horizonte dividido en un túnel de interfaz de punto a multipunto qde demanda de modo que los mensajes alcancen todos los sitios remotos. RIP aprevecinos. RIP envía todos los mensajes transmitidos a la dirección multicast 224.0.0.túneles según convenga.

Si desea configurar RIP como túnel punto a multipunto con circuitos de demanda, dconfiguración radial (“hub and spoke”).

Ejemplo: Punto a multipunto con circuitos de demandaLa red de este ejemplo pertenece a una empresa de tamaño mediano con su oficinay delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene

Los siguientes son los requisitos de configuración específicos del dispositivo NetScr

1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a cola interfaz tunnel.1.

2. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1.

3. Configurar vecinos estáticos RIP en el dispositivo NetScreen de la oficina c

4. No cambiar los valores predeterminados del temporizador en este ejemplo.

Los siguientes son los requisitos de configuración propios de los dispositivos NetSc

1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a cola interfaz tunnel.1.

2. Configurar la VPN y asociarla a la interfaz tunnel.1.

3. No configurar vecinos estáticos en los dispositivos NetScreen de la oficina roficina remota solamente tienen un dispositivo vecino que será descubiertoiniciales.

4. No cambiar los valores predeterminados del temporizador en este ejemplo.


152

n Francisco e irradian hacia las ctiva de cada dispositivo

LAN que hay detrás de esos tunnel.1 de cada sitio también

oficina central CO:

, debe habilitar la supervisión

York

ngeles

treal

ago

10.0.0.2 2.2.2.2

10.0.0.3 3.3.3.3

10.0.0.4 4.4.4.4

10.0.0.5 5.5.5.5

Trust10.3.3.0/24

Trust10.2.2.0/24

Trust10.4.4.0/24

Trust10.5.5.0/24


En este diagrama de red, se originan cuatro VPNs en el dispositivo NetScreen de Saoficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. Desde la perspeNetScreen, los dispositivos NetScreen remotos están en la zona no fiable, pero las dispositivos están en zonas de seguridad personalizadas llamadas vpn. La interfaz se encuentra en la zona de vpn.En este ejemplo, configurará los siguientes ajustes en el dispositivo NetScreen de la

1. Interfaces y zona de seguridad2. VPN3. Rutas y RIP4. Vecinos estáticos5. Ruta de resumen6. Directiva

Para poder comprobar el estado del circuito en el dispositivo de la oficina central COde VPN.

Desde la perspectiva de cada dispositivo NetScreen, todos los dispositivos NetScreen remotos se encuentran en la zona Untrust. Todas las LANs situadas detrás de esos dispositivos se encuentran en la zona personalizada llamada vpn. La interfaz tunnel.1 en cada sitio también se encuentra en la zona de seguridad de vpn.

San Francisco (CO)

ethernet1Zona Trust10.1.1.1/24

tunnel.1zona vpn

4 VPNs asociadas a tunnel.1

Internet

VPN 1

VPN 2

VPN 3

VPN 4

New

Los A

Mon

Chic

tunnel.1Untrust

tunnel.1Untrust

tunnel.1Untrust

tunnel.1Untrust

ethernet3Zona Untrust

1.1.1.1/24

Trust10.1.1.0/24

Nota: Las zonas de seguridad Untrust y vpn no se muestran.


153

uno de los cuatro dispositivos

nce



Para completar la configuración de la red, configurará los siguientes ajustes en cadaNetScreen de las oficinas remotas:


2. VPN

3. Rutas y RIP

4. Directiva

WebUI (dispositivo de la oficina central)

1. Zonas de seguridad e interfaces Network > Zones > New


Network > Interfaces > Edit (para ethernet1, ethernet3 y tunnel.1)

2. VPNVPNs > AutoKey Advanced > Gateway > New

VPNs > AutoKey IKE > New

3. Rutas y RIPNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Insta

Network > Interfaces > Edit (para tunnel.1) > RIP

4. Vecinos estáticosNetwork > Interfaces > Edit (para tunnel.1) > RIP > Static Neighbor IP



154

e > Summary IP







5. Ruta de resumenNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instanc

6. Directiva (configure como sea necesario)Policies > New

CLI (dispositivo de la oficina central)

1. Zonas de seguridad e interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

set zone name vpnset interface tunnel.1 zone vpnset interface tunnel.1 ip 10.0.0.1/24


ripvpn proposal pre-g2-3des-shaset ike gateway gw2 address 3.3.3.3 main outgoing-interf



ripvpn proposal pre-g2-3des-sha



155




16





3. Rutas y RIPset vrouter trust-vr protocol ripset vrouter trust-vr protocol rip enableset vrouter trust-vr protocol rip summary-ip 100.10.0.0/

set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip enableset interface tunnel.1 protocol rip demand-circuit

4. Vecinos estáticosset interface tunnel.1 protocol rip neighbor 10.0.0.2set interface tunnel.1 protocol rip neighbor 10.0.0.3set interface tunnel.1 protocol rip neighbor 10.0.0.4set interface tunnel.1 protocol rip neighbor 10.0.0.5

5. Ruta de resumenset interface tunnel.1 protocol rip summary-enablesave



156

ota. Al configurar la oficina nda, solamente existe un nvía un mensaje multicast

petir esta sección por cada los nombres de VPN para ian.

ance



Puede seguir estos pasos para configurar el dispositivo NetScreen de la oficina remremota, no necesita configurar vecinos estáticos. En un entorno de circuito de demavecino para el dispositivo remoto y éste aprende la información del vecino cuando edurante el arranque.

Para completar la configuración mostrada en el diagrama de la página 152, debe redispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y vpn camb

WebUI (dispositivo de oficina remota)

1. Zonas de seguridad e interfacesNetwork > Zones > New


Network > Interfaces > Edit (para ethernet1, ethernet3 y tunnel.1)

2. VPNVPNs > AutoKey Advanced > Gateway > New

VPNs > AutoKey IKE > New

3. Rutas y RIPNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Inst

Network > Interfaces > Edit (para tunnel.1) > RIP

4. Directiva (configure como sea necesario)Policies > New



157




CLI (dispositivo de oficina remota)

1. Interfaz, protocolo de enrutamiento y zonaset vrouter trust-vr protocol ripset vrouter trust-vr protocol rip enable


set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat

set zone name vpnset interface tunnel.1 zone vpnset interface tunnel.1 ip 10.0.0.2/24


ripdc proposal pre-g2-3des-shaset vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proset vpn vpn1 monitor rekeyset vpn vpn1 id 1 bind interface tunnel.1

3. Rutas y RIPset interface tunnel.1 protocol rip set interface tunnel.1 protocol rip demand-circuitset interface tunnel.1 protocol rip enable



158

rip neighbors . Los vecinos de o envejece ni expira. Puede ver base . Junto a las entradas de


Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocolun circuito de demanda aparecen en la tabla de vecinos; la información del vecino nla base de datos RIP ejecutando el comando get vrouter vrouter protocol rip datalos circuitos de demanda aparece una P que indica que son permanentes .

5

159

Capítulo 5

ite (BGP)llo se tratarán los siguientes


Protocolo de puerta de enlace de límEn este capítulo se describe el protocolo BGP en los dispositivos NetScreen. Para etemas:

• “Introducción al protocolo BGP” en la página 160

– “Tipos de mensajes BGP” en la página 161

– “Atributos de ruta” en la página 161

– “BGP externo e interno” en la página 162

• “Configuración básica de BGP” en la página 163

– “Creación y habilitación de una instancia de BGP” en la página 164

– “Habilitación de BGP en interfaces” en la página 166

– “Configuración de un interlocutor BGP” en la página 167

– “Comprobación de la configuración BGP” en la página 173




• “Configuraciones opcionales de BGP” en la página 177

– “Redistribución de rutas” en la página 179

– “Lista de acceso AS-path” en la página 180

– “Adición de rutas a BGP” en la página 182

– “Reflexión de rutas” en la página 186

– “Confederaciones” en la página 189

– “Comunidades BGP” en la página 192

– “Agregación de rutas” en la página 193

Capítulo 5 Protocolo de puerta de enlace de límite (BGP) Introducción al protocolo BGP

160

ue se utiliza para transportar nrutamiento BGP incluye la información de ruta asociada al enOS es compatible con la

de enrutamiento. Un enrutador , los interlocutores BGP deben ida la conexión inicial, los mbian las tablas de interlocutores. Cada enrutador on los que tiene sesiones, las conexiones.

do un interlocutor BGP notifica enrutador BGP compara los n destino determinado.


INTRODUCCIÓN AL PROTOCOLO BGPEl protocolo BGP (Border Gateway Protocol) es un protocolo de vectores de rutas qinformación de enrutamiento entre sistemas autónomos1 (ASs). La información de esecuencia de números de los AS que un prefijo de red (una ruta) ha atravesado. La prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento. Screversión 4 de BGP (BGP-4), tal y como se define en la norma RFC 1771.

Dos interlocutores BGP establecen una sesión BGP para intercambiar informaciónBGP puede participar en sesiones BGP con distintos interlocutores. En primer lugarestablecer una conexión TCP entre sí para abrir una sesión BGP. Una vez establecinterlocutores intercambian las tablas de enrutamiento completas. A medida que caenrutamiento, los enrutadores BGP intercambian mensajes de actualización con losBGP mantiene actualizadas las tablas de enrutamiento de todos los interlocutores cenviándoles periódicamente mensajes de mantenimiento de conexión para verificar

El interlocutor BGP sólo notifica las rutas que está utilizando en ese momento. Cuanuna ruta a su vecino, incluye atributos de ruta que describen sus características. El atributos de ruta y el prefijo para elegir la mejor ruta de todas las disponibles para u

1. Un sistema autónomo es un conjunto de enrutadores que se encuentran en el mismo dominio administrativo.


161

rlocutores:

utuamente antes de iniciar la cido una sesión TCP. Durante

su versión de protocolo,

adas previamente.

cierra la sesión TCP.

P. De forma predeterminada, el interlocutores cada 60

ticas de una ruta. El protocolo das las rutas disponibles para de ruta obligatorios y bien

o).

pasado la notificación de ruta.

a.

ue hay múltiples vínculos entre r una ruta).

interlocutor si, durante el colos con los que el dispositivo


Tipos de mensajes BGPEl protocolo BGP utiliza cuatro tipos de mensajes para la comunicación con los inte

• Los mensajes Open permiten que los interlocutores BGP se identifiquen msesión GP. Estos mensajes se envían cuando los interlocutores han estableel intercambio de mensajes de apertura, los interlocutores BGP especificannúmero de AS, tiempo de espera e identificador BGP.

• Los mensajes Update notifican rutas al interlocutor y retiran las rutas notific

• Los mensajes Notification indican errores. La sesión BGP se termina y se

• Los mensajes Keepalive se utilizan para el mantenimiento de la sesión BGdispositivo NetScreen envía mensajes de mantenimiento de conexión a los segundos. Este intervalo se puede configurar.

Atributos de rutaLos atributos de ruta BGP son un grupo de parámetros que describen las caracterísBGP empareja los atributos con la ruta que describen y, a continuación, compara toun destino para así seleccionar la mejor ruta de acceso a ese destino. Los atributosconocidos son:

• Origin describe el origen de la ruta (puede ser IGP, EGP o estar incomplet

• AS-Path contiene una lista de sistemas autónomos a través de los cuales ha

• Next-Hop es la dirección IP del enrutador al que se envía tráfico para la rut

Los atributos de ruta opcionales son:

• Multi-Exit Discriminator (MED) es una métrica para aquellas rutas en las qsistemas autónomos (un AS configura el MED y otro AS lo utiliza para elegi

Nota: El dispositivo NetScreen no enviará un mensaje de notificación a unintercambio de mensajes de apertura, el interlocutor indica que admite protoNetScreen no es compatible.


162

de las preferencias del

cal seleccionó una ruta menos r.

la ruta.

ruta.

cuales ha pasado la ruta.

pcionales antes de notificársela

o distintas redes ISP se interno (IBGP) se utiliza dentro

P es distribuir los enrutadores tificar a sus interlocutores IBGP cidas por sus interlocutores otificación de ruta dentro de la ecir, cada enrutador BGP de la

atributo MED sólo se utiliza en sajes IBGP.


• Local-Pref es una métrica utilizada para informar a los interlocutores BGP enrutador local para elegir una ruta.

• Atomic-Aggregate informa a los interlocutores BGP de que el enrutador loespecífica de un conjunto de rutas superpuestas recibidas de un interlocuto

• Aggregator especifica el AS y el enrutador que realizaron la agregación de

• Communities especifica una o varias comunidades a las que pertenece la

• Cluster List contiene una lista de los clústeres de reflexión a través de los

Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta oa los interlocutores.

BGP externo e internoEl protocolo BGP externo (EBGP) se utiliza entre sistemas autónomos, p. ej., cuandconectan entre sí o una red empresarial se conecta a una red ISP. El protocolo BGPde un sistema autónomo, p. ej., una red de una empresa. El objetivo principal de IBGreconocidos por EBGP en los enrutadores del AS. Así, un enrutador IBGP puede norutas reconocidas por sus interlocutores EBGP, pero no puede notificar rutas reconoIBGP a otros interlocutores IBGP. Esta restricción impide que se formen bucles de nred, pero también implica que una red IBGP debe estar absolutamente mallada (es dred debe tener una sesión con cada uno de los otros enrutadores de la red).

Determinados atributos de ruta sólo son aplicables a EBGP o IBGP. Por ejemplo, elmensajes EBGP, mientras que el atributo LOCAL-PREF sólo está presente en men

Capítulo 5 Protocolo de puerta de enlace de límite (BGP) Configuración básica de BGP

163

da enrutador virtual (VR). Si a por cada enrutador virtual.

son:

, asignando primero un número cia.

a.

el ejemplo que se muestra a plo configuraremos el gurar el dispositivo NetScreen


ID de enrutador2.2.2.250

r remoto


CONFIGURACIÓN BÁSICA DE BGPEn un dispositivo NetScreen, cada instancia de BGP se crea individualmente por cadispone de varios VR en un dispositivo, podrá habilitar varias instancias de BGP, un

Los cinco pasos básicos para configurar BGP en un VR en un dispositivo NetScreen

1. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtualde sistema autónomo a la instancia de BGP y habilitando después la instan

2. Habilitar BGP en la interfaz conectada al interlocutor.

3. Habilitar cada interlocutor BGP.

4. Configurar uno o varios interlocutores BGP remotos.

5. Comprobar que el protocolo BGP está configurado correctamente y funcion

En esta sección se describe la correcta ejecución de cada una de estas tareas paracontinuación, utilizando la interfaz WebUI y la línea de comandos CLI. En este ejemdispositivo NetScreen como interlocutor BGP en el sistema AS 65000. Deberá confide modo que establezca una sesión BGP con el interlocutor en el AS 65500.


AS 65000 AS 65500

ID de enrutador1.1.1.250

Dirección IP de interfaz 1.1.1.1/24

BGP habilitado

Dispositivo NetScreen Enrutado

Sistemas autónomos

Interlocutores BGP

Números de los sistemas autónomos

Dirección IP de interfaz 2.2.2.2/24

BGP habilitado


164

l (VR) específico ubicado en un ebe especificar el número de rutador IBGP, el número de do se habilita la instancia de lecer contacto e iniciar una

rust-vr. A continuación creará y dispositivo NetScreen en AS r un enrutador virtual en


ance: Introduzca los siguientes

r información de enrutamiento EBGP rnet Numbers (ARIN), Reseaux IP do y no para su notificación global en


Creación y habilitación de una instancia de BGPCada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtuadispositivo NetScreen. Para crear una instancia de enrutamiento BGP, primero se dsistema autónomo2 en el se que se encuentra el VR. Si el enrutador virtual es un ensistema autónomo será el mismo que el de otros enrutadores IBGP de la red. Cuanenrutamiento BGP en un VR, la instancia de enrutamiento BGP será capaz de estabsesión con los interlocutores BGP que configure.

Ejemplo: Creación de una instancia BGPEn el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a thabilitará una instancia de enrutamiento BGP en el trust-vr, que se encuentra en el 65000. (Para obtener más información sobre enrutadores virtuales y cómo configuradispositivos NetScreen, consulte el Capítulo 2, “Enrutadores virtuales”).

WebUI

1. ID de enrutador




2. Instancia de enrutamiento de BGP

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en OK :

AS Number (obligatorio): 65000

BGP Enabled: (seleccione)

2. Los números de sistemas autónomos (AS) son números exclusivos en todo el mundo que se utilizan para intercambiay para identificar el sistema autónomo. Las siguientes entidades asignan números de AS: American Registry for InteEuropeens (RIPE) y Asia Pacific Network Information Center (APNIC). Los números 64512 a 65535 son de uso privaInternet.


165

nrutador trust-vr. BGP detendrá

nule la selección de BGP

P Instance y haga clic en OK


CLI


2. Instancia de enrutamiento de BGPset vrouter trust-vr protocol bgp 65000set vrouter trust-vr protocol bgp enablesave

Ejemplo: Eliminación de una instancia de BGPEn este ejemplo inhabilitará y eliminará la instancia de enrutamiento de BGP en el etodas las sesiones con los interlocutores.

WebUI

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance : AEnabled y haga clic en OK .

Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGcuando aparezca el mensaje de confirmación.

CLI

unset vrouter trust-vr protocol bgp enableunset vrouter trust-vr protocol bgp 65000save


166

determinada, las interfaces del

P y haga clic en OK .

n las que haya habilitado BGP

otocol BGP y haga clic en OK .


Habilitación de BGP en interfacesEs necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma predispositivo NetScreen no están asociadas a ningún protocolo de enrutamiento).

Ejemplo: Habilitación de BGP en interfacesEn este ejemplo habilitará BGP en la interfaz ethernet4.

WebUI

Network > Interfaces > Configure (para ethernet4): Seleccione Protocol BG

CLI

set interface ethernet4 protocol bgpsave

Ejemplo: Inhabilitación de BGP en interfacesEn este ejemplo inhabilitará BGP en la interfaz ethernet4. En las demás interfaces epodrán continuar transmitiendo y procesando paquetes BGP.

WebUI

Network > Interfaces > Configure (para ethernet4): Anule la selección de Pr

CLI

unset interface ethernet4 protocol bgpsave


167

sitan identificarse mutuamente s interlocutores BGP y, erlocutores pueden ser P, habrá que especificar el

BGP y el número de AS istran. Si surge algún problema e notificación BGP, lo que hará

mbién se pueden asignar ara el grupo en su conjunto.

s BGP y sus valores de configurar para la dirección ica un parámetro que se puede

cutores.


da en el res BGP.

La ruta predeterminada no se notifica.

P local y 0 (desactivado)


Configuración de un interlocutor BGPAntes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas, necepara poder iniciar una sesión BGP. Es necesario especificar las direcciones IP de loopcionalmente, configurar parámetros para establecer y mantener la sesión. Los intinterlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGsistema autónomo en el que reside el interlocutor.

Todas las sesiones BGP se autentican comprobando el identificador de interlocutornotificado por los interlocutores. Las conexiones correctas con un interlocutor se regdurante la conexión con el interlocutor, el interlocutor enviará o recibirá un mensaje dque la conexión falle o se cierre.

Es posible configurar parámetros para direcciones de interlocutores individuales. Tainterlocutores a un grupo de interlocutores , lo que permitirá configurar parámetros p

La siguiente tabla describe parámetros que se pueden configurar para interlocutorepredeterminados. Una “X” en la columna Interlocutor indica un parámetro que se pueIP de un interlocutor, mientras que una “X” en la columna Grupo de interlocutores indconfigurar para un grupo de interlocutores.

Nota: No es posible asignar interlocutores IBGP y EBGP al mismo grupo de interlo

Parámetro BGP Interlocutor Grupo de interlocutores

Descripción

Advertise default route X Notifica la ruta predeterminaenrutador virtual a interlocuto

EBGP multihop X X Número de nodos entre el BGel vecino.


168

descarte con el epte una etro y una ue falla y, intenta P, ya que

más

N/D

lleguen antes de rvicio.

180 segundos

de 1/3 del tiempo de espera (hold-time)

D-5. Sólo se comprueba el identificador de interlocutor y el número de AS.

MED. 0

locutor, el nte se interfaz

Atributo de salto siguiente no cambiado

e reflexión al se e rutas.

Ninguna



Force connect X X Hace que la instancia de BGPuna conexión BGP existenteinterlocutor especificado y acnueva conexión. Este parámresulta de utilidad cuando haconexión con un enrutador qa continuación, reaparece e restablecer una conexión BGpermite un restablecimiento rápido de la conexión entre interlocutores*.

Hold time X X Tiempo transcurrido sin que mensajes de un interlocutor que se considere fuera de se

Keepalive X X Tiempo entre transmisiones mantenimiento de conexión (keepalive).

MD5 authentication X X Configura la autenticación M

MED X Configura el valor de atributo

Next-hop self X X En las rutas enviadas al interatributo de ruta al salto siguieajusta en la dirección IP de ladel enrutador virtual local.

Reflector client X X El interlocutor es un cliente dcuando el protocolo BGP locconfigura como el reflector d


Descripción


169

de protocolo (consulte urar el valor de tiempo de el valor de tiempo de espera ración del interlocutor tendrá rlocutor pueden ser distintos; el tifiquen a esos interlocutores.

aciones edentes

Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento

io de n volver a P.

120 segundos

unidad al Atributo de comunidad no enviado a los interlocutores.

P local y 100

conexión BGP con el interlocutor el interlocutor BGP. Por ejemplo, puede



Es posible configurar determinados parámetros en el nivel de interlocutores y en el“Configuraciones opcionales de BGP” en la página 177). Por ejemplo, puede configespera para un interlocutor específico con un valor de 210 segundos, mientras que predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configupreferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de intevalor MED ajustado en el nivel de interlocutor sólo se aplicará a las rutas que se no

Reject default route X No tiene en cuenta las notificde ruta predeterminada procde los interlocutores BGP.

Retry time X X Tras un intento fallido de inicsesión, tiempo que se tarda eintentar el inicio de sesión BG

Send community X X Transmite el atributo de cominterlocutor.

Weight X X Prioridad de ruta entre el BGel interlocutor.

* Nota: Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte unaespecificado y acepte una nueva conexión. El uso de este comando de ejecución no modifica la configuración dutilizarlo si desea cambiar la configuración del mapa de rutas que se aplica a este interlocutor.


Descripción


170

terlocutor tiene los siguientes

ce > Neighbors: Introduzca los

ce > Neighbors > Configure ga clic en OK .

ote-as 65500ble


Ejemplo: Configuración de un interlocutor BGPEn el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este inatributos:

• Dirección IP 1.1.1.250

• Reside en AS 65500

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :

AS Number: 65500

Remote IP: 1.1.1.250

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instan(para el interlocutor que acabe de agregar): Seleccione Peer Enabled y ha

CLI

set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remset vrouter trust-vr protocol bgp neighbor 1.1.1.250 enasave

Nota: Deberá habilitar cada conexión de interlocutor que configure.


171

siguientes direcciones IP: nfigurar parámetros (como la es.

ce > Peer Group: Escriba ibgp

thentication, introduzca


Add:

ce > Neighbors > Configure

ce > Neighbors > Configure

erlocutores como parte de un


Ejemplo: Configuración de un grupo de interlocutores IBGPAhora configurará un grupo de interlocutores IBGP llamado ibgp que contendrá las10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo de interlocutores, podrá coautenticación MD5) que se aplicarán a todos los miembros del grupo de interlocutor

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instanen el campo Group Name y haga clic en Add .

> Configure (para ibgp): En el campo Peer au verify03 y haga clic en OK .


AS Number: 65000

Remote IP: 10.1.2.250

Peer Group: ibgp (seleccione)

Introduzca los siguientes datos y haga clic en

AS Number: 65000

Remote IP: 10.1.3.250

Peer Group: ibgp (seleccione)

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instan(para 10.1.2.250): Seleccione Peer Enabled y haga clic en OK .

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instan(para 10.1.3.250): Seleccione Peer Enabled y haga clic en OK .

Nota: Deberá habilitar cada conexión de interlocutor que configure. Si configura intgrupo, tendrá que habilitar las conexiones de los interlocutores una a una.


172

gp remote-as 65000er-group ibgper-group ibgpableablegp md5-authentication


CLI

set vrouter trust-vr protocol bgp neighbor peer-group ibset vrouter trust-vr protocol bgp neighbor 10.1.2.250 peset vrouter trust-vr protocol bgp neighbor 10.1.3.250 peset vrouter trust-vr protocol bgp neighbor 10.1.2.250 enset vrouter trust-vr protocol bgp neighbor 10.1.3.250 enset vrouter trust-vr protocol bgp neighbor peer-group ib

verify03save


173

mando get vrouter vrouter

do get vrouter vrouter

0)


Comprobación de la configuración BGPPuede revisar la configuración introducida a través de WebUI o CLI ejecutando el coprotocol bgp config .

Para comprobar si BGP se está ejecutando en el enrutador virtual, ejecute el comanprotocol bgp .

ns-> get vrouter trust-vr protocol bgp configset protocol bgp 65000set enableunset synchronizationset neighbor 1.1.1.250 remote-as 65500set neighbor 1.1.1.250 enableexit

ns-> get vrouter trust-vr protocol bgpAdmin State: enableLocal Router ID: 10.1.1.250Local AS number: 65000Hold time: 180Keepalive interval: 60 = 1/3 hold time, defaultLocal MED is: 0Always compare MED: disableLocal preference: 100Route Flap Damping: disableIGP synchronization: disableRoute reflector: disableCluster ID: not set (ID = 0)Confederation based on RFC 1965Confederation (confederación): disable (confederation ID =Member AS: noneOrigin default route: disableIgnore default route: disable


174

ción del enrutador, así como

r el estado de la sesión BGP,

stá activa.

ocutor.

exión (KEEPALIVE) o

) con el interlocutor.

r, en lugar de utilizar la ID , consulte el Capítulo 2,

entre interlocutores.

Flag 0000


Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificatodos los demás parámetros configurados relativos al BGP.

Para comprobar si un interlocutor o grupo de interlocutores BGP está habilitado y veejecute el comando get vrouter vrouter protocol bgp neighbor.

En este ejemplo puede verificar si el interlocutor BGP está habilitado y si la sesión e

El estado puede ser uno de los que aquí se indican:

• Idle : primer estado de la conexión.

• Connect : BGP está esperando una conexión de transporte TCP correcta.

• Active : BGP está iniciando una conexión de transporte3.

• OpenSent : BGP está esperando un mensaje de apertura (OPEN) del interl

• OpenConfirm : BGP está esperando un mensaje de mantenimiento de connotificación (NOTIFICATION) del interlocutor.

• Established : BGP está intercambiado paquetes de actualización (UPDATE

Nota: Juniper Networks recomienda asignar de forma explícita una ID de enrutadopredeterminada. Para más información sobre cómo configurar una ID de enrutador“Enrutadores virtuales”.

3. Un estado de sesión que cambia continuamente entre Active y Connect podría indicar un problema con la conexión

ns-> get vrouter trust-vr protocol bgp neighborPeer AS Remote IP Local IP Wt ConnID Status State 65500 1.1.1.250 0.0.0.0 100 0 Enabled ACTIVE

total 1 BGP peers shown

Capítulo 5 Protocolo de puerta de enlace de límite (BGP) Configuración de seguridad

175

rutamiento BGP y algunos

ncriptan, y la mayoría de los e acabar con el riesgo de este

ocutor. Para la autenticación cepción. Todos los paquetes . De forma predeterminada,

ocutor y el número de AS.

ota 1.1.1.250 en AS 65500. A lave 1234567890123456.



leccione)3456

ben configurarse con el mismo gar a dejar inservible todo el



Autenticación de vecinosUn enrutador BGP se puede suplantar fácilmente, ya que los paquetes BGP no se eanalizadores de protocolo permiten desencapsular paquetes BGP. La mejor forma dtipo de ataques será autenticando los interlocutores BGP.

BGP ofrece autenticación MD5 para validar los paquetes BGP recibidos de un interlMD5 es necesario utilizar la misma clave para los enrutadores BGP de envío y de reBGP recibidos de un determinado interlocutor que no se autentiquen se descartaránpara un determinado interlocutor BGP sólo se comprobarán el identificador de interl

Ejemplo: Configuración de la autenticación MD5En el siguiente ejemplo configuraremos un interlocutor BGP con la dirección IP remcontinuación configuraremos el interlocutor para la autenticación MD5 utilizando la c

WebUINetwork > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :

AS Number: 65500Remote IP: 1.1.1.250> Configure (para Remote IP 1.1.1.250): Intro

haga clic en OK:Peer Authentication: Enable (seMD5 password: 123456789012Peer Enabled: (seleccione)

Nota: Para que BGP sea más seguro, todos los enrutadores de un dominio BGP denivel de seguridad. De lo contrario, un solo enrutador BGP comprometido podría lledomino de enrutamiento BGP.

Capítulo 5 Protocolo de puerta de enlace de límite (BGP) Configuración de seguridad

176

on 1234567890123456

0.0.0.0/0) en el dominio de os paquetes, causando una s de reenviarlos. En los iada por interlocutores BGP y

ndo en el trust-vr para que no

uzca los siguientes datos y haga


CLIset vrouter trust-vr(trust-vr)-> set protocol bgp(trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500(trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authenticati(trust-vr/bgp)-> set neighbor 1.1.1.250 enable(trust-vr/bgp)-> exit(trust-vr)-> exitsave

Rechazo de rutas predeterminadasEn los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada (enrutamiento para que los paquetes se desvíen a él. El enrutador puede descartar linterrupción en el servicio, o puede eliminar información crítica de los paquetes antedispositivos NetScreen, BGP acepta en principio cualquier ruta predeterminada envagrega la ruta predeterminada a la tabla de rutas.

Ejemplo: Rechazo de rutas predeterminadasEn este ejemplo, configurará la instancia de enrutamiento BGP que se está ejecutatenga en cuenta las rutas predeterminadas enviadas por interlocutores BGP.

WebUINetwork > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance: Introdclic en OK :

Ignore default route from peer: (seleccione)

CLIset vrouter trust-vr protocol bgp reject-default-routesave

Capítulo 5 Protocolo de puerta de enlace de límite (BGP) Configuraciones opcionales de BGP

177

ocolo de enrutamiento BGP en e la interfaz de línea de nfiguraciones de parámetros

minados.


La ruta predeterminada no se notifica

Desactivado

Desactivado

—

n la —

gina —

Desactivado (predeterminado = 1)

Desactivado

utor 180 segundos

1/3 del tiempo de espera (hold-time)


CONFIGURACIONES OPCIONALES DE BGPEn esta sección se describen los parámetros que se pueden configurar para el protel enrutador virtual. Es posible configurarlos con los comandos contextuales BGP dcomandos o con la WebUI. En esta sección también se muestran algunas de las comás complejas.

La siguiente tabla muestra los parámetros del protocolo BGP y sus valores predeter

Parámetro del protocolo BGP

Descripción

Advertise default route Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP.

Aggregate Crea rutas agregadas. Consulte “Agregación de rutas” en lapágina 193.

Always compare MED Compara los valores MED de las rutas.

AS path access list Crea una lista de acceso a rutas AS para permitir o denegarrutas.

Community list Crea listas de comunidades. Consulte “Comunidades BGP” epágina 192.

AS confederation Crea confederaciones. Consulte “Confederaciones” en la pá189.

Equal cost multipath (ECMP)

Se pueden agregar rutas múltiples de igual coste para proporcionar equilibrio de cargas. Consulte “Enrutamiento derutas múltiples de igual coste” en la página 52.

Flap damping Bloquea las notificaciones de una ruta hasta que es estable.

Hold time Tiempo transcurrido sin que lleguen mensajes de un interlocantes de que se considere fuera de servicio.

Keepalive Tiempo entre transmisiones de mantenimiento de conexión (keepalive).


178

100

0

—

. —

a Desactivado

Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento

sión

120 segundos

ce Desactivado



Local preference Configura la métrica de LOCAL_PREF.

MED Configura el valor de atributo MED.

Network Agrega entradas estáticas de red y de subred en BGP. BGPnotifica estas rutas estáticas a todos los interlocutores BGP.Consulte “Adición de rutas a BGP” en la página 182.

Route redistribution Importa rutas a BGP desde otros protocolos de enrutamiento

Reflector Configura la instancia BGP local como reflector de rutas parclientes. Consulte “Reflexión de rutas” en la página 186.

Reject default route No tiene en cuenta las notificaciones de ruta predeterminadaprocedentes de los interlocutores BGP.

Retry time Tiempo que debe transcurrir desde un establecimiento de seBGP fallido con un interlocutor para que se vuelva a intentarestablecer la sesión.

Synchronization Permite la sincronización con un protocolo de puerta de enlainterior, como OSPF o RIP.

Parámetro del protocolo BGP

Descripción


179

los de enrutamiento. Por amiento de RIP de un mismo

de rutas para filtrar las rutas as de rutas para la


Redistribución de rutasLa redistribución de rutas es el intercambio de información sobre rutas entre protocoejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutenrutador virtual:

• Rutas reconocidas por OSPF o RIP




Cuando se configura la redistribución de rutas, primero se debe especificar un mapaque se vayan a redistribuir. Para obtener más información sobre la creación de mapredistribución, consulte el Capítulo 2, “Enrutadores virtuales”.


180

uta originada en un dominio de rfaz CLI, partiremos de la base

ce > Redist. Rules: Introduzca

add-ospf protocol ospf

na ruta determinada. BGP ara filtrar rutas según la tá formada por un conjunto de dican si las rutas que coinciden lista de acceso AS-path para

ecífico en el atributo AS-path. ular. Por ejemplo, para buscar

(los guiones equivalen a un r la expresión regular “65000$” o AS-path, que podría ser el AS


Ejemplo: Redistribución de rutas en BGPEn el siguiente ejemplo redistribuirá en el dominio de enrutamiento BGP actual una renrutamiento OSPF. Tanto en el ejemplo de la interfaz WebUI como en el de la intede que ya ha creado un mapa de rutas llamado add-ospf.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instanlos siguientes datos y haga clic en Add :

Route map: add-ospf

Protocol: OSPF

CLI

set vrouter trust-vr protocol bgp redistribute route-mapsave

Lista de acceso AS-pathEl atributo AS-path contiene una lista de sistemas autónomos (ASs) que atraviesa uañade el número de AS local al atributo AS-path cuando una ruta pasa por el AS. Pinformación de AS-path es posible utilizar una lista de acceso AS-path. Esta lista esexpresiones regulares que definen la información de ruta del sistema autónomo e incon esa información se deben permitir o denegar. Por ejemplo, podemos utilizar unafiltrar rutas que han pasado por un AS determinado o rutas que proceden de un AS.

Las expresiones regulares son un método para definir la búsqueda de un patrón espEs posible utilizar símbolos y caracteres especiales para construir una expresión regrutas que hayan pasado por AS 65000, puede utilizar la expresión regular _65000_número cualquiera de caracteres delante o detrás de 65000). También puede utilizapara buscar rutas originadas en AS 65000 (el signo de dólar indica el final del atributdonde se originó la ruta).


181

que permitirá las rutas que



deny 65000$permit _65000_


Ejemplo: Configuración de una lista de accesoEn el siguiente ejemplo configuraremos una lista de acceso AS-path para el trust-vrhayan pasado por AS 65000, pero no las que hayan sido originadas en AS 65000.

WebUI



Deny: (seleccione)

AS Path String: 65000$



Permit: (seleccione)

AS Path String: _65000_

CLI

set vrouter trust-vr protocol bgp as-path-access-list 2 set vrouter trust-vr protocol bgp as-path-access-list 2 save


182

desde el protocolo de origen al agregar rutas estáticas sta ruta a los interlocutores sin

ede especificar varias opciones:

especificar si desde el VR ruta a los interlocutores. Por és de una interfaz de enrutador e que el BGP anuncie la red a

BGP notifica la ruta a sus ruta no se agregará al BGP y,

az del enrutador que

especificar que el prefijo de red terminada, el prefijo de red

nterlocutores. Si habilita la

ede asignar localmente a una estino, tiene prioridad la ruta

consulte “Configuración de un ruta especificados en el mapa


Adición de rutas a BGPPara permitir que el BGP notifique las rutas de red, es necesario redistribuir las rutasprotocolo de notificación (BGP) en el mismo enrutador virtual (VR). También puede directamente en BGP. Si el prefijo de red es accesible desde el VR, el BGP notifica eexigir que la ruta esté redistribuida en BGP. Al agregar un prefijo de red en BGP, pu

• Seleccionando “Yes” en la opción de comprobación de accesibilidad, puededebe ser accesible un prefijo de red diferente antes de que BGP anuncie laejemplo, si el prefijo que desea que el BGP anuncie se debe alcanzar a travespecífica, asegúrese de que la interfaz del enrutador sea accesible antes dlos interlocutores. Si la interfaz del enrutador que especifique es accesible, interlocutores. Si la interfaz del enrutador que especifique no es accesible, laconsecuentemente, no se notificará a los interlocutores del BGP. Si la interfespecifique deja de ser accesible, el BGP retira la ruta a sus interlocutores.

• Seleccionando “No” en la opción de comprobación de accesibilidad, puede sea notificado tanto si es accesible desde el VR como si no. De forma prededebe ser accesible desde el VR antes de que el BGP anuncie la ruta a los icomprobación de accesibilidad, la ruta se puede conectar.

• Puede asignar un peso al prefijo de la red. El peso es un atributo que se puruta; no se notifica a los interlocutores. Si existe más de una ruta hacia un dcon el valor de peso más alto.

• Puede establecer los atributos de la ruta tomándolos de un mapa de rutas (mapa de rutas” en la página 56). El BGP notifica la ruta con los atributos dede rutas.


183

que la interfaz del enrutador ificar la ruta 4.4.4.0/24 a los 4.

ce > Networks: Introduzca los

ck 5.5.5.0/24


Ejemplo: Notificación de ruta condicionalEn el ejemplo siguiente, agregará una ruta estática a la red 4.4.4.0/24. Especificará5.5.5.0/24 debe ser accesible desde el enrutador virtual para que el BGP pueda notinterlocutores. Si la red 5.5.5.0/24 no es alcanzable, BGP no notifica la red 4.4.4.0/2

WebUI



Check Reachability:

Yes: (seleccione), 5.5.5.0/24

CLI

set vrouter trust-vr protocol bgp network 4.4.4.0/24 chesave

4.4.4.0/24

5.5.5.0/24

La ruta a 4.4.4.0/24 sólo se notifica si 5.5.5.0/24 es accesible.

Internet


184

4. (Puede especificar un valor


ght 100


Ejemplo: Establecer el peso de la rutaEn el ejemplo siguiente establecerá un valor de 100 para el peso de la ruta 4.4.4.0/2de peso entre 0 y 65535).

WebUI



Weight: 100

CLI

set vrouter trust-vr protocol bgp network 4.4.4.0/24 weisave


185

métrica de la ruta en 100. A e la ruta. (No es necesario da de la ruta).



te-map setattr


Ejemplo: Establecer atributos de rutaEn el ejemplo siguiente configurará un setattr del mapa de ruta que establecerá la continuación, configurará una ruta estática en BGP que utilice el setattr del mapa destablecer el mapa de la ruta de forma que coincida con el prefijo de red de la entra

WebUI

Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introhaga clic en OK:

Map Name: setattr

Sequence No.: 1


Set Properties:

Metric: (seleccione), 100



Route map: setattr (seleccione)

CLI

set vrouter trust-vr route-map name setattr permit 1set vrouter trust-vr route-map setattr 1 metric 100set vrouter trust-vr protocol bgp network 4.4.4.0/24 rousave


186

GP a otro interlocutor IBGP ta de sesiones IBGP, donde

l AS.

as de ampliación. Por ejemplo, icarse con los otros 7

a de 28.

P (descrito en RFC 1966). Un inos IBGP especificados rutas y sus clientes forman un ra de ese clúster lo consideran

nrutador en malla completa. De n el reflector, mientras que éste

r de rutas y se le puede asignar e enrutamiento de BGP añade ibuye a evitar la formación de do su ID de clúster aparece en

los clientes del reflector. Es clientes. No es necesario llevar

directamente, sino que cada uno de los demás enrutadores.

cia de enrutamiento de BGP.


Reflexión de rutasComo un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor IB(consulte “BGP externo e interno” en la página 162), es necesaria una malla complecada enrutador en un AS BGP será interlocutor de todos los demás enrutadores de

Una configuración de malla completa en las sesiones IBGP puede presentar problemen un AS con 8 enrutadores, cada uno de los 8 enrutadores necesitaría intercomunenrutadores, lo que puede calcularse con esta fórmula:

Para un AS con 8 enrutadores, el número de sesiones IBGP de malla completa serí

La reflexión de rutas es un método para solucionar el problema de escalabilidad IBG reflector de ruta es un enrutador que entrega rutas reconocidas por IBGP a los vec(clientes), eliminando así la necesidad de sesiones de malla completa. El reflector declúster, que se puede identificar por medio de una ID de clúster. Los enrutadores fueuna única entidad, en lugar de intercomunicarse de forma independiente con cada eesta forma se reduce la carga de procesamiento. Los clientes intercambian rutas corefleja rutas entre clientes.

El enrutador virtual (VR) local del dispositivo NetScreen puede actuar como reflectouna identificación de clúster. Si especifica una identificación de clúster, la instancia dla identificación del clúster al atributo Cluster-List de una ruta. La ID de clúster contrbucles, puesto que la instancia de enrutamiento de BGP local descarta una ruta cuanla lista de clústeres de la ruta.

Después de configurar un reflector de rutas en el enrutador virtual local, se definen posible especificar direcciones IP individuales o un grupo de interlocutores para los a cabo ninguna configuración en los clientes.

Nota: Una malla completa no implica que cada par de enrutadores esté conectadoenrutador tiene que ser capaz de establecer y mantener una sesión IBGP con cada

Nota: Antes de poder configurar una ID de clúster, es necesario inhabilitar la instan

x x 1–( ) 2⁄⋅


187

Sin reflexión de rutas, el cliente nte a los clientes 1 y 2. Si sus clientes, NetScreen-A

ce: Introduzca los siguientes

y haga clic en Add :

tor EBGPtificación a .0/24

enrutador.2.250


Ejemplo: Configuración de la reflexión de rutasEn el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3. 3 notificará la ruta a NetScreen-A, pero NetScreen-A no notificará esa ruta nuevameconfigura NetScreen-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 comonotificará las rutas recibidas del cliente 3 a los clientes 1 y 2.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instandatos y haga clic en Apply :

Route reflector: Enable

Cluster ID: 99

> Neighbors: Introduzca los siguientes datos

AS Number: 65000


AS 65000 AS 65500

NetScreen-AReflector de rutaID de enrutador

1.1.1.250

Interlocuruta de no

5.5.5

Sistemas autónomos

Números de los sistemas autónomos

Cliente 2ID de enrutador

1.1.4.250


1.1.3.250


1.1.2.250

ID de 2.2


188

Add :

Add :

ccione Reflector Client y haga



9lector-clientlector-clientlector-client



AS Number: 65000



AS Number: 65000


> Configure (para Remote IP 1.1.2.250): Seleclic en OK .



CLI

set vrouter trust-vr protocol bgp reflectorset vrouter trust-vr protocol bgp reflector cluster-id 9set vrouter trust-vr protocol bgp neighbor 1.1.2.250 refset vrouter trust-vr protocol bgp neighbor 1.1.3.250 refset vrouter trust-vr protocol bgp neighbor 1.1.4.250 refsave


189

s confederaciones ofrecen otra GP y se describen en la norma ños, con cada subsistema

fuera de la confederación verá r; las redes de los subsistemas sistemas distintos de la misma ntre sistemas autónomos, pero si fueran interlocutores IBGP.

crea la instancia de

S visible para los enrutadores

0654

ASs atravesados por la ruta de federación local atravesados por la

AS 65500

omos

S 65003

EBGP


ConfederacionesAl igual que la reflexión de rutas (consulte “Reflexión de rutas” en la página 186), laforma de resolver el problema de ampliación de las mallas completas en entornos IBRFC 1965. Una confederación divide un sistema autónomo en varios AS más pequeautónomo funcionando como una red IBGP de malla completa. Cualquier enrutadorla confederación completa como un único sistema autónomo con un solo identificadono son visibles fuera de la confederación. Las sesiones entre enrutadores en dos subconfederación, conocidas como sesiones EIBGP, no son más que sesiones EBGP een las que los enrutadores también intercambian información de enrutamiento como

Hay que especificar los siguientes datos por cada enrutador de una confederación:• El número de subsistema autónomo (número de AS especificado cuando se

enrutamiento BGP)• La confederación a la que pertenece el subsistema autónomo (número de A

BGP fuera de la confederación)• Los números de los otros subsistemas de la confederación• Si la confederación admite las normas RFC 1965 (predeterminado) o RFC 3

4. El atributo AS-Path (consulte “Atributos de ruta” en la página 161) se compone normalmente de una secuencia. Los actualización. La norma RFC 3065 permite que el atributo AS-Path incluya todos los ASs que forman parte de la conactualización de enrutamiento.

AS 65000 (confederación)

Sistemas autón

Subsistemas autónomos

Subsistema AS 65001 Subsistema AS 65002 Subsistema A

EBGP

IBGP

EBGP

IBGPIBGP


190

tónomo 65003 que pertenece a 2 y 65003.

ance: Introduzca los siguientes

tos y haga clic en Apply :

eccione)

Add :

Add :

ma AS 65003

vo NetScreen


Ejemplo: Configurar una confederaciónEn este ejemplo, el dispositivo NetScreen es un enrutador BGP en el subsistema aula confederación 65000. Los otros subsistemas de la confederación 65000 son 6500

WebUINetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en Apply :



> Confederation: Introduzca los siguientes da

Enable: (seleccione)ID: 65000Supported RFC: RFC 1965 (sel

Introduzca los siguientes datos y haga clic enPeer member area ID: 65001


Peer member area ID: 65002

AS 65000 (confederación)

Subsistemas autónomos

Subsistema AS 65001 Subsistema AS 65002 Subsiste

Dispositi


191

0102


CLI

set vrouter trust-vr protocol bgp 65003set vrouter trust-vr protocol bgp confederation id 65000set vrouter trust-vr protocol bgp confederation peer 650set vrouter trust-vr protocol bgp confederation peer 650save


192

unidades), que un enrutador ye a los equipos vecinos. Un Communities) o modificar las

buto ofrece una técnica ones IP o el atributo AS-path. es simplificar la configuración

istrador de AS puede asignar a miento; a esto se le llama en

ad a las rutas con acceso a

ntificador de comunidad. Este

contienen esos valores de a que se pueden especificar

can fuera de una confederación

otifican a otros interlocutores

s no se notifican a

una lista de comunidad o eliminarlas de ella.

ernet a sus clientes, cada una ntinuación, esas rutas de

meros de comunidad y no se


Comunidades BGPEl atributo de ruta Communities ofrece un modo de agrupar destinos (llamados comBGP podrá después utilizar para controlar las rutas que acepta, prefiere o redistribuenrutador BGP puede agregar comunidades a una ruta (si la ruta no tiene el atributocomunidades de una ruta (si ésta incluye el atributo de ruta Communities). Este atrialternativa para distribuir información de rutas de acuerdo con los prefijos de direcciPuede utilizar el atributo Communities de muchas formas, pero su principal objetivode directivas de enrutamiento en entornos de redes completos.

La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un adminuna comunidad una serie de rutas que precisen de las mismas decisiones de enrutaocasiones coloreado de rutas . Por ejemplo, es posible asignar un valor de comunidInternet y otro valor de comunidad a las rutas que no tienen acceso.

Hay dos tipos de comunidades:

• Una comunidad específica está formada por un identificador de AS y un ideúltimo es definido por el administrador de AS.

• Una comunidad bien conocida implica un manejo especial de las rutas que comunidad. A continuación se muestran valores de comunidad bien conocidpara las rutas BGP en el dispositivo NetScreen:

– no-export : las rutas con este atributo de ruta Communities no se notifiBGP.

– no-advertise : las rutas con este atributo de ruta Communities no se nBGP.

– no-export-subconfed : las rutas con este atributo de ruta Communitieinterlocutores EBGP.

Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos deespecificada, eliminar o asignar atributos a las rutas, agregar comunidades a la ruta

Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a Intde las rutas de esos clientes podrá recibir un número de comunidad específico. A coclientes se notificarán a los ISPs vecinos. Las rutas de otros ISPs recibirán otros núnotificarán a los ISPs vecinos.


193

conocidas como rutas se pueden establecer al utas agregadas.

de ruta AS-Path de BGP la opción AS-Set en la

ce > Aggregate Address:

t

tribuyente puede provocar que tificar la ruta agregada con el


Agregación de rutasLa agregación es una técnica para resumir rangos de direcciones de enrutamiento (contribuyentes ) en una sola entrada de ruta. Hay varios parámetros opcionales queconfigurar una ruta agregada. Esta sección contiene ejemplos de configuración de r

Ejemplo: Agregar rutas con diferentes AS-PathsAl configurar una ruta agregada, puede especificar que el campo AS-Set del atributoincluya las rutas AS de todas las rutas contribuyentes. Para especificar esto, utilice configuración de rutas agregadas.

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP InstanIntroduzca los siguientes datos y haga clic en Apply :

Aggregate State: Enable (seleccione)


AS-Set: (seleccione)

CLI

set vrouter trust protocol bgpset vrouter trust protocol bgp aggregateset vrouter trust protocol bgp aggregate 1.0.0.0/8 as-seset vrouter trust protocol bgp enablesave

Nota: Si utiliza la opción AS-Set con una ruta agregada, un cambio en una ruta conel atributo de la ruta agregada también cambie. Esto provoca que BGP vuelva a noatributo de ruta cambiado.

Nota: Debe habilitar la agregación de BGP antes de habilitar BGP.


194

esore-Specific) sean filtradas

or BGP prefiere una ruta más de cualquiera de estas dos

suprimir todas las rutas más

uprimir las rutas especificadas

ás específicas son excluidas


)

ry-only

das de las actualizaciones que sos que especifique las rutas a mitir las rutas 1.2.3.0/24. advert’ como opción de


Ejemplos: Suprimir las rutas más específicas en actualizacionAl configurar una ruta agregada, puede especificar que las rutas más específicas (M(excluidas) de las actualizaciones de enrutamiento. (Si está notificada, un interlocutespecífica antes que una ruta agregada). Puede suprimir las rutas más específicas maneras:

• Utilice la opción Summary-Only en la configuración de rutas agregadas paraespecíficas.

• Utilice la opción Supress-Map en la configuración de rutas agregadas para sen un mapa de rutas.

En el ejemplo siguiente, el BGP notifica la ruta agregada 1.0.0.0/8, pero las rutas mmediante filtro de las actualizaciones de rutas salientes.

WebUI




Suppress Option: Summary-Only (seleccione

CLI

set vrouter trust protocol bgp aggregate 1.0.0.0/8 summasave

En el ejemplo siguiente, filtrará las rutas del rango 1.2.3.0/24 para que sean eliminaincluyan la ruta agregada 1.0.0.0/8. Para ello, primero configurará una lista de accefiltrar (1.2.3.0/24). A continuación, configurará un mapa de rutas ‘noadvert’ para perDespués configurará una ruta agregada 1.0.0.0/8 y especificará el mapa de ruta ‘nosupresión para las actualizaciones salientes.


195




advert (seleccione)

777

ess-map noadvert


WebUI

Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introhaga clic en OK :

Access List ID: 1

Sequence No.: 777



Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introhaga clic en OK:

Map Name: noadvert

Sequence No.: 2


Match Properties:

Access List (seleccione), 1 (seleccione)




Suppress Option: Route-Map (seleccione), no

CLI

set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 set vrouter trust-vr route-map name noadvert permit 2set vrouter trust-vr route-map noadvert 2 match ip 1set vrouter trust protocol bgp aggregate 1.0.0.0/8 supprsave


196

utilizadas para construir el p en la configuración de rutas et para seleccionar rutas

n el atributo AS-Set. El atributo o de prefijo 1.5.0.0/16, pero no ijo a incluir y excluir en el mapa





Ejemplo: Seleccionar rutas para el atributo PathAl configurar una ruta agregada, puede especificar qué rutas deben o no deben seratributo de ruta AS-Path del BGP de la ruta agregada. Utilice la opción Advertise-Maagregadas para seleccionar las rutas. Puede utilizar esta opción con la opción AS-Snotificadas con el atributo AS-Set.

En el ejemplo siguiente, configurará una ruta agregada 1.0.0.0/8 que se notificará coAS-Set notificado consiste en todas las rutas más específicas que caigan en el ranglas rutas que caigan en el rango de prefijo 1.5.6.0/24; configurará los rangos de prefde rutas “advertset”.

WebUI


Access List ID: 3

Sequence No.: 888


Action: Deny (seleccione)


Access List ID: 3

Sequence No.: 999




Map Name: advertset

Sequence No.: 4


197


8999

t advertise-map



Match Properties:

Access List (seleccione), 3 (seleccione)




Advertise Map: advertset (seleccione)

CLI

set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 88set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 set vrouter trust-vr route-map name advertset permit 4set vrouter trust-vr route-map advertset 4 match ip 3set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-se

advertsetsave


198

apa de ruta especificado. En el étrica 1111 en las



bute-map aggmetric


Ejemplo: Cambiar atributos de la ruta agregadaAl configurar una ruta agregada, puede establecer sus atributos basándose en un mejemplo siguiente, configurará una ruta agregada 1.0.0.0/8 que se notificará con la mactualizaciones salientes.

WebUI


Map Name: aggmetric

Sequence No.: 5


Set Properties: (seleccione)

Metric: 1111




Attribute Map: aggmetric (seleccione)

CLI

set vrouter trust-vr route-map name aggmetric permit 5set vrouter trust-vr route-map aggmetric 5 metric 1111set vrouter trust protocol bgp aggregate 1.0.0.0/8 attrisave

6

199

Capítulo 6

iene las siguientes secciones:


Enrutamiento multicast

Este capítulo presenta los conceptos básicos sobre el enrutamiento multicast. Cont

• “Introducción al enrutamiento multicast” en la página 200

– “Direcciones multicast” en la página 200

– “Reenvío por rutas inversas” en la página 201

• “Enrutamiento multicast en dispositivos NetScreen” en la página 202

– “Tabla de enrutamiento multicast” en la página 202

– “Rutas multicast estáticas” en la página 204

– “Listas de acceso” en la página 205

– “Encapsulado de enrutamiento genérico” en la página 205

• “Directivas multicast” en la página 208

Capítulo 6 Enrutamiento multicast Introducción al enrutamiento multicast

200

cias de datos o vídeo, desde un en, y los receptores pueden

múltiples hosts, porque los osts que desean recibirlo. Los o multicast para recibir los te a los receptores interesados

ción multicast:

información de miembros del e IGMP (Internet Group

nsmitir la información de ación sobre IGMP, consulte

ticast y reenviar datos a los col Independent Multicast -

c Mode). (Para obtener

ráfico multicast sin sobrecargar btener información sobre IGMP

ento multicast.

l grupo multicast. Las la 239.255.255.255.


INTRODUCCIÓN AL ENRUTAMIENTO MULTICASTLas empresas utilizan el enrutamiento multicast para transmitir tráfico, como secuenorigen a un grupo de receptores simultáneamente. Cualquier host puede ser un origestar en cualquier punto de Internet.

El enrutamiento IP multicast proporciona un método eficiente para reenviar tráfico aenrutadores habilitados para multicast transmiten tráfico multicast solamente a los hhosts deben señalizar su interés por recibir datos multicast y deben unirse a un grupdatos. Los enrutadores habilitados para multicast reenvian tráfico multicast solamenen recibirlo.

Los entornos de enrutamiento multicast requieren lo siguiente para reenviar informa

• Un mecanismo que se ejecute entre hosts y enrutadores para comunicar lagrupo multicast. Los dispositivos NetScreen admiten las versiones 1, 2 y 3 dManagement Protocol). Los enrutadores y hosts utilizan IGMP sólo para tramiembros, no para reenviar ni enrutar tráfico multicast. (Para obtener inform“IGMP” en la página 211).

• Un protocolo de enrutamiento multicast para alimentar la tabla de rutas mulhosts a través de la red. Los dispositivos NetScreen admiten PIM-SM (ProtoSparse-Mode) y PIM-SSM (Protocol Independent Multicast - Source-Specifiinformación sobre PIM-SM y PIM-SSM, consulte “PIM” en la página 253.)

Alternativamente, puede utilizar la característica IGMP Proxy para reenviar tla CPU con la ejecución de un protocolo de enrutamiento multicast. (Para oProxy, consulte “Proxy de IGMP” en la página 226).

Las siguientes secciones presentan los conceptos básicos utilizados en el enrutami

Direcciones multicastCuando un origen envía tráfico multicast, la dirección de destino es una dirección dedirecciones del grupo multicast son direcciones de Clase D desde la 224.0.0.0 hasta

Capítulo 6 Enrutamiento multicast Introducción al enrutamiento multicast

201

nado reenvío por rutas inversas s de crear una ruta multicast, el a comprobar si la interfaz en la ara enviar los paquetes de ía el paquete al enrutador del adores multicast no realizan

so afirmativo, r los paquetes

cast al destino.

aso negativo, artar el paquete.


Reenvío por rutas inversasCuando un enrutador multicast recibe paquetes multicast, utiliza un proceso denomi(“reverse path forwarding ” o RPF) para comprobar la validez de los paquetes. Anteenrutador realiza operaciones de búsqueda de rutas en la tabla de rutas unicast parcual recibió el paquete (interfaz de entrada) es la misma interfaz que debe utilizar pvuelta al remitente. Si lo es, el enrutador crea la entrada de la ruta multicast y reenvsalto siguiente. Si no lo es, el enrutador descarta el paquete. Observe que los enrutesta comprobación del RPF para las rutas estáticas.

Origen3.3.3.6

1. El paquete multicast procedente de 1.1.1.250 llega a ethernet1.

ethernet11.1.1.1/24

DST IF GATE0.0.0.0 eth1 ---10.1.1.0 eth3 --1.1.1.0 eth1 ---

Consulta en la tabla de rutas

2. El dispositivo NetScreen comprueba si la interfaz de entrada coincide con la de salida para los paquetes destinados al remitente.

3a En caenviamulti

3b En cdesc

Enrutador externo

1.1.1.250

ethernet310.1.1.1/24

Nota: Las zonas de seguridad no se muestran en esta ilustración.

Capítulo 6 Enrutamiento multicast Enrutamiento multicast en dispositivos NetScreen

202

t-vr y untrust-vr. Cada s tablas de rutas unicast y e enrutamiento y enrutamiento

ast entrante, consulta la ruta

rendidas a través de protocolo de rutas multicast para reenviar ulticast para cada protocolo de

lo de enrutamiento más la

de tener uno de los siguientes oma G”, donde el * se refiere a to (S, G) se denomina entrada po multicast.


ENRUTAMIENTO MULTICAST EN DISPOSITIVOS NETSCREENLos dispositivos NetScreen tienen dos enrutadores virtuales predefinidos (VRs): trusenrutador virtual es un componente de enrutamiento independiente, con sus propiamulticast. (Para obtener información sobre tablas de rutas unicast, consulte “Tablas destático” en la página 1). Cuando el dispositivo NetScreen recibe un paquete multicentre las rutas indicadas en la tabla de rutas multicast.

Tabla de enrutamiento multicastLa tabla de rutas multicast se alimenta con las rutas estáticas multicast o las rutas apde enrutamiento multicast. El dispositivo NetScreen utiliza la información de la tabla tráfico multicast. Los dispositivos NetScreen mantienen una tabla de enrutamiento menrutamiento de un enrutador virtual.

La tabla de enrutamiento multicast contiene información específica sobre el protocoinformación siguiente:

• Cada entrada comienza con el estado de reenvío. El estado de reenvío pueformatos: (*, G) o (S, G). El formato (*, G) se denomina entrada “asterisco ccualquier origen y G es una dirección de grupo multicast específica. El forma“S coma G”, donde S es la dirección IP de origen y G es la dirección del gru

• Las interfaces de sentido ascendente y descendente.

• El vecino de reenvío por rutas inversas (RPF).


203

en el enrutador virtual trust-vr:

--------------ert - G

Range Group - S

--------------

: LF

FC

: TXLF Register Prune

20.20.20.200 FC


A continuación se incluye un ejemplo de una tabla de enrutamiento multicast PIM-SM

trust-vr - PIM-SM routing table---------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT AlForward - F, Null - N , Negative Cache - E, Local Receivers - LSPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSMTurnaround Router - K---------------------------------------------------------------Total PIM-SM mroutes: 2

(*, 236.1.1.1) RP 20.20.20.10 00:06:24/- Flags Zone : Untrust Upstream : ethernet1/2 State : Joined RPF Neighbor : local Expires : - Downstream : ethernet1/2 00:06:24/00:02:57 Join 0.0.0.0

(20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags Zone : Untrust Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust Upstream : ethernet1/1 State : Joined RPF Neighbor : local Expires : - Downstream : ethernet1/2 00:06:24/- Join 236.1.1.1


204

o utilizar comodines tanto para se utilizan típicamente para do “IGMP router proxy” a los ra obtener información sobre tas multicast estáticas para pareja (S, G) con cualquier iante comodines el origen o el puede especificar la dirección

terfaz saliente.

ción IP 20.20.20.200 hasta el multicast de 238.1.1.1 a

y haga clic en OK:

0.20.200 iif ethernet1


Rutas multicast estáticasPuede definir una ruta multicast estática desde un origen a un grupo multicast (S, G)el origen como para el grupo multicast, o para ambos. Las rutas multicast estáticas admitir el reenvío de datos multicast desde hosts pertenecientes a interfaces en moenrutadores en sentido ascendente de las interfaces en el modo host de IGMP. (PaIGMP Proxy, consulte “Proxy de IGMP” en la página 226). También puede utilizar rupermitir el reenvío multicast entre dominios. Puede crear una ruta estática para unainterfaz de entrada o de salida. También puede crear una ruta estática y definir medgrupo multicast, o ambos, indicando 0.0.0.0. Al configurar una ruta estática, tambiéndel grupo multicast original y una dirección diferente para el grupo multicast en la in

Ejemplo: Configuración de una ruta multicast estáticaEn este ejemplo configurará una ruta multicast estática desde un origen con la direcgrupo multicast 238.1.1.1. Configure el dispositivo NetScreen para traducir el grupo238.2.2.1 en la interfaz saliente.

WebUI

Network > Routing > MCast Routing > New: Introduzca los siguientes datos

Source IP: 20.20.20.200

MGroup: 238.1.1.1

Incoming Interface: ethernet1 (seleccione)

Outgoing Interface: ethernet3 (seleccione)

Translated MGroup: 238.2.2.1

CLI

set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.2oif ethernet3 out-group 238.2.2.1

save


205

da declaración especifica la la ruta). En el enrutamiento . En el enrutamiento multicast, hosts multicast. Por lo tanto, el ccesos para denegar ciertos te “Listas de acceso” en la

ra transmitir paquetes multicast sión 1 del protocolo Generic quete dentro de paquetes IP en paquetes unicast IPv4. ric Routing Encapsulation


Listas de accesoUna lista de acceso es una lista de declaraciones con la que se compara la ruta. Cadirección/máscara IP de un prefijo de red y el estado de reenvío (acepta o rechaza multicast, una instrucción también puede contener una dirección de grupo multicastusted crea listas de accesos para permitir tráfico multicast a determinados grupos oestado de la acción o del reenvío es siempre Permit. No se pueden crear listas de agrupos o hosts. (Para obtener información adicional sobre listas de accesos, consulpágina 58).

Encapsulado de enrutamiento genéricoEl encapsulado de paquetes multicast en paquetes unicast es un método común paa través de una red no preparada para multicast y a través de túneles IPSec. La verRouting Encapsulation (GRE) es un mecanismo que encapsula cualquier tipo de paunicast IPv4. Los dispositivos NetScreen admiten GREv1 para encapsular paquetesPara obtener información adicional sobre GRE, consulte la norma RFC 1701, Gene(GRE ).


206

(Recuerde que puede a interfaz loopback se bre interfaces loopback, ste a través de un túnel VPN ebe habilitar GRE. to al número de interfaces ntornos de VPNs radiales imitación creando un túnel “cubo” y los dispositivos

cto a NetScreen-A. n-A está conectado a

ulticast, Enrutador-A primero quetes unicast y los envía a


En los dispositivos NetScreen, el encapsulado GRE se habilita en interfaces de túnel. habilitar GRE en una interfaz de túnel asociada a una interfaz loopback, siempre que lencuentre en la misma zona que la interfaz saliente. Para obtener más información soconsulte “Interfaces loopback” en la página 2 -76. Si desea transmitir paquetes multicaIPSec entre un dispositivo NetScreen y un dispositivo o enrutador de otro fabricante, dLos dispositivos NetScreen tienen limitaciones específicas de cada plataforma en cuansalientes a través de las cuales se pueden transmitir paquetes multicast. En grandes e(“hub-and-spoke”), en los que el dispositivo NetScreen es el eje, se puede evitar esta lGRE entre el enrutador de sentido ascendente del dispositivo NetScreen situado en elNetScreen situados en los radios. En la ilustración siguiente, Enrutador-A se encuentra en sentido ascendente con respeEnrutador-A tiene túneles GRE que terminan en NetScreen-1 y NetScreen-2. NetScreeNetScreen-1 y a NetScreen-2 a través de túneles VPN. Antes de transmitir paquetes mlos encapsula en paquetes unicast IPv4. NetScreen-A recibe estos paquetes como paNetScreen-1 y a NetScreen-2.

Origen

Internet

Enrutador-A

NetScreen-2NetScreen-1

NetScreen-A

Receptores

Túneles GRE

Túneles VPN con GRE


207

s siguientes:

t-vr.

een. (Para obtener información

ga clic en Apply :

aga clic en Apply:

3.3.3.1


Ejemplo: Configuración de interfaces de túnel GREEn este ejemplo, configurará la interfaz de túnel en NetScreen-1. Ejecutará los paso

1. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trus

2. Habilitar el encapsulado de GRE en tunnel.1.

3. Especificar los puntos terminales local y remoto del túnel GRE.

Este ejemplo muestra la configuración de GRE solamente para el dispositivo NetScrsobre VPNs, consulte el Volumen 5, “VPNs”).

WebUI

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)

Unnumbered: (seleccione)

Interface: ethernet3 (trust-vr)

Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y h

Encap: GRE (seleccione)

Local Interface: ethernet3

Destination IP: 3.3.3.1

CLI

set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set interface tunnel.1 tunnel encap greset interface tunnel.1 tunnel local-if ethernet3 dst-ip save

Capítulo 6 Enrutamiento multicast Directivas multicast

208

control multicast, como trol multicast entre zonas, debe

ue el dispositivo NetScreen

e los hosts puedan unirse

cualquier grupo multicast

s IGMP o mensajes PIM. (Para btener información sobre PIM,

irección del grupo multicast de dirección de grupo, debe

ulticast traducida en la

s sentidos del tráfico.

icast. Para permitir el tráfico de tafuegos. (Para obtener más


DIRECTIVAS MULTICASTDe forma predeterminada, los dispositivos NetScreen no permiten que el tráfico de mensajes IGMP o PIM, pase por dispositivos NetScreen. Para permitir tráfico de conconfigurar una directiva multicast que especifique lo siguiente:

• Origen: La zona desde la que se inicia el tráfico

• Destino: La zona a la que se envía el tráfico

• Grupo multicast: El grupo multicast cuyo tráfico de control multicast desea qpermita. Puede especificar uno de los siguientes:

– La dirección IP del grupo multicast

– Una lista de accesos que defina al grupo (o grupos) multicast a los qu

– La palabra clave any , para permitir el tráfico de control multicast para

• Tráfico de control multicast: El tipo de mensaje de control multicast: mensajeobtener información sobre IGMP, consulte “IGMP” en la página 211). Para oconsulte “PIM” en la página 253).

Además, puede especificar lo siguiente:

• Dirección multicast traducida: El dispositivo NetScreen puede traducir una duna zona interna a otra dirección en la interfaz de salida. Para traducir una especificar tanto la dirección multicast original como la dirección del grupo mdirectiva multicast.

• Bidireccional: Puede crear una directiva bidireccional para aplicarla a ambo

Nota: Las directivas multicast solamente controlan el flujo del tráfico de control multdatos (tanto unicast como multicast) entre zonas, debe configurar directivas de corinformación sobre directivas, consulte el Volumen 2, “Fundamentos”).


209

en secuencia. De este modo, la . En lugar de ello, el dispositivo ual que hacen otros protocolos úsqueda, utilizará esa directiva.

es IGMP, consulte “Ejemplo: configuración de una directiva PIM-SM” en la página 270.


A diferencia de las directivas de cortafuegos, las directivas multicast no se ordenan directiva multicast más reciente no sobrescribe ninguna anterior en caso de conflictoNetScreen selecciona la coincidencia más larga para resolver cualquier conflicto, igde enrutamiento. Si encuentra una subred más pequeña que cumpla el criterio de b

Nota: Para ver un ejemplo de configuración de una directiva multicast para mensajDirectiva de grupo multicast para IGMP” en la página 232. Para ver un ejemplo de multicast para mensajes PIM, consulte “Ejemplo: Directiva de grupo multicast para


210

7

211

Capítulo 7

IGMP) en dispositivos


IGMP

Este capítulo describe el protocolo multicast Internet Group Management Protocol (NetScreen. Contiene las siguientes secciones:

• “Introducción a IGMP” en la página 212

– “Hosts” en la página 214

– “Enrutadores multicast” en la página 215

• “IGMP en dispositivos NetScreen” en la página 216

– “IGMP en interfaces” en la página 216

– “Aspectos relativos a la seguridad” en la página 217

– “Configuración básica de IGMP” en la página 219

– “Verificación de la configuración de IGMP” en la página 222

– “Parámetros operativos de IGMP” en la página 224

• “Proxy de IGMP” en la página 226

– “Configuración del proxy de IGMP” en la página 229

– “Proxy de IGMP en interfaces” en la página 229

– “Creación de u na directiva multicast” en la página 232

– “Proxy del remitente de IGMP” en la página 245

Capítulo 7 IGMP Introducción a IGMP

212

osts y enrutadores para tScreen admiten las siguientes

ulticasting , define las

ent Protocol, Version 2 , amplía

nt Protocol, Version 3 , permite os multicast desean unirse y ando “Protocol Independent

ara obtener información sobre

u pertenencia a grupos ción de miembros IGMP, crean ts a través de la red.


INTRODUCCIÓN A IGMPEl protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre hestablecer y mantener miembros de grupos multicast en una red. Los dispositivos Neversiones de IGMP:

• IGMPv1, según lo definido en la norma RFC 1112, Host Extensions for IP Moperaciones básicas para miembros de grupos multicast.

• IGMPv2, según lo definido en la norma RFC 2236, Internet Group Managemla funcionalidad de IGMPv1.

• IGMPv3, según se define en la norma RFC 3376, Internet Group Managemela filtración de orígenes. Los hosts que ejecutan IGMPv3 indican a qué grupdesde qué orígenes esperan recibir tráfico multicast. IGMPv3 se requiere cuMulticast” se ejecuta en el modo “Source-Specific Multicast” (PIM-SSM). (PPIM-SSM, consulte “PIM-SSM” en la página 312).

IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener smulticast. Los protocolos de enrutamiento multicast, como PIM, procesan la informaentradas en la tabla de enrutamiento multicast y reenvían tráfico multicast a los hos


213

enrutadores intercambian para osts y los enrutadores que rsiones de IGMP anteriores.

ilizan r os del

, tales an la y sts de


Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts ymantener actualizada la información de miembro de grupos a través de la red. Los hejecutan versiones más recientes de IGMP pueden convivir con los que ejecuten ve

Origen

Internet

Hosts y enrutadores utIGMP para intercambiainformación de miembrgrupo multicast.

Los protocolos de enrutamiento multicastcomo PIM-SM, alimenttabla de rutas multicastreenvían datos a los hotoda la red.


214

o miembros en esos grupos. o estos mensajes IGMP en sus

DestinoDirección IP del grupo multicast al que el host desea unirse

224.0.0.22

“all routers group” (224.0.0.2)


HostsLos hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse comLos enrutadores aprenden qué hosts son miembros de grupos multicast escuchandredes locales. La tabla siguiente describe los mensajes IGMP que envían los hosts.

Versión de IGMP Mensaje de IGMPIGMPv1 y v2 Un host envía un informe de miembro la primera vez que se une a

un grupo multicast y periódicamente, una vez que ya es miembro del grupo. El informe de miembros indica a qué grupo multicast desea unirse el host.

IGMPv3 Un host envía un informe de miembro la primera vez que se une a un grupo multicast y periódicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la dirección multicast del grupo, el modo de filtración, que es “include” o “exclude”, y una lista de orígenes. Si el modo de filtración es include, los paquetes procedentes de las direcciones en la lista de origen se aceptan. Si el modo de filtración es exclude, los paquetes procedentes de orígenes distintos de los de la lista son aceptados.

IGMPv2 Un host envía un mensaje “Leave Group” cuando desea dejar el grupo multicast y dejar de recibir datos para ese grupo.


215

en su red local. Cada red y un consultador por cada red. ación de miembros de grupo. la información de estos ores IGMPv3 mantienen una lude) y la lista de orígenes.

onsultador es la interfaz de enrutador

Destino grupo de todos los hosts (224.0.0.1)

El grupo multicast del que el host desea salir.

El grupo multicast que el host desea salir.


Enrutadores multicastLos enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembrosselecciona un enrutador designado, denominado el consultador1. Generalmente, haEl consultador envía mensajes IGMP a todos los hosts de la red para solicitar informCuando los hosts responden con sus informes de miembros, los enrutadores tomanmensajes y actualizan su lista de miembros de grupos en cada interfaz. Los enrutadlista que incluye la dirección del grupo multicast, el modo de filtración (include o exc

La tabla siguiente describe los mensajes que un consultador envía.

1. Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el ccon la dirección IP más baja de la red.

Versión de IGMP Mensaje de IGMPIGMPv1, v2 y v3 El consultador envía periódicamente consultas generales para

solicitar la información de miembros de grupos.

IGMPv2 y v3 El consultador envía una consulta específica de grupo cuando recibe un mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese grupo en su red local y deja de reenviar tráfico multicast a ese grupo.

IGMPv3 El consultador envía una consulta group-and-source para verificar si hay algún receptor para ese grupo y origen concretos.

Capítulo 7 IGMP IGMP en dispositivos NetScreen

216

rotocolo de enrutamiento colo de enrutamiento multicast.

ilitar IGMP en el modo tador, el dispositivo NetScreen y ejecutar IGMPv1, IGMPv2 y

tá conectada con un host.



IGMP EN DISPOSITIVOS NETSCREENEn algunos enrutadores, IGMP se habilita automáticamente cuando se habilita un pmulticast. En dispositivos NetScreen, debe habilitar explícitamente IGMP y un proto

IGMP en interfacesDe forma predeterminada, IGMP está inhabilitado en todas las interfaces. Debe habenrutador en todas las interfaces que estén conectadas a hosts. En el modo de enruejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminadov3, o solamente IGMPv3.

Ejemplo: Habilitar IGMP en una interfazEn este ejemplo, habilitará IGMP en modo enrutador en la interfaz ethernet1 que es

WebUI

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguien

IGMP Mode: Router (seleccione)

Protocol IGMP: Enable (seleccione)

CLI

set interface ethernet1 protocol igmp routerset interface ethernet1 protocol igmp enablesave


217

mantiene la configuración de

MP Enable y haga clic en

protocol igmp router .

. Los usuarios malévolos ispositivos NetScreen, puede también puede especificar los s de accesos y aplicándolas a

irección IP y un estado de n estado de reenvío “permit” y

IGMP

ir mensajes IGMP


Ejemplo: Inhabilitación de IGMP en una interfazEn este ejemplo, inhabilitará IGMP en la interfaz ethernet1. El dispositivo NetScreenIGMP, pero la inhabilita.

WebUI

Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol IG Apply .

CLI

unset interface ethernet1 protocol igmp enablesave

Para borrar la configuración de IGMP ejecute el comando unset interface interface

Aspectos relativos a la seguridadHay algunos aspectos de seguridad que se deben tener en cuenta al ejecutar IGMPpueden ejecutar consultas IGMP, informes de miembros y dejar mensajes. En los drestringir el tráfico multicast sólo a los hosts y grupos multicast conocidos. Además,consultadores permitidos en su red. Estas restricciones se establecen creando listauna interfaz.

Una lista de accesos es una lista secuencial de instrucciones que especifican una dreenvío (permitir o denegar). En IGMP, las listas de accesos siempre deben tener udeben especificar uno de los siguientes:

• Grupos multicast a los que los hosts pueden unirse

• Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes

• Consultadores desde los que la interfaz del enrutador de IGMP puede recib


218

na lista de accesos a una or lo tanto, para denegar tráfico clúyalo de la lista de accesos. so” en la página 58).

adoscifica lo siguiente:

grupo multicast especificado en


tes datos y haga clic en OK :

2 1


Después de crear una lista de accesos, aplíquela a una interfaz. Una vez aplicada uinterfaz, ésta acepta tráfico solamente de los indicados en en su lista de accesos. Pprocedente de un determinado grupo, host o consultador multicast, simplemente ex(Para obtener información adicional sobre listas de acceso, consulte “Listas de acce

Ejemplo: Configurar una lista de accesos para grupos aceptEn este ejemplo, se crea una lista de acceso en el trust-vr. La lista de accesos espe

• La identificación de la lista de accesos es 1

• Permitir el tráfico a un grupo multicast 224.4.4.1/32

• El número secuencial de esta instrucción es 1

Después de crear la lista de accesos, permita que los hosts en ethernet1 se unan al la lista de accesos.

WebUI

Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Inhaga clic en OK :

Access List ID: 1

Sequence No.: 1

IP/Netmask: 224.4.4.1/32



Accept Group’s Access List ID: 1

CLI

set vrouter trust-vr access-list 1 permit ip 224.4.4.1/3set interface ethernet1 protocol igmp accept groups 1save


219

nrutador en las interfaces que , utilice las listas de accesos s.

S1 son receptores potenciales y ethernet2 están conectadas

.1. Realice los pasos siguientes

a el grupo multicast

na Trust


Configuración básica de IGMPPara ejecutar IGMP en un dispositivo NetScreen, simplemente habilítelo en modo eestán conectadas directamente con los hosts. Para garantizar la seguridad de la redpara limitar el tráfico multicast sólo a grupos, hosts y enrutadores multicast conocido

Ejemplo: Configuración básica de IGMPEn este ejemplo, los hosts de la zona Trust protegida por el dispositivo NetScreen Ndel flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1con los hosts. El origen multicast está transmitiendo datos al grupo multicast 224.4.4para configurar IGMP en las interfaces que están conectadas con los hosts:

1. Asigne direcciones IP a las interfaces y asócielas a zonas.

2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.

3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2.

4. Restrinja las interfaces (ethernet1 y ethernet2) a recibir mensajes IGMP par224.4.4.1/32.

ethernet 210.1.2.1/24

ethernet110.1.1.1/24

ZoZona Untrust

Enrutador designado de

origenethernet31.1.1.1/24

NS1Origen


220

s y haga clic en OK :






WebUI

1. Zonas e interfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust


Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato

Zone Name: Trust



Zone Name: Untrust


2. Lista de accesosNetwork > Routing > Virtual Routers > Access List: > New (para trust-vr): Inhaga clic en OK :

Access List ID: 1

Sequence No.: 1

IP/Netmask: 224.4.4.1/32

Action: Permit

3. IGMPNetwork > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguien





221


de enrutamiento multicast, sulte “PIM” en la página 253).






CLI

1. Zonas e interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24

set interface ethernet2 zone trustset interface ethernet2 ip 10.2.1.1/24

2. Lista de accesosset vrouter trust access-list 1 permit ip 224.4.4.1/32 1

3. IGMPset interface ethernet1 protocol igmp routerset interface ethernet1 protocol igmp accept groups 1set interface ethernet1 protocol igmp enable

set interface ethernet2 protocol igmp routerset interface ethernet2 protocol igmp accept groups 1set interface ethernet2 protocol igmp enablesave

Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolocomo PIM, para reenviar tráfico multicast. (Para obtener información sobre PIM, con


222

amente, existe una serie de

articular, utilice el comando ta general desde ethernet2,

ticast 224.4.4.1, introduzca:

comando exec igmp interface thernet2 introduzca:


Verificación de la configuración de IGMPPara verificar la conectividad y asegurarse de que IGMP se esté ejecutando correctcomandos exec y get .

• Para enviar consultas generales o específicas de grupos a una interfaz en p exec igmp interface interface query . Por ejemplo, para enviar una consulintroduzca:

exec igmp interface ethernet2 query

Para enviar una consulta específica de grupo desde ethernet2 al grupo mul

exec igmp interface ethernet2 query 224.4.4.1

• Para enviar un informe de miembros de una interfaz en particular, utilice el interface report . Por ejemplo, para enviar un informe de miembros desde e

exec igmp interface ethernet2 report 224.4.4.1


223

e:

:

Version y modo de IGMP

stado del consultador

Parámetros operativos

r.


Puede revisar los parámetros IGMP de una interfaz ejecutando el comando siguient

Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI

ns-> get igmp grouptotal groups matched: 1multicast group interface last reporter expire ver*224.4.4.1 trust 0.0.0.0 ------ v2

E

ns-> get igmp interface

Interface trust support IGMP version 2 router. It is enabled.IGMP proxy is disabled.Querier IP is 10.1.1.90, it has up 23 seconds. I am the querieThere are 0 multicast groups active. Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 seconds query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds


224

sultador. Como consultador, la ajuste los parámetros en este scribe los parámetros de la

a paquetes IGMP con la opción MPv1 no tienen esta opción y, IGMPv1 de forma

r si los paquetes IGMP ompatible con versiones et1 acepte todos los paquetes


eleccione)


).125 segundos

ta 10 segundos

1 segundo


Parámetros operativos de IGMPAl habilitar IGMP en modo de enrutador en una interfaz, la interfaz se inicia como coninterfaz utiliza ciertos ajustes predeterminados que usted puede modificar. Cuando nivel, únicamente afectará a la interfaz que usted especifique. La siguiente tabla deinterfaz consultadora IGMP y sus valores predeterminados:

De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente aceptrouter-alert IP, y descarta los paquetes que no tienen esta opción. Los paquetes IGpor lo tanto, un dispositivo NetScreen que ejecuta IGMPv2/v3 descarta los paquetespredeterminada. Puede configurar el dispositivo NetScreen para dejar de comprobacontienen la opción router-alert IP y aceptar todos los paquetes IGMP, haciéndolo canteriores de enrutadores IGMPv1. Por ejemplo, para permitir que la interfaz ethernIGMP:

WebUI

Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los siguien

Packet Without Router Alert Option: Permit (s

Parámetros de la interfaz IGMP

Descripción

General query interval El intervalo en el cual la interfaz consultadora envía consultas generales al grupo de todos los hosts (224.0.0.1

Maximum response time El tiempo máximo entre una consulta general y la respuesprocedente del host.

Last Member Query Interval

El intervalo en el que la interfaz envía una consulta específica de grupo. Si no recibe ninguna respuesta después de la segunda consulta específica de grupo, asume que no hay más miembros en ese grupo en su redlocal.


225

ert


CLI

set interface ethernet1 protocol igmp no-check-router-alsave

Capítulo 7 IGMP Proxy de IGMP

226

reenvían mensajes IGMP más envíen mensajes IGMP un

ite a las interfaces reenviar un protocolo de enrutamiento

los hosts funcionan como o hosts.Típicamente, las ensajes de IGMP pasen entre

tráfico de datos multicast pase

terfaz en el sistema virtual raíz ast para permitir tráfico de erca de los sistemas virtuales,

s en la tabla de rutas multicast distribución multicast desde los de hosts y enrutadores IGMP n, y cómo reenvian datos

el origen se une a un grupo multicast, ecibe el informe de miembros tinuación, el dispositivo

el informe de miembros.

comprueba si hay una directiva la interfaz del enrutador.


PROXY DE IGMPLos enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; noallá de su red local. Puede permitir que las interfaces de un dispositivo NetScreen resalto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP permmensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con multicast.

Al ejecutar IGMP proxy en un dispositivo NetScreen, las interfaces conectadas con enrutadores y las conectadas con enrutadores de niveles superiores funcionan cominterfaces de hosts y enrutadores están en zonas diferentes. Para permitir que los mzonas, debe configurar una directiva multicast. A continuación, para permitir que el entre zonas, también debe configurar una directiva del cortafuegos.

En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una in(vsys) y la otra interfaz en vsys separados. A continuación, cree una directiva multiccontrol multicast entre los dos sistemas virtuales. (Para obtener más información acconsulte el Volumen 5, “VPNs”).

A medida que las interfaces reenvían información de miembros IGMP, crean entradadel enrutador virtual al que están asociadas las interfaces, construyendo un árbol de receptores hasta el origen. Las siguientes secciones describen cómo las interfaces reenvían la información de miembros de IGMP en sentido ascendente hacia el origemulticast en sentido descendente desde el origen hasta el receptor.

Envío de informes de miembros en sentido ascendente haciaCuando un host conectado a una interfaz de enrutador en un dispositivo NetScreenenvía un informe de miembros al grupo multicast. Cuando la interfaz del enrutador rdel host recién unido, comprueba si tiene una entrada para el grupo multicast. A conNetScreen lleva a cabo una de las acciones siguientes:

• Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora

• Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, multicast para el grupo que especifique a qué zonas debe enviar el informe


227

tador no reenvía el informe.

r crea una entrada para el proxy en la zona especificada

ne una entrada (*, G) para ese

z del enrutador a la lista de las

entrada es la interfaz del host terfaz del host proxy reenvía el

toresn grupo multicast, comprueba

ndose en la información de la

ntrada (S, G) en la tabla de

nsecuencia.

entrada (*, G) para el grupo.

el paquete.

a (S, G). Cuando la interfaz el tráfico a la interfaz del u host conectado.


– Si no hay ninguna directiva multicast para el grupo, la interfaz del enru

– Si hay alguna directiva multicast para el grupo, la interfaz del enrutadogrupo multicast y reenvía el informe de miembros a la interfaz del hosten la directiva multicast.

Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiegrupo multicast.

• Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfainterfaces de salida para esa entrada.

• Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz deproxy y la interfaz de salida es la interfaz del enrutador. A continuación, la ininforme a su enrutador en sentido ascendente.

Envío de datos multicast en sentido descendente a los recepCuando la interfaz del host en el dispositivo NetScreen recibe datos multicast para usi hay una sesión existente para ese grupo.

• Si hay una sesión para el grupo, la interfaz reenvía los datos multicast basásesión.

• Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una erutas multicast.

– Si hay una entrada (S, G), la interfaz reenvía los datos multicast en co

– Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna

– Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta

– Si hay una entrada (*, G) para el grupo, la interfaz crea una entradrecibe posteriormente paquetes multicast para ese grupo, reenvía enrutador (la interfaz de salida) que, a su vez, reenvía el tráfico a s


228

El origen envía datos multicast en sentido descendente hacia el receptor.

La interfaz del host proxy de IGMP comprueba si existe alguna sesión para el grupo:• En caso afirmativo, reenvía los

datos multicast.• En caso negativo, comprueba si

hay alguna entrada (S, G) para el grupo:• En caso afirmativo, reenvía los

datos multicast.• En caso negativo, comprueba

si hay alguna entrada (*, G):• En caso negativo, descarta

los datos.• En caso afirmativo, crea una

entrada (S, G) y reenvía datos utilizando la interfaz de entrada y de salida desde la entrada (*, G).

La interfaz del enrutador proxy de IGMP reenvía datos a los receptores.


Origen

Internet

2. La interfaz del enrutador proxy de IGMP comprueba si hay alguna entrada para el grupo multicast:• En caso afirmativo, ignora el informe de

miembros.• En caso negativo y si no hay ninguna

directiva multicast para el grupo, descarta el informe de miembros.• En caso negativo, pero si existe

alguna directiva multicast para el grupo, crea una entrada (*, G) en la tabla de rutas multicast, con el host como iif y el enrutador como oif. Reenvía el informe en sentido ascendente hacia la interfaz del host en la zona especificada en la directiva multicast.

3. La interfaz del host proxy de IGMP comprueba si tiene una entrada (*, G) para el grupo multicast:• En caso afirmativo, agrega la interfaz

del enrutador a las interfaces salientes en una entrada multicast de la tabla de rutas.

• En caso negativo, crea la entrada y reenvía el informe de miembros al enrutador en sentido ascendente.

1. Los hosts envían informes de miembros en sentido ascendente.

4.

5.

Zona Trust

Zona Untrust

6.

Interfaz del enrutador proxy

de IGMP

Interfaz del host proxy de IGMP

Receptores

Enrutador designado de origen


229

roxy en un dispositivo

a predeterminada, el proxy de

cast pase de una zona a otra.

nte se configura en modo az puede estar en modo host o r reenvíe tráfico multicast, debe nvíe tráfico multicast, debe

propia subred. Ignora los Screen para que acepte


Configuración del proxy de IGMP En esta sección se describen los pasos básicos necesarios para configurar IGMP pNetScreen:

1. Habilitar IGMP en el modo host en interfaces en sentido ascendente. De formIGMP está habilitado en las interfaces de hosts.

2. Habilitar IGMP en el modo enrutador en interfaces en sentido descendente.

3. Habilitar IGMP proxy en interfaces de enrutador.

4. Configurar una directiva multicast que permita que el tráfico de control multi

5. Configurar una directiva para entregar tráfico de datos entre zonas.

Proxy de IGMP en interfacesAl ejecutar IGMP proxy en un dispositivo NetScreen, la interfaz en sentido descendeenrutador y la interfaz en sentido ascendente en modo host. (Observe que una interfen modo enrutador, pero no en ambos). Además, para que una interfaz de enrutadoser el consultador en la red local. Para permitir que una interfaz no consultadora reeespecificar la palabra clave always al habilitar IGMP en la interfaz.

De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de sumensajes IGMP procedentes de orígenes externos. Debe habilitar el dispositivo Netmensajes IGMP procedentes de otras subredes al ejecutar IGMP proxy.


230

ada al enrutador en sentido

la subred

s. Configure lo siguiente en

edes


s y haga clic en Apply :


ione)


Ejemplo: Proxy de IGMP en interfacesEn este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está conectascendente. Configure lo siguiente en ethernet1:

• Habilitar IGMP en el modo host

• Permitir que acepte mensajes IGMP desde todos los orígenes, sin importar

La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada con los hostethernet3:

• Habilitar IGMP en el modo enrutador

• Permitir que reenvie tráfico multicast aunque no sea un consultador

• Permitir que acepte mensajes IGMP procedentes de orígenes de otras subr

WebUI


Zone Name: Trust



Zone Name: Trust



IGMP Mode: Host (seleccione)


Packet From Different Subnet: Permit (selecc


231


ione)






Proxy: (seleccione)

Always (seleccione)

CLI

1. Zonas e interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.2.1/24set interface ethernet3 zone trustset interface ethernet1 ip 10.1.1.1/24

2. IGMPset interface ethernet1 protocol igmp hostset interface ethernet1 protocol igmp enableset interface ethernet1 protocol igmp no-check-subnetset interface ethernet3 protocol igmp routerset interface ethernet3 protocol igmp proxyset interface ethernet3 protocol igmp proxy alwaysset interface ethernet3 protocol igmp enableset interface ethernet3 protocol igmp no-check-subnetsave


232

osts conectados. Con IGMP t o a un enrutador en otra zona. ulticast que lo permita

pecifique grupos multicast, o

a ambos sentidos del tráfico.

del host en la zona Untrust. lticast 224.2.202.99/32 puedan itir el tráfico en ambos sentidos.


9/32 to untrust


Creación de u na directiva multicastNormalmente, un dispositivo NetScreen intercambia mensajes IGMP sólo con sus hProxy, los dispositivos NetScreen pueden necesitar enviar mensajes IGMP a un hosPara permitir el envío interzonal de mensajes IGMP, debe configurar una directiva mespecíficamente. Al crear una directiva multicast, debe especificar lo siguiente:

• Origen: La zona desde la que se inicia el tráfico

• Destino: La zona a la que se envía el tráfico

• Grupo multicast: Puede ser un grupo multicast, una lista de accesos que es“any”

Además, puede especificar que la directiva sea bidireccional para aplicar la directiva

Ejemplo: Directiva de grupo multicast para IGMPEn este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfazDefina una directiva multicast que permita que los mensajes IGMP para el grupo mupasar entre las zonas Trust y Untrust. Utiliza la palabra clave bidirectional para perm

WebUI

MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes d

MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32

Bidirectional: (seleccione)

IGMP Message: (seleccione)

CLI

set multicast-group-policy from trust mgroup 224.2.202.9igmp-message bi-directional

save


233

Están interconectados a través bos lugares:

ridad.

xy en la interfaz del enrutador. host).

ir que reenvíe tráfico multicast

MP de su propia subred. En el , permita que las interfaces

s “leave”) procedentes de

. En este ejemplo, restringirá el


Ejemplo: Configuración básica de Proxy de IGMPEn este ejemplo, configurará IGMP proxy en los dispositivos NetScreen NS1 y NS2.de un túnel VPN. Realice los pasos siguientes en los dispositivos NetScreen de am

1. Asigne direcciones IP a las interfaces físicas asociadas a las zonas de segu

2. Cree los objetos de direcciones.

3. Habilite IGMP en las interfaces del host y del enrutador, y habilite IGMP pro(De forma predeterminada, IGMP proxy está habilitado en las interfaces de

– Especifique la palabra clave always en ethernet1 de NS1 para permitincluso aunque no sea un consultador.

– De forma predeterminada, una interfaz IGMP sólo acepta paquetes IGejemplo, las interfaces están en subredes diferentes. Al habilitar IGMPacepten paquetes IGMP (consultas, informes de miembros y mensajecualquier subred.

4. Configure las rutas.

5. Configure el túnel VPN.

6. Configure una directiva para transmitir tráfico de datos entre zonas.

7. Configure una directiva multicast para entregar mensajes IGMP entre zonastráfico multicast a un grupo multicast (224.4.4.1/32).


234


e)

OK :

únel ethernet1 10.3.1.1/24

Receptores

Zona Trust


WebUI (NS1)

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust

Static IP: (seleccione esta opción si es posibl


Seleccione los siguientes datos y haga clic en

Interface Mode: NAT

Zona Untrust

Origen

Enrutador designado

ethernet1 10.2.2.1/24

ethernet3 2.2.2.2/24

Interfaz de túnel tunnel.1

Interfaz de ttunnel.1

Internet


Túnel VPN

NS1

NS2

Zona Trust

Zona Untrust


235


ga clic en OK :

ga clic en OK :


ione)



Zone Name: Untrust







2. DireccionesObjects > Addresses > List > New: Introduzca la siguiente información y ha

Address Name: branch

IP Address/Domain Name:


Zone: Untrust






236

s datos y haga clic en Apply:

ione)

y haga clic en OK:

s y haga clic en OK.

ostname: 3.1.1.1

s avanzados y haga clic en uración básica de Gateway:

le Security Level):

tion)


Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguiente




Proxy (seleccione): Always (seleccione)

4. RutasNetwork > Routing > Routing Entries > New: Introduzca los siguientes datos

Network Address / Netmask: 10.3.1.0/24

Gateway (seleccione):

Interface: tunnel.1 (seleccione)

5. VPNVPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes dato

Gateway Name: To_Branch

Security Level: Compatible

Remote Gateway Type:

Static IP Address: (seleccione), IP Address/H

Preshared Key: fg2g4h5j

Outgoing Interface: ethernet3

>> Advanced: Introduzca los siguientes ajusteReturn para regresar a la página de config


Phase 1 Proposal (for Compatibpre-g2-3des-sha

Mode (Initiator): Main (ID Protec


237

y haga clic en OK :

ccione)


4.4.4.1/32


6. DirectivaPolicies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos

Source Address:

Address Book Entry: (seleccione), branch

Destination Address:

Address Book Entry: (seleccione), any (sele

Service: any

Action: Permit

7. Directiva multicastMCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguiente

Mgroup Address: IP/Netmask (seleccione): 22




238



ga clic en Apply :

ga clic en OK :


WebUI (NS2)


Zone Name: Trust



Zone Name: Untrust








Address Name: mgroup1



Zone: Trust


239

ga clic en OK :



ione)



Objects > Addresses > List > New: Introduzca la siguiente información y ha

Address Name: source-dr



Zone: Untrust





Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguiente




4. RutasNetwork > Routing > Routing Entries > New (trust-vr): Introduzca los siguien

Network Address / Netmask: 10.2.2.0/24

Gateway (seleccione):

Interface: tunnel.1 (seleccione)


240


ostname: 1.1.1.1

avanzados y haga clic en uración básica de Gateway:

le Security Level):

tion)

y haga clic en OK :

r



Gateway Name: To_Corp




Preshared Key: fg2g4hvj


> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config





Source Address:

Address Book Entry: (seleccione), source-d


Address Book Entry: (seleccione), mgroup1

Service: ANY

Action: Permit


241

s datos y haga clic en OK:

4.4.4.1/32


7. Directiva multicastMCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguiente




CLI (NS1)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24


set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3

2. Direccionesset address untrust branch1 10.3.1.0/24

3. IGMPset interface ethernet1 protocol igmp hostset interface ethernet1 protocol igmp enableset interface ethernet1 protocol igmp no-check-subnetset interface tunnel.1 protocol igmp routerset interface tunnel.1 protocol igmp proxyset interface tunnel.1 protocol igmp proxy alwaysset interface tunnel.1 protocol igmp enableset interface tunnel.1 protocol igmp no-check-subnet


242

interface ethernet3

le

-ip 10.3.1.0/24 any

any any permit

2 to untrust


4. Rutasset route 10.3.1.0/24 interface tunnel.1

5. Túnel VPNset ike gateway To_Branch address 3.1.1.1 main outgoing-

preshare fg2g4h5j proposal pre-g2-3des-shaset vpn Corp_Branch gateway To_Branch sec-level compatibset vpn Corp_Branch bind interface tunnel.1set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote

6. Directivasset policy name To_Branch from untrust to trust branch1

7. Directivas multicastset multicast-group-policy from trust mgroup 224.4.4.1/3

igmp-message bi-directionalsave


243
CLI (NS2)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.3.1.1/24



2. Direccionesset address trust mgroup1 224.4.4.1/32set address untrust source-dr 10.2.2.1/24

3. IGMPset interface ethernet1 protocol igmp routerset interface ethernet1 protocol igmp proxy set interface ethernet1 protocol igmp proxy alwaysset interface ethernet1 protocol igmp enableset interface tunnel.1 protocol igmp hostset interface tunnel.1 protocol igmp enableset interface tunnel.1 protocol igmp no-check-subnet

4. Rutasset route 10.2.2.0/24 interface tunnel.1


244

terface ethernet3

-ip 10.2.2.0/24 any

ermit

/32 to trust


5. Túnel VPNset ike gateway To_Corp address 2.2.2.2 main outgoing-in

preshare fg2g4hvj proposal pre-g2-3des-shaset vpn Branch_Corp gateway To_Corp sec-level compatibleset vpn Branch_Corp bind interface tunnel.1set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote

6. Directivaset policy from untrust to trust source-dr mgroup1 any p

7. Directiva multicastset multicast-group-policy from untrust mgroup 224.4.4.1



245

e la interfaz del host a la ma red que la interfaz del a red a la que la interfaz del a si hay lo siguiente:

gen a la zona de la interfaz del

IGMP proxy o si el origen no se áfico. Si existe una directiva rece en la lista de orígenes s multicast; la interfaz entrante l host IGMP proxy. A terfaz del host IGMP proxy, que el origen.

eceptores

ota: Las zonas de seguridad no se uestran en esta ilustración.


Proxy del remitente de IGMPEn IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente desdinterfaz del enrutador. En determinadas situaciones, el origen puede estar en la misenrutador. Cuando un origen se conecta a una interfaz que se encuentra en la mismproxy del enrutador IGMP envía tráfico multicast, el dispositivo NetScreen comprueb

• Una directiva del grupo multicast que permita el tráfico desde la zona de orihost IGMP proxy

• Una lista de accesos de los orígenes aceptables

Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz encuentra en la lista de orígenes aceptables, el dispositivo NetScreen descarta el trmulticast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen apaaceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la tabla de rutaes la interfaz a la que el origen está conectado y la interfaz saliente es la interfaz decontinuación, el dispositivo NetScreen envía los datos en sentido ascendente a la inenvía los datos a todas sus interfaces conectadas, salvo a la interfaz conectada con

Internet

Origen

R

ethernet1

ethernet3La interfaz del IGMP proxy envía tráfico multicast a todas las interfaces de enrutador proxy.

ethernet2

tráfico multicast

Receptores

Tabla de rutas multicastiif = ethernet2oif = ethernet3 N

m


246

a DMZ en NS2. Está enviando rfaz ethernet1 asociada a la

MP proxy. La interfaz ethernet3 hay receptores conectados con en NS2:

ridad.

envíen tráfico multicast aunque

Origen3.2.2.5

Receptores

ethernet2, 3.2.2.1/24Zona DMZ

Proxy del enrutador IGMP

ethernet1, 10.2.2.1Zona Trust

roxy del enrutador IGMP


Ejemplo: Proxy del remitente de IGMPEn este ejemplo, el origen está conectado a la interfaz ethernet2, asociada a la zontráfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la intezona Trust en NS2. Tanto ethernet 1 como ethernet2 son interfaces de enrutador IGasociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. También la interfaz ethernet1 asociada a la zona Trust en NS1. Realice los pasos siguientes

1. Asigne direcciones IP a las interfaces físicas asociadas a las zonas de segu2. Cree los objetos de direcciones.3. En ethernet1 y ethernet2:

– Habilite IGMP en el modo enrutador y habilite IGMP proxy.– Especifique la palabra clave always para permitir que las interfaces re

no sean consultadores.4. Habilite IGMP en modo host en ethernet3.5. Configure la ruta predeterminada.6. Configure las directivas de cortafuegos entre las zonas.7. Configure las directivas multicast entre las zonas.

Nota: Este ejemplo sólo contiene la configuración de NS2, no la de NS1.

Receptores

Internet

NS1 NS2

ethernet110.1.1.1/24Zona Trust

ethernet31.1.1.1/24

Zona Untrust P

ethernet32.2.2.2/24

Zona UntrustProxy de host IGMP

Nota: Las zonas de seguridad no se muestran en esta ilustración.


247


e)

OK :


e)


e)

ga clic en OK :


WebUI (NS2)


Zone Name: Trust




Interface Mode: NAT


Zone Name: DMZ




Zone Name: Untrust







Zone: Trust


248

ga clic en OK :

ga clic en OK :




ione)






Zone: DMZ


Address Name: proxy-host



Zone: Untrust














249


haga clic en OK :

y haga clic en OK :

r


4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient





5. DirectivaPolicies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: source-dr



Service: ANY

Action: Permit

Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos

Source Address:




Service: ANY

Action: Permit


250

y haga clic en OK :

st

datos y haga clic en OK :

4.4.4.1/32


4.4.4.1/32


4.4.4.1/32


Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos

Source Address:

Address Book Entry: (seleccione), proxy-ho



Service: ANY

Action: Permit

6. Directiva multicastMCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes




MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes d




MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguiente





251
CLI (NS2)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat

set interface ethernet2 zone dmzset interface ethernet2 ip 3.2.2.1/24


2. Direccionesset address trust mgroup1 224.4.4.1/32set address dmz source-dr 3.2.2.5/32set address untrust proxy-host 2.2.2.2/32

3. IGMPset interface ethernet1 protocol igmp routerset interface ethernet1 protocol igmp proxy alwaysset interface ethernet1 protocol igmp enable

set interface ethernet2 protocol igmp routerset interface ethernet2 protocol igmp proxy alwaysset interface ethernet2 protocol igmp enable

set interface ethernet3 protocol igmp hostset interface ethernet3 protocol igmp no-check-subnetset interface ethernet3 protocol igmp enable


252

gateway 2.2.2.250

tmitpermit

o untrust igmp-message

to trust igmp-message

2 to untrust


4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. Directivasset policy from dmz to trust source-dr mgroup1 any permiset policy from dmz to untrust source-dr mgroup1 any perset policy from untrust to trust proxy-host mgroup1 any

6. Directivas multicastset multicast-group-policy from dmz mgroup 224.4.4.1/32 t

bi-directionalset multicast-group-policy from dmz mgroup 224.4.4.1/32

bi-directionalset multicast-group-policy from trust mgroup 224.4.4.1/3


8

253

Capítulo 8

ositivos NetScreen. Contiene


PIM

Este capítulo describe el protocolo Protocol Independent Multicast (PIM) en los displas siguientes secciones:

• “Introducción al protocolo PIM” en la página 255

• “PIM-SM” en la página 256

– “Árboles de distribución multicast” en la página 258

– “Enrutador designado” en la página 259

– “Asignación de puntos de encuentro a grupos” en la página 259

– “Reenvío de tráfico a través del árbol de distribución” en la página 260

• “PIM-SM en dispositivos NetScreen” en la página 264

– “Creación de una instancia PIM-SM” en la página 265

– “PIM-SM en interfaces” en la página 267

– “Directivas de grupo multicast” en la página 269

• “Configuración PIM-SM básica” en la página 271

• “Comprobación de la configuración” en la página 278

• “Configuración de RPs” en la página 282

– “RP estático” en la página 282

– “RP candidato” en la página 284

• “Aspectos relativos a la seguridad” en la página 286

– “Restricción de grupos multicast” en la página 286

– “Restringir orígenes multicast” en la página 288

– “Restricción de RPs” en la página 289

Capítulo 8 PIM

254
• “Parámetros de la interfaz PIM-SM” en la página 291

– “Directiva vecina” en la página 291

– “Límite bootstrap” en la página 293

• “RP Proxy” en la página 294

– “Configuración de un RP proxy” en la página 297

• “PIM-SM e IGMPv3” en la página 311

• “PIM-SSM” en la página 312

– “PIM-SSM en dispositivos NetScreen” en la página 312

Capítulo 8 PIM Introducción al protocolo PIM

255

multicast que se ejecuta entre ) se ejecuta entre equipos y ejecuta entre enrutadores para tener información sobre IGMP,

el

s a

e


INTRODUCCIÓN AL PROTOCOLO PIMEl protocolo Protocol Independent Multicast (PIM) es un protocolo de enrutamiento enrutadores. Mientras que el protocolo Internet Group Management Protocol (IGMPenrutadores para intercambiar información de miembros del grupo multicast, PIM sereenviar tráfico multicast a los miembros del grupo multicast de toda la red. (Para obconsulte “IGMP” en la página 211).

Origen

Internet

Hosts y enrutadores utilizanIGMP para intercambiar información de miembros dgrupo multicast.

Los protocolos de enrutamiento multicast, talecomo PIM-SM, alimentan ltabla de rutas multicast y reenvían datos a los hosts dtoda la red.

Capítulo 8 PIM PIM-SM

256

miento dinámico. PIM se llama iento unicast subyacente para

la funcionalidad del protocolo or rutas inversas” en la página

go corta las rutas hacia los

eptores que lo soliciten. Los a o el árbol de ruta más corta re árboles de distribución

lticast Mode” o PIM-SSM) está a los receptores interesados. A

im-sm-v2-new-06 , así como e-Specific Multicast (SSM) . 56. Para obtener información

a los receptores interesados. ) para reenviar tráfico multicast , consulte “Árboles de l árbol de distribución

de un grupo envían sus ución compartido a todos los

den formar un SPT al origen,


Para ejecutar PIM, también debe configurar rutas estáticas o un protocolo de enruta“independiente del protocolo” porque utiliza la tabla de rutas del protocolo de enrutamrealizar sus comprobaciones RPF (reenvío por rutas inversas), pero no depende dede enrutamiento unicast. (Para obtener información sobre RPF, consulte “Reenvío p201).

PIM puede funcionar de los modos siguientes:

• El modo PIM-Dense (PIM-DM) inunda toda la red con tráfico multicast y luereceptores que no desean recibir tráfico multicast.

• El modo PIM-Sparse (PIM-SM) reenvia tráfico multicast solamente a los recenrutadores que ejecuten PIM-SM pueden utilizar el árbol de ruta compartid(SPT) para reenviar la información multicast. (Para obtener información sobmulticast, consulte “Árboles de distribución multicast” en la página 258).

– El modo multicast específico del origen PIM (“PIM-Source Specific Muderivado del PIM-SM. Igual que PIM-SM, reenvía tráfico multicast sólodiferencia de PIM-SM, forma inmediatamente un SPT al origen.

Los dispositivos NetScreen admiten PIM-SM, según la definición draft-ietf-pPIM-SSM según la definición de la norma RFC 3569, An Overview of SourcPara obtener información sobre PIM-SM, consulte “PIM-SM” en la página 2sobre PIM-SSM, consulte “PIM-SSM” en la página 312.

PIM-SMPIM-SM es un protocolo de enrutamiento multicast que reenvía tráfico multicast sóloPuede utilizar un árbol de distribución compartido o el árbol de ruta más corta (SPTa través de la red. (Para obtener información sobre árboles de distribución multicastdistribución multicast” en la página 258). De forma predeterminada, PIM-SM utiliza ecompartido con un punto de encuentro (RP) en la raíz del árbol. Todos los orígenespaquetes al RP, y el RP envía datos en dirección descendente por el árbol de distribreceptores de la red. Cuando se alcanza un umbral configurado, los receptores puereduciendo el tiempo que lleva a los receptores recibir los datos multicast.


257

e explícitamente se unan a un de rutas unicast para realizar

multicast, y utiliza la tabla de

l momento de recibir el primer


Con independencia del árbol utilizado para distribuir el tráfico, sólo los receptores qugrupo multicast pueden recibir el tráfico enviado a ese grupo. PIM-SM utiliza la tablasus operaciones de reenvío por rutas inversas (RPF) al recibir mensajes de control rutas multicast para enviar tráfico de datos multicast a los receptores.

Nota: De forma predeterminada, los dispositivos NetScreen conmutan al SPT en ebyte.


258

e el origen a los receptores a multicast: ol y reenvía los datos multicast ífico del origen o

nto de encuentro (“rendezvous ión, el RP reenvía el tráfico en

ción compartidoa tráfico multicast en sentido acia el punto de encuentro (RP). tráfico multicast en sentido los receptores.

RP

ceptores


Árboles de distribución multicastLos enrutadores multicast reenvían el tráfico multicast en sentido descendente desdtravés de un árbol de distribución multicast. Hay dos tipos de árboles de distribución

• El árbol de la ruta más corta (SPT): El origen se encuentra en la raíz del árben sentido descendente a cada receptor. Denominada también árbol espec“source-specific tree”.

• Árbol de distribución compartido: El origen transmite el tráfico multicast al pupoint” o RP), que suele ser un enrutador en el núcleo de la red. A continuacsentido descendente a los receptores del árbol de distribución.

Origen

Árbol de la ruta más corta1.El origen envía tráfico

multicast en sentido descendente a los receptores.

Árbol de distribu1.El origen enví

descendente h2.El RP reenvía

descendente a

Árbol de distribución compartido

Árbol de la ruta más corta

ReReceptores


259

st, los enrutadores eligen un paquetes multicast desde el rigen. El DR en la LAN de los

RP, y de enviar el tráfico de ne cuando desean unirse a un

de una LAN tiene una prioridad es DR mediante mensajes de eciben los mensajes de saludo, ios enrutadores coinciden en á en el DR de la LAN.

rminados grupos multicast. Un de grupo RP. Hay dos maneras

r el RP para el grupo multicast r a configurar la dirección del

s multicast. En primer lugar, se st. A continuación, los C-RPs ootstrap” (BSR). Las RP y la prioridad del C-RP.


Enrutador designadoCuando en una red de área local (LAN) multiacceso hay varios enrutadores multicaenrutador designado (DR). El DR en la LAN del origen es responsable de enviar losorigen al RP y a los receptores que están en el árbol de distribución específico del oreceptores es responsable de reenviar mensajes join-prune desde los receptores aldatos multicast a los receptores de la LAN. Los receptores envían mensajes join-prugrupo multicast o salir de él.

El DR se selecciona a través de un proceso de selección. Cada enrutador PIM-SM DR configurable por el usuario. Los enrutadores de PIM-SM anuncian sus prioridadsaludo (“hello”) que envían periódicamente a sus vecinos. Cuando los enrutadores rseleccionan el enrutador con la prioridad DR más alta como DR para la LAN. Si vartener la prioridad DR más alta, el enrutador con la dirección IP más alta se convertir

Asignación de puntos de encuentro a gruposUn punto de encuentro (“rendezvous point” o RP) envía paquetes multicast para detedominio PIM-SM es un grupo de enrutadores PIM-SM con las mismas asignaciones de asignar grupos multicast a un RP: estáticamente y dinámicamente.

Asignación de RP estáticoPara crear una asignación estática entre un RP y un grupo multicast, debe configuraen cada enrutador de la red. Cada vez que cambie la dirección del RP, deberá volveRP.

Asignación de RP dinámicoPIM-SM también proporciona un mecanismo de asignación dinámica de RPs a grupoconfiguran los puntos de encuentro de candidatos (C-RPs) para cada grupo multicaenvían anuncios Candidate-RP a un enrutador de la LAN, denominado enrutador “bnotificaciones contienen el grupo multicast (s) para el cual el enrutador actúa como


260

s enrutadores del dominio. Los para seleccionar un RP activo

ueva asignación de grupo RP e BSR, consulte

o de encuentro (RP) de un entorno de red multicast, un

ed del origen o en la red de los

ravés de la red. Cuando el ast, consulta la interfaz saliente uación, el DR encapsula los reenvía a la dirección IP del quetes y envía los paquetes


El BSR recoge estas notificaciones C-RP y los emite en un mensaje BSR a todos loenrutadores recogen estos mensajes BSR y utilizan un algoritmo hash bien conocidopor cada grupo multicast. Si el RP seleccionado falla, el enrutador selecciona una nentre los RPs candidatos. Para obtener información sobre el proceso de selección ddraft-ietf-pim-sm-bsr-03.txt.

Reenvío de tráfico a través del árbol de distribuciónEsta sección describe cómo los enrutadores PIM-SM envían mensajes “join” al puntgrupo multicast y cómo el RP envía datos multicast a los receptores de la red. En undispositivo NetScreen puede funcionar como RP, como enrutador designado en la rreceptores, o como enrutador intermedio.

El origen envía datos a un grupoCuando un origen comienza enviar paquetes multicast, transmite esos paquetes a tenrutador designado (DR) en esa red de área local (LAN) recibe los paquetes multicy la dirección IP del salto siguiente hacia el RP en la tabla de rutas unicast. A continpaquetes multicast en paquetes unicast, denominados mensajes REGISTER, y los siguiente salto. Cuando el RP recibe los mensajes REGISTER, desencapsula los pamulticast en sentido descendente por el árbol de distribución hacia los receptores.


261

figurado, el RP envía un atos multicast nativos, en lugar vía los paquetes multicast y los DR, envía al DR un mensaje sajes REGISTER y envía los

ro (RP)

Receptores


Si la velocidad de transmisión de los datos del DR de origen alcanza un umbral conmensaje PIM-SM adjunto hacia el DR de origen, de modo que el RP pueda recibir dde los mensajes REGISTER. Cuando el DR de origen recibe el mensaje adjunto, enmensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes multicast del register-stop. Cuando el DR recibe el mensaje register-stop, deja de enviar los mendatos multicast nativos, que el RP envía en sentido descendente a los receptores.

Origen

Punto de encuent

Enrutador designado (DR)

1. El origen envía los paquetes multicast en sentido descendente.

2. El DR encapsula los paquetes y envía mensajes REGISTER al RP.

3. El RP desencapsula los mensajes REGISTER y envía paquetes multicast a los receptores.

Receptores


262

grupo multicast. Cuando el DR a una entrada (*, G) en la tabla ascendente hacia el RP. a el mismo proceso de consulta emite el mensaje PIM-SM lcanza el RP. Cuando el RP l receptor.

recibe los datos multicast. para enviar tráfico de datos a de reenvío (*, G) coincidente trada, que se convierte en una so continúa en sentido ulticast.

3. El RP envía datos multicast en sentido descendente a los receptores.

ceptores


El host se une a un grupoCuando un host se une a un grupo multicast, envía un mensaje IGMP adjunto a esede la LAN del host recibe el mensaje IGMP adjunto, consulta el grupo en el RP. Crede rutas multicast y envía un mensaje PIM-SM adjunto a su RPF vecino en sentido Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM join, realizRP y también comprueba si el mensaje adjunto viene de un RPF vecino. Si es así, radjunto hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM adjunto arecibe el mensaje adjunto, envía los datos multicast en sentido descendente hacia e

Cada enrutador en sentido descendente realiza una comprobación del RPF cuandoCada enrutador comprueba si recibió los paquetes multicast de la interfaz que utilizahacia el RP. Si la comprobación del RPF es correcta, el enrutador busca una entraden la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el origen en la enentrada (S, G) y reenvía los paquetes multicast en sentido descendente. Este procedescendente a lo largo del árbol de distribución hasta que el host recibe los datos m

Origen

1. Los hosts envían mensajes IGMP join para el grupo multicast.

2. El DR envía mensajes IGMP join al RP.

Punto de encuentro (RP)


Hosts/Receptores Hosts/Re


263

de la LAN del host puede ienza a recibir tráfico de datos

scendente hacia el RP. Cada ue el mensaje prune alcanza el ndente hacia esa rama en


Cuando la velocidad de transmisión de datos alcanza un umbral configurado, el DRformar el árbol de ruta más corta directamente al origen multicast. Cuando el DR comdirectamente del origen, envía un mensaje prune específico del origen en sentido aenrutador intermedio “corta” del árbol de distribución la conexión con el host, hasta qRP, que en ese momento deja de enviar tráfico de datos multicast en sentido desceparticular del árbol de distribución.

Capítulo 8 PIM PIM-SM en dispositivos NetScreen

264

t-vr y untrust-vr. Cada tablas de rutas. Protocol r virtual en el cual está

irección IP siguiente. Por lo tas estáticas o un protocolo de M en el mismo enrutador dores virtuales” en la página dinámico:

OSPF, consulte “Protocolo

GP, consulte “Protocolo de

e RIP, consulte “Protocolo de

PIM-SM en un dispositivo

asen por el dispositivo


PIM-SM EN DISPOSITIVOS NETSCREENLos dispositivos NetScreen tienen dos enrutadores virtuales predefinidos (VRs): trusenrutador virtual es un componente de enrutamiento independiente con sus propiasIndependent Multicast - Sparse Mode (PIM-SM) utiliza la tabla de rutas del enrutadoconfigurado para consultar la interfaz de reenvío por rutas inversas (PIM-SM) y la dtanto, para ejecutar PIM-SM en un dispositivo NetScreen, primero debe configurar ruenrutamiento dinámico en un enrutador virtual, y luego tiene que configurar el PIM-Svirtual. (Para obtener más información sobre enrutadores virtuales, consulte “Enruta21.) Los dispositivos NetScreen admiten los siguientes protocolos de enrutamiento

• Open Shortest Path First (OSPF): Para obtener más información acerca deOSPF” en la página 67.

• Border Gateway Protocol (BGP): Para obtener más información acerca de Bpuerta de enlace de límite (BGP)” en la página 159.

• Routing Information Protocol (RIP): Para obtener más información acerca dinformación de enrutamiento (RIP)” en la página 115.

Las secciones siguientes describen los pasos básicos necesarios para configurar unNetScreen:

• Crear y habilitar una instancia PIM-SM en un enrutador virtual (VR).

• Habilitar PIM-SM en las interfaces.

• Configurar una directiva multicast para permitir que los mensajes PIM-SM pNetScreen.


265

la tabla de rutas unicast del ar una instancia de rfaces del enrutador virtual.

alrust-vr.

ance : Seleccione Protocol


Creación de una instancia PIM-SMPuede configurar una instancia PIM-SM para cada enrutador virtual. PIM-SM utilizaenrutador virtual para realizar su comprobación del RPF. Después de crear y habilitenrutamiento PIM-SM en un enrutador virtual, puede habilitar el PIM-SM en las inte

Ejemplo: Habilitar una instancia PIM-SM en un enrutador virtuEn este ejemplo, creará y habilitará una instancia PIM-SM para el enrutador virtual t

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create PIM InstPIM: Enable , y luego haga clic en Apply .

CLI

ns-> set vrouter trust-vrns(trust-vr)-> set protocol pimns(trust.vr/pim)-> set enablens(trust.vr/pim)-> exitns(trust-vr)-> exitsave


266

elimine la instancia PIM-SM de borra todos los parámetros de

luego haga clic en OK cuando


Ejemplo: Quitar una instancia PIM-SM En este ejemplo eliminará la instancia PIM-SM del enrutador virtual trust-vr. Cuandoun enrutador virtual, el dispositivo NetScreen inhabilita el PIM-SM en las interfaces yla interfaz PIM-SM.

WebUI

Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance, yaparezca el mensaje de confirmación .

CLI

unset vrouter trust-vr protocol pimdeleting PIM instance, are you sure? y/[n] ysave


267

s de crear y habilitar el PIM-SM virtual que transmiten tráfico de gurar IGMP en modo enrutador a 211).

se habilita automáticamente arámetros PIM-SM para dicha na zona, todos los parámetros



PIM-SM en interfacesDe forma predeterminada, PIM-SM está inhabilitado en todas las interfaces. Despuéen un enrutador virtual, debe habilitar el PIM-SM en las interfaces de ese enrutador datos multicast. Si una interfaz está conectada con un receptor, también debe confien esa interfaz. (Para obtener información sobre IGMP, consulte “IGMP” en la págin

Cuando habilita el PIM-SM en una interfaz que está asociada a una zona, el PIM-SMen la zona a la que pertenece dicha interfaz. A continuación, puede configurar los pzona. De forma similar, cuando se inhabilitan parámetros PIM-SM de interfaces en uPIM-SM relacionados con dicha zona se eliminan automáticamente.

Ejemplo: PIM-SM en una interfazEn este ejemplo habilitará PIM-SM en la interfaz ethernet1.

WebUI

Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguiente

PIM Instance: (seleccione)

Protocol PIM: Enable (seleccione)

CLI

set interface ethernet1 protocol pimset interface ethernet1 protocol pim enablesave


268

ier otra interfaz en la que haya

able , y luego haga clic en


Ejemplo: Inhabilitar PIM-SM en una interfazEn este ejemplo deshabilitará PIM-SM en la interfaz ethernet1. Recuerde que cualquhabilitado PIM-SM todavía sigue transmitiendo y procesando los paquetes PIM-SM.

WebUI

Network > Interfaces > Edit (para ethernet1) > PIM: Clear Protocol PIM En Apply .

CLI

unset interface ethernet1 protocol pim enablesave


269

de tráfico de control multicast, a directiva de grupo multicast grupo multicast controlan dos

estáticos (RPs) y las ue permita asignaciones vo NetScreen para que virtual o entre dos enrutadores P de otras zonas, de modo que

su vecino de reenvío por rutas s multicast del mensaje BSR.

je BSR a los grupos permitidos

o el dispositivo NetScreen de sentido descendente,

escendente, la validación de la

rueba si hay una directiva erfaz en sentido descendente y

s dos zonas, el dispositivo

dos zonas, se descarta el


Directivas de grupo multicastDe forma predeterminada, los dispositivos NetScreen no permiten que los mensajescomo por ejemplo mensajes PIM-SM, pasen de una zona a otra. Debe configurar unpara permitir que los mensajes PIM-SM pasen de una zona a otra. Las directivas detipos de mensajes PIM-SM: los mensajes static-RP-BSR y los mensajes join-prune.

Mensajes Static-RP-BSR Los mensajes Static-RP-BSR contienen información sobre los puntos de encuentro asignaciones de grupo RP dinámicas. La configuración de una directiva multicast, qestáticas de RP y mensajes bootstrap (BSR) de una zona a otra, habilita el dispositicomparta las asignaciones de grupo RP de una zona a otra dentro de un enrutador virtuales. Los enrutadores son capaces de memorizar las asignaciones de grupos Rno tenga que configurar los RP en todas las zonas.

Cuando el dispositivo NetScreen recibe un mensaje BSR, comprueba que vienen deinversas (RPF). A continuación comprueba si hay directivas multicast para los grupoFiltra los grupos que no estén autorizados en la directiva multicast y envía el mensaen todas las zonas de destino que están autorizadas por la directiva.

Mensajes Join-PruneLas directivas de grupo multicast también controlan los mensajes join-prune. Cuandrecibe un mensaje join-prune para un origen y grupo o un origen y RP en su interfazconsulta en el RPF vecino y la interfaz de la tabla de enrutamiento unicast.

• Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido ddirectiva multicast no es necesaria.

• Si la interfaz RPF se encuentra en otra zona, el dispositivo NetScreen compmulticast que permita mensajes join-prune para el grupo entre la zona de intla zona de la interfaz RPF.

– Si hay una directiva multicast que permite mensajes join-prune entre laNetScreen reenvía el mensaje a la interfaz del RPF.

– Si no hay directiva multicast que permita mensajes join-prune entre lasmensaje join-prune.


270

todos los mensajes PIM-SM

haga clic en OK :

4.4.4.1/32

2 to untrust


Ejemplo: Directiva de grupo multicast para PIM-SMEn este ejemplo, definirá una directiva de grupo multicast bidireccional que permita entre las zonas Trust y Untrust para el grupo 224.4.4.1.

WebUI

Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y

MGroup Address: IP/Netmask (seleccione) 22


PIM Message: (seleccione)

BSR-Static RP: (seleccione)

Join/Prune: (seleccione)

CLI

set multicast-group-policy from trust mgroup 224.4.4.1/3pim-message bsr-static-rp join-prune bi-directional

save

Capítulo 8 PIM Configuración PIM-SM básica

271

enrutador designado de origen o un enrutador bootstrap.s virtuales. Realice los

or ejemplo Routing Information (OSPF), en un enrutador virtual

lticast pase de una zona a otra.or virtual en el que haya

hacia el origen o el RP, y en

pasen de una zona a otra. la zona del enrutador virtual en st que permita los mensajes ambién debe exportar las rutas ión de reenvío por rutas “Exportación e importación de

s información acerca de los PIM-SM en un sistema virtual M en dos enrutadores virtuales ara obtener información sobre

todos los enrutadores virtuales


CONFIGURACIÓN PIM-SM BÁSICAUn dispositivo NetScreen puede funcionar como un punto de encuentro (RP), como un(DR), como un receptor DR y como un enrutador intermedio. No puede funcionar comPuede configurar PIM-SM en un enrutador virtual (VR) o a través de dos enrutadoresiguientes pasos para configurar PIM-SM en un enrutador virtual:

1. Configure las zonas y las interfaces.2. Configure rutas estáticas o un protocolo de enrutamiento dinámico, como p

Protocol (RIP), Border Gateway Protocol (BGP) u Open Shortest Path First específico del dispositivo NetScreen.

3. Cree una directiva de cortafuegos para que el tráfico de datos unicast y mu4. Cree y habilite una instancia de enrutamiento PIM-SM en el mismo enrutad

configurado las rutas estáticas o un protocolo del enrutamiento dinámico. 5. Habilite PIM-SM en interfaces que reenvíen el tráfico en sentido ascendente

sentido descendente hacia los receptores.6. Habilite IGMP en las interfaces conectadas a los hosts.7. Configure una directiva multicast para permitir que los mensajes de PIM-SM

Cuando configure PIM-SM entre dos enrutadores virtuales, debe configurar el RP enla que se encuentre el RP. A continuación, configure una directiva de grupo multicajoin-prune y los mensajes BSR-static-RP entre las zonas en cada enrutador virtual. Tunicast entre los dos enrutadores virtuales para asegurar la exactitud de la informacinversas (RPF). Para obtener información acerca de la exportación de rutas, consulterutas entre enrutadores virtuales” en la página 62.

Algunos dispositivos NetScreen admiten varios sistemas virtuales. (Para obtener másistemas virtuales, consulte el Volumen 9, “Sistemas virtuales”). La configuración dees igual que la configuración de PIM-SM en el sistema raíz. Si va a configurar PIM-Sque se encuentran en sistemas virtuales diferentes, debe configurar un proxy RP. (Pla configuración de un proxy RP, consulte “RP Proxy” en la página 294.)

Nota: Si un dispositivo NetScreen se configura con múltiples enrutadores virtuales,debe tener las mismas opciones PIM-SM.


272

de la zona Trust reciban tráfico protocolo de enrutamiento tráfico de datos entre las zonas M-SM en ethernet1 y ethernet2 odo de ruta. A continuación, s. Finalmente, creará una nas.

s


Ejemplo: Configuración PIM-SM básicaEn este ejemplo, configurará PIM-SM en un enrutador trust-vr. Desea que los hosts de datos multicast para el grupo multicast 224.4.4.1/32. Configurará el RIP como el unicast en el enrutador trust-vr y creará una directiva de cortafuegos para permitir el Trust y Untrust. Creará una instancia PIM-SM en el enrutador trust-vr y habilitará PIen la zona Trust, y en ethernet3 en la zona Untrust. Todas las interfaces están en mconfigurará IGMP en ethernet1 y ethernet2, que están conectados con los receptoredirectiva multicast que permita los mensajes static-RP-BSR y join-prune entre las zo

Origen

Enrutador designado

Enrutadorbootstrap

Punto de encuentro

Receptore

Zona Untrust

Zona Trust


ethernet2 10.1.2.1/24

ethernet1 10.1.1.1/24

Receptores


273


e)

OK :


e)

OK :


ga clic en OK :


WebUI


Zone Name: Trust



Seleccione los siguientes datos y haga clic enInterface Mode: NAT


Zone Name: Trust



Seleccione los siguientes datos y haga clic enInterface Mode: NAT


Zone Name: Untrust






Zone: Trust


274

ga clic en OK :



eleccione Enable RIP y haga







Zone: Untrust







4. RIPNetwork > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: Sclic en OK .

Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguiente

RIP Instance: (seleccione)

Protocol RIP: Enable (seleccione)


275

eleccione los siguientes datos




y haga clic en OK :

r


5. PIM-SMNetwork > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Sy haga clic en OK :












Source Address:




Service: any

Action: Permit


276

atos y haga clic en OK:

4.4.4.1/32


7. Directiva multicastMCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes d




BSR Static RP: (seleccione)


CLI

1. Zonas e interfacesset interface ethernet 1 zone trustset interface ethernet 1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet 2 zone trustset interface ethernet 2 ip 10.1.2.1/24set interface ethernet2 nat

set interface ethernet 3 zone untrustset interface ethernet 3 ip 1.1.1.1/24

2. Direccionesset address trust mgroup1 224.4.4.1/32set address untrust source-dr 6.6.6.1/24

3. IGMPset interface ethernet 1 protocol igmp routerset interface ethernet 1 protocol igmp enable

set interface ethernet 2 protocol igmp routerset interface ethernet 2 protocol igmp enable


277

ermit

2 any to untrust


4. RIPset vrouter trust-vr protocol ripset vrouter trust-vr protocol rip enableset interface ethernet3 protocol rip enable

5. PIM-SMset vrouter trust-vr protocol pimset vrouter trust-vr protocol pim enable

set interface ethernet1 protocol pimset interface ethernet1 protocol pim enable



6. Directivaset policy from untrust to trust source-dr mgroup1 any p

7. Directiva multicastset multicast-group-policy from trust mgroup 224.4.4.1/3

pim-message bsr-static-rp join bi-directionalsave

Capítulo 8 PIM Comprobación de la configuración

278
COMPROBACIÓN DE LA CONFIGURACIÓNPara verificar la configuración de PIM-SM, ejecute el comando siguiente:

ns-> get vrouter trust protocol pimPIM-SM enabledNumber of interfaces : 1SPT threshold : 1 BpsPIM-SM Pending Register Entries Count : 0Multicast group accept policy list: 1

Virtual Router trust-vr - PIM RP policy--------------------------------------------------Group Address RP access-list

Virtual Router trust-vr - PIM source policy--------------------------------------------------Group Address Source access-list


279

---------------lert - GLM Range Group - S

---------------

s: LF

d

FC

s: TLF Register

d

20.20.20.200 FC


Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente:

ns->get vrouter trust protocol pim mroute trust-vr - PIM-SM routing table--------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT AForward - F, Null - N , Negative Cache - E, Local Receivers - SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSTurnaround Router - K--------------------------------------------------------------Total PIM-SM mroutes: 2

(*, 236.1.1.1) RP 20.20.20.10 01:54:20/- Flag Zone: Untrust Upstream : ethernet1/2 State : Joine RPF Neighbor : local Expires : - Downstream : ethernet1/2 01:54:20/- Join 0.0.0.0

(10.10.10.1/24, 238.1.1.1) 01:56:35/00:00:42 FlagPrune

Zone: Trust Upstream : ethernet1/1 State : Joine RPF Neighbor : local Expires : - Downstream : ethernet1/2 01:54:20/- Join 236.1.1.1


280

vío es (S, G), la dirección IP de


En cada entrada de la ruta puede verificar lo siguiente:

• El estado (S, G) o estado de reenvío (*, G)• Si el estado de reenvío es (*, G), la dirección IP del RP; si el estado de reen

origen• Zona que posee la ruta • El estado de join y las interfaces entrantes y salientes• Valores del temporizador


281

:

---------------------

- C

- P

siguiente:

nvía a cada vecino de un

Source------------- 60.60.0.1 60.60.0.1


Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente

ns-> get vrouter trust protocol pim rpFlags : I - Imported, A - Always(override BSR mapping) C - Static Config, P - Static Proxy--------------------------------------------------------Trust 238.1.1.1/32 RP: 10.10.10.10 192 Static Registering : 0 Active Groups : 1 238.1.1.1Untrust 236.1.1.1/32 RP: 20.20.20.10 192 Static Registering : 0 Active Groups : 1 236.1.1.1

Para verificar que hay un vecino de reenvío por rutas inversas, ejecute el comando

ns-> get vrouter trust protocol pim rpfFlags : RP address - R, Source address - SAddress RPF Interface RPF Neighbor Flags-------------------------------------------------------10.10.11.51 ethernet3 10.10.11.51 R10.150.43.133 ethernet3 10.10.11.51 S

Para visualizar el estado de los mensajes join-prune que el dispositivo NetScreen eenrutador virtual, ejecute el comando siguiente:

ns-> get vrouter untrust protocol pim joinNeighbor Interface J/P Group --------------------------------------------------------1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 (S,G) J 224.11.1.1

Capítulo 8 PIM Configuración de RPs

282

cífico a uno o más grupos o multicast diferente.

ue un dispositivo NetScreen tstrap.

gnar RPs a grupos multicast de

obtener información sobre las

l mismo RP, incluya la palabra que hay otro RP asignado


CONFIGURACIÓN DE RPSPuede configurar un punto de encuentro estático (RP) si desea asociar un RP espemulticast. Puede configurar múltiples RP estáticos con cada RP asignado a un grup

Debe configurar un RP estático cuando en la red no haya enrutador bootstrap. Aunqpuede recibir y procesar mensajes bootstrap, no realiza funciones de enrutador boo

Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee asiforma dinámica. Puede crear un C-RP para cada zona.

RP estáticoCuando configure un RP estático, debe especificar lo siguiente:

• La zona del RP estático

• La dirección IP del RP estático

• Una lista de accesos que define los grupos multicast del RP estático (Para listas de accesos, consulte “Listas de acceso” en la página 205).

Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen eclave always . Si no incluye esta palabra clave, y el dispositivo NetScreen descubredinámicamente a los mismos grupos multicast, utilizará el RP dinámico.


283

continuación creará un RP la palabra clave always para


P Address > New: Seleccione

2 11.1.1.5 mgroup-list 2


Ejemplo: Crear un RP estáticoEn este ejemplo, creará una lista de accesos para el grupo multicast 224.4.4.1, y a estático para dicho grupo. La dirección IP del RP estático es 1.1.1.5/24. Especifiqueasegurarse de que el dispositivo NetScreen utilice siempre el mismo RP para eso.

WebUI


Access List ID: 2

Sequence No.: 1

IP/Netmask: 224.4.4.1/32

Action: Permit

Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > Rlos siguientes datos y haga clic en OK :

Zone: Trust (seleccione)

Address:1.1.1.5

Access List: 2

Always: (seleccione)

CLI

set vrouter trust-vr access-list 2 permit ip 224.4.4.1/3set vrouter trust-vr protocol pim zone trust rp address

alwayssave


284

ente:

ona Trust. Creará una lista de la zona Trust del enrutador




RP candidatoCuando configura un enrutador virtual como RP candidato, debe especificar lo sigui

• La zona en la que se configura el C-RP

• La dirección IP de la interfaz que se notifica como C-RP

• Una lista de acceso que define los grupos multicast del C-RP

• La prioridad de C-RP notificada

Ejemplo: Crear un RP candidatoEn este ejemplo, habilitará PIM-SM en la interfaz ethernet1 que está asocidad a la zacceso que defina los grupos multicast del C-RP. A continuación creará un C-RP entrust-vr. Establecerá la prioridad del C-RP a 200.

WebUI





Access List ID: 1

Sequence No.: 1

IP/Netmask: 224.2.2.1/32

Action: Permit


285

Candidate > Edit (Trust Zone):

2 12 2e interface ethernet1


Select Add No Seq: Introduzca los siguientes datos y haga clic en OK :

Sequence No.: 2

IP/Netmask: 224.3.3.1/32

Action: Permit

Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RPSeleccione los siguientes datos y haga clic en OK :

Interface: ethernet1 (seleccione)

Access List: 1 (seleccione)

Priority: 200

CLI

set interface ethernet1 protocol pimset interface ethernet1 protocol pim enableset vrouter trust-vr access-list 1 permit ip 224.2.2.1/3set vrouter trust-vr access-list 1 permit ip 224.3.3.1/3set vrouter trust-vr protocol pim zone trust rp candidat

mgroup-list 1 priority 200save

Capítulo 8 PIM Aspectos relativos a la seguridad

286

or virtual (VR) para controlar el l afectan a todas las interfaces

o PIM-SM) de otras zonas, del dicho tráfico. Si el dispositivo pciones del enrutador virtual aceptar mensajes join-prune n comprueba si dicho tráfico es es, el dispositivo descarta el

conjunto de grupos multicast do utilice esta característica, el ta de acceso.

utoriza a los siguientes grupos: ptar mensajes join-prune de los



ASPECTOS RELATIVOS A LA SEGURIDADAl ejecutar PIM-SM, hay algunas opciones que se pueden configurar en un enrutadtráfico hacia y desde el enrutador virtual. Los ajustes definidos en el enrutador virtuahabilitadas para PIM-SM en el enrutador virtual.

Cuando una interfaz recibe mensajes de tráfico de control multicast (mensajes IGMPdispositivo NetScreen comprueba primero si hay una directiva multicast que permitaNetScreen encuentra una directiva multicast que permita el tráfico, comprueba las oque se pudieran aplicar al tráfico. Por ejemplo, si configura el enrutador virtual para desde grupos multicast especificados en una lista de acceso, el dispositivo NetScreepara un grupo multicast de la lista. Si es así, el dispositivo permite el tráfico. Si no lotráfico.

Restricción de grupos multicastPuede restringir un VR para que sólo reenvíe mensajes join-prune de PIM-SM de undeterminado. Indique los grupos multicast autorizados en una lista de accesos. CuanVR descarta los mensajes join-prune que son para los grupos que no están en la lis

Ejemplo: Restringir grupos multicastEn este ejemplo, creará una lista de acceso con el número de identificación 1 que a224.2.2.1/32 y 224.3.3.1/32. A continuación, configure el enrutador trust-vr para acegrupos multicast que se encuentran en la lista de acceso.

WebUI


Access List ID: 1

Sequence No.: 1


287


2 12 2


IP/Netmask: 224.2.2.1/32

Action: Permit

Select Add No Seq: Introduzca los siguientes datos y haga clic en OK :

Sequence No.: 2

IP/Netmask: 224.3.3.1/32

Action: Permit

Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance : Intrhaga clic en Apply :

Access Group: 1 (seleccione)

CLI

set vrouter trust-vr access-list 1 permit ip 224.2.2.1/3set vrouter trust-vr access-list 1 permit ip 224.3.3.1/3set vrouter trust-vr protocol pim accept-group 1save


288

que el origen, u orígenes, os multicast. Esto evita que itivo NetScreen descarta datos el punto de encuentra de la origen. El dispositivo

zado.

5, que especifica el origen te datos multicast para el grupo


Group: Seleccione los valores


Restringir orígenes multicastPuede controlar los orígenes desde los que un grupo multicast recibe datos. Identifipermitido en una lista de acceso, a continuación vincule la lista de acceso a los gruporígenes no autorizados envíen datos a su red. Si utiliza esta característica, el disposmulticast de los orígenes que no se encuentran en la lista. Si el enrutador virtual es zona, comprobará la lista de acceso antes de aceptar un mensaje REGISTER de unNetScreen descarta los mensajes REGISTER que no provienen de un origen autori

Ejemplo: Restringir orígenes multicastEn este ejemplo, primero creará una lista de acceso con el número de identificaciónautorizado 1.1.1.1/32. A continuación configurará el enrutador trust-vr para que acepmulticast 224.4.4.1/32 desde el origen especificado en la lista de acceso.

WebUI


Access List ID: 5

Sequence No.: 1


Action: Permit

Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > Msiguientes y haga clic en Add:

MGroup: 224.4.4.1/32

Accept Source: 5 (seleccione)


289

1cept-source 5

st. Se identifican los RP s grupos multicast. Cuando el prueba la lista de los RPs ún RP para el grupo multicast.

especifica el RP autorizado, s de la lista de acceso para el


Group: Seleccione los valores


CLI

set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 acsave

Restricción de RPsPuede controlar qué puntos de encuentro (RPs) están asignados a un grupo multicaautorizados en una lista de acceso y seguidamente se vincula la lista de acceso a loenrutador virtual (VR) recibe un mensaje bootstrap para un determinado grupo, comautorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona ning

Ejemplo: Restringir RPEn este ejemplo, creará una lista de accesos con el número de identificación 6, que2.1.1.1/32. A continuación, configurará el enrutador trust-vr para que acepte los RPgrupo multicast 224.4.4.1/32.

WebUI


Access List ID: 6

Sequence No.: 1


Action: Permit

Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > Msiguientes y haga clic en Add:

MGroup: 224.4.4.1/32

Accept RP: 6 (seleccione)


290

1cept-rp 6


CLI

set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 acsave

Capítulo 8 PIM Parámetros de la interfaz PIM-SM

291

e habilite PIM-SM. Cuando ecifique.

inados:

dyacencia. Los enrutadores ores PIM-SM. Si utiliza esta forma adyacencias con

or determinadoactivado

egundos

egundos

activado


PARÁMETROS DE LA INTERFAZ PIM-SMPuede cambiar determinados elementos predeterminados de cada interfaz en la quajuste los parámetros en este nivel, únicamente afectará a la interfaz que usted esp

La siguiente tabla describe los parámetros de la interfaz RIP y sus valores predeterm

Directiva vecinaPuede controlar los elementos vecinos con los que una interfaz puede formar una aPIM-SM envían periódicamente mensajes de saludo para anunciarse como enrutadcaracterística, la interfaz comprueba su lista de vecinos autorizados o rechazados yaquellos que estén autorizados.

Parámetros de la interfaz PIM-SM

Descripción Valpre

Neighbor policy Controla adyacencias vecinas. Para obtener información adicional, consulte “Directiva vecina” en la página 291.

Des

Hello interval Especifica el intervalo en el que la interfaz envía mensajes de saludo a sus enrutadores vecinos.

30 s

Designates router priority

Especifica la prioridad de la interfaz para la elección del enrutador designado.

1

Join-Prune interval Especifica el intervalo, en segundos, en el que la interfaz envía mensajes join-prune.

60 s

Bootstrap border Especifica que la interfaz es un límite bootstrap. Para obtener información adicional, consulte “Límite bootstrap” en la página 293.

Des


292

cinos de la lista de acceso.



12


Ejemplo: Definir una directiva vecinaEn este ejemplo, se creará una lista de acceso que especifique lo siguiente:

• El número de identificación es 1

• La primera instrucción permite 2.1.1.1/24

• La segunda instrucción permite 2.1.1.3/24

A continuación, especificará que ethernet1 puede formar una adyacencia con los ve

WebUI

Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Inhaga clic en OK:

Access List ID: 1

Sequence No.: 1


Action: Permit

Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:

Sequence No.: 2


Action: Permit


Accepted neighbors: 1

CLI

set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 set interface ethernet1 protocol pim neighbor-policy 1save


293

no los reenvía a otras SR de una zona a otra. Así se a.

rder , y luego haga clic en


Límite bootstrap Una interfaz que es un límite bootstrap (BSR) recibe y procesa mensajes BSR, perointerfaces aunque tengan una directiva de grupo multicast que autorice mensajes Basegura que las asignaciones RP-a-grupo permanezcan siempre dentro de una zon

Ejemplo: Definir un límite bootstrapEn este ejemplo, configurará ethernet1 como límite bootstrap.

WebUI

Network > Interfaces > Edit (for ethernet1) > PIM: Seleccione Bootstrap Bo Apply :

CLI

set interface ethernet1 protocol pim boot-strap-bordersave

Capítulo 8 PIM RP Proxy

294

signaciones de punto de as, los enrutadores PIM-SM de cionar sus asignaciones gurar el RP estático en cada onsulte “Configuración de RPs”

n ejecutar en modo NAT o en en modos diferentes, cada es de la zona Trust están en be encontrarse en un dominio les que se encuentran en dos M independiente.

P proxy. Un RP proxy actúa ravés de un RP estático o a os receptores de su dominio, e ruta más corta al origen.

r un RP proxy en una zona, o NetScreen notifica la

, no especifique ningún grupo proxy de cualquier grupo P verdadero para los grupos

rupos multicast importados de tico para los grupos multicast como el RP estático en todos


RP PROXYUn dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas aencuentro (RP) a grupo. En un dominio PIM-SM con asignaciones RP-grupo dinámicun dominio escuchan los mensajes del mismo enrutador bootstrap (BSR) para selecRP-grupo. En un dominio PIM-SM con asignaciones RP-grupo estáticas, debe confienrutador en el dominio. (Para obtener información sobre asignaciones RP-grupo, cen la página 282).

En los dispositivos NetScreen, las interfaces asociadas a zonas de capa 3 se puedemodo de ruta. Para ejecutar PIM-SM en un dispositivo con interfaces que funcionanzona debe encontrarse en un dominio PIM-SM diferente. Por ejemplo, si las interfacmodo NAT y las interfaces de la zona Untrust están en modo de ruta, cada zona dePIM-SM diferente. Además, al configurar PIM-SM a través de dos enrutadores virtuasistemas virtuales diferentes, cada enrutador virtual debe estar en un dominio PIM-S

Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un Rcomo un RP para grupos multicast memorizado de otro dominio PIM-SM, ya sea a ttravés de mensajes bootstrap autorizados por la directiva de grupo multicast. Para lfunciona como la raíz del árbol de distribución compartido y puede formar el árbol d

Puede configurar un RP proxy por cada zona en un enrutador virtual. Para configuradebe configurar un RP candidato (C-RP) en dicha zona. A continuación, el dispositivdirección IP del C-RP como la dirección IP del RP proxy. Cuando configure el C-RPmulticast en la lista de grupo multicast. Esto permite que el C-RP actúe como el RPimportado de otra zona. Si especifica grupos multicast, el C-RP funciona como el Respecificados en la lista.

Si hay un BSR en la zona, el RP proxy se notifica a si mismo como el RP para los gotras zonas. Si no hay BSR en la zona del RP proxy, éste funciona como el RP estáimportados de otras zonas. A continuación debe configurar la dirección IP del C-RPlos demás enrutadores de la zona.


295

de origen. Una MIP es una do desee que el dispositivo

aces estén en modo NAT. , el dispositivo NetScreen rdadero. Cuando el dispositivo la MIP a la dirección origen

s zonas. Puede configurar una ción del grupo multicast erfaz de la zona del RP proxy, ero.


El RP proxy admite el uso de IPs asignadas (MIP) para la traducción de la direcciónasignación directa (“1:1”) de una dirección IP a otra. Puede configurar una MIP cuanNetScreen traduzca a otra dirección una dirección privada de una zona cuyas interfCuando un host de la MIP en la zona de un proxy RP envía un mensaje REGISTERtraduce el origen IP a dirección MIP y envía un nuevo mensaje REGISTER al RP veNetScreen recibe el mensaje join-prune para un dirección MIP, el dispositivo asignainicial y la envía al origen.

El RP proxy también admite la traducción de direcciones de grupos multicast entre ladirectiva multicast que especifique la dirección original del grupo multicast y la directraducida. Cuando el dispositivo NetScreen recibe un mensaje join-prune en una inttraduce el grupo multicast, si es necesario, y envía el mensaje adjunto al RP verdad


296

st está en modo de ruta.

1/32.

las zonas Trust y Untrust.

TER hacia el RP.

dirección IP del origen inicial a ra el grupo multicast.

de (RP)

Enrutador bootstrap

(BSR)

s


Observe el caso siguiente:

• ethernet1 en la zona Trust está en modo NAT, y ethernet3 en la zona Untru

• Hay una MIP para el origen en la zona Trust.

• El origen en la zona Trust envía tráfico multicast al grupo multicast 224.4.4.

• Hay receptores tanto en la zona Trust como en la zona Untrust.

• Hay una directiva multicast que permite el paso de mensajes PIM-SM entre

• La zona Trust se configura como el RP proxy.

• El RP y el BSR están en la zona Untrust.

A continuación se indica el flujo de datos:

1. El origen envía datos al grupo multicast 224.4.4.1/32.

2. El enrutador designado (DR) encapsula los datos y envía mensajes REGIS

3. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a la dirección IP de la MIP. A continuación reenvía el mensaje hacia el RP pa

Zona Trust Zona Untrustethernet1

modo NATethernet3

modo de ruta

Punto encuentro

Origen

Receptores

Receptore



297
4. El RP proxy envía entradas (*, G) al RP verdadero.

5. Los receptores de la zona Trust envían mensajes join al RP proxy.

6. El RP proxy envía los paquetes multicast a los receptores de la zona Trust.

Configuración de un RP proxyPara configurar un RP proxy, debe hacer el siguiente:

1. Cree una instancia PIM-SM en un enrutador virtual específico.

2. Habilite PIM-SM en las interfaces apropiadas.

3. Configure el RP candidato en la zona del RP proxy.

4. Configure el RP proxy.


298

s de un túnel VPN. Ambos M en ethernet1 y tunnel.1 en e un RP proxy en la zona Trust

Zona Trust

Receptores

Punto de encuentro del proxy


Ejemplo: Configuración del RP proxyEn este ejemplo, los dispositivos NetScreen NS1 y el NS2 están conectados a travédispositivos ejecutan el protocolo de enrutamiento dinámico, BGP. Configure PIM-SNS1 y en NS2. A continuación, en NS2, configure ethernet1 como RP estático, y credel enrutador trust-vr.

Zona Untrust

Zona Untrust

Zona Trust

Receptores

Enrutador bootstrap

Origen

Punto de encuentro

real

NS2

NS1

ethernet1 10.4.1.1/24





ethernet1 10.2.2.1/24

VPN


299


e)

OK :


e)

ga clic en OK :

ga clic en OK :


WebUI (NS1)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust












Zone: Trust


300

ga clic en OK :

Seleccione Protocol PIM:



s y haga clic en OK.

ostname: 4.1.1.1



Address Name: branch



Zone: Untrust

3. PIM-SMNetwork > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Enable , y luego haga clic en Apply .




Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes




Gateway Name: To_Branch







301


le Security Level):

tion)

s datos y haga clic en OK:

Instance.

eighbors: Introduzca los

eighbors > Configure (para el lic en OK.

etworks: Escriba 2.2.2.0/24 en duzca 10.2.2.0/24 en el campo

es datos y haga clic en Apply :


> Advanced: Introduzca los siguientes ajustesReturn para regresar a la página de config




5. BGPNetwork > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguiente



Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP



Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Nsiguientes datos y haga clic en Add:

AS Number: 65000

Remote IP: 4.1.1.1


Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Ninterlocutor que acaba de añadir): Seleccione Peer Enabled y luego haga c

Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Nel campo IP/Netmask, y luego haga clic en Add. A continuación, introIP/Netmask, y haga clic en Add de nuevo.

Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguient

Protocol BGP: Enable (seleccione)


302

y haga clic en OK :


4.4.4.1/32



Source Address:

Address Book Entry: (seleccione), branch



Service: any

Action: Permit





BSR Static IP: (seleccione)



303


e)

.

ga clic en Apply :


e)

ga clic en OK :


WebUI (NS2)


Zone Name: Trust



Seleccione NAT , y luego haga clic en Apply

> IGMP: Introduzca los siguientes datos y ha

IGMP Mode: Router



Zone Name: Untrust









304

ga clic en OK :

ga clic en OK :

Seleccione Protocol PIM:



P Address > New: Seleccione






Zone: Trust


Address Name: corp



Zone: Untrust

3. PIM-SMNetwork > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Enable , y luego haga clic en OK .




Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes



Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > Rlos siguientes datos y haga clic en OK :

Zone: Trust (seleccione)

Address:10.4.1.1/24


305


ostname: 2.2.2.2


le Security Level):

tion)


Instance .



Gateway Name: To_Corp






> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config




5. BGPNetwork > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguiente



Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP




306

eighbors: Introduzca los

eighbors > Configure (para el lic en OK .

etworks: En el campo

Add .

GP: Enable , y luego haga clic

y haga clic en OK :


4.4.4.1/32


Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Nsiguientes datos y haga clic en Add :

AS Number: 65000Remote IP: 2.2.2.2Outgoing Interface: ethernet3

Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Ninterlocutor que acaba de añadir): Seleccione Peer Enabled y luego haga c

Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > NIP/Netmask, introduzca 4.1.1.0/24 , y luego haga clic en Add .

En el campo IP/Netmask, introduzca 10.4.1.0/24 , y luego haga clic en

Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol Ben Apply .


Source Address:Address Book Entry: (seleccione), corp

Destination Address:Address Book Entry: (seleccione), mgroup1

Service: anyAction: Permit


MGroup Address: IP/Netmask (seleccione) 22Bidirectional: (seleccione)PIM Message: (seleccione)BSR Static IP: (seleccione)Join/Prune: (seleccione)


307

interface ethernet3

ble

-ip 10.4.1.0/24


CLI (NS1)

1. InterfacesSet interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24



2. Direccionesset address trust mgroup1 224.4.4.1/32set address untrust branch 10.4.1.0/24

3. PIM-SMset vrouter trust-vrset vrouter trust-vr protocol pim enable

set interface ethernet1 protocol pimset interface ethernet1 protocol pim enableset interface tunnel.1 protocol pimset interface tunnel.1 protocol pim enable

4. Túnel VPNset ike gateway To_Branch address 4.1.1.1 main outgoing-

preshare fg2g4h5j proposal pre-g2-3des-shaset vpn Corp_Branch gateway To-Branch3 sec-level compatiset vpn Corp_Branch bind interface tunnel.1set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote


308

ny any permit

2 any to untrust


5. BGPset vrouter trust-vr router-id 10set vrouter trust-vr protocol bgp 6500set vrouter trust-vr protocol bgp enableset vrouter trust-vr protocol bgp neighbor 4.1.1.1set vrouter trust-vr protocol bgp network 2.2.2.0/24set vrouter trust-vr protocol bgp network 10.2.2.0/24set interface ethernet3 protocol bgp enableset interface ethernet3 protocol bgp neighbor 4.1.1.1

6. Directivaset policy name To-Branch from untrust to trust branch a




309

nterface ethernet1


CLI (NS2)

1. Interfacesset interface ethernet 1 zone trustset interface ethernet 1 ip 10.4.1.1/24set interface ethernet 1 protocol igmp routerset interface ethernet 1 protocol igmp enable

set interface ethernet 3 zone untrustset interface ethernet 3 ip 4.1.1.1/24


2. Direccionesset address trust mgroup1 224.4.4.1/32set address untrust corp 2.2.2.0/24

3. PIM-SMset vrouter trust protocol pimset interface ethernet1 protocol pimset interface ethernet1 protocol pim enableset interface tunnel.1 protocol pimset interface tunnel.1 protocol pim enableset vrouter trust protocol pim zone trust rp proxyset vrouter trust protocol pim zone trust rp candidate iset vrouter trust protocol pim enable


310

terface ethernet3

-ip 10.2.2.0/24

ny permit

2 any to untrust


4. Túnel VPNset ike gateway To_Corp address 2.2.2.2 main outgoing-in

preshare fg2g4h5j proposal pre-g2-3des-shaset vpn Branch_Corp gateway To_Corp sec-level compatibleset vpn Branch_Corp bind interface tunnel.1set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote

5. BGPset vrouter trust-vr router-id 10set vrouter trust-vr protocol bgp 6500set vrouter trust-vr protocol bgp enableset vrouter trust-vr protocol bgp neighbor 2.2.2.2set vrouter trust-vr protocol bgp network 4.1.1.0/24set vrouter trust-vr protocol bgp network 10.4.1.0/24set interface ethernet3 protocol bgp neighbor 2.2.2.2

6. Directivaset policy name To-Corp from untrust to trust corp any a



Capítulo 8 PIM PIM-SM e IGMPv3

311

rnet Group Management los datos para un grupo icast. Los informes de hosts. No contienen e informes de miembros IGMP r origen realice envios al grupo res se unen a un grupo ación sobre el origen.

e qué orígenes esperan recibir lticast, el modo de filtrado, que

e de las direcciones de la lista origen y un modo de filtro e la lista de origen.

orígenes que se encuentran en informe de miembros IGMPv3 rupo y envía un mensaje prune rar un punto de encuentro si los


PIM-SM E IGMPV3El PIM-SM admite interfaces que funcionen con las versiones 1, 2 y 3 de IGMP (InteProtocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts que recibenmulticast pueden recibir datos desde cualquier origen que envíe datos al grupo multmiembros de IGMP v1 y v2 sólo indican con qué grupos multicast desean unirse losinformación sobre los orígenes del tráfico de datos multicast. Cuando PIM-SM recibv1 y v2, crea entradas (*, G) en la tabla de rutas multicast, permitiendo que cualquiemulticast. A esto se le llama modelo any-source-multicast (ASM), donde los receptomulticast sin conocer el origen que envía datos al grupo. La red cuenta con la inform

Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y desdtráfico multicast. El informe de miembro IGMPv3 contiene la dirección del grupo mues “include” o “exclude”, y una lista de orígenes.

Si el modo de filtrado es “include”, los receptores aceptan tráfico multicast solamentde origen. Cuando PIM-SM recibe un informe de miembros IGMPv3 con una lista deinclude, crea entradas (S, G) en la tabla de rutas multicast para todos los orígenes d

Si el modo de filtrado es “exclude”, los receptores no aceptan tráfico multicast de los la lista y aceptan tráfico multicast del resto de orígenes. Cuando PIM-SM recibe un con la lista de origen y un modo de filtro “exclude”, crea una entrada (*, G) para el gpara los orígenes de la lista de origen. En este caso, es posible que necesite configureceptores no conocen la dirección del origen.

Capítulo 8 PIM PIM-SSM

312

rce-Specific Multicast (SSM). ite a los canales, no sólo a los

suscribe a un canal con un e el origen a través de IGMPv3. uentro (RP).

en IPv4. Si IGMPv3 se ejecuta entro de este rango de ara los grupos multicast dentro

forme directamente a los

l informe. No procesa informes

ecesarios para configurar

está habilitado de forma

in-prune. (Los mensajes


PIM-SSMAdemás de PIM-SM, los dispositivos NetScreen también admiten multicast PIM-SouPIM-SSM sigue el modelo source-specific (SSM) donde el tráfico multicast se transmgrupos multicast. Un canal consta de un origen y un grupo multicast. Un receptor seorigen conocido y un grupo multicast. Los receptores proporcionan información sobrEl enrutador designado en la LAN envía mensajes al origen y no a un punto de enc

El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM en un dispositivo junto con PIM-SM, las operaciones PIM-SSM están garantizadas ddirecciones. El dispositivo NetScreen manipula los informes de miembros IGMPv3 pdel rango de direcciones 232/8 tal y como como sigue:

• Si el informe contiene un modo de filtrado “include”, el dispositivo envía el inorígenes de la lista de origen.

• Si el informe contiene un modo de filtrado “exclude”, el dispositivo descarta e(*, G) para los grupos multicast del rango de direcciones 232/8.

PIM-SSM en dispositivos NetScreenLos pasos para configurar PIM-SSM en un dispositivo NetScreen son iguales a los nPIM-SM, pero con las siguientes diferencias:

• Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2predeterminada en los dispositivos NetScreen).

• Cuando configure una directiva de grupo multicast, autorice los mensajes jobootstrap no se utilizan).

• No configure un RP.

Índice

IX-I

de cargas según coste de cada ruta 52,

ión de rutas 62

e rutas 58

iguración básica 219ultador 215tivas multicast 232litar en interfaces 216sajes de host 214metros 222, 224y 226y del remitente 245y en interfaces 229 listas de accesos 217icar su configuración 222nenciones xi

ión de rutas 62slitar IGMP 216ula, definir rutas 18

ccesotamiento multicast 205P 217 rutas 58SM 286resión 106

Juniper Networks NetScreen conceptos y ejemplos – Volume 6: Enrutamiento

ÍndiceBBGP

adición de rutas 182agregación de rutas 193AS-Path en ruta agregada 196AS-Set en ruta agregada 193atributos de la ruta agregada 198atributos de ruta 161autenticación de vecinos 175comprobación de configuración 173comunidades 192confederaciones 189configuración de grupo de interlocutores 167configuración de interlocutores 167configuración de seguridad 175creación de instancia en enrutador virtual 164equilibrio de carga 52establecer atributos de ruta 185establecer el peso de la ruta 184expresiones regulares 180externo 162habilitación en interfaz 166habilitación en VR 164interno 162introducción al protocolo 160lista de acceso AS-path 180notificación de ruta condicional 183parámetros 177pasos de configuración 163rechazo de rutas predeterminadas 176redistribución de rutas 179reflexión de rutas 186suprimir rutas 194tipos de mensaje 161

Ccircuito de demanda

OSPF 105RIP 148

CLIconvenciones viii

configuración punto a multipuntoOSPF 107

conjuntos de caracteres compatibles con ScreenOS xii

consulta de rutasmúltiple VR 50secuencia 46

convencionesCLI viiiilustración xinombres xiiWebUI ix

Ddirectivas

multicast 208directivas multicast

IGMP 232

Eenrutamiento 2

multicast 199preferencia de ruta 37selección de rutas 37

enrutamiento estático 2, 6–17configuración 11multicast 204reenvío en interfaz nula 18utilización 9

enrutamiento multicastIGMP 211PIM 253

enrutamiento multidireccional de igual coste (ECMP) 52, 90, 147

enrutamiento según el origen 40enrutamiento según la interfaz de origen 44

equilibrio90

exportac

Ffiltrado d

GGRE 205

IIGMP

confconsdirechabimenparáproxproxproxusarverif

ilustracióconv

importacinterface

habiinterfaz n

Llista de a

enruIGMparaPIM-

LSA, sup

Índice

IX-II

, “Internet Group Management Protocol, Version 3” 212, “An Overview of Source-Specific Multi-cast (SSM)” 256

nticación de vecinos 135 de datos 146

iguración de circuito de demanda 148iguración de seguridad 135iguración de un circuito de demanda 149ción de instancia en enrutador virtual 119librio de carga 52do de vecinos 137litación en interfaz 121ducción al protocolo 117metros de interfaz 133metros globales 130s de configuración 118cción contra inundaciones 139

o a multipunto 151azo de rutas predeterminadas 138tribución de rutas 122men de prefijo 144de resumen de configuración 144 alternativas 146

ión 142ión de protocolo 142lizar la base de datos RIP 126lizar la información de vecino RIP 128lizar los detalles de la interfaz de RIP 129lizar los detalles de protocolo RIP 127

enrutamiento 4ulta 46ulta en múltiples VR 50icast 202cción de rutas 37 40


Mmapa de rutas 56métrica de ruta 39multicast

árboles de distribución 258direcciones 200directivas 208reenvío por rutas inversas 201rutas estáticas 204tabla de enrutamiento 202

Nnombres

convenciones xii

OOSPF

adyacencia de enrutadores 71área de rutas internas 70área no exclusiva de rutas internas 70áreas 69asignación de interfaces a un área 79autenticación de vecinos 99circuitos de demanda 105conexiones virtuales 92configuración de seguridad 99creación de instancia en enrutador virtual 75definición de área 77enrutador designado 71enrutador designado de respaldo 71equilibrio de carga 52establecer el tipo de conexión OSPF 107filtrado de vecinos 101habilitación en interfaz 81inhabilitar la restricción route-deny 108interfaces de túnel 105, 107inundación LSA reducida 105notificaciones de estado de conexiones 69, 72parámetros de interfaz 96parámetros globales 89pasos de configuración 74protección contra inundaciones 103protocolo de saludo 71

punto a multipunto 107rechazo de rutas predeterminadas 102red de difusión 71red punto a punto 72redistribución de rutas 86resumen de rutas redistribuidas 87soporte de ECMP 90supresión de LSA 106tipos de enrutador 70

PPIM-SM 256

configuración de RP 282configuraciones de seguridad 286crear una instancia 265enrutador designado 259IGMPv3 311parámetros de interfaz 291pasos de configuración 264proxy RP 294puntos de encuentro 259reenvío de tráfico 260

PIM-SSM 312

Rredistribución de rutas 55RFCs

1112, “Host Extensions for IP Multicasting” 212

1583 84, 901701, “Generic Routing Encapsulation

(GRE)” 2051771 1601793 97, 1051965 173, 189, 1901966 1861997 1922082 1172091 1482236, “Internet Group Management Protocol,

Version 2” 2122328 902453 117, 1423065 189

3376

3569

RIPautebaseconfconfconfcreaequifiltrahabiintroparáparápasoprotepuntrechredisresuruta rutasversversvisuavisuavisuavisua

SSIBR 44

Ttabla de

consconsmultseletipos

Índice

IX-III

rencia de ruta 37tribución de rutas 55viar tráfico entre dos 24118–141

cción de rutas 37ación de dos VRs 23, 24

enciones ix


VVRs 23–62

BGP 163–174consulta de tablas de enrutamiento en múltiple

VR 50consulta en la tabla de enrutamiento 46en vsys 29enrutamiento multidireccional de igual

coste 52enrutamiento según el origen 40enrutamiento según la interfaz de origen 44exportación de rutas 62

filtrado de rutas 58ID de enrutador 34importación de rutas 62listas de acceso 58mapa de rutas 56máximo de entradas de la tabla de

enrutamiento 36métrica de ruta 39modificar 33OSPF 74–104personalizados 27predefinido 23

preferedisreenRIP seleutiliz

WWebUI

conv

Índice

IX-IV

Juniper Networks NetScreen

Documents

Transcript of Juniper Networks NetScreen