Beruflich Dokumente
Kultur Dokumente
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Contenido
Contenido
Prefacio ....................................................................... vii
Convenciones .......................................................... viii
Convenciones de la interfaz de lnea de comandos (CLI) .....................................................viii Convenciones de la interfaz grfica (WebUI) .............. ix Convenciones para las ilustraciones........................... xi Convenciones de nomenclatura y conjuntos de caracteres ...................................................................xii
Enrutadores virtuales de los dispositivos NetScreen....8 Cundo configurar rutas estticas.............................9 Configuracin de rutas estticas .............................11
Ejemplo: Rutas estticas.......................................12 Ejemplo: Ruta para una interfaz de tnel.............16 Reenvo de trfico a la interfaz nula ..........................18 Rutas permanentemente activas ...............................19
Contenido
Clasificacin de enrutadores..................................... 70 Protocolo de saludo................................................... 71 Tipos de redes ............................................................ 71 Redes de difusin ................................................ 71 Redes punto a punto ........................................... 72 Redes punto a multipunto ................................... 72 Notificaciones de estado de conexiones .................. 72
Redistribucin de rutas.............................................55
Configuracin de un mapa de rutas .........................56 Filtrado de rutas..........................................................58 Listas de acceso.........................................................58 Ejemplo: Configuracin de una lista de acceso............................................................59 Ejemplo: Redistribucin de rutas en OSPF ............60
Redistribucin de rutas.............................................86
Ejemplo: Redistribucin de rutas en OSPF............ 86 Resumen de rutas redistribuidas ................................ 87 Ejemplo: Resumen de rutas redistribuidas ........... 87 Ejemplo: Evitar bucles creados por las rutas resumidas .................................................... 88
ii
Contenido Conexiones virtuales...................................................92 Ejemplo: Creacin de una conexin virtual ........93 Ejemplo: Creacin de una conexin virtual automtica ..........................................................95
Configuracin de seguridad....................................99
Autenticacin de vecinos...........................................99 Ejemplo: Configuracin de una contrasea de texto no cifrado ..............................................99 Ejemplo: Configuracin de una contrasea MD5.................................................100 Filtrado de vecinos OSPF ..........................................101 Ejemplo: Configuracin de una lista de vecinos..........................................................101 Rechazo de rutas predeterminadas.........................102 Ejemplo: Eliminacin de la ruta predeterminada.................................................102 Proteccin contra inundaciones ..............................103 Ejemplo: Configuracin de un lmite de saludo ...........................................................103 Ejemplo: Configuracin de un lmite de LSAs.....104
iii
Contenido
Configuracin de seguridad..................................135
Autenticacin de vecinos.........................................135 Ejemplo: Configuracin de una contrasea MD5.................................................136 Filtrado de vecinos RIP..............................................137 Ejemplo: Configuracin de vecinos fiables .......137 Rechazo de rutas predeterminadas.........................138 Ejemplo: Rechazo de rutas predeterminadas....138 Proteccin contra inundaciones ..............................139 Ejemplo: Configuracin de un umbral de actualizacin .....................................................139 Ejemplo: Habilitacin de RIP en interfaces de tnel ..............................................................140
Configuracin de seguridad..................................175
Autenticacin de vecinos ........................................ 175 Ejemplo: Configuracin de la autenticacin MD5 ............................................ 175 Rechazo de rutas predeterminadas ........................ 176 Ejemplo: Rechazo de rutas predeterminadas ... 176
iv
Contenido Adicin de rutas a BGP.............................................182 Ejemplo: Notificacin de ruta condicional ........183 Ejemplo: Establecer el peso de la ruta ..............184 Ejemplo: Establecer atributos de ruta ................185 Reflexin de rutas .....................................................186 Ejemplo: Configuracin de la reflexin de rutas ..............................................................187 Confederaciones .....................................................189 Ejemplo: Configurar una confederacin ...........190 Comunidades BGP ...................................................192 Agregacin de rutas.................................................193 Ejemplo: Agregar rutas con diferentes AS-Paths ..............................................................193 Ejemplos: Suprimir las rutas ms especficas en actualizaciones ..................................................194 Ejemplo: Seleccionar rutas para el atributo Path .......................................................196 Ejemplo: Cambiar atributos de la ruta agregada ...................................................198
Directivas multicast.................................................208
Contenido
RP Proxy ..................................................................294
Configuracin de un RP proxy ................................. 297 Ejemplo: Configuracin del RP proxy ................ 298
vi
Prefacio
El enrutamiento es una parte fundamental de los dispositivos de seguridad como los sistemas y dispositivos de NetScreen. El enrutamiento dinmico permite a los dispositivos NetScreen intercambiar informacin de enrutamiento con enrutadores y otros dispositivos de red mediante la utilizacin de protocolos de uso habitual y tablas de enrutamiento que se crean y se actualizan automticamente. Los protocolos de enrutamiento dinmico reducen mucho el intervalo entre los cambios en la topologa de la red y los ajustes en la tabla de enrutamiento porque estos se realizan automticamente. El enrutamiento multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts. Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. El Volumen 6, Enrutamiento, describe lo siguiente: Fundamentos del enrutamiento, incluyendo tablas de rutas y cmo configurar rutas estticas para el enrutamiento basado en destinos o el enrutamiento basado en orgenes Cmo configurar los enrutadores virtuales en los dispositivos NetScreen y cmo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre enrutadores virtuales Cmo configurar los siguientes protocolos de enrutamiento dinmico en dispositivos NetScreen: OSPF (Open Shortest Path First, abrir primero la ruta ms corta), RIP (Routing Information Protocol, protocolo de informacin de enrutamiento) y BGP (Border Gateway Protocol, protocolo de puerta de enlace de lmite) Fundamentos del enrutamiento multicast, incluyendo cmo configurar rutas multicast estticas Cmo configurar los protocolos multicast siguientes: Internet Group Management Protocol (IGMP), Protocol Independent Multicast - Sparse Mode (PIM-SM) y Protocol Independent Multicast - Source Specific Multicast (PIM-SSM)
vii
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina ix Convenciones para las ilustraciones en la pgina xi Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
viii
Prefacio
Convenciones
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
ix
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
Prefacio
Convenciones
Internet
Zona de seguridad
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
xi
Prefacio
Convenciones
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
xii
Prefacio
xiii
Prefacio
xiv
Captulo 1
Para que un dispositivo NetScreen pueda reenviar paquetes de una red a otra, ScreenOS mantiene una tabla de enrutamiento que contiene entradas para todas las direcciones de red conocidas. Generalmente, la tabla de enrutamiento contiene una o ms rutas estticas, que son configuraciones introducidas manualmente para definir rutas a destinos especficos. Adems, los dispositivos NetScreen tambin mantienen una tabla de enrutamiento independiente para las rutas multicast. Para obtener informacin acerce de las rutas multicast, consulte Enrutamiento multicast en dispositivos NetScreen en la pgina 202. En este captulo se describe la tabla de enrutamiento de ScreenOS, el proceso de enrutamiento bsico que realiza el dispositivo NetScreen y como configurar rutas estticas en dispositivos NetScreen. Contiene las siguientes secciones: Fundamentos del enrutamiento en la pgina 2 Mtodos de enrutamiento en la pgina 2 Tablas de enrutamiento en la pgina 4 Enrutamiento con rutas estticas en la pgina 6 Enrutadores virtuales de los dispositivos NetScreen en la pgina 8 Cundo configurar rutas estticas en la pgina 9 Configuracin de rutas estticas en la pgina 11 Reenvo de trfico a la interfaz nula en la pgina 18 Rutas permanentemente activas en la pgina 19
Mtodos de enrutamiento
En los dispositivos NetScreen se pueden configurar tres tipos de enrutamiento: esttico, dinmico, y multicast. Cuando una red utiliza el enrutamiento esttico, el administrador tiene que configurar manualmente las rutas y mantener actualizadas las tablas de enrutamiento en los enrutadores. En redes cuyas interconexiones hacia otras redes son numerosas o cambian frecuentemente, conviene utilizar protocolos de enrutamiento dinmico para que las tablas de enrutamiento se actualicen de forma automtica. Los protocolos de enrutamiento dinmico permiten a los enrutadores actualizar automticamente sus tablas cuando se producen cambios en la topologa de la red local o cuando algn enrutador vecino comunica que se ha producido un cambio en una red distante. Los protocolos multicast habilitan los enrutadores para que reenven trfico desde un origen a mltiples receptores simultneamente.
Enrutamiento esttico
Las rutas estticas son asignaciones de direcciones IP a una red de salto siguiente1 que se puede definir en un dispositivo de reenvo de capa 3, como un enrutador. Estas asignaciones no cambian salvo que se modifiquen manualmente. En redes cuyas interconexiones hacia otras redes son escasas o relativamente estables, suele resultar ms prctico definir rutas estticas que configurar el enrutamiento dinmico. ScreenOS mantiene las rutas estticas hasta que se eliminan explcitamente. No obstante, cuando sea necesario se puede dar prioridad al enrutamiento dinmico frente al esttico.
1.
Enrutamiento dinmico
En el enrutamiento dinmico, los enrutadores intercambian informacin sobre la disponibilidad de redes y subredes y ajustan las tablas de enrutamiento analizando los mensajes entrantes de actualizacin del enrutamiento. Estos mensajes alimentan la red, ordenando a los enrutadores recalcular las rutas y realizar los cambios necesarios en sus tablas de enrutamiento. Para obtener informacin acerca de Open Shortest Path First (OSPF), consulte el Captulo 3, Protocolo OSPF. Para obtener informacin acerca de Routing Information Protocol (RIP), consulte el Captulo 4, Protocolo de informacin de enrutamiento (RIP). Para obtener informacin sobre Border Gateway Protocol (BGP), consulte el Captulo 5, Protocolo de puerta de enlace de lmite (BGP).
Enrutamiento multicast
Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. Cualquier host puede ser un origen, y los receptores pueden estar en cualquier punto de Internet. El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts, porque los enrutadores habilitados para multicast transmiten trfico multicast solamente a los hosts que desean recibirlo. Los hosts deben sealizar su inters por recibir datos multicast y deben unirse a un grupo multicast para recibir los datos. Los enrutadores habilitados para multicast reenvian trfico multicast solamente a los receptores interesados en recibirlo. Para obtener informacin acerca de las rutas multicast, consulte el Captulo 6, Enrutamiento multicast.
Tablas de enrutamiento
Normalmente, los enrutadores estn conectados a varias redes y se encargan de dirigir el trfico por tales redes. Cada enrutador cuenta con su propia tabla de enrutamiento, que es una lista de redes y direcciones conocidas con informacin para llegar a ellas. Cuando se procesa un paquete entrante en un dispositivo NetScreen, ScreenOS consulta la tabla de enrutamiento para averiguar cul es la interfaz adecuada que conduce a la direccin de destino. Para obtener ms informacin sobre la secuencia de flujo de paquetes en ScreenOS, consulte el Volumen 2, Fundamentos. Los enrutadores tambin mantienen una tabla de enrutamiento para las rutas multicast. Para obtener informacin acerca de las rutas multicast, consulte Tabla de enrutamiento multicast en la pgina 202. Cada entrada de la tabla de enrutamiento, denominada entrada de ruta, o simplemente ruta, es identificada por la red de destino a la que se puede reenviar el trfico. La red de destino, identificada mediante una direccin IP y mscara de red, puede ser una red IP, una subred, una superred o un host. Las entradas de la tabla de enrutamiento ScreenOS pueden provenir de los siguientes orgenes: Redes interconectadas directamente (la red de destino es la direccin IP asignada a una interfaz en el modo de ruta)2 Protocolos de enrutamiento dinmico, como OSPF, BGP o RIP Rutas importadas desde otros enrutadores o enrutadores virtuales Rutas configuradas estticamente
2.
Cuando se establece una direccin IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecta automticamente una ruta hacia la subred adyacente para canalizar el trfico que pasa por la interfaz.
A continuacin se presenta un ejemplo de una tabla de enrutamiento de ScreenOS: C - Connected, S - Static, A - Auto-Exported, I - Imported iB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF external type 1 E2 - OSPF external type 2 Total 8 entries ID IP-Prefix Interface Gateway P Pref Mtr Vsys -----------------------------------------------------------------------------9 0.0.0.0/0 eth3 10.31.1.1 eB 40 100 root 11 192.168.1.100/32 eth2 10.3.3.100 iB 250 0 root 10 1.1.0.0/16 eth3 10.31.1.1 eB 40 100 root 4 10.1.1.1/32 eth3 10.2.2.250 S 20 1 root 1 192.168.1.1/32 eth1 0.0.0.0 C 0 0 root 5 2.2.0.0/16 eth3 10.2.2.250 S 20 1 root 2 10.3.3.0/24 eth2 0.0.0.0 C 0 0 root 3 10.2.2.0/24 eth3 0.0.0.0 C 0 0 root
Red de destino Interfaz de reenvo de datos Siguiente salto Protocolo Preferencia Mtrica Vsys
Ruta * predeterminada
* * * * * * *
La tabla de enrutamiento contiene la siguiente informacin de cada red de destino: La interfaz del dispositivo NetScreen a travs del que se reenva el trfico a la red de destino. El siguiente salto (next-hop), que puede ser otro enrutador virtual en el dispositivo NetScreen o la direccin IP de una puerta de enlace (normalmente la direccin de un enrutador). El protocolo del cual se deriva la ruta. La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias rutas hacia la misma red de destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, ms posibilidades existen de que esa ruta se seleccione como ruta activa. Este valor de preferencia se puede modificar en cada enrutador virtual para cada protocolo u origen de ruta. Para obtener ms informacin, consulte el captulo Enrutadores virtuales del Volumen 6.
5
La mtrica tambin se puede utilizar para seleccionar la ruta a utilizar cuando existen varias rutas para la misma red de destino con el mismo valor de preferencia. El valor de mtrica de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, pero se puede especificar un valor diferente cuando se definen estas rutas. El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales y sistemas virtuales en la pgina 29.
La mayora de las tablas de enrutamiento contienen una ruta predeterminada (con la direccin de red 0.0.0.0/0), que es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento.
Host 1
3.
Enrutador Z
Host 2
La ruta ms especfica se determina aplicando en primer lugar el operador lgico AND bit por bit a la direccin de destino y a la mscara de red de cada entrada existente en la tabla de enrutamiento. Por ejemplo, el AND lgico bit por bit de la direccin IP 10.1.1.1 con la mscara de subred 255.255.255.0 es 10.1.1.0. La ruta que tenga el mayor nmero de bits con el valor 1 en la mscara de subred ser la ms especfica (tambin denominada ruta con la mayor coincidencia).
En el ejemplo anterior, el enrutador X tiene configurada una ruta esttica hacia la red C con la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinado al host 2 de la red C, compara la direccin de destino del paquete con el contenido de su tabla de enrutamiento y detecta que la ltima entrada corresponde a la ruta ms especfica para la direccin de destino. En la ltima entrada de ruta se especifica que el trfico destinado a la red C debe enviarse al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como conoce que la red C est conectada directamente, enva el paquete a travs de la interfaz conectada a esa red. Tenga en cuenta que si el enrutador Y falla o si la conexin entre el enrutador Y y la red C deja de estar disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a travs del enrutador Z, no est configurada de forma esttica en el enrutador X, por lo que ste no tiene constancia de la ruta alternativa.
Algunos dispositivos NetScreen permiten crear otros enrutadores virtuales personalizados. Dividiendo la informacin de enrutamiento en dos (o ms) enrutadores virtuales, se puede controlar qu informacin de un determinado dominio de enrutamiento ser visible desde otros dominios de enrutamiento. Por ejemplo, se puede mantener la informacin de enrutamiento de todas las zonas de seguridad de una red corporativa en el enrutador virtual predefinido trust-vr, y la informacin de enrutamiento de todas las zonas fuera de la red corporativa en el otro enrutador virtual predefinido untrust-vr. Gracias a que la informacin de la tabla de enrutamiento de un enrutador virtual no es visible desde el otro, la informacin de enrutamiento de la red interna se puede mantener aislada de fuentes no fiables situadas fuera de la empresa. Esto tambin significa que el trfico procedente de zonas de un enrutador virtual no se reenva automticamente a las zonas de otro enrutador virtual aunque existan directivas que permitan el trfico. Si desea que dos enrutadores virtuales puedan intercambiar trfico de datos, deber exportar las rutas entre esos VR o configurar una ruta esttica en uno de ellos que defina al otro como siguiente salto (next-hop). Este captulo no contiene informacin sobre cmo crear enrutadores virtuales personalizados, utilizar dos o ms enrutadores virtuales ni exportar rutas entre ellos. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales en la pgina 21.
Cuando el dispositivo funciona en modo transparente, es necesario definir rutas estticas que dirijan el trfico administrativo originado en el dispositivo mismo (distinto del trfico de usuario que pasa por el cortafuegos) a los destinos remotos. Por ejemplo, deber definir rutas estticas que dirijan los mensajes de syslog, SNMP y WebTrends a la direccin de un administrador remoto. Tambin deber definir rutas que dirijan las peticiones de autenticacin a los servidores RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense. Nota: Cuando el dispositivo NetScreen trabaja en modo transparente, es necesario definir una ruta esttica para el trfico administrativo generado por el dispositivo incluso aunque el destino se encuentre en la misma subred que ste. Esta ruta se requiere para especificar la interfaz a travs de la cual enviar el trfico.
Para el trfico VPN saliente donde exista ms de una interfaz de salida hacia el destino, deber establecer una ruta para dirigir el trfico saliente al enrutador externo a travs de la interfaz deseada. Si el modo de funcionamiento de una interfaz en una zona de seguridad del dominio de enrutamiento trust-vr es NAT, y si esa interfaz tiene configurada una MIP o VIP para recibir trfico procedente de un origen en el dominio de enrutamiento untrust-vr, deber crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de enlace. De forma predeterminada, el dispositivo NetScreen utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. En un enrutador virtual, tambin puede habilitar tablas de enrutamiento basadas en orgenes o basadas en interfaces. Ambas tablas de enrutamiento, las basadas en orgenes y las basadas en interfaces, contienen las rutas estticas que configure en el enrutador virtual.
10
11
untrust-vr
1. 2. 3. 4. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el VR) Administrador remoto en la subred 3.3.3.0/24 La subred 2.2.40.0/24 en la zona DMZ La subred 2.20.0.0/16 en la zona DMZ
trust-vr
5. 6. 7. 8. untrust-vr para todas las direcciones no encontradas en la tabla de enrutamiento de trust-vr (ruta predeterminada para el VR) La subred 10.10.0.0/16 en la zona Trust La subred 10.20.0.0/16 en la zona Trust La subred 10.30.1.0/24 en la zona Trust Nota: El ejemplo siguiente asume que ethernet1 ya est asociada a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24, respectivamente.
12
untrust-vr
3.3.3.0/24
Zona DMZ 4
2.2.10.2/24 2.2.40.1/24
6
10.10.30.0/24
10.10.40.0/24 10.20.1.0/24
10.30.1.0/24
2.20.3.0/24
Zona Trust
10.20.4.0/24
trust-vr
13
WebUI
1. untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos para crear la puerta de enlace predeterminada en la zona no fiable y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.2 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos para dirigir los informes del sistema generados por el dispositivo NetScreen a la administracin remota, y haga clic en OK : Network Address/Netmask: 3.3.3.0/24 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.3 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.2.40.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.2 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.20.0.0/16 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.3
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 14
2.
trust-vr
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.2 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.20.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.3 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.30.1.0/32 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.4 Nota: Para eliminar una entrada, haga clic en Remove . Aparecer un mensaje del sistema pidiendo confirmacin para realizar la eliminacin. Haga clic en OK para continuar o en Cancel para cancelar la accin.
15
CLI
1. untrust-vr
set set set set vrouter vrouter vrouter vrouter untrust-vr untrust-vr untrust-vr untrust-vr trust-vr trust-vr trust-vr trust-vr route route route route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
2.
trust-vr
set vrouter set vrouter set vrouter set vrouter save route route route route 0.0.0.0/0 vrouter untrust-vr 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4
16
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.2.2.5/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 Nota: Para que tunnel.1 aparezca en la lista desplegable Interface, primero debe crear la interfaz tunnel.1. Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
17
18
de tnel, defina una ruta esttica al mismo destino que el trfico del tnel con la interfaz nula como interfaz de salida. Asigne a esta ruta una mtrica ms alta que la ruta de la interfaz de tnel de modo que la ruta solamente se active si la ruta de la interfaz de tnel no est disponible. Si la interfaz de tnel queda inactiva, la ruta con la interfaz nula se activa y el trfico para el destino del tnel se descarta. Evitar bucles de trfico Cuando el dispositivo NetScreen anuncia rutas resumidas, puede que el dispositivo reciba el trfico destinado a prefijos que no se encuentran en sus tablas de enrutamiento. Puede reenviar el trfico basado en su ruta predeterminada. El enrutador de recepcin puede reenviar el trfico de nuevo al dispositivo NetScreen debido al anuncio de la ruta resumida. Para evitar dichos bucles, puede definir una ruta esttica para el prefijo de la ruta resumida con la interfaz nula como la interfaz de salida y una mtrica de ruta alta. Si el dispositivo NetScreen recibe el trfico para los prefijos que se encuentren en su anuncio de ruta resumida pero no en sus tablas de enrutamiento, se descarta el trfico.
19
20
Captulo 2
Enrutadores virtuales
El enrutamiento es una parte fundamental de los dispositivos de seguridad como los sistemas y dispositivos de NetScreen. Sin el enrutamiento, los dispositivos de seguridad no podran reenviar trfico seguro a los destinos potenciales de forma efectiva. Se puede configurar un dispositivo NetScreen para que utilice slo rutas estticas, pero entonces se debe aadir, eliminar o modificar una entrada de la tabla de enrutamiento siempre que haya un cambio en la red. (Para obtener ms informacin sobre la configuracin de rutas estticas, consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 1). El enrutamiento dinmico permite a los dispositivos NetScreen intercambiar informacin de enrutamiento con enrutadores y otros dispositivos de red mediante la utilizacin de protocolos de uso habitual y tablas de enrutamiento que se crean y se actualizan automticamente. Los protocolos de enrutamiento dinmico reducen mucho el intervalo entre los cambios en la topologa de la red y los ajustes en la tabla de enrutamiento porque estos se realizan automticamente. Para obtener informacin sobre la tabla de rutas multicast, consulte Tabla de enrutamiento multicast en la pgina 202. En este captulo se explica cmo configurar los enrutadores virtuales (VRs) en los dispositivos NetScreen y cmo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre VRs. Este captulo contiene las siguientes secciones: Enrutadores virtuales de los dispositivos NetScreen en la pgina 23 Utilizacin de dos enrutadores virtuales en la pgina 23 Reenvo de trfico entre enrutadores virtuales en la pgina 24 Configuracin de dos enrutadores virtuales en la pgina 24 Enrutadores virtuales personalizados en la pgina 27 Enrutadores virtuales y sistemas virtuales en la pgina 29 Modificacin de enrutadores virtuales en la pgina 33 ID del enrutador virtual en la pgina 34 Nmero mximo de entradas de la tabla de enrutamiento en la pgina 36
21
Seleccin de rutas en la pgina 37 Preferencia de ruta en la pgina 37 Mtrica de ruta en la pgina 39 Tablas de enrutamiento en la pgina 40 Enrutamiento segn el origen en la pgina 40 Enrutamiento segn la interfaz de origen en la pgina 44 Secuencia de consulta de rutas en la pgina 46 Consulta de rutas en mltiples enrutadores virtuales en la pgina 50 Enrutamiento de rutas mltiples de igual coste en la pgina 52 Activacin del enrutamiento de rutas mltiples de igual coste en la pgina 54 Redistribucin de rutas en la pgina 55 Configuracin de un mapa de rutas en la pgina 56 Filtrado de rutas en la pgina 58 Listas de acceso en la pgina 58 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 62
22
No se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Sin embargo, en algunos dispositivos NetScreen se pueden crear y configurar enrutadores virtuales adicionales (consulte Enrutadores virtuales personalizados en la pgina 27 para obtener ms informacin sobre la creacin de enrutadores virtuales personalizados). Se pueden configurar determinados parmetros para los enrutadores virtuales predefinidos y los personalizados (consulte Modificacin de enrutadores virtuales en la pgina 33). Pueden existir varios VRs, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*) indica que trust-vr es el VR predeterminado en la interfaz de lnea de comandos (CLI). Puede ver la tabla de VRs ejecutando el comando CLI get vrouter . Para configurar zonas e interfaces en otros VRs, debe especificar el VR por nombre, por ejemplo untrust-vr .
23
24
A continuacin se enumeran los pasos bsicos para asociar una zona de seguridad al VR untrust-vr: 1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No se puede modificar el vnculo de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado una direccin IP a una interfaz, es necesario eliminar la asignacin de direccin antes de quitar la interfaz de la zona. Asignar la zona al VR untrust-vr. Asignar de nuevo las interfaces a la zona.
2. 3.
WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y haga clic en OK : Zone Name: Null IP Address/Netmask: 0.0.0.0/0
2.
3.
25
CLI
1. Desasociar la interfaz de la zona untrust
set interface ethernet3 0.0.0.0/0 unset interface ethernet3 zone
2. 3.
En las siguientes imgenes, el resultado del comando get zone de la izquierda muestra la interfaz, la zona y los enlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminados, la zona untrust est asociada al trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zona y enlaces del VR despus de haber reconfigurado los enlaces, la zona untrust est ahora asociada al untrust-vr.
Zona untrust asociada al trust-vr (enlaces predeterminados)
ns-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root 13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root
26
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK : Virtual Router Name: trust2-vr Auto Export Route to Untrust-VR: (seleccione)
CLI
set vrouter name trust2-vr set vrouter trust2-vr auto-route-export save
1.
Slo determinados dispositivos NetScreen admiten VRs personalizados. Para crear VRs personalizados, es necesaria una clave de licencia de software.
27
WebUI
Network > Routing > Virtual Routers: Haga clic en Remove para el trust2-vr . Cuando aparezca la peticin de confirmacin de la eliminacin, haga clic en OK .
CLI
unset vrouter trust2-vr Cuando aparezca la peticin de confirmacin para la eliminacin (vrouter unset, are you sure? y/[n]), teclee Y. save Nota: No se pueden eliminar los enrutadores virtuales (VRs) predefinidos untrust-vr y trust-vr, pero se puede eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR definido por el usuario o cambiar la ID del VR, se debe primero eliminar el VR, y despus volver a crearlo con el nuevo nombre o ID del VR.
28
sistema
Trust-vsys1
vsys1-vr
Untrust
vsys2-vr
Trust-vsys2
2.
Slo los sistemas NetScreen (NetScreen-500, -5200, -5400) soporta sistemas virtuales. Para crear objetos vsys, es necesaria una clave de licencia de software.
29
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en Apply : Virtual Router Name: vr-1a Virtual Router ID: Custom (seleccione) En el cuadro de texto, introduzca 10.1.1.9
CLI
set vsys my-vsys1 (my-vsys1) set vrouter name vr-1a (my-vsys1/vr-1a) set router-id 10.1.1.9 (my-vsys1/vr-1a) exit (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n
30
El VR de nivel vsys que se crea al crear el vsys es el VR predeterminado para un vsys. Se puede cambiar el VR predeterminado de un vsys por un VR personalizado. Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en este ejemplo sea el VR predeterminado para el vsys my-vsys1:
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit (para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y haga clic en Apply .
CLI
set vsys my-vsys1 (my-vsys1) set vrouter vr-1a (my-vsys1/vr-1a) set default-vrouter (my-vsys1/vr-1a) exit (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n La zona de seguridad predefinida Trust-vsysname est asociada de forma predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, se puede asociar la zona de seguridad predefinida Trust-vsysname y cualquier zona de seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el vsys. El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs de nivel vsys no se pueden compartir, se puede definir cualquier VR de nivel raz para ser compartido por el vsys. Esto permite definir rutas en un VR de nivel vsys que utilizan un VR de nivel raz como siguiente salto. Se puede tambin configurar la redistribucin de rutas entre un VR de nivel vsys y un VR de nivel raz compartido.
31
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK : Virtual Router Name: my-router Shared and accessible by other vsys (seleccione) Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New (para my-vsys1-vr): Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 40.0.0.0 255.0.0.0 Next Hop Virtual Router Name: (seleccione) my-router
CLI
set vrouter name my-router sharable set vsys my-vsys1 (my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrouter my-router (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n
32
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit
CLI
set vrouter trust-vr Se pueden modificar los siguientes parmetros de los VRs: La ID de enrutador virtual (consulte ID del enrutador virtual en la pgina 34 para obtener ms informacin) El nmero mximo de entradas permitidas en la tabla de enrutamiento (consulte Nmero mximo de entradas de la tabla de enrutamiento en la pgina 36 para obtener ms informacin) El valor de preferencia para las rutas, segn el protocolo (consulte Preferencia de ruta en la pgina 37 para obtener ms informacin) Hacer que el VR reenve el trfico segn la direccin IP de origen del paquete de datos (de forma predeterminada, un VR reenva el trfico segn la direccin IP de destino del paquete de datos). Consulte Enrutamiento segn el origen en la pgina 40 para obtener ms informacin. (Slo para el trust-vr) Habilitar o inhabilitar la exportacin de rutas automtica al untrust-vr para interfaces configuradas en modo de ruta (Slo para el trust-vr) Aadir una ruta predeterminada con otro VR como siguiente salto (Slo para el VR de nivel raz) Hacer capturas SNMP privadas para las MIBs de enrutamiento dinmico Permitir que rutas de interfaces inactivas sean tenidas en cuenta para notificacin (de forma predeterminada, slo las rutas activas definidas en interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a otros VRs).
33
Hacer que el VR ignore las direcciones de subredes superpuestas para interfaces (de forma predeterminada, no se pueden configurar direcciones IP de subredes superpuestas para interfaces en el mismo VR). Permitir que el VR sincronice su configuracin con el VR en su interlocutor del protocolo NetScreen Redundancy Protocol (NSRP)
34
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10
CLI
set vrouter trust-vr router-id 10 save Nota: No se puede asignar o cambiar una ID de enrutador si ya se ha habilitado un protocolo de enrutamiento dinmico en el enrutador virtual (VR). Si es necesario cambiar la ID del enrutador, se debe primero desactivar el protocolo de enrutamiento dinmico en el VR. Para ms informacin sobre la desactivacin del protocolo de enrutamiento dinmico en el VR, consulte el captulo correspondiente en este volumen.
35
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Maximum Route Entry: Set limit at: (seleccione), 20
CLI
set vrouter trust-vr max-routes 20 save
3.
Consulte la hoja de datos del producto en cuestin para determinar el nmero mximo de entradas de la tabla de enrutamiento disponible en su dispositivo NetScreen.
36
Seleccin de rutas
SELECCIN DE RUTAS
Pueden existir varias rutas con el mismo prefijo (direccin IP y mscara) en la tabla de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona la que tiene el valor de preferencia ms bajo. Si los valores de preferencia son iguales, se 4 comparan los valores de mtrica. En ese caso, se selecciona la ruta que tiene el valor de mtrica ms bajo .
Preferencia de ruta
Una preferencia de ruta es un peso aadido a la ruta que influye en la determinacin del mejor camino para que el trfico alcance su destino. Cuando se importa o aade una ruta a la tabla de enrutamiento, el enrutador virtual (VR) aade a la ruta un valor de preferencia, determinado por el protocolo por el cual es reconocida. Se prefiere un valor de preferencia bajo (un nmero prximo a 0) a un valor de preferencia alto (un nmero alejado de 0). En un VR, se puede establecer el valor de preferencia de ruta segn el protocolo. La siguiente tabla muestra el valor de preferencia predeterminado para las rutas de cada protocolo.
Protocolo Connected Static Auto-Exported EBGP OSPF RIP Imported OSPF External Type 2 IBGP
4.
Si hay varias rutas para el mismo destino con los mismos valores de preferencia y los mismos valores de mtrica, entonces cualquiera de ellas puede resultar seleccionada. En este caso, la eleccin de una ruta concreta sobre otra no est garantizada ni es predecible.
37
Seleccin de rutas
Tambin se puede ajustar el valor de preferencia de la ruta para dirigir el trfico por el camino preferido. Nota: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, la rutas OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando y a continuacin habilitando el protocolo de enrutamiento dinmico), o, en el caso de rutas estticas, eliminndola y volvindola a aadir.
WebUI
Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los siguientes datos y haga clic en OK : Route Preference: Connected: 4
CLI
set vrouter untrust-vr preference connected 4 save
5.
Una ruta es conectada cuando el enrutador tiene una interfaz con una direccin IP en la red de destino.
38
Seleccin de rutas
Mtrica de ruta
Las mtricas de ruta determinan el mejor camino que un paquete puede tomar para alcanzar un destino dado. Los enrutadores utilizan las mtricas de ruta para sopesar dos rutas al mismo destino y determinar la eleccin de una ruta sobre la otra. Cuando hay varias rutas hacia la misma red de destino con el mismo valor de preferencia, prevalece la ruta con la mtrica ms baja. Una mtrica de ruta depende del nmero de enrutadores que un paquete debe atravesar para alcanzar el destino, la velocidad relativa y el ancho de banda de la ruta, el coste de los enlaces que la forman, o una combinacin de estos (y otros) elementos. Cuando las rutas son reconocidas dinmicamente, el enrutador contiguo al de origen de la ruta proporciona la mtrica. La mtrica predeterminada de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, no obstante se puede especificar un valor de mtrica diferente cuando se configuran estas rutas.
39
Tablas de enrutamiento
TABLAS DE ENRUTAMIENTO
Un enrutador virtual de NetScreen (VR) admite tres tipos de tablas de enrutamiento: La tabla de enrutamiento basada en destinos permite al dispositivo NetScreen realizar operaciones de consulta de rutas basndose en la direccin IP de destino de un paquete de datos entrante. De forma predeterminada, el dispositivo NetScreen slo utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. La tabla de enrutamiento basada en orgenes permite al dispositivo NetScreen realizar operaciones de consulta de rutas basndose en la direccin IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para direcciones de origen especficas en las que el dispositivo NetScreen puede realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Enrutamiento segn el origen en la seccin siguiente. La tabla de enrutamiento basada en orgenes (source interface-based routing o SIBR) permite al dispositivo NetScreen realizar las operaciones de consulta de rutas basndose en la interfaz por la que un paquete de datos entra al dispositivo. Para agregar entradas a la tabla de SIBR, debe configurar rutas estticas para determinadas interfaces en las que el VR realiza operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Enrutamiento segn la interfaz de origen en la pgina 44.
La tabla de enrutamiento basada en destinos est siempre presente en un VR. En un VR, puede habilitar una o ambas tablas de enrutamiento basadas en orgenes o basadas en las interfaces de origen.
Tablas de enrutamiento
Las rutas basadas en el origen se definen como rutas configuradas estticamente en VRs especificados. Las rutas basadas en el origen slo son aplicables a los VRs en los que se configuran. Por ejemplo, no se puede especificar otro VR como siguiente salto para una ruta basada en el origen. Tampoco se pueden redistribuir rutas basadas en el origen a otros VRs o protocolos de enrutamiento. Para utilizar esta funcin: 1. Cree al menos una ruta basada en origen especificando la informacin siguiente: El nombre del VR en el que es aplicable el enrutamiento segn el origen La direccin IP de origen sobre la que el dispositivo NetScreen realiza una consulta en la tabla de enrutamiento (esta direccin aparece como entrada de la tabla de enrutamiento basada en orgenes). El nombre de la interfaz de salida por la que se reenva el paquete El salto siguiente para la ruta basada en el origen (tenga en cuenta que si ya se ha especificado una puerta de enlace predeterminada para la interfaz con el comando CLI set interface interface gateway ip_addr , no es necesario especificar el parmetro de puerta de enlace; la puerta de enlace predeterminada de la interfaz se usa como siguiente salto para la ruta basada en el origen. No se puede especificar otro VR como siguiente salto para una ruta basada en el origen). La mtrica para la ruta basada en el origen (si hay varias de estas rutas con el mismo prefijo slo la ruta con la mtrica ms baja se utiliza para la consulta de rutas y el resto se marcan como inactivas). Habilitar el enrutamiento segn el origen en el VR. El dispositivo NetScreen utiliza la IP de origen del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en orgenes. Si no se encuentra ninguna ruta para la direccin IP de origen, se utiliza la direccin IP de destino para consultar la tabla de enrutamiento.
2.
41
Tablas de enrutamiento
10.1.1.0/24 ethernet1
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ISP 2 2.2.2.2
WebUI
Network > Routing > Source Routing > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.0 255.255.255.0 Interfaz: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
42
Tablas de enrutamiento
Network > Routing > Source Routing > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.2.0 255.255.255.0 Interfaz: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 Nota: En WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione Enable Source Based Routing , y haga clic en OK.
CLI
set vrouter 1.1.1.1 set vrouter 2.2.2.2 set vrouter save trust-vr route source 10.1.1.0/24 interface ethernet3 gateway metric 1 trust-vr route source 10.1.2.0/24 interface ethernet4 gateway metric 1 trust-vr source-routing enable
43
Tablas de enrutamiento
Tablas de enrutamiento
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ISP 2 2.2.2.2
WebUI
Network > Routing > Source Interface Routing > New (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.0 255.255.255.0 Interfaz: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
45
Tablas de enrutamiento
Network > Routing > Source Interface Routing > New (para ethernet2): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.2.0 255.255.255.0 Interfaz: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 Nota: En WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Interface Based Routing , y haga clic en OK.
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr sibr-routing enable save
46
Tablas de enrutamiento
Paquete entrante
SIBR activado?
SBR activado?
1.
Si SIBR se activa en el VR, el dispositivo NetScreen primero comprueba la tabla de enrutamiento SIBR para una entrada de ruta que coincida con la interfaz en la que lleg el paquete. Si el dispositivo NetScreen encuentra una entrada para la interfaz de origen en la tabla de enrutamiento SIBR, reenva los paquetes segn lo especificado por la entrada de enrutamiento correspondiente. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento SIBR, el dispositivo comprueba si el enrutamiento basado en el origen (SBR) se habilita en el VR.
47
Tablas de enrutamiento
2.
3.
Si SBR se activa en el VR, el dispositivo NetScreen comprueba si en la tabla de enrutamiento de SBR hay una entrada de enrutamiento que coincida con la direccin IP de origen del paquete. Si el dispositivo NetScreen encuentra una entrada de enrutamiento que coincida con la direccin IP de origen, reenva el paquete segn lo especificado por la entrada. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento SBR, el dispositivo comprueba la tabla de enrutamiento basada en los destinos (DRT). El dispositivo NetScreen comprueba la tabla de enrutamiento basada en los destinos en consulta de una entrada de enrutamiento que coincida con la direccin IP de destino del paquete. Si el dispositivo NetScreen encuentra una entrada de enrutamiento que coincida con la direccin IP de destino, reenva el paquete segn lo especificado por la entrada. Si el dispositivo no encuentra una entrada de enrutamiento que coincida exactamente con la direccin IP de destino pero hay una ruta predeterminada configurada para el VR, el dispositivo reenva el paquete segn lo especificado por la ruta predeterminada. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de destino y no hay ruta predeterminada configurada para el VR, el paquete se descarta.
El orden en el que el dispositivo NetScreen comprueba las tablas de enrutamiento para encontrar una ruta que coincida est determinado por un valor de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento con el valor de preferencia ms alto se comprueba primero, mientras que la tabla de enrutamiento con el valor de preferencia ms bajo es la ltima en comprobarse. De forma predeterminada, la tabla de enrutamiento SIBR tiene el valor de preferencia ms alto (3), la tabla de enrutamiento SBR tiene el siguiene valor de preferencia ms alto (2), y la tabla de enrutamiento basada en los destinos tiene el valor de preferencia ms bajo (1). Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para modificar el orden en el que el dispositivo NetScreen realiza la consulta de rutas en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del valor de preferencia ms alto al ms bajo.
48
Tablas de enrutamiento
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Route Lookup Preference (1-255): (seleccione) For Source Based Routing: 4 Enable Source Based Routing: (seleccione) Enable Source Interface Based Routing: (seleccione)
CLI
set vrouter trust-vr sibr-routing enable set vrouter trust-vr source-routing enable set vrouter trust-vr route-lookup preference source-routing 4 save
49
Tablas de enrutamiento
El trfico desde la subred 10.1.2.0/24 siempre se enviar en ethernet3 al enrutador en 1.1.1.1, tal y como se muestra en el siguiente grfico.
50
Tablas de enrutamiento
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ethernet4
ISP 2 2.2.2.2
El trfico desde la subred 10.1.2.0/24 llega al dispositivo NetScreen en ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que coincida, el dispositivo NetScreen realiza consultas de rutas en la tabla de enrutamiento basada en destinos. La ruta predeterminada en la tabla de enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente. En el untrust-vr, el dispositivo NetScreen slo realiza consultas de rutas en la tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento basada en origen del untrust-vr contiene una entrada que coincida con el trfico. Observe que la ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta predeterminada) reenva el trfico en la interfaz ethernet3.
51
52
ID * 8 9
P Pref C S 0 20
Mtr 1 1
En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP. Las dos rutas tienen los mismos valores mtricos; sin embargo, la primera ruta es una ruta conectada (C con una preferencia de 0). El dispositivo de NetScreen adquiri la primera ruta a travs de DHCP o de PPP, y el dispositivo adquiri la ruta predeterminada a travs de la configuracin manual. La segunda ruta es una ruta esttica configurada manualmente (S con una preferencia automtica de 20). Con ECMP desactivado, el dispositivo NetScreen reenva todo el trfico a la ruta conectada en ethernet3. Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de la ruta esttica a cero (0) para que coincida con la ruta conectada introduciendo el comando set vrouter trust-vr preference static 0 y luego activando ECMP. Con ECMP activado, la carga del dispositivo NetScreen equilibra el trfico alternando entre dos rutas ECMP vlidas. La siguiente pantalla muestra la tabla de enrutamiento actualizada.
ID * * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 0 Mtr 1 1 Vsys Root Root
Si activa ECMP y el dispositivo NetScreen encuentra ms de una ruta coincidente del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta diferente de igual coste para cada consulta de ruta. Con las rutas indicadas anteriormente, el dispositivo NetScreen alterna entre ethernet3 y ethernet2 para reenviar trfico a la red 0.0.0.0/0. Si hay ms de dos rutas de igual coste en la red, el dispositivo NetScreen realiza una seleccin de las rutas en orden rotativo (ronda recproca) hasta el mximo configurado de modo que el dispositivo seleccione una ruta ECMP diferente para cada consulta de rutas.
53
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Maximum ECMP Routes: Set Limit at: (seleccione), 2
CLI
set vrouter trust-vr max-ecmp-routes 2 save
54
Redistribucin de rutas
REDISTRIBUCIN DE RUTAS
La tabla de enrutamiento de un enrutador virtual (VR) contiene rutas agrupadas segn todos los protocolos de enrutamiento dinmico que se ejecutan en el VR, as como las rutas estticas y las rutas conectadas directamente. De forma predeterminada, un protocolo de enrutamiento dinmico (como OSPF, RIP o BGP) notifica a sus adyacentes o interlocutores slo las rutas que cumplen las siguientes condiciones: Las rutas deben estar activas en la tabla de enrutamiento. Las rutas deben ser reconocidas por el protocolo de enrutamiento dinmico6.
Para que un protocolo de enrutamiento dinmico pueda notificar rutas previamente reconocidas por otro protocolo, incluidas la rutas configuradas estticamente, es necesario redistribuir las rutas del protocolo origen al protocolo que realiza la notificacin. Se pueden redistribuir las rutas reconocidas por un protocolo de enrutamiento (incluidas la rutas configuradas estticamente) a otro protocolo de enrutamiento diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual tiene que traducir toda la informacin, en particular las rutas conocidas, del otro protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza el protocolo OSPF y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus vecinos OSPF sobre cmo llegar a los dispositivos del dominio BGP. Las rutas se distribuyen entre los protocolos segn una regla de redistribucin que define el administrador del sistema o de la red. Cuando se aade una ruta a la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de enrutamiento del VR. Observe que todas las reglas de redistribucin se aplican cuando se aade o se elimina una ruta. No existe el concepto de orden de las reglas o de primera regla aplicable para las reglas de redistribucin. En el dispositivo NetScreen, se configura un mapa de rutas para especificar qu rutas van a ser redistribuidas y los atributos de las rutas redistribuidas.
6. 7. OSPF, RIP, y BGP tambin notifican las rutas conectadas de las interfaces de ScreenOS en las que estos protocolos estn habilitados. Se puede definir slo una regla de redistribucin entre dos protocolos cualesquiera.
7
55
Redistribucin de rutas
56
Redistribucin de rutas
Para cada condicin de comparacin, se especifica si una ruta que cumple la condicin es aceptada (permitted) o rechazada (denied). Si una ruta cumple la condicin y es aceptada, se puede opcionalmente dar valor a los atributos para la ruta. A continuacin se muestran los atributos que se pueden fijar en una declaracin de mapa de rutas:
Conjunto de atributos BGP AS Path BGP Community BGP local preference BGP Weight Offset metric Descripcin Aade una lista de acceso AS path determinada al principio de la lista de atributos de camino de la ruta coincidente. Fija el atributo de comunidad de la ruta coincidente a la lista de comunidades especificada. Fija el atributo local-pref de la ruta coincidente al valor especificado. Establece el peso de la ruta coincidente. Aumenta la mtrica de la ruta coincidente hasta el valor especificado. Esto aumenta la mtrica en una ruta menos deseable. Para las rutas RIP, se puede aplicar el incremento tanto a las rutas notificadas (route-map out) o a las rutas aprendidas (route-map in). Para otras rutas, puede aplicar el incremento a las rutas que se exportan a otro enrutador virtual (VR). Fija el tipo de mtrica OSPF de la ruta coincidente a externo tipo 1 o externo tipo 2. Fija la mtrica de la ruta coincidente al valor especificado. Fija el siguiente salto de la ruta coincidente a la direccin IP especificada. Preserva la mtrica de una ruta coincidente que se exporta a otro VR. Conserva el valor de preferencia de la ruta coincidente que se exporta a otro VR. Fija la etiqueta de la ruta coincidente al valor especificado o la direccin IP.
OSPF metric type Metric Next-hop of route Preserve metric Preserve preference Tag
57
Redistribucin de rutas
Filtrado de rutas
El filtrado de rutas permite controlar qu rutas se admiten en una enrutador virtual (VR), cules se notifican a los interlocutores, y cules se redistribuyen de un protocolo de enrutamiento a otro. Se pueden aplicar filtros a las rutas entrantes enviadas por un interlocutor de enrutamiento o a rutas salientes enviadas por el enrutador virtual de NetScreen a los enrutadores de interlocucin. Se pueden utilizar los siguientes mecanismos de filtrado: Lista de acceso: Una lista de acceso es un conjunto de prefijos de direcciones IP determinados. Se puede utilizar una lista de acceso para filtrar las rutas en base a los prefijos de red. Consulte Listas de acceso para obtener informacin sobre la configuracin de la lista de acceso. Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas autnomos por los que ha pasado una notificacin de ruta y es parte de la informacin de ruta. Una lista de acceso AS-path es un conjunto de expresiones regulares que representan ASs especficos. Se puede utilizar una lista de acceso AS-path para filtrar las rutas segn el AS por el que ha pasado la ruta. Consulte Lista de acceso AS-path en la pgina 180 para obtener informacin sobre la configuracin de la lista de acceso AS-path. Lista de comunidades BGP: Un atributo de comunidad contiene los identificadores de las comunidades a las que pertenece una ruta BGP. Una lista de comunidades BGP es un conjunto de comunidades BGP que se puede utilizar para filtrar las rutas segn las comunidades a las que pertenecen. Consulte Comunidades BGP en la pgina 192 para obtener informacin sobre la configuracin de la lista de comunidades BGP.
Listas de acceso
Una lista de acceso es una lista de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (aceptar o rechazar la ruta). Por ejemplo, una declaracin de una lista de acceso puede permitir las rutas de la subred 1.1.1.0/24. Otra de la misma lista de acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la declaracin de la lista de acceso, se aplica el estado de reenvo especificado. Observe que la secuencia de declaraciones en una lista de acceso es importante, puesto que una ruta se compara ordenadamente con todas las declaraciones desde la primera hasta que coincide con una. Si hay una coincidencia, todas las dems de la lista se ignoran. Por tanto, se deben colocar las declaraciones ms especficas antes de las menos especficas. Por ejemplo, colocar la declaracin que rechaza las rutas de la subred 1.1.1.1/30 antes de la que permite las rutas de la subred 1.1.1.0/24. Tambin puede utilizar listas de acceso para controlar el flujo del trfico multicast. Para obtener ms informacin, consulte Listas de acceso en la pgina 205.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 58
Redistribucin de rutas
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10 save
59
Redistribucin de rutas
WebUI
1. Lista de acceso BGP AS-path
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 1 Permit: (seleccione) AS Path String: _65000_
2.
Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: AS Path: (seleccione), 1
60
Redistribucin de rutas
3.
Regla de redistribucin
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: rtmap1 Protocol: BGP
CLI
1. 2. Lista de acceso BGP AS-path
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_
Mapa de rutas
set vrouter trust-vr ns(trust-vr)-> set route-map name rtmap1 permit 10 ns(trust-vr/rtmap1-10)-> set match as-path 1 ns(trust-vr/rtmap1-10)-> exit ns(trust-vr)-> exit
3.
Regla de redistribucin
set vrouter trust-vr protocol ospf redistribute route-map rtmap1 protocol bgp save
61
En el dispositivo NetScreen, se configura una regla de exportacin o importacin con las especificaciones que se dan a continuacin: El enrutador virtual de destino (para las reglas de exportacin) o el enrutador virtual de origen (para las reglas de importacin) El protocolo de las rutas que van a ser exportadas/importadas Qu rutas van a ser exportadas/importadas Los atributos nuevos o modificados de las rutas exportadas/importadas (opcional)
La configuracin de una regla de exportacin o importacin es similar a la de una regla de redistribucin. Se configura un mapa de rutas para especificar qu rutas van a ser exportadas/importadas y los atributos de las mismas. Se puede configurar la exportacin automtica de todas las entradas de la tabla de rutas del trust-vr al untrust-vr. Se puede configurar tambin que un enrutador virtual definido por el usuario exporte automticamente rutas a otro enrutador virtual. Las rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden ser exportadas.
62
WebUI
trust-vr 1. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
2.
Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 2
63
3.
Regla de exportacin
Network > Routing > Virtual Routers > Export Rules > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Destination Virtual Router: untrust-vr Route Map: rtmap1 Protocol: OSPF
CLI
trust-vr 1. Lista de accesos
set vrouter trust-vr ns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10
2.
Mapa de rutas
ns(trust-vr)-> set route-map name rtmap1 permit 10 ns(trust-vr/rtmap1-10)-> set match ip 2 ns(trust-vr/rtmap1-10)-> exit
3.
Regla de exportacin
ns(trust-vr)-> set export-to vrouter untrust-vr route-map rtmap1 protocol ospf ns(trust-vr)-> exit save
64
WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para trust-vr): Seleccione Auto Export Route to Untrust-VR , y luego haga clic en OK .
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: Introduzca los siguientes datos y haga clic en OK: Map Name: from-ospf-trust Sequence No.: 10 Action: permit (seleccione) Route Type: internal-ospf (seleccione)
65
CLI
trust-vr
set vrouter trust-vr auto-route-export
untrust-vr
set vrouter untrust-vr ns(untrust-vr)-> set route-map name from-ospf-trust permit 10 ns(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf ns(untrust-vr/from-ospf-trust-10)-> exit ns(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol ospf ns(untrust-vr)-> exit save
66
Captulo 3
Protocolo OSPF
Introduccin al protocolo OSPF en la pgina 69 reas en la pgina 69 Clasificacin de enrutadores en la pgina 70 Protocolo de saludo en la pgina 71 Tipos de redes en la pgina 71 Notificaciones de estado de conexiones en la pgina 72 Configuracin bsica de OSPF en la pgina 74 Creacin de una instancia de enrutamiento de OSPF en la pgina 75 Definicin de un rea OSPF en la pgina 77 Asignacin de interfaces a un rea OSPF en la pgina 79 Habilitacin de OSPF en interfaces en la pgina 81 Comprobacin de la configuracin en la pgina 83 Redistribucin de rutas en la pgina 86 Resumen de rutas redistribuidas en la pgina 87 Parmetros globales de OSPF en la pgina 89 Conexiones virtuales en la pgina 92 Parmetros de interfaz OSPF en la pgina 96
En este captulo se describe el protocolo de enrutamiento OSPF (Open Shortest Path First, es decir, abrir primero la ruta ms corta) en los dispositivos NetScreen. Para ello se tratarn los siguientes temas:
67
Configuracin de seguridad en la pgina 99 Autenticacin de vecinos en la pgina 99 Filtrado de vecinos OSPF en la pgina 101 Rechazo de rutas predeterminadas en la pgina 102 Proteccin contra inundaciones en la pgina 103 Circuitos de demanda en interfaces de tnel en la pgina 105 Interfaz de tnel punto a multipunto en la pgina 107 Establecer el tipo de conexin en la pgina 107
68
reas
De forma predeterminada, todos los enrutadores se agrupan en una nica rea troncal llamada area 0 o backbone (normalmente es el area 0.0.0.0). Sin embargo, las redes de gran tamao que se encuentran dispersas geogrficamente se suelen segmentar en mltiples reas. A medida que la red se ampla, las bases de datos de estado de conexin tambin crecen y se dividen en grupos ms pequeos para mejorar su posibilidad de ampliacin. Las reas reducen el volumen de informacin de enrutamiento que pasa a travs de la red, ya que cada enrutador slo tiene que actualizar la base de datos de estado del rea a la que pertenece. No necesita actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Un enrutador conectado a mltiples reas mantiene una base de estado de conexiones por cada rea a la que est conectado. Todas las zonas deben estar directamente conectadas con la zona 0, con una excepcin (explicada ms adelante).
69
Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS y se inundan en todo un AS. Ciertas reas OSPF se pueden configurar como reas de rutas internas (stub areas); de este modo, las notificaciones externas de sistemas autnomos no inundarn estas reas. En OSPF se utilizan normalmente dos tipos de reas habituales: rea de ruta interna: rea que recibe resmenes de ruta del rea troncal pero que no recibe notificaciones de estado de conexiones de otras reas acerca de enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo). Un rea de ruta interna se puede considerar un rea exclusiva de rutas internas (totally stubby) si en ella no se admiten rutas de resumen. rea NSSA: al igual que las reas de rutas internas normales, las NSSAs (Not So Stubby Area, reas no exclusivas de rutas internas) no pueden recibir enrutadores de protocolos distintos de OSPF fuera del rea actual. Sin embargo, los enrutadores externos conocidos dentro del rea tambin se pueden reconocer en otras reas, y as pasar a ellas.
Clasificacin de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su funcin o su posicin en la red: Enrutador interno: enrutador cuyas interfaces pertenecen a la misma rea. Enrutador de rea troncal: enrutador con una interfaz en el rea troncal. Enrutador de lmite de rea: enrutador conectado a dos o ms reas. Este tipo de enrutador resume las rutas desde distintas reas para su distribucin al rea troncal. En los dispositivos NetScreen con OSPF, el rea troncal se crea de forma predeterminada. Si se crea una segunda rea en un enrutador virtual, el dispositivo funcionar como enrutador de lmite de rea. Enrutador de lmite de sistema autnomo: cuando un rea OSPF limita con otro sistema autnomo, el enrutador situado entre los dos sistemas autnomos se considera el enrutador de lmite. Estos enrutadores se encargan de distribuir la informacin de enrutamiento de los sistemas autnomos externos por su sistema autnomo.
70
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores utilizan el protocolo de saludo (hello) para establecer y mantener estas relaciones de vecindad. Cuando dos enrutadores establecen comunicacin bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no establecen una relacin de adyacencia, no podrn intercambiar informacin de enrutamiento. Cuando hay mltiples enrutadores en una red, es necesario configurar un enrutador como enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es responsable de inundar la red con LSAs que contengan una lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador designado es el nico que puede formar adyacencias con otros enrutadores de la red. As, el enrutador designado es el nico de la red que puede proporcionar informacin de enrutamiento al resto de enrutadores. El enrutador designado de respaldo sustituye al enrutador designado en caso de que ste falle.
Tipos de redes
Los dispositivos NetScreen admiten los siguientes tipos de redes OSPF: Redes de difusin Redes punto a punto Redes punto a multipunto
Redes de difusin
Una red de difusin es una red que interconecta varios enrutadores y que puede enviar (o difundir) un nico mensaje fsico a todos los enrutadores conectados. Se parte de la base de que dos enrutadores cualesquiera en una red de difusin son capaces de comunicarse entre s. Ethernet es un ejemplo de red de difusin. En las redes de difusin, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multicast 224.0.0.5. En las redes de difusin, el protocolo de saludo decide cul ser el enrutador designado y el enrutador designado de respaldo para la red.
71
Una red que no es de difusin conecta varios enrutadores entre s pero no puede difundir mensajes a los enrutadores conectados. En las redes que no son de difusin, los paquetes del protocolo OSPF (que normalmente son multicast) se tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos NetScreen no admiten OSPF en redes que no sean de difusin.
72
Enviado por
Distribuido por
Informacin enviada en la LSA Contiene una lista de todos los enrutadores conectados a la red.
Enrutador rea designado en redes de difusin y NBMA Enrutadores de lmite de rea rea
LSA de resumen
Describe una ruta a un destino fuera del rea, pero dentro del sistema autnomo. Hay dos tipos: Las LSAs de resumen de tipo 3 describen rutas a redes. Las LSAs de resumen de tipo 4 describen rutas limtrofes con otros sistemas autnomos. Rutas a redes en otro sistema autnomo. A menudo, se trata de la ruta predeterminada (0.0.0.0/0).
73
10.1.1.0/24
10.1.2.0/24 Area 10
Internet Area 0
74
Opcionalmente tambin es posible configurar otros parmetros de OSPF, como: Parmetros globales, como conexiones virtuales, que se configuran en el enrutador virtual para el protocolo OSPF (consulte Parmetros globales de OSPF en la pgina 89) Parmetros de interfaz, como la autenticacin, que se configuran en la interfaz para el protocolo OSPF (consulte Parmetros de interfaz OSPF en la pgina 96) Parmetros OSPF relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 99)
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Anule la seleccin de OSPF Enabled y haga clic en OK . Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF Instance: haga clic en OK cuando aparezca el mensaje de confirmacin de borrado .
CLI
unset vrouter trust-vr protocol ospf enable unset vrouter trust-vr protocol ospf save Nota: En la lnea de comandos CLI, tendr que desactivar la instancia de enrutamiento de OSPF antes de poder eliminarla. Por lo tanto, tendr que ejecutar dos comandos CLI para eliminar una instancia de enrutamiento de OSPF.
76
(Slo rea NSSA). Especifica el tipo de mtrica externa (1 2) para la 1 ruta predeterminada. (Slo reas NSSA y de rutas internas). Especifica que las LSAs de resumen no se difundirn por el rea. (Todas las reas). Especifica un rango de direcciones IP que se notificarn en las LSAs de resumen, y si stas se notificarn o no. Las LSA de resumen se difunden por el rea.
77
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area: Introduzca los siguientes datos y haga clic en OK : Area ID: 10 Type: normal (seleccione) Action: Add
CLI
set vrouter trust-vr protocol ospf area 10 save
78
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure (Area 10): Utilice el botn Add para mover la interfaz ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (Area 0): Utilice el botn Add para mover la interfaz ethernet3 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK .
CLI
set interface ethernet1 protocol ospf area 10 set interface ethernet3 protocol ospf area 0 save
79
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la seccin Area Range y haga clic en Add : IP / Netmask: 10.1.1.0/24 Type: (seleccione) Advertise Introduzca los siguientes datos en la seccin Area Range y haga clic en Add : IP / Netmask: 10.1.2.0/24 Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise save
80
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF y haga clic en Apply . Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable Protocol OSPF y haga clic en Apply .
CLI
set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf enable save
81
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Anule la seleccin de Enable Protocol OSPF y haga clic en Apply .
CLI
unset interface ethernet1 protocol ospf enable save Nota: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual (consulte Ejemplo: Eliminacin de una instancia de OSPF en la pgina 76), OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
82
Comprobacin de la configuracin
Puede ver la configuracin introducida para trust-vr ejecutando el siguiente comando CLI: ns-> get vrouter trust-vr protocol ospf config VR: trust-vr RouterId: 10.1.1.250 ---------------------------------set protocol ospf set enable set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise set area 0.0.0.10 set vlink area-id 0.0.0.10 router-id 10.1.1.250 exit set interface ethernet1 protocol ospf area 0.0.0.10 set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf area 0.0.0.0 set interface ethernet3 protocol ospf enable
83
Puede verificar si OSPF se est ejecutando en el enrutador virtual con el comando get vrouter trust-vr protocol ospf .
ns-> get vrouter trust-vr protocol ospf VR: trust-vr RouterId: 10.1.1.250 ---------------------------------OSPF enabled Supports only single TOS(TOS0) route Internal Router Automatic vlink creation is disabled Numbers of areas is 2 Number of external LSA(s) is 0 SPF Suspend Count is 10 nodes Hold time between SPFs is 3 second(s) Advertising default-route lsa is off Default-route discovered by ospf will be added to the routing table RFC 1583 compatibility is disabled. Hello packet flooding protection is not enabled LSA flooding protection is not enabled Area 0.0.0.0 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 1 Area 0.0.0.10 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 0
Las zonas resaltadas muestran que OSPF se est ejecutando y verifican las zonas OSPF activas y las interfaces activas en cada zona OSPF. Nota: Es recomendable asignar siempre una ID de enrutador de forma explcita, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte el Captulo 2, Enrutadores virtuales.
84
Puede verificar si OSPF est habilitado en las interfaces y ver el estado de las interfaces con el comando get vrouter trust-vr protocol ospf interface .
ns-> get vrouter trust-vr protocol ospf interface VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Interface IpAddr NetMask AreaId Status State -------------------------------------------------------------------------------ethernet3 ethernet1 2.2.2.2 10.1.1.1 255.255.255.0 0.0.0.0 255.255.255.0 0.0.0.10 enabled Designated Router enabled Up
Puede configurar la prioridad del enrutador virtual que desee seleccionar: el enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el ejemplo anterior, la columna del estado (State) lista la prioridad del enrutador virtual. Puede verificar si instancia de enrutamiento de OSPF en el dispositivo NetScreen ha establecido adyacencias con los vecinos OSPF ejecutando el comando get vrouter trust-vr protocol ospf neighbor .
ns-> get vrouter trust-vr protocol ospf neighbor VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Neighbor(s) on interface ethernet3 (Area 0.0.0.0) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------2.2.2.2 2.2.2.250 1 Full E Neighbor(s) on interface ethernet1 (Area 0.0.0.10) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------10.1.1.1 10.1.1.252 1 Full E
En la columna State del ejemplo anterior, Full indica adyacencias OSPF completas con vecinos.
85
Redistribucin de rutas
REDISTRIBUCIN DE RUTAS
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de OSPF de un mismo enrutador virtual: Rutas reconocidas por BGP o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: add-bgp Protocol: BGP
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp save
86
Redistribucin de rutas
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: add-bgp Protocol: BGP Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Summary Import: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 2.1.1.0/24
87
Redistribucin de rutas
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 save
WebUI
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.1.1.0/24 Gateway: (seleccione) Interface: Null Gateway IP Address: 0.0.0.0 Preference: 255 Metric: 65535
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535 save
88
Especifica que una ruta predeterminada activa (0.0.0.0/0) en la tabla La ruta de rutas del enrutador virtual se notifica en todas las reas OSPF. predeterminada no se Tambin es posible especificar el valor de mtrica o si la mtrica notifica. original de la ruta se preservar, as como el tipo de mtrica (tipo ASE 1 o 2). Tambin se puede especificar que la ruta predeterminada siempre se notifique. Especifica que cualquier ruta predeterminada reconocida en OSPF no La ruta se agregar a la tabla de rutas. predeterminada reconocida en OSPF se agrega a la tabla de rutas. Especifica que el VR crear una conexin virtual automticamente si no puede acceder al rea troncal de OSPF. Desactivado
Especifica el nmero mximo de paquetes de saludo OSPF que el VR 10 puede recibir en un intervalo de saludo. Especifica el nmero mximo de paquetes LSA de OSPF que el VR puede recibir dentro del intervalo en segundos especificado. No hay valor predeterminado.
89
Descripcin Especifica que la instancia de enrutamiento de OSPF es compatible con la norma RFC 1583, una versin anterior de OSPF.
Valor predeterminado Los dispositivos NetScreen admiten OSPF, versin 2, tal y como se define en RFC 2328.
Especifica el nmero mximo de rutas (1-4) a utilizar para equilibrar Disabled (1) cargas con los destinos que tengan mltiples rutas de igual coste. Consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52. Configura el rea OSPF y la ID de enrutador para la conexin virtual. De No hay conexin forma opcional tambin puede configurar el mtodo de autenticacin, el virtual configurada. intervalo de saludo y el de retransmisin, el retardo de transmisin o el intervalo muerto del interlocutor para la conexin virtual.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Advertising Default Route Enable y haga clic en OK . Nota: En la interfaz WebUI, la mtrica predeterminada es 1 y el tipo de mtrica predeterminado es tipo ASE 1.
90
CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 save
91
Conexiones virtuales
Todas las reas de una red OSPF se deben conectar directamente al rea troncal. Sin embargo, en ocasiones es necesario crear una nueva rea que no se podr conectar fsicamente al rea troncal. Para resolver este problema se puede configurar una conexin virtual. Esta conexin proporciona un rea remota con una ruta lgica al rea troncal a travs de otra rea. En los enrutadores, la conexin virtual se debe configurar en los dos extremos de la conexin. Para configurar una conexin virtual en el dispositivo NetScreen, debe definir: La ID del rea OSPF que va a cruzar la conexin virtual. No es posible crear una conexin virtual que cruce el rea troncal o un rea de rutas internas. La ID del enrutador al otro extremo de la conexin virtual.
De forma opcional puede configurar los siguientes parmetros para conexiones virtuales:
Parmetro de conexin virtual Authentication Dead interval Descripcin Valor predeterminado
Especifica la autenticacin por contrasea de texto no encriptado o la No se utiliza autenticacin MD5. autenticacin. Especifica el intervalo en segundos en que no se producir respuesta 40 segundos desde un dispositivo OSPF vecino antes de que se determine que ste no funciona. Especifica el tiempo en segundos entre dos saludos OSPF. Especifica el tiempo en segundos que transcurrir antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a una interfaz. 10 segundos 5 segundos
Transmit delay
1 segundo
92
e1 NetScreen-A e2
NetScreen-A y NetScreen-B tienen una conexin virtual entre s a travs del rea OSPF 10.
Area 20
Nota: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que OSPF se est ejecutando en las interfaces de los dispositivos A y B antes de que la conexin virtual se active.
WebUI (NetScreen-A)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add : Area ID: 10 (seleccione) Router ID: 10.1.1.250 > Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK .
93
CLI (NetScreen-A)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay 10 save Nota: En la interfaz CLI, primero tendr que crear la conexin virtual y, a continuacin, configurar cualquier parmetro opcional para la conexin. As, en el ejemplo anterior, tendr que ejecutar dos comandos distintos para crear y despus configurar la conexin virtual.
WebUI (NetScreen-B)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add : Area ID: 10 Router ID: 10.10.1.250 > Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK .
CLI (NetScreen B)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 transit-delay 10 save
94
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Automatically Generate Virtual Links y haga clic en OK .
CLI
set vrouter trust-vr protocol ospf auto-vlink save
95
Especifica si la comunicacin OSPF de la interfaz se verificar mediante No se utiliza autenticacin. autenticacin por contrasea de texto no encriptado o por MD5 (Message Digest 5). La contrasea de texto no encriptado debe ser una cadena de hasta 8 dgitos, mientras que la contrasea para autenticacin MD5 puede ser una cadena de hasta 16 dgitos. Para la contrasea MD5 tambin es necesario que se configuren cadenas clave. Especifica la mtrica de la interfaz. El coste asociado a una interfaz depende del ancho de banda de la conexin que tenga establecida dicha interfaz. Cuanto mayor sea el ancho de banda, menor ser el valor del coste (preferible). 1 para una conexin de 100 MB o ms 10 para una conexin de 10 MB 100 para una conexin de 1 MB
Cost
Dead interval
Especifica el intervalo en segundos en que no se producir respuesta 40 segundos desde un dispositivo OSPF vecino antes de que OSPF determine que no funciona. Especifica el intervalo en segundos que transcurrir entre el envo de un paquete de saludo a la red y el siguiente. Especifica una interfaz de tnel como vnculo punto a punto o como vnculo punto a multipunto. Consulte Interfaz de tnel punto a multipunto en la pgina 107. 10 segundos Las interfaces Ethernet se tratan como interfaces de difusin. De forma predeterminada, las interfaces de tnel asociadas a las zonas OSPF son punto a punto.
96
Descripcin Especifica subredes, en forma de lista de acceso, en las que residen vecinos OSPF que pueden utilizarse para formar adyacencias.
Valor predeterminado Ninguna (las adyacencias se forman con todos los vecinos de la interfaz)
Passive Interface
Especifica que la direccin IP de la interfaz se notificar en el dominio Las interfaces con OSPF OSPF como ruta OSPF y no como ruta externa, pero que la interfaz habilitado transmiten y no transmitir ni recibir paquetes OSPF. Esta opcin resulta til reciben paquetes OSPF cuando en la interfaz tambin se ha habilitado BGP.
Especifica la prioridad del enrutador virtual que se elegir: enrutador designado o enrutador designado de respaldo. El enrutador con el valor de prioridad ms alto tiene ms posibilidades de ser elegido (aunque no se garantiza). Especifica el tiempo en segundos que transcurrir antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a la interfaz. 1
Priority
Retransmit interval
5 segundos
1 segundo
(Slo interfaces de tnel) Configura una interfaz de tnel como circuito Desactivado de demanda, segn RFC 1793. Consulte Circuitos de demanda en interfaces de tnel en la pgina 105. Especifica la reduccin de inundaciones LSA en un circuito de demanda. Desactivado
Especifica que cualquier incoherencia en los valores Maximum Desactivado Transmission Unit (MTU) entre las interfaces locales y remotas que se encuentre durante las negociaciones de la base de datos OSPF ser ignorada. Esta opcin slo debe utilizarse cuando el MTU de la interfaz local sea ms lento que el MTU de la interfaz remota.
Nota: Para formar adyacencias, todos los enrutadores OSPF de un rea deben utilizar los mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de retransmisin.
97
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Hello Interval: 15 Retransmit Interval: 7 Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15 set interface ethernet1 protocol ospf retransmit-interval 7 set interface ethernet1 protocol ospf transit-delay 2 save
98
Configuracin de seguridad
CONFIGURACIN DE SEGURIDAD
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento OSPF y algunos mtodos de prevencin de ataques. Nota: Para que OSPF sea ms seguro, todos los enrutadores de un dominio OSPF deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador OSPF peligroso podra llegar a dejar inservible todo el domino de enrutamiento OSPF.
Autenticacin de vecinos
Un enrutador OSPF se puede suplantar fcilmente, ya que las LSAs no se encriptan y la mayora de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos OSPF. OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes OSPF recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz OSPF tiene la autenticacin habilitada. Para la autenticacin MD5 se necesita la misma clave utilizada para los enrutadores OSPF de envo y recepcin. Puede especificar varias claves MD5 en el dispositivo NetScreen, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo NetScreen, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Password: (seleccione), 12345678
99
Configuracin de seguridad
CLI
set interface ethernet1 protocol ospf authentication password 12345678 save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Authentication: MD5 Keys: (seleccione) 1234567890123456 9876543210987654 5022313610981757 Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 set interface ethernet1 key-id 1 set interface ethernet1 key-id 2 set interface ethernet1 save protocol ospf authentication md5 1234567890123456 protocol ospf authentication md5 9876543210987654 protocol ospf authentication md5 5022313610981757 protocol ospf authentication md5 active-md5-key-id 1
100
Configuracin de seguridad
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 4 Sequence No.: 10 IP/Netmask: 10.10.10.130/27 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Neighbor List: 4
101
Configuracin de seguridad
CLI
set vrouter trust-vr access-list 4 set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10 set interface ethernet1 protocol ospf neighbor-list 4 save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione la casilla de verificacin Do Not Add Default-route Learned in OSPF y haga clic en OK .
CLI
set vrouter trust-vr protocol ospf reject-default-route save
102
Configuracin de seguridad
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK : Prevent Hello Packet Flooding Attack: On Max Hello Packet: 20
CLI
set vrouter trust-vr protocol ospf hello-threshold 20 save
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 103
Configuracin de seguridad
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK : LSA Packet Threshold Time: 20 Maximum LSAs: 10
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10 save
104
WebUI
Network > Interface > Edit > OSPF: Introduzca los siguientes datos y haga clic en Apply : Demand Circuit: (seleccione)
CLI
set interface tunnel.1 protocol ospf demand-circuit save
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 105
WebUI
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Reduce Flooding: (seleccione)
CLI
set interface tunnel.1 protocol ospf reduce-flooding save
106
WebUI
Network > Interface (Edit) > OSPF: Seleccione Point-to-Multipoint en la lista de botones de opcin Link Type.
CLI
set interface tunnel.1 protocol ospf link-type p2mp save
107
WebUI
Nota: Para establecer la restriccin route-deny debe utilizarse la interfaz CLI.
CLI
unset interface tunnel.1 route-deny save
108
Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos NetScreen de las oficinas remotas: 1. 2. 3. 4. Interfaces y zona de seguridad OSPF VPN Directiva
En este diagrama de la interfaz de tnel punto a multipunto, cuatro VPNs se originan en el dispositivo NetScreen de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago.
Los 5 dispositivos NetScreen residen en una zona llamada vpn. VPN 1 San Francisco (CO) ethernet1 10.1.1.1 tunnel.1 10.0.0.1 ethernet3 1.1.1.1 4 VPNs asociadas a tunnel.1 VPN 2 Internet
New York tunnel.1 10.0.0.2 Untrust 2.2.2.2 Los Angeles tunnel.1 10.0.0.3 Untrust 3.3.3.3 Montreal VPN 3 tunnel.1 10.0.0.4 Untrust 4.4.4.4 Chicago VPN 4 tunnel.1 10.0.0.5 Untrust 5.5.5.5 Trust 5.5.5.1 Trust 4.4.4.1 Trust 3.3.3.1 Trust 2.2.2.1
109
Desde el punto de vista del dispositivo en la oficina CO, el trfico procedente de CO hacia el dispositivo remoto de Nueva York sigue la ruta mostrada en esta ilustracin.
ethernet3 1.1.1.1
Zona Untrust
Untrust 2.2.2.2
New York
IP de host 10.1.1.5
IP de host 10.1.2.5
Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
110
2. 3.
VPN
VPNs > AutoKey Advanced > Gateway
Rutas y OSPF
Network > Routing > Virtual Routers > Edit
2.
VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey
111
set vpn2 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn3 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn4 id 4 bind interface tunnel.1 save
3.
Rutas y OSPF
set vrouter trust route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.10 set vrouter trust router-id 10 set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable set interface tunnel.1 protocol ospf link-type p2mp unset interface tunnel.1 route-deny save
Nota: De forma predeterminada, route-deny est inhabilitado. Sin embargo, si habilit la caracterstica route-deny en algn momento, necesitar inhabilitar la caracterstica para que la interfaz de tnel punto a multipunto funcione correctamente.
4.
Puede seguir estos pasos para configurar los dispositivos NetScreen de las oficinas remotas. Los dispositivos NetScreen aprenden sobre sus vecinos a travs de LSAs.
112
Para completar la configuracin mostrada en el diagrama de la pgina 110, debe repetir la seccin siguiente por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN, as como establecer directivas para cumplir las necesidades de la red. Por cada sitio remoto, la zona denominada vpn cambia. Nota: Los procedimientos de WebUI estn abreviados. La porcin CLI del ejemplo, sin embargo, est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse.
2. 3.
VPN
VPNs > AutoKey Advanced > Gateway
Rutas y OSPF
Network > Routing > Virtual Routers > Edit
113
2.
OSPF
set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable save
3.
VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1 save
4.
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol ospf config .
114
Captulo 4
En este captulo se describe la versin 2 del protocolo de enrutamiento RIP (Routing Information Protocol) en los dispositivos NetScreen. Para ello se tratarn los siguientes temas: Introduccin al protocolo RIP en la pgina 117 Configuracin bsica de RIP en la pgina 118 Creacin de una instancia RIP en la pgina 119 Habilitacin de RIP en interfaces en la pgina 121 Redistribucin de rutas en la pgina 122 Visualizacin de la informacin de RIP en la pgina 124 Visualizacin de la base de datos RIP en la pgina 124 Visualizacin de los detalles de protocolo RIP en la pgina 127 Visualizacin de informacin de vecino RIP en la pgina 128 Visualizacin de los detalles de protocolo RIP de una interfaz en la pgina 129 Parmetros globales de RIP en la pgina 130 Parmetros de interfaz RIP en la pgina 133 Notificacin de la ruta predeterminada en la pgina 132 Configuracin de seguridad en la pgina 135 Autenticacin de vecinos en la pgina 135 Filtrado de vecinos RIP en la pgina 137
115
Rechazo de rutas predeterminadas en la pgina 138 Proteccin contra inundaciones en la pgina 139 Configuraciones opcionales de RIP en la pgina 142 Versin de protocolo RIP en la pgina 142 Resumen de prefijos en la pgina 144 Rutas alternativas en la pgina 146 Circuitos de demanda en interfaces de tnel en la pgina 148 Configuracin de un vecino esttico en la pgina 150 Interfaz de tnel punto a multipunto en la pgina 151
116
117
En esta seccin se describe la correcta ejecucin de cada una de estas tareas utilizando la interfaz WebUI y la lnea de comandos CLI. Opcionalmente, es posible configurar parmetros de RIP, como: Parmetros globales, como temporizadores y vecinos RIP fiables, que se configuran en el enrutador virtual para el protocolo RIP (consulte Parmetros globales de RIP en la pgina 130) Parmetros de interfaz, como la autenticacin de dispositivos vecinos, que se configuran en la interfaz para el protocolo RIP (consulte Parmetros de interfaz RIP en la pgina 133) Parmetros RIP relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 135)
118
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create RIP Instance . Seleccione Enable RIP y haga clic en OK .
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
119
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance : Anule la seleccin de Enable RIP y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y luego haga clic en OK cuando aparezca el mensaje de confirmacin.
CLI
unset vrouter trust-vr protocol rip enable unset vrouter trust-vr protocol rip save
120
WebUI
Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP Enable y haga clic en Apply .
CLI
set interface trust protocol rip enable save
121
WebUI
Network > Interface (para Trust) > RIP: Anule la seleccin de Protocol RIP Enable y haga clic en Apply .
CLI
unset interface trust protocol rip enable unset interface trust protocol rip save
Redistribucin de rutas
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual (VR): Rutas reconocidas por el protocolo BGP Rutas reconocidas por el protocolo OSPF Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales. Las rutas importadas en RIP a partir de otros protocolos tienen un valor mtrico predeterminado de 10. Este valor se puede modificar (consulte Parmetros globales de RIP en la pgina 130).
122
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 20 Sequence No.: 1 IP/Netmask: 20.1.0.0/16 Action: Permit (seleccione) Network > Routing > Virtual Router (trust-vr) > Route Map > New: Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 1 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 20 (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: rtmap1 (seleccione) Protocol: Static (seleccione)
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1 set vrouter trust-vr route-map name rtmap1 permit 1
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 123
set vrouter trust-vr route-map rtmap1 1 match ip 20 set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static save
124
En este ejemplo, especifica trust-vr y aade el prefijo y la direccin IP 10.10.10.0/24 para visualizar una sola entrada de la tabla.
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar la base de datos RIP.
CLI
get vrouter trust-vr protocol rip database prefix 10.10.10.0/24 save
125
Despus de introducir el comando CLI, puede visualizar la entrada de la base de datos RIP.
ns-> get vrouter trust-vr protocol rip database 10.10.10.0/24 VR: trust-vr ---------------------------------------------------------------------------Total database entry: 3 Flags : Added in Multipath - M, RIP - R, Redistributed - I, Default (advertised) - D, Permanent - P, Summary - S, Unreachable - U, Hold - H DBID Prefix Nexthop Ifp Cost Flags Source 7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1 ----------------------------------------------------------------------------
La base de datos RIP contiene los campos siguientes: DBID, el identificador de base de datos de la entrada Prefix, el prefijo y la direccin IP Nexthop, la direccin del salto siguiente (enrutador) Ifp, el tipo de conexin (Ethernet o tnel) La mtrica de coste asignada para indicar la distancia desde el origen
Flags, pueden ser uno o varios de lo siguiente: Multipath (M), RIP (R), Redistributed (I), Advertised default (D), Permanent (P), Summary (S), Unreachable (U) o Hold (H). En este ejemplo, el identificador de base de datos es 7, la direccin IP y el prefijo es 10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexin Ethernet con un coste de 2. Los flags son M y R e indican que esta ruta es multidireccional y usa RIP.
126
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar los detalles del protocolo RIP.
CLI
get vrouter trust-vr protocol rip
ns-> get vrouter trust-vr protocol rip VR: trust-vr ---------------------------------------------------------------------------State: enabled Version: 2 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 16 Not validating neighbor in same subnet: disabled RIP update transmission not scheduled Maximum number of Alternate routes per prefix: 2 Advertising default route: disabled Default routes learnt by RIP will not be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in seconds) ------------------------------------------------------------30| 180| 120| 5| 40| 90 Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx ---------------------------------------------------------------------------tun.1 122.1.2.114/8 enabled disabled SD 1 1 v1v2/v1v
Puede visualizar los valores del protocolo RIP, los detalles del paquete, la informacin del temporizador RIP y una tabla de interfaz resumida.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 127
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar la informacin de vecino RIP.
CLI
get vrouter trust-vr protocol rip neighbors
ns-> get vrouter trust-vr protocol rip neighbors VR: trust-vr ---------------------------------------------------------------------------Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P, Demand Circuit Init - I Neighbors on interface tunnel.1 ---------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags ---------------------------------------------------------------------------10.10.10.1 v2 0 0 TSD
Adems de visualizar la direccin IP y la versin de RIP, puede visualizar la informacin siguiente del vecino RIP: Antiguedad de la entrada Tiempo de caducidad Nmero de paquetes incorrectos Nmero de rutas incorrectas Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o demand circuit init (I)
128
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar los detalles de la interfaz RIP.
CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2
f
ns-> get interface tunnel.1 protocol rip VR: trust-vr ---------------------------------------------------------------------------Interfaz: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabled Receive version v1v2, Send Version v1v2 State: Down, Passive: No Metric: 1, Split Horizon: enabled, Poison Reverse: disabled Demand Circuit: configured Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Authentication: none Current neighbor count: 1 Update not scheduled Transmit Updates: 0 (0 triggered), Receive Updates: 0 Update packets dropped because flooding: 0 Bad packets: 0, Bad routes: 0 Flags: Static - S, Demand Circuit - T, NHTB - N Down - D, Up - U, Poll - P Neighbors on interface tunnel.1 ---------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags ---------------------------------------------------------------------------10.10.10.1 0 0 TSD
Desde este resumen de informacin puede visualizar el nmero de paquetes incorrectos o de rutas incorrectas presentes, verificar cualquier sobrecarga que RIP aada a la conexin y ver la configuracin de la autenticacin.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 129
Indica el tiempo (en segundos) que tiene que transcurrir para que una ruta 180 segundos deje de ser vlida desde el momento en el que un vecino deja de notificar la ruta. Indica el tiempo (en segundos) que tiene que transcurrir para que se elimine una ruta desde el momento de su invalidacin. Indica el nmero mximo de vecinos RIP permitidos. Indica una lista de acceso en la que se definen los vecinos RIP. Si no se especifica ningn vecino, RIP utiliza la difusin o la multidifusin para detectar vecinos en una interfaz. Consulte Filtrado de vecinos RIP en la pgina 137. Indica que se admiten vecinos RIP de otras subredes. Indica si se notifica la ruta predeterminada (0.0.0.0/0). 120 segundos Depende de la plataforma Todos los vecinos son fiables
Desactivado Desactivado
130
Descripcin Indica si RIP debe rechazar una ruta predeterminada reconocida de otro protocolo. Consulte Rechazo de rutas predeterminadas en la pgina 138. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Especifica el nmero mximo de rutas RIP para el mismo prefijo que se puede aadir a la base de datos de la ruta RIP. Consulte Rutas alternativas en la pgina 146. Especifica la notificacin de una ruta de resumen que corresponde a todas las rutas incluidas dentro de un rango de resumen. Consulte Resumen de prefijos en la pgina 144. Especifica la versin de protocolo RIP que utiliza el VR. Puede ignorar la versin interfaz a interfaz. Consulte Versin de protocolo RIP en la pgina 142.
Ninguna Ninguna 0
Ninguna
Versin 2
Hold-timer
Evita el flapping (rechazo) de una ruta a la tabla de rutas. Puede 90 segundos especificar un valor entre los valores mnimo (tres veces el valor del temporizador de actualizacin (update)) y mximo (suma del temporizador de actualizacin (update) y el de retencin (hold), sin exceder el valor del temporizador flush). Especifica el intervalo de retransmisin de las respuestas desencadenadas en un circuito de demanda. Puede establecer el temporizador de retransmisin y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. Comprueba el vecino remoto del circuito de demanda para ver si dicho vecino est vivo. Puede configurar el temporizador de retransmisin en minutos y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. Una cuenta de reintentos de cero (0) supone un sondeo interminable. 5 segundos 10 reintentos
Retransmit timer
Poll-timer
131
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Advertising Default Route: (seleccione) Metric: 5
CLI
set vrouter trust-vr protocol rip adv-default-route metric number 5 save Nota: Consulte el manual NetScreen CLI Reference Guide para obtener ms informacin sobre los parmetros globales que se pueden configurar en el contexto del protocolo de enrutamiento RIP.
132
Especifica la autenticacin por contrasea de texto no encriptado o la No se utiliza autenticacin MD5. Consulte Autenticacin de vecinos en la pgina autenticacin. 135. Indica que la interfaz puede recibir, pero no transmitir paquetes RIP. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Especifica la versin de protocolo RIP para enviar o recibir actualizaciones en la interfaz. La versin de la interfaz utilizada para enviar actualizaciones no necesita ser la misma que la versin para recibir las actualizaciones. Consulte Versin de protocolo RIP en la pgina 142. Especifica si los resmenes de rutas estn habilitados en la interfaz. Consulte Resumen de prefijos en la pgina 144. No Ninguna Ninguna Versin configurada para el enrutador virtual
Passive mode Incoming route map Outgoing route map RIP version for sending or receiving updates
Route summarization
Desactivado
133
Descripcin Especifica el circuito de demanda en una interfaz de tnel especificada. El dispositivo NetScreen enva mensajes de actualizacin solamente cuando se producen cambios. Consulte Circuitos de demanda en interfaces de tnel en la pgina 148. Especifica la direccin IP de un vecino RIP asignado manualmente.
Static neighbor IP
Ninguna
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y otro mapa de rutas de entrada en el nivel de la interfaz, ste ltimo tendr preferencia sobre el primero. Para obtener ms informacin, consulte Configuracin de un mapa de rutas en la pgina 56.
WebUI
Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes datos y haga clic en OK : Authentication: MD5 (seleccione) Key: 1234567898765432 Key ID: 215 Split Horizon: Enabled with poison reverse (seleccione)
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id 215 set interface trust protocol rip split-horizon poison-reverse save
134
Configuracin de seguridad
CONFIGURACIN DE SEGURIDAD
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento RIP y algunos mtodos de prevencin de ataques. Nota: Para que RIP sea ms seguro, todos los enrutadores de un dominio RIP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador RIP comprometido podra llegar a dejar inservible todo el domino de enrutamiento RIP.
Autenticacin de vecinos
Un enrutador RIP se puede suplantar fcilmente, ya que los paquetes RIP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes RIP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos RIP. RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes RIP recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz RIP tiene la autenticacin habilitada. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores RIP de envo y recepcin. Puede especificar ms de una clave MD5 en el dispositivo NetScreen, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo NetScreen, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
135
Configuracin de seguridad
WebUI
Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes datos y haga clic en Apply : MD5 Keys: (seleccione) 1234567890123456 (primer campo de clave) 9876543210987654 (segundo campo de clave) Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456 set interface ethernet1 protocol rip authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1 save
136
Configuracin de seguridad
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 10 Sequence No.: 1 IP/Netmask: 10.1.1.1/32 Action: Permit (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Trusted Neighbors: (seleccione), 10 Maximum Neighbors: 1
137
Configuracin de seguridad
CLI
set vrouter trust-vr ns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1 ns(trust-vr)-> set protocol rip ns(trust-vr/rip)-> set max-neighbor-count 1 ns(trust-vr/rip)-> set trusted-neighbors 10 ns(trust-vr/rip)-> exit ns(trust-vr)-> exit save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Reject Default Route Learnt by RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip reject-default-route save
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 138
Configuracin de seguridad
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Maximum Number Packets per Update Time: (seleccione), 4
CLI
set vrouter trust-vr protocol rip threshold-update 4 save
139
Configuracin de seguridad
10.20.0.0/16
NetScreen-A (RIP)
NetScreen-B (RIP)
1.1.1.1/16
10.10.0.0/16 Tunnel.1
Enrutador RIP
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP Instance: Seleccione Enable RIP y haga clic en OK . Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 10 Sequence No.: 10 IP/Netmask: 10.10.0.0/16 Action: Permit
140
Configuracin de seguridad
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: abcd Sequence No.: 10 Action: Permit Match Properties: Access List: (seleccione), 10 Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione los siguientes datos y haga clic en OK : Outgoing Route Map Filter: abcd Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes datos y haga clic en Apply : Enable RIP: (seleccione) Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos y haga clic en Apply : Enable RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface tunnel.1 protocol rip enable set interface trust protocol rip enable set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10 set vrouter trust-vr route-map name abcd permit 10 set vrouter trust-vr route-map abcd 10 match ip 10 set vrouter trust-vr protocol rip route-map abcd out save
141
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione V1 para Version y luego haga clic en Apply . Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para Sending and Receiving en Update Version y luego haga clic en Apply .
142
CLI
set vrouter trust-vr protocol rip version 1 set interface ethernet3 protocol rip receive-version v2 set interface ethernet3 protocol rip send-version v2 save Para verificar la versin de RIP en el VR y en las interfaces RIP, puede introducir el comando get vrouter trust-vr protocol rip .
VR: trust-vr ---------------------------------State: enabled Version: 1 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 512 Not validating neighbor in same subnet: disabled Next RIP update scheduled after: 14 sec Advertising default route: disabled Default routes learnt by RIP will be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update Invalid Flush (Timers in seconds) ------------------------------------------------------------30 180 120 Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx -------------------------------------------------------------------------------ethernet3 20.20.1.2/24 enabled enabled S 0 1 2/2
En el ejemplo de arriba, el dispositivo NetScreen est ejecutando la versin 1 de RIP en trust-vr; pero se est ejecutando la versin 2 de RIP en la interfaz ethernet3 para enviar y recibir actualizaciones.
143
Resumen de prefijos
Puede configurar una ruta de resumen que englobe el rango de prefijos de ruta al que deber notificar RIP. Entonces, el dispositivo NetScreen notifica solamente la ruta que corresponde al rango del resumen en lugar de notificar individualmente cada ruta incluida en el rango de resumen. Esto puede reducir el nmero de entradas de ruta enviadas en las actualizaciones de RIP y reducir el nmero de entradas que los vecinos RIP necesitan almacenar en sus tablas de enrutamiento. Habilite el resumen de ruta en la interfaz RIP desde la que el dispositivo enva. Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resumen en otra interfaz. Nota: No puede habilitar selectivamente el resumen para un rango de resumen especfico; cuando habilita el resumen en una interfaz, todas las rutas de resumen configuradas aparecen en las actualizaciones de enrutamiento. Al configurar la ruta de resumen, no puede especificar los rangos de prefijos mltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la ruta predeterminada. Puede especificar opcionalmente una mtrica para la ruta de resumen. Si no especifica una mtrica, se utilizar la mtrica ms grande para todas las rutas incluidas en el rango de resumen. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para obtener ms informacin sobre establecer una interfaz NULL, consulte Ejemplo: Evitar bucles creados por las rutas resumidas en la pgina 88.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance > Summary IP: Introduzca los siguientes datos y haga clic en Add : Summary IP: 10.1.0.0 Netmask: 16 Metric: 1 Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization y haga clic en Apply .
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 144
CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 set interface ethernet3 protocol rip summary-enable save
WebUI
Network > Routing > Virtual Routers > Edit (para ethernet3) > Edit RIP Instance > Summary IP: Anule la seleccin en Summarization y luego haga clic en Apply.
CLI
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 unset interface ethernet3 protocol rip summary-enable save
145
Rutas alternativas
El dispositivo NetScreen mantiene una base de datos RIP para las rutas que ha aprendido el protocolo y las rutas que se redistribuyen en RIP. De forma predeterminada, solamente se mantiene la mejor ruta de un prefijo dado en la base de datos. Puede permitir la existencia de una, dos o tres rutas alternativas de RIP para el mismo prefijo en la base de datos RIP. Si permite las rutas alternativas para un prefijo en la base de datos RIP, las rutas al mismo prefijo con un origen RIP o un siguiente salto diferente se aaden a la base de datos RIP. Esto hace que RIP pueda admitir los circuitos de demanda y la conmutacin por fallo rpida. Nota: Juniper Networks recomienda el uso de rutas alternativas con los circuitos de demanda. Para obtener ms informacin sobre circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 148. Solamente se aade a la tabla de enrutamiento de un enrutador virtual (VR) y se anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP aade la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se aade a la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a la tabla de enrutamiento y deja de utilizar la ruta antigua. Segn el lmite de la ruta alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base de datos RIP. Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter vrouter protocol rip database . En el ejemplo siguiente, el nmero de rutas alternativas para la base de datos RIP se ajusta a un nmero mayor que 0. La base de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la ruta con el coste ms bajo, se incluye en la tabla de enrutamiento de VR.
VR: trust-vr --------------------------------------------------------------------------------Total database entry: 14 Flags: Added in Multipath - M, RIP - R, Redistributed - I Default (advertised) - D, Permanent - P, Summary - S Unreachable - U, Hold - H DBID Prefix Nexthop Interface Cost Flags Source --------------------------------------------------------------------------------. . . 47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1 46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5 . . . Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 146
Si est habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52) y existen varias rutas de igual coste en la base de datos RIP para un prefijo dado, RIP aade las rutas mltiples para el prefijo en la tabla de enrutamiento del VR hasta el lmite de ECMP. En algunos casos, el lmite de la ruta alternativa en la base de datos RIP puede hacer que las rutas RIP no se aadan a la tabla de enrutamiento del VR. Si el lmite de ECMP es inferior o igual al lmite de la ruta alternativa en la base de datos RIP, las rutas RIP que no se aadan a la tabla de enrutamiento del VR permanecern en la base de datos RIP; estas rutas se aaden a la tabla de enrutamiento del VR solamente si se elimina una ruta anteriormente aadida o si ya no es la mejor ruta RIP para el prefijo de red. Por ejemplo, si el lmite de ECMP es 2 y el lmite de la ruta alternativa en la base de datos RIP es 3, solamente podr haber dos rutas RIP para el mismo prefijo con el mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el mismo prefijo/mismo coste en la base de datos RIP, pero solamente se aaden dos rutas a la tabla de enrutamiento del VR.
WebUI
Network > Routing > Edit (para trust-vr) > Edit RIP Instance: Introduzca 1 en el campo Maximum Alternative Route y luego, haga clic en Apply.
CLI
set vrouter trust-vr protocol rip alt-route 1 save
147
En el dispositivo NetScreen, tambin puede configurar una interfaz de tnel de punto a punto o de punto a multipunto como circuito de demanda. Debe inhabilitar route-deny (si est configurado) en un tnel de punto a multipunto de modo que todas las rutas puedan alcanzar sitios remotos. Aunque no se requiera, tambin puede inhabilitar el horizonte dividido en la interfaz de punto a multipunto con los circuitos de demanda. Si inhabilita el horizonte dividido, los puntos extremos pueden aprender entre s. Debe configurar la supervisin de VPN con reencriptacin en los tneles VPN para aprender el estado del tnel. Despus de configurar el circuito de demanda y los vecinos estticos, puede ajustar el temporizador/retransmisor RIP, el temporizador de sondeo, y el temporizador de retencin para ajustarse a sus requisitos de red. Los ejemplos sobre cmo configurar un circuito de demanda y un vecino esttico se muestran despus de esta seccin. Un ejemplo de configuracin de red RIP con circuitos de demanda a travs de interfaces de tnel de punto a multipunto empieza en la pgina 151.
148
WebUI
Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit y haga clic en Apply.
CLI
set interface tunnel.1 protocol rip demand-circuit save Despus de habilitar un circuito de demanda, puede activar su estado y sus temporizadores con el comando get vrouter vrouter protocol rip database . Puede modificar los temporizadores en funcin del rendimiento del circuito de demanda.
Rendimiento del circuito de demanda Relativamente lento Sin prdidas Congestionado y con prdidas Sugerencia Puede reconfigurar el temporizador de retransmisin a un valor superior para reducir el nmero de retransmisiones. Puede reconfigurar el temporizador de retransmisiones para reducir la cuenta de reintentos. Puede reconfigurar el temporizador de retransmisiones a una cuenta de reintentos superior para dar al vecino esttico ms tiempo de respuesta antes de forzar al vecino esttico a un estado de POLL (sondeo).
149
WebUI
Network > Interfaces > (Edit) RIP: Haga clic en el botn Static Neighbor IP para avanzar a la tabla Static Neighbor IP. Introduzca la direccin IP del vecino esttico y haga clic en Add .
CLI
set interface tunnel.1 protocol rip neighbor 10.10.10.2 unset interface tunnel.1 protocol rip neighbor 10.10.10.2 save
150
Los siguientes son los requisitos de configuracin propios de los dispositivos NetScreen remotos:
4.
151
Desde la perspectiva de cada dispositivo NetScreen, todos los dispositivos NetScreen remotos se encuentran en la zona Untrust. Todas las LANs situadas detrs de esos dispositivos se encuentran en la zona personalizada llamada vpn. La interfaz tunnel.1 en cada sitio tambin se encuentra en la zona de seguridad de vpn. ethernet1 Zona Trust 10.1.1.1/24 Trust 10.1.1.0/24 ethernet3 Zona Untrust 1.1.1.1/24 VPN 1
New York tunnel.1 10.0.0.2 Untrust 2.2.2.2 Los Angeles Trust 10.2.2.0/24
tunnel.1 10.0.0.3 Untrust 3.3.3.3 Montreal tunnel.1 10.0.0.4 Untrust 4.4.4.4 Chicago tunnel.1 10.0.0.5 Untrust 5.5.5.5
Trust 10.3.3.0/24
Trust 10.4.4.0/24
VPN 4
Trust 10.5.5.0/24
En este diagrama de red, se originan cuatro VPNs en el dispositivo NetScreen de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. Desde la perspectiva de cada dispositivo NetScreen, los dispositivos NetScreen remotos estn en la zona no fiable, pero las LAN que hay detrs de esos dispositivos estn en zonas de seguridad personalizadas llamadas vpn. La interfaz tunnel.1 de cada sitio tambin se encuentra en la zona de vpn. En este ejemplo, configurar los siguientes ajustes en el dispositivo NetScreen de la oficina central CO: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y RIP 4. Vecinos estticos 5. Ruta de resumen 6. Directiva Para poder comprobar el estado del circuito en el dispositivo de la oficina central CO, debe habilitar la supervisin de VPN.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 152
Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos NetScreen de las oficinas remotas: 1. 2. 3. 4. Interfaces y zona de seguridad VPN Rutas y RIP Directiva
Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
2.
VPN
VPNs > AutoKey Advanced > Gateway > New VPNs > AutoKey IKE > New
3.
Rutas y RIP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Instance Network > Interfaces > Edit (para tunnel.1) > RIP
4.
Vecinos estticos
Network > Interfaces > Edit (para tunnel.1) > RIP > Static Neighbor IP
153
5. 6.
Ruta de resumen
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance > Summary IP
2.
VPN
set ike gateway gw1 ripvpn proposal set ike gateway gw2 ripvpn proposal set ike gateway gw3 ripvpn proposal set ike gateway gw4 ripvpn proposal address 2.2.2.2 pre-g2-3des-sha address 3.3.3.3 pre-g2-3des-sha address 4.4.4.4 pre-g2-3des-sha address 5.5.5.5 pre-g2-3des-sha main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1
154
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn1 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn1 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn1 id 4 bind interface tunnel.1
3.
Rutas y RIP
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set vrouter trust-vr protocol rip summary-ip 100.10.0.0/16 set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip enable set interface tunnel.1 protocol rip demand-circuit
4.
Vecinos estticos
set set set set interface interface interface interface tunnel.1 tunnel.1 tunnel.1 tunnel.1 protocol protocol protocol protocol rip rip rip rip neighbor neighbor neighbor neighbor 10.0.0.2 10.0.0.3 10.0.0.4 10.0.0.5
5.
Ruta de resumen
set interface tunnel.1 protocol rip summary-enable save
6.
155
Puede seguir estos pasos para configurar el dispositivo NetScreen de la oficina remota. Al configurar la oficina remota, no necesita configurar vecinos estticos. En un entorno de circuito de demanda, solamente existe un vecino para el dispositivo remoto y ste aprende la informacin del vecino cuando enva un mensaje multicast durante el arranque. Para completar la configuracin mostrada en el diagrama de la pgina 152, debe repetir esta seccin por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y vpn cambian. Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
2.
VPN
VPNs > AutoKey Advanced > Gateway > New VPNs > AutoKey IKE > New
3.
Rutas y RIP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Instance Network > Interfaces > Edit (para tunnel.1) > RIP
4.
156
2.
VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare ripdc proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3.
Rutas y RIP
set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip demand-circuit set interface tunnel.1 protocol rip enable
4.
157
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol rip neighbors . Los vecinos de un circuito de demanda aparecen en la tabla de vecinos; la informacin del vecino no envejece ni expira. Puede ver la base de datos RIP ejecutando el comando get vrouter vrouter protocol rip database . Junto a las entradas de los circuitos de demanda aparece una P que indica que son permanentes .
158
Captulo 5
En este captulo se describe el protocolo BGP en los dispositivos NetScreen. Para ello se tratarn los siguientes temas:
159
1.
160
Atributos de ruta
Los atributos de ruta BGP son un grupo de parmetros que describen las caractersticas de una ruta. El protocolo BGP empareja los atributos con la ruta que describen y, a continuacin, compara todas las rutas disponibles para un destino para as seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta obligatorios y bien conocidos son: Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto). AS-Path contiene una lista de sistemas autnomos a travs de los cuales ha pasado la notificacin de ruta. Next-Hop es la direccin IP del enrutador al que se enva trfico para la ruta. Multi-Exit Discriminator (MED) es una mtrica para aquellas rutas en las que hay mltiples vnculos entre sistemas autnomos (un AS configura el MED y otro AS lo utiliza para elegir una ruta).
161
Local-Pref es una mtrica utilizada para informar a los interlocutores BGP de las preferencias del enrutador local para elegir una ruta. Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local seleccion una ruta menos especfica de un conjunto de rutas superpuestas recibidas de un interlocutor. Aggregator especifica el AS y el enrutador que realizaron la agregacin de la ruta. Communities especifica una o varias comunidades a las que pertenece la ruta. Cluster List contiene una lista de los clsteres de reflexin a travs de los cuales ha pasado la ruta.
Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta opcionales antes de notificrsela a los interlocutores.
162
En esta seccin se describe la correcta ejecucin de cada una de estas tareas para el ejemplo que se muestra a continuacin, utilizando la interfaz WebUI y la lnea de comandos CLI. En este ejemplo configuraremos el dispositivo NetScreen como interlocutor BGP en el sistema AS 65000. Deber configurar el dispositivo NetScreen de modo que establezca una sesin BGP con el interlocutor en el AS 65500.
Nmeros de los sistemas autnomos AS 65000 Dispositivo NetScreen ID de enrutador 1.1.1.250 Direccin IP de interfaz 1.1.1.1/24 BGP habilitado Interlocutores BGP Sistemas autnomos AS 65500 Enrutador remoto Direccin IP de interfaz 2.2.2.2/24 BGP habilitado ID de enrutador 2.2.2.250
163
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
164
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance : Anule la seleccin de BGP Enabled y haga clic en OK . Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP Instance y haga clic en OK cuando aparezca el mensaje de confirmacin.
CLI
unset vrouter trust-vr protocol bgp enable unset vrouter trust-vr protocol bgp 65000 save
165
WebUI
Network > Interfaces > Configure (para ethernet4): Seleccione Protocol BGP y haga clic en OK .
CLI
set interface ethernet4 protocol bgp save
WebUI
Network > Interfaces > Configure (para ethernet4): Anule la seleccin de Protocol BGP y haga clic en OK .
CLI
unset interface ethernet4 protocol bgp save
166
EBGP multihop
167
Interlocutor X
Grupo de interlocutores X
Descripcin
Valor predeterminado
Hace que la instancia de BGP descarte N/D una conexin BGP existente con el interlocutor especificado y acepte una nueva conexin. Este parmetro resulta de utilidad cuando hay una conexin con un enrutador que falla y, a continuacin, reaparece e intenta restablecer una conexin BGP, ya que permite un restablecimiento ms rpido de la conexin entre * interlocutores . Tiempo transcurrido sin que lleguen mensajes de un interlocutor antes de que se considere fuera de servicio. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la autenticacin MD-5. 180 segundos
Hold time
Keepalive
1/3 del tiempo de espera (hold-time) Slo se comprueba el identificador de interlocutor y el nmero de AS. 0
MD5 authentication
X X X
En las rutas enviadas al interlocutor, el Atributo de salto atributo de ruta al salto siguiente se siguiente no ajusta en la direccin IP de la interfaz cambiado del enrutador virtual local. El interlocutor es un cliente de reflexin Ninguna cuando el protocolo BGP local se configura como el reflector de rutas.
Reflector client
168
Interlocutor X
Grupo de interlocutores
Descripcin No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Valor predeterminado Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento
Retry time
Tras un intento fallido de inicio de 120 segundos sesin, tiempo que se tarda en volver a intentar el inicio de sesin BGP. Transmite el atributo de comunidad al interlocutor. Atributo de comunidad no enviado a los interlocutores. 100
Send community
Weight
*
Nota: Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexin BGP con el interlocutor especificado y acepte una nueva conexin. El uso de este comando de ejecucin no modifica la configuracin del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuracin del mapa de rutas que se aplica a este interlocutor.
Es posible configurar determinados parmetros en el nivel de interlocutores y en el de protocolo (consulte Configuraciones opcionales de BGP en la pgina 177). Por ejemplo, puede configurar el valor de tiempo de espera para un interlocutor especfico con un valor de 210 segundos, mientras que el valor de tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configuracin del interlocutor tendr preferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED ajustado en el nivel de interlocutor slo se aplicar a las rutas que se notifiquen a esos interlocutores.
169
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65500 Remote IP: 1.1.1.250 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione Peer Enabled y haga clic en OK .
CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable save
170
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Peer Group: Escriba ibgp en el campo Group Name y haga clic en Add . > Configure (para ibgp): En el campo Peer authentication, introduzca verify03 y haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 10.1.2.250 Peer Group: ibgp (seleccione) Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 10.1.3.250 Peer Group: ibgp (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled y haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled y haga clic en OK .
171
CLI
set set set set set set vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr verify03 save protocol protocol protocol protocol protocol protocol bgp bgp bgp bgp bgp bgp neighbor neighbor neighbor neighbor neighbor neighbor peer-group 10.1.2.250 10.1.3.250 10.1.2.250 10.1.3.250 peer-group ibgp remote-as 65000 peer-group ibgp peer-group ibgp enable enable ibgp md5-authentication
172
Para comprobar si BGP se est ejecutando en el enrutador virtual, ejecute el comando get vrouter vrouter protocol bgp .
ns-> get vrouter trust-vr protocol bgp Admin State: enable Local Router ID: 10.1.1.250 Local AS number: 65000 Hold time: 180 Keepalive interval: 60 = 1/3 hold time, default Local MED is: 0 Always compare MED: disable Local preference: 100 Route Flap Damping: disable IGP synchronization: disable Route reflector: disable Cluster ID: not set (ID = 0) Confederation based on RFC 1965 Confederation (confederacin): disable (confederation ID = 0) Member AS: none Origin default route: disable Ignore default route: disable
173
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificacin del enrutador, as como todos los dems parmetros configurados relativos al BGP. Nota: Juniper Networks recomienda asignar de forma explcita una ID de enrutador, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte el Captulo 2, Enrutadores virtuales. Para comprobar si un interlocutor o grupo de interlocutores BGP est habilitado y ver el estado de la sesin BGP, ejecute el comando get vrouter vrouter protocol bgp neighbor.
ns-> get vrouter trust-vr protocol bgp neighbor Peer AS Remote IP Local IP Wt ConnID Status State 65500 1.1.1.250 0.0.0.0 100 0 Enabled ACTIVE total 1 BGP peers shown
Flag 0000
En este ejemplo puede verificar si el interlocutor BGP est habilitado y si la sesin est activa. El estado puede ser uno de los que aqu se indican: Idle : primer estado de la conexin. Connect : BGP est esperando una conexin de transporte TCP correcta. Active : BGP est iniciando una conexin de transporte3. OpenSent : BGP est esperando un mensaje de apertura (OPEN) del interlocutor. OpenConfirm : BGP est esperando un mensaje de mantenimiento de conexin (KEEPALIVE) o notificacin (NOTIFICATION) del interlocutor. Established : BGP est intercambiado paquetes de actualizacin (UPDATE) con el interlocutor.
3.
Un estado de sesin que cambia continuamente entre Active y Connect podra indicar un problema con la conexin entre interlocutores.
174
Configuracin de seguridad
CONFIGURACIN DE SEGURIDAD
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento BGP y algunos mtodos de prevencin de ataques. Nota: Para que BGP sea ms seguro, todos los enrutadores de un dominio BGP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP comprometido podra llegar a dejar inservible todo el domino de enrutamiento BGP.
Autenticacin de vecinos
Un enrutador BGP se puede suplantar fcilmente, ya que los paquetes BGP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes BGP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los interlocutores BGP. BGP ofrece autenticacin MD5 para validar los paquetes BGP recibidos de un interlocutor. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores BGP de envo y de recepcin. Todos los paquetes BGP recibidos de un determinado interlocutor que no se autentiquen se descartarn. De forma predeterminada, para un determinado interlocutor BGP slo se comprobarn el identificador de interlocutor y el nmero de AS.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65500 Remote IP: 1.1.1.250 > Configure (para Remote IP 1.1.1.250): Introduzca los siguientes datos y haga clic en OK: Peer Authentication: Enable (seleccione) MD5 password: 1234567890123456 Peer Enabled: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 175
Configuracin de seguridad
CLI
set vrouter trust-vr (trust-vr)-> set protocol bgp (trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500 (trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456 (trust-vr/bgp)-> set neighbor 1.1.1.250 enable (trust-vr/bgp)-> exit (trust-vr)-> exit save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance: Introduzca los siguientes datos y haga clic en OK : Ignore default route from peer: (seleccione)
CLI
set vrouter trust-vr protocol bgp reject-default-route save
176
Crea listas de comunidades. Consulte Comunidades BGP en la pgina 192. Crea confederaciones. Consulte Confederaciones en la pgina 189. Se pueden agregar rutas mltiples de igual coste para proporcionar equilibrio de cargas. Consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52. Bloquea las notificaciones de una ruta hasta que es estable. Tiempo transcurrido sin que lleguen mensajes de un interlocutor antes de que se considere fuera de servicio. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Desactivado (predeterminado = 1) Desactivado 180 segundos 1/3 del tiempo de espera (hold-time)
177
Descripcin Configura la mtrica de LOCAL_PREF. Configura el valor de atributo MED. Agrega entradas estticas de red y de subred en BGP. BGP notifica estas rutas estticas a todos los interlocutores BGP. Consulte Adicin de rutas a BGP en la pgina 182. Importa rutas a BGP desde otros protocolos de enrutamiento. Configura la instancia BGP local como reflector de rutas para clientes. Consulte Reflexin de rutas en la pgina 186. No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Retry time
Tiempo que debe transcurrir desde un establecimiento de sesin 120 segundos BGP fallido con un interlocutor para que se vuelva a intentar establecer la sesin. Permite la sincronizacin con un protocolo de puerta de enlace interior, como OSPF o RIP. Desactivado
Synchronization
178
Redistribucin de rutas
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual: Rutas reconocidas por OSPF o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales.
179
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add : Route map: add-ospf Protocol: OSPF
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf save
180
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 2 Deny: (seleccione) AS Path String: 65000$ Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 2 Permit: (seleccione) AS Path String: _65000_
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$ set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_ save
181
182
4.4.4.0/24 5.5.5.0/24
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Check Reachability: Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24 save
183
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Weight: 100
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100 save
184
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: setattr Sequence No.: 1 Action: Permit (seleccione) Set Properties: Metric: (seleccione), 100 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Route map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1 set vrouter trust-vr route-map setattr 1 metric 100 set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr save
185
Reflexin de rutas
Como un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor IBGP a otro interlocutor IBGP (consulte BGP externo e interno en la pgina 162), es necesaria una malla completa de sesiones IBGP, donde cada enrutador en un AS BGP ser interlocutor de todos los dems enrutadores del AS. Nota: Una malla completa no implica que cada par de enrutadores est conectado directamente, sino que cada enrutador tiene que ser capaz de establecer y mantener una sesin IBGP con cada uno de los dems enrutadores. Una configuracin de malla completa en las sesiones IBGP puede presentar problemas de ampliacin. Por ejemplo, en un AS con 8 enrutadores, cada uno de los 8 enrutadores necesitara intercomunicarse con los otros 7 enrutadores, lo que puede calcularse con esta frmula: x (x 1) 2 Para un AS con 8 enrutadores, el nmero de sesiones IBGP de malla completa sera de 28. La reflexin de rutas es un mtodo para solucionar el problema de escalabilidad IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando as la necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman un clster, que se puede identificar por medio de una ID de clster. Los enrutadores fuera de ese clster lo consideran una nica entidad, en lugar de intercomunicarse de forma independiente con cada enrutador en malla completa. De esta forma se reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector, mientras que ste refleja rutas entre clientes. El enrutador virtual (VR) local del dispositivo NetScreen puede actuar como reflector de rutas y se le puede asignar una identificacin de clster. Si especifica una identificacin de clster, la instancia de enrutamiento de BGP aade la identificacin del clster al atributo Cluster-List de una ruta. La ID de clster contribuye a evitar la formacin de bucles, puesto que la instancia de enrutamiento de BGP local descarta una ruta cuando su ID de clster aparece en la lista de clsteres de la ruta. Nota: Antes de poder configurar una ID de clster, es necesario inhabilitar la instancia de enrutamiento de BGP. Despus de configurar un reflector de rutas en el enrutador virtual local, se definen los clientes del reflector. Es posible especificar direcciones IP individuales o un grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna configuracin en los clientes.
186
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance: Introduzca los siguientes datos y haga clic en Apply : Route reflector: Enable Cluster ID: 99 > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.2.250
187
Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.3.250 Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.4.250 > Configure (para Remote IP 1.1.2.250): Seleccione Reflector Client y haga clic en OK . > Configure (para Remote IP 1.1.3.250): Seleccione Reflector Client y haga clic en OK . > Configure (para Remote IP 1.1.4.250): Seleccione Reflector Client y haga clic en OK .
CLI
set vrouter set vrouter set vrouter set vrouter set vrouter save trust-vr trust-vr trust-vr trust-vr trust-vr protocol protocol protocol protocol protocol bgp bgp bgp bgp bgp reflector reflector cluster-id 99 neighbor 1.1.2.250 reflector-client neighbor 1.1.3.250 reflector-client neighbor 1.1.4.250 reflector-client
188
Confederaciones
Al igual que la reflexin de rutas (consulte Reflexin de rutas en la pgina 186), las confederaciones ofrecen otra forma de resolver el problema de ampliacin de las mallas completas en entornos IBGP y se describen en la norma RFC 1965. Una confederacin divide un sistema autnomo en varios AS ms pequeos, con cada subsistema autnomo funcionando como una red IBGP de malla completa. Cualquier enrutador fuera de la confederacin ver la confederacin completa como un nico sistema autnomo con un solo identificador; las redes de los subsistemas no son visibles fuera de la confederacin. Las sesiones entre enrutadores en dos subsistemas distintos de la misma confederacin, conocidas como sesiones EIBGP, no son ms que sesiones EBGP entre sistemas autnomos, pero en las que los enrutadores tambin intercambian informacin de enrutamiento como si fueran interlocutores IBGP.
Sistemas autnomos
AS 65000 (confederacin) Subsistema AS 65001 EBGP IBGP IBGP Subsistema AS 65002 EBGP IBGP Subsistema AS 65003 EBGP AS 65500
Subsistemas autnomos
Hay que especificar los siguientes datos por cada enrutador de una confederacin: El nmero de subsistema autnomo (nmero de AS especificado cuando se crea la instancia de enrutamiento BGP) La confederacin a la que pertenece el subsistema autnomo (nmero de AS visible para los enrutadores BGP fuera de la confederacin) Los nmeros de los otros subsistemas de la confederacin Si la confederacin admite las normas RFC 1965 (predeterminado) o RFC 30654
4. El atributo AS-Path (consulte Atributos de ruta en la pgina 161) se compone normalmente de una secuencia. Los ASs atravesados por la ruta de actualizacin. La norma RFC 3065 permite que el atributo AS-Path incluya todos los ASs que forman parte de la confederacin local atravesados por la actualizacin de enrutamiento.
189
Subsistemas autnomos
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en Apply : AS Number (obligatorio): 65003 BGP Enabled: (seleccione) > Confederation: Introduzca los siguientes datos y haga clic en Apply : Enable: (seleccione) ID: 65000 Supported RFC: RFC 1965 (seleccione) Introduzca los siguientes datos y haga clic en Add : Peer member area ID: 65001 Introduzca los siguientes datos y haga clic en Add : Peer member area ID: 65002
190
CLI
set vrouter set vrouter set vrouter set vrouter save trust-vr trust-vr trust-vr trust-vr protocol protocol protocol protocol bgp bgp bgp bgp 65003 confederation id 65000 confederation peer 65001 confederation peer 65002
191
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados comunidades), que un enrutador BGP podr despus utilizar para controlar las rutas que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o modificar las comunidades de una ruta (si sta incluye el atributo de ruta Communities). Este atributo ofrece una tcnica alternativa para distribuir informacin de rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Puede utilizar el atributo Communities de muchas formas, pero su principal objetivo es simplificar la configuracin de directivas de enrutamiento en entornos de redes completos. La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un administrador de AS puede asignar a una comunidad una serie de rutas que precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones coloreado de rutas . Por ejemplo, es posible asignar un valor de comunidad a las rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen acceso. Hay dos tipos de comunidades: Una comunidad especfica est formada por un identificador de AS y un identificador de comunidad. Este ltimo es definido por el administrador de AS. Una comunidad bien conocida implica un manejo especial de las rutas que contienen esos valores de comunidad. A continuacin se muestran valores de comunidad bien conocida que se pueden especificar para las rutas BGP en el dispositivo NetScreen: no-export : las rutas con este atributo de ruta Communities no se notifican fuera de una confederacin BGP. no-advertise : las rutas con este atributo de ruta Communities no se notifican a otros interlocutores BGP. no-export-subconfed : las rutas con este atributo de ruta Communities no se notifican a interlocutores EBGP. Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de una lista de comunidad especificada, eliminar o asignar atributos a las rutas, agregar comunidades a la ruta o eliminarlas de ella. Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a Internet a sus clientes, cada una de las rutas de esos clientes podr recibir un nmero de comunidad especfico. A continuacin, esas rutas de clientes se notificarn a los ISPs vecinos. Las rutas de otros ISPs recibirn otros nmeros de comunidad y no se notificarn a los ISPs vecinos.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 192
Agregacin de rutas
La agregacin es una tcnica para resumir rangos de direcciones de enrutamiento (conocidas como rutas contribuyentes ) en una sola entrada de ruta. Hay varios parmetros opcionales que se pueden establecer al configurar una ruta agregada. Esta seccin contiene ejemplos de configuracin de rutas agregadas.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 AS-Set: (seleccione)
CLI
set vrouter set vrouter set vrouter set vrouter save trust trust trust trust protocol protocol protocol protocol bgp bgp aggregate bgp aggregate 1.0.0.0/8 as-set bgp enable
193
En el ejemplo siguiente, el BGP notifica la ruta agregada 1.0.0.0/8, pero las rutas ms especficas son excluidas mediante filtro de las actualizaciones de rutas salientes.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Summary-Only (seleccione)
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only save En el ejemplo siguiente, filtrar las rutas del rango 1.2.3.0/24 para que sean eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello, primero configurar una lista de accesos que especifique las rutas a filtrar (1.2.3.0/24). A continuacin, configurar un mapa de rutas noadvert para permitir las rutas 1.2.3.0/24. Despus configurar una ruta agregada 1.0.0.0/8 y especificar el mapa de ruta noadvert como opcin de supresin para las actualizaciones salientes.
194
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 777 IP/Netmask: 1.2.3.0/24 Action: Permit (seleccione) Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: noadvert Sequence No.: 2 Action: Permit (seleccione) Match Properties: Access List (seleccione), 1 (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Route-Map (seleccione), noadvert (seleccione)
CLI
set vrouter set vrouter set vrouter set vrouter save trust-vr access-list 1 permit ip 1.2.3.0/24 777 trust-vr route-map name noadvert permit 2 trust-vr route-map noadvert 2 match ip 1 trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert
195
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 3 Sequence No.: 888 IP/Netmask: 1.5.6.0/24 Action: Deny (seleccione) Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 3 Sequence No.: 999 IP/Netmask: 1.5.0.0/16 Action: Permit (seleccione) Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: advertset Sequence No.: 4
196
Action: Permit (seleccione) Match Properties: Access List (seleccione), 3 (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Advertise Map: advertset (seleccione)
CLI
set set set set set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888 vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999 vrouter trust-vr route-map name advertset permit 4 vrouter trust-vr route-map advertset 4 match ip 3 vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set advertise-map advertset save
197
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: aggmetric Sequence No.: 5 Action: Permit (seleccione) Set Properties: (seleccione) Metric: 1111 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Attribute Map: aggmetric (seleccione)
CLI
set vrouter trust-vr route-map name aggmetric permit 5 set vrouter trust-vr route-map aggmetric 5 metric 1111 set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric save
198
Captulo 6
Enrutamiento multicast
Introduccin al enrutamiento multicast en la pgina 200 Direcciones multicast en la pgina 200 Reenvo por rutas inversas en la pgina 201 Enrutamiento multicast en dispositivos NetScreen en la pgina 202 Tabla de enrutamiento multicast en la pgina 202 Rutas multicast estticas en la pgina 204 Listas de acceso en la pgina 205 Encapsulado de enrutamiento genrico en la pgina 205 Directivas multicast en la pgina 208
Este captulo presenta los conceptos bsicos sobre el enrutamiento multicast. Contiene las siguientes secciones:
199
Direcciones multicast
Cuando un origen enva trfico multicast, la direccin de destino es una direccin del grupo multicast. Las direcciones del grupo multicast son direcciones de Clase D desde la 224.0.0.0 hasta la 239.255.255.255.
200
ethernet3 10.1.1.1/24
Origen 3.3.3.6
ethernet1 1.1.1.1/24
2. El dispositivo NetScreen comprueba si la interfaz de entrada coincide con la de salida para los paquetes destinados al remitente. Consulta en la tabla de rutas DST IF GATE 0.0.0.0 eth1 --10.1.1.0 eth3 -1.1.1.0 eth1 ---
201
202
A continuacin se incluye un ejemplo de una tabla de enrutamiento multicast PIM-SM en el enrutador virtual trust-vr: trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone : Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 00:06:24/00:02:57 00:06:24/State Expires Join 0.0.0.0 Flags: LF : Joined : FC
(20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune Zone : Untrust Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust Upstream : ethernet1/1 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 00:06:24/Join 236.1.1.1 20.20.20.200 FC
203
WebUI
Network > Routing > MCast Routing > New: Introduzca los siguientes datos y haga clic en OK: Source IP: 20.20.20.200 MGroup: 238.1.1.1 Incoming Interface: ethernet1 (seleccione) Outgoing Interface: ethernet3 (seleccione) Translated MGroup: 238.2.2.1
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1 oif ethernet3 out-group 238.2.2.1 save
204
Listas de acceso
Una lista de acceso es una lista de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (acepta o rechaza la ruta). En el enrutamiento multicast, una instruccin tambin puede contener una direccin de grupo multicast. En el enrutamiento multicast, usted crea listas de accesos para permitir trfico multicast a determinados grupos o hosts multicast. Por lo tanto, el estado de la accin o del reenvo es siempre Permit. No se pueden crear listas de accesos para denegar ciertos grupos o hosts. (Para obtener informacin adicional sobre listas de accesos, consulte Listas de acceso en la pgina 58).
205
En los dispositivos NetScreen, el encapsulado GRE se habilita en interfaces de tnel. (Recuerde que puede habilitar GRE en una interfaz de tnel asociada a una interfaz loopback, siempre que la interfaz loopback se encuentre en la misma zona que la interfaz saliente. Para obtener ms informacin sobre interfaces loopback, consulte Interfaces loopback en la pgina 2 -76. Si desea transmitir paquetes multicaste a travs de un tnel VPN IPSec entre un dispositivo NetScreen y un dispositivo o enrutador de otro fabricante, debe habilitar GRE. Los dispositivos NetScreen tienen limitaciones especficas de cada plataforma en cuanto al nmero de interfaces salientes a travs de las cuales se pueden transmitir paquetes multicast. En grandes entornos de VPNs radiales (hub-and-spoke), en los que el dispositivo NetScreen es el eje, se puede evitar esta limitacin creando un tnel GRE entre el enrutador de sentido ascendente del dispositivo NetScreen situado en el cubo y los dispositivos NetScreen situados en los radios. En la ilustracin siguiente, Enrutador-A se encuentra en sentido ascendente con respecto a NetScreen-A. Enrutador-A tiene tneles GRE que terminan en NetScreen-1 y NetScreen-2. NetScreen-A est conectado a NetScreen-1 y a NetScreen-2 a travs de tneles VPN. Antes de transmitir paquetes multicast, Enrutador-A primero los encapsula en paquetes unicast IPv4. NetScreen-A recibe estos paquetes como paquetes unicast y los enva a NetScreen-1 y a NetScreen-2.
Origen
Internet
Enrutador-A Tneles GRE NetScreen-A Tneles VPN con GRE NetScreen-1 NetScreen-2 Receptores
206
Este ejemplo muestra la configuracin de GRE solamente para el dispositivo NetScreen. (Para obtener informacin sobre VPNs, consulte el Volumen 5, VPNs).
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y haga clic en Apply : Encap: GRE (seleccione) Local Interface: ethernet3 Destination IP: 3.3.3.1
CLI
set interface set interface set interface set interface save tunnel.1 tunnel.1 tunnel.1 tunnel.1 zone untrust ip unnumbered interface ethernet3 tunnel encap gre tunnel local-if ethernet3 dst-ip 3.3.3.1
207
Directivas multicast
DIRECTIVAS MULTICAST
De forma predeterminada, los dispositivos NetScreen no permiten que el trfico de control multicast, como mensajes IGMP o PIM, pase por dispositivos NetScreen. Para permitir trfico de control multicast entre zonas, debe configurar una directiva multicast que especifique lo siguiente: Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo multicast: El grupo multicast cuyo trfico de control multicast desea que el dispositivo NetScreen permita. Puede especificar uno de los siguientes: La direccin IP del grupo multicast Una lista de accesos que defina al grupo (o grupos) multicast a los que los hosts puedan unirse La palabra clave any , para permitir el trfico de control multicast para cualquier grupo multicast Trfico de control multicast: El tipo de mensaje de control multicast: mensajes IGMP o mensajes PIM. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211). Para obtener informacin sobre PIM, consulte PIM en la pgina 253). Direccin multicast traducida: El dispositivo NetScreen puede traducir una direccin del grupo multicast de una zona interna a otra direccin en la interfaz de salida. Para traducir una direccin de grupo, debe especificar tanto la direccin multicast original como la direccin del grupo multicast traducida en la directiva multicast. Bidireccional: Puede crear una directiva bidireccional para aplicarla a ambos sentidos del trfico.
Nota: Las directivas multicast solamente controlan el flujo del trfico de control multicast. Para permitir el trfico de datos (tanto unicast como multicast) entre zonas, debe configurar directivas de cortafuegos. (Para obtener ms informacin sobre directivas, consulte el Volumen 2, Fundamentos).
208
Directivas multicast
A diferencia de las directivas de cortafuegos, las directivas multicast no se ordenan en secuencia. De este modo, la directiva multicast ms reciente no sobrescribe ninguna anterior en caso de conflicto. En lugar de ello, el dispositivo NetScreen selecciona la coincidencia ms larga para resolver cualquier conflicto, igual que hacen otros protocolos de enrutamiento. Si encuentra una subred ms pequea que cumpla el criterio de bsqueda, utilizar esa directiva. Nota: Para ver un ejemplo de configuracin de una directiva multicast para mensajes IGMP, consulte Ejemplo: Directiva de grupo multicast para IGMP en la pgina 232. Para ver un ejemplo de configuracin de una directiva multicast para mensajes PIM, consulte Ejemplo: Directiva de grupo multicast para PIM-SM en la pgina 270.
209
Directivas multicast
210
Captulo 7
IGMP
Este captulo describe el protocolo multicast Internet Group Management Protocol (IGMP) en dispositivos NetScreen. Contiene las siguientes secciones: Introduccin a IGMP en la pgina 212 Hosts en la pgina 214 Enrutadores multicast en la pgina 215 IGMP en dispositivos NetScreen en la pgina 216 IGMP en interfaces en la pgina 216 Aspectos relativos a la seguridad en la pgina 217 Configuracin bsica de IGMP en la pgina 219 Verificacin de la configuracin de IGMP en la pgina 222 Parmetros operativos de IGMP en la pgina 224 Proxy de IGMP en la pgina 226 Configuracin del proxy de IGMP en la pgina 229 Proxy de IGMP en interfaces en la pgina 229 Creacin de u na directiva multicast en la pgina 232 Proxy del remitente de IGMP en la pgina 245
211
Captulo 7 IGMP
Introduccin a IGMP
INTRODUCCIN A IGMP
El protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre hosts y enrutadores para establecer y mantener miembros de grupos multicast en una red. Los dispositivos NetScreen admiten las siguientes versiones de IGMP: IGMPv1, segn lo definido en la norma RFC 1112, Host Extensions for IP Multicasting , define las operaciones bsicas para miembros de grupos multicast. IGMPv2, segn lo definido en la norma RFC 2236, Internet Group Management Protocol, Version 2 , ampla la funcionalidad de IGMPv1. IGMPv3, segn se define en la norma RFC 3376, Internet Group Management Protocol, Version 3 , permite la filtracin de orgenes. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. IGMPv3 se requiere cuando Protocol Independent Multicast se ejecuta en el modo Source-Specific Multicast (PIM-SSM). (Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 312).
IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener su pertenencia a grupos multicast. Los protocolos de enrutamiento multicast, como PIM, procesan la informacin de miembros IGMP, crean entradas en la tabla de enrutamiento multicast y reenvan trfico multicast a los hosts a travs de la red.
212
Captulo 7 IGMP
Introduccin a IGMP
Origen
Los protocolos de enrutamiento multicast, tales como PIM-SM, alimentan la tabla de rutas multicast y reenvan datos a los hosts de toda la red. Internet
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts y enrutadores intercambian para mantener actualizada la informacin de miembro de grupos a travs de la red. Los hosts y los enrutadores que ejecutan versiones ms recientes de IGMP pueden convivir con los que ejecuten versiones de IGMP anteriores.
213
Captulo 7 IGMP
Introduccin a IGMP
Hosts
Los hosts envan mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qu hosts son miembros de grupos multicast escuchando estos mensajes IGMP en sus redes locales. La tabla siguiente describe los mensajes IGMP que envan los hosts.
Versin de IGMP IGMPv1 y v2 Mensaje de IGMP Destino
Un host enva un informe de miembro la primera vez que se une a Direccin IP del grupo un grupo multicast y peridicamente, una vez que ya es miembro multicast al que el host del grupo. El informe de miembros indica a qu grupo multicast desea unirse desea unirse el host. Un host enva un informe de miembro la primera vez que se une a 224.0.0.22 un grupo multicast y peridicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la direccin multicast del grupo, el modo de filtracin, que es include o exclude, y una lista de orgenes. Si el modo de filtracin es include, los paquetes procedentes de las direcciones en la lista de origen se aceptan. Si el modo de filtracin es exclude, los paquetes procedentes de orgenes distintos de los de la lista son aceptados. Un host enva un mensaje Leave Group cuando desea dejar el grupo multicast y dejar de recibir datos para ese grupo. all routers group (224.0.0.2)
IGMPv3
IGMPv2
214
Captulo 7 IGMP
Introduccin a IGMP
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qu grupos multicast tienen miembros en su red local. Cada red 1 selecciona un enrutador designado, denominado el consultador . Generalmente, hay un consultador por cada red. El consultador enva mensajes IGMP a todos los hosts de la red para solicitar informacin de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la informacin de estos mensajes y actualizan su lista de miembros de grupos en cada interfaz. Los enrutadores IGMPv3 mantienen una lista que incluye la direccin del grupo multicast, el modo de filtracin (include o exclude) y la lista de orgenes. La tabla siguiente describe los mensajes que un consultador enva.
Versin de IGMP IGMPv1, v2 y v3 IGMPv2 y v3 Mensaje de IGMP El consultador enva peridicamente consultas generales para solicitar la informacin de miembros de grupos. Destino grupo de todos los hosts (224.0.0.1)
El consultador enva una consulta especfica de grupo cuando El grupo multicast del recibe un mensaje Leave Group de IGMPv2 o un informe de que el host desea salir. miembros IGMPv3 que indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese grupo en su red local y deja de reenviar trfico multicast a ese grupo. El consultador enva una consulta group-and-source para El grupo multicast que el verificar si hay algn receptor para ese grupo y origen concretos. host desea salir.
IGMPv3
1.
Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la direccin IP ms baja de la red.
215
Captulo 7 IGMP
IGMP en interfaces
De forma predeterminada, IGMP est inhabilitado en todas las interfaces. Debe habilitar IGMP en el modo enrutador en todas las interfaces que estn conectadas a hosts. En el modo de enrutador, el dispositivo NetScreen ejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar IGMPv1, IGMPv2 y v3, o solamente IGMPv3.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
CLI
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save
216
Captulo 7 IGMP
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol IGMP Enable y haga clic en Apply .
CLI
unset interface ethernet1 protocol igmp enable save Para borrar la configuracin de IGMP ejecute el comando unset interface interface protocol igmp router .
217
Captulo 7 IGMP
Despus de crear una lista de accesos, aplquela a una interfaz. Una vez aplicada una lista de accesos a una interfaz, sta acepta trfico solamente de los indicados en en su lista de accesos. Por lo tanto, para denegar trfico procedente de un determinado grupo, host o consultador multicast, simplemente exclyalo de la lista de accesos. (Para obtener informacin adicional sobre listas de acceso, consulte Listas de acceso en la pgina 58).
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK : Accept Groups Access List ID: 1
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 save
218
Captulo 7 IGMP
Origen Enrutador designado de origen Zona Untrust ethernet3 1.1.1.1/24 NS1 ethernet 2 10.1.2.1/24 Zona Trust
219
Captulo 7 IGMP
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2.
Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
220
Captulo 7 IGMP
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24
2. 3.
Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1
IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save
Despus de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar trfico multicast. (Para obtener informacin sobre PIM, consulte PIM en la pgina 253).
221
Captulo 7 IGMP
222
Captulo 7 IGMP
Puede revisar los parmetros IGMP de una interfaz ejecutando el comando siguiente: ns-> get igmp interface
Version y modo de IGMP
Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Estado del consultador Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 seconds Parmetros operativos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds Para mostrar informacin sobre grupos multicast, ejecute el siguiente comando CLI: ns-> get igmp group total groups matched: 1 multicast group interface *224.4.4.1 trust
223
Captulo 7 IGMP
El intervalo en el cual la interfaz consultadora enva 125 segundos consultas generales al grupo de todos los hosts (224.0.0.1).
Maximum response time El tiempo mximo entre una consulta general y la respuesta 10 segundos procedente del host. Last Member Query Interval El intervalo en el que la interfaz enva una consulta especfica de grupo. Si no recibe ninguna respuesta despus de la segunda consulta especfica de grupo, asume que no hay ms miembros en ese grupo en su red local. 1 segundo
De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente acepta paquetes IGMP con la opcin router-alert IP, y descarta los paquetes que no tienen esta opcin. Los paquetes IGMPv1 no tienen esta opcin y, por lo tanto, un dispositivo NetScreen que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de forma predeterminada. Puede configurar el dispositivo NetScreen para dejar de comprobar si los paquetes IGMP contienen la opcin router-alert IP y aceptar todos los paquetes IGMP, hacindolo compatible con versiones anteriores de enrutadores IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los paquetes IGMP:
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los siguientes datos y haga clic en OK : Packet Without Router Alert Option: Permit (seleccione)
224
Captulo 7 IGMP
CLI
set interface ethernet1 protocol igmp no-check-router-alert save
225
Captulo 7 IGMP
Proxy de IGMP
PROXY DE IGMP
Los enrutadores esperan y envan mensajes IGMP slo a sus hosts conectados; no reenvan mensajes IGMP ms all de su red local. Puede permitir que las interfaces de un dispositivo NetScreen reenven mensajes IGMP un salto ms all de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Al ejecutar IGMP proxy en un dispositivo NetScreen, las interfaces conectadas con los hosts funcionan como enrutadores y las conectadas con enrutadores de niveles superiores funcionan como hosts.Tpicamente, las interfaces de hosts y enrutadores estn en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. A continuacin, para permitir que el trfico de datos multicast pase entre zonas, tambin debe configurar una directiva del cortafuegos. En los dispositivos que admiten mltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raz (vsys) y la otra interfaz en vsys separados. A continuacin, cree una directiva multicast para permitir trfico de control multicast entre los dos sistemas virtuales. (Para obtener ms informacin acerca de los sistemas virtuales, consulte el Volumen 5, VPNs). A medida que las interfaces reenvan informacin de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que estn asociadas las interfaces, construyendo un rbol de distribucin multicast desde los receptores hasta el origen. Las siguientes secciones describen cmo las interfaces de hosts y enrutadores IGMP reenvan la informacin de miembros de IGMP en sentido ascendente hacia el origen, y cmo reenvian datos multicast en sentido descendente desde el origen hasta el receptor.
226
Captulo 7 IGMP
Proxy de IGMP
Si no hay ninguna directiva multicast para el grupo, la interfaz del enrutador no reenva el informe. Si hay alguna directiva multicast para el grupo, la interfaz del enrutador crea una entrada para el grupo multicast y reenva el informe de miembros a la interfaz del host proxy en la zona especificada en la directiva multicast. Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiene una entrada (*, G) para ese grupo multicast. Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz del enrutador a la lista de las interfaces de salida para esa entrada. Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del enrutador. A continuacin, la interfaz del host proxy reenva el informe a su enrutador en sentido ascendente.
227
Captulo 7 IGMP
Proxy de IGMP
3. La interfaz del host proxy de IGMP comprueba si tiene una entrada (*, G) para el grupo multicast: En caso afirmativo, agrega la interfaz del enrutador a las interfaces salientes en una entrada multicast de la tabla de rutas. En caso negativo, crea la entrada y reenva el informe de miembros al enrutador en sentido ascendente.
Origen
Enrutador designado de origen 5. La interfaz del host proxy de IGMP comprueba si existe alguna sesin para el grupo: En caso afirmativo, reenva los datos multicast. Zona Untrust Interfaz del host proxy de IGMP En caso negativo, comprueba si hay alguna entrada (S, G) para el grupo: En caso afirmativo, reenva los datos multicast. En caso negativo, comprueba si hay alguna entrada (*, G): En caso negativo, descarta los datos. En caso afirmativo, crea una entrada (S, G) y reenva datos utilizando la interfaz de entrada y de salida desde la entrada (*, G). 6. La interfaz del enrutador proxy de IGMP reenva datos a los receptores. Receptores
Internet
2. La interfaz del enrutador proxy de IGMP comprueba si hay alguna entrada para el grupo multicast: En caso afirmativo, ignora el informe de miembros. En caso negativo y si no hay ninguna directiva multicast para el grupo, descarta el informe de miembros. En caso negativo, pero si existe alguna directiva multicast para el grupo, crea una entrada (*, G) en la tabla de rutas multicast, con el host como iif y el enrutador como oif. Reenva el informe en sentido ascendente hacia la interfaz del host en la zona especificada en la directiva multicast. 1. Los hosts envan informes de miembros en sentido ascendente.
Zona Trust
228
Captulo 7 IGMP
Proxy de IGMP
229
Captulo 7 IGMP
Proxy de IGMP
La interfaz ethernet3 tiene la direccin IP 10.1.1.1/24 y est conectada con los hosts. Configure lo siguiente en ethernet3: Habilitar IGMP en el modo enrutador Permitir que reenvie trfico multicast aunque no sea un consultador Permitir que acepte mensajes IGMP procedentes de orgenes de otras subredes
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
2.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
230
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)
CLI
1. Zonas e interfaces
set set set set interface interface interface interface ethernet1 ethernet1 ethernet3 ethernet1 ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet3 ethernet3 ethernet3 zone trust ip 10.1.2.1/24 zone trust ip 10.1.1.1/24 protocol protocol protocol protocol protocol protocol protocol protocol igmp igmp igmp igmp igmp igmp igmp igmp host enable no-check-subnet router proxy proxy always enable no-check-subnet
2.
IGMP
set interface set interface set interface set interface set interface set interface set interface set interface save
231
Captulo 7 IGMP
Proxy de IGMP
Adems, puede especificar que la directiva sea bidireccional para aplicar la directiva a ambos sentidos del trfico.
WebUI
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional save
232
Captulo 7 IGMP
Proxy de IGMP
233
Captulo 7 IGMP
Proxy de IGMP
Zona Trust ethernet3 2.2.2.2/24 Interfaz de tnel tunnel.1 NS1 Origen Enrutador designado Internet Tnel VPN
Zona Untrust
ethernet1 10.2.2.1/24
Receptores
Zona Untrust
ethernet3 3.1.1.1/24
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT
234
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
235
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy (seleccione): Always (seleccione)
4.
Rutas
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK . Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 >> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
236
Captulo 7 IGMP
Proxy de IGMP
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7.
Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
237
Captulo 7 IGMP
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.3.1.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 3.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
238
Captulo 7 IGMP
Proxy de IGMP
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.1/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4.
Rutas
Network > Routing > Routing Entries > New (trust-vr): Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.2.2.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
239
Captulo 7 IGMP
Proxy de IGMP
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK : Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1 Preshared Key: fg2g4hvj Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
240
Captulo 7 IGMP
Proxy de IGMP
7.
Directiva multicast
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS1)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. 3.
Direcciones
set address untrust branch1 10.3.1.0/24
IGMP
set set set set set set set set interface interface interface interface interface interface interface interface ethernet1 protocol igmp host ethernet1 protocol igmp enable ethernet1 protocol igmp no-check-subnet tunnel.1 protocol igmp router tunnel.1 protocol igmp proxy tunnel.1 protocol igmp proxy always tunnel.1 protocol igmp enable tunnel.1 protocol igmp no-check-subnet
241
Captulo 7 IGMP
Proxy de IGMP
4. 5.
Rutas
set route 10.3.1.0/24 interface tunnel.1
Tnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. 7.
Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
Directivas multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
242
Captulo 7 IGMP
Proxy de IGMP
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.3.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 10.2.2.1/24
3.
IGMP
set set set set set set set interface interface interface interface interface interface interface ethernet1 protocol igmp router ethernet1 protocol igmp proxy ethernet1 protocol igmp proxy always ethernet1 protocol igmp enable tunnel.1 protocol igmp host tunnel.1 protocol igmp enable tunnel.1 protocol igmp no-check-subnet
4.
Rutas
set route 10.2.2.0/24 interface tunnel.1
243
Captulo 7 IGMP
Proxy de IGMP
5.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4hvj proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. 7.
Directiva
set policy from untrust to trust source-dr mgroup1 any permit
Directiva multicast
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust igmp-message bi-directional save
244
Captulo 7 IGMP
Proxy de IGMP
ethernet3 La interfaz del IGMP proxy enva trfico multicast a todas las interfaces de enrutador proxy. Receptores Internet ethernet2 trfico multicast Tabla de rutas multicast iif = ethernet2 oif = ethernet3
ethernet1
Receptores
Origen
245
Captulo 7 IGMP
Proxy de IGMP
246
Captulo 7 IGMP
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
247
Captulo 7 IGMP
Proxy de IGMP
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 3.2.2.5/32 Zone: DMZ Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: proxy-host IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.2/32 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
248
Captulo 7 IGMP
Proxy de IGMP
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.250
5.
Directiva
Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
249
Captulo 7 IGMP
Proxy de IGMP
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), proxy-host Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
6.
Directiva multicast
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
250
Captulo 7 IGMP
Proxy de IGMP
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 3.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address dmz source-dr 3.2.2.5/32 set address untrust proxy-host 2.2.2.2/32
3.
IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp proxy always set interface ethernet2 protocol igmp enable set interface ethernet3 protocol igmp host set interface ethernet3 protocol igmp no-check-subnet set interface ethernet3 protocol igmp enable
251
Captulo 7 IGMP
Proxy de IGMP
4. 5.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
Directivas
set policy from dmz to trust source-dr mgroup1 any permit set policy from dmz to untrust source-dr mgroup1 any permit set policy from untrust to trust proxy-host mgroup1 any permit
6.
Directivas multicast
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust igmp-message bi-directional set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message bi-directional set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
252
Captulo 8
PIM
Introduccin al protocolo PIM en la pgina 255 PIM-SM en la pgina 256 rboles de distribucin multicast en la pgina 258 Enrutador designado en la pgina 259 Asignacin de puntos de encuentro a grupos en la pgina 259 Reenvo de trfico a travs del rbol de distribucin en la pgina 260 PIM-SM en dispositivos NetScreen en la pgina 264 Creacin de una instancia PIM-SM en la pgina 265 PIM-SM en interfaces en la pgina 267 Directivas de grupo multicast en la pgina 269 Configuracin PIM-SM bsica en la pgina 271 Comprobacin de la configuracin en la pgina 278 Configuracin de RPs en la pgina 282 RP esttico en la pgina 282 RP candidato en la pgina 284 Aspectos relativos a la seguridad en la pgina 286 Restriccin de grupos multicast en la pgina 286 Restringir orgenes multicast en la pgina 288 Restriccin de RPs en la pgina 289
Este captulo describe el protocolo Protocol Independent Multicast (PIM) en los dispositivos NetScreen. Contiene las siguientes secciones:
253
Captulo 8 PIM
Parmetros de la interfaz PIM-SM en la pgina 291 Directiva vecina en la pgina 291 Lmite bootstrap en la pgina 293 RP Proxy en la pgina 294 Configuracin de un RP proxy en la pgina 297 PIM-SM e IGMPv3 en la pgina 311 PIM-SSM en la pgina 312 PIM-SSM en dispositivos NetScreen en la pgina 312
254
Captulo 8 PIM
Internet
Los protocolos de enrutamiento multicast, tales como PIM-SM, alimentan la tabla de rutas multicast y reenvan datos a los hosts de toda la red.
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
255
Captulo 8 PIM
PIM-SM
Para ejecutar PIM, tambin debe configurar rutas estticas o un protocolo de enrutamiento dinmico. PIM se llama independiente del protocolo porque utiliza la tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus comprobaciones RPF (reenvo por rutas inversas), pero no depende de la funcionalidad del protocolo de enrutamiento unicast. (Para obtener informacin sobre RPF, consulte Reenvo por rutas inversas en la pgina 201). PIM puede funcionar de los modos siguientes: El modo PIM-Dense (PIM-DM) inunda toda la red con trfico multicast y luego corta las rutas hacia los receptores que no desean recibir trfico multicast. El modo PIM-Sparse (PIM-SM) reenvia trfico multicast solamente a los receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden utilizar el rbol de ruta compartida o el rbol de ruta ms corta (SPT) para reenviar la informacin multicast. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 258). El modo multicast especfico del origen PIM (PIM-Source Specific Multicast Mode o PIM-SSM) est derivado del PIM-SM. Igual que PIM-SM, reenva trfico multicast slo a los receptores interesados. A diferencia de PIM-SM, forma inmediatamente un SPT al origen. Los dispositivos NetScreen admiten PIM-SM, segn la definicin draft-ietf-pim-sm-v2-new-06 , as como PIM-SSM segn la definicin de la norma RFC 3569, An Overview of Source-Specific Multicast (SSM) . Para obtener informacin sobre PIM-SM, consulte PIM-SM en la pgina 256. Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 312.
PIM-SM
PIM-SM es un protocolo de enrutamiento multicast que reenva trfico multicast slo a los receptores interesados. Puede utilizar un rbol de distribucin compartido o el rbol de ruta ms corta (SPT) para reenviar trfico multicast a travs de la red. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 258). De forma predeterminada, PIM-SM utiliza el rbol de distribucin compartido con un punto de encuentro (RP) en la raz del rbol. Todos los orgenes de un grupo envan sus paquetes al RP, y el RP enva datos en direccin descendente por el rbol de distribucin compartido a todos los receptores de la red. Cuando se alcanza un umbral configurado, los receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los receptores recibir los datos multicast.
256
Captulo 8 PIM
PIM-SM
Nota: De forma predeterminada, los dispositivos NetScreen conmutan al SPT en el momento de recibir el primer byte. Con independencia del rbol utilizado para distribuir el trfico, slo los receptores que explcitamente se unan a un grupo multicast pueden recibir el trfico enviado a ese grupo. PIM-SM utiliza la tabla de rutas unicast para realizar sus operaciones de reenvo por rutas inversas (RPF) al recibir mensajes de control multicast, y utiliza la tabla de rutas multicast para enviar trfico de datos multicast a los receptores.
257
Captulo 8 PIM
PIM-SM
RP
Receptores
Receptores
258
Captulo 8 PIM
PIM-SM
Enrutador designado
Cuando en una red de rea local (LAN) multiacceso hay varios enrutadores multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del origen es responsable de enviar los paquetes multicast desde el origen al RP y a los receptores que estn en el rbol de distribucin especfico del origen. El DR en la LAN de los receptores es responsable de reenviar mensajes join-prune desde los receptores al RP, y de enviar el trfico de datos multicast a los receptores de la LAN. Los receptores envan mensajes join-prune cuando desean unirse a un grupo multicast o salir de l. El DR se selecciona a travs de un proceso de seleccin. Cada enrutador PIM-SM de una LAN tiene una prioridad DR configurable por el usuario. Los enrutadores de PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (hello) que envan peridicamente a sus vecinos. Cuando los enrutadores reciben los mensajes de saludo, seleccionan el enrutador con la prioridad DR ms alta como DR para la LAN. Si varios enrutadores coinciden en tener la prioridad DR ms alta, el enrutador con la direccin IP ms alta se convertir en el DR de la LAN.
Asignacin de RP esttico
Para crear una asignacin esttica entre un RP y un grupo multicast, debe configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que cambie la direccin del RP, deber volver a configurar la direccin del RP.
Asignacin de RP dinmico
PIM-SM tambin proporciona un mecanismo de asignacin dinmica de RPs a grupos multicast. En primer lugar, se configuran los puntos de encuentro de candidatos (C-RPs) para cada grupo multicast. A continuacin, los C-RPs envan anuncios Candidate-RP a un enrutador de la LAN, denominado enrutador bootstrap (BSR). Las notificaciones contienen el grupo multicast (s) para el cual el enrutador acta como RP y la prioridad del C-RP.
259
Captulo 8 PIM
PIM-SM
El BSR recoge estas notificaciones C-RP y los emite en un mensaje BSR a todos los enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un algoritmo hash bien conocido para seleccionar un RP activo por cada grupo multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignacin de grupo RP entre los RPs candidatos. Para obtener informacin sobre el proceso de seleccin de BSR, consulte draft-ietf-pim-sm-bsr-03.txt.
260
Captulo 8 PIM
PIM-SM
Origen
Punto de encuentro (RP) 3. El RP desencapsula los mensajes REGISTER y enva paquetes multicast a los receptores.
Receptores
Receptores
Si la velocidad de transmisin de los datos del DR de origen alcanza un umbral configurado, el RP enva un mensaje PIM-SM adjunto hacia el DR de origen, de modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes REGISTER. Cuando el DR de origen recibe el mensaje adjunto, enva los paquetes multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes multicast del DR, enva al DR un mensaje register-stop. Cuando el DR recibe el mensaje register-stop, deja de enviar los mensajes REGISTER y enva los datos multicast nativos, que el RP enva en sentido descendente a los receptores.
261
Captulo 8 PIM
PIM-SM
Punto de encuentro (RP) Hosts/Receptores 1. Los hosts envan mensajes IGMP join para el grupo multicast.
Hosts/Receptores
Cada enrutador en sentido descendente realiza una comprobacin del RPF cuando recibe los datos multicast. Cada enrutador comprueba si recibi los paquetes multicast de la interfaz que utiliza para enviar trfico de datos hacia el RP. Si la comprobacin del RPF es correcta, el enrutador busca una entrada de reenvo (*, G) coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el origen en la entrada, que se convierte en una entrada (S, G) y reenva los paquetes multicast en sentido descendente. Este proceso contina en sentido descendente a lo largo del rbol de distribucin hasta que el host recibe los datos multicast.
262
Captulo 8 PIM
PIM-SM
Cuando la velocidad de transmisin de datos alcanza un umbral configurado, el DR de la LAN del host puede formar el rbol de ruta ms corta directamente al origen multicast. Cuando el DR comienza a recibir trfico de datos directamente del origen, enva un mensaje prune especfico del origen en sentido ascendente hacia el RP. Cada enrutador intermedio corta del rbol de distribucin la conexin con el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de enviar trfico de datos multicast en sentido descendente hacia esa rama en particular del rbol de distribucin.
263
Captulo 8 PIM
Las secciones siguientes describen los pasos bsicos necesarios para configurar un PIM-SM en un dispositivo NetScreen: Crear y habilitar una instancia PIM-SM en un enrutador virtual (VR). Habilitar PIM-SM en las interfaces. Configurar una directiva multicast para permitir que los mensajes PIM-SM pasen por el dispositivo NetScreen.
264
Captulo 8 PIM
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en Apply .
CLI
ns-> set vrouter trust-vr ns(trust-vr)-> set protocol pim ns(trust.vr/pim)-> set enable ns(trust.vr/pim)-> exit ns(trust-vr)-> exit save
265
Captulo 8 PIM
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance, y luego haga clic en OK cuando aparezca el mensaje de confirmacin .
CLI
unset vrouter trust-vr protocol pim deleting PIM instance, are you sure? y/[n] y save
266
Captulo 8 PIM
PIM-SM en interfaces
De forma predeterminada, PIM-SM est inhabilitado en todas las interfaces. Despus de crear y habilitar el PIM-SM en un enrutador virtual, debe habilitar el PIM-SM en las interfaces de ese enrutador virtual que transmiten trfico de datos multicast. Si una interfaz est conectada con un receptor, tambin debe configurar IGMP en modo enrutador en esa interfaz. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211). Cuando habilita el PIM-SM en una interfaz que est asociada a una zona, el PIM-SM se habilita automticamente en la zona a la que pertenece dicha interfaz. A continuacin, puede configurar los parmetros PIM-SM para dicha zona. De forma similar, cuando se inhabilitan parmetros PIM-SM de interfaces en una zona, todos los parmetros PIM-SM relacionados con dicha zona se eliminan automticamente.
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
CLI
set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable save
267
Captulo 8 PIM
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Clear Protocol PIM Enable , y luego haga clic en Apply .
CLI
unset interface ethernet1 protocol pim enable save
268
Captulo 8 PIM
Mensajes Static-RP-BSR
Los mensajes Static-RP-BSR contienen informacin sobre los puntos de encuentro estticos (RPs) y las asignaciones de grupo RP dinmicas. La configuracin de una directiva multicast, que permita asignaciones estticas de RP y mensajes bootstrap (BSR) de una zona a otra, habilita el dispositivo NetScreen para que comparta las asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre dos enrutadores virtuales. Los enrutadores son capaces de memorizar las asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los RP en todas las zonas. Cuando el dispositivo NetScreen recibe un mensaje BSR, comprueba que vienen de su vecino de reenvo por rutas inversas (RPF). A continuacin comprueba si hay directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que no estn autorizados en la directiva multicast y enva el mensaje BSR a los grupos permitidos en todas las zonas de destino que estn autorizadas por la directiva.
Mensajes Join-Prune
Las directivas de grupo multicast tambin controlan los mensajes join-prune. Cuando el dispositivo NetScreen recibe un mensaje join-prune para un origen y grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF vecino y la interfaz de la tabla de enrutamiento unicast. Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido descendente, la validacin de la directiva multicast no es necesaria. Si la interfaz RPF se encuentra en otra zona, el dispositivo NetScreen comprueba si hay una directiva multicast que permita mensajes join-prune para el grupo entre la zona de interfaz en sentido descendente y la zona de la interfaz RPF. Si hay una directiva multicast que permite mensajes join-prune entre las dos zonas, el dispositivo NetScreen reenva el mensaje a la interfaz del RPF. Si no hay directiva multicast que permita mensajes join-prune entre las dos zonas, se descarta el mensaje join-prune.
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 269
Captulo 8 PIM
WebUI
Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR-Static RP: (seleccione) Join/Prune: (seleccione)
CLI
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust pim-message bsr-static-rp join-prune bi-directional save
270
Captulo 8 PIM
271
Captulo 8 PIM
Origen
ethernet1 10.1.1.1/24
ethernet2 10.1.2.1/24
272
Captulo 8 PIM
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
273
Captulo 8 PIM
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 6.6.6.1/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
4.
RIP
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: Seleccione Enable RIP y haga clic en OK . Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes datos y haga clic en Apply : RIP Instance: (seleccione) Protocol RIP: Enable (seleccione)
274
Captulo 8 PIM
5.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione los siguientes datos y haga clic en OK : Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet2) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet3) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
275
Captulo 8 PIM
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static RP: (seleccione) Join/Prune: (seleccione)
CLI
1. Zonas e interfaces
set interface ethernet 1 zone trust set interface ethernet 1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet 2 zone trust set interface ethernet 2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet 3 zone untrust set interface ethernet 3 ip 1.1.1.1/24
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 6.6.6.1/24
3.
IGMP
set interface ethernet 1 protocol igmp router set interface ethernet 1 protocol igmp enable set interface ethernet 2 protocol igmp router set interface ethernet 2 protocol igmp enable
276
Captulo 8 PIM
4.
RIP
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface ethernet3 protocol rip enable
5.
PIM-SM
set vrouter trust-vr protocol pim set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface ethernet2 protocol pim set interface ethernet2 protocol pim enable set interface ethernet3 protocol pim set interface ethernet3 protocol pim enable
6. 7.
Directiva
set policy from untrust to trust source-dr mgroup1 any permit
Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
277
Captulo 8 PIM
Comprobacin de la configuracin
COMPROBACIN DE LA CONFIGURACIN
Para verificar la configuracin de PIM-SM, ejecute el comando siguiente: ns-> get vrouter trust protocol pim PIM-SM enabled Number of interfaces : 1 SPT threshold : 1 Bps PIM-SM Pending Register Entries Count : 0 Multicast group accept policy list: 1 Virtual Router trust-vr - PIM RP policy -------------------------------------------------Group Address RP access-list Virtual Router trust-vr - PIM source policy -------------------------------------------------Group Address Source access-list
278
Captulo 8 PIM
Comprobacin de la configuracin
Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente: ns->get vrouter trust protocol pim mroute trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone: Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/(10.10.10.1/24, 238.1.1.1) Prune Zone: Trust Upstream : ethernet1/1 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/01:54:20/State Expires Join 0.0.0.0 01:56:35/00:00:42 State Expires Join Flags: LF : Joined : FC Flags: TLF Register
279
Captulo 8 PIM
Comprobacin de la configuracin
En cada entrada de la ruta puede verificar lo siguiente: El estado (S, G) o estado de reenvo (*, G) Si el estado de reenvo es (*, G), la direccin IP del RP; si el estado de reenvo es (S, G), la direccin IP de origen Zona que posee la ruta El estado de join y las interfaces entrantes y salientes Valores del temporizador
280
Captulo 8 PIM
Comprobacin de la configuracin
Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente: ns-> get vrouter trust protocol pim rp Flags : I - Imported, A - Always(override BSR mapping) C - Static Config, P - Static Proxy ----------------------------------------------------------------------------Trust 238.1.1.1/32 RP: 10.10.10.10 192 Static C Registering : 0 Active Groups : 1 238.1.1.1 Untrust 236.1.1.1/32 RP: 20.20.20.10 192 Static P Registering : 0 Active Groups : 1 236.1.1.1 Para verificar que hay un vecino de reenvo por rutas inversas, ejecute el comando siguiente: ns-> get vrouter trust protocol pim rpf Flags : RP address - R, Source address - S Address RPF Interface RPF Neighbor Flags ------------------------------------------------------10.10.11.51 ethernet3 10.10.11.51 R 10.150.43.133 ethernet3 10.10.11.51 S Para visualizar el estado de los mensajes join-prune que el dispositivo NetScreen enva a cada vecino de un enrutador virtual, ejecute el comando siguiente: ns-> get vrouter untrust protocol pim join Neighbor Interface J/P Group Source --------------------------------------------------------------------1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1 (S,G) J 224.11.1.1 60.60.0.1
281
Captulo 8 PIM
Configuracin de RPs
CONFIGURACIN DE RPS
Puede configurar un punto de encuentro esttico (RP) si desea asociar un RP especfico a uno o ms grupos multicast. Puede configurar mltiples RP estticos con cada RP asignado a un grupo multicast diferente. Debe configurar un RP esttico cuando en la red no haya enrutador bootstrap. Aunque un dispositivo NetScreen puede recibir y procesar mensajes bootstrap, no realiza funciones de enrutador bootstrap. Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee asignar RPs a grupos multicast de forma dinmica. Puede crear un C-RP para cada zona.
RP esttico
Cuando configure un RP esttico, debe especificar lo siguiente: La zona del RP esttico La direccin IP del RP esttico Una lista de accesos que define los grupos multicast del RP esttico (Para obtener informacin sobre las listas de accesos, consulte Listas de acceso en la pgina 205).
Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen el mismo RP, incluya la palabra clave always . Si no incluye esta palabra clave, y el dispositivo NetScreen descubre que hay otro RP asignado dinmicamente a los mismos grupos multicast, utilizar el RP dinmico.
282
Captulo 8 PIM
Configuracin de RPs
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 2 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK : Zone: Trust (seleccione) Address:1.1.1.5 Access List: 2 Always: (seleccione)
CLI
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1 set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always save
283
Captulo 8 PIM
Configuracin de RPs
RP candidato
Cuando configura un enrutador virtual como RP candidato, debe especificar lo siguiente: La zona en la que se configura el C-RP La direccin IP de la interfaz que se notifica como C-RP Una lista de acceso que define los grupos multicast del C-RP La prioridad de C-RP notificada
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.2.2.1/32 Action: Permit
284
Captulo 8 PIM
Configuracin de RPs
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos y haga clic en OK : Interface: ethernet1 (seleccione) Access List: 1 (seleccione) Priority: 200
CLI
set set set set set interface ethernet1 protocol pim interface ethernet1 protocol pim enable vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1 mgroup-list 1 priority 200 save
285
Captulo 8 PIM
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1
286
Captulo 8 PIM
IP/Netmask: 224.2.2.1/32 Action: Permit Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance : Introduzca los siguientes datos y haga clic en Apply : Access Group: 1 (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 set vrouter trust-vr protocol pim accept-group 1 save
287
Captulo 8 PIM
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 5 Sequence No.: 1 IP/Netmask: 1.1.1.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los valores siguientes y haga clic en Add: MGroup: 224.4.4.1/32 Accept Source: 5 (seleccione)
288
Captulo 8 PIM
CLI
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5 save
Restriccin de RPs
Puede controlar qu puntos de encuentro (RPs) estn asignados a un grupo multicast. Se identifican los RP autorizados en una lista de acceso y seguidamente se vincula la lista de acceso a los grupos multicast. Cuando el enrutador virtual (VR) recibe un mensaje bootstrap para un determinado grupo, comprueba la lista de los RPs autorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona ningn RP para el grupo multicast.
Ejemplo: Restringir RP
En este ejemplo, crear una lista de accesos con el nmero de identificacin 6, que especifica el RP autorizado, 2.1.1.1/32. A continuacin, configurar el enrutador trust-vr para que acepte los RPs de la lista de acceso para el grupo multicast 224.4.4.1/32.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 6 Sequence No.: 1 IP/Netmask: 2.1.1.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los valores siguientes y haga clic en Add: MGroup: 224.4.4.1/32 Accept RP: 6 (seleccione)
289
Captulo 8 PIM
CLI
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6 save
290
Captulo 8 PIM
Directiva vecina
Puede controlar los elementos vecinos con los que una interfaz puede formar una adyacencia. Los enrutadores PIM-SM envan peridicamente mensajes de saludo para anunciarse como enrutadores PIM-SM. Si utiliza esta caracterstica, la interfaz comprueba su lista de vecinos autorizados o rechazados y forma adyacencias con aquellos que estn autorizados.
291
Captulo 8 PIM
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 2.1.1.1/24 Action: Permit Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 2.1.1.3/24 Action: Permit Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : Accepted neighbors: 1
CLI
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1 set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2 set interface ethernet1 protocol pim neighbor-policy 1 save
292
Captulo 8 PIM
Lmite bootstrap
Una interfaz que es un lmite bootstrap (BSR) recibe y procesa mensajes BSR, pero no los reenva a otras interfaces aunque tengan una directiva de grupo multicast que autorice mensajes BSR de una zona a otra. As se asegura que las asignaciones RP-a-grupo permanezcan siempre dentro de una zona.
WebUI
Network > Interfaces > Edit (for ethernet1) > PIM: Seleccione Bootstrap Border , y luego haga clic en Apply :
CLI
set interface ethernet1 protocol pim boot-strap-border save
293
Captulo 8 PIM
RP Proxy
RP PROXY
Un dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas asignaciones de punto de encuentro (RP) a grupo. En un dominio PIM-SM con asignaciones RP-grupo dinmicas, los enrutadores PIM-SM de un dominio escuchan los mensajes del mismo enrutador bootstrap (BSR) para seleccionar sus asignaciones RP-grupo. En un dominio PIM-SM con asignaciones RP-grupo estticas, debe configurar el RP esttico en cada enrutador en el dominio. (Para obtener informacin sobre asignaciones RP-grupo, consulte Configuracin de RPs en la pgina 282). En los dispositivos NetScreen, las interfaces asociadas a zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada zona debe encontrarse en un dominio PIM-SM diferente. Por ejemplo, si las interfaces de la zona Trust estn en modo NAT y las interfaces de la zona Untrust estn en modo de ruta, cada zona debe encontrarse en un dominio PIM-SM diferente. Adems, al configurar PIM-SM a travs de dos enrutadores virtuales que se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe estar en un dominio PIM-SM independiente. Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un RP proxy. Un RP proxy acta como un RP para grupos multicast memorizado de otro dominio PIM-SM, ya sea a travs de un RP esttico o a travs de mensajes bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su dominio, funciona como la raz del rbol de distribucin compartido y puede formar el rbol de ruta ms corta al origen. Puede configurar un RP proxy por cada zona en un enrutador virtual. Para configurar un RP proxy en una zona, debe configurar un RP candidato (C-RP) en dicha zona. A continuacin, el dispositivo NetScreen notifica la direccin IP del C-RP como la direccin IP del RP proxy. Cuando configure el C-RP, no especifique ningn grupo multicast en la lista de grupo multicast. Esto permite que el C-RP acte como el RP proxy de cualquier grupo importado de otra zona. Si especifica grupos multicast, el C-RP funciona como el RP verdadero para los grupos especificados en la lista. Si hay un BSR en la zona, el RP proxy se notifica a si mismo como el RP para los grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy, ste funciona como el RP esttico para los grupos multicast importados de otras zonas. A continuacin debe configurar la direccin IP del C-RP como el RP esttico en todos los dems enrutadores de la zona.
294
Captulo 8 PIM
RP Proxy
El RP proxy admite el uso de IPs asignadas (MIP) para la traduccin de la direccin de origen. Una MIP es una asignacin directa (1:1) de una direccin IP a otra. Puede configurar una MIP cuando desee que el dispositivo NetScreen traduzca a otra direccin una direccin privada de una zona cuyas interfaces estn en modo NAT. Cuando un host de la MIP en la zona de un proxy RP enva un mensaje REGISTER, el dispositivo NetScreen traduce el origen IP a direccin MIP y enva un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo NetScreen recibe el mensaje join-prune para un direccin MIP, el dispositivo asigna la MIP a la direccin origen inicial y la enva al origen. El RP proxy tambin admite la traduccin de direcciones de grupos multicast entre las zonas. Puede configurar una directiva multicast que especifique la direccin original del grupo multicast y la direccin del grupo multicast traducida. Cuando el dispositivo NetScreen recibe un mensaje join-prune en una interfaz de la zona del RP proxy, traduce el grupo multicast, si es necesario, y enva el mensaje adjunto al RP verdadero.
295
Captulo 8 PIM
RP Proxy
Observe el caso siguiente: ethernet1 en la zona Trust est en modo NAT, y ethernet3 en la zona Untrust est en modo de ruta. Hay una MIP para el origen en la zona Trust. El origen en la zona Trust enva trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores tanto en la zona Trust como en la zona Untrust. Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las zonas Trust y Untrust. La zona Trust se configura como el RP proxy. El RP y el BSR estn en la zona Untrust.
Zona Trust Enrutador designado (DR) ethernet1 modo NAT ethernet3 modo de ruta Zona Untrust Punto de encuentro (RP)
Origen
Receptores Receptores
A continuacin se indica el flujo de datos: 1. 2. 3. El origen enva datos al grupo multicast 224.4.4.1/32. El enrutador designado (DR) encapsula los datos y enva mensajes REGISTER hacia el RP. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a direccin IP del origen inicial a la direccin IP de la MIP. A continuacin reenva el mensaje hacia el RP para el grupo multicast.
296
Captulo 8 PIM
RP Proxy
4. 5. 6.
El RP proxy enva entradas (*, G) al RP verdadero. Los receptores de la zona Trust envan mensajes join al RP proxy. El RP proxy enva los paquetes multicast a los receptores de la zona Trust.
Configuracin de un RP proxy
Para configurar un RP proxy, debe hacer el siguiente: 1. 2. 3. 4. Cree una instancia PIM-SM en un enrutador virtual especfico. Habilite PIM-SM en las interfaces apropiadas. Configure el RP candidato en la zona del RP proxy. Configure el RP proxy.
297
Captulo 8 PIM
RP Proxy
Zona Untrust Interfaz de tnel tunnel.1 Origen ethernet3 4.1.1.1/24 VPN NS1 Enrutador bootstrap Punto de encuentro real Receptores ethernet1 10.2.2.1/24 ethernet3 2.2.2.2/24 Interfaz de tnel tunnel.1
Zona Trust
Receptores
Zona Trust
Zona Untrust
298
Captulo 8 PIM
RP Proxy
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
299
Captulo 8 PIM
RP Proxy
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.4.1.0/24 Zone: Untrust
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en Apply . Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 4.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
300
Captulo 8 PIM
RP Proxy
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
5.
BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK: Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10. Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance . AS Number (obligatorio): 65000 BGP Enabled: (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 4.1.1.1 Outgoing Interface: ethernet3 Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de aadir): Seleccione Peer Enabled y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, y luego haga clic en Add . A continuacin, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en Add de nuevo. Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes datos y haga clic en Apply : Protocol BGP: Enable (seleccione)
301
Captulo 8 PIM
RP Proxy
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
302
Captulo 8 PIM
RP Proxy
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.4.1.1/24 Seleccione NAT , y luego haga clic en Apply . > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router Protocol IGMP: Enable (seleccione) Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
303
Captulo 8 PIM
RP Proxy
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: corp IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: Untrust
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en OK . Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK : Zone: Trust (seleccione) Address:10.4.1.1/24
304
Captulo 8 PIM
RP Proxy
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK : Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
5.
BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10. Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance . AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
305
Captulo 8 PIM
RP Proxy
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 2.2.2.2 Outgoing Interface: ethernet3 Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de aadir): Seleccione Peer Enabled y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: En el campo IP/Netmask, introduzca 4.1.1.0/24 , y luego haga clic en Add . En el campo IP/Netmask, introduzca 10.4.1.0/24 , y luego haga clic en Add . Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol BGP: Enable , y luego haga clic en Apply .
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), corp Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
306
Captulo 8 PIM
RP Proxy
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust branch 10.4.1.0/24
3.
PIM-SM
set vrouter trust-vr set vrouter trust-vr protocol pim enable set set set set interface interface interface interface ethernet1 protocol pim ethernet1 protocol pim enable tunnel.1 protocol pim tunnel.1 protocol pim enable
4.
Tnel VPN
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To-Branch3 sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24
307
Captulo 8 PIM
RP Proxy
5.
BGP
set set set set set set set set vrouter trust-vr router-id 10 vrouter trust-vr protocol bgp 6500 vrouter trust-vr protocol bgp enable vrouter trust-vr protocol bgp neighbor 4.1.1.1 vrouter trust-vr protocol bgp network 2.2.2.0/24 vrouter trust-vr protocol bgp network 10.2.2.0/24 interface ethernet3 protocol bgp enable interface ethernet3 protocol bgp neighbor 4.1.1.1
6. 7.
Directiva
set policy name To-Branch from untrust to trust branch any any permit
Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
308
Captulo 8 PIM
RP Proxy
CLI (NS2)
1. Interfaces
set set set set interface interface interface interface ethernet ethernet ethernet ethernet 1 1 1 1 zone trust ip 10.4.1.1/24 protocol igmp router protocol igmp enable
set interface ethernet 3 zone untrust set interface ethernet 3 ip 4.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust corp 2.2.2.0/24
3.
PIM-SM
set set set set set set set set vrouter trust protocol pim interface ethernet1 protocol pim interface ethernet1 protocol pim enable interface tunnel.1 protocol pim interface tunnel.1 protocol pim enable vrouter trust protocol pim zone trust rp proxy vrouter trust protocol pim zone trust rp candidate interface ethernet1 vrouter trust protocol pim enable
309
Captulo 8 PIM
RP Proxy
4.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24
5.
BGP
set set set set set set set vrouter trust-vr router-id 10 vrouter trust-vr protocol bgp 6500 vrouter trust-vr protocol bgp enable vrouter trust-vr protocol bgp neighbor 2.2.2.2 vrouter trust-vr protocol bgp network 4.1.1.0/24 vrouter trust-vr protocol bgp network 10.4.1.0/24 interface ethernet3 protocol bgp neighbor 2.2.2.2
6. 7.
Directiva
set policy name To-Corp from untrust to trust corp any any permit
Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
310
Captulo 8 PIM
PIM-SM e IGMPv3
PIM-SM E IGMPV3
El PIM-SM admite interfaces que funcionen con las versiones 1, 2 y 3 de IGMP (Internet Group Management Protocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts que reciben los datos para un grupo multicast pueden recibir datos desde cualquier origen que enve datos al grupo multicast. Los informes de miembros de IGMP v1 y v2 slo indican con qu grupos multicast desean unirse los hosts. No contienen informacin sobre los orgenes del trfico de datos multicast. Cuando PIM-SM recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas multicast, permitiendo que cualquier origen realice envios al grupo multicast. A esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a un grupo multicast sin conocer el origen que enva datos al grupo. La red cuenta con la informacin sobre el origen. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. El informe de miembro IGMPv3 contiene la direccin del grupo multicast, el modo de filtrado, que es include o exclude, y una lista de orgenes. Si el modo de filtrado es include, los receptores aceptan trfico multicast solamente de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de miembros IGMPv3 con una lista de origen y un modo de filtro include, crea entradas (S, G) en la tabla de rutas multicast para todos los orgenes de la lista de origen. Si el modo de filtrado es exclude, los receptores no aceptan trfico multicast de los orgenes que se encuentran en la lista y aceptan trfico multicast del resto de orgenes. Cuando PIM-SM recibe un informe de miembros IGMPv3 con la lista de origen y un modo de filtro exclude, crea una entrada (*, G) para el grupo y enva un mensaje prune para los orgenes de la lista de origen. En este caso, es posible que necesite configurar un punto de encuentro si los receptores no conocen la direccin del origen.
311
Captulo 8 PIM
PIM-SSM
PIM-SSM
Adems de PIM-SM, los dispositivos NetScreen tambin admiten multicast PIM-Source-Specific Multicast (SSM). PIM-SSM sigue el modelo source-specific (SSM) donde el trfico multicast se transmite a los canales, no slo a los grupos multicast. Un canal consta de un origen y un grupo multicast. Un receptor se suscribe a un canal con un origen conocido y un grupo multicast. Los receptores proporcionan informacin sobre el origen a travs de IGMPv3. El enrutador designado en la LAN enva mensajes al origen y no a un punto de encuentro (RP). El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones PIM-SSM estn garantizadas dentro de este rango de direcciones. El dispositivo NetScreen manipula los informes de miembros IGMPv3 para los grupos multicast dentro del rango de direcciones 232/8 tal y como como sigue: Si el informe contiene un modo de filtrado include, el dispositivo enva el informe directamente a los orgenes de la lista de origen. Si el informe contiene un modo de filtrado exclude, el dispositivo descarta el informe. No procesa informes (*, G) para los grupos multicast del rango de direcciones 232/8.
312
ndice
ndice
B
BGP adicin de rutas 182 agregacin de rutas 193 AS-Path en ruta agregada 196 AS-Set en ruta agregada 193 atributos de la ruta agregada 198 atributos de ruta 161 autenticacin de vecinos 175 comprobacin de configuracin 173 comunidades 192 confederaciones 189 configuracin de grupo de interlocutores 167 configuracin de interlocutores 167 configuracin de seguridad 175 creacin de instancia en enrutador virtual 164 equilibrio de carga 52 establecer atributos de ruta 185 establecer el peso de la ruta 184 expresiones regulares 180 externo 162 habilitacin en interfaz 166 habilitacin en VR 164 interno 162 introduccin al protocolo 160 lista de acceso AS-path 180 notificacin de ruta condicional 183 parmetros 177 pasos de configuracin 163 rechazo de rutas predeterminadas 176 redistribucin de rutas 179 reflexin de rutas 186 suprimir rutas 194 tipos de mensaje 161 CLI convenciones viii configuracin punto a multipunto OSPF 107 conjuntos de caracteres compatibles con ScreenOS xii consulta de rutas mltiple VR 50 secuencia 46 convenciones CLI viii ilustracin xi nombres xii WebUI ix equilibrio de cargas segn coste de cada ruta 52, 90 exportacin de rutas 62
F
filtrado de rutas 58
G
GRE 205
I
IGMP configuracin bsica 219 consultador 215 directivas multicast 232 habilitar en interfaces 216 mensajes de host 214 parmetros 222, 224 proxy 226 proxy del remitente 245 proxy en interfaces 229 usar listas de accesos 217 verificar su configuracin 222 ilustracin convenciones xi importacin de rutas 62 interfaces habilitar IGMP 216 interfaz nula, definir rutas 18
D
directivas multicast 208 directivas multicast IGMP 232
E
enrutamiento 2 multicast 199 preferencia de ruta 37 seleccin de rutas 37 enrutamiento esttico 2, 617 configuracin 11 multicast 204 reenvo en interfaz nula 18 utilizacin 9 enrutamiento multicast IGMP 211 PIM 253 enrutamiento multidireccional de igual coste (ECMP) 52, 90, 147 enrutamiento segn el origen 40 enrutamiento segn la interfaz de origen 44
L
lista de acceso enrutamiento multicast 205 IGMP 217 para rutas 58 PIM-SM 286 LSA, supresin 106
C
circuito de demanda OSPF 105 RIP 148
IX-I
ndice
M
mapa de rutas 56 mtrica de ruta 39 multicast rboles de distribucin 258 direcciones 200 directivas 208 reenvo por rutas inversas 201 rutas estticas 204 tabla de enrutamiento 202
punto a multipunto 107 rechazo de rutas predeterminadas 102 red de difusin 71 red punto a punto 72 redistribucin de rutas 86 resumen de rutas redistribuidas 87 soporte de ECMP 90 supresin de LSA 106 tipos de enrutador 70
3376, Internet Group Management Protocol, Version 3 212 3569, An Overview of Source-Specific Multicast (SSM) 256 RIP autenticacin de vecinos 135 base de datos 146 configuracin de circuito de demanda 148 configuracin de seguridad 135 configuracin de un circuito de demanda 149 creacin de instancia en enrutador virtual 119 equilibrio de carga 52 filtrado de vecinos 137 habilitacin en interfaz 121 introduccin al protocolo 117 parmetros de interfaz 133 parmetros globales 130 pasos de configuracin 118 proteccin contra inundaciones 139 punto a multipunto 151 rechazo de rutas predeterminadas 138 redistribucin de rutas 122 resumen de prefijo 144 ruta de resumen de configuracin 144 rutas alternativas 146 versin 142 versin de protocolo 142 visualizar la base de datos RIP 126 visualizar la informacin de vecino RIP 128 visualizar los detalles de la interfaz de RIP 129 visualizar los detalles de protocolo RIP 127
P
PIM-SM 256 configuracin de RP 282 configuraciones de seguridad 286 crear una instancia 265 enrutador designado 259 IGMPv3 311 parmetros de interfaz 291 pasos de configuracin 264 proxy RP 294 puntos de encuentro 259 reenvo de trfico 260 PIM-SSM 312
N
nombres convenciones xii
O
OSPF adyacencia de enrutadores 71 rea de rutas internas 70 rea no exclusiva de rutas internas 70 reas 69 asignacin de interfaces a un rea 79 autenticacin de vecinos 99 circuitos de demanda 105 conexiones virtuales 92 configuracin de seguridad 99 creacin de instancia en enrutador virtual 75 definicin de rea 77 enrutador designado 71 enrutador designado de respaldo 71 equilibrio de carga 52 establecer el tipo de conexin OSPF 107 filtrado de vecinos 101 habilitacin en interfaz 81 inhabilitar la restriccin route-deny 108 interfaces de tnel 105, 107 inundacin LSA reducida 105 notificaciones de estado de conexiones 69, 72 parmetros de interfaz 96 parmetros globales 89 pasos de configuracin 74 proteccin contra inundaciones 103 protocolo de saludo 71
R
redistribucin de rutas 55 RFCs 1112, Host Extensions for IP Multicasting 212 1583 84, 90 1701, Generic Routing Encapsulation (GRE) 205 1771 160 1793 97, 105 1965 173, 189, 190 1966 186 1997 192 2082 117 2091 148 2236, Internet Group Management Protocol, Version 2 212 2328 90 2453 117, 142 3065 189
S
SIBR 44
T
tabla de enrutamiento 4 consulta 46 consulta en mltiples VR 50 multicast 202 seleccin de rutas 37 tipos 40
IX-II
ndice
V
VRs 2362 BGP 163174 consulta de tablas de enrutamiento en mltiple VR 50 consulta en la tabla de enrutamiento 46 en vsys 29 enrutamiento multidireccional de igual coste 52 enrutamiento segn el origen 40 enrutamiento segn la interfaz de origen 44 exportacin de rutas 62
filtrado de rutas 58 ID de enrutador 34 importacin de rutas 62 listas de acceso 58 mapa de rutas 56 mximo de entradas de la tabla de enrutamiento 36 mtrica de ruta 39 modificar 33 OSPF 74104 personalizados 27 predefinido 23
preferencia de ruta 37 redistribucin de rutas 55 reenviar trfico entre dos 24 RIP 118141 seleccin de rutas 37 utilizacin de dos VRs 23, 24
W
WebUI convenciones ix
IX-III
ndice
IX-IV