Juniper Networks NetScreen

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS

Volumen 6: Enrutamiento
ScreenOS 5.1.0 Ref. 093-1367-000-SP Revisin B
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Contenido
Contenido
Prefacio ....................................................................... vii
Convenciones .......................................................... viii
Convenciones de la interfaz de lnea de comandos (CLI) .....................................................viii Convenciones de la interfaz grfica (WebUI) .............. ix Convenciones para las ilustraciones........................... xi Convenciones de nomenclatura y conjuntos de caracteres ...................................................................xii
Captulo 2 Enrutadores virtuales .................................21

Enrutadores virtuales de los dispositivos NetScreen..23
Utilizacin de dos enrutadores virtuales ..................... 23 Reenvo de trfico entre enrutadores virtuales .......... 24 Configuracin de dos enrutadores virtuales.............. 24 Ejemplo: Asociacin de una zona al untrust-vr.... 25 Enrutadores virtuales personalizados ......................... 27 Ejemplo: Creacin de un enrutador virtual personalizado ...................................................... 27 Ejemplo: Eliminacin de un enrutador virtual personalizado ...................................................... 28 Enrutadores virtuales y sistemas virtuales ................... 29 Ejemplo: Creacin de un enrutador virtual en un vsys ............................................................ 30 Ejemplo: Compartir rutas entre enrutadores virtuales................................................................ 32
Documentacin de NetScreen de Juniper Networks ................................................. xiii
Captulo 1 Tablas de enrutamiento y enrutamiento esttico ..........................................................................1

Fundamentos del enrutamiento .................................2
Mtodos de enrutamiento............................................2 Enrutamiento esttico.............................................2 Enrutamiento dinmico ..........................................3 Enrutamiento multicast ...........................................3 Tablas de enrutamiento................................................4 Enrutamiento con rutas estticas..................................6
Modificacin de enrutadores virtuales.....................33

ID del enrutador virtual............................................... 34 Ejemplo: Asignacin de una ID de enrutador virtual ................................................................... 35 Nmero mximo de entradas de la tabla de enrutamiento.............................................................. 36 Ejemplo: Limitacin de las entradas de la tabla de enrutamiento .................................................. 36
Enrutadores virtuales de los dispositivos NetScreen....8 Cundo configurar rutas estticas.............................9 Configuracin de rutas estticas .............................11
Ejemplo: Rutas estticas.......................................12 Ejemplo: Ruta para una interfaz de tnel.............16 Reenvo de trfico a la interfaz nula ..........................18 Rutas permanentemente activas ...............................19
Seleccin de rutas ...................................................37

Preferencia de ruta .................................................... 37 Ejemplo: Establecimiento de una preferencia de ruta ................................................................. 38 Mtrica de ruta .......................................................... 39
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento
Contenido
Tablas de enrutamiento ...........................................40

Enrutamiento segn el origen.....................................40 Ejemplo: Enrutamiento segn el origen................42 Enrutamiento segn la interfaz de origen...................44 Ejemplo: Enrutamiento segn la interfaz de origen .............................................................45 Secuencia de consulta de rutas ................................46 Ejemplo: Cambiar el orden de las consultas de rutas ................................................................49 Consulta de rutas en mltiples enrutadores virtuales.......................................................................50
Clasificacin de enrutadores..................................... 70 Protocolo de saludo................................................... 71 Tipos de redes ............................................................ 71 Redes de difusin ................................................ 71 Redes punto a punto ........................................... 72 Redes punto a multipunto ................................... 72 Notificaciones de estado de conexiones .................. 72
Configuracin bsica de OSPF ................................74

Creacin de una instancia de enrutamiento de OSPF...................................................................... 75 Ejemplo: Creacin de una instancia de OSPF ............................................................... 75 Ejemplo: Eliminacin de una instancia de OSPF ............................................................... 76 Definicin de un rea OSPF ....................................... 77 Ejemplo: Creacin de un rea OSPF ................... 78 Asignacin de interfaces a un rea OSPF ................. 79 Ejemplo: Asignacin de interfaces a reas......... 79 Ejemplo: Configuracin de un rango de reas... 80 Habilitacin de OSPF en interfaces............................ 81 Ejemplo: Habilitacin de OSPF en interfaces....... 81 Ejemplo: Inhabilitar OSPF en una interfaz ............ 82 Comprobacin de la configuracin ......................... 83
Enrutamiento de rutas mltiples de igual coste .......52

Activacin del enrutamiento de rutas mltiples de igual coste ............................................................54 Ejemplo: Configurar el mximo de rutas ECMP....54
Redistribucin de rutas.............................................55
Configuracin de un mapa de rutas .........................56 Filtrado de rutas..........................................................58 Listas de acceso.........................................................58 Ejemplo: Configuracin de una lista de acceso............................................................59 Ejemplo: Redistribucin de rutas en OSPF ............60
Exportacin e importacin de rutas entre enrutadores virtuales ................................................62

Ejemplo: Configuracin de una regla de exportacin ....................................................63 Ejemplo: Configuracin de la exportacin automtica ..........................................................65
Redistribucin de rutas.............................................86
Ejemplo: Redistribucin de rutas en OSPF............ 86 Resumen de rutas redistribuidas ................................ 87 Ejemplo: Resumen de rutas redistribuidas ........... 87 Ejemplo: Evitar bucles creados por las rutas resumidas .................................................... 88
Captulo 3 Protocolo OSPF ..........................................67

Introduccin al protocolo OSPF ...............................69
reas...........................................................................69
Parmetros globales de OSPF ..................................89

Ejemplo: Notificacin de la ruta predeterminada .................................................. 90
ii
Contenido Conexiones virtuales...................................................92 Ejemplo: Creacin de una conexin virtual ........93 Ejemplo: Creacin de una conexin virtual automtica ..........................................................95
Captulo 4 Protocolo de informacin de enrutamiento (RIP) ................................................115

Introduccin al protocolo RIP.................................117 Configuracin bsica de RIP .................................118
Creacin de una instancia RIP ................................ 119 Ejemplo: Creacin de una instancia RIP ........... 119 Ejemplo: Eliminacin de una instancia RIP ........ 120 Habilitacin de RIP en interfaces ............................. 121 Ejemplo: Habilitacin de RIP en interfaces ........ 121 Ejemplo: Inhabilitacin de RIP en una interfaz................................................... 122 Redistribucin de rutas............................................. 122 Ejemplo: Redistribucin de rutas en RIP............. 123
Parmetros de interfaz OSPF ....................................96

Ejemplo: Ajuste de parmetros de interfaz OSPF ...................................................98
Configuracin de seguridad....................................99
Autenticacin de vecinos...........................................99 Ejemplo: Configuracin de una contrasea de texto no cifrado ..............................................99 Ejemplo: Configuracin de una contrasea MD5.................................................100 Filtrado de vecinos OSPF ..........................................101 Ejemplo: Configuracin de una lista de vecinos..........................................................101 Rechazo de rutas predeterminadas.........................102 Ejemplo: Eliminacin de la ruta predeterminada.................................................102 Proteccin contra inundaciones ..............................103 Ejemplo: Configuracin de un lmite de saludo ...........................................................103 Ejemplo: Configuracin de un lmite de LSAs.....104
Visualizacin de la informacin de RIP ..................124

Visualizacin de la base de datos RIP ..................... 124 Ejemplo: Visualizar los detalles en la base de datos RIP....................................................... 124 Visualizacin de los detalles de protocolo RIP......... 127 Ejemplo: Visualizar los detalles de protocolo RIP 127 Visualizacin de informacin de vecino RIP ............ 128 Ejemplo: Visualizar los detalles de los vecinos RIP ......................................................... 128 Visualizacin de los detalles de protocolo RIP de una interfaz......................................................... 129 Ejemplo: Visualizar RIP en una interfaz especfica ............................................. 129
Circuitos de demanda en interfaces de tnel .......105

Ejemplo: Crear un circuito de demanda OSPF.............................................105 Ejemplo: Habilitar la inundacin reducida ........106
Parmetros globales de RIP ...................................130

Notificacin de la ruta predeterminada.................. 132 Ejemplo: Notificacin de la ruta predeterminada ................................................ 132
Interfaz de tnel punto a multipunto ......................107

Establecer el tipo de conexin.................................107 Ejemplo: Establecer el tipo de conexin OSPF...107 Ejemplo: Inhabilitar la restriccin Route-Deny....108 Ejemplo: Red punto a multipunto.......................108
Parmetros de interfaz RIP......................................133

Ejemplo: Ajuste de parmetros de interfaz RIP .. 134
iii
Contenido
Configuracin de seguridad..................................135
Autenticacin de vecinos.........................................135 Ejemplo: Configuracin de una contrasea MD5.................................................136 Filtrado de vecinos RIP..............................................137 Ejemplo: Configuracin de vecinos fiables .......137 Rechazo de rutas predeterminadas.........................138 Ejemplo: Rechazo de rutas predeterminadas....138 Proteccin contra inundaciones ..............................139 Ejemplo: Configuracin de un umbral de actualizacin .....................................................139 Ejemplo: Habilitacin de RIP en interfaces de tnel ..............................................................140
Captulo 5 Protocolo de puerta de enlace de lmite (BGP) ...........................................................159

Introduccin al protocolo BGP ...............................160
Tipos de mensajes BGP ............................................ 161 Atributos de ruta ....................................................... 161 BGP externo e interno............................................... 162
Configuracin bsica de BGP................................163

Creacin y habilitacin de una instancia de BGP .. 164 Ejemplo: Creacin de una instancia BGP ......... 164 Ejemplo: Eliminacin de una instancia de BGP ............................................................... 165 Habilitacin de BGP en interfaces ........................... 166 Ejemplo: Habilitacin de BGP en interfaces ...... 166 Ejemplo: Inhabilitacin de BGP en interfaces.... 166 Configuracin de un interlocutor BGP ..................... 167 Ejemplo: Configuracin de un interlocutor BGP ................................................. 170 Ejemplo: Configuracin de un grupo de interlocutores IBGP........................................ 171 Comprobacin de la configuracin BGP ................ 173
Configuraciones opcionales de RIP .......................142

Versin de protocolo RIP...........................................142 Ejemplo: Ajustar las versiones de protocolo RIP.................................................142 Resumen de prefijos .................................................144 Ejemplo: Habilitar el resumen de prefijos ...........144 Ejemplo: Inhabilitar el resumen de prefijos ........145 Rutas alternativas......................................................146 Ejemplo: Ajuste de rutas alternativas..................147 Circuitos de demanda en interfaces de tnel .........148 Ejemplo: Configuracin de un circuito de demanda......................................................149 Configuracin de un vecino esttico.......................150 Ejemplo: Configuracin de un vecino esttico ..............................................................150
Configuracin de seguridad..................................175
Autenticacin de vecinos ........................................ 175 Ejemplo: Configuracin de la autenticacin MD5 ............................................ 175 Rechazo de rutas predeterminadas ........................ 176 Ejemplo: Rechazo de rutas predeterminadas ... 176
Configuraciones opcionales de BGP .....................177

Redistribucin de rutas............................................. 179 Ejemplo: Redistribucin de rutas en BGP ........... 180 Lista de acceso AS-path .......................................... 180 Ejemplo: Configuracin de una lista de acceso ......................................................... 181
Interfaz de tnel punto a multipunto ......................151

Ejemplo: Punto a multipunto con circuitos de demanda ...........................................................151
iv
Contenido Adicin de rutas a BGP.............................................182 Ejemplo: Notificacin de ruta condicional ........183 Ejemplo: Establecer el peso de la ruta ..............184 Ejemplo: Establecer atributos de ruta ................185 Reflexin de rutas .....................................................186 Ejemplo: Configuracin de la reflexin de rutas ..............................................................187 Confederaciones .....................................................189 Ejemplo: Configurar una confederacin ...........190 Comunidades BGP ...................................................192 Agregacin de rutas.................................................193 Ejemplo: Agregar rutas con diferentes AS-Paths ..............................................................193 Ejemplos: Suprimir las rutas ms especficas en actualizaciones ..................................................194 Ejemplo: Seleccionar rutas para el atributo Path .......................................................196 Ejemplo: Cambiar atributos de la ruta agregada ...................................................198
Directivas multicast.................................................208
Captulo 7 IGMP .......................................................211

Introduccin a IGMP ..............................................212
Hosts ......................................................................... 214 Enrutadores multicast ............................................... 215
IGMP en dispositivos NetScreen..............................216

IGMP en interfaces................................................... 216 Ejemplo: Habilitar IGMP en una interfaz............. 216 Ejemplo: Inhabilitacin de IGMP en una interfaz ........................................................ 217 Aspectos relativos a la seguridad ............................ 217 Ejemplo: Configurar una lista de accesos para grupos aceptados .................................... 218 Configuracin bsica de IGMP ............................... 219 Ejemplo: Configuracin bsica de IGMP .......... 219 Verificacin de la configuracin de IGMP............... 222 Parmetros operativos de IGMP............................... 224
Captulo 6 Enrutamiento multicast............................199

Introduccin al enrutamiento multicast .................200
Direcciones multicast ...............................................200 Reenvo por rutas inversas ........................................201
Proxy de IGMP ........................................................226

Envo de informes de miembros en sentido ascendente hacia el origen.............................. 226 Envo de datos multicast en sentido descendente a los receptores .......................... 227 Configuracin del proxy de IGMP ........................... 229 Proxy de IGMP en interfaces .................................... 229 Ejemplo: Proxy de IGMP en interfaces ............... 230 Creacin de u na directiva multicast ...................... 232 Ejemplo: Directiva de grupo multicast para IGMP.......................................................... 232 Ejemplo: Configuracin bsica de Proxy de IGMP ............................................................. 233 Proxy del remitente de IGMP.................................... 245 Ejemplo: Proxy del remitente de IGMP............... 246
Enrutamiento multicast en dispositivos NetScreen..202

Tabla de enrutamiento multicast..............................202 Rutas multicast estticas...........................................204 Ejemplo: Configuracin de una ruta multicast esttica ...............................................204 Listas de acceso.......................................................205 Encapsulado de enrutamiento genrico .................205 Ejemplo: Configuracin de interfaces de tnel GRE ......................................................207
Contenido
Captulo 8 PIM ..........................................................253

Introduccin al protocolo PIM................................255 PIM-SM....................................................................256
rboles de distribucin multicast ..............................258 Enrutador designado................................................259 Asignacin de puntos de encuentro a grupos.........259 Asignacin de RP esttico..................................259 Asignacin de RP dinmico ...............................259 Reenvo de trfico a travs del rbol de distribucin..........................................................260 El origen enva datos a un grupo.......................260 El host se une a un grupo...................................262
Comprobacin de la configuracin......................278 Configuracin de RPs.............................................282

RP esttico................................................................ 282 Ejemplo: Crear un RP esttico ........................... 283 RP candidato ........................................................... 284 Ejemplo: Crear un RP candidato ....................... 284
Aspectos relativos a la seguridad ..........................286

Restriccin de grupos multicast ............................... 286 Ejemplo: Restringir grupos multicast................... 286 Restringir orgenes multicast ..................................... 288 Ejemplo: Restringir orgenes multicast................ 288 Restriccin de RPs .................................................... 289 Ejemplo: Restringir RP ......................................... 289
PIM-SM en dispositivos NetScreen ..........................264

Creacin de una instancia PIM-SM ..........................265 Ejemplo: Habilitar una instancia PIM-SM en un enrutador virtual .................................................265 Ejemplo: Quitar una instancia PIM-SM................266 PIM-SM en interfaces ................................................267 Ejemplo: PIM-SM en una interfaz ........................267 Ejemplo: Inhabilitar PIM-SM en una interfaz .......268 Directivas de grupo multicast ...................................269 Mensajes Static-RP-BSR .......................................269 Mensajes Join-Prune...........................................269 Ejemplo: Directiva de grupo multicast para PIM-SM .......................................................270
Parmetros de la interfaz PIM-SM ...........................291

Directiva vecina ....................................................... 291 Ejemplo: Definir una directiva vecina................ 292 Lmite bootstrap........................................................ 293 Ejemplo: Definir un lmite bootstrap ................... 293
RP Proxy ..................................................................294
Configuracin de un RP proxy ................................. 297 Ejemplo: Configuracin del RP proxy ................ 298
PIM-SM e IGMPv3....................................................311 PIM-SSM ..................................................................312

PIM-SSM en dispositivos NetScreen........................... 312
Configuracin PIM-SM bsica ................................271

Ejemplo: Configuracin PIM-SM bsica .............272
ndice ......................................................................... IX-I
vi
Prefacio
El enrutamiento es una parte fundamental de los dispositivos de seguridad como los sistemas y dispositivos de NetScreen. El enrutamiento dinmico permite a los dispositivos NetScreen intercambiar informacin de enrutamiento con enrutadores y otros dispositivos de red mediante la utilizacin de protocolos de uso habitual y tablas de enrutamiento que se crean y se actualizan automticamente. Los protocolos de enrutamiento dinmico reducen mucho el intervalo entre los cambios en la topologa de la red y los ajustes en la tabla de enrutamiento porque estos se realizan automticamente. El enrutamiento multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts. Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. El Volumen 6, Enrutamiento, describe lo siguiente: Fundamentos del enrutamiento, incluyendo tablas de rutas y cmo configurar rutas estticas para el enrutamiento basado en destinos o el enrutamiento basado en orgenes Cmo configurar los enrutadores virtuales en los dispositivos NetScreen y cmo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre enrutadores virtuales Cmo configurar los siguientes protocolos de enrutamiento dinmico en dispositivos NetScreen: OSPF (Open Shortest Path First, abrir primero la ruta ms corta), RIP (Routing Information Protocol, protocolo de informacin de enrutamiento) y BGP (Border Gateway Protocol, protocolo de puerta de enlace de lmite) Fundamentos del enrutamiento multicast, incluyendo cmo configurar rutas multicast estticas Cmo configurar los protocolos multicast siguientes: Internet Group Management Protocol (IGMP), Protocol Independent Multicast - Sparse Mode (PIM-SM) y Protocol Independent Multicast - Source Specific Multicast (PIM-SSM)
vii
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina ix Convenciones para las ilustraciones en la pgina xi Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii
Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de lnea de comandos (CLI): Los comandos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3. Las variables aparecen en cursiva. Por ejemplo: set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
viii
Prefacio
Convenciones
Convenciones de la interfaz grfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegacin de la WebUI por las que se pasa al hacer clic en opciones de men y vnculos. Por ejemplo, la ruta para abrir el cuadro de dilogo de configuracin de direcciones se representa como sigue: Objects > Addresses > List > New . A continuacin se muestra la secuencia de navegacin.
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
ix
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Address Name: addr_1
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
Prefacio
Convenciones
Convenciones para las ilustraciones

Los siguientes grficos conforman el conjunto bsico de imgenes utilizado en las ilustraciones de este manual:
Red de rea local (LAN) con una nica subred (ejemplo: 10.1.1.0/24)
Dispositivo NetScreen genrico
Dominio de enrutamiento virtual
Internet
Zona de seguridad
Rango de direcciones IP dinmicas (DIP) Equipo de escritorio
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
Icono de conmutador (switch)
xi
Prefacio
Convenciones
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidas en las configuraciones de ScreenOS. Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la cadena completa deber entrecomillarse mediante comillas dobles ( ); por ejemplo, set address trust local LAN 10.1.1.0/24 . NetScreen eliminar cualquier espacio al comienzo o al final de una cadena entrecomillada; por ejemplo, local LAN se transformar en local LAN. NetScreen tratar varios espacios consecutivos como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de la interfaz de lnea de comandos pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
xii
Prefacio
Documentacin de NetScreen de Juniper Networks
DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentacin tcnica sobre cualquier producto NetScreen de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error o omisin en esta documentacin, pngase en contacto con nosotros a travs de la siguiente direccin de correo electrnico: techpubs-comments@juniper.net
xiii
Prefacio
Documentacin de NetScreen de Juniper Networks
xiv
Captulo 1
Tablas de enrutamiento y enrutamiento esttico
Para que un dispositivo NetScreen pueda reenviar paquetes de una red a otra, ScreenOS mantiene una tabla de enrutamiento que contiene entradas para todas las direcciones de red conocidas. Generalmente, la tabla de enrutamiento contiene una o ms rutas estticas, que son configuraciones introducidas manualmente para definir rutas a destinos especficos. Adems, los dispositivos NetScreen tambin mantienen una tabla de enrutamiento independiente para las rutas multicast. Para obtener informacin acerce de las rutas multicast, consulte Enrutamiento multicast en dispositivos NetScreen en la pgina 202. En este captulo se describe la tabla de enrutamiento de ScreenOS, el proceso de enrutamiento bsico que realiza el dispositivo NetScreen y como configurar rutas estticas en dispositivos NetScreen. Contiene las siguientes secciones: Fundamentos del enrutamiento en la pgina 2 Mtodos de enrutamiento en la pgina 2 Tablas de enrutamiento en la pgina 4 Enrutamiento con rutas estticas en la pgina 6 Enrutadores virtuales de los dispositivos NetScreen en la pgina 8 Cundo configurar rutas estticas en la pgina 9 Configuracin de rutas estticas en la pgina 11 Reenvo de trfico a la interfaz nula en la pgina 18 Rutas permanentemente activas en la pgina 19
Captulo 1 Tablas de enrutamiento y enrutamiento esttico
Fundamentos del enrutamiento
FUNDAMENTOS DEL ENRUTAMIENTO

El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que alcanzan su destino final. Un enrutador es el punto de unin de dos redes. Los dispositivos de seguridad NetScreen incorporan funciones de enrutamiento que permiten a ScreenOS reenviar eficazmente el trfico protegido a su destino.
Mtodos de enrutamiento
En los dispositivos NetScreen se pueden configurar tres tipos de enrutamiento: esttico, dinmico, y multicast. Cuando una red utiliza el enrutamiento esttico, el administrador tiene que configurar manualmente las rutas y mantener actualizadas las tablas de enrutamiento en los enrutadores. En redes cuyas interconexiones hacia otras redes son numerosas o cambian frecuentemente, conviene utilizar protocolos de enrutamiento dinmico para que las tablas de enrutamiento se actualicen de forma automtica. Los protocolos de enrutamiento dinmico permiten a los enrutadores actualizar automticamente sus tablas cuando se producen cambios en la topologa de la red local o cuando algn enrutador vecino comunica que se ha producido un cambio en una red distante. Los protocolos multicast habilitan los enrutadores para que reenven trfico desde un origen a mltiples receptores simultneamente.
Enrutamiento esttico
Las rutas estticas son asignaciones de direcciones IP a una red de salto siguiente1 que se puede definir en un dispositivo de reenvo de capa 3, como un enrutador. Estas asignaciones no cambian salvo que se modifiquen manualmente. En redes cuyas interconexiones hacia otras redes son escasas o relativamente estables, suele resultar ms prctico definir rutas estticas que configurar el enrutamiento dinmico. ScreenOS mantiene las rutas estticas hasta que se eliminan explcitamente. No obstante, cuando sea necesario se puede dar prioridad al enrutamiento dinmico frente al esttico.
1.
Un destino de salto siguiente es un enrutador.
Enrutamiento dinmico
En el enrutamiento dinmico, los enrutadores intercambian informacin sobre la disponibilidad de redes y subredes y ajustan las tablas de enrutamiento analizando los mensajes entrantes de actualizacin del enrutamiento. Estos mensajes alimentan la red, ordenando a los enrutadores recalcular las rutas y realizar los cambios necesarios en sus tablas de enrutamiento. Para obtener informacin acerca de Open Shortest Path First (OSPF), consulte el Captulo 3, Protocolo OSPF. Para obtener informacin acerca de Routing Information Protocol (RIP), consulte el Captulo 4, Protocolo de informacin de enrutamiento (RIP). Para obtener informacin sobre Border Gateway Protocol (BGP), consulte el Captulo 5, Protocolo de puerta de enlace de lmite (BGP).
Enrutamiento multicast
Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. Cualquier host puede ser un origen, y los receptores pueden estar en cualquier punto de Internet. El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts, porque los enrutadores habilitados para multicast transmiten trfico multicast solamente a los hosts que desean recibirlo. Los hosts deben sealizar su inters por recibir datos multicast y deben unirse a un grupo multicast para recibir los datos. Los enrutadores habilitados para multicast reenvian trfico multicast solamente a los receptores interesados en recibirlo. Para obtener informacin acerca de las rutas multicast, consulte el Captulo 6, Enrutamiento multicast.
Tablas de enrutamiento
Normalmente, los enrutadores estn conectados a varias redes y se encargan de dirigir el trfico por tales redes. Cada enrutador cuenta con su propia tabla de enrutamiento, que es una lista de redes y direcciones conocidas con informacin para llegar a ellas. Cuando se procesa un paquete entrante en un dispositivo NetScreen, ScreenOS consulta la tabla de enrutamiento para averiguar cul es la interfaz adecuada que conduce a la direccin de destino. Para obtener ms informacin sobre la secuencia de flujo de paquetes en ScreenOS, consulte el Volumen 2, Fundamentos. Los enrutadores tambin mantienen una tabla de enrutamiento para las rutas multicast. Para obtener informacin acerca de las rutas multicast, consulte Tabla de enrutamiento multicast en la pgina 202. Cada entrada de la tabla de enrutamiento, denominada entrada de ruta, o simplemente ruta, es identificada por la red de destino a la que se puede reenviar el trfico. La red de destino, identificada mediante una direccin IP y mscara de red, puede ser una red IP, una subred, una superred o un host. Las entradas de la tabla de enrutamiento ScreenOS pueden provenir de los siguientes orgenes: Redes interconectadas directamente (la red de destino es la direccin IP asignada a una interfaz en el modo de ruta)2 Protocolos de enrutamiento dinmico, como OSPF, BGP o RIP Rutas importadas desde otros enrutadores o enrutadores virtuales Rutas configuradas estticamente
2.
Cuando se establece una direccin IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecta automticamente una ruta hacia la subred adyacente para canalizar el trfico que pasa por la interfaz.
A continuacin se presenta un ejemplo de una tabla de enrutamiento de ScreenOS: C - Connected, S - Static, A - Auto-Exported, I - Imported iB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF external type 1 E2 - OSPF external type 2 Total 8 entries ID IP-Prefix Interface Gateway P Pref Mtr Vsys -----------------------------------------------------------------------------9 0.0.0.0/0 eth3 10.31.1.1 eB 40 100 root 11 192.168.1.100/32 eth2 10.3.3.100 iB 250 0 root 10 1.1.0.0/16 eth3 10.31.1.1 eB 40 100 root 4 10.1.1.1/32 eth3 10.2.2.250 S 20 1 root 1 192.168.1.1/32 eth1 0.0.0.0 C 0 0 root 5 2.2.0.0/16 eth3 10.2.2.250 S 20 1 root 2 10.3.3.0/24 eth2 0.0.0.0 C 0 0 root 3 10.2.2.0/24 eth3 0.0.0.0 C 0 0 root
Red de destino Interfaz de reenvo de datos Siguiente salto Protocolo Preferencia Mtrica Vsys
Ruta * predeterminada
* * * * * * *
La tabla de enrutamiento contiene la siguiente informacin de cada red de destino: La interfaz del dispositivo NetScreen a travs del que se reenva el trfico a la red de destino. El siguiente salto (next-hop), que puede ser otro enrutador virtual en el dispositivo NetScreen o la direccin IP de una puerta de enlace (normalmente la direccin de un enrutador). El protocolo del cual se deriva la ruta. La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias rutas hacia la misma red de destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, ms posibilidades existen de que esa ruta se seleccione como ruta activa. Este valor de preferencia se puede modificar en cada enrutador virtual para cada protocolo u origen de ruta. Para obtener ms informacin, consulte el captulo Enrutadores virtuales del Volumen 6.
5
La mtrica tambin se puede utilizar para seleccionar la ruta a utilizar cuando existen varias rutas para la misma red de destino con el mismo valor de preferencia. El valor de mtrica de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, pero se puede especificar un valor diferente cuando se definen estas rutas. El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales y sistemas virtuales en la pgina 29.
La mayora de las tablas de enrutamiento contienen una ruta predeterminada (con la direccin de red 0.0.0.0/0), que es una entrada comodn para los paquetes destinados a redes distintas de las definidas en la tabla de enrutamiento.
Enrutamiento con rutas estticas

Cuando un host enva paquetes a un host de otra red, cada encabezado de paquete contiene la direccin del host de destino. Cuando un enrutador recibe un paquete, compara la direccin de destino con todas las direcciones existentes 3 en la tabla de enrutamiento. El enrutador selecciona en la tabla la ruta ms especfica a la direccin de destino y, a partir de la entrada de ruta seleccionada, determina el siguiente salto (next-hop) al que debe reenviar el paquete. La ilustracin siguiente representa una red que utiliza el enrutamiento esttico. En esta ilustracin, el host 1 de la red A desea alcanzar el host 2 de la red C, para lo que crea un paquete con la siguiente informacin en el encabezado:
IP ORIG Host 1 IP DEST Host 2 Carga de datos Enrutador Y Enrutador X Red A Red B Red C
Host 1
3.
Enrutador Z
Host 2
La ruta ms especfica se determina aplicando en primer lugar el operador lgico AND bit por bit a la direccin de destino y a la mscara de red de cada entrada existente en la tabla de enrutamiento. Por ejemplo, el AND lgico bit por bit de la direccin IP 10.1.1.1 con la mscara de subred 255.255.255.0 es 10.1.1.0. La ruta que tenga el mayor nmero de bits con el valor 1 en la mscara de subred ser la ms especfica (tambin denominada ruta con la mayor coincidencia).
A continuacin, se representa la tabla de enrutamiento de cada enrutador.

Tablas de enrutamiento Enrutador X Red Red A Red B Red C Puerta de enlace Conectada Conectada Enrutador Y Enrutador Y Red Red A Red B Red C Puerta de enlace Enrutador X Conectada Conectada Enrutador Z Red Red A Red B Red C Puerta de enlace Enrutador X Conectada Conectada
En el ejemplo anterior, el enrutador X tiene configurada una ruta esttica hacia la red C con la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinado al host 2 de la red C, compara la direccin de destino del paquete con el contenido de su tabla de enrutamiento y detecta que la ltima entrada corresponde a la ruta ms especfica para la direccin de destino. En la ltima entrada de ruta se especifica que el trfico destinado a la red C debe enviarse al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como conoce que la red C est conectada directamente, enva el paquete a travs de la interfaz conectada a esa red. Tenga en cuenta que si el enrutador Y falla o si la conexin entre el enrutador Y y la red C deja de estar disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a travs del enrutador Z, no est configurada de forma esttica en el enrutador X, por lo que ste no tiene constancia de la ruta alternativa.
Enrutadores virtuales de los dispositivos NetScreen
ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREEN

ScreenOS puede dividir su componente de enrutamiento en dos o ms enrutadores virtuales. Los enrutadores virtuales admiten protocolos de enrutamiento esttico y dinmico, y protocolos multicast que se pueden activar de forma simultnea en un solo enrutador virtual. Los dispositivos NetScreen incorporan dos enrutadores virtuales predefinidos: trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario. untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad.
Algunos dispositivos NetScreen permiten crear otros enrutadores virtuales personalizados. Dividiendo la informacin de enrutamiento en dos (o ms) enrutadores virtuales, se puede controlar qu informacin de un determinado dominio de enrutamiento ser visible desde otros dominios de enrutamiento. Por ejemplo, se puede mantener la informacin de enrutamiento de todas las zonas de seguridad de una red corporativa en el enrutador virtual predefinido trust-vr, y la informacin de enrutamiento de todas las zonas fuera de la red corporativa en el otro enrutador virtual predefinido untrust-vr. Gracias a que la informacin de la tabla de enrutamiento de un enrutador virtual no es visible desde el otro, la informacin de enrutamiento de la red interna se puede mantener aislada de fuentes no fiables situadas fuera de la empresa. Esto tambin significa que el trfico procedente de zonas de un enrutador virtual no se reenva automticamente a las zonas de otro enrutador virtual aunque existan directivas que permitan el trfico. Si desea que dos enrutadores virtuales puedan intercambiar trfico de datos, deber exportar las rutas entre esos VR o configurar una ruta esttica en uno de ellos que defina al otro como siguiente salto (next-hop). Este captulo no contiene informacin sobre cmo crear enrutadores virtuales personalizados, utilizar dos o ms enrutadores virtuales ni exportar rutas entre ellos. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales en la pgina 21.
Cundo configurar rutas estticas
CUNDO CONFIGURAR RUTAS ESTTICAS

La tabla de enrutamiento proporciona la informacin necesaria para que un enrutador virtual pueda dirigir trfico a diferentes interfaces y subredes. Probablemente necesitar definir rutas estticas aunque est utilizando el enrutamiento dinmico en el dispositivo NetScreen. Es necesario definir rutas estticas cuando se cumplen condiciones como las siguientes: Si una red no est conectada directamente con el dispositivo NetScreen pero es accesible a travs de un enrutador de una interfaz contenida en un enrutador virtual (VR), debe definirse una ruta esttica hacia la red que contenga la direccin IP del enrutador. Por ejemplo, la interfaz de la zona Untrust puede encontrarse en una subred con dos enrutadores, cada uno con diferentes conexiones de Internet, por lo que ser necesario definir qu enrutador deber utilizarse para reenviar el trfico destinado a cada proveedor especfico. Para agregar una ruta predeterminada (0.0.0.0/0) en la tabla de enrutamiento de un enrutador virtual es necesario definir una ruta esttica. Por ejemplo, si est utilizando dos enrutadores virtuales en el mismo dispositivo NetScreen, la tabla de enrutamiento de trust-vr podra contener una ruta predeterminada que especificara untrust-vr como el salto siguiente. Esto permitira enrutar hacia untrust-vr el trfico destinado a direcciones no expresadas en la tabla de enrutamiento de trust-vr. Tambin puede definir una ruta predeterminada en untrust-vr para desviar el trfico destinado a direcciones no encontradas en la tabla de enrutamiento de untrust-vr hacia la direccin IP especfica de un enrutador. Si est utilizando dos enrutadores virtuales en el mismo dispositivo NetScreen y llega trfico entrante a una interfaz de untrust-vr destinado a una red conectada a una interfaz de trust-vr, deber definir una entrada esttica en la tabla de enrutamiento de untrust-vr para la red de destino, indicando trust-vr como salto siguiente. (Observe que no es necesario definir esta ruta esttica si las entradas de la tabla de enrutamiento de trust-vr se exportan a untrust-vr).
Cundo configurar rutas estticas
Cuando el dispositivo funciona en modo transparente, es necesario definir rutas estticas que dirijan el trfico administrativo originado en el dispositivo mismo (distinto del trfico de usuario que pasa por el cortafuegos) a los destinos remotos. Por ejemplo, deber definir rutas estticas que dirijan los mensajes de syslog, SNMP y WebTrends a la direccin de un administrador remoto. Tambin deber definir rutas que dirijan las peticiones de autenticacin a los servidores RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense. Nota: Cuando el dispositivo NetScreen trabaja en modo transparente, es necesario definir una ruta esttica para el trfico administrativo generado por el dispositivo incluso aunque el destino se encuentre en la misma subred que ste. Esta ruta se requiere para especificar la interfaz a travs de la cual enviar el trfico.
Para el trfico VPN saliente donde exista ms de una interfaz de salida hacia el destino, deber establecer una ruta para dirigir el trfico saliente al enrutador externo a travs de la interfaz deseada. Si el modo de funcionamiento de una interfaz en una zona de seguridad del dominio de enrutamiento trust-vr es NAT, y si esa interfaz tiene configurada una MIP o VIP para recibir trfico procedente de un origen en el dominio de enrutamiento untrust-vr, deber crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de enlace. De forma predeterminada, el dispositivo NetScreen utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. En un enrutador virtual, tambin puede habilitar tablas de enrutamiento basadas en orgenes o basadas en interfaces. Ambas tablas de enrutamiento, las basadas en orgenes y las basadas en interfaces, contienen las rutas estticas que configure en el enrutador virtual.
10
Configuracin de rutas estticas
CONFIGURACIN DE RUTAS ESTTICAS

Para configurar una ruta esttica se necesita definir lo siguiente: El enrutador virtual en el cual se est agregando la ruta. La direccin IP y la mscara de red de la red de destino. El salto siguiente para la ruta, que puede ser otro enrutador virtual en el dispositivo NetScreen o la direccin IP de una puerta de enlace (enrutador). Si especifica otro enrutador virtual, asegrese de que en su tabla de enrutamiento exista una entrada para la red de destino. La interfaz a travs de la cual se reenva el trfico enrutado. La interfaz puede ser cualquier interfaz compatible con ScreenOS, como una interfaz fsica (por ejemplo, ethernet1/2) o una interfaz de tnel. Tambin puede especificar la interfaz nula para determinadas aplicaciones (consulte Reenvo de trfico a la interfaz nula en la pgina 18). (Opcional) La mtrica de ruta se utiliza para seleccionar la ruta activa cuando existen varias rutas hacia la misma red de destino, y todas con el mismo valor de preferencia. La mtrica predeterminada para las rutas estticas es 1. (Opcional) Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que contengan valores de etiqueta especificados a un enrutador virtual. (Opcional) Un valor de preferencia para la ruta. De forma predeterminada, todas las rutas estticas tienen el mismo valor de preferencia que se establece en el enrutador virtual. (Opcional) Si la ruta se debe mantener activa aunque la interfaz del reenvo est inactiva o se haya eliminado la direccin IP de la interfaz. Consulte Rutas permanentemente activas en la pgina 19.
11
Ejemplo: Rutas estticas

En el ejemplo siguiente, un dispositivo NetScreen que funciona con su interfaz de la zona Trust en modo NAT protege una red de mltiples niveles. Se utiliza tanto administracin local como remota (a travs de NetScreen-Security Manager). El dispositivo NetScreen enva capturas SNMP e informes syslog al administrador local (situado en una red de la zona Trust) y enva informes de NetScreen-Security Manager al administrador remoto (situado en una red de la zona Untrust). El dispositivo utiliza un servidor SecurID en la zona DMZ para autenticar usuarios y un servidor Websense en la zona Trust para realizar el filtrado de URLs. Las tablas de enrutamiento de trust-vr y untrust-vr deben contener rutas hacia los destinos siguientes (los nmeros siguientes corresponden al grfico mostrado en pgina 13):
untrust-vr
1. 2. 3. 4. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el VR) Administrador remoto en la subred 3.3.3.0/24 La subred 2.2.40.0/24 en la zona DMZ La subred 2.20.0.0/16 en la zona DMZ
trust-vr
5. 6. 7. 8. untrust-vr para todas las direcciones no encontradas en la tabla de enrutamiento de trust-vr (ruta predeterminada para el VR) La subred 10.10.0.0/16 en la zona Trust La subred 10.20.0.0/16 en la zona Trust La subred 10.30.1.0/24 en la zona Trust Nota: El ejemplo siguiente asume que ethernet1 ya est asociada a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24, respectivamente.
12

Administracin remota NetScreen-Security Manager 3.3.3.10/32
Internet Zona Untrust 1
= Enrutador = Conmutador/ concentrador (switch o hub)
untrust-vr
3.3.3.0/24
5 Ruta predeterminada NetScreen
200.20.2.2/24 2.2.2.2/24 2.2.2.0/24
3.3.3.1/24 2.2.2.3/24 2.2.10.3/24 2.20.30.1/24 2.2.10.0/24
Zona DMZ 4
10.1.1.0/24 10.1.1.4/24 10.1.1.2/24 10.30.1.1/24 10.10.30.1/24 8 10.10.40.1/24 10.1.1.3/24 10.20.1.1/24
2.2.10.2/24 2.2.40.1/24
2.2.40.0/24 Servidor SecurID 2.2.45.7/32
2.20.30.0/24 2.20.30.2/24 2.20.3.1/24 2.20.4.1/24 2.20.4.0/24
6
10.10.30.0/24
10.10.40.0/24 10.20.1.0/24
10.30.1.0/24
2.20.3.0/24
Administracin local 10.10.30.5/32
Zona Trust
10.20.1.2/24 10.20.3.1/24 10.20.4.1/24 10.20.3.0/24
Servidor Websense 10.30.4.7/32
10.20.4.0/24
trust-vr
13
WebUI
1. untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos para crear la puerta de enlace predeterminada en la zona no fiable y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.2 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos para dirigir los informes del sistema generados por el dispositivo NetScreen a la administracin remota, y haga clic en OK : Network Address/Netmask: 3.3.3.0/24 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.3 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.2.40.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.2 Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.20.0.0/16 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 2.2.10.3
Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 14
2.
trust-vr
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.2 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.20.0.0/16 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.3 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.30.1.0/32 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.4 Nota: Para eliminar una entrada, haga clic en Remove . Aparecer un mensaje del sistema pidiendo confirmacin para realizar la eliminacin. Haga clic en OK para continuar o en Cancel para cancelar la accin.
15
CLI
1. untrust-vr
set set set set vrouter vrouter vrouter vrouter untrust-vr untrust-vr untrust-vr untrust-vr trust-vr trust-vr trust-vr trust-vr route route route route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
2.
trust-vr
set vrouter set vrouter set vrouter set vrouter save route route route route 0.0.0.0/0 vrouter untrust-vr 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4
Ejemplo: Ruta para una interfaz de tnel

En este ejemplo, un host fiable reside en una subred diferente que la interfaz fiable. Un servidor FTP recibe trfico entrante a travs de un tnel VPN. Se necesita establecer una ruta para dirigir el trfico que sale por la interfaz de tnel al enrutador interno que conduce a la subred donde reside el servidor.
Interfaz Trust ethernet1 10.1.1.1/24 Zona Trust Interfaz Untrust ethernet3 1.1.1.1/24 Zona Untrust Internet Tnel VPN Tunnel.1 10.10.1.1/24 Enrutador 1.1.1.250 Servidor FTP 10.2.2.5
16
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.2.2.5/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 Nota: Para que tunnel.1 aparezca en la lista desplegable Interface, primero debe crear la interfaz tunnel.1. Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
17
Reenvo de trfico a la interfaz nula

Puede configurar rutas estticas usando la interfaz nula como interfaz de salida. Mientras que la interfaz nula siempre se considera activa, el trfico destinado a la interfaz nula se descarta. Para convertir la ruta a la interfaz nula en una ruta de ltimo recurso, defnala con una mtrica ms alta que las dems rutas. Hay tres usos para las rutas estticas que emplean la interfaz nula como interfaz en la que se reenva el trfico: Impedir consulta de rutas en otras tablas de enrutamiento Si se habilita el enrutamiento basado en interfaz de origen, de forma predeterminada el dispositivo NetScreen realiza operaciones de consulta en la tabla de enrutamiento basada en la interfaz de origen. (Para obtener informacin sobre la configuracin del enrutamiento basado interfaz de origen, consulte Enrutamiento segn la interfaz de origen en la pgina 44.). Si la ruta no se encuentra en la tabla de enrutamiento basada en la interfaz de origen y si el enrutamiento basado en el origen no est activado, el dispositivo NetScreen realiza operaciones de consulta de ruta en la tabla de enrutamiento basada en el origen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el origen, el dispositivo NetScreen realiza operaciones de consulta de la ruta en la tabla de enrutamiento basada en los destinos. Si desea evitar las operaciones de consulta de rutas en la tabla de enrutamiento basada en el origen o en la tabla de enrutamiento basada en los destinos, puede crear una ruta predeterminada en la tabla de enrutamiento basada en le interfaz de origen con la interfaz nula como la interfaz de salida. Utilice una mtrica ms alta que el resto de las rutas para asegurar que esta ruta slo se utilice si no existe ninguna otra ruta basada en la interfaz que coincida con la ruta. Impedir que el trfico del tnel se enve en interfaces que no sean de tnel Puede utilizar las rutas estticas o dinmicas con las interfaces de tnel de salida para encriptar el trfico dirigido a destinos especficos. Si una interfaz de tnel se queda inactiva, todas las rutas definidas en la interfaz quedan inactivas. Si hay una ruta alternativa en una interfaz que no sea de tnel, el trfico no se enva encriptado. Para impedir que el trfico que debe estar encriptado se enve a una interfaz que no sea
18
de tnel, defina una ruta esttica al mismo destino que el trfico del tnel con la interfaz nula como interfaz de salida. Asigne a esta ruta una mtrica ms alta que la ruta de la interfaz de tnel de modo que la ruta solamente se active si la ruta de la interfaz de tnel no est disponible. Si la interfaz de tnel queda inactiva, la ruta con la interfaz nula se activa y el trfico para el destino del tnel se descarta. Evitar bucles de trfico Cuando el dispositivo NetScreen anuncia rutas resumidas, puede que el dispositivo reciba el trfico destinado a prefijos que no se encuentran en sus tablas de enrutamiento. Puede reenviar el trfico basado en su ruta predeterminada. El enrutador de recepcin puede reenviar el trfico de nuevo al dispositivo NetScreen debido al anuncio de la ruta resumida. Para evitar dichos bucles, puede definir una ruta esttica para el prefijo de la ruta resumida con la interfaz nula como la interfaz de salida y una mtrica de ruta alta. Si el dispositivo NetScreen recibe el trfico para los prefijos que se encuentren en su anuncio de ruta resumida pero no en sus tablas de enrutamiento, se descarta el trfico.
Rutas permanentemente activas

Hay ciertas situaciones en las que quizs le interese que una ruta mantenga su estado activo en una tabla de enrutamiento incluso si la interfaz fsica asociada a la ruta se queda inactiva o no tiene una direccin IP asignada. Por ejemplo, un servidor XAuth puede asignar una direccin IP a una interfaz en un dispositivo NetScreen siempre que se necesite enviar trfico al servidor. La ruta hacia el servidor de XAuth debe mantenerse activa incluso cuando no haya direccin IP asignada en la interfaz de modo que el trfico que est destinado al servidor XAuth no se descarte. Tambin es til mantener activas las rutas a travs de las interfaces en las que se configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo NetScreen reencamine el trfico saliente a travs de una interfaz diferente si las direcciones IP de destino no se pueden alcanzar a travs de la interfaz original. Aun cuando el dispositivo NetScreen puede reencaminar el trfico a otra interfaz, necesita ser capaz de enviar peticiones del comando ping en la interfaz original para determinar si los destinos llegan a ser otra vez accesibles.
19
20
Captulo 2
Enrutadores virtuales
El enrutamiento es una parte fundamental de los dispositivos de seguridad como los sistemas y dispositivos de NetScreen. Sin el enrutamiento, los dispositivos de seguridad no podran reenviar trfico seguro a los destinos potenciales de forma efectiva. Se puede configurar un dispositivo NetScreen para que utilice slo rutas estticas, pero entonces se debe aadir, eliminar o modificar una entrada de la tabla de enrutamiento siempre que haya un cambio en la red. (Para obtener ms informacin sobre la configuracin de rutas estticas, consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 1). El enrutamiento dinmico permite a los dispositivos NetScreen intercambiar informacin de enrutamiento con enrutadores y otros dispositivos de red mediante la utilizacin de protocolos de uso habitual y tablas de enrutamiento que se crean y se actualizan automticamente. Los protocolos de enrutamiento dinmico reducen mucho el intervalo entre los cambios en la topologa de la red y los ajustes en la tabla de enrutamiento porque estos se realizan automticamente. Para obtener informacin sobre la tabla de rutas multicast, consulte Tabla de enrutamiento multicast en la pgina 202. En este captulo se explica cmo configurar los enrutadores virtuales (VRs) en los dispositivos NetScreen y cmo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre VRs. Este captulo contiene las siguientes secciones: Enrutadores virtuales de los dispositivos NetScreen en la pgina 23 Utilizacin de dos enrutadores virtuales en la pgina 23 Reenvo de trfico entre enrutadores virtuales en la pgina 24 Configuracin de dos enrutadores virtuales en la pgina 24 Enrutadores virtuales personalizados en la pgina 27 Enrutadores virtuales y sistemas virtuales en la pgina 29 Modificacin de enrutadores virtuales en la pgina 33 ID del enrutador virtual en la pgina 34 Nmero mximo de entradas de la tabla de enrutamiento en la pgina 36
21
Captulo 2 Enrutadores virtuales
Seleccin de rutas en la pgina 37 Preferencia de ruta en la pgina 37 Mtrica de ruta en la pgina 39 Tablas de enrutamiento en la pgina 40 Enrutamiento segn el origen en la pgina 40 Enrutamiento segn la interfaz de origen en la pgina 44 Secuencia de consulta de rutas en la pgina 46 Consulta de rutas en mltiples enrutadores virtuales en la pgina 50 Enrutamiento de rutas mltiples de igual coste en la pgina 52 Activacin del enrutamiento de rutas mltiples de igual coste en la pgina 54 Redistribucin de rutas en la pgina 55 Configuracin de un mapa de rutas en la pgina 56 Filtrado de rutas en la pgina 58 Listas de acceso en la pgina 58 Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 62
22
ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREEN

ScreenOS puede dividir su componente de enrutamiento en dos o ms enrutadores virtuales. Los enrutadores virtuales (VRs) admiten protocolos de enrutamiento esttico y dinmico, y protocolos multicast que se pueden activar de forma simultnea en un solo enrutador virtual. Los dispositivos NetScreen de Juniper Networks incorporan dos enrutadores virtuales predefinidos: trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y las zonas definidas por el usuario. untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad.
No se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Sin embargo, en algunos dispositivos NetScreen se pueden crear y configurar enrutadores virtuales adicionales (consulte Enrutadores virtuales personalizados en la pgina 27 para obtener ms informacin sobre la creacin de enrutadores virtuales personalizados). Se pueden configurar determinados parmetros para los enrutadores virtuales predefinidos y los personalizados (consulte Modificacin de enrutadores virtuales en la pgina 33). Pueden existir varios VRs, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*) indica que trust-vr es el VR predeterminado en la interfaz de lnea de comandos (CLI). Puede ver la tabla de VRs ejecutando el comando CLI get vrouter . Para configurar zonas e interfaces en otros VRs, debe especificar el VR por nombre, por ejemplo untrust-vr .
Utilizacin de dos enrutadores virtuales

Dividiendo la informacin de enrutamiento en dos enrutadores virtuales (VRs), se puede controlar qu informacin de un determinado dominio de enrutamiento ser visible desde otros dominios de enrutamiento. Por ejemplo, se puede mantener la informacin de enrutamiento de todas las zonas de seguridad de una red corporativa en el VR predefinido trust-vr, y la informacin de enrutamiento de todas las zonas fuera de la red corporativa en el otro VR predefinido untrust-vr. Gracias a que la informacin de la tabla de enrutamiento de un VR no es visible desde el otro, la informacin de enrutamiento de la red interna se puede mantener aislada de fuentes no fiables situadas fuera de la empresa.
23
Reenvo de trfico entre enrutadores virtuales

Cuando hay dos enrutadores virtuales (VRs) en un dispositivo NetScreen, el trfico no se reenva automticamente entre las zonas que se encuentran en distintos VR, aunque existan directivas que permitan el trfico. Para habilitar el paso de trfico de un VR a otro, es necesario estar seguro de que existen las correspondientes entradas en la tabla de enrutamiento. Para ello, se puede hacer lo siguiente: Configurar una ruta esttica en un VR que defina otro VR como el siguiente salto para la ruta. Esta ruta puede incluso ser la ruta predeterminada del VR. Por ejemplo, se puede configurar una ruta predeterminada para el trust-vr con el untrust-vr como siguiente salto. Si el destino de un paquete de salida no coincide con ninguna de las entradas de la tabla de enrutamiento del trust-vr, se reenva al untrust-vr. Para obtener ms informacin sobre la configuracin de rutas estticas, consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 1. Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamiento de otro VR. Se pueden exportar e importar rutas concretas. Tambin se pueden exportar todas las rutas de la tabla de enrutamiento del trust-vr a la tabla del untrust-vr. Esto posibilita el reenvo de paquetes recibidos en el untrust-vr a destinos del trust-vr. Para obtener ms informacin, consulte Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 62.
Configuracin de dos enrutadores virtuales

Como se ha mencionado anteriormente, se pueden configurar varios enrutadores virtuales (VRs) en un dispositivo NetScreen manteniendo una tabla de enrutamiento separada para cada VR. De forma predeterminada, todas las zonas de seguridad predefinidas y definidas por el usuario estn asociadas al trust-vr. Esto significa que todas las interfaces asociadas a esas zonas de seguridad tambin pertenecen al trust-vr. Esta seccin analiza cmo asociar una zona de seguridad (y sus interfaces) al VR untrust-vr. Se puede asociar una zona de seguridad a un slo VR. Se pueden asociar varias zonas de seguridad a un slo VR cuando no hay superposicin de direcciones entre zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que una zona est asociada a un VR, todas las interfaces de la zona pertenecen al VR. Se puede cambiar el vnculo de una zona de seguridad de un VR a otro, pero primero hay que quitar todas las interfaces de la zona. (Para obtener ms informacin sobre cmo asociar y desasociar una interfaz con respecto a una zona de seguridad, consulte el captulo Interfaces en el Volumen 2, Fundamentos).
24
A continuacin se enumeran los pasos bsicos para asociar una zona de seguridad al VR untrust-vr: 1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No se puede modificar el vnculo de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado una direccin IP a una interfaz, es necesario eliminar la asignacin de direccin antes de quitar la interfaz de la zona. Asignar la zona al VR untrust-vr. Asignar de nuevo las interfaces a la zona.
2. 3.
Ejemplo: Asociacin de una zona al untrust-vr

En el siguiente ejemplo, la zona de seguridad untrust est asociada de forma predeterminada al trust-vr y la interfaz ethernet3 est asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust). Primero se debe definir la direccin IP y la mscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, despus cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr.
WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y haga clic en OK : Zone Name: Null IP Address/Netmask: 0.0.0.0/0
2.
Asociar la zona untrust al untrust-vr

Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegable Virtual Router Name y haga clic en OK .
3.
Asociar la interfaz a la zona untrust

Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name y haga clic en OK .
25
CLI
1. Desasociar la interfaz de la zona untrust
set interface ethernet3 0.0.0.0/0 unset interface ethernet3 zone
2. 3.
Asociar la zona untrust al untrust-vr

set zone untrust vr untrust-vr
Asociar la interfaz a la zona untrust

set interface eth3 zone untrust save
En las siguientes imgenes, el resultado del comando get zone de la izquierda muestra la interfaz, la zona y los enlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminados, la zona untrust est asociada al trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zona y enlaces del VR despus de haber reconfigurado los enlaces, la zona untrust est ahora asociada al untrust-vr.
Zona untrust asociada al trust-vr (enlaces predeterminados)
ns-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root 13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root
Zona untrust asociada al untrust-vr

ns-> get zone Total of 12 zones in vsys root. 7 policy configurable zone(s) ------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared untrust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root 10 Global Sec(L3) trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 12 V1-Trust Sec(L2) trust-vr v1-trust Root 13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 16 Untrust-Tun Tun trust-vr null Root ---------------------------------------------------------------
26
Enrutadores virtuales personalizados

Algunos dispositivos NetScreen permiten crear enrutadores virtuales (VRs) personalizados adems de los dos predefinidos. Se pueden modificar todos los aspectos de un VR definido por el usuario, incluidos la identidad del VR, el nmero mximo de entradas permitidas en la tabla de enrutamiento, y el valor de preferencia de las rutas de determinados protocolos.
1
Ejemplo: Creacin de un enrutador virtual personalizado

En este ejemplo, se crea un VR personalizado denominado trust2-vr y se habilita una exportacin de rutas automtica del VR trust2-vr al untrust-vr.
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK : Virtual Router Name: trust2-vr Auto Export Route to Untrust-VR: (seleccione)
CLI
set vrouter name trust2-vr set vrouter trust2-vr auto-route-export save
1.
Slo determinados dispositivos NetScreen admiten VRs personalizados. Para crear VRs personalizados, es necesaria una clave de licencia de software.
27
Ejemplo: Eliminacin de un enrutador virtual personalizado

En este ejemplo, se elimina un enrutador virtual (VR) definido por el usuario existente denominado trust2-vr.
WebUI
Network > Routing > Virtual Routers: Haga clic en Remove para el trust2-vr . Cuando aparezca la peticin de confirmacin de la eliminacin, haga clic en OK .
CLI
unset vrouter trust2-vr Cuando aparezca la peticin de confirmacin para la eliminacin (vrouter unset, are you sure? y/[n]), teclee Y. save Nota: No se pueden eliminar los enrutadores virtuales (VRs) predefinidos untrust-vr y trust-vr, pero se puede eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR definido por el usuario o cambiar la ID del VR, se debe primero eliminar el VR, y despus volver a crearlo con el nuevo nombre o ID del VR.
28
Enrutadores virtuales y sistemas virtuales

Cuando un administrador del nivel raz crea un vsys en sistemas con sistema virtual habilitado , automticamente el vsys tiene los siguientes enrutadores virtuales (VRs) disponibles para su uso: Cualquier VR de nivel raz que haya sido definido como compartido. El untrust-vr es, de forma predefinida, un VR compartido accesible por cualquier vsys. Se puede configurar otro VR de nivel raz como compartido. Un VR de nivel vsys. Cuando se crea un vsys, se crea automticamente un VR de nivel vsys que mantiene la tabla de enrutamiento de la zona Trust-vsysname. Se puede elegir nombrar el VR como vsysname-vr o con un nombre definido por el usuario. Un VR de nivel vsys no puede ser compartido por otros vsys. Se pueden definir uno o ms VRs personalizados para un vsys. Para obtener ms informacin sobre sistemas virtuales, consulte el Volumen 9, Sistemas virtuales. En la siguiente ilustracin, cada uno de los tres vsys tiene dos VRs asociados: un VR de nivel vsys llamado vsysname-vr, y el untrust-vr.
trust-vr untrust-vr (enrutador virtual de nivel raz compartido) Mail Finance DMZ Trust Eng
2
sistema
Trust-vsys1
vsys1-vr
Untrust
vsys1 vsys2 vsys3 vsys3-vr

Trust-vsys3
vsys2-vr
Trust-vsys2
Creados automticamente cuando se crea vsys
2.
Slo los sistemas NetScreen (NetScreen-500, -5200, -5400) soporta sistemas virtuales. Para crear objetos vsys, es necesaria una clave de licencia de software.
29
Ejemplo: Creacin de un enrutador virtual en un vsys

En este ejemplo, se define un enrutador virtual personalizado vr-1a con la ID de VR 10.1.1.9 para el vsys my-vsys1.
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en Apply : Virtual Router Name: vr-1a Virtual Router ID: Custom (seleccione) En el cuadro de texto, introduzca 10.1.1.9
CLI
set vsys my-vsys1 (my-vsys1) set vrouter name vr-1a (my-vsys1/vr-1a) set router-id 10.1.1.9 (my-vsys1/vr-1a) exit (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n
30
El VR de nivel vsys que se crea al crear el vsys es el VR predeterminado para un vsys. Se puede cambiar el VR predeterminado de un vsys por un VR personalizado. Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en este ejemplo sea el VR predeterminado para el vsys my-vsys1:
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit (para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y haga clic en Apply .
CLI
set vsys my-vsys1 (my-vsys1) set vrouter vr-1a (my-vsys1/vr-1a) set default-vrouter (my-vsys1/vr-1a) exit (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n La zona de seguridad predefinida Trust-vsysname est asociada de forma predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, se puede asociar la zona de seguridad predefinida Trust-vsysname y cualquier zona de seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el vsys. El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs de nivel vsys no se pueden compartir, se puede definir cualquier VR de nivel raz para ser compartido por el vsys. Esto permite definir rutas en un VR de nivel vsys que utilizan un VR de nivel raz como siguiente salto. Se puede tambin configurar la redistribucin de rutas entre un VR de nivel vsys y un VR de nivel raz compartido.
31
Ejemplo: Compartir rutas entre enrutadores virtuales

En este ejemplo, el enrutador virtual (VR) de nivel raz my-router contiene las entradas de la tabla de enrutamiento para la red 4.0.0.0/8. Si se configura el VR de nivel raz my-router como compartible por el vsys, se puede definir una ruta en un VR de nivel vsys para el destino 4.0.0.0/8 con my-router como siguiente salto. En este ejemplo, el vsys es my-vsys1 y el VR de nivel vsys es my-vsys1-vr.
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y haga clic en OK : Virtual Router Name: my-router Shared and accessible by other vsys (seleccione) Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New (para my-vsys1-vr): Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 40.0.0.0 255.0.0.0 Next Hop Virtual Router Name: (seleccione) my-router
CLI
set vrouter name my-router sharable set vsys my-vsys1 (my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrouter my-router (my-vsys1) exit Teclee Y cuando aparezca la siguiente pregunta: Configuration modified, save? [y]/n
32
Modificacin de enrutadores virtuales
MODIFICACIN DE ENRUTADORES VIRTUALES

Se puede modificar un enrutador virtual (VR) personalizado o predeterminado mediante WebUI o CLI. Por ejemplo, para modificar el VR trust-vr:
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit
CLI
set vrouter trust-vr Se pueden modificar los siguientes parmetros de los VRs: La ID de enrutador virtual (consulte ID del enrutador virtual en la pgina 34 para obtener ms informacin) El nmero mximo de entradas permitidas en la tabla de enrutamiento (consulte Nmero mximo de entradas de la tabla de enrutamiento en la pgina 36 para obtener ms informacin) El valor de preferencia para las rutas, segn el protocolo (consulte Preferencia de ruta en la pgina 37 para obtener ms informacin) Hacer que el VR reenve el trfico segn la direccin IP de origen del paquete de datos (de forma predeterminada, un VR reenva el trfico segn la direccin IP de destino del paquete de datos). Consulte Enrutamiento segn el origen en la pgina 40 para obtener ms informacin. (Slo para el trust-vr) Habilitar o inhabilitar la exportacin de rutas automtica al untrust-vr para interfaces configuradas en modo de ruta (Slo para el trust-vr) Aadir una ruta predeterminada con otro VR como siguiente salto (Slo para el VR de nivel raz) Hacer capturas SNMP privadas para las MIBs de enrutamiento dinmico Permitir que rutas de interfaces inactivas sean tenidas en cuenta para notificacin (de forma predeterminada, slo las rutas activas definidas en interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a otros VRs).
33
Hacer que el VR ignore las direcciones de subredes superpuestas para interfaces (de forma predeterminada, no se pueden configurar direcciones IP de subredes superpuestas para interfaces en el mismo VR). Permitir que el VR sincronice su configuracin con el VR en su interlocutor del protocolo NetScreen Redundancy Protocol (NSRP)
ID del enrutador virtual

Con los protocolos de enrutamiento dinmico, cada dispositivo de enrutamiento utiliza una nica identidad de enrutador para comunicar con otros dispositivos de enrutamiento. La identidad puede ser en forma de notacin decimal con puntos, como una direccin IP, o un valor entero. Si no se define una ID de enrutador virtual concreto antes de la habilitacin de un protocolo de enrutamiento dinmico, ScreenOS automticamente selecciona la direccin IP ms alta de las interfaces activas en el enrutador virtual (VR) como identidad del enrutador. De forma predeterminada todos los dispositivos NetScreen tienen asignada la direccin IP 192.168.1.1 a la interfaz VLAN1. Si no se especifica una ID del enrutador antes de la habilitacin de un protocolo de enrutamiento dinmico en un dispositivo NetScreen, la direccin IP elegida como ID del enrutador ser probablemente la direccin predeterminada 192.168.1.1. Esto puede provocar un problema de enrutamiento puesto que no puede haber varios VRs NetScreen con la misma ID de VR en un dominio de enrutamiento. Por lo tanto, Juniper Networks recomienda que siempre se asigne una ID de VR explcita que sea nica en la red. Se puede establecer la ID del VR a la direccin de la interfaz de bucle invertido, puesto que la interfaz de bucle invertido no es una VSI (interfaz de seguridad virtual) en un clster NSRP (protocolo de redundancia de NetScreen). (Consulte el Volumen 10, Alta disponibilidad para obtener ms informacin sobre la configuracin de un clster NSRP).
34
Ejemplo: Asignacin de una ID de enrutador virtual

En este ejemplo, se asigna 0.0.0.10 como ID de enrutador para el trust-vr. Nota: En WebUI se debe introducir la ID del enrutador en notacin decimal de puntos. En CLI, se puede introducir la ID del enrutador en notacin decimal de puntos (0.0.0.10) o simplemente introducir 10 (la CLI la convierte en 0.0.0.10).
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10
CLI
set vrouter trust-vr router-id 10 save Nota: No se puede asignar o cambiar una ID de enrutador si ya se ha habilitado un protocolo de enrutamiento dinmico en el enrutador virtual (VR). Si es necesario cambiar la ID del enrutador, se debe primero desactivar el protocolo de enrutamiento dinmico en el VR. Para ms informacin sobre la desactivacin del protocolo de enrutamiento dinmico en el VR, consulte el captulo correspondiente en este volumen.
35
Nmero mximo de entradas de la tabla de enrutamiento

Cada enrutador virtual (VR) se asigna las entradas de la tabla de enrutamiento que necesita de un conjunto del 3 sistema. El nmero mximo de entradas disponibles depende del dispositivo NetScreen y del nmero de VRs configurados en el dispositivo. Se puede limitar el nmero mximo de entradas de la tabla de enrutamiento que pueden ser asignadas para un VR concreto. Esto sirve para prevenir que un VR utilice todas las entradas del sistema.
Ejemplo: Limitacin de las entradas de la tabla de enrutamiento

En este ejemplo, se ajusta a 20 el nmero mximo de entradas de la tabla de enrutamiento para el trust-vr.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Maximum Route Entry: Set limit at: (seleccione), 20
CLI
set vrouter trust-vr max-routes 20 save
3.
Consulte la hoja de datos del producto en cuestin para determinar el nmero mximo de entradas de la tabla de enrutamiento disponible en su dispositivo NetScreen.
36
Seleccin de rutas
SELECCIN DE RUTAS
Pueden existir varias rutas con el mismo prefijo (direccin IP y mscara) en la tabla de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona la que tiene el valor de preferencia ms bajo. Si los valores de preferencia son iguales, se 4 comparan los valores de mtrica. En ese caso, se selecciona la ruta que tiene el valor de mtrica ms bajo .
Preferencia de ruta
Una preferencia de ruta es un peso aadido a la ruta que influye en la determinacin del mejor camino para que el trfico alcance su destino. Cuando se importa o aade una ruta a la tabla de enrutamiento, el enrutador virtual (VR) aade a la ruta un valor de preferencia, determinado por el protocolo por el cual es reconocida. Se prefiere un valor de preferencia bajo (un nmero prximo a 0) a un valor de preferencia alto (un nmero alejado de 0). En un VR, se puede establecer el valor de preferencia de ruta segn el protocolo. La siguiente tabla muestra el valor de preferencia predeterminado para las rutas de cada protocolo.
Protocolo Connected Static Auto-Exported EBGP OSPF RIP Imported OSPF External Type 2 IBGP
4.
Preferencia predeterminada 0 20 30 40 60 100 140 200 250
Si hay varias rutas para el mismo destino con los mismos valores de preferencia y los mismos valores de mtrica, entonces cualquiera de ellas puede resultar seleccionada. En este caso, la eleccin de una ruta concreta sobre otra no est garantizada ni es predecible.
37
Seleccin de rutas
Tambin se puede ajustar el valor de preferencia de la ruta para dirigir el trfico por el camino preferido. Nota: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, la rutas OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando y a continuacin habilitando el protocolo de enrutamiento dinmico), o, en el caso de rutas estticas, eliminndola y volvindola a aadir.
Ejemplo: Establecimiento de una preferencia de ruta

En este ejemplo, se especifica un valor de 4 como preferencia para cualquier ruta conectada5 aadida a la tabla de rutas del untrust-vr.
WebUI
Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los siguientes datos y haga clic en OK : Route Preference: Connected: 4
CLI
set vrouter untrust-vr preference connected 4 save
5.
Una ruta es conectada cuando el enrutador tiene una interfaz con una direccin IP en la red de destino.
38
Seleccin de rutas
Mtrica de ruta
Las mtricas de ruta determinan el mejor camino que un paquete puede tomar para alcanzar un destino dado. Los enrutadores utilizan las mtricas de ruta para sopesar dos rutas al mismo destino y determinar la eleccin de una ruta sobre la otra. Cuando hay varias rutas hacia la misma red de destino con el mismo valor de preferencia, prevalece la ruta con la mtrica ms baja. Una mtrica de ruta depende del nmero de enrutadores que un paquete debe atravesar para alcanzar el destino, la velocidad relativa y el ancho de banda de la ruta, el coste de los enlaces que la forman, o una combinacin de estos (y otros) elementos. Cuando las rutas son reconocidas dinmicamente, el enrutador contiguo al de origen de la ruta proporciona la mtrica. La mtrica predeterminada de las rutas conectadas es siempre 0. La mtrica predeterminada de las rutas estticas es 1, no obstante se puede especificar un valor de mtrica diferente cuando se configuran estas rutas.
39
TABLAS DE ENRUTAMIENTO
Un enrutador virtual de NetScreen (VR) admite tres tipos de tablas de enrutamiento: La tabla de enrutamiento basada en destinos permite al dispositivo NetScreen realizar operaciones de consulta de rutas basndose en la direccin IP de destino de un paquete de datos entrante. De forma predeterminada, el dispositivo NetScreen slo utiliza direcciones IP de destino para encontrar la mejor ruta por la que reenviar paquetes. La tabla de enrutamiento basada en orgenes permite al dispositivo NetScreen realizar operaciones de consulta de rutas basndose en la direccin IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla de enrutamiento basada en orgenes, debe configurar rutas estticas para direcciones de origen especficas en las que el dispositivo NetScreen puede realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Enrutamiento segn el origen en la seccin siguiente. La tabla de enrutamiento basada en orgenes (source interface-based routing o SIBR) permite al dispositivo NetScreen realizar las operaciones de consulta de rutas basndose en la interfaz por la que un paquete de datos entra al dispositivo. Para agregar entradas a la tabla de SIBR, debe configurar rutas estticas para determinadas interfaces en las que el VR realiza operaciones de consulta de rutas. De forma predeterminada, esta tabla de enrutamiento est inhabilitada. Consulte Enrutamiento segn la interfaz de origen en la pgina 44.
La tabla de enrutamiento basada en destinos est siempre presente en un VR. En un VR, puede habilitar una o ambas tablas de enrutamiento basadas en orgenes o basadas en las interfaces de origen.
Enrutamiento segn el origen

Se puede obligar a un dispositivo NetScreen a reenviar trfico segn la direccin IP de origen de un paquete de informacin en lugar de la direccin IP de destino. Por ejemplo, esta funcin permite que el trfico de los usuarios de una subred concreta sea reenviado por una ruta mientras que el trfico de los usuarios de una subred diferente se reenva por otra. Cuando el enrutamiento segn el origen se habilita en un enrutador virtual (VR), el dispositivo NetScreen realiza operaciones de consulta de la tabla de enrutamiento en la direccin IP del origen del paquete en una tabla de enrutamiento basadas en orgenes. Si el dispositivo NetScreen no encuentra una ruta para la direccin IP de origen en la tabla de enrutamiento basada en orgenes, utiliza la direccin IP de destino del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en destinos.
Las rutas basadas en el origen se definen como rutas configuradas estticamente en VRs especificados. Las rutas basadas en el origen slo son aplicables a los VRs en los que se configuran. Por ejemplo, no se puede especificar otro VR como siguiente salto para una ruta basada en el origen. Tampoco se pueden redistribuir rutas basadas en el origen a otros VRs o protocolos de enrutamiento. Para utilizar esta funcin: 1. Cree al menos una ruta basada en origen especificando la informacin siguiente: El nombre del VR en el que es aplicable el enrutamiento segn el origen La direccin IP de origen sobre la que el dispositivo NetScreen realiza una consulta en la tabla de enrutamiento (esta direccin aparece como entrada de la tabla de enrutamiento basada en orgenes). El nombre de la interfaz de salida por la que se reenva el paquete El salto siguiente para la ruta basada en el origen (tenga en cuenta que si ya se ha especificado una puerta de enlace predeterminada para la interfaz con el comando CLI set interface interface gateway ip_addr , no es necesario especificar el parmetro de puerta de enlace; la puerta de enlace predeterminada de la interfaz se usa como siguiente salto para la ruta basada en el origen. No se puede especificar otro VR como siguiente salto para una ruta basada en el origen). La mtrica para la ruta basada en el origen (si hay varias de estas rutas con el mismo prefijo slo la ruta con la mtrica ms baja se utiliza para la consulta de rutas y el resto se marcan como inactivas). Habilitar el enrutamiento segn el origen en el VR. El dispositivo NetScreen utiliza la IP de origen del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en orgenes. Si no se encuentra ninguna ruta para la direccin IP de origen, se utiliza la direccin IP de destino para consultar la tabla de enrutamiento.
2.
41
Ejemplo: Enrutamiento segn el origen

En el siguiente ejemplo, el trfico de los usuarios de la subred 10.1.1.0/24 se reenva al ISP 1, mientras que el trfico de los usuarios de la subred 10.1.2.0/24 se reenva al ISP 2. Es necesario configurar dos entradas en la tabla de enrutamiento del enrutador virtual predeterminado trust-vr y habilitar el enrutamiento segn el origen. La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvo, y enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvo, y enrutador del ISP 2 (2.2.2.2) como siguiente salto
10.1.1.0/24 ethernet1
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ISP 2 2.2.2.2
WebUI
Network > Routing > Source Routing > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.0 255.255.255.0 Interfaz: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
42
Network > Routing > Source Routing > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.2.0 255.255.255.0 Interfaz: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 Nota: En WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione Enable Source Based Routing , y haga clic en OK.
CLI
set vrouter 1.1.1.1 set vrouter 2.2.2.2 set vrouter save trust-vr route source 10.1.1.0/24 interface ethernet3 gateway metric 1 trust-vr route source 10.1.2.0/24 interface ethernet4 gateway metric 1 trust-vr source-routing enable
43
Enrutamiento segn la interfaz de origen

El enrutamiento segn la interfaz de origen (denominado SIBR) permite al dispositivo NetScreen reenviar trfico en funcin de la interfaz de origen (la interfaz por la que el paquete de datos llega al dispositivo NetScreen). Cuando SIBR se habilita en un enrutador virtual (VR), el dispositivo NetScreen realiza operaciones de consulta de rutas en una tabla de enrutamiento de SIBR. Si el dispositivo NetScreen no encuentra ninguna entrada de ruta en la tabla de enrutamiento de SIBR para la interfaz de origen, puede realizar operaciones de consulta de la ruta en la tabla de enrutamiento basada en orgenes (si el enrutamiento basado en orgenes est habilitado en el VR) o en la tabla de enrutamiento basada en destinos. Las rutas basadas en la interfaz origen se definen como rutas estticas para las interfaces de origen especificadas. Las rutas basadas en interfaces de origen slo son aplicables al VR en el que se configuran. Por ejemplo, no se puede especificar otro VR como siguiente salto para una ruta basada en la interfaz de origen. Tampoco se pueden exportar rutas basadas en la interfaz de origen a otros VRs ni redistribuirlas a un protocolo de enrutamiento. Para utilizar esta funcin: 1. Cree al menos una ruta basada en la interfaz de origen especificando la informacin siguiente: El nombre del VR en el que es aplicable el enrutamiento segn la interfaz de origen La interfaz de origen en la cual el dispositivo NetScreen realiza operaciones de consulta en la tabla SIBR (la interfaz aparece como una entrada en la tabla de enrutamiento). La direccin IP y el prefijo de mscara de red para la ruta El nombre de la interfaz de salida por la que se reenva el paquete El salto siguiente para la ruta basada en la interfaz de origen (tenga en cuenta que si ya se ha especificado una puerta de enlace predeterminada para la interfaz con el comando CLI set interface interface gateway ip_addr , no es necesario especificar el parmetro de puerta de enlace; la puerta de enlace predeterminada se utilizar como siguiente salto para la ruta basada en la interfaz de origen. No se puede especificar otro VR como siguiente salto para una ruta basada en la interfaz de origen). La mtrica para la ruta basada en la interfaz de origen (si hay varias de estas rutas con el mismo prefijo slo la ruta con la mtrica ms baja se utiliza para la consulta de rutas y el resto se marcan como inactivas). 2. Habilitar el enrutamiento segn la interfaz de origen en el VR. El dispositivo NetScreen utiliza la IP de la interfaz de origen del paquete para las operaciones de consulta de rutas en la tabla de enrutamiento basada en interfaces de origen.
Ejemplo: Enrutamiento segn la interfaz de origen

En el ejemplo siguiente, el trfico de los usuarios de la subred 10.1.1.0/24 llega al dispositivo NetScreen en la interfaz ethernet1 y se reenvan al ISP 1, mientras que el trfico procedente de los usuarios de la subred 10.1.2.0/24 llegan al dispositivo en ethernet2 y se reenvan al ISP 2. Deber configurar dos entradas en la tabla de enrutamiento del VR predeterminado trust-vr y habilitar SIBR: La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvos y ethernet3 como interfaz de reenvo, y el enrutador del ISP 1 (1.1.1.1) como siguiente salto La subred 10.1.2.0/24, con ethernet2 como interfaz de origen para reenvos y ethernet4 como interfaz de reenvo, y el enrutador del ISP 2 (2.2.2.2) como siguiente salto
10.1.1.0/24 ethernet1 ethernet3 ethernet4
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ISP 2 2.2.2.2
WebUI
Network > Routing > Source Interface Routing > New (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.0 255.255.255.0 Interfaz: ethernet3 (seleccione) Gateway IP Address: 1.1.1.1
45
Network > Routing > Source Interface Routing > New (para ethernet2): Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.2.0 255.255.255.0 Interfaz: ethernet4 (seleccione) Gateway IP Address: 2.2.2.2 Nota: En WebUI, la preferencia y el valor de mtrica predeterminados son 1. Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione Enable Source Interface Based Routing , y haga clic en OK.
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 metric 1 set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 metric 1 set vrouter trust-vr sibr-routing enable save
Secuencia de consulta de rutas

Si activa tanto el enrutamiento basado en el origen como SIBR en un enrutador virtual (VR), el VR realiza consultas de la ruta comprobando el paquete entrante con las tablas de enrutamiento en un orden especfico. Esta seccin describe la secuencia de consulta de la ruta predeterminada y cmo se puede modificar dicha secuencia configurando los valores de preferencia para cada tabla de rutas. Consulte Secuencia de flujo de paquetes en la pgina 2 -12. Si un paquete entrante no coincide con una sesin existente, el dispositivo NetScreen ejecuta los pasos restantes con el procedimiento First Packet Processing. A continuacin se muestra la secuencia de consulta de la ruta predeterminada.
46
Paquete entrante
SIBR activado?
Se hall ruta en tabla SIBR?
N Reenviar el paquete en la interfaz de salida especificada o de siguiente salto
SBR activado?
Se hall ruta en tabla SBR?
Se hall ruta en DRT? N Descartar paquete
1.
Si SIBR se activa en el VR, el dispositivo NetScreen primero comprueba la tabla de enrutamiento SIBR para una entrada de ruta que coincida con la interfaz en la que lleg el paquete. Si el dispositivo NetScreen encuentra una entrada para la interfaz de origen en la tabla de enrutamiento SIBR, reenva los paquetes segn lo especificado por la entrada de enrutamiento correspondiente. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento SIBR, el dispositivo comprueba si el enrutamiento basado en el origen (SBR) se habilita en el VR.
47
2.
3.
Si SBR se activa en el VR, el dispositivo NetScreen comprueba si en la tabla de enrutamiento de SBR hay una entrada de enrutamiento que coincida con la direccin IP de origen del paquete. Si el dispositivo NetScreen encuentra una entrada de enrutamiento que coincida con la direccin IP de origen, reenva el paquete segn lo especificado por la entrada. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de origen en la tabla de enrutamiento SBR, el dispositivo comprueba la tabla de enrutamiento basada en los destinos (DRT). El dispositivo NetScreen comprueba la tabla de enrutamiento basada en los destinos en consulta de una entrada de enrutamiento que coincida con la direccin IP de destino del paquete. Si el dispositivo NetScreen encuentra una entrada de enrutamiento que coincida con la direccin IP de destino, reenva el paquete segn lo especificado por la entrada. Si el dispositivo no encuentra una entrada de enrutamiento que coincida exactamente con la direccin IP de destino pero hay una ruta predeterminada configurada para el VR, el dispositivo reenva el paquete segn lo especificado por la ruta predeterminada. Si el dispositivo NetScreen no encuentra una entrada de enrutamiento para la direccin IP de destino y no hay ruta predeterminada configurada para el VR, el paquete se descarta.
El orden en el que el dispositivo NetScreen comprueba las tablas de enrutamiento para encontrar una ruta que coincida est determinado por un valor de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento con el valor de preferencia ms alto se comprueba primero, mientras que la tabla de enrutamiento con el valor de preferencia ms bajo es la ltima en comprobarse. De forma predeterminada, la tabla de enrutamiento SIBR tiene el valor de preferencia ms alto (3), la tabla de enrutamiento SBR tiene el siguiene valor de preferencia ms alto (2), y la tabla de enrutamiento basada en los destinos tiene el valor de preferencia ms bajo (1). Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para modificar el orden en el que el dispositivo NetScreen realiza la consulta de rutas en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del valor de preferencia ms alto al ms bajo.
48
Ejemplo: Cambiar el orden de las consultas de rutas

En el ejemplo siguiente, habilitar tanto el enrutamiento SIBR como el enrutamiento basado en el origen en el enrutador trust-vr. Desea que el dispositivo NetScreen lleve a cabo operaciones de consulta de rutas en las tablas de enrutamiento con el siguiente orden: Enrutamiento basado en el origen primero, SIBR, y luego enrutamiento basado en destinos Para configurar esta secuencia de consulta en la tabla de enrutamiento, debe configurar el enrutamiento basado en el origen con un valor de preferencia ms alto que el de SIBR (en este ejemplo, asignar un valor de preferencia de 4 al enrutamiento basado en el origen).
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Route Lookup Preference (1-255): (seleccione) For Source Based Routing: 4 Enable Source Based Routing: (seleccione) Enable Source Interface Based Routing: (seleccione)
CLI
set vrouter trust-vr sibr-routing enable set vrouter trust-vr source-routing enable set vrouter trust-vr route-lookup preference source-routing 4 save
49
Consulta de rutas en mltiples enrutadores virtuales

Slo puede especificar otro enrutador virtual (VR) como el salto siguiente para una entrada de enrutamiento basada en destinos solamente y no para una entrada de enrutamiento basada en el origen o en la interfaz. Por ejemplo, la ruta predeterminada en la tabla de enrutamiento basada en destinos puede especificar al untrust-vr como el salto siguiente. Donde la consulta de rutas en un VR dan lugar a consultas de rutas en otro VR, el dispositivo NetScreen siempre lleva a cabo las segundas operaciones de consulta de rutas en la tabla de enrutamiento basada en destinos. El ejemplo siguiente ilustra este comportamiento. En el ejemplo siguiente, habilitar el enrutamiento basado en origen tanto en las tablas de enrutamiento trust-vr como en las tablas de enrutamiento untrust-vr. Trust-vr posee las siguientes entradas de enrutamiento: Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con ethernet3 como la interfaz del reenvo, y el enrutador en 1.1.1.1 como el siguiente salto Una ruta predeterminada, con el untrust-vr como el siguiente salto Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con ethernet4 como la interfaz del reenvo, y el enrutador en 2.2.2.2 como el siguiente salto Una ruta predeterminada, con ethernet3 como la interfaz del reenvo y el enrutador en 1.1.1.1 como el siguiente salto
El untrust-vr posee las siguientes entradas de enrutamiento:
El trfico desde la subred 10.1.2.0/24 siempre se enviar en ethernet3 al enrutador en 1.1.1.1, tal y como se muestra en el siguiente grfico.
50
10.1.1.0/24 ethernet1 ethernet3
ISP 1 1.1.1.1
10.1.2.0/24
ethernet2
ethernet4
ISP 2 2.2.2.2
Trust-VR Tabla de enrutamiento basada en el origen

* ID 1 IP-Prefix 10.1.1.0/24 Interface eth3 Gateway 2.2.2.250 P Pref S 20 Mtr 1 Vsys Root
Tabla de enrutamiento basada en destinos

* ID 1 IP-Prefix 0.0.0.0/24 Interface n/a Gateway untrust-vr P Pref S 20 Mtr 0 Vsys Root
El trfico desde la subred 10.1.2.0/24 llega al dispositivo NetScreen en ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que coincida, el dispositivo NetScreen realiza consultas de rutas en la tabla de enrutamiento basada en destinos. La ruta predeterminada en la tabla de enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente. En el untrust-vr, el dispositivo NetScreen slo realiza consultas de rutas en la tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento basada en origen del untrust-vr contiene una entrada que coincida con el trfico. Observe que la ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta predeterminada) reenva el trfico en la interfaz ethernet3.
Untrust-VR Tabla de enrutamiento basada en el origen

* ID 1 IP-Prefix 10.1.2.0/24 IP-Prefix 0.0.0.0/24 Interface eth4 Interface eth3 Gateway 2.2.2.250 Gateway 1.1.1.150 P Pref S 20 P Pref S 20 Mtr 1 Mtr 0 Vsys Root Vsys Root
Tabla de enrutamiento basada en destinos

ID * 1
51
Enrutamiento de rutas mltiples de igual coste
ENRUTAMIENTO DE RUTAS MLTIPLES DE IGUAL COSTE

Los dispositivos NetScreen admiten el enrutamiento de rutas mltiples de igual coste (ECMP) por cada sesin. Las rutas de igual coste tienen los mismos valores de preferencia y de mtrica. Una vez que un dispositivo NetScreen asocia una sesin con una ruta, el dispositivo NetScreen utiliza dicha ruta hasta que memoriza otra mejor o hasta que la actual deja de ser utilizable. Las rutas elegibles deben tener interfaces de salida que pertenezcan a la misma zona. Nota: Si las interfaces de salida no pertenecen a la misma zona y el paquete de vuelta va a una zona diferente a la prevista, no se podr producir una coincidencia de sesin y es posible que el trfico no pueda pasar. ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o aumenta la eficacia de utilizacin del ancho de banda entre dos o ms destinos. Cuando se habilita ECMP, un dispositivo NetScreen utiliza las rutas definidas estticamente o memoriza dinmicamente varias rutas al mismo destino mediante un protocolo de enrutamiento. El dispositivo NetScreen asigna rutas de igual coste en el modo de ronda recproca (round robin). ECMP funciona mejor con las aplicaciones que crean una sola sesin, como por ejemplo Telnet y SSH. Si las interfaces de salida son diferentes y se encuentran en modo NAT, las aplicaciones que crean mltiples sesiones, como HTTP, no funcionan correctamente porque cada sesin lleva una direccin IP de origen traducida diferente. Sin ECMP, el dispositivo NetScreen utiliza nicamente la primera ruta aprendida o definida. Las otras rutas que sean de igual coste no se utilizan hasta que la ruta activa actualmente deje de estarlo. Nota: Al usar ECMP, si tiene dos dispositivos NetScreen en una relacin de vecindad y nota prdida de paquetes y un equilibrio de cargas incorrecto, compruebe la configuracin del protocolo de resolucin de direcciones (Address Resolution Protocol, ARP) del dispositivo vecino para asegurarse de que la caracterstica arp always-on-dest est desactivada (predeterminado). Para obtener ms informacin sobre comandos relacionados con ARP, consulte Interfaces inactivas y flujo de trfico en la pgina 2 -99 en el volumen de los fundamentales. Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de enrutamiento basad en destinos trust-vr:
52
ID * 8 9
IP-Prefix 0.0.0.0/0 0.0.0.0/0
Interface ethernet3 ethernet2
Gateway 1.1.1.250 2.2.2.250
P Pref C S 0 20
Mtr 1 1
Vsys Root Root
En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP. Las dos rutas tienen los mismos valores mtricos; sin embargo, la primera ruta es una ruta conectada (C con una preferencia de 0). El dispositivo de NetScreen adquiri la primera ruta a travs de DHCP o de PPP, y el dispositivo adquiri la ruta predeterminada a travs de la configuracin manual. La segunda ruta es una ruta esttica configurada manualmente (S con una preferencia automtica de 20). Con ECMP desactivado, el dispositivo NetScreen reenva todo el trfico a la ruta conectada en ethernet3. Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de la ruta esttica a cero (0) para que coincida con la ruta conectada introduciendo el comando set vrouter trust-vr preference static 0 y luego activando ECMP. Con ECMP activado, la carga del dispositivo NetScreen equilibra el trfico alternando entre dos rutas ECMP vlidas. La siguiente pantalla muestra la tabla de enrutamiento actualizada.
ID * * 8 9 IP-Prefix 0.0.0.0/0 0.0.0.0/0 Interface ethernet3 ethernet2 Gateway 1.1.1.250 2.2.2.250 P Pref C S 0 0 Mtr 1 1 Vsys Root Root
Si activa ECMP y el dispositivo NetScreen encuentra ms de una ruta coincidente del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta diferente de igual coste para cada consulta de ruta. Con las rutas indicadas anteriormente, el dispositivo NetScreen alterna entre ethernet3 y ethernet2 para reenviar trfico a la red 0.0.0.0/0. Si hay ms de dos rutas de igual coste en la red, el dispositivo NetScreen realiza una seleccin de las rutas en orden rotativo (ronda recproca) hasta el mximo configurado de modo que el dispositivo seleccione una ruta ECMP diferente para cada consulta de rutas.
53
Activacin del enrutamiento de rutas mltiples de igual coste

ECMP se desactiva de forma predeterminada (nmero mximo de rutas = 1). Para activar el enrutamiento ECMP, debe especificar el nmero mximo de rutas de igual coste por enrutador. Puede especificar hasta cuatro rutas. Una vez establecido el nmero mximo de rutas, el dispositivo NetScreen no aadir o modificar rutas aunque reconozca ms.
Ejemplo: Configurar el mximo de rutas ECMP

En el siguiente ejemplo, ajustar a dos el nmero mximo de rutas ECMP en el enrutador trust-vr. Aunque puede que haya tres o cuatro rutas de igual coste dentro de la misma zona y en la tabla de enrutamiento, el dispositivo NetScreen solamente alterna entre el nmero configurado de rutas vlidas. En este caso, los datos slo se reenvan a lo largo de las dos rutas ECMP especificadas.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Maximum ECMP Routes: Set Limit at: (seleccione), 2
CLI
set vrouter trust-vr max-ecmp-routes 2 save
54
Redistribucin de rutas
REDISTRIBUCIN DE RUTAS
La tabla de enrutamiento de un enrutador virtual (VR) contiene rutas agrupadas segn todos los protocolos de enrutamiento dinmico que se ejecutan en el VR, as como las rutas estticas y las rutas conectadas directamente. De forma predeterminada, un protocolo de enrutamiento dinmico (como OSPF, RIP o BGP) notifica a sus adyacentes o interlocutores slo las rutas que cumplen las siguientes condiciones: Las rutas deben estar activas en la tabla de enrutamiento. Las rutas deben ser reconocidas por el protocolo de enrutamiento dinmico6.
Para que un protocolo de enrutamiento dinmico pueda notificar rutas previamente reconocidas por otro protocolo, incluidas la rutas configuradas estticamente, es necesario redistribuir las rutas del protocolo origen al protocolo que realiza la notificacin. Se pueden redistribuir las rutas reconocidas por un protocolo de enrutamiento (incluidas la rutas configuradas estticamente) a otro protocolo de enrutamiento diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual tiene que traducir toda la informacin, en particular las rutas conocidas, del otro protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza el protocolo OSPF y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus vecinos OSPF sobre cmo llegar a los dispositivos del dominio BGP. Las rutas se distribuyen entre los protocolos segn una regla de redistribucin que define el administrador del sistema o de la red. Cuando se aade una ruta a la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de redistribucin definidas en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de enrutamiento del VR. Observe que todas las reglas de redistribucin se aplican cuando se aade o se elimina una ruta. No existe el concepto de orden de las reglas o de primera regla aplicable para las reglas de redistribucin. En el dispositivo NetScreen, se configura un mapa de rutas para especificar qu rutas van a ser redistribuidas y los atributos de las rutas redistribuidas.
6. 7. OSPF, RIP, y BGP tambin notifican las rutas conectadas de las interfaces de ScreenOS en las que estos protocolos estn habilitados. Se puede definir slo una regla de redistribucin entre dos protocolos cualesquiera.
7
55
Configuracin de un mapa de rutas

Un mapa de rutas consiste en un conjunto de declaraciones que se aplican en orden secuencial a una ruta. Cada declaracin de mapa de rutas define una condicin que se comprueba con la ruta. Una ruta se compara con cada declaracin de un mapa de rutas determinado en orden creciente del nmero de secuencia hasta que haya una coincidencia, entonces se realiza la accin especificada en la declaracin. Si la ruta cumple la condicin de la declaracin del mapa de rutas, la ruta es aceptada o rechazada. Una declaracin de mapa de rutas puede tambin modificar ciertos atributos de una ruta coincidente. Hay un rechazo implcito al final de todo mapa de rutas; esto es, si una ruta no coincide con ninguna entrada del mapa de rutas, se rechaza. A continuacin se muestran las condiciones que se pueden configurar en las declaraciones de un mapa de rutas:
Condicin de comparacin BGP AS Path BGP Community OSPF route type Interface IP address Metric Next-hop Tag Descripcin Compara con una lista de acceso AS path determinada. Consulte Filtrado de rutas en la pgina 58. Compara con una lista de comunidades determinada. Consulte Filtrado de rutas en la pgina 58. Compara con un OSPF interno, externo de tipo 1, o externo de tipo 2. Compara con una interfaz determinada. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 58. Compara con un valor de mtrica de ruta determinado. Compara con una lista de acceso determinada. Consulte Filtrado de rutas en la pgina 58. Compara con una direccin IP o etiqueta de ruta determinada.
56
Para cada condicin de comparacin, se especifica si una ruta que cumple la condicin es aceptada (permitted) o rechazada (denied). Si una ruta cumple la condicin y es aceptada, se puede opcionalmente dar valor a los atributos para la ruta. A continuacin se muestran los atributos que se pueden fijar en una declaracin de mapa de rutas:
Conjunto de atributos BGP AS Path BGP Community BGP local preference BGP Weight Offset metric Descripcin Aade una lista de acceso AS path determinada al principio de la lista de atributos de camino de la ruta coincidente. Fija el atributo de comunidad de la ruta coincidente a la lista de comunidades especificada. Fija el atributo local-pref de la ruta coincidente al valor especificado. Establece el peso de la ruta coincidente. Aumenta la mtrica de la ruta coincidente hasta el valor especificado. Esto aumenta la mtrica en una ruta menos deseable. Para las rutas RIP, se puede aplicar el incremento tanto a las rutas notificadas (route-map out) o a las rutas aprendidas (route-map in). Para otras rutas, puede aplicar el incremento a las rutas que se exportan a otro enrutador virtual (VR). Fija el tipo de mtrica OSPF de la ruta coincidente a externo tipo 1 o externo tipo 2. Fija la mtrica de la ruta coincidente al valor especificado. Fija el siguiente salto de la ruta coincidente a la direccin IP especificada. Preserva la mtrica de una ruta coincidente que se exporta a otro VR. Conserva el valor de preferencia de la ruta coincidente que se exporta a otro VR. Fija la etiqueta de la ruta coincidente al valor especificado o la direccin IP.
OSPF metric type Metric Next-hop of route Preserve metric Preserve preference Tag
57
Filtrado de rutas
El filtrado de rutas permite controlar qu rutas se admiten en una enrutador virtual (VR), cules se notifican a los interlocutores, y cules se redistribuyen de un protocolo de enrutamiento a otro. Se pueden aplicar filtros a las rutas entrantes enviadas por un interlocutor de enrutamiento o a rutas salientes enviadas por el enrutador virtual de NetScreen a los enrutadores de interlocucin. Se pueden utilizar los siguientes mecanismos de filtrado: Lista de acceso: Una lista de acceso es un conjunto de prefijos de direcciones IP determinados. Se puede utilizar una lista de acceso para filtrar las rutas en base a los prefijos de red. Consulte Listas de acceso para obtener informacin sobre la configuracin de la lista de acceso. Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas autnomos por los que ha pasado una notificacin de ruta y es parte de la informacin de ruta. Una lista de acceso AS-path es un conjunto de expresiones regulares que representan ASs especficos. Se puede utilizar una lista de acceso AS-path para filtrar las rutas segn el AS por el que ha pasado la ruta. Consulte Lista de acceso AS-path en la pgina 180 para obtener informacin sobre la configuracin de la lista de acceso AS-path. Lista de comunidades BGP: Un atributo de comunidad contiene los identificadores de las comunidades a las que pertenece una ruta BGP. Una lista de comunidades BGP es un conjunto de comunidades BGP que se puede utilizar para filtrar las rutas segn las comunidades a las que pertenecen. Consulte Comunidades BGP en la pgina 192 para obtener informacin sobre la configuracin de la lista de comunidades BGP.
Listas de acceso
Una lista de acceso es una lista de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (aceptar o rechazar la ruta). Por ejemplo, una declaracin de una lista de acceso puede permitir las rutas de la subred 1.1.1.0/24. Otra de la misma lista de acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la declaracin de la lista de acceso, se aplica el estado de reenvo especificado. Observe que la secuencia de declaraciones en una lista de acceso es importante, puesto que una ruta se compara ordenadamente con todas las declaraciones desde la primera hasta que coincide con una. Si hay una coincidencia, todas las dems de la lista se ignoran. Por tanto, se deben colocar las declaraciones ms especficas antes de las menos especficas. Por ejemplo, colocar la declaracin que rechaza las rutas de la subred 1.1.1.1/30 antes de la que permite las rutas de la subred 1.1.1.0/24. Tambin puede utilizar listas de acceso para controlar el flujo del trfico multicast. Para obtener ms informacin, consulte Listas de acceso en la pgina 205.
Ejemplo: Configuracin de una lista de acceso

En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de acceso tiene las siguientes caractersticas: Identifier: 2 (se debe especificar un identificador de lista de acceso cuando se configura la lista de acceso) Forwarding Status: permit IP Address/Netmask Filtering: 1.1.1.1/24 Sequence Number: 10 (sita esta declaracin con respecto a otras en la lista de acceso)
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 2 Sequence No.: 10 IP/Netmask: 1.1.1.1/24 Action: Permit
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10 save
59
Ejemplo: Redistribucin de rutas en OSPF

En este ejemplo, se redistribuyen determinadas rutas BGP que han pasado por el sistema autnomo 65000 en OSPF. Primero se configura una lista de acceso AS-path que permite las rutas que han pasado por el AS 65000. (Para obtener ms informacin sobre la configuracin de una lista de acceso AS-path, consulte Lista de acceso AS-path en la pgina 180). A continuacin, se configura un mapa de rutas rtmap1 que selecciona las rutas de la lista de acceso AS-path. Por ltimo, en OSPF se especifica una regla de redistribucin que utiliza el mapa de rutas rtmap1 y especifica BGP como protocolo de origen de las rutas.
WebUI
1. Lista de acceso BGP AS-path
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 1 Permit: (seleccione) AS Path String: _65000_
2.
Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: AS Path: (seleccione), 1
60
3.
Regla de redistribucin
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: rtmap1 Protocol: BGP
CLI
1. 2. Lista de acceso BGP AS-path
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_
Mapa de rutas
set vrouter trust-vr ns(trust-vr)-> set route-map name rtmap1 permit 10 ns(trust-vr/rtmap1-10)-> set match as-path 1 ns(trust-vr/rtmap1-10)-> exit ns(trust-vr)-> exit
3.
Regla de redistribucin
set vrouter trust-vr protocol ospf redistribute route-map rtmap1 protocol bgp save
61
Exportacin e importacin de rutas entre enrutadores virtuales
EXPORTACIN E IMPORTACIN DE RUTAS ENTRE ENRUTADORES VIRTUALES

Si tenemos dos enrutadores virtuales (VR) configurados en un dispositivo NetScreen, se puede permitir que rutas especificadas en un VR sean reconocidas por el otro VR. Para hacerlo, se deben definir reglas de exportacin en el VR origen que exporten las rutas al VR destino. Cuando se exportan rutas, un enrutador virtual permite a otros VR reconocer su red. En el VR destino, se pueden configurar opcionalmente reglas de importacin para controlar las rutas que pueden ser importadas del VR origen. Si no hay reglas de importacin en el VR destino, se aceptan todas las rutas exportadas. Para exportar e importar rutas entre enrutadores virtuales: 1. 2. Definir una regla de exportacin en el VR origen. Definir una regla de importacin en el VR destino (opcional). Aunque este paso es opcional, una regla de importacin permite un mayor control de las rutas que el enrutador virtual de destino acepta del enrutador virtual de origen.
En el dispositivo NetScreen, se configura una regla de exportacin o importacin con las especificaciones que se dan a continuacin: El enrutador virtual de destino (para las reglas de exportacin) o el enrutador virtual de origen (para las reglas de importacin) El protocolo de las rutas que van a ser exportadas/importadas Qu rutas van a ser exportadas/importadas Los atributos nuevos o modificados de las rutas exportadas/importadas (opcional)
La configuracin de una regla de exportacin o importacin es similar a la de una regla de redistribucin. Se configura un mapa de rutas para especificar qu rutas van a ser exportadas/importadas y los atributos de las mismas. Se puede configurar la exportacin automtica de todas las entradas de la tabla de rutas del trust-vr al untrust-vr. Se puede configurar tambin que un enrutador virtual definido por el usuario exporte automticamente rutas a otro enrutador virtual. Las rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden ser exportadas.
62
Ejemplo: Configuracin de una regla de exportacin

En este ejemplo, las rutas OSPF de la red 1.1.1.1/24 del enrutador virtual trust-vr se exportan al dominio de enrutamiento del untrust-vr. Primero se crea una lista de acceso para el prefijo de red 1.1.1.1/24, que luego se utiliza en el mapa de rutas rtmap1 para filtrar las rutas de la red 1.1.1.1/24. En segundo lugar, se crea una regla de exportacin de ruta para exportar las rutas OSPF coincidentes del trust-vr al enrutador virtual untrust-vr.
WebUI
trust-vr 1. Lista de accesos
2.
Mapa de rutas
Network > Routing > Virtual Routers > Route Map > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 10 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 2
63
3.
Regla de exportacin
Network > Routing > Virtual Routers > Export Rules > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Destination Virtual Router: untrust-vr Route Map: rtmap1 Protocol: OSPF
CLI
trust-vr 1. Lista de accesos
set vrouter trust-vr ns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10
2.
Mapa de rutas
ns(trust-vr)-> set route-map name rtmap1 permit 10 ns(trust-vr/rtmap1-10)-> set match ip 2 ns(trust-vr/rtmap1-10)-> exit
3.
Regla de exportacin
ns(trust-vr)-> set export-to vrouter untrust-vr route-map rtmap1 protocol ospf ns(trust-vr)-> exit save
64
Ejemplo: Configuracin de la exportacin automtica

Se puede configurar la exportacin automtica de todas las rutas del trust-vr al untrust-vr. Sin embargo, esto no significa necesariamente que el untrust-vr importe todas las rutas exportadas por el trust-vr. Si se definen reglas de importacin para el untrust-vr, slo se importan las rutas que cumplan las reglas de importacin. En este ejemplo, el trust-vr exporta automticamente todas las rutas al untrust-vr, pero una regla de importacin del untrust-vr permite slo las rutas de OSPF interno.
WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para trust-vr): Seleccione Auto Export Route to Untrust-VR , y luego haga clic en OK .
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: Introduzca los siguientes datos y haga clic en OK: Map Name: from-ospf-trust Sequence No.: 10 Action: permit (seleccione) Route Type: internal-ospf (seleccione)
65
CLI
trust-vr
set vrouter trust-vr auto-route-export
untrust-vr
set vrouter untrust-vr ns(untrust-vr)-> set route-map name from-ospf-trust permit 10 ns(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf ns(untrust-vr/from-ospf-trust-10)-> exit ns(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol ospf ns(untrust-vr)-> exit save
66
Captulo 3
Protocolo OSPF
Introduccin al protocolo OSPF en la pgina 69 reas en la pgina 69 Clasificacin de enrutadores en la pgina 70 Protocolo de saludo en la pgina 71 Tipos de redes en la pgina 71 Notificaciones de estado de conexiones en la pgina 72 Configuracin bsica de OSPF en la pgina 74 Creacin de una instancia de enrutamiento de OSPF en la pgina 75 Definicin de un rea OSPF en la pgina 77 Asignacin de interfaces a un rea OSPF en la pgina 79 Habilitacin de OSPF en interfaces en la pgina 81 Comprobacin de la configuracin en la pgina 83 Redistribucin de rutas en la pgina 86 Resumen de rutas redistribuidas en la pgina 87 Parmetros globales de OSPF en la pgina 89 Conexiones virtuales en la pgina 92 Parmetros de interfaz OSPF en la pgina 96
En este captulo se describe el protocolo de enrutamiento OSPF (Open Shortest Path First, es decir, abrir primero la ruta ms corta) en los dispositivos NetScreen. Para ello se tratarn los siguientes temas:
67
Captulo 3 Protocolo OSPF
Configuracin de seguridad en la pgina 99 Autenticacin de vecinos en la pgina 99 Filtrado de vecinos OSPF en la pgina 101 Rechazo de rutas predeterminadas en la pgina 102 Proteccin contra inundaciones en la pgina 103 Circuitos de demanda en interfaces de tnel en la pgina 105 Interfaz de tnel punto a multipunto en la pgina 107 Establecer el tipo de conexin en la pgina 107
68
Introduccin al protocolo OSPF
INTRODUCCIN AL PROTOCOLO OSPF

El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta ms corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para ejecutarse dentro de un nico sistema autnomo. Un enrutador que ejecute OSPF distribuye su informacin de estado (como interfaces disponibles para el uso y accesibilidad por parte de equipos vecinos) inundando peridicamente el sistema autnomo con notificaciones de estado de conexiones (LSAs, link-state advertisements). Los enrutadores OSPF utilizan las LSAs de los enrutadores contiguos para actualizar una base de datos de estado de conexiones. Esta base de datos es una tabla que informa de la topologa y el estado de las redes de un rea. La distribucin constante de las LSAs a travs del dominio de enrutamiento permite a todos los enrutadores de un sistema autnomo disponer de bases de datos de estado de conexiones idnticas. El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cul es la mejor ruta a una red cualquiera dentro del sistema autnomo. Esto se consigue generando un rbol de ruta ms corta, que es una representacin grfica de la ruta ms corta a una determinada red dentro del sistema autnomo. Aunque todos los enrutadores tienen la misma base de datos de estado de conexiones, sus rboles de ruta ms corta son exclusivos, ya que los enrutadores generan estos rboles situndose a s mismos en su raz.
reas
De forma predeterminada, todos los enrutadores se agrupan en una nica rea troncal llamada area 0 o backbone (normalmente es el area 0.0.0.0). Sin embargo, las redes de gran tamao que se encuentran dispersas geogrficamente se suelen segmentar en mltiples reas. A medida que la red se ampla, las bases de datos de estado de conexin tambin crecen y se dividen en grupos ms pequeos para mejorar su posibilidad de ampliacin. Las reas reducen el volumen de informacin de enrutamiento que pasa a travs de la red, ya que cada enrutador slo tiene que actualizar la base de datos de estado del rea a la que pertenece. No necesita actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Un enrutador conectado a mltiples reas mantiene una base de estado de conexiones por cada rea a la que est conectado. Todas las zonas deben estar directamente conectadas con la zona 0, con una excepcin (explicada ms adelante).
69
Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS y se inundan en todo un AS. Ciertas reas OSPF se pueden configurar como reas de rutas internas (stub areas); de este modo, las notificaciones externas de sistemas autnomos no inundarn estas reas. En OSPF se utilizan normalmente dos tipos de reas habituales: rea de ruta interna: rea que recibe resmenes de ruta del rea troncal pero que no recibe notificaciones de estado de conexiones de otras reas acerca de enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo). Un rea de ruta interna se puede considerar un rea exclusiva de rutas internas (totally stubby) si en ella no se admiten rutas de resumen. rea NSSA: al igual que las reas de rutas internas normales, las NSSAs (Not So Stubby Area, reas no exclusivas de rutas internas) no pueden recibir enrutadores de protocolos distintos de OSPF fuera del rea actual. Sin embargo, los enrutadores externos conocidos dentro del rea tambin se pueden reconocer en otras reas, y as pasar a ellas.
Clasificacin de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su funcin o su posicin en la red: Enrutador interno: enrutador cuyas interfaces pertenecen a la misma rea. Enrutador de rea troncal: enrutador con una interfaz en el rea troncal. Enrutador de lmite de rea: enrutador conectado a dos o ms reas. Este tipo de enrutador resume las rutas desde distintas reas para su distribucin al rea troncal. En los dispositivos NetScreen con OSPF, el rea troncal se crea de forma predeterminada. Si se crea una segunda rea en un enrutador virtual, el dispositivo funcionar como enrutador de lmite de rea. Enrutador de lmite de sistema autnomo: cuando un rea OSPF limita con otro sistema autnomo, el enrutador situado entre los dos sistemas autnomos se considera el enrutador de lmite. Estos enrutadores se encargan de distribuir la informacin de enrutamiento de los sistemas autnomos externos por su sistema autnomo.
70
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores utilizan el protocolo de saludo (hello) para establecer y mantener estas relaciones de vecindad. Cuando dos enrutadores establecen comunicacin bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no establecen una relacin de adyacencia, no podrn intercambiar informacin de enrutamiento. Cuando hay mltiples enrutadores en una red, es necesario configurar un enrutador como enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es responsable de inundar la red con LSAs que contengan una lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador designado es el nico que puede formar adyacencias con otros enrutadores de la red. As, el enrutador designado es el nico de la red que puede proporcionar informacin de enrutamiento al resto de enrutadores. El enrutador designado de respaldo sustituye al enrutador designado en caso de que ste falle.
Tipos de redes
Los dispositivos NetScreen admiten los siguientes tipos de redes OSPF: Redes de difusin Redes punto a punto Redes punto a multipunto
Redes de difusin
Una red de difusin es una red que interconecta varios enrutadores y que puede enviar (o difundir) un nico mensaje fsico a todos los enrutadores conectados. Se parte de la base de que dos enrutadores cualesquiera en una red de difusin son capaces de comunicarse entre s. Ethernet es un ejemplo de red de difusin. En las redes de difusin, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multicast 224.0.0.5. En las redes de difusin, el protocolo de saludo decide cul ser el enrutador designado y el enrutador designado de respaldo para la red.
71
Una red que no es de difusin conecta varios enrutadores entre s pero no puede difundir mensajes a los enrutadores conectados. En las redes que no son de difusin, los paquetes del protocolo OSPF (que normalmente son multicast) se tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos NetScreen no admiten OSPF en redes que no sean de difusin.
Redes punto a punto

Una red punto a punto une dos enrutadores a travs de una red de rea extensa (WAN). Un ejemplo de red punto a punto seran dos dispositivos NetScreen conectados a travs de un tnel VPN IPSec. En las redes punto a punto, el enrutador OSPF detecta dinmicamente los enrutadores vecinos enviando paquetes de saludo a la direccin multicast 224.0.0.5.
Redes punto a multipunto

Una red punto a multipunto es una red de no difusin en la que OSPF trata las conexiones entre enrutadores como vnculos punto a punto. Para la red no existe ninguna eleccin de un enrutador designado ni de inundacin LSA. Un enrutador en una red punto a multipunto enva paquetes de saludo a todos los vecinos con quienes pueda comunicarse directamente. Nota: En dispositivos NetScreen, la configuracin punto a multipunto del OSPF solamente se admite en interfaces de tnel, y debe inhabilitarse route-deny para que la red funcione correctamente. No se puede configurar una interfaz fsica Ethernet para conexiones punto a multipunto. Para obtener ms informacin, consulte Interfaz de tnel punto a multipunto en la pgina 107.
Notificaciones de estado de conexiones

Cada enrutador OSPF enva notificaciones de estado de conexiones (LSAs) que definen la informacin de estado local del enrutador. Adems, hay otros tipos de LSAs que un enrutador puede enviar, segn su funcin OSPF. En la siguiente tabla se muestran de forma resumida los tipos de LSA:
Tipo de LSA LSA de enrutador Enviado por Distribuido por Informacin enviada en la LSA Describe el estado de todas las interfaces de enrutador en toda el rea. Todos los rea enrutadores OSPF
72
Tipo de LSA LSA de red
Enviado por
Distribuido por
Informacin enviada en la LSA Contiene una lista de todos los enrutadores conectados a la red.
Enrutador rea designado en redes de difusin y NBMA Enrutadores de lmite de rea rea
LSA de resumen
Describe una ruta a un destino fuera del rea, pero dentro del sistema autnomo. Hay dos tipos: Las LSAs de resumen de tipo 3 describen rutas a redes. Las LSAs de resumen de tipo 4 describen rutas limtrofes con otros sistemas autnomos. Rutas a redes en otro sistema autnomo. A menudo, se trata de la ruta predeterminada (0.0.0.0/0).
Externo de sistema autnomo
Enrutador de lmite Sistema autnomo de sistema autnomo
73
Configuracin bsica de OSPF
CONFIGURACIN BSICA DE OSPF

Crear OSPF por cada enrutador virtual en un dispositivo NetScreen. Si dispone de varios enrutadores virtuales (VRs) en un sistema, podr habilitar una instancia de OSPF por cada enrutador virtual. Nota: Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo NetScreen, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2, Enrutadores virtuales. En esta seccin se describen los pasos bsicos para configurar OSPF en un enrutador virtual ubicado en un dispositivo NetScreen: 1. Crear y habilitar la instancia de enrutamiento de OSPF en un enrutador virtual. En este paso tambin se crea automticamente un rea troncal de OSPF, con una ID de rea de 0.0.0.0, que no se podr eliminar. 2. (Opcional) A menos que todas las interfaces OSPF se conecten al rea troncal, tendr que configurar una nueva rea OSPF con su propia ID de rea. Por ejemplo, si el dispositivo NetScreen va a funcionar como enrutador de lmite de rea, tendr que crear otra rea OSPF adems del rea troncal. La nueva rea que se cree podr ser normal, de rutas internas o no exclusiva de rutas internas. 3. Asignar una o varias interfaces a cada rea OSPF. Las interfaces se deben agregar a un rea OSPF explcitamente, incluyendo el rea troncal. 4. Habilitar OSPF en cada interfaz. 5. Comprobar que el protocolo OSPF est configurado correctamente y funciona. En esta seccin se describe la correcta ejecucin de cada una de estas tareas para el ejemplo que se muestra a continuacin, utilizando la interfaz WebUI y la lnea de comandos CLI. En este ejemplo configuraremos el dispositivo NetScreen como enrutador de lmite de rea conectndolo al area 0 a travs de la interfaz ethernet3 y al area 10 a travs de ethernet1.
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.0/24
10.1.2.0/24 Area 10
Internet Area 0
74
Opcionalmente tambin es posible configurar otros parmetros de OSPF, como: Parmetros globales, como conexiones virtuales, que se configuran en el enrutador virtual para el protocolo OSPF (consulte Parmetros globales de OSPF en la pgina 89) Parmetros de interfaz, como la autenticacin, que se configuran en la interfaz para el protocolo OSPF (consulte Parmetros de interfaz OSPF en la pgina 96) Parmetros OSPF relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 99)
Creacin de una instancia de enrutamiento de OSPF

Es posible crear y habilitar una instancia de enrutamiento de OSPF en un VR ubicado en un dispositivo NetScreen. Al crear la instancia de enrutamiento de OSPF se crea automticamente el rea troncal OSPF. Si crea y habilita una instancia de enrutamiento de OSPF en un enrutador virtual, OSPF podr transmitir y recibir paquetes en todas las interfaces habilitadas para OSPF del enrutador.
Ejemplo: Creacin de una instancia de OSPF

En el siguiente ejemplo, en primer lugar asignar 0.0.0.10 como ID de enrutador a trust-vr. A continuacin crear una instancia de enrutamiento de OSPF en l. (Para obtener ms informacin sobre enrutadores virtuales y su configuracin en dispositivos NetScreen, consulte el Captulo 2, Enrutadores virtuales).
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
2. Instancia de enrutamiento de OSPF

Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance : Seleccione OSPF Enabled y haga clic en OK .
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de OSPF

set vrouter trust-vr protocol ospf set vrouter trust-vr protocol ospf enable save Nota: En la lnea de comandos CLI, tendr que crear la instancia de enrutamiento de OSPF antes de poder habilitarla. Por lo tanto, tendr que ejecutar dos comandos CLI para habilitar una instancia de enrutamiento de OSPF.
Ejemplo: Eliminacin de una instancia de OSPF

En este ejemplo inhabilitar la instancia de enrutamiento de OSPF en el enrutador virtual trust-vr. OSPF dejar de transmitir y procesar paquetes OSPF en todas las interfaces habilitadas para OSPF en el enrutador trust-vr.
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Anule la seleccin de OSPF Enabled y haga clic en OK . Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF Instance: haga clic en OK cuando aparezca el mensaje de confirmacin de borrado .
CLI
unset vrouter trust-vr protocol ospf enable unset vrouter trust-vr protocol ospf save Nota: En la lnea de comandos CLI, tendr que desactivar la instancia de enrutamiento de OSPF antes de poder eliminarla. Por lo tanto, tendr que ejecutar dos comandos CLI para eliminar una instancia de enrutamiento de OSPF.
76
Definicin de un rea OSPF

Las reas reducen el volumen de informacin de enrutamiento que tiene que pasar por la red, ya que los enrutadores OSPF slo actualizan la base de datos de estado de conexiones del rea a la que pertenecen. No necesitan actualizar la informacin de estado de las redes o enrutadores que se encuentran en otras reas. Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un rea OSPF adicional, tambin es posible definirla como rea de rutas internas o rea no exclusiva de rutas internas. Si desea ms informacin sobre estos tipos de reas, consulte reas en la pgina 69. De forma opcional puede configurar los siguientes parmetros para las reas:
Parmetro de rea Metric for default route Metric type for the default route No summary Range Descripcin (Slo reas NSSA y de rutas internas). Especifica la mtrica para la notificacin de ruta predeterminada. Valor predeterminado 1
(Slo rea NSSA). Especifica el tipo de mtrica externa (1 2) para la 1 ruta predeterminada. (Slo reas NSSA y de rutas internas). Especifica que las LSAs de resumen no se difundirn por el rea. (Todas las reas). Especifica un rango de direcciones IP que se notificarn en las LSAs de resumen, y si stas se notificarn o no. Las LSA de resumen se difunden por el rea.
77
Ejemplo: Creacin de un rea OSPF

En el siguiente ejemplo crear un rea OSPF con la ID de area 10.
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area: Introduzca los siguientes datos y haga clic en OK : Area ID: 10 Type: normal (seleccione) Action: Add
CLI
set vrouter trust-vr protocol ospf area 10 save
78
Asignacin de interfaces a un rea OSPF

Una vez se ha creado un rea, es posible asignarle una o varias interfaces, ya sea utilizando la interfaz WebUI o el comando CLI set interface .
Ejemplo: Asignacin de interfaces a reas

En el siguiente ejemplo asignar la interfaz ethernet1 al area OSPF 10 y la interfaz ethernet3 al area OSPF 0.
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure (Area 10): Utilice el botn Add para mover la interfaz ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (Area 0): Utilice el botn Add para mover la interfaz ethernet3 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK .
CLI
set interface ethernet1 protocol ospf area 10 set interface ethernet3 protocol ospf area 0 save
79
Ejemplo: Configuracin de un rango de reas

De forma predeterminada, un enrutador de lmite de rea no agrega las rutas enviadas de un rea a otra. Si configura un rango de reas permitir que un grupo de subredes en un rea se consolide en una nica direccin de red para notificarse en otras reas por medio de una nica notificacin de conexin de resumen. Al configurar un rango de reas, deber especificar si desea notificar o retener el rango de reas definido en las notificaciones. En el siguiente ejemplo definir los siguientes rangos de reas para el area 10: 10.1.1.0/24, se notificar. 10.1.2.0/24, no se notificar.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la seccin Area Range y haga clic en Add : IP / Netmask: 10.1.1.0/24 Type: (seleccione) Advertise Introduzca los siguientes datos en la seccin Area Range y haga clic en Add : IP / Netmask: 10.1.2.0/24 Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise save
80
Habilitacin de OSPF en interfaces

De forma predeterminada, el protocolo OSPF est inhabilitado en todas las interfaces del enrutador virtual (VR). Este protocolo se debe habilitar explcitamente en una interfaz antes de poder asignarla a un rea. Si se desactiva OSPF en una interfaz, dejar de transmitir o recibir paquetes en esa interfaz, pero sus parmetros de configuracin se conservarn. Nota: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual (consulte Ejemplo: Eliminacin de una instancia de OSPF en la pgina 76), OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
Ejemplo: Habilitacin de OSPF en interfaces

En este ejemplo habilitar la instancia de enrutamiento de OSPF en la interfaz ethernet1 (que previamente se haba asignado al area 10) y en la interfaz ethernet3 (que previamente se asign al area 0).
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF y haga clic en Apply . Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable Protocol OSPF y haga clic en Apply .
CLI
set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf enable save
81
Ejemplo: Inhabilitar OSPF en una interfaz

En este ejemplo inhabilitar la instancia de enrutamiento de OSPF nicamente en la interfaz ethernet1. Las dems interfaces del enrutador virtual trust-vr (VR) en que se habilit OSPF seguirn transmitiendo y procesando paquetes OSPF.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Anule la seleccin de Enable Protocol OSPF y haga clic en Apply .
CLI
unset interface ethernet1 protocol ospf enable save Nota: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual (consulte Ejemplo: Eliminacin de una instancia de OSPF en la pgina 76), OSPF dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
82
Comprobacin de la configuracin
Puede ver la configuracin introducida para trust-vr ejecutando el siguiente comando CLI: ns-> get vrouter trust-vr protocol ospf config VR: trust-vr RouterId: 10.1.1.250 ---------------------------------set protocol ospf set enable set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise set area 0.0.0.10 set vlink area-id 0.0.0.10 router-id 10.1.1.250 exit set interface ethernet1 protocol ospf area 0.0.0.10 set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf area 0.0.0.0 set interface ethernet3 protocol ospf enable
83
Puede verificar si OSPF se est ejecutando en el enrutador virtual con el comando get vrouter trust-vr protocol ospf .
ns-> get vrouter trust-vr protocol ospf VR: trust-vr RouterId: 10.1.1.250 ---------------------------------OSPF enabled Supports only single TOS(TOS0) route Internal Router Automatic vlink creation is disabled Numbers of areas is 2 Number of external LSA(s) is 0 SPF Suspend Count is 10 nodes Hold time between SPFs is 3 second(s) Advertising default-route lsa is off Default-route discovered by ospf will be added to the routing table RFC 1583 compatibility is disabled. Hello packet flooding protection is not enabled LSA flooding protection is not enabled Area 0.0.0.0 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 1 Area 0.0.0.10 Total number of interfaces is 1, Active number of interfaces is 1 SPF algorithm executed 2 times Number of LSA(s) is 0
Las zonas resaltadas muestran que OSPF se est ejecutando y verifican las zonas OSPF activas y las interfaces activas en cada zona OSPF. Nota: Es recomendable asignar siempre una ID de enrutador de forma explcita, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte el Captulo 2, Enrutadores virtuales.
84
Puede verificar si OSPF est habilitado en las interfaces y ver el estado de las interfaces con el comando get vrouter trust-vr protocol ospf interface .
ns-> get vrouter trust-vr protocol ospf interface VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Interface IpAddr NetMask AreaId Status State -------------------------------------------------------------------------------ethernet3 ethernet1 2.2.2.2 10.1.1.1 255.255.255.0 0.0.0.0 255.255.255.0 0.0.0.10 enabled Designated Router enabled Up
Puede configurar la prioridad del enrutador virtual que desee seleccionar: el enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el ejemplo anterior, la columna del estado (State) lista la prioridad del enrutador virtual. Puede verificar si instancia de enrutamiento de OSPF en el dispositivo NetScreen ha establecido adyacencias con los vecinos OSPF ejecutando el comando get vrouter trust-vr protocol ospf neighbor .
ns-> get vrouter trust-vr protocol ospf neighbor VR: trust-vr RouterId: 10.1.1.250 ---------------------------------Neighbor(s) on interface ethernet3 (Area 0.0.0.0) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------2.2.2.2 2.2.2.250 1 Full E Neighbor(s) on interface ethernet1 (Area 0.0.0.10) IpAddr/If Index RouterId Priority State Options -----------------------------------------------------------------------------10.1.1.1 10.1.1.252 1 Full E
En la columna State del ejemplo anterior, Full indica adyacencias OSPF completas con vecinos.
85
REDISTRIBUCIN DE RUTAS
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de OSPF de un mismo enrutador virtual: Rutas reconocidas por BGP o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales.
Ejemplo: Redistribucin de rutas en OSPF

En el siguiente ejemplo redistribuir en el dominio de enrutamiento OSPF actual una ruta originada en un dominio de enrutamiento BGP. Tanto en el ejemplo de WebUI como en el de CLI, partiremos de la base de que ya ha creado un mapa de rutas llamado add-bgp.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: add-bgp Protocol: BGP
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp save
86
Resumen de rutas redistribuidas

En las grandes redes, donde pueden coexistir cientos o miles de direcciones de red, ciertos enrutadores pueden llegar a congestionarse por la gran cantidad de informacin de ruta. Si ya ha redistribuido rutas de un protocolo externo en la instancia de enrutamiento OSPF actual, podr reunir las rutas en una ruta de red general o resumida. Al resumir mltiples direcciones, har que un grupo de rutas se reconozcan como una sola, simplificando as el proceso de consulta. Una de las ventajas de crear resmenes de rutas en redes grandes y complejas es que se pueden aislar los cambios topolgicos de otros enrutadores. Por ejemplo, si una conexin especfica en un dominio falla continuamente, la ruta resumida no cambiara, de modo que ningn enrutador externo al dominio tendra que modificar una y otra vez su tabla de enrutamiento debido a los fallos de conexin. Adems de crear menos entradas en las tablas de enrutamiento de los enrutadores troncales, la generacin de resmenes evita que las LSAs se propaguen por otras reas cuando una de las redes incluidas en el resumen desaparece (por un fallo) o reaparece. En los resmenes tambin se pueden incluir rutas interzonales y rutas externas. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al final de esta seccin encontrar un ejemplo de creacin de una ruta resumida y un ejemplo de establecer una interfaz NULL.
Ejemplo: Resumen de rutas redistribuidas

En este ejemplo redistribuir las rutas BGP a la instancia de enrutamiento OSPF actual. A continuacin resumir el conjunto de rutas importadas en la direccin de red 2.1.1.0/24.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: add-bgp Protocol: BGP Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Summary Import: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 2.1.1.0/24
87
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 save
Ejemplo: Evitar bucles creados por las rutas resumidas

En este ejemplo establecer una interfaz NULL para la ruta resumida creada hacia la red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caer en el rango de la ruta resumida. El dispositivo NetScreen acepta estos paquetes pero no tiene a dnde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red. Para evitar este comportamiento, establecer una interfaz NULL para esta ruta. Es importante establecer una preferencia y mtrica elevadas al establecer una interfaz NULL.
WebUI
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 2.1.1.0/24 Gateway: (seleccione) Interface: Null Gateway IP Address: 0.0.0.0 Preference: 255 Metric: 65535
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535 save
88
Parmetros globales de OSPF
PARMETROS GLOBALES DE OSPF

En esta seccin se describen parmetros globales de OSPF que se pueden configurar de forma opcional en un enrutador virtual (VR). Cuando se configura un parmetro OSPF en el nivel de enrutador virtual, los datos de configuracin afectarn a las operaciones de todas las interfaces que tengan habilitado el protocolo OSPF. Es posible modificar los valores de los parmetros globales del protocolo de enrutamiento OSPF por medio de las interfaces CLI y WebUI. La siguiente tabla muestra los parmetros globales de OSPF y sus valores predeterminados.
Parmetros globales de OSPF Advertise default route Descripcin Valor predeterminado
Especifica que una ruta predeterminada activa (0.0.0.0/0) en la tabla La ruta de rutas del enrutador virtual se notifica en todas las reas OSPF. predeterminada no se Tambin es posible especificar el valor de mtrica o si la mtrica notifica. original de la ruta se preservar, as como el tipo de mtrica (tipo ASE 1 o 2). Tambin se puede especificar que la ruta predeterminada siempre se notifique. Especifica que cualquier ruta predeterminada reconocida en OSPF no La ruta se agregar a la tabla de rutas. predeterminada reconocida en OSPF se agrega a la tabla de rutas. Especifica que el VR crear una conexin virtual automticamente si no puede acceder al rea troncal de OSPF. Desactivado
Reject default route
Automatic virtual link Maximum hello packets Maximum LSA packets
Especifica el nmero mximo de paquetes de saludo OSPF que el VR 10 puede recibir en un intervalo de saludo. Especifica el nmero mximo de paquetes LSA de OSPF que el VR puede recibir dentro del intervalo en segundos especificado. No hay valor predeterminado.
89
Parmetros globales de OSPF RFC 1583 compatibility
Descripcin Especifica que la instancia de enrutamiento de OSPF es compatible con la norma RFC 1583, una versin anterior de OSPF.
Valor predeterminado Los dispositivos NetScreen admiten OSPF, versin 2, tal y como se define en RFC 2328.
Equal cost multipath routing (ECMP)
Especifica el nmero mximo de rutas (1-4) a utilizar para equilibrar Disabled (1) cargas con los destinos que tengan mltiples rutas de igual coste. Consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52. Configura el rea OSPF y la ID de enrutador para la conexin virtual. De No hay conexin forma opcional tambin puede configurar el mtodo de autenticacin, el virtual configurada. intervalo de saludo y el de retransmisin, el retardo de transmisin o el intervalo muerto del interlocutor para la conexin virtual.
Virtual link configuration
Ejemplo: Notificacin de la ruta predeterminada

La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de rutas, aunque un prefijo ms especfico anular la ruta predeterminada. En este ejemplo, usted anunciar la ruta predeterminada de la instancia de enrutamiento OSPF actual.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Advertising Default Route Enable y haga clic en OK . Nota: En la interfaz WebUI, la mtrica predeterminada es 1 y el tipo de mtrica predeterminado es tipo ASE 1.
90
CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 save
91
Conexiones virtuales
Todas las reas de una red OSPF se deben conectar directamente al rea troncal. Sin embargo, en ocasiones es necesario crear una nueva rea que no se podr conectar fsicamente al rea troncal. Para resolver este problema se puede configurar una conexin virtual. Esta conexin proporciona un rea remota con una ruta lgica al rea troncal a travs de otra rea. En los enrutadores, la conexin virtual se debe configurar en los dos extremos de la conexin. Para configurar una conexin virtual en el dispositivo NetScreen, debe definir: La ID del rea OSPF que va a cruzar la conexin virtual. No es posible crear una conexin virtual que cruce el rea troncal o un rea de rutas internas. La ID del enrutador al otro extremo de la conexin virtual.
De forma opcional puede configurar los siguientes parmetros para conexiones virtuales:
Parmetro de conexin virtual Authentication Dead interval Descripcin Valor predeterminado
Especifica la autenticacin por contrasea de texto no encriptado o la No se utiliza autenticacin MD5. autenticacin. Especifica el intervalo en segundos en que no se producir respuesta 40 segundos desde un dispositivo OSPF vecino antes de que se determine que ste no funciona. Especifica el tiempo en segundos entre dos saludos OSPF. Especifica el tiempo en segundos que transcurrir antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a una interfaz. 10 segundos 5 segundos
Hello interval Retransmit interval
Transmit delay
1 segundo
92
Ejemplo: Creacin de una conexin virtual

En el siguiente ejemplo crear una conexin virtual a travs del rea OSPF 10 desde el dispositivo NetScreen-A con ID de enrutador 10.10.1.250 al dispositivo NetScreen-B con la ID de enrutador 10.1.1.250. (Consulte el Captulo 2, Enrutadores virtualespara obtener ms informacin sobre la configuracin de IDs de enrutadores en los dispositivos NetScreen). Tambin puede configurar la conexin virtual con un retardo de trnsito de 10 segundos. En cada dispositivo NetScreen, tendr que identificar la ID de enrutador del dispositivo en el otro extremo de la conexin virtual.
Area 10 e1 ID de enrutador 10.1.1.250 ID de enrutador 10.10.1.250 NetScreen-B e2 Internet Area 0
e1 NetScreen-A e2
NetScreen-A y NetScreen-B tienen una conexin virtual entre s a travs del rea OSPF 10.
Area 20
Nota: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que OSPF se est ejecutando en las interfaces de los dispositivos A y B antes de que la conexin virtual se active.
WebUI (NetScreen-A)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add : Area ID: 10 (seleccione) Router ID: 10.1.1.250 > Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK .
93
CLI (NetScreen-A)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay 10 save Nota: En la interfaz CLI, primero tendr que crear la conexin virtual y, a continuacin, configurar cualquier parmetro opcional para la conexin. As, en el ejemplo anterior, tendr que ejecutar dos comandos distintos para crear y despus configurar la conexin virtual.
WebUI (NetScreen-B)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add : Area ID: 10 Router ID: 10.10.1.250 > Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK .
CLI (NetScreen B)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250 transit-delay 10 save
94
Ejemplo: Creacin de una conexin virtual automtica

Puede hacer que un enrutador virtual (VR) cree automticamente una conexin virtual para las instancias en las que no sea posible acceder al rea troncal de la red. Si el enrutador virtual crea conexiones virtuales automticamente se ahorrar el tiempo necesario para crear cada una de las conexiones virtuales de forma manual. En el siguiente ejemplo configuraremos la creacin automtica de conexiones virtuales.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Automatically Generate Virtual Links y haga clic en OK .
CLI
set vrouter trust-vr protocol ospf auto-vlink save
95
Parmetros de interfaz OSPF
PARMETROS DE INTERFAZ OSPF

En esta seccin se describen los parmetros OSPF que se pueden configurar en el nivel de interfaz. Cuando se configura un parmetro OSPF en el nivel de interfaz, los datos de configuracin afectan nicamente al funcionamiento OSPF de la interfaz especificada. Puede modificar los ajustes de los parmetros de la interfaz mediante comandos interface de CLI o utilizando WebUI. La siguiente tabla muestra los parmetros OSPF de interfaz opcionales y sus valores predeterminados.
Parmetro de interfaz OSPF Authentication Descripcin Valor predeterminado
Especifica si la comunicacin OSPF de la interfaz se verificar mediante No se utiliza autenticacin. autenticacin por contrasea de texto no encriptado o por MD5 (Message Digest 5). La contrasea de texto no encriptado debe ser una cadena de hasta 8 dgitos, mientras que la contrasea para autenticacin MD5 puede ser una cadena de hasta 16 dgitos. Para la contrasea MD5 tambin es necesario que se configuren cadenas clave. Especifica la mtrica de la interfaz. El coste asociado a una interfaz depende del ancho de banda de la conexin que tenga establecida dicha interfaz. Cuanto mayor sea el ancho de banda, menor ser el valor del coste (preferible). 1 para una conexin de 100 MB o ms 10 para una conexin de 10 MB 100 para una conexin de 1 MB
Cost
Dead interval
Especifica el intervalo en segundos en que no se producir respuesta 40 segundos desde un dispositivo OSPF vecino antes de que OSPF determine que no funciona. Especifica el intervalo en segundos que transcurrir entre el envo de un paquete de saludo a la red y el siguiente. Especifica una interfaz de tnel como vnculo punto a punto o como vnculo punto a multipunto. Consulte Interfaz de tnel punto a multipunto en la pgina 107. 10 segundos Las interfaces Ethernet se tratan como interfaces de difusin. De forma predeterminada, las interfaces de tnel asociadas a las zonas OSPF son punto a punto.
Hello interval Link type
96
Parmetro de interfaz OSPF Neighbor list
Descripcin Especifica subredes, en forma de lista de acceso, en las que residen vecinos OSPF que pueden utilizarse para formar adyacencias.
Valor predeterminado Ninguna (las adyacencias se forman con todos los vecinos de la interfaz)
Passive Interface
Especifica que la direccin IP de la interfaz se notificar en el dominio Las interfaces con OSPF OSPF como ruta OSPF y no como ruta externa, pero que la interfaz habilitado transmiten y no transmitir ni recibir paquetes OSPF. Esta opcin resulta til reciben paquetes OSPF cuando en la interfaz tambin se ha habilitado BGP.
Especifica la prioridad del enrutador virtual que se elegir: enrutador designado o enrutador designado de respaldo. El enrutador con el valor de prioridad ms alto tiene ms posibilidades de ser elegido (aunque no se garantiza). Especifica el tiempo en segundos que transcurrir antes de que la interfaz reenve una LSA a un vecino que no respondi a la primera LSA. Especifica el tiempo en segundos entre las transmisiones de paquetes de actualizacin de estado de conexin enviados a la interfaz. 1
Priority
Retransmit interval
5 segundos
Transit delay Demand circuit
1 segundo
(Slo interfaces de tnel) Configura una interfaz de tnel como circuito Desactivado de demanda, segn RFC 1793. Consulte Circuitos de demanda en interfaces de tnel en la pgina 105. Especifica la reduccin de inundaciones LSA en un circuito de demanda. Desactivado
Reduce floods Ignore MTU
Especifica que cualquier incoherencia en los valores Maximum Desactivado Transmission Unit (MTU) entre las interfaces locales y remotas que se encuentre durante las negociaciones de la base de datos OSPF ser ignorada. Esta opcin slo debe utilizarse cuando el MTU de la interfaz local sea ms lento que el MTU de la interfaz remota.
Nota: Para formar adyacencias, todos los enrutadores OSPF de un rea deben utilizar los mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de retransmisin.
97
Ejemplo: Ajuste de parmetros de interfaz OSPF

En este ejemplo configuraremos los siguientes parmetros OSPF para la interfaz ethernet1: Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Hello Interval: 15 Retransmit Interval: 7 Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15 set interface ethernet1 protocol ospf retransmit-interval 7 set interface ethernet1 protocol ospf transit-delay 2 save
98
Configuracin de seguridad
CONFIGURACIN DE SEGURIDAD
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento OSPF y algunos mtodos de prevencin de ataques. Nota: Para que OSPF sea ms seguro, todos los enrutadores de un dominio OSPF deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador OSPF peligroso podra llegar a dejar inservible todo el domino de enrutamiento OSPF.
Autenticacin de vecinos
Un enrutador OSPF se puede suplantar fcilmente, ya que las LSAs no se encriptan y la mayora de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos OSPF. OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes OSPF recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz OSPF tiene la autenticacin habilitada. Para la autenticacin MD5 se necesita la misma clave utilizada para los enrutadores OSPF de envo y recepcin. Puede especificar varias claves MD5 en el dispositivo NetScreen, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo NetScreen, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
Ejemplo: Configuracin de una contrasea de texto no cifrado

En este ejemplo, crearemos la contrasea de texto no encriptado 12345678 para OSPF en la interfaz ethernet1.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Password: (seleccione), 12345678
99
CLI
set interface ethernet1 protocol ospf authentication password 12345678 save
Ejemplo: Configuracin de una contrasea MD5

En el siguiente ejemplo, crear dos claves MD5 distintas para la interfaz ethernet1 y seleccionar una de ellas para que sea la clave activa. El identificador de clave predeterminado es 0, de forma que no tendr que especificar el identificador para la primera clave MD5 que introduzca.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Authentication: MD5 Keys: (seleccione) 1234567890123456 9876543210987654 5022313610981757 Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 set interface ethernet1 key-id 1 set interface ethernet1 key-id 2 set interface ethernet1 save protocol ospf authentication md5 1234567890123456 protocol ospf authentication md5 9876543210987654 protocol ospf authentication md5 5022313610981757 protocol ospf authentication md5 active-md5-key-id 1
100
Filtrado de vecinos OSPF

Los entornos de acceso mltiple permiten que los dispositivos, incluyendo los enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar problemas de estabilidad o rendimiento si el dispositivo conectado no es fiable. De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtual (VR) NetScreen forma adyacencias con todos los vecinos OSPF que se comunican en una interfaz con OSPF. Es posible limitar los dispositivos de una interfaz que pueden formar adyacencias con la instancia de enrutamiento de OSPF definiendo una lista de subredes que contengan vecinos OSPF que se puedan elegir. Slo los hosts o enrutadores que se encuentren en la subredes definidas podrn formar adyacencias con la instancia de enrutamiento de OSPF. Para especificar las subredes que contienen vecinos OSPF vlidos, se debe definir una lista de acceso a las subredes en el nivel del enrutador virtual (VR).
Ejemplo: Configuracin de una lista de vecinos

En este ejemplo configuraremos una lista de acceso que permitir la comunicacin con los hosts de la subred 10.10.10.130/27. A continuacin especificaremos la lista de acceso para que configure vecinos OSPF vlidos.
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 4 Sequence No.: 10 IP/Netmask: 10.10.10.130/27 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Neighbor List: 4
101
CLI
set vrouter trust-vr access-list 4 set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10 set interface ethernet1 protocol ospf neighbor-list 4 save
Rechazo de rutas predeterminadas

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede entregar informacin crtica a los paquetes antes de reenviarlos. En los dispositivos NetScreen, OSPF acepta en principio cualquier ruta predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla de rutas.
Ejemplo: Eliminacin de la ruta predeterminada

En el siguiente ejemplo especificaremos que una ruta predeterminada no se reconozca en OSPF.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione la casilla de verificacin Do Not Add Default-route Learned in OSPF y haga clic en OK .
CLI
set vrouter trust-vr protocol ospf reject-default-route save
102
Proteccin contra inundaciones

Un enrutador peligroso o que no funcione correctamente puede inundar a sus vecinos con paquetes de saludo OSPF o con LSAs. Cada enrutador capta la informacin de las LSAs enviadas por otros enrutadores en la red para recuperar la informacin de rutas para la tabla de enrutamiento. La proteccin contra inundaciones de LSA permite determinar el nmero de LSAs que entrarn en el enrutador virtual (VR). Si ste recibe demasiadas LSAs, el enrutador fallar por una inundacin LSA. Los ataques por LSAs se producen cuando un enrutador genera un nmero excesivo de LSAs en un periodo corto de tiempo, puesto que hace que los dems enrutadores OSPF de la red se mantengan ocupados ejecutando el algoritmo SPF. En los enrutadores virtuales NetScreen, es posible configurar el nmero mximo de paquetes de saludo por intervalo de saludo y el nmero mximo de LSAs que recibir una interfaz OSPF durante un intervalo determinado. Los paquetes que excedan el lmite configurado se descartarn. De forma predeterminada, el lmite de paquetes de saludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo predeterminado para una interfaz OSPF es de 10 segundos). No hay ningn lmite de LSAs predefinido; si no impone un lmite de LSAs, se aceptarn todas.
Ejemplo: Configuracin de un lmite de saludo

En el siguiente ejemplo configuraremos un lmite de 20 paquetes por intervalo de saludo. Este intervalo, que se puede configurar independientemente en cada interfaz OSPF, no variar; seguir ajustado a 10 segundos.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK : Prevent Hello Packet Flooding Attack: On Max Hello Packet: 20
CLI
set vrouter trust-vr protocol ospf hello-threshold 20 save
Ejemplo: Configuracin de un lmite de LSAs

En este ejemplo estableceremos un lmite OSPF de 10 paquetes LSA cada 20 segundos para evitar ataques por inundacin de LSAs.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK : LSA Packet Threshold Time: 20 Maximum LSAs: 10
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10 save
104
Circuitos de demanda en interfaces de tnel
CIRCUITOS DE DEMANDA EN INTERFACES DE TNEL

Los circuitos de demanda de OSPF, segn lo definido en la norma RFC1793, son segmentos de red en los que el tiempo de conexin o de utilizacin afecta al coste de utilizar tales conexiones. En un circuito de demanda, el trfico generado por OSPF necesita ser limitado a los cambios en la topologa de la red. En los dispositivos NetScreen, las interfaces punto a punto y de tnel serie pueden ser circuitos de demanda; y para un correcto funcionamiento, ambos extremos del tnel se deben configurar manualmente como circuitos de demanda. Nota: No se puede configurar una interfaz punto a multipunto como circuito de demanda con OSPF (consulte Interfaz de tnel punto a multipunto en la pgina 107). En interfaces de tnel configuradas como circuitos de demanda, el dispositivo NetScreen suprime el envo de paquetes de saludo OSPF y la actualizacin peridica de inundaciones LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza el estado completo Full (los saludos Hello coinciden y los LSAs del enrutador y de la red reflejan a todos los vecinos adyacentes), el dispositivo NetScreen suprime los paquetes de saludo peridicos y LSA se actualiza. El dispositivo NetScreen inunda solamente LSAs cuyo contenido haya cambiado.
Ejemplo: Crear un circuito de demanda OSPF

En el ejemplo siguiente, configurar la interfaz tunnel.1 como un circuito de demanda. Nota: Deber configurar la interfaz de tnel del interlocutor remoto como un circuito de demanda. Sin embargo, no necesita configurar la inundacin LSA reducida en el interlocutor remoto.
WebUI
Network > Interface > Edit > OSPF: Introduzca los siguientes datos y haga clic en Apply : Demand Circuit: (seleccione)
CLI
set interface tunnel.1 protocol ospf demand-circuit save
Ejemplo: Habilitar la inundacin reducida

Si no desea configurar un circuito de demanda pero necesita suprimir las inundaciones LSA, puede habilitar la reduccin de inundaciones. En el ejemplo siguiente, habilitar la supresin peridica de LSA sin afectar al flujo de paquetes de saludo hacia la interfaz tunnel.1.
WebUI
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos y haga clic en Apply : Reduce Flooding: (seleccione)
CLI
set interface tunnel.1 protocol ospf reduce-flooding save
106
Interfaz de tnel punto a multipunto
INTERFAZ DE TNEL PUNTO A MULTIPUNTO

Al asociar una interfaz de tnel a una zona OSPF en un dispositivo NetScreen, de forma predeterminada se crea un tnel OSPF punto a punto. La interfaz de tnel punto a punto puede formar una adyacencia con solamente un enrutador OSPF en el extremo remoto. Si la interfaz de tnel local va a ser asociada a mltiples tneles, debe configurar la interfaz de tnel local como interfaz punto a multipunto e inhabilitar la caracterstica route-deny en la interfaz de tnel. Nota: Debe configurar una interfaz de tnel como interfaz punto a multipunto antes de habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto a multipunto, ya no podr configurarla como circuito de demanda (consulte Circuitos de demanda en interfaces de tnel en la pgina 105). No obstante, puede configurar la interfaz para la inundacin LSA reducida. Para ver un ejemplo de asociacin de mltiples tneles a una interfaz de tnel, consulte Entradas automticas en la tabla de rutas y la tabla NHTB en la seccin Mltiples tneles por interfaz de tnel en el captulo Caractersticas VPN avanzadas del volumen VPNs. Al final de esta seccin encontrar ejemplos para establecer el tipo de vnculo, establecer la funcin route-deny y configurar una red con una interfaz de tnel punto a multipunto.
Establecer el tipo de conexin

Si se propone formar adyacencias OSPF en mltiples tneles, necesitar establecer el tipo de conexin como punto a multipunto (p2mp).
Ejemplo: Establecer el tipo de conexin OSPF

En este ejemplo establecer el tipo de conexin de tunnel.1 en punto a multipunto (p2mp) para cumplir los requisitos de su red.
WebUI
Network > Interface (Edit) > OSPF: Seleccione Point-to-Multipoint en la lista de botones de opcin Link Type.
CLI
set interface tunnel.1 protocol ospf link-type p2mp save
107
Ejemplo: Inhabilitar la restriccin Route-Deny

De forma predeterminada, el dispositivo NetScreen puede enviar y recibir paquetes a travs de la misma interfaz a menos que est configurado explcitamente para no enviarlos ni recibirlos en la misma interfaz. En un entorno punto a multipunto, este comportamiento puede ser deseable. Para configurar el dispositivo NetScreen para enviar y recibir en la misma interfaz, debe inhabilitar la restriccin route-deny. En este ejemplo inhabilitar la restriccin route-deny mediante CLI en la interfaz de tnel punto a multipunto tunnel.1.
WebUI
Nota: Para establecer la restriccin route-deny debe utilizarse la interfaz CLI.
CLI
unset interface tunnel.1 route-deny save
Ejemplo: Red punto a multipunto

La red de este ejemplo pertenece a una empresa de tamao mediano con su oficina central (CO) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo NetScreen y cada red situada detrs de cada dispositivo NetScreen puede comunicarse con todas las redes situadas detrs de los otros dispositivos remotos. Una zona personalizada llamada vpn permite a estos cinco dispositivos enviar y recibir trfico de forma segura con un mnimo esfuerzo en configuracin de directivas. Los valores de temporizadores para todos los dispositivos deben coincidir para que las adyacencias puedan formarse. En este ejemplo, configurar los siguientes ajustes en el dispositivo NetScreen de la oficina central CO: 1. 2. 3. 4. Interfaces y zona de seguridad Rutas y OSPF VPN Directiva
108
Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos NetScreen de las oficinas remotas: 1. 2. 3. 4. Interfaces y zona de seguridad OSPF VPN Directiva
En este diagrama de la interfaz de tnel punto a multipunto, cuatro VPNs se originan en el dispositivo NetScreen de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago.
Los 5 dispositivos NetScreen residen en una zona llamada vpn. VPN 1 San Francisco (CO) ethernet1 10.1.1.1 tunnel.1 10.0.0.1 ethernet3 1.1.1.1 4 VPNs asociadas a tunnel.1 VPN 2 Internet
New York tunnel.1 10.0.0.2 Untrust 2.2.2.2 Los Angeles tunnel.1 10.0.0.3 Untrust 3.3.3.3 Montreal VPN 3 tunnel.1 10.0.0.4 Untrust 4.4.4.4 Chicago VPN 4 tunnel.1 10.0.0.5 Untrust 5.5.5.5 Trust 5.5.5.1 Trust 4.4.4.1 Trust 3.3.3.1 Trust 2.2.2.1
109
Desde el punto de vista del dispositivo en la oficina CO, el trfico procedente de CO hacia el dispositivo remoto de Nueva York sigue la ruta mostrada en esta ilustracin.
ethernet3 1.1.1.1
Zona Untrust
Untrust 2.2.2.2
CO ethernet1 10.1.1.1 tunnel.1
Zona VPN 10.1.2.1 tunnel.1
New York
IP de host 10.1.1.5
IP de host 10.1.2.5
Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
WebUI (dispositivo de la oficina central)

1. Interfaces y zona de seguridad
Network > Zones > New Network > Interfaces > New Tunnel IF Network > Interfaces > Edit (para ethernet3) Network > Interface > Edit (para tunnel.1) > OSPF
110
2. 3.
VPN
VPNs > AutoKey Advanced > Gateway
Rutas y OSPF
Network > Routing > Virtual Routers > Edit
CLI (dispositivo de la oficina central)

set zone name set interface set interface set interface set interface save vpn tunnel untrust ethernet3 zone untrust ethernet3 ip 1.1.1.1/24 tunnel.1 zone vpn tunnel.1 ip 10.0.0.1/24
2.
VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey
111
set vpn2 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn3 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn4 id 4 bind interface tunnel.1 save
3.
Rutas y OSPF
set vrouter trust route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.10 set vrouter trust router-id 10 set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable set interface tunnel.1 protocol ospf link-type p2mp unset interface tunnel.1 route-deny save
Nota: De forma predeterminada, route-deny est inhabilitado. Sin embargo, si habilit la caracterstica route-deny en algn momento, necesitar inhabilitar la caracterstica para que la interfaz de tnel punto a multipunto funcione correctamente.
4.
Directiva (configure como sea necesario)

set policy id 1 from trust to vpn any any any permit set policy id 2 from vpn to trust any any any permit save
Puede seguir estos pasos para configurar los dispositivos NetScreen de las oficinas remotas. Los dispositivos NetScreen aprenden sobre sus vecinos a travs de LSAs.
112
Para completar la configuracin mostrada en el diagrama de la pgina 110, debe repetir la seccin siguiente por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN, as como establecer directivas para cumplir las necesidades de la red. Por cada sitio remoto, la zona denominada vpn cambia. Nota: Los procedimientos de WebUI estn abreviados. La porcin CLI del ejemplo, sin embargo, est completa. Puede consultar en la porcin CLI los ajustes y valores exactos que deben utilizarse.
WebUI (dispositivo de oficina remota)

Network > Zones > New Network > Interfaces > New Tunnel IF Network > Interfaces > Edit (para ethernet3) Network > Interface > Edit (para tunnel.1) > OSPF
2. 3.
VPN
VPNs > AutoKey Advanced > Gateway
Rutas y OSPF
Network > Routing > Virtual Routers > Edit
CLI (dispositivo de oficina remota)

set zone name set interface set interface set interface set interface save vpn tunnel untrust ethernet3 zone untrust untrust ip 2.2.2.2/24 tunnel.1 zone vpn tunnel.1 ip 10.0.0.2/24
113
2.
OSPF
set vrouter trust protocol ospf set vrouter trust protocol ospf enable set interface tunnel.1 protocol ospf area 0 set interface tunnel.1 protocol ospf enable save
3.
VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare ospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1 save
4.

Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol ospf config .
114
Captulo 4
Protocolo de informacin de enrutamiento (RIP)
En este captulo se describe la versin 2 del protocolo de enrutamiento RIP (Routing Information Protocol) en los dispositivos NetScreen. Para ello se tratarn los siguientes temas: Introduccin al protocolo RIP en la pgina 117 Configuracin bsica de RIP en la pgina 118 Creacin de una instancia RIP en la pgina 119 Habilitacin de RIP en interfaces en la pgina 121 Redistribucin de rutas en la pgina 122 Visualizacin de la informacin de RIP en la pgina 124 Visualizacin de la base de datos RIP en la pgina 124 Visualizacin de los detalles de protocolo RIP en la pgina 127 Visualizacin de informacin de vecino RIP en la pgina 128 Visualizacin de los detalles de protocolo RIP de una interfaz en la pgina 129 Parmetros globales de RIP en la pgina 130 Parmetros de interfaz RIP en la pgina 133 Notificacin de la ruta predeterminada en la pgina 132 Configuracin de seguridad en la pgina 135 Autenticacin de vecinos en la pgina 135 Filtrado de vecinos RIP en la pgina 137
115
Captulo 4 Protocolo de informacin de enrutamiento (RIP)
Rechazo de rutas predeterminadas en la pgina 138 Proteccin contra inundaciones en la pgina 139 Configuraciones opcionales de RIP en la pgina 142 Versin de protocolo RIP en la pgina 142 Resumen de prefijos en la pgina 144 Rutas alternativas en la pgina 146 Circuitos de demanda en interfaces de tnel en la pgina 148 Configuracin de un vecino esttico en la pgina 150 Interfaz de tnel punto a multipunto en la pgina 151
116
Introduccin al protocolo RIP
INTRODUCCIN AL PROTOCOLO RIP

El protocolo RIP (Routing information protocol) es un protocolo de vector distancia que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas autnomos (AS) de tamao moderado. ScreenOS admite la versin 2 de RIP (RIPv2) tal como se define en la norma RFC 2453. Mientras que RIPv2 slo admite la autenticacin de contrasea simple (texto plano), la implementacin RIP de NetScreen tambin admite extensiones de autenticacin MD5, tal como se definen en la norma RFC 2082. RIP administra la informacin de rutas en redes pequeas y homogneas, como las LANs corporativas. La ruta ms larga admitida en una red RIP es de 15 saltos. Un valor mtrico de 16 indica un destino no vlido o inaccesible (este valor tambin se denomina infinito ya que excede el mximo de 15 saltos permitidos para las redes RIP). El protocolo RIP no est diseado para grandes redes o para redes en las que las rutas se eligen en funcin de parmetros en tiempo real, como carga, fiabilidad o retardo medido. RIP admite redes punto a punto (utilizadas con VPNs) y redes Ethernet de difusin/multidifusin (broadcast/multicast). RIP admite las conexiones de "punto a multipunto" a travs de las interfaces de tnel con o sin tener configurado un circuito de demanda. Para obtener ms informacin sobre circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 148. RIP enva mensajes que contienen la tabla de enrutamiento completa a todos los enrutadores vecinos cada 30 segundos. Estos mensajes se envan normalmente como multidifusiones a la direccin 224.0.0.9 del puerto RIP. La base de datos de enrutamiento RIP contiene una entrada para cada destino que sea accesible a travs de la instancia de enrutamiento RIP. La base de datos de enrutamiento RIP incluye la siguiente informacin: Direccin IPv4 de un destino. Recuerde que RIP no distingue entre redes y hosts. Direccin IP del primer enrutador de la ruta hacia el destino (el siguiente salto). Interfaz de red utilizada para acceder al primer enrutador. Valor mtrico que indica la distancia (o coste) para alcanzar el destino. La mayora de implementaciones RIP utilizan un valor mtrico de 1 para cada red. Un temporizador que indica el tiempo que ha transcurrido desde la ltima actualizacin de la entrada de la base de datos.
117
Configuracin bsica de RIP
CONFIGURACIN BSICA DE RIP

Crear RIP por cada enrutador virtual en un dispositivo NetScreen. Si dispone de varios enrutadores virtuales (VRs) dentro de un sistema, podr habilitar mltiples instancias de RIP, una instancia de la versin 1 o de la 2 por cada enrutador virtual. De forma predeterminada, los dispositivos NetScreen admiten la versin 2 de RIP. Nota: Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo NetScreen, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2, Enrutadores virtuales. En esta seccin se describen los pasos bsicos para configurar el protocolo RIP en un dispositivo NetScreen: 1. 2. 3. 4. Crear la instancia de enrutamiento RIP en un enrutador virtual. Habilitar la instancia RIP. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (como OSPF, BGP, o rutas configuradas de forma esttica) en la instancia RIP.
En esta seccin se describe la correcta ejecucin de cada una de estas tareas utilizando la interfaz WebUI y la lnea de comandos CLI. Opcionalmente, es posible configurar parmetros de RIP, como: Parmetros globales, como temporizadores y vecinos RIP fiables, que se configuran en el enrutador virtual para el protocolo RIP (consulte Parmetros globales de RIP en la pgina 130) Parmetros de interfaz, como la autenticacin de dispositivos vecinos, que se configuran en la interfaz para el protocolo RIP (consulte Parmetros de interfaz RIP en la pgina 133) Parmetros RIP relacionados con la seguridad, que se configuran en el enrutador virtual o en la interfaz (consulte Configuracin de seguridad en la pgina 135)
118
Creacin de una instancia RIP

Cada instancia de enrutamiento de RIP se crea y se habilita en un enrutador virtual (VR) especfico ubicado en un dispositivo NetScreen. Cuando se crea y se habilita una instancia de enrutamiento de RIP en un enrutador virtual, RIP transmite y recibe paquetes en todas las interfaces habilitadas para RIP de dicho enrutador. Cuando se elimina una instancia de enrutamiento de RIP en un enrutador virtual, se eliminan las configuraciones RIP correspondientes para todas las interfaces de dicho enrutador. Para obtener ms informacin sobre enrutadores virtuales y su configuracin en dispositivos NetScreen, consulte el Captulo 2, Enrutadores virtuales.
Ejemplo: Creacin de una instancia RIP

Cree una instancia de enrutamiento RIP en el trust-vr y a continuacin habilite el RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create RIP Instance . Seleccione Enable RIP y haga clic en OK .
CLI
1. ID de enrutador
2. Instancia de enrutamiento de RIP

set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable save Nota: En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos etapas. Cree la instancia RIP y, a continuacin, habilite RIP.
119
Ejemplo: Eliminacin de una instancia RIP

En este ejemplo, inhabilitar la instancia de enrutamiento de RIP en trust-vr. RIP dejar de transmitir y procesar paquetes en todas las interfaces habilitadas para RIP en trust-vr.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance : Anule la seleccin de Enable RIP y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y luego haga clic en OK cuando aparezca el mensaje de confirmacin.
CLI
unset vrouter trust-vr protocol rip enable unset vrouter trust-vr protocol rip save
120
Habilitacin de RIP en interfaces

De forma predeterminada, RIP est inhabilitado en todas las interfaces del enrutador virtual (VR) y es necesario habilitarlo de forma explcita en una interfaz. Si se inhabilita RIP a nivel de interfaz, RIP no transmitir ni recibir paquetes en la interfaz especificada. Los parmetros de configuracin de interfaz se conservan cuando se inhabilita RIP en una interfaz. Nota: Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual (consulte Ejemplo: Eliminacin de una instancia RIP en la pgina 120), RIP dejar de transmitir y procesar paquetes en todas las interfaces del enrutador que tengan este protocolo habilitado.
Ejemplo: Habilitacin de RIP en interfaces

En este ejemplo, habilitar RIP en la interfaz Trust.
WebUI
Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP Enable y haga clic en Apply .
CLI
set interface trust protocol rip enable save
121
Ejemplo: Inhabilitacin de RIP en una interfaz

En este ejemplo, inhabilitar RIP en la interfaz Trust. Para eliminar completamente la configuracin de RIP introduzca el segundo comando CLI antes de guardar.
WebUI
Network > Interface (para Trust) > RIP: Anule la seleccin de Protocol RIP Enable y haga clic en Apply .
CLI
unset interface trust protocol rip enable unset interface trust protocol rip save
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual (VR): Rutas reconocidas por el protocolo BGP Rutas reconocidas por el protocolo OSPF Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales. Las rutas importadas en RIP a partir de otros protocolos tienen un valor mtrico predeterminado de 10. Este valor se puede modificar (consulte Parmetros globales de RIP en la pgina 130).
122
Ejemplo: Redistribucin de rutas en RIP

En este ejemplo, redistribuir rutas estticas que se encuentran en la subred 20.1.0.0/16 entre dispositivos vecinos RIP ubicados en el enrutador virtual trust-vr. Para ello, primero deber crear una lista de acceso para permitir direcciones en la subred 20.1.0.0/16. A continuacin, configure un mapa de rutas que permita las direcciones incluidas en la lista de acceso que acaba de generar. Utilice el mapa de rutas para especificar la redistribucin de rutas estticas en la instancia de enrutamiento de RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 20 Sequence No.: 1 IP/Netmask: 20.1.0.0/16 Action: Permit (seleccione) Network > Routing > Virtual Router (trust-vr) > Route Map > New: Introduzca los siguientes datos y haga clic en OK : Map Name: rtmap1 Sequence No.: 1 Action: Permit (seleccione) Match Properties: Access List: (seleccione), 20 (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en Add : Route Map: rtmap1 (seleccione) Protocol: Static (seleccione)
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1 set vrouter trust-vr route-map name rtmap1 permit 1
Visualizacin de la informacin de RIP
set vrouter trust-vr route-map rtmap1 1 match ip 20 set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static save
VISUALIZACIN DE LA INFORMACIN DE RIP

Despus de modificar los parmetros RIP, puede visualizar los siguientes tipos de detalles de RIP: Base de datos, que muestra la informacin de enrutamiento Protocolo, que proporciona los detalles de interfaz y de protocolo de RIP de un enrutador virtual (VR) Vecino
Visualizacin de la base de datos RIP

Puede verificar la informacin de enrutamiento de RIP desde la interfaz CLI. Puede elegir visualizar una lista completa de todas las entradas de la base de datos RIP o de una sola entrada.
Ejemplo: Visualizar los detalles en la base de datos RIP

En este ejemplo, se visualiza la informacin detallada desde la base de datos RIP. Puede visualizar todas las entradas de la base de datos o limitar el resultado a una sola entrada de la base de datos aadiendo la direccin IP y la mscara del VR que desee.
124
En este ejemplo, especifica trust-vr y aade el prefijo y la direccin IP 10.10.10.0/24 para visualizar una sola entrada de la tabla.
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar la base de datos RIP.
CLI
get vrouter trust-vr protocol rip database prefix 10.10.10.0/24 save
125
Despus de introducir el comando CLI, puede visualizar la entrada de la base de datos RIP.
ns-> get vrouter trust-vr protocol rip database 10.10.10.0/24 VR: trust-vr ---------------------------------------------------------------------------Total database entry: 3 Flags : Added in Multipath - M, RIP - R, Redistributed - I, Default (advertised) - D, Permanent - P, Summary - S, Unreachable - U, Hold - H DBID Prefix Nexthop Ifp Cost Flags Source 7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1 ----------------------------------------------------------------------------
La base de datos RIP contiene los campos siguientes: DBID, el identificador de base de datos de la entrada Prefix, el prefijo y la direccin IP Nexthop, la direccin del salto siguiente (enrutador) Ifp, el tipo de conexin (Ethernet o tnel) La mtrica de coste asignada para indicar la distancia desde el origen
Flags, pueden ser uno o varios de lo siguiente: Multipath (M), RIP (R), Redistributed (I), Advertised default (D), Permanent (P), Summary (S), Unreachable (U) o Hold (H). En este ejemplo, el identificador de base de datos es 7, la direccin IP y el prefijo es 10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexin Ethernet con un coste de 2. Los flags son M y R e indican que esta ruta es multidireccional y usa RIP.
126
Visualizacin de los detalles de protocolo RIP

Puede visualizar los detalles de protocolo RIP para verificar que la configuracin de RIP coincida con sus necesidades de red. Puede limitar el resultado solamente a la tabla de resumen de la interfaz aadiendo interface al comando CLI.
Ejemplo: Visualizar los detalles de protocolo RIP

Puede visualizar la informacin de protocolo RIP completa para comprobar una configuracin o verificar que los cambios guardados estn activos.
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar los detalles del protocolo RIP.
CLI
get vrouter trust-vr protocol rip
ns-> get vrouter trust-vr protocol rip VR: trust-vr ---------------------------------------------------------------------------State: enabled Version: 2 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 16 Not validating neighbor in same subnet: disabled RIP update transmission not scheduled Maximum number of Alternate routes per prefix: 2 Advertising default route: disabled Default routes learnt by RIP will not be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in seconds) ------------------------------------------------------------30| 180| 120| 5| 40| 90 Flags : Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx ---------------------------------------------------------------------------tun.1 122.1.2.114/8 enabled disabled SD 1 1 v1v2/v1v
Puede visualizar los valores del protocolo RIP, los detalles del paquete, la informacin del temporizador RIP y una tabla de interfaz resumida.
Visualizacin de informacin de vecino RIP

Puede visualizar los detalles sobre los vecinos RIP de un enrutador virtual (VR). Puede recuperar una lista de informacin de todos los vecinos o una entrada de un vecino especfico aadiendo la direccin IP del vecino que desee. Puede comprobar el estado de una ruta y verificar la conexin entre el vecino y el dispositivo NetScreen desde estas estadsticas.
Ejemplo: Visualizar los detalles de los vecinos RIP

En el ejemplo siguiente, visualice la informacin de vecino RIP para el trust-vr.
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar la informacin de vecino RIP.
CLI
get vrouter trust-vr protocol rip neighbors
ns-> get vrouter trust-vr protocol rip neighbors VR: trust-vr ---------------------------------------------------------------------------Flags : Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P, Demand Circuit Init - I Neighbors on interface tunnel.1 ---------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags ---------------------------------------------------------------------------10.10.10.1 v2 0 0 TSD
Adems de visualizar la direccin IP y la versin de RIP, puede visualizar la informacin siguiente del vecino RIP: Antiguedad de la entrada Tiempo de caducidad Nmero de paquetes incorrectos Nmero de rutas incorrectas Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o demand circuit init (I)
128
Visualizacin de los detalles de protocolo RIP de una interfaz

Puede visualizar toda la informacin pertinente del protocolo RIP de todas las interfaces y un resumen de los detalles del enrutador vecino. Opcionalmente, puede aadir la direccin IP de un vecino especfico para limitar el resultado.
Ejemplo: Visualizar RIP en una interfaz especfica

En el ejemplo siguiente, puede visualizar la informacin sobre la interfaz tunnel.1 del vecino que reside en la direccin IP 10.10.10.2.
WebUI
Nota: Debe utilizar la interfaz CLI para visualizar los detalles de la interfaz RIP.
CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2
f
ns-> get interface tunnel.1 protocol rip VR: trust-vr ---------------------------------------------------------------------------Interfaz: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabled Receive version v1v2, Send Version v1v2 State: Down, Passive: No Metric: 1, Split Horizon: enabled, Poison Reverse: disabled Demand Circuit: configured Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Authentication: none Current neighbor count: 1 Update not scheduled Transmit Updates: 0 (0 triggered), Receive Updates: 0 Update packets dropped because flooding: 0 Bad packets: 0, Bad routes: 0 Flags: Static - S, Demand Circuit - T, NHTB - N Down - D, Up - U, Poll - P Neighbors on interface tunnel.1 ---------------------------------------------------------------------------IpAddress Version Age Expires BadPackets BadRoutes Flags ---------------------------------------------------------------------------10.10.10.1 0 0 TSD
Desde este resumen de informacin puede visualizar el nmero de paquetes incorrectos o de rutas incorrectas presentes, verificar cualquier sobrecarga que RIP aada a la conexin y ver la configuracin de la autenticacin.
Parmetros globales de RIP
PARMETROS GLOBALES DE RIP

En esta seccin se describen los parmetros globales de RIP que se pueden configurar en un enrutador virtual (VR). Cuando se configura un parmetro RIP a nivel de enrutador virtual, los datos de configuracin afectarn a las operaciones de todas las interfaces que tengan habilitado el protocolo RIP. Es posible modificar los valores de los parmetros globales del protocolo de enrutamiento RIP por medio de las interfaces CLI y WebUI. La siguiente tabla muestra los parmetros globales de RIP y sus valores predeterminados.
Parmetro global de RIP Default metric Update timer Maximum packets per update Invalid timer Descripcin Valor mtrico predeterminado para rutas importadas en RIP a partir de otros protocolos, como OSPF y BGP. Indica (en segundos) cundo enviar actualizaciones de rutas RIP a los dispositivos vecinos. Indica el nmero mximo de paquetes recibidos por actualizacin. Valor(es) predeterminado(s) 10 30 segundos Sin mximo
Indica el tiempo (en segundos) que tiene que transcurrir para que una ruta 180 segundos deje de ser vlida desde el momento en el que un vecino deja de notificar la ruta. Indica el tiempo (en segundos) que tiene que transcurrir para que se elimine una ruta desde el momento de su invalidacin. Indica el nmero mximo de vecinos RIP permitidos. Indica una lista de acceso en la que se definen los vecinos RIP. Si no se especifica ningn vecino, RIP utiliza la difusin o la multidifusin para detectar vecinos en una interfaz. Consulte Filtrado de vecinos RIP en la pgina 137. Indica que se admiten vecinos RIP de otras subredes. Indica si se notifica la ruta predeterminada (0.0.0.0/0). 120 segundos Depende de la plataforma Todos los vecinos son fiables
Flush timer Maximum neighbors Trusted neighbors
Allow neighbors on different subnet Advertise default route
Desactivado Desactivado
130
Parmetro global de RIP Reject default route
Descripcin Indica si RIP debe rechazar una ruta predeterminada reconocida de otro protocolo. Consulte Rechazo de rutas predeterminadas en la pgina 138. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Especifica el nmero mximo de rutas RIP para el mismo prefijo que se puede aadir a la base de datos de la ruta RIP. Consulte Rutas alternativas en la pgina 146. Especifica la notificacin de una ruta de resumen que corresponde a todas las rutas incluidas dentro de un rango de resumen. Consulte Resumen de prefijos en la pgina 144. Especifica la versin de protocolo RIP que utiliza el VR. Puede ignorar la versin interfaz a interfaz. Consulte Versin de protocolo RIP en la pgina 142.
Valor(es) predeterminado(s) Desactivado
Incoming route map Outgoing route map Maximum alternate routes
Ninguna Ninguna 0
Summarize advertised routes RIP protocol version
Ninguna
Versin 2
Hold-timer
Evita el flapping (rechazo) de una ruta a la tabla de rutas. Puede 90 segundos especificar un valor entre los valores mnimo (tres veces el valor del temporizador de actualizacin (update)) y mximo (suma del temporizador de actualizacin (update) y el de retencin (hold), sin exceder el valor del temporizador flush). Especifica el intervalo de retransmisin de las respuestas desencadenadas en un circuito de demanda. Puede establecer el temporizador de retransmisin y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. Comprueba el vecino remoto del circuito de demanda para ver si dicho vecino est vivo. Puede configurar el temporizador de retransmisin en minutos y asignar una cuenta de reintentos que se ajuste a sus necesidades de red. Una cuenta de reintentos de cero (0) supone un sondeo interminable. 5 segundos 10 reintentos
Retransmit timer
Poll-timer
180 segundos 0 reintentos
131
Notificacin de la ruta predeterminada

Puede cambiar la configuracin de RIP incluyendo la notificacin de la ruta predeterminada y modificando la mtrica asociada a la ruta predeterminada.
Ejemplo: Notificacin de la ruta predeterminada

De forma predeterminada, la ruta predeterminada (0.0.0.0/0) no se notifica a los vecinos RIP. El siguiente comando notifica la ruta predeterminada a los vecinos RIP en el enrutador virtual trust-vr con un valor mtrico de 5 (hay que introducir un valor mtrico). La ruta predeterminada debe existir en la tabla de enrutamiento.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Advertising Default Route: (seleccione) Metric: 5
CLI
set vrouter trust-vr protocol rip adv-default-route metric number 5 save Nota: Consulte el manual NetScreen CLI Reference Guide para obtener ms informacin sobre los parmetros globales que se pueden configurar en el contexto del protocolo de enrutamiento RIP.
132
Parmetros de interfaz RIP
PARMETROS DE INTERFAZ RIP

En esta seccin se describen los parmetros RIP que se pueden configurar en el nivel de interfaz. Cuando se configura un parmetro RIP en el nivel de interfaz, los datos de configuracin afectan nicamente al funcionamiento RIP de la interfaz especificada. Puede modificar los ajustes de los parmetros de la interfaz mediante comandos de interfaz en la interfaz CLI o utilizando la interfaz WebUI. La siguiente tabla muestra los parmetros RIP de interfaz y sus valores predeterminados.
Parmetro de interfaz RIP Split-horizon Descripcin Indica si est habilitada la opcin de horizonte dividido (no notificar rutas reconocidas de una interfaz en actualizaciones enviadas a dicha interfaz, "split horizon"). Si est habilitada la opcin de horizonte dividido con rutas inalcanzables (poison reverse), las rutas reconocidas de una interfaz se notifican con un valor mtrico de 16 en las actualizaciones enviadas a dicha interfaz. Especifica la mtrica RIP de la interfaz. Valor predeterminado La opcin de horizonte dividido est habilitada. Las rutas inalcanzables estn inhabilitadas.
RIP metric Authentication
Especifica la autenticacin por contrasea de texto no encriptado o la No se utiliza autenticacin MD5. Consulte Autenticacin de vecinos en la pgina autenticacin. 135. Indica que la interfaz puede recibir, pero no transmitir paquetes RIP. Indica el filtro para las rutas que debe reconocer RIP. Indica el filtro para las rutas que debe notificar RIP. Especifica la versin de protocolo RIP para enviar o recibir actualizaciones en la interfaz. La versin de la interfaz utilizada para enviar actualizaciones no necesita ser la misma que la versin para recibir las actualizaciones. Consulte Versin de protocolo RIP en la pgina 142. Especifica si los resmenes de rutas estn habilitados en la interfaz. Consulte Resumen de prefijos en la pgina 144. No Ninguna Ninguna Versin configurada para el enrutador virtual
Passive mode Incoming route map Outgoing route map RIP version for sending or receiving updates
Route summarization
Desactivado
133
Parmetros de interfaz RIP
Parmetro de interfaz RIP Demand-circuit
Descripcin Especifica el circuito de demanda en una interfaz de tnel especificada. El dispositivo NetScreen enva mensajes de actualizacin solamente cuando se producen cambios. Consulte Circuitos de demanda en interfaces de tnel en la pgina 148. Especifica la direccin IP de un vecino RIP asignado manualmente.
Valor predeterminado Ninguna
Static neighbor IP
Ninguna
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y otro mapa de rutas de entrada en el nivel de la interfaz, ste ltimo tendr preferencia sobre el primero. Para obtener ms informacin, consulte Configuracin de un mapa de rutas en la pgina 56.
Ejemplo: Ajuste de parmetros de interfaz RIP

En este ejemplo configuraremos los siguientes parmetros RIP para la interfaz trust: Active la autenticacin MD5 con la clave 1234567898765432 y la ID de clave 215. Habilite la opcin de horizonte dividido con rutas inalcanzables para la interfaz.
WebUI
Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes datos y haga clic en OK : Authentication: MD5 (seleccione) Key: 1234567898765432 Key ID: 215 Split Horizon: Enabled with poison reverse (seleccione)
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id 215 set interface trust protocol rip split-horizon poison-reverse save
134
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento RIP y algunos mtodos de prevencin de ataques. Nota: Para que RIP sea ms seguro, todos los enrutadores de un dominio RIP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador RIP comprometido podra llegar a dejar inservible todo el domino de enrutamiento RIP.
Un enrutador RIP se puede suplantar fcilmente, ya que los paquetes RIP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes RIP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los vecinos RIP. RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por autenticacin de contrasea simple y por autenticacin MD5. Todos los paquetes RIP recibidos en la interfaz que no se autentiquen se descartarn. De forma predeterminada, ninguna interfaz RIP tiene la autenticacin habilitada. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores RIP de envo y recepcin. Puede especificar ms de una clave MD5 en el dispositivo NetScreen, cada una de las cuales tendr su propia clave. Si configura varias claves MD5 en el dispositivo NetScreen, podr seleccionar un identificador para la clave que se utilizar para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar peridicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algn paquete se descarte.
135
Ejemplo: Configuracin de una contrasea MD5

En el siguiente ejemplo, crear dos claves MD5 distintas para la interfaz ethernet1 y seleccionar una de ellas para que sea la clave activa. El identificador de clave predeterminado es 0, de forma que no tendr que especificar el identificador para la primera clave MD5 que introduzca.
WebUI
Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes datos y haga clic en Apply : MD5 Keys: (seleccione) 1234567890123456 (primer campo de clave) 9876543210987654 (segundo campo de clave) Key ID: 1 Preferred: (seleccione)
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456 set interface ethernet1 protocol rip authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1 save
136
Filtrado de vecinos RIP

Los entornos de acceso mltiple permiten que los dispositivos, incluyendo los enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar problemas de estabilidad o rendimiento si los dispositivos conectados no son fiables. Con objeto de evitar este problema, puede utilizar una lista de acceso para filtrar los dispositivos admitidos como vecinos RIP. De forma predeterminada, slo se admiten como vecinos RIP los dispositivos ubicados en la misma subred que el enrutador virtual NetScreen.
Ejemplo: Configuracin de vecinos fiables

En este ejemplo, configurar los siguientes parmetros globales para la instancia de enrutamiento RIP que se est ejecutando en el trust-vr: El nmero mximo de vecinos RIP es 1. La direccin IP del vecino fiable, 10.1.1.1, figura en una lista de acceso.
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 10 Sequence No.: 1 IP/Netmask: 10.1.1.1/32 Action: Permit (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Trusted Neighbors: (seleccione), 10 Maximum Neighbors: 1
137
CLI
set vrouter trust-vr ns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1 ns(trust-vr)-> set protocol rip ns(trust-vr/rip)-> set max-neighbor-count 1 ns(trust-vr/rip)-> set trusted-neighbors 10 ns(trust-vr/rip)-> exit ns(trust-vr)-> exit save

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede entregar informacin crtica a los paquetes antes de reenviarlos. En los dispositivos NetScreen, RIP acepta en principio cualquier ruta predeterminada reconocida en RIP y agrega la ruta predeterminada a la tabla de rutas.
Ejemplo: Rechazo de rutas predeterminadas

En este ejemplo, configurar la instancia de enrutamiento RIP que se est ejecutando en el trust-vr para que rechace todas las rutas predeterminadas reconocidas en RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Reject Default Route Learnt by RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip reject-default-route save
Proteccin contra inundaciones

Un enrutador que se encuentre comprometido o que no funcione correctamente puede inundar a sus vecinos con paquetes de actualizacin de enrutamiento RIP. En el enrutador virtual NetScreen es posible configurar el nmero mximo de paquetes de actualizacin que se pueden recibir en una interfaz RIP durante un intervalo de actualizacin para impedir la inundacin con paquetes de actualizacin. Todos los paquetes de actualizacin que excedan el umbral de actualizacin configurado se descartarn. Si no se establece ningn umbral de actualizacin, se aceptarn todos los paquetes de actualizacin. Es necesario actuar con cuidado al configurar un umbral de actualizacin cuando los vecinos tienen tablas de enrutamiento de grandes dimensiones, ya que el nmero de actualizaciones de enrutamiento puede ser bastante elevado durante un intervalo determinado debido a las actualizaciones flash. Los paquetes de actualizacin que excedan el umbral se descartan, y es posible que no se reconozcan rutas vlidas.
Ejemplo: Configuracin de un umbral de actualizacin

En este ejemplo, ajustar a 4 el nmero mximo de paquetes de actualizacin de enrutamiento que RIP puede recibir en una interfaz.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: Introduzca los siguientes datos y haga clic en OK : Maximum Number Packets per Update Time: (seleccione), 4
CLI
set vrouter trust-vr protocol rip threshold-update 4 save
139
Ejemplo: Habilitacin de RIP en interfaces de tnel

En el siguiente ejemplo se crea y habilita una instancia de enrutamiento RIP en el trust-vr del dispositivo NetScreen-A. RIP se habilita en la interfaz de tnel VPN y en la interfaz de zona Trust. Slo las rutas que se encuentran en la subred 10.10.0.0/16 se notifican al vecino RIP de NetScreen B. Esto se realiza configurando en primer lugar una lista de acceso que slo permita las direcciones de la subred 10.10.0.0/16 y especificando despus un mapa de rutas abcd que permita las rutas que coincidan con la lista de acceso. A continuacin, se indica el mapa de rutas para filtrar las rutas notificadas a los vecinos RIP.
Zona Trust Zona Untrust
10.20.0.0/16
NetScreen-A (RIP)
Internet Tnel VPN
NetScreen-B (RIP)
1.1.1.1/16
10.10.0.0/16 Tunnel.1
2.2.2.2/16 Enrutador RIP
Enrutador RIP
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP Instance: Seleccione Enable RIP y haga clic en OK . Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 10 Sequence No.: 10 IP/Netmask: 10.10.0.0/16 Action: Permit
140
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: abcd Sequence No.: 10 Action: Permit Match Properties: Access List: (seleccione), 10 Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione los siguientes datos y haga clic en OK : Outgoing Route Map Filter: abcd Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes datos y haga clic en Apply : Enable RIP: (seleccione) Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos y haga clic en Apply : Enable RIP: (seleccione)
CLI
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface tunnel.1 protocol rip enable set interface trust protocol rip enable set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10 set vrouter trust-vr route-map name abcd permit 10 set vrouter trust-vr route-map abcd 10 match ip 10 set vrouter trust-vr protocol rip route-map abcd out save
141
Configuraciones opcionales de RIP
CONFIGURACIONES OPCIONALES DE RIP

Esta seccin describe las diversas funciones de RIP que puede configurar.
Versin de protocolo RIP

En los dispositivos NetScreen, puede configurar la versin de protocolo RIP para el enrutador virtual (VR) y para cada interfaz RIP que enve y reciba actualizaciones. Segn la norma RFC 2453, el VR puede ejecutar una versin de RIP diferente de la instancia de RIP ejecutada en una interfaz determinada. Puede configurar tambin diversas versiones de protocolo RIP para enviar y recibir actualizaciones en una interfaz RIP. En el VR, puede configurar la versin 1 o la versin 2 de RIP; el valor predeterminado es la versin 2. Para enviar actualizaciones en interfaces RIP, puede configurar la versin 1, la versin 2 o el modo compatible con la versin 1 de RIP (descrito en la norma RFC 2453). Para recibir actualizaciones en interfaces RIP, puede configurar la versin 1 o la versin 2 de RIP o ambas versiones; 1 y 2. Nota: No se recomienda usar ambas versiones 1 y 2. Entre la versin 1 y 2 del protocolo pueden producirse complicaciones de red. Para enviar y recibir actualizaciones en interfaces RIP, la versin predeterminada de protocolo RIP es la versin que est configurada para el VR.
Ejemplo: Ajustar las versiones de protocolo RIP

En el ejemplo siguiente, establece la versin 1 del protocolo RIP en trust-vr. Para la interfaz ethernet3, establece la versin 2 del protocolo RIP tanto para enviar como para recibir actualizaciones.
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP Instance: Seleccione V1 para Version y luego haga clic en Apply . Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para Sending and Receiving en Update Version y luego haga clic en Apply .
142
CLI
set vrouter trust-vr protocol rip version 1 set interface ethernet3 protocol rip receive-version v2 set interface ethernet3 protocol rip send-version v2 save Para verificar la versin de RIP en el VR y en las interfaces RIP, puede introducir el comando get vrouter trust-vr protocol rip .
VR: trust-vr ---------------------------------State: enabled Version: 1 Default metric for routes redistributed into RIP: 10 Maximum neighbors per interface: 512 Not validating neighbor in same subnet: disabled Next RIP update scheduled after: 14 sec Advertising default route: disabled Default routes learnt by RIP will be accepted Incoming routes filter and offset-metric: not configured Outgoing routes filter and offset-metric: not configured Update packet threshold is not configured Total number of RIP interfaces created on vr(trust-vr): 1 Update Invalid Flush (Timers in seconds) ------------------------------------------------------------30 180 120 Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I Demand Circuit - D Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx -------------------------------------------------------------------------------ethernet3 20.20.1.2/24 enabled enabled S 0 1 2/2
En el ejemplo de arriba, el dispositivo NetScreen est ejecutando la versin 1 de RIP en trust-vr; pero se est ejecutando la versin 2 de RIP en la interfaz ethernet3 para enviar y recibir actualizaciones.
143
Resumen de prefijos
Puede configurar una ruta de resumen que englobe el rango de prefijos de ruta al que deber notificar RIP. Entonces, el dispositivo NetScreen notifica solamente la ruta que corresponde al rango del resumen en lugar de notificar individualmente cada ruta incluida en el rango de resumen. Esto puede reducir el nmero de entradas de ruta enviadas en las actualizaciones de RIP y reducir el nmero de entradas que los vecinos RIP necesitan almacenar en sus tablas de enrutamiento. Habilite el resumen de ruta en la interfaz RIP desde la que el dispositivo enva. Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resumen en otra interfaz. Nota: No puede habilitar selectivamente el resumen para un rango de resumen especfico; cuando habilita el resumen en una interfaz, todas las rutas de resumen configuradas aparecen en las actualizaciones de enrutamiento. Al configurar la ruta de resumen, no puede especificar los rangos de prefijos mltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la ruta predeterminada. Puede especificar opcionalmente una mtrica para la ruta de resumen. Si no especifica una mtrica, se utilizar la mtrica ms grande para todas las rutas incluidas en el rango de resumen. En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para obtener ms informacin sobre establecer una interfaz NULL, consulte Ejemplo: Evitar bucles creados por las rutas resumidas en la pgina 88.
Ejemplo: Habilitar el resumen de prefijos

En el ejemplo siguiente, configure una ruta de resumen 10.1.0.0/16, que englobe los prefijos 10.1.1.0/24 y 10.1.2.0/24. Para permitir que ethernet3 enve la ruta de resumen en las actualizaciones de RIP, necesita habilitar el resumen en la interfaz.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance > Summary IP: Introduzca los siguientes datos y haga clic en Add : Summary IP: 10.1.0.0 Netmask: 16 Metric: 1 Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization y haga clic en Apply .
CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 set interface ethernet3 protocol rip summary-enable save
Ejemplo: Inhabilitar el resumen de prefijos

En el ejemplo siguiente, inhabilite una ruta de resumen de prefijos para ethernet3 en el trust-vr.
WebUI
Network > Routing > Virtual Routers > Edit (para ethernet3) > Edit RIP Instance > Summary IP: Anule la seleccin en Summarization y luego haga clic en Apply.
CLI
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 unset interface ethernet3 protocol rip summary-enable save
145
Rutas alternativas
El dispositivo NetScreen mantiene una base de datos RIP para las rutas que ha aprendido el protocolo y las rutas que se redistribuyen en RIP. De forma predeterminada, solamente se mantiene la mejor ruta de un prefijo dado en la base de datos. Puede permitir la existencia de una, dos o tres rutas alternativas de RIP para el mismo prefijo en la base de datos RIP. Si permite las rutas alternativas para un prefijo en la base de datos RIP, las rutas al mismo prefijo con un origen RIP o un siguiente salto diferente se aaden a la base de datos RIP. Esto hace que RIP pueda admitir los circuitos de demanda y la conmutacin por fallo rpida. Nota: Juniper Networks recomienda el uso de rutas alternativas con los circuitos de demanda. Para obtener ms informacin sobre circuitos de demanda, consulte Circuitos de demanda en interfaces de tnel en la pgina 148. Solamente se aade a la tabla de enrutamiento de un enrutador virtual (VR) y se anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP aade la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se aade a la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a la tabla de enrutamiento y deja de utilizar la ruta antigua. Segn el lmite de la ruta alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base de datos RIP. Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter vrouter protocol rip database . En el ejemplo siguiente, el nmero de rutas alternativas para la base de datos RIP se ajusta a un nmero mayor que 0. La base de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la ruta con el coste ms bajo, se incluye en la tabla de enrutamiento de VR.
VR: trust-vr --------------------------------------------------------------------------------Total database entry: 14 Flags: Added in Multipath - M, RIP - R, Redistributed - I Default (advertised) - D, Permanent - P, Summary - S Unreachable - U, Hold - H DBID Prefix Nexthop Interface Cost Flags Source --------------------------------------------------------------------------------. . . 47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1 46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5 . . . Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento 146
Si est habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52) y existen varias rutas de igual coste en la base de datos RIP para un prefijo dado, RIP aade las rutas mltiples para el prefijo en la tabla de enrutamiento del VR hasta el lmite de ECMP. En algunos casos, el lmite de la ruta alternativa en la base de datos RIP puede hacer que las rutas RIP no se aadan a la tabla de enrutamiento del VR. Si el lmite de ECMP es inferior o igual al lmite de la ruta alternativa en la base de datos RIP, las rutas RIP que no se aadan a la tabla de enrutamiento del VR permanecern en la base de datos RIP; estas rutas se aaden a la tabla de enrutamiento del VR solamente si se elimina una ruta anteriormente aadida o si ya no es la mejor ruta RIP para el prefijo de red. Por ejemplo, si el lmite de ECMP es 2 y el lmite de la ruta alternativa en la base de datos RIP es 3, solamente podr haber dos rutas RIP para el mismo prefijo con el mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el mismo prefijo/mismo coste en la base de datos RIP, pero solamente se aaden dos rutas a la tabla de enrutamiento del VR.
Ejemplo: Ajuste de rutas alternativas

En el ejemplo siguiente, establezca en 1 el nmero de rutas alternativas permitidas para un prefijo de la base de datos RIP en trust-vr. Esto permite que haya una ruta mejor y una ruta alternativa en cualquier prefijo dado de la base de datos RIP en el VR.
WebUI
Network > Routing > Edit (para trust-vr) > Edit RIP Instance: Introduzca 1 en el campo Maximum Alternative Route y luego, haga clic en Apply.
CLI
set vrouter trust-vr protocol rip alt-route 1 save
147

Un circuito de demanda es una conexin de punto a punto entre dos interfaces de tnel. Sobrecarga mnima de red en trminos del paso de mensajes entre los puntos extremo del circuito de demanda. Los circuitos de demanda de RIP, definidos por la norma RFC 2091 para las redes de rea extensa, admiten grandes cantidades de vecinos RIP en los tneles VPN de los dispositivos NetScreen. Los circuitos de demanda de RIP eliminan la transmisin peridica de los paquetes RIP a travs de la interfaz de tnel. Para evitar la sobrecarga, el dispositivo NetScreen enva la informacin RIP solamente cuando se producen cambios en la base de datos de enrutamiento. El dispositivo NetScreen retransmite tambin las actualizaciones y peticiones hasta que se reciben los reconocimientos vlidos. El dispositivo NetScreen aprende los vecinos RIP mediante la configuracin de vecinos esttica, y si se desactiva el tnel VPN, el RIP limpia las rutas aprendidas desde la direccin IP del vecino. Las rutas aprendidas de los circuitos de demanda no caducan con los temporizadores RIP porque los circuitos de demanda estn en un estado permanente. Las rutas en estado permanente se eliminan solamente bajo las condiciones siguientes: Una ruta antes accesible cambia a inalcanzable en una respuesta entrante El tnel VPN se desactiva o el circuito de demanda est desactivado debido a un nmero excesivo de retransmisiones no reconocidas
En el dispositivo NetScreen, tambin puede configurar una interfaz de tnel de punto a punto o de punto a multipunto como circuito de demanda. Debe inhabilitar route-deny (si est configurado) en un tnel de punto a multipunto de modo que todas las rutas puedan alcanzar sitios remotos. Aunque no se requiera, tambin puede inhabilitar el horizonte dividido en la interfaz de punto a multipunto con los circuitos de demanda. Si inhabilita el horizonte dividido, los puntos extremos pueden aprender entre s. Debe configurar la supervisin de VPN con reencriptacin en los tneles VPN para aprender el estado del tnel. Despus de configurar el circuito de demanda y los vecinos estticos, puede ajustar el temporizador/retransmisor RIP, el temporizador de sondeo, y el temporizador de retencin para ajustarse a sus requisitos de red. Los ejemplos sobre cmo configurar un circuito de demanda y un vecino esttico se muestran despus de esta seccin. Un ejemplo de configuracin de red RIP con circuitos de demanda a travs de interfaces de tnel de punto a multipunto empieza en la pgina 151.
148
Ejemplo: Configuracin de un circuito de demanda

En el ejemplo siguiente, configurar la interfaz tunnel.1 para que acte como circuito de demanda y guardar la configuracin.
WebUI
Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit y haga clic en Apply.
CLI
set interface tunnel.1 protocol rip demand-circuit save Despus de habilitar un circuito de demanda, puede activar su estado y sus temporizadores con el comando get vrouter vrouter protocol rip database . Puede modificar los temporizadores en funcin del rendimiento del circuito de demanda.
Rendimiento del circuito de demanda Relativamente lento Sin prdidas Congestionado y con prdidas Sugerencia Puede reconfigurar el temporizador de retransmisin a un valor superior para reducir el nmero de retransmisiones. Puede reconfigurar el temporizador de retransmisiones para reducir la cuenta de reintentos. Puede reconfigurar el temporizador de retransmisiones a una cuenta de reintentos superior para dar al vecino esttico ms tiempo de respuesta antes de forzar al vecino esttico a un estado de POLL (sondeo).
149
Configuracin de un vecino esttico

Una interfaz de punto a multipunto que est ejecutando RIP requiere vecinos configurados estticamente. Para los circuitos de demanda de configuracin manual, es la nica forma de que un dispositivo NetScreen aprenda las direcciones vecinas en las interfaces de punto a multipunto. Para configurar un vecino esttico RIP introduzca el nombre de la interfaz y la direccin IP del vecino RIP.
Ejemplo: Configuracin de un vecino esttico

En el ejemplo siguiente configurar el vecino RIP con la direccin IP 10.10.10.2 de la interfaz tunnel.1.
WebUI
Network > Interfaces > (Edit) RIP: Haga clic en el botn Static Neighbor IP para avanzar a la tabla Static Neighbor IP. Introduzca la direccin IP del vecino esttico y haga clic en Add .
CLI
set interface tunnel.1 protocol rip neighbor 10.10.10.2 unset interface tunnel.1 protocol rip neighbor 10.10.10.2 save
150
INTERFAZ DE TNEL PUNTO A MULTIPUNTO

RIP punto a multipunto se admite en interfaces de tnel numeradas para las versiones 1 y 2 de RIP. Debe inhabilitar el horizonte dividido en un tnel de interfaz de punto a multipunto que configure con o sin circuitos de demanda de modo que los mensajes alcancen todos los sitios remotos. RIP aprende dinmicamente sobre los vecinos. RIP enva todos los mensajes transmitidos a la direccin multicast 224.0.0.9 y los reduplica a todos los tneles segn convenga. Si desea configurar RIP como tnel punto a multipunto con circuitos de demanda, debe disear su red en una configuracin radial (hub and spoke).
Ejemplo: Punto a multipunto con circuitos de demanda

La red de este ejemplo pertenece a una empresa de tamao mediano con su oficina central (CO) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo NetScreen. Los siguientes son los requisitos de configuracin especficos del dispositivo NetScreen en la CO: 1. 2. 3. 4. 1. 2. 3. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a continuacin, configurar la zona y la interfaz tunnel.1. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1. Configurar vecinos estticos RIP en el dispositivo NetScreen de la oficina central (CO). No cambiar los valores predeterminados del temporizador en este ejemplo. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a continuacin, configurar la zona y la interfaz tunnel.1. Configurar la VPN y asociarla a la interfaz tunnel.1. No configurar vecinos estticos en los dispositivos NetScreen de la oficina remota. Los dispositivos de la oficina remota solamente tienen un dispositivo vecino que ser descubierto por las peticiones multicast iniciales. No cambiar los valores predeterminados del temporizador en este ejemplo.
Los siguientes son los requisitos de configuracin propios de los dispositivos NetScreen remotos:
4.
151
Desde la perspectiva de cada dispositivo NetScreen, todos los dispositivos NetScreen remotos se encuentran en la zona Untrust. Todas las LANs situadas detrs de esos dispositivos se encuentran en la zona personalizada llamada vpn. La interfaz tunnel.1 en cada sitio tambin se encuentra en la zona de seguridad de vpn. ethernet1 Zona Trust 10.1.1.1/24 Trust 10.1.1.0/24 ethernet3 Zona Untrust 1.1.1.1/24 VPN 1
New York tunnel.1 10.0.0.2 Untrust 2.2.2.2 Los Angeles Trust 10.2.2.0/24
San Francisco (CO)
VPN 2 tunnel.1 zona vpn 4 VPNs asociadas a tunnel.1 VPN 3 Internet
tunnel.1 10.0.0.3 Untrust 3.3.3.3 Montreal tunnel.1 10.0.0.4 Untrust 4.4.4.4 Chicago tunnel.1 10.0.0.5 Untrust 5.5.5.5
Trust 10.3.3.0/24
Trust 10.4.4.0/24
Nota: Las zonas de seguridad Untrust y vpn no se muestran.
VPN 4
Trust 10.5.5.0/24
En este diagrama de red, se originan cuatro VPNs en el dispositivo NetScreen de San Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, Montreal y Chicago. Desde la perspectiva de cada dispositivo NetScreen, los dispositivos NetScreen remotos estn en la zona no fiable, pero las LAN que hay detrs de esos dispositivos estn en zonas de seguridad personalizadas llamadas vpn. La interfaz tunnel.1 de cada sitio tambin se encuentra en la zona de vpn. En este ejemplo, configurar los siguientes ajustes en el dispositivo NetScreen de la oficina central CO: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y RIP 4. Vecinos estticos 5. Ruta de resumen 6. Directiva Para poder comprobar el estado del circuito en el dispositivo de la oficina central CO, debe habilitar la supervisin de VPN.
Para completar la configuracin de la red, configurar los siguientes ajustes en cada uno de los cuatro dispositivos NetScreen de las oficinas remotas: 1. 2. 3. 4. Interfaces y zona de seguridad VPN Rutas y RIP Directiva
Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
WebUI (dispositivo de la oficina central)

1. Zonas de seguridad e interfaces
Network > Zones > New Network > Interfaces > New Tunnel IF Network > Interfaces > Edit (para ethernet1, ethernet3 y tunnel.1)
2.
VPN
VPNs > AutoKey Advanced > Gateway > New VPNs > AutoKey IKE > New
3.
Rutas y RIP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Instance Network > Interfaces > Edit (para tunnel.1) > RIP
4.
Vecinos estticos
Network > Interfaces > Edit (para tunnel.1) > RIP > Static Neighbor IP
153
5. 6.
Ruta de resumen
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP Instance > Summary IP

Policies > New
CLI (dispositivo de la oficina central)

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set zone name vpn set interface tunnel.1 zone vpn set interface tunnel.1 ip 10.0.0.1/24
2.
VPN
set ike gateway gw1 ripvpn proposal set ike gateway gw2 ripvpn proposal set ike gateway gw3 ripvpn proposal set ike gateway gw4 ripvpn proposal address 2.2.2.2 pre-g2-3des-sha address 3.3.3.3 pre-g2-3des-sha address 4.4.4.4 pre-g2-3des-sha address 5.5.5.5 pre-g2-3des-sha main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare main outgoing-interface ethernet3 preshare
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1
154
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn1 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn1 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn1 id 4 bind interface tunnel.1
3.
Rutas y RIP
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set vrouter trust-vr protocol rip summary-ip 100.10.0.0/16 set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip enable set interface tunnel.1 protocol rip demand-circuit
4.
Vecinos estticos
set set set set interface interface interface interface tunnel.1 tunnel.1 tunnel.1 tunnel.1 protocol protocol protocol protocol rip rip rip rip neighbor neighbor neighbor neighbor 10.0.0.2 10.0.0.3 10.0.0.4 10.0.0.5
5.
Ruta de resumen
set interface tunnel.1 protocol rip summary-enable save
6.

155
Puede seguir estos pasos para configurar el dispositivo NetScreen de la oficina remota. Al configurar la oficina remota, no necesita configurar vecinos estticos. En un entorno de circuito de demanda, solamente existe un vecino para el dispositivo remoto y ste aprende la informacin del vecino cuando enva un mensaje multicast durante el arranque. Para completar la configuracin mostrada en el diagrama de la pgina 152, debe repetir esta seccin por cada dispositivo remoto y cambiar las direcciones IP, los nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades de la red. En cada sitio remoto, las zonas trust y vpn cambian. Nota: En este ejemplo, cada seccin de WebUI enumera solamente rutas navegacionales que conducen a las pginas necesarias para configurar el dispositivo. Para consultar los parmetros y valores especficos que necesita establecer para cualquier seccin de WebUI, consulte la seccin de CLI que le sigue.
WebUI (dispositivo de oficina remota)

Network > Zones > New Network > Interfaces > New Tunnel IF Network > Interfaces > Edit (para ethernet1, ethernet3 y tunnel.1)
2.
VPN
VPNs > AutoKey Advanced > Gateway > New VPNs > AutoKey IKE > New
3.
Rutas y RIP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create RIP Instance Network > Interfaces > Edit (para tunnel.1) > RIP
4.

Policies > New
156
CLI (dispositivo de oficina remota)

1. Interfaz, protocolo de enrutamiento y zona
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set zone name vpn set interface tunnel.1 zone vpn set interface tunnel.1 ip 10.0.0.2/24
2.
VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare ripdc proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn vpn1 id 1 bind interface tunnel.1
3.
Rutas y RIP
set interface tunnel.1 protocol rip set interface tunnel.1 protocol rip demand-circuit set interface tunnel.1 protocol rip enable
4.

157
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol rip neighbors . Los vecinos de un circuito de demanda aparecen en la tabla de vecinos; la informacin del vecino no envejece ni expira. Puede ver la base de datos RIP ejecutando el comando get vrouter vrouter protocol rip database . Junto a las entradas de los circuitos de demanda aparece una P que indica que son permanentes .
158
Captulo 5
Protocolo de puerta de enlace de lmite (BGP)

Introduccin al protocolo BGP en la pgina 160 Tipos de mensajes BGP en la pgina 161 Atributos de ruta en la pgina 161 BGP externo e interno en la pgina 162 Configuracin bsica de BGP en la pgina 163 Creacin y habilitacin de una instancia de BGP en la pgina 164 Habilitacin de BGP en interfaces en la pgina 166 Configuracin de un interlocutor BGP en la pgina 167 Comprobacin de la configuracin BGP en la pgina 173 Configuracin de seguridad en la pgina 175 Autenticacin de vecinos en la pgina 175 Rechazo de rutas predeterminadas en la pgina 176 Configuraciones opcionales de BGP en la pgina 177 Redistribucin de rutas en la pgina 179 Lista de acceso AS-path en la pgina 180 Adicin de rutas a BGP en la pgina 182 Reflexin de rutas en la pgina 186 Confederaciones en la pgina 189 Comunidades BGP en la pgina 192 Agregacin de rutas en la pgina 193
En este captulo se describe el protocolo BGP en los dispositivos NetScreen. Para ello se tratarn los siguientes temas:
159
Captulo 5 Protocolo de puerta de enlace de lmite (BGP)
Introduccin al protocolo BGP
INTRODUCCIN AL PROTOCOLO BGP

El protocolo BGP (Border Gateway Protocol) es un protocolo de vectores de rutas que se utiliza para transportar informacin de enrutamiento entre sistemas autnomos1 (ASs). La informacin de enrutamiento BGP incluye la secuencia de nmeros de los AS que un prefijo de red (una ruta) ha atravesado. La informacin de ruta asociada al prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento. ScreenOS es compatible con la versin 4 de BGP (BGP-4), tal y como se define en la norma RFC 1771. Dos interlocutores BGP establecen una sesin BGP para intercambiar informacin de enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos interlocutores. En primer lugar, los interlocutores BGP deben establecer una conexin TCP entre s para abrir una sesin BGP. Una vez establecida la conexin inicial, los interlocutores intercambian las tablas de enrutamiento completas. A medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian mensajes de actualizacin con los interlocutores. Cada enrutador BGP mantiene actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene sesiones, envindoles peridicamente mensajes de mantenimiento de conexin para verificar las conexiones. El interlocutor BGP slo notifica las rutas que est utilizando en ese momento. Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta que describen sus caractersticas. El enrutador BGP compara los atributos de ruta y el prefijo para elegir la mejor ruta de todas las disponibles para un destino determinado.
1.
Un sistema autnomo es un conjunto de enrutadores que se encuentran en el mismo dominio administrativo.
160
Tipos de mensajes BGP

El protocolo BGP utiliza cuatro tipos de mensajes para la comunicacin con los interlocutores: Los mensajes Open permiten que los interlocutores BGP se identifiquen mutuamente antes de iniciar la sesin GP. Estos mensajes se envan cuando los interlocutores han establecido una sesin TCP. Durante el intercambio de mensajes de apertura, los interlocutores BGP especifican su versin de protocolo, nmero de AS, tiempo de espera e identificador BGP. Los mensajes Update notifican rutas al interlocutor y retiran las rutas notificadas previamente. Los mensajes Notification indican errores. La sesin BGP se termina y se cierra la sesin TCP. Nota: El dispositivo NetScreen no enviar un mensaje de notificacin a un interlocutor si, durante el intercambio de mensajes de apertura, el interlocutor indica que admite protocolos con los que el dispositivo NetScreen no es compatible. Los mensajes Keepalive se utilizan para el mantenimiento de la sesin BGP. De forma predeterminada, el dispositivo NetScreen enva mensajes de mantenimiento de conexin a los interlocutores cada 60 segundos. Este intervalo se puede configurar.
Atributos de ruta
Los atributos de ruta BGP son un grupo de parmetros que describen las caractersticas de una ruta. El protocolo BGP empareja los atributos con la ruta que describen y, a continuacin, compara todas las rutas disponibles para un destino para as seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta obligatorios y bien conocidos son: Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto). AS-Path contiene una lista de sistemas autnomos a travs de los cuales ha pasado la notificacin de ruta. Next-Hop es la direccin IP del enrutador al que se enva trfico para la ruta. Multi-Exit Discriminator (MED) es una mtrica para aquellas rutas en las que hay mltiples vnculos entre sistemas autnomos (un AS configura el MED y otro AS lo utiliza para elegir una ruta).
Los atributos de ruta opcionales son:
161
Local-Pref es una mtrica utilizada para informar a los interlocutores BGP de las preferencias del enrutador local para elegir una ruta. Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local seleccion una ruta menos especfica de un conjunto de rutas superpuestas recibidas de un interlocutor. Aggregator especifica el AS y el enrutador que realizaron la agregacin de la ruta. Communities especifica una o varias comunidades a las que pertenece la ruta. Cluster List contiene una lista de los clsteres de reflexin a travs de los cuales ha pasado la ruta.
Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta opcionales antes de notificrsela a los interlocutores.
BGP externo e interno

El protocolo BGP externo (EBGP) se utiliza entre sistemas autnomos, p. ej., cuando distintas redes ISP se conectan entre s o una red empresarial se conecta a una red ISP. El protocolo BGP interno (IBGP) se utiliza dentro de un sistema autnomo, p. ej., una red de una empresa. El objetivo principal de IBGP es distribuir los enrutadores reconocidos por EBGP en los enrutadores del AS. As, un enrutador IBGP puede notificar a sus interlocutores IBGP rutas reconocidas por sus interlocutores EBGP, pero no puede notificar rutas reconocidas por sus interlocutores IBGP a otros interlocutores IBGP. Esta restriccin impide que se formen bucles de notificacin de ruta dentro de la red, pero tambin implica que una red IBGP debe estar absolutamente mallada (es decir, cada enrutador BGP de la red debe tener una sesin con cada uno de los otros enrutadores de la red). Determinados atributos de ruta slo son aplicables a EBGP o IBGP. Por ejemplo, el atributo MED slo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-PREF slo est presente en mensajes IBGP.
162
Configuracin bsica de BGP
CONFIGURACIN BSICA DE BGP

En un dispositivo NetScreen, cada instancia de BGP se crea individualmente por cada enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podr habilitar varias instancias de BGP, una por cada enrutador virtual. Nota: Antes de configurar un protocolo de enrutamiento dinmico en el dispositivo NetScreen, deber asignar una ID de enrutador virtual, tal y como se describe en el Captulo 2, Enrutadores virtuales. Los cinco pasos bsicos para configurar BGP en un VR en un dispositivo NetScreen son: 1. 2. 3. 4. 5. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtual, asignando primero un nmero de sistema autnomo a la instancia de BGP y habilitando despus la instancia. Habilitar BGP en la interfaz conectada al interlocutor. Habilitar cada interlocutor BGP. Configurar uno o varios interlocutores BGP remotos. Comprobar que el protocolo BGP est configurado correctamente y funciona.
En esta seccin se describe la correcta ejecucin de cada una de estas tareas para el ejemplo que se muestra a continuacin, utilizando la interfaz WebUI y la lnea de comandos CLI. En este ejemplo configuraremos el dispositivo NetScreen como interlocutor BGP en el sistema AS 65000. Deber configurar el dispositivo NetScreen de modo que establezca una sesin BGP con el interlocutor en el AS 65500.
Nmeros de los sistemas autnomos AS 65000 Dispositivo NetScreen ID de enrutador 1.1.1.250 Direccin IP de interfaz 1.1.1.1/24 BGP habilitado Interlocutores BGP Sistemas autnomos AS 65500 Enrutador remoto Direccin IP de interfaz 2.2.2.2/24 BGP habilitado ID de enrutador 2.2.2.250
163
Creacin y habilitacin de una instancia de BGP

Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual (VR) especfico ubicado en un dispositivo NetScreen. Para crear una instancia de enrutamiento BGP, primero se debe especificar el nmero de sistema autnomo2 en el se que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el nmero de sistema autnomo ser el mismo que el de otros enrutadores IBGP de la red. Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de enrutamiento BGP ser capaz de establecer contacto e iniciar una sesin con los interlocutores BGP que configure.
Ejemplo: Creacin de una instancia BGP

En el siguiente ejemplo, en primer lugar asignar 0.0.0.10 como ID de enrutador a trust-vr. A continuacin crear y habilitar una instancia de enrutamiento BGP en el trust-vr, que se encuentra en el dispositivo NetScreen en AS 65000. (Para obtener ms informacin sobre enrutadores virtuales y cmo configurar un enrutador virtual en dispositivos NetScreen, consulte el Captulo 2, Enrutadores virtuales).
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10.
2. Instancia de enrutamiento de BGP

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en OK : AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
2. Los nmeros de sistemas autnomos (AS) son nmeros exclusivos en todo el mundo que se utilizan para intercambiar informacin de enrutamiento EBGP y para identificar el sistema autnomo. Las siguientes entidades asignan nmeros de AS: American Registry for Internet Numbers (ARIN), Reseaux IP Europeens (RIPE) y Asia Pacific Network Information Center (APNIC). Los nmeros 64512 a 65535 son de uso privado y no para su notificacin global en Internet.
164
CLI
1. ID de enrutador
2. Instancia de enrutamiento de BGP

set vrouter trust-vr protocol bgp 65000 set vrouter trust-vr protocol bgp enable save
Ejemplo: Eliminacin de una instancia de BGP

En este ejemplo inhabilitar y eliminar la instancia de enrutamiento de BGP en el enrutador trust-vr. BGP detendr todas las sesiones con los interlocutores.
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance : Anule la seleccin de BGP Enabled y haga clic en OK . Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP Instance y haga clic en OK cuando aparezca el mensaje de confirmacin.
CLI
unset vrouter trust-vr protocol bgp enable unset vrouter trust-vr protocol bgp 65000 save
165
Habilitacin de BGP en interfaces

Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma predeterminada, las interfaces del dispositivo NetScreen no estn asociadas a ningn protocolo de enrutamiento).
Ejemplo: Habilitacin de BGP en interfaces

En este ejemplo habilitar BGP en la interfaz ethernet4.
WebUI
Network > Interfaces > Configure (para ethernet4): Seleccione Protocol BGP y haga clic en OK .
CLI
set interface ethernet4 protocol bgp save
Ejemplo: Inhabilitacin de BGP en interfaces

En este ejemplo inhabilitar BGP en la interfaz ethernet4. En las dems interfaces en las que haya habilitado BGP podrn continuar transmitiendo y procesando paquetes BGP.
WebUI
Network > Interfaces > Configure (para ethernet4): Anule la seleccin de Protocol BGP y haga clic en OK .
CLI
unset interface ethernet4 protocol bgp save
166
Configuracin de un interlocutor BGP

Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas, necesitan identificarse mutuamente para poder iniciar una sesin BGP. Es necesario especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar parmetros para establecer y mantener la sesin. Los interlocutores pueden ser interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGP, habr que especificar el sistema autnomo en el que reside el interlocutor. Todas las sesiones BGP se autentican comprobando el identificador de interlocutor BGP y el nmero de AS notificado por los interlocutores. Las conexiones correctas con un interlocutor se registran. Si surge algn problema durante la conexin con el interlocutor, el interlocutor enviar o recibir un mensaje de notificacin BGP, lo que har que la conexin falle o se cierre. Es posible configurar parmetros para direcciones de interlocutores individuales. Tambin se pueden asignar interlocutores a un grupo de interlocutores , lo que permitir configurar parmetros para el grupo en su conjunto. Nota: No es posible asignar interlocutores IBGP y EBGP al mismo grupo de interlocutores. La siguiente tabla describe parmetros que se pueden configurar para interlocutores BGP y sus valores predeterminados. Una X en la columna Interlocutor indica un parmetro que se puede configurar para la direccin IP de un interlocutor, mientras que una X en la columna Grupo de interlocutores indica un parmetro que se puede configurar para un grupo de interlocutores.
Parmetro BGP Advertise default route Interlocutor X Grupo de interlocutores Descripcin Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. X Nmero de nodos entre el BGP local y el vecino. Valor predeterminado La ruta predeterminada no se notifica. 0 (desactivado)
EBGP multihop
167
Parmetro BGP Force connect
Interlocutor X
Grupo de interlocutores X
Descripcin
Valor predeterminado
Hace que la instancia de BGP descarte N/D una conexin BGP existente con el interlocutor especificado y acepte una nueva conexin. Este parmetro resulta de utilidad cuando hay una conexin con un enrutador que falla y, a continuacin, reaparece e intenta restablecer una conexin BGP, ya que permite un restablecimiento ms rpido de la conexin entre * interlocutores . Tiempo transcurrido sin que lleguen mensajes de un interlocutor antes de que se considere fuera de servicio. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Configura la autenticacin MD-5. 180 segundos
Hold time
Keepalive
1/3 del tiempo de espera (hold-time) Slo se comprueba el identificador de interlocutor y el nmero de AS. 0
MD5 authentication
MED Next-hop self
X X X
Configura el valor de atributo MED.
En las rutas enviadas al interlocutor, el Atributo de salto atributo de ruta al salto siguiente se siguiente no ajusta en la direccin IP de la interfaz cambiado del enrutador virtual local. El interlocutor es un cliente de reflexin Ninguna cuando el protocolo BGP local se configura como el reflector de rutas.
Reflector client
168
Parmetro BGP Reject default route
Interlocutor X
Grupo de interlocutores
Descripcin No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Valor predeterminado Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento
Retry time
Tras un intento fallido de inicio de 120 segundos sesin, tiempo que se tarda en volver a intentar el inicio de sesin BGP. Transmite el atributo de comunidad al interlocutor. Atributo de comunidad no enviado a los interlocutores. 100
Send community
Weight
*
Prioridad de ruta entre el BGP local y el interlocutor.
Nota: Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexin BGP con el interlocutor especificado y acepte una nueva conexin. El uso de este comando de ejecucin no modifica la configuracin del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuracin del mapa de rutas que se aplica a este interlocutor.
Es posible configurar determinados parmetros en el nivel de interlocutores y en el de protocolo (consulte Configuraciones opcionales de BGP en la pgina 177). Por ejemplo, puede configurar el valor de tiempo de espera para un interlocutor especfico con un valor de 210 segundos, mientras que el valor de tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configuracin del interlocutor tendr preferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED ajustado en el nivel de interlocutor slo se aplicar a las rutas que se notifiquen a esos interlocutores.
169
Ejemplo: Configuracin de un interlocutor BGP

En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este interlocutor tiene los siguientes atributos: Direccin IP 1.1.1.250 Reside en AS 65500
Nota: Deber habilitar cada conexin de interlocutor que configure.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65500 Remote IP: 1.1.1.250 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione Peer Enabled y haga clic en OK .
CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable save
170
Ejemplo: Configuracin de un grupo de interlocutores IBGP

Ahora configurar un grupo de interlocutores IBGP llamado ibgp que contendr las siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo de interlocutores, podr configurar parmetros (como la autenticacin MD5) que se aplicarn a todos los miembros del grupo de interlocutores. Nota: Deber habilitar cada conexin de interlocutor que configure. Si configura interlocutores como parte de un grupo, tendr que habilitar las conexiones de los interlocutores una a una.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Peer Group: Escriba ibgp en el campo Group Name y haga clic en Add . > Configure (para ibgp): En el campo Peer authentication, introduzca verify03 y haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 10.1.2.250 Peer Group: ibgp (seleccione) Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 10.1.3.250 Peer Group: ibgp (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled y haga clic en OK . Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled y haga clic en OK .
171
CLI
set set set set set set vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr vrouter trust-vr verify03 save protocol protocol protocol protocol protocol protocol bgp bgp bgp bgp bgp bgp neighbor neighbor neighbor neighbor neighbor neighbor peer-group 10.1.2.250 10.1.3.250 10.1.2.250 10.1.3.250 peer-group ibgp remote-as 65000 peer-group ibgp peer-group ibgp enable enable ibgp md5-authentication
172
Comprobacin de la configuracin BGP

Puede revisar la configuracin introducida a travs de WebUI o CLI ejecutando el comando get vrouter vrouter protocol bgp config .
ns-> get vrouter trust-vr protocol bgp config set protocol bgp 65000 set enable unset synchronization set neighbor 1.1.1.250 remote-as 65500 set neighbor 1.1.1.250 enable exit
Para comprobar si BGP se est ejecutando en el enrutador virtual, ejecute el comando get vrouter vrouter protocol bgp .
ns-> get vrouter trust-vr protocol bgp Admin State: enable Local Router ID: 10.1.1.250 Local AS number: 65000 Hold time: 180 Keepalive interval: 60 = 1/3 hold time, default Local MED is: 0 Always compare MED: disable Local preference: 100 Route Flap Damping: disable IGP synchronization: disable Route reflector: disable Cluster ID: not set (ID = 0) Confederation based on RFC 1965 Confederation (confederacin): disable (confederation ID = 0) Member AS: none Origin default route: disable Ignore default route: disable
173
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificacin del enrutador, as como todos los dems parmetros configurados relativos al BGP. Nota: Juniper Networks recomienda asignar de forma explcita una ID de enrutador, en lugar de utilizar la ID predeterminada. Para ms informacin sobre cmo configurar una ID de enrutador, consulte el Captulo 2, Enrutadores virtuales. Para comprobar si un interlocutor o grupo de interlocutores BGP est habilitado y ver el estado de la sesin BGP, ejecute el comando get vrouter vrouter protocol bgp neighbor.
ns-> get vrouter trust-vr protocol bgp neighbor Peer AS Remote IP Local IP Wt ConnID Status State 65500 1.1.1.250 0.0.0.0 100 0 Enabled ACTIVE total 1 BGP peers shown
Flag 0000
En este ejemplo puede verificar si el interlocutor BGP est habilitado y si la sesin est activa. El estado puede ser uno de los que aqu se indican: Idle : primer estado de la conexin. Connect : BGP est esperando una conexin de transporte TCP correcta. Active : BGP est iniciando una conexin de transporte3. OpenSent : BGP est esperando un mensaje de apertura (OPEN) del interlocutor. OpenConfirm : BGP est esperando un mensaje de mantenimiento de conexin (KEEPALIVE) o notificacin (NOTIFICATION) del interlocutor. Established : BGP est intercambiado paquetes de actualizacin (UPDATE) con el interlocutor.
3.
Un estado de sesin que cambia continuamente entre Active y Connect podra indicar un problema con la conexin entre interlocutores.
174
En esta seccin se describen posibles problemas de seguridad en el dominio de enrutamiento BGP y algunos mtodos de prevencin de ataques. Nota: Para que BGP sea ms seguro, todos los enrutadores de un dominio BGP deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP comprometido podra llegar a dejar inservible todo el domino de enrutamiento BGP.
Un enrutador BGP se puede suplantar fcilmente, ya que los paquetes BGP no se encriptan, y la mayora de los analizadores de protocolo permiten desencapsular paquetes BGP. La mejor forma de acabar con el riesgo de este tipo de ataques ser autenticando los interlocutores BGP. BGP ofrece autenticacin MD5 para validar los paquetes BGP recibidos de un interlocutor. Para la autenticacin MD5 es necesario utilizar la misma clave para los enrutadores BGP de envo y de recepcin. Todos los paquetes BGP recibidos de un determinado interlocutor que no se autentiquen se descartarn. De forma predeterminada, para un determinado interlocutor BGP slo se comprobarn el identificador de interlocutor y el nmero de AS.
Ejemplo: Configuracin de la autenticacin MD5

En el siguiente ejemplo configuraremos un interlocutor BGP con la direccin IP remota 1.1.1.250 en AS 65500. A continuacin configuraremos el interlocutor para la autenticacin MD5 utilizando la clave 1234567890123456.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65500 Remote IP: 1.1.1.250 > Configure (para Remote IP 1.1.1.250): Introduzca los siguientes datos y haga clic en OK: Peer Authentication: Enable (seleccione) MD5 password: 1234567890123456 Peer Enabled: (seleccione)
CLI
set vrouter trust-vr (trust-vr)-> set protocol bgp (trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500 (trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456 (trust-vr/bgp)-> set neighbor 1.1.1.250 enable (trust-vr/bgp)-> exit (trust-vr)-> exit save

En los ataques con desvo de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desven a l. El enrutador puede descartar los paquetes, causando una interrupcin en el servicio, o puede eliminar informacin crtica de los paquetes antes de reenviarlos. En los dispositivos NetScreen, BGP acepta en principio cualquier ruta predeterminada enviada por interlocutores BGP y agrega la ruta predeterminada a la tabla de rutas.
Ejemplo: Rechazo de rutas predeterminadas

En este ejemplo, configurar la instancia de enrutamiento BGP que se est ejecutando en el trust-vr para que no tenga en cuenta las rutas predeterminadas enviadas por interlocutores BGP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance: Introduzca los siguientes datos y haga clic en OK : Ignore default route from peer: (seleccione)
CLI
set vrouter trust-vr protocol bgp reject-default-route save
176
Configuraciones opcionales de BGP
CONFIGURACIONES OPCIONALES DE BGP

En esta seccin se describen los parmetros que se pueden configurar para el protocolo de enrutamiento BGP en el enrutador virtual. Es posible configurarlos con los comandos contextuales BGP de la interfaz de lnea de comandos o con la WebUI. En esta seccin tambin se muestran algunas de las configuraciones de parmetros ms complejas. La siguiente tabla muestra los parmetros del protocolo BGP y sus valores predeterminados.
Parmetro del protocolo BGP Advertise default route Aggregate Always compare MED AS path access list Community list AS confederation Equal cost multipath (ECMP) Flap damping Hold time Keepalive Descripcin Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. Crea rutas agregadas. Consulte Agregacin de rutas en la pgina 193. Compara los valores MED de las rutas. Crea una lista de acceso a rutas AS para permitir o denegar rutas. Valor predeterminado La ruta predeterminada no se notifica Desactivado Desactivado
Crea listas de comunidades. Consulte Comunidades BGP en la pgina 192. Crea confederaciones. Consulte Confederaciones en la pgina 189. Se pueden agregar rutas mltiples de igual coste para proporcionar equilibrio de cargas. Consulte Enrutamiento de rutas mltiples de igual coste en la pgina 52. Bloquea las notificaciones de una ruta hasta que es estable. Tiempo transcurrido sin que lleguen mensajes de un interlocutor antes de que se considere fuera de servicio. Tiempo entre transmisiones de mantenimiento de conexin (keepalive). Desactivado (predeterminado = 1) Desactivado 180 segundos 1/3 del tiempo de espera (hold-time)
177
Parmetro del protocolo BGP Local preference MED Network
Descripcin Configura la mtrica de LOCAL_PREF. Configura el valor de atributo MED. Agrega entradas estticas de red y de subred en BGP. BGP notifica estas rutas estticas a todos los interlocutores BGP. Consulte Adicin de rutas a BGP en la pgina 182. Importa rutas a BGP desde otros protocolos de enrutamiento. Configura la instancia BGP local como reflector de rutas para clientes. Consulte Reflexin de rutas en la pgina 186. No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP.
Valor predeterminado 100 0
Route redistribution Reflector Reject default route
Desactivado Las rutas predeterminadas de los interlocutores se agregan a la tabla de enrutamiento
Retry time
Tiempo que debe transcurrir desde un establecimiento de sesin 120 segundos BGP fallido con un interlocutor para que se vuelva a intentar establecer la sesin. Permite la sincronizacin con un protocolo de puerta de enlace interior, como OSPF o RIP. Desactivado
Synchronization
178
La redistribucin de rutas es el intercambio de informacin sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual: Rutas reconocidas por OSPF o RIP Rutas conectadas directamente Rutas importadas Rutas configuradas estticamente
Cuando se configura la redistribucin de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener ms informacin sobre la creacin de mapas de rutas para la redistribucin, consulte el Captulo 2, Enrutadores virtuales.
179
Ejemplo: Redistribucin de rutas en BGP

En el siguiente ejemplo redistribuir en el dominio de enrutamiento BGP actual una ruta originada en un dominio de enrutamiento OSPF. Tanto en el ejemplo de la interfaz WebUI como en el de la interfaz CLI, partiremos de la base de que ya ha creado un mapa de rutas llamado add-ospf.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add : Route map: add-ospf Protocol: OSPF
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf save
Lista de acceso AS-path

El atributo AS-path contiene una lista de sistemas autnomos (ASs) que atraviesa una ruta determinada. BGP aade el nmero de AS local al atributo AS-path cuando una ruta pasa por el AS. Para filtrar rutas segn la informacin de AS-path es posible utilizar una lista de acceso AS-path. Esta lista est formada por un conjunto de expresiones regulares que definen la informacin de ruta del sistema autnomo e indican si las rutas que coinciden con esa informacin se deben permitir o denegar. Por ejemplo, podemos utilizar una lista de acceso AS-path para filtrar rutas que han pasado por un AS determinado o rutas que proceden de un AS. Las expresiones regulares son un mtodo para definir la bsqueda de un patrn especfico en el atributo AS-path. Es posible utilizar smbolos y caracteres especiales para construir una expresin regular. Por ejemplo, para buscar rutas que hayan pasado por AS 65000, puede utilizar la expresin regular _65000_ (los guiones equivalen a un nmero cualquiera de caracteres delante o detrs de 65000). Tambin puede utilizar la expresin regular 65000$ para buscar rutas originadas en AS 65000 (el signo de dlar indica el final del atributo AS-path, que podra ser el AS donde se origin la ruta).
180
Ejemplo: Configuracin de una lista de acceso

En el siguiente ejemplo configuraremos una lista de acceso AS-path para el trust-vr que permitir las rutas que hayan pasado por AS 65000, pero no las que hayan sido originadas en AS 65000.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 2 Deny: (seleccione) AS Path String: 65000$ Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > AS Path: Introduzca los siguientes datos y haga clic en Add : AS Path Access List ID: 2 Permit: (seleccione) AS Path String: _65000_
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$ set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_ save
181
Adicin de rutas a BGP

Para permitir que el BGP notifique las rutas de red, es necesario redistribuir las rutas desde el protocolo de origen al protocolo de notificacin (BGP) en el mismo enrutador virtual (VR). Tambin puede agregar rutas estticas directamente en BGP. Si el prefijo de red es accesible desde el VR, el BGP notifica esta ruta a los interlocutores sin exigir que la ruta est redistribuida en BGP. Al agregar un prefijo de red en BGP, puede especificar varias opciones: Seleccionando Yes en la opcin de comprobacin de accesibilidad, puede especificar si desde el VR debe ser accesible un prefijo de red diferente antes de que BGP anuncie la ruta a los interlocutores. Por ejemplo, si el prefijo que desea que el BGP anuncie se debe alcanzar a travs de una interfaz de enrutador especfica, asegrese de que la interfaz del enrutador sea accesible antes de que el BGP anuncie la red a los interlocutores. Si la interfaz del enrutador que especifique es accesible, BGP notifica la ruta a sus interlocutores. Si la interfaz del enrutador que especifique no es accesible, la ruta no se agregar al BGP y, consecuentemente, no se notificar a los interlocutores del BGP. Si la interfaz del enrutador que especifique deja de ser accesible, el BGP retira la ruta a sus interlocutores. Seleccionando No en la opcin de comprobacin de accesibilidad, puede especificar que el prefijo de red sea notificado tanto si es accesible desde el VR como si no. De forma predeterminada, el prefijo de red debe ser accesible desde el VR antes de que el BGP anuncie la ruta a los interlocutores. Si habilita la comprobacin de accesibilidad, la ruta se puede conectar. Puede asignar un peso al prefijo de la red. El peso es un atributo que se puede asignar localmente a una ruta; no se notifica a los interlocutores. Si existe ms de una ruta hacia un destino, tiene prioridad la ruta con el valor de peso ms alto. Puede establecer los atributos de la ruta tomndolos de un mapa de rutas (consulte Configuracin de un mapa de rutas en la pgina 56). El BGP notifica la ruta con los atributos de ruta especificados en el mapa de rutas.
182
Ejemplo: Notificacin de ruta condicional

En el ejemplo siguiente, agregar una ruta esttica a la red 4.4.4.0/24. Especificar que la interfaz del enrutador 5.5.5.0/24 debe ser accesible desde el enrutador virtual para que el BGP pueda notificar la ruta 4.4.4.0/24 a los interlocutores. Si la red 5.5.5.0/24 no es alcanzable, BGP no notifica la red 4.4.4.0/24.
4.4.4.0/24 5.5.5.0/24
Internet La ruta a 4.4.4.0/24 slo se notifica si 5.5.5.0/24 es accesible.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Check Reachability: Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24 save
183
Ejemplo: Establecer el peso de la ruta

En el ejemplo siguiente establecer un valor de 100 para el peso de la ruta 4.4.4.0/24. (Puede especificar un valor de peso entre 0 y 65535).
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Weight: 100
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100 save
184
Ejemplo: Establecer atributos de ruta

En el ejemplo siguiente configurar un setattr del mapa de ruta que establecer la mtrica de la ruta en 100. A continuacin, configurar una ruta esttica en BGP que utilice el setattr del mapa de la ruta. (No es necesario establecer el mapa de la ruta de forma que coincida con el prefijo de red de la entrada de la ruta).
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: setattr Sequence No.: 1 Action: Permit (seleccione) Set Properties: Metric: (seleccione), 100 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Networks: Introduzca los siguientes datos y haga clic en Add : IP/Netmask: 4.4.4.0/24 Route map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1 set vrouter trust-vr route-map setattr 1 metric 100 set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr save
185
Reflexin de rutas
Como un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor IBGP a otro interlocutor IBGP (consulte BGP externo e interno en la pgina 162), es necesaria una malla completa de sesiones IBGP, donde cada enrutador en un AS BGP ser interlocutor de todos los dems enrutadores del AS. Nota: Una malla completa no implica que cada par de enrutadores est conectado directamente, sino que cada enrutador tiene que ser capaz de establecer y mantener una sesin IBGP con cada uno de los dems enrutadores. Una configuracin de malla completa en las sesiones IBGP puede presentar problemas de ampliacin. Por ejemplo, en un AS con 8 enrutadores, cada uno de los 8 enrutadores necesitara intercomunicarse con los otros 7 enrutadores, lo que puede calcularse con esta frmula: x (x 1) 2 Para un AS con 8 enrutadores, el nmero de sesiones IBGP de malla completa sera de 28. La reflexin de rutas es un mtodo para solucionar el problema de escalabilidad IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando as la necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman un clster, que se puede identificar por medio de una ID de clster. Los enrutadores fuera de ese clster lo consideran una nica entidad, en lugar de intercomunicarse de forma independiente con cada enrutador en malla completa. De esta forma se reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector, mientras que ste refleja rutas entre clientes. El enrutador virtual (VR) local del dispositivo NetScreen puede actuar como reflector de rutas y se le puede asignar una identificacin de clster. Si especifica una identificacin de clster, la instancia de enrutamiento de BGP aade la identificacin del clster al atributo Cluster-List de una ruta. La ID de clster contribuye a evitar la formacin de bucles, puesto que la instancia de enrutamiento de BGP local descarta una ruta cuando su ID de clster aparece en la lista de clsteres de la ruta. Nota: Antes de poder configurar una ID de clster, es necesario inhabilitar la instancia de enrutamiento de BGP. Despus de configurar un reflector de rutas en el enrutador virtual local, se definen los clientes del reflector. Es posible especificar direcciones IP individuales o un grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna configuracin en los clientes.
186
Ejemplo: Configuracin de la reflexin de rutas

En el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3. Sin reflexin de rutas, el cliente 3 notificar la ruta a NetScreen-A, pero NetScreen-A no notificar esa ruta nuevamente a los clientes 1 y 2. Si configura NetScreen-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 como sus clientes, NetScreen-A notificar las rutas recibidas del cliente 3 a los clientes 1 y 2.
Nmeros de los sistemas autnomos AS 65000 Cliente 1 ID de enrutador 1.1.3.250 Cliente 2 ID de enrutador 1.1.4.250 NetScreen-A Reflector de ruta ID de enrutador 1.1.1.250 Cliente 3 ID de enrutador 1.1.2.250
Sistemas autnomos AS 65500 ID de enrutador 2.2.2.250
Interlocutor EBGP ruta de notificacin a 5.5.5.0/24
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance: Introduzca los siguientes datos y haga clic en Apply : Route reflector: Enable Cluster ID: 99 > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.2.250
187
Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.3.250 Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 1.1.4.250 > Configure (para Remote IP 1.1.2.250): Seleccione Reflector Client y haga clic en OK . > Configure (para Remote IP 1.1.3.250): Seleccione Reflector Client y haga clic en OK . > Configure (para Remote IP 1.1.4.250): Seleccione Reflector Client y haga clic en OK .
CLI
set vrouter set vrouter set vrouter set vrouter set vrouter save trust-vr trust-vr trust-vr trust-vr trust-vr protocol protocol protocol protocol protocol bgp bgp bgp bgp bgp reflector reflector cluster-id 99 neighbor 1.1.2.250 reflector-client neighbor 1.1.3.250 reflector-client neighbor 1.1.4.250 reflector-client
188
Confederaciones
Al igual que la reflexin de rutas (consulte Reflexin de rutas en la pgina 186), las confederaciones ofrecen otra forma de resolver el problema de ampliacin de las mallas completas en entornos IBGP y se describen en la norma RFC 1965. Una confederacin divide un sistema autnomo en varios AS ms pequeos, con cada subsistema autnomo funcionando como una red IBGP de malla completa. Cualquier enrutador fuera de la confederacin ver la confederacin completa como un nico sistema autnomo con un solo identificador; las redes de los subsistemas no son visibles fuera de la confederacin. Las sesiones entre enrutadores en dos subsistemas distintos de la misma confederacin, conocidas como sesiones EIBGP, no son ms que sesiones EBGP entre sistemas autnomos, pero en las que los enrutadores tambin intercambian informacin de enrutamiento como si fueran interlocutores IBGP.
Sistemas autnomos
AS 65000 (confederacin) Subsistema AS 65001 EBGP IBGP IBGP Subsistema AS 65002 EBGP IBGP Subsistema AS 65003 EBGP AS 65500
Subsistemas autnomos
Hay que especificar los siguientes datos por cada enrutador de una confederacin: El nmero de subsistema autnomo (nmero de AS especificado cuando se crea la instancia de enrutamiento BGP) La confederacin a la que pertenece el subsistema autnomo (nmero de AS visible para los enrutadores BGP fuera de la confederacin) Los nmeros de los otros subsistemas de la confederacin Si la confederacin admite las normas RFC 1965 (predeterminado) o RFC 30654
4. El atributo AS-Path (consulte Atributos de ruta en la pgina 161) se compone normalmente de una secuencia. Los ASs atravesados por la ruta de actualizacin. La norma RFC 3065 permite que el atributo AS-Path incluya todos los ASs que forman parte de la confederacin local atravesados por la actualizacin de enrutamiento.
189
Ejemplo: Configurar una confederacin

En este ejemplo, el dispositivo NetScreen es un enrutador BGP en el subsistema autnomo 65003 que pertenece a la confederacin 65000. Los otros subsistemas de la confederacin 65000 son 65002 y 65003.
AS 65000 (confederacin) Subsistema AS 65001 Subsistema AS 65002 Subsistema AS 65003 Dispositivo NetScreen
Subsistemas autnomos
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en Apply : AS Number (obligatorio): 65003 BGP Enabled: (seleccione) > Confederation: Introduzca los siguientes datos y haga clic en Apply : Enable: (seleccione) ID: 65000 Supported RFC: RFC 1965 (seleccione) Introduzca los siguientes datos y haga clic en Add : Peer member area ID: 65001 Introduzca los siguientes datos y haga clic en Add : Peer member area ID: 65002
190
CLI
set vrouter set vrouter set vrouter set vrouter save trust-vr trust-vr trust-vr trust-vr protocol protocol protocol protocol bgp bgp bgp bgp 65003 confederation id 65000 confederation peer 65001 confederation peer 65002
191
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados comunidades), que un enrutador BGP podr despus utilizar para controlar las rutas que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o modificar las comunidades de una ruta (si sta incluye el atributo de ruta Communities). Este atributo ofrece una tcnica alternativa para distribuir informacin de rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Puede utilizar el atributo Communities de muchas formas, pero su principal objetivo es simplificar la configuracin de directivas de enrutamiento en entornos de redes completos. La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un administrador de AS puede asignar a una comunidad una serie de rutas que precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones coloreado de rutas . Por ejemplo, es posible asignar un valor de comunidad a las rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen acceso. Hay dos tipos de comunidades: Una comunidad especfica est formada por un identificador de AS y un identificador de comunidad. Este ltimo es definido por el administrador de AS. Una comunidad bien conocida implica un manejo especial de las rutas que contienen esos valores de comunidad. A continuacin se muestran valores de comunidad bien conocida que se pueden especificar para las rutas BGP en el dispositivo NetScreen: no-export : las rutas con este atributo de ruta Communities no se notifican fuera de una confederacin BGP. no-advertise : las rutas con este atributo de ruta Communities no se notifican a otros interlocutores BGP. no-export-subconfed : las rutas con este atributo de ruta Communities no se notifican a interlocutores EBGP. Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de una lista de comunidad especificada, eliminar o asignar atributos a las rutas, agregar comunidades a la ruta o eliminarlas de ella. Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a Internet a sus clientes, cada una de las rutas de esos clientes podr recibir un nmero de comunidad especfico. A continuacin, esas rutas de clientes se notificarn a los ISPs vecinos. Las rutas de otros ISPs recibirn otros nmeros de comunidad y no se notificarn a los ISPs vecinos.
Agregacin de rutas
La agregacin es una tcnica para resumir rangos de direcciones de enrutamiento (conocidas como rutas contribuyentes ) en una sola entrada de ruta. Hay varios parmetros opcionales que se pueden establecer al configurar una ruta agregada. Esta seccin contiene ejemplos de configuracin de rutas agregadas.
Ejemplo: Agregar rutas con diferentes AS-Paths

Al configurar una ruta agregada, puede especificar que el campo AS-Set del atributo de ruta AS-Path de BGP incluya las rutas AS de todas las rutas contribuyentes. Para especificar esto, utilice la opcin AS-Set en la configuracin de rutas agregadas. Nota: Si utiliza la opcin AS-Set con una ruta agregada, un cambio en una ruta contribuyente puede provocar que el atributo de la ruta agregada tambin cambie. Esto provoca que BGP vuelva a notificar la ruta agregada con el atributo de ruta cambiado.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 AS-Set: (seleccione)
CLI
set vrouter set vrouter set vrouter set vrouter save trust trust trust trust protocol protocol protocol protocol bgp bgp aggregate bgp aggregate 1.0.0.0/8 as-set bgp enable
Nota: Debe habilitar la agregacin de BGP antes de habilitar BGP.
193
Ejemplos: Suprimir las rutas ms especficas en actualizaciones

Al configurar una ruta agregada, puede especificar que las rutas ms especficas (More-Specific) sean filtradas (excluidas) de las actualizaciones de enrutamiento. (Si est notificada, un interlocutor BGP prefiere una ruta ms especfica antes que una ruta agregada). Puede suprimir las rutas ms especficas de cualquiera de estas dos maneras: Utilice la opcin Summary-Only en la configuracin de rutas agregadas para suprimir todas las rutas ms especficas. Utilice la opcin Supress-Map en la configuracin de rutas agregadas para suprimir las rutas especificadas en un mapa de rutas.
En el ejemplo siguiente, el BGP notifica la ruta agregada 1.0.0.0/8, pero las rutas ms especficas son excluidas mediante filtro de las actualizaciones de rutas salientes.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Summary-Only (seleccione)
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only save En el ejemplo siguiente, filtrar las rutas del rango 1.2.3.0/24 para que sean eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello, primero configurar una lista de accesos que especifique las rutas a filtrar (1.2.3.0/24). A continuacin, configurar un mapa de rutas noadvert para permitir las rutas 1.2.3.0/24. Despus configurar una ruta agregada 1.0.0.0/8 y especificar el mapa de ruta noadvert como opcin de supresin para las actualizaciones salientes.
194
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 777 IP/Netmask: 1.2.3.0/24 Action: Permit (seleccione) Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: noadvert Sequence No.: 2 Action: Permit (seleccione) Match Properties: Access List (seleccione), 1 (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Suppress Option: Route-Map (seleccione), noadvert (seleccione)
CLI
set vrouter set vrouter set vrouter set vrouter save trust-vr access-list 1 permit ip 1.2.3.0/24 777 trust-vr route-map name noadvert permit 2 trust-vr route-map noadvert 2 match ip 1 trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert
195
Ejemplo: Seleccionar rutas para el atributo Path

Al configurar una ruta agregada, puede especificar qu rutas deben o no deben ser utilizadas para construir el atributo de ruta AS-Path del BGP de la ruta agregada. Utilice la opcin Advertise-Map en la configuracin de rutas agregadas para seleccionar las rutas. Puede utilizar esta opcin con la opcin AS-Set para seleccionar rutas notificadas con el atributo AS-Set. En el ejemplo siguiente, configurar una ruta agregada 1.0.0.0/8 que se notificar con el atributo AS-Set. El atributo AS-Set notificado consiste en todas las rutas ms especficas que caigan en el rango de prefijo 1.5.0.0/16, pero no las rutas que caigan en el rango de prefijo 1.5.6.0/24; configurar los rangos de prefijo a incluir y excluir en el mapa de rutas advertset.
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 3 Sequence No.: 888 IP/Netmask: 1.5.6.0/24 Action: Deny (seleccione) Network > Routing > Virtual Router > Access List (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Access List ID: 3 Sequence No.: 999 IP/Netmask: 1.5.0.0/16 Action: Permit (seleccione) Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: advertset Sequence No.: 4
196
Action: Permit (seleccione) Match Properties: Access List (seleccione), 3 (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Advertise Map: advertset (seleccione)
CLI
set set set set set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888 vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999 vrouter trust-vr route-map name advertset permit 4 vrouter trust-vr route-map advertset 4 match ip 3 vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set advertise-map advertset save
197
Ejemplo: Cambiar atributos de la ruta agregada

Al configurar una ruta agregada, puede establecer sus atributos basndose en un mapa de ruta especificado. En el ejemplo siguiente, configurar una ruta agregada 1.0.0.0/8 que se notificar con la mtrica 1111 en las actualizaciones salientes.
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New: Introduzca los siguientes datos y haga clic en OK : Map Name: aggmetric Sequence No.: 5 Action: Permit (seleccione) Set Properties: (seleccione) Metric: 1111 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en Apply : Aggregate State: Enable (seleccione) IP/Netmask: 1.0.0.0/8 Attribute Map: aggmetric (seleccione)
CLI
set vrouter trust-vr route-map name aggmetric permit 5 set vrouter trust-vr route-map aggmetric 5 metric 1111 set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric save
198
Captulo 6
Enrutamiento multicast
Introduccin al enrutamiento multicast en la pgina 200 Direcciones multicast en la pgina 200 Reenvo por rutas inversas en la pgina 201 Enrutamiento multicast en dispositivos NetScreen en la pgina 202 Tabla de enrutamiento multicast en la pgina 202 Rutas multicast estticas en la pgina 204 Listas de acceso en la pgina 205 Encapsulado de enrutamiento genrico en la pgina 205 Directivas multicast en la pgina 208
Este captulo presenta los conceptos bsicos sobre el enrutamiento multicast. Contiene las siguientes secciones:
199
Captulo 6 Enrutamiento multicast
Introduccin al enrutamiento multicast
INTRODUCCIN AL ENRUTAMIENTO MULTICAST

Las empresas utilizan el enrutamiento multicast para transmitir trfico, como secuencias de datos o vdeo, desde un origen a un grupo de receptores simultneamente. Cualquier host puede ser un origen, y los receptores pueden estar en cualquier punto de Internet. El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico a mltiples hosts, porque los enrutadores habilitados para multicast transmiten trfico multicast solamente a los hosts que desean recibirlo. Los hosts deben sealizar su inters por recibir datos multicast y deben unirse a un grupo multicast para recibir los datos. Los enrutadores habilitados para multicast reenvian trfico multicast solamente a los receptores interesados en recibirlo. Los entornos de enrutamiento multicast requieren lo siguiente para reenviar informacin multicast: Un mecanismo que se ejecute entre hosts y enrutadores para comunicar la informacin de miembros del grupo multicast. Los dispositivos NetScreen admiten las versiones 1, 2 y 3 de IGMP (Internet Group Management Protocol). Los enrutadores y hosts utilizan IGMP slo para transmitir la informacin de miembros, no para reenviar ni enrutar trfico multicast. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211). Un protocolo de enrutamiento multicast para alimentar la tabla de rutas multicast y reenviar datos a los hosts a travs de la red. Los dispositivos NetScreen admiten PIM-SM (Protocol Independent Multicast Sparse-Mode) y PIM-SSM (Protocol Independent Multicast - Source-Specific Mode). (Para obtener informacin sobre PIM-SM y PIM-SSM, consulte PIM en la pgina 253.) Alternativamente, puede utilizar la caracterstica IGMP Proxy para reenviar trfico multicast sin sobrecargar la CPU con la ejecucin de un protocolo de enrutamiento multicast. (Para obtener informacin sobre IGMP Proxy, consulte Proxy de IGMP en la pgina 226). Las siguientes secciones presentan los conceptos bsicos utilizados en el enrutamiento multicast.
Direcciones multicast
Cuando un origen enva trfico multicast, la direccin de destino es una direccin del grupo multicast. Las direcciones del grupo multicast son direcciones de Clase D desde la 224.0.0.0 hasta la 239.255.255.255.
200
Introduccin al enrutamiento multicast
Reenvo por rutas inversas

Cuando un enrutador multicast recibe paquetes multicast, utiliza un proceso denominado reenvo por rutas inversas (reverse path forwarding o RPF) para comprobar la validez de los paquetes. Antes de crear una ruta multicast, el enrutador realiza operaciones de bsqueda de rutas en la tabla de rutas unicast para comprobar si la interfaz en la cual recibi el paquete (interfaz de entrada) es la misma interfaz que debe utilizar para enviar los paquetes de vuelta al remitente. Si lo es, el enrutador crea la entrada de la ruta multicast y reenva el paquete al enrutador del salto siguiente. Si no lo es, el enrutador descarta el paquete. Observe que los enrutadores multicast no realizan esta comprobacin del RPF para las rutas estticas.
1. El paquete multicast procedente de 1.1.1.250 llega a ethernet1.
ethernet3 10.1.1.1/24
Origen 3.3.3.6
Enrutador externo 1.1.1.250
ethernet1 1.1.1.1/24
2. El dispositivo NetScreen comprueba si la interfaz de entrada coincide con la de salida para los paquetes destinados al remitente. Consulta en la tabla de rutas DST IF GATE 0.0.0.0 eth1 --10.1.1.0 eth3 -1.1.1.0 eth1 ---
3a En caso afirmativo, enviar los paquetes multicast al destino.
3b En caso negativo, descartar el paquete.
Nota: Las zonas de seguridad no se muestran en esta ilustracin.
201
Enrutamiento multicast en dispositivos NetScreen
ENRUTAMIENTO MULTICAST EN DISPOSITIVOS NETSCREEN

Los dispositivos NetScreen tienen dos enrutadores virtuales predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente de enrutamiento independiente, con sus propias tablas de rutas unicast y multicast. (Para obtener informacin sobre tablas de rutas unicast, consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 1). Cuando el dispositivo NetScreen recibe un paquete multicast entrante, consulta la ruta entre las rutas indicadas en la tabla de rutas multicast.
Tabla de enrutamiento multicast

La tabla de rutas multicast se alimenta con las rutas estticas multicast o las rutas aprendidas a travs de protocolo de enrutamiento multicast. El dispositivo NetScreen utiliza la informacin de la tabla de rutas multicast para reenviar trfico multicast. Los dispositivos NetScreen mantienen una tabla de enrutamiento multicast para cada protocolo de enrutamiento de un enrutador virtual. La tabla de enrutamiento multicast contiene informacin especfica sobre el protocolo de enrutamiento ms la informacin siguiente: Cada entrada comienza con el estado de reenvo. El estado de reenvo puede tener uno de los siguientes formatos: (*, G) o (S, G). El formato (*, G) se denomina entrada asterisco coma G, donde el * se refiere a cualquier origen y G es una direccin de grupo multicast especfica. El formato (S, G) se denomina entrada S coma G, donde S es la direccin IP de origen y G es la direccin del grupo multicast. Las interfaces de sentido ascendente y descendente. El vecino de reenvo por rutas inversas (RPF).
202
A continuacin se incluye un ejemplo de una tabla de enrutamiento multicast PIM-SM en el enrutador virtual trust-vr: trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone : Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 00:06:24/00:02:57 00:06:24/State Expires Join 0.0.0.0 Flags: LF : Joined : FC
(20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune Zone : Untrust Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust Upstream : ethernet1/1 State : Joined RPF Neighbor : local Expires : Downstream : ethernet1/2 00:06:24/Join 236.1.1.1 20.20.20.200 FC
203
Rutas multicast estticas

Puede definir una ruta multicast esttica desde un origen a un grupo multicast (S, G) o utilizar comodines tanto para el origen como para el grupo multicast, o para ambos. Las rutas multicast estticas se utilizan tpicamente para admitir el reenvo de datos multicast desde hosts pertenecientes a interfaces en modo IGMP router proxy a los enrutadores en sentido ascendente de las interfaces en el modo host de IGMP. (Para obtener informacin sobre IGMP Proxy, consulte Proxy de IGMP en la pgina 226). Tambin puede utilizar rutas multicast estticas para permitir el reenvo multicast entre dominios. Puede crear una ruta esttica para una pareja (S, G) con cualquier interfaz de entrada o de salida. Tambin puede crear una ruta esttica y definir mediante comodines el origen o el grupo multicast, o ambos, indicando 0.0.0.0. Al configurar una ruta esttica, tambin puede especificar la direccin del grupo multicast original y una direccin diferente para el grupo multicast en la interfaz saliente.
Ejemplo: Configuracin de una ruta multicast esttica

En este ejemplo configurar una ruta multicast esttica desde un origen con la direccin IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el dispositivo NetScreen para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1 en la interfaz saliente.
WebUI
Network > Routing > MCast Routing > New: Introduzca los siguientes datos y haga clic en OK: Source IP: 20.20.20.200 MGroup: 238.1.1.1 Incoming Interface: ethernet1 (seleccione) Outgoing Interface: ethernet3 (seleccione) Translated MGroup: 238.2.2.1
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1 oif ethernet3 out-group 238.2.2.1 save
204
Listas de acceso
Una lista de acceso es una lista de declaraciones con la que se compara la ruta. Cada declaracin especifica la direccin/mscara IP de un prefijo de red y el estado de reenvo (acepta o rechaza la ruta). En el enrutamiento multicast, una instruccin tambin puede contener una direccin de grupo multicast. En el enrutamiento multicast, usted crea listas de accesos para permitir trfico multicast a determinados grupos o hosts multicast. Por lo tanto, el estado de la accin o del reenvo es siempre Permit. No se pueden crear listas de accesos para denegar ciertos grupos o hosts. (Para obtener informacin adicional sobre listas de accesos, consulte Listas de acceso en la pgina 58).
Encapsulado de enrutamiento genrico

El encapsulado de paquetes multicast en paquetes unicast es un mtodo comn para transmitir paquetes multicast a travs de una red no preparada para multicast y a travs de tneles IPSec. La versin 1 del protocolo Generic Routing Encapsulation (GRE) es un mecanismo que encapsula cualquier tipo de paquete dentro de paquetes unicast IPv4. Los dispositivos NetScreen admiten GREv1 para encapsular paquetes IP en paquetes unicast IPv4. Para obtener informacin adicional sobre GRE, consulte la norma RFC 1701, Generic Routing Encapsulation (GRE ).
205
En los dispositivos NetScreen, el encapsulado GRE se habilita en interfaces de tnel. (Recuerde que puede habilitar GRE en una interfaz de tnel asociada a una interfaz loopback, siempre que la interfaz loopback se encuentre en la misma zona que la interfaz saliente. Para obtener ms informacin sobre interfaces loopback, consulte Interfaces loopback en la pgina 2 -76. Si desea transmitir paquetes multicaste a travs de un tnel VPN IPSec entre un dispositivo NetScreen y un dispositivo o enrutador de otro fabricante, debe habilitar GRE. Los dispositivos NetScreen tienen limitaciones especficas de cada plataforma en cuanto al nmero de interfaces salientes a travs de las cuales se pueden transmitir paquetes multicast. En grandes entornos de VPNs radiales (hub-and-spoke), en los que el dispositivo NetScreen es el eje, se puede evitar esta limitacin creando un tnel GRE entre el enrutador de sentido ascendente del dispositivo NetScreen situado en el cubo y los dispositivos NetScreen situados en los radios. En la ilustracin siguiente, Enrutador-A se encuentra en sentido ascendente con respecto a NetScreen-A. Enrutador-A tiene tneles GRE que terminan en NetScreen-1 y NetScreen-2. NetScreen-A est conectado a NetScreen-1 y a NetScreen-2 a travs de tneles VPN. Antes de transmitir paquetes multicast, Enrutador-A primero los encapsula en paquetes unicast IPv4. NetScreen-A recibe estos paquetes como paquetes unicast y los enva a NetScreen-1 y a NetScreen-2.
Origen
Internet
Enrutador-A Tneles GRE NetScreen-A Tneles VPN con GRE NetScreen-1 NetScreen-2 Receptores
206
Ejemplo: Configuracin de interfaces de tnel GRE

En este ejemplo, configurar la interfaz de tnel en NetScreen-1. Ejecutar los pasos siguientes: 1. 2. 3. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trust-vr. Habilitar el encapsulado de GRE en tunnel.1. Especificar los puntos terminales local y remoto del tnel GRE.
Este ejemplo muestra la configuracin de GRE solamente para el dispositivo NetScreen. (Para obtener informacin sobre VPNs, consulte el Volumen 5, VPNs).
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y haga clic en Apply : Encap: GRE (seleccione) Local Interface: ethernet3 Destination IP: 3.3.3.1
CLI
set interface set interface set interface set interface save tunnel.1 tunnel.1 tunnel.1 tunnel.1 zone untrust ip unnumbered interface ethernet3 tunnel encap gre tunnel local-if ethernet3 dst-ip 3.3.3.1
207
Directivas multicast
DIRECTIVAS MULTICAST
De forma predeterminada, los dispositivos NetScreen no permiten que el trfico de control multicast, como mensajes IGMP o PIM, pase por dispositivos NetScreen. Para permitir trfico de control multicast entre zonas, debe configurar una directiva multicast que especifique lo siguiente: Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo multicast: El grupo multicast cuyo trfico de control multicast desea que el dispositivo NetScreen permita. Puede especificar uno de los siguientes: La direccin IP del grupo multicast Una lista de accesos que defina al grupo (o grupos) multicast a los que los hosts puedan unirse La palabra clave any , para permitir el trfico de control multicast para cualquier grupo multicast Trfico de control multicast: El tipo de mensaje de control multicast: mensajes IGMP o mensajes PIM. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211). Para obtener informacin sobre PIM, consulte PIM en la pgina 253). Direccin multicast traducida: El dispositivo NetScreen puede traducir una direccin del grupo multicast de una zona interna a otra direccin en la interfaz de salida. Para traducir una direccin de grupo, debe especificar tanto la direccin multicast original como la direccin del grupo multicast traducida en la directiva multicast. Bidireccional: Puede crear una directiva bidireccional para aplicarla a ambos sentidos del trfico.
Adems, puede especificar lo siguiente:
Nota: Las directivas multicast solamente controlan el flujo del trfico de control multicast. Para permitir el trfico de datos (tanto unicast como multicast) entre zonas, debe configurar directivas de cortafuegos. (Para obtener ms informacin sobre directivas, consulte el Volumen 2, Fundamentos).
208
A diferencia de las directivas de cortafuegos, las directivas multicast no se ordenan en secuencia. De este modo, la directiva multicast ms reciente no sobrescribe ninguna anterior en caso de conflicto. En lugar de ello, el dispositivo NetScreen selecciona la coincidencia ms larga para resolver cualquier conflicto, igual que hacen otros protocolos de enrutamiento. Si encuentra una subred ms pequea que cumpla el criterio de bsqueda, utilizar esa directiva. Nota: Para ver un ejemplo de configuracin de una directiva multicast para mensajes IGMP, consulte Ejemplo: Directiva de grupo multicast para IGMP en la pgina 232. Para ver un ejemplo de configuracin de una directiva multicast para mensajes PIM, consulte Ejemplo: Directiva de grupo multicast para PIM-SM en la pgina 270.
209
210
Captulo 7
IGMP
Este captulo describe el protocolo multicast Internet Group Management Protocol (IGMP) en dispositivos NetScreen. Contiene las siguientes secciones: Introduccin a IGMP en la pgina 212 Hosts en la pgina 214 Enrutadores multicast en la pgina 215 IGMP en dispositivos NetScreen en la pgina 216 IGMP en interfaces en la pgina 216 Aspectos relativos a la seguridad en la pgina 217 Configuracin bsica de IGMP en la pgina 219 Verificacin de la configuracin de IGMP en la pgina 222 Parmetros operativos de IGMP en la pgina 224 Proxy de IGMP en la pgina 226 Configuracin del proxy de IGMP en la pgina 229 Proxy de IGMP en interfaces en la pgina 229 Creacin de u na directiva multicast en la pgina 232 Proxy del remitente de IGMP en la pgina 245
211
Captulo 7 IGMP
Introduccin a IGMP
INTRODUCCIN A IGMP
El protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre hosts y enrutadores para establecer y mantener miembros de grupos multicast en una red. Los dispositivos NetScreen admiten las siguientes versiones de IGMP: IGMPv1, segn lo definido en la norma RFC 1112, Host Extensions for IP Multicasting , define las operaciones bsicas para miembros de grupos multicast. IGMPv2, segn lo definido en la norma RFC 2236, Internet Group Management Protocol, Version 2 , ampla la funcionalidad de IGMPv1. IGMPv3, segn se define en la norma RFC 3376, Internet Group Management Protocol, Version 3 , permite la filtracin de orgenes. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. IGMPv3 se requiere cuando Protocol Independent Multicast se ejecuta en el modo Source-Specific Multicast (PIM-SSM). (Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 312).
IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener su pertenencia a grupos multicast. Los protocolos de enrutamiento multicast, como PIM, procesan la informacin de miembros IGMP, crean entradas en la tabla de enrutamiento multicast y reenvan trfico multicast a los hosts a travs de la red.
212
Captulo 7 IGMP
Introduccin a IGMP
Origen
Los protocolos de enrutamiento multicast, tales como PIM-SM, alimentan la tabla de rutas multicast y reenvan datos a los hosts de toda la red. Internet
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts y enrutadores intercambian para mantener actualizada la informacin de miembro de grupos a travs de la red. Los hosts y los enrutadores que ejecutan versiones ms recientes de IGMP pueden convivir con los que ejecuten versiones de IGMP anteriores.
213
Captulo 7 IGMP
Introduccin a IGMP
Hosts
Los hosts envan mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qu hosts son miembros de grupos multicast escuchando estos mensajes IGMP en sus redes locales. La tabla siguiente describe los mensajes IGMP que envan los hosts.
Versin de IGMP IGMPv1 y v2 Mensaje de IGMP Destino
Un host enva un informe de miembro la primera vez que se une a Direccin IP del grupo un grupo multicast y peridicamente, una vez que ya es miembro multicast al que el host del grupo. El informe de miembros indica a qu grupo multicast desea unirse desea unirse el host. Un host enva un informe de miembro la primera vez que se une a 224.0.0.22 un grupo multicast y peridicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la direccin multicast del grupo, el modo de filtracin, que es include o exclude, y una lista de orgenes. Si el modo de filtracin es include, los paquetes procedentes de las direcciones en la lista de origen se aceptan. Si el modo de filtracin es exclude, los paquetes procedentes de orgenes distintos de los de la lista son aceptados. Un host enva un mensaje Leave Group cuando desea dejar el grupo multicast y dejar de recibir datos para ese grupo. all routers group (224.0.0.2)
IGMPv3
IGMPv2
214
Captulo 7 IGMP
Introduccin a IGMP
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qu grupos multicast tienen miembros en su red local. Cada red 1 selecciona un enrutador designado, denominado el consultador . Generalmente, hay un consultador por cada red. El consultador enva mensajes IGMP a todos los hosts de la red para solicitar informacin de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la informacin de estos mensajes y actualizan su lista de miembros de grupos en cada interfaz. Los enrutadores IGMPv3 mantienen una lista que incluye la direccin del grupo multicast, el modo de filtracin (include o exclude) y la lista de orgenes. La tabla siguiente describe los mensajes que un consultador enva.
Versin de IGMP IGMPv1, v2 y v3 IGMPv2 y v3 Mensaje de IGMP El consultador enva peridicamente consultas generales para solicitar la informacin de miembros de grupos. Destino grupo de todos los hosts (224.0.0.1)
El consultador enva una consulta especfica de grupo cuando El grupo multicast del recibe un mensaje Leave Group de IGMPv2 o un informe de que el host desea salir. miembros IGMPv3 que indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese grupo en su red local y deja de reenviar trfico multicast a ese grupo. El consultador enva una consulta group-and-source para El grupo multicast que el verificar si hay algn receptor para ese grupo y origen concretos. host desea salir.
IGMPv3
1.
Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la direccin IP ms baja de la red.
215
Captulo 7 IGMP
IGMP en dispositivos NetScreen
IGMP EN DISPOSITIVOS NETSCREEN

En algunos enrutadores, IGMP se habilita automticamente cuando se habilita un protocolo de enrutamiento multicast. En dispositivos NetScreen, debe habilitar explcitamente IGMP y un protocolo de enrutamiento multicast.
IGMP en interfaces
De forma predeterminada, IGMP est inhabilitado en todas las interfaces. Debe habilitar IGMP en el modo enrutador en todas las interfaces que estn conectadas a hosts. En el modo de enrutador, el dispositivo NetScreen ejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar IGMPv1, IGMPv2 y v3, o solamente IGMPv3.
Ejemplo: Habilitar IGMP en una interfaz

En este ejemplo, habilitar IGMP en modo enrutador en la interfaz ethernet1 que est conectada con un host.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
CLI
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save
216
Captulo 7 IGMP
Ejemplo: Inhabilitacin de IGMP en una interfaz

En este ejemplo, inhabilitar IGMP en la interfaz ethernet1. El dispositivo NetScreen mantiene la configuracin de IGMP, pero la inhabilita.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol IGMP Enable y haga clic en Apply .
CLI
unset interface ethernet1 protocol igmp enable save Para borrar la configuracin de IGMP ejecute el comando unset interface interface protocol igmp router .
Aspectos relativos a la seguridad

Hay algunos aspectos de seguridad que se deben tener en cuenta al ejecutar IGMP. Los usuarios malvolos pueden ejecutar consultas IGMP, informes de miembros y dejar mensajes. En los dispositivos NetScreen, puede restringir el trfico multicast slo a los hosts y grupos multicast conocidos. Adems, tambin puede especificar los consultadores permitidos en su red. Estas restricciones se establecen creando listas de accesos y aplicndolas a una interfaz. Una lista de accesos es una lista secuencial de instrucciones que especifican una direccin IP y un estado de reenvo (permitir o denegar). En IGMP, las listas de accesos siempre deben tener un estado de reenvo permit y deben especificar uno de los siguientes: Grupos multicast a los que los hosts pueden unirse Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes IGMP Consultadores desde los que la interfaz del enrutador de IGMP puede recibir mensajes IGMP
217
Captulo 7 IGMP
Despus de crear una lista de accesos, aplquela a una interfaz. Una vez aplicada una lista de accesos a una interfaz, sta acepta trfico solamente de los indicados en en su lista de accesos. Por lo tanto, para denegar trfico procedente de un determinado grupo, host o consultador multicast, simplemente exclyalo de la lista de accesos. (Para obtener informacin adicional sobre listas de acceso, consulte Listas de acceso en la pgina 58).
Ejemplo: Configurar una lista de accesos para grupos aceptados

En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de accesos especifica lo siguiente: La identificacin de la lista de accesos es 1 Permitir el trfico a un grupo multicast 224.4.4.1/32 El nmero secuencial de esta instruccin es 1 Despus de crear la lista de accesos, permita que los hosts en ethernet1 se unan al grupo multicast especificado en la lista de accesos.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK : Accept Groups Access List ID: 1
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 save
218
Captulo 7 IGMP
Configuracin bsica de IGMP

Para ejecutar IGMP en un dispositivo NetScreen, simplemente habiltelo en modo enrutador en las interfaces que estn conectadas directamente con los hosts. Para garantizar la seguridad de la red, utilice las listas de accesos para limitar el trfico multicast slo a grupos, hosts y enrutadores multicast conocidos.
Ejemplo: Configuracin bsica de IGMP

En este ejemplo, los hosts de la zona Trust protegida por el dispositivo NetScreen NS1 son receptores potenciales del flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1 y ethernet2 estn conectadas con los hosts. El origen multicast est transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos siguientes para configurar IGMP en las interfaces que estn conectadas con los hosts: 1. 2. 3. 4. Asigne direcciones IP a las interfaces y ascielas a zonas. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. Restrinja las interfaces (ethernet1 y ethernet2) a recibir mensajes IGMP para el grupo multicast 224.4.4.1/32.
ethernet1 10.1.1.1/24
Origen Enrutador designado de origen Zona Untrust ethernet3 1.1.1.1/24 NS1 ethernet 2 10.1.2.1/24 Zona Trust
219
Captulo 7 IGMP
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2.
Lista de accesos
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
220
Captulo 7 IGMP
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Groups Access List ID: 1
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24
2. 3.
Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1
IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save
Despus de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar trfico multicast. (Para obtener informacin sobre PIM, consulte PIM en la pgina 253).
221
Captulo 7 IGMP
Verificacin de la configuracin de IGMP

Para verificar la conectividad y asegurarse de que IGMP se est ejecutando correctamente, existe una serie de comandos exec y get . Para enviar consultas generales o especficas de grupos a una interfaz en particular, utilice el comando exec igmp interface interface query . Por ejemplo, para enviar una consulta general desde ethernet2, introduzca: exec igmp interface ethernet2 query Para enviar una consulta especfica de grupo desde ethernet2 al grupo multicast 224.4.4.1, introduzca: exec igmp interface ethernet2 query 224.4.4.1 Para enviar un informe de miembros de una interfaz en particular, utilice el comando exec igmp interface interface report . Por ejemplo, para enviar un informe de miembros desde ethernet2 introduzca: exec igmp interface ethernet2 report 224.4.4.1
222
Captulo 7 IGMP
Puede revisar los parmetros IGMP de una interfaz ejecutando el comando siguiente: ns-> get igmp interface
Version y modo de IGMP
Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Estado del consultador Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 seconds Parmetros operativos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds Para mostrar informacin sobre grupos multicast, ejecute el siguiente comando CLI: ns-> get igmp group total groups matched: 1 multicast group interface *224.4.4.1 trust
last reporter 0.0.0.0
expire ver ------ v2
223
Captulo 7 IGMP
Parmetros operativos de IGMP

Al habilitar IGMP en modo de enrutador en una interfaz, la interfaz se inicia como consultador. Como consultador, la interfaz utiliza ciertos ajustes predeterminados que usted puede modificar. Cuando ajuste los parmetros en este nivel, nicamente afectar a la interfaz que usted especifique. La siguiente tabla describe los parmetros de la interfaz consultadora IGMP y sus valores predeterminados:
Parmetros de la interfaz IGMP General query interval Descripcin Valor predeterminado
El intervalo en el cual la interfaz consultadora enva 125 segundos consultas generales al grupo de todos los hosts (224.0.0.1).
Maximum response time El tiempo mximo entre una consulta general y la respuesta 10 segundos procedente del host. Last Member Query Interval El intervalo en el que la interfaz enva una consulta especfica de grupo. Si no recibe ninguna respuesta despus de la segunda consulta especfica de grupo, asume que no hay ms miembros en ese grupo en su red local. 1 segundo
De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente acepta paquetes IGMP con la opcin router-alert IP, y descarta los paquetes que no tienen esta opcin. Los paquetes IGMPv1 no tienen esta opcin y, por lo tanto, un dispositivo NetScreen que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de forma predeterminada. Puede configurar el dispositivo NetScreen para dejar de comprobar si los paquetes IGMP contienen la opcin router-alert IP y aceptar todos los paquetes IGMP, hacindolo compatible con versiones anteriores de enrutadores IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los paquetes IGMP:
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los siguientes datos y haga clic en OK : Packet Without Router Alert Option: Permit (seleccione)
224
Captulo 7 IGMP
CLI
set interface ethernet1 protocol igmp no-check-router-alert save
225
Captulo 7 IGMP
Proxy de IGMP
PROXY DE IGMP
Los enrutadores esperan y envan mensajes IGMP slo a sus hosts conectados; no reenvan mensajes IGMP ms all de su red local. Puede permitir que las interfaces de un dispositivo NetScreen reenven mensajes IGMP un salto ms all de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Al ejecutar IGMP proxy en un dispositivo NetScreen, las interfaces conectadas con los hosts funcionan como enrutadores y las conectadas con enrutadores de niveles superiores funcionan como hosts.Tpicamente, las interfaces de hosts y enrutadores estn en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. A continuacin, para permitir que el trfico de datos multicast pase entre zonas, tambin debe configurar una directiva del cortafuegos. En los dispositivos que admiten mltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raz (vsys) y la otra interfaz en vsys separados. A continuacin, cree una directiva multicast para permitir trfico de control multicast entre los dos sistemas virtuales. (Para obtener ms informacin acerca de los sistemas virtuales, consulte el Volumen 5, VPNs). A medida que las interfaces reenvan informacin de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que estn asociadas las interfaces, construyendo un rbol de distribucin multicast desde los receptores hasta el origen. Las siguientes secciones describen cmo las interfaces de hosts y enrutadores IGMP reenvan la informacin de miembros de IGMP en sentido ascendente hacia el origen, y cmo reenvian datos multicast en sentido descendente desde el origen hasta el receptor.
Envo de informes de miembros en sentido ascendente hacia el origen

Cuando un host conectado a una interfaz de enrutador en un dispositivo NetScreen se une a un grupo multicast, enva un informe de miembros al grupo multicast. Cuando la interfaz del enrutador recibe el informe de miembros del host recin unido, comprueba si tiene una entrada para el grupo multicast. A continuacin, el dispositivo NetScreen lleva a cabo una de las acciones siguientes: Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el informe de miembros. Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, comprueba si hay una directiva multicast para el grupo que especifique a qu zonas debe enviar el informe la interfaz del enrutador.
226
Captulo 7 IGMP
Proxy de IGMP
Si no hay ninguna directiva multicast para el grupo, la interfaz del enrutador no reenva el informe. Si hay alguna directiva multicast para el grupo, la interfaz del enrutador crea una entrada para el grupo multicast y reenva el informe de miembros a la interfaz del host proxy en la zona especificada en la directiva multicast. Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiene una entrada (*, G) para ese grupo multicast. Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz del enrutador a la lista de las interfaces de salida para esa entrada. Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del enrutador. A continuacin, la interfaz del host proxy reenva el informe a su enrutador en sentido ascendente.
Envo de datos multicast en sentido descendente a los receptores

Cuando la interfaz del host en el dispositivo NetScreen recibe datos multicast para un grupo multicast, comprueba si hay una sesin existente para ese grupo. Si hay una sesin para el grupo, la interfaz reenva los datos multicast basndose en la informacin de la sesin. Si no hay sesin para el grupo, la interfaz comprueba si el grupo tiene una entrada (S, G) en la tabla de rutas multicast. Si hay una entrada (S, G), la interfaz reenva los datos multicast en consecuencia. Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna entrada (*, G) para el grupo. Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el paquete. Si hay una entrada (*, G) para el grupo, la interfaz crea una entrada (S, G). Cuando la interfaz recibe posteriormente paquetes multicast para ese grupo, reenva el trfico a la interfaz del enrutador (la interfaz de salida) que, a su vez, reenva el trfico a su host conectado.
227
Captulo 7 IGMP
Proxy de IGMP
3. La interfaz del host proxy de IGMP comprueba si tiene una entrada (*, G) para el grupo multicast: En caso afirmativo, agrega la interfaz del enrutador a las interfaces salientes en una entrada multicast de la tabla de rutas. En caso negativo, crea la entrada y reenva el informe de miembros al enrutador en sentido ascendente.
Origen
4. El origen enva datos multicast en sentido descendente hacia el receptor.
Enrutador designado de origen 5. La interfaz del host proxy de IGMP comprueba si existe alguna sesin para el grupo: En caso afirmativo, reenva los datos multicast. Zona Untrust Interfaz del host proxy de IGMP En caso negativo, comprueba si hay alguna entrada (S, G) para el grupo: En caso afirmativo, reenva los datos multicast. En caso negativo, comprueba si hay alguna entrada (*, G): En caso negativo, descarta los datos. En caso afirmativo, crea una entrada (S, G) y reenva datos utilizando la interfaz de entrada y de salida desde la entrada (*, G). 6. La interfaz del enrutador proxy de IGMP reenva datos a los receptores. Receptores
Internet
2. La interfaz del enrutador proxy de IGMP comprueba si hay alguna entrada para el grupo multicast: En caso afirmativo, ignora el informe de miembros. En caso negativo y si no hay ninguna directiva multicast para el grupo, descarta el informe de miembros. En caso negativo, pero si existe alguna directiva multicast para el grupo, crea una entrada (*, G) en la tabla de rutas multicast, con el host como iif y el enrutador como oif. Reenva el informe en sentido ascendente hacia la interfaz del host en la zona especificada en la directiva multicast. 1. Los hosts envan informes de miembros en sentido ascendente.
Zona Trust
Interfaz del enrutador proxy de IGMP
228
Captulo 7 IGMP
Proxy de IGMP
Configuracin del proxy de IGMP

En esta seccin se describen los pasos bsicos necesarios para configurar IGMP proxy en un dispositivo NetScreen: 1. 2. 3. 4. 5. Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma predeterminada, el proxy de IGMP est habilitado en las interfaces de hosts. Habilitar IGMP en el modo enrutador en interfaces en sentido descendente. Habilitar IGMP proxy en interfaces de enrutador. Configurar una directiva multicast que permita que el trfico de control multicast pase de una zona a otra. Configurar una directiva para entregar trfico de datos entre zonas.
Proxy de IGMP en interfaces

Al ejecutar IGMP proxy en un dispositivo NetScreen, la interfaz en sentido descendente se configura en modo enrutador y la interfaz en sentido ascendente en modo host. (Observe que una interfaz puede estar en modo host o en modo enrutador, pero no en ambos). Adems, para que una interfaz de enrutador reenve trfico multicast, debe ser el consultador en la red local. Para permitir que una interfaz no consultadora reenve trfico multicast, debe especificar la palabra clave always al habilitar IGMP en la interfaz. De forma predeterminada, una interfaz IGMP slo acepta los mensajes IGMP de su propia subred. Ignora los mensajes IGMP procedentes de orgenes externos. Debe habilitar el dispositivo NetScreen para que acepte mensajes IGMP procedentes de otras subredes al ejecutar IGMP proxy.
229
Captulo 7 IGMP
Proxy de IGMP
Ejemplo: Proxy de IGMP en interfaces

En este ejemplo, la interfaz ethernet1 tiene la direccin IP 10.1.2.1/24 y est conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1: Habilitar IGMP en el modo host Permitir que acepte mensajes IGMP desde todos los orgenes, sin importar la subred
La interfaz ethernet3 tiene la direccin IP 10.1.1.1/24 y est conectada con los hosts. Configure lo siguiente en ethernet3: Habilitar IGMP en el modo enrutador Permitir que reenvie trfico multicast aunque no sea un consultador Permitir que acepte mensajes IGMP procedentes de orgenes de otras subredes
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
2.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
230
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)
CLI
set set set set interface interface interface interface ethernet1 ethernet1 ethernet3 ethernet1 ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet3 ethernet3 ethernet3 zone trust ip 10.1.2.1/24 zone trust ip 10.1.1.1/24 protocol protocol protocol protocol protocol protocol protocol protocol igmp igmp igmp igmp igmp igmp igmp igmp host enable no-check-subnet router proxy proxy always enable no-check-subnet
2.
IGMP
set interface set interface set interface set interface set interface set interface set interface set interface save
231
Captulo 7 IGMP
Proxy de IGMP
Creacin de u na directiva multicast

Normalmente, un dispositivo NetScreen intercambia mensajes IGMP slo con sus hosts conectados. Con IGMP Proxy, los dispositivos NetScreen pueden necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el envo interzonal de mensajes IGMP, debe configurar una directiva multicast que lo permita especficamente. Al crear una directiva multicast, debe especificar lo siguiente: Origen: La zona desde la que se inicia el trfico Destino: La zona a la que se enva el trfico Grupo multicast: Puede ser un grupo multicast, una lista de accesos que especifique grupos multicast, o any
Adems, puede especificar que la directiva sea bidireccional para aplicar la directiva a ambos sentidos del trfico.
Ejemplo: Directiva de grupo multicast para IGMP

En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz del host en la zona Untrust. Defina una directiva multicast que permita que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las zonas Trust y Untrust. Utiliza la palabra clave bidirectional para permitir el trfico en ambos sentidos.
WebUI
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional save
232
Captulo 7 IGMP
Proxy de IGMP
Ejemplo: Configuracin bsica de Proxy de IGMP

En este ejemplo, configurar IGMP proxy en los dispositivos NetScreen NS1 y NS2. Estn interconectados a travs de un tnel VPN. Realice los pasos siguientes en los dispositivos NetScreen de ambos lugares: 1. 2. 3. Asigne direcciones IP a las interfaces fsicas asociadas a las zonas de seguridad. Cree los objetos de direcciones. Habilite IGMP en las interfaces del host y del enrutador, y habilite IGMP proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy est habilitado en las interfaces de host). Especifique la palabra clave always en ethernet1 de NS1 para permitir que reenve trfico multicast incluso aunque no sea un consultador. De forma predeterminada, una interfaz IGMP slo acepta paquetes IGMP de su propia subred. En el ejemplo, las interfaces estn en subredes diferentes. Al habilitar IGMP, permita que las interfaces acepten paquetes IGMP (consultas, informes de miembros y mensajes leave) procedentes de cualquier subred. 4. 5. 6. 7. Configure las rutas. Configure el tnel VPN. Configure una directiva para transmitir trfico de datos entre zonas. Configure una directiva multicast para entregar mensajes IGMP entre zonas. En este ejemplo, restringir el trfico multicast a un grupo multicast (224.4.4.1/32).
233
Captulo 7 IGMP
Proxy de IGMP
Zona Trust ethernet3 2.2.2.2/24 Interfaz de tnel tunnel.1 NS1 Origen Enrutador designado Internet Tnel VPN
Zona Untrust
ethernet1 10.2.2.1/24
Receptores
NS2 Interfaz de tnel tunnel.1 ethernet1 10.3.1.1/24 Zona Trust
Zona Untrust
ethernet3 3.1.1.1/24
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT
234
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
235
Captulo 7 IGMP
Proxy de IGMP
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy (seleccione): Always (seleccione)
4.
Rutas
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK . Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 >> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
236
Captulo 7 IGMP
Proxy de IGMP
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7.
Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
237
Captulo 7 IGMP
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust IP Address/Netmask: 10.3.1.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 3.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust
238
Captulo 7 IGMP
Proxy de IGMP
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.1/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4.
Rutas
Network > Routing > Routing Entries > New (trust-vr): Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.2.2.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
239
Captulo 7 IGMP
Proxy de IGMP
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK : Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1 Preshared Key: fg2g4hvj Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
240
Captulo 7 IGMP
Proxy de IGMP
7.
Directiva multicast
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS1)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. 3.
Direcciones
set address untrust branch1 10.3.1.0/24
IGMP
set set set set set set set set interface interface interface interface interface interface interface interface ethernet1 protocol igmp host ethernet1 protocol igmp enable ethernet1 protocol igmp no-check-subnet tunnel.1 protocol igmp router tunnel.1 protocol igmp proxy tunnel.1 protocol igmp proxy always tunnel.1 protocol igmp enable tunnel.1 protocol igmp no-check-subnet
241
Captulo 7 IGMP
Proxy de IGMP
4. 5.
Rutas
set route 10.3.1.0/24 interface tunnel.1
Tnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. 7.
Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
242
Captulo 7 IGMP
Proxy de IGMP
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.3.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 10.2.2.1/24
3.
IGMP
set set set set set set set interface interface interface interface interface interface interface ethernet1 protocol igmp router ethernet1 protocol igmp proxy ethernet1 protocol igmp proxy always ethernet1 protocol igmp enable tunnel.1 protocol igmp host tunnel.1 protocol igmp enable tunnel.1 protocol igmp no-check-subnet
4.
Rutas
set route 10.2.2.0/24 interface tunnel.1
243
Captulo 7 IGMP
Proxy de IGMP
5.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4hvj proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. 7.
Directiva
set policy from untrust to trust source-dr mgroup1 any permit
Directiva multicast
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust igmp-message bi-directional save
244
Captulo 7 IGMP
Proxy de IGMP
Proxy del remitente de IGMP

En IGMP proxy, el trfico multicast generalmente viaja en sentido descendente desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones, el origen puede estar en la misma red que la interfaz del enrutador. Cuando un origen se conecta a una interfaz que se encuentra en la misma red a la que la interfaz del proxy del enrutador IGMP enva trfico multicast, el dispositivo NetScreen comprueba si hay lo siguiente: Una directiva del grupo multicast que permita el trfico desde la zona de origen a la zona de la interfaz del host IGMP proxy Una lista de accesos de los orgenes aceptables Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy o si el origen no se encuentra en la lista de orgenes aceptables, el dispositivo NetScreen descarta el trfico. Si existe una directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de orgenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen est conectado y la interfaz saliente es la interfaz del host IGMP proxy. A continuacin, el dispositivo NetScreen enva los datos en sentido ascendente a la interfaz del host IGMP proxy, que enva los datos a todas sus interfaces conectadas, salvo a la interfaz conectada con el origen.
ethernet3 La interfaz del IGMP proxy enva trfico multicast a todas las interfaces de enrutador proxy. Receptores Internet ethernet2 trfico multicast Tabla de rutas multicast iif = ethernet2 oif = ethernet3
ethernet1
Receptores
Origen
Nota: Las zonas de seguridad no se muestran en esta ilustracin.
245
Captulo 7 IGMP
Proxy de IGMP
Ejemplo: Proxy del remitente de IGMP

En este ejemplo, el origen est conectado a la interfaz ethernet2, asociada a la zona DMZ en NS2. Est enviando trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 asociada a la zona Trust en NS2. Tanto ethernet 1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. Tambin hay receptores conectados con la interfaz ethernet1 asociada a la zona Trust en NS1. Realice los pasos siguientes en NS2: 1. Asigne direcciones IP a las interfaces fsicas asociadas a las zonas de seguridad. 2. Cree los objetos de direcciones. 3. En ethernet1 y ethernet2: Habilite IGMP en el modo enrutador y habilite IGMP proxy. Especifique la palabra clave always para permitir que las interfaces reenven trfico multicast aunque no sean consultadores. 4. Habilite IGMP en modo host en ethernet3. 5. Configure la ruta predeterminada. 6. Configure las directivas de cortafuegos entre las zonas. 7. Configure las directivas multicast entre las zonas. Nota: Este ejemplo slo contiene la configuracin de NS2, no la de NS1.
ethernet1 10.1.1.1/24 Zona Trust Receptores NS1 Internet Origen 3.2.2.5 Nota: Las zonas de seguridad no se muestran en esta ilustracin. ethernet2, 3.2.2.1/24 Zona DMZ Proxy del enrutador IGMP NS2 ethernet3 1.1.1.1/24 Zona Untrust ethernet3 2.2.2.2/24 Zona Untrust Proxy de host IGMP ethernet1, 10.2.2.1 Receptores Zona Trust Proxy del enrutador IGMP
246
Captulo 7 IGMP
Proxy de IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
247
Captulo 7 IGMP
Proxy de IGMP
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 3.2.2.5/32 Zone: DMZ Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: proxy-host IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.2/32 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Proxy (seleccione): Always (seleccione) Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
248
Captulo 7 IGMP
Proxy de IGMP
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.2.2.250
5.
Directiva
Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
249
Captulo 7 IGMP
Proxy de IGMP
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), proxy-host Destination Address: Address Book Entry: (seleccione), mgroup1 Service: ANY Action: Permit
6.
Directiva multicast
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
250
Captulo 7 IGMP
Proxy de IGMP
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 3.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address dmz source-dr 3.2.2.5/32 set address untrust proxy-host 2.2.2.2/32
3.
IGMP
set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp proxy always set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp proxy always set interface ethernet2 protocol igmp enable set interface ethernet3 protocol igmp host set interface ethernet3 protocol igmp no-check-subnet set interface ethernet3 protocol igmp enable
251
Captulo 7 IGMP
Proxy de IGMP
4. 5.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
Directivas
set policy from dmz to trust source-dr mgroup1 any permit set policy from dmz to untrust source-dr mgroup1 any permit set policy from untrust to trust proxy-host mgroup1 any permit
6.
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust igmp-message bi-directional set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message bi-directional set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
252
Captulo 8
PIM
Introduccin al protocolo PIM en la pgina 255 PIM-SM en la pgina 256 rboles de distribucin multicast en la pgina 258 Enrutador designado en la pgina 259 Asignacin de puntos de encuentro a grupos en la pgina 259 Reenvo de trfico a travs del rbol de distribucin en la pgina 260 PIM-SM en dispositivos NetScreen en la pgina 264 Creacin de una instancia PIM-SM en la pgina 265 PIM-SM en interfaces en la pgina 267 Directivas de grupo multicast en la pgina 269 Configuracin PIM-SM bsica en la pgina 271 Comprobacin de la configuracin en la pgina 278 Configuracin de RPs en la pgina 282 RP esttico en la pgina 282 RP candidato en la pgina 284 Aspectos relativos a la seguridad en la pgina 286 Restriccin de grupos multicast en la pgina 286 Restringir orgenes multicast en la pgina 288 Restriccin de RPs en la pgina 289
Este captulo describe el protocolo Protocol Independent Multicast (PIM) en los dispositivos NetScreen. Contiene las siguientes secciones:
253
Captulo 8 PIM
Parmetros de la interfaz PIM-SM en la pgina 291 Directiva vecina en la pgina 291 Lmite bootstrap en la pgina 293 RP Proxy en la pgina 294 Configuracin de un RP proxy en la pgina 297 PIM-SM e IGMPv3 en la pgina 311 PIM-SSM en la pgina 312 PIM-SSM en dispositivos NetScreen en la pgina 312
254
Captulo 8 PIM
Introduccin al protocolo PIM
INTRODUCCIN AL PROTOCOLO PIM

El protocolo Protocol Independent Multicast (PIM) es un protocolo de enrutamiento multicast que se ejecuta entre enrutadores. Mientras que el protocolo Internet Group Management Protocol (IGMP) se ejecuta entre equipos y enrutadores para intercambiar informacin de miembros del grupo multicast, PIM se ejecuta entre enrutadores para reenviar trfico multicast a los miembros del grupo multicast de toda la red. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211).
Origen
Internet
Los protocolos de enrutamiento multicast, tales como PIM-SM, alimentan la tabla de rutas multicast y reenvan datos a los hosts de toda la red.
Hosts y enrutadores utilizan IGMP para intercambiar informacin de miembros del grupo multicast.
255
Captulo 8 PIM
PIM-SM
Para ejecutar PIM, tambin debe configurar rutas estticas o un protocolo de enrutamiento dinmico. PIM se llama independiente del protocolo porque utiliza la tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus comprobaciones RPF (reenvo por rutas inversas), pero no depende de la funcionalidad del protocolo de enrutamiento unicast. (Para obtener informacin sobre RPF, consulte Reenvo por rutas inversas en la pgina 201). PIM puede funcionar de los modos siguientes: El modo PIM-Dense (PIM-DM) inunda toda la red con trfico multicast y luego corta las rutas hacia los receptores que no desean recibir trfico multicast. El modo PIM-Sparse (PIM-SM) reenvia trfico multicast solamente a los receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden utilizar el rbol de ruta compartida o el rbol de ruta ms corta (SPT) para reenviar la informacin multicast. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 258). El modo multicast especfico del origen PIM (PIM-Source Specific Multicast Mode o PIM-SSM) est derivado del PIM-SM. Igual que PIM-SM, reenva trfico multicast slo a los receptores interesados. A diferencia de PIM-SM, forma inmediatamente un SPT al origen. Los dispositivos NetScreen admiten PIM-SM, segn la definicin draft-ietf-pim-sm-v2-new-06 , as como PIM-SSM segn la definicin de la norma RFC 3569, An Overview of Source-Specific Multicast (SSM) . Para obtener informacin sobre PIM-SM, consulte PIM-SM en la pgina 256. Para obtener informacin sobre PIM-SSM, consulte PIM-SSM en la pgina 312.
PIM-SM
PIM-SM es un protocolo de enrutamiento multicast que reenva trfico multicast slo a los receptores interesados. Puede utilizar un rbol de distribucin compartido o el rbol de ruta ms corta (SPT) para reenviar trfico multicast a travs de la red. (Para obtener informacin sobre rboles de distribucin multicast, consulte rboles de distribucin multicast en la pgina 258). De forma predeterminada, PIM-SM utiliza el rbol de distribucin compartido con un punto de encuentro (RP) en la raz del rbol. Todos los orgenes de un grupo envan sus paquetes al RP, y el RP enva datos en direccin descendente por el rbol de distribucin compartido a todos los receptores de la red. Cuando se alcanza un umbral configurado, los receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los receptores recibir los datos multicast.
256
Captulo 8 PIM
PIM-SM
Nota: De forma predeterminada, los dispositivos NetScreen conmutan al SPT en el momento de recibir el primer byte. Con independencia del rbol utilizado para distribuir el trfico, slo los receptores que explcitamente se unan a un grupo multicast pueden recibir el trfico enviado a ese grupo. PIM-SM utiliza la tabla de rutas unicast para realizar sus operaciones de reenvo por rutas inversas (RPF) al recibir mensajes de control multicast, y utiliza la tabla de rutas multicast para enviar trfico de datos multicast a los receptores.
257
Captulo 8 PIM
PIM-SM
rboles de distribucin multicast

Los enrutadores multicast reenvan el trfico multicast en sentido descendente desde el origen a los receptores a travs de un rbol de distribucin multicast. Hay dos tipos de rboles de distribucin multicast: El rbol de la ruta ms corta (SPT): El origen se encuentra en la raz del rbol y reenva los datos multicast en sentido descendente a cada receptor. Denominada tambin rbol especfico del origen o source-specific tree. rbol de distribucin compartido: El origen transmite el trfico multicast al punto de encuentro (rendezvous point o RP), que suele ser un enrutador en el ncleo de la red. A continuacin, el RP reenva el trfico en sentido descendente a los receptores del rbol de distribucin.
rbol de la ruta ms corta rbol de distribucin compartido rbol de la ruta ms corta 1.El origen enva trfico multicast en sentido descendente a los receptores. Origen rbol de distribucin compartido 1.El origen enva trfico multicast en sentido descendente hacia el punto de encuentro (RP). 2.El RP reenva trfico multicast en sentido descendente a los receptores.
RP
Receptores
Receptores
258
Captulo 8 PIM
PIM-SM
Enrutador designado
Cuando en una red de rea local (LAN) multiacceso hay varios enrutadores multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del origen es responsable de enviar los paquetes multicast desde el origen al RP y a los receptores que estn en el rbol de distribucin especfico del origen. El DR en la LAN de los receptores es responsable de reenviar mensajes join-prune desde los receptores al RP, y de enviar el trfico de datos multicast a los receptores de la LAN. Los receptores envan mensajes join-prune cuando desean unirse a un grupo multicast o salir de l. El DR se selecciona a travs de un proceso de seleccin. Cada enrutador PIM-SM de una LAN tiene una prioridad DR configurable por el usuario. Los enrutadores de PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (hello) que envan peridicamente a sus vecinos. Cuando los enrutadores reciben los mensajes de saludo, seleccionan el enrutador con la prioridad DR ms alta como DR para la LAN. Si varios enrutadores coinciden en tener la prioridad DR ms alta, el enrutador con la direccin IP ms alta se convertir en el DR de la LAN.
Asignacin de puntos de encuentro a grupos

Un punto de encuentro (rendezvous point o RP) enva paquetes multicast para determinados grupos multicast. Un dominio PIM-SM es un grupo de enrutadores PIM-SM con las mismas asignaciones de grupo RP. Hay dos maneras de asignar grupos multicast a un RP: estticamente y dinmicamente.
Asignacin de RP esttico
Para crear una asignacin esttica entre un RP y un grupo multicast, debe configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que cambie la direccin del RP, deber volver a configurar la direccin del RP.
Asignacin de RP dinmico
PIM-SM tambin proporciona un mecanismo de asignacin dinmica de RPs a grupos multicast. En primer lugar, se configuran los puntos de encuentro de candidatos (C-RPs) para cada grupo multicast. A continuacin, los C-RPs envan anuncios Candidate-RP a un enrutador de la LAN, denominado enrutador bootstrap (BSR). Las notificaciones contienen el grupo multicast (s) para el cual el enrutador acta como RP y la prioridad del C-RP.
259
Captulo 8 PIM
PIM-SM
El BSR recoge estas notificaciones C-RP y los emite en un mensaje BSR a todos los enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un algoritmo hash bien conocido para seleccionar un RP activo por cada grupo multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignacin de grupo RP entre los RPs candidatos. Para obtener informacin sobre el proceso de seleccin de BSR, consulte draft-ietf-pim-sm-bsr-03.txt.
Reenvo de trfico a travs del rbol de distribucin

Esta seccin describe cmo los enrutadores PIM-SM envan mensajes join al punto de encuentro (RP) de un grupo multicast y cmo el RP enva datos multicast a los receptores de la red. En un entorno de red multicast, un dispositivo NetScreen puede funcionar como RP, como enrutador designado en la red del origen o en la red de los receptores, o como enrutador intermedio.
El origen enva datos a un grupo

Cuando un origen comienza enviar paquetes multicast, transmite esos paquetes a travs de la red. Cuando el enrutador designado (DR) en esa red de rea local (LAN) recibe los paquetes multicast, consulta la interfaz saliente y la direccin IP del salto siguiente hacia el RP en la tabla de rutas unicast. A continuacin, el DR encapsula los paquetes multicast en paquetes unicast, denominados mensajes REGISTER, y los reenva a la direccin IP del siguiente salto. Cuando el RP recibe los mensajes REGISTER, desencapsula los paquetes y enva los paquetes multicast en sentido descendente por el rbol de distribucin hacia los receptores.
260
Captulo 8 PIM
PIM-SM
1. El origen enva los paquetes multicast en sentido descendente.
Origen
2. El DR encapsula los paquetes y enva mensajes REGISTER al RP.
Enrutador designado (DR)
Punto de encuentro (RP) 3. El RP desencapsula los mensajes REGISTER y enva paquetes multicast a los receptores.
Receptores
Receptores
Si la velocidad de transmisin de los datos del DR de origen alcanza un umbral configurado, el RP enva un mensaje PIM-SM adjunto hacia el DR de origen, de modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes REGISTER. Cuando el DR de origen recibe el mensaje adjunto, enva los paquetes multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes multicast del DR, enva al DR un mensaje register-stop. Cuando el DR recibe el mensaje register-stop, deja de enviar los mensajes REGISTER y enva los datos multicast nativos, que el RP enva en sentido descendente a los receptores.
261
Captulo 8 PIM
PIM-SM
El host se une a un grupo

Cuando un host se une a un grupo multicast, enva un mensaje IGMP adjunto a ese grupo multicast. Cuando el DR de la LAN del host recibe el mensaje IGMP adjunto, consulta el grupo en el RP. Crea una entrada (*, G) en la tabla de rutas multicast y enva un mensaje PIM-SM adjunto a su RPF vecino en sentido ascendente hacia el RP. Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM join, realiza el mismo proceso de consulta RP y tambin comprueba si el mensaje adjunto viene de un RPF vecino. Si es as, remite el mensaje PIM-SM adjunto hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM adjunto alcanza el RP. Cuando el RP recibe el mensaje adjunto, enva los datos multicast en sentido descendente hacia el receptor.
Origen Enrutador designado (DR) 2. El DR enva mensajes IGMP join al RP.
Punto de encuentro (RP) Hosts/Receptores 1. Los hosts envan mensajes IGMP join para el grupo multicast.
3. El RP enva datos multicast en sentido descendente a los receptores.
Hosts/Receptores
Cada enrutador en sentido descendente realiza una comprobacin del RPF cuando recibe los datos multicast. Cada enrutador comprueba si recibi los paquetes multicast de la interfaz que utiliza para enviar trfico de datos hacia el RP. Si la comprobacin del RPF es correcta, el enrutador busca una entrada de reenvo (*, G) coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el origen en la entrada, que se convierte en una entrada (S, G) y reenva los paquetes multicast en sentido descendente. Este proceso contina en sentido descendente a lo largo del rbol de distribucin hasta que el host recibe los datos multicast.
262
Captulo 8 PIM
PIM-SM
Cuando la velocidad de transmisin de datos alcanza un umbral configurado, el DR de la LAN del host puede formar el rbol de ruta ms corta directamente al origen multicast. Cuando el DR comienza a recibir trfico de datos directamente del origen, enva un mensaje prune especfico del origen en sentido ascendente hacia el RP. Cada enrutador intermedio corta del rbol de distribucin la conexin con el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de enviar trfico de datos multicast en sentido descendente hacia esa rama en particular del rbol de distribucin.
263
Captulo 8 PIM
PIM-SM en dispositivos NetScreen
PIM-SM EN DISPOSITIVOS NETSCREEN

Los dispositivos NetScreen tienen dos enrutadores virtuales predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente de enrutamiento independiente con sus propias tablas de rutas. Protocol Independent Multicast - Sparse Mode (PIM-SM) utiliza la tabla de rutas del enrutador virtual en el cual est configurado para consultar la interfaz de reenvo por rutas inversas (PIM-SM) y la direccin IP siguiente. Por lo tanto, para ejecutar PIM-SM en un dispositivo NetScreen, primero debe configurar rutas estticas o un protocolo de enrutamiento dinmico en un enrutador virtual, y luego tiene que configurar el PIM-SM en el mismo enrutador virtual. (Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales en la pgina 21.) Los dispositivos NetScreen admiten los siguientes protocolos de enrutamiento dinmico: Open Shortest Path First (OSPF): Para obtener ms informacin acerca de OSPF, consulte Protocolo OSPF en la pgina 67. Border Gateway Protocol (BGP): Para obtener ms informacin acerca de BGP, consulte Protocolo de puerta de enlace de lmite (BGP) en la pgina 159. Routing Information Protocol (RIP): Para obtener ms informacin acerca de RIP, consulte Protocolo de informacin de enrutamiento (RIP) en la pgina 115.
Las secciones siguientes describen los pasos bsicos necesarios para configurar un PIM-SM en un dispositivo NetScreen: Crear y habilitar una instancia PIM-SM en un enrutador virtual (VR). Habilitar PIM-SM en las interfaces. Configurar una directiva multicast para permitir que los mensajes PIM-SM pasen por el dispositivo NetScreen.
264
Captulo 8 PIM
Creacin de una instancia PIM-SM

Puede configurar una instancia PIM-SM para cada enrutador virtual. PIM-SM utiliza la tabla de rutas unicast del enrutador virtual para realizar su comprobacin del RPF. Despus de crear y habilitar una instancia de enrutamiento PIM-SM en un enrutador virtual, puede habilitar el PIM-SM en las interfaces del enrutador virtual.
Ejemplo: Habilitar una instancia PIM-SM en un enrutador virtual

En este ejemplo, crear y habilitar una instancia PIM-SM para el enrutador virtual trust-vr.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en Apply .
CLI
ns-> set vrouter trust-vr ns(trust-vr)-> set protocol pim ns(trust.vr/pim)-> set enable ns(trust.vr/pim)-> exit ns(trust-vr)-> exit save
265
Captulo 8 PIM
Ejemplo: Quitar una instancia PIM-SM

En este ejemplo eliminar la instancia PIM-SM del enrutador virtual trust-vr. Cuando elimine la instancia PIM-SM de un enrutador virtual, el dispositivo NetScreen inhabilita el PIM-SM en las interfaces y borra todos los parmetros de la interfaz PIM-SM.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance, y luego haga clic en OK cuando aparezca el mensaje de confirmacin .
CLI
unset vrouter trust-vr protocol pim deleting PIM instance, are you sure? y/[n] y save
266
Captulo 8 PIM
PIM-SM en interfaces
De forma predeterminada, PIM-SM est inhabilitado en todas las interfaces. Despus de crear y habilitar el PIM-SM en un enrutador virtual, debe habilitar el PIM-SM en las interfaces de ese enrutador virtual que transmiten trfico de datos multicast. Si una interfaz est conectada con un receptor, tambin debe configurar IGMP en modo enrutador en esa interfaz. (Para obtener informacin sobre IGMP, consulte IGMP en la pgina 211). Cuando habilita el PIM-SM en una interfaz que est asociada a una zona, el PIM-SM se habilita automticamente en la zona a la que pertenece dicha interfaz. A continuacin, puede configurar los parmetros PIM-SM para dicha zona. De forma similar, cuando se inhabilitan parmetros PIM-SM de interfaces en una zona, todos los parmetros PIM-SM relacionados con dicha zona se eliminan automticamente.
Ejemplo: PIM-SM en una interfaz

En este ejemplo habilitar PIM-SM en la interfaz ethernet1.
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
CLI
set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable save
267
Captulo 8 PIM
Ejemplo: Inhabilitar PIM-SM en una interfaz

En este ejemplo deshabilitar PIM-SM en la interfaz ethernet1. Recuerde que cualquier otra interfaz en la que haya habilitado PIM-SM todava sigue transmitiendo y procesando los paquetes PIM-SM.
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Clear Protocol PIM Enable , y luego haga clic en Apply .
CLI
unset interface ethernet1 protocol pim enable save
268
Captulo 8 PIM
Directivas de grupo multicast

De forma predeterminada, los dispositivos NetScreen no permiten que los mensajes de trfico de control multicast, como por ejemplo mensajes PIM-SM, pasen de una zona a otra. Debe configurar una directiva de grupo multicast para permitir que los mensajes PIM-SM pasen de una zona a otra. Las directivas de grupo multicast controlan dos tipos de mensajes PIM-SM: los mensajes static-RP-BSR y los mensajes join-prune.
Mensajes Static-RP-BSR
Los mensajes Static-RP-BSR contienen informacin sobre los puntos de encuentro estticos (RPs) y las asignaciones de grupo RP dinmicas. La configuracin de una directiva multicast, que permita asignaciones estticas de RP y mensajes bootstrap (BSR) de una zona a otra, habilita el dispositivo NetScreen para que comparta las asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre dos enrutadores virtuales. Los enrutadores son capaces de memorizar las asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los RP en todas las zonas. Cuando el dispositivo NetScreen recibe un mensaje BSR, comprueba que vienen de su vecino de reenvo por rutas inversas (RPF). A continuacin comprueba si hay directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que no estn autorizados en la directiva multicast y enva el mensaje BSR a los grupos permitidos en todas las zonas de destino que estn autorizadas por la directiva.
Mensajes Join-Prune
Las directivas de grupo multicast tambin controlan los mensajes join-prune. Cuando el dispositivo NetScreen recibe un mensaje join-prune para un origen y grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF vecino y la interfaz de la tabla de enrutamiento unicast. Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido descendente, la validacin de la directiva multicast no es necesaria. Si la interfaz RPF se encuentra en otra zona, el dispositivo NetScreen comprueba si hay una directiva multicast que permita mensajes join-prune para el grupo entre la zona de interfaz en sentido descendente y la zona de la interfaz RPF. Si hay una directiva multicast que permite mensajes join-prune entre las dos zonas, el dispositivo NetScreen reenva el mensaje a la interfaz del RPF. Si no hay directiva multicast que permita mensajes join-prune entre las dos zonas, se descarta el mensaje join-prune.
Captulo 8 PIM
Ejemplo: Directiva de grupo multicast para PIM-SM

En este ejemplo, definir una directiva de grupo multicast bidireccional que permita todos los mensajes PIM-SM entre las zonas Trust y Untrust para el grupo 224.4.4.1.
WebUI
Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK : MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR-Static RP: (seleccione) Join/Prune: (seleccione)
CLI
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust pim-message bsr-static-rp join-prune bi-directional save
270
Captulo 8 PIM
Configuracin PIM-SM bsica
CONFIGURACIN PIM-SM BSICA

Un dispositivo NetScreen puede funcionar como un punto de encuentro (RP), como un enrutador designado de origen (DR), como un receptor DR y como un enrutador intermedio. No puede funcionar como un enrutador bootstrap. Puede configurar PIM-SM en un enrutador virtual (VR) o a travs de dos enrutadores virtuales. Realice los siguientes pasos para configurar PIM-SM en un enrutador virtual: 1. Configure las zonas y las interfaces. 2. Configure rutas estticas o un protocolo de enrutamiento dinmico, como por ejemplo Routing Information Protocol (RIP), Border Gateway Protocol (BGP) u Open Shortest Path First (OSPF), en un enrutador virtual especfico del dispositivo NetScreen. 3. Cree una directiva de cortafuegos para que el trfico de datos unicast y multicast pase de una zona a otra. 4. Cree y habilite una instancia de enrutamiento PIM-SM en el mismo enrutador virtual en el que haya configurado las rutas estticas o un protocolo del enrutamiento dinmico. 5. Habilite PIM-SM en interfaces que reenven el trfico en sentido ascendente hacia el origen o el RP, y en sentido descendente hacia los receptores. 6. Habilite IGMP en las interfaces conectadas a los hosts. 7. Configure una directiva multicast para permitir que los mensajes de PIM-SM pasen de una zona a otra. Cuando configure PIM-SM entre dos enrutadores virtuales, debe configurar el RP en la zona del enrutador virtual en la que se encuentre el RP. A continuacin, configure una directiva de grupo multicast que permita los mensajes join-prune y los mensajes BSR-static-RP entre las zonas en cada enrutador virtual. Tambin debe exportar las rutas unicast entre los dos enrutadores virtuales para asegurar la exactitud de la informacin de reenvo por rutas inversas (RPF). Para obtener informacin acerca de la exportacin de rutas, consulte Exportacin e importacin de rutas entre enrutadores virtuales en la pgina 62. Nota: Si un dispositivo NetScreen se configura con mltiples enrutadores virtuales, todos los enrutadores virtuales debe tener las mismas opciones PIM-SM. Algunos dispositivos NetScreen admiten varios sistemas virtuales. (Para obtener ms informacin acerca de los sistemas virtuales, consulte el Volumen 9, Sistemas virtuales). La configuracin de PIM-SM en un sistema virtual es igual que la configuracin de PIM-SM en el sistema raz. Si va a configurar PIM-SM en dos enrutadores virtuales que se encuentran en sistemas virtuales diferentes, debe configurar un proxy RP. (Para obtener informacin sobre la configuracin de un proxy RP, consulte RP Proxy en la pgina 294.)
271
Captulo 8 PIM
Ejemplo: Configuracin PIM-SM bsica

En este ejemplo, configurar PIM-SM en un enrutador trust-vr. Desea que los hosts de la zona Trust reciban trfico de datos multicast para el grupo multicast 224.4.4.1/32. Configurar el RIP como el protocolo de enrutamiento unicast en el enrutador trust-vr y crear una directiva de cortafuegos para permitir el trfico de datos entre las zonas Trust y Untrust. Crear una instancia PIM-SM en el enrutador trust-vr y habilitar PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en ethernet3 en la zona Untrust. Todas las interfaces estn en modo de ruta. A continuacin, configurar IGMP en ethernet1 y ethernet2, que estn conectados con los receptores. Finalmente, crear una directiva multicast que permita los mensajes static-RP-BSR y join-prune entre las zonas.
Origen
Zona Untrust Enrutador designado Enrutador bootstrap Punto de encuentro
ethernet3 1.1.1.1/24 Receptores
ethernet1 10.1.1.1/24
Zona Trust Receptores
ethernet2 10.1.2.1/24
272
Captulo 8 PIM
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
273
Captulo 8 PIM
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: source-dr IP Address/Domain Name: IP/Netmask: (seleccione), 6.6.6.1/24 Zone: Untrust
3.
IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos y haga clic en OK : IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
4.
RIP
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: Seleccione Enable RIP y haga clic en OK . Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes datos y haga clic en Apply : RIP Instance: (seleccione) Protocol RIP: Enable (seleccione)
274
Captulo 8 PIM
5.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione los siguientes datos y haga clic en OK : Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet2) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para ethernet3) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), source-dr Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
275
Captulo 8 PIM
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static RP: (seleccione) Join/Prune: (seleccione)
CLI
set interface ethernet 1 zone trust set interface ethernet 1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet 2 zone trust set interface ethernet 2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet 3 zone untrust set interface ethernet 3 ip 1.1.1.1/24
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust source-dr 6.6.6.1/24
3.
IGMP
set interface ethernet 1 protocol igmp router set interface ethernet 1 protocol igmp enable set interface ethernet 2 protocol igmp router set interface ethernet 2 protocol igmp enable
276
Captulo 8 PIM
4.
RIP
set vrouter trust-vr protocol rip set vrouter trust-vr protocol rip enable set interface ethernet3 protocol rip enable
5.
PIM-SM
set vrouter trust-vr protocol pim set vrouter trust-vr protocol pim enable set interface ethernet1 protocol pim set interface ethernet1 protocol pim enable set interface ethernet2 protocol pim set interface ethernet2 protocol pim enable set interface ethernet3 protocol pim set interface ethernet3 protocol pim enable
6. 7.
Directiva
set policy from untrust to trust source-dr mgroup1 any permit
Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust pim-message bsr-static-rp join bi-directional save
277
Captulo 8 PIM
COMPROBACIN DE LA CONFIGURACIN
Para verificar la configuracin de PIM-SM, ejecute el comando siguiente: ns-> get vrouter trust protocol pim PIM-SM enabled Number of interfaces : 1 SPT threshold : 1 Bps PIM-SM Pending Register Entries Count : 0 Multicast group accept policy list: 1 Virtual Router trust-vr - PIM RP policy -------------------------------------------------Group Address RP access-list Virtual Router trust-vr - PIM source policy -------------------------------------------------Group Address Source access-list
278
Captulo 8 PIM
Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente: ns->get vrouter trust protocol pim mroute trust-vr - PIM-SM routing table ----------------------------------------------------------------------------Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G Forward - F, Null - N , Negative Cache - E, Local Receivers - L SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S Turnaround Router - K ----------------------------------------------------------------------------Total PIM-SM mroutes: 2 (*, 236.1.1.1) RP 20.20.20.10 Zone: Untrust Upstream : ethernet1/2 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/(10.10.10.1/24, 238.1.1.1) Prune Zone: Trust Upstream : ethernet1/1 RPF Neighbor : local Downstream : ethernet1/2 01:54:20/01:54:20/State Expires Join 0.0.0.0 01:56:35/00:00:42 State Expires Join Flags: LF : Joined : FC Flags: TLF Register
: Joined : 236.1.1.1 20.20.20.200 FC
279
Captulo 8 PIM
En cada entrada de la ruta puede verificar lo siguiente: El estado (S, G) o estado de reenvo (*, G) Si el estado de reenvo es (*, G), la direccin IP del RP; si el estado de reenvo es (S, G), la direccin IP de origen Zona que posee la ruta El estado de join y las interfaces entrantes y salientes Valores del temporizador
280
Captulo 8 PIM
Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente: ns-> get vrouter trust protocol pim rp Flags : I - Imported, A - Always(override BSR mapping) C - Static Config, P - Static Proxy ----------------------------------------------------------------------------Trust 238.1.1.1/32 RP: 10.10.10.10 192 Static C Registering : 0 Active Groups : 1 238.1.1.1 Untrust 236.1.1.1/32 RP: 20.20.20.10 192 Static P Registering : 0 Active Groups : 1 236.1.1.1 Para verificar que hay un vecino de reenvo por rutas inversas, ejecute el comando siguiente: ns-> get vrouter trust protocol pim rpf Flags : RP address - R, Source address - S Address RPF Interface RPF Neighbor Flags ------------------------------------------------------10.10.11.51 ethernet3 10.10.11.51 R 10.150.43.133 ethernet3 10.10.11.51 S Para visualizar el estado de los mensajes join-prune que el dispositivo NetScreen enva a cada vecino de un enrutador virtual, ejecute el comando siguiente: ns-> get vrouter untrust protocol pim join Neighbor Interface J/P Group Source --------------------------------------------------------------------1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1 (S,G) J 224.11.1.1 60.60.0.1
281
Captulo 8 PIM
Configuracin de RPs
CONFIGURACIN DE RPS
Puede configurar un punto de encuentro esttico (RP) si desea asociar un RP especfico a uno o ms grupos multicast. Puede configurar mltiples RP estticos con cada RP asignado a un grupo multicast diferente. Debe configurar un RP esttico cuando en la red no haya enrutador bootstrap. Aunque un dispositivo NetScreen puede recibir y procesar mensajes bootstrap, no realiza funciones de enrutador bootstrap. Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee asignar RPs a grupos multicast de forma dinmica. Puede crear un C-RP para cada zona.
RP esttico
Cuando configure un RP esttico, debe especificar lo siguiente: La zona del RP esttico La direccin IP del RP esttico Una lista de accesos que define los grupos multicast del RP esttico (Para obtener informacin sobre las listas de accesos, consulte Listas de acceso en la pgina 205).
Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen el mismo RP, incluya la palabra clave always . Si no incluye esta palabra clave, y el dispositivo NetScreen descubre que hay otro RP asignado dinmicamente a los mismos grupos multicast, utilizar el RP dinmico.
282
Captulo 8 PIM
Configuracin de RPs
Ejemplo: Crear un RP esttico

En este ejemplo, crear una lista de accesos para el grupo multicast 224.4.4.1, y a continuacin crear un RP esttico para dicho grupo. La direccin IP del RP esttico es 1.1.1.5/24. Especifique la palabra clave always para asegurarse de que el dispositivo NetScreen utilice siempre el mismo RP para eso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 2 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK : Zone: Trust (seleccione) Address:1.1.1.5 Access List: 2 Always: (seleccione)
CLI
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1 set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always save
283
Captulo 8 PIM
Configuracin de RPs
RP candidato
Cuando configura un enrutador virtual como RP candidato, debe especificar lo siguiente: La zona en la que se configura el C-RP La direccin IP de la interfaz que se notifica como C-RP Una lista de acceso que define los grupos multicast del C-RP La prioridad de C-RP notificada
Ejemplo: Crear un RP candidato

En este ejemplo, habilitar PIM-SM en la interfaz ethernet1 que est asocidad a la zona Trust. Crear una lista de acceso que defina los grupos multicast del C-RP. A continuacin crear un C-RP en la zona Trust del enrutador trust-vr. Establecer la prioridad del C-RP a 200.
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.2.2.1/32 Action: Permit
284
Captulo 8 PIM
Configuracin de RPs
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos y haga clic en OK : Interface: ethernet1 (seleccione) Access List: 1 (seleccione) Priority: 200
CLI
set set set set set interface ethernet1 protocol pim interface ethernet1 protocol pim enable vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1 mgroup-list 1 priority 200 save
285
Captulo 8 PIM
ASPECTOS RELATIVOS A LA SEGURIDAD

Al ejecutar PIM-SM, hay algunas opciones que se pueden configurar en un enrutador virtual (VR) para controlar el trfico hacia y desde el enrutador virtual. Los ajustes definidos en el enrutador virtual afectan a todas las interfaces habilitadas para PIM-SM en el enrutador virtual. Cuando una interfaz recibe mensajes de trfico de control multicast (mensajes IGMP o PIM-SM) de otras zonas, del dispositivo NetScreen comprueba primero si hay una directiva multicast que permita dicho trfico. Si el dispositivo NetScreen encuentra una directiva multicast que permita el trfico, comprueba las opciones del enrutador virtual que se pudieran aplicar al trfico. Por ejemplo, si configura el enrutador virtual para aceptar mensajes join-prune desde grupos multicast especificados en una lista de acceso, el dispositivo NetScreen comprueba si dicho trfico es para un grupo multicast de la lista. Si es as, el dispositivo permite el trfico. Si no lo es, el dispositivo descarta el trfico.
Restriccin de grupos multicast

Puede restringir un VR para que slo reenve mensajes join-prune de PIM-SM de un conjunto de grupos multicast determinado. Indique los grupos multicast autorizados en una lista de accesos. Cuando utilice esta caracterstica, el VR descarta los mensajes join-prune que son para los grupos que no estn en la lista de acceso.
Ejemplo: Restringir grupos multicast

En este ejemplo, crear una lista de acceso con el nmero de identificacin 1 que autoriza a los siguientes grupos: 224.2.2.1/32 y 224.3.3.1/32. A continuacin, configure el enrutador trust-vr para aceptar mensajes join-prune de los grupos multicast que se encuentran en la lista de acceso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1
286
Captulo 8 PIM
IP/Netmask: 224.2.2.1/32 Action: Permit Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 224.3.3.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance : Introduzca los siguientes datos y haga clic en Apply : Access Group: 1 (seleccione)
CLI
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1 set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2 set vrouter trust-vr protocol pim accept-group 1 save
287
Captulo 8 PIM
Restringir orgenes multicast

Puede controlar los orgenes desde los que un grupo multicast recibe datos. Identifique el origen, u orgenes, permitido en una lista de acceso, a continuacin vincule la lista de acceso a los grupos multicast. Esto evita que orgenes no autorizados enven datos a su red. Si utiliza esta caracterstica, el dispositivo NetScreen descarta datos multicast de los orgenes que no se encuentran en la lista. Si el enrutador virtual es el punto de encuentra de la zona, comprobar la lista de acceso antes de aceptar un mensaje REGISTER de un origen. El dispositivo NetScreen descarta los mensajes REGISTER que no provienen de un origen autorizado.
Ejemplo: Restringir orgenes multicast

En este ejemplo, primero crear una lista de acceso con el nmero de identificacin 5, que especifica el origen autorizado 1.1.1.1/32. A continuacin configurar el enrutador trust-vr para que acepte datos multicast para el grupo multicast 224.4.4.1/32 desde el origen especificado en la lista de acceso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 5 Sequence No.: 1 IP/Netmask: 1.1.1.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los valores siguientes y haga clic en Add: MGroup: 224.4.4.1/32 Accept Source: 5 (seleccione)
288
Captulo 8 PIM
CLI
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5 save
Restriccin de RPs
Puede controlar qu puntos de encuentro (RPs) estn asignados a un grupo multicast. Se identifican los RP autorizados en una lista de acceso y seguidamente se vincula la lista de acceso a los grupos multicast. Cuando el enrutador virtual (VR) recibe un mensaje bootstrap para un determinado grupo, comprueba la lista de los RPs autorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona ningn RP para el grupo multicast.
Ejemplo: Restringir RP
En este ejemplo, crear una lista de accesos con el nmero de identificacin 6, que especifica el RP autorizado, 2.1.1.1/32. A continuacin, configurar el enrutador trust-vr para que acepte los RPs de la lista de acceso para el grupo multicast 224.4.4.1/32.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 6 Sequence No.: 1 IP/Netmask: 2.1.1.1/32 Action: Permit Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > MGroup: Seleccione los valores siguientes y haga clic en Add: MGroup: 224.4.4.1/32 Accept RP: 6 (seleccione)
289
Captulo 8 PIM
CLI
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1 set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6 save
290
Captulo 8 PIM
Parmetros de la interfaz PIM-SM
PARMETROS DE LA INTERFAZ PIM-SM

Puede cambiar determinados elementos predeterminados de cada interfaz en la que habilite PIM-SM. Cuando ajuste los parmetros en este nivel, nicamente afectar a la interfaz que usted especifique. La siguiente tabla describe los parmetros de la interfaz RIP y sus valores predeterminados:
Parmetros de la interfaz PIM-SM Neighbor policy Descripcin Controla adyacencias vecinas. Para obtener informacin adicional, consulte Directiva vecina en la pgina 291. Especifica el intervalo en el que la interfaz enva mensajes de saludo a sus enrutadores vecinos. Especifica la prioridad de la interfaz para la eleccin del enrutador designado. Especifica el intervalo, en segundos, en el que la interfaz enva mensajes join-prune. Especifica que la interfaz es un lmite bootstrap. Para obtener informacin adicional, consulte Lmite bootstrap en la pgina 293. Valor predeterminado Desactivado
Hello interval Designates router priority Join-Prune interval Bootstrap border
30 segundos 1 60 segundos Desactivado
Directiva vecina
Puede controlar los elementos vecinos con los que una interfaz puede formar una adyacencia. Los enrutadores PIM-SM envan peridicamente mensajes de saludo para anunciarse como enrutadores PIM-SM. Si utiliza esta caracterstica, la interfaz comprueba su lista de vecinos autorizados o rechazados y forma adyacencias con aquellos que estn autorizados.
291
Captulo 8 PIM
Ejemplo: Definir una directiva vecina

En este ejemplo, se crear una lista de acceso que especifique lo siguiente: El nmero de identificacin es 1 La primera instruccin permite 2.1.1.1/24 La segunda instruccin permite 2.1.1.3/24 A continuacin, especificar que ethernet1 puede formar una adyacencia con los vecinos de la lista de acceso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr): Introduzca los siguientes datos y haga clic en OK : Access List ID: 1 Sequence No.: 1 IP/Netmask: 2.1.1.1/24 Action: Permit Select Add No Seq: Introduzca los siguientes datos y haga clic en OK : Sequence No.: 2 IP/Netmask: 2.1.1.3/24 Action: Permit Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : Accepted neighbors: 1
CLI
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1 set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2 set interface ethernet1 protocol pim neighbor-policy 1 save
292
Captulo 8 PIM
Lmite bootstrap
Una interfaz que es un lmite bootstrap (BSR) recibe y procesa mensajes BSR, pero no los reenva a otras interfaces aunque tengan una directiva de grupo multicast que autorice mensajes BSR de una zona a otra. As se asegura que las asignaciones RP-a-grupo permanezcan siempre dentro de una zona.
Ejemplo: Definir un lmite bootstrap

En este ejemplo, configurar ethernet1 como lmite bootstrap.
WebUI
Network > Interfaces > Edit (for ethernet1) > PIM: Seleccione Bootstrap Border , y luego haga clic en Apply :
CLI
set interface ethernet1 protocol pim boot-strap-border save
293
Captulo 8 PIM
RP Proxy
RP PROXY
Un dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas asignaciones de punto de encuentro (RP) a grupo. En un dominio PIM-SM con asignaciones RP-grupo dinmicas, los enrutadores PIM-SM de un dominio escuchan los mensajes del mismo enrutador bootstrap (BSR) para seleccionar sus asignaciones RP-grupo. En un dominio PIM-SM con asignaciones RP-grupo estticas, debe configurar el RP esttico en cada enrutador en el dominio. (Para obtener informacin sobre asignaciones RP-grupo, consulte Configuracin de RPs en la pgina 282). En los dispositivos NetScreen, las interfaces asociadas a zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada zona debe encontrarse en un dominio PIM-SM diferente. Por ejemplo, si las interfaces de la zona Trust estn en modo NAT y las interfaces de la zona Untrust estn en modo de ruta, cada zona debe encontrarse en un dominio PIM-SM diferente. Adems, al configurar PIM-SM a travs de dos enrutadores virtuales que se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe estar en un dominio PIM-SM independiente. Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un RP proxy. Un RP proxy acta como un RP para grupos multicast memorizado de otro dominio PIM-SM, ya sea a travs de un RP esttico o a travs de mensajes bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su dominio, funciona como la raz del rbol de distribucin compartido y puede formar el rbol de ruta ms corta al origen. Puede configurar un RP proxy por cada zona en un enrutador virtual. Para configurar un RP proxy en una zona, debe configurar un RP candidato (C-RP) en dicha zona. A continuacin, el dispositivo NetScreen notifica la direccin IP del C-RP como la direccin IP del RP proxy. Cuando configure el C-RP, no especifique ningn grupo multicast en la lista de grupo multicast. Esto permite que el C-RP acte como el RP proxy de cualquier grupo importado de otra zona. Si especifica grupos multicast, el C-RP funciona como el RP verdadero para los grupos especificados en la lista. Si hay un BSR en la zona, el RP proxy se notifica a si mismo como el RP para los grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy, ste funciona como el RP esttico para los grupos multicast importados de otras zonas. A continuacin debe configurar la direccin IP del C-RP como el RP esttico en todos los dems enrutadores de la zona.
294
Captulo 8 PIM
RP Proxy
El RP proxy admite el uso de IPs asignadas (MIP) para la traduccin de la direccin de origen. Una MIP es una asignacin directa (1:1) de una direccin IP a otra. Puede configurar una MIP cuando desee que el dispositivo NetScreen traduzca a otra direccin una direccin privada de una zona cuyas interfaces estn en modo NAT. Cuando un host de la MIP en la zona de un proxy RP enva un mensaje REGISTER, el dispositivo NetScreen traduce el origen IP a direccin MIP y enva un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo NetScreen recibe el mensaje join-prune para un direccin MIP, el dispositivo asigna la MIP a la direccin origen inicial y la enva al origen. El RP proxy tambin admite la traduccin de direcciones de grupos multicast entre las zonas. Puede configurar una directiva multicast que especifique la direccin original del grupo multicast y la direccin del grupo multicast traducida. Cuando el dispositivo NetScreen recibe un mensaje join-prune en una interfaz de la zona del RP proxy, traduce el grupo multicast, si es necesario, y enva el mensaje adjunto al RP verdadero.
295
Captulo 8 PIM
RP Proxy
Observe el caso siguiente: ethernet1 en la zona Trust est en modo NAT, y ethernet3 en la zona Untrust est en modo de ruta. Hay una MIP para el origen en la zona Trust. El origen en la zona Trust enva trfico multicast al grupo multicast 224.4.4.1/32. Hay receptores tanto en la zona Trust como en la zona Untrust. Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las zonas Trust y Untrust. La zona Trust se configura como el RP proxy. El RP y el BSR estn en la zona Untrust.
Zona Trust Enrutador designado (DR) ethernet1 modo NAT ethernet3 modo de ruta Zona Untrust Punto de encuentro (RP)
Origen
Enrutador bootstrap (BSR)
Receptores Receptores
A continuacin se indica el flujo de datos: 1. 2. 3. El origen enva datos al grupo multicast 224.4.4.1/32. El enrutador designado (DR) encapsula los datos y enva mensajes REGISTER hacia el RP. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a direccin IP del origen inicial a la direccin IP de la MIP. A continuacin reenva el mensaje hacia el RP para el grupo multicast.
296
Captulo 8 PIM
RP Proxy
4. 5. 6.
El RP proxy enva entradas (*, G) al RP verdadero. Los receptores de la zona Trust envan mensajes join al RP proxy. El RP proxy enva los paquetes multicast a los receptores de la zona Trust.
Configuracin de un RP proxy
Para configurar un RP proxy, debe hacer el siguiente: 1. 2. 3. 4. Cree una instancia PIM-SM en un enrutador virtual especfico. Habilite PIM-SM en las interfaces apropiadas. Configure el RP candidato en la zona del RP proxy. Configure el RP proxy.
297
Captulo 8 PIM
RP Proxy
Ejemplo: Configuracin del RP proxy

En este ejemplo, los dispositivos NetScreen NS1 y el NS2 estn conectados a travs de un tnel VPN. Ambos dispositivos ejecutan el protocolo de enrutamiento dinmico, BGP. Configure PIM-SM en ethernet1 y tunnel.1 en NS1 y en NS2. A continuacin, en NS2, configure ethernet1 como RP esttico, y cree un RP proxy en la zona Trust del enrutador trust-vr.
Zona Untrust Interfaz de tnel tunnel.1 Origen ethernet3 4.1.1.1/24 VPN NS1 Enrutador bootstrap Punto de encuentro real Receptores ethernet1 10.2.2.1/24 ethernet3 2.2.2.2/24 Interfaz de tnel tunnel.1
Zona Trust
ethernet1 10.4.1.1/24 NS2 Punto de encuentro del proxy
Receptores
Zona Trust
Zona Untrust
298
Captulo 8 PIM
RP Proxy
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2.
Direcciones
299
Captulo 8 PIM
RP Proxy
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.4.1.0/24 Zone: Untrust
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en Apply . Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione)
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 4.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
300
Captulo 8 PIM
RP Proxy
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
5.
BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK: Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10. Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance . AS Number (obligatorio): 65000 BGP Enabled: (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 4.1.1.1 Outgoing Interface: ethernet3 Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de aadir): Seleccione Peer Enabled y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, y luego haga clic en Add . A continuacin, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en Add de nuevo. Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes datos y haga clic en Apply : Protocol BGP: Enable (seleccione)
301
Captulo 8 PIM
RP Proxy
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
302
Captulo 8 PIM
RP Proxy
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.4.1.1/24 Seleccione NAT , y luego haga clic en Apply . > IGMP: Introduzca los siguientes datos y haga clic en Apply : IGMP Mode: Router Protocol IGMP: Enable (seleccione) Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
303
Captulo 8 PIM
RP Proxy
2.
Direcciones
Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: mgroup1 IP Address/Domain Name: IP/Netmask: (seleccione), 224.4.4.1/32 Zone: Trust Objects > Addresses > List > New: Introduzca la siguiente informacin y haga clic en OK : Address Name: corp IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: Untrust
3.
PIM-SM
Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance : Seleccione Protocol PIM: Enable , y luego haga clic en OK . Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes datos y haga clic en Apply : PIM Instance: (seleccione) Protocol PIM: Enable (seleccione) Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > RP Address > New: Seleccione los siguientes datos y haga clic en OK : Zone: Trust (seleccione) Address:10.4.1.1/24
304
Captulo 8 PIM
RP Proxy
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK : Gateway Name: To_Corp Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de Gateway: Security Level: Compatible Phase 1 Proposal (for Compatible Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
5.
BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK : Virtual Router ID: Custom (seleccione) En el cuadro de texto, escriba 0.0.0.10. Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP Instance . AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
305
Captulo 8 PIM
RP Proxy
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add : AS Number: 65000 Remote IP: 2.2.2.2 Outgoing Interface: ethernet3 Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acaba de aadir): Seleccione Peer Enabled y luego haga clic en OK . Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > Networks: En el campo IP/Netmask, introduzca 4.1.1.0/24 , y luego haga clic en Add . En el campo IP/Netmask, introduzca 10.4.1.0/24 , y luego haga clic en Add . Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol BGP: Enable , y luego haga clic en Apply .
6.
Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), corp Destination Address: Address Book Entry: (seleccione), mgroup1 Service: any Action: Permit
7.
Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.4.4.1/32 Bidirectional: (seleccione) PIM Message: (seleccione) BSR Static IP: (seleccione) Join/Prune: (seleccione)
306
Captulo 8 PIM
RP Proxy
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust branch 10.4.1.0/24
3.
PIM-SM
set vrouter trust-vr set vrouter trust-vr protocol pim enable set set set set interface interface interface interface ethernet1 protocol pim ethernet1 protocol pim enable tunnel.1 protocol pim tunnel.1 protocol pim enable
4.
Tnel VPN
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To-Branch3 sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24
307
Captulo 8 PIM
RP Proxy
5.
BGP
set set set set set set set set vrouter trust-vr router-id 10 vrouter trust-vr protocol bgp 6500 vrouter trust-vr protocol bgp enable vrouter trust-vr protocol bgp neighbor 4.1.1.1 vrouter trust-vr protocol bgp network 2.2.2.0/24 vrouter trust-vr protocol bgp network 10.2.2.0/24 interface ethernet3 protocol bgp enable interface ethernet3 protocol bgp neighbor 4.1.1.1
6. 7.
Directiva
set policy name To-Branch from untrust to trust branch any any permit
Directiva multicast
308
Captulo 8 PIM
RP Proxy
CLI (NS2)
1. Interfaces
set set set set interface interface interface interface ethernet ethernet ethernet ethernet 1 1 1 1 zone trust ip 10.4.1.1/24 protocol igmp router protocol igmp enable
set interface ethernet 3 zone untrust set interface ethernet 3 ip 4.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2.
Direcciones
set address trust mgroup1 224.4.4.1/32 set address untrust corp 2.2.2.0/24
3.
PIM-SM
set set set set set set set set vrouter trust protocol pim interface ethernet1 protocol pim interface ethernet1 protocol pim enable interface tunnel.1 protocol pim interface tunnel.1 protocol pim enable vrouter trust protocol pim zone trust rp proxy vrouter trust protocol pim zone trust rp candidate interface ethernet1 vrouter trust protocol pim enable
309
Captulo 8 PIM
RP Proxy
4.
Tnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Branch_Corp gateway To_Corp sec-level compatible set vpn Branch_Corp bind interface tunnel.1 set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24
5.
BGP
set set set set set set set vrouter trust-vr router-id 10 vrouter trust-vr protocol bgp 6500 vrouter trust-vr protocol bgp enable vrouter trust-vr protocol bgp neighbor 2.2.2.2 vrouter trust-vr protocol bgp network 4.1.1.0/24 vrouter trust-vr protocol bgp network 10.4.1.0/24 interface ethernet3 protocol bgp neighbor 2.2.2.2
6. 7.
Directiva
set policy name To-Corp from untrust to trust corp any any permit
Directiva multicast
310
Captulo 8 PIM
PIM-SM e IGMPv3
PIM-SM E IGMPV3
El PIM-SM admite interfaces que funcionen con las versiones 1, 2 y 3 de IGMP (Internet Group Management Protocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts que reciben los datos para un grupo multicast pueden recibir datos desde cualquier origen que enve datos al grupo multicast. Los informes de miembros de IGMP v1 y v2 slo indican con qu grupos multicast desean unirse los hosts. No contienen informacin sobre los orgenes del trfico de datos multicast. Cuando PIM-SM recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas multicast, permitiendo que cualquier origen realice envios al grupo multicast. A esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a un grupo multicast sin conocer el origen que enva datos al grupo. La red cuenta con la informacin sobre el origen. Los hosts que ejecutan IGMPv3 indican a qu grupos multicast desean unirse y desde qu orgenes esperan recibir trfico multicast. El informe de miembro IGMPv3 contiene la direccin del grupo multicast, el modo de filtrado, que es include o exclude, y una lista de orgenes. Si el modo de filtrado es include, los receptores aceptan trfico multicast solamente de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de miembros IGMPv3 con una lista de origen y un modo de filtro include, crea entradas (S, G) en la tabla de rutas multicast para todos los orgenes de la lista de origen. Si el modo de filtrado es exclude, los receptores no aceptan trfico multicast de los orgenes que se encuentran en la lista y aceptan trfico multicast del resto de orgenes. Cuando PIM-SM recibe un informe de miembros IGMPv3 con la lista de origen y un modo de filtro exclude, crea una entrada (*, G) para el grupo y enva un mensaje prune para los orgenes de la lista de origen. En este caso, es posible que necesite configurar un punto de encuentro si los receptores no conocen la direccin del origen.
311
Captulo 8 PIM
PIM-SSM
PIM-SSM
Adems de PIM-SM, los dispositivos NetScreen tambin admiten multicast PIM-Source-Specific Multicast (SSM). PIM-SSM sigue el modelo source-specific (SSM) donde el trfico multicast se transmite a los canales, no slo a los grupos multicast. Un canal consta de un origen y un grupo multicast. Un receptor se suscribe a un canal con un origen conocido y un grupo multicast. Los receptores proporcionan informacin sobre el origen a travs de IGMPv3. El enrutador designado en la LAN enva mensajes al origen y no a un punto de encuentro (RP). El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones PIM-SSM estn garantizadas dentro de este rango de direcciones. El dispositivo NetScreen manipula los informes de miembros IGMPv3 para los grupos multicast dentro del rango de direcciones 232/8 tal y como como sigue: Si el informe contiene un modo de filtrado include, el dispositivo enva el informe directamente a los orgenes de la lista de origen. Si el informe contiene un modo de filtrado exclude, el dispositivo descarta el informe. No procesa informes (*, G) para los grupos multicast del rango de direcciones 232/8.
PIM-SSM en dispositivos NetScreen

Los pasos para configurar PIM-SSM en un dispositivo NetScreen son iguales a los necesarios para configurar PIM-SM, pero con las siguientes diferencias: Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2 est habilitado de forma predeterminada en los dispositivos NetScreen). Cuando configure una directiva de grupo multicast, autorice los mensajes join-prune. (Los mensajes bootstrap no se utilizan). No configure un RP.
312
ndice
ndice
B
BGP adicin de rutas 182 agregacin de rutas 193 AS-Path en ruta agregada 196 AS-Set en ruta agregada 193 atributos de la ruta agregada 198 atributos de ruta 161 autenticacin de vecinos 175 comprobacin de configuracin 173 comunidades 192 confederaciones 189 configuracin de grupo de interlocutores 167 configuracin de interlocutores 167 configuracin de seguridad 175 creacin de instancia en enrutador virtual 164 equilibrio de carga 52 establecer atributos de ruta 185 establecer el peso de la ruta 184 expresiones regulares 180 externo 162 habilitacin en interfaz 166 habilitacin en VR 164 interno 162 introduccin al protocolo 160 lista de acceso AS-path 180 notificacin de ruta condicional 183 parmetros 177 pasos de configuracin 163 rechazo de rutas predeterminadas 176 redistribucin de rutas 179 reflexin de rutas 186 suprimir rutas 194 tipos de mensaje 161 CLI convenciones viii configuracin punto a multipunto OSPF 107 conjuntos de caracteres compatibles con ScreenOS xii consulta de rutas mltiple VR 50 secuencia 46 convenciones CLI viii ilustracin xi nombres xii WebUI ix equilibrio de cargas segn coste de cada ruta 52, 90 exportacin de rutas 62
F
filtrado de rutas 58
G
GRE 205
I
IGMP configuracin bsica 219 consultador 215 directivas multicast 232 habilitar en interfaces 216 mensajes de host 214 parmetros 222, 224 proxy 226 proxy del remitente 245 proxy en interfaces 229 usar listas de accesos 217 verificar su configuracin 222 ilustracin convenciones xi importacin de rutas 62 interfaces habilitar IGMP 216 interfaz nula, definir rutas 18
D
directivas multicast 208 directivas multicast IGMP 232
E
enrutamiento 2 multicast 199 preferencia de ruta 37 seleccin de rutas 37 enrutamiento esttico 2, 617 configuracin 11 multicast 204 reenvo en interfaz nula 18 utilizacin 9 enrutamiento multicast IGMP 211 PIM 253 enrutamiento multidireccional de igual coste (ECMP) 52, 90, 147 enrutamiento segn el origen 40 enrutamiento segn la interfaz de origen 44
L
lista de acceso enrutamiento multicast 205 IGMP 217 para rutas 58 PIM-SM 286 LSA, supresin 106
C
circuito de demanda OSPF 105 RIP 148
Juniper Networks NetScreen conceptos y ejemplos Volume 6: Enrutamiento
IX-I
ndice
M
mapa de rutas 56 mtrica de ruta 39 multicast rboles de distribucin 258 direcciones 200 directivas 208 reenvo por rutas inversas 201 rutas estticas 204 tabla de enrutamiento 202
punto a multipunto 107 rechazo de rutas predeterminadas 102 red de difusin 71 red punto a punto 72 redistribucin de rutas 86 resumen de rutas redistribuidas 87 soporte de ECMP 90 supresin de LSA 106 tipos de enrutador 70
3376, Internet Group Management Protocol, Version 3 212 3569, An Overview of Source-Specific Multicast (SSM) 256 RIP autenticacin de vecinos 135 base de datos 146 configuracin de circuito de demanda 148 configuracin de seguridad 135 configuracin de un circuito de demanda 149 creacin de instancia en enrutador virtual 119 equilibrio de carga 52 filtrado de vecinos 137 habilitacin en interfaz 121 introduccin al protocolo 117 parmetros de interfaz 133 parmetros globales 130 pasos de configuracin 118 proteccin contra inundaciones 139 punto a multipunto 151 rechazo de rutas predeterminadas 138 redistribucin de rutas 122 resumen de prefijo 144 ruta de resumen de configuracin 144 rutas alternativas 146 versin 142 versin de protocolo 142 visualizar la base de datos RIP 126 visualizar la informacin de vecino RIP 128 visualizar los detalles de la interfaz de RIP 129 visualizar los detalles de protocolo RIP 127
P
PIM-SM 256 configuracin de RP 282 configuraciones de seguridad 286 crear una instancia 265 enrutador designado 259 IGMPv3 311 parmetros de interfaz 291 pasos de configuracin 264 proxy RP 294 puntos de encuentro 259 reenvo de trfico 260 PIM-SSM 312
N
nombres convenciones xii
O
OSPF adyacencia de enrutadores 71 rea de rutas internas 70 rea no exclusiva de rutas internas 70 reas 69 asignacin de interfaces a un rea 79 autenticacin de vecinos 99 circuitos de demanda 105 conexiones virtuales 92 configuracin de seguridad 99 creacin de instancia en enrutador virtual 75 definicin de rea 77 enrutador designado 71 enrutador designado de respaldo 71 equilibrio de carga 52 establecer el tipo de conexin OSPF 107 filtrado de vecinos 101 habilitacin en interfaz 81 inhabilitar la restriccin route-deny 108 interfaces de tnel 105, 107 inundacin LSA reducida 105 notificaciones de estado de conexiones 69, 72 parmetros de interfaz 96 parmetros globales 89 pasos de configuracin 74 proteccin contra inundaciones 103 protocolo de saludo 71
R
redistribucin de rutas 55 RFCs 1112, Host Extensions for IP Multicasting 212 1583 84, 90 1701, Generic Routing Encapsulation (GRE) 205 1771 160 1793 97, 105 1965 173, 189, 190 1966 186 1997 192 2082 117 2091 148 2236, Internet Group Management Protocol, Version 2 212 2328 90 2453 117, 142 3065 189
S
SIBR 44
T
tabla de enrutamiento 4 consulta 46 consulta en mltiples VR 50 multicast 202 seleccin de rutas 37 tipos 40
IX-II
ndice
V
VRs 2362 BGP 163174 consulta de tablas de enrutamiento en mltiple VR 50 consulta en la tabla de enrutamiento 46 en vsys 29 enrutamiento multidireccional de igual coste 52 enrutamiento segn el origen 40 enrutamiento segn la interfaz de origen 44 exportacin de rutas 62
filtrado de rutas 58 ID de enrutador 34 importacin de rutas 62 listas de acceso 58 mapa de rutas 56 mximo de entradas de la tabla de enrutamiento 36 mtrica de ruta 39 modificar 33 OSPF 74104 personalizados 27 predefinido 23
preferencia de ruta 37 redistribucin de rutas 55 reenviar trfico entre dos 24 RIP 118141 seleccin de rutas 37 utilizacin de dos VRs 23, 24
W
WebUI convenciones ix
IX-III
ndice
IX-IV

Juniper Networks NetScreen

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Juniper Networks NetScreen

Hochgeladen von

Copyright:

Verfügbare Formate

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

ScreenOS 5.1.0 Ref. 093-1367-000-SP Revisin B

Captulo 2 Enrutadores virtuales .................................21

Documentacin de NetScreen de Juniper Networks ................................................. xiii

Captulo 1 Tablas de enrutamiento y enrutamiento esttico ..........................................................................1

Modificacin de enrutadores virtuales.....................33

Seleccin de rutas ...................................................37

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Tablas de enrutamiento ...........................................40

Configuracin bsica de OSPF ................................74

Enrutamiento de rutas mltiples de igual coste .......52

Exportacin e importacin de rutas entre enrutadores virtuales ................................................62

Captulo 3 Protocolo OSPF ..........................................67

Parmetros globales de OSPF ..................................89

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Captulo 4 Protocolo de informacin de enrutamiento (RIP) ................................................115

Parmetros de interfaz OSPF ....................................96

Visualizacin de la informacin de RIP ..................124

Circuitos de demanda en interfaces de tnel .......105

Parmetros globales de RIP ...................................130

Interfaz de tnel punto a multipunto ......................107

Parmetros de interfaz RIP......................................133

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Captulo 5 Protocolo de puerta de enlace de lmite (BGP) ...........................................................159

Configuracin bsica de BGP................................163

Configuraciones opcionales de RIP .......................142

Configuraciones opcionales de BGP .....................177

Interfaz de tnel punto a multipunto ......................151

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Captulo 7 IGMP .......................................................211

IGMP en dispositivos NetScreen..............................216

Captulo 6 Enrutamiento multicast............................199

Proxy de IGMP ........................................................226

Enrutamiento multicast en dispositivos NetScreen..202

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Captulo 8 PIM ..........................................................253

Comprobacin de la configuracin......................278 Configuracin de RPs.............................................282

Aspectos relativos a la seguridad ..........................286

PIM-SM en dispositivos NetScreen ..........................264

Parmetros de la interfaz PIM-SM ...........................291

PIM-SM e IGMPv3....................................................311 PIM-SSM ..................................................................312

Configuracin PIM-SM bsica ................................271

ndice ......................................................................... IX-I

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones de la interfaz de lnea de comandos (CLI)

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones de la interfaz grfica (WebUI)

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Address Name: addr_1

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones para las ilustraciones

Dispositivo NetScreen genrico

Dominio de enrutamiento virtual

Rango de direcciones IP dinmicas (DIP) Equipo de escritorio

Icono de conmutador (switch)

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones de nomenclatura y conjuntos de caracteres

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Documentacin de NetScreen de Juniper Networks

DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento