REDES DE COMPUTADORASENRUTAMIENTO BASADOS EN DIRECTIVAS

02/12/2013

INGENIERIA MECATRONICA

Índice general

INTRODUCCION - - - - - - - - - - - - - - - - 2

1. MARCO TEORICO - - - - - - - - - - - - - - - - 3

1.1. CAPITULO 6: ENRUTAMIENTO BASADOS EN DIRECTIVAS - - - - - - 3

1.1.1. VISTA GENERAL DEL ENRUTAMIENTO BASADO EN DIRECTIVAS - - - 3

LISTAS DE ACCESO EXTENDIDAS GRUPOS DE COINCIDENCIAS GRUPOS DE ACCIONES

1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS 4

1.1.3. CONFIGURACION DEL ENRUTAMIENTO BASADO EN DIRECTIVAS - - - 5

CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA CONFIGURACION DE UN GRUPO DE ACCIONES CONFIGURACION DE UNA DIRECTIVA PBR ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS

1.1.4. VISUALIZACION DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS 19

VISUALIZACION DE UNA LISTA DE ACCESO EXTENDIDA VISUALIZACION DE UN GRUPO DE COINCIDENCIAS VISUALIZACION DE UN GRUPO DE ACCIONES VISUALIZACION DE LA CONFIGURACION DE UNA DIRECTIVA

DE ENRUTAMIENTO BASADO EN DIRECTIVAS VISUALIZACION DE LA CONFIGURACION COMPLETA

DE ENRUTAMIENTO BASADO EN DIRECTIVAS

1.1.5. EJEMPLO DE PBR AVANZADO - - - - - - - - - - - - 24

1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACION 29

2. CONCLUSIONES - - - - - - - - - - - - - - 30

3. ANEXOS - - - - - - - - - - - - - - 31

4. BIBLIOGRAFIA - - - - - - - - - - - - - - 31

Redes de Computadoras Página 1

INTRODUCCION

Las redes de la actualidad tienen un impacto significativo en nuestras vidas, ya que cambian nuestra forma de vivir, trabajar y divertirnos. Las redes de computadoras (y en un contexto más amplio, Internet) permiten a las personas comunicarse, colaborar e interactuar de maneras totalmente novedosas. Utilizamos la red de distintas formas, entre ellas las aplicaciones web, la telefonía IP, la videoconferencia, los juegos interactivos, el comercio electrónico, la educación y más. En el centro de la red se encuentra el router. En pocas palabras, un router conecta una red con otra red. Por lo tanto, el router es responsable de la entrega de paquetes a través de diferentes redes. El destino de un paquete IP puede ser un servidor Web en otro país o un servidor de correo electrónico en la red de área local. Es responsabilidad de los routers entregar esos paquetes a su debido tiempo. La efectividad de las comunicaciones de internetwork depende, en gran medida, de la capacidad de los routers de reenviar paquetes de la manera más eficiente posible. En la actualidad, se están incorporando routers a los satélites en el espacio. Estos routers tendrán la capacidad de enrutar el tráfico IP entre los satélites del espacio de un modo muy similar al que se transportan los paquetes en la Tierra, de manera que se reduzcan las demoras y se ofrezca una mayor flexibilidad para el trabajo en red.

ROUTER

Redes de Computadoras Página 2

1. MARCO TEORICO

1.1. ENRUTAMIENTO BASADO EN DIRECTIVAS

1.1.1. VISTA GENERAL BASADO EN DIRECTIVAS

El enrutamiento PBR proporciona un mecanismo de enrutamiento para las redes que se basan en el soporte de la capa de aplicación, como el antivirus (AV), deep inspection (DI) o antispam, filtrado de web o que requieren de una vía automática para aplicaciones específicas.Como primera parte del proceso de consulta de rutas, ScreenOS revisa si hay PBR y la revisión de PBR es transparente para todo el tráfico que no es PBR, cuando un paquete entra en el dispositivo de seguridad. PBR está habilitado en el nivel de interfaz y configurado dentro de un contexto de enrutador virtual; pero puede elegir la asociación de las directivas de PBR a una interfaz, una zona, un enrutador virtual (VR) o una combinación de interfaz, zona o VR.

Se utilizan los siguientes tres módulos para crear una directiva de PBR:

Listas de acceso extendidas Grupos de coincidencias Grupos de acciones

LISTAS DE ACCESO EXTENDIDAS

Las listas de acceso extendido enumeran los criterios de coincidencia que define para las directivas de PBR. Los criterios de coincidencia de PBR determinan la ruta de un flujo determinado de tráfico de datos. Los criterios de coincidencia incluyen los siguientes:

Dirección IP de origen Dirección IP destino Puerto de origen Puerto de destino Protocolo, como HTTP Prioridad de calidad de servicio (QoS) (opcional)

GRUPOS DE COINCIDENCIAS

Los grupos de coincidencias proporcionan una manera de organizar (por grupo, nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias asocian el número de ID de lista de acceso extendida con un nombre de grupo de coincidencias única y un número de ID de grupo de coincidencias. Este número de ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso extendidas al mismo grupo de coincidencias.

Redes de Computadoras Página 3

GRUPOS DE ACCIONES

Los grupos de acciones especifican la ruta que desea que tome el paquete. Se especifica la “acción” de la ruta al definir la siguiente interfaz, el salto siguiente o ambos.

Cada entrada de acción configurada se supervisa para revisar la accesibilidad como se muestra a continuación:

Accesibilidad únicamente de la siguiente interfaz

Si la siguiente interfaz está activa, la entrada de acción es posible. Cualquier interfaz, incluyendo todas las interfaces lógicas, tales como de túnel, agregadas o redundantes, que son visibles en el VR en el cual reside la directiva, son candidatas para la siguiente interfaz.Por ejemplo, si configura la entrada de acción con una interfaz NULL, la entrada de acción es alcanzable todo el tiempo. Con una interfaz NULL como la siguiente interfaz, la consulta de PBR siempre tiene éxito, de manera que ScreenOS detiene la consulta de rutas y descarta los paquetes.

Accesibilidad únicamente de salto siguiente

Si asocia el grupo de acciones únicamente con el salto siguiente, éste debe ser alcanzable a través de una entrada de ruta en la tabla de enrutamiento de las rutas de destino. El salto siguiente configurado es alcanzable en tanto exista una ruta válida en la tabla de

enrutamiento de rutas de destino para resolver el salto siguiente.

Accesibilidad de la siguiente interfaz y de salto siguiente

Si el salto siguiente es alcanzable a través de la siguiente interfaz, la entrada de acción es alcanzable. Cualquier interfaz incluyendo todas las interfaces lógicas, tal como túnel, agregado o redundante, que son visibles en VR en el cual reside la directiva, son candidatas para ser la siguiente interfaz.ScreenOS descarta el paquete si el salto siguiente es alcanzable pero la siguiente interfaz es una interfaz NULL. Si configura la entrada de acción con una interfaz NULL como la siguiente interfaz y el salto siguiente como ruta estática, ScreenOS pasa los paquetes a la ruta estática.

1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS

Cuando se habilita el enrutamiento basado en directivas en una interfaz, ScreenOS revisa todo el tráfico enviado a esa interfaz para ver si incluye enrutamiento basado en directivas. Cuando un paquete entra al dispositivo de seguridad, ScreenOS revisa la interfaz de entrada para una configuración de directiva de PBR. Si PBR está habilitado en esa interfaz de entrada, se aplican las siguientes acciones al paquete:

Redes de Computadoras Página 4

ScreenOS aplica la directiva de PBR asociada a la interfaz de entrada al paquete.

Si no existe una directiva de PBR al nivel de la interfaz, entonces ScreenOS aplica la directiva de PBR unida a la zona asociada con la interfaz de entrada al paquete.

Si no existe una directiva de PBR al nivel de zona, entonces ScreenOS aplica la directiva de PBR unida a VR asociado con la interfaz de entrada al paquete. ScreenOS encuentra el grupo de coincidencias y luego procesa las entradas de grupo de acciones. La primera entrada de acción alcanzable del grupo de acciones con una ruta válida es la que se utiliza para reenviar el paquete. Si no existen rutas alcanzables entre las entradas de acción, entonces se realiza una consulta de rutas regular.Si la entrada de acción es alcanzable, ScreenOS realiza una consulta de rutas con la interfaz preferida como la siguiente interfaz (si se especifica) y el salto siguiente como la dirección IP (si se especifica) en lugar de utilizar el IP de destino. Si una ruta coincide con la siguiente interfaz y salto siguiente indicados, ScreenOS reenvía el paquete. De lo contrario, ScreenOS utiliza la dirección IP de destino.

1.1.3. CONFIGURACIÓN DEL ENRUTAMIENTO BASADO EN DIRECTIVAS

ENRUTAMIENTO

Esta característica dota de la capacidad de instalar un enrutador software, así como plataforma abierta para el enrutamiento y las conexiones de red, pudiendo ofrecer servicios de enrutamiento en entornos de red de área local (LAN) y de red de área extensa (WAN), o incluso a través de Internet mediante el uso de conexiones VPN seguras. El componente de enrutamiento se utiliza para servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT.

Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes, dirigiendo los paquetes entrantes y salientes a partir de la información que contiene sobre el estado de sus propios adaptadores de red y una lista de posibles orígenes y destinos del tráfico de red. El tráfico de red soportado por el enrutador y las necesidades de enrutamiento, determinarán el número y los tipos de dispositivos de hardware y aplicaciones necesarios, siendo posible utilizar un enrutador de hardware dedicado, un enrutador basado en software o una combinación de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de enrutamiento más complejas, mientras que los enrutadores basados en software, controlan cargas de enrutamiento más ligeras.

En redes de comunicaciones TCP/IP, enrutamiento basado en políticas (del inglés Policy-based routing o PBR) es una técnica para implementar decisiones de enrutamiento basadas en políticas definidas por el administrador de la red. El comportamiento habitual de un enrutador o router cuando recibe un paquete es la de reenviarlo en función de la dirección IP destino incluida en el paquete, que utiliza para comparar con su tabla de enrutamiento. Sin embargo, en algunos casos puede ser interesante reenviar el tráfico según otros criterios, como la dirección origen del paquete, el tipo de tráfico o cualquier otra información contenida en el paquete.

Redes de Computadoras Página 5

La Figura 1 muestra una manera en que PBR diferencia las rutas de tráfico de servicio enviando el tráfico de HTTP a lo largo de una ruta y el tráfico de HTTPS a lo largo de otra. La Figura 20 muestra dos nodos, uno en 172.18.1.10 y otro en 172.18.2.10. Cuando el dispositivo de seguridad recibe el tráfico de HTTP, ScreenOS enruta el tráfico a través del enrutador 172.24.76.1; y cuando el dispositivo de seguridad recibe el tráfico de HTTPS, ScreenOS enruta el tráfico a través del enrutador 172.24.76.2.

Lo contrario sucede en el nodo 172.18.2.10. El tráfico de HTTP del nodo 172.18.2.10 fluye al enrutador 172.24.76.2 y el tráfico de HTTPS fluye al enrutador 172.24.76.1.

Figura 1: Enrutamiento del tráfico de HTTP y HTTPS con enrutamiento basado en Directivas

CONFIGURACIÓN DE UNA LISTA DE ACCESO EXTENDIDA

Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router.

Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición access-list número identificador [permit|deny] condición.

El número utilizado para identificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista.

Redes de Computadoras Página 6

Tabla n° 1

Se realizará una simulación de red en el programa Packet Tracer. El protocolo de enrutamiento

empleado será RIP Versión 2, se debe probar la conectividad de la red y después configurar listas de

acceso en los routers para evitar que el host de dirección ip 172.30.0.2/16 acceda a la subred 3.

Ningún computador de la subred 2 debe tener acceso a la subred 1.

Tabla n°2

Redes de Computadoras Página 7

CONFIGURACIONES

A continuación se muestra la configuración en cada uno de los routers.

Redes de Computadoras Página 8

RESULTADOS

El host 172.30.0.2 no puede comunicarse a la subred 3 .Se realiza una prueba de ping desde el host en cuestión. Se observa que el mismo no obtiene respuesta desde la subred 3.

Se realiza la misma prueba con otro computador de la subred 1 y se comprueba que éste si obtiene respuesta de la subred 2.

La subred 2 no tiene acceso a la Subred 1. Se realiza un ping a un host de la subred 1, el ping falla.

Redes de Computadoras Página 9

Se realiza otro ping hacia la subred 3, el ping es exitoso.

PRUEBA DE PROTOCOLO DE ENRUTAMIENTO

El protocolo de enrutamiento permite el cálculo dinámico de las rutas en caso que falle un enlace, esto provoca que si la lista de acceso se configuró sobre una sola interfaz del router y debido a cambios de topologías, el tráfico deja de atravesar ésta interfaz; la lista de acceso no cumple más su objetivo. Se realizó ésta prueba en el simulador.

Se desconecta el enlace entre el Router 1 y el Router 2, unidos mediante las interfaces en las que se configuraron las listas de acceso. La tabla de rutas se actualiza dinámicamente en los routers.

Redes de Computadoras Página 10

Ya que la lista de acceso se aplicó sobre la interfaz conectada al switch un cambio en la topología no la afectaría sin antes afectar toda la conectividad de la subred 1.

Las “Access Lists” se utilizan para implementar seguridad en los enrutadores

Permiten alto grado de control en la red

Filtran el flujo de paquetes entrando o saliendo de las interfaces del enrutador

Restringen el uso de la red a ciertos usuarios o equipos

Prohíben o permiten tipos de tráfico

Reglas de Aplicación de las Listas de Acceso

Se analizan en orden secuencial: línea 1, línea 2, etc.

La información de un paquete se compara con la lista hasta que una coincidencia ocurre. Luego de esto NO se sigue comparando.

Existe una línea de prohibición tácita al final de cada lista. Si un paquete no coincide con ninguna regla, al final se descarta.

Utilización de las listas de acceso

Listas de Acceso Estándar (1 - 99)

Especificaciones de direcciones más simples.

Generalmente permiten o prohíben el datagrama IP completo.

Listas de Acceso Extendidas (100 - 199)

Forma más compleja de especificar direcciones

Generalmente permiten o prohíben protocolos (puertos) Específicos

Redes de Computadoras Página 11

Sintaxis de las Listas de Acceso

Sintaxis de las listas estándar

Access-list access-list-number {permit | deny} source {source-mask}

ip access-group access-list -number {in | out}

Sintaxis de las listas extendidas

Access-list access-list-number {permit | deny} protocol source {source-mask} destination {destination-mask}

ip access-group access-list -number {in | out}

Dónde Aplicar las Listas de Acceso

Aplique las listas de acceso lo más cerca posible de donde se origina el tráfico

Ejemplo de Lista de Acceso

Hacer coincidir las sub redes 192.168.0.0 a 192.168.64.0

ip access-list 99 192.168.0.0 0.0.63.255

Los bits de la meta-máscara indican cómo interpretar los bits de la dirección 0=coincide

„ 1=ignora

Coincidir con cualquier dirección IP

„ 0.0.0.0 255.255.255.255

„ O abrevie la expresión utilizando la palabra any

Coincidir con un nodo en específico

„ 192.168.1.5 0.0.0.0

„ O abrevie la expresión utilizando la palabra Host

Redes de Computadoras Página 12

Permitir acceso Telnet a mi red solamente

Access-list 1 permits 192.168.32.192 0.0.0.15 Access-list 1 deny any Line vty 0 Access-class 1 in

Ejemplo de lista de acceso estándar

Redes de Computadoras Página 13

Ejemplo de lista de acceso extendida

Prohibir la entrada de tráfico SNMP

Redes de Computadoras Página 14

CONFIGURACIÓN DE UN GRUPO DE COINCIDENCIAS

CONFIGURACIÓN DE DOS ENRUTADORES VIRTUALES

Se pueden configurar varios enrutadores virtuales (VRs) en un dispositivo NetScreen manteniendo una tabla de enrutamiento separada para cada VR. De forma predeterminada, todas las zonas de seguridad predefinidas y definidas por el usuario están asociadas al trust-vr. Esto significa que todas las interfaces asociadas a esas zonas de seguridad también pertenecen al trust-vr. Esta sección analiza cómo asociar una zona de seguridad (y sus interfaces) al VR untrust-vr.

Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero primero hay que quitar todas las interfaces de la zona.

A continuación se enumeran los pasos básicos para asociar una zona de seguridad al VR untrust-vr:

1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No se puede modificar el vínculo de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado una dirección IP a una interfaz, es necesario eliminar la asignación de dirección antes de quitar la interfaz de la zona.

2. Asignar la zona al VR untrust-vr.

3. Asignar de nuevo las interfaces a la zona. Ejemplo: Asociación de una zona al untrust-vr

En el siguiente ejemplo, la zona de seguridad untrust está asociada de forma predeterminada al trust-vr y la interfaz ethernet3 está asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, después cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr.

WebUI

1. Desasociar la interfaz de la zona untrust Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y haga clic en OK:

Zone Name: Null IP Address/Netmask: 0.0.0.0/0

Redes de Computadoras Página 15

2. Asociar la zona untrust al untrust-vr Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegable Virtual Router Name y haga clic en OK.

3. Asociar la interfaz a la zona untrust Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name y haga clic en OK.

CLI

1. Desasociar la interfaz de la zona untrust set interface ethernet3 0.0.0.0/0 unset interface ethernet3 zone.

2. Asociar la zona untrust al untrust-vr set zone untrust vr untrust-vr.

2. Asociar la interfaz a la zona untrust set interface eth3 zona un trust save.

En las siguientes imágenes, el resultado del comando get zone de la izquierda muestra la interfaz, la zona y los enlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminados, la zona untrust está asociada al trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zona y enlaces del VR después de haber reconfigurado los enlaces, la zona untrust está ahora asociada al untrust-vr.

Redes de Computadoras Página 16

CONFIGURACIÓN DE UNA DIRECTIVA DE PBR

Necesidad de definir políticas de enrutamiento

En las redes IP actuales, las grandes organizaciones requieren la libertad para implementar enrutamiento en función de sus propias políticas, definidas de una manera que va más allá de los aspectos controlados por los protocolos de enrutamiento.

Cuando determinado tráfico tiene que ser enviado por unos caminos específicos debido a cuestiones administrativas, el enrutamiento basado en políticas proporciona una solución. Los administradores de la red pueden crear políticas que provoquen selectivamente que determinados paquetes utilicen diferentes caminos.

El enrutamiento basado en políticas también proporciona un mecanismo para marcar paquetes y así diferenciar distintos tipos de tráfico, pudiendo priorizar combinándolo con técnicas de gestión de colas (queuing).

Los beneficios de implementar enrutamiento basado en políticas

Dentro de los beneficios que se pueden obtener de implementar PBR podemos destacar:

Elección de proveedor de tránsito basado en direcciones origen: Los proveedores de servicio de Internet y otras organizaciones pueden utilizar PBR para encaminar el tráfico hacia diferentes conexiones de Internet según dónde se haya originado dicho tráfico.

Calidad de Servicio (QoS): Se puede proporcionar QoS modificando los valores TOS o IP Precedente de una manera diferenciada en los router frontera.

Ahorro de costes: Se pueden reducir los costes derivados de las comunicaciones diferenciando los tipos de tráfico que utilizan cada una de los circuitos, pudiendo combinar con circuitos permanentes o conmutados de diferentes anchos de banda y costes.

Balanceo de carga: Además de las posibilidades de balanceo de carga sobre caminos de igual coste proporcionado por algunos protocolos de encaminamiento dinámico, es posible balancear entre diferentes caminos en función de las características del tráfico.1

Aplicación del enrutamiento basado en políticas

Esta técnica se aplica sobre los paquetes entrantes. Todos los paquetes recibidos por un interfaz con PBR habilitado son considerados para encaminarlos en función de las políticas configuradas. El router hace pasar a los paquetes por unos filtros avanzados denominados mapas de ruta, y son reenviados al siguiente salto apropiado.

Redes de Computadoras Página 17

ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS

Puede asociar una directiva de PBR a una interfaz, una zona o un enrutador virtual dentro de un contexto de enrutador virtual.

ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA INTERFAZ

Puede asociar la directiva de PBR directiva-re direccionar a la interfaz de ingreso.En este ejemplo, la interfaz es la interfaz trust.

ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREEN

ScreenOS puede dividir su componente de enrutamiento en dos o más enrutadores virtuales. Los

enrutadores virtuales admiten protocolos de enrutamiento estático y dinámico, y protocolos

multicast que se pueden activar de forma simultánea en un solo enrutador virtual. Los dispositivos

Nets creen incorporan dos enrutadores virtuales predefinidos:

• Trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario.

• Untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad. Algunos

dispositivos Nets creen permiten crear otros enrutadores virtuales personalizados. Dividiendo la

información de enrutamiento en dos (o más) enrutadores virtuales, se puede controlar qué

información de un determinado dominio de enrutamiento será visible desde otros dominios de

enrutamiento. Por ejemplo, se puede mantener la información de enrutamiento de todas las zonas

de seguridad de una red corporativa en el enrutador virtual predefinido trust-vr, y la información

de enrutamiento de todas las zonas fuera de la red corporativa en el otro enrutador virtual

predefinido untrust-vr. Gracias a que la in formación de la tabla de enrutamiento de un enrutador

virtual no es visible desde el otro, la información de enrutamiento de la red interna se puede

mantener aislada de fuentes no fiables situadas fuera de la empresa. Esto también significa que el

tráfico procedente de zonas de un enrutador virtual no se reenvía automáticamente a las zonas de

otro enrutador virtual aunque existan directivas que permitan el tráfico. Si desea que dos

enrutadores virtuales puedan intercambiar tráfico de datos, deberá exportar las rutas entre esos

VR o configurar una ruta estática en uno de ellos que defina al otro como siguiente salto (“next-

hop”).

Redes de Computadoras Página 18

ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA ZONA

Puede asociar la directiva de PBR directiva-redireccionar a una zona. En este ejemplo, la zona es la zona Trust.

WebUI

Network > Routing > PBR > Policy Binding

CLIset zone trust pbr directiva-re direccionar

ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UN ENRUTADOR VIRTUAL

Puede asociar la directiva de PBR directiva-re direccionar a un enrutador virtual. En este ejemplo, el enrutador virtual es trust-vr.

WebUI

Network > Routing > PBR > Policy BindingCLI

set vrouter trust-vr pbr directiva-re direccionar

Visualización de la salida de enrutamiento basado en directivasPuede ver la información relacionada con el enrutamiento basado en directivas conWebUI o CLI.

1.1.4. VISUALIZACIÓN DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS

Puede ver la información relacionada con el enrutamiento basado en directivas conWebUI o CLI.

Visualización de una lista de acceso extendida

Puede ver la lista completa de las listas de acceso extendidas desde WebUI o CLI.En CLI puede especificar ver una lista de acceso extendida determinada. En el segundo ejemplo de CLI, el ejemplo muestra que existen dos listas de acceso extendidas en trust-vr, pero el usuario indicó la lista de acceso extendido 2. Según se especificó, ScreenOS regresó dos entradas de lista de acceso, 10 y 20, únicamente para la segunda lista de acceso extendida.

WebUINetwork > Routing > PBR > Access List ExtCLI 1

Redes de Computadoras Página 19

get vrouter trust-vr pbr access-list configuration

Ejemplo:

set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32dest-port 80-80 protocol tcp entry 1set access-list extended 1 src-port 200-300 entry 2set access-list extended 2 dest-port 500-600 protocol udp entry 10set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20

CLI 2get vrouter trust-vr pbr access-list 2

Ejemplo:

PBR access-list: 2 in vr: trust-vr, number of entries: 2------------------------------------------------PBR access-list entry: 10------------------------dest port range 500-600protocols: udpPBR access-list entry: 20------------------------dest ip-address 50.50.50.0/24protocols: udp

Visualización de un grupo de coincidencias

Puede ver los detalles de grupo de coincidencias desde WebUI o CLI.

WebUI

Network > Routing > PBR > Match Group

CLI

get vrouter trust-vr pbr match-group config

Ejemplo:

set match-group name pbr1_mgset match-group pbr1_mg ext-acl 1 match-entry 1set match-group name pbr1_mg2

Redes de Computadoras Página 20

set match-group pbr1_mg2 ext-acl 2 match-entry 10

Visualización de un grupo de acciones

Puede ver los detalles de grupo de acciones desde WebUI o CLI.

WebUI

Network > Routing > PBR > Action Group

CLI 1

get vrouter trust-vr pbr action-group configuration

Ejemplo:

set action-group name pbr1_agset action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2action-entry 1set action-group name pbr1_ag2set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10set action-group pbr1_ag2 next-interface ethernet3 action-entry 20set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60action-entry 30

CLI 2

get vrouter trust-vr pbr match-group name pbr1_ag2

Ejemplo:

device-> get vr tr pbr action-group name pbr1_ag2PBR action-group: pbr1_ag2 in vr: trust-vr number of entries: 3------------------------------------------------PBR action-group entry: 10next-interface: N/A, next-hop: 30.30.30.30------------------------PBR action-group entry: 20next-interface: ethernet3, next-hop: 0.0.0.0------------------------PBR action-group entry: 30next-interface: ethernet3, next-hop: 60.60.60.60

Redes de Computadoras Página 21

Visualización de la configuración de una directiva de enrutamiento basado en directivas

Puede ver la configuración de directivas de enrutamiento basado en directivas desde WebUI o CLI. En la CLI puede escoger ver la configuración o puede introducir el nombre de directiva para ver una configuración de directiva individual.

WebUI

Network > Routing > PBR > Policy

CLI

get vrouter trust-vr pbr policy config

Ejemplo:

set pbr policy name pbr1_policyset pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 25

CLI

get vrouter trust-vr pbr policy name pbr1_policy

Ejemplo:

PBR policy: pbr1_policy in vr: trust-vr number of entries: 2------------------------------------------------PBR policy entry: 50match-group: pbr1_mg2, action-group: pbr1_ag2------------------------PBR policy entry: 256match-group: pbr1_mg, action-group: pbr1_ag

Redes de Computadoras Página 22

Visualización de la configuración completa de enrutamiento basado en directivas

Puede ver la configuración de enrutamiento basado en directivas desde WebUI o CLI.

WebUI

Network > Routing > PBR > Access List ExtNetwork > Routing > PBR > Match GroupNetwork > Routing > PBR > Action GroupNetwork > Routing > PBR > Policy

CLI get vrouter trust-vr pbr configuration

Ejemplo:

set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32dest-port 80-80 protocol tcp entry 1set access-list extended 1 src-port 200-300 entry 2set access-list extended 2 dest-port 500-600 protocol udp entry 10set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20set match-group name pbr1_mgset match-group pbr1_mg ext-acl 1 match-entry 1set match-group name pbr1_mg2set match-group pbr1_mg2 ext-acl 2 match-entry 10set action-group name pbr1_agset action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2action-entry 1set action-group name pbr1_ag2set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10set action-group pbr1_ag2 next-interface ethernet3 action-entry 20set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60action-entry 30set pbr policy name pbr1_policyset pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256

Redes de Computadoras Página 23

1.1.5. EJEMPLO DE PBR AVANZADO

PBR (Enrutamiento basado en directivas) le permite definir y descargar únicamente los tipos de tráfico que ScreenOS necesita procesar. Durante el procesamiento de tipos específicos de tráfico, como el tráfico que necesita análisis antivirus (AV), la red no se satura porque no analiza los tipos de paquetes que no requieren análisis en busca de virus.

NOTA: También se podría configurar PBR para enviar tráfico específico para antispam, deep inspection (DI), prevención y detección de intrusión (IDP), filtrado de web o caché.

Puede combinar varios tipos de dispositivos de seguridad de Juniper Networks para que trabajen conjuntamente y proporcionen los servicios al mismo tiempo que mantienen una buena velocidad de procesamiento en la red y generan una carga de análisis de AV aceptable. La Figura muestra un dispositivo de seguridad que ejecuta PBR para dividir el tráfico de AV de todo el otro tráfico (derecha).

Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV).

Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces

Redes de Computadoras Página 24

10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV).

NOTA: Si únicamente tiene tres interfaces 10/100 disponibles, puede colocar un conmutador entre los dos dispositivos de seguridad y utilizar el etiquetado VLAN (802.1q) para configurar las mismas rutas para el tráfico.

En el siguiente ejemplo, realice los siguientes pasos para configurar el dispositivo de seguridad que proporciona las rutas de enrutamiento:

1. Configure el enrutamiento.2. Configure PBR.3. Enlace las directivas de PBR a las interfaces apropiadas.

Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran únicamente los comandos CLI y la salida.

Para obtener más información sobre la configuración de AV, consulte el Volumen 4: Detección ataques y mecanismos de defensa.

Enrutamiento

En este ejemplo, necesita crear dos zonas personalizadas.

Para configurar las zonas, introduzca los siguientes comandos:

Con la información que se muestra en la Tabla 15, configurará cuatro interfaces 10/100 Ethernet.

Configuración de interfaz para enrutamiento

Para configurar las interfaces, introduzca los siguientes comandos:

Redes de Computadoras Página 25

Después de configurar las zonas, las interfaces y las rutas, necesita realizar las siguientes dos tareas:

1. Configure una ruta estática de untrust-vr a trust-vr. Asigne una dirección IP de la puerta de enlace de 10.251.10.0/24 y un valor de preferencia de 20 a la entrada:

2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la interfaz Trust a la interfaz Untrust:

Puede verificar los cambios con el comando get route:

Routing Table: IPv4 Dest-Routes for <untrust-vr> (6 entries)

Redes de Computadoras Página 26

Ahora está listo para configurar PBR.

Elementos PBR

Después de configurar las interfaces y rutas, puede configurar PBR. Para que PBR funcione correctamente, debe configurar los siguientes elementos para trust-vr:

- Lista de acceso extendida- Grupo de coincidencias- Grupo de acciones- Directiva de PBR

Listas de acceso extendidas

Para este ejemplo, determinará que desea enviar el tráfico de HTTP (puerto 80), SMTP (puerto 110) y POP3 (puerto 25) para el procesamiento de AV. Para enviar estos tres tipos de paquetes a un dispositivo de seguridad, configure una lista de acceso extendido en trust-vr.

Redes de Computadoras Página 27

NOTA: No necesita configurar una lista de acceso extendida para el tráfico de regreso ya que el dispositivo de seguridad realiza una consulta de sesión antes que una consulta de rutas y luego aplica una directiva de PBR según sea necesario. El tráfico de retorno tiene una sesión existente.

Cuando cualquier cliente en la subred 10.251.10.0/24 inicia el tráfico que utiliza TCP al puerto 80, 110 ó 25, desea que ScreenOS compare ese tráfico con los criterios de lista de acceso extendida y realice la acción asociada con la lista de acceso. La acción obliga a ScreenOS a enrutar el tráfico como usted indica, y no como otro tráfico. Cada lista de acceso necesita tres entradas, una para cada tipo de tráfico de TCP al que se dirige.

Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes comandos:

Grupos de coincidencias

Un grupo de coincidencias asocia una lista de acceso extendida con un nombre significativo al que se hace referencia en la directiva de PBR. Primero introduzca un contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente agregue una entrada que asocia el nombre del grupo de coincidencias recientemente creado con una lista de acceso y el número de entrada.

Para crear grupos de coincidencias en trust-vr, introduzca los siguientes comandos:

Grupos de acciones

A continuación, creará un grupo de acciones, el cual indica a donde enviar el paquete. Para este ejemplo, creará un grupo de acciones para trust-vr con la acción establecida para enviar el tráfico al salto siguiente.

Redes de Computadoras Página 28

PRECAUCIÓN: Si la acción es enviar el tráfico a la siguiente interfaz, el cambio de estado de enlace activará/desactivará la directiva de enrutamiento.

Con el salto siguiente, la acción se resuelve con el protocolo de resolución de dirección (ARP).

Para trust-vr, reenviará el tráfico con la instrucción de siguiente salto a través de 192.168.100.254 por medio de los siguientes comandos:

Directivas de PBR

A continuación, definirá la directiva de PBR, que requiere de los siguientes elementos:

- Nombre de la directiva de PBR - Nombre del grupo de coincidencias- Nombre del grupo de acciones

Para configurar la directiva de PBR, introduzca los siguientes comandos:

Asociación de interfaces

Finalmente, asociará la directiva de PBR a la interfaz de ingreso, e1.Para asociar la directiva de PBR a su interfaz de ingreso, introduzca los siguientes comandos:

1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACIÓN

Con el ejemplo anterior de PBR como base, puede mejorar la flexibilidad de su red con alta disponibilidad (HA) o posibilidad de ampliación.

Redes de Computadoras Página 29

Solución de resistencia en PBR

Una solución sólida de PBR puede incluir las siguientes configuraciones de dispositivo:

- Dos dispositivos de seguridad que proporcionan red- Otros dos dispositivos de seguridad que proporcionan análisis de AV

Cada par de dispositivos ejecuta el protocolo de redundancia de NetScreen (NSRP) en una configuración activa/pasiva para proporcionar protección de cambio en caso de fallo. Para los dos dispositivos de seguridad que ejecutan el enrutamiento, un dispositivo se encarga de la función de enrutamiento si ocurre un fallo del hardware. En caso del par que proporciona el análisis de AV, si ocurre un fallo en uno de los dispositivos, el otro dispositivo se encarga de la función de análisis.

NOTA: Para obtener más información, consulte el Volumen 11: Alta Disponibilidad.

Solución con posibilidad de ampliación en PBR

Las soluciones PBR se amplían bien. Si necesita más capacidad, puede agregar más dispositivos de seguridad. Al dividir la subred /24 en dos subredes /25, puede configurar una lista de acceso extendida para la subred inferior /25 y otra lista de acceso extendido para la subred superior /25, luego agregue dos dispositivos de seguridad para proporcionar servicios de análisis en DMZ.

También puede implementar el equilibrio de carga si crea una configuración de NSRP activa/activa. Un dispositivo puede procesar el tráfico de la subred inferior /25 y el otro dispositivo puede procesar el tráfico de la subred superior /25. Cada dispositivo respalda al otro.

2. CONCLUSION

El objetivo principal de un router es conectar múltiples redes y reenviar paquetes desde una red a la siguiente. Esto significa que un router normalmente tiene múltiples interfaces. Cada interfaz es un miembro o host en una red IP diferente.

Redes de Computadoras Página 30

El router tiene una tabla de enrutamiento, que es una lista de redes conocidas por el router. La tabla de enrutamiento incluye direcciones de red para sus propias interfaces que son las redes conectadas directamente, además de direcciones de red para redes remotas. Una red remota es una red a la que se puede llegar únicamente reenviando el paquete a otro router. Las redes remotas se incorporan a la tabla de enrutamiento de dos maneras: si el administrador de red configura las rutas estáticas en forma manual o al implementar un protocolo de enrutamiento dinámico. Las rutas estáticas no tienen tanta sobrecarga como los protocolos de enrutamiento dinámico; sin embargo, las rutas estáticas requieren más mantenimiento si la topología es inestable o está en constante cambio. Los protocolos de enrutamiento dinámico se ajustan automáticamente a los cambios sin intervención alguna del administrador de la red. Los protocolos de enrutamiento dinámico requieren más procesamiento de la CPU y además usan una cierta cantidad de capacidad de enlace para mensajes y actualizaciones de enrutamiento. En muchos casos, una tabla de enrutamiento tendrá tanto rutas estáticas como dinámicas. Los routers toman su decisión principal de reenvío en la Capa 3, la capa de Red. Sin embargo, las interfaces del router participan en las Capas 1, 2 y 3. Los paquetes IP de Capa 3 se encapsulan en una trama de enlace de datos de Capa 2 y se codifican en bits en la Capa 1. Las interfaces del router participan en procesos de Capa 2 asociados con la encapsulación. Por ejemplo, una interfaz Ethernet en un router participa en el proceso ARP como otros hosts en esa LAN.

3. ANEXOS

http://es.wikipedia.org/wiki/Enrutamiento_basado_en_pol%C3%ADticas

http://www.monografias.com/trabajos-pdf2/introduccion-protocolos-enrutamiento/introduccion-protocolos-enrutamiento.shtml#ixzz2mRndWtpt

http://technet.microsoft.com/es-es/library/gg398512.aspx

http://enredandoconredes.com/2012/09/

Redes de Computadoras Página 31

http://www.adminso.es/index.php/3._Ejemplo_sencillo_de_iptables

4. BIBLIOGRAFIA

Policy routing Cisco Press article

http://antonio_gallego.tripod.com/apuntes/listas.htm

http://www.ite.educacion.es/formacion/materiales/85/cd/windows/pdf/M2-Servicios_basicos/M21_enrutamiento.pdf

http://www.systemconsultores.com/data/carpetas/2/CCNA2_Capitulo%201%20Introduccion%20al%20enrutamiento%20y%20reenvio%20de%20paquetes.pdf

https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=12&cad=rja&sqi=2&ved=0CGUQFjAL&url=http%3A%2F%2Fwww.eslared.org.ve%2Fwalcs%2Fwalc2004%2Fapc-aa%2Farchivos-aa%2F1e60354f4717edb9fb793dbc5219499d%2FEnrutamiento_IP_E5F6A.doc&ei=ZFGfUvGqBfLNsQTk04KwBQ&usg=AFQjCNGlx57VvBiJoPQqueGYuJOUL6LeUg&bvm=bv.57155469,d.eW0

Redes de Computadoras Página 32