Spanish JRE 12.a-R LG

Junos Routing Essentials
12.a
Lab GuideSpanish Edition
Worldwide Education Services

1133 Innovation Way
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Course Number: EDU-JUN-JRE-SPAN
This document is produced by Juniper Networks, Inc.

This document or any part thereof may not be reproduced or transmitted in any form under penalty of law, without the prior written permission of Juniper Networks
Education Services.
Juniper Networks, the Juniper Networks logo, Junos, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the United States and other
countries. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.
Junos Routing Essentials Lab GuideSpanish Edition, Revision 12.a
Copyright 2013 Juniper Networks, Inc. All rights reserved.
Printed in USA.
Revision History:
Revision 12.aAugust 2013
The information in this document is current as of the date listed above.
The information in this document has been carefully verified and is believed to be accurate for software Release 12.1R1.9. Juniper Networks assumes no
responsibilities for any inaccuracies that may appear in this document. In no event will Juniper Networks be liable for direct, indirect, special, exemplary,
incidental, or consequential damages resulting from any defect or omission in this document, even if advised of the possibility of such damages.
Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
YEAR 2000 NOTICE
Juniper Networks hardware and software products do not suffer from Year 2000 problems and hence are Year 2000 compliant. The Junos operating system has
no known time-related limitations through the year 2038. However, the NTP application is known to have some difficulty in the year 2036.
SOFTWARE LICENSE
The terms and conditions for using Juniper Networks software are described in the software license provided with the software, or to the extent applicable, in an
agreement executed between you and Juniper Networks, or Juniper Networks agent. By using Juniper Networks software, you indicate that you understand and
agree to be bound by its license terms and conditions. Generally speaking, the software license restricts the manner in which you are permitted to use the Juniper
Networks software, may contain prohibitions against certain uses, and may state conditions under which the license is automatically terminated. You should
consult the software license for further details.
Contents
Lab 1:
Fundamentos de Enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1

Parte 1: Configuracin y Verificacin de las Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
Parte 2: Configuracin y Monitorizacin de Rutas Estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-10
Parte 3: Configuracin Bsica y Monitorizacin de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-17
Lab 2:
Polticas de Enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-1

Parte 1: Preparacin y Verificacin del Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-2
Parte 2: Configuracin y Monitorizacin de Polticas de Enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-6
Lab 3:
Filtros de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-1

Parte 2: Configuracin y Monitorizacin de Filtros de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-10
Lab 4:
Calidad de Servicio (CoS) (Opcional) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-1

Parte 2: Configuracin de Colas y Scheduler Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-9
Parte 3: Configuracin de Clasificadores Multifield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-13
Parte 4: Verificacin del Funcionamiento del Clasificador Multifield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-15
Parte 5: Configuracin de Reglas de Remarcado y Clasificadores BA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-24
www.juniper.net
Contents iii
iv Contents
www.juniper.net
Course Overview
This one-day course provides students with foundational routing knowledge and configuration examples and includes an
overview of general routing concepts, routing policy, and firewall filters.
Through demonstrations and hands-on labs, you will gain experience in configuring and monitoring the Junos operating
system and monitoring basic device operations. This course uses Juniper Networks SRX Series Services Gateways for the
hands-on component, but the lab environment does not preclude the course from being applicable to other Juniper
hardware platforms running the Junos operating system. This course is based on Junos OS Release 12.1R1.9.
Objectives
After successfully completing this course, you should be able to:
Explain basic routing operations and concepts.
View and describe routing and forwarding tables.
Configure and monitor static routing.
Configure and monitor OSPF.
Describe the framework for routing policy.
Explain the evaluation of routing policy.
Identify situations where you might use routing policy.
Write and apply a routing policy.
Describe the framework for firewall filters.
Explain the evaluation of firewall filters.
Identify instances where you might use firewall filters.
Write and apply a firewall filter.
Describe the operation and configuration for unicast reverse path forwarding (RPF).
Intended Audience
This course benefits individuals responsible for configuring and monitoring devices running the Junos OS.
Course Level
The Junos Routing Essentials course is a one-day introductory course.
Prerequisites
Students should have basic networking knowledge and an understanding of the Open Systems Interconnection (OSI)
reference model and the TCP/IP protocol suite. Students should also attend the Introduction to the Junos Operating System
(IJOS) course prior to attending this class.
www.juniper.net
Course Overview v
Course Agenda
Day 1
Chapter 1: Course Introduction
Chapter 2: Routing Fundamentals
Fundamentos de Enrutamiento Laboratorio
Chapter 3: Routing Policy
Polticas de Enrutamiento Laboratorio
Chapter 4: Firewall Filters
Filtros de Firewall Laboratorio
Appendix A: Class of Service
Calidad de Servicio (CoS) (Opcional)
vi Course Agenda
www.juniper.net
Document Conventions
CLI and GUI Text
Frequently throughout this course, we refer to text that appears in a command-line interface (CLI) or a graphical user
interface (GUI). To make the language of these documents easier to read, we distinguish GUI and CLI text from chapter
text according to the following table.
Style
Description
Usage Example
Franklin Gothic
Normal text.
Most of what you read in the Lab Guide

and Student Guide.
Courier New
Console text:
Screen captures
commit complete
Noncommand-related
syntax
Exiting configuration mode
GUI text elements:

Menu names
Text field entry
Select File > Open, and then click

Configuration.conf in the
Filename text box.
Input Text Versus Output Text

You will also frequently see cases where you must enter input text yourself. Often these instances will be shown in the
context of where you must enter them. We use bold style to distinguish text that is input versus text that is simply
displayed.
Style
Description
Usage Example
Normal CLI
No distinguishing variant.
Physical interface:fxp0,
Enabled
Normal GUI
View configuration history by clicking

Configuration > History.
CLI Input
Text that you must enter.
lab@San_Jose> show route

Select File > Save, and type
config.ini in the Filename field.
GUI Input
Defined and Undefined Syntax Variables

Finally, this course distinguishes between regular text and syntax variables, and it also distinguishes between syntax
variables where the value is already assigned (defined variables) and syntax variables where you must assign the value
(undefined variables). Note that these styles can be combined with the input style as well.
Style
Description
Usage Example
CLI Variable
Text where variable value is

already assigned.
policy my-peers
GUI Variable
Click my-peers in the dialog.

CLI Undefined
GUI Undefined
www.juniper.net
Text where the variables value

is the users discretion and text
where the variables value as
shown in the lab guide might
differ from the value the user
must input.
Type set policy policy-name.

ping 10.0.x.y
Select File > Save, and type
filename in the Filename field.
Document Conventions vii
Additional Information
Education Services Offerings
You can obtain information on the latest Education Services offerings, course dates, and class locations from the World
Wide Web by pointing your Web browser to:
http://www.juniper.net/training/education/.
About This Publication

The Junos Routing Essentials Lab GuideSpanish Edition was developed and tested using software Release 12.1R1.9.
Previous and later versions of software might behave differently so you should always consult the documentation and
release notes for the version of code you are running before reporting errors.
This document is written and maintained by the Juniper Networks Education Services development team. Please send
questions and suggestions for improvement to training@juniper.net.
Technical Publications
You can print technical manuals and release notes directly from the Internet in a variety of formats:
Go to http://www.juniper.net/techpubs/.
Locate the specific software or hardware release and title you need, and choose the format in which you
want to view or print the document.
Documentation sets and CDs are available through your local Juniper Networks sales office or account representative.
Juniper Networks Support

For technical support, contact Juniper Networks at http://www.juniper.net/customers/support/, or at 1-888-314-JTAC
(within the United States) or 408-745-2121 (from outside the United States).
viii Additional Information
www.juniper.net
Laboratorio
Fundamentos de Enrutamiento
Sinopsis
Este laboratorio ilustra como configurar y monitorizar dispositivos de enrutamiento
(routing) de Nivel 3 que corren el sistema operativo Junos. En este ejercicio, usted
utilizar el CLI de Junos para configurar y monitorizar interfaces, rutas estticas y OSPF. A
travs de estas tareas de configuracin, se familiarizar y ser capaz de describir los
contenidos de las tablas de enrutamiento y forwarding empleadas en dispositivos Junos.
Tras completar este laboratorio, habr realizado las siguientes tareas:
www.juniper.net
Configurar y verificar el correcto funcionamiento de las interfaces de red.
Configurar y monitorizar rutas estticas.
Configurar y monitorizar OSPF a nivel bsico.
Fundamentos de Enrutamiento Laboratorio 11
Parte 1: Configuracin y Verificacin de las Interfaces

En esta parte del laboratorio, configurar las interfaces del dispositivo que le ha
sido asignado a travs del CLI de Junos. A continuacin verificar el estado y
correcto funcionamiento de las interfaces y cmo el sistema aade dichas
interfaces a las tablas de enrutamiento correspondientes.
Nota
Normalmente los equipos de laboratorio se

encuentran en remoto. El instructor le
informar sobre el tipo de acceso y detalles
necesarios para acceder a los equipos de
laboratorio.
Paso 1.1
Asegrese de saber cual es el dispositivo que le ha sido asignado. Compruebe con
su instructor en caso de duda. Consulte el diagrama de red para determinar las
direcciones IP de su dispositivo, tanto la de consola como la de la interfaz de
gestin.
Pregunta: Cul es la direccin de la interfaz de
gestin del dispositivo que le ha sido asignado?
Respuesta: La respuesta depender; en el ejemplo

ilustrado en este laboratorio, el usuario utiliza el
dispositivo srxA-1, cuya direccin IP de gestin es
la 10.210.14.131. Su respuesta depender de los
equipos de laboratorio que su clase est utilizando.
Paso 1.2
Para acceder a su dispositivo puede utilizar bien el puerto de consola o sesiones de
Telnet o SSH segn le indique el instructor. Consulte el diagrama de red para
determinar las direcciones IP de su dispositivo, tanto la de consola como la de la
interfaz de gestin. El siguiente ejemplo emplea una sencilla sesin Telnet al equipo
srxA-1 a travs del programa Secure CRT:
Laboratorio 12 Fundamentos de Enrutamiento
www.juniper.net
Paso 1.3
Inicie sesin con su dispositivo utilizando el usuario lab y la contrasea lab123.
Observe que tanto el usuario como la contrasea vienen en letras minsculas.
Entre en modo configuracin y cargue el archivo reset de configuracin mediante el
comando load override /var/home/lab/jre/lab1-start.config.
Despus de que la configuracin haya sido cargada, active sus cambios y vuelva al
modo operacin utilizando el comando commit and-quit.
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1> configure
Entering configuration mode
[edit]
lab@srxA-1# load override jre/lab1-start.config
load complete
[edit]
lab@srxA-1# commit and-quit
commit complete
lab@srxA-1>
Paso 1.4
Introduzca el comando show route para visualizar el contenido de la tabla de
enrutamiento (routing table).
lab@srxA-1> show route
inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.210.14.128/27
10.210.14.131/32
www.juniper.net
*[Direct/0] 23:39:24
> via ge-0/0/0.0
*[Local/0] 23:39:31
Local via ge-0/0/0.0
Pregunta: Qu tabla de enrutamiento muestra el

comando show route?
Respuesta: Este comando muestra la tabla de

enrutamiento inet.0, que es la tabla principal de
rutas IPv4 correspondiente a la instancia de
enrutamiento maestra (master routing instance).
Usted puede visualizar todas las tablas de
enrutamiento y sus contenidos mediante el
comando show route all, tal y como se
muestra a continuacin:
lab@srxA-1> show route all
10.210.14.128/27
10.210.14.131/32
*[Direct/0] 00:07:26
> via ge-0/0/0.0
*[Local/0] 00:07:40
__juniper_private1__.inet.0: 7 destinations, 9 routes (7 active, 0 holddown, 0

hidden)
10.0.0.1/32
10.0.0.6/32
10.0.0.16/32
128.0.0.1/32
128.0.0.4/32
128.0.0.6/32
128.0.1.16/32
*[Direct/0] 00:08:16
> via lo0.16385
*[Local/0] 00:07:39
Local via sp-0/0/0.16383
*[Direct/0] 00:08:16
> via lo0.16385
[Direct/0] 00:07:33
> via sp-0/0/0.16383
*[Direct/0] 00:08:16
> via lo0.16385
*[Direct/0] 00:08:16
> via lo0.16385
*[Local/0] 00:07:39
Local via sp-0/0/0.16383
*[Direct/0] 00:08:16
> via lo0.16385
[Direct/0] 00:07:33
> via sp-0/0/0.16383
__juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1

hidden)
127.0.0.1/32
[Direct/0] 00:08:16
> via lo0.16384
www.juniper.net
Pregunta: Qu tipo de rutas estn presentes en

este momento en la tabla de enrutamiento
inet.0?
Respuesta: La tabla de enrutamiento inet.0

debera contener en este momento una nica ruta
de tipo Direct y otra de tipo Local. Ambas rutas
estn asociadas a la interfaz ge-0/0/0. La ruta de
tipo Direct representa la subred asignada a la
interfaz ge-0/0/0 mientras que la Local
representa la direccin IP de gestin directamente
conectada y local (/32) de la interfaz ge-0/0/0.
Paso 1.5
Entre en modo configuracin y navegue hasta el nivel de la jerarqua de
configuracin [edit interfaces].
[edit]
lab@srxA-1# edit interfaces
[edit interfaces]
lab@srxA-1#
Paso 1.6
Utilice como referencia el diagrama de gestin y topologa de red correspondiente al
grupo de equipos (Pod) al que pertenece el dispositivo que le ha sido asignado y
configure las interfaces que en l aparecen descritas. Configure la interfaz
ge-0/0/4 como interfaz etiquetada (vlan-tagging). Utilice la etiqueta o
identificador VLAN (vlan-id) como valor de la unidad lgica de esta interfaz. Use
la unidad lgica unit 0 en cualquier otro tipo de interfaz sin etiquetar. No olvide
configurar tambin la interfaz de loopback!
[edit interfaces]
lab@srxA-1# set lo0 unit 0 family inet address address/32
[edit interfaces]
lab@srxA-1# set ge-0/0/3 unit 0 family inet address address/30
[edit interfaces]
[edit interfaces]
[edit interfaces]
lab@srxA-1# set ge-0/0/4 vlan-tagging
www.juniper.net
[edit interfaces]
lab@srxA-1# set ge-0/0/4 unit vlan-id vlan-id vlan-id
[edit interfaces]
lab@srxA-1# set ge-0/0/4 unit vlan-id family inet address address/24
Paso 1.7
Muestre la configuracin de las interfaces y asegrese que coincide con los detalles
descritos en el diagrama de la topologa de red de este laboratorio. Una vez
satisfecho son su configuracin, escriba el comando commit-and-quit para
activar su configuracin y regresar al modo operacin.
[edit interfaces]
lab@srxA-1# show
ge-0/0/0 {
description "MGMT Interface - DO NOT DELETE";
unit 0 {
family inet {
address 10.210.14.131/27;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.20.77.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.20.66.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 172.18.1.2/30;
}
}
}
ge-0/0/4 {
vlan-tagging;
unit 101 {
vlan-id 101;
family inet {
address 172.20.101.1/24;
}
}
}
lo0 {
unit 0 {
www.juniper.net
family inet {
address 192.168.1.1/32;
}
}
}
[edit interfaces]
commit complete
lab@srxA-1>
Paso 1.8
Introduzca el comando show interfaces terse para verificar el estado de las
interfaces que acaba de configurar.
lab@srxA-1> show interfaces terse
Interface
Admin Link
ge-0/0/0
up
up
ge-0/0/0.0
up
up
gr-0/0/0
up
up
ip-0/0/0
up
up
lsq-0/0/0
up
up
lt-0/0/0
up
up
mt-0/0/0
up
up
pd-0/0/0
up
up
pe-0/0/0
up
up
ge-0/0/1
up
up
ge-0/0/1.0
up
up
ge-0/0/2
up
up
ge-0/0/2.0
up
up
ge-0/0/3
up
up
ge-0/0/3.0
up
up
ge-0/0/4
up
up
ge-0/0/4.101
up
up
ge-0/0/4.32767
up
up
ge-0/0/5
up
down
ge-0/0/6
up
down
ge-0/0/7
up
down
ge-0/0/8
up
down
ge-0/0/9
up
down
ge-0/0/10
up
down
ge-0/0/11
up
down
ge-0/0/12
up
down
ge-0/0/13
up
down
ge-0/0/14
up
down
ge-0/0/15
up
down
gre
up
up
ipip
up
up
lo0
up
up
lo0.0
up
up
lo0.16384
up
up
www.juniper.net
Proto
Local
inet
10.210.14.131/27
inet
172.20.77.1/30
inet
172.20.66.1/30
inet
172.18.1.2/30
inet
172.20.101.1/24
inet
inet
192.168.1.1
127.0.0.1
Remote
--> 0/0
--> 0/0
lo0.16385
up
up
inet
inet6
lo0.32768
lsi
mtun
pimd
pime
pp0
st0
tap
vlan
up
up
up
up
up
up
up
up
up
10.0.0.1
--> 0/0
10.0.0.16
--> 0/0
128.0.0.1
--> 0/0
128.0.1.16
--> 0/0
fe80::226:88ff:fe02:6700
up
up
up
up
up
up
up
up
up
Pregunta: Cules son los estados Admin y Link

de las interfaces que acaba de configurar?
Respuesta: Las interfaces que acaba de configurar

deben mostrar estados Admin y Link levantadas
(up), tal y como muestra la captura superior. Si las
interfaces mostrasen un estado down notifquelo a
su instructor.
Paso 1.9
Introduzca el comando show route para visualizar el contendido de la tabla de
enrutamiento.
10.210.14.128/27
10.210.14.131/32
172.18.1.0/30
172.18.1.2/32
172.20.66.0/30
172.20.66.1/32
172.20.77.0/30
172.20.77.1/32
172.20.101.0/24
*[Direct/0] 02:17:46
> via ge-0/0/0.0
*[Local/0] 02:17:50
*[Direct/0] 00:02:03
> via ge-0/0/3.0
*[Local/0] 00:02:03
*[Direct/0] 00:02:03
> via ge-0/0/2.0
*[Local/0] 00:02:03
*[Direct/0] 00:02:03
> via ge-0/0/1.0
*[Local/0] 00:02:03
*[Direct/0] 00:02:03
> via ge-0/0/4.101
www.juniper.net
172.20.101.1/32
192.168.1.1/32
*[Local/0] 00:02:03
*[Direct/0] 00:02:03
> via lo0.0
Pregunta: Muestra la tabla de enrutamiento una

entrada para cada direccin de interfaz local y
subredes directamente conectadas?
Respuesta: La respuesta debera ser afirmativa. Si

fuera necesario, refirase al diagrama de topologa
de red para comparar los resultados.
Pregunta: Cual es la preferencia de ruta (route
preference) de las rutas de tipo Local y Direct?
Respuesta: Las rutas de tipo Local y Direct

deben mostrar un valor de preferencia de ruta de 0,
tal y como muestra la captura de nuestro ejemplo.
Pregunta: Hay alguna ruta que se encuentre
actualmente oculta (hidden)?
Respuesta: No. En este momento no debe haber

ninguna ruta oculta. La lnea en la parte superior de
la tabla de enrutamiento es un resumen de sus
contenidos e indica que no existen rutas ocultas
(hidden) en este momento.
Paso 1.10
Mediante la utilidad ping verifique que puede alcanzar los dispositivos que tiene
directamente conectados. Si fuera necesario, compruebe con sus compaeros
encargados del equipo srx contiguo que las interfaces ya han sido configuradas
correctamente. La siguiente captura muestra pruebas de ping desde el srxA-1 a
la puerta de enlace o gateway de salida a Internet, al srxA-2 y al router virtual
vr101, los cuales estn todos directamente conectados:
lab@srxA-1> ping address rapid count 25
PING 172.18.1.1 (172.18.1.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
--- 172.18.1.1 ping statistics --25 packets transmitted, 25 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.560/5.276/26.080/4.364 ms
www.juniper.net

PING 172.20.66.2 (172.20.66.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 172.20.77.2 (172.20.77.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 172.20.101.10 (172.20.101.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Han funcionado con xito las pruebas

de ping?
Respuesta: S, todas las pruebas de ping deben

responder con xito. En caso contrario, compruebe
con los alumnos encargados del dispositivo remoto
o con su instructor.
STOP
Antes de proseguir, asegrese de que sus compaeros de Pod estn

tambin listos para continuar.
Parte 2: Configuracin y Monitorizacin de Rutas Estticas

En esta parte del laboratorio configurar y monitorizar rutas estticas.
Paso 2.1
Entre en modo configuracin y cargue el archivo lab1-part2-start.config
desde el directorio /var/home/lab/jre/. Una vez cargado, haga commit de su
configuracin.
[edit]
lab@srxA-1# load override jre/lab1-part2-start.config
load complete
www.juniper.net
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 2.2
Intente hacer ping a la direccin IP del host de Internet al que hace referencia el
diagrama de topologa de red de este laboratorio.
Nota
Use la secuencia Ctrl+c para detener el

ping continuo.
[edit]
lab@srxA-1# run ping 172.31.15.1
PING 172.31.15.1 (172.31.15.1): 56 data bytes
ping: sendto: No route to host
^C
Pregunta: Qu indican los resultados del test de

ping?
Respuesta: Los resultados del test de ping indican

que no existe ninguna ruta al host especificado.
Pregunta: Basndose en la topologa de red, qu
direccin de IP debera utilizar su dispositivo como
prximo salto (next hop) para alcanzar el host de
Internet?
Respuesta: La respuesta depender del dispositivo

que le ha sido asignado. Para todos los dispositivos
nombrados como 1 (por ejemplo srxA-1) la
direccin IP del prximo salto debera ser la
172.18.1.1. De la misma manera, todos los
dispositivos nmero 2 (por ejemplo srxA-2)
deberan utilizar la IP 172.18.2.1 como prximo
salto.
www.juniper.net
Paso 2.3
Defina una ruta esttica por defecto. Utilice como direccin de IP para el prximo
salto next-hop de la ruta por defecto la direccin IP que acaba de identificar en
el paso anterior. Una vez configurada, haga commit de sus cambios.
[edit]
lab@srxA-1# edit routing-options
[edit routing-options]
lab@srxA-1# set static route 0/0 next-hop address
[edit]
lab@srxA-1# commit
commit complete
lab@srxA-1#
Paso 2.4
Ejecute el comando run show route 172.31.15.1.
lab@srxA-1# run show route 172.31.15.1
0.0.0.0/0
*[Static/5] 00:00:23
> to 172.18.1.1 via ge-0/0/3.0
Pregunta: Aparece ahora la IP asociada con el

host de Internet como una entrada vlida en la
tabla de enrutamiento?
Respuesta: S, en este momento la ruta por defecto

debera estar activa y todos los destinos que no
tengan una ruta ms especfica en la tabla de
enrutamiento la utilizarn como ruta por defecto.
Pregunta: Cul es el valor de preferencia de ruta
de la ruta por defecto?
Respuesta: La ruta esttica por defecto tiene un

valor de preferencia de ruta de 5, el cual es el valor
por defecto asignado a todas las rutas estticas.
www.juniper.net
Paso 2.5
Ejecute el comando run ping 172.31.15.1 para hacer ping de nuevo al host
de Internet.
Nota
El host de Internet contiene la ruta

necesaria para enviar trfico de vuelta a su
dispositivo.
lab@srxA-1# run ping 172.31.15.1
PING 172.31.15.1 (172.31.15.1): 56 data bytes
64 bytes from 172.31.15.1: icmp_seq=0 ttl=64 time=5.446 ms
^C
Pregunta: Funciona con xito el ping en esta

ocasin?
Respuesta: S, esta vez el ping funciona con xito.

En caso contrario, contacte con su instructor.
Nota
Utilice el diagrama de topologa de red para

realizar los siguientes pasos del
laboratorio.
Paso 2.6
Aada una ruta esttica a la direccin loopback del router virtual que tiene
directamente conectado.
lab@srxA-1# set static route address/32 next-hop address
Paso 2.7
Defina todas las rutas estticas necesarias para permitir conectividad con todas las
subredes y direcciones de loopback de los dispositivos asignados a sus
compaeros de Pod. Utilice como prximo salto para estas rutas estticas la
direccin IP asignada al dispositivo srx contiguo en la subred 172.20.66.0/30.
www.juniper.net
lab@srxA-1# show
static {
route 0.0.0.0/0 next-hop 172.18.1.1;
route 192.168.1.2/32 next-hop 172.20.101.10;
route 192.168.2.1/32 next-hop 172.20.66.2;
route 192.168.2.2/32 next-hop 172.20.66.2;
route 172.20.102.0/24 next-hop 172.20.66.2;
}
Paso 2.8
Utilice la direccin IP asignada al srx remoto en la subred 172.20.77.0/30 como
prximo salto cualificado (qualified-next-hop) para las mismas rutas
estticas que acaba de configurar en el paso anterior con destino a las subredes y
loopbacks de sus compaeros de Pod. Use un valor de preferencia de ruta
(preference) de6 para estas nuevas definiciones de prximo salto. Revise su
configuracin y si est satisfecho active sus cambios y regrese al modo operacin.
lab@srxA-1# set static route address/32 qualified-next-hop address preference 6
lab@srxA-1# show
static {
route 0.0.0.0/0 next-hop 172.18.1.1;
route 192.168.1.2/32 next-hop 172.20.101.10;
route 192.168.2.1/32 {
next-hop 172.20.66.2;
qualified-next-hop 172.20.77.2 {
preference 6;
}
}
route 192.168.2.2/32 {
next-hop 172.20.66.2;
preference 6;
}
}
route 172.20.102.0/24 {
next-hop 172.20.66.2;
preference 6;
}
www.juniper.net
}
}
commit complete
lab@srxA-1>
Paso 2.9
Introduzca el comando show route protocol static para visualizar las
rutas estticas que se encuentran presentes en la tabla de enrutamiento de su
dispositivo.
lab@srxA-1> show route protocol static
0.0.0.0/0
172.20.102.0/24
192.168.1.2/32
192.168.2.1/32
192.168.2.2/32
*[Static/5] 00:11:06
> to 172.18.1.1 via ge-0/0/3.0
*[Static/5] 00:00:44
> to 172.20.66.2 via ge-0/0/2.0
[Static/6] 00:00:44
> to 172.20.77.2 via ge-0/0/1.0
*[Static/5] 00:00:44
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 00:00:44
> to 172.20.66.2 via ge-0/0/2.0
[Static/6] 00:00:44
> to 172.20.77.2 via ge-0/0/1.0
*[Static/5] 00:00:44
> to 172.20.66.2 via ge-0/0/2.0
[Static/6] 00:00:44
> to 172.20.77.2 via ge-0/0/1.0
Pregunta: Cuntas rutas estticas figuran?
Respuesta: Cada dispositivo srx debe tener 5 rutas

estticas. En caso contrario, compruebe su
configuracin o avise al instructor.
www.juniper.net
Pregunta: Se muestran los dos prximos saltos

que hemos configurado a las subredes y loopbacks
de los destinos remotos? Qu prximo salto est
activo? Por qu?
Respuesta: Deberan verse los dos prximos saltos

asociados con las subredes y loopbacks de los
destinos remotos. Las rutas que usan el prximo
salto asociado a 10.210.66.0/30 deberan estar
activas debido a que su valor de preferencia de ruta
de 5 es ms atractivo.
Paso 2.10
Haga ping a la direccin IP de loopback de todos los dispositivos de la topologa
para comprobar que puede alcanzarlas.
Nota
Los routers virtuales han sido

pre-configurados con una ruta esttica por
defecto que utiliza los dispositivos
directamente conectados como prximo
salto.
PING 192.168.1.2 (192.168.1.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 192.168.2.1 (192.168.2.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 192.168.2.2 (192.168.2.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
www.juniper.net
Pregunta: Funcionan los test de ping?
Respuesta: Los test de ping deben funcionar

siempre que el equipo remoto est tambin
configurado. Si los test fallan, verifique con el
equipo remoto para asegurarse que contiene la
configuracin adecuada.
STOP
Notifique a su instructor que ha finalizado la Parte 2. Antes de

proseguir, asegrese de que sus compaeros de Pod estn tambin
listos para continuar con la Parte 3.
Parte 3: Configuracin Bsica y Monitorizacin de OSPF

En esta parte del laboratorio configurar y monitorizar OSPF. Usted configurar
OSPF en un rea simple tal y como indica el diagrama de topologa de red de este
laboratorio. Finalmente, realizar algunas tareas de verificacin para asegurarse
que OSPF funciona correctamente.
Paso 3.1
desde el directorio /var/home/lab/jre/. Una vez cargado, haga commit de su
configuracin.
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 3.2
Navegue hasta el nivel de la jerarqua de configuracin [edit protocols
ospf] y defina un rea 0 de OSPF que incluya todas las interfaces de su dispositivo
que conectan con el equipo srx remoto as como aquellas que conecten con el
router virtual que tiene directamente conectado. Asegrese de incluir tambin la
interfaz lo0. Introduzca el comando show para visualizar la configuracin
resultante.
www.juniper.net

Nota
No olvide especificar la interfaz lgica a la

hora de configurar sus interfaces! Si la
unidad lgica no es especificada, Junos
asumir por defecto cero (0) como unidad
lgica.
[edit]
lab@srxA-1# edit protocols ospf
[edit protocols ospf]
lab@srxA-1# set area 0 interface ge-0/0/1.0
lab@srxA-1# set area 0 interface ge-0/0/2.0
lab@srxA-1# set area 0 interface ge-0/0/4.vlan-id
lab@srxA-1# set area 0 interface lo0.0
lab@srxA-1# show
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0;
}
Pregunta: Con esta configuracin de OSPF,

cuntas adyacencias de OSPF se han de formar?
Respuesta: Aunque hay cuatro interfaces presentes

en la configuracin, solamente detectar tres
routers adyacentes de OSPF (ospf neighbors) a
travs de tres de dichas interfaces.
Paso 3.3
Active la configuracin candidata mediante el comando commit. Ejecute el
comando run show ospf neighbor para verificar el estado de las adyacencias
de OSPF.
www.juniper.net

Nota
El estado de las adyacencias de OSPF con

cada vecino de OSPF depender de su
configuracin. Asegrese que sus
compaeros encargados del srx contiguo
han terminado su configuracin y hecho
commit de los cambios. Los routers
virtuales han sido pre-configurados por su
instructor.
lab@srxA-1# commit
commit complete
lab@srxA-1# run show ospf neighbor
Address
Interface
172.20.77.2
ge-0/0/1.0
172.20.66.2
ge-0/0/2.0
172.20.101.10
ge-0/0/4.101
State
Full
Full
Full
ID
192.168.2.1
192.168.2.1
192.168.1.2
Pri
128
128
128
Dead
37
37
39
Pregunta: Cul es el estado de las adyacencias de

OSPF con cada vecino contiguo?
Respuesta: Es posible que momentneamente vea

algunos estados transitorios, pero las tres
adyacencias OSPF han de ser completas (Full). Si
sus adyacencias no alcanzan este estado
transcurridos varios minutos, verifique con el
equipo remoto o con el instructor si hiciera falta.
Paso 3.4
Ejecute el comando run show route protocol ospf para mostrar las rutas
activas de OSPF que contiene su tabla de enrutamiento.
lab@srxA-1# run show route protocol ospf
172.20.102.0/24
192.168.1.2/32
192.168.2.1/32
www.juniper.net
[OSPF/10] 00:01:33, metric 2

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
[OSPF/10] 00:02:14, metric 1
> to 172.20.101.10 via ge-0/0/4.101
[OSPF/10] 00:01:33, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
192.168.2.2/32
224.0.0.5/32
[OSPF/10] 00:01:33, metric 2

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:02:24, metric 1
MultiRecv
Pregunta: Estn activas todas las rutas de OSPF a

las subredes y loopbacks remotas de cada
dispositivo? Por qu?
Respuesta: No, todas las rutas de OSPF a destinos

y loopbacks remotos no deben estar activas
(observe la ausencia del asterisco * junto a las
rutas OSPF). Como recordar, an mantenemos
configuradas las rutas estticas de la anterior parte
del laboratorio. Dichas rutas estticas son
preferidas y por lo tanto se encuentran activas
debido a su valor de preferencia de ruta de 5, que
resulta ms atractivo que la de las rutas de OSPF.
Las rutas internas de OSPF tienen por defecto un
valor de preferencia de ruta de 10.
Paso 3.5
Borre todas las rutas estticas que utilizamos en la parte anterior para conseguir
conectividad a todos los destinos a travs de OSPF. Sin embargo, asegrese de no
borrar la ruta esttica por defecto que utilizamos para alcanzar destinos de Internet.
lab@srxA-1# top edit routing-options
lab@srxA-1# show
static {
route 0.0.0.0/0 next-hop 172.18.1.1;
route 192.168.1.2/32 next-hop 172.20.101.10;
route 192.168.2.1/32 {
next-hop 172.20.66.2;
preference 6;
}
}
route 192.168.2.2/32 {
next-hop 172.20.66.2;
preference 6;
}
}
route 172.20.102.0/24 {
next-hop 172.20.66.2;
preference 6;
www.juniper.net
}
}
}
lab@srxA-1# delete static route address/32
lab@srxA-1# show
static {
route 0.0.0.0/0 next-hop 172.18.1.1;
}
Paso 3.6
Active sus cambios de configuracin y regrese al modo operacin. Introduzca el
comando show route protocol ospf para comprobar que las rutas de OSPF
efectivamente se encuentran ahora activas.
commit complete
lab@srxA-1> show route protocol ospf
172.20.102.0/24
192.168.1.2/32
192.168.2.1/32
192.168.2.2/32
224.0.0.5/32
*[OSPF/10] 00:07:13, metric 2

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:07:54, metric 1
> to 172.20.101.10 via ge-0/0/4.101
*[OSPF/10] 00:07:13, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:07:13, metric 2
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:08:04, metric 1
MultiRecv
lab@srxA-1>
www.juniper.net
Pregunta: Estn ahora activas todas las rutas de

OSPF a las subredes y loopbacks remotos?
Respuesta: S, tal y como demuestra la captura de

nuestro ejemplo, todas las rutas de OSPF estn
ahora activas. (Observe como el smbolo asterisco
* est presente junto a cada ruta de OSPF)
Paso 3.7
Haga ping a la direccin IP de loopback de cada dispositivo de la red para verificar
que tiene alcance a travs de rutas OSPF.
PING 192.168.1.2 (192.168.1.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 192.168.2.1 (192.168.2.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 192.168.2.2 (192.168.2.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
lab@srxA-1>
Pregunta: Funcionan las pruebas de ping?
Respuesta: S, tal y como muestra nuestra captura,

los resultados de ping tienen xito gracias a las
rutas de OSPF presentes en la tabla de
enrutamiento de su dispositivo.
Paso 3.8
Cierre la sesin con su dispositivo mediante el comando exit.
www.juniper.net
lab@srxA-1> exit
srxA-1 (ttyu0)
login:
STOP
www.juniper.net
Notifique a su instructor que ha completado este laboratorio.
www.juniper.net
www.juniper.net
www.juniper.net
Laboratorio
Polticas de Enrutamiento
Sinopsis
Este laboratorio demuestra cmo configurar y monitorizar polticas de enrutamiento
(routing policy) en dispositivos que corren el sistema operativo Junos. En este ejercicio,
utilizar el CLI de Junos para definir, aplicar y monitorizar polticas de enrutamiento.
www.juniper.net
Preparar su dispositivo y verificar su correcto funcionamiento.
Configurar y monitorizar polticas de enrutamiento.
Polticas de Enrutamiento Laboratorio 21
Parte 1: Preparacin y Verificacin del Sistema

Trabajando en equipo, en esta parte del laboratorio modificar la configuracin y
verificar su correcto funcionamiento. Utilice como referencia el diagrama de
topologa de red correspondiente a este laboratorio.
Paso 1.1
gestin.

Paso 1.2
Paso 1.3
Inicie sesin con su mquina utilizando el usuario lab y la contrasea lab123.
Despus de que la configuracin haya sido cargada, haga commit de sus cambios.
Laboratorio 22 Polticas de Enrutamiento
www.juniper.net
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 1.4
ospf], borre la interfaz etiquetada ge-0/0/4.vlan-id de la configuracin
OSPF y active sus cambios. Si fuera necesario, refirase al diagrama de topologa
de red para identificar dicha interfaz etiquetada.
[edit]
lab@srxA-1# edit protocols ospf
lab@srxA-1# show
area 0.0.0.0 {
interface lo0.0;
}
lab@srxA-1# delete area 0 interface ge-0/0/4.vlan-id
lab@srxA-1# commit
commit complete
Paso 1.5
Navegue hasta el nivel de la jerarqua de configuracin [edit
routing-options]. Defina una ruta esttica para cada una de las tres subredes
conectadas al router virtual directamente conectado con su dispositivo. Utilice el
router virtual local como prximo salto (next-hop). Refirase al diagrama de
topologa de red para obtener detalles de las subredes de destino y el prximo salto
a utilizar.
lab@srxA-1# top edit routing-options
www.juniper.net
lab@srxA-1#
Paso 1.6
Introduzca el comando show para visualizar la configuracin resultante. Si est
satisfecho con el resultado, active sus cambios y regrese al modo operacin
utilizando el comando commit and-quit.
lab@srxA-1# show
static {
route 0.0.0.0/0 next-hop 172.18.1.1;
route 172.21.0.0/24 next-hop 172.20.101.10;
route 172.21.1.0/24 next-hop 172.20.101.10;
route 172.21.2.0/24 next-hop 172.20.101.10;
}
commit complete
lab@srxA-1>
Paso 1.7
Introduzca el comando show route protocol static para mostrar las rutas
estticas en su tabla de enrutamiento.
lab@srxA-1> show route protocol static
0.0.0.0/0
172.21.0.0/24
172.21.1.0/24
172.21.2.0/24
*[Static/5] 01:30:15
> to 172.18.1.1 via ge-0/0/3.0
*[Static/5] 00:00:21
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 00:00:21
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 00:00:21
> to 172.20.101.10 via ge-0/0/4.101
www.juniper.net
Pregunta: Se encuentran todas las rutas estticas

activas?
Respuesta: La respuesta debera ser afirmativa. Tal

y como se ve en la captura aqu mostrada, la ruta
por defecto y las tres nuevas rutas estticas se
encuentran todas activas. En caso contrario,
verifique su configuracin.
Paso 1.8
Verifique que tiene alcance a todas las subredes conectadas a su router virtual local
mediante la utilidad ping.
PING 172.21.0.1 (172.21.0.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 172.21.1.1 (172.21.1.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
PING 172.21.2.1 (172.21.2.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Funcionan con xito las pruebas de

ping?
Respuesta: S, tal y como muestra la captura

superior, los resultados de las pruebas de ping a los
tres destinos IP remotos tienen xito.
Paso 1.9
Introduzca el comando show ospf neighbor para mostrar el estado de las
adyacencias de OSPF con los vecinos contiguos a su dispositivo.
lab@srxA-1> show ospf neighbor
Address
Interface
172.20.77.2
ge-0/0/1.0
172.20.66.2
ge-0/0/2.0
www.juniper.net
State
Full
Full
ID
192.168.2.1
192.168.2.1
Pri
128
128
Dead
39
32
Pregunta: Cuntas adyacencias de OSPF tiene su

dispositivo? Cul es el estado de cada una?
Respuesta: Su dispositivo debera mostrar dos

adyacencias OSPF con el srx remoto de sus
compaeros de laboratorio. El estado de ambas
adyacencias debera ser Full, tal y como muestra
la captura de nuestro ejemplo.
STOP
Espere hasta que se lo indique su instructor antes de proseguir a la

siguiente parte.
Parte 2: Configuracin y Monitorizacin de Polticas de Enrutamiento

En esta parte del laboratorio, configurar y monitorizar polticas de enrutamiento
(routing policy). En primer lugar, crear una poltica cuya finalidad sea anunciar
rutas en OSPF. A continuacin la aplicar como poltica de exportacin (export) en
el nivel de la jerarqua de configuracin [edit protocols ospf]. A partir de
ah utilizar comandos del modo operacin para verificar que la poltica funciona
correctamente. Observe que la naturaleza flexible de las polticas de enrutamiento
de Junos permite conseguir el mismo objetivo de maneras diferentes. Los ejemplos
aqu ilustrados son sencillamente una manera de conseguir el resultado deseado.
Usted puede emplear una sintaxis diferente que produzca una idntica solucin.
Paso 2.1
desde el directorio /var/home/lab/jre/. Una vez cargado el archivo proceda a
hacer commit de su configuracin.
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
www.juniper.net
Paso 2.2
policy-options].Cree una nueva poltica llamada default-route que
machee y acepte la ruta por defecto existente en su tabla de enrutamiento. Llame al
trmino match-default-static-route.
[edit]
lab@srxA-1# edit policy-options
[edit policy-options]
lab@srxA-1# edit policy-statement default-route
[edit policy-options policy-statement default-route]
lab@srxA-1# set term match-default-static-route from protocol static
lab@srxA-1# set term match-default-static-route from route-filter 0/0 exact
lab@srxA-1# set term match-default-static-route then accept
lab@srxA-1#
Paso 2.3
ospf] y aplique la poltica que acaba de definir en OSPF como poltica de
exportacin. Active sus cambios de configuracin.
lab@srxA-1# top edit protocols ospf
lab@srxA-1# set export default-route
lab@srxA-1# commit
commit complete
lab@srxA-1#
Nota
El siguiente paso de laboratorio requiere

coordinacin entre los dos equipos de
alumnos que conforman su topologa de
red. Asegrese que sus compaeros del
equipo remoto han finalizado el paso
anterior antes de continuar.
www.juniper.net
Paso 2.4
Ejecute el comando run show route 0/0 exact para verificar que su
dispositivo ahora tiene una ruta por defecto de OSPF en la tabla de enrutamiento.
Compruebe con sus compaeros de Pod que ellos tambin ven una ruta por defecto
en OSPF que proviene de su dispositivo local.
lab@srxA-1# run show route 0/0 exact
0.0.0.0/0
*[Static/5] 00:35:18
> to 172.18.1.1 via ge-0/0/3.0
[OSPF/150] 00:22:53, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
Pregunta: Tiene su dispositivo una ruta por

defecto de OSPF en la tabla de enrutamiento?
Respuesta: Ambos dispositivos srx deben mostrar

una ruta por defecto de OSPF. En caso contrario,
consulte con el equipo remoto si han configurado
adecuadamente la poltica que consigue este
comportamiento.
Pregunta: Se encuentra la ruta por defecto de
OSPF activa en la tabla de enrutamiento? Por
qu?
Respuesta: Como indica la captura aqu mostrada,

la ruta por defecto de OSPF no est activa debido a
su preferencia de ruta ms elevada. Dado que la
ruta ha sido inyectada (o redistribuida) en OSPF
mediante una poltica, sta es considerada como
una ruta externa de OSPF. Como recordar, las
rutas externas de OSPF tienen una preferencia de
ruta por defecto de 150 mientras que la de las
rutas internas de OSPF es 10.
www.juniper.net
Pregunta: Basndose en la ruta por defecto que se

encuentra activa en este momento, qu pasara si
la conexin fsica de su dispositivo a Internet
fallara?
Respuesta: El diseo de nuestra red proporciona

redundancia en el caso de este escenario. Si la
conexin fsica a Internet fallase, su dispositivo
marcara inmediatamente la ruta por defecto
aprendida por OSPF como activa y comenzara a
enviar trfico con destino a Internet a travs del srx
remoto de sus compaeros de Pod.
Paso 2.5
Navegue hacia el nivel de la jerarqua de configuracin [edit
policy-options]. Defina una nueva poltica llamada interface-routes
que machee y acepte las redes asociadas con las interfaces de su dispositivo que
conectan con Internet y tambin con el router virtual que tiene directamente
conectado. Nombre al trmino match-interface-routes.
lab@srxA-1# top edit policy-options
lab@srxA-1# edit policy-statement interface-routes
[edit policy-options policy-statement interface-routes]
lab@srxA-1# set term match-interface-routes from route-filter address/30 exact
lab@srxA-1# set term match-interface-routes then accept
lab@srxA-1# show
term match-interface-routes {
from {
route-filter 172.18.1.0/30 exact;
}
then accept;
}
lab@srxA-1#
www.juniper.net
Paso 2.6
ospf] y aplique la poltica interface-routes que acaba de configurar como
poltica de exportacin en OSPF. Active sus cambios de configuracin.
lab@srxA-1# set export interface-routes
lab@srxA-1# commit
commit complete
lab@srxA-1#
Nota

Paso 2.7
Ejecute el comando run show route protocol ospf. Verifique que su
dispositivo muestra las rutas externas de OSPF asociadas con los interfaces del srx
remoto. Compruebe con el otro equipo de compaeros de laboratorio que tambin
ven en su tabla de enrutamiento las rutas externas de OSPF que provienen de su
dispositivo local.
0.0.0.0/0
172.18.2.0/30
172.20.102.0/24
192.168.2.1/32
224.0.0.5/32
[OSPF/150] 00:08:09, metric 0, tag 0

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:01:04, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:01:04, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:38:29, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 00:39:20, metric 1
MultiRecv
www.juniper.net
Pregunta: Muestra su dispositivo las rutas

externas de OSPF esperadas en la tabla de
enrutamiento?
Respuesta: Ambos dispositivos deberan mostrar

ahora las rutas externas de OSPF esperadas. En
caso contrario, compruebe con el equipo remoto si
han definido adecuadamente la poltica que
consigue este comportamiento.
Paso 2.8
policy-options]. Defina una tercera poltica llamada
other-static-routes que machee y acepte las tres rutas estticas
recientemente configuradas (las que incluyen los destinos de subred directamente
conectados al router virtual de su dispositivo). Llame al trmino
match-other-static-routes.
lab@srxA-1# edit policy-statement other-static-routes
[edit policy-options policy-statement other-static-routes]
lab@srxA-1# set term match-other-static-routes from protocol static
lab@srxA-1# set term match-other-static-routes from route-filter address/24
exact
exact
exact
lab@srxA-1# set term match-other-static-routes then accept
lab@srxA-1# show
term match-other-static-routes {
from {
protocol static;
}
www.juniper.net
then accept;
}
lab@srxA-1#
Paso 2.9
ospf] y aplique la poltica other-static-routes como poltica de exportacin
de OSPF. Active sus cambios de configuracin.
lab@srxA-1# set export other-static-routes
lab@srxA-1# commit
commit complete
lab@srxA-1#
Nota

Paso 2.10
dispositivo muestra las rutas externas de OSPF asociadas con las rutas estticas
definidas en el srx remoto. Compruebe con sus compaeros del otro equipo que
tambin ven en su tabla de enrutamiento las rutas externas de OSPF
correspondientes.
0.0.0.0/0
172.18.2.0/30
172.20.102.0/24
[OSPF/150] 01:13:36,
to 172.20.77.2 via
> to 172.20.66.2 via
*[OSPF/150] 01:06:31,
to 172.20.77.2 via
> to 172.20.66.2 via
*[OSPF/150] 01:06:31,
> to 172.20.77.2 via
to 172.20.66.2 via
metric 0, tag 0
ge-0/0/1.0
ge-0/0/2.0
metric 0, tag 0
ge-0/0/1.0
ge-0/0/2.0
metric 0, tag 0
ge-0/0/1.0
ge-0/0/2.0
www.juniper.net
172.22.0.0/24
172.22.1.0/24
172.22.2.0/24
192.168.2.1/32
224.0.0.5/32
*[OSPF/150] 00:00:48, metric 0, tag 0

> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:00:48, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:00:48, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 01:43:56, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 01:44:47, metric 1
MultiRecv
Pregunta: Muestra su dispositivo las rutas OSPF

esperadas en la tabla de enrutamiento?
Respuesta: Ambos dispositivos srx deberan

mostrar ahora las rutas externas de OSPF
esperadas. En caso contrario, compruebe con el
otro equipo si han definido adecuadamente la
poltica que consigue este comportamiento.
Paso 2.11
Regrese al nivel de la jerarqua de configuracin [edit policy-options] y
muestre todas las polticas que tiene configuradas.
lab@srxA-1# show
policy-statement default-route {
term match-default-static-route {
from {
protocol static;
}
then accept;
}
}
policy-statement interface-routes {
from {
}
then accept;
}
}
www.juniper.net
policy-statement other-static-routes {
term match-other-static-routes {
from {
protocol static;
}
then accept;
}
}
lab@srxA-1#
Paso 2.12
Utilice las polticas ya definidas como referencia. Cree una nueva poltica llamada
ospf-export con tres trminos distintos; match-default-route,
match-interface-routes match-other-static-routes. Asegrese
de que su nueva poltica ospf-export consigue el mismo resultado que las otras
tres polticas anteriores por separado.
lab@srxA-1# edit policy-statement ospf-export
[edit policy-options policy-statement ospf-export]
lab@srxA-1# set term match-default-static-route from protocol static
lab@srxA-1# set term match-default-static-route from route-filter 0/0 exact
lab@srxA-1# set term match-default-static-route then accept
lab@srxA-1# set term match-interface-routes then accept
lab@srxA-1# set term match-other-static-routes from protocol static
exact
exact
www.juniper.net

exact
lab@srxA-1# set term match-other-static-routes then accept
lab@srxA-1#
Paso 2.13
ospf] y borre todas las polticas de exportacin que tenga aplicadas.
lab@srxA-1# delete export
lab@srxA-1#
Paso 2.14
Aplique como poltica de exportacin en OSPF la poltica que acaba de crear
ospf-export y active sus cambios mediante el comando commit.
lab@srxA-1# set export ospf-export
lab@srxA-1# commit
commit complete
Nota

Paso 2.15
dispositivo muestra las rutas externas esperadas y que a su vez est exportando en
OSPF adecuadamente. Compruebe con sus compaeros del otro equipo que
tambin ven en su tabla de enrutamiento las rutas externas de OSPF
correspondientes.
www.juniper.net
0.0.0.0/0
172.18.2.0/30
172.20.102.0/24
172.22.0.0/24
172.22.1.0/24
172.22.2.0/24
192.168.2.1/32
224.0.0.5/32
[OSPF/150] 01:21:15, metric 0, tag

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 01:14:10, metric 0, tag
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 01:14:10, metric 0, tag
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:08:27, metric 0, tag
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:08:27, metric 0, tag
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:08:27, metric 0, tag
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 01:51:35, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 01:52:26, metric 1
MultiRecv
Pregunta: Muestra su dispositivo las rutas de

OSPF esperadas en la tabla de enrutamiento?
Respuesta: Ambos dispositivos srx deberan

mostrar ahora las rutas externas de OSPF
esperadas. En caso contrario, compruebe con el
otro equipo si han definido adecuadamente la
poltica que consigue este comportamiento.
Paso 2.16
Regrese al nivel de la jerarqua de configuracin [edit policy-options] y
borre todas las polticas que no estn siendo utilizadas. Active sus cambios y
regrese al modo operacin mediante el comando commit and-quit.
lab@srxA-1# delete policy-statement default-route
lab@srxA-1# delete policy-statement interface-routes
lab@srxA-1# delete policy-statement other-static-routes
www.juniper.net
commit complete
lab@srxA-1>
Paso 2.17
Cierre la sesin con su dispositivo utilizando el comando exit.
lab@srxA-1> exit
srxA-1 (ttyu0)
login:
STOP
www.juniper.net
www.juniper.net
www.juniper.net
www.juniper.net
Laboratorio
Filtros de Firewall
Sinopsis
Este laboratorio le ensear cmo configurar y monitorizar filtros de firewall (firewall
filters) en dispositivos que corren el sistema operativo Junos. En este ejercicio utilizar el
CLI de Junos para definir, aplicar y monitorizar filtros de firewall.
www.juniper.net
Configurar y monitorizar filtros firewall.
Filtros de Firewall Laboratorio 31

verificar su correcto funcionamiento. Este laboratorio requiere interaccin y tareas
de verificacin con el dispositivo virtual vr-device, que consiste en un router de
la familia J Series. El router vr-device est lgicamente segmentado en varios
routers virtuales que conectan a cada uno de los equipos srx del laboratorio. Utilice
como referencia los diagramas de gestin y de topologa de red correspondientes a
este laboratorio.
Paso 1.1
gestin.

Paso 1.2
Laboratorio 32 Filtros de Firewall
www.juniper.net
Paso 1.3
Inicie sesin en su mquina utilizando el usuario lab y la contrasea lab123.
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 1.4
Navegue hasta el nivel de la jerarqua de configuracin [edit system
services]. Introduzca el comando show para mostrar los servicios que se
encuentran habilitados.
[edit]
lab@srxA-1# edit system services
[edit system services]
lab@srxA-1# show
ssh;
telnet;
web-management {
http {
}
https {
system-generated-certificate;
interface all;
}
}
lab@srxA-1#
www.juniper.net
Pregunta: Qu servicios se encuentran

actualmente habilitados?
Respuesta: Tal y como muestra la captura del

ejemplo aqu ilustrado, los servicios ssh, telnet y
web-management se encuentran habilitados.
Paso 1.5
Habilite el servicio ftp y active sus cambios de configuracin mediante el comando
commit.
lab@srxA-1# set ftp
lab@srxA-1# commit
commit complete
Nota
Los siguientes pasos del laboratorio

requieren que inicie sesin con el router
virtual conectado a su dispositivo. Los
routers virtuales son dispositivos lgicos
creados en el router J Series. Consulte el
diagrama de gestin para obtener la
direccin IP del vr-device.
Paso 1.6
Abra una sesin Telnet aparte con el dispositivo vr-device.
www.juniper.net
Paso 1.7
Inicie sesin con el router virtual conectado a su dispositivo asignado utilizando la
informacin y los credenciales de la siguiente tabla:
Detalles de los Routers Virtuales
Dispositivo
Usuario
Contrasea
srxA-1
a1
lab123
srxA-2
a2
lab123
srxB-1
b1
lab123
srxB-2
b2
lab123
srxC-1
c1
lab123
srxC-2
c2
lab123
srxD-1
d1
lab123
srxD-2
d2
lab123
vr-device (ttyp0)
login: username
Password:
--- JUNOS 11.4R1.6 built 2011-11-15 11:28:05 UTC
NOTE: This router is divided into many virtual routers used by different teams.
Please only configure your own virtual router.
You must use 'configure private' to configure this router.
a1@vr-device>
Paso 1.8
Desde su router virtual vr10V (donde V es el router virtual especificado en el
diagrama de red) y mediante la utilidad ping verifique que tiene alcance a la
interfaz de loopback de su dispositivo srx y al host de Internet. Si fuera necesario,
refirase al diagrama de topologa de red de este laboratorio.
Nota
Recuerde hacer referencia a la instancia de

enrutamiento (routing-instance)
apropiada para originar trfico ICMP desde
el router virtual. El nombre de cada
instancia coincide con el nombre del router
virtual descrito en el diagrama de la
topologa de red de este laboratorio. Por
ejemplo srxA-1 utilizar la instancia vr101.
a1@vr-device> ping routing-instance local_instance address rapid count 25
PING 192.168.1.1 (192.168.1.1): 56 data bytes
www.juniper.net
!!!!!!!!!!!!!!!!!!!!!!!!!
a1@vr-device> ping routing-instance local_instance 172.31.15.1 rapid count 25
PING 172.31.15.1 (172.31.15.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Responden los pings con xito?
Respuesta: S, tal y como muestra el resultado de la

captura de nuestro ejemplo, los pings responden
con xito desde el router virtual.
Paso 1.9
Intente establecer una sesin FTP desde el router virtual con su dispositivo
asignado. Utilice la direccin de loopback de su dispositivo como direccin de
destino. Inicie sesin como usuario lab para comprobar el funcionamiento de este
servicio.
Nota

enrutamiento apropiada al iniciar la sesin
FTP desde el router virtual. El nombre de
cada instancia coincide con el nombre del
router virtual descrito en el diagrama de la
topologa de red de este laboratorio
a1@vr-device> ftp routing-instance local_instance address
Connected to 192.168.1.1.
220 srxA-1 FTP server (Version 6.00LS) ready.
Name (192.168.1.1:a1): lab
331 Password required for lab.
Password:
230 User lab logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
Pregunta: Se establece con xito la sesin FTP?
Respuesta: S, como muestra la captura de nuestro

ejemplo, la sesin FTP se establece con xito.
www.juniper.net
Paso 1.10
Introduzca el comando bye para cerrar la sesin establecida de FTP.
ftp> bye
221 Goodbye.
a1@vr-device>
Paso 1.11
Intente establecer una sesin SSH con su dispositivo asignado desde su router
virtual mediante el comando ssh routing-instance instance
lab@address. Haga referencia a la instancia asociada con su router virtual y
utilice la direccin de loopback de su dispositivo como direccin de destino.
a1@vr-device> ssh routing-instance local_instance lab@address
The authenticity of host '10.210.14.131 (10.210.14.131)' can't be established.
RSA key fingerprint is 7b:a1:9b:00:6e:7f:aa:5b:65:b3:b2:4c:5e:d6:8e:f2.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.210.14.131' (RSA) to the list of known hosts.
lab@10.210.14.131's password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1>
Pregunta: Consigue establecer con xito la sesin

SSH?

ejemplo, la sesin SSH se establece con xito.
Paso 1.12
Introduzca el comando exit para cerrar la sesin SSH y regresar a su router
virtual.
lab@srxA-1> exit
Connection to 192.168.1.1 closed.
a1@vr-device>
Paso 1.13
Intente establecer una sesin Telnet desde el router virtual con su dispositivo
asignado. Utilice la direccin de loopback de su dispositivo como direccin de
destino. Inicie sesin como usuario lab para comprobar el funcionamiento de este
servicio.
www.juniper.net

Nota

enrutamiento apropiada al iniciar la sesin
Telnet desde el router virtual. El nombre de
topologa de red de este laboratorio.
a1@vr-device> telnet routing-instance local_instance address
Trying 192.168.1.1...
Escape character is '^]'.
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1>
Pregunta: Consigue establecer con xito la sesin

Telnet?

ejemplo, la sesin Telnet se establece con xito.
Paso 1.14
Introduzca el comando exit para cerrar la sesin Telnet y regresar a su router
virtual.
lab@srxA-1> exit
Connection closed by foreign host.
a1@vr-device>
Nota
Usted realizar ms adelante nuevas

tareas de verificacin desde su router
virtual. Mantenga esta sesin abierta con
el vr-device.
Paso 1.15
Regrese a la sesin que mantiene abierta con su dispositivo asignado.
Desde esta sesin con su srx, ejecute los comandos run show ospf neighbor
y run show route para establecer un punto de referencia.
www.juniper.net
Address
172.20.77.2
172.20.66.2
Interface
ge-0/0/1.0
ge-0/0/2.0
State
Full
Full
ID
192.168.2.1
192.168.2.1
Pri
128
128
Dead
37
34

lab@srxA-1# run show route
0.0.0.0/0
10.210.14.128/27
10.210.14.131/32
172.18.1.0/30
172.18.1.2/32
172.18.2.0/30
172.20.66.0/30
172.20.66.1/32
172.20.77.0/30
172.20.77.1/32
172.20.101.0/24
172.20.101.1/32
172.20.102.0/24
172.21.0.0/24
172.21.1.0/24
172.21.2.0/24
172.22.0.0/24
172.22.1.0/24
www.juniper.net
*[Static/5] 14:31:10
> to 172.18.1.1 via ge-0/0/3.0
[OSPF/150] 12:52:11, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 17:07:19
> via ge-0/0/0.0
*[Local/0] 17:07:23
*[Direct/0] 14:51:36
> via ge-0/0/3.0
*[Local/0] 14:51:36
*[OSPF/150] 12:45:06, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 14:51:36
> via ge-0/0/2.0
*[Local/0] 14:51:36
*[Direct/0] 14:51:36
> via ge-0/0/1.0
*[Local/0] 14:51:36
*[Direct/0] 14:51:36
> via ge-0/0/4.101
*[Local/0] 14:51:36
*[OSPF/150] 12:45:06, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[Static/5] 13:01:16
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:01:16
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:01:16
> to 172.20.101.10 via ge-0/0/4.101
*[OSPF/150] 11:39:23, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 11:39:23, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
172.22.2.0/24
192.168.1.1/32
192.168.2.1/32
224.0.0.5/32
*[OSPF/150] 11:39:23, metric 0, tag 0

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 14:51:36
> via lo0.0
*[OSPF/10] 13:22:31, metric 1
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 13:23:22, metric 1
MultiRecv
Pregunta: Muestra su dispositivo adyacencias de

OSPF con sus vecinos contiguos en el estado
Full?
Respuesta: S, en este momento todos los

dispositivos deberan mostrar sus respectivas
adyacencias de OSPF con sus vecinos y en el
estado Full.
Pregunta: Tiene su dispositivo en la tabla de
enrutamiento las rutas necesarias para alcanzar
todos los prefijos de destinos internos y externos de
la topologa de red?
Respuesta: As es, en este momento cada

dispositivo debe tener en la tabla de enrutamiento
las rutas necesarias para alcanzar cada prefijo de
destino interno o externo de la topologa de red.
STOP
Antes de proseguir, asegrese de que sus compaeros de Pod estn

tambin listos para continuar.
Parte 2: Configuracin y Monitorizacin de Filtros de Firewall

En esta parte del laboratorio configurar y monitorizar filtros de firewall (firewall
filters).
Paso 2.1
Navegue hasta la parte ms alta de la jerarqua de configuracin y cargue el archivo
lab3-part2-start.config desde el directorio /var/home/lab/jre/. Una
vez completado haga commit de su configuracin.
lab@srxA-1# top
www.juniper.net
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 2.2
Desde su dispositivo asignado, navegue hasta el nivel de la jerarqua de
configuracin [edit firewall]. Introduzca el comando edit family ?
y responda a la siguiente pregunta:
[edit]
lab@srxA-1# edit firewall
[edit firewall]
lab@srxA-1# edit family ?
Possible completions:
> any
Protocol-independent filter
> bridge
Protocol family BRIDGE for firewall filter
> ccc
Protocol family CCC for firewall filter
> inet
Protocol family IPv4 for firewall filter
> inet6
Protocol family IPv6 for firewall filter
> mpls
Protocol family MPLS for firewall filter
> vpls
Protocol family VPLS for firewall filter
[edit firewall]
lab@srxA-1# edit family
Pregunta: Basndose en las opciones disponibles,

qu tipo de family se utiliza para crear filtros de
firewall de IPv4?
Respuesta: La opcin de filtro de firewall family

inet es la adecuada para filtros de IPv4.
Paso 2.3
Introduzca el comando edit family inet filter protect-host para
iniciar la configuracin de un nuevo filtro de IPv4 llamado protect-host.
[edit firewall]
lab@srxA-1# edit family inet filter protect-host
[edit firewall family inet filter protect-host]
lab@srxA-1#
Paso 2.4
Cree un trmino con el nombre limit-icmp que solamente permita paquetes
ICMP de entrada que provengan de la subred 10.210.0.0/16.
www.juniper.net

lab@srxA-1# set term limit-icmp from protocol icmp
lab@srxA-1# set term limit-icmp from source-address 10.210.0.0/16
lab@srxA-1# set term limit-icmp then accept
Paso 2.5
Cree un trmino llamado limit-ftp que permita paquetes FTP de entrada que
provengan de la subred 10.210.0.0/16.
lab@srxA-1# set term limit-ftp from protocol tcp port ftp
lab@srxA-1# set term limit-ftp from source-address 10.210.0.0/16
lab@srxA-1# set term limit-ftp then accept
Paso 2.6
Cree un trmino llamado limit-ssh que permita paquetes SSH de entrada que
provengan de la subred 10.210.0.0/16.
lab@srxA-1# set term limit-ssh from protocol tcp port ssh
lab@srxA-1# set term limit-ssh from source-address 10.210.0.0/16
lab@srxA-1# set term limit-ssh then accept
Paso 2.7
Cree un trmino llamado limit-telnet que permita paquetes Telnet de entrada
que provengan de la subred 10.210.0.0/16.
lab@srxA-1# set term limit-telnet from protocol tcp port telnet
lab@srxA-1# set term limit-telnet from source-address 10.210.0.0/16
lab@srxA-1# set term limit-telnet then accept
Paso 2.8
Navegue hasta el nivel de la jerarqua de configuracin [edit interfaces
lo0] y aplique el filtro de firewall protect-host que acaba de crear como filtro
de entrada (input filter) a la unidad lgica de la interfaz bajo family inet.
Introduzca el comando commit para activar sus cambios de configuracin.
lab@srxA-1# top edit interfaces lo0
www.juniper.net
[edit interfaces lo0]

lab@srxA-1# set unit 0 family inet filter input protect-host
lab@srxA-1# commit
commit complete
lab@srxA-1#
Paso 2.9
Regrese a la sesin que mantiene abierta con el router virtual vr-device. Desde
el contexto de su router virtual correspondiente, lance pings para verificar que
tiene alcance a la direccin IP de loopback de su dispositivo y al host de Internet.
Refirase al diagrama de gestin y topologa de red para realizar estas pruebas.
Nota

enrutamiento apropiada para originar
trfico ICMP desde el router virtual. El
nombre de cada instancia coincide con el
nombre del router virtual descrito en el
diagrama de la topologa de red de este
laboratorio.
PING 192.168.1.1 (192.168.1.1): 56 data bytes
.........................
a1@vr-device> ping routing-instance local_instance 172.31.15.1 rapid count 25
PING 172.31.15.1 (172.31.15.1): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
www.juniper.net
Pregunta: Responden con xito ambos pings? Es

ste el resultado que esperaba?
Respuesta: Tal y como muestra la captura de

nuestro ejemplo, el ping a la direccin loopback de
nuestro dispositivo no responde, mientras que el
ping al host de Internet si que lo hace. Basndose
en la configuracin actual, este es el resultado
esperado. Recuerde que el filtro que acaba de
aplicar a la loopback de su dispositivo solamente
permite trfico ICMP que provenga desde la subred
10.210.0.0/16. Sin embargo, el nuevo filtro no
afecta al trfico de trnsito.
Paso 2.10
Intente establecer sesiones FTP, SSH y Telnet desde el router virtual a su dispositivo
asignado. Use la direccin de loopback de su dispositivo como direccin de destino.
Utilice la cuenta de usuario lab para realizar estas pruebas.
Nota

enrutamiento apropiada al originar trfico
desde el router virtual. El nombre de cada
Nota
Utilice la secuencia Ctrl+c para detener los

intentos sin respuesta de establecer
sesiones FTP, SSH y Telnet.
^C
^C
Trying 192.168.1.1...
^C
a1@vr-device>
www.juniper.net
Pregunta: Se establecen con xito las sesiones

FTP, SSH y Telnet? Dada la configuracin actual,
es ste el comportamiento esperado?
Respuesta: Como muestra la captura de nuestro

ejemplo, ninguno de los intentos de establecer
sesiones tiene xito. Debido a que la sesiones se
inician desde una direccin de origen no
perteneciente a la subred 10.210.0.0/16, los
intentos de establecimiento no prosperan.
Paso 2.11
Para confirmar que el filtro de firewall aplicado a la interfaz de loopback de su
dispositivo permite en entrada trfico ICMP echo requests, FTP, SSH y Telnet con
destino al host local (la Routing Engine) y originado desde la subred 10.210.0.0/16,
intente realizar las mismas pruebas del paso anterior. Realice las pruebas desde el
router virtual pero en esta ocasin no especifique ninguna instancia de
enrutamiento. Utilice la direccin IP de gestin asignada a su dispositivo (la de la
interfaz ge-0/0/0) que viene indicada en el diagrama de gestin de este laboratorio.
a1@vr-device> ping management_address rapid count 25
PING 10.210.14.131 (10.210.14.131): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Funcionan las pruebas de ping?
Respuesta: S, las pruebas de ping han de

funcionar porque los ICMP echo requests utilizan
una direccin IP de origen que pertenece a la
subred 10.210.0.0/16.
a1@vr-device> ftp management_address
Name (10.210.14.131:a1): lab
Password:
ftp> bye
221 Goodbye.
a1@vr-device> ssh lab@management_address
The authenticity of host '10.210.14.131 (10.210.14.131)' can't be established.
RSA key fingerprint is 7b:a1:9b:00:6e:7f:aa:5b:65:b3:b2:4c:5e:d6:8e:f2.
Are you sure you want to continue connecting (yes/no)? yes
www.juniper.net
Warning: Permanently added '10.210.14.131' (RSA) to the list of known hosts.

--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1> exit
a1@vr-device> telnet management_address
Trying 10.210.14.131...
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1> exit
a1@vr-device>
Pregunta: Se establecen ahora con xito las

sesiones FTP, SSH y Telnet?
Respuesta: S, dado que las sesiones usan una

direccin de origen que pertenece al rango
10.210.0.0/16, las sesiones se establecen sin
problema.
Pregunta: Implican estos resultados que el filtro
aplicado a la interfaz loopback funciona
adecuadamente?
Respuesta: S, basndose en los resultados

obtenidos, el filtro de firewall que hemos aplicado a
la interfaz de loopback funciona adecuadamente.
Paso 2.12
Regrese a la sesin que tiene abierta con su dispositivo srx.
Desde la sesin abierta con su srx, introduzca los comandos run show ospf
neighbor y run show route para verificar el estado actual de las adyacencias
con sus vecinos contiguos de OSPF y las rutas de la tabla de enrutamiento.
www.juniper.net

0.0.0.0/0
10.210.14.128/27
10.210.14.131/32
172.18.1.0/30
172.18.1.2/32
172.20.66.0/30
172.20.66.1/32
172.20.77.0/30
172.20.77.1/32
172.20.101.0/24
172.20.101.1/32
172.21.0.0/24
172.21.1.0/24
172.21.2.0/24
192.168.1.1/32
224.0.0.5/32
www.juniper.net
*[Static/5] 14:48:28
> to 172.18.1.1 via ge-0/0/3.0
*[Direct/0] 17:24:37
> via ge-0/0/0.0
*[Local/0] 17:24:41
*[Direct/0] 15:08:54
> via ge-0/0/3.0
*[Local/0] 15:08:54
*[Direct/0] 15:08:54
> via ge-0/0/2.0
*[Local/0] 15:08:54
*[Direct/0] 15:08:54
> via ge-0/0/1.0
*[Local/0] 15:08:54
*[Direct/0] 15:08:54
> via ge-0/0/4.101
*[Local/0] 15:08:54
*[Static/5] 13:18:34
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:18:34
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:18:34
> to 172.20.101.10 via ge-0/0/4.101
*[Direct/0] 15:08:54
> via lo0.0
*[OSPF/10] 13:40:40, metric 1
MultiRecv
Pregunta: Mantiene su dispositivo adyacencias de

OSPF con sus vecinos contiguos y aprende rutas
OSPF de ellos? Puede explicar por qu?

su dispositivo no debe detectar ningn vecino de
OSPF en este momento. Si sospecha que el filtro de
firewall aplicado a la loopback es el responsable,
est usted en lo cierto. Aunque su filtro de firewall
limita el trfico para los protocolos especificados,
no tiene en cuenta otros tipos de trfico destinados
a la Routing Engine, como por ejemplo OSPF. El
trmino implcito final rechazar todo el trfico
restante. En los siguientes pasos del ejercicio
resolver este problema.
Paso 2.13
Desactive el filtro de firewall que tiene aplicado a la interfaz de loopback y aplique
sus cambios de configuracin.
lab@srxA-1# deactivate unit 0 family inet filter
lab@srxA-1# show
unit 0 {
family inet {
inactive: filter {
input protect-host;
}
address 192.168.1.1/32;
}
}
lab@srxA-1# commit
commit complete
Nota
El siguiente paso requiere coordinacin

entre los dos equipos que configuran
ambos dispositivos srx. Asegrese que sus
compaeros finalizan las tareas del paso
www.juniper.net
Paso 2.14
Introduzca los comandos run show ospf neighbor y run show route de
nuevo para verificar el estado de las adyacencias de OSPF con sus vecinos
contiguos. Compruebe tambin que las rutas OSPF en la tabla de enrutamiento se
restauran adecuadamente.
Address
Interface
172.20.77.2
ge-0/0/1.0
172.20.66.2
ge-0/0/2.0
State
Full
Full
ID
192.168.2.1
192.168.2.1
Pri
128
128
Dead
35
38

0.0.0.0/0
10.210.14.128/27
10.210.14.131/32
172.18.1.0/30
172.18.1.2/32
172.18.2.0/30
172.20.66.0/30
172.20.66.1/32
172.20.77.0/30
172.20.77.1/32
172.20.101.0/24
172.20.101.1/32
172.20.102.0/24
172.21.0.0/24
172.21.1.0/24
172.21.2.0/24
www.juniper.net
*[Static/5] 14:55:12
> to 172.18.1.1 via ge-0/0/3.0
[OSPF/150] 00:00:34, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 17:31:21
> via ge-0/0/0.0
*[Local/0] 17:31:25
*[Direct/0] 15:15:38
> via ge-0/0/3.0
*[Local/0] 15:15:38
*[OSPF/150] 00:00:34, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 15:15:38
> via ge-0/0/2.0
*[Local/0] 15:15:38
*[Direct/0] 15:15:38
> via ge-0/0/1.0
*[Local/0] 15:15:38
*[Direct/0] 15:15:38
> via ge-0/0/4.101
*[Local/0] 15:15:38
*[OSPF/150] 00:00:34, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[Static/5] 13:25:18
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:25:18
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:25:18
> to 172.20.101.10 via ge-0/0/4.101
172.22.0.0/24
172.22.1.0/24
172.22.2.0/24
192.168.1.1/32
192.168.2.1/32
224.0.0.5/32
*[OSPF/150] 00:00:34, metric 0, tag 0

to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:00:34, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:00:34, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 15:15:38
> via lo0.0
*[OSPF/10] 00:00:34, metric 1
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 13:47:24, metric 1
MultiRecv
Pregunta: Con el filtro de firewall desactivado,

Establece de nuevo su dispositivo adyacencias de
OSPF con sus vecinos y aprende rutas por OSPF?

ejemplo, su dispositivo debera establecer de nuevo
adyacencias de OSPF con sus vecinos y aprender
rutas por OSPF.
Paso 2.15
Navegue hasta el nivel de la jerarqua de configuracin [edit firewall
family inet filter protect-host]. Reestructure el filtro de firewall
protect-host para conseguir los objetivos propuestos inicialmente y adems
permitir todos los dems tipos de trfico a travs de un nuevo trmino llamado
else-accept que permita implcitamente cualquier otro tipo de trfico. Incluya un
contador para cada trmino que defina. Llame a cada uno de estos contadores con
el nombre count-X, dnde X es el nombre del trmino asociado.
Nota
En la mayora de las implementaciones de

filtros firewall, usted preferir utilizar la
accin discard en vez de la accin
reject para evitar enviar notificaciones
de vuelta a posibles hackers. En este
ejercicio, puede elegir la accin reject
para simplificar las pruebas de verificacin.
lab@srxA-1# top edit firewall family inet filter protect-host
lab@srxA-1# set term limit-icmp from source-address 0/0
www.juniper.net

lab@srxA-1# set term limit-icmp from source-address 10.210.0.0/16 except
lab@srxA-1# set term limit-icmp then count count-limit-icmp
lab@srxA-1# set term limit-icmp then discard
lab@srxA-1# set term limit-ftp from source-address 0/0
lab@srxA-1# set term limit-ftp from source-address 10.210.0.0/16 except
lab@srxA-1# set term limit-ftp then count count-limit-ftp
lab@srxA-1# set term limit-ftp then discard
lab@srxA-1# set term limit-ssh from source-address 0/0
lab@srxA-1# set term limit-ssh from source-address 10.210.0.0/16 except
lab@srxA-1# set term limit-ssh then count count-limit-ssh
lab@srxA-1# set term limit-ssh then discard
lab@srxA-1# set term limit-telnet from source-address 0/0
lab@srxA-1# set term limit-telnet from source-address 10.210.0.0/16 except
lab@srxA-1# set term limit-telnet then count count-limit-telnet
lab@srxA-1# set term limit-telnet then discard
lab@srxA-1# set term else-accept then count count-else-accept
lab@srxA-1# set term else-accept then accept
lab@srxA-1# show
term limit-icmp {
www.juniper.net
from {
source-address {
10.210.0.0/16 except;
0.0.0.0/0;
}
protocol icmp;
}
then {
count count-limit-icmp;
discard;
}
}
term limit-ftp {
from {
source-address {
10.210.0.0/16 except;
0.0.0.0/0;
}
protocol tcp;
port ftp;
}
then {
count count-limit-ftp;
discard;
}
}
term limit-ssh {
from {
source-address {
10.210.0.0/16 except;
0.0.0.0/0;
}
protocol tcp;
port ssh;
}
then {
count count-limit-ssh;
discard;
}
}
term limit-telnet {
from {
source-address {
10.210.0.0/16 except;
0.0.0.0/0;
}
protocol tcp;
port telnet;
}
then {
count count-limit-telnet;
discard;
}
}
www.juniper.net
term else-accept {
then {
count count-else-accept;
accept;
}
}
lab@srxA-1#
Paso 2.16
Regrese al nivel de la jerarqua de configuracin [edit interfaces lo0] y
reactive el filtro protect-host. Introduzca el comando commit and-quit para
hacer efectivos sus cambios de configuracin y volver al modo operacin.
lab@srxA-1# top edit interfaces lo0
lab@srxA-1# activate unit 0 family inet filter
lab@srxA-1# show
unit 0 {
family inet {
filter {
input protect-host;
}
address 192.168.1.1/32;
}
}
commit complete
lab@srxA-1>
Paso 2.17
Introduzca los comandos show ospf neighbor y show route de nuevo para
verificar que el estado de las adyacencias de OSPF con sus vecinos contiguos es
completo (Full) y que hay rutas de OSPF presentes en la tabla de enrutamiento.
lab@srxA-1> show ospf neighbor
Address
Interface
172.20.77.2
ge-0/0/1.0
172.20.66.2
ge-0/0/2.0
State
Full
Full
ID
192.168.2.1
192.168.2.1
Pri
128
128
Dead
36
36

www.juniper.net
0.0.0.0/0
10.210.14.128/27
10.210.14.131/32
172.18.1.0/30
172.18.1.2/32
172.18.2.0/30
172.20.66.0/30
172.20.66.1/32
172.20.77.0/30
172.20.77.1/32
172.20.101.0/24
172.20.101.1/32
172.20.102.0/24
172.21.0.0/24
172.21.1.0/24
172.21.2.0/24
172.22.0.0/24
172.22.1.0/24
172.22.2.0/24
192.168.1.1/32
192.168.2.1/32
224.0.0.5/32
*[Static/5] 15:02:09
> to 172.18.1.1 via ge-0/0/3.0
[OSPF/150] 00:07:31, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 17:38:18
> via ge-0/0/0.0
*[Local/0] 17:38:22
*[Direct/0] 15:22:35
> via ge-0/0/3.0
*[Local/0] 15:22:35
*[OSPF/150] 00:07:31, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 15:22:35
> via ge-0/0/2.0
*[Local/0] 15:22:35
*[Direct/0] 15:22:35
> via ge-0/0/1.0
*[Local/0] 15:22:35
*[Direct/0] 15:22:35
> via ge-0/0/4.101
*[Local/0] 15:22:35
*[OSPF/150] 00:07:31, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[Static/5] 13:32:15
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:32:15
> to 172.20.101.10 via ge-0/0/4.101
*[Static/5] 13:32:15
> to 172.20.101.10 via ge-0/0/4.101
*[OSPF/150] 00:07:31, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:07:31, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/150] 00:07:31, metric 0, tag 0
to 172.20.77.2 via ge-0/0/1.0
> to 172.20.66.2 via ge-0/0/2.0
*[Direct/0] 15:22:35
> via lo0.0
*[OSPF/10] 00:07:31, metric 1
> to 172.20.77.2 via ge-0/0/1.0
to 172.20.66.2 via ge-0/0/2.0
*[OSPF/10] 13:54:21, metric 1
MultiRecv
www.juniper.net
Pregunta: Con el filtro de firewall actualizado y

aplicado de nuevo, mantiene su dispositivo
adyacencias de OSPF y recibe rutas OSPF de sus
vecinos?

su dispositivo an mantiene las adyacencias de
OSPF y aprende rutas OSPF de sus vecinos.
Paso 2.18
Regrese a la sesin que mantiene abierta con el router virtual vr-device.
Desde el contexto de su router virtual, intente hacer ping a la direccin de IP de la
interfaz loopback de su dispositivo. Si lo necesitara, refirase al diagrama de
topologa de red.
Nota

ICMP desde el router virtual. El nombre de
router virtual descrito en el diagrama de
PING 192.168.1.1 (192.168.1.1): 56 data bytes
.........................
Paso 2.19
Desde su router virtual, intente establecer sesiones FTP, SSH y Telnet a su
dispositivo asignado. Use la direccin de loopback de su dispositivo como direccin
de destino. Utilice la cuenta de usuario lab para realizar estas pruebas
Nota

desde el router virtual. El nombre de cada
Nota
Utilice la secuencia Ctrl+c para detener los

intentos sin respuesta de establecer
sesiones FTP, SSH y Telnet.
www.juniper.net

^C
^C
Trying 192.168.1.1...
^C
a1@vr-device>
Pregunta: Se establecen con xito las sesiones

FTP, SSH y Telnet?. Dada la configuracin actual,
es ste el comportamiento esperado?

ejemplo, ninguno de los intentos de establecer
sesiones tiene xito. Debido a que la sesiones se
inician desde una direccin de origen no
perteneciente a la subred 10.210.0.0/16, los
intentos de establecimiento no prosperan. Este es
el comportamiento esperado por nuestro diseo.
Paso 2.20
Para confirmar que el filtro de firewall aplicado a la interfaz de loopback de su
dispositivo permite trfico de entrada tipo ICMP echo requests, FTP, SSH y Telnet
con destino al host local (la Routing Engine) y originado desde la subred
10.210.0.0/16, intente realizar las mismas pruebas del paso anterior. Realice las
pruebas desde el router virtual pero no especifique ninguna instancia de
enrutamiento. Utilice la direccin IP de gestin asignada a su dispositivo y que viene
indicada en el diagrama de gestin de este laboratorio.
a1@vr-device> ping management_address rapid count 25
PING 10.210.14.131 (10.210.14.131): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Dan resultado las pruebas de ping?
Respuesta: S, las pruebas de ping han de

funcionar porque los ICMP echo requests utilizan
una direccin IP de origen que pertenece a la
subred 10.210.0.0/16.
a1@vr-device> ftp management_address
Name (10.210.14.131:a1): lab
www.juniper.net
Password:
ftp> bye
221 Goodbye.
a1@vr-device> ssh lab@management_address
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1> exit
a1@vr-device> telnet management_address
Trying 10.210.14.131...
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
lab@srxA-1> exit
a1@vr-device>
Pregunta: Se establecen ahora con xito las

sesiones FTP, SSH y Telnet?
Respuesta: S, dado que las sesiones usan una

direccin de origen que pertenece al rango
10.210.0.0/16, las sesiones se establecen sin
problema.
Pregunta: Implican estos resultados que el filtro
aplicado a la interfaz loopback funciona
adecuadamente?
Respuesta: S, basndose en los resultados

obtenidos, el filtro de firewall que hemos aplicado a
la interfaz de loopback funciona adecuadamente.
www.juniper.net
Paso 2.21
Regrese a la sesin que mantiene abierta con su dispositivo srx.
Desde esta sesin, introduzca el comando show firewall para determinar si los
contadores asociados al filtro estn siendo incrementados.
lab@srxA-1> show firewall

Filter: __default_bpdu_filter__
Filter: protect-host
Counters:
Name
count-else-accept
count-limit-ftp
count-limit-icmp
count-limit-ssh
count-limit-telnet
Bytes
18241
64
1260
64
128
Packets
250
1
15
1
2
Pregunta: Se van incrementando los contadores

del filtro de firewall protect-host?
Respuesta: Efectivamente, tal y como demuestra la

captura de nuestro ejemplo, todos los contadores
tienen un valor distinto de cero debido a las
pruebas que acabamos de realizar.
Paso 2.22
lab@srxA-1> exit
srxA-1 (ttyu0)
login:
STOP
www.juniper.net
www.juniper.net
www.juniper.net
www.juniper.net
www.juniper.net
Laboratorio
Calidad de Servicio (CoS) (Opcional)
Sinopsis
Este laboratorio explora la configuracin bsica de la calidad de servicio (class of service
o abreviadamente CoS) en dispositivos que corren el sistema operativo Junos. En este
ejercicio utilizar el CLI de Junos para definir, aplicar y monitorizar los diferentes
componentes de calidad de servicio (CoS).
www.juniper.net
Configurar colas (queues) y scheduler maps.
Configurar clasificadores multifield.
Verificar el funcionamiento de los clasificadores multifield.
Configurar clasificadores behavior aggregate (BA) y reglas de remarcado

(rewrite rules).
Calidad de Servicio (CoS) (Opcional) Laboratorio 41

verificar su correcto funcionamiento. Este laboratorio requiere interaccin y tareas
de verificacin con el dispositivo virtual vr-device, que consiste en un router de
la familia J Series. El router vr-device est lgicamente segmentado en varios
routers virtuales que conectan a cada uno de los equipos srx del laboratorio. Utilice
como referencia los diagramas de gestin y de topologa de red correspondientes a
este laboratorio.
Paso 1.1
gestin.

Paso 1.2
Laboratorio 42 Calidad de Servicio (CoS) (Opcional)
www.juniper.net
Paso 1.3
Inicie sesin en su mquina utilizando el usuario lab y la contrasea lab123.
srxA-1 (ttyp0)
login: lab
Password:
--- JUNOS 12.1R1.9 built 2012-03-24 12:12:49 UTC
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 1.4
Navegue hasta el nivel de la jerarqua de configuracin [edit interfaces] y
aada una unidad lgica adicional a la interfaz etiquetada ge-0/0/4. Para obtener
el direccionamiento IP y otros detalles de configuracin de las interfaces (como la
vlan-id) refirase al diagrama de la topologa de red correspondiente a este
laboratorio.
[edit]
[edit interfaces]
lab@srxA-1# set ge-0/0/4 unit vlan-id family inet address address/24
[edit interfaces]
lab@srxA-1# set ge-0/0/4 unit vlan-id vlan-id vlan-id
[edit interfaces]
lab@srxA-1#
Paso 1.5
Muestre el resultado de sus cambios de configuracin y verifique que son correctos.
Una vez satisfecho con su configuracin de las interfaces, introduzca el comando
commit para activar sus cambios.
[edit interfaces]
lab@srxA-1# show ge-0/0/4
vlan-tagging;
unit 101 {
www.juniper.net
vlan-id 101;
family inet {
address 172.20.101.1/24;
}
}
unit 201 {
vlan-id 201;
family inet {
address 172.20.201.1/24;
}
}
[edit interfaces]
lab@srxA-1# commit
commit complete
Paso 1.6
Mediante la utilidad ping compruebe que tiene conectividad con los dos routers
virtuales directamente conectados a su dispositivo.
[edit interfaces]
lab@srxA-1# run ping address rapid count 25
PING 172.20.101.10 (172.20.101.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
[edit interfaces]
lab@srxA-1# run ping address rapid count 25
PING 172.20.201.10 (172.20.201.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
Pregunta: Responden los routers virtuales a las

pruebas de ping?
Respuesta: S, ambos routers virtuales deben

responder a las pruebas de ping. En caso contrario,
verifique su configuracin y si fuera necesario
notifquelo a su instructor.
Paso 1.7
Navegue hasta el nivel de la jerarqua de configuracin [edit policy-options
policy-statement ospf-export]. Aada un nuevo filtro de rutas
(route-filter) al trmino match-interface-routes que machee la nueva
subred definida en la subinterfaz que acaba de configurar. Esta subred conecta su
dispositivo al nuevo router virtual. Si fuera necesario, refirase al diagrama de
topologa de red. Una vez satisfecho con sus cambios de configuracin, hgalos
efectivos introduciendo el comando commit.
www.juniper.net
[edit interfaces]
lab@srxA-1# top edit policy-options policy-statement ospf-export
lab@srxA-1# show
from {
}
then accept;
}
lab@srxA-1# commit
commit complete
lab@srxA-1#
Nota

Paso 1.8
Ejecute los comandos run show ospf neighbor y run show route
protocol ospf para comprobar el estado actual de las adyacencias de OSPF
con sus vecinos y las rutas actuales de la tabla de enrutamiento.
Address
Interface
State
ID
172.20.77.2
ge-0/0/1.0
Full
192.168.2.1
Pri
128
Dead
35

172.20.102.0/24
172.20.202.0/24
192.168.2.1/32
224.0.0.5/32
www.juniper.net
*[OSPF/150] 00:09:16, metric 0, tag 0

> to 172.20.77.2 via ge-0/0/1.0
*[OSPF/150] 00:00:53, metric 0, tag 0
> to 172.20.77.2 via ge-0/0/1.0
*[OSPF/10] 00:09:16, metric 1
> to 172.20.77.2 via ge-0/0/1.0
*[OSPF/10] 1d 02:09:51, metric 1
MultiRecv
Pregunta: Muestra su dispositivo adyacencias de

OSPF y aprende rutas de sus vecinos contiguos?
Respuesta: Tal y como muestra la captura de

nuestro ejemplo, su dispositivo debe mostrar una
adyacencia de OSPF y a su vez aprender rutas de
este vecino contiguo.
Nota
Los siguientes pasos del laboratorio

requieren que inicie sesin con el router
virtual conectado a su dispositivo. Los
routers virtuales son dispositivos lgicos
creados en el router J Series. Consulte el
diagrama de gestin para obtener la
direccin IP del vr-device. Aunque
usted tiene dos routers virtuales
directamente conectados a su dispositivo,
solamente necesitar establecer una nica
sesin con el vr-device.
Paso 1.9
Abra una sesin Telnet aparte con el dispositivo vr-device.
www.juniper.net
Paso 1.10
Inicie sesin con el router virtual conectado a su dispositivo asignado utilizando la
informacin y credenciales de la siguiente tabla:
Detalles de los Routers Virtuales
Dispositivo
Usuario
Contrasea
srxA-1
a1
lab123
srxA-2
a2
lab123
srxB-1
b1
lab123
srxB-2
b2
lab123
srxC-1
c1
lab123
srxC-2
c2
lab123
srxD-1
d1
lab123
srxD-2
d2
lab123
vr-device (ttyp0)
login: username
Password:
--- JUNOS 11.4R1.6 built 2011-11-15 11:28:05 UTC
NOTE: This router is divided into many virtual routers used by different teams.
Please only configure your own virtual router.
You must use 'configure private' to configure this router.
a1@vr-device>
Paso 1.11
Desde los dos routers virtuales directamente conectados a su dispositivo y
utilizando ping verifique que tiene alcance a los dos routers virtuales conectados
al srx remoto de sus compaeros de laboratorio. Refirase al diagrama de topologa
de red de este laboratorio para obtener las direcciones de IP de destino para
realizar estas pruebas.
Nota

enrutamiento (routing-instance)
apropiada para originar trfico ICMP desde
los routers virtuales. El nombre de cada
topologa de red de este laboratorio. Por
ejemplo srxA-1 utilizar las instancias
vr101 vr201.
www.juniper.net
a1@vr-device> ping routing-instance local_instance remote_vr_address rapid

count 25
PING 172.20.102.10 (172.20.102.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
count 25
PING 172.20.202.10 (172.20.202.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
count 25
PING 172.20.102.10 (172.20.102.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
count 25
PING 172.20.202.10 (172.20.202.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!
a1@vr-device>
Pregunta: Han funcionado las pruebas de ping?

ejemplo, todas las pruebas de ping desde ambos
routers virtuales funcionan con xito. En caso
contrario, verifique con el otro equipo y si fuera
necesario con el instructor.
Nota
Usted realizar ms adelante nuevas

tareas de verificacin desde sus routers
virtuales. Mantenga esta sesin Telnet
abierta con el vr-device.
www.juniper.net
Parte 2: Configuracin de Colas y Scheduler Maps

Por defecto, los dispositivos Junos asignan todo el trfico a las forwarding classes
best-effort y network-control. Antes de que usted pueda asignar trfico a
otras forwarding classes, deber configurar un scheduler map para cada interfaz
con schedulers que concedan recursos a cada forwarding class. En esta parte del
laboratorio asociar colas (queues) con forwarding classes y configurar schedulers
y scheduler-maps para aplicarlos a todas las interfaces.
Utilice la siguiente tabla como referencia para configurar los siguientes pasos:
Configuraciones de las Forwarding Classes
Cola
Forwarding Class
Bandwidth y
Buffers (%)
Prioridad
best-effort
40
Low
admin
45
Medium-low
voip
10
High
network-control
Medium-high
Paso 2.1
Regrese a la sesin que mantiene abierta con su dispositivo srx.
Desde su dispositivo asignado, navegue hasta el nivel ms alto de la jerarqua de la
configuracin y cargue el archivo lab4-part2-start.config desde el
directorio /var/home/lab/jre/. Haga commit de su configuracin cuando
termine.
lab@srxA-1# top
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 2.2
class-of-service forwarding-classes]. Configure el mapeo de
forwarding class a cola (queue) de acuerdo con las definiciones de la tabla anterior.
[edit]
lab@srxA-1# edit class-of-service forwarding-classes
www.juniper.net
[edit class-of-service forwarding-classes]

lab@srxA-1# set queue 1 admin
lab@srxA-1# set queue 2 voip
lab@srxA-1#
Pregunta: Es necesario que defina las forwarding

classes best-effort y network-control y
asignarlas a las colas 0 y 3?
Respuesta: No. No es necesario configurar las

forwarding classes best-effort y
network-control ni asignarlas a sus
respectivas colas dado que ya son las
denominaciones por defecto de CoS.
Paso 2.3
Configure un scheduler para cada forwarding class utilizando los parmetros
indicados en la tabla anterior. Llame a cada uno de los schedulers con el nombre
forwarding-class-name-sched, donde forwarding-class-name ser el
nombre de la correspondiente forwarding class de cada scheduler.
lab@srxA-1# up
[edit class-of-service]
lab@srxA-1# edit schedulers best-effort-sched
[edit class-of-service schedulers best-effort-sched]
lab@srxA-1# set buffer-size percent 40
lab@srxA-1# set transmit-rate percent 40
lab@srxA-1# set priority low
lab@srxA-1# up
[edit class-of-service schedulers]
lab@srxA-1# edit admin-sched
[edit class-of-service schedulers admin-sched]
www.juniper.net

lab@srxA-1# set priority medium-low
lab@srxA-1# up
lab@srxA-1# edit voip-sched
[edit class-of-service schedulers voip-sched]
lab@srxA-1# set priority high
lab@srxA-1# up
lab@srxA-1# edit network-control-sched
[edit class-of-service schedulers network-control-sched]
lab@srxA-1# set priority medium-high
lab@srxA-1#
Paso 2.4
Configure un scheduler-map llamado my-sched-map que asocie cada forwarding
class con su correspondiente scheduler.
lab@srxA-1# up 2
lab@srxA-1# edit scheduler-maps my-sched-map
[edit class-of-service scheduler-maps my-sched-map]
lab@srxA-1# set forwarding-class best-effort scheduler best-effort-sched
lab@srxA-1# set forwarding-class admin scheduler admin-sched
lab@srxA-1# set forwarding-class voip scheduler voip-sched
www.juniper.net

lab@srxA-1# set forwarding-class network-control scheduler
network-control-sched
lab@srxA-1#
Paso 2.5
Asigne el scheduler-map a todas las interfaces configuradas en su dispositivo y
haga commit de su configuracin cuando termine. Refirase al diagrama de
topologa de red si fuera necesario.
lab@srxA-1# up 2
[edit class-of-service interfaces]
lab@srxA-1# set ge-0/0/4 scheduler-map my-sched-map
lab@srxA-1# set ge-0/0/1 scheduler-map my-sched-map
lab@srxA-1# commit
commit complete
lab@srxA-1#
Pregunta: Qu resultados negativos puede

experimentar si no asigna adecuadamente el
scheduler-map a todas las interfaces?
Respuesta: En ese caso, el dispositivo Junos

utilizara el scheduler por defecto para el trfico
que transite por los interfaces que no sean
especificados. El scheduler por defecto contiene
buffers de trfico solamente para las colas
asociadas con las forwarding classes
best-effort y network-control
(tpicamente las colas 0 y 3). Por lo tanto, el trfico
de otras colas que no estn asociadas a
best-effort y network-control podra ser
descartado.
www.juniper.net
Parte 3: Configuracin de Clasificadores Multifield

En esta parte del laboratorio configurar su dispositivo para colocar trfico en una
determinada forwarding class mediante un clasificador multifield.
Paso 3.1
Navegue hasta el nivel ms alto de la jerarqua de la configuracin y cargue el
archivo lab4-part3-start.config desde el directorio /var/home/lab/
jre/. Una vez completado, haga commit de su configuracin.
lab@srxA-1# top
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
[edit]
lab@srxA-1#
Paso 3.2
Dirjase al nivel del la jerarqua de configuracin [edit firewall family
inet filter classify-traffic] para crear un nuevo filtro de firewall
llamado classify-traffic. Cree un trmino con el nombre sip que site el
trfico SIP originado desde la subred de su router virtual vr10V directamente
conectado (donde V es el virtual router tal y como viene especificado en el diagrama
de red) en la forwarding class voip. El trfico SIP utiliza ambos puertos UDP o TCP
5060.
[edit]
lab@srxA-1# edit firewall family inet filter classify-traffic
[edit firewall family inet filter classify-traffic]
lab@srxA-1# set term sip from source-address address/24
lab@srxA-1# set term sip from protocol [tcp udp] port 5060
lab@srxA-1# set term sip then forwarding-class voip
lab@srxA-1# set term sip then accept
lab@srxA-1#
www.juniper.net
Paso 3.3
Cree un trmino llamado rtp que site el trfico RTP originado desde la subred del
router virtual vr10V (donde V es el virtual router especificado en el diagrama de red)
en la forwarding class voip. El trfico RTP utiliza UDP en el rango de puertos
1638432767.
lab@srxA-1# set term rtp from source-address address/24
lab@srxA-1# set term rtp from protocol udp port 16384-32767
lab@srxA-1# set term rtp then forwarding-class voip
lab@srxA-1# set term rtp then accept
Paso 3.4
Cree un nuevo trmino llamado admin que site trfico originado dentro del rango
asociado a su router virtual vr20V directamente conectado (donde V es el router
virtual especificado en el diagrama de red) en la forwarding class admin.
lab@srxA-1# set term admin from source-address address/24
lab@srxA-1# set term admin then forwarding-class admin
lab@srxA-1# set term admin then accept
Paso 3.5
Cree un ltimo trmino llamado accept-all que acepte todo el trfico restante y
lo coloque en la forwarding class por defecto.
lab@srxA-1# set term accept-all then accept
Paso 3.6
Aplique el filtro de firewall classify-traffic a las interfaces etiquetadas con
identificadores VLAN de su dispositivo para que procesen el trfico de entrada
procedente de los routers virtuales directamente conectados. Introduzca el
comando commit para activar los cambios de configuracin.
lab@srxA-1# top edit interfaces ge-0/0/4
[edit interfaces ge-0/0/4]
lab@srxA-1# set unit vlan-id family inet filter input classify-traffic
lab@srxA-1# set unit vlan-id family inet filter input classify-traffic
www.juniper.net

lab@srxA-1# commit
commit complete
lab@srxA-1#
Parte 4: Verificacin del Funcionamiento del Clasificador Multifield

En esta parte del laboratorio generaremos trfico desde los routers virtuales
directamente conectados a su dispositivo y comprobaremos que dicho trfico es
ubicado en las forwarding classes adecuadas.
Paso 4.1
Navegue hasta el nivel ms alto de la jerarqua de configuracin y cargue el archivo
lab4-part4-start.config desde el directorio /var/home/lab/jre/. Una
vez completado, haga commit de su configuracin y regrese al modo operacin.
lab@srxA-1# top
[edit]
load complete
[edit]
commit complete
lab@srxA-1>
Paso 4.2
Borre las estadsticas de todas las interfaces mediante el comando clear
interface statistics all.
lab@srxA-1> clear interfaces statistics all
Paso 4.3
Desde el dispositivo que le ha sido asignado, introduzca el comando show
interfaces queue ge-0/0/1 para verificar las estadsticas de las colas de la
interfaz ge-0/0/1. Este comando permite visualizar estadsticas de trfico por cada
cola. Utilice estas estadsticas como referencia para realizar las siguientes pruebas.
lab@srxA-1> show interfaces queue ge-0/0/1
Physical interface: ge-0/0/1, Enabled, Physical link is Up
Interface index: 132, SNMP ifIndex: 119
Forwarding classes: 8 supported, 4 in use
Egress queues: 8 supported, 4 in use
Queue: 0, Forwarding classes: best-effort
Queued:
Packets
:
0
Bytes
:
0
www.juniper.net
0 pps
0 bps
Transmitted:
Packets
:
0
Bytes
:
0
Tail-dropped packets :
0
RED-dropped packets :
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queue: 1, Forwarding classes: admin
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queue: 2, Forwarding classes: voip
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queue: 3, Forwarding classes: network-control
Queued:
Packets
:
2
Bytes
:
188
0 pps
368 bps
www.juniper.net
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
Transmitted:
Packets
Bytes
Tail-dropped packets
RED-dropped packets
Low
Medium-low
Medium-high
High
RED-dropped bytes
Low
Medium-low
Medium-high
High
:
:
:
:
:
:
:
:
:
:
:
:
:
2
188
0
0
0
0
0
0
0
0
0
0
0
368
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
Pregunta: Aparecen listadas las forwarding

classes esperadas? Se encuentran esas
forwarding classes mapeadas correctamente a sus
respectivas colas?
Respuesta: S, las forwarding classes esperadas

aparecen listadas y tambin se encuentran
mapeadas correctamente a sus respectivas colas.
Pregunta: Qu colas muestran contadores con
valores distintos de cero en las secciones Queued
y Transmitted Packets?
Respuesta: Como vemos, solamente la cola 3

(queue 3) muestra contadores estadsticos con
valores diferentes de cero. El valor de sus
contadores puede variar con respecto al aqu
mostrado.
Paso 4.4
Mediante la utilidad ping enve trfico ICMP desde su router virtual local vr10V al
router virtual remoto vr10V (donde V es el router virtual especificado en el
diagrama de red). Utilice la opcin count con un valor de 100. Si as lo desea,
incluya tambin la opcin rapid para acelerar el proceso.
www.juniper.net
Refirase al diagrama de topologa de red para obtener las direcciones IP de

destino.
Nota

laboratorio.
count 100
PING 172.20.102.10 (172.20.102.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!
Pregunta: A qu forwarding class debera asignar

su dispositivo este tipo de trfico?
Respuesta: Su dispositivo debe asignar este tipo de

trfico a la forwarding classs best-effort.
Paso 4.5
Desde su dispositivo, introduzca el comando show interfaces queue
ge-0/0/1 y compare con las estadsticas de referencia que tom antes.
Compruebe que las estadsticas de la cola 0 (queue 0) han incrementado.
Queued:
Packets
:
100
Bytes
:
9800
Transmitted:
Packets
:
100
Bytes
:
9800
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
0 pps
0 bps
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
www.juniper.net
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
96
Bytes
:
9008
Transmitted:
Packets
:
96
Bytes
:
9008
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
www.juniper.net
0
0
0
0
0
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
0 pps
0 bps
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
RED-dropped bytes
Low
Medium-low
Medium-high
High
:
:
:
:
:
0
0
0
0
0
0
0
0
0
0
bps
bps
bps
bps
bps
Paso 4.6
Mediante la utilidad ping enve trfico ICMP desde el dispositivo virtual local
vr20V al router virtual remoto vr20V (donde V es el router virtual especificado en
el diagrama de red). Utilice la opcin count con un valor de 100. Si as lo desea,
incluya tambin la opcin rapid para acelerar el proceso. Refirase al diagrama de
topologa de red para obtener las direcciones IP de destino.
Nota

laboratorio.
count 100
PING 172.20.202.10 (172.20.202.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!

Respuesta: Su dispositivo debe asignar este trfico

a la forwarding classs admin.
Paso 4.7
www.juniper.net
Queued:
Packets
:
101
Bytes
:
9842
Transmitted:
Packets
:
101
Bytes
:
9842
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
100
Bytes
:
9800
Transmitted:
Packets
:
100
Bytes
:
9800
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
www.juniper.net
0 pps
0 bps
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
Queued:
Packets
Bytes
Transmitted:
Packets
Bytes
Tail-dropped packets
RED-dropped packets
Low
Medium-low
Medium-high
High
RED-dropped bytes
Low
Medium-low
Medium-high
High
:
:
136
12772
0 pps
0 bps
:
:
:
:
:
:
:
:
:
:
:
:
:
136
12772
0
0
0
0
0
0
0
0
0
0
0
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
Paso 4.8
Mediante la utilidad telnet simularemos trfico SIP desde el dispositivo virtual
local vr10V al router virtual remoto vr10V (donde V es el router virtual
especificado en el diagrama de red). Utilice la opcin port con un valor de puerto
5060 para esta sesin de Telnet. Refirase al diagrama de topologa de red para
obtener las direcciones IP de destino
Nota

trfico desde el router virtual. El nombre de
a1@vr-device> telnet routing-instance local_instance remote_vr_address port
5060
Trying 172.20.102.10...
telnet: connect to address 172.20.102.10: Connection refused
telnet: Unable to connect to remote host

Respuesta: Su dispositivo debe asignar este tipo de

trfico a la forwarding class voip.
Paso 4.9
www.juniper.net

Queued:
Packets
:
101
Bytes
:
9842
Transmitted:
Packets
:
101
Bytes
:
9842
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
100
Bytes
:
9800
Transmitted:
Packets
:
100
Bytes
:
9800
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
1
Bytes
:
78
Transmitted:
Packets
:
1
Bytes
:
78
0
0
Low
:
0
www.juniper.net
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0 pps
bps
pps
pps
pps
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
151
Bytes
:
14182
Transmitted:
Packets
:
151
Bytes
:
14182
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
0
0
0
0
0
0
0
0
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
Parte 5: Configuracin de Reglas de Remarcado y Clasificadores BA

En esta parte del laboratorio, en primer lugar configurar su dispositivo para que
realice una operacin de remarcado de trfico mediante un marcador Behavior
Aggregate (BA) para cada forwarding class. A continuacin configurar su
dispositivo para que clasifique trfico de entrada en funcin del remarcado BA que
reciba. Por ltimo verificar y monitorizar que su configuracin funciona
correctamente enviando trfico desde su router virtual local al router virtual remoto.
Paso 5.1
desde el directorio /var/home/lab/jre/. Una vez cargada la configuracin,
proceda a hacer commit de sus cambios.
[edit]
load complete
[edit]
lab@srxA-1# commit
commit complete
www.juniper.net
[edit]
lab@srxA-1#
Paso 5.2
Borre las estadsticas de todas las interfaces mediante el comando run clear
interface statistics all.
[edit]
lab@srxA-1# run clear interfaces statistics all
Paso 5.3
Ejecute el comando run show interfaces queue ge-0/0/4 para visualizar
las estadsticas de cada cola. Tome nota de estos datos como referencia para las
siguientes tareas de comprobacin.
[edit]
lab@srxA-1# run show interfaces queue ge-0/0/4
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
www.juniper.net
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
Medium-high
:
High
:
Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
0
0
0 bps
0 bps
0
0
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
www.juniper.net
Pregunta: Aparecen listadas todas las forwarding

classes esperadas para esta interfaz? Estn
dichas forwarding classes mapeadas
adecuadamente a sus respectivas colas?
Respuesta: S, las forwarding classes esperadas

para esta interfaz aparecen listadas y figuran como
best-effort, admin, voip y
network-control. Tal y como la captura
muestra, las forwarding classes especificadas se
encuentran correctamente mapeadas a las colas 0,
1, 2, y 3 respectivamente.
Paso 5.4
class-of-service]. Configure la interfaz ge-0/0/1 para que utilice la regla de
remarcado por defecto de IP precedence (inet-precedence default) para
todo el trfico saliente.
[edit]
lab@srxA-1# edit class-of-service
lab@srxA-1# set interfaces ge-0/0/1 unit 0 rewrite-rules inet-precedence
default
lab@srxA-1#
Paso 5.5
Configure la interfaz ge-0/0/1 para que utilice el clasificador por defecto de IP
precedence (inet-precedence default) para todo el trafico entrante. Active
sus cambios de configuracin y regrese al modo operacin mediante el comando
commit and-quit.
lab@srxA-1# set interfaces ge-0/0/1 unit 0 classifiers inet-precedence default
commit complete
lab@srxA-1>
www.juniper.net

Nota

Paso 5.6
Mediante la utilidad ping enve trfico ICMP desde el dispositivo virtual local
vr20V al router virtual remoto vr20V (donde V es el router virtual especificado en
el diagrama de red). Utilice la opcin count con un valor de 100. Si as lo desea,
incluya tambin la opcin rapid para acelerar el proceso. Refirase al diagrama de
topologa de red para obtener las direcciones IP de destino
Nota

trfico ICMP desde el router virtual.

count 100
PING 172.20.202.10 (172.20.202.10): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!
Pregunta: A qu forwarding class debera el srx

remoto asignar este tipo de trfico?
Respuesta: El srx remoto debera asignar este tipo

de trfico a la forwarding class admin. De la misma
manera, el trfico originado por el router virtual
remoto debera ser asignado a la forwarding class
admin en su srx local.
Paso 5.7
www.juniper.net

Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
www.juniper.net
0
0
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
100
10200
0 pps
0 bps
100
10200
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
0
0
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
Medium-high
:
High
:
Queued:
Packets
:
Bytes
:
Transmitted:
Packets
:
Bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
RED-dropped bytes
:
Low
:
Medium-low
:
Medium-high
:
High
:
0
0
0 bps
0 bps
0
0
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
Pregunta: Se han incrementado los contadores de

la cola 1 (queue 1)?
Respuesta: En la seccin Queued y

Transmitted, los contadores de Packets y
Bytes de la cola 1 (queue 1) deben mostrar un
valor distinto a cero. En caso contrario, compruebe
con sus compaeros del equipo remoto que han
finalizado el anterior paso de configuracin.
Paso 5.8
Mediante la utilidad telnet simularemos trfico SIP desde el dispositivo virtual
local vr10V al router virtual remoto vr10V (donde V es el router virtual
especificado en el diagrama de red). Utilice la opcin port con un valor de puerto
5060 para esta sesin de Telnet. Refirase al diagrama de topologa de red para
obtener las direcciones IP de destino
Nota

trfico desde el router virtual. El nombre de
a1@vr-device> telnet routing-instance local_instance remote_vr_address port
5060
Trying 172.20.102.10...
www.juniper.net
telnet: connect to address 172.20.102.10: Connection refused

telnet: Unable to connect to remote host
Pregunta: A qu forwarding class debera el srx

remoto asignar este tipo de trfico?
Respuesta: El srx remoto debera asignar este tipo

de trfico a la forwarding class voip. De la misma
manera, el trfico originado por el srx remoto
debera ser correctamente asignado a la forwarding
class voip en su srx local.
Paso 5.9
En su dispositivo, introduzca el comando show interfaces queue ge-0/0/4
y compare los resultados con las estadsticas de referencia que anot
anteriormente. Debera ver que las estadsticas de la cola 2 (queue 2) han sido
incrementadas.
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
100
Bytes
:
10200
Transmitted:
Packets
:
100
Bytes
:
10200
0
0
Low
:
0
Medium-low
:
0
www.juniper.net
0 pps
0 bps
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
0 pps
0 bps
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
1
Bytes
:
64
Transmitted:
Packets
:
1
Bytes
:
64
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
Queued:
Packets
:
0
Bytes
:
0
Transmitted:
Packets
:
0
Bytes
:
0
0
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
RED-dropped bytes
:
0
Low
:
0
Medium-low
:
0
Medium-high
:
0
High
:
0
0
0
0
0
0
0
0
pps
pps
bps
bps
bps
bps
bps
0 pps
0 bps
0 pps
0 bps
0 pps
0 pps
0 pps
0 pps
0 pps
0 pps
0 bps
0 bps
0 bps
0 bps
0 bps
0 pps
0 bps
0
0
0
0
0
0
0
0
0
0
0
0
0 pps
bps
pps
pps
pps
pps
pps
pps
bps
bps
bps
bps
bps
Pregunta: Han sido incrementados los contadores

de la cola 2 (queue 2)?
Respuesta: En la seccin Queued y

Transmitted, los contadores de Packets y
Bytes de la cola 2 (queue 2) deben mostrar un
valor distinto a cero. En caso contrario, compruebe
con sus compaeros del equipo remoto que han
finalizado el anterior paso de configuracin.
www.juniper.net
Paso 5.10
lab@srxA-1> exit
srxA-1 (ttyu0)
login:
STOP
www.juniper.net
www.juniper.net
www.juniper.net
www.juniper.net

Spanish JRE 12.a-R LG

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Spanish JRE 12.a-R LG

Hochgeladen von

Copyright:

Verfügbare Formate

Junos Routing Essentials

Lab GuideSpanish Edition

Worldwide Education Services

This document is produced by Juniper Networks, Inc.

Fundamentos de Enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1

Polticas de Enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-1

Filtros de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-1

Calidad de Servicio (CoS) (Opcional) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-1

Explain basic routing operations and concepts.

View and describe routing and forwarding tables.

Configure and monitor static routing.

Configure and monitor OSPF.

Describe the framework for routing policy.

Explain the evaluation of routing policy.

Identify situations where you might use routing policy.

Write and apply a routing policy.

Describe the framework for firewall filters.

Explain the evaluation of firewall filters.

Identify instances where you might use firewall filters.

Write and apply a firewall filter.

Most of what you read in the Lab Guide

Exiting configuration mode

GUI text elements:

Select File > Open, and then click

Input Text Versus Output Text

View configuration history by clicking

Text that you must enter.

lab@San_Jose> show route

Defined and Undefined Syntax Variables

Text where variable value is

Click my-peers in the dialog.

Text where the variables value

Type set policy policy-name.

Document Conventions vii

About This Publication

Juniper Networks Support

viii Additional Information

Configurar y verificar el correcto funcionamiento de las interfaces de red.

Configurar y monitorizar rutas estticas.

Configurar y monitorizar OSPF a nivel bsico.

Fundamentos de Enrutamiento Laboratorio 11

Junos Routing Essentials

Parte 1: Configuracin y Verificacin de las Interfaces

Normalmente los equipos de laboratorio se

Respuesta: La respuesta depender; en el ejemplo

Laboratorio 12 Fundamentos de Enrutamiento

Junos Routing Essentials

Fundamentos de Enrutamiento Laboratorio 13

Junos Routing Essentials

Pregunta: Qu tabla de enrutamiento muestra el

Respuesta: Este comando muestra la tabla de

__juniper_private1__.inet.0: 7 destinations, 9 routes (7 active, 0 holddown, 0

__juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1

Laboratorio 14 Fundamentos de Enrutamiento

Junos Routing Essentials

Pregunta: Qu tipo de rutas estn presentes en

Respuesta: La tabla de enrutamiento inet.0

Fundamentos de Enrutamiento Laboratorio 15

Junos Routing Essentials

Junos Routing Essentials

Fundamentos de Enrutamiento Laboratorio 17

Junos Routing Essentials

Pregunta: Cules son los estados Admin y Link

Respuesta: Las interfaces que acaba de configurar