Upload
eliteagent
View
219
Download
13
Tags:
Embed Size (px)
Citation preview
NetScreen conceptos y ejemplosreenOS
s
ScreenOS 5.1.0
Ref. 093-1367-000-SP
Revisión B
Manual de referencia de Sc
Volumen 2: Fundamento
compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the
ing antenna.
en the equipment and receiver.
ienced radio/TV technician for help.
utlet on a circuit different from that to d.
o this product could void the user's device.
ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE
WARRANTY, CONTACT YOUR OR A COPY.
Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206
FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:
• Reorient or relocate the receiv
• Increase the separation betwe
• Consult the dealer or an exper
• Connect the equipment to an owhich the receiver is connecte
Caution: Changes or modifications twarranty and authority to operate this
DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F
Contenido
i
..........................................31
..............................................34................................................... 34
................................................... 34
..............................................35 una interfaz de túnel únel ............................................ 36
as de seguridad y zonas ..............................................37na............................................... 37
zona ........................................ 38
ona ........................................... 39
..............................................40................................................... 40
................................................... 40
................................................... 40
................................................... 40
................................................... 40
..............................................41os modos de puertos ................. 47e puerto Home-Work ................ 48
“Home-Work” ................................................... 49ome-Work ................................. 51
..........................................53
..............................................55
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ContenidoPrefacio ........................................................................ ix
Convenciones ............................................................ x
Convenciones de la interfaz de línea de comandos (CLI) ....................................................... x
Convenciones de la interfaz gráfica (WebUI) .............. xi
Convenciones para las ilustraciones.......................... xiii
Convenciones de nomenclatura y conjuntos de caracteres ..................................................................xiv
Documentación de NetScreen de Juniper Networks ................................................. xv
Capítulo 1 Arquitectura de ScreenOS...........................1
Zonas de seguridad ...................................................2
Interfaces de zonas de seguridad .............................3
Interfaces físicas ...........................................................3
Subinterfaces................................................................4
Enrutadores virtuales ..................................................5
Directivas....................................................................6
VPNs............................................................................9
Sistemas virtuales......................................................11
Secuencia de flujo de paquetes .............................12
Ejemplo (1ª parte): Empresa con seis zonas ........16
Ejemplo (2ª parte): Interfaces para seis zonas.....18
Ejemplo (3ª parte): Dos dominios de enrutamiento ..................................................22
Ejemplo (4ª parte): Directivas...............................25
Capítulo 2 Zonas ..............
Zonas de seguridad ...Zona Global ............
Opciones SCREEN ...
Zonas de túnel............Ejemplo: Asociara una zona de t
Configuración de zonde túnel ......................
Creación de una zo
Modificación de una
Eliminación de una z
Zonas de función .......Zona Null .................
Zona MGT................
Zona HA...................
Zona Self .................
Zona VLAN...............
Modos de puerto........Establecimiento de l
Ejemplo: Modo d
Zonas en los modos y “Combined Port” ..
Ejemplo: Zonas H
Capítulo 3 Interfaces ........
Tipos de interfaces .....
Contenido
ii
r una interfaz de la zona ................................................... 74
arias ......................................75direcciones IP secundarias ........ 75na dirección IP secundaria....... 76
..............................................77na interfaz loopback................. 77
pback....................................... 78 loopback para n ................................................. 78 una interfaz loopback .............. 79 una interfaz loopback............... 79 loopback como interfaz ................................................... 80
e la interfaz ...........................81nexión física............................... 83
cciones IP................................... 84el seguimiento de IP .................. 85ración del seguimiento de IP
................................................... 87
aces ........................................... 91rfaces supervisadas.................. 93e supervisión de interfaces ....... 94
s de seguridad ........................... 98
y flujo de tráfico ......................... 99z de salida.............................. 100z de entrada .......................... 103
terfaces..........................107
............................................108................................................. 109................................................. 1092 predefinidas.......................... 109
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaces de zonas de seguridad..............................55Físicas...................................................................55Subinterfaz............................................................55Interfaces agregadas ..........................................56Interfaces redundantes ........................................56Interfaces de seguridad virtuales .........................56
Interfaces de zonas de función..................................57Interfaz de administración....................................57Interfaz de HA.......................................................57
Interfaces de túnel......................................................58Eliminar interfaces de túnel ..................................62Ejemplo: Eliminar una interfaz de túnel ................62
Visualización de interfaces.......................................64Tabla de interfaces ..............................................64
Configuración de interfaces de la zona de seguridad............................................................66
Asociación de una interfaz a una zona de seguridad..............................................................66
Ejemplo: Asociar una interfaz ...............................66
Direccionamiento de una interfaz de la zona de seguridad L3 .........................................................67
Direcciones IP públicas ........................................68Direcciones IP privadas........................................69Ejemplo: Direccionamiento de una interfaz.........69
Desasociación de una interfaz de una zona de seguridad..............................................................70
Ejemplo: Desasociar una interfaz .........................70
Modificación de interfaces ........................................71Ejemplo: Modificar los ajustes de la interfaz ........72
Creación de subinterfaces.........................................73Ejemplo: Subinterfaz en el sistema raíz.................73
Eliminación de subinterfaces......................................74
Ejemplo: Eliminade seguridad ....
Direcciones IP secundPropiedades de las
Ejemplo: Crear u
Interfaces loopback...Ejemplo: Crear u
Uso de interfaces looEjemplo: Interfazla administracióEjemplo: BGP enEjemplo: VSIs enEjemplo: Interfazde origen ..........
Cambios de estado dSupervisión de la co
Seguimiento de direConfiguración dEjemplo: Configude interfaz.........
Supervisión de interfEjemplo: Dos inteEjemplo: Bucle d
Supervisión de zona
Interfaces inactivas Fallo en la interfaFallo en la interfa
Capítulo 4 Modos de las in
Modo transparente ....Ajustes de zona .......
Zona VLAN.........Zonas de capa
Contenido
iii
e servicios............................... 156cer el tiempo de espera ................................................. 157
................................................. 158un servicio ICMP....................... 159
................................................. 160
re Call Application ................................................. 160as de llamadas RPC ................ 160
............................................... 161s Sun RPC ................................ 162
cedure Call Application ................................................. 163RPC........................................... 164ios MS RPC .............................. 167s para MS RPC ........................ 167
Protocol Application ................................................. 169ición RTSP.................................. 171do de RTSP............................... 173r de medios en un dominio ................................................. 175r de medios en un dominio ................................................. 178
“Voice-over-IP” ...................... 181 selector (“gatekeeper”) en do “transparente” o “ruta”)...... 181 selector (“gatekeeper”) en
odo transparente o ruta) ....... 183as salientes con NAT................ 186as entrantes con NAT .............. 191 selector en la zona Untrust ................................................. 195
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Reenvío de tráfico ....................................................110
Opciones “unicast” desconocidas ...........................112Método de inundación ......................................113Método ARP/Trace-Route....................................115Ejemplo: Interfaz VLAN1 para administración.....119Ejemplo: Modo transparente..............................122
Modo NAT...............................................................127Tráfico NAT entrante y saliente..................................129
Ajustes de interfaz .....................................................130Ejemplo: Modo NAT ............................................131
Modo de ruta .........................................................135Ajustes de interfaz .....................................................136
Ejemplo: Modo de ruta ......................................137
Capítulo 5 Bloques para la construcción de directivas..............................................................141
Direcciones ............................................................143Entradas de direcciones...........................................144
Ejemplo: Agregar direcciones............................144Ejemplo: Modificar direcciones .........................145Ejemplo: Eliminar direcciones ............................146
Grupos de direcciones.............................................146Ejemplo: Crear un grupo de direcciones...........148Ejemplo: Editar una entrada de grupo de direcciones ...................................................149Ejemplo: Eliminar un miembro y un grupo .........150
Servicios..................................................................151Servicios predefinidos...............................................151
Servicios personalizados...........................................153Ejemplo: Agregar un servicio personalizado......154Ejemplo: Modificar un servicio personalizado....155Ejemplo: Eliminar un servicio personalizado.......155
Tiempos de espera dEjemplo: Establede un servicio ...
Servicios ICMP .........Ejemplo: Definir
RSH ALG...................
Sun Remote ProceduLayer Gateway........
Situaciones típicServicios Sun RPCEjemplo: Servicio
Microsoft Remote ProLayer Gateway........
Servicios de MS Grupos de servicEjemplo: Servicio
Real Time StreamingLayer Gateway........
Métodos de petCódigos de estaEjemplo: Servidoprivado .............Ejemplo: Servidopúblico .............
Protocolo H.323 paraEjemplo: Equipola zona Trust (moEjemplo: Equipola zona Untrust (mEjemplo: LlamadEjemplo: LlamadEjemplo: Equipocon NAT.............
Contenido
iv
n la zona pública .................... 243iple, proxy en DMZ ................... 247intrazonal ................................. 253razonal..................................... 259 malla completa para SIP........ 263
ncho de banda para ................................................. 271
................................................. 274n grupo de servicios................ 275ar un grupo de servicios ......... 276r un grupo de servicios ............ 277
............................................278irecciones de puertos ............. 279n conjunto de DIP con PAT ...... 279ar un conjunto de DIP ............. 281
ky”............................................ 281
DIP ........................................... 282 en otra subred....................... 282
ertido ("loopback") y DIP.......... 291una interfaz loopback.............. 292
................................................. 297de DIP ...................................... 299
............................................301rogramada repetitiva ............. 301
........................................305
............................................307
...........................................308s.............................................. 308
es.............................................. 309
................................................. 310
directivas............................311
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”) .......................................................200
Métodos de petición del protocolo SIP ..............201Clases de respuestas SIP ....................................204ALG – Application-Layer Gateway .....................206SDP .....................................................................207Creación de ojos de aguja ...............................208Tiempo de espera por inactividad de la sesión ........................................................211Protección contra ataques SIP ...........................212Ejemplo: SIP Protect Deny...................................212Ejemplo: Tiempos de espera por inactividad de señalización o de medios.............................213Ejemplo: Protección contra inundaciones UDP..213Ejemplo: Máximo de conexiones SIP..................214
SIP con traducción de direcciones de red (NAT)......215Llamadas salientes.............................................216Llamadas entrantes............................................216Llamadas reenviadas.........................................217Terminación de la llamada................................217Mensajes de llamada Re-INVITE .........................217Temporizadores de sesiones de llamadas .........218Cancelación de la llamada ..............................218Bifurcación .........................................................218Mensajes del SIP.................................................219Encabezados SIP ................................................219Cuerpo SIP..........................................................223Supuesto de NAT con el protocolo SIP................223Soporte de llamadas SIP entrantes utilizando el servidor de registro del SIP..............................226Ejemplo: Llamada entrante (DIP de interfaz) ......228Ejemplo: Llamada entrante (conjunto de DIP) ...232Ejemplo: Llamada entrante con MIP..................236Ejemplo: Proxy en la zona privada.....................239
Ejemplo: Proxy eEjemplo: Zona trEjemplo: Untrust Ejemplo: Trust intEjemplo: VPN de
Administración del aservicios de VoIP......
Grupos de servicios.Ejemplo: Crear uEjemplo: ModificEjemplo: Elimina
Conjuntos de DIP........Traducción de dEjemplo: Crear uEjemplo: Modific
Direcciones DIP “stic
Interfaz extendida y Ejemplo: Usar DIP
Interfaz de bucle invEjemplo: DIP en
Grupos de DIP .........Ejemplo: Grupo
Tareas programadas..Ejemplo: Tarea p
Capítulo 6 Directivas ........
Elementos básicos......
Tres tipos de directivasDirectivas interzonale
Directivas intrazonal
Directivas globales..
Listas de conjuntos de
Contenido
v
to de directivas interzonales.... 337as intrazonales ........................ 344a global .................................. 347
texto de una directiva ............ 348
r componente de directiva ..... 349
iones........................................ 351ión de la dirección ................................................. 351
ctivación de directivas............ 355
tivas ........................................ 356
directivas ................................ 357
irectiva ................................... 358
tráfico..............................359
ación de tráfico .................360ncho de banda a nivel ................................................. 360 tráfico ..................................... 361
prioridades del servicio .....367ar colas de prioridades .......... 368
sistema...........................375
NS (sistema de nombres ............................................377................................................. 378
DNS.......................................... 379r DNS y programación de ................................................. 380cer un intervalo de DNS................................... 381
................................................. 382ración de DDNS para s.............................................. 383
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Definición de directivas..........................................312Directivas y reglas ....................................................312
Anatomía de una directiva ......................................314ID ........................................................................315Zonas..................................................................315Direcciones ........................................................315Servicios..............................................................316Acción................................................................317Aplicación ..........................................................318Nombre ..............................................................318Tunelización VPN ................................................319Tunelización L2TP ................................................319Deep Inspection.................................................320Colocación al principio de la lista de directivas ......................................................320Traducción de direcciones de origen ...............321Traducción de direcciones de destino ..............321Autenticación de usuarios..................................321Copia de seguridad de la sesión HA .................324Filtrado de URL....................................................325Registro...............................................................325Recuento............................................................325Umbral de alarma de tráfico .............................326Tareas programadas..........................................326Análisis antivirus ..................................................326Asignación de tráfico.........................................327
Directivas aplicadas...............................................329Visualización de directivas .......................................329
Iconos de directivas ...........................................329
Creación de directivas.............................................331Ubicación de directivas .....................................331Ejemplo: Servicio de correo de directivas interzonales ........................................................332
Ejemplo: ConjunEjemplo: DirectivEjemplo: Directiv
Introducción del con
Varios elementos po
Negación de direccEjemplo: Negacde destino.........
Modificación y desa
Verificación de direc
Reordenamiento de
Eliminación de una d
Capítulo 7 Asignación de
Aplicación de la asignAdministración del ade directivas ...........
Ejemplo: Asignar
Establecimiento de lasEjemplo: Gestion
Capítulo 8 Parámetros del
Compatibilidad con Dde dominio)................
Consulta DNS ..........
Tabla de estado de Ejemplo: ServidoactualizacionesEjemplo: Establede actualización
DNS dinámico .........Ejemplo: Configuel servidor dyndn
Contenido
vi
s instancias PPPoE ................... 419
ilidad ...................................... 422
dación de firmware ............423alizar o degradar firmware ................................................. 424rvidor de NetScreen-Security ................................................. 425
firmware .................................. 426 firmware ................................. 429
gador de arranque o ativo ........................................ 431
positivos NetScreen en una ................................................. 434 dispositivos en una
SRP activa/pasiva..................... 434itivos en una configuración va............................................. 439
y archivos DI............................. 445ertificado de autenticación .... 445cado de autenticación ........... 447 firmware de ScreenOS........... 448 un archivo de base
etos de ataques DI .................. 448
configuraciones .................450mportación de ajustes............. 450
lback”) de una configuración . 452ción correcta conocida .......... 452automática y manual de una ................................................. 453evo archivo de configuración . 454
de configuración.................... 455entarios en un archivo de
................................................. 456
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Configuración de DDNS para el servidor de ddo..............................................384
División de direcciones del DNS proxy .....................385Ejemplo: Dividir peticiones de DNS ....................386
DHCP: Protocolo de configuración dinámica de hosts ..................................................................388
Servidor DHCP...........................................................390Ejemplo: Dispositivo NetScreen como servidor DHCP.....................................................390Opciones del servidor DHCP ..............................396Ejemplo: Opciones de servidor DHCP personalizadas ...................................................397Servidor DHCP en un clúster de NSRP .................397Detección del servidor DHCP .............................398Ejemplo: Activar la detección de servidores DHCP ..................................................................399Ejemplo: Desactivar la detección de servidores DHCP .................................................399
Agente de retransmisión de DHCP ...........................400Ejemplo: Dispositivo NetScreen como agente de retransmisión de DHCP..................................401
Cliente DHCP ............................................................406Ejemplo: Dispositivo NetScreen como cliente DHCP ......................................................406
Propagación de los ajustes TCP/IP............................408Ejemplo: Reenviar ajustes TCP/IP ........................409
PPPoE......................................................................411Ejemplo: Configurar PPPoE .................................411Ejemplo: Configurar PPPoE en las interfaces principal y de respaldo de la zona Untrust ........416
Múltiples sesiones PPPoE a través de una sola interfaz ..............................................................417
Interfaces no etiquetadas ..................................418
Ejemplo: Múltiple
PPPoE y alta disponib
Actualización o degraRequisitos para actudel dispositivo .........
Conexión del seManager...........
Descarga de nuevoCarga de nuevoMediante el cardel sistema oper
Actualización de disconfiguración NSRP.
Actualización deconfiguración NActualizar disposNSRP activa/acti
Autenticar firmware Obtención del cCarga del certifiAutenticación deAutenticación dede datos de obj
Descarga y carga deAlmacenamiento e i
Retroactivación (“rolÚltima configuraRetroactivación configuración ...Carga de un nu
Bloqueo del archivoInclusión de comconfiguración ...
Contenido
vii
............................................465
................................................. 465
................................................. 465
................................................. 466
res NTP ..................................... 466
l máximo................................. 467
NSRP ........................................ 468
rar servidores NTP y un horario máximo...................... 468
guros....................................... 469
......................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Establecer Bulk-CLI de NetScreen-Security Manager ................................................................458
Claves de licencia .................................................459Ejemplo: Ampliar la capacidad de usuarios......460
Registro y activación de los servicios de suscripción ........................................................461
Servicio temporal......................................................461
Paquete de AV, filtrado de URLs y DI incluido con un dispositivo nuevo..........................................462
Actualización de AV, filtrado de URLs y DI en un dispositivo existente ........................................463
Sólo actualización de DI...........................................464
Reloj del sistema ........
Fecha y hora...........
Huso horario ............
NTP ..........................
Múltiples servido
Desfase tempora
Protocolos NTP y
Ejemplo: Configuvalor de desfase
Servidores NTP se
Índice ................................
Contenido
viii
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentosix
s, incluyendo ejemplos de
de seguridad virtuales (VSIs), Ns
aducción de direcciones de red
ados para crear directivas y
ación o el relevo de ajustes
un dispositivo NetScreen
een
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Prefacio
El Volumen 2, “Fundamentos” describe la arquitectura de ScreenOS y sus elementoconfiguración de algunos de ellos. En este volumen se describen:
• Conceptos generales sobre la arquitectura de ScreenOS
• Zonas de seguridad, de túneles y de funciones
• Distintos tipos de interfaz, como interfaces físicas, subinterfaces, interfacesinterfaces redundantes, interfaces agregadas e interfaces de túnel para VP
• Modos de interfaz en los que pueden funcionar las interfaces NetScreen: tr(NAT), ruta y transparente
• Directivas para controlar el tráfico a través de una interfaz y elementos utilizredes privadas virtuales, como direcciones, usuarios o servicios
• Conceptos de administración de tráfico
• Parámetros de sistema para las siguientes funciones:
– Asignación de direcciones del sistema de nombres de dominio (DNS)
– Protocolo de configuración dinámica de servidor (DHCP) para la asignTCP/IP
– Filtrado de URL
– Carga y descarga de ajustes de configuración y software hacia/desde
– Claves de licencia para ampliar las funciones de un dispositivo NetScr
– Configuración del reloj del sistema
Prefacio Convenciones
x
guientes secciones:
)s de la interfaz de línea de
por barras verticales ( | ).
manage, ethernet2 o ethernet3”.
vo en el caso de las variables, ra visualizar el número de serie
permitan al sistema reconocer te escribir set adm u joe . Aunque este método se se representan con sus
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las si
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la pàgina xi
• “Convenciones para las ilustraciones” en la pàgina xiii
• “Convenciones de nomenclatura y conjuntos de caracteres” en la pàgina xiv
Convenciones de la interfaz de línea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system pade un dispositivo NetScreen”.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos palabras completas.
Prefacio Convenciones
xi
e la WebUI por las que se adro de diálogo de New . A continuación se
bretas de direcciones.
New. diálogo de configuración
4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación dpasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuconfiguración de direcciones se representa como sigue: Objects > Addresses > List >muestra la secuencia de navegación.
1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.
2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.
3. Haga clic en List.Aparecerá la tabla de li
4. Haga clic en el vínculo Aparecerá el cuadro dede nuevas direcciones.
1
2
3
Prefacio Convenciones
xii
e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben
lic en OK :
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust
Zone: Untrust
Haga clic en OK .
Address Name: addr_1
IP Address Name/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Prefacio Convenciones
xiii
ustraciones de este manual:
ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)
nternet
quipo de escritorio
ervidor
ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)
quipo portátil
ango de direcciones IP dinámicas DIP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il
Dispositivo NetScreen genérico
Zona de seguridad
Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)
Icono de enrutador (router)
Icono de conmutador (switch)
Dominio de enrutamiento virtual
Túnel VPN
Ru(
I
E
S
D(c
Interfaz de túnel
E
R(
Prefacio Convenciones
xiv
rescomo direcciones, usuarios ales, túneles de VPN y zonas)
n espacio, la ejemplo,
entrecomillada;
or el contrario, en e indistintamente.
últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,
encuentran el chino, el coreano
ión de las comillas dobles ( “ ), res que contengan espacios.
mite tanto SBCS como MBCS,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.
Prefacio Documentación de NetScreen de Juniper Networks
xv
r Networks, visite
ase Manager” en la página web os EE.UU.) o al
n nosotros a través de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS
Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:
Prefacio Documentación de NetScreen de Juniper Networks
xvi
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos1
1
Capítulo 1
ran flexibilidad a la hora de ás de dos interfaces es posible entro de una zona (tráfico terfaces a cada zona y habilitar ataques al cortafuegos. necesita, asignar el número de specíficas.
rincipales:
ra procesar el tráfico, en la de un paquete entrante.
sica de un dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Arquitectura de ScreenOS
La arquitectura del sistema NetScreen ScreenOS de Juniper Networks ofrece una gdiseñar la estructura de seguridad de una red. En los dispositivos NetScreen con mcrear numerosas zonas de seguridad y configurar directivas para regular el tráfico dintrazonal) y entre zonas distintas (tráfico interzonal). Puede enlazar una o varias inen cada zona un conjunto distinto de opciones de administración y de vigilancia de Básicamente, ScreenOS permite crear el número de zonas que cada entorno de redinterfaces que cada zona necesita, y diseñar cada interfaz según las necesidades e
En este capítulo se presenta ScreenOS, describiendo los siguientes componentes p
• “Zonas de seguridad” en la pàgina 2
• “Interfaces de zonas de seguridad” en la pàgina 3
• “Enrutadores virtuales” en la pàgina 5
• “Directivas” en la pàgina 6
• “VPNs” en la pàgina 9
• “Sistemas virtuales” en la pàgina 11
Además, para ayudarle a comprender mejor el mecanismo que utiliza ScreenOS pasección “Secuencia de flujo de paquetes” en la pàgina 12 verá la secuencia de flujo
El capítulo concluye con un ejemplo en cuatro partes que ilustra la configuración báNetScreen utilizando ScreenOS:
• “Ejemplo (1ª parte): Empresa con seis zonas” en la pàgina 16
• “Ejemplo (2ª parte): Interfaces para seis zonas” en la pàgina 18
• “Ejemplo (3ª parte): Dos dominios de enrutamiento” en la pàgina 22
• “Ejemplo (4ª parte): Directivas” en la pàgina 25
Capítulo 1 Arquitectura de ScreenOS Zonas de seguridad
2
uiere regular el tráfico entrante de seguridad son entidades dispositivos NetScreen, podrá ades de su red. Además de las Untrust y DMZ (para el nto de la capa 2)2. Si lo desea,
as predefinidas y utilizar s de zonas (predefinidas y s zonas permite diseñar la red
ión, consulte “Zona Global” en la ciones no contiene segmentos de red.
rán intactas.
s por el usuario. Cuando se elimina
t
ispositivo NetScreen
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ZONAS DE SEGURIDADUna zona de seguridad es un conjunto de uno o varios segmentos de red, lo que reqy saliente por medio de directivas (consulte “Directivas” en la pàgina 6)1. Las zonas lógicas que tienen asociadas una o varias interfaces. Si dispone de distintos tipos dedefinir múltiples zonas de seguridad, dependiendo su número exacto de las necesidzonas definidas por el usuario, también puede utilizar las zonas predefinidas: Trust,funcionamiento de la capa 3), o V1-Trust, V1-Untrust y V1-DMZ (para el funcionamiepuede seguir utilizando sólo las zonas predefinidas. También puede ignorar las zonexclusivamente las definidas por el usuario3. También es posible utilizar los dos tipodefinidas por el usuario) simultáneamente. Esta flexibilidad en la configuración de laque mejor responda a sus necesidades específicas.
1. La única zona de seguridad que no necesita ningún segmento de red es la zona global. (Para obtener más informacpàgina 34). A efectos prácticos, se considera que una zona sin interfaces asociadas y sin entradas de libreta de direc
2. Si actualiza una antigua versión de ScreenOS, todas las configuraciones de las zonas correspondientes permanece
3. No es posible eliminar las zonas de seguridad predefinidas. Por el contrario, sí se pueden eliminar las zonas definidauna zona de seguridad, se eliminan automáticamente todas las direcciones configuradas para esa zona.
Motor dedirectivas
DMZ
Untrus
Trust
Finance
Eng
Una red configurada con 5 zonas de seguridad—3 zonas predeterminadas (Trust, Untrust, DMZ), y 2 zonas definidas por el usuario (Finance, Eng)
El tráfico (indicado por las líneas negras) sólo puede pasar de una zona de seguridad a otra si hay una directiva que lo permite.
D
Capítulo 1 Arquitectura de ScreenOS Interfaces de zonas de seguridad
3
e cruzar para pasar de una
en un solo sentido o en utilizar para pasar de una as tienen una gran
y, en el caso de una interfaz ignar una dirección IP a la positivos que admitan capa 2). Para obtener más
NetScreen. Las positivo NetScreen-500, por uerto Ethernet en ese l primer bastidor
as tendrán el mismo nivel de
minado, consulte el manual
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
INTERFACES DE ZONAS DE SEGURIDADCada interfaz de una zona de seguridad es como una puerta que el tráfico TCP/IP debzona a otra.
Mediante las directivas que usted defina, podrá permitir que el tráfico entre zonas fluyaambos4. Al definir las rutas, estará especificando las interfaces que el tráfico tendrá quezona a otra. Como es posible asociar múltiples interfaces a una zona, las rutas diseñadimportancia a la hora de dirigir el tráfico a las interfaces deseadas.
Para permitir que el tráfico pase de una zona a otra, debe asociar una interfaz a la zona en modo de ruta o en modo NAT (consulte el Capítulo 4, “Modos de las interfaces”), asinterfaz. Dos tipos de interfaz comúnmente utilizados son las interfaces físicas y, en dissistemas virtuales, las subinterfaces (es decir, la realización de una interfaz física en lainformación, consulte el Capítulo 3, “Interfaces”.
Interfaces físicasUna interfaz física se refiere a los componentes físicamente presentes en el dispositivoconvenciones de nomenclatura de interfaces difieren de un dispositivo a otro. En el disejemplo, una interfaz física se identifica por la posición de un módulo de interfaz y un pmódulo. Por ejemplo, la interfaz ethernet1/2 designa el módulo de interfaz situado en e(ethernet1/2) y en el segundo puerto (ethernet1/2) .
4. Para intercambiar tráfico entre dos interfaces asociadas a una misma zona no se requiere ninguna directiva, ya que ambseguridad. ScreenOS necesita directivas para controlar el tráfico entre zonas, no dentro de ellas.
Nota: Para conocer la convención de nomenclatura de un dispositivo NetScreen deterde usuario de dicho dispositivo.
1/1 1/2 3/1 3/2
2/1 2/2 4/1 4/2
Asignaciones de las interfaces físicas
Capítulo 1 Arquitectura de ScreenOS Interfaces de zonas de seguridad
4
uede dividir lógicamente en omento de la interfaz física de
las de una interfaz física, de la tráfico desde o hacia una zona s, los administradores
Por ejemplo, la interfaz dulo de interfaz que se ero 3 (ethernet1/2.3 ) .
az física, la zona a la que se r la subinterfaz ethernet1/2.3 a ociar ethernet1/2.2 . Asimismo, faz no implica que su dirección
tos de trama Ethernet utilizados para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SubinterfacesEn los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz física se pvarias subinterfaces virtuales, que ocupan el ancho de banda que precisan en cada mla que proceden. Una subinterfaz es un elemento abstracto con funciones idénticas aque se diferencia por el etiquetado VLAN5 802.1Q. El dispositivo NetScreen dirige elcon subinterfaz a través de su dirección IP y su etiqueta VLAN. Por razones prácticanormalmente utilizan el mismo número para la etiqueta VLAN y para la subinterfaz. ethernet1/2 con la etiqueta VLAN 3 se llamará ethernet1/2.3 . Así se identifica el móencuentra en el primer bastidor , el segundo puerto del módulo y la subinterfaz núm
Observe que aunque una subinterfaz comparte parte de su identidad con una interfasocia es independiente de la zona a la que se asocia la interfaz física. Puede asociauna zona distinta de la utilizada para la interfaz física ethernet1/2 o a la que desee asno hay restricciones en cuanto a la asignación de direcciones IP. El término subinterse encuentre en una subred dentro del espacio de direcciones de la interfaz física.
5. 802.1Q es una norma IEEE que define los mecanismos para implementar redes LAN virtuales enlazadas y los formaindicar la pertenencia a una VLAN mediante etiquetas VLAN.
Asignaciones de subinterfaces
1/1.11/1.2
1/2.11/2.2
2/1.12/1.2
2/2.12/2.2
4/1.14/1.2
4/2.14/2.2
3/1.13/1.23/1.3
3/2.13/2.23/2.3
1/1 1/2 3/1 3/2
2/1 2/2 4/1 4/2
Capítulo 1 Arquitectura de ScreenOS Enrutadores virtuales
5
s y de sus propias tablas de nrutadores virtuales to unicast y multicast emplo, untrust-vr se suele formación de enrutamiento actualiza por medio de xtracción no autorizada de
nvía automáticamente entre rmitan el tráfico. Si desea ntre los VR o configurar una ás información sobre el uso
rutamiento untrust-vr
l icono del castillo representa erfaz en una zona de ad.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ENRUTADORES VIRTUALESUn enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias interfaceenrutamiento unicast y multicast. En ScreenOS, un dispositivo NetScreen admite dos epredefinidos. Esto permite al dispositivo NetScreen mantener dos tablas de enrutamienindependientes y ocultar la información de enrutamiento de un enrutador al otro. Por ejutilizar para la comunicación con interlocutores sin confianza, por lo que no contiene inpara las zonas protegidas. La información de enrutamiento de las zonas protegidas se trust-vr. Por lo tanto, no es posible capturar información interna de la red mediante la erutas de untrust-vr.
Cuando hay dos enrutadores virtuales en un dispositivo NetScreen, el tráfico no se reelas zonas que se encuentran en distintos VR, incluso aunque existan directivas que peintercambiar tráfico de datos entre enrutadores virtuales, tendrá que exportar las rutas eruta estática en un VR que defina el otro VR como siguiente salto ("next-hop"). Para mde enrutadores virtuales, consulte el Volumen 6 “Enrutamiento”.
Dominio de en
Reenvío de rutas
Finance
Trust
Eng
Untrust
DMZ
Dominio de enrutamiento trust-vr
Nota: Euna intsegurid
Capítulo 1 Arquitectura de ScreenOS Directivas
6
denegando, todo intento de
s en todos los sentidos6. La tipo de tráfico puede pasar de sible permitir que todo tipo de s sin ninguna restricción en el tipo de tráfico entre un host ado.
e de la zona Trust a la zona Untrust,
MTP desde hacia un e 05:00 a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DIRECTIVASLos dispositivos NetScreen aseguran la red inspeccionando, y luego permitiendo o conexión que necesite pasar de una zona de seguridad a otra.
De forma predeterminada, un dispositivo NetScreen denegará todo el tráfico de datocreación de directivas permite controlar el flujo de tráfico entre zonas definiendo quélos orígenes a los destinos especificados y cuándo. En el nivel más permisivo, es potráfico pase de cualquier origen en una zona a cualquier destino en el resto de zonatiempo. En el nivel más restrictivo, se puede crear una directiva que sólo permita undeterminado en una zona y otro en otra zona durante un periodo de tiempo program
6. Ciertos dispositivos NetScreen se suministran con una directiva predeterminada que permite cualquier tráfico salientpero rechaza todo el tráfico procedente de la zona Untrust y dirigido a la zona Trust.
Acceso a Internet permisivo: cualquier servicio desde cualquier punto de la zona Trust hacia cualquier punto de la zona Untrust en cualquier momento
Acceso a Internet restrictivo: servicio Sun servidor de correo en la zona Trustservidor de correo en la zona Untrust d19:00 horas
Zona Trust
Zona Untrust
Zona Trust
Zona Untrust
Capítulo 1 Arquitectura de ScreenOS Directivas
7
nlazadas a la misma zona, el ita ese tipo de tráfico (consulte r de una zona de seguridad a ita que la zona A envíe tráfico
otra directiva que permita el a otra, debe haber una queo del interior de una zona), ntro de esa misma zona.
irectivas”.
Dominio de enrutamiento untrust-vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces edispositivo NetScreen comprueba si en su lista de directivas existe alguna que perm“Listas de conjuntos de directivas” en la pàgina 311). Para que el tráfico pueda pasaotra (p. ej., de la zona A a la zona B), es necesario configurar una directiva que perma la zona B. Para que el tráfico pueda pasar en sentido inverso, se debe configurar tráfico de la zona B a la zona A. Para que cualquier tipo de tráfico pase de una zonadirectiva que lo permita. Asimismo, cuando está habilitado el bloqueo intrazonal (blodeberá existir una directiva que permita que el tráfico pase de una interfaz a otra de
Nota: Para obtener más información sobre las directivas, consulte el Capítulo 6, “D
Motor dedirectivas
Finance
Trust
Eng
Untrust
DMZNota: Las líneas negras representan el
tráfico entre zonas de seguridad.
Reenvío de rutas
Dominio de enrutamiento trust-vr
Capítulo 1 Arquitectura de ScreenOS Directivas
8
a que configurar directivas e control multicast entre zonas. s multicast, tales como el
directivas multicast solamente o unicast como multicast) entre bre directivas multicast,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si configura el enrutamiento multicast en un dispositivo NetScreen, puede que tengmulticast. De forma predeterminada, los dispositivos NetScreen no permiten tráfico dPor tráfico de control multicast se entienden los mensajes transmitidos por protocolomulticast independiente del protocolo (“Protocol Independent Multicast” o PIM). Lascontrolan el flujo del tráfico de control multicast. Para permitir el tráfico de datos (tantzonas, debe configurar directivas de cortafuegos. (Para obtener más información soconsulte “Directivas multicast” en la pàgina 6 -208).
Capítulo 1 Arquitectura de ScreenOS VPNs
9
ales (VPN). Los dos tipos más
áfico encapsulará el dispositivo pecificado en la ruta. Si la sociada a un túnel VPN, el gestiona por separado la
os, estos túneles estarán na de seguridad y otra.
ina qué tráfico encapsulará el eterminado y se especifique
punto, ya que es posible N basada en directivas resulta
so telefónico probablemente no
figurar una VPN basada en
entidad final), especifique una a. (El interlocutor remoto nlace remota.)
ad7.
el tráfico hacia SF debe utilizar
cualquier zona puede acceder a una
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
VPNSScreenOS dispone de varias opciones para la configuración de redes privadas virtuimportantes son:
• VPN basada en rutas: mediante una consulta de rutas se determina qué trNetScreen. Las directivas permiten o deniegan el tráfico hacia el destino esdirectiva permite el tráfico y la ruta hace referencia a una interfaz de túnel adispositivo NetScreen también encapsulará dicho tráfico. Esta configuraciónaplicación de directivas y la aplicación de túneles VPN. Una vez configuraddisponibles como recursos para asegurar el tráfico que circula entre una zo
• VPN basada en directivas: mediante una consulta de directivas se determdispositivo NetScreen cuando la directiva haga referencia a un túnel VPN d“tunnel” como acción.
Una VPN basada en rutas es la opción adecuada para configuraciones VPN punto aaplicar múltiples directivas al tráfico que pasa a través de un único túnel VPN. La VPadecuada para configuraciones VPN de acceso telefónico, ya que el cliente de accedispone de una dirección IP interna hacia la que establecer una ruta.
En las siguientes instrucciones se muestran los principales pasos a seguir para conrutas:
1. Cuando configure el túnel VPN (p. ej., vpn-to-SF , donde SF es el destino ointerfaz física o una subinterfaz en el dispositivo local como interfaz de saliddeberá utilizar la dirección IP de esta interfaz para configurar su puerta de e
2. Cree una interfaz de túnel (p. ej., tunnel.1 ) y asóciela a una zona de segurid
3. Asocie la interfaz de túnel tunnel.1 al túnel VPN vpn-to-SF .
4. Para dirigir el tráfico a través de este túnel, configure una ruta indicando quetunnel.1 .
7. No es necesario asociar la interfaz de túnel a la misma zona a la que está destinado el tráfico de VPN. El tráfico haciainterfaz de túnel siempre que haya alguna ruta que apunte a esa interfaz.
Capítulo 1 Arquitectura de ScreenOS VPNs
10
ar entradas en la libreta de ctivas para permitir o cia un destino especificado,
s”.
Zona de destino
Paquete entrando
Túnel VPNvpn-to-SF
AN0/24
de enlace terminada:.1.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Llegados a este punto, el túnel está listo para el tráfico dirigido a SF . Ahora puede credirecciones, como “Trust LAN” (10.1.1.0/24) y “SF LAN” (10.2.2.0/24), y configurar direbloquear distintos tipos de tráfico desde un origen especificado, como “Trust LAN”, y hacomo “SF LAN”.
Nota: Para obtener información detallada sobre las VPN, consulte el Volumen 5, “VPN
Tabla de enrutamiento------------------------------------------------
Túnel VPNZona de origen Interfazde túnel
Paquete enviado
Motor dedirectivas
vpn-to-SFtunnel.1
Zona Trusteth3/2–10.1.1.1/24
Para llegar a Utilice10.1.1.0/24 eth3/2
0.0.0.0/0 untrust-vr
SF L10.2.2.
Para llegar a Utilice1.1.1.0/24 eth1/2
10.2.2.0/24 tunnel.10.0.0.0/0 1.1.1.250
Dispositivo
El dispositivo NetScreen local enruta el tráfico desde la zona Trust a “SF LAN”, que se encuentra en la zona Untrust, a través de la interfaz tunnel.1. Como la interfaz tunnel.1 está asociada al túnel VPN “vpn-to-SF”, el dispositivo NetScreen encripta el tráfico y lo envía a través de ese túnel al interlocutor remoto.
Zona UntrustInterfaz de salidaeth1/2, 1.1.1.1/24
Interfaz: tunnel.1
Dominio de enrutamiento untrust-vr
Dominio de enrutamiento trust-vr
Puertaprede
1.1
Capítulo 1 Arquitectura de ScreenOS Sistemas virtuales
11
tema virtual es una subdivisión Los sistemas virtuales se tScreen. La aplicación de cipales: zonas, interfaces y reenOS integra estos
as, interfaces y enrutadores tuales”.
Eng
vsys1
t-vsys2
vsys3
vsys1-vr
vsys2-vr
vsys3-vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SISTEMAS VIRTUALESCiertos dispositivos NetScreen pueden trabajar con sistemas virtuales (vsys). Un sisdel sistema principal que para el usuario aparece como una entidad independiente. encuentran separados del sistema raíz y entre sí dentro de un mismo dispositivo NeScreenOS a los sistemas virtuales implica la coordinación de tres componentes prinenrutadores virtuales. La siguiente ilustración representa conceptualmente cómo Sccomponentes en los niveles raíz y de sistema virtual.
Nota: Para obtener más información sobre sistemas virtuales y la aplicación de zonvirtuales en el contexto de sistemas virtuales, consulte el Volumen 9, “Sistemas vir
vsys1
vsys2
vsys3
sistema raíz
DMZMail
Untrust
Finance
Trust
Trust-
Trus
Trust-
Interfaz física dedicada para
vsys3
Subinterfaz dedicada para
vsys2
Interfaz compartida por vsys1 y raíz
untrust-vr
trust-vr
Nota: El icono del castillo representa una interfaz en una zona de seguridad.
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
12
a a continuación.
y/o c )
tilizar
su as.
8
Crear sesión
Tabla de sesionesid 977 vsys id 0, flag 000040/00, pid -1, did 0, time 18013 (01) 10.10.10.1/1168 -> 211.68.1.2/80, 6, 002be0c0066b, subif 0, tun 0
…
9
Realizar operación
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SECUENCIA DE FLUJO DE PAQUETESEn ScreenOS, la secuencia de flujo de un paquete entrante ocurre según se muestr
4
Si hay tráfico de red, zona de origen = zona de seguridad a la que está asociada la interfaz o subinterfaz.
Si hay tráfico VPN a la interfaz de túnel en una zona de túnel, zona de origen = zona portadora.
Zonade origen
Interfazde entrada
MIP/VIPIP de host
Consultade rutas
Tabla de reenvíos10.10.10.0/24 eth1/10.0.0.0/0 untrust-vr
…
Consulta dedirectivas
Lista de directivassrc dst service action
…
( ) NAT-Dst NAT-Sr(
Interfaz de destino– y –
zona de destino
Permit = reenviar paqueteDeny = descartar paqueteReject = descartar el paquete y enviar TCP RST al origen
Tunnel = utilizar el túnel especificado para la encriptación de VPN
1 5 6 7
Si zona de destino = zona de seguridad, uesa zona para la consulta de directivas.
Si zona de destino = zona del túnel, utilizarzona portadora para la consulta de directiv
Paquete entrante
Zonasde seguridad
Zonadel tunnel
3
Consulta desesiones
Si el paquete no coincide con una sesión existente, lleve a cabo los pasos 4 a 9.
Si lo hace, vaya directamente al paso 9.
Si hay tráfico VPN a la interfaz de túnel asociada al túnel VPN, zona de origen = zona de seguridad donde está configurado el túnel.
2
FiltroSCREEN
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
13
origen a la que está asociada.
guridad a la que la interfaz o
n túnel VPN, la zona de origen l.
una zona de túnel, la zona de respondiente a esa zona de
NetScreen activa el módulo uno de los tres resultados
á configurado para bloquear el e y genera una entrada en el
á configurado para registrar el el evento en la lista de uiente.
o, el dispositivo NetScreen
paquete coincide con una
reen ejecuta “First Packet
ecuta “Fast Processing”, procesar el paquete. El formación que generan ya se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
1. El módulo de interfaz identifica la interfaz entrante y, por lo tanto, la zona de
La determinación de la zona de origen se basa en los criterios siguientes:
– Si el paquete no está encapsulado, la zona de origen es la zona de sesubinterfaz entrante está asociada.
– Si el paquete está encapsulado y la interfaz de túnel está asociada a ues la zona de seguridad en la que está configurada la interfaz de túne
– Si el paquete está encapsulado y la interfaz de túnel se encuentra en origen es la zona portadora (zona de seguridad que porta el túnel) cortúnel.
2. Si hay habilitadas opciones SCREEN para la zona de origen, el dispositivo SCREEN en este momento. La comprobación de SCREEN puede producir siguientes:
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para la interfaz de entrada y procede al paso sig
– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.
3. El módulo de sesiones realiza una consulta de sesión para comprobar si el sesión existente.
Si el paquete no coincide con ninguna sesión existente, el dispositivo NetScProcessing”, un procedimiento que implica los siguientes pasos 4 a 9.
Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejutilizando la información disponible en la entrada de sesiones existente paraprocesamiento rápido (“Fast Processing”) omite los pasos 4 a 8 porque la inobtuvo durante el procesamiento del primer paquete de la sesión.
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
14
ódulo de asignación de miento pueda buscar la
a la dirección de destino. Al ciada esa interfaz.
ra la consulta de directivas. correspondiente para la
al está inhabilitado para esa (paso 8). Si el bloqueo
ctiva entre las direcciones de
egos de NetScreen con el
ete a su destino.uete.
quete y, si el protocolo es TCP, .ete al módulo VPN, que s del túnel VPN.tino (NAT-dst), el módulo NAT a dirección.
interfaz o NAT-src basada en el paquete IP antes de
el dispositivo NetScreen realiza
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Si se utiliza una dirección IP asignada (MIP) o dirección IP virtual (VIP), el mdirecciones resuelve la dirección MIP o VIP de modo que la tabla de enrutadirección real del host.
5. La operación de consulta de la tabla de rutas averigua qué interfaz conducehacerlo, el módulo de interfaz identifica la zona de destino a la que está aso
La determinación de la zona de destino se basa en los criterios siguientes:
– Si la zona de destino es una zona de seguridad, esa zona se utiliza pa– Si la zona de destino es una zona de túnel, se utiliza la zona portadora
consulta de directivas.– Si la zona de destino es igual a la zona de origen y el bloqueo intrazon
zona, el dispositivo NetScreen omite los pasos 6 y 7 y crea una sesiónintrazonal está activado, el dispositivo NetScreen descarta el paquete.
6. El motor de directivas busca en las listas de conjuntos de directivas una direlas zonas de origen y de destino identificadas.
La acción configurada en la directiva determina lo que debe hacer el cortafupaquete:
– Si la acción es permit , el dispositivo NetScreen decide remitir el paqu– Si la acción es deny , el dispositivo NetScreen decide descartar el paq– Si la acción es reject , el dispositivo NetScreen decide descartar el pa
enviar una señal de restablecimiento (RST) a la dirección IP de origen– Si la acción es tunnel , el dispositivo NetScreen decide remitir el paqu
encapsula el paquete y lo transmite utilizando los ajustes especificado7. Si en la directiva está especificado que se traduzcan las direcciones de des
traduce la dirección de destino original del encabezado del paquete IP a otr
Si está especificada la traducción de direcciones de origen (NAT basada endirectivas), el módulo NAT traduce la dirección de origen del encabezado dreenviarlo a su destino o al módulo VPN.
(Si en la misma directiva están especificados tanto NAT-dst como NAT-src, primero NAT-dst y luego NAT-src).
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
15
contiene los resultados de los
NetScreen utiliza la
lección y encriptación del túnel
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
8. El módulo de sesiones crea una nueva entrada en la tabla de sesiones quepasos 1 a 7.Para procesar los paquetes subsiguientes de la misma sesión, el dispositivoinformación mantenida en la entrada de la sesión.
9. El dispositivo NetScreen realiza la operación especificada en la sesión.Algunas operaciones típicas son la traducción de direcciones de origen, la seVPN, la desencriptación y el reenvío de paquetes.
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
16
os de los conceptos expuestos ue las interfaces de cada zona pàgina 18. Aquí se configuran
ance, Eng y Mail. De forma miento trust-vr. Por lo tanto, no argo, además de configurar la nto untrust-vr. Asimismo debe st-vr a untrust-vr8.
Enrutamiento dinámico”.
Dominio de enrutamiento
untrust-vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo (1ª parte): Empresa con seis zonasÉsta es la primera de las cuatro partes de un ejemplo cuya finalidad es aclarar algunen las secciones anteriores. Si desea información sobre esta segunda parte, en la qestán ya establecidas, consulte “Ejemplo (2ª parte): Interfaces para seis zonas” en lalas seis zonas siguientes de una empresa:
Las zonas Trust, Untrust y DMZ están preconfiguradas. Usted definirá las zonas Finpredeterminada, las zonas definidas por el usuario se ubican en el dominio de enrutaes necesario especificar un enrutador virtual para las zonas Finance y Eng. Sin embzona Mail, también deberá especificar que se encuentre en el dominio de enrutamietransferir los enlaces de los enrutadores virtuales de las zonas DMZ y Untrust de tru
• Finance• Trust
• Eng• Mail
• Untrust• DMZ
8. Para obtener más información sobre enrutadores virtuales y sus dominios de enrutamiento, consulte el Volumen 6, “
Finance
Trust
Eng
Untrust
DMZ
Dominio de enrutamiento
trust-vr
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
17
:
:
:
plegable “Virtual Router Name”
egable “Virtual Router Name” y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: Finance
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: Eng
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: Mail
Virtual Router Name: untrust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista desy haga clic en OK .
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista desplhaga clic en OK .
CLI
set zone name financeset zone name engset zone name mailset zone mail vrouter untrust-vrset zone untrust vrouter untrust-vrset zone dmz vrouter untrust-vrsave
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
18
a parte, en la que se configuran na 16. Si desea ver la siguiente arte): Dos dominios de
ciar interfaces a las zonas y
Untrust.1.1.1/24eth1/2
1.3.3.1/24eth1/1
1.4.4.1/24Etiqueta VLAN 2
eth1/1.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo (2ª parte): Interfaces para seis zonasÉsta es la segunda parte de un ejemplo fragmentado. Si desea ver la primerlas zonas, consulte “Ejemplo (1ª parte): Empresa con seis zonas” en la pàgiparte, en la que se configuran enrutadores virtuales, consulte “Ejemplo (3ª penrutamiento” en la pàgina 22. Esta parte del ejemplo demuestra cómo asoconfigurarlas con una dirección IP y diversas opciones de administración.
Finance10.1.2.1/24
Etiqueta VLAN 1eth3/2.1
Trust10.1.1.1/24
eth3/2
Eng10.1.3.1/24
eth3/1
DMZ1.2.2.1/24
eth2/2
1
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
19
tos y haga clic en OK :
e)
, SSH (seleccione)
clic en OK :
e)
tos y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Interfaz ethernet3/2Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes da
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Manageable: (seleccione)
Management Services: WebUI, Telnet, SNMP
Other Services: Ping (seleccione)
2. Interfaz ethernet3/2.1Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga
Interface Name: ethernet3/2.1
Zone Name: Finance
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.2.1/24
VLAN Tag: 1
Other Services: Ping (seleccione)
3. Interfaz ethernet3/1Network > Interfaces > Edit (para ethernet3/1): Introduzca los siguientes da
Zone Name: Eng
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.3.1/24
Other Services: Ping (seleccione)
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
20
tos y haga clic en OK :
e)
clic en OK :
e)
tos y haga clic en OK :
e)
tos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Interfaz ethernet1/1Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes da
Zone Name: Mail
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.3.3.1/24
5. Interfaz ethernet1/1.2Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga
Interface Name: ethernet1/1.2
Zone Name: Mail
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.4.4.1/24
VLAN Tag: 2
6. Interfaz ethernet1/2Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes da
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Manageable: (seleccione)
Management Services: SNMP (seleccione)
7. Interfaz ethernet2/2Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes da
Zone Name: DMZ
Static IP: (seleccione)
IP Address/Netmask: 1.2.2.1/24
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
21
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosCLI
1. Interfaz ethernet3/2set interface ethernet3/2 zone trustset interface ethernet3/2 ip 10.1.1.1/24set interface ethernet3/2 manage pingset interface ethernet3/2 manage webuiset interface ethernet3/2 manage telnetset interface ethernet3/2 manage snmpset interface ethernet3/2 manage ssh
2. Interfaz ethernet3/2.1set interface ethernet3/2.1 tag 1 zone financeset interface ethernet3/2.1 ip 10.1.2.1/24set interface ethernet3/2.1 manage ping
3. Interfaz ethernet3/1set interface ethernet3/1 zone engset interface ethernet3/1 ip 10.1.3.1/24set interface ethernet3/1 manage ping
4. Interfaz ethernet1/1set interface ethernet1/1 zone mailset interface ethernet1/1 ip 1.3.3.1/24
5. Interfaz ethernet1/1.2set interface ethernet1/1.2 tag 2 zone mailset interface ethernet1/1.2 ip 1.4.4.1/24
6. Interfaz ethernet1/2set interface ethernet1/2 zone untrustset interface ethernet1/2 ip 1.1.1.1/24set interface ethernet1/2 manage snmp
7. Interfaz ethernet2/2set interface ethernet2/2 zone dmzset interface ethernet2/2 ip 1.2.2.1/24save
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
22
n la que se definen las rfaces para seis zonas” en la nsulte “Ejemplo (4ª parte):
a puerta de enlace sitivo NetScreen al generar las
Untrust1.1.1.1/24
eth1/2, ruta
Z.1/24, ruta
1.1.1.254
AInternet
Dominio de enrutamiento
untrust-vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo (3ª parte): Dos dominios de enrutamientoÉsta es la tercera parte de un ejemplo fragmentado. Si desea ver la parte anterior, einterfaces para las diferentes zonas de seguridad, consulte “Ejemplo (2ª parte): Intepàgina 18. Si desea ver la parte siguiente, en la que se establecen las directivas, coDirectivas” en la pàgina 25. En este ejemplo solamente se configura una ruta para lpredeterminada a Internet. Las otras rutas son creadas automáticamente por el dispodirecciones IP de las interfaces.
Finance10.1.2.1/24
etiqueta VLAN 1eth3/2.1, NAT
Trust10.1.1.1/24eth3/2, NAT
Eng10.1.3.1/24eth3/1, NAT
DM1.2.2
eth2/2
1.3.3.1/24eth1/1, ruta
1.4.4.1/24Etiqueta VLAN 2
eth1/1.2, ruta
Reenvío de rutas
Dominio de enrutamiento
trust-vrMail
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
23
es datos y haga clic en OK :
untrust-vr
ntes datos y haga clic en OK :
gateway 1.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUINetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione);
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 1.1.1.254
CLIset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 save
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
24
ro):
Nota: Éstas son las únicas entradas configuradas por el usuario.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El dispositivo NetScreen crea automáticamente las rutas siguientes (en neg
trust-vrPara llegar a: Utilizar interfaz: Utilizar puerta de
enlace/Vrouter:0.0.0.0/0 n/a untrust-vr
10.1.3.0/24 eth3/1 0.0.0.0
10.1.1.0/24 eth3/2 0.0.0.0
10.1.2.0/24 eth3/2.1 0.0.0.0
untrust-vrPara llegar a: Utilizar interfaz: Utilizar puerta de
enlace/Vrouter:1.2.2.0/24 eth2/2 0.0.0.0
1.1.1.0/24 eth1/2 0.0.0.0
1.4.4.0/24 eth1/1.2 0.0.0.0
1.3.3.0/24 eth1/1 0.0.0.0
0.0.0.0/0 eth1/2 1.1.1.254
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
25
ª parte): Dos dominios de ar nuevas directivas.
es necesario crear nuevos
dirección Any para todos los
Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo (4ª parte): DirectivasÉsta es la última parte de un ejemplo fragmentado. La parte anterior es “Ejemplo (3enrutamiento” en la pàgina 22. En esta parte del ejemplo se muestra cómo configur
Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas grupos de servicios.
Nota: Cuando se crea una zona, el dispositivo NetScreen crea automáticamente lahosts existentes en esa zona. Este ejemplo utiliza la dirección Any para los hosts.
Finance
Trust
Eng DMZ
Motor dedirectivas
Reenvío de rutas
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
26
clic en OK :
ver el servicio de la columna embers”.
over el servicio de la columna embers”.
clic en OK :
over el servicio de la columna embers”.
mover el servicio de la “Group Members”.
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Grupos de serviciosObjects > Services > Groups > New: Introduzca los siguientes datos y haga
Group Name: Mail-Pop3
Seleccione Mail y utilice el botón << para mo“Available Members” a la columna “Group M
Seleccione Pop3 y utilice el botón << para m“Available Members” a la columna “Group M
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
Group Name: HTTP-FTPGet
Seleccione HTTP y utilice el botón << para m“Available Members” a la columna “Group M
Seleccione FTP-Get y utilice el botón << paracolumna “Available Members” a la columna
2. DirectivasPolicies > (From: Finance, To: Mail) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
27
ga clic en OK :
a clic en OK :
aga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: Mail) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policies > (From: Eng, To: Mail) New: Introduzca los siguientes datos y hag
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policies > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y h
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail
Action: Permit
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
28
s y haga clic en OK :
haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Finance, To: Untrust) New: Introduzca los siguientes dato
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
29
ga clic en OK :
a clic en OK :
a clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hag
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hag
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP-Put
Action: Permit
Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes
30
haga clic en OK :
ermittmit
t
t
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
CLI
1. Grupos de serviciosset group service mail-pop3 add mailset group service mail-pop3 add pop3set group service http-ftpget add httpset group service http-ftpget add ftp-get
2. Directivasset policy from finance to mail any any mail-pop3 permitset policy from trust to mail any any mail-pop3 permitset policy from eng to mail any any mail-pop3 permitset policy from untrust to mail any any mail permitset policy from finance to untrust any any http-ftpget pset policy from finance to dmz any any http-ftpget permiset policy from trust to untrust any any http-ftpget perset policy from trust to dmz any any http-ftpget permitset policy from eng to untrust any any http-ftpget permiset policy from eng to dmz any any http-ftpget permitset policy from eng to dmz any any ftp-put permitset policy from untrust to dmz any any http-ftpget permisave
2
31
Capítulo 2
seguridad (zona de seguridad), una entidad física o lógica que e los tipos de zonas, poniendo ntes:
9
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel), orealiza una función específica (zona de función). Este capítulo examina cada uno dun especial énfasis en la zona de seguridad, y se compone de las secciones siguie
• “Zonas de seguridad” en la pàgina 34
– “Zona Global” en la pàgina 34
– “Opciones SCREEN” en la pàgina 34
• “Zonas de túnel” en la pàgina 35
• “Configuración de zonas de seguridad y zonas de túnel” en la pàgina 37
– “Creación de una zona” en la pàgina 37
– “Modificación de una zona” en la pàgina 38
– “Eliminación de una zona” en la pàgina 39
• “Zonas de función” en la pàgina 40
– “Zona Null” en la pàgina 40
– “Zona MGT” en la pàgina 40
– “Zona HA” en la pàgina 40
– “Zona Self” en la pàgina 40
– “Zona VLAN” en la pàgina 40
• “Modos de puerto” en la pàgina 41
– “Establecimiento de los modos de puertos” en la pàgina 47
– “Zonas en los modos “Home-Work” y “Combined Port”” en la pàgina 4
Capítulo 2 Zonas
32
as preconfiguradas. En WebUI, ice el comando get zone.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
La primera vez que se inicia un dispositivo NetScreen puede verse una serie de zonhaga clic en Network > Zones en la columna de menús de la izquierda. En CLI, util
Capítulo 2 Zonas
33
ntes:
DMZ
Estas zonas proporcionan compatibilidad con versiones anteriores al actualizar de una versión anterior a ScreenOS 3.1.0. Las 3 superiores para dispositivos en modo NAT o Route, los 3 inferiores para dispositivos en modo transparente.
os sistemas raíz y virtual omparten estas zonas.
stas zonas ni tienen ni ueden tener una interfaz.
VPN están ora es la zona tentes se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Resultado del comando get zone :
Las zonas preconfiguradas mostradas arriba se pueden agrupar en tres tipos difere
Zonas de seguridad: Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-
Zona de túnel: Untrust-Tun
Zonas de función: Null, Self, MGT, HA, VLAN
Lc
Ep
De forma predeterminada, las interfaces de túnel asociadas a la zona Untrust-Tun, cuya zona portadUntrust. (Durante la actualización, los túneles exisasocian a la zona Untrust-Tun).
Los números de identificación de zona 7 a 9 y 15 están reservados para uso futuro.
ns500-> get zoneTotal of 13 zones in vsys root------------------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS0 Null Null Shared untrust-vr null Root1 Untrust Sec(L3) Shared trust-vr ethernet1/2 Root2 Trust Sec(L3) trust-vr ethernet3/2 Root3 DMZ Sec(L3) trust-vr ethernet2/2 Root4 Self Func trust-vr self Root5 MGT Func trust-vr mgt Root6 HA Func trust-vr ha1 Root10 Global Sec(L3) trust-vr null Root11 V1-Untrust Sec(L2) trust-vr v1-untrust Root12 V1-Trust Sec(L2) trust-vr v1-trust Root13 V1-DMZ Sec(L2) trust-vr v1-dmz Root14 VLAN Func trust-vr vlan1 Root16 Untrust-Tun Tun trust-vr null Root------------------------------------------------------------------------
Capítulo 2 Zonas Zonas de seguridad
34
ividiendo la red en segmentos sidades de cada segmento.
un área de la red de la otra. En o que refina aún más la últiples dispositivos de
e puede hacer referencia a ella ento del que sí disponen las namiento de direcciones IP zona Global puede aplicarse a a zona Global. Dado que el quiere una interfaz para que el
es. Para obtener más a 310).
denegando, todo intento de guridad y zona MGT, puede diversos tipos de tráfico que el ormación sobre el gran número n de ataques y defensa”.
itir NAT ni asignación de tráfico.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ZONAS DE SEGURIDADEn un solo dispositivo NetScreen se pueden configurar varias zonas de seguridad, da los que se pueden aplicar diversas opciones de seguridad para satisfacer las neceDeben definirse como mínimo dos zonas de seguridad, básicamente para proteger algunas plataformas de NetScreen se pueden definir muchas zonas de seguridad, lgranularidad del diseño de seguridad de la red, evitando la necesidad de distribuir mseguridad para conseguir el mismo fin.
Zona GlobalPuede identificar una zona de seguridad porque tiene una libreta de direcciones y sen directivas. La zona Global satisface estos criterios. Sin embargo, le falta un elemdemás zonas de seguridad: una interfaz. La zona Global sirve como área de almaceasignadas (MIP) y direcciones IP virtuales (VIP). La dirección predefinida “Any” de latodas las MIPs, VIPs y a otras direcciones definidas por el usuario establecidas en ltráfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no retráfico fluya a través de ella.
La zona Global también contiene direcciones para su utilización en directivas globalinformación acerca de directivas globales, consulte “Directivas globales” en la pàgin
Opciones SCREENUn cortafuegos NetScreen asegura una red inspeccionando, y luego permitiendo o conexión que necesite pasar de una zona de seguridad a otra. Por cada zona de sehabilitar un conjunto de opciones SCREEN predefinidas que detecten y bloqueen losdispositivo NetScreen identifica como potencialmente dañinos. Para obtener más infde opciones SCREEN disponible, consulte el Volumen 4, “Mecanismos de detecció
Nota: Cualquier directiva que utilice la zona Global como su destino no puede adm
Capítulo 2 Zonas Zonas de túnel
35
Las zonas de túnel están s zonas de seguridad que
cionan protección de encapsulado de paquetes, y rfaces de túnel con ) y dinámicas (DIP).
ra dirigir el tráfico al punto trust. Puede crear otras e túnel por zona portadora y
nto trust-vr, pero también
es se asocian de forma ona de seguridad seguridad; sin embargo, no
pia zona Untrust-Tun separada.
la
s de la interfaz de la zona de seguridad.nel, y sale a través de la interfaz de túnel.
rfaz de la zona de seguridad que ne la zona de túnel proporciona la ción de cortafuegos para el tráfico sulado.
Túnel VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ZONAS DE TÚNELUna zona de túnel es un segmento lógico que contiene al menos una interfaz de túnel.conceptualmente relacionadas con zonas de seguridad en una relación “padre-hijo”. Laactúan como “padre”, que también pueden imaginarse como zonas portadoras, proporcortafuegos al tráfico encapsulado. La zona de túnel proporciona el encapsulado y destambién puede proporcionar servicios NAT basados en directivas, ya que admiten intedirecciones IP y máscaras de red que pueden contener direcciones IP asignadas (MIP
El dispositivo NetScreen utiliza la información de enrutamiento de la zona portadora pafinal del túnel. La zona de túnel predeterminada es Untrust-Tun, asociada a la zona Unzonas de túnel y asociarlas a otras zonas de seguridad, con un máximo de una zona dpor sistema virtual1.
De forma predeterminada, una zona de túnel se encuentra en el dominio de enrutamiepuede mover una zona de túnel a otro dominio de enrutamiento.
Al actualizar una versión de ScreenOS anterior a 3.1.0, las interfaces de túnel existentpredeterminada a la zona de túnel preconfigurada Untrust-Tun, que es un “hijo” de la zpreconfigurada de Untrust. Puede asociar múltiples zonas de túnel a la misma zona depuede enlazar una zona de túnel a otra zona de túnel.
1. El sistema raíz y todos los sistemas virtuales pueden compartir la zona Untrust. Sin embargo, cada sistema tiene su pro
Zona de túnel
Zona de seguridad
Interfaz de túnel Interfaz de
zona de seguridad
El tráfico saliente penetra en la zona de túnel a través de la interfaz de túnel, es encapsulado y sale a travéEl tráfico entrante accede a través de la interfaz de la zona de seguridad, es desencapsulado en la zona de tú
La intecontieprotecencap
Tráfico hacia o desde un túnel VPN
La interfaz de túnel, que cuando está asociada a una zona de túnel debe tener una dirección IP y una máscara de red, admite NAT basada en directivas para el tráfico VPN pre-encapsulado y post-desencapsulado.
Capítulo 2 Zonas Zonas de túnel
36
na Untrust-Tun y le asignará la unnel.3, traduciendo 3.3.3.5 a que es la zona portadora de la
ga clic en OK :
ientes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Asociar una interfaz de túnel a una zona de túnelEn este ejemplo creará una interfaz de túnel y la llamará tunnel.3. La asociará a la zodirección IP 3.3.3.3/24. Seguidamente definirá una dirección IP asignada (MIP) en t10.1.1.5, que es la dirección de un servidor en la zona Trust. Tanto la zona Untrust,zona Untrust-Tun, como la zona Trust están en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaz de túnelNetwork > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.3
Zone (VR): Untrust-Tun (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 3.3.3.3/24
2. MIPNetwork > Interfaces > Edit (para tunnel.3) > MIP > New: Introduzca los sigu
Mapped IP: 3.3.3.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
CLI
1. Interfaz de túnelset interface tunnel.3 zone Untrust-Tunset interface tunnel.3 ip 3.3.3.3/24
2. MIPset interface tunnel.3 mip 3.3.3.5 host 10.1.1.5save
Capítulo 2 Zonas Configuración de zonas de seguridad y zonas de túnel
37
pa 3 o capa 2 son
de túnel, utilice WebUI o CLI:
irtual en cuyo dominio de
zona a la que podrá asociar ne Layer 2 para crear una do transparente. Seleccione túnel y la asocie a una zona dora específica en la lista
para bloquear el tráfico entre a predeterminada, los
efinida, aunque sí se pueden
t”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CONFIGURACIÓN DE ZONAS DE SEGURIDAD Y ZONAS DE TÚNELLa creación, modificación y eliminación de zonas de seguridad y zonas de túnel de caprocedimientos bastante similares.
Creación de una zonaPara crear zonas de seguridad de capa 3 (“Layer 3”) o capa 2 (“Layer 2”), o una zona
WebUINetwork > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: Escriba un nombre para la zona2.
Virtual Router Name: Seleccione el enrutador venrutamiento desea ubicar la zona.
Zone Type: Seleccione Layer 3 para crear unainterfaces en el modo NAT o Route. Selecciozona a la que pueda asociar interfaces en mo Tunnel Out Zone cuando cree una zona de portadora, y luego seleccione una zona portadesplegable.
Block Intra-Zone Traffic: Seleccione esta opciónhosts de la misma zona de seguridad. De formbloqueos intrazonales están inhabilitados.
Nota:No se pueden eliminar zonas de seguridad predefinidas ni la zona de túnel prededitar.
2. El nombre de una zona de seguridad de capa 2 (“Layer 2”) debe comenzar con “L2-”; por ejemplo, “L2-Corp” o “L2-XNe
Capítulo 2 Zonas Configuración de zonas de seguridad y zonas de túnel
38
zona portadora de una zona de cambiar la opción de
túnel cuyo nombre desea
ga clic en OK .
uientes datos y haga clic en
eccione el enrutador virtual a zona.
casilla de verificación. Para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set zone name zone [ l2 vlan_id_num3 | tunnel sec_zone ]set zone zone blockset zone zone vrouter name_str
Modificación de una zonaPara modificar el nombre de una zona de seguridad o zona de túnel, o para cambiar la de túnel, primero debe eliminar la zona4 y luego crearla de nuevo con los cambios. Puebloqueo intrazonal y el enrutador5 virtual en una zona existente.
WebUI
1. Modificación del nombre de una zonaNetwork > Zones: Haga clic en Remove (para la zona de seguridad o zona decambiar, o para la zona de túnel cuya zona portadora desea cambiar).
Cuando aparezca la confirmación para eliminar, haga clic en Yes .
Network > Zones > New: Introduzca los ajustes de zona con sus cambios y ha
2. Cambio de la opción de bloqueo intrazonal o el enrutador virtualNetwork > Zones > Edit (para las zonas que desea modificar): Introduzca los sig OK :
Virtual Router Name: En la lista desplegable, selcuyo dominio de enrutamiento desea mover la
Block Intra-Zone Traffic: Para habilitar, active la desactivar la opción, desactive la casilla.
3. Al crear una zona de seguridad de capa 2 (“Layer 2”), el número de identificación VLAN-ID debe ser 1 (para VLAN1).
4. Antes de poder eliminar una zona, primero debe desasociar todas las interfaces asociadas a ella.
5. Antes de cambiar el enrutador virtual de una zona, debe eliminar cualquier interfaz asociada a la misma.
Capítulo 2 Zonas Configuración de zonas de seguridad y zonas de túnel
39
ientes procedimientos6:
na interfaz de una zona, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Modificación del nombre de una zonaunset zone zoneset zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
2. Cambio de la opción de bloqueo intrazonal o el enrutador virtual{ set | unset } zone zone blockset zone zone vrouter name_str
Eliminación de una zonaPara eliminar una zona de seguridad o zona de túnel, ejecute cualquiera de los sigu
WebUI
Network > Zones: Haga clic en Remove (para la zona que desee eliminar).
Cuando aparezca la confirmación para eliminar, haga clic en Yes .
CLI
unset zone zone
6. Antes de poder eliminar una zona, primero debe desasociar todas las interfaces asociadas a ella. Para desasociar u“Asociación de una interfaz a una zona de seguridad” en la pàgina 66.
Capítulo 2 Zonas Zonas de función
40
un solo propósito, según se
asociada a ninguna otra zona.
tablecer opciones de tipos de ataques. Para obtener os de detección de ataques y
configurar interfaces para la
do usted se conecta al
terminar el tráfico VPN cuando rtafuegos en esta zona para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ZONAS DE FUNCIÓNLas cinco zonas de función son Null, MGT, HA, Self y VLAN. Cada zona existe con explica más abajo.
Zona NullEsta zona sirve como almacenamiento temporal para cualquier interfaz que no esté
Zona MGTEsta zona contiene la interfaz de administración de fuera de banda, MGT. Puede escortafuegos en esta zona para proteger la interfaz de administración contra diversosmás información sobre opciones de cortafuegos, consulte el Volumen 4, “Mecanismdefensa”.
Zona HAEsta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puedezona HA, la zona propiamente dicha no es configurable.
Zona SelfEsta zona contiene la interfaz para las conexiones de administración remotas. Cuandispositivo NetScreen a través de HTTP, SCS o Telnet, se conecta a la zona Self.
Zona VLANEsta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo yel dispositivo está en modo transparente. También puede establecer opciones de coproteger la interfaz VLAN1 de diversos ataques.
Capítulo 2 Zonas Modos de puerto
41
o de puerto establece spositivo. En los dispositivos puertos:
roporciona las siguientes
la zona de seguridad Untrust
o interfaz de respaldo a la
a de seguridad Trust
en. Para hacer referencia a un puerto e puede configurar con WebUI o CLI.
stente en el dispositivo
ligeramente diferente en el
Zona Trust
Interfaz Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MODOS DE PUERTOPuede seleccionar un modo de puerto para algunos dispositivos NetScreen. El modautomáticamente diversas asociaciones de puertos, interfaces y de zona7 para el diNetScreen-5XT y NetScreen-5GT puede configurar uno de los siguientes modos de
• El modo “Trust-Untrust” es el modo de puerto predeterminado. Este modo pasociaciones de puerto, interfaz y zona:
– Asocia el puerto “Untrusted Ethernet” a la interfaz Untrust, asociada a
– Asocia el puerto “Modem” a la interfaz serie, que se puede asociar comzona de seguridad Untrust
– Asocia los puertos Ethernet 1 a 4 a la interfaz Trust, asociada a la zon
7. En el contexto de modos de puertos, puerto se refiere a una interfaz física en la parte posterior del dispositivo NetScrese utiliza su etiqueta: “Untrusted”, “1-4”, “Console” o “Modem”. El término interfaz se refiere a una interfaz lógica que sCada puerto se puede asociar a una sola interfaz, pero a una interfaz se le pueden asociar múltiples puertos.
Advertencia: Al cambiar el modo de puertos, se elimina cualquier configuración exiNetScreen y es necesario reiniciar el sistema.
Nota: El asistente de configuración inicial (“Initial Configuration Wizard”) esdispositivo NetScreen-5GT.
Zona Untrust
La interfaz Untrust es la principal para la zona Untrust. Puede asociar la interfaz serie (mostrada en gris) como interfaz de respaldo a la zona Untrust.
InterfazUntrust
Capítulo 2 Zonas Modos de puerto
42
las nuevas zonas de seguridad recursos en cada zona. En este es entre las zonas “Work” y rma predeterminada, no hay odo proporciona las siguientes
zona de seguridad Work
zona de seguridad Home
la zona de seguridad Untrust
o interfaz de respaldo a la
e-Work, consulte “Zonas en los
Zona Work
ethernet1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• El modo “Home-Work” asocia interfaces a la zona de seguridad Untrust y a “Home” y “Work”. Las zonas “Work” y “Home” permiten segregar usuarios y modo, las directivas predeterminadas permiten el flujo de tráfico y conexion“Home”, pero no permiten tráfico de la zona “Home” a la zona “Work”. De foninguna restricción para el tráfico de la zona Home a la zona Untrust. Este masociaciones de puerto, interfaz y zona:
– Asocia los puertos Ethernet 1 y 2 a la interfaz ethernet1, asociada a la
– Asocia los puertos Ethernet 3 y 4 a la interfaz ethernet2, asociada a la
– Asocia el puerto Untrusted Ethernet a la interfaz ethernet3, asociada a
– Asocia el puerto “Modem” a la interfaz serie, que se puede asociar comzona de seguridad Untrust
Para obtener más información sobre cómo configurar y utilizar el modo Hommodos “Home-Work” y “Combined Port”” en la pàgina 49.
Zona Untrust Zona Home
ethernet2
La interfaz ethernet3 es la interfaz principal para la zona Untrust. Puede asociar la interfaz serie (mostrada en gris) como interfaz de respaldo a la zona Untrust. ethernet3
Capítulo 2 Zonas Modos de puerto
43
o, a la zona de seguridad zona Untrust, mientras que la ste modo proporciona las
la zona de seguridad Untrust
terfaz de respaldo a la zona de zona de seguridad Untrust)
a a la zona de seguridad Trust
l Untrust, consulte el
st.
a Trust
ethernet1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• El modo “Dual Untrust” asocia dos interfaces, una principal y una de respaldUntrust. La interfaz principal se utiliza para entregar tráfico hacia y desde lainterfaz de respaldo se utiliza solamente cuando falla la interfaz principal. Esiguientes asociaciones de puerto, interfaz y zona:
– Asocia el puerto Untrusted Ethernet a la interfaz ethernet3, asociada a
– Asocia el puerto 4 de Ethernet a la interfaz ethernet2, asociada como inseguridad Untrust (la interfaz ethernet3 es la interfaz principal para la
– Asocia los puertos 1, 2 y 3 de Ethernet a la interfaz ethernet1, asociad
Para obtener más información sobre cómo configurar y utilizar el modo DuaVolumen 10, “Alta disponibilidad”.
Nota: La interfaz serie no está disponible en el modo de puerto Dual Untru
Zona Untrust Zon
La interfaz ethernet3 es la interfaz principal para la zona Untrust. La interfaz ethernet2 (mostrada en gris) es una interfaz de respaldo para la zona Untrust. ethernet2ethernet3
Capítulo 2 Zonas Modos de puerto
44
a Internet como la segregación
a:
la zona Untrust.
interfaz de respaldo a la zona idad Untrust).
zona Home.
na Work.
uerto combinado, consulte el ombined Port”” en la pàgina 49.
ólo funciona en la plataforma puede configurar con el sólo se puede configurar
Zona Work
et2 ethernet1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• El modo “Combined Port” permite tanto interfaces principales y de respaldo de usuarios y recursos en las zonas Work y Home.
Este modo proporciona las siguientes asociaciones de puerto, interfaz y zon
– Asocia el puerto Untrusted Ethernet a la interfaz ethernet4, asociada a
– Asocia el puerto 4 de Ethernet a la interfaz ethernet3, asociada como Untrust (la interfaz ethernet4 es la interfaz principal a la zona de segur
– Asocia los puertos Ethernet 3 y 2 a la interfaz ethernet2, asociada a la
– Asocia el puerto 1 de Ethernet a la interfaz ethernet1, asociada a la zo
Para obtener más información sobre cómo configurar y utilizar el modo de pVolumen 10, “Alta disponibilidad” y “Zonas en los modos “Home-Work” y “C
Nota: Para el dispositivo NetScreen-5XT, el modo de puerto “Combined” sNetScreen-5XT Elite (usuarios sin restricción). El modo “Combined” no se asistente de configuración inicial (“Initial Configuration Wizard”). Este modomediante WebUI o con los comandos de CLI.
Nota: La interfaz serie no está disponible en el modo “Combined Port”.
Zona Untrust Zona Home
ethern
La interfaz ethernet4 es la interfaz principal para la zona Untrust.La interfaz ethernet3 (mostrada en gris) es la interfaz de respaldo a la zona Untrust. ethernet4 ethernet3
Capítulo 2 Zonas Modos de puerto
45
guridad Untrust, Trust y DMZ, o electrónico y otros servidores
a:
zona de seguridad Trust
zona de seguridad DMZ
la zona de seguridad Untrust
o interfaz de respaldo a la
forma NetScreen-5GT l asistente de configuración
ediante WebUI o con los
Zona Trust
ethernet1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• El modo Trust/Untrust/DMZ (extendido) asocia interfaces a las zonas de sepermitiendo segregar de la red interna los servidores internos de web, correde aplicaciones.
Este modo proporciona las siguientes asociaciones de puerto, interfaz y zon
– Asocia los puertos Ethernet 1 y 2 a la interfaz ethernet1, asociada a la
– Asocia los puertos Ethernet 3 y 4 a la interfaz ethernet2, asociada a la
– Asocia el puerto Untrusted Ethernet a la interfaz ethernet3, asociada a
– Asocia el puerto “Modem” a la interfaz serie, que se puede asociar comzona de seguridad Untrust
Nota: El modo de puerto Trust/Untrust/DMZ solamente funciona en la plataExtended. El modo combinado (“Combined”) no se puede configurar con einicial (“Initial Configuration Wizard”). Este modo sólo se puede configurar mcomandos de CLI.
Zona Untrust Zona DMZ
ethernet2
La interfaz ethernet3 es la interfaz principal para la zona Untrust. Puede asociar la interfaz serie como interfaz de respaldo a la zona Untrust.
ethernet3
Capítulo 2 Zonas Modos de puerto
46
ust, Trust y DMZ, permitiendo
a:
zona de seguridad Trust
de seguridad DMZ
de seguridad Untrust
zona de seguridad Untrust
orma NetScreen-5GT Extended
Untrust. Para nte, utilice el
Zona Trust
ethernet1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• El modo DMZ/Dual Untrust asocia interfaces a las zonas de seguridad Untrentregar tráfico simultáneamente desde la red interna.
Este modo proporciona las siguientes asociaciones de puerto, interfaz y zon
– Asocia los puertos Ethernet 1 y 2 a la interfaz ethernet1, asociada a la
– Asocia el puerto Ethernet 3 a la interfaz ethernet2, asociada a la zona
– Asocia el puerto Ethernet 4 a la interfaz ethernet3, asociada a la zona
– Asocia el puerto Ethernet Untrust a la interfaz ethernet4, asociada a la
Nota: El modo de puerto DMZ/Dual Untrust solamente funciona en la plataf(extendido).
Nota: La interfaz serie no está disponible en el modo de puerto DMZ/Dualhabilitar la conmutación por fallo, en lugar de entregar tráfico simultáneamecomando set failover enable .
Zona Untrust Zona DMZ
Las interfaces ethernet3 y ethernet4 están activas simultáneamente. En este diagrama, las dos interfaces están asociadas a la zona Untrust para permitir equilibrar las cargas.
ethernet2ethernet4 ethernet3
Capítulo 2 Zonas Modos de puerto
47
ionados por los modos de
st
onatrust
ust
ust
ust
trust
D
/Dual tonantrust
rust
rust
MZ
ntrust
/D
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Establecimiento de los modos de puertosLa tabla siguiente resume el puerto, la interfaz y las asociaciones de zonas proporcpuertos de NetScreen ScreenOS:
Puerto*
* Según la etiqueta adherida a los chasis del dispositivo NetScreen.
Modo Trust-Untrust†
† Modo de puerto predeterminado
Modo Home-Work
Modo Dual Untru
Interfaz Zona Interfaz Zona Interfaz ZUntrusted Untrust Untrust ethernet3 Untrust ethernet3 Un
1 Trust Trust ethernet1 Work ethernet1 Tr
2 Trust Trust ethernet1 Work ethernet1 Tr
3 Trust Trust ethernet2 Home ethernet1 Tr
4 Trust Trust ethernet2 Home ethernet2 Un
Modem serie Null serie Null N/D N/
Puerto*
* Según la etiqueta adherida a los chasis del dispositivo NetScreen.
Modo combinado Modo Trust/Untrust/DMZ
Modo DMZUntrus
Interfaz Zona Interfaz Zona Interfaz ZUntrusted ethernet4 Untrust ethernet3 Untrust ethernet4 U
1 ethernet1 Work ethernet1 Trust ethernet1 T
2 ethernet2 Home ethernet1 Trust ethernet1 T
3 ethernet2 Home ethernet2 DMZ ethernet2 D
4 ethernet3 Untrust ethernet2 DMZ ethernet3 U
Modem N/D N/D serie Null N/D N
Capítulo 2 Zonas Modos de puerto
48
WebUI o CLI. Antes de
n el dispositivo NetScreen y es
el dispositivo NetScreen. Por rminado Trust-Untrust, ejecutar el dispositivo en el modo
ome-Work.
desplegable y haga clic en
ice, continue?
onfiguration and reboot box
spositivo NetScreen y requiere
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El ajuste del modo de puerto del dispositivo NetScreen se puede modificar medianteestablecer el modo de puerto, observe lo siguiente:
• Al cambiar el modo de puerto, se elimina cualquier configuración existente enecesario reiniciar el sistema.
• Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto dejemplo, si desea cambiar el modo de puerto de Combined al modo predeteel comando unset all eliminará la configuración existente, pero no pondrá Trust-Untrust.
Ejemplo: Modo de puerto Home-WorkEn este ejemplo establecerá el modo de puerto del dispositivo NetScreen-5XT en H
WebUI
Configuration > Port Mode > Port Mode: Seleccione “Home-Work” en la lista Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK :
Operational mode change will erase current configuration and reset the dev
CLI
exec port-mode home-work
Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa) :
Change port mode from <trust-untrust> to <home-work> will erase system c
Are you sure y/[n] ?
Nota: Cambiar el modo de puerto elimina cualquier configuración existente en el direiniciar el sistema.
Capítulo 2 Zonas Modos de puerto
49
y las redes domésticas o por miembros de sus familias or el que se introducen orativos, como servidores y
a las zonas especiales Work y sticos, permitiendo al mismo st.
àgina 41.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para ver el modo de puerto actual en el dispositivo NetScreen:
WebUI
Configuration > Port Mode
CLI
get system
Zonas en los modos “Home-Work” y “Combined Port”Pueden presentarse conflictos de seguridad cuando el teletrabajo de los empleadosempiecen a popularizarse. La red doméstica utilizada tanto por teletrabajadores compuede convertirse en un peligroso agujero de seguridad para una red corporativa, pamenazas (como los gusanos o “worms”) y se permite el acceso a los recursos corpredes, a terceros ajenos a la empresa.
Los modos de puertos8 Home-Work y Combined asocian las interfaces de ScreenOSHome. Esto permite la segregación de usuarios y recursos corporativos de los dométiempo que los usuarios de las zonas Home y Work puedan acceder a la zona Untru
8. Sólo se pueden establecer modos de puertos en ciertos dispositivos NetScreen. Consulte “Modos de puerto” en la p
Capítulo 2 Zonas Modos de puerto
50
, que se puede asociar como sobre cómo utilizar la interfaz 10, “Alta disponibilidad”.
et 4 a la zona no fiable para tiliza cuando se produce algún mo utilizar la interfaz ethernet3
“Alta disponibilidad”.
l protocolo de configuración recciones IP dinámicas a los CP, consulte “Servidor DHCP”
Work
Zona Work
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El modo de puerto Home-Work también asocia el puerto Modem a una interfaz serieinterfaz de respaldo a la zona de seguridad Untrust. Para obtener más información serie como interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen
El modo de puertos combinados (“Combined Port”) también asocia el puerto Ethernsalvaguardar el puerto de seguridad Untrust. La interfaz de respaldo solamente se ufallo en la interfaz principal a la zona Untrust. Para obtener más información sobre cócomo interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen 10,
De forma predeterminada, el dispositivo NetScreen-5XT actúa como un servidor dedinámica de hosts (“Dynamic Host Configuration Protocol” o “DHCP”), asignando diclientes DHCP en la zona Work. (Para obtener más información sobre el servidor DHen la pàgina 390).
Zona Untrust Zona Home Zona
Home-Work
Zona Untrust Zona Home
Combined
Capítulo 2 Zonas Modos de puerto
51
UI solamente desde la zona uede utilizar ningún servicio de ección IP predeterminada de la
ombined proporcionan el
no se puede eliminar)
a zona Home a la zona Untrust inadas que permiten todo el
y desde la zona Work a la zona ir tráfico desde la zona Home a
to Home-Work. A continuación a la zona Untrust y para
a la zona Untrust. En este e origen a cualquier dirección
en el dispositivo NetScreen y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Puede configurar el dispositivo NetScreen utilizando una conexión de Telnet o WebWork. El dispositivo NetScreen no se puede configurar desde la zona Home. No se padministración, incluyendo el comando “ping”, en la interfaz de la zona Home. La dirinterfaz de la zona Work (ethernet1) es 192.168.1.1/24.
Las directivas predeterminadas en los modos de puertos del Home-Work y modo Csiguiente control del tráfico entre zonas:
• Permitir todo el tráfico desde la zona Work a la zona Untrust.
• Permitir todo el tráfico desde la zona Home a la zona Untrust.
• Permitir todo el tráfico desde la zona Work a la zona Home.
• Bloquear todo el tráfico desde la zona Home a la zona Work (esta directiva
Puede crear nuevas directivas para el tráfico de la zona Work a la zona Untrust, de ly de la zona Work a la zona Home. También puede eliminar las directivas predetermtráfico desde la zona Work a la zona Untrust, desde la zona Home a la zona Untrust Home. Tenga en cuenta, sin embargo, que no puede crear una directiva para permitla zona Work.
Ejemplo: Zonas Home-WorkEn este ejemplo, primero pondrá un dispositivo NetScreen-5XT en el modo de puerconfigurará una directiva para permitir solamente el tráfico FTP desde la zona Homeeliminar la directiva predeterminada que permite todo el tráfico desde la zona Homeejemplo, la directiva predeterminada, que permite tráfico desde cualquier dirección dde destino para cualquier servicio, tiene la identificación 2.
Advertencia: Cambiar el modo de puerto elimina cualquier configuración existenterequiere reiniciar el sistema.
Capítulo 2 Zonas Modos de puerto
52
desplegable y haga clic en
e device, continue?
uiente:
y haga clic en OK .
move en la columna
ta afirmativa) : will erase system
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
Configuration > Port Mode > Port Mode: Seleccione “Home-Work” en la lista Apply .
Cuando aparezca la pregunta siguiente, haga clic en OK :
Operational mode change will erase current configuration and reset th
En este momento, el sistema se reinicia. Tras iniciar una sesión, haga lo sig
Policies > (From: Home, To: Untrust) > New: Introduzca los siguientes datos
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP
Action: Permit
Directivas: En la lista de directivas “From Home to Untrust”, haga clic en Re“Configure” para la directiva con la identificación 2.
CLI
exec port-mode home-work
Cuando aparezca la pregunta siguiente, teclee y (respuesChange port mode from <trust-untrust> to <home-work>
configuration and reboot boxAre you sure y/[n] ?
set policy from home to untrust any any ftp permitunset policy 2save
3
53
Capítulo 3
lga tráfico de una zona de ridad, ésta debe tener asociada IP. A continuación se deberán s diferentes zonas. Se pueden a varias zonas.
àgina 67
a 70
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaces
Las interfaces y subinterfaces físicas actúan como puertas; permiten que entre y saseguridad. Para permitir que el tráfico de una red entre y salga de una zona de seguuna interfaz y, si se trata de una zona de capa 3, deberá asignársele una dirección configurar directivas para permitir que el tráfico pase de interfaz en interfaz entre laasignar varias interfaces a una zona, pero una misma interfaz no se puede asignar
Este capítulo contiene las siguientes secciones:
• “Tipos de interfaces” en la pàgina 55
– “Interfaces de zonas de seguridad” en la pàgina 55
– “Interfaces de zonas de función” en la pàgina 57
– “Interfaces de túnel” en la pàgina 58
• “Visualización de interfaces” en la pàgina 64
• “Configuración de interfaces de la zona de seguridad” en la pàgina 66
– “Asociación de una interfaz a una zona de seguridad” en la pàgina 66
– “Direccionamiento de una interfaz de la zona de seguridad L3” en la p
– “Desasociación de una interfaz de una zona de seguridad” en la pàgin
– “Modificación de interfaces” en la pàgina 71
– “Creación de subinterfaces” en la pàgina 73
– “Eliminación de subinterfaces” en la pàgina 74
• “Direcciones IP secundarias” en la pàgina 75
– “Propiedades de las direcciones IP secundarias” en la pàgina 75
• “Interfaces loopback” en la pàgina 77
Capítulo 3 Interfaces
54
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos• “Cambios de estado de la interfaz” en la pàgina 81
– “Supervisión de la conexión física” en la pàgina 83
– “Seguimiento de direcciones IP” en la pàgina 84
– “Supervisión de interfaces” en la pàgina 91
– “Supervisión de zonas de seguridad” en la pàgina 98
– “Interfaces inactivas y flujo de tráfico” en la pàgina 99
Capítulo 3 Interfaces Tipos de interfaces
55
s de túnel. Para obtener más alización de interfaces” en la
la que el tráfico de red pueda
mbre de la interfaz e la ranura (en algunos nsulte también “Interfaces de a de seguridad en la que rfaz, ningún tráfico podría
na, tres de las interfaces -Trust, V1-Untrust y V1-DMZ. btener más información sobre
l tráfico de una zona de tuales. Cada subinterfaz rocede, por lo que su nombre et2.1. (Consulte también
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
TIPOS DE INTERFACESEn esta sección se describen la zona de seguridad, la zona de función y las interfaceinformación sobre cómo visualizar una tabla de todas estas interfaces, consulte “Visupàgina 64.
Interfaces de zonas de seguridadLa finalidad de las interfaces y subinterfaces físicas es proporcionar una abertura porpasar de una zona a otra.
FísicasCada puerto de su dispositivo NetScreen representa una interfaz física, estando el nopredefinido. El nombre de una interfaz física se compone del tipo de medio, número ddispositivos NetScreen) y número de puerto, por ejemplo, ethernet3/2 o ethernet2 (cozonas de seguridad” en la pàgina 3). Puede asociar una interfaz física a cualquier zonactúe como entrada a través de la que el tráfico entre y salga de la zona. Sin una inteentrar ni salir de una zona.
En los dispositivos NetScreen que admiten cambios en las asociaciones interfaz-a-zofísicas Ethernet están pre-asociadas a zonas de seguridad específicas de capa 2: V1La interfaz que se asocia a cada zona depende de la plataforma en cuestión. (Para ozonas de seguridad, consulte “Zonas de seguridad” en la pàgina 2).
SubinterfazUna subinterfaz, como una interfaz física, actúa como puerta por la que entra y sale eseguridad. Una interfaz física se puede dividir lógicamente en varias subinterfaces virvirtual toma prestado el ancho de banda que necesita de la interfaz física de la que pes una extensión del nombre de la interfaz física, por ejemplo, ethernet3/2.1 o ethern“Interfaces de zonas de seguridad” en la pàgina 3).
Capítulo 3 Interfaces Tipos de interfaces
56
a la misma zona que su de una interfaz a una zona àgina 9 -24).
Una interfaz agregada es la la carga de tráfico dirigida a ntar el ancho de banda interfaz agregada, los otros el disponible anteriormente.
ces se puede asociar a una stiona todo el tráfico dirigido nece en estado de espera rfaz redundante se desvía a es redundantes proporciona vel de dispositivo.
r dos dispositivos NetScreen alta disponibilidad (HA). ual MAC de un VSI. A que anteriormente había
cia de interfaces” en la
ncia de interfaces” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Una subinterfaz se puede asociar a cualquier zona. Una subinterfaz se puede asociar interfaz física, o bien a otra zona. (Para obtener más información, consulte “Asociaciónde seguridad” en la pàgina 66 y “Definición de subinterfaces y etiquetas VLAN” en la p
Interfaces agregadasLos dispositivos de la serie NetScreen-5000 pueden trabajar con interfaces agregadas.acumulación de dos o más interfaces físicas, entre las que se reparten equitativamentela dirección IP de la interfaz agregada. Utilizando interfaces agregadas se puede aumedisponible para una dirección IP determinada. Asimismo, si falla algún miembro de unamiembros pueden seguir procesando tráfico, aunque con menos ancho de banda que
Interfaces redundantesDos interfaces físicas se pueden asociar para crear una interfaz redundante, que entonzona de seguridad. Una de las dos interfaces físicas actúa como interfaz principal y gea la interfaz redundante. La otra interfaz física actúa como interfaz secundaria y permapor si la interfaz activa experimenta algún fallo. En ese caso, el tráfico dirigido a la intela interfaz secundaria, que se convierte en la nueva interfaz principal. El uso de interfacun primer frente de redundancia antes de que el fallo sea comunicado como error al ni
Interfaces de seguridad virtualesLas interfaces de seguridad virtuales (VSIs) son las interfaces virtuales compartidas poque forman un dispositivo de seguridad virtual (VSD) cuando funcionan en el modo de Tanto el tráfico de una red como el tráfico VPN utilizan la dirección IP y la dirección virtcontinuación, VSD asigna el tráfico a la interfaz, subinterfaz o interfaz redundante a la
Nota: Para obtener más información sobre interfaces agregadas, consulte “Redundanpàgina 10 -59.
Nota: Para obtener más información sobre interfaces redundantes, consulte “Redundapàgina 10 -59.
Capítulo 3 Interfaces Tipos de interfaces
57
de alta disponibilidad (“HA”), es ar un servicio ininterrumpido
idad virtuales (VSDs). Cuando SI).
una finalidad especial.
na interfaz física separada (la de usuario de red habitual. nificativamente la seguridad y
HA. Con dispositivos vailability” o “HA”) se pueden
dundante, una unidad actúa de tráfico, mientras que la otra afuegos en caso de fallar la nfigurar ambos miembros del
denomina activa/activa. Ambas
clúster HA, consulte
dministración, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
asociado el VSI. Cuando dos dispositivos NetScreen están funcionando en el modo necesario asociar las interfaces de la zona de seguridad a las que desee proporcionpor si se produce alguna conmutación por error en uno o más dispositivos de segurse asocia una interfaz a un VSD, el resultado es una interfaz de seguridad virtual (V
Interfaces de zonas de funciónLas interfaces de las zonas de función, como la de administración y la de HA, tienen
Interfaz de administraciónEn algunos dispositivos NetScreen, el dispositivo se puede administrar a través de uinterfaz de administración o MGT) sacando el tráfico administrativo fuera del tráfico Separando el tráfico administrativo del tráfico de los usuarios de red se aumenta sigse asegura un ancho de banda de administración constante.
Interfaz de HALa interfaz de HA es un puerto físico utilizado exclusivamente para las funciones deNetScreen equipados con interfaces especializadas para alta disponibilidad (“High Aasociar dos dispositivos para formar un grupo redundante, o clúster. En un grupo recomo maestra, realizando las funciones de cortafuegos de la red, VPN y asignaciónunidad actúa como respaldo, esperando a asumir el control de las funciones de cortunidad principal. Se trata de una configuración activa/pasiva. También se pueden coclúster para actuar mutuamente como maestros y respaldos. Esta configuración se configuraciones se explican en detalle en el Volumen 10, “Alta disponibilidad”.
Nota: Para obtener más información sobre VSIs y cómo funcionan con VSDs en unVolumen 10, “Alta disponibilidad”.
Nota: Para obtener más información sobre cómo configurar el dispositivo para la a“Administración” en la pàgina 3 -1.
Capítulo 3 Interfaces Tipos de interfaces
58
a interfaz de alta disponibilidad físico dedicado exclusivamente os físicos de Ethernet. Para o que para asociar una interfaz zona de seguridad” en la
el túnel VPN a través de una
ferencia a esa interfaz de túnel en una o más directivas. Este ién permite el enrutamiento n túnel VPN, se debe cción tunnel lleva implícito un N.
conjunto de direcciones IP tilizar NAT basada en directivas os extremos de un túnel VPN.
ispositivo NetScreen pueda r a una interfaz de túnel scara de red). Si la interfaz de el una dirección IP. El rigen cuando el dispositivo
l. La interfaz de túnel puede n de una interfaz en otra zona,
rfaces HA duales” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaz de HA virtual
En dispositivos NetScreen carentes de una interfaz de HA especializada, unvirtual (HA) proporciona la misma funcionalidad. Al no haber ningún puerto al tráfico de HA, la interfaz de HA virtual se debe asociar a uno de los puertasociar una interfaz de red a la zona de HA se utiliza el mismo procedimientde red a una zona de seguridad (consulte “Asociación de una interfaz a unapàgina 66).
Interfaces de túnelUna interfaz de túnel actúa como entrada a un túnel VPN. El tráfico entra y sale porinterfaz de túnel.
Cuando se asocia una interfaz de túnel a un túnel VPN, se puede establecer una reen una ruta hacia un destino determinado y después hacer referencia a ese destinométodo permite un control muy detallado del flujo de tráfico a través del túnel. Tambdinámico para el tráfico VPN. Cuando no hay ninguna interfaz de túnel asociada a uespecificar el túnel mismo en la directiva y elegir tunnel como acción. Dado que la apermiso, no se puede rechazar específicamente el tráfico procedente de un túnel VP
Se puede aplicar NAT basada en directivas al tráfico entrante o saliente usando un dinámicas (DIP) en la misma subred que la interfaz de túnel. Un motivo típico para uen una interfaz de túnel es evitar conflictos de direcciones IP entre los sitios de amb
Un túnel VPN basado en rutas debe asociarse a una interfaz de túnel para que el denrutar el tráfico entrante y saliente. Un túnel VPN basado en rutas se puede asocianumerada (con dirección IP y máscara de red) o no numerada (sin dirección IP y mátúnel no está numerada, debe especificar una interfaz que preste a la interfaz de túndispositivo NetScreen solamente utiliza la dirección IP prestada como dirección de oNetScreen mismo genera tráfico (como el de los mensajes OSPF) a través del túnetomar prestada la dirección IP de otra interfaz en la misma zona de seguridad, o biesiempre que ambas zonas se encuentren en el mismo dominio de enrutamiento.
Nota: Para obtener más información sobre interfaces de HA, consulte “Intepàgina 10 -39.
Capítulo 3 Interfaces Tipos de interfaces
59
todas las interfaces de túnel no tual, y tomando la dirección IP todas las interfaces de túnel no ue tomen su dirección IP de la un dominio de enrutamiento
ino a las que conducen los únel, y sus directivas controlan
Zona Untrust
.5
hernet31.1.1/24
Enrutador externo
1.1.1.250
Nota: El túnel VPN mismo no se muestra.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Se puede alcanzar un control muy fiable del enrutamiento del tráfico VPN asociandonumeradas a una zona, que se encuentra en su propio dominio de enrutamiento virde una interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociarnumeradas a una zona definida por el usuario llamada “VPN” y configurarlas para qinterfaz loopback.1, también asociada a la zona VPN. La zona VPN se encuentra endefinido por el usuario llamado “vpn-vr”. Usted pondrá todas las direcciones de desttúneles en la zona VPN. Sus rutas a estas direcciones apuntan a las interfaces de tel tráfico VPN entre otras zonas y la zona VPN.
Zona Trust
Zona VPNtunnel.1
no numerada dst-110.2.2
src-1 10.1.1.5
et1.
ethernet110.1.1.1/24 trust-vr
vpn-vr
set vrouter name vpn-vrset zone name vpn vrouter vpn-vrset interface loopback.1 zone vpnset interface loopback.1 ip 172.16.1.1/24set interface tunnel.1 zone vpnset interface tunnel.1 ip unnumbered loopback.1
Configure las direcciones para src-1 y dst-1.Configure un túnel VPN y asócielo a tunnel.1.
set vrouter trust-vr route 10.2.2.5/32 vrouter vpn-vrset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
gateway 1.1.1.250set vrouter vpn-vr route 10.2.2.5 interface tunnel.1
set policy from trust to vpn scr-1 dst-1 any permit
loopback.1 172.16.1.1/24
El dispositivo NetScreen envía el tráfico destinado a 10.2.2.5/32 de trust-vr a vpn-vr. Si tunnel.1 se inhabilita por cualquier causa, el dispositivo NetScreen descarta el paquete. Dado que la ruta predeterminada (a 0.0.0.0/0) solamente se encuentra en trust-vr, el dispositivo NetScreen no intenta enviar el paquete en texto puro sin formato a través de ethernet3.
Capítulo 3 Interfaces Tipos de interfaces
60
uro porque no hay posibilidad terfaz de túnel asociada), el rminada. (Para ver varias uridad en VPNs basadas en
tener una dirección IP. La NAT estén disponibles para los
cciones IP asignadas (MIP) definidas
a zona de túnel, la interfaz de túnel d. Esto permite definir conjuntos de un túnel VPN a una zona de túnel, el. En tales casos, debe crear una
na zona de seguridad, debe to permite crear una configuración
umerada. Si no está numerada, la e la interfaz predeterminada de la ólo una interfaz de túnel con una
r NAT basada en directivas.
entra en una zona de seguridad y o crear una interfaz de zona de dmite tráfico VPN a través de la .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Poner todas las interfaces de túnel en una zona de estas características es muy segde que, por un fallo de la VPN (que provocaría la desactivación de la ruta hacia la intráfico destinado al túnel sea desviado hacia una ruta sin túnel, como la ruta predetesugerencias sobre cómo evitar este problema, consulte “Consideraciones sobre segrutas” en la pàgina 5 -93).
También puede asociar una interfaz de túnel a una zona de túnel. En tal caso, debefinalidad de asociar una interfaz de túnel a una zona de túnel es que los servicios de túneles VPN basados en directivas1.
1. Los servicios de traducción de direcciones de red (NAT) incluyen conjuntos de direcciones IP dinámicas (DIP) y direen la misma subred que una interfaz.
Cuando una interfaz de túnel está asociada a undebe tener una dirección IP y una máscara de reDIP y direcciones MIP en esa interfaz. Si asociano puede asociarlo también a una interfaz de túnconfiguración de VPN basada en directivas.
Cuando una interfaz de túnel se encuentra en uasociarse un túnel VPN a la interfaz de túnel. Esde VPN basada en rutas.La interfaz de túnel puede estar numerada o no ninterfaz de túnel toma prestada la dirección IP dzona de seguridad en la que fue creada. Nota: Sdirección IP y una máscara de red puede admiti
Cuando una interfaz de túnel numerada se encues la única interfaz en esa zona, no es necesariseguridad. En este caso, la zona de seguridad ainterfaz de túnel, pero ningún otro tipo de tráfico
Zona de
seguridad
Zona de túnel
Interfaces de túnel
Interfaces de zonas de seguridad
Túnel VPN
Túnel VPN
Túnel VPN
Numerada o no numerada
Zona de
seguridad
Numerada
Numerada
Capítulo 3 Interfaces Tipos de interfaces
61
rcan desde el dispositivo local s extremos de esas tuberías. envíe tráfico a una de sus
que ésta admita uno o más igen (NAT-src) y conjuntos de st). Para obtener más ecciones superpuestas” en la ra de red en una zona de
uración no requiere que la mo no numerada. Una interfaz r a una zona de túnel. También de enrutamiento virtual que la el no numerada toma prestada
a encapsulación de de túnel para encapsular los 1 para encapsular paquetes IP apsulado de enrutamiento
de VPN basada en rutas en na 5 -233.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Conceptualmente, los túneles VPN pueden imaginarse como tuberías tendidas. Abahasta las puertas de enlace remotas, siendo las interfaces de túnel los orificios en loLas tuberías siempre están disponibles, listas para cuando el motor de enrutamientointerfaces.
Generalmente, se asigna una dirección IP a una interfaz de túnel cuando se desea conjuntos de direcciones IP dinámicas (DIP) para la traducción de direcciones de ordirecciones IP asignadas (MIP) para la traducción de direcciones de destino (NAT-dinformación sobre VPNs y la traducción de direcciones, consulte “Sitios VPN con dirpàgina 5 -203). Puede crear una interfaz de túnel con una dirección IP y una máscaseguridad o en una zona de túnel.
Si la interfaz de túnel no necesita trabajar con traducción de direcciones y su configinterfaz de túnel esté asociada a una zona de túnel, puede especificar la interfaz code túnel no numerada debe asociarse a una zona de seguridad; no se puede asociadebe especificar una interfaz con una dirección IP que pertenezca al mismo dominiozona de seguridad a la que está asociada la interfaz no numerada. La interfaz de túnla dirección IP de esa interfaz.
Si está transmitiendo paquetes multicast a través de un túnel VPN, puede habilitar lenrutamiento genérica (“Generic Routing Encapsulation” o “GRE”) en las interfaces paquetes multicast en paquetes unicast. Los dispositivos NetScreen admiten GREven paquetes unicast IPv4. Para obtener más información sobre GRE, consulte “Encgenérico” en la pàgina 6 -205.
Nota: Para ver cómo asociar una interfaz de túnel a un túnel, consulte los ejemplos“VPNs punto a punto” en la pàgina 5 -103 y “VPNs de acceso telefónico” en la pàgi
Capítulo 3 Interfaces Tipos de interfaces
62
s IP asignadas (MIPs) o l que contenga cualquiera de ncias a ellas. A continuación na configuración de VPN r la interfaz de túnel, debe
isten referencias al conjunto de inado a la zona Untrust a través inar la directiva (o eliminar las . Después debe desasociar onfiguraciones que dependan
on ID 10.
ra la DIP con ID 8.
la lista desplegable “Bind to:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Eliminar interfaces de túnelNo se puede eliminar inmediatamente una interfaz de túnel que contenga direccioneconjuntos de direcciones IP dinámicas (DIP). Antes de eliminar una interfaz de túneestas características, primero debe eliminar cualquier directiva que contenga referedebe eliminar las MIPs y los conjuntos de DIP en la interfaz de túnel. Asimismo, si ubasada en rutas contiene referencias a una interfaz de túnel, antes de poder eliminaeliminar la configuración de VPN.
Ejemplo: Eliminar una interfaz de túnelEn este ejemplo, la interfaz de túnel tunnel.2 está vinculada al conjunto de DIP 8. ExDIP 8 en una directiva (ID 10) para el tráfico VPN procedente de la zona Trust y destde un túnel VPN llamado vpn1. Para eliminar la interfaz de túnel, primero debe elimreferencias al conjunto de DIP 8 de la directiva) y a continuación el conjunto de DIPtunnel.2 de vpn1. Puede eliminar la interfaz de túnel después de eliminar todas las cde ella.
WebUI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva c
2. Eliminar el conjunto de DIP 8, vinculado a tunnel.2Network > Interfaces > Edit (para tunnel.2) > DIP: Haga clic en Remove pa
3. Desasociar tunnel.2 de vpn1VPNs > AutoKey IKE > Edit (para vpn1) > Advanced: Seleccione None en Tunnel Interface”, haga clic en Return y después en OK .
4. Eliminar tunnel.2Network > Interfaces: Haga clic en Remove para tunnel.2.
Capítulo 3 Interfaces Tipos de interfaces
63
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosCLI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8unset policy 10
2. Eliminar el conjunto de DIP 8, vinculado a tunnel.2unset interface tunnel.2 dip 8
3. Desasociar tunnel.2 de vpn1unset vpn vpn1 bind interface
4. Eliminar tunnel.2unset interface tunnel.2save
Capítulo 3 Interfaces Visualización de interfaces
64
itivo NetScreen. Al estar i no. Las subinterfaces e
. Puede especificar los tipos de
ara de red de la interfaz.
(“Layer 3”), túnel (“tunnel”),
”).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
VISUALIZACIÓN DE INTERFACESPuede visualizar una tabla que muestre todas las interfaces existentes en su dispospredefinidas, las interfaces físicas aparecen en la lista tanto si se configuran como sinterfaces de túnel solamente aparecen después de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces interfaces a mostrar en la lista desplegable “List Interfaces”.
Para ver la tabla de interfaces en CLI, utilice el comando get interface .
Tabla de interfacesLa tabla de interfaces muestra la información siguiente sobre cada interfaz:
• Name: Este campo identifica el nombre de la interfaz.
• IP/Netmask: Este campo identifica la dirección IP y la dirección de la másc
• Zone: Este campo identifica las zonas a las que está asociada la interfaz.
• Type: Este campo indica si el tipo de interfaz es: capa 2 (“Layer 2”), capa 3redundante (“redundant”), agregada (“aggregate”), VSI.
• Link: Este campo identifica si la interfaz está activa (“Up”) o inactiva (“Down
• Configure: Este campo permite modificar o eliminar interfaces.
Capítulo 3 Interfaces Visualización de interfaces
65
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosTabla de interfaces de WebUI
Tabla de interfaces de CLI
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
66
la zona de seguridad:
yer 3” o “L3”)
binterfaz sólo se puede asociar lamente se puede asignar una
3.
splegable “Zone Name” y haga
nda para el tráfico de una nformación sobre las opciones az, consulte “Control del tráfico
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CONFIGURACIÓN DE INTERFACES DE LA ZONA DE SEGURIDADEsta sección describe cómo configurar los siguientes aspectos de las interfaces de
• Asociar y desasociar una interfaz a una zona de seguridad
• Asignar una dirección a una interfaz de la zona de seguridad de capa 3 (“La
• Modificar interfaces y subinterfaces físicas
• Crear subinterfaces
• Eliminar subinterfaces
Asociación de una interfaz a una zona de seguridadCualquier interfaz física se puede asociar a una zona de seguridad L2 o L3. Una sua una zona de seguridad L3, porque las subinterfaces requieren una dirección IP. Sodirección IP a una interfaz después de haberla asociado a una zona de seguridad L
Ejemplo: Asociar una interfazEn este ejemplo asociará ethernet5 a la zona Trust.
WebUINetwork > Interfaces > Edit (para ethernet5): Seleccione Trust en la lista declic en OK .
CLIset interface ethernet5 zone trustsave
Nota: Para obtener más información sobre cómo establecer el ancho de bainterfaz, consulte el Capítulo 7, “Asignación de tráfico”. Para obtener más ide administración y otras opciones de servicios disponibles para cada interfadministrativo” en la pàgina 3 -39.
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
67
d L33”), debe asignarle una
mbién se puede especificar el encuentra en untrust-vr, la
ciones de interfaces son:
ernet (ISPs) para su utilización
ación en una red privada y que en otras redes privadas
apítulo 4, “Modos de las
omprueba mediante una estar activo en ese momento).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Direccionamiento de una interfaz de la zona de seguridaAl definir una interfaz o subinterfaz de la zona de seguridad de capa 3 (“Layer 3” o “Ldirección IP y una máscara de red. Si se asocia la interfaz a una zona en trust-vr, tamodo de la interfaz como NAT o Route. (Si la zona a la que se asocia la interfaz se interfaz siempre estará en el modo de ruta).
Los dos tipos básicos de direcciones IP que pueden considerarse para asignar direc
• Direcciones públicas, proporcionadas por los proveedores de servicios de Inten una red pública como Internet y que deben ser únicas
• Direcciones privadas, que un administrador de red local asigna para su utilizpueden ser asignadas por otros administradores para su utilización también
Nota: Para ver ejemplos de configuración de los modos NAT y Route, consulte el Cinterfaces” en la pàgina 107.
Nota: Cuando se agrega una dirección IP a una interfaz, el dispositivo NetScreen cpetición de ARP si la dirección IP no existe ya en la red local. (El enlace físico debe Si la dirección IP ya existe, se genera un aviso.
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
68
simismo, si una zona de s en trust-vr están en modo de sts) también deben ser 2, según se muestra a
una dirección de clase A, los ificación del host tificación de la red y los 16 bits C, los primeros 24 bits indican n.nnn.hhh).
más aún. En esencia, una nmascarada en una subred de .4/24 indica que los primeros n privada de clase A, los 16 bits e subred de la dirección y los ilizando subredes para reducir enta significativamente la
excluidas55, .255
.255
55.255
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Direcciones IP públicasSi una interfaz se conecta a una red pública, debe tener una dirección IP pública. Aseguridad L3 en untrust-vr se conecta a una red pública y las interfaces de las zonaruta, todas las direcciones de las zonas en trust-vr (para las interfaces y para los hodirecciones públicas. Los direcciones IP públicas se dividen en tres clases: A, B, y Ccontinuación:
Una dirección IP se compone de cuatro octetos, cada uno compuesto por 8 bits. Enprimeros 8 bits indican la identificación de la red y los 24 bits finales indican la ident(nnn.hhh.hhh.hhh). En una dirección de clase B, los primeros 16 bits indican la idenfinales indican la identificación del host (nnn.nnn.hhh.hhh). En una dirección de clasela identificación de la red y los 8 bits finales indican la identificación del host (nnn.nn
Aplicando máscaras de subred (o máscaras de red), las redes se pueden subdividirmáscara de red enmascara parte de la identificación del host, convirtiendo la parte ela identificación de la red. Por ejemplo, la máscara de 24 bits3 de la dirección 10.2.38 bits (es decir, el primer octeto, 010) identifican la porción de la red de esta direcciósiguientes (es decir, los octetos segundo y tercero, 002.003) identifican la porción dúltimos 8 bits (el último octeto, 004) identifican la porción de host de la dirección. Utlos espacios de direcciones de grandes redes en subdivisiones más pequeñas, aumeficacia en la entrega de datagramas IP.
2. También existen direcciones de las clases D y E, reservadas para fines especiales.
Clase de dirección Rango de direcciones Rango de direccionesA 0.0.0.0 – 127.255.255.255 10.0.0.0 – 10.255.255.2
127.0.0.0 – 127.255.255
B 128.0.0.0 – 191.255.255.255 172.16.0.0 – 172.31.255
C 192.0.0.0 – 223.255.255.255 192.168.0.0 – 192.168.2
3. El equivalente decimal con puntos de una máscara de 24 bits es 255.255.255.0.
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
69
asignarle cualquier dirección, reservado para uso privado —rma RFC 1918, “Address
s asociadas a las zonas en nterfaces y para hosts) pueden
ión IP de administración isma subred que la dirección T, que traduce todas las s de seguridad.
s y haga clic en OK :
es la interfaz predeterminada de una ado del comando CLI get zone.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Direcciones IP privadasSi una interfaz se conecta a una red privada, un administrador de la red local puedeaunque según la convención se suele utilizar una dirección del rango de direcciones10.0.0.0/8, 172.16.0.0 – 172.31.255.255, 192.168.0.0/16— según se define en la noAllocation for Private Internets”.
Si la zona de seguridad L3 en untrust-vr se conecta a una red pública y las interfacetrust-vr están en el modo NAT, todas las direcciones de las zonas en trust-vr (para iser privadas.
Ejemplo: Direccionamiento de una interfazEn este ejemplo asignará a ethernet5 la dirección IP 210.1.1.1/24 y le dará la direcc210.1.1.5. (Recuerde que la dirección IP de administración debe encontrarse en la mIP de la interfaz de la zona de seguridad). Por último, pondrá la interfaz en modo NAdirecciones IP internas a las interfaces4 predeterminadas asociadas a las otras zona
WebUI
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes dato
IP Address/Netmask: 210.1.1.1/24
Manage IP: 210.1.1.5
CLI
set interface ethernet5 ip 210.1.1.1/24set interface ethernet5 manage-ip 210.1.1.5save
4. La interfaz predeterminada en una zona de seguridad es la primera interfaz asociada a la zona. Para averiguar cuál zona, consulte la columna “Default IF” en la página Network > Zones de WebUI, o la columna “Default-If” en el result
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
70
dasociarla a otra. Si una interfaz 0. A continuación, puede arle una dirección IP y máscara
na Untrust. Establecerá su
s y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Desasociación de una interfaz de una zona de seguridaSi una interfaz no está numerada, puede desasociarla de una zona de seguridad y está numerada, primero debe establecer su dirección IP y máscara de red en 0.0.0.desasociarla de una zona de seguridad y asociarla a otra, y (opcionalmente) reasignde red.
Ejemplo: Desasociar una interfazEn este ejemplo, ethernet3 tiene la dirección IP 210.1.1.1/24 y está asociada a la zodirección IP y máscara de red en 0.0.0.0/0 y la asociará a la zona Null.
WebUI
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
CLI
set interface ethernet3 ip 0.0.0.0/0set interface ethernet3 zone nullsave
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
71
te, una interfaz agregada o una ajustes siguientes si surge la
ta VLAN
terfaz: NAT o Route
7, “Asignación de tráfico” en la
misión máxima (MTU)
luyendo el tráfico entre una mediante el comando CLI
o físico del vínculo como activo ede simular una desconexión interface con la opción
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Modificación de interfacesUna vez haya configurado una interfaz física, una subinterfaz, una interfaz redundaninterfaz de seguridad virtual (VSI), puede cambiar posteriormente cualquiera de los necesidad:
• Dirección IP y máscara de red
• Administrar la dirección IP
• (Interfaces de la zona L3) Servicios de administración y de red
• (Subinterfaz) Número de identificación de la subinterfaz y número de etique
• (Interfaces asociadas a las zonas de seguridad L3 en trust-vr) Modo de la in
• (Interfaz física) Ajustes del ancho de banda del tráfico (consulte el Capítulo pàgina 359)
• (Interfaces físicas, redundantes y agregadas) Tamaño de la unidad de trans
• (Interfaces L3) Impedir que el tráfico entre y salga por la misma interfaz, incsubred principal y secundaria o entre subredes secundarias (esto se realizaset interface con la opción route-deny)
En las interfaces físicas de algunos dispositivos NetScreen se puede forzar el estad(“up”) o inactivo (“down”). Forzando el estado físico del vínculo como inactivo, se pudel cable del puerto de la interfaz. (Esto se consigue mediante el comando CLI set phy link-down).
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
72
zona Trust. Cambiará la guridad del tráfico bilitando SCS y SSL y
uientes y haga clic en OK :
L; (borre) Telnet, WebUI
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modificar los ajustes de la interfazEn este ejemplo hará algunas modificaciones a ethernet1, una interfaz asociada a ladirección IP de administración de 10.1.1.2 a 10.1.1.12. Para aumentar el nivel de seadministrativo, también cambiará las opciones de los servicios de administración, hadesactivando Telnet y WebUI.
WebUI
Network > Interfaces > Edit (para ethernet1): Realice las modificaciones sig
Manage IP: 10.1.1.12
Management Services: (seleccione) SSH, SS
CLI
set interface ethernet1 manage-ip 10.1.1.12set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
73
irtual. Una subinterfaz hace uso a otras interfaces. Observe que do el ancho de banda que misma a la que está asociada una subred diferente que las
urará la subinterfaz en finida por el usuario llamada az 3, dirección IP 10.2.1.1/24 e
clic en OK :
figuración de una subinterfaz en una
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Creación de subinterfacesPuede crear una subinterfaz en cualquier interfaz física5 del sistema raíz o sistema vdel etiquetado de VLAN para distinguir el tráfico asociado a ella del tráfico asociado aunque una subinterfaz tiene su origen en una interfaz física, de la cual toma prestanecesita, una subinterfaz se puede asociar a cualquier zona, no necesariamente la su interfaz “padre”. Además, la dirección IP de una subinterfaz debe encontrarse endirecciones IP de todas las demás interfaces y subinterfaces físicas.
Ejemplo: Subinterfaz en el sistema raízEn este ejemplo creará una subinterfaz para la zona Trust en el sistema raíz. Configethernet1, que está asociada a la zona Trust. Asociará la subinterfaz a una zona de“accounting”, que se encuentra en trust-vr. Le asignará la identificación de subinterfidentificación 3 de etiqueta VLAN. El modo de la interfaz es NAT.
WebUI
Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga
Interface Name: ethernet1 . 3
Zone Name: accounting
IP Address/Netmask: 10.2.1.1/24
VLAN Tag: 3
CLI
set interface ethernet1.3 zone accountingset interface ethernet1.3 ip 10.2.1.1/24 tag 3save
5. También puede configurar subinterfaces en interfaces redundantes y VSIs. Para ver un ejemplo que contenga la coninterfaz redundante, consulte “Conmutación por error del sistema virtual” en la pàgina 10 -132.
Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad
74
asignadas (MIPs), direcciones una subinterfaz que contenga rtas de enlace IKE que conjuntos de DIP de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Eliminación de subinterfacesNo se puede eliminar inmediatamente una subinterfaz que contenga direcciones IP IP virtuales (VIPs) o conjuntos de direcciones IP dinámicas (DIP). Antes de eliminarcualquiera de estas características, primero debe eliminar todas las directivas o puecontengan referencias a ellas. Seguidamente, deberá eliminar las MIPs, VIPs y los subinterfaz.
Ejemplo: Eliminar una interfaz de la zona de seguridadEn este ejemplo eliminará la subinterfaz ethernet1:1.
WebUI
Network > Interfaces: Haga clic en Remove para ethernet1:1.
Un mensaje del sistema le pedirá que confirme la eliminación.
Haga clic en Yes para eliminar la subinterfaz.
CLI
unset interface ethernet1:1save
Capítulo 3 Interfaces Direcciones IP secundarias
75
go, algunas situaciones exigen ener asignaciones de s. Además, una organización
ando hay más de 254 hosts s IP secundarias a una interfaz
den implementar. Estas
ientos en las direcciones de entre una IP secundaria y
secundaria, la dirección principal. Por lo tanto, no se
ección IP secundaria.
ecundaria.
creen creará automáticamente una dirección IP secundaria, el de enrutamiento.
ningún cambio en la tabla de e tipo, el dispositivo NetScreen ún cambio en la tabla de
la zona Untrust.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DIRECCIONES IP SECUNDARIASCada interfaz de NetScreen tiene una sola dirección IP única y principal . Sin embarque una interfaz tenga varias direcciones IP. Por ejemplo, una organización puede tdirecciones IP adicionales y puede no desear agregar un enrutador para gestionarlapuede tener más dispositivos de red de los que su subred puede manejar, como cuconectados a una LAN. Para solucionar tales problemas, puede agregar direccioneen la zona Trust, DMZ o definida por el usuario.
Propiedades de las direcciones IP secundariasLas direcciones secundarias tienen ciertas propiedades que afectan a cómo se puepropiedades son las siguientes:
• Entre dos direcciones IP secundarias cualesquiera no puede haber solapamsubred. Tampoco puede haber solapamientos en las direcciones de subredcualquier subred existente en el dispositivo NetScreen.
• Cuando se administra un dispositivo NetScreen a través de una dirección IPsiempre tiene las mismas propiedades de administración que la dirección IPpuede especificar una configuración de administración separada para la dir
• Tampoco se puede configurar una puerta de enlace para una dirección IP s
• Siempre que se cree una nueva dirección IP secundaria, el dispositivo NetSla correspondiente entrada en la tabla de enrutamiento. Cuando se elimina dispositivo elimina automáticamente la entrada correspondiente en la tabla
Habilitar o inhabilitar el enrutamiento entre dos direcciones IP secundarias no causaenrutamiento. Por ejemplo, si inhabilita el enrutamiento entre dos direcciones de esdescarta cualquier paquete dirigido de una interfaz a otra, pero no se producirá ningenrutamiento.
Nota: No se pueden crear direcciones IP secundarias múltiples para interfaces en
Capítulo 3 Interfaces Direcciones IP secundarias
76
et1, una interfaz con la
uientes datos y haga clic en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Crear una dirección IP secundariaEn este ejemplo configurará una dirección IP secundaria (192.168.2.1/24) para etherndirección IP 10.1.1.1/24 asociada a la zona Trust.
WebUI
Network > Interfaces > Edit (para ethernet1) > Secondary IP: Introduzca los sigAdd:
IP Address/Netmask: 192.168.2.1/24
CLI
set interface ethernet1 ip 192.168.2.1/24 secondarysave
Capítulo 3 Interfaces Interfaces loopback
77
itivo NetScreen. Sin embargo, o mientras el dispositivo en el um, donde id_num es un ositivo. Como en una interfaz a de seguridad.
ros de su grupo. El tráfico grupo. Cualquier tipo de rfaz, interfaz de túnel, interfaz
le asignará la dirección IP
aga clic en OK :
ts que residen en otras zonas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
INTERFACES LOOPBACKUna interfaz loopback es una interfaz lógica que emula una interfaz física en el disposa diferencia de una interfaz física, una interfaz loopback está siempre en estado activque reside esté activo. Las interfaces de bucle invertido se denominan loopback.id_nnúmero superior o igual a 16 y denota una interfaz de bucle invertido única en el dispfísica, se debe asignar una dirección IP a una interfaz loopback y asociarla a una zon
Después de definir una interfaz loopback, puede definir otras interfaces como miembpuede alcanzar una interfaz loopback si llega a través de una de las interfaces de suinterfaz puede ser miembro de un grupo de interfaces loopback: interfaz física, subinteredundante o VSI.
Ejemplo: Crear una interfaz loopbackEn el ejemplo siguiente creará la interfaz loopback.1, la asociará a la zona Untrust y 1.1.1.27/24.
WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y h
Interface Name: loopback.1
Zone: Untrust (seleccione)
IP Address/Netmask: 1.1.1.27./24
CLIset interface loopback.1 zone untrustset interface loopback.1 ip 1.1.1.27save
6. El valor máximo de id_num que se puede especificar depende de cada plataforma.
Nota: La interfaz loopback no es directamente accesible desde redes o hosDebe definir una directiva para permitir tráfico desde y hacia la interfaz.
Capítulo 3 Interfaces Interfaces loopback
78
a. Esta sección muestra
ible por un grupo de interfaces; ión sobre cómo usar la interfaz )” en la pàgina 7 -107.
loopback o la dirección IP de
mo interfaz de administración
administración y haga clic en
interfaz loopback para el loopback no se pueden to de IP o Webauth.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Uso de interfaces loopbackPuede utilizar una interfaz loopback en muchas de las maneras de una interfaz físicejemplos de las maneras en que se puede configurar interfaces loopback.
Puede definir una MIP en una interfaz loopback. Esto permite que la MIP sea accesesta capacidad es exclusiva de las interfaces loopback. Para obtener más informacde bucle invertido con MIPs, consulte “MIP y la interfaz de bucle invertido (loopback
Puede administrar el dispositivo NetScreen utilizando la dirección IP de una interfazadministración asignada a una interfaz loopback.
Ejemplo: Interfaz loopback para la administraciónEn el ejemplo siguiente configurará la interfaz loopback.1, definida anteriormente copara el dispositivo.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de OK.
CLI
set interface loopback.1 managesave
Nota: No se puede asociar una interfaz loopback a una zona HA ni configurar una funcionamiento de la capa 2, ni como interfaz redundante/agregada. En interfaces configurar las siguientes características: NTP, DNS, VIP, IP secundaria, seguimien
Capítulo 3 Interfaces Interfaces loopback
79
sitivo NetScreen. En el ejemplo
clic en OK.
erfaz loopback. El estado físico ctiva o no, dependiendo del
lic en OK :
e BGP para el enrutador virtual rar BGP en dispositivos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: BGP en una interfaz loopbackLa interfaz loopback admite el protocolo de enrutamiento dinámico BGP en el disposiguiente habilitará BGP en la interfaz loopback.1.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP y haga
CLI
set interface loopback.1 protocol bgpsave
Ejemplo: VSIs en una interfaz loopbackPuede configurar las interfaces de seguridad virtuales (VSIs) para NSRP en una intdel VSI en la interfaz de bucle invertido está siempre activo. La interfaz puede ser aestado del grupo VSD al que pertenece.
WebUI
Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga c
Interface Name: VSI Base: loopback.1
VSD Group: 1
IP Address/Netmask: 1.1.1.1/24
Nota: Para habilitar BGP en la interfaz loopback, primero debe crear una instancia dal que planea asociar la interfaz. Para obtener más información sobre cómo configuNetScreen, consulte el Volumen 6, “Enrutamiento”.
Capítulo 3 Interfaces Interfaces loopback
80
originado en el dispositivo dirección de la interfaz de n un dispositivo externo). En a anteriormente loopback.1
ga clic en Apply :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set interface loopback.1:1 ip 1.1.1.1/24save
Ejemplo: Interfaz loopback como interfaz de origenPuede utilizar una interfaz loopback como interfaz de origen para determinado tráfico NetScreen. (Cuando se define una interfaz de origen para una aplicación, se utiliza laorigen especificada en lugar de la dirección de la interfaz saliente para comunicarse coel ejemplo siguiente especificará que el dispositivo NetScreen utilice la interfaz definidpara enviar paquetes de syslog.
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y ha
Enable Syslog Messages: (seleccione)
Source interface: loopback.1 (seleccione)
Syslog Servers:
No.: 1 (seleccione)
IP/Hostname: 10.1.1.1
Traffic Log: (seleccione)
Event Log: (seleccione)
CLI
set syslog config 10.1.1.1 log allset syslog src-interface loopback.1set syslog enablesave
Capítulo 3 Interfaces Cambios de estado de la interfaz
81
operan en la capa 2 (modo e sistemas abiertos (“Open
ndo está cableada a otro
para interfaces lógicas está lógicamente activa dos (en las direcciones IP
inactiva cuando no está uede establecer un enlace. el comando CLI siguiente:
nactiva cuando el tráfico que la es IP supervisadas) de una red.
uede estar físicamente activa y, te inactiva, su estado lógico es
permanecen activas y sactiva todas las rutas que ente inactiva, el tráfico podría
lujo de tráfico” en la pàgina 99). onfigurar rutas alternativas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CAMBIOS DE ESTADO DE LA INTERFAZUna interfaz puede estar en uno de los estados siguientes:
• Physically Up (Físicamente activa ) – Para interfaces Ethernet físicas quetransparente) o en la capa 3 (modo de ruta) en el modelo de interconexión dSystems Interconnection” u “OSI”). Una interfaz está físicamente activa cuadispositivo de red y puede establecer un enlace a ese dispositivo.
• Logically Up (Lógicamente activas) – Tanto para interfaces físicas como (subinterfaces, interfaces redundantes e interfaces agregadas). Una interfazcuando el tráfico que la atraviesa puede alcanzar los dispositivos especificasupervisadas) de una red.
• Physically Down (Físicamente inactivas) – Una interfaz está físicamentecableada a otro dispositivo de la red o cuando, aún estando cableada, no pTambién puede forzar que una interfaz esté físicamente inactiva ejecutando set interface interface phy link-down .
• Logically Down (Lógicamente inactiva) – Una interfaz está lógicamente iatraviesa no puede alcanzar los dispositivos especificados (en las direccion
El estado físico de una interfaz tiene prioridad sobre su estado lógico. Una interfaz pal mismo tiempo, lógicamente activa o inactiva. Cuando una interfaz está físicamenirrelevante.
Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz utilizables. Cuando el estado de una interfaz es inactivo, el dispositivo NetScreen deutilizan esa interfaz aunque, dependiendo de si la interfaz está físicamente o lógicamseguir atravesando una interfaz en estado inactivo (consulte “Interfaces inactivas y fPara compensar la pérdida de rutas que implica la pérdida de una interfaz, puede cutilizando una interfaz alternativa.
Capítulo 3 Interfaces Cambios de estado de la interfaz
82
ado en una interfaz de hacer que la interfaz ento, puede utilizar el siguiente
up { logically |
rfaz supervisora al estado estado de la interfaz
ntes. Cada uno de estos isora cambie de activo a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Dependiendo de la acción configurada para ejecutarse al detectar un cambio de estsupervisada, el cambio del estado activo al inactivo en una interfaz supervisada puesupervisora cambie su estado de inactivo a activo. Para configurar este comportamicomando CLI:
set interface interface monitor threshold number action physically }
Al introducir este comando, el dispositivo NetScreen fuerza automáticamente la inteinactivo. Si falla el objeto supervisado (dirección IP, interfaz o zona supervisada), elsupervisora se activa (lógica o físicamente, dependiendo de su configuración).
Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos siguieeventos, individual o combinado, puede provocar que el estado de la interfaz supervinactivo o viceversa:
• Desconexión/reconexión física
• Fallo/éxito del seguimiento de IP
• Fallo/éxito de una interfaz supervisada
• Fallo/éxito de una zona de seguridad supervisada
Capítulo 3 Interfaces Cambios de estado de la interfaz
83
seguimiento de IP vuelve a amente un segundo entre el pervisora.
ón física a otros dispositivos de ido un enlace con él, su estado
como desactivar,…
supervisora iva.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si, después de fallar, un objeto supervisado tiene éxito (la interfaz se reconecta o eltener éxito), la interfaz supervisora vuelve a activarse. Hay un retardo de aproximadmomento en que el objeto supervisado tiene éxito y la reactivación de la interfaz su
Cada uno de los eventos antedichos se presenta en las secciones siguientes.
Supervisión de la conexión físicaLas interfaces físicas de un dispositivo NetScreen supervisan el estado de su conexila red. Cuando una interfaz está conectada a otro dispositivo de la red y ha estableces físicamente activo y todas las rutas que utilizan esa interfaz están activas.
✗
Si un objeto supervisado falla…
Desconexión física
Fallo del seguimiento
de IP
Fallo de la interfaz supervisada
Fallo de la zona supervisada
y el peso de ese objeto es ≥ al umbral de fallos de supervisión, …
y la acción se establece
la interfazse desact
Ninguna respuesta a las peticiones de eco ICMP
Todas las interfaces en la misma zona se
desactivan.
Zona de seguridad
La interfaz se desconecta.
Los fallos de seguimiento de IP exceden el umbral.
Interfaz supervisora
Capítulo 3 Interfaces Cambios de estado de la interfaz
84
mando get interface y en la ") o inactivo (“down”).
te id number y en la página activa. Si no hay asterisco, está
s a través de una interfaz, de en pueda desactivar todas las ta desactivada vuelve a
IP.
la utilizada con NSRP para r ejemplo, si una interfaz se n de salto siguiente en la uimiento de IP en una interfaz, imo de cuatro direcciones IP de s objetivos para comprobar si
ico de veces, dicha dirección IP ible que el dispositivo que conduzca al mismo
ciada a la misma zona que la interfaz a 10 -72).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Puede consultar el estado de una interfaz en la columna “State” del resultado del cocolumna “Link” de la página Network > Interfaces de WebUI. Puede estar activo (“up
Puede consultar el estado de una ruta en el campo de estado del comando get rouNetwork > Routing > Routing Entries de WebUI. Un asterisco indica que la ruta está inactiva.
Seguimiento de direcciones IPEl dispositivo NetScreen puede realizar un seguimiento de direcciones IP específicaforma que cuando una o varias de ellas queden inaccesibles, el dispositivo NetScrerutas asociadas a esa interfaz, incluso aunque la conexión física siga activa7. Una ruactivarse cuando el dispositivo NetScreen retoma el contacto con esas direcciones
NetScreen utiliza una supervisión de rutas de capa 3, o seguimiento de IP, similar asupervisar la accesibilidad de direcciones IP específicas a través de una interfaz. Poconecta directamente a un enrutador, es posible hacer un seguimiento de la direccióinterfaz para determinar si el enrutador sigue estando accesible. Al configurar el segel dispositivo NetScreen envía peticiones de eco ICMP (ping) en la interfaz a un máxdestino a intervalos definidos por el usuario. El dispositivo NetScreen supervisa estose recibe una respuesta. Si no se recibe respuesta de un destino un número específse considera inaccesible. Si no se obtiene respuesta de uno o más destinos, es posNetScreen desactive las rutas asociadas a dicha interfaz. Si hay disponible otra rutadestino, el dispositivo NetScreen redirige el tráfico para utilizar la nueva ruta.
7. En ciertos dispositivos con ScreenOS, esta acción también hace que se conmute por error a la interfaz de respaldo asoen la que se configuró el seguimiento de IP (consulte “Definición de conmutación por error de interfaces” en la pàgin
Capítulo 3 Interfaces Cambios de estado de la interfaz
85
nfigurado una dirección IP de
HA o MGT)
a el seguimiento de IP puede z compartida el seguimiento de
P por parte del dispositivo seguimiento. En esta suma se an para el seguimiento de IP el nivel vsys.
interfaz. Por cada dirección IP
o a la dirección IP especificada.se considere que la conexión
onexiones IP fallidas supera un
pa 3 (modo de ruta).
agregada, no puede ser un
. Sin embargo, desde dentro del vsys nsulte “Supervisión de interfaces” en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Configuración del seguimiento de IPPuede definir el seguimiento de IP en las siguientes interfaces para las que haya coadministración:
• Interfaz física asociada a una zona de seguridad (no las zonas funcionales
• Subinterfaz• Interfaz redundante• Interfaz agregada
En los dispositivos que admiten sistemas virtuales, la interfaz en la que se establezcpertenecer al sistema raíz o a un sistema virtual (vsys). Sin embargo, en una interfaIP sólo se puede establecer en el nivel raíz8.
Para cada interfaz se puede configurar el seguimiento de hasta cuatro direcciones INetScreen. En un único dispositivo, se pueden configurar hasta 64 direcciones IP deincluyen todas las direcciones IP de seguimiento, independientemente de si se utilizbasado en interfaz, para el seguimiento de IP basado en NSRP, en el nivel raíz o en
Las direcciones IP de seguimiento no tienen por qué estar en la misma subred que laque desee someter a un seguimiento, se puede especificar lo siguiente:
• Intervalo, en segundos, transcurrido el cual se enviarán las peticiones de ec• Número de intentos de petición de eco consecutivos sin éxito antes de que
con la dirección IP ha fallado.• Peso de la conexión IP fallida (una vez que la suma de pesos de todas las c
umbral determinado, se desactivan las rutas asociadas a la interfaz).
Nota: La interfaz puede operar en la capa 2 (modo transparente) o en la ca
Nota: Aunque la interfaz puede ser una interfaz redundante o una interfaz miembro de una interfaz redundante o agregada.
8. Desde un vsys, puede establecer la supervisión de una interfaz compartida desde una interfaz que pertenezca al vsysno se puede establecer la supervisión de interfaces desde una interfaz compartida. Para obtener más información, cola pàgina 91.
Capítulo 3 Interfaces Cambios de estado de la interfaz
86
ace predeterminada de una LI)
it (para la interfaz cliente DHCP
direcciones IP:
intentos fallidos consecutivos cción IP que deben producirse l umbral, el nivel de tividad será inaceptable. Este lor predeterminado es 3.
tos fallidos acumulados por tas asociadas a dicha interfaz. terminado es 1, lo que significa ada y supervisada provoca la
portancia de la conectividad de ignar pesos relativamente es menos importantes. al de fallos de una dirección IP en una interfaz es 3, el fallo de l de fallos para el seguimiento El fallo de una única dirección el seguimiento de IP en la
to de una dirección IP, el tabla de enrutamiento.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
También puede configurar el dispositivo NetScreen para supervisar la puerta de enlinterfaz que sea un cliente PPPoE o DHCP. Para ello, utilice la opción “Dynamic”: (Cset interface interface monitor dynamic o bien (WebUI) Network > Interfaces > Edo PPPoE) > Monitor > Track IP > Add: seleccione Dynamic.
Pueden establecerse dos tipos de umbrales en la configuración del seguimiento de
• Umbral de fallos de una determinada dirección IP supervisada: Número de por obtener respuesta a una petición de eco (“ping”) de una determinada direpara que se considere un fallo de acceso a esa dirección. Si no se supera econectividad con la dirección será aceptable; si se supera, el nivel de conecumbral se establece para cada dirección IP con un valor entre 1 y 200. El va
• Umbral de fallos de seguimiento de IP en la interfaz: Peso total de los intenacceder a direcciones IP de la interfaz que causa la desactivación de las ruEste umbral se puede ajustar en cualquier valor entre 1 y 255. El valor predeque cualquier fallo producido al intentar acceder a una dirección IP configurdesactivación de las rutas asociadas a la interfaz.
Si se aplica un peso (o valor) a una dirección IP supervisada, se puede ajustar la imesa dirección en relación con el acceso a otras direcciones supervisadas. Puede asmayores a direcciones relativamente más importantes, y pesos menores a direccionObserve que los pesos asignados sólo tienen relevancia cuando se alcanza el umbrespecífica supervisada. Por ejemplo, si el umbral de fallos para el seguimiento de IPuna única dirección IP sometida a seguimiento con un peso de 3 completa el umbrade IP en la interfaz, lo que hace que se desactiven las rutas asociadas a la interfaz.IP sometida a seguimiento con un peso de 1 no completaría el umbral de fallos parainterfaz, por lo que las rutas asociadas a la interfaz seguirían activas.
Nota: Cuando se configura el dispositivo NetScreen para que realice un seguimiendispositivo NetScreen no agrega ninguna ruta de host para dicha dirección IP en la
Capítulo 3 Interfaces Cambios de estado de la interfaz
87
signada la dirección de red . La interfaz ethernet3 tiene La interfaz ethernet4 tiene
az de salida con la dirección de trico de 10) se utiliza ethernet4 ce. La ruta predeterminada en
ferior (el valor métrico ute indica cuatro rutas activas
que pasa por ethernet3 está ne menos prioridad.
Zona Untrust
Internet
tador.250
tador.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Configuración del seguimiento de IP de interfazEn el ejemplo siguiente, la interfaz ethernet1 está asociada a la zona Trust y tiene a10.1.1.1/24. Las interfaces ethernet3 y ethernet4 están asociadas a la zona Untrustasignada la dirección de red 1.1.1.1/24 y está conectada al enrutador en 1.1.1.250. asignada la dirección de red 2.2.2.1/24 y está conectada al enrutador en 2.2.2.250.
Hay dos rutas predeterminadas configuradas: en una se utiliza ethernet3 como interfenrutador 1.1.1.250 como puerta de enlace; en la otra (configurada con un valor mécomo interfaz de salida con la dirección de enrutador 2.2.2.250 como puerta de enlala que se utiliza ethernet3 es la ruta preferente, puesto que tiene un valor métrico inpredeterminado para rutas estáticas es 1). El siguiente resultado del comando get ropara trust-vr (las rutas activas se señalan con un asterisco). La ruta predeterminadaactiva; la ruta predeterminada que pasa por ethernet4 no está activa, puesto que tie
Zona Trust
10.1.1.0/24
ethernet110.1.1.1/24
ethernet31.1.1.1/24
Enru1.1.1
ethernet42.2.2.1/24 Enru
2.2.2
Capítulo 3 Interfaces Cambios de estado de la interfaz
88
ue pasa por ethernet4 se et3 para supervisar la dirección s rutas asociadas a la interfaz predeterminada que atraviesa 50 de nuevo, la ruta empo, la ruta predeterminada menor que la ruta que pasa por
interfaz de 5 y se configura el or 1.1.1.250, que tiene
----------------------, R - RIP
----------------------P Pref Mtr Vsys----------------------S 20 1 RootC 0 0 RootS 20 10 RootC 0 1 RootC 20 1 Root
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si la ruta que atraviesa ethernet3 deja de estar disponible, la ruta predeterminada qconvertirá en ruta activa. Active y configure el seguimiento de IP en la interfaz ethernde enrutador 1.1.1.250. Si el seguimiento de IP falla al acceder a 1.1.1.250, todas laethernet3 pasan a ser inactivas en el dispositivo NetScreen. En consecuencia, la rutaethernet4 se convierte en activa. Cuando el seguimiento IP pueda acceder a 1.1.1.2predeterminada que pasa por ethernet3 se convertirá en la ruta activa y, al mismo tique atraviesa ethernet4 pasará a estado inactivo, ya que tiene un nivel de prioridad ethernet3.
Con los siguientes ajustes se activa el seguimiento de IP con un umbral de fallos deseguimiento de IP en la interfaz ethernet3 para supervisar la dirección IP de enrutadasignado un peso de 10.
ns-> get routeuntrust-vr (0 entries)----------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - ImportediB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1E2 - OSPF external type 2trust-vr (4 entries)---------------------------------------------------------- ID IP-Prefix Interface Gateway ----------------------------------------------------------* 4 0.0.0.0/0 eth3 1.1.1.250 * 2 1.1.1.0/24 eth3 0.0.0.0 3 0.0.0.0/0 eth4 2.2.2.250 * 6 2.2.2.0/24 eth4 0.0.0.0 * 5 10.1.1.0/24 eth1 0.0.0.0
Capítulo 3 Interfaces Cambios de estado de la interfaz
89
s datos y haga clic en
s datos y haga clic en Add :
ht 10
redeterminado (3). Es decir, un peso de 10 al umbral de iento de IP en la interfaz es itivo NetScreen.
CLI
count success-rate 46%
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los siguiente Apply :
Enable Track IP: (seleccione)
Threshold: 5
> Monitor Track IP ADD: Introduzca los siguiente
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 10
CLI
set interface ethernet3 monitor track-ip ip 1.1.1.250 weigset interface ethernet3 monitor track-ip threshold 5set interface ethernet3 monitor track-ipsave
En este ejemplo, el umbral de fallos para la dirección de destino está ajustado al valor psi el destino no devuelve una respuesta a tres peticiones de eco consecutivas, se aplicafallos para el seguimiento de IP en la interfaz. Como el umbral de fallos para el seguim5, un peso de 10 hace que se desactiven las rutas asociadas a la interfaz en el dispos
Puede verificar el estado del seguimiento de IP en la interfaz introduciendo el comandoget interface ethernet3 track-ip tal como se indica a continuación:
ns-> get interface ethernet3 track-ipip address interval threshold wei gateway fail-1.1.1.250 1 1 10 0.0.0.0 343 threshold: 5, failed: 1 ip(s) failed, weighted sum = 10
Capítulo 3 Interfaces Cambios de estado de la interfaz
90
tá activa en estos momentos;
iento de IP utiliza las rutas e destino. Cuando el atraviesa ethernet3 se vuelve a erminada que pasa por ruta predeterminada que pasa
--------------------- R - RIP
--------------------- Pref Mtr Vsys--------------------- 20 1 Root 0 0 Root 20 10 Root 0 1 Root 20 1 Root
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El comando get route indica que la ruta predeterminada que atraviesa ethernet4 estodas las rutas que pasan por ethernet3 han dejado de estar activas.
Recuerde que aunque las rutas que pasan por ethernet3 no estén activas, el seguimasociadas a ethernet3 para continuar enviando peticiones de eco a la dirección IP dseguimiento de IP puede acceder de nuevo a 1.1.1.250, la ruta predeterminada que convertir en la ruta activa del dispositivo NetScreen. Al mismo tiempo, la ruta predetethernet4 se convierte en ruta inactiva, ya que su nivel de prioridad es inferior al de lapor ethernet3.
ns-> get routeuntrust-vr (0 entries)-----------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported,iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1E2 - OSPF external type 2trust-vr (4 entries)----------------------------------------------------------- ID IP-Prefix Interface Gateway P----------------------------------------------------------- 4 0.0.0.0/0 eth3 1.1.1.250 S 2 1.1.1.0/24 eth3 0.0.0.0 C* 3 0.0.0.0/0 eth4 2.2.2.250 S* 6 2.2.2.0/24 eth4 0.0.0.0 C* 5 10.1.1.0/24 eth1 0.0.0.0 C
Capítulo 3 Interfaces Cambios de estado de la interfaz
91
y ejecutar una determinada az supervisada cambia de
también se desactive otra aba de desactivarse. Puede
edar física o lógicamente
está desactivando as interfaces que se cadenar un fallo de NSRP. Un sólo puede producirse como de una interfaz.
también se desactive otra aba de desactivarse. Aunque
va, puede especificar si el e ser lógico o físico.
Cambio de estado para ethernet2Si• el peso del fallo de
ethernet3 es ≥ al umbral de fallos de supervisión y
• la acción en caso de fallo es cambiar de activo a inactivo,
entonces ethernet2 cambia su estado de activo a inactivo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Supervisión de interfacesUn dispositivo NetScreen puede supervisar el estado físico y lógico de las interfacesacción en función de los cambios observados. Por ejemplo, si el estado de una interfactivo a inactivo, puede ocurrir lo siguiente:
Si Entoncesel estado físico de una interfaz cambia de activo a inactivo
el cambio de estado puede provocar que interfaz que esté supervisando a la que acespecificar si la segunda interfaz debe qudesactivada.
El cambio de estado de la interfaz que sefísicamente, o el peso combinado de ambdesactivan al mismo tiempo, puede desenfallo de dispositivo NSRP o de grupo VSDresultado de un cambio en el estado físico
el estado lógico de una interfaz cambia de activo a inactivo como resultado de un fallo de seguimiento de IP
el cambio de estado puede provocar que interfaz que esté supervisando a la que acla primera interfaz esté lógicamente inactiestado inactivo de la segunda interfaz deb
Utilizando el seguimiento de IP, ethernet3 supervisa al enrutador en 1.1.1.250.
ethernet3IP 1.1.1.1
ethernet2IP 2.1.1.1
Utilizando la supervisión de interfaces, ethernet2 supervisa a ethernet3.
Cambio de estado para ethernet3Si• el número de intentos fracasados
de ejecutar un “ping” a 1.1.1.250 excede el umbral de fallos de esa dirección IP supervisada,
• el peso de la IP supervisada 1.1.1.250 es ≥ al umbral de fallos del objeto supervisado,
• el peso del objeto supervisado es ≥al umbral de fallos de supervisión y
• la acción en caso de fallo es cambiar de activo a inactivo,
entonces ethernet3 cambia su estadode activo a inactivo.
Una interfaz supervisando a otra interfaz
Capítulo 3 Interfaces Cambios de estado de la interfaz
92
ocedimientos:
> Edit Interface: Introduzca los
sea supervisar.
weight number ]
o: 255.
si cualquiera de las interfaces
admite configuraciones en las
Segundo cambio de estadoSi• el peso del fallo de la
primera interfaz es ≥ al umbral de fallos de supervisión de la segunda interfaz y
• la acción en caso de fallo es cambiar de activo a inactivo,
la segunda interfaz también cambia su estado de activo a inactivo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para establecer la supervisión de interfaces, ejecute cualquiera de los siguientes pr
WebUINetwork > Interfaces > Edit (para la interfaz que desee supervisar) > Monitorsiguientes datos y haga clic en Apply :
Interface Name: Seleccione la interfaz que de
Weight: Indique un peso entre 1 y 255.
CLIset interface interface1 monitor interface interface2 [
Si no indica un peso, el dispositivo NetScreen aplica el valor predeterminad
Cuando dos interfaces se supervisan mutuamente, forman un bucle. En este caso, cambia de estado, la otra interfaz del bucle también lo hace.
Nota: Una interfaz sólo puede pertenecer a un bucle a la vez. Juniper Networks noque una interfaz pertenezca a varios bucles.
Utilizando el seguimiento de IP, ambas interfaces supervisan enrutadores.
ethernet3IP 1.1.1.1
ethernet2IP 2.1.1.1
Utilizando la supervisión de interfaces, también se supervisan mutuamente.
Primer cambio de estadoSi• el número de intentos fracasados
de ejecutar un “ping” a cualquierade los enrutadores excede el umbral de fallos de esa direcciónIP supervisada,
• el peso de la IP supervisada fallida es ≥ al umbral de fallos delobjeto supervisado,
• el peso del objeto supervisado es≥ al umbral de fallos de supervisión y
• la acción en caso de fallo es cambiar de activo a inactivo,
esa interfaz cambia su estado de activo a inactivo.
Bucle – Dos interfaces supervisándose mutuamente
Capítulo 3 Interfaces Cambios de estado de la interfaz
93
hernet2. Dado que el peso de to ethernet1 como ethernet2 ar el fallo de ethernet3 (y
zca los siguientes datos y haga
po “Monitor Threshold” y haga
thernet1 y ethernet2 (consulte anera de que ethernet1 y s de la red o que no puedan
en 16, el fallo de ethernet1 o de
et2. Dado que el umbral de fallos bas interfaces combinadas, para
s interfaces supervisadas.
7 8
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Dos interfaces supervisadasEn este ejemplo configurará ethernet3 para supervisar dos interfaces, ethernet1 y etcada interfaz supervisada (8 + 8) es igual al umbral de fallos de supervisión (16), tandeben fallar (y cambiar su estado de activo a inactivo) simultáneamente para provoccambiar a su estado de activo a inactivo)9.
WebUINetwork > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface: Introduclic en Apply:
ethernet1: (seleccione), Weight: 8ethernet2: (seleccione), Weight: 8
Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el camclic en Apply.
Nota: Este ejemplo omite la configuración del seguimiento de IP en las interfaces e“Seguimiento de direcciones IP” en la pàgina 84). Sin seguimiento de IP, la única methernet2 puedan fallar es que sean desconectadas físicamente de otros dispositivomantener enlaces con esos dispositivos.
9. Si establece el umbral de fallos de supervisión en 8, o lo deja en 16 y establece el peso de cada interfaz supervisadaethernet2 puede hacer fallar a ethernet3.
ethernet3 supervisa a ethernet1 y a ethernde supervisión (F-T) = los pesos (W) de amhacer fallar a ethernet3 deben fallar las do
W = 8 W = 8Interfaces supervisadas:
ethernet1, peso 8ethernet2, peso 8
Monitor Failure Threshold: 16
F-T: 16
Interfaces del dispositivo NetScreen
ethernet1 – ethernet82 3 5 61 4
Capítulo 3 Interfaces Cambios de estado de la interfaz
94
8 8
t1 y ethernet3. A , si una cambia de estado, la o reenvia tráfico a través de ero estas rutas tienen otras puertas de enlace terfaces falla, el dispositivo s se encuentran en el
7 8
s rutas que se refieren a . Entonces, el dispositivo ethernet2 y ethernet4.
net1 gateway 10.1.1.250 metric 10net2 gateway 10.1.2.250 metric 12t3 gateway 1.1.1.250 metric 10t4 gateway 1.1.2.250 metric 12
realizan el seguimiento de a al enrutador interno en supervisa al enrutador
shold: 10
8hold: 8
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLIset interface ethernet3 monitor interface ethernet1 weightset interface ethernet3 monitor interface ethernet2 weightset interface ethernet3 monitor threshold 16save
Ejemplo: Bucle de supervisión de interfacesEn este ejemplo, primero configurará el seguimiento de IP para dos interfaces, ethernecontinuación, configurará estas interfaces para supervisarse mutuamente de modo queotra actúe de igual modo. Por último, definirá dos conjuntos de rutas. El primer conjuntethernet1 y ethernet3. El segundo conjunto tiene las mismas direcciones de destino, pmétricas de menor rango y utilizan otras interfaces de salida (ethernet2 y ethernet4) y diferentes a las del primer conjunto. Con esta configuración, si el primer conjunto de inNetScreen puede redirigir todo el tráfico a través del segundo conjunto. Todas las zonadominio de enrutamiento trust-vr.
Interfaces del dispositivo NetScreen
ethernet1 – ethernet82 3 5 6
ethernet1 y ethernet3 se supervisan mutuamente. Dado que el peso de la interfaz supervisada es = al umbral de fallos de supervisión, el fallo de cualquier interfaz hace que la otra falle también.
Bucle de interfaz supervisora:ethernet1 y ethernet3
Monitored Interface Weight: 8Monitor Failure Threshold: 8
41
Si ethernet1 y ethernet3 se desactivan, laesas interfaces también quedan inactivasNetScreen redirige el tráfico a través de
10.1.1.1/24Zona Trust
10.1.2.1/24Zona Trust
1.1.1.1/24Zona Untrust
1.1.2.1/24Zona Untrust
Enrutador interno
10.1.1.25010.1.2.250
Enrutador externo1.1.1.2501.1.2.250
Rutasset route 10.1.0.0/16 interface etherset route 10.1.0.0/16 interface etherset route 0.0.0.0/0 interface etherneset route 0.0.0.0/0 interface etherne
ethernet1 y ethernet3IP. ethernet1 supervis10.1.1.250. ethernet3externo en 1.1.1.250.Track IP Failure ThreTrack IP Weight: 8Track Object Weight: Monitor Failure Thres
A los hosts de la zona Trust
A Internet
Capítulo 3 Interfaces Cambios de estado de la interfaz
95
ntes datos y haga clic en
ntes datos y haga clic en Add :
ntes datos y haga clic en
CLI set interface interface monitor cas asociadas a cualquier zona de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Seguimiento de IPNetwork > Interfaces > Edit (para ethernet1) > Monitor: Introduzca los siguieApply .
Enable Track IP: (seleccione)
Monitor Threshold: 810
Track IP Option: Threshold: 8
Weight: 8
> Monitor Track IP ADD: Introduzca los siguie
Static: (seleccione)
Track IP: 10.1.1.250
Weight: 8
Interval: 3 Seconds
Threshold: 10
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los siguieApply .
Enable Track IP: (seleccione)
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
10. Para controlar si el estado de una interfaz se vuelve lógica o físicamente inactivo (o activo), debe utilizar el comandothreshold number action { down | up } { logically | physically }. Sólo se pueden activar o desactivar interfaces físiseguridad distinta de la zona Null.
Capítulo 3 Interfaces Cambios de estado de la interfaz
96
ntes datos y haga clic en Add :
zca los siguientes datos y haga
zca los siguientes datos y haga
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Monitor Track IP ADD: Introduzca los siguie
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 8
Interval: 3 Seconds
Threshold: 10
2. Supervisión de interfacesNetwork > Interfaces > Edit (para ethernet1) > Monitor > Edit Interface: Introduclic en Apply :
ethernet3: (seleccione), Weight: 8
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface: Introduclic en Apply :
ethernet1: (seleccione), Weight: 8
3. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250
Metric: 10
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 10.1.2.250
Metric: 12
Capítulo 3 Interfaces Cambios de estado de la interfaz
97
s datos y haga clic en OK :
s datos y haga clic en OK :
ht 8physicallyht 8
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguiente
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Metric: 10
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguiente
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet4
Gateway IP Address: 1.1.2.250
Metric: 12
CLI
1. Seguimiento de IPset interface ethernet1 track-ip ip 10.1.1.250 weight 8set interface ethernet1 track-ip threshold 8set interface ethernet1 track-ip weight 8set interface ethernet1 track-ip
set interface ethernet3 track-ip ip 1.1.1.250 weight 8set interface ethernet3 track-ip threshold 8set interface ethernet3 track-ip weight 8set interface ethernet3 track-ip
2. Supervisión de interfacesset interface ethernet1 monitor interface ethernet3 weigset interface ethernet1 monitor threshold 8 action down set interface ethernet3 monitor interface ethernet1 weig
Capítulo 3 Interfaces Cambios de estado de la interfaz
98
physically
t1 gateway 10.1.1.250
t2 gateway 10.1.2.250
gateway 1.1.1.250
gateway 1.1.2.250
as interfaces de una zona de a zona de seguridad, deben una sola interfaz asociada a ctiva.
cualquiera de los siguientes
r > Edit Zone: Introduzca los
ue sea supervisada.
r ]
o: 255.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
set interface ethernet3 monitor threshold 8 action down
3. Rutasset vrouter trust-vr route 10.1.0.0/16 interface etherne
metric 10set vrouter trust-vr route 10.1.0.0/16 interface etherne
metric 12set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
metric 10set vrouter trust-vr route 0.0.0.0/0 interface ethernet4
metric 12save
Supervisión de zonas de seguridadAdemás de supervisar interfaces individuales, una interfaz puede supervisar todas lseguridad (cualquier zona de seguridad salvo la suya propia). Para que falle toda unfallar cada una de las interfaces asociadas a esa zona. Mientras permanezca activauna zona supervisada, el dispositivo NetScreen considerará que toda la zona está a
Para configurar una interfaz de modo que supervise una zona de seguridad, ejecuteprocedimientos:
WebUINetwork > Interfaces > Edit (para la interfaz que desee supervisar) > Monitosiguientes datos y haga clic en Apply :
Zone Name: Seleccione la zona que desee q
Weight: Indique un peso entre 1 y 255.
CLIset interface interface monitor zone zone [ weight numbe
Si no indica un peso, el dispositivo NetScreen aplica el valor predeterminad
Capítulo 3 Interfaces Cambios de estado de la interfaz
99
direccionar el tráfico saliente ibles a través de la primera s asociadas a una interfaz
eguir enviando y recibiendo sesión existente que puede ismo, el dispositivo
irecciones IP de destino para sando una interfaz en la que rutas. El modo en el que el ientes factores:e salida para una sesión, es positivo NetScreen continúe
entrada para una sesión, la een redirija las respuestas de enviará las respuestas de la l dispositivo NetScreen haya comando está desactivado).
ón MAC del iniciador de una mando CLI set arp AC del iniciador de una o procese la respuesta cuentra en la tabla ARP, el la ARP, el dispositivo dirección MAC recibida a su produce un cambio de ruta.nto de IP en la interfaz de a el comando
ios de rutas y cómo pueden s de NetScreen-5XT y -5GT. n por error de interfaz. Para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaces inactivas y flujo de tráficoLa configuración del seguimiento de IP en una interfaz permite al dispositivo NetScreen rea través de una interfaz distinta cuando determinadas direcciones IP dejan de ser accesinterfaz. Sin embargo, aunque es posible que el dispositivo NetScreen desactive las rutadebido a un fallo de seguimiento de IP, la interfaz puede continuar físicamente activa y stráfico. Por ejemplo, el dispositivo NetScreen sigue procesando el tráfico entrante de unallegar a la interfaz original en la que se haya producido el fallo de seguimiento de IP. AsimNetScreen continúa utilizando la interfaz para enviar peticiones de comando ping a las ddeterminar si los destinos son accesibles de nuevo. En estos casos, el tráfico sigue atraveha fallado el seguimiento de IP y para la que el dispositivo NetScreen ha desactivado lasdispositivo NetScreen gestiona el tráfico de sesión en dicha interfaz depende de los sigu
• Si la interfaz en la que se configura el seguimiento de IP actúa como interfaz dposible que las respuestas de la sesión sigan llegando a la interfaz y que el disprocesándolas.
• Si la interfaz en la que se configura el seguimiento de IP actúa como interfaz deaplicación del comando set arp always-on-dest hace que el dispositivo NetScrla sesión a otra interfaz. Si no activa este comando, el dispositivo NetScreen resesión a través de la interfaz en la que ha fallado el seguimiento de IP aunque edesactivado las rutas que utilizan dicha interfaz. (De forma predeterminada, esteDe forma predeterminada, un dispositivo NetScreen guarda en caché la direccisesión cuando recibe el paquete inicial de una sesión nueva. Si introduce el coalways-on-dest , el dispositivo NetScreen no guardará en caché la dirección Msesión. En su lugar, el dispositivo NetScreen realizará una consulta ARP cuandcorrespondiente a dicho paquete inicial. Si la dirección MAC del iniciador se endispositivo NetScreen la utilizará. Si la dirección MAC no se encuentra en la tabNetScreen envía una petición ARP para la dirección MAC de destino y agrega latabla ARP. El dispositivo NetScreen realiza otra consulta ARP cada vez que se
En la siguiente sección se describen los diversos contextos en los que falla el seguimiesalida y en la interfaz de entrada; y, en el caso de la última, qué ocurre cuando se utilizset arp always-on-dest .
Nota: En la sección siguiente se describe cómo el seguimiento de IP dispara los cambafectar estos cambios al flujo de paquetes de todos los dispositivos NetScreen distintoEn el caso de estos dispositivos, un fallo de seguimiento de IP dispara una conmutacióobtener más información, consulte “Interfaces Dual Untrust” en la pàgina 10 -69.
Capítulo 3 Interfaces Cambios de estado de la interfaz
100
la interfaz de salida para las , tal como se indica a
e salida deben encontrarse l redireccionamiento.
Untrust
Host B2.2.2.2
Si el paquete pertenece a una
de una sesión y cada vez que r a 0.0.0.0/0, enviar el paquete
rzonal procedente del host A á enviando.
ue el host B recibe el paquete.
uertas de enlace:
1.1.1.2541.1.2.254
4
Seguimiento de IP activado desde ethernet2
Respondedor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Fallo en la interfaz de salidaEn el siguiente contexto, vamos a configurar el seguimiento de IP en ethernet2, que essesiones del host A al host B. El host A inicia la sesión enviando un paquete al host Bcontinuación.
Nota: Primero hay que crear dos rutas que conduzcan al host B, y ambas interfaces den la misma zona para que se aplique la misma directiva al tráfico antes y después de
Host A10.1.1.5
Zona Trust Zona
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
Segunda interfaz de salidaethernet31.1.2.1/24
1. El host A en 10.1.1.5 envía un paquete a ethernet1 (10.1.1.1) destinado al host B en 2.2.2.2.2. El dispositivo NetScreen realiza las siguientes tareas:
2.1 Consulta de sesiones : si se trata del primer paquete, el dispositivo NetScreen crea una sesión.sesión existente, el dispositivo NetScreen actualiza la entrada de la tabla de sesiones.
2.2 Consulta de rutas : el dispositivo NetScreen realiza una consulta de rutas para el primer paquetela ruta cambia. Con la consulta de rutas se obtiene como resultado la siguiente ruta: para accedea través de la interfaz ethernet2 hasta la puerta de enlace 1.1.1.254.
2.3 Consulta de directivas : el dispositivo NetScreen aplica las directivas de seguridad al tráfico inteen la zona Trust y destinado al host B en la zona Untrust para el tipo de tráfico que el host A est
3. El dispositivo NetScreen reenvía el paquete a través de ethernet2 a la puerta de enlace en 1.1.1.254.4. La puerta de enlace en 1.1.1.254 reenvía el paquete al siguiente salto. El enrutamiento continúa hasta q
P
Consulta de
sesiones
Consulta de rutas
Consulta de
directivas
Flujo de tráfico del host A al host B: petición (inicio de sesión)
1
2
3
Iniciador
Capítulo 3 Interfaces Cambios de estado de la interfaz
101
similar a través del dispositivo
na Untrust
Host B2.2.2.2
endo NAT para mayor
salto, que es 1.1.1.1, la
puesta, el dispositivo sesiones. ARP para averiguar la host A.
1
Seguimiento de IP desde ethernet2 correcto.
Puertas de enlace:1.1.1.2541.1.2.254
Respondedor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cuando el host B responde al host A, el tráfico de retorno sigue una ruta de regresoNetScreen, como se indica a continuación.
Host A10.1.1.5
Zona Trust Zo
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
1. El host B en 2.2.2.2 responde con un paquete destinado al host A en 10.1.1.5 (omiticlaridad).
2. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la reenvía al siguiente dirección IP de ethernet2.
3. El dispositivo NetScreen realiza una consulta de sesiones. Como se trata de una resNetScreen la relaciona con una sesión existente y actualiza la entrada de la tabla de
4. Utilizando la dirección MAC del host A guardada en caché o realizando una consultadirección MAC, el dispositivo NetScreen reenvía el paquete a través de ethernet1 al
Consulta de sesiones
Flujo de tráfico del host A al host B: respuesta
2
3
4
Segunda interfaz de salidaethernet31.1.2.1/24
Iniciador
Capítulo 3 Interfaces Cambios de estado de la interfaz
102
s que utilicen ethernet2 y utiliza l host B al host A pueden llegar s reenvía a través de ethernet1
na Untrust
Host B2.2.2.2
siguientes tareas:en ethernet2. Realiza r ethernet2 y la puerta e 1.1.2.254.es en busca de todas
cia la puerta de enlace
ia 1.1.2.254.etScreen realiza una temente de la interfaz rnet1 al host A.
Seguimiento de IP desde ethernet2 incorrecto.
Puertas de enlace:
1.1.1.2541.1.2.254
Respondedor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva las rutaethernet3 para el tráfico saliente destinado al host B. Sin embargo, las respuestas detanto a través de ethernet2 como a través de ethernet3, y el dispositivo NetScreen laal host A.
Host A10.1.1.5
Zona Trust Zo
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilic
una consulta de rutas y sustituye la ruta que conduce a 2.2.2.2 y que pasa pode enlace 1.1.1.254 por otra ruta que pasa por ethernet3 y la puerta de enlac
1.2 Actualización de sesión : el dispositivo NetScreen analiza la tabla de sesionlas entradas que utilicen ethernet2 y las redirecciona a través de ethernet3 ha1.1.2.254.
2. El dispositivo NetScreen redirecciona el tráfico del host A a través de ethernet3 hac3. Las respuestas del host B pueden llegar a ethernet2 o a ethernet3. El dispositivo N
consulta de sesiones y relaciona los paquetes con una sesión existente. Independiena la que lleguen los paquetes, el dispositivo NetScreen los reenvía a través de ethe
4. El dispositivo NetScreen reenvía el paquete a través de ethernet1 al host A.
Actualización de sesiones
Flujo de tráfico del host A al host B: el fallo de seguimiento de IP dispara el redireccionamiento
1
2
3
Cambio de ruta
4
Nota: El tráfico de salida sólo utiliza ethernet3; en cambio, el tráfico de entrada puede utilizar tanto ethernet2 como ethernet3.
Segunda interfaz de salida
ethernet31.1.2.1/24
Iniciador
Capítulo 3 Interfaces Cambios de estado de la interfaz
103
esta vez ethernet2 será la El host B iniciará la sesión
ilar a través del dispositivo
na Untrust
Host B2.2.2.2
para mayor claridad). tareas:na entrada nueva en
.1.5.
1
Seguimiento de IP activado desde ethernet2.
Puertas de enlace:1.1.1.2541.1.2.254
Iniciador
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Fallo en la interfaz de entradaEn el siguiente supuesto, configurará de nuevo el seguimiento de IP en ethernet2, perointerfaz de entrada en el dispositivo NetScreen para las sesiones del host B al host A. enviando un paquete al host A, tal como se indica a continuación.
Cuando el host A responde al host B, el tráfico de retorno sigue una ruta de regreso simNetScreen, como se indica a continuación.
Host A10.1.1.5
Zona Trust Zo
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
1. El host B en 2.2.2.2 envía un paquete destinado al host A en 10.1.1.5 (omitiendo NAT2. Cuando el paquete llega a ethernet2, el dispositivo NetScreen realiza las siguientes
2.1 Consulta de sesiones (y como se trata del primer paquete de la sesión, crea ula tabla de sesiones)
2.2 Consulta de rutas2.3 Consulta de directivas
3. El dispositivo NetScreen reenvía el paquete a través de ethernet1 al host A en 10.1
Consulta de directivas
Consulta de rutas
Consulta de sesiones
Flujo de tráfico del host B al host A: petición (inicio de sesión)
2
3
Segunda interfaz de salidaethernet31.1.2.1/24
Respondedor
Capítulo 3 Interfaces Cambios de estado de la interfaz
104
s que utilicen ethernet2 y utiliza l host B al host A pueden seguir hernet1 al host A. El flujo de és de que se produzca un fallo
rutas distintas, en función de la
petición ARP para la dirección ndo se produzca un cambio de aché la dirección MAC del nada, este comando está
na Untrust
Host B2.2.2.2
Seguimiento de IP desde ethernet2 correcto.
al host B (2.2.2.2).esta, el dispositivo NetScreen
realizando una consulta ARP de ethernet2 a la puerta de enlace.lto. El enrutamiento continúa
4
Puertas de enlace:1.1.1.2541.1.2.254
Iniciador
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva las rutaethernet3 para el tráfico saliente destinado al host B. Sin embargo, las peticiones dellegando a través de ethernet2, y el dispositivo NetScreen las reenvía a través de etdatos para las peticiones del host B al host A sigue teniendo el mismo aspecto despude seguimiento de IP. Sin embargo, las respuestas del host A pueden atravesar dosaplicación del comando set arp always-on-dest .
Si activa el comando set arp always-on-dest , el dispositivo NetScreen enviará unaMAC de destino cuando procese la respuesta al primer paquete de una sesión o cuaruta. (Cuando este comando está desactivado, el dispositivo NetScreen guarda el ciniciador de la sesión y la utiliza para procesar las respuestas. De forma predetermidesactivado).
Host A10.1.1.5
Zona Trust Zo
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
Consulta de sesiones
Flujo de tráfico del host B al host A: respuesta
1
2
3
1. El host A en 10.1.1.5 envía un paquete de respuesta a ethernet1 en 10.1.1.1 destinado2. El dispositivo NetScreen realiza una consulta de sesiones. Como se trata de una respu
la relaciona con una sesión existente y actualiza la entrada de la tabla de sesiones.3. Utilizando la dirección MAC de la puerta de enlace en 1.1.1.254 guardada en caché o
para averiguar la dirección MAC, el dispositivo NetScreen reenvía el paquete a través 4. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la reenvía al siguiente sa
hasta que el host B recibe el paquete.
Respondedor
Segunda interfaz de salidaethernet31.1.2.1/24
Capítulo 3 Interfaces Cambios de estado de la interfaz
105
primero todas las rutas que l host B a través de ethernet3 y rige todas las sesiones a la Screen realizará una consulta na sesión afectada por el aquetes del host B, el la puerta de enlace en
na Untrust
Host B2.2.2.2
Seguimiento de IP desde ethernet2 incorrecto.
ientes tareas:thernet2. Sustituye la ruta que a ruta que pasa por ethernet3 y la
en busca de todas las entradas nlace 1.1.2.254.
que la estructura de enrutamiento iona el paquete con una sesión
za una consulta ARP para la
Iniciador
Puertas de enlace:1.1.1.2541.1.2.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva utilicen ethernet2 y realiza una consulta de rutas. Encuentra otra ruta para acceder ala puerta de enlace en 1.1.2.254. A continuación, analiza la tabla de sesiones y redinueva ruta. Si está activado el comando set arp always-on-dest , el dispositivo NetARP cuando reciba el siguiente paquete del host A porque el paquete pertenece a ucambio de ruta. Independientemente de la interfaz de entrada a la que lleguen los pdispositivo NetScreen envía todas las respuestas del host A a través de ethernet3 a1.1.2.254.
Host A10.1.1.5
Zona Trust Zo
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
Flujo de tráfico del host B al host A: el fallo de seguimiento de IP dispara el redireccionamiento
2
1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las sigu1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilicen e
conduce a 2.2.2.2 y que pasa por ethernet2 y la puerta de enlace 1.1.1.254 por otrpuerta de enlace 1.1.2.254.
1.2 Actualización de sesiones : el dispositivo NetScreen analiza la tabla de sesionesque utilicen ethernet2 y las redirecciona a través de ethernet3 hacia la puerta de e
2. Es posible que las peticiones procedentes del host B sigan llegando a ethernet2, o bien, las redirija a ethernet3. El dispositivo NetScreen realiza una consulta de sesiones y relacexistente.
3. Como está activado el comando set arp always-on-dest , el dispositivo NetScreen realirespuesta del host A y la envía a través de ethernet3 a la puerta de enlace en 1.1.2.254.
Actualización de sesiones
1
Cambio de ruta
Segunda interfaz de salidaethernet31.1.2.1/24
Respondedor
3
Capítulo 3 Interfaces Cambios de estado de la interfaz
106
edeterminada), el dispositivo n caché cuando el host B envió tas de sesión a través de avés del dispositivo NetScreen.
es tareas:rnet2. Sustituye la ruta que conduce a por ethernet3 y la puerta de enlace
busca de todas las entradas que .1.2.254. Sin embargo, como el en 1.1.1.254, continúa utilizando
ivo NetScreen realiza una consulta t1 al host A en 10.1.1.5.a la puerta de enlace en 1.1.1.254. necerá inalterada en la tabla de
Untrust
Host B2.2.2.2
Seguimiento de IP desde ethernet2 incorrecto .
4
ertas de enlace:1.1.1.2541.1.2.254
Iniciador
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si está activado el comando unset arp always-on-dest (que es la configuración prNetScreen utiliza la dirección MAC para la puerta de enlace en 1.1.1.1 que guardó eel paquete de sesión inicial. El dispositivo NetScreen continúa enviando las respuesethernet2. En este caso, el fallo de seguimiento de IP no afecta al flujo de datos a tr
Flujo de tráfico del host B al host A: el fallo de seguimiento de IP no dispara el redireccionamiento
1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las siguient1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilicen ethe
a 2.2.2.2 y que pasa por ethernet2 y la puerta de enlace 1.1.1.254 por otra ruta que pas1.1.2.254.
1.2 Actualización de sesiones : el dispositivo NetScreen analiza la tabla de sesiones enutilicen ethernet2 y las redirecciona a través de ethernet3 hacia la puerta de enlace 1dispositivo NetScreen ha guardado en caché la dirección MAC de la puerta de enlacedicha dirección MAC para las respuestas procedentes del host A.
2. Es posible que las peticiones procedentes del host B sigan llegando a ethernet2. El dispositde sesiones, relaciona el paquete con una sesión existente y lo reenvía a través de etherne
3. Cuando el host A responde, el dispositivo NetScreen reenvía la respuesta desde ethernet2 Puesto que el comando set arp always-on-dest no está activado, la dirección MAC permasesiones desde la creación inicial de la entrada.
Host A10.1.1.5
Zona Trust Zona
10.1.1.0/24
Interfaz de entradaethernet1
10.1.1.1/24
Primera interfaz de salidaethernet21.1.1.1/24
Consulta de sesiones
1
2
3
Segunda interfaz de salidaethernet31.1.2.1/24
Pu
Respondedor
4
107
Capítulo 4
s de red (NAT), modo de ruta de capa 3 (“Layer 3”) tiene una o Route. Una interfaz asociada v1-dmz, o una zona de capa 2 to se selecciona al configurar la
, el dispositivo NetScreen solamente ico destinado a ninguna zona que no do NAT, esto no activa ninguna
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Modos de las interfaces
Las interfaces pueden funcionar en tres modos diferentes: Traducción de direccione(“Route”) y modo transparente (“Transparent”). Si una interfaz asociada a una zonadirección IP, el modo de funcionamiento de esa interfaz se puede definir como NAT1
a una zona de capa 2 (“Layer 2”) (como las zonas predefinidas v1-trust, v1-untrust ydefinida por el usuario) debe estar en modo transparente. El modo de funcionamieninterfaz.
Este capítulo contiene las siguientes secciones:
• “Modo transparente” en la pàgina 108
– “Ajustes de zona” en la pàgina 109
– “Reenvío de tráfico” en la pàgina 110
– “Opciones “unicast” desconocidas” en la pàgina 112
• “Modo NAT” en la pàgina 127
– “Tráfico NAT entrante y saliente” en la pàgina 129
– “Ajustes de interfaz” en la pàgina 130
• “Modo de ruta” en la pàgina 135
– “Ajustes de interfaz” en la pàgina 136
1. Aunque se puede definir el modo de funcionamiento de una interfaz asociada a cualquier zona de capa 3 como NATaplicará NAT al tráfico que pase por esa interfaz en dirección hacia la zona Untrust. NetScreen no aplica NAT al tráfsea la zona Untrust. Asimismo, observe que aunque NetScreen permite poner una interfaz de la zona Untrust en mooperación de NAT.
Capítulo 4 Modos de las interfaces Modo transparente
108
quetes que atraviesan el o de los paquetes IP. Todas las creen actuando en gran medida iones IP de las interfaces se ansparente”) a los usuarios.
alquier otra clase de servidor tiene las siguientes ventajas:
vidores protegidos
el tráfico entrante llegue a los
0.5
Zona Trust
Zona Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MODO TRANSPARENTECuando una interfaz está en modo transparente, el dispositivo NetScreen filtra los pacortafuegos sin modificar ninguna información de origen ni de destino en el encabezadinterfaces se comportan como si fuesen parte de la misma red, con el dispositivo NetScomo conmutador o puente de capa 2 (“Layer 2”). En el modo transparente, las direccestablecen en 0.0.0.0, haciendo que el dispositivo NetScreen parezca “invisible” (o “tr
El modo transparente es un medio muy práctico para proteger servidores web, o cuque reciba principalmente tráfico de fuentes no fiables. Utilizar el modo transparente
• Elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y ser
• Elimina la necesidad de crear direcciones IP asignadas o virtuales para queservidores protegidos
Enrutador externo
Espacio de direcciones público
Conmutador
209.122.30.1
209.122.30.2209.122.30.3
209.122.30.4
209.122.3
A Internet
Capítulo 4 Modos de las interfaces Modo transparente
109
s zonas de seguridad L2:
y las mismas posibilidades de en modo transparente, utiliza uede configurar la interfaz ministrar el dispositivo. Para d que los hosts de las zonas de
encia sobre la IP de la interfaz inistrativo y dedicar la IP de la
ust, V1-Untrust y V1-DMZ. interfaz en una de las zonas, nas L2. Para poder subred.
o transparente se utiliza la tivo pueda alcanzar la interfaz
VLAN1 y en la(s) zona(s) que dministración están habilitadas el dispositivo, debe establecer
cada plataforma NetScreen,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ajustes de zonaDe forma predeterminada, ScreenOS crea una zona de función, la zona VLAN, y treV1-Trust, V1-Untrust y V1-DMZ.
Zona VLANLa zona VLAN contiene la interfaz VLAN1, que tiene la misma configuraciónadministración que una interfaz física. Cuando el dispositivo NetScreen estála interfaz VLAN1 para administrar el dispositivo y terminar el tráfico VPN. PVLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan adello, debe establecer la dirección IP de la interfaz VLAN1 en la misma subreseguridad L2.
Para el tráfico administrativo, la IP de administración de VLAN1 tiene preferVLAN1. Puede reservar la IP de administración de VLAN1 para el tráfico adminterfaz VLAN1 solamente a la terminación del túnel VPN.
Zonas de capa 2 predefinidasScreenOS proporciona tres zonas de seguridad L2 predeterminadas: V1-TrEstas tres zonas comparten el mismo dominio L2. Cuando se configura unase agrega al dominio L2 compartido por todas las interfaces en todas las zocomunicarse, todos los hosts de las zonas L2 deben pertenecer a la misma
Según se describe en la sección anterior, cuando el dispositivo está en modinterfaz VLAN1 para administrar el dispositivo. Para que el tráfico administraVLAN1, es necesario habilitar las opciones de administración en la interfaz atravesará dicho tráfico. De forma predeterminada, todas las opciones de aen la zona V1-Trust. Para que los hosts de otras zonas puedan administrar esas mismas opciones en las zonas a las que pertenezcan.
Nota: Para ver qué interfaces físicas están preasociadas a las zonas L2 deconsulte el manual del instalador de cada plataforma.
Capítulo 4 Modos de las interfaces Modo transparente
110
ingún tráfico interzonal ni er más información sobre cómo na directiva en el dispositivo
s destinatarios) y “broadcast” ispositivo NetScreen puede g Tree Protocol”.
el tráfico IPSec.
a:
ulticast” y “broadcast”, ejecute
ivo, ejecute el comando set
ente en bloquear todo el tráfico ypass-non-ip.
empre sobrescribe al comando n el archivo de configuración. 1 bypass-non-ip-all y ahora
, consistente en bloquear mero el comando set interface se por el dispositivo. A ss-non-ip para bloquear
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Reenvío de tráficoLos dispositivos NetScreen que operan en la capa 2 (“Layer 2” o “L2”) no permiten nintrazonal a menos que haya una directiva configurada en el dispositivo. Para obtenestablecer directivas, consulte “Directivas” en la pàgina 305. Una vez configurada uNetScreen, hace lo siguiente:
• Permite o deniega el tráfico especificado en la directiva
• Permite el tráfico ARP y L2 que no es IP “multicast” (de un emisor a múltiple(de múltiples emisores a múltiples destinatarios). Desde ese momento, el drecibir y transmitir tráfico “broadcast” L2 para el protocolo en árbol “Spannin
• Continúa bloqueando todo el tráfico “unicast” que no es IP ni ARP, así como
El comportamiento de reenvío del dispositivo se puede modificar de la siguiente form
• Para bloquear todo el tráfico L2 que no es IP ni ARP, incluyendo el tráfico “mel comando unset interface vlan1 bypass-non-ip-all.
• Para permitir que todo el tráfico L2 que no es IP pueda pasar por el dispositinterface vlan1 bypass-non-ip.
• Para restablecer el comportamiento predeterminado del dispositivo, consist“unicast” que no es IP ni ARP, ejecute el comando unset interface vlan1 b
– Observe que el comando unset interface vlan1 bypass-non-ip-all siunset interface vlan1 bypass-non-ip cuando ambos se encuentran ePor lo tanto, si anteriormente ejecutó el comando unset interface vlandesea que el dispositivo recupere su comportamiento predeterminadoúnicamente el tráfico “unicast” que no es IP ni ARP, deberá ejecutar privlan1 bypass-non-ip para permitir que todo el tráfico que no es IP pacontinuación, deberá ejecutar el comando unset interface vlan1 bypasolamente el tráfico unicast que no es IP ni ARP.
Capítulo 4 Modos de las interfaces Modo transparente
111
r terminarlo, utilice el comando á entonces que el tráfico IPSec
ere rutas para dos fines: dirigir espués de encapsularlo o
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• Para permitir que un dispositivo NetScreen transmita tráfico IPSec sin intentaset interface vlan1 bypass-others-ipsec. El dispositivo NetScreen permitirpase a través de otros puntos terminales de la VPN.
Nota: Un dispositivo NetScreen con interfaces en modo transparente requiel tráfico autogenerado, como las capturas SNMP, y reenviar tráfico VPN ddesencapsularlo.
Capítulo 4 Modos de las interfaces Modo transparente
112
asociada a la dirección IP de n Protocol” o “ARP”) para sto de dispositivos de la misma ificada que devuelva una sitivo que responde. Cuando
ión IP de destino y, al no ser la a devolverá un mensaje arp-r. una dirección MAC, almacena
nte, el dispositivo analiza la irección MAC. De hecho, el do las direcciones MAC de en su tabla de reenvíos.
tre zonas a menos que haya o el dispositivo reenvia tráfico
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Opciones “unicast” desconocidasCuando un host o cualquier clase de dispositivo de red desconoce la dirección MACotro dispositivo, utiliza el protocolo de resolución de direcciones (“Address Resolutioobtenerla. El solicitante difunde mediante “broadcast” una consulta ARP (arp-q) al resubred. La consulta arp-q solicita al dispositivo con la dirección IP de destino especrespuesta ARP (arp-r), lo que proporcionará al solicitante la dirección MAC del dispolos demás dispositivos de la subred reciben la consulta arp-q, comprueban la direccsuya, descartan el paquete. Sólo el dispositivo que tenga la dirección IP especificadCuando un dispositivo ha establecido una correspondencia entre una dirección IP yla información en su caché de ARP.
A medida que el tráfico ARP atraviesa un dispositivo NetScreen en modo transparedirección MAC de origen en cada paquete y memoriza qué interfaz conduce a esa ddispositivo NetScreen aprende qué interfaz conduce a qué dirección MAC observanorigen en todos los paquetes que recibe. A continuación, almacena esta información
Nota: Un dispositivo NetScreen en modo transparente no permite ningún tráfico enuna directiva configurada en el dispositivo. Para obtener más información sobre cómcuando está en modo transparente, consulte “Reenvío de tráfico” en la pàgina 110.
Capítulo 4 Modos de las interfaces Modo transparente
113
e destino tomada de su caché . Por ejemplo, el dispositivo podría haber borrado la tabla odo transparente recibe un uede tomar una de estas dos
está permitido enviar el tráfico las interfaces asociadas a esas opción “Flood”, que está
aquetes “trace-route”, que son as interfaces (excepto por la r cualquier interfaz que reciba AC coincida con la dirección ositivo NetScreen descubrir la cente.
utadores (“switches”) de la AC y sus puertos asociados a través de la cual el con una nueva dirección MAC tabla de reenvíos. También desconocida para el excepción de la interfaz por la ) y la interfaz correspondiente
o porque el dispositivo te inicial) saliendo por todas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Puede ocurrir que un dispositivo envíe un paquete unicast con una dirección MAC dARP, pero que el dispositivo NetScreen no tenga registrada en su tabla de reenvíosNetScreen borra su tabla de reenvíos cada vez que se reinicia. (También el usuariode reenvíos con el comando CLI clear arp.) Cuando un dispositivo NetScreen en mpaquete unicast para el cual no contiene ninguna entrada en su tabla de reenvíos, pdecisiones:
• Después de realizar una consulta de directivas para determinar a qué zonasprocedente de la dirección de origen, inundar el paquete inicial saliendo por zonas y seguir utilizando la interfaz que reciba una respuesta. Se trata de lahabilitada de forma predeterminada.
• Descartar el paquete inicial, inundar con consultas ARP (y, opcionalmente, ppeticiones de eco ICMP con el valor “time-to-live” en 1) saliendo por todas linterfaz por la que entró el paquete) y enviar los paquetes subsiguientes pouna respuesta ARP (o trace-route) del enrutador o del host cuya dirección MMAC de destino en el paquete inicial. La opción “trace-route” permite al dispdirección MAC de destino cuando ésta se encuentre en una subred no adya
Método de inundaciónEl método de inundación reenvía paquetes del mismo modo que la mayoría de conmcapa 2. Un conmutador mantiene una tabla de reenvíos que contiene direcciones Mpara cada dominio de capa 2. La tabla también contiene la interfaz correspondienteconmutador puede reenviar tráfico a cada dispositivo. Cada vez que un paquete llegade origen en su encabezado de trama, el conmutador agrega la dirección MAC a sudetecta a través de qué interfaz llegó el paquete. Si la dirección MAC de destino es conmutador, éste duplica el paquete y lo inunda saliendo por todas las interfaces (aque llegó el paquete). Memoriza la dirección MAC (desconocida hasta ese momentocuando recibe una respuesta con esa dirección MAC en una de sus interfaces.
Nota: De los dos métodos (“flood” y “ARP/trace-route”), ARP es más segurNetScreen inunda con preguntas ARP y paquetes trace-route (no el paquelas interfaces.
Capítulo 4 Modos de las interfaces Modo transparente
114
a de Ethernet con una NetScreen, inunda el
cidos, ejecute cualquiera de
broadcast”), seleccione
NetScreen inunda el paquete saliendo por ethernet4, pero no recibe ninguna respuesta.
NetScreen inunda el paquete saliendo por ethernet3. Cuando recibe una respuesta, hace lo siguiente:• Memoriza qué interfaz
conduce a la dirección MAC especificada
• Almacena el registro (o tupla) MAC/interfaz en su tabla de reenvíos
• Sigue utilizando ethernet3 durante el resto de la sesión
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cuando se habilita el método de inundación y el dispositivo NetScreen recibe una tramdirección MAC de destino que no figura en la tabla de direcciones MAC del dispositivo paquete saliendo por todas las interfaces.
Para habilitar el método de inundación para el tratamiento de paquetes unicast desconolos siguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de multidifusión (“ Flood y haga clic en OK .
CLI
set interface vlan1 broadcast floodsave
El paquete llega a ethernet1.
NetScreen inunda el paquete saliendo por ethernet2, pero no recibe ninguna respuesta.
ZonaL2-Finance
Zona V1-Trust
ZonaV1-DMZ
Zona V1-Untrust
Espacio dedirecciones
común
Enrutador
Enrutador
Enrutador
Método de inundación ethernet1IP 0.0.0.0/0
ethernet4IP 0.0.0.0/0
ethernet2IP 0.0.0.0/0
ethernet3IP 0.0.0.0/0
Capítulo 4 Modos de las interfaces Modo transparente
115
en recibe una trama de ositivo NetScreen realiza la
cial (y, si aún no está, agrega s).
ace-route (una petición de sos paquetes saliendo por tes arp-q y las peticiones de tino del paquete inicial. Para rigen del paquete inicial con aquete inicial con ffff.ffff.ffff. C de origen y de destino del
sts”.
e la dirección IP3 de entrada, así la interfaz a través de la . (Consulte “Método ARP” en
más allá de la subred de la rutador que conduce al ivo NetScreen debe reenviar a 118).
r el método ARP sin la opción o para un paquete unicast si dicha ión IP de entrada, consulte la nota
Screen. Este dispositivo puede ser
positivo NetScreen compara la enrutador dirigirse, y por lo tanto,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Método ARP/Trace-RouteCuando se habilita el método ARP con la opción “trace-route”2 y el dispositivo NetScreEthernet con una dirección MAC de destino que no consta en su tabla de MAC, el dispsiguiente serie de acciones:
1. El dispositivo NetScreen detecta la dirección MAC de destino en el paquete inila dirección MAC de origen y su interfaz correspondiente a la tabla de reenvío
2. El dispositivo NetScreen descarta el paquete inicial.
3. El dispositivo NetScreen genera dos paquetes: la consulta ARP (arp-q) y un treco ICMP, o PING) con un valor 1 en el campo “time-to-live” (TTL), e inunda etodas las interfaces excepto por la que llegó el paquete inicial. Para los paqueeco ICMP, el dispositivo NetScreen utiliza las direcciones IP de origen y de deslos paquetes arp-q, el dispositivo NetScreen reemplaza la dirección MAC de ola dirección MAC para VLAN1, y reemplaza la dirección MAC de destino del pPara la opción “trace-route”, el dispositivo NetScreen utiliza las direcciones MApaquete inicial en las peticiones de eco ICMP que difunde mediante “broadca
Si la dirección IP de destino pertenece a un dispositivo en la misma subred quel host devuelve una respuesta ARP (arp-r) con su dirección MAC, indicando cual el dispositivo NetScreen debe reenviar el tráfico destinado a esa direcciónla pàgina 117).
Si la dirección IP de destino pertenece a un dispositivo en una subred situadadirección IP de entrada, trace-route devuelve las direcciones IP y MAC del endestino4 y, aún más importante, indica la interfaz a través de la cual el dispositel tráfico destinado a esa dirección MAC. (Consulte “Trace-Route” en la pàgin
2. Cuando se habilita el método ARP, la opción “trace-route” se habilita de forma predeterminada. También puede habilita“trace-route”. Sin embargo, este método solamente permite al dispositivo NetScreen descubrir la dirección MAC de destindirección se encuentra en la misma subred que la dirección IP de entrada. (Para obtener más información sobre la direccal pie de la página siguiente).
3. La dirección IP de entrada hace referencia a la dirección IP del último dispositivo que envió el paquete al dispositivo Netel origen que envió el paquete o un enrutador que lo reenvió.
4. De hecho, “trace-route” devuelve las direcciones IP y MAC de todos los enrutadores en la subred. A continuación, el disdirección MAC de destino del paquete inicial con la dirección MAC de origen en los paquetes arp-r para determinar a quéqué interfaz utilizar para alcanzar ese destino.
Capítulo 4 Modos de las interfaces Modo transparente
116
interfaz que conduce a esa la de reenvíos.
todos los paquetes que reciba
dos, ejecute cualquiera de los
(“broadcast”), seleccione ARP
esea utilizar ARP sin la opción dcast arp trace-route . Este ccionado para tratar los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Combinando la dirección MAC de destino obtenida del paquete inicial con ladirección MAC, el dispositivo NetScreen agrega una nueva entrada a su tab
5. El dispositivo NetScreen reenvía a su destino a través de la interfaz correctaposteriormente.
Para habilitar el método ARP/trace-route para tratar los paquetes unicast desconocisiguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de multidifusióny haga clic en OK .
CLI
set interface vlan1 broadcast arpsave
Nota: De forma predeterminada, la opción “trace-route” está habilitada. Si d“trace-route”, introduzca el comando siguiente: unset interface vlan1 broacomando desactiva la opción “trace-route”, pero no ARP como método selepaquetes unicast desconocidos.
Capítulo 4 Modos de las interfaces Modo transparente
117
AC de destino cuando la
ZonaV1-DMZ
Zona V1-Untrust
Espacio dedirecciones
común
Enrutador B210.1.1.200
00dd.11dd.11dd
Enrutador A210.1.1.100
00cc.11cc.11cc
49ce
ethernet30.0.0.0/0
0010.db15.39ce
ethernet40.0.0.0/0
0010.db15.39ce
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
La ilustración siguiente muestra cómo el método ARP puede localizar la dirección Mdirección IP de destino se encuentra en una subred adyacente.
Si el paquete siguiente
ethernet10.0.0.0/0
0010.db15.39ce
ZonaL2-Finance
Zona V1-Trustllega a ethernet1 y la tabla de reenvíos no contiene una entrada para la dirección MAC 00bb.11bb.11bb, el dispositivo NetScreen inunda el siguiente paquete arp-q saliendo por eth2, eth3 y eth4.
Trama Ethernet Datagrama IP
dest orig tipo orig dest
11bb 11aa 0800 210.1.1.5 210.1.1.75
Trama Ethernet Mensaje ARP
dest orig tipo orig dest
ffff 39ce 0806 210.1.1.5 210.1.1.75
Cuando el dispositivo NetScreen recibe el siguiente arp-r en eth2,Trama Ethernet Mensaje ARP
dest orig tipo orig dest
39ce 11bb 0806 210.1.1.75 210.1.1.5
podrá asociar la dirección MAC a la interfaz que conduce hacia ella.
ethernet20.0.0.0/0
0010.db15.39ce
PC A210.1.1.5
00aa.11aa.11aa
PC B210.1.1.75
00bb.11bb.11bb
Nota: A continuación solamente se muestran los elementos relevantes del encabezado de los paquetes y los últimos cuatro dígitos de las direcciones MAC.
Método ARP VLAN1210.1.1.1/2
0010.db15.3
Capítulo 4 Modos de las interfaces Modo transparente
118
ción MAC de destino cuando la
ZonaV1-DMZ
Zona V1-Untrust
Espacio dedirecciones
común
Servidor C195.1.1.5
00dd.22dd.22dd
Enrutador A210.1.1.100
00cc.11cc.11ccethernet40.0.0.0/00.db15.39ce
ador B.1.200dd.11dd
ethernet30.0.0.0/00.db15.39ce
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
La ilustración siguiente muestra cómo la opción “trace-route” puede localizar la direcdirección IP de destino se encuentra en una subred no adyacente.
Si el paquete siguiente
ZonaL2-Finance
Zona V1-Trustllega a ethernet1 y la tabla de reenvíos no contiene una entrada para la dirección MAC 00dd.11dd.11dd, el dispositivo NetScreen inunda el siguiente paquete trace-route saliendo por eth2, eth3 y eth4.
Trama Ethernet Datagrama IP
dest orig tipo orig dest
11dd 11aa 0800 210.1.1.5 195.1.1.5
Trama Ethernet Mensaje ICMP
dest orig tipo orig dest TTL
11dd 11aa 0800 210.1.1.5 195.1.1.5 1
Cuando el dispositivo NetScreen recibe la siguiente respuesta en eth3,
Trama Ethernet Mensaje ICMP
dest orig tipo orig dest msg
11aa 11dd 0800 210.1.1.200 210.1.1.5 UI message
puede ahora asociar la dirección MAC a la interfaz que conduce hacia ella.
Nota: A continuación solamente se muestran los elementos relevantes del encabezado de los paquetes y los últimos cuatro dígitos de las direcciones MAC.
Trace-Route
ethernet10.0.0.0/0
0010.db15.39ce
PC A210.1.1.5
00aa.11aa.11aa
VLAN1210.1.1.1/24
0010.db15.39ce
001
ethernet20.0.0.0/0
0010.db15.39ce
PC B210.1.1.75
00bb.11bb.11bb
Enrut210.1
00dd.11
001
Capítulo 4 Modos de las interfaces Modo transparente
119
erfaz VLAN1 como sigue:
ona de seguridad V1-Trust5.
de capa 2 están en el dominio re el dispositivo NetScreen y ata del dispositivo NetScreen. trust-vr.
2 (“Layer 2”), debe establecer zona de seguridad de capa 2.
guridad V1-Trust. En este ejemplo se mente no es necesario habilitarlas
Zona V1-Untrust
Internet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Interfaz VLAN1 para administraciónEn este ejemplo configurará el dispositivo NetScreen para la administración a su int
• Asignará a la interfaz VLAN1 la dirección IP 1.1.1.1/24.
• Habilitará Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la z
• Agregará una ruta en el enrutador virtual trust (todas las zonas de seguridadde enrutamiento trust-vr) para permitir que el tráfico administrativo fluya entuna estación de trabajo administrativa situada más allá de la subred inmediTodas las zonas de seguridad se encuentran en el dominio de enrutamiento
Nota: Para administrar el dispositivo desde una zona de seguridad de capalas mismas opciones de administración para la interfaz VLAN1 que para la
5. De forma predeterminada, NetScreen habilita las opciones de administración para la interfaz VLAN1 y la zona de semuestran estas opciones habilitadas sólo con fines ilustrativos. A menos que las haya inhabilitado previamente, realmanualmente.
VLAN11.1.1.1/24
Enrutador interno1.1.1.2511.1.2.250
Estación de trabajo admin 1.1.2.5
Zona V1-Trust
1.1.1.0/24Subred
1.1.2.0/24Subred
Interfaz V1-Trustethernet10.0.0.0/0
Interfaz V1-Untrustethernet30.0.0.0/0
Capítulo 4 Modos de las interfaces Modo transparente
120
haga clic en OK :
seleccione)
aga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Interfaz VLAN1Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet, SSH (
Other Services: Ping (seleccione)
2. Zona V1-TrustNetwork > Zones > Edit (para V1-Trust): Seleccione los siguientes datos y h
Management Services: WebUI, Telnet, SSH
Other Services: Ping
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 1.1.2.0/24
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.251
Metric: 1
Capítulo 4 Modos de las interfaces Modo transparente
121
eway 1.1.1.251 metric 1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfaz VLAN1set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping
2. Zona V1-Trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage ping
3. Rutaset vrouter trust-vr route 1.1.2.0/24 interface vlan1 gatsave
Capítulo 4 Modos de las interfaces Modo transparente
122
r un dispositivo NetScreen en e la zona V1-Trust, servicios rvidor FTP.
o HTTP para la administración I de 23 a 4646. Utilizará la la zona de seguridad V1-Trust. ruta predeterminada al áfico VPN saliente6. (La puerta 1.250).
nsparente, consulte “VPN en modo
Internet
1-Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modo transparenteEl ejemplo siguiente ilustra una configuración básica con una sola LAN protegida pomodo transparente. Las directivas permiten el tráfico saliente para todos los hosts dSMTP entrantes para el servidor de correo y servicios entrante FTP-GET para el se
Para aumentar la seguridad del tráfico administrativo, cambiará el número del puertde WebUI de 80 a 5555, y el número de puerto Telnet para la administración de CLdirección IP de VLAN1 (1.1.1.1/24) para administrar el dispositivo NetScreen desdeDefinirá direcciones para los servidores FTP y de correo. También configurará una enrutador externo en 1.1.1.250, para que el dispositivo NetScreen le pueda enviar trde enlace predeterminada en todos los hosts de la zona V1-Trust también será 1.1.
6. Para ver un ejemplo de configuración de un túnel VPN para un dispositivo NetScreen con las interfaces en modo tratransparente” en la pàgina 5 -221.
Enrutador externo1.1.1.250
IP de VLAN11.1.1.1/24
Mail_Server1.1.1.10
Zona V1-Trust Zona V
Interfaz V1-Trustethernet10.0.0.0/0
Interfaz V1-Untrustethernet30.0.0.0/0
1.1.1.0/24Espacio de direcciones
FTP_Server1.1.1.5
Capítulo 4 Modos de las interfaces Modo transparente
123
tes datos y haga clic en OK :
ione)
5557 y haga clic en Apply .
s y haga clic en OK :
s y haga clic en OK :
ga clic en OK :
evitar cualquier acceso no autorizado mpo “URL” de su explorador web:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Interfaz VLAN1Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet (selecc
Other Services: Ping (seleccione)
2. Puerto HTTPConfiguration > Admin > Management: En el campo “HTTP Port”, escriba 5
3. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
4. Zona V1-TrustNetwork > Zones > Edit (para v1-trust): Seleccione los siguientes datos y ha
Management Services: WebUI, Telnet
Other Services: Ping
7. El número de puerto predeterminado es 80. Se recomienda cambiarlo a cualquier número entre 1024 y 32.767 para a la configuración. Cuando se conecte posteriormente para administrar el dispositivo, introduzca lo siguiente en el cahttp://1.1.1.1:5555.
Capítulo 4 Modos de las interfaces Modo transparente
124
lic en OK :
lic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
5. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: FTP_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/32
Zone: V1-Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.10/32
Zone: V1-Trust
6. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.250
Metric: 1
Capítulo 4 Modos de las interfaces Modo transparente
125
atos y haga clic en OK :
atos y haga clic en OK :
rver
atos y haga clic en OK :
rver
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
7. DirectivasPolicies > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes d
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes d
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail_Se
Service: Mail
Action: Permit
Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes d
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), FTP_Se
Service: FTP-GET
Action: Permit
Capítulo 4 Modos de las interfaces Modo transparente
126
ay 1.1.1.250 metric 1
l permitget permit
67 para evitar cualquier acceso troduzca la siguiente dirección:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. VLAN1set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping
2. Telnetset admin telnet port 46468
3. Interfacesset interface ethernet1 ip 0.0.0.0/0set interface ethernet1 zone v1-trustset interface ethernet3 ip 0.0.0.0/0set interface ethernet3 zone v1-untrust
4. Zona V1-Trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping
5. Direccionesset address v1-trust FTP_Server 1.1.1.5/32set address v1-trust Mail_Server 1.1.1.10/32
6. Rutaset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gatew
7. Directivasset policy from v1-trust to v1-untrust any any any permitset policy from v1-untrust to v1-trust any Mail_Server maiset policy from v1-untrust to v1-trust any FTP_Server ftp-save
8. El número de puerto predeterminado para Telnet es 23. Se recomienda cambiarlo a cualquier número entre 1024 y 32.7no autorizado a la configuración. Cuando se conecte posteriormente para administrar el dispositivo a través de Telnet, in1.1.1.1 4646.
Capítulo 4 Modos de las interfaces Modo NAT
127
d (NAT), el dispositivo onentes del encabezado de un ro del puerto de origen. El dirección IP de la interfaz de la e puerto generado
mponentes del encabezado IP inversamente para obtener los u destino.
Zona Trust
Zona Untrust
faz de la a Trust.1.1/24
az de la Untrust.1.1/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MODO NATCuando una interfaz de entrada está en el modo de traducción de direcciones de reNetScreen, actuando como conmutador (o enrutador) de capa 3, traduce dos comppaquete IP saliente destinado a la zona Untrust: su dirección IP de origen y el númedispositivo NetScreen reemplaza la dirección IP de origen del host de origen con la zona Untrust. También reemplaza el número del puerto de origen con otro número daleatoriamente por el dispositivo NetScreen.
Cuando el paquete de respuesta llega al dispositivo NetScreen, éste traduce dos codel paquete entrante: la dirección y el número de puerto del destino, que se traducennúmeros originales. Seguidamente, el dispositivo NetScreen reenvía el paquete a s
Espacio de direcciones privado
10.1.1.5
10.1.1.10 10.1.1.1510.1.1.20
10.1.1.25
Interzon10.1
Interfzona
1.1
Internet
Espacio de direcciones público
Enrutador externo
Capítulo 4 Modos de las interfaces Modo NAT
128
ciones de los hosts que envían na Trust) nunca quedan zonas se encuentren en el terlocutores mediante un
zona Trust son solamente r ocultas las direcciones de la ust en trust-vr, y no exporte
l, las direcciones internas s directivas que configure direcciones IP virtuales (VIP) ecerán ocultas.
hay recursos disponibles para ios NAT permiten que muchas
de unas pocas, direcciones IP rivadas y no deben enrutarse
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
NAT agrega un nivel de seguridad no disponible con el modo transparente: Las directráfico a través de una interfaz de entrada en modo NAT (como una interfaz de la zoexpuestas a los hosts de la zona de salida (como la zona Untrust), salvo que ambasmismo dominio de enrutamiento virtual y el dispositivo NetScreen publique rutas a inprotocolo de enrutamiento dinámico (DRP). Incluso entonces, las direcciones de la accesibles si alguna directiva les permite recibir tráfico entrante. (Si desea mantenezona Trust mientras utilice un DRP, ponga la zona Untrust en untrust-vr y la zona Trrutas de direcciones internas de trust-vr a untrust-vr).
Si el dispositivo NetScreen utiliza el enrutamiento estático y sólo un enrutador virtuasiguen ocultas cuando el tráfico es saliente, debido a NAT basada en interfaces. Lacontrolarán el tráfico entrante. Si solamente utiliza direcciones IP asignadas (MIP) ycomo destinos en sus directivas de tráfico entrante, las direcciones internas perman
Asimismo, NAT preserva el uso de direcciones IP públicas. En muchos entornos, noproporcionar direcciones IP públicas para todos los dispositivos en la red. Los servicdirecciones IP privadas tengan acceso a los recursos de Internet a través de una, opúblicas. Los siguientes rangos de direcciones IP están reservados para redes IP phacia Internet:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
Capítulo 4 Modos de las interfaces Modo NAT
129
puede iniciar tráfico hacia la creenOS 5.0.0, un host a menos que se configurara en ScreenOS 5.0.0, el tráfico la zona Untrust) no necesita tá utilizando direcciones PN para que el tráfico pueda privadas no son una cuestión ts que se encuentren detrás
” en la pàgina 7 -92. Para 7 -118.
Zonainida por el usuario
ethernet210.1.2.1/24Modo NAT
ethernet31.1.1.1/24
Modo de rutaIP 1.1.1.10 – 10.1.1.10IP 1.1.1.20 – 10.1.2.20
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Tráfico NAT entrante y salienteUn host situado en una zona que envíe tráfico a través de una interfaz en modo NAT zona Untrust (asumiendo que alguna directiva lo permita). En versiones anteriores a Ssituado detrás de una interfaz en modo NAT no podía recibir tráfico de la zona Untrustpara él una dirección IP asignada (MIP), IP virtual (VIP) o un túnel VPN9. Sin embargo,hacia una zona con una interfaz habilitada para NAT desde cualquier zona (incluyendoutilizar una MIP, VIP o VPN. Si desea proteger la privacidad de las direcciones o si esprivadas inexistentes en una red pública como Internet, puede definir una MIP, VIP o Valcanzarlas. Sin embargo, si los posibles problemas de privacidad y las direcciones IP relevante, el tráfico procedente de la zona Untrust puede llegar directamente a los hosde una interfaz en modo NAT, sin necesidad de utilizar una MIP, VIP ni VPN.
9. Sólo se puede definir una dirección IP virtual (VIP) en una interfaz asociada a la zona Untrust.
Nota: Para obtener más información sobre MIPs, consulte “Direcciones IP asignadasobtener más información sobre VIPs, consulte “Direcciones IP virtuales” en la pàgina
LasMIPS son opcionales
Zona Untrust
Zona Trustdef
ethernet110.1.1.1/24Modo NAT
MM1
1. NAT basada en interfaces aplicada al tráfico de la zona Trust a la zona Untrust.
2. NAT basada en interfaces aplicada al tráfico de la zona definida por el usuario a la zona Untrust.(Nota: Esto sólo es posible si las zonas definida por el usuario y Untrust se encuentran en diferentes dominios de enrutamiento virtuales).
3. Sin NAT basada en interfaces aplicada al tráfico entre las zonas Trust y definida por el usuario.
4 y 5. Puede utilizar MIPs, VIPs o VPNs para que el tráfico procedente de la zona Untrust alcance la zona Trust o la zona definida por el usuario, pero no se requieren.
6. Las MIPs y VPNs tampoco se requieren para el tráfico entre las zonas Trust y definida por el usuario.
2
36
4 5
NAT NAT
Sin NATLas MIPS
sonopcionales
Capítulo 4 Modos de las interfaces Modo NAT
130
r2 representan los números de representa el número de una
año del ancho de banda en
terfaces de zona
rcionar una dirección IP para tración para tener acceso a
erfaz es de ruta.
ddr1k: maskag: vlan_id_numame: zoneseleccione)
, el dispositivo NetScreen no
ddr1k: maskag: vlan_id_numame: zone
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ajustes de interfazPara el modo NAT, defina los siguientes ajustes de interfaz, donde ip_addr1 y ip_adduna dirección IP, mask representa los números de una máscara de red, vlan_id_numetiqueta VLAN, zone representa el nombre de una zona y number representa el tamkbps:
Interfaces de zona Ajustes SubinZonas Trust, DMZ y definidas por el usuario que utilizan NAT
IP: ip_addr1Netmask: maskManage IP*: ip_addr2Traffic Bandwidth†: numberNAT‡: (seleccione)
* Puede establecer una dirección IP de administración en cada interfaz. Su finalidad principal es propoel tráfico administrativo separada del tráfico de red. También puede utilizar la dirección IP de adminisun dispositivo específico cuando se encuentre en una configuración de alta disponibilidad.
† Ajuste opcional para la asignación de tráfico.
‡ Al seleccionar NAT, el modo de interfaz se define como NAT. Al seleccionar Route, el modo de la int
IP: ip_aNetmasVLAN TZone NNAT†: (
Untrust**
** Aunque se puede seleccionar NAT como modo de interfaz en una interfaz asociada a la zona Untrustrealizará ninguna operación NAT en esa interfaz.
IP: ip_addr1Netmask: maskManage IP*: ip_addr2Traffic Bandwidth†: number
IP: ip_aNetmasVLAN TZone N
Capítulo 4 Modos de las interfaces Modo NAT
131
n la zona Trust. La LAN está saliente para todos los
se enruta al servidor de n en el dominio de
haga clic en Apply :
K:
n ya está habilitada para las
Internet
Zona Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modo NAT
El siguiente ejemplo ilustra una configuración simple de una LAN con una sola subred eprotegida por un dispositivo NetScreen en modo NAT. Las directivas permiten el tráficohosts de la zona Trust y correo entrante para el servidor de correo. El correo entrante correo a través de una dirección IP virtual. Las dos zonas Trust y Untrust se encuentraenrutamiento trust-vr.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en O
Interface Mode: NAT10
Nota: Compare este ejemplo con el del modo de ruta en la page 137.
10. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opcióinterfaces asociadas a la zona Trust.
Enrutador externo1.1.1.250
Mail ServerVIP 1.1.1.5 ->
10.1.1.5 ethernet110.1.1.1/24Modo NAT
ethernet31.1.1.1/24
Modo de rutaZona Trust
Capítulo 4 Modos de las interfaces Modo NAT
132
y haga clic en OK :
datos y haga clic en Add :
uzca los siguientes datos y
datos y haga clic en OK :
s de dirección IP y máscara de red one Obtain IP using PPPoE , haga
18.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask11: 1.1.1.1/24
Interface Mode: Route
2. VIP12
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes
Virtual IP Address: 1.1.1.5
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service: Introdhaga clic en OK :
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
11. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, deje los campovacíos y seleccione Obtain IP using DHCP . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, selecciclic en el vínculo Create new PPPoE settings e introduzca su nombre y contraseña.
12. Para obtener más información sobre direcciones IP virtuales (VIP), consulte “Direcciones IP virtuales” en la pàgina 7 -1
Capítulo 4 Modos de las interfaces Modo NAT
133
haga clic en OK :
y haga clic en OK :
1.5)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Global) New: Introduzca los siguientes datos
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.
Service: MAIL
Action: Permit
Capítulo 4 Modos de las interfaces Modo NAT
134
gateway 1.1.1.250
permit
ndo siguiente: set interface untrust poe . Para obtener más información,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat13
set interface ethernet3 zone untrust14 set interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
2. VIPset interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5
3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
4. Directivasset policy from trust to untrust any any any permitset policy from untrust to global any vip(1.1.1.5) mail save
13. El comando set interface ethernetn nat determina si el dispositivo NetScreen está funcionando en modo NAT.
14. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, utilice el comadhcp . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, utilice los comandos set pppoe y exec ppconsulte el manual NetScreen CLI Reference Guide.
Capítulo 4 Modos de las interfaces Modo de ruta
135
el tráfico entre diferentes ero de puerto en el
vo NetScreen. A diferencia de VIP) para permitir que llegue e ruta. A diferencia del modo
el nivel de interfaz para que ción IP de la interfaz de la zona vas. Puede determinar qué
Zona Trust
Zona Untrust
az de la Trust
2.1/24
az de la Untrust1.1/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MODO DE RUTA
Cuando una interfaz está en modo de ruta (“Route”), el dispositivo NetScreen enrutazonas sin ejecutar NAT de origen (NAT-src); es decir, la dirección de origen y el númencabezado del paquete IP permanecen invariables mientras atraviesan el dispositiNAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP virtuales (tráfico entrante a los hosts cuando la interfaz de la zona de destino está en modo dtransparente, las interfaces de cada zona se encuentran en subredes diferentes.
No es necesario aplicar la traducción de direcciones de red de origen (“NAT-src”) entodas las direcciones de origen que inician tráfico saliente sean traducidas a la direcde destino. En lugar de ello, puede aplicar NAT-src selectivamente a nivel de directi
1.2.2.5
1.2.2.10 1.2.2.151.2.2.20
1.2.2.25
Interfzona1.2.
Interfzona
1.1.
Internet
Espacio de direcciones público
Espacio de direcciones público Enrutador
externo
Capítulo 4 Modos de las interfaces Modo de ruta
136
T-src para las direcciones de AT puede utilizar la dirección
micas (DIP), que se encuentra puede utilizar la dirección IP de
addr2 representan los números num representa el número de tamaño del ancho de banda en
ctivas, consulte “Traducción de
terfaces de zona
rcionar una dirección IP para tración para tener acceso a
nterfaz queda definido
ddr1k: máscaraag: vlan_id_numame: zone: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
tráfico enrutar y a qué tráfico aplicar NAT-src creando las directivas que habilitan NAorigen especificadas tanto en tráfico entrante como saliente. Para el tráfico de red, NIP (o direcciones IP) de la interfaz de la zona de destino de un conjunto de IPs dináen la misma subred que la interfaz de la zona de destino. Para el tráfico VPN, NAT una interfaz de túnel o una dirección de su conjunto de DIP asociado.
Ajustes de interfazPara el modo de ruta, defina los siguientes ajustes de interfaz, donde ip_addr1 y p_de una dirección IP, mask representa los números de una máscara de red, vlan_id_una etiqueta VLAN, zone representa el nombre de una zona y number representa elkbps:
Nota: Para obtener más información sobre cómo configurar NAT-src basada en diredirecciones de red de origen” en la pàgina 7 -15.
Interfaces de zona Ajustes SubinTrust, Untrust, DMZ y zonas definidas por el usuario
IP: ip_addr1Netmask: máscaraManage IP*: ip_addr2Traffic Bandwidth†: numberRoute‡: (seleccione)
* Puede establecer una dirección IP de administración en cada interfaz. Su finalidad principal es propoel tráfico administrativo separada del tráfico de red. También puede utilizar la dirección IP de adminisun dispositivo específico cuando se encuentre en una configuración de alta disponibilidad.
† Ajuste opcional para la asignación de tráfico.
‡ Al seleccionar Route, la interfaz queda definida en modo de ruta. Al seleccionar NAT, el modo de la icomo NAT.
IP: ip_aNetmasVLAN TZone NRoute†
Capítulo 4 Modos de las interfaces Modo de ruta
137
e la zona Trust tienen l ejemplo siguiente, la misma rve que los hosts tienen bas zonas de seguridad se
y haga clic en Apply :
)
OK :
o entrante o saliente de la zona Trust.
rno
Internet
Zona Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modo de rutaEn el ejemplo anterior, “Ejemplo: Modo NAT” en la pàgina 131, los hosts en la LAN ddirecciones IP privadas y una dirección IP asignada para el servidor de correo. En ered está protegida por un dispositivo NetScreen que funciona en modo de ruta; obsedirecciones IP públicas y que no se requiere una MIP para el servidor de correo. Amencuentran en el dominio de enrutamiento trust-vr.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos
Zone Name: Trust
Static IP: (seleccione esta opción si es posible
IP Address/Netmask: 1.2.2.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: Route15
15. Seleccionando Route se determina que el dispositivo NetScreen funcione en el modo de ruta, sin aplicar NAT al tráfic
Enrutador exte1.1.1.250
Mail Server1.2.2.5
ethernet11.2.2.1/24
Modo de ruta
ethernet31.1.1.1/24
Modo de rutaZona Trust
Capítulo 4 Modos de las interfaces Modo de ruta
138
s y haga clic en OK :
e)
lic en OK :
es datos y haga clic en OK :
pos de dirección IP y máscara de red cione Obtain IP using PPPoE , haga
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask16: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: Trust
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
16. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, deje los camvacíos y seleccione Obtain IP using DHCP . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, selecclic en el vínculo Create new PPPoE settings e introduzca su nombre y contraseña.
Capítulo 4 Modos de las interfaces Modo de ruta
139
haga clic en OK :
haga clic en OK :
ver
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail Ser
Service: MAIL
Action: Permit
Capítulo 4 Modos de las interfaces Modo de ruta
140
gateway 1.1.1.250
rmit
.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 1.2.2.1/24set interface ethernet1 route17
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
2. Direcciónset address trust mail_server 1.2.2.5/24
3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
4. Directivasset policy from trust to untrust any any any permitset policy from untrust to trust any mail_server mail pesave
17. El comando set interface ethernet number route establece que el dispositivo NetScreen funcione en modo de ruta
5
141
Capítulo 5
tivas
hacerse referencia en las
160
àgina 163
na 169
la pàgina 200
ina 271
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Bloques para la construcción de direc
Este capítulo explica los componentes, o bloques de construcción, a los que puededirectivas. Los temas tratados son:
• “Direcciones” en la pàgina 143
– “Entradas de direcciones” en la pàgina 144
– “Grupos de direcciones” en la pàgina 146
• “Servicios” en la pàgina 151
– “Servicios predefinidos” en la pàgina 151
– “Servicios personalizados” en la pàgina 153
– “Tiempos de espera de servicios” en la pàgina 156
– “Servicios ICMP” en la pàgina 158
– “RSH ALG” en la pàgina 160
– “Sun Remote Procedure Call Application Layer Gateway” en la pàgina
– “Microsoft Remote Procedure Call Application Layer Gateway” en la p
– “Real Time Streaming Protocol Application Layer Gateway” en la pàgi
– “Protocolo H.323 para “Voice-over-IP”” en la pàgina 181
– “Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”)” en
– “SIP con traducción de direcciones de red (NAT)” en la pàgina 215
– “Administración del ancho de banda para servicios de VoIP” en la pàg
– “Grupos de servicios” en la pàgina 274
Capítulo 5 Bloques para la construcción de directivas
142
nsulte el Volumen 8,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• “Conjuntos de DIP” en la pàgina 278
– “Direcciones DIP “sticky”” en la pàgina 281
– “Interfaz extendida y DIP” en la pàgina 282
– “Interfaz de bucle invertido ("loopback") y DIP” en la pàgina 291
– “Grupos de DIP” en la pàgina 297
• “Tareas programadas” en la pàgina 301
Nota: Para obtener más información sobre la autenticación de usuarios, co“Autenticación de usuarios”.
Capítulo 5 Bloques para la construcción de directivas Direcciones
143
n su ubicación y máscara de
cara de red debe tener el valor
55.0 o 255.255.0.0).
és de un túnel desde y hacia n las listas de direcciones de
plica automáticamente a todos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DIRECCIONESNetScreen ScreenOS clasifica las direcciones de todos los demás dispositivos segúred. Cada zona posee su propia lista de direcciones y sus grupos de direcciones.
Los hosts individuales solamente tienen definida una dirección IP, por lo que su más255.255.255.255 (que enmascara todos los hosts salvo el propio).
Las subredes tienen una dirección IP y una máscara de red (por ejemplo, 255.255.2
Para poder configurar directivas que permitan, rechacen o canalicen el tráfico a travdeterminados hosts y subredes, es necesario crear las correspondientes entradas eNetScreen, que están organizadas por zonas.
Nota: Para “Any” no es necesario crear entradas de direcciones. Este término se alos dispositivos situados físicamente dentro de sus zonas respectivas.
Capítulo 5 Bloques para la construcción de directivas Direcciones
144
NetScreen, de VPN y de cciones. La lista de direcciones s hosts o subredes cuyo tráfico
24 como dirección en la zona
ga clic en OK :
ga clic en OK :
et
Screen para los servicios del sistema DNS, consulte “Compatibilidad con
creenOS (aplicables a los conjuntos de caracteres” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Entradas de direccionesPara poder establecer muchas de las opciones de configuración del cortafuegos deasignación del tráfico, es necesario definir direcciones en unas o varias listas de direde una zona de seguridad contiene las direcciones IP o nombres de dominios1 de loestá permitido, bloqueado, encriptado o autenticado por el usuario.
Ejemplo: Agregar direccionesEn este ejemplo agregará la subred “Sunnyvale_Eng” con la dirección IP 10.1.10.0/Trust, y la dirección “www.juniper.net” como dirección en la zona Untrust.
WebUI
Objects > Addresses > List > New: Introduzca la siguiente información y ha
Address Name: Sunnyvale_Eng
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.10.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca la siguiente información y ha
Address Name: Juniper
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.n
Zone: Untrust
1. Para poder utilizar nombres de dominios para las entradas de direcciones, es necesario configurar el dispositivo Netde nombres de dominios (“Domain Name System” o “DNS”). Para obtener más información sobre la configuración deDNS (sistema de nombres de dominio)” en la pàgina 377.
Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para las direcciones), consulte “Convenciones de nomenclatura ypàgina xiv.
Capítulo 5 Bloques para la construcción de directivas Direcciones
145
e este departamento está .0/24).
la dirección IP por los
irectiva, no podrá cambiar la ación, primero debe
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set address trust Sunnyvale_Eng 10.1.10.0/24set address untrust Juniper www.juniper.netsave
Ejemplo: Modificar direccionesEn este ejemplo cambiará la entrada de la dirección “Sunnyvale_Eng” para reflejar qudedicado específicamente a la ingeniería de software y tiene otra dirección IP (10.1.40
WebUI
Objects > Addresses > List > Edit (para Sunnyvale_Eng): Cambie el nombre ysiguientes datos y haga clic en OK :
Address Name: Sunnyvale_SW_Eng
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.40.0/24
Zone: Trust
CLI
unset address trust Sunnyvale_Engset address trust Sunnyvale_SW_Eng 10.1.40.0/24save
Nota: Después de definir una dirección, o un grupo de direcciones, y asociarla a una dubicación de la dirección a otra zona (como de Trust a Untrust). Para cambiar su ubicdesvincularla de la directiva subyacente.
Capítulo 5 Bloques para la construcción de directivas Direcciones
146
” para “Sunnyvale_SW_Eng”.
libreta de direcciones cciones a una lista de de dirección. NetScreen tradas de direcciones, puede licarán a todas las entradas de
nes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Eliminar direccionesEn este ejemplo eliminará la entrada de la dirección “Sunnyvale_SW_Eng”.
WebUIObjects > Addresses > List: Haga clic en Remove en la columna “Configure
CLIunset address trust “Sunnyvale_SW_Eng”save
Grupos de direccionesEn la sección anterior se explica cómo crear, modificar y eliminar las entradas en lacorrespondientes a los diferentes hosts y subredes. Según se vayan agregando diredirecciones, se hará más difícil controlar cómo las directivas afectan a cada entradapermite crear grupos de direcciones. En lugar de administrar un gran número de enadministrar un pequeño número de grupos. Los cambios que efectúe al grupo se apdirecciones que lo componen.
1 directiva por dirección 1 directiva por grupo de direccio
Capítulo 5 Bloques para la construcción de directivas Direcciones
147
r grupos de direcciones vacíos
ciones igual que a una entrada
ente directivas individuales directiva para un grupo, en (así como para cada servicio
positivo NetScreen la elimina
tenezcan a la misma zona.
i se utiliza el nombre “Paris” re de grupo.
. No obstante, estos grupos
ica de forma individual a cada miembro en la lista de control o de recursos de directivas son grupos de direcciones y el
i “Dial-Up VPN” a grupos.
positivo NetScreen realiza una ro al grupo B, el dispositivo NetScreen
orra al usuario tener que crearlas una la ejecución de las consultas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
La opción de grupo de direcciones tiene las siguientes características:
• Puede crear grupos de direcciones en cualquier zona.
• Puede crear grupos de direcciones con los usuarios existentes, o bien creae introducir posteriormente los usuarios.
• Un grupo de direcciones puede ser miembro de otro grupo de direcciones2.
• En una directiva se puede hacer referencia a una entrada de grupo de direcindividual en la libreta de direcciones.
• NetScreen aplica las directivas a cada miembro del grupo creando internampara cada miembro del grupo. Aunque usted solamente tiene que crear unarealidad NetScreen crea una directiva interna para cada miembro del grupoconfigurado para cada usuario).3
• Cuando se elimina una entrada individual en la libreta de direcciones, el disautomáticamente de todos los grupos a los que perteneció.
Los grupos de direcciones tienen las siguientes limitaciones:
• Los grupos de direcciones solamente pueden contener direcciones que per
• Los nombres de direcciones no pueden coincidir con nombres de grupos. Spara una entrada de dirección individual, no se puede utilizar para un nomb
• No se pueden eliminar los grupos a los que se haga referencia en directivaspueden ser editados.
• Cuando se asigna una directiva individual a un grupo de direcciones, se aplmiembro del grupo, y el dispositivo NetScreen genera una entrada por cadade accesos (ACL). Si el usuario no está atento, se puede exceder el númerdisponibles, especialmente si tanto la dirección de origen como la de destinoservicio especificado es un grupo de servicios.
• No se pueden agregar las direcciones predefinidas: “Any”, “All Virtual IPs” n
2. Para asegurarse de que un grupo no esté “autocontenido” accidentalmente como miembro en su propio grupo, el discomprobación de coherencia cada vez que se incluye un grupo en otro. Por ejemplo, si agrega el grupo A como miembse asegura automáticamente de que A no contenga ya a B como miembro.
3. La forma automática en la que el dispositivo NetScreen aplica directivas a cada miembro del grupo de direcciones ahpor una para cada dirección. NetScreen incluso escribe estas directivas en ASIC, lo cual acelera considerablemente
Capítulo 5 Bloques para la construcción de directivas Direcciones
148
las dos direcciones “Santa la zona Trust.
guiente nombre de grupo,
<< para trasladar la dirección umna “Group Members”.
ara trasladar la dirección de la “Group Members”.
Eng”
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Crear un grupo de direccionesEn el ejemplo siguiente creará un grupo denominado “HQ 2nd Floor” que contendráClara Eng” y “Tech Pubs”, que ya habrá introducido en la libreta de direcciones para
WebUI
Objects > Addresses > Groups > (para la zona: Trust) New: Introduzca el simueva las siguientes direcciones y haga clic en OK :
Group Name: HQ 2nd Floor
Seleccione Santa Clara Eng y utilice el botónde la columna “Available Members” a la col
Seleccione Tech Pubs y utilice el botón << pcolumna “Available Members” a la columna
CLI
set group address trust “HQ 2nd Floor” add “Santa Clara set group address trust “HQ 2nd Floor” add “Tech Pubs”save
Capítulo 5 Bloques para la construcción de directivas Direcciones
149
reta de direcciones) al grupo de
loor”): Mueva la siguiente
a trasladar la dirección de la “Group Members”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Editar una entrada de grupo de direccionesEn este ejemplo agregará “Support” (una dirección que ya habrá introducido en la libdirecciones “HQ 2nd Floor”.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (para “HQ 2nd Fdirección y haga clic en OK :
Seleccione Support y utilice el botón << parcolumna “Available Members” a la columna
CLI
set group address trust “HQ 2nd Floor” add Supportsave
Capítulo 5 Bloques para la construcción de directivas Direcciones
150
loor” y eliminará “Sales”, un
: Mueva la siguiente dirección y
trasladar la dirección de la vailable Members”.
e en la columna “Configure”
yan eliminado todos los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Eliminar un miembro y un grupoEn este ejemplo eliminará el miembro “Support” del grupo de direcciones “HQ 2nd Fgrupo de direcciones que previamente habrá creado.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (“HQ 2nd Floor”)haga clic en OK :
Seleccione support y utilice el botón >> paracolumna “Group Members” a la columna “A
Objects > Addresses > Groups > (para la zona: Trust): Haga clic en Removpara “Sales”.
CLI
unset group address trust “HQ 2nd Floor” remove Supportunset group address trust Salessave
Nota: El dispositivo NetScreen no elimina automáticamente un grupo del que se hanombres.
Capítulo 5 Bloques para la construcción de directivas Servicios
151
da servicio tiene asociados un rto TCP nº 21 para FTP y el para ella. Puede seleccionar ado o grupo de servicios que lista desplegable Service de la
te en esta sección encontrará
163
9
gina 200
s de servicios en el dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SERVICIOSLos servicios son tipos de tráfico para los que existen estándares de protocolos. Caprotocolo de transporte y uno o varios números de puertos de destino, como el puepuerto TCP nº 23 para Telnet. Al crear una directiva se debe especificar un serviciouno de los servicios predefinidos del libro de servicios, o bien un servicio personalizhaya creado. Para consultar qué servicio puede utilizar en una directiva, visualice lapágina “Policy Configuration” (WebUI) o ejecute el comando get service (CLI).
Servicios predefinidosScreenOS es compatible con un gran número de servicios predefinidos. Más adelaninformación más detallada sobre algunos, a saber:
• “Servicios ICMP” en la pàgina 158
• “RSH ALG” en la pàgina 160
• “Sun Remote Procedure Call Application Layer Gateway” en la pàgina 160
• “Microsoft Remote Procedure Call Application Layer Gateway” en la pàgina
• “Real Time Streaming Protocol Application Layer Gateway” en la pàgina 16
• “Protocolo H.323 para “Voice-over-IP”” en la pàgina 181
• “Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”)” en la pà
Puede visualizar la lista de servicios predefinidos o personalizados, o bien los grupoNetScreen mediante WebUI o CLI.
Mediante WebUI:
Objects > Services > Predefined
Objects > Services > Custom
Objects > Services > Groups
Capítulo 5 Bloques para la construcción de directivas Servicios
152
5, que abarca todo el conjunto a través de un puerto de origen distinto para cualquier servicio e “Servicios personalizados” en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Mediante CLI:
get service [ group | predefined | user ]
La respuesta del comando CLI get service pre-defined es similar a ésta:
Name Proto Port Group Time out (min) FlagANY 0 0/65535 other 1 Pre-defined
AOL 6 5190/5194 remote 30 Pre-defined
BGP 6 179 other 30 Pre-defined
DHCP-Relay 17 67 info seeking 1 Pre-defined
DNS 17 53 info seeking 1 Pre-defined
FINGER 6 79 info seeking 30 Pre-defined
FTP 6 21 remote 30 Pre-defined
FTP-Get 6 21 remote 30 Pre-defined
FTP-Put 6 21 remote 30 Pre-defined
GOPHER 6 70 info seeking 30 Pre-defined
H.323 6 1720 remote 2160 Pre-defined
--- more ---
Nota: Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 6553de números de puerto válidos. Esto evita que posibles atacantes obtengan acceso que se encuentre fuera del rango. Si necesita utilizar un rango de puertos de origenpredefinido, cree un servicio personalizado. Para obtener más información, consultla pàgina 153.
Capítulo 5 Bloques para la construcción de directivas Servicios
153
lizados. Puede asignar a cada
n TCP o UDP
mbre que un servicio el tiempo de espera ara definir el tiempo de espera rvicio personalizado con el el servicio personalizado en el
ado en vsys.
con otro tiempo de espera en el
rsonalizado.
creenOS (aplicables a los menclatura y conjuntos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Servicios personalizadosEn lugar de utilizar servicios predefinidos, puede crear fácilmente servicios personaservicio personalizado los atributos siguientes:
• Nombre
• Protocolo de transporte
• Números de los puertos de origen y de destino para los servicios que utiliza
• Valores de tipos y códigos para los servicios que utilizan ICMP
• Valor del tiempo de espera
Si crea un servicio personalizado en un sistema virtual (vsys) que tiene el mismo nopersonalizado previamente definido en el sistema raíz, el servicio en el vsys asumepredeterminado para el protocolo de transporte especificado (TCP, UDP o ICMP). Ppersonalizado para un servicio en un vsys distinto del predeterminado cuando un semismo nombre en el sistema raíz ya disponga de su propio tiempo de espera, cree vsys y en el sistema raíz en el orden siguiente:
1. Primero, cree un servicio personalizado con un tiempo de espera personaliz
2. A continuación, cree otro servicio personalizado con el mismo nombre pero sistema raíz.
Los ejemplos siguientes describen cómo agregar, modificar y eliminar un servicio pe
Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para los servicios personalizados), consulte “Convenciones de nocaracteres” en la pàgina xiv.
Capítulo 5 Bloques para la construcción de directivas Servicios
154
ón siguiente:
icio, por ejemplo: 23000 –
las especificaciones de
clic en OK :
criba)
t-port 23000-23000
a de un servicio personalizado es de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Agregar un servicio personalizadoPara agregar un servicio personalizado al libro de servicios se necesita la informaci
• Un nombre para el servicio, en este ejemplo “cust-telnet”
• Un rango de números de puertos de origen: 1 – 65535
• Un rango de números de puertos de destino para recibir la petición del serv23000.
• Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible conInternet. En este ejemplo, el protocolo es TCP.
WebUI
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: cust-telnet
Service Timeout: Custom (seleccione), 30 (es
Transport Protocol: TCP (seleccione)
Source Port Low: 1
Source Port High: 65535
Destination Port Low: 23000
Destination Port High: 23000
CLI
set service cust-telnet protocol tcp src-port 1-65535 dsset service cust-telnet timeout 304
save
4. El valor del tiempo de espera se expresa en minutos. Si no se establece expresamente, el valor del tiempo de esper180 minutos. Si no desea que un servicio caduque al cumplirse su tiempo de espera, introduzca never .
Capítulo 5 Bloques para la construcción de directivas Servicios
155
o de puertos de destino a
servicio personalizado sin
ntes datos y haga clic en OK :
23230-23230
ure” para “cust-telnet”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modificar un servicio personalizadoEn este ejemplo modificará el servicio personalizado “cust-telnet” cambiando el rang23230-23230.
Utilice el comando set service service_name clear para eliminar la definición de uneliminar el servicio del libro de servicios:
WebUI
Objects > Services > Custom > Edit (para cust-telnet): Introduzca los siguie
Destination Port Low: 23230
Destination Port High: 23230
CLI
set service cust-telnet clearset service cust-telnet + tcp src-port 1-65535 dst-port save
Ejemplo: Eliminar un servicio personalizadoEn este ejemplo eliminará el servicio personalizado “cust-telnet”.
WebUI
Objects > Services > Custom: Haga clic en Remove en la columna “Config
CLI
unset service cust-telnetsave
Capítulo 5 Bloques para la construcción de directivas Servicios
156
tiempo de espera (en minutos). mpo de espera personalizado o
do con un tiempo de espera
s o al servicio predefinido ANY, o servicio configurado que or ejemplo, si define los dos
2121 timeout 2000-2148 timeout 15
a, el dispositivo NetScreen tiempo de espera de 20 los tiempos de espera de los otra para UDP. Cuando el nado en un grupo de servicios, plica el tiempo de espera del números de puertos de destino En el ejemplo antedicho, el números de puertos de destino efinido después de ftp-1. Por lo imero el tiempo de espera para
un servicio, evite utilizar cio definido primero en una
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Tiempos de espera de serviciosPara los servicios predefinidos o personalizados se puede establecer un umbral de Se puede utilizar el tiempo de espera predeterminado del servicio, especificar un tieno utilizar ningún tiempo de espera.
Algunos detalles sobre el comportamiento de los tiempos de espera de servicios:
• Cuando una directiva se refiere a un solo servicio personalizado o predefinipersonalizado, el dispositivo NetScreen aplica ese tiempo de espera.
• Cuando una directiva se refiere a un grupo de servicios, a múltiples servicioel dispositivo NetScreen aplica el tiempo de espera correspondiente al últimcoincida con el protocolo (TCP o UDP) + el número del puerto de destino. Pservicios siguientes en el orden siguiente,
set service ftp-1 protocol tcp src 0-65535 dst 2121-set service telnet-1 protocol tcp src 0-65535 dst 21
y luego hace referencia a ftp-1 junto con otros servicios en la misma directivaplica el tiempo de espera de 15 minutos definido para telnet-1 en lugar delminutos para ftp-1. Esto sucede porque el dispositivo NetScreen almacena servicios que utilizan los protocolos TCP y UDP en tablas, una para TCP y dispositivo NetScreen consulta el tiempo de espera para un servicio menciopara una directiva con servicios múltiples o para el servicio comodín ANY, aprimer servicio que encuentra en la tabla; si hubiera múltiples servicios con coincidentes, se utilizará el último servicio configurado e inscrito en la tabla.dispositivo NetScreen aplica el tiempo de espera de 15 minutos porque los para telnet-1 (2100-2148) se solapan con los de ftp-1 (2121) y telnet-1 fue dtanto, la búsqueda de un servicio con el puerto de destino 2121 descubre prtelnet-1 y lo aplica.
Para evitar la aplicación no intencionada de un tiempo de espera distinto a servicios con números de puertos de destino coincidentes o aplique el servidirectiva independiente.
Capítulo 5 Bloques para la construcción de directivas Servicios
157
P, el dispositivo NetScreen fiera exclusivamente a ese tivo NetScreen aplicará el protocolos distintos de TCP y
sonalizado y ya hay un servicio a raíz, el dispositivo NetScreen rvicio definido en el nivel raíz.
un servicio personalizado mpo de espera personalizado
o el tiempo de espera uerto en el nivel raíz. Para ello,
l mismo protocolo y los mismos licar en el nivel vsys.
GP a 75 minutos:
os y haga clic en OK :
criba)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• Para servicios que utilizan ICMP o cualquier protocolo distinto de TCP y UDaplicará el tiempo de espera personalizado siempre que una directiva se reservicio. Cuando una directiva haga referencia a varios servicios, el dispositiempo de espera predeterminado (1 minuto) para los servicios que utilicen UDP.
• Cuando una directiva en un sistema virtual (vsys) se refiere a un servicio perdefinido con el mismo protocolo + número de puerto de destino en el sistemaplica al servicio en el nivel vsys el tiempo de espera correspondiente al se
• No se puede definir explícitamente un tiempo de espera personalizado paracreado en el nivel vsys. Sin embargo, se puede aplicar indirectamente un tieen el nivel vsys creando un servicio personalizado en vsys y aplicando luegpersonalizado deseado a un servicio con el mismo protocolo + número de psiga estos pasos en el orden siguiente:
1. Cree un servicio personalizado en vsys.
2. A continuación, en el sistema raíz, cree otro servicio personalizado con enúmeros de puertos de destino, y con el tiempo de espera que desee ap
Ejemplo: Establecer el tiempo de espera de un servicioEn este ejemplo cambiará el umbral del tiempo de espera del servicio predefinido B
WebUI
Objects > Services > Predefined > Edit (BGP): Introduzca los siguientes dat
Service Timeout: Custom (seleccione), 75 (es
CLI
set service BGP timeout 75save
Capítulo 5 Bloques para la construcción de directivas Servicios
158
et Control Message Protocol” o nalizados. Al configurar un de mensajes ICMP. Por
o proporciona información más
ocol”.
d
st
Live exceeded in
ido (“Fragment
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Servicios ICMPScreenOS es compatible con el protocolo de mensajes de control de Internet (“Intern“ICMP”) y admite diversos mensajes ICMP, como los servicios predefinidos o persoservicio ICMP personalizado, deberá definir su tipo y código5. Existen diversos tiposejemplo:
tipo 0 = mensaje de petición de eco (“Echo Request”)
tipo 3 = mensaje de destino inalcanzable (“Destination Unreachable”)
Los tipos de mensajes ICMP también pueden tener un código de mensaje. El códigespecífica sobre el mensaje. Por ejemplo:
ScreenOS admite cualquier tipo o código dentro del rango 0-255.
5. Para obtener más información sobre los tipos y códigos de ICMP, consulte RFC 792, “Internet Control Message Prot
Tipo de mensaje Código de mensaje5 = Reenviar (“Redirect”) 0 = Reenvía el datagrama de la red (o subred)
1 = Reenvía el datagrama del host
2 = Reenvía el datagrama del tipo de servicio y re
3 = Reenvía el datagrama del tipo de servicio y ho
11 = Códigos de tiempo excedido (“Time Exceeded”)
0 = Tiempo de vida excedido en tránsito (“Time to Transit”)
1 = Tiempo de reensamblaje de fragmentos excedReassembly Time Exceeded”)
Capítulo 5 Bloques para la construcción de directivas Servicios
159
que utilizará ICMP como y el código es 1 (“Host
OK :
riba)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Definir un servicio ICMPEn este ejemplo definirá un servicio personalizado denominado “host-unreachable” protocolo de transporte. El tipo es 3 (correspondiente a “Destination Unreachable”) Unreachable”). Establecerá el valor del tiempo de espera en 2 minutos.
WebUI
Objects > Services > Custom: Introduzca los siguientes datos y haga clic en
Service Name: host-unreachable
Service Timeout: Custom (seleccione), 2 (esc
Transport Protocol: ICMP (seleccione)
ICMP Type: 3
ICMP Code: 1
CLI
set service host-unreachable protocol icmp type 5 code 0set service host-unreachable timeout 2save
Capítulo 5 Bloques para la construcción de directivas Servicios
160
usuarios autenticados ejecutar SH en los modos Transparent el tráfico RSH.
ue un programa que se esté tá ejecutando en otro equipo. adcast”, la dirección de
de programa y número de rama y el número de versión de
o y denegando el tráfico aplicación (“application layer NetScreen puedan manejar el ra asegurar el cumplimiento de una directiva de cortafuegos terminados números de y salientes.
nsporte del servicio, que en el es el siguiente:
oto. El mensaje GETPORT oto que desea ejecutar.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
RSH ALGRSH ALG (puerta de enlace “Remote Shell” en la capa de aplicación) permite a los comandos shell en hosts remotos. Los dispositivos NetScreen admiten el servicio R(L2), Route (L3) y NAT, pero los dispositivos no admiten la traducción de puertos en
Sun Remote Procedure Call Application Layer GatewaySun RPC, también conocido como Open Network Computing (ONC) RPC, permite qejecutando en un equipo pueda ejecutar procedimientos de un programa que se esDebido al gran número de servicios RPC y a la necesidad de realizar difusiones “brotransporte de un servicio RPC se negocia dinámicamente basándose en el número versión del servicio. Hay definidos varios protocolos para asignar el número de progRPC a una dirección de transporte.
Los dispositivos NetScreen admiten Sun RPC como servicio predefinido, permitiendbasándose en una directiva que usted configure. La puerta de enlace de la capa degateway” o “ALG”) proporciona la funcionalidad necesaria para que los dispositivos mecanismo dinámico de negociación de direcciones de transporte de Sun RPC y palas directivas de cortafuegos basadas en el número de programa. Se puede definir para permitir o denegar todas las peticiones RPC, o bien para permitir o denegar deprograma. ALG también admite el modo Route y NAT para las peticiones entrantes
Situaciones típicas de llamadas RPCCuando un cliente llama a un servicio remoto, necesita encontrar la dirección de tracaso de TCP/UDP es un número de puerto. Un procedimiento típico para este caso
1. El cliente envía el mensaje GETPORT al servicio RPCBIND del equipo remcontiene los números de programa, versión y procedimiento del servicio rem
2. El servicio RPCBIND responde con un número de puerto.
3. El cliente llama al servicio remoto usando el número de puerto devuelto.
4. El servicio remoto responde al cliente.
Capítulo 5 Bloques para la construcción de directivas Servicios
161
directamente sin conocer el
. El mensaje CALLIT contiene desea ejecutar.
puesta contiene el resultado de
os Sun RPC Portmapper Protocol CP/UDP, incluyendo el puerto servicios de esta tabla están a.
unt Daemon
C Network File System
un RPC Network Lock Manager
PC Remote Quota Daemon
C Remote Status Daemon
RPC Remote User Daemon
ema Sun RPC System
n
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Un cliente también puede utilizar el mensaje CALLIT para llamar al servicio remoto número de puerto del servicio. En este caso, el procedimiento es el siguiente:
1. El cliente envía el mensaje CALLIT al servicio RPCBIND del equipo remotolos números de programa, versión y procedimiento del servicio remoto que
2. RPCBIND llama al servicio para el cliente.
3. RCPBIND responde al cliente si la llamada se ha realizado con éxito. La resla llamada y el número de puerto del servicio.
Servicios Sun RPCLa tabla siguiente enumera los servicios Sun RPC predefinidos.
Nombre Número del programa
Descripción
SUN-RPC-PORTMAPPER 100000 El protocolo de asignación de puertes un servicio basado en puertos TTCP/UDP nº 111. Todos los demásbasados en el número del program
SUN-RPC-ANY N/D Cualquier servicio Sun RPC
SUN-RPC-MOUNTD 100005 Demonio de montaje Sun RPC Mo
SUN-RPC-NFS 100003100227
Sistema de archivos en red Sun RP
SUN-RPC-NLOCKMGR 100021 Administrador de bloqueos de red S
SUN-RPC-RQUOTAD 100011 Demonio de cuotas remotas Sun R
SUN-RPC-RSTATD 100001 Demonio de estado remoto Sun RP
SUN-RPC-RUSERD 100002 Demonio de usuarios remotos Sun
SUN-RPC-SADMIND 100232 Demonio de administración del sistAdministration Daemon
SUN-RPC-SPRAYD 100012 Demonio Sun RPC SPRAY Daemo
Capítulo 5 Bloques para la construcción de directivas Servicios
162
pueden utilizar objetos de la directiva de seguridad. Para or ejemplo, NFS utiliza dos on dinámicos. Para permitir los os números. El ALG asignará rá o denegará el servicio
ar Sun RPC Network File
atos y haga clic en Apply :
marilla Sun RPC Yellow Page
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Servicios Sun RPCDado que los servicios Sun RPC utilizan puertos negociados dinámicamente, no seservicios convencionales basándose en puertos TCP/UDP fijos para autorizarlos enello es necesario crear objetos “sun rpc service” utilizando números de programa. Pnúmeros de programa: 100003 y 100227. Los puertos TCP/UDP correspondientes snúmeros de programa, cree un objeto de servicio sun-rpc-nfs que contenga estos dlos números de programa a puertos TCP/UDP negociados dinámicamente y permitibasándose en una directiva que usted configure.En este ejemplo, creará un objeto de servicio denominado my-sunrpc-nfs para utilizSystem, identificado por dos identificadores de programa: 100003 y 100227.
WebUI
Objects > Services > Sun RPC Services > New: Introduzca los siguientes d
Service Name: my-sunrpc-nfs
Service Timeout: (seleccione)
Program ID Low: 100003
Program ID High: 100003
Program ID Low: 100227
Program ID High: 100227
SUN-RPC-STATUS 100024 Sun RPC STATUS
SUN-RPC-WALLD 100008 Demonio Sun RPC WALL Daemon
SUN-RPC-YPBIND 100007 Servicio de asignación de página aBind Service
Nombre Número del programa
Descripción
Capítulo 5 Bloques para la construcción de directivas Servicios
163
3-1000037
waystribuida (“Distributed e Call Application Layer ndo en un equipo pueda bido al gran número de nsporte de un servicio RPC se
nique IDentifier” o “UUID”). En l UUID específico a una
o y denegando el tráfico necesaria para que los direcciones de transporte de UID. Se puede definir una ra permitir o denegar s peticiones entrantes y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set service my-sunrpc-nfs protocol sun-rpc program 10000set service my-sunrpc-nfs + sun-rpc program 100227-10022save
Microsoft Remote Procedure Call Application Layer GateMS RPC es la implementación de Microsoft del RPC del entorno de computación diComputing Environment” o DCE). Como Sun RPC (consulte “Sun Remote ProcedurGateway” en la pàgina 160), MS RPC permite que un programa que se está ejecutaejecutar procedimientos de un programa que se está ejecutando en otro equipo. Deservicios RPC y a la necesidad de realizar difusiones “broadcast”, la dirección de tranegocia dinámicamente basándose en el identificador universal único (“Universal UScreenOS, el protocolo de asignación Endpoint Mapper está definido para asignar edirección de transporte.
Los dispositivos NetScreen admiten MS RPC como servicio predefinido, permitiendbasándose en una directiva que usted configure. ALG proporciona la funcionalidad dispositivos NetScreen puedan manejar el mecanismo de negociación dinámica de MS RPC y garantizar el cumplimiento de las directivas de cortafuegos basadas en Udirectiva de cortafuegos para permitir o denegar todas las peticiones RPC, o bien padeterminados números de UUID. ALG también admite el modo Route y NAT para lasalientes.
Capítulo 5 Bloques para la construcción de directivas Servicios
164
ripcióncolo Remote Procedure Call ) Endpoint Mapper (EPM) de soft, un servicio basado en os TCP/UDP, incluyendo el puerto UDP nº 135. Todos los demás ios de esta tabla están basados ID.
squiera servicios Remote dure Call (RPC) de Microsoft
cios de copia de seguridad y uración de Active Directory de soft
cio de replicación de Active tory de Microsoft
cio DSROLE de Active Directory icrosoft
cio de configuración de Active tory de Microsoft
cio distribuido de coordinación de acciones Distributed Transaction dinator de Microsoft
cio de base de datos de Microsoft ange
cio de directorios de Microsoft ange
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Servicios de MS RPCLa tabla siguiente enumera los servicios MS RPC predefinidos.
Nombre UUID DescMS-RPC-EPM e1af8308-5d1f-11c9-91a4-08002b14a0fa Proto
(RPCMicropuertTCP/servicen UU
MS-RPC-ANY N/D CualeProce
MS-AD-BR ecec0d70-a603-11d0-96b1-00a0c91ece3016e0cf3a-a604-11d0-96b1-00a0c91ece30
ServirestaMicro
MS-AD-DRSUAPI e3514235-4b06-11d1-ab04-00c04fc2dcd2 ServiDirec
MS-AD-DSROLE 1cbcad78-df0b-4934-b558-87839ea501c9 Servide M
MS-AD-DSSETUP 3919286a-b10c-11d0-9ba8-00c04fd92ef5 ServiDirec
MS-DTC 906b0ce0-c70b-1067-b317-00dd010662da ServitransCoor
MS-EXCHANGE-DATABASE 1a190310-bb9c-11cd-90f8-00aa00466520 ServiExch
MS-EXCHANGE-DIRECTORY f5cc5a18-4264-101a-8c59-08002b2f8426f5cc5a7c-4264-101a-8c59-08002b2f8426f5cc59b4-4264-101a-8c59-08002b2f8426
ServiExch
Capítulo 5 Bloques para la construcción de directivas Servicios
165
cio de almacenamiento de ación Microsoft Exchange ation Store
cio Exchange MTA de Microsoft
cio de almacén de Microsoft ange
cio System Attendant de Microsoft ange
cio de replicación de archivos de soft
cio COM GUID/UUID de Microsoft et Information Server
cio IMAP4 de Microsoft Internet ation Server
cio INETINFO de Microsoft et Information Server
cio NNTP de Microsoft Internet ation Server
ripción
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MS-EXCHANGE-INFO-STORE 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde1453c42c-0fa6-11d2-a910-00c04f990f3b10f24e8e-0fa6-11d2-a910-00c04f990f3b1544f5e0-613c-11d1-93df-00c04fd7bd09
ServiinformInform
MS-EXCHANGE-MTA 9e8ee830-4459-11ce-979b-00aa005ffebe38a94e72-a9bc-11d2-8faf-00c04fa378ff
Servi
MS-EXCHANGE-STORE 99e66040-b032-11d0-97a4-00c04fd6551d89742ace-a9ed-11cf-9c0c-08002be7ae86a4f1db00-ca47-1067-b31e-00dd010662daa4f1db00-ca47-1067-b31f-00dd010662da
ServiExch
MS-EXCHANGE-SYSATD 67df7c70-0f04-11ce-b13f-00aa003bac6cf930c514-1215-11d3-99a5-00a0c9b61b0483d72bf0-0d89-11ce-b13f-00aa003bac6c469d6ec0-0d87-11ce-b13f-00aa003bac6c06ed1d30-d3d3-11cd-b80e-00aa004b9c30
ServiExch
MS-FRS f5cc59b4-4264-101a-8c59-08002b2f8426d049b186-814f-11d1-9a3c-00c04fc9b232a00c021c-2be2-11d2-b678-0000f87a8f8e
ServiMicro
MS-IIS-COM 70b51430-b6ca-11d0-b9b9-00a0c922e750a9e69612-b80d-11d0-b9b9-00a0c922e70
ServiIntern
MS-IIS-IMAP4 2465e9e0-a873-11d0-930b-00a0c90ab17c ServiInform
MS-IIS-INETINFO 82ad4280-036b-11cf-972c-00aa006887b0 ServiIntern
MS-IIS-NNTP 4f82f460-0e21-11cf-909e-00805f48a135 ServiInform
Nombre UUID Desc
Capítulo 5 Bloques para la construcción de directivas Servicios
166
cio POP3 de Microsoft Internet ation Server
cio SMTP de Microsoft Internet ation Server
cio Microsoft Inter-site Messaging
cio Microsoft Messenger
cio de administración de colas de ajes Microsoft Windows Message e Management
cio Microsoft Netlogon
cio Microsoft Scheduler
dor DNS de Microsoft Windows
cio WINS de Microsoft
ripción
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MS-IIS-POP3 1be617c0-31a5-11cf-a7d8-00805f48a135 ServiInform
MS-IIS-SMTP 8cfb5d70-31a4-11cf-a7d8-00805f48a135 ServiInform
MS-ISMSERV 68dcd486-669e-11d1-ab0c-00c04fc2dcd2130ceefb-e466-11d1-b78b-00c04fa32883
Servi
MS-MESSENGER 17fdd703-1827-4e34-79d4-24a55c53bb375a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc
Servi
MS-MQQM fdb3a030-065f-11d1-bb9b-00a024ea552576d12b80-3467-11d3-91ff-0090272f9ea31088a980-eae5-11d0-8d9b-00a02453c335b5b3580-b0e0-11d1-b92d-0060081e87f0 41208ee0-e970-11d1-9b9e-00e02c064c39
ServimensQueu
MS-NETLOGON 12345678-1234-abcd-ef00-01234567cffb Servi
MS-SCHEDULER 1ff70682-0a51-30e8-076d-740be8cee98b378e52b0-c0a9-11cf-822d-00aa0051e40f0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53
Servi
MS-WIN-DNS 50abc2a4-574d-40b3-9d66-ee4fd5fba076 Servi
MS-WINS 45f52c28-7f9f-101a-b52b-08002b2efabe811109bf-a4e1-11d1-ab54-00a0c91e9b45
Servi
Nombre UUID Desc
Capítulo 5 Bloques para la construcción de directivas Servicios
167
pueden utilizar objetos de la directiva de seguridad. En icio MS Exchange Info Store,
jeto de servicio en estos cuatro UUID, el ALG y permitirá o denegará el
uirá los UUIDs del servicio Info
-BR, MS-AD-DRSUAPI,
-DATABASE, -INFO-STORE, y MS-EXCHANGE-SYSATD
MS-IIS-COM, MS-IIS-IMAP4, y MS-IIS-SMTP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Grupos de servicios MS RPCLa tabla siguiente enumera los grupos de servicios MS RPC predefinidos.
Ejemplo: Servicios para MS RPCDado que los servicios MS RPC utilizan puertos negociados dinámicamente, no se servicios convencionales basándose en puertos TCP/UDP fijos para autorizarlos enlugar de ello, deben crearse objetos de servicios MS RPC utilizando UUIDs. El servpor ejemplo, utiliza los cuatro UUIDs siguientes:
• 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
• 1453c42c-0fa6-11d2-a910-00c04f990f3b
• 10f24e8e-0fa6-11d2-a910-00c04f990f3b
• 1544f5e0-613c-11d1-93df-00c04fd7bd09
Los puertos TCP/UDP correspondientes son dinámicos. Para permitirlos, cree un obms-exchange-info-store del servicio que contenga estos cuatro UUIDs. Basándose asignará los números de programa a puertos TCP/UDP negociados dinámicamenteservicio basándose en una directiva que usted configure.En este ejemplo, creará un objeto de servicio denominado my-ex-info-store que inclStore de MS Exchange.
Nombre DescripciónMS-AD Active Directory de Microsoft, incluyendo MS-AD
MS-AD-DSROLE y MS-AD-DSSETUP
MS-EXCHANGE Microsoft Exchange, incluyendo MS-EXCHANGEMS-EXCHANGE-DIRECTORY, MS-EXCHANGEMS-EXCHANGE-MTA, MS-EXCHANGE-STORE
MS-IIS Microsoft Internet Information Server, incluyendoMS-IIS-INETINFO, MS-IIS-NNTP, MS-IIS-POP3
Capítulo 5 Bloques para la construcción de directivas Servicios
168
n Apply :
de
3b
b
09
-11d2-a910-00c04f990f3b-11d2-a910-00c04f990f3b-11d1-93df-00c04fd7bd09
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
Objects > Services > MS RPC: Introduzca los siguientes datos y haga clic e
Service Name: my-ex-info-store
UUID: 0e4a0156-dd5d-11d2-8c2f-00c04fb6bc
UUID: 1453c42c-0fa6-11d2-a910-00c04f990f
UUID: 10f24e8e-0fa6-11d2-a910-00c04f990f3
UUID: 1544f5e0-613c-11d1-93df-00c04fd7bd
CLI
set service my-ex-info-store protocol ms-rpc uuid 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid 1453c42c-0fa6set service my-ex-info-store + ms-rpc uuid 10f24e8e-0fa6set service my-ex-info-store + ms-rpc uuid 1544f5e0-613csave
Capítulo 5 Bloques para la construcción de directivas Servicios
169
o varias secuencias multimedia uencias de datos por sí mismo ele utilizar más como “control ara seleccionar canales de de entrega basándose en el (“Session Description Protocol”) iente para el control agregado ntrol no agregado de una Los orígenes de datos pueden
ráfico RTSP basándose en una erto asignados dinámicamente de control. ALG realiza el ondientes ojos de aguja ce las direcciones y puertos IP
, transparente, NAT basado en
ión (por ejemplo, cuando el ón TCP al servidor RTSP en el odos) para descubrir qué IONS especificando el nombre (Para obtener más información RFC 2326, sección 11).
media que desea. El servidor o SDP. Seguidamente, el ecuencias de medios ecibirá los medios. Con NAT, el responde al método SETUP e y al servidor en cuanto al odo PLAY y el servidor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Real Time Streaming Protocol Application Layer GatewayRTSP es un protocolo a nivel de aplicación que permite controlar la entrega de una sincronizadas, tales como audio y vídeo. Aunque RTSP es capaz de suministrar secinterpolando las secuencias de medios continuos con la secuencia de control, se suremoto de red” para servidores multimedia. El protocolo fue diseñado como medio pentrega, como UDP, multicast UDP y TCP, así como para seleccionar el mecanismoprotocolo RTP (“Real Time Protocol”). RTSP también puede utilizar el protocolo SDP(consulte “SDP” en la pàgina 207) como medios para proporcionar información al clde una presentación compuesta por secuencias de unos o varios servidores y el copresentación compuesta por múltiples secuencias procedentes de un solo servidor.ser suministrados en directo o clips almacenados.
Los dispositivos NetScreen admiten RTSP como servicio y permiten o deniegan el tdirectiva que usted configure. ALG es necesario porque RTSP utiliza números de puque se incluyen en los datos del paquete durante el establecimiento de la conexión seguimiento de los números de puerto asignados dinámicamente y abre los corresp(consulte “Creación de ojos de aguja” en la pàgina 208). En el modo NAT, ALG tradusegún se requiera. Los dispositivos NetScreen admiten RTSP en los modos de rutainterfaz y NAT basado en directivas.
La siguiente ilustración representa una sesión RTSP típica. El cliente inicia una sesusuario hace clic en el botón de reproducción de RealPlayer), establece una conexipuerto 554 y envía el mensaje OPTIONS (los mensajes también se denominan métfunciones de audio y vídeo soporta el servidor. El servidor responde al mensaje OPTy la versión del servidor, así como un identificador de sesión, por ejemplo 24256-1. sobre métodos, consulte “Métodos de petición del protocolo SIP” en la pàgina 201 y
A continuación, el cliente envía el mensaje DESCRIBE con la URL del archivo multiresponde al mensaje DESCRIBE con una descripción del medio utilizando el formatcliente envía el mensaje SETUP, que especifica los mecanismos de transporte de saceptables para el cliente, por ejemplo RTP/RTCP o RDT, y los puertos en los que rALG RTSP supervisa estos puertos y los traduce cuando sea necesario. El servidorseleccionando uno de los protocolos de transporte, lo que pone de acuerdo al clientmecanismo para el transporte de los medios. A continuación, el cliente envía el métcomienza a enviar la secuencia multimedia al cliente.
Capítulo 5 Bloques para la construcción de directivas Servicios
170
Servidor RealMediaPuerto 554
creada)
sentación de medios)
desde el puerto 9086)
Puerto 9086
TP especificada)sde el servidor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cliente RealPlayerPuerto 3408
Dispositivo NetScreen
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
������������������������������������������������������������������������������������������������������������������������������
1. SYN (puerto 3408 al puerto RTSP 554)
2. SYN ACK3. ACK4. OPTIONS (admitidas)
5. RTSP OK (sesión 24256-16. DESCRIBE (presentación de medios)
7. RTSP OK (con SDP de pre8. SDP (continuación)
9. SETUP (el cliente “escucha” en el puerto 6970a la espera de medios)
10. RTSP OK (sesión 2456-1
Puerto6970
11. SET_PARAM 12. RTSP OK
13. PLAY 14. RTSP OK (información R15. Datos RTP enviados de
16. Datos RTCP ocasionales
17. TEARDOWN 17. RSTP OK
17. TCP RST
Capítulo 5 Bloques para la construcción de directivas Servicios
171
multimedia), la dirección o pcional. Por presentación se de un conjunto compuesto por . Una secuencia es una uetes creados por un origen
ervidor requerido
cliente opcional
ado
ado
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Métodos de petición RTSPLa tabla siguiente enumera los métodos que se pueden aplicar a un recurso (objetodirecciones de flujo de la información y si el método es requerido, recomendado u oentiende información tal como las direcciones de red, la codificación y el contenido una o varias secuencias presentadas al cliente como provisión de medios completainstancia de medios única, por ejemplo de audio o de vídeo, así como todos los paqdurante la sesión.
Método Sentido Objeto Requisito
OPTIONSCliente a servidor Presentación, secuencia Cliente a s
Servidor a cliente Presentación, secuencia Servidor a
DESCRIBE Cliente a servidor Presentación, secuencia Recomend
ANNOUNCECliente a servidor Presentación, secuencia
OpcionalServidor a cliente Presentación, secuencia
SETUP Cliente a servidor Secuencia Requerido
GET_PARAMETERCliente a servidor
Presentación, secuencia OpcionalServidor a cliente
SET_PARAMETERCliente a servidor
Presentación, secuencia OpcionalServidor a cliente
PLAY Cliente a servidor Presentación, secuencia Requerido
PAUSE Cliente a servidor Presentación, secuencia Recomend
RECORD Cliente a servidor Presentación, secuencia Opcional
REDIRECT Servidor a cliente Presentación, secuencia Opcional
TEARDOWN Cliente a servidor Presentación, secuencia Requerido
Nota: En el futuro podrían definirse métodos adicionales.
Capítulo 5 Bloques para la construcción de directivas Servicios
172
o admite y otros datos como el
mo velocidad del reloj, tablas te pueda necesitar para l archivo que está solicitando y ulte “SDP” en la pàgina 207).
la presentación o del objeto para actualizar la descripción
o los puertos en los que
e la secuencia especificado en presencia del cliente o del
utilizar el comando “ping”.
e un parámetro de la das con el cortafuegos, este
o especificado en SETUP. El ean correctas. El servidor pone iones PLAY hasta que se haya ntener un rango especificado. universal coordinada), para ecuencias procedentes de
Si la URL solicitada especifica La sincronización de pistas se eden cerrar la sesión si PAUSE a en SETUP. Una petición
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Definición de los métodos:
• OPTIONS: El cliente consulta al servidor qué características de audio o vídenombre y la versión del servidor y la identificación de la sesión.
• DESCRIBE: Para el intercambio de los datos de inicialización de medios, code colores y cualquier información independiente del transporte que el clienreproducir la secuencia de medios. Generalmente, el cliente envía la URL deel servidor responde con una descripción del medio en formato SDP. (Cons
• ANNOUNCE: El cliente utiliza este método para publicar una descripción demultimedia identificado por la URL solicitada. El servidor utiliza este métodode la sesión en tiempo real.
• SETUP: El cliente especifica los mecanismos de transporte aceptables, comrecibirá la secuencia de medios y el protocolo de transporte.
• GET_PARAMETER: Consulta el valor de una presentación o el parámetro del URL. Este método se puede utilizar sin cuerpo de entidad para verificar laservidor. Para verificar si el cliente o servidor está “vivo” también se puede
• SET_PARAMETER: El cliente utiliza este método para establecer el valor dpresentación o secuencia especificado por el URL. Por cuestiones relacionamétodo no se puede utilizar para establecer parámetros de transporte.
• PLAY: Ordena al servidor que comience a enviar datos usando el mecanismcliente no enviará peticiones PLAY hasta que todas las peticiones SETUP sen cola las peticiones PLAY por orden y retrasa la ejecución de nuevas peticcompletado una petición PLAY activa. Las peticiones PLAY pueden o no coEl rango puede contener un parámetro de tiempo, expresado en UTC (horacomenzar la reproducción, que también se puede utilizar para sincronizar sdiversos orígenes.
• PAUSE: Detiene temporalmente la transmisión de una presentación activa.una secuencia particular, por ejemplo de audio, esto equivale a silenciarla. mantiene al reanudar la reproducción o grabación, aunque los servidores pucorresponde a la duración especificada en el parámetro de tiempo de esperPAUSE descarta todas las peticiones PLAY existentes en la cola.
Capítulo 5 Bloques para la construcción de directivas Servicios
173
de la presentación. Con una rio el servidor utilizará las horas
ién contiene tanto su a nueva URL. Para seguir DOWN para la sesión actual y
ecursos asociados a la misma. ión de la sesión, debe emitirse
cliente y del servidor. Los máquina, así como una frase Los códigos de estado están
petición
e puede llevar a cabo
entemente válida
las frases de motivo e al funcionamiento del
el motivo
-URI Too Large
rted Media Type
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• RECORD: Comienza a grabar el rango de medios definido en la descripciónmarca de hora UTC se indican las horas de comienzo y de final, de lo contrade comienzo y de final de la descripción de la presentación.
• REDIRECT: Informa al cliente de que debe conectarse a otro servidor; tambinformación de ubicación como, posiblemente, un parámetro de rango de esrecibiendo medios para este URI, el cliente debe generar una petición TEARun SETUP para la nueva sesión.
• TEARDOWN: Detiene la entrega de la secuencia del URI dado y libera los rSalvo que todos los parámetros de transporte sean definidos por la descripcuna petición SETUP para que la sesión pueda volver a reproducirse.
Códigos de estado de RTSPRTSP utiliza códigos de estado para proporcionar información sobre peticiones del códigos de estado incluyen un código de resultado de tres cifras interpretable por ladescriptiva del motivo. El cliente puede elegir si desea visualizar la frase del motivo.clasificados de la siguiente manera:
• Informativo (100 a 199): petición recibida y en proceso
• Éxito (200 a 299): acción recibida correctamente, comprendida y aceptada
• Redirección (300 a 399): se requiere una acción adicional para completar la
• Error del cliente (400 a 499): la petición es sintácticamente incorrecta y no s
• Error del servidor (500 a 599): el servidor no pudo cumplir una petición apar
La tabla siguiente enumera todos los códigos de estado definidos para RTSP 1.0 y recomendadas. Las frases de motivo se pueden revisar o redefinir sin que ello afectprotocolo.
Código de estado
Frase del motivo Código de estado
Frase d
100 Continue 414 Request
200 OK 415 Unsuppo
Capítulo 5 Bloques para la construcción de directivas Servicios
174
rted Media Type
ce Not Found
ugh Bandwidth
Not Found
Not Valid in This State
ield Not Valid for Resource
ange
er is Read-Only
te operation not allowed
regate operation allowed
rted transport
ion unreachable
Server Error
emented
eway
Unavailable
Time-out
ersion not supported
ot supported
2326, “Real Time Streaming
el motivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
201 Created 451 Unsuppo
250 Low on Storage Space 452 Conferen
300 Multiple Choices 453 Not Eno
301 Moved Permanently 454 Session
303 See Other 455 Method
304 Not Modified 456 Header F
305 Use Proxy 457 Invalid R
400 Bad Request 458 Paramet
401 Unauthorized 459 Aggrega
402 Payment Required 460 Only agg
403 Forbidden 461 Unsuppo
404 Not Found 462 Destinat
405 Method Not Allowed 500 Internal
406 Not Acceptable 501 Not Impl
407 Proxy Authentication Required 502 Bad Gat
408 Request Time-out 503 Service
410 Gone 504 Gateway
411 Length Required 505 RTSP V
412 Precondition Failed 551 Option n
413 Request Entity Too Large
Nota: Para ver las definiciones completas de los códigos de estado, consulte RFC Protocol (RTSP)”.
Código de estado
Frase del motivo Código de estado
Frase d
Capítulo 5 Bloques para la construcción de directivas Servicios
175
la zona Untrust. Usted decide t y luego crear una directiva
idor de medios en la zona Trust.
s y haga clic en Apply :
e)
Cliente1.1.1.5
Untrust
LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Servidor de medios en un dominio privadoEn este ejemplo, el servidor de medios se encuentra en la zona Trust y el cliente encolocar una MIP en la interfaz ethernet3 hacia el servidor de medios en la zona Truspara permitir que el tráfico de RTSP pase desde el cliente en la zona Untrust al serv
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2
Servidor de medios10.1.1.3
ethernet110.1.1.1
ethernet31.1.1.1
Mip de dispositivo virtual
en Ethernet3 1.1.1.3 -> 10.1.1.3
Trust
LANDispositivo NetScreen
Capítulo 5 Bloques para la construcción de directivas Servicios
176
s y haga clic en Apply :
e)
lic en OK :
lic en OK :
guientes datos y haga clic
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/24
Zone: Untrust
3. MIPNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los sien OK :
Mapped IP 1.1.1.3
Host IP Address: 10.1.1.5
Capítulo 5 Bloques para la construcción de directivas Servicios
177
y haga clic en OK :
1.3)
p permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. DirectivaPolicies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos
Source Address:
Address Book Entry: (seleccione), client
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: RTSP
Action: Permit
CLI
1. Interfacesset interface ethernet1 trustset interface ethernet1 ip 10.1.1.1
set interface ethernet3 untrustset interface ethernet3 ip 1.1.1.1
2. Direccionesset address trust media_server 10.1.1.3/24set address untrust client 1.1.1.5
3. MIPset interface ethernet3 mip (1.1.1.3) host 10.1.1.3
4. Directivaset policy from untrust to trust client mip(1.1.1.3) rtssave
Capítulo 5 Bloques para la construcción de directivas Servicios
178
a zona Trust. Usted colocará edios responda al cliente ya desde la zona Trust a la
haga clic en Apply :
haga clic en Apply :
Servidor de medios1.1.1.3
ntrust
LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Servidor de medios en un dominio públicoEn este ejemplo, el servidor de medios se encuentra en la zona Untrust y el cliente en lun conjunto de DIP en la interfaz ethernet3 para ejecutar NAT cuando el servidor de mdesde la zona Untrust y luego creará una directiva para permitir que el tráfico RTSP fluzona Untrust.
WebUI
1. InterfazNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
ethernet110.1.1.1
ethernet31.1.1.1
Cliente10.1.1.3
Conjunto de DIP en ethernet3
1.1.1.5 a 1.1.1.50
UTrust
LANDispositivo
Capítulo 5 Bloques para la construcción de directivas Servicios
179
lic en OK :
lic en OK :
uientes datos y haga clic en
.1.50
y haga clic en OK :
rver
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
3. Conjunto de DIPNetwork > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1
Port Translation: (seleccione)
4. DirectivaPolicies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos
Source Address:
Address Book Entry (seleccione): client
Destination Address:
Address Book Entry (seleccione): media_se
Service: RTSP
Capítulo 5 Bloques para la construcción de directivas Servicios
180
y haga clic en OK :
ne)50)/port-xlate
p nat dip 5 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Action: Permit
> Advanced: Introduzca los siguientes datos NAT:
Source Translation: (seleccio(DIP on): 5 (1.1.1.5-1.1.1.
CLI
1. Interfazset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust client ip 10.1.1.3/24set address untrust media_server ip 1.1.1.3/24
3. Conjunto de DIPset interface ethernet3 dip 5 1.1.5 1.1.1.50
4. Directivaset policy from trust to untrust client media_server rtssave
Capítulo 5 Bloques para la construcción de directivas Servicios
181
er-IP” o “VoIP”) entre equipos lefonía, los equipos selectores e las llamadas “VoIP”. Los
do “transparente”
r entre los hosts de telefonía IP zona Untrust. En este ejemplo, a (“Route”). Las dos zonas de
ue pueden configurarse otros ©.
Zona Untrust
nternet
fono IPunto final.2.2.5
nternet
rust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Protocolo H.323 para “Voice-over-IP”El protocolo H.323 permite asegurar la comunicación de voz mediante IP (“Voice-ovterminales, como teléfonos IP y dispositivos de multimedia. En estos sistemas de te(“gatekeeper”) gestionan el registro y la admisión de llamadas, así como el estado dequipos selectores pueden residir en dos zonas diferentes o en la misma zona.
Ejemplo: Equipo selector (“gatekeeper”) en la zona Trust (moo “ruta”)En el ejemplo siguiente configurará dos directivas para permitir al tráfico H.323 pasay un equipo selector en la zona Trust y un teléfono IP en la dirección IP 2.2.2.5 de lael dispositivo NetScreen puede estar en modo transparente (“Transparent”) o de rutseguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Nota: En los ejemplos siguientes se utilizan teléfonos IP con fines ilustrativos, aunqequipos que utilicen el protocolo VoIP, como dispositivos multimedia de NetMeeting
Zona Trust
Equipo selector Equipo selectorPermitido
Punto final Punto final
I
Permitido
Equipo selector
Teléfonos IP de punto
final
Teléde p
2
I
Zona UntZona Trust
Capítulo 5 Bloques para la construcción de directivas Servicios
182
lic en OK :
haga clic en OK :
e
haga clic en OK :
e
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
2. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phon
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
183
itit
odo transparente
irecciones, la configuración del éntica a la configuración de un
r entre los hosts de telefonía IP zona Untrust. El dispositivo
ntrust se encuentran en el
Internet
IP_Phone2.2.2.5/32
ntrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Direcciónset address untrust IP_Phone 2.2.2.5/32
2. Directivasset policy from trust to untrust any IP_Phone h.323 permset policy from untrust to trust IP_Phone any h.323 permsave
Ejemplo: Equipo selector (“gatekeeper”) en la zona Untrust (mo ruta)Dado que los modos transparente y ruta no requieren ningún tipo de asignación de ddispositivo NetScreen para un equipo selector en la zona Untrust es generalmente idequipo selector en la zona Trust.
En el ejemplo siguiente configurará dos directivas para permitir al tráfico H.323 pasaen la zona Trust y el teléfono IP en la dirección IP 2.2.2.5 (y el equipo selector) de lapuede estar en modo transparente o de ruta. Las dos zonas de seguridad Trust y Udominio de enrutamiento trust-vr.
IP_Phones
Gatekeeper
Zona UZona Trust
LAN
Capítulo 5 Bloques para la construcción de directivas Servicios
184
lic en OK :
lic en OK :
haga clic en OK :
e
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Gatekeeper
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.10/32
Zone: Untrust
2. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phon
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
185
haga clic en OK :
e
haga clic en OK :
per
itrmititrmit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Gatekee
Service: H.323
Action: Permit
CLI
1. Direccionesset address untrust IP_Phone 2.2.2.5/32set address untrust gatekeeper 2.2.2.10/32
2. Directivasset policy from trust to untrust any IP_Phone h.323 permset policy from trust to untrust any gatekeeper h.323 peset policy from untrust to trust IP_Phone any h.323 permset policy from untrust to trust gatekeeper any h.323 pesave
Capítulo 5 Bloques para la construcción de directivas Servicios
186
rk Address Translation” o t tiene una dirección privada, y ositivo NetScreen se establece esite recibir tráfico entrante con
5) y el equipo selector NetScreen para permitir tráfico t “IP_Phone2” de punto final en minio de enrutamiento trust-vr.
s y haga clic en Apply :
e)
OK :
IP_Phone22.2.2.5
Untrust
Internet
enlace 50
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Llamadas salientes con NATCuando el dispositivo NetScreen utiliza la traducción de direcciones de red (“Netwo“NAT”), un equipo selector (“gatekeeper”) o dispositivo de punto final de la zona Truscuando se encuentra en la zona Untrust tiene una dirección pública. Cuando un dispen el modo NAT, debe asignarse una dirección IP pública a cada dispositivo que necuna dirección privada.
En este ejemplo, los dispositivos de la zona Trust son el host de punto final (10.1.1.(10.1.1.25). IP_Phone2 (2.2.2.5) está en la zona Untrust. Configurará el dispositivo entre el host de punto final “IP_Phone1” y el equipo selector en la zona Trust y el hosla zona Untrust. Las dos zonas de seguridad Trust y Untrust se encuentran en el do
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Equipo selector
10.1.1.25IP_Phone1
10.1.1.5
ethernet110.1.1.1/24
ethernet31.1.1.1/24
Zona Trust Zona
MIP 1.1.1.25 -> 10.1.1.25MIP 1.1.1.5 -> 10.1.1.5
Puerta de1.1.1.2
Capítulo 5 Bloques para la construcción de directivas Servicios
187
s y haga clic en OK :
e)
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Gatekeeper
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.25/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
188
guientes datos y haga clic en
guientes datos y haga clic en
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. Direcciones IP asignadasNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siOK :
Mapped IP 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los si OK :
Mapped IP 1.1.1.25
Netmask: 255.255.255.255
Host IP Address: 10.1.1.25
Host Virtual Router Name: trust-vr
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 5 Bloques para la construcción de directivas Servicios
189
haga clic en OK :
e1
e2
haga clic en OK :
per
e2
haga clic en OK :
e2
1.5)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), IP_Phon
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Gatekee
Destination Address:
Address Book Entry: (seleccione), IP_Phon
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
190
haga clic en OK :
e2
.1.25)
gateway 1.1.1.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), MIP(1.1
Service: H.323
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust IP_Phone1 10.1.1.5/32set address trust gatekeeper 10.1.1.25/32set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadasset interface ethernet3 mip 1.1.1.5 host 10.1.1.5set interface ethernet3 mip 1.1.1.25 host 10.1.1.25
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
Capítulo 5 Bloques para la construcción de directivas Servicios
191
23 permit323 permith.323 permit) h.323 permit
es sobre un límite NAT. Para ación dinámica. Esto difiere de nes de origen.
suario o DIP (interface) cuando utilizar tales entradas de P o otros protocolos VoIP (voz
clave “incoming” ordena al
a Untrust
et
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
5. Directivasset policy from trust to untrust IP_Phone1 IP_Phone2 h.3set policy from trust to untrust gatekeeper IP_Phone2 h.set policy from untrust to trust IP_Phone2 mip(1.1.1.5) set policy from untrust to trust IP_Phone2 mip (1.1.1.25save
Ejemplo: Llamadas entrantes con NATEn este ejemplo configurará el dispositivo NetScreen para aceptar llamadas entrantello puede crear un conjunto de direcciones DIP para direcciones de destino de asignla mayoría de configuraciones, en las que un conjunto DIP sólo proporciona direccio
El nombre del conjunto de DIP puede ser DIP (id _num) para un DIP definido por el uel conjunto de DIP utilice la misma dirección que una dirección IP de interfaz. Puededirecciones como direcciones de destino en directivas, junto con servicios H.323, SIsobre IP) para admitir llamadas entrantes.
En el ejemplo siguiente se utiliza DIP en una configuración VoIP H.323. La palabra dispositivo agregar las direcciones DIP y de interfaz a la zona global.
Zona Trust Zon
Conjunto de DIP con ID 5
1.1.1.12 ~ 1.1.1.150
ethernet31.1.1.1/24
InternLAN
ethernet110.1.1.1/24
Capítulo 5 Bloques para la construcción de directivas Servicios
192
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ientes datos y haga clic en OK :
.1.1.150
econdary IPs: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu
ID: 5
IP Address Range: (seleccione), 1.1.1.12 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
Incoming NAT: (seleccione)
Capítulo 5 Bloques para la construcción de directivas Servicios
193
tos y haga clic en OK :
datos y haga clic en OK :
haga clic en OK :
es1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. DireccionesObjects > Addresses > List > New (para Trust): Introduzca los siguientes da
Address Name: IP_Phones1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/24
Zone: Trust
Objects > Addresses > List > New (para Untrust): Introduzca los siguientes
Address Name: IP_Phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
194
haga clic en OK :
e2
g
t src dip 5 permitpermit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), DIP(5)
Service: H.323
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. DIP con NAT entranteset interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incomin
3. Direccionesset address trust IP_Phones1 10.1.1.5/24set address untrust IP_Phone2 2.2.2.5/32
4. Directivasset policy from trust to untrust IP_Phones1 any h.323 naset policy from untrust to trust IP_Phone2 dip(5) h.323 save
Capítulo 5 Bloques para la construcción de directivas Servicios
195
entran en la zona Untrust y el ra permitir tráfico entre el host
a Untrust. Las dos zonas de
s y haga clic en Apply :
e)
OK:
hone22.2.5
nternetust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Equipo selector en la zona Untrust con NATEn este ejemplo, el equipo selector (2.2.2.25) y el host IP_Phone2 (2.2.2.5) se encuhost IP_Phone1 (10.1.1.5) en la zona Trust. Configurará el dispositivo NetScreen paIP_Phone1 en la zona Trust y el host IP_Phone2 (más el equipo selector) en la zonseguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
ethernet31.1.1.1/24
Puerta de enlace 1.1.1.250
ethernet110.1.1.1/24Modo NAT
IP_Phone110.1.1.5
Equipo selector2.2.2.25
IP_P2.
IZona Trust Zona Untr
MIP 1.1.1.5 -> 10.1.1.5
LAN
Capítulo 5 Bloques para la construcción de directivas Servicios
196
s y haga clic en OK :
e)
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Gatekeeper
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.25/32
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: IP_Phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
197
guientes datos y haga clic
es datos y haga clic en OK :
haga clic en OK :
e1
e2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. Dirección IP asignadaNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los sien OK :
Mapped IP 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), IP_Phon
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
198
haga clic en OK :
e1
per
haga clic en OK :
e2
1.5)
haga clic en OK :
per
1.5)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), Gatekee
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), IP_Phon
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Gatekee
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: H.323
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
199
gateway 1.1.1.250
23 permit323 permith.323 permit h.323 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust IP_Phone1 10.1.1.5/32set address untrust gatekeeper 2.2.2.25/32set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadasset interface ethernet3 mip 1.1.1.5 host 10.1.1.5
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy from trust to untrust IP_Phone1 IP_Phone2 h.3set policy from trust to untrust IP_Phone1 gatekeeper h.set policy from untrust to trust IP_Phone2 mip(1.1.1.5) set policy from untrust to trust gatekeeper mip(1.1.1.5)save
Capítulo 5 Bloques para la construcción de directivas Servicios
200
o “SIP”) conforme al estándar del ” o “IETF”) en el que se define
siones pueden ser de o la mensajería inmediata
o SIP, permitiéndolo o definido en ScreenOS y utiliza
ta, para negociar y modificar
cripción de la sesión indica el IP puede utilizar diversos
sesión (“Session Description
sesión multimedia. SDP puede ve que la dirección IP y el ” y “m=”, respectivamente) multimedia (“streams”), y no unque pueden coincidir). Para
y en las correspondientes establecer una sesión (o uta en los puntos finales de la o “UAC”), que envía peticiones o “UAS”), que escucha las o pueden citarse los servidores
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Protocolo de inicio de sesión (“Session Initiation Protocol”El protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”) es un protocoloequipo de ingeniería para el desarrollo de Internet (“Internet Engineering Task Forcecómo iniciar, modificar y finalizar sesiones multimedia a través de Internet. Estas seconferencias, telefonía o transferencias de datos multimedia, con prestaciones com(“instant messaging”) y la movilidad de aplicaciones en entornos de red.
Los dispositivos NetScreen admiten SIP como servicio y pueden monitorizar el tráficrechazándolo según una directiva configurada por el usuario. SIP es un servicio preel puerto 5060 como puerto de destino.
Esencialmente, SIP se utiliza para distribuir la descripción de la sesión y, durante éssus parámetros. SIP también se utiliza para terminar una sesión multimedia.
El usuario incluye la descripción de la sesión en una petición INVITE o ACK. La destipo de multimedia de la sesión, por ejemplo, voz o vídeo. Para describir la sesión, Sprotocolos de descripción; NetScreen sólo admite el protocolo de descripción de la Protocol” o “SDP”).
SDP proporciona la información necesaria para que un sistema pueda unirse a una proporcionar datos como direcciones IP, números de puerto, fechas y horas. Obsernúmero de puerto que figuran en el encabezado del protocolo SDP (los campos “c=corresponden a la dirección y al puerto donde el cliente desea recibir las secuenciasrepresentan la dirección IP y el número de puerto donde se origina la petición SIP (aobtener más información, consulte “SDP” en la pàgina 207.
Los mensajes del protocolo SIP consisten en peticiones de un cliente a un servidor respuestas a esas peticiones enviadas por el servidor al cliente con el propósito de llamada). Un agente de usuario (“User Agent” o “UA”) es una aplicación que se ejecllamada y consta de dos partes: el cliente del agente de usuario (“User Agent Client”SIP de parte del usuario, y un servidor del agente del usuario (“User Agent Server” respuestas y notifica al usuario cuando llegan. Como ejemplos de agentes de usuariproxy SIP y los teléfonos SIP.
Capítulo 5 Bloques para la construcción de directivas Servicios
201
respuesta, cada uno con un tes tipos de métodos y códigos
articipar en una sesión. El En el modo NAT, las tact:, Route: y Record-Route: .
confirmar la recepción de la nía la descripción de la sesión, en los campos de encabezado gún consta en la tabla
n sobre las capacidades del todos, protocolos de NAT, cuando la petición
el ALG del protocolo SIP rección IP correspondiente al el NAT, el ALG del SIP traduce ados SIP” en la pàgina 219.
etición BYE de cualquier IP en los campos de modifican según consta en la
petición INVITE pendiente. la petición INVITE envió una odo NAT, las direcciones IP en ord-Route: se modifican según
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Métodos de petición del protocolo SIPEl modelo transaccional del SIP contempla una serie de mensajes de petición y de campo method que describe el propósito del mensaje. ScreenOS admite los siguiende respuesta:
• INVITE: Un usuario envía una petición INVITE para invitar a otro usuario a pcuerpo de una petición INVITE puede contener la descripción de la sesión. direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Conse modifican según consta en la tabla “Encabezados SIP” en la pàgina 219
• ACK: El usuario que generó la petición INVITE envía una petición ACK pararespuesta final a la invitación INVITE. Si la petición INVITE original no conteentonces la petición ACK debe incluirla. En el modo NAT, las direcciones IPVia:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se modifican se“Encabezados SIP” en la pàgina 219.
• OPTIONS: Utilizado por el agente del usuario (UA) para obtener informacióproxy del protocolo SIP. Un servidor responde con información sobre los médescripción de sesiones y codificación de mensajes que admite. En el modoOPTIONS se envía desde un NAT fuera del UA a un NAT dentro del proxy,traduce la dirección en Request-URL y la dirección IP del campo To: a la dicliente interno. Cuando el UA se encuentra dentro del NAT y el proxy fuera dlos campos From:, Via: y Call-ID: según se muestra en la tabla en “Encabez
• BYE: Un usuario envía una petición BYE para abandonar una sesión. Una pusuario cierra automáticamente la sesión. En el modo NAT, las direccionesencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.
• CANCEL: Un usuario puede enviar una petición CANCEL para cancelar unaUna petición CANCEL no tiene ningún efecto si el servidor SIP que procesórespuesta final a dicho INVITE antes de recibir la petición CANCEL. En el mlos campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Recconsta en la tabla “Encabezados SIP” en la pàgina 219.
Capítulo 5 Bloques para la construcción de directivas Servicios
202
istrar SIP para informarle de la rmación que recibe en las rvidor SIP que intente localizar o sigue:
r de registro interno: Cuando el n IP, si existe, en el cciones MIP o VIP. Para la
xterno: Cuando el ALG del SIP s campos To:, From:, Via:, n inversa.
lo largo de la ruta de señales bezado Via:, From:, To:, tabla “Encabezados SIP” en la
do a un nodo remoto. En el ada si los mensajes proceden os de encabezado Via:, From:, n la tabla “Encabezados SIP”
ue están suscritos. En el modo a en una dirección IP privada si IP en los campos de modifica según consta en la
un tercero mediante la irección Request-URI se na y entra en la red interna. Las tact:, Route: y Record-Route: .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• REGISTER: Un usuario envía una petición REGISTER a un servidor de regubicación actual del usuario. El servidor de registro SIP registra toda la infopeticiones REGISTER y pone esta información a disposición de cualquier sea un usuario. En el modo NAT, las peticiones REGISTER se gestionan com
– Peticiones REGISTER procedentes de un cliente externo a un servidoALG del SIP recibe la petición REGISTER entrante traduce la direccióRequest-URL. Sólo se permiten mensajes REGISTER entrantes a direrespuesta saliente no se requiere traducción.
– Peticiones REGISTER procedentes de un cliente interno a un registro erecibe la petición REGISTER saliente, traduce las direcciones IP de loCall-ID: y Contact:. Para la respuesta entrante se realiza una traducció
• Info: Utilizado para comunicar la información de señales durante la sesión apara la llamada. En el modo NAT, las direcciones IP en los campos de encaCall-ID:, Contact:, Route: y Record-Route: se modifican según consta en la pàgina 219.
• Subscribe: Utilizado para solicitar el estado actual y actualizaciones de estamodo NAT, la dirección Request-URI se transforma en una dirección IP privde la red externa y entran en la red interna. Las direcciones IP en los campTo:, Call-ID:, Contact:, Route: y Record-Route: se modifican según consta een la pàgina 219.
• Notify: Se envía para informar a suscriptores sobre cambios en el estado al qNAT, la dirección IP en el campo de encabezado Request-URI se transformel mensaje procede de la red externa y entra en la red interna. La direcciónencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.
• Refer: Se utiliza para enviar al destinatario (identificado por Request-URI) ainformación de contacto proporcionada en la petición. En el modo NAT, la dtransforma en una dirección IP privada si el mensaje procede de la red exterdirecciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Conse modifican según consta en la tabla “Encabezados SIP” en la pàgina 219
Capítulo 5 Bloques para la construcción de directivas Servicios
203
ra el usuario B, que se la red privada, el ALG del SIP rio B pueda ponerse en r de registro, su asignación de ucción.
actualizada. Los campos de modifican según consta en la
car el estado de una la tabla en “Encabezados SIP”
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Por ejemplo, si el usuario A de una red privada establece una referencia paencuentra en una red pública, hacia el usuario C, que también pertenece a asigna nueva dirección IP y número de puerto al usuario C para que el usuacontacto con él. Sin embargo, si el usuario C está registrado con un servidopuertos se almacena en la tabla ALG NAT y se reutiliza para realizar la trad
• Update: Se utiliza para abrir un ojo de aguja para información SDP nueva oencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.
• Códigos de respuesta 1xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx: Utilizados para inditransacción. Los campos del encabezado se modifican según se muestra enen la pàgina 219.
Capítulo 5 Bloques para la construcción de directivas Servicios
204
os códigos agrupados en las
petición
e puede ejecutar en este
entemente válida
el protocolo SIP. NetScreen
all is being forwarded viando llamada)
oved temporarily (Movido ralmente)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Clases de respuestas SIP
Los códigos de respuesta indican el estado de una transacción SIP y consisten en lclases siguientes:
• Informativos (100 a 199): petición recibida, continúa procesando la petición
• Éxito (200 a 299): acción recibida correctamente, comprendida y aceptada
• Redirección (300 a 399): se requiere una acción adicional para completar la
• Error del cliente (400 a 499): la petición es sintácticamente incorrecta o no sservidor
• Error del servidor (500 a 599): el servidor no pudo cumplir una petición apar
• Fallo global (600 a 699): la petición no se puede realizar en ningún servidor
A continuación se incluye una lista completa de los actuales códigos de respuesta dadmite todos.
1xx 100 Trying (Intentando) 180 Ringing (Llamando) 181 C(Reen
182 Queued (En cola) 183 Session progress (Progreso de la sesión)
2xx 200 OK 202 Accepted (Aceptado)
3xx 300 Multiple choices (Varias opciones)
301 Moved permanently (Movido permanentemente)
302 Mtempo
305 Use proxy (Utilizar proxy) 380 Alternative service (Servicio alternativo)
Capítulo 5 Bloques para la construcción de directivas Servicios
205
ayment required (Requiere
ethod not allowed (Método no tido)
equest time-out (Petición ada)
ength required (Requiere d)
nsupported media type (Tipo de incompatible)
all leg/transaction does not exist o de la llamada o transacción tente)
ddress incomplete (Dirección pleta)
equest cancelled (Petición lada)
ad gateway (Puerta de enlace ecta)
IP version not supported ón de SIP incompatible)
oes not exist anywhere (No en ninguna parte)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4xx 400 Bad request (Petición incorrecta)
401 Unauthorized (No autorizado) 402 Ppago)
403 Forbidden (Prohibido) 404 Not found (No encontrado) 405 Mpermi
406 Not acceptable (No aceptable)
407 Proxy authentication required (Requiere autenticación del proxy)
408 Rcaduc
409 Conflict (Conflicto) 410 Gone (Ausente) 411 Llongitu
413 Request entity too large (Tamaño de la petición excesivo)
414 Request-URL too large (URL de la petición demasiado grande)
415 Umedio
420 Bad extension (Extensión incorrecta)
480 Temporarily not available (Temporalmente no disponible)
481 C(Traminexis
482 Loop detected (Detectado bucle)
483 Too many hops (Demasiado saltos)
484 Aincom
485 Ambiguous (Ambiguo) 486 Busy here (Ocupado aquí) 487 Rcance
488 Not acceptable here (No aceptable aquí)
5xx 500 Server internal error (Error interno del servidor)
501 Not implemented (No implementado)
502 Bincorr
502 Service unavailable (Servicio no disponible)
504 Gateway time-out (Puerta de enlace caducada)
505 S(Versi
6xx 600 Busy everywhere (Ocupado en todas partes)
603 Decline (Declinar) 604 Dexiste
606 Not acceptable (No aceptable)
Capítulo 5 Bloques para la construcción de directivas Servicios
206
ms”). El tráfico de señalización nte y el servidor y utiliza
datos (por ejemplo, de audio), y po real (“Real-time Transport
. Basta con crear una directiva ización SIP como cualquier otro , utiliza números de puertos
na llamada. Sin puertos fijos es edia. En este caso, el tocolo SIP y su contenido SDP pequeños6 ojos de aguja por
os de aguja basándose en la s métodos y respuestas del lases de respuestas SIP” en la
tScreen creando una directiva ara que intercepte tráfico SIP y LG para abrir ojos de aguja por para las peticiones y jes SIP que no contienen SDP,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ALG – Application-Layer GatewayExisten dos tipos de tráfico SIP, el de señalización y las secuencia de medios (“streade SIP consiste en mensajes de petición y de respuesta intercambiados entre el clieprotocolos de transporte como UDP o TCP. La secuencia multimedia transporta los utiliza protocolos de la capa de aplicación tales como protocolo de transporte en tiemProtocol” o “RTP”) sobre UDP.
Los dispositivos NetScreen admiten mensajes de señalización SIP en el puerto 5060que permita el servicio SIP para que el dispositivo NetScreen filtre el tráfico de señaltipo de tráfico, permitiéndolo o rechazándolo. La secuencia multimedia, sin embargoasignados dinámicamente y que pueden cambiar varias veces durante el curso de uimposible crear una directiva de direcciones estáticas para controlar el tráfico multimdispositivo NetScreen invoca el ALG de SIP. El ALG de SIP lee los mensajes del proy extrae la información del número de puerto que necesita para abrir dinámicamentelos que permitir a la secuencia de medios atravesar el dispositivo NetScreen.
SIP ALG supervisa las transacciones SIP y crea y administra dinámicamente los “ojinformación que extrae de esas transacciones. NetScreen SIP ALG admite todos loprotocolo SIP (consulte “Métodos de petición del protocolo SIP” en la pàgina 201 y “Cpàgina 204). Puede permitir a las transacciones SIP atravesar el cortafuegos de Neestática que permita el servicio SIP. Esta directiva habilita el dispositivo NetScreen pejecute una de las siguientes acciones: permitir o denegar el tráfico o habilitar SIP Alos que entregar la secuencia multimedia. SIP ALG sólo necesita abrir ojos de agujarespuestas SIP que contienen información multimedia (SDP). En cuanto a los mensael dispositivo NetScreen simplemente los deja pasar.
6. Por “ojo de aguja” se entiende la apertura limitada de un puerto para permitir determinado tráfico exclusivo.
Capítulo 5 Bloques para la construcción de directivas Servicios
207
r sintáctico, extrae la P del paquete y un analizador registra en una tabla de ojos
la tabla de ojos de aguja para ispositivo NetScreen.
eden contener información de ientras que la información a de sesión SDP siempre er información a nivel de
tiles para SIP ALG porque s:
ste formato:
e Internet) como tipo de red, st como dirección IP de destino
tScreen recibe un mensaje SIP rtafuegos, pero genera un te. Si SDP está encriptado, SIP uentemente, el contenido
een no admite multicast con SIP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SIP ALG intercepta los mensajes SIP que contienen SDP y, utilizando un analizadoinformación que requiere para crear ojos de aguja. SIP ALG examina la porción SDsintáctico extrae datos tales como direcciones IP y números de puerto, que SIP ALGde aguja. SIP ALG utiliza las direcciones IP y los números de puerto registrados en abrir nuevos ojos de aguja que permitan a las secuencias multimedia atravesar el d
SDPLas descripciones de sesiones SDP consisten en un conjunto de líneas de texto. Pula sesión y del medio. La información a nivel de sesión se refiere a toda la sesión, mnivel de medio se refiere a una determinada secuencia multimedia. Una descripcióncontiene información a nivel de sesión al principio de la descripción, y puede contenmedio7, que se incluye después.
De los muchos campos presentes en la descripción SDP, dos son particularmente úcontienen la información de la capa de transporte. Ambos campos son los siguiente
• c= para información de la conexión
Este campo puede aparecer a nivel de sesión o de medio. Se muestra en e
c=<tipo de red><tipo de dirección><dirección de conexión>
Actualmente, el dispositivo NetScreen admite solamente “IN” (abreviatura d“IP4” como tipo de dirección y una dirección IP8 o nombre de dominio unica(conexión).
Nota: Los dispositivos NetScreen no admiten SDP encriptado. Si un dispositivo Necon el SDP encriptado, SIP ALG permite de todos modos que pase a través del comensaje para el registro informando al usuario de que no puede procesar el paqueALG no puede extraer la información que necesita para abrir ojos de aguja. Consecmultimedia descrito en el SDP no puede atravesar el dispositivo NetScreen.
7. En la descripción de la sesión SDP, la información a nivel del medio comienza con el campo “m=”.
8. Generalmente, la dirección IP de destino también puede ser una dirección IP multicast, pero por el momento NetScr
Capítulo 5 Bloques para la construcción de directivas Servicios
208
de aguja usando la dirección IP os m=.
Se muestra en este formato:
io y “RTP” como protocolo de la secuencia multimedia (y no
protocolo de la capa de
ente para RTP y RTCP. Cada ” o protocolo de control del ecuencia multimedia utilice ico RTP como RTCP. De forma to RTP.
IP de destino. La dirección IP el campo “c=” puede aparecer de la descripción de la sesión en las reglas siguientes
campo “c=” que contenga una n IP y SIP ALG la utiliza para
de SIP ALG extrae la dirección un ojo de aguja para el medio. el, significa que existe un error l paquete y registra el evento.
icación.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si la dirección IP de destino es una dirección IP unicast, SIP ALG crea ojos y los números de puerto especificados en el campo de descripción de medi
• m= para anuncio de medio
Este campo aparece a nivel de medios y contiene la descripción del medio.
m=<medio><puerto><transporte><lista de formatos>
Actualmente, el dispositivo NetScreen admite solamente “audio” como medtransporte de la capa de aplicación. El número de puerto indica el destino desu origen). La lista de formatos (“fmt list”) proporciona información sobre el aplicación utilizado por el medio.
En esta versión de ScreenOS, el dispositivo NetScreen abre puertos solamsesión RTP tiene una sesión RTCP9 (“Real-time Transport Control Protocoltransporte en tiempo real) correspondiente. Por lo tanto, siempre que una sRTP, SIP ALG debe reservar puertos (crear ojos de aguja) tanto para el tráfpredeterminada, el número de puerto para RTCP es el siguiente al del puer
Creación de ojos de agujaLos ojos de aguja para el tráfico RTP y RTCP comparten la misma direcciónprocede del campo “c=” en la descripción de sesión de SDP. Debido a que tanto en la porción del nivel de sesión como en la del nivel del medio dentroSDP, el analizador sintáctico (“parser”) determina la dirección IP basándose(siguiendo las convenciones de SDP):
– En primer lugar, el analizador sintáctico de SIP ALG verifica si hay un dirección IP en el nivel de medios. Si hay alguno, extrae dicha direcciócrear un ojo de aguja para el medio.
– Si no hay ningún campo “c=” a nivel de medio, el analizador sintácticoIP del campo “c=” en el nivel de sesión y SIP ALG la utiliza para crearSi la descripción de la sesión no contiene un campo “c=” en ningún niven la pila del protocolo, por lo que el dispositivo NetScreen descarta e
9. RTCP proporciona sincronización de medios e información sobre los miembros de la sesión y la calidad de la comun
Capítulo 5 Bloques para la construcción de directivas Servicios
209
n ojo de aguja. Esta s del dispositivo NetScreen:
o del campo “c=” en el nivel de
e destino para RTP del campo ara RTCP utilizando esta
ierto un ojo de aguja para o de aguja antes de que a.
ncia, inmediatamente después quete.
s clientes SIP y cómo SIP ALG asume que el dispositivo uerto 5060 para mensajes de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
La lista siguiente muestra la información que SIP ALG necesita para crear uinformación procede de la descripción de la sesión SDP y de los parámetro
– Protocol: UDP
– Source IP: unknown
– Source port: unknown
– Destination IP: El analizador sintáctico extrae la dirección IP de destinmedio o de sesión.
– Destination port: El analizador sintáctico extrae el número del puerto d“m=” en el nivel de medios y calcula el número del puerto de destino pfórmula: RTP port number.
– Lifetime: Este valor indica el tiempo (en segundos) que permanece abpermitir el paso de un paquete. Un paquete debe pasar a través del ojcaduque este tiempo. Cuando caduca, SIP ALG elimina el ojo de aguj
Cuando un paquete atraviesa el ojo de aguja dentro del periodo de vigeSIP ALG elimina el ojo de aguja para el sentido de procedencia del pa
La ilustración siguiente describe una configuración de llamada entre docrea ojos de aguja para permitir el tráfico RTP y RTCP. La ilustración NetScreen tiene una directiva que permite el tráfico SIP, abriendo el pseñalización SIP.
Capítulo 5 Bloques para la construcción de directivas Servicios
210
Cliente SIP B2.2.2.2
ite la petición “INVITE” al
el medio (tráfico RTP/RTCP) vés del ojo de aguja 1
sta al proxy SIP con una ” (“Llamando”)
una respuesta “200 OK” al ntestación a la petición INVITE (dirección IP:número de
vía la respuesta “ACK” al
na Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Cliente SIP A1.1.1.1
Dispositivo NetScreenProxy SIP
1. El Cliente A envía una petición “INVITE” destinada al Cliente B hacia el proxy SIP a través del puerto 5060 del dispositivo NetScreen SDP: 1.1.1.1:2000 (dirección IP:número de puerto)
3. El proxy SIP transmCliente B
11. El Cliente B envíaal Cliente A a tra
4. El Cliente B conterespuesta “Ringing5. El proxy SIP remite la respuesta “Ringing”
del Cliente B al Cliente A a través del puerto 5060 del dispositivo NetScreen
6. El Cliente B envíaproxy SIP como coSDP: 2.2.2.2:3000puerto)8. El proxy SIP reenvía la respuesta “200 OK”
del Cliente B al Cliente A a través del dispositivo NetScreen
9. El Cliente A envía una respuesta “ACK” destinada al Cliente B al proxy SIP a través del puerto 5060 del dispositivo NetScreen 10. El proxy SIP reen
Cliente B
ZoZona Trust2. Por SDP, SIP ALG crea un ojo de aguja para 1.1.1.1:2000
7. Por SDP, SIP ALG crea un ojo de aguja para 2.2.2.2:3000
Ojo de aguja 112. El Cliente A envía el medio (tráfico RTP/RTCP)
al Cliente B a través del ojo de aguja 2Ojo de aguja 2
Capítulo 5 Bloques para la construcción de directivas Servicios
211
YE o CANCEL. SIP ALG a llamada. Existen posibles BYE o CANCEL, por ejemplo, amente, consumiendo recursos al dispositivo NetScreen un periodo determinado de
sesiones (o dos secuencias de dispositivo NetScreen trata las espera por inactividad se
e un grupo:
gundos) que una llamada un mensaje SIP durante una
de 43.200 segundos (12 horas).
ndos) que una llamada puede tro de un grupo. Cada vez que pera se restablece. El ajuste
odas las sesiones de esa
a dirección IP de destino es en estado retenido (“on hold”), nvía al otro usuario (Usuario B) do se indica al Usuario B que
gún medio, el dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Tiempo de espera por inactividad de la sesiónNormalmente, una llamada termina cuando uno de los clientes envía una petición Bintercepta la petición BYE o CANCEL y elimina todas las sesiones de medios de escausas o problemas que impedirían a los clientes de una llamada enviar peticiones un fallo de alimentación eléctrica. En este caso, la llamada podría continuar indefiniden el dispositivo NetScreen. La función de tiempo de espera por inactividad permitesupervisar el “estado vital” de la llamada para terminarla si no hay actividad durantetiempo.
Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dosmedios), una para RTP y otra para RTCP. En cuanto a la gestión de las sesiones, elsesiones de cada canal de voz como un grupo. Los ajustes tales como el tiempo deaplican a nivel de grupo, no a cada sesión.
Existen dos tipos de tiempo de espera por inactividad que determinan la duración d
• Signaling Inactivity Timeout: Este parámetro indica el tiempo máximo (en sepuede seguir activa sin que se señalice tráfico SIP. Cada vez que se generallamada, este tiempo de espera se restablece. El ajuste predeterminado es
• Media Inactivity Timeout: Este parámetro indica el tiempo máximo (en segupermanecer activa sin que se produzca tráfico de medios (RTP o RTCP) dense genera un paquete RTP o RTCP durante una llamada, este tiempo de espredeterminado es de 120 segundos.
Si cualquiera de estos tiempos de espera caduca, el dispositivo NetScreen elimina tllamada en su tabla, terminando de ese modo la llamada.
Nota: SIP ALG no crea ojos de aguja para el tráfico RTP y RTCP cuando l0.0.0.0 (ya que indica que la sesión está retenida). Para poner una sesión por ejemplo, durante una comunicación telefónica, un usuario (Usuario A) eun mensaje SIP en el cual la dirección IP de destino es 0.0.0.0. De este mono envíe ningún medio hasta nuevo aviso. Si aún así el Usuario B envía alNetScreen descarta los paquetes.
Capítulo 5 Bloques para la construcción de directivas Servicios
212
afectada por la repetición de , denegado inicialmente. Para r el comando sip protect deny TE y las correspondientes 3xx, 4xx o 5xx (véase “Clases dirección IP del servidor proxy es INVITE realizadas contra s), descarta cualquier paquete creen para que supervise las
destino. La protección contra
dor proxy de SIP (1.1.1.3/24) quetes se descartan durante o de peticiones INVITE
s por peticiones INVITE, debe
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Protección contra ataques SIPLa capacidad de procesamiento de llamadas del servidor proxy del SIP puede versepeticiones INVITE del SIP, tanto malévolas como por error del cliente o del servidorimpedir que el servidor proxy del SIP sea saturado por tales peticiones, puede utilizapara configurar el dispositivo NetScreen de modo que supervise las peticiones INVIrespuestas del servidor proxy. Si alguna respuesta contiene un código de respuestade respuestas SIP” en la pàgina 204), ALG guarda la dirección IP de la petición y laen una tabla. El dispositivo NetScreen comprueba posteriormente todas las peticionesta tabla y, durante un número configurable de segundos (el predeterminado es treque coincida con entradas en la tabla. También puede configurar el dispositivo NetSpeticiones INVITE a un servidor proxy determinado especificando la dirección IP deataques del SIP se configura globalmente.
Ejemplo: SIP Protect DenyEn este ejemplo configurará el dispositivo NetScreen para que proteja un solo servicontra peticiones INVITE repetitivas a las que ya haya denegado el servicio. Los pacinco segundos, transcurridos los cuales el dispositivo NetScreen reanuda el reenvíprocedentes de esos orígenes.
WebUI
CLI
set sip protect deny dst-ip 1.1.1.3/24set sip protect deny timeout 5save
Nota: Para proteger servidores proxy del SIP contra inundaciones causadautilizar CLI.
Capítulo 5 Bloques para la construcción de directivas Servicios
213
o de medios0.000 segundos y el tiempo de
irección de destino. En este UDP que se pueden recibir en nere una alarma y descarte los
idad de medios, debe utilizar
nte específico de SIP. Para eterminar los ajustes más
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Tiempos de espera por inactividad de señalizaciónEn este ejemplo configurará el tiempo de espera por inactividad de señalización en 3espera por inactividad de medios en 90 segundos.
WebUI
CLI
set sip signaling-inactivity-timeout 30000set sip media-inactivity-timeout 90save
Ejemplo: Protección contra inundaciones UDPPuede proteger el dispositivo NetScreen contra inundaciones UDP por zona y por dejemplo, establecerá un umbral de 80.000 por segundo para el número de paquetesla dirección IP 1.1.1.5, en la zona Untrust, antes de que el dispositivo NetScreen gepaquetes subsiguientes durante el resto de ese segundo.
WebUI
Screening > Screen: Introduzca los siguientes datos y haga clic en Apply :
Zone: Untrust
UDP Flood Protection (seleccione)
Nota: Para establecer tiempos de espera para señalizaciones SIP e inactivCLI.
Nota: Este ejemplo utiliza un comando general de ScreenOS, y no es necesariameobtener más información sobre la protección contra inundaciones de UDP y cómo deficaces, consulte “Inundación UDP” en la pàgina 4 -69.
Capítulo 5 Bloques para la construcción de directivas Servicios
214
lic en la flecha Atrás de su gina de configuración de la
ld 80000
antes de la zona Untrust, Si el dispositivo NetScreen escartar los intentos ificado.
clic en OK :
nte específico de SIP. Para terminar los ajustes más
a 4 -42.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
>Destination IP: Escriba lo siguiente y haga cexplorador de Internet para regresar a la pápantalla:
Destination IP: 1.1.1.5
Threshold: 80000
Add: (seleccione)
CLI
set zone untrust screen udp-flood dst-ip 1.1.1.5 threshosave
Ejemplo: Máximo de conexiones SIPEn este ejemplo impedirá ataques de inundación en la red SIP procedentes de atacestableciendo un máximo de 20 sesiones simultáneas desde una sola dirección IP. detecta más de 20 intentos de conexión desde la misma dirección IP, comienza a dsubsiguientes hasta que el número de sesiones caiga por debajo del máximo espec
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga
Source IP Based Session Limit: (seleccione)
Threshold: 20 Sessions
CLI
set zone untrust screen limit-session source-ip-based 20save
Nota: Este ejemplo utiliza un comando general de ScreenOS, y no es necesariameobtener más información sobre límites de sesiones basados en orígenes y cómo deeficaces, consulte “Límites de sesiones según sus orígenes y destinos” en la pàgin
Capítulo 5 Bloques para la construcción de directivas Servicios
215
e una subred privada compartir emplaza la dirección IP privada rante, la dirección IP pública se subred privada.
ensajes del SIP contienen IP contienen información sobre cultarla a la red exterior. El sion Description Protocol” o los medios. El dispositivo a enviar y recibir los medios.
ajes SIP depende de la uerto privados del cliente se etScreen. Para los mensajes del cliente.
rmación del encabezado del ntes al punto de destino para los campos From:, To: y . Si llega un nuevo mensaje
signación NAT entre ellos y los s del protocolo en tiempo real Control Protocol” o “RTCP”), e puertos, descarta el mensaje
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
SIP con traducción de direcciones de red (NAT)El protocolo de traducción de direcciones de red (NAT) permite a múltiples equipos duna sola dirección IP pública para acceder a Internet. Para el tráfico saliente, NAT redel equipo dentro de la subred privada por la dirección IP pública. Para el tráfico enttransforma en la dirección privada y el mensaje se enruta al equipo apropiado de la
La utilización conjunta de NAT con el servicio SIP es más complicada, porque los mdirecciones IP tanto en los encabezados como en el cuerpo SIP. Los encabezados Sel llamante y el receptor, y el dispositivo NetScreen traduce esta información para ocuerpo del SIP contiene la información del protocolo de descripción de sesión (“Ses“SDP”), que contiene las direcciones IP y números de puerto para la transmisión deNetScreen traduce la información del SDP para asignar los recursos necesarios par
La forma en que se reemplazan las direcciones IP y los números de puerto en mensdirección del mensaje. Para los mensajes salientes, la dirección IP y el número de preemplazan por la dirección IP y el número de puerto públicos del cortafuegos de Nentrantes, la dirección pública del cortafuegos se reemplaza por la dirección privada
Cuando se envía un mensaje INVITE a través del cortafuegos, SIP ALG recoge infomensaje en una tabla de llamadas, que utiliza para reenviar los mensajes subsiguiecorrecto. Cuando llega un nuevo mensaje, por ejemplo un ACK o 200 OK, ALG comCall-ID: con la tabla de llamadas para identificar el contexto de llamada del mensajeINVITE que coincida con la llamada existente, ALG lo procesa como REINVITE.
Cuando llega un mensaje con información del SDP, ALG asigna puertos y crea una apuertos en el SDP. Dado que el SDP requiere puertos consecutivos para los canale(“Real Time Protocol” o “RTP”) y del protocolo de control en tiempo real (“Real TimeALG proporciona puertos pares-impares consecutivos. Si no encuentra ningún par dSIP.
Capítulo 5 Bloques para la construcción de directivas Servicios
216
a red interna hacia la red a un enlace para asignar las dos SIP de los campos Via:, ción IP del cortafuegos. ALG s de respuesta del SIP.
de medios a través del dose en la información del SDP ambién permiten que los oute:. Al procesar el tráfico de cord-Route: en los paquetes.
asignadas (MIP) o hacia configuradas tradas dinámicamente por servidor de registro del SIP. ndo el servidor de registro del ante, genera una sesión y
se en la información del SDP, K 200, el SIP ALG aplica NAT
ertas abiertas tienen un plazo K).
y lee las direcciones IP y aplica NAT a las direcciones y de espera para las puertas en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Llamadas salientesCuando una llamada del SIP se inicia mediante un mensaje de petición SIP desde lexterna, NAT reemplaza las direcciones IP y los números de puerto en el SDP y credirecciones IP y los números de puerto al cortafuegos de NetScreen. Los encabezaContact:, Route: y Record-Route:, si están presentes, también se vinculan a la direcalmacena estas asignaciones para utilizarlas en retransmisiones y para los mensaje
A continuación, SIP ALG abre ojos de aguja en el cortafuegos para permitir el paso dispositivo NetScreen por los puertos dinámicamente asignados, negociados basány de los campos de encabezado Via:, Contact: y Record-Route:. Los ojos de aguja tpaquetes entrantes alcancen las direcciones IP y puertos Contact:, Via: y Record-Rretorno, ALG vuelve a insertar los campos SIP originales Contact:, Via:, Route: y Re
Llamadas entrantesLas llamadas entrantes se inician desde la red pública hacia direcciones IP públicasdirecciones IP de interfaces del dispositivo NetScreen. Las MIPs son direcciones IPestáticamente que apuntan a hosts internos; las direcciones IP de interfaz son regisel ALG mientras supervisa los mensajes REGISTER enviados por hosts internos al (Para obtener más información, consulte “Soporte de llamadas SIP entrantes utilizaSIP” en la pàgina 226). Cuando el dispositivo NetScreen recibe un paquete SIP entrreenvía la carga de datos del paquete al SIP ALG.
El ALG examina el mensaje de petición del SIP (inicialmente un INVITE) y, basándoabre las puertas para los medios salientes. Cuando llega un mensaje de respuesta Oa las direcciones y puertos IP y abre ojos de aguja en la dirección de salida. (Las pude vida corto y caducan si no se recibe rápidamente un mensaje de respuesta 200 O
Cuando llega una respuesta OK 200, el proxy del SIP examina la información SDP números de puerto de cada sesión de medios. El SIP ALG del dispositivo NetScreennúmeros de puerto, abre ojos de aguja para el tráfico saliente y restablece el tiempola dirección de entrada.
Capítulo 5 Bloques para la construcción de directivas Servicios
217
contiene información del SDP, mbiados con respecto al vos para permitir el paso de los abre nuevos ojos de aguja si
al usuario B dentro de la red y l INVITE del usuario A como
B a C, que se encuentra fuera abre ojos de aguja en el ario C.
en recibe un mensaje BYE, o debido a que los mensajes je de la llamada durante cinco
llamada y para eliminar na llamada, se abren nuevos o es idéntico al establecimiento amada, los ojos de aguja se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cuando llega la señal ACK de 200 OK, también atraviesa el SIP ALG. Si el mensajeel ALG del SIP garantiza que las direcciones IP y los números de puerto no sean caanterior INVITE; si lo son, el ALG elimina los ojos de aguja antiguos y crea otros nuemedios. El ALG también supervisa los campos SIP Via:, Contact: y Record-Route: ydetecta que estos campos han cambiado.
Llamadas reenviadasUna llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama éste reenvía la llamada al usuario C fuera de la red. El ALG del SIP procesa la señallamada entrante normal. Pero cuando el ALG examina la llamada reenviada desdede la red, y detecta que B y C se pueden alcanzar a través de la misma interfaz, nocortafuegos, ya que los medios podrán fluir directamente entre el usuario A y el usu
Terminación de la llamadaEl mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo NetScretraduce los campos del encabezado igual que hace con cualquier otro mensaje, perBYE debe ser confirmados por el receptor con 200 OK, el ALG retrasa el desmontasegundos para dar tiempo a que se transmita el 200 OK.
Mensajes de llamada Re-INVITELos mensajes Re-INVITE se utilizan para agregar nuevas sesiones de medios a unasesiones de medios existentes. Cuando se agregan nuevas sesiones de medios a uojos de aguja en el cortafuegos y se crean nuevos enlaces de direcciones. El procesoriginal de la llamada. Cuando se eliminan una o más sesiones de medios de una llcierran y los enlaces se anulan, igual que con un mensaje BYE.
Capítulo 5 Bloques para la construcción de directivas Servicios
218
ibe ningún mensaje Re-INVITE ta 200 OK al INVITE y utiliza que la sesión caduque,
predeterminados, y el proceso
ados para definir el tiempo esté protegido en los siguientes
recibe nunca.
IP.
ute y nunca envían un mensaje
En el momento de recibir un do el cortafuegos y libera los l canal de control durante unos mina cuando expira el tiempo .
s destinos simultáneamente. a, el ALG del SIP analiza pero ecibe.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Temporizadores de sesiones de llamadasEl ALG del SIP utiliza el valor Session-Expires para caducar una sesión si no se reco UPDATE. El ALG obtiene el valor Session-Expires, si está presente, de la respueseste valor para señalizar el tiempo de espera. Si el ALG recibe otro INVITE antes derestablece todos los valores del tiempo de espera a este nuevo INVITE o a valores se repite.
Como medida preventiva, el ALG del SIP utiliza valores de tiempo de espera codificmáximo que una llamada puede existir. Esto garantiza que el dispositivo NetScreen casos:
• El sistema final se viene abajo durante una llamada y el mensaje BYE no se
• Usuarios malévolos nunca envían un BYE para intentar atacar un ALG de S
• Implementaciones pobres del proxy del SIP no pueden procesar Record-RoBYE.
• Fallos de red impiden la recepción de un mensaje BYE.
Cancelación de la llamadaCualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL. mensaje CANCEL, el ALG del SIP cierra los ojos de aguja (que haya abiertos) en toenlaces de direcciones. Antes de liberar los recursos, el ALG retrasa la caducidad decinco segundos para dar tiempo a que pase la señal 200 OK final. La llamada se terde espera de cinco segundos, tanto si llega una respuesta 487 como una “non-200”
BifurcaciónLa bifurcación permite a un proxy del SIP enviar un solo mensaje INVITE a múltipleCuando llegan los diferentes mensajes de respuesta 200 OK para esa única llamadactualiza la información de la llamada con el mensaje primer mensaje 200 OK que r
Capítulo 5 Bloques para la construcción de directivas Servicios
219
uerpo SIP. En mensajes de cluye el tipo de método, es la línea de estado, que
números de puerto utilizados línea en blanco, está reservado ispositivos NetScreen sólo de puerto utilizados para
s SIP para ocultar la ignar recursos, es decir,
nes IP en los campos del
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Mensajes del SIPEl formato de un mensaje del SIP consta de una sección de encabezado SIP y del cpetición, la primera línea de la sección de encabezado es la línea de petición, que inRequest-URL y la versión del protocolo. En mensajes de respuesta, la primera líneacontiene un código de estado. Los encabezados SIP contienen las direcciones IP ypara la señalización. El cuerpo SIP, separado de la sección de encabezado por una para la información de descripción de la sesión, que es opcional. Actualmente, los dadmiten el protocolo SDP. El cuerpo SIP contiene las direcciones IP y los números transportar los medios.
En el modo NAT, el dispositivo NetScreen traduce la información de los encabezadoinformación a la red exterior. NAT se aplica a la información del cuerpo SIP para asnúmeros de puerto en los que se recibirán los medios.
Encabezados SIPEn el siguiente ejemplo de mensaje de petición del SIP, NAT reemplaza las direccioencabezado, mostrados en negrita, para ocultarlos a la red exterior.
INVITE [email protected] SIP/2.0Via: SIP/2.0/UDP 10.150.20.3:5434From: [email protected]: [email protected]: [email protected]: [email protected]:5434Route: <sip:[email protected]:5060>Record-Route: <sip:[email protected]:5060>
Capítulo 5 Bloques para la construcción de directivas Servicios
220
n del mensaje, que puede ser
ve que, para varios de los interior o exterior de los na petición o una respuesta.
r dirección ALG por dirección local
r dirección ALG por dirección local
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El método aplicado para traducir las direcciones IP depende del tipo y de la direccióuno de los siguientes:
• Petición entrante
• Respuesta saliente
• Petición saliente
• Respuesta entrante
La tabla siguiente muestra cómo se aplica NAT en cada uno de estos casos. Obsercampos de encabezado, el ALG necesita saber algo más que la mera procedencia mensajes. También necesita saber qué cliente inició la llamada y si el mensaje es u
Tipo de mensaje Campos AcciónPetición entrante(de pública a privada)
To: Reemplaza
From: Ninguna
Call-ID: Ninguna
Via: Ninguna
Request-URL: Reemplaza
Contact: Ninguna
Record-Route: Ninguna
Route: Ninguna
Capítulo 5 Bloques para la construcción de directivas Servicios
221
r dirección ALG por dirección local
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección local por dirección ALG
r dirección ALG por dirección local
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Respuesta saliente(de privada a pública)
To: Reemplaza
From: Ninguna
Call-ID: Ninguna
Via: Ninguna
Request-URL: N/D
Contact: Reemplaza
Record-Route: Reemplaza
Route: Ninguna
Petición saliente(de privada a pública)
To: Ninguna
From: Reemplaza
Call-ID: Reemplaza
Via: Reemplaza
Request-URL: Ninguna
Contact: Reemplaza
Record-Route: Reemplaza
Route: Reemplaza
Tipo de mensaje Campos Acción
Capítulo 5 Bloques para la construcción de directivas Servicios
222
r dirección ALG por dirección local
r dirección ALG por dirección local
r dirección ALG por dirección local
r dirección ALG por dirección local
r dirección ALG por dirección local
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Respuesta saliente(de pública a privada)
To: Ninguna
From: Reemplaza
Call-ID: Reemplaza
Via: Reemplaza
Request-URL: N/D
Contact: Ninguna
Record-Route: Reemplaza
Route: Reemplaza
Tipo de mensaje Campos Acción
Capítulo 5 Bloques para la construcción de directivas Servicios
223
rear canales para la secuencia eros de puerto para enviar y
la asignación de recursos.
es similar a adjuntar varios do desde un cliente SIP a un
dirección, hasta un total de 12 7.
el dispositivo NetScreen egrilla.
ir medios. Observe que el ojo P y RTP. El ojo de aguja
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cuerpo SIPLa información SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para cde medios. La traducción de la sección SDP también asigna recursos, es decir, númrecibir los medios.
El siguiente extracto de una sección SDP muestra los campos que se traducen para
o=user 2344234 55234434 IN IP4 10.150.20.3c=IN IP4 10.150.20.3m=audio 43249 RTP/AVP 0
Los mensajes SIP pueden contener más de una secuencia de medios. El concepto archivos a un mensaje de correo electrónico. Por ejemplo, un mensaje INVITE enviaservidor SIP puede tener los siguientes campos:
c=IN IP4 10.123.33.4m=audio 33445 RTP/AVP 0c=IN IP4 10.123.33.4m=audio 33447 RTP/AVP 0c=IN IP4 10.123.33.4m=audio 33449 RTP/AVP 0
Los dispositivos NetScreen admiten hasta seis canales SDP negociados para cada canales por llamada. Para obtener más información, consulte “SDP” en la pàgina 20
Supuesto de NAT con el protocolo SIPEn la ilustración siguiente, ph1 envía un mensaje SIP INVITE a ph2. Observe cómotraduce las direcciones IP en los campos del encabezado, mostrados en fuente en n
La sección SDP del mensaje INVITE indica dónde el llamante está dispuesto a recibde aguja de los medios contiene dos números de puertos, 52002 y 52003, para RTCVia/Contact proporciona el número de puerto 5060 para la señalización del SIP.
Capítulo 5 Bloques para la construcción de directivas Servicios
224
el mensaje INVITE se invierten. s se abren para permitir el
na
6.6.6.2 SIP ph2
6.6.2 SIP/2.0 6.6.1 : 1234 .6.1
ation/sdp
IP4 6.6.6.1
/AVP 0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Observe cómo, en el mensaje de respuesta 200 OK, las traducciones realizadas en Las direcciones IP de este mensaje, al ser públicas, no se traducen, pero las puertaacceso de la secuencia de medios a la red privada.
.
������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Dispositivo NetScreen
SIP ph1 5.5.5.1
6.6.6.152002/52003
5.5.5.1
45002/45003
Ojo de aguja de los medios
5.5.5.2 6.6.6.1
Red interna Red exter
5.5.5.1
5060
Ojo de aguja Via/Contact
INVITE Sip: [email protected] SIP/2.0 Via: SIP/2.0/UDP 5.5.5.1 :5060 Call-ID: a1234 @5.5.5.1 From: ph1@ 5.5.5.1 To: [email protected] CSeq 1 INVITE Content-type: application/sdp Content-Length: 98
V=O o=ph1 3123 1234 IP IP4 5.5.5.1 c=IN IP4 5.5.5.1 m=audio 45002 RTP/AVP 0
INVITE Sip: [email protected]: SIP/2.0/UDP 6.Call-ID: [email protected]: ph1@ 6.6.6.1 To: [email protected] CSeq 1 INVITE Content-type: applicContent-Length: 98
V=O o=ph1 3123 1234 IPc=IN IP4 6.6.6.1 m=audio 52002 RTP
Cualquier IP
Cualquier puerto
6.6.6.11234
Cualquier IP
Cualquier puerto
Capítulo 5 Bloques para la construcción de directivas Servicios
225
na
6.6.6.2 SIP ph2
.6.2 SIP/2.0
P 6.6.6.1 : 1234
@6.6.6.1 6.6.1 .2 pplication/sdp : 98
6.6.6 : 5060
5642 IP IP4
2 RTP/AVP 0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Dispositivo NetScreen
SIP ph1 5.5.5.1 5.5.5.2 6.6.6.1
Red interna Red exter
Cualquier IP
Cualquier puerto
Cualquier IP
Cualquier puerto
6.6.6.262002/62003
6.6.6.25060
Ojo de aguja de los medios
Ojo de aguja Via/Contact
ACK SIP:[email protected] SIP/2.0. . . . ACK SIP:[email protected]
. . . .
SIP/2.0 200 OKVia: SIP/2.0/UDCall-ID: a1234From: ph1@ 6.To: ph2@ 6.6.6CSeq 1 INVITEContent-type: aContent-LengthContact: sip 6.
V=0 o=ph2 5454 566.6.6.2 c=IN IP4 6.6.6.m=audio 62002
SIP/2.0 200 OK Via: SIP/2.0/UDP 5.5.5.1 :5060 Call-ID: a1234 @5.5.5.1 From: ph1@ 5.5.5.1 To: [email protected] CSeq 1 INVITE Content-type: application/sdp Content-Length: 98
V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0
Capítulo 5 Bloques para la construcción de directivas Servicios
226
gistro del SIPxies y servidores de os. Un usuario registra una o
ro. Los campos To: y Contact: a URI de contacto, según que asocia la dirección del
estas direcciones y almacena nsaje INVITE desde fuera de la st interno enrutar el mensaje
as entrantes configurando DIP de interfaz es adecuado para
onjuntos de DIP se recomienda
IP sólo se admite para los
y TCP. Actualmente tampoco direcciones IP, según muestra
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Soporte de llamadas SIP entrantes utilizando el servidor de reEl registro del SIP proporciona una función de descubrimiento que permite a los proubicaciones SIP identificar las ubicaciones donde los usuarios desean ser contactadmás ubicaciones de contacto enviando un mensaje REGISTER al servidor de registdel mensaje REGISTER contienen la URI de la dirección del registro y al menos unmuestra la ilustración siguiente. El registro crea enlaces en un servicio de ubicaciónregistro a la dirección o a las direcciones de contacto.
El dispositivo NetScreen supervisa los mensajes REGISTER salientes, aplica NAT ala información en una tabla de DIP entrante. A continuación, cuando se recibe un mered, el dispositivo NetScreen utiliza la tabla de DIP entrante para identificar a qué hoINVITE. Puede aprovechar el servicio de registro del proxy SIP para permitir llamadde interfaz o conjuntos de DIP en la interfaz de salida del dispositivo NetScreen. DIPgestionar llamadas entrantes en una pequeña oficina, mientras que la creación de cpara redes más grandes o entornos empresariales.
Nota: El soporte de llamadas entrantes usando DIP de interfaz o un conjunto de Dservicios SIP y H.323.
Para llamadas entrantes, actualmente los dispositivos NetScreen sólo admiten UDPse admite la resolución de nombres de dominio, por lo que las URIs deben contenerla ilustración siguiente.
Capítulo 5 Bloques para la construcción de directivas Servicios
227
6.6.6.2
Servidor de registro
DIP entrante
.6.1 : 5555 3600
sip:6.6.6.2 SIP/2.0 6.6.6.1
.6.6.1 ITE p: 6.6.6.1:5555 > 00
6.6.6.1 .6.6.1 ITE p: 6.6.6.1:5555 > 00
erna
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
�������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Tabla de
Agregar entrada a la tabla de DIP entrante
Actualizar el valor del tiempo de espera
REGISTER sip: 6.6.6.2 SIP/2.0From: ph1@ 5.5.5.1 To: ph1@ 5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234 > Expires: 7200
200 OKFrom: ph1@ 5.5.5.1 To: ph1@ 5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234 > Expires: 3600
Dispositivo NetScreen
SIP ph1 5.5.5.1 5.5.5.2 6.6.6.1
5.5.5.1 : 1234 6.6
Red interna
REGISTERFrom: ph1@To: ph1@ 6CSeq 1 INVContact <siExpires: 72
200 OKFrom: ph1@To: ph1@ 6CSeq 1 INVContact <siExpires: 36
Red ext
Capítulo 5 Bloques para la construcción de directivas Servicios
228
one2 y el servidor proxy en terfaz ethernet3 para aplicar fico SIP desde la zona Untrust ctiva que permita el tráfico hone1 en la zona Trust funciona DIP entrante con
servidor de registro del SIP” en
s y haga clic en Apply :
e)
OK :
phone21.1.1.4
Servidor proxy1.1.1.3
Untrust
Internet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Llamada entrante (DIP de interfaz)En este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phla interfaz ethernet3 de la zona Untrust. Usted configurará la DIP de interfaz en la inNAT a las llamadas entrantes, a continuación creará una directiva que permita el tráa la zona Trust y hará referencia a esa DIP en la directiva. También creará una direSIP desde la zona Trust a la zona Untrust utilizando NAT Source. Esto permitirá a pregistrarse en el proxy de la zona Untrust. Para obtener una explicación sobre cómoel servicio de registro SIP, consulte “Soporte de llamadas SIP entrantes utilizando ella pàgina 226.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
phone110.1.1.3
ethernet110.1.1.1/24
ethernet31.1.1.1/24
Dispositivo NetScreen
Trust
LAN
DIP de interfaz en ethernet3
Capítulo 5 Bloques para la construcción de directivas Servicios
229
s y haga clic en OK :
e)
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
230
n Incoming NAT y haga clic
haga clic en OK :
n Return para establecer las de configuración básica:
ne)
ss Interface IP)
haga clic en OK :
rnet3)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Seleccione la opcióen OK .
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) phone1
Destination Address:
Address Book Entry: (seleccione) any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
(DIP on): None (Use Egre
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DIP(ethe
Service: SIP
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
231
permitpermit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address untrust proxy 1.1.1.3/24
3. DIP con NAT entranteset interface ethernet3 dip interface-ip incomingset dip sticky
4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(ethernet3) sip save
Capítulo 5 Bloques para la construcción de directivas Servicios
232
y en la zona Untrust. Usted das entrantes, y a continuación y hará referencia al conjunto de zona Trust a la zona Untrust oxy de la zona Untrust. Para nsulte “Soporte de llamadas
s y haga clic en Apply :
e)
OK :
Untrust
Internet
Servidor proxy1.1.1.3
phone21.1.1.4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Llamada entrante (conjunto de DIP)En este ejemplo, phone1 se encuentra en la zona Trust y phone2 y el servidor proxconfigurará un conjunto de DIP en la interfaz ethernet3 para aplicar NAT a las llamacreará una directiva que permita el tráfico SIP desde la zona Untrust a la zona Trust DIP en la directiva. También creará una directiva que permita el tráfico SIP desde lautilizando NAT Source. Esto permitirá a phone1 en la zona Trust registrarse en el probtener una explicación sobre cómo funciona DIP con el servicio de registro SIP, coSIP entrantes utilizando el servidor de registro del SIP” en la pàgina 226.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Dispositivo NetScreenTrust
Conjunto de DIP en ethernet3
1.1.1.20 -> 1.1.1.40
LAN
phone110.1.1.3
ethernet110.1.1.1/24
ethernet31.1.1.1/24
Capítulo 5 Bloques para la construcción de directivas Servicios
233
s y haga clic en OK :
e)
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
234
ientes datos y haga clic en OK :
.1.1.40
econdary IPs: (seleccione)
haga clic en OK :
n Return para establecer las de configuración básica:
ne)
.40)/port-xlate))
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. Conjunto de DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu
ID: 5
IP Address Range: (seleccione), 1.1.1.20 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
Incoming NAT: (seleccione)
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
(DIP on): 5 (1.1.1.20-1.1.1
Capítulo 5 Bloques para la construcción de directivas Servicios
235
haga clic en OK :
dip 5 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) Any
Destination Address:
Address Book Entry: (seleccione) DIP(5)
Service: SIP
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address untrust proxy 1.1.1.3/24
3. Conjunto de DIP con NAT entranteset interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incomingset dip sticky
4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(5) sip permitsave
Capítulo 5 Bloques para la construcción de directivas Servicios
236
one2 y el servidor proxy en la para phone1, luego creará una encia a esa MIP en la directiva. oxy en la zona Untrust. Este e interfaz)” en la pàgina 228 y MIP se necesita una dirección z o un conjunto de DIP, una
s y haga clic en Apply :
e)
OK :
Internet
Untrust
Servidor proxyphone2
1.1.1.4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Llamada entrante con MIPEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phinterfaz ethernet3 de la zona Untrust. Usted pondrá una MIP en la interfaz ethernet3directiva que permita el tráfico SIP desde la zona Untrust a la zona Trust y hará referTambién creará una directiva permitiendo que phone1 se registre con el servidor prejemplo es similar a los dos ejemplos anteriores (“Ejemplo: Llamada entrante (DIP d“Ejemplo: Llamada entrante (conjunto de DIP)” en la pàgina 232), salvo que con unapública por cada dirección privada en la zona Trust, mientras que con DIP de interfasola dirección de interfaz puede servir múltiples direcciones privadas.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
ethernet1 10.1.1.1/24
ethernet3 1.1.1.1/24
MIP de dispositivo virtual en ethernet3
1.1.1.1/24
Trust
LAN
Dispositivo NetScreen
phone110.1.1.3
Capítulo 5 Bloques para la construcción de directivas Servicios
237
s y haga clic en OK :
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
238
guientes datos y haga clic en
haga clic en OK:
1.3)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. MIPNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los si OK :
Mapped IP: 1.1.1.3
Netmask: 255.255.255.255
Host IP Address: 10.1.1.3
4. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: SIP
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
Capítulo 5 Bloques para la construcción de directivas Servicios
239
rmit
n la zona (privada) Trust, y faz ethernet3 hacia el servidor ermitiendo el tráfico SIP desde creará una directiva desde la
phone21.1.1.4
Untrust
Internet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address untrust proxy 1.1.1.3/24
3. MIPset interface ethernet3 mip 1.1.1.3 host 10.1.1.3
4. Directivaset policy from untrust to trust any mip(1.1.1.3) sip pesave
Ejemplo: Proxy en la zona privadaEn este ejemplo, phone1 y el servidor proxy del SIP están en la interfaz ethernet1 ephone2 está en la interfaz ethernet3 en la zona Untrust. Pondrá una MIP en la interproxy para permitir que phone2 se registre en el proxy y luego creará una directiva pla zona Untrust a la zona Trust y hará referencia a esa MIP en la directiva. Tambiénzona Trust a la zona Untrust para permitir que phone1 efectúe llamadas externas.
Trust
Servidor proxy10.1.1.4
phone110.1.1.3
ethernet110.1.1.1/24
ethernet31.1.1.1/24
Dispositivo NetScreen
LAN
MIP de dispositivo virtual
en ethernet3 1.1.1.2 -> 10.1.1.4
Capítulo 5 Bloques para la construcción de directivas Servicios
240
s y haga clic en OK :
e)
OK :
s y haga clic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: TrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: UntrustIP Address/Netmask: 1.1.1.1/24Interface Mode: Route
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
241
lic en OK :
iguientes datos y haga clic en
haga clic en OK :
n Return para establecer las de configuración básica:
ne)ss Interface IP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.4/24
Zone: Trust
3. MIPNetwork > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los s OK :
Mapped IP: 1.1.1.2
Netmask: 255.255.255.255
Host IP Address: 10.1.1.4
Host Virtual Router Name: trust-vr
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) any
Destination Address:
Address Book Entry: (seleccione) phone2
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT: Source Translation: (seleccio
(DIP on): None (Use Egre
Capítulo 5 Bloques para la construcción de directivas Servicios
242
haga clic en OK:
1.2)
permit permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: SIP
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address trust proxy 10.1.1.4/24
3. MIPset interface ethernet3 mip 1.1.1.2 host 10.1.1.4
4. Directivasset policy from trust to untrust any phone2 sip nat src set policy from untrust to trust phone2 mip(1.1.1.2) sipsave
Capítulo 5 Bloques para la construcción de directivas Servicios
243
one2 y el servidor proxy en la la interfaz Untrust y creará una encia a esa DIP en la directiva. en el servidor proxy en la zona nsulte “Ejemplo: Llamada ” en la pàgina 236) y, como en
s y haga clic en Apply :
e)
OK:
s y haga clic en OK:
Servidor proxy1.1.1.3
phone21.1.1.4
Untrust
Internet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Proxy en la zona públicaEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phinterfaz ethernet3 de la zona (pública) Untrust. Usted configurará DIP de interfaz endirectiva permitiendo el tráfico SIP desde la zona Untrust a la zona Trust y hará referTambién creará una directiva de Trust a Untrust para permitir que phone1 se registreUntrust. Este ejemplo es similar a los ejemplos anteriores de llamadas entrantes (coentrante (conjunto de DIP)” en la pàgina 232 y “Ejemplo: Llamada entrante con MIPesos ejemplos, puede utilizar la DIP o MIP en la interfaz Untrust.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
ethernet31.1.1.1/24
ethernet110.1.1.1/24
phone110.1.1.3
Dispositivo NetScreen
Trust
LAN
DIP de interfazen ethernet3
Capítulo 5 Bloques para la construcción de directivas Servicios
244
s y haga clic en OK :
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
245
erificación Incoming NAT .
haga clic en OK :
n Return para establecer las de configuración básica:
ne)
ss Interface IP)
haga clic en OK :
rnet3)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. DIP de interfazNetwork > Interface > Edit (para ethernet3) > DIP: Seleccione la casilla de v
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) phone1
Destination Address:
Address Book Entry: (seleccione) Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
(DIP on): None (Use Egre
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) Any
Destination Address:
Address Book Entry: (seleccione) DIP(ethe
Service: SIP
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
246
permitpermit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address untrust proxy 1.1.1.3/24
3. DIP de interfazset interface ethernet3 dip interface-ip incoming
4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(ethernet3) sip save
Capítulo 5 Bloques para la construcción de directivas Servicios
247
ne2 en la interfaz ethernet3 de a MIP en la interfaz ethernet2
ego hará referencia a esa MIP entre cada una de ellas. Las la zona Untrust genere una
ervidor proxy.2.2.4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Zona triple, proxy en DMZ En este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phola zona Untrust y el servidor proxy en la interfaz ethernet2 de DMZ. Usted situará unhacia phone1 en la zona Trust, creará una directiva desde DMZ a la zona Trust y luen la directiva. De hecho, con tres zonas necesitará crear directivas bidireccionalesflechas en la ilustración siguiente muestran el flujo del tráfico SIP cuando phone2 dellamada a phone1 en la zona Trust.
Untrust
DMZ
Trust
S
2
ethernet310.1.1.1/24
ethernet110.1.1.1/24
Dispositivo NetScreen
phone21.1.1.4
Internet
LAN
MIP de dispositivo
virtual en ethernet2
2.2.2.3 -> 10.1.1.3phone110.1.1.3
ethernet22.2.2.2/24
Capítulo 5 Bloques para la construcción de directivas Servicios
248
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Capítulo 5 Bloques para la construcción de directivas Servicios
249
lic en OK :
lic en OK :
guientes datos y haga clic en
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.4/24
Zone: DMZ
3. MIPNetwork > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los si OK :
Mapped IP 2.2.2.3
Netmask: 255.255.255.255
Host IP Address: 10.1.1.3
4. DirectivasPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Servicios
250
n Return para establecer las de configuración básica:
ss Interface IP)
haga clic en OK :
haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: Enable
(DIP on): None (Use Egre
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), phone1
Service: SIP
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), proxy
Capítulo 5 Bloques para la construcción de directivas Servicios
251
ga clic en OK :
2.3)
haga clic en OK :
n Return para establecer las de configuración básica:
ss Interface IP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Service: SIP
Action: Permit
Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), MIP(2.2.
Service: SIP
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: Enable
(DIP on): None (Use Egre
Capítulo 5 Bloques para la construcción de directivas Servicios
252
rmit
t
itrc permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 routeset interface ethernet2 zone dmzset interface ethernet2 ip 2.2.2.2/24set interface ethernet2 route
2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address dmz proxy 2.2.2.4
3. MIPset interface2 mip 2.2.2.3 host 10.1.1.3
4. Directivasset policy from trust to dmz phone1 proxy sip nat src peset policy from dmz to untrust proxy phone2 sip permitset policy from untrust to trust phone2 phone1 sip permiset policy from untrust to dmz phone2 proxy sip permitset policy from dmz to trust proxy mip(2.2.2.3) sip permset policy from trust to untrust phone1 phone2 sip nat ssave
Capítulo 5 Bloques para la construcción de directivas Servicios
253
hone3 en una subred en la la zona Trust. Para permitir de loopback, agregará erfaz de loopback apuntando a una sola MIP para el servidor en la zona Untrust, también ación sobre la utilización de la pàgina 7 -107.
ne2.2.4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Untrust intrazonalEn este ejemplo, phone2 se encuentra en la interfaz ethernet2 de la zona Untrust, pinterfaz ethernet3 de la zona Untrust, y el servidor proxy en la interfaz ethernet1 de tráfico SIP intrazonal entre los dos teléfonos de la zona Untrust, creará una interfaz ethernet2 y ethernet3 a un grupo de loopback y finalmente situará una MIP en la intla dirección IP del servidor proxy. Crear una interfaz de loopback le permitirá utilizarproxy en la zona Trust. Dado que el bloqueo está activado de forma predeterminadadebe desactivarlo para permitir la comunicación intrazonal. Para obtener más informinterfaces de loopback, consulte “MIP y la interfaz de bucle invertido (loopback)” en
Trust
Untrust
ethernet1 10.1.1.1/24
ethernet3 1.1.2.1/24
ethernet4 1.1.1.1/24
phone11.1.1.4
pho1.1
proxy10.1.1.5
Internet
LAN
Loopback.11.1.4.1/24
MIP en Loopback.1 1.1.4.5 -> 10.1.1.5
Capítulo 5 Bloques para la construcción de directivas Servicios
254
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
s y haga clic en OK :
e)
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes dato
Zone: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
Interface Name: loopback.1
Zone: Untrust (trust-vr)
IP Address/Netmask: 1.1.4.1/24
Capítulo 5 Bloques para la construcción de directivas Servicios
255
lic en OK :
lic en OK :
lic en OK :
s y haga clic en OK :
opback.1
s y haga clic en OK :
opback.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.4/32
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.2.4/32
Zone: Untrust
3. Grupo LoopbackNetwork > Interfaces > Edit (para ethernet4): Introduzca los siguientes dato
As member of loopback group: (seleccione) lo
Zone Name: Untrust
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
As member of loopback group: (seleccione) lo
Zone Name: Untrust
Capítulo 5 Bloques para la construcción de directivas Servicios
256
iguientes datos y haga clic en
ga clic en OK :
haga clic en OK :
n Return para establecer las de configuración básica:
ss Interface IP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. MIPNetwork > Interfaces > Edit (para loopback.1) > MIP > New: Introduzca los s OK :
Mapped IP 1.1.4.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
5. BloqueoNetwork > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha
Block Intra-Zone Traffic: (anule la selección)
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: Enable
(DIP on): None (Use Egre
Capítulo 5 Bloques para la construcción de directivas Servicios
257
haga clic en OK :
4.5)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.
Service: SIP
Action: Permit
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.2.1/24set interface ethernet1 route
set interface ethernet4 zone untrustset interface ethernet4 ip 1.1.1.1/24set interface ethernet4 route
set interface loopback.1 zone untrustset interface loopback.1 ip 1.1.4.1/24set interface loopback.1 route
2. Direccionesset address trust proxy 10.1.1.5/32set address untrust phone1 1.1.1.4/32set address untrust phone2 1.1.2.4/32
Capítulo 5 Bloques para la construcción de directivas Servicios
258
ermitrmit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. Grupo Loopbackset interface ethernet2 loopback-group loopback.1set interface ethernet3 loopback-group loopback.1
4. MIPset interface loopback.1 mip 1.1.4.5 host 10.1.1.5
5. Bloqueo
unset zone untrust block
6. Directivasset policy from trust to untrust proxy any sip nat src pset policy from untrust to trust any mip(1.1.4.5) sip pesave
Capítulo 5 Bloques para la construcción de directivas Servicios
259
ne2 en la interfaz ethernet2 en z Untrust. Para permitir que interfaz en la interfaz ethernet3 tivas determinadas para rminada, el bloqueo está
).
s y haga clic en Apply :
e)
OK :
Untrust
servidor proxy3.3.3.4
Internet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Trust intrazonalEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phouna subred de la zona Trust, y el servidor proxy en la interfaz ethernet3 de la interfaambos teléfonos de la zona Trust se comuniquen entre sí, usted configurará DIP de para permitir que entren en contacto con el servidor proxy, y luego establecerá direcpermitir el tráfico SIP bidireccional entre las zonas Trust y Untrust. De forma predetedesactivado en la zona Trust (como lo está en las zonas personalizadas que defina
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
phone110.1.1.3
Dispositivo NetScreen
Trust
ethernet110.1.1.1/24
ethernet210.1.2.1/24
ethernet33.3.3.3/24
LAN
phone210.1.2.2
DIP de interfaz en ethernet3
Capítulo 5 Bloques para la construcción de directivas Servicios
260
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 3.3.3.3/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: phone2
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.2.2/24
Zone: Trust
Capítulo 5 Bloques para la construcción de directivas Servicios
261
lic en OK :
ientes datos y haga clic en OK :
haga clic en OK :
n Return para establecer las de configuración básica:
ss Interface IP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: proxy
IP Address/Domain Name:
IP/Netmask: (seleccione), 3.3.3.4/24
Zone: Untrust
3. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu
Incoming NAT: (seleccione)
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: Enable
(DIP on): None (Use Egre
Capítulo 5 Bloques para la construcción de directivas Servicios
262
haga clic en OK :
y haga clic en Return para
ne)
ss Interface IP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione) proxy
Destination Address:
Address Book Entry: (seleccione) Any
Service: SIP
Action: Permit
> Advanced: Introduzca los siguientes datos establecer las opciones avanzadas:
NAT:
Source Translation: (seleccio
(DIP on): None (Use Egre
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone trustset interface ethernet2 ip 10.1.2.1/24set interface ethernet2 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24set interface ethernet3 route
Capítulo 5 Bloques para la construcción de directivas Servicios
263
ermitp permit
alla completa. Cada sitio tiene oficina central, phone1 en la . Todas las interfaces que
dispositivo configurará dos
s cuatro interfaces
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. Direccionesset address trust phone1 10.1.1.3/24set address trust phone2 10.1.2.2/24set address untrust proxy 3.3.3.4/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming
4. Directivasset policy from trust to untrust any proxy sip nat src pset policy from untrust to trust proxy dip(ethernet3) sisave
Ejemplo: VPN de malla completa para SIPEn este ejemplo, la oficina central y dos sucursales están unidas por una VPN de mun solo dispositivo NetScreen. El servidor proxy se encuentra en la zona Trust de lazona Trust de la sucursal primera y phone2 en la zona Trust de la sucursal segundaconectan los dispositivos se encuentran en sus respectivas zonas Untrust. En cadatúneles, conectados entre sí, para crear una red completamente interconectada.
Nota: Los dispositivos NetScreen utilizados en este ejemplo deben tener disponibleconfigurables independientemente.
Capítulo 5 Bloques para la construcción de directivas Servicios
264
h-2
Trusteth1-10.1.2.1
Untrusteth3-2.2.2.2
Untrusteth2/2-1.1.2.1
phone210.1.2.3
interfaz tunnel.2no numerada
Enrutador de la puerta de enlace
A la central: 1.1.2.1A branch-2:2.2.2.
Sucursal segunda
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Proxy 10.1.3.3
VPN 3
VPN 1 VPN 2
Branch-1 Branc
Central
Trusteth1-10.1.1.1 Untrust
eth4-5.5.5.5Untrust
eth4-4.4.4.4
Untrusteth3-3-3.3.3.3
Trusteth2/8-10.1.3.1
Untrusteth2/1-1.1.1.1
Zona Trust
Zona Trust Zona Trust
Nota: La zona Untrust de cada dispositivo no se muestra
phone1 10.1.1.3
interfaz tunnel.3no numerada
interfaz tunnel.3no numerada
interfaz tunnel.1no numerada
Enrutador de la puerta de enlaceA branch-1: 4.4.4.4A branch-2: 5.5.5.5
Enrutador de la puerta de enlace
A la central: 1.1.1.1A branch-1:3.3.3.3
tunnel.27.7.7.7
tunnel.16.6.6.6
Oficina central
Sucursal primera
Capítulo 5 Bloques para la construcción de directivas Servicios
265
ionales que conducen a las alores específicos que necesita ue.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI (para la central)
1. InterfacesNetwork > Interfaces > Edit (para ethernet2/1)
Network > Interfaces > Edit (para ethernet2/2)
Network > Interfaces > Edit (para ethernet2/8)
Network > Interfaces > New Tunnel IF
2. DirecciónObjects > Addresses > List > New
3. VPNVPNs > AutoKey IKE > New: > Advanced
4. EnrutamientoNetwork > Routing > Routing Entries > New
5. DirectivasPolicies > (From: Untrust, To: Trust) New
Policies > (From: Trust, To: Untrust) New
Nota: En este ejemplo, cada sección del WebUI enumera solamente rutas navegacpáginas necesarias para configurar el dispositivo. Para consultar los parámetros y vestablecer para cualquier sección del WebUI, consulte la sección de CLI que le sig
Capítulo 5 Bloques para la construcción de directivas Servicios
266
-interface ethernet2/1
-interface ethernet2/2
idletime 0 sec-level
idletime 0 sec-level
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI (para la central)
1. Interfacesset interface ethernet2/1 zone untrustset interface ethernet2/1 ip 1.1.1.1/24
set interface ethernet2/2 zone untrustset interface ethernet2/2 ip 1.1.2.1/24
set interface ethernet2/8 zone trustset interface ethernet2/8 ip 10.1.1.1/24set interface ethernet2/8 nat
set interface tunnel.1 zone untrustset interface tunnel.1 ip 6.6.6.6/24
set interface tunnel.2 zone untrustset interface tunnel.2 ip 7.7.7.7/24
2. Direcciónset address trust proxy 10.1.3.3/32
3. VPNset ike gateway to-branch-1 address 3.3.3.3 main outgoing
preshare “netscreen” sec-level standardset ike gateway to-branch-2 address 2.2.2.2 main outgoing
preshare “netscreen” sec-level standardset vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel
standardset vpn vpn-branch-1 id 1 bind interface tunnel.1set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel
standardset vpn vpn-branch-2 id 2 bind interface tunnel.2
Capítulo 5 Bloques para la construcción de directivas Servicios
267
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos4. Enrutamientoset route 10.1.2.0/24 interface tunnel.2set route 10.1.1.0/24 interface tunnel.1
5. Directivasset policy from untrust to trust any proxy sip permitset policy from trust to untrust proxy any sip permitsave
WebUI (Sucursal 2)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1)
Network > Interfaces > Edit (para ethernet2)
Network > Interfaces > Edit (para ethernet3)
Network > Interfaces > New Tunnel IF
2. DirecciónObjects > Addresses > List > New
3. VPNVPNs > AutoKey IKE > New: > Advanced
4. EnrutamientoNetwork > Routing > Routing Entries > New
5. DirectivasPolicies > (From: Untrust, To: Trust) New
Policies > (From: Trust, To: Untrust) New
Capítulo 5 Bloques para la construcción de directivas Servicios
268
-interface ethernet3
terface ethernet4
dletime 0 sec-level
me 0 sec-level standard
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI (Sucursal 2)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface ethernet4 zone untrustset interface ethernet4 ip 5.5.5.5/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrustset interface tunnel.3 ip unnumbered interface ethernet4
2. Direcciónset address trust phone1 10.1.1.3/32
3. VPNset ike gateway to-central address 1.1.1.1 Main outgoing
preshare "netscreen" sec-level standardset ike gateway to-ns50 address 5.5.5.5 Main outgoing-in
preshare "netscreen" sec-level standardset vpn vpncentral gateway to-central no-replay tunnel i
standardset vpn vpncentral id 4 bind interface tunnel.1set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletiset vpn vpn-ns50 id 5 bind interface tunnel.3
Capítulo 5 Bloques para la construcción de directivas Servicios
269
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos4. Rutasset route 10.1.3.0/24 interface tunnel.1set route 10.1.2.0/24 interface tunnel.3
5. Directivasset policy from trust to untrust phone1 any sip permitset policy from untrust to trust any phone1 sip permitsave
WebUI (Sucursal 1)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1)
Network > Interfaces > Edit (para ethernet3)
Network > Interfaces > Edit (para ethernet4)
Network > Interfaces > New Tunnel IF
2. DirecciónObjects > Addresses > List > New
3. VPNVPNs > AutoKey IKE > New: > Advanced
4. EnrutamientoNetwork > Routing > Routing Entries > New
5. DirectivasPolicies > (From: Untrust, To: Trust) New
Policies > (From: Trust, To: Untrust) New
Capítulo 5 Bloques para la construcción de directivas Servicios
270
-interface ethernet3
terface ethernet4
dletime 0 sec-level
me 0 sec-level standard
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI (Sucursal 1)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24
set interface ethernet4 zone untrustset interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrustset interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrustset interface tunnel.3 ip unnumbered interface ethernet4
2. Direcciónset address trust phone2 10.1.2.1/32
3. VPNset ike gateway to-central address 1.1.2.1 main outgoing
preshare "netscreen" sec-level standardset ike gateway to-ns50 address 4.4.4.4 main outgoing-in
preshare "netscreen" sec-level standardset vpn vpncentral gateway to-central no-replay tunnel i
standardset vpn vpncentral bind interface tunnel.2set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletiset vpn vpn-ns50 bind interface tunnel.3
Capítulo 5 Bloques para la construcción de directivas Servicios
271
VoIPde banda para servicios de VoIP,
de asegurar calidad para el rectiva que garantice el ancho de erfaz y establecer una cola de drá utilizar ancho de banda n utilizar el ancho de banda no
ancho de banda máximo para el del tráfico VoIP. También se El inconveniente de este método ue no esté siendo utilizado por el
point (DSCP): Garantizando el l tráfico no VoIP se permite ermite conservar los ajustes de r DSCP recibido establecido por
enrutador del siguiente salto, alidad del servicio (“Quality of
figuraciones VPN, el dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Rutasset route 10.1.1.0/24 interface tunnel.3set route 10.1.3.0/24 interface tunnel.2
5. Directivasset policy from trust to untrust phone2 any sip permitset policy from untrust to trust any phone2 sip permitsave
Administración del ancho de banda para servicios de Juniper Networks recomienda los siguientes métodos de administración del ancho utilizando los mecanismos de asignación de tráfico estándar de ScreenOS.
• Garantizar el ancho de banda para el tráfico VoIP: La manera más eficaz servicio VoIP sin impedir otros tipos de tráfico en la interfaz es crear una dibanda mínimo necesario para la cantidad prevista de tráfico VoIP en la intprioridades al más alto nivel. La ventaja de esta estrategia es que VoIP poadicional cuando esté disponible, mientras que otros tipos de tráfico podrágarantizado para VoIP cuando no esté siendo utilizado por VoIP.
• Limitar el ancho de banda para el tráfico que no es VoIP: Estableciendo untráfico que no es VoIP, se pone el ancho de banda restante a disposición establecerá una cola de prioridades al más alto nivel para el tráfico VoIP. es que el tráfico no VoIP no puede utilizar ancho de banda adicional aunqtráfico VoIP.
• Utilizar una cola de prioridades y el marcado Differentiated Services Codeancho de banda para el tráfico VoIP y limitando el ancho de banda para econtrolar el flujo de datos en el dispositivo NetScreen. El marcado DSCP pcola de prioridades “corriente abajo”, así como mantener o cambiar el valoel dispositivo de red o enrutador emisor “corriente arriba”, de modo que eltípicamente el enrutador LAN o WAN “fronterizo”, pueda hacer cumplir la cService” o QoS) en su dominio DiffServ. De forma predeterminada en con
Capítulo 5 Bloques para la construcción de directivas Servicios
272
e IP al encabezado externo, de servicio (QoS) correcta en el P con niveles de prioridad en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
NetScreen copia el marcado DSCP desde el encabezado interno del paquetmodo que el enrutador del salto siguiente pueda hacer cumplir la calidad detráfico codificado. Para obtener información sobre el funcionamiento de DSCdirectivas, consulte “Asignación de tráfico” en la pàgina 327.
Capítulo 5 Bloques para la construcción de directivas Servicios
273
ctar al uso del ancho de banda mum bandwidth” o “mbw”) en necesidad de permitir al menos total de 512 kbps) y,
ráfico general de la oficina y ha ancho de banda no garantizado áximo para los servicios de
ajustes y un elevado tráfico de VoIP necesitase de los servicios del tráfico de la utilización del ancho de banda oficina tiene una prioridad anda y de la prioridad, consulte
Anch
o de
ban
da to
tal d
e 2
Mbp
s
anda
eles
VoIP
Tráf
ico
de la
of
icin
a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosLa ilustración siguiente muestra cómo los ajustes de niveles de prioridad pueden afegarantizado (“guaranteed bandwidth” o “gbw”) y del ancho de banda máximo (“maxiuna interfaz ethernet1 (2 Mbps). La ilustración asume que usted ha determinado la ocho llamadas de VoIP (ancho de banda de 8 x 64 kbps por llamada, obteniendo unocasionalmente, hasta 16 llamadas. Ha garantizado el ancho de banda restante al testablecido el ancho de banda máximo para que el tráfico de la oficina disponga del al servicio de VoIP. Esto crea un solapamiento de 512 kbps en el ancho de banda mVoIP y del tráfico de la oficina, indicado mediante líneas discontinuas.
El lado izquierdo de la ilustración muestra la utilización del ancho de banda con esosoficina atravesando la interfaz, así como uso un nivel de utilización bajo de VoIP. Sirepentinamente más ancho de banda, a menos que su prioridad fuese superior a la oficina, no podría conseguirla. El lado derecho de la ilustración muestra el grado deen las mismas circunstancias que cuando VoIP tiene alta prioridad y el tráfico de la inferior. Para obtener más información sobre niveles de configuración de ancho de b“Asignación de tráfico” en la pàgina 359.
Anch
o de
ban
da to
tal d
e 2
Mbp
s
gbw 1024 kbps
mbw 1024 kbps
Utilizar niveles de prioridad con ajustes del ancho de b
Ajustes de ancho de bandagarantizado y máximo
Agregar ajustes de nivde prioridad
VoIP Tráfico de la oficina
gbw 512 kbps
mbw 1536 kbps
VoIP
Tráf
ico
de la
ofic
ina
Capítulo 5 Bloques para la construcción de directivas Servicios
274
vez creado un grupo que po, simplificando la
ás grupos de servicios.
efinidas por el usuario en el
plo, si existe un servicio .
e editar, pero para eliminarlo
bién será eliminada en todos
iembro.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Grupos de serviciosUn grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una contenga varios servicios, se pueden aplicar servicios a las directivas a nivel de gruadministración.
La opción de grupo de servicios de NetScreen tiene las siguientes características:
• Se puede hacer referencia a cada entrada del libro de servicios en uno o m
• Cada grupo de servicios puede contener entradas predefinidas y entradas dlibro de servicios.
Los grupos de servicios están sujetos a las siguientes limitaciones:
• Los grupos de servicios no pueden llamarse igual que los servicios; por ejemllamado “FTP”, no puede existir un grupo de servicios con el mismo nombre
• Si en una directiva se hace referencia a un grupo de servicios, éste se puedserá necesario eliminar primero la referencia en la directiva.
• Si se elimina una entrada personalizada del libro de servicios, la entrada tamlos grupos que contengan referencias a la misma.
• Un grupo de servicios no puede contener a otro grupo de servicios como m
• El término “ANY” de servicio integral no se puede agregar a grupos.
• Un servicio sólo puede pertenecer a un grupo a la vez.
Capítulo 5 Bloques para la construcción de directivas Servicios
275
s IKE, FTP y LDAP.
, mueva los siguientes servicios
ver el servicio de la columna embers”.
ver el servicio de la columna embers”.
over el servicio de la columna embers”.
dispositivo NetScreen creará s a otros grupos no estén
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Crear un grupo de serviciosEn este ejemplo creará un grupo de servicios llamado “grp1” que incluirá los servicio
WebUI
Objects > Services > Groups > New: Introduzca el siguiente nombre de grupoy haga clic en OK :
Group Name: grp1
Seleccione IKE y utilice el botón << para mo“Available Members” a la columna “Group M
Seleccione FTP y utilice el botón << para mo“Available Members” a la columna “Group M
Seleccione LDAP y utilice el botón << para m“Available Members” a la columna “Group M
CLI
set group service grp1set group service grp1 add ikeset group service grp1 add ftpset group service grp1 add ldapsave
Nota: Si intenta agregar un servicio a un grupo de servicios inexistente, el ese grupo. Asegúrese también de que los grupos que contengan referenciaautoincluidos en la lista de referencias.
Capítulo 5 Bloques para la construcción de directivas Servicios
276
reó en el “Ejemplo: Crear un regará HTTP, FINGER e IMAP.
ios y haga clic en OK :
er el servicio de la columna embers”.
ver el servicio de la columna embers”.
over el servicio de la columna embers”.
over el servicio de la columna embers”.
over el servicio de la columna embers”.
over el servicio de la columna embers”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modificar un grupo de serviciosEn este ejemplo cambiará los miembros del grupo de servicios llamado “grp1” que cgrupo de servicios” en la pàgina 275. Eliminará los servicios IKE, FTP y LDAP, y ag
WebUI
Objects > Services > Groups > Edit (para grp1): Mueva los siguientes servic
Seleccione IKE y utilice el botón >> para mov“Group Members” a la columna “Available M
Seleccione FTP y utilice el botón >> para mo“Group Members” a la columna “Available M
Seleccione LDAP y utilice el botón >> para m“Group Members” a la columna “Available M
Seleccione HTTP y utilice el botón << para m“Available Members” a la columna “Group M
Seleccione Finger y utilice el botón << para m“Available Members” a la columna “Group M
Seleccione IMAP y utilice el botón << para m“Available Members” a la columna “Group M
CLI
unset group service grp1 clearset group service grp1 add httpset group service grp1 add fingerset group service grp1 add imapsave
Capítulo 5 Bloques para la construcción de directivas Servicios
277
e se hayan eliminado todos los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Eliminar un grupo de serviciosEn este ejemplo eliminará un grupo de servicios denominado “grp1”.
WebUI
Objects > Services > Groups: Haga clic en Remove (para grp1).
CLI
unset group service grp1save
Nota: El dispositivo NetScreen no elimina automáticamente un grupo del qumiembros.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
278
itivo NetScreen toma es de red a la dirección IP de n sobre la traducción con desplazamiento de rtenece a la misma subred que direcciones IP del enrutador y subred. Si el rango de xcluir la dirección IP extendida
s (DIP): interfaces físicas y N.
el
.2–
.20
1.1/24
únel en a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CONJUNTOS DE DIPUn conjunto de IPs dinámicas (DIP) es un rango de direcciones IP del cual el disposdirecciones de forma dinámica o determinista para aplicar la traducción de direccionorigen (NAT-src) en los encabezados de paquetes IP. (Para obtener más informaciódeterminista de direcciones de origen, consulte “NAT-Src desde un conjunto de DIPdirecciones” en la pàgina 7 -25). Si el rango de direcciones de un conjunto de DIP pela dirección IP de la interfaz, el conjunto debe excluir la dirección IP de la interfaz, lascualquier dirección IP asignada (MIP) o virtual (VIP) que pueda haber en esa mismadirecciones se encuentra en la subred de una interfaz extendida, el conjunto debe ede la interfaz.Existen tres clases de interfaces que se pueden enlazar a conjuntos de IPs dinámicasubinterfaces para el tráfico de red y VPN, e interfaces de túnel sólo para túneles VP
ethernet1 ethernet2 ethernet3 Tunnel Tunn
10.10.1.2–10.10.1.20
210.10.1.2–210.10.1.20
220.10.1.2–220.10.1.20
10.20.1.2–10.20.1.20
10.30.110.30.1
10.10.1.1/24 210.10.1.1/24 220.10.1.1/24 10.20.1.1/24 10.30.
Conjuntos de DIP
Interfaces
A la zona DMZ
A la zona Untrust
A la zona Trust
Túneles VPN
Cortafuegos de NetScreen
Las interfaces físicas conducen a redes o
túneles VPN.
Las interfaces de tsolamente conduc
túneles VPN.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
279
T”), varios hosts pueden lista de los números de puerto da, puede haber hasta ~64.500
S Extended User Interface” o ming Service” o “WINS”), lica PAT. Se puede especificar ) al aplicar DIP. Para DIP de host original, permitiendo así al
r un servidor FTP en un sitio e direcciones privado
una interfaz de túnel en la zona asociará un conjunto de DIP da la traducción de direcciones
n una dirección IP en un asignada (MIP) a su servidor
conjunto de DIP que la esarios para este supuesto,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Traducción de direcciones de puertosUtilizando la traducción de direcciones de puertos (“Port Address Translation” o “PAcompartir la misma dirección IP, para lo cual el dispositivo NetScreen mantiene unaasignados con el fin de distinguir qué sesión pertenece a qué host. Con PAT habilitahosts compartiendo una misma dirección IP.
Algunas aplicaciones, como la interfaz de usuario extendida para NetBIOS (“NetBIO“NetBEUI”) y el servicio de nombres de Internet de Windows (“Windows Internet Narequieren números de puerto específicos y no funcionan correctamente si se les apque PAT no se ejecute para tales aplicaciones (es decir, que se utilice un puerto fijopuerto fijo, el dispositivo NetScreen guarda en su tabla de “hash” la dirección IP del dispositivo NetScreen asociar la sesión correcta a cada host.
Ejemplo: Crear un conjunto de DIP con PATEn este ejemplo creará un túnel VPN para que los usuarios locales puedan alcanzaremoto. Sin embargo, las redes internas de ambos sitios utilizan el mismo espacio d10.1.1.0/24. Para solucionar este problema de solapamiento de direcciones, creará Untrust del dispositivo NetScreen local, le asignará la dirección IP 10.10.1.1/24 y le que contendrá un rango de una sola dirección (10.10.1.2-10.10.1.2) y tendrá habilitade puertos.
Los administradores del sitio remoto también deberán crear una interfaz de túnel coespacio de direcciones neutral, tal como 10.20.2.1/24, y configurar una dirección IPFTP, como 10.20.2.5 hacia el host 10.1.1.5.
Nota: Este ejemplo incluye solamente la configuración de la interfaz de túnel y del acompaña. Por ver un ejemplo completo con todos los pasos de configuración necconsulte “Sitios VPN con direcciones superpuestas” en la pàgina 5 -203.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
280
ga clic en OK:
ientes datos y haga clic en OK:
econdary IPs: (seleccione)
r otro número.
ingún argumento para ente, pero sin PAT (es decir,
sactive la casilla de verificación
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUINetwork > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.1/24
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu
ID: 510
IP Address Range: 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
CLI
set interface tunnel.1 zone untrust-tunset interface tunnel.1 ip 10.10.1.1/24set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2save
10. Puede utilizar el número de identificación mostrado, que es el siguiente número correlativo disponible, o bien escribi
Nota: Dado que PAT está habilitada de forma predeterminada, no existe nhabilitarla. Para crear el mismo conjunto de DIP según lo definido anteriormcon números de puerto fijos), haga lo siguiente:
• (WebUI) Network > Interfaces > Edit (para tunnel.1) > DIP > New: DePort Translation y haga clic en OK.
• (CLI) set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2 fix-port
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
281
D 5) de 10.20.1.2 – 10.20.1.2 a ambiar el rango del conjunto de tivar) el conjunto de DIP
zca los siguientes datos y haga
a que requiere la traducción de traducción de puertos da sesión. Tal asignación de ltiples sesiones que requieren
na directiva utilice un conjunto l conjunto de DIP antes de que
a todas las sesiones simultáneas del
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Modificar un conjunto de DIPEn este ejemplo cambiará el rango de direcciones de un conjunto de DIP existente (I10.20.1.2 – 10.20.1.10. Este conjunto está asociado a tunnel.1. Observe que para cDIP mediante la interfaz de línea de comandos CLI, primero debe eliminar (o desacexistente y crear un nuevo conjunto.
WebUI
Network > Interfaces > Edit (para tunnel.1) > DIP > Edit (para ID 5): Introduclic en OK :
IP Address Range: 10.20.1.2 ~ 10.20.1.10
CLI
unset interface tunnel.1 dip 5set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10save
Direcciones DIP “sticky”Cuando un host inicia varias sesiones que satisfacen las condiciones de una directivdirecciones de red (NAT) y se le asigna una dirección de un conjunto de DIP con la habilitada11, el dispositivo NetScreen asigna una dirección IP de origen distinta a cadirecciones aleatoria puede resultar problemática para los servicios que generan múla misma dirección IP de origen para cada sesión.
Nota: No hay directivas que utilicen este conjunto de DIP en particular. Para que ude DIP, primero debe eliminar la directiva o modificarla para que no pueda utilizar eusted lo haya modificado.
11. Para los conjuntos de DIP que no realizan la traducción de puertos, el dispositivo NetScreen asigna una dirección IPmismo host.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
282
se utiliza el cliente AOL Instant hat. Para que el servidor AIM rar la dirección IP de origen del te porque hubiesen sido rvidor AIM rechazará la sesión
njunto de DIP a las diferentes ción DIP ejecutando el
l cortafuegos sea traducida a z de salida, puede utilizar la n IP y un conjunto de DIP ase de directivas y especificar
oficina central les exige utilizar inas reciben de su proveedor ción con la oficina central, cada sucursal de modo que viados a la oficina central. Las :
IP autorizadaficina central) de interfaz extendida de
na Untrust10.1.1/24
20.1.1/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuandoMessaging (AIM). Creará una sesión durante el inicio de su sesión y otra por cada cpueda verificar que un nuevo chat pertenece a un usuario autenticado, debe compainicio de sesión con la dirección de la sesión de chat. Si son diferentes (posiblemenasignadas aleatoriamente desde un conjunto de DIP durante el proceso NAT), el sede chat.
Para garantizar que el dispositivo NetScreen asigna la misma dirección IP de un cosesiones simultáneas de un host, puede habilitar la característica “sticky” de la direccomando CLI set dip sticky .
Interfaz extendida y DIPSi las circunstancias requieren que la dirección IP de origen del tráfico saliente por euna dirección de una subred diferente de la subred en la que se encuentra la interfaopción extendida de la interfaz. Esta opción permite implantar una segunda direccióauxiliar en una interfaz de otra subred. Después se puede habilitar NAT sobre una bpara la traducción el conjunto de DIP creado en la interfaz extendida.
Ejemplo: Usar DIP en otra subredEn este ejemplo, dos sucursales tienen líneas punto a punto con la sede central. Lasolamente las direcciones IP autorizadas que les ha asignado. Sin embargo, las oficde servicios (“ISP”) otras direcciones IP para el tráfico de Internet. Para la comunicautilizará la opción de interfaz extendida para configurar el dispositivo NetScreen en traduzca la dirección IP de origen a la dirección autorizada en todos los paquetes endirecciones IP autorizadas y asignadas para las sucursales A y B son las siguientes
Dirección IP asignada(por el ISP)
Utilizada para la interfaz física de la zona Untrust
Dirección(por la o
Utilizada para la DIPla zo
Oficina A 195.1.1.1/24 211.
Oficina B 201.1.1.1/24 211.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
283
st. Todas las zonas de a la zona Trust y le asignará la ión IP generada por los
B. A continuación, creará una en ethernet3:
0.1.1 – 211.10.1.1; PAT
0.1.1 – 211.20.1.1; PAT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
En ambos sitios, los dispositivos NetScreen tienen una zona Trust y una zona Untruseguridad se encuentran en el dominio de enrutamiento trust-vr. Enlazará ethernet1dirección IP 10.1.1.1/24. Enlazará ethernet3 a la zona Untrust y le asignará la direcccorrespondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina interfaz extendida con un conjunto de DIP que contendrá la dirección IP autorizada
• Oficina A: IP de la interfaz extendida 211.10.1.10/24; conjunto de DIP 211.1habilitada
• Oficina B: IP de la interfaz extendida 211.20.1.10/24; conjunto de DIP 211.2habilitada
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
284
interfaz de la zona Untrust ede central. Configurará una l conjunto de DIP en la interfaz cción IP que, mediante la 00 hosts). La dirección MIP ucir como “HQ” (oficina central)
ta para el tráfico destinado al alquier otro tráfico que reciban
Zona Trust, ethernet110.1.1.1/24
Zona Untrust, ethernet3El ISP asigna 201.1.1.1/24
(interfaz física)HQ autoriza 211.20.1.1/24
(interfaz extendida)Puerta de enlace
predeterminada 201.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Establecerá la interfaz de la zona Trust en modo NAT. Utilizará la dirección IP de lacomo dirección de origen en todo el tráfico saliente, salvo en el tráfico enviado a la sdirectiva para la sede central que traducirá la dirección de origen a una dirección deextendida. (El número de identificación del conjunto de DIP es 5. Contiene una diretraducción de direcciones de puertos, permite gestionar las sesiones de unos ~64.5utilizada por la sede central para el tráfico entrante será 200.1.1.1, que deberá introden la libreta de direcciones de la zona Untrust de cada dispositivo NetScreen.
Nota: Para poder utilizar una línea punto a punto, cada ISP debe establecer una rusitio que se encuentra en el extremo de esa línea. Los ISPs desviarán a Internet cude un dispositivo NetScreen local.
Oficina A Oficina BZona Trust, ethernet1
10.1.1.1/24Zona TrustZona Trust
Zona UntrustZona Untrust
I n t e r n e t
Oficina central(HQ)
Zona Untrust, ethernet3El ISP asigna 195.1.1.1/24
(interfaz física)HQ autoriza 211.10.1.1/24
(interfaz extendida)Puerta de enlace
predeterminada 195.1.1.254
Nota: Las líneas arrendadas punto a punto conectan las sucursales A y B directamente a la sede central.
ISP ISP
ISPLínea
punto a punto Línea punto a
punto
200.1.1.1
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
285
s y haga clic en OK :
e)
s y haga clic en OK :
e)
uientes datos y haga clic en
55.0
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI (Sucursal A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 195.1.1.1/24
Interface Mode: Route
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.10.1.10/255.255.2
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
286
es datos y haga clic en OK :
haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 195.1.1.254
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
287
n Return para establecer las de configuración básica:
ne)
1.10.1.1)/X-late
s y haga clic en OK :
e)
s y haga clic en OK :
e)
uientes datos y haga clic en
55.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
(DIP on): 5 (211.10.1.1-21
WebUI (Sucursal B)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 201.1.1.1/24
Interface Mode: Route
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.20.1.10/255.255.2
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
288
lic en OK :
es datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 201.1.1.254
4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
289
haga clic en OK:
n Return para establecer las de configuración básica:
ne)
11.20.1.1-211.20.1.1)/X-late
dip 5 211.10.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
DIP On: (seleccione), 5 (2
CLI (Sucursal A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 195.1.1.1/24set interface ethernet3 routeset interface ethernet3 ext ip 211.10.1.10 255.255.255.0
2. Direcciónset address untrust hq 200.1.1.1/32
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
290
gateway 195.1.1.254
dip 5 permit
dip 5 211.20.1.1
gateway 201.1.1.254
dip 5 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
4. Directivasset policy from trust to untrust any any any permitset policy top from trust to untrust any hq any nat src save
CLI (Sucursal B)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 201.1.1.1/24set interface ethernet3 routeset interface ethernet3 ext ip 211.20.1.10 255.255.255.0
2. Direcciónset address untrust hq 200.1.1.1/32
3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
4. Directivasset policy from trust to untrust any any any permitset policy top from trust to untrust any hq any nat src save
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
291
tado activo mientras el ede crear un conjunto de rupo asociado de interfaces
positivo NetScreen toma de ese loopback, no en la subred de no deben solaparse con la en la interfaz de bucle invertido.)
ducir direcciones de origen a la tes interfaces de salida.
IP de destino2.2.2.2
�������������� ������������� ��������������������������������������
DATOS
IP de destino2.2.2.2
��������������� �������������� �����������������������������������������
DATOS
Dispositivo NetScreen
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaz de bucle invertido ("loopback") y DIPUna interfaz de bucle invertido es una interfaz lógica que siempre se encuentra en esdispositivo en el que reside permanezca encendido12. En una interfaz loopback se pudirecciones IP dinámicas (DIP) accesible por el grupo de interfaces perteneciente al gloopback al realizar la traducción de direcciones de origen. Las direcciones que el disconjunto de DIP se encuentran en la misma subred que la dirección IP de la interfaz ninguna de las interfaces miembro. (Observe que las direcciones del conjunto de DIPdirección IP de la interfaz ni con ninguna dirección MIP que también se haya definido
La principal aplicación de ubicar un conjunto de DIP en una interfaz loopback es tramisma dirección o rango de direcciones aunque diferentes paquetes utilicen diferen
12. Para obtener más información sobre interfaces de bucle invertido, consulte “Interfaces loopback” en la pàgina 77.
Interfaz loopbackloopback.11.3.3.1/30 Conjunto de DIP
1.3.3.2 – 1.3.3.2
ethernet31.2.2.1/24
ethernet21.1.1.1/24
ethernet110.1.1.1/24
Host A10.1.1.5
Host B10.1.1.6
IP de origen10.1.1.5
IP de destino2.2.2.2
�����������������������������������������������������������������
DATOS
IP de origen1.3.3.2
IP de destino2.2.2.2
����������������������������������������������������������������������
DATOS
IP de origen10.1.1.6
IP de origen1.3.3.2
Traducción de direcciones de origen utilizando un conjunto DIP en una interfaz loopback
Sea cual sea la interfaz de salida, el dispositivo NetScreen traduce las direcciones IP de origen a la dirección del conjunto de DIP definido en la interfaz loopback.1.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
292
s interfaces de la zona Untrust
P indicadas anteriormente. .
e de la zona Trust a una oficina 3.3.2), porque la oficina remota eviamente habrá obtenido las utilizando estas direcciones
DIP de 1.3.3.2 – 1.3.3.2 en esa rnet1 y ethernet2 miembros del
También definirá rutas tadores de los proveedores
e no tiene ninguna preferencia te podrá seguir cualquier ruta13.
origen (NAT-src) al tráfico la identificación 10.
es decir, un valor más cercano a 1.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: DIP en una interfaz loopbackEn este ejemplo, el dispositivo NetScreen recibe las direcciones IP siguientes de dodesde diferentes proveedores de servicios de Internet (ISPs): ISP-1 e ISP-2:
• ethernet2, 1.1.1.1/24, ISP-1
• ethernet3, 1.2.2.1/24, ISP-2
Asociará estas interfaces a la zona Untrust y después les asignará las direcciones ITambién asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24
Desea que el dispositivo NetScreen traduzca la dirección de origen del tráfico salientremota en la zona Untrust. La dirección traducida debe ser la misma dirección IP (1.tiene una directiva que permite el tráfico entrante solamente de esa dirección IP. Prdirecciones IP públicas 1.3.3.1 y 1.3.3.2 y habrá notificado a ambos ISPs que estaráademás de las direcciones que ellos asignen al dispositivo.
Configurará una interfaz loopback.1 con la dirección IP 1.3.3.1/30 y un conjunto de interfaz. El conjunto de DIP tendrá la identificación número 10. Después hará a ethegrupo loopback correspondiente a loopback.1.
Definirá una dirección “r-office” con la dirección IP 2.2.2.2/32 para la oficina remota.predeterminadas para las interfaces ethernet1 y ethernet2, que apuntarán a los enru“ISP-1” e “ISP-2”, respectivamente.
Definirá rutas a dos puertas de enlace para que el tráfico saliente las utilice. Dado qupor una ruta u otra, no incluirá ninguna métrica en ninguna de ellas. El tráfico salien
Por último, creará una directiva que aplicará la traducción de direcciones de red de saliente hacia la oficina remota. La directiva hará referencia al conjunto de DIP con
13. Para indicar una ruta preferente, incluya métricas en ambas rutas y asigne a su ruta preferida una métrica más alta,
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
293
haga clic en OK :
s y haga clic en OK :
e)
st
Conjunto de DIP con ID 10
(en Loopback.1)1.3.3.2 – 1.3.3.2
et3, 1.2.2.1/24rta de enlace 1.2.2.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > New Loopback IF: Introduzca los siguientes datos y
Interface Name: loopback.1
Zone: Untrust (trust-vr)
IP Address/Netmask: 1.3.3.1/30
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
As member of loopback group: loopback.1
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
ISP -1 ISP -2
Loopback.1Zona Untru
1.3.3.1/30
ethernpue
ethernet2, 1.1.1.1/24puerta de enlace
1.1.1.250
ethernet1, 10.1.1.1/24Modo NAT
10.1.1.0/24
r-office2.2.2.2
Zona Untrust
Zona Trust
IP de origen10.1.1.X
IP de destino2.2.2.2
������������������������������������������������������������������������������
DATOS
IP de origen1.3.3.2
IP de destino2.2.2.2
������������������������������������������������������������������������������
DATOS
El dispositivo NetScreen traducirá todas las direcciones IP de origen de los
paquetes destinados a 2.2.2.2 de 10.1.1.X
a 1.3.3.2, independientemente
de la interfaz de salida utilizada.
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
294
s y haga clic en OK :
e)
s y haga clic en OK :
e)
iguientes datos y haga clic
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
As member of loopback group: loopback.1
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Interface Mode: Route
2. Conjunto de DIPNetwork > Interfaces > Edit (para loopback.1) > DIP > New: Introduzca los sen OK :
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
Port Translation: (seleccione)
3. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: r-office
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.2/32
Zone: Untrust
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
295
datos y haga clic en OK :
datos y haga clic en OK :
aga clic en OK :
Return para establecer las e configuración básica:
)
.3.3.2-1.3.3.2)/port-xlate
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet2
Gateway IP address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 1.2.2.250
5. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y h
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), r-office
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic enopciones avanzadas y regresar a la página d
NAT:
Source Translation: (seleccione
DIP On: (seleccione), 10 (1
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
296
gateway 1.1.1.250 gateway 1.2.2.250
c dip-id 10 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface loopback.1 zone untrustset interface loopback.1 ip 1.3.3.1/30
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24set interface ethernet2 loopback-group loopback.1
set interface ethernet3 zone untrustset interface ethernet3 ip 1.2.2.1/24set interface ethernet3 loopback-group loopback.1
2. Conjunto de DIPset interface loopback.1 dip 10 1.3.3.2 1.3.3.2
3. Direcciónset address untrust r-office 2.2.2.2/32
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet2set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivaset policy from trust to untrust any r-office any nat srsave
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
297
orcionar alta disponibilidad parten la misma configuración finir una directiva para realizar una interfaz de seguridad
tiva en el dispositivo NetScreen fico enviado al otro dispositivo junto de DIP y se descarta.
:14
VSD maestro 1
VSD de respaldo 1
Conjunto de DIP con ID 71.1.1.101 – 1.1.1.150
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Grupos de DIPCuando se agrupan dos dispositivos NetScreen en un clúster redundante para prop(“high availability” o “HA”) en una configuración activa/activa, ambos dispositivos comy ambos procesan el tráfico simultáneamente. Puede presentarse un problema al dela traducción de direcciones de red (NAT) si se utiliza un conjunto de DIP situado envirtual (“Virtual Security Interface” o “VSI”). Debido a que esa VSI solamente está acque actúa como maestro (“master”) del grupo VSD al que está asociada, ningún tráNetScreen (el que actúa como respaldo de dicho grupo VSD) puede utilizar ese con
Grupo VSD: 0 Grupo VSD: 1
Zona Untrust
Zona Trust
VSIs de la zona Untrust
VSIs de la zona Trustethernet1
10.1.1.1/24ethernet110.1.1.2/2
ethernet21.1.1.1/24
ethernet3:11.1.1.2/24
Dispositivo B
Dispositivo AVSD maestro 0
VSD de respaldo 0
Utilización problemática de un conjunto de DIP en una directiva en un clúster NSRP: set policy name out-nat from trust to untrust any any any nat src dip-id 7 permit
Debido a que el conjunto de DIP se encuentra en la VSI de la zona Untrust del grupo VSD 1 (cuyo maestro es el Dispositivo B), el Dispositivo A (respaldo del grupo VSD 1) descarta el tráfico recibido en ethernet1 (10.1.1.1/24) que cumple la directiva “out-nat”.
Clúster NSRP
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
298
Untrust por cada grupo VSD) y en la directiva. Cada VSI utiliza DIP.
en para HA, consulte el
14
3:124
VSD maestro 1
VSD de respaldo 1
njunto de DIP con ID 7.1.1.101 – 1.1.1.150
r NSRP:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para solucionar este problema, cree dos conjuntos de DIP (uno en la VSI de la zonacombine ambos conjuntos de DIP en un grupo de DIP, al que luego hará referencia su propio conjunto de VSD incluso aunque en la directiva se especifique el grupo de
Nota: Para obtener más información sobre la configuración de dispositivos NetScreVolumen 10, “Alta disponibilidad”.
Grupo VSD: 0 Grupo VSD: 1
Zona Untrust
Zona Trust
VSIs de la zona Untrust
VSIs de la zona Trust ethernet110.1.1.1/24
ethernet1:10.1.1.2/2
ethernet31.1.1.1/24
ethernet1.1.1.2/
Dispositivo B
Dispositivo AVSD maestro 0
VSD de respaldo 0
Co1
Combinando los conjuntos de DIP situados en ambas VSIs de la zona Untrust (para los grupos VSD 0 y 1) en un grupo de DIP, ambos Dispositivos A y B pueden procesar el tráfico que cumpla la directiva “out-nat”, en la que no se hace referencia a un conjunto de DIP específico de interfaz, sino al grupo de DIP compartido.
Conjunto de DIP con ID 81.1.1.151 – 210.1.1.200
Grupo de DIP 9
Utilización recomendada de un grupo de DIP en una directiva cuando se encuentra en un clústeset policy name out-nat from trust to untrust any any any nat dip-id 9 permit
Clúster NSRP
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
299
sitivos A y B) en un par HA
.30 – 1.1.1.39) en ethernet3:1. ferencia en una directiva.
clúster NSRP, creado el grupo ositivo en un clúster NSRP), y nfiguración de dispositivos
uientes datos y haga clic
siguientes datos y haga clic
e definir un grupo de DIP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Grupo de DIPEn este ejemplo proporcionará servicios NAT en dos dispositivos NetScreen (Dispoactivo/activo.
Creará dos conjuntos de DIP, DIP 5 (1.1.1.20 – 1.1.1.29) en ethernet3 y DIP 6 (1.1.1Después los combinará en un grupo de DIP identificado como DIP 7, al que hará re
Las VSIs de los grupos VSD 0 y 1 son:
• VSI de la zona Untrust ethernet3 1.1.1.1/24 (grupo VSD 0)• VSI de la zona Untrust ethernet3:1 1.1.1.2/24 (grupo VSD 1)• VSI de la zona Trust ethernet1 10.1.1.1/24 (grupo VSD 0)• VSI de la zona Trust ethernet1:1 10.1.1.1/24 (grupo VSD 1)
Este ejemplo asume que previamente habrá configurado los Dispositivos A y B en unVSD 1 (NetScreen crea automáticamente el grupo VSD 0 cuando se coloca un dispconfigurado las interfaces mencionadas. (Para obtener más información sobre la coNetScreen para NSRP, consulte el Volumen 10, “Alta disponibilidad”).
WebUI1. Conjuntos de DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sigen OK :
ID: 5IP Address Range: 1.1.1.20 – 1.1.1.29
Port Translation: (seleccione)Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los en OK :
ID: 6IP Address Range: 1.1.1.30 – 1.1.1.39
Port Translation: (seleccione)
Nota: En el momento de publicar esta versión, con CLI solamente se pued
Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP
300
haga clic en OK :
n Return para establecer las de configuración básica:
ne)
-id 7 permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
NAT:
Source Translation: (seleccio
DIP On: (seleccione), 7
CLI
1. Conjuntos de DIPset interface ethernet3 dip 5 1.1.1.20 1.1.1.29set interface ethernet3:1 dip 6 1.1.1.30 1.1.1.39
2. Grupos de DIPset dip group 7 member 5set dip group 7 member 6
3. Directivaset policy from trust to untrust any any any nat src dipsave
Capítulo 5 Bloques para la construcción de directivas Tareas programadas
301
s directivas para definir cuándo en la red y hacer cumplir las
tes:
” del cuadro de diálogo “Policy programada. El nombre debe
n una periodicidad semanal.
o de fin. Puede especificar
te y termine una sola vez.
mo la de fin.
o a Internet de la empresa para l horario no comercial que ipo de ese trabajador
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
TAREAS PROGRAMADASUna tarea programada es un objeto configurable que se puede asociar a una o variadeben entrar en vigor. Las tareas programadas permiten controlar el flujo de tráfico normas de seguridad de la red.
Para definir una tarea programada, introduzca los valores de los parámetros siguien
Schedule Name: El nombre que aparece en la lista desplegable “ScheduleConfiguration”. Elija un nombre descriptivo que le permita identificar la tareaser exclusivo y está limitado a 19 caracteres.
Comment: Cualquier información adicional que desee agregar.
Recurring: Habilite esta opción cuando desee que el programa se repita co
Start and End Times: Debe configurar tanto la hora de comienzo comhasta dos periodos de un mismo día.
Once: Habilite esta opción cuando desee que la tarea programada se ejecu
mm/dd/aaaa hh:mm: Debe introducir tanto la fecha y hora de inicio co
Ejemplo: Tarea programada repetitivaEn este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el accesasuntos personales después del trabajo. Usted creará una tarea programada para easociará a una directiva para denegar el tráfico TCP/IP saliente generado por el equ(10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1. Tarea programadaObjects > Schedules > New: Introduzca los siguientes datos y haga clic en
Schedule Name: After hours
Comment: For non-business hours
Recurring: (seleccione)
Capítulo 5 Bloques para la construcción de directivas Tareas programadas
302
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosPeriodo 1:
Periodo 2:
Día de la semana
Hora comienzo
Hora final
Domingo 00:00 23:59
Lunes 00:00 06:00
Martes 00:00 06:00
Miércoles 00:00 06:00
Jueves 00:00 06:00
Viernes 00:00 06:00
Sábado 00:00 23:59
Día de la semana
Hora comienzo
Hora final
Domingo 17:00 23:59
Lunes 17:00 23:59
Martes 17:00 23:59
Miércoles 17:00 23:59
Jueves 17:00 23:59
Viernes 17:00 23:59
Sábado 17:00 23:59
Capítulo 5 Bloques para la construcción de directivas Tareas programadas
303
lic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tom
Comment: Temp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Deny
Schedule: After hours
Capítulo 5 Bloques para la construcción de directivas Tareas programadas
304
stop 23:59stop 06:00 start 17:00
stop 06:00 start 17:00
00 stop 06:00 start
0 stop 06:00 start
stop 06:00 start 17:00
0 stop 23:59 comment
ule “after hours”
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Tarea programadaset schedule “after hours” recurrent sunday start 00:00 set schedule “after hours” recurrent monday start 00:00
stop 23:59set schedule “after hours” recurrent tuesday start 00:00
stop 23:59set schedule “after hours” recurrent wednesday start 00:
17:00 stop 23:59set schedule “after hours” recurrent thursday start 00:0
17:00 stop 23:59set schedule “after hours” recurrent friday start 00:00
stop 23:59set schedule “after hours” recurrent saturday start 00:0
“for non-business hours”
2. Direcciónset address trust tom 10.1.1.5/32 “temp”
3. Directivaset policy from trust to untrust tom any http deny schedsave
6
305
Capítulo 6
l tráfico entre zonas de ermitir todo el tráfico entre inado tráfico interzonal pase
ncia sobre el comportamiento pueda pasar por un dispositivo
ntre sí los diversos elementos
a la zona Untrust.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Directivas
El comportamiento predeterminado de un dispositivo NetScreen es rechazar todo eseguridad (tráfico interzonal)1 y, a excepción del tráfico dentro de la zona Untrust, pinterfaces asociadas a una misma zona (tráfico intrazonal). Para permitir que determpor un dispositivo NetScreen, debe crear directivas interzonales que tengan preferepredeterminado. De forma análoga, para impedir que determinado tráfico intrazonalNetScreen, debe crear las correspondientes directivas intrazonales.
En este capítulo se describe en qué consisten las directivas y cómo se relacionan eque componen una directiva. Está dividido en las secciones siguientes:
• “Elementos básicos” en la pàgina 307
• “Tres tipos de directivas” en la pàgina 308
– “Directivas interzonales” en la pàgina 308
– “Directivas intrazonales” en la pàgina 309
– “Directivas globales” en la pàgina 310
• “Listas de conjuntos de directivas” en la pàgina 311
• “Definición de directivas” en la pàgina 312
– “Directivas y reglas” en la pàgina 312
– “Anatomía de una directiva” en la pàgina 314
• “Directivas aplicadas” en la pàgina 329
– “Visualización de directivas” en la pàgina 329
– “Creación de directivas” en la pàgina 331
– “Introducción del contexto de una directiva” en la pàgina 348
1. De forma predeterminada, los dispositivos NetScreen-5XP y NetScreen-5XT permiten el tráfico desde la zona Trust
Capítulo 6 Directivas
306
e tenga que configurar Directivas multicast” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
– “Varios elementos por componente de directiva” en la pàgina 349
– “Negación de direcciones” en la pàgina 351
– “Modificación y desactivación de directivas” en la pàgina 355
– “Verificación de directivas” en la pàgina 356
– “Reordenamiento de directivas” en la pàgina 357
– “Eliminación de una directiva” en la pàgina 358
Nota: Si configura el enrutamiento multicast en un dispositivo NetScreen, puede qudirectivas multicast. Para obtener información sobre directivas multicast, consulte “pàgina 6 -208.
Capítulo 6 Directivas Elementos básicos
307
dos de forma unidireccional es y la acción invocada onentes, los elementos
esde una zona de origen a una
tráfico
l tráfico
cibe tráfico que cumple los o tunnel (tunelizar)
desde cualquier dirección de la
na Untrust)
la zona Trust. El término “any” na)
por el usuario en la libreta de
r Protocol”)
vesar su cortafuegos)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ELEMENTOS BÁSICOSUna directiva permite, deniega o canaliza por un túnel2 los tipos de tráfico especificaentre dos puntos. El tipo de tráfico (o “servicio”), la ubicación de los dos puntos finalcomponen los elementos básicos de una directiva. Aunque puede haber otros comprequeridos, que juntos constituyen el núcleo de una directiva, son los siguientes:
• Direction (Sentido): La dirección del tráfico entre dos zonas de seguridad (dzona de destino)
• Source address (Dirección de origen): La dirección desde la que se inicia el
• Destination address (Dirección de destino): La dirección a la que se envía e
• Service (Servicio): El tipo de tráfico transmitido
• Action (Acción): La acción realizada por el dispositivo NetScreen cuando recuatro primeros criterios: deny (denegar), permit (permitir), reject (rechazar)
Por ejemplo, la directiva indicada en el comando CLI siguiente permite el tráfico FTPzona Trust a un servidor FTP llamado “server1” en la zona DMZ:
set policy from trust to untrust any server1 ftp permit
• Direction (Sentido): from trust to untrust (es decir, de la zona Trust a la zo
• Source address (Dirección de origen): any (es decir, cualquier dirección ensignifica una dirección predefinida aplicable a cualquier dirección de una zo
• Destination address (Dirección de destino): server1 (una dirección definidadirecciones de la zona Untrust)
• Service (Servicio): ftp (protocolo de tranferencia de archivos o “File Transfe
• Service (Servicio): El tipo de tráfico transmitido
• Action (Acción): permit (el dispositivo NetScreen permite a este tráfico atra
2. La acción “tunnel” (túnel VPN o L2TP) contiene implícitamente el concepto “permit” .
Capítulo 6 Directivas Tres tipos de directivas
308
ico que desee permitir desde
l que desea permitir cruzar
portar sus zonas de seguridad.
uede establecer directivas otra. Aplicando técnicas de activas y de “pseudosesiones” o, si tiene una directiva que Untrust, cuando el dispositivo creen comprueba el paquete na petición HTTP aprobada, el cortafuegos hacia host A en la espuestas al tráfico iniciado por t A en la zona Trust.
Zona UntrustServidor B
Respuesta HTTPPetición HTTP
n deniega la petición HTTP ninguna directiva que lo permita.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
TRES TIPOS DE DIRECTIVASPuede controlar el flujo de tráfico mediante las tres clases de directivas siguientes:
• Mediante la creación de directivas interzonales puede regular el tipo de tráfuna zona de seguridad a otra.
• Mediante directivas intrazonales también puede controlar el tipo de tráfico ainterfaces asociadas a la misma zona.
• Creando directivas globales puede regular el tráfico entre direcciones, sin im
Directivas interzonalesLas directivas interzonales permiten controlar el tráfico entre zonas de seguridad. Pinterzonales para denegar, permitir, rechazar o tunelizar el tráfico desde una zona ainspección de estado, un dispositivo NetScreen mantiene una tabla de sesiones TCPUDP activas para poder permitir respuestas a las peticiones de servicio. Por ejemplpermite enviar peticiones HTTP del host A de la zona Trust al servidor B de la zonaNetScreen recibe respuestas HTTP del servidor B para el host A, el dispositivo NetSrecibido con el contenido de su tabla. Si detecta que el paquete es una respuesta a udispositivo NetScreen permite al paquete del servidor B de la zona Untrust cruzar elzona Trust. Para permitir el tráfico iniciado por el servidor B hacia el host A (no sólo rel host A), debe crear una segunda directiva del servidor B en la zona Untrust al hos
Zona TrustHost A
set policy from trust to untrust “host A” “servidor B” http permit
Petición HTTPDispositivo NetScreen
Nota: El dispositivo NetScreedel servidor B porque no hay
Capítulo 6 Directivas Tres tipos de directivas
309
la misma zona de seguridad. d, pero llegaron al dispositivo
directivas interzonales, las itir el tráfico iniciado en ntido.
e la red de origen (NAT-src) a les admiten NAT-src y NAT-dst ndo la directiva hace referencia ción sobre NAT-src, NAT-dst y
Servidor B10.1.2.30
4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Directivas intrazonalesLas directivas intrazonales permiten controlar el tráfico entre interfaces asociadas aLas direcciones de origen y de destino se encuentran en la misma zona de seguridaNetScreen a través de diferentes interfaces del dispositivo NetScreen. Igual que lasdirectivas intrazonales controlan el tráfico que fluye unidireccionalmente. Para permcualquier extremo de una ruta de datos, debe crear dos directivas, una para cada se
Las directivas intrazonales no admiten túneles VPN ni la traducción de direcciones dnivel de interfaz ( set interface interface nat ). Sin embargo, las directivas intrazonabasada en directivas. También admiten la traducción de direcciones de destino cuaa una dirección IP asignada (MIP) como dirección de destino. (Para obtener informaMIPs, consulte el Volumen 7, “Traducción de direcciones”.)
Host A10.1.1.5
set policy from trust to trust “host A” “servidor B” any permitset policy from trust to trust “servidor B” “host A” any permit
LAN 110.1.1.0/24
LAN 210.1.2.0/24
ethernet110.1.1.1/24
ethernet410.1.2.1/2
Zona Trust
Conmutadores de capa 2
Capítulo 6 Directivas Tres tipos de directivas
310
hacen referencia a zonas de es de la zona Global definidas
pueden pasar por varias zonas s, puede crear una directiva todas las zonas.
traducción de direcciones de , especificar una MIP o VIP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Directivas globalesA diferencia de las directivas interzonales e intrazonales, las directivas globales no origen y de destino específicas. Las directivas globales hacen referencia a direccionpor el usuario o a la dirección “any” de la zona predefinida Global. Estas direccionesde seguridad. Por ejemplo, si desea proporcionar acceso hacia o desde varias zonaglobal con la dirección “any” de la zona Global, que abarca todas las direcciones de
Nota: En el momento de publicar esta versión, las directivas globales no admiten lared de origen (NAT-src), túneles VPN ni el modo transparente. Puede, sin embargocomo dirección de destino en una directiva global.
Capítulo 6 Directivas Listas de conjuntos de directivas
311
una por cada una de las
etecta la interfaz de entrada y itivo NetScreen realiza una stino está asociada esa realizar una consulta de
realiza una consulta de
aliza una consulta de directivas
zonal y no encuentra
globales y no encuentra a: unset/set policy
globales y no encuentra : unset/set zone zone block .
jo. Por lo tanto, las directivas ara obtener más información 57).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
LISTAS DE CONJUNTOS DE DIRECTIVASUn dispositivo NetScreen mantiene tres diferentes listas de conjuntos de directivas,siguientes clases de directivas:
• Directivas interzonales
• Directivas intrazonales
• Directivas globales
Cuando el dispositivo NetScreen recibe un paquete de inicio de una nueva sesión, daverigua a qué zona de origen está asociada esa interfaz. A continuación, el disposconsulta de rutas para determinar la interfaz de salida y determina a qué zona de deinterfaz. Utilizando las zonas de origen y de destino, el dispositivo NetScreen puededirectivas, consultando las listas de conjuntos de directivas en el orden siguiente:
1. Si las zonas de origen y de destino son diferentes, el dispositivo NetScreendirectivas en la lista de conjuntos de directivas interzonales.
(o bien)
Si las zonas de origen y de destino son iguales, el dispositivo NetScreen reen la lista de conjuntos de directivas intrazonales.
2. Si el dispositivo NetScreen realiza la consulta de directivas interzonal o intracoincidencias, consulta la lista de conjuntos de directivas globales.
3. Si el dispositivo NetScreen realiza las consultas de directivas interzonales ycoincidencias, aplica al paquete la directiva permitir/denegar predeterminaddefault-permit-all .
(o bien)
Si el dispositivo NetScreen realiza las consultas de directivas intrazonales ycoincidencias, aplica al paquete el ajuste de bloqueo intrazonal de esa zona
El dispositivo NetScreen consulta cada lista de conjuntos de directivas de arriba abamás específicas deben ubicarse en la lista por encima de las menos específicas. (Psobre el orden de directivas, consulte “Reordenamiento de directivas” en la pàgina 3
Capítulo 6 Directivas Definición de directivas
312
lida. Como todo el tráfico debe conjuntos de directivas (para
puerto inalcanzable TCP RST filtrar y supervisar el tráfico que tos pueden entrar y salir, así
icas, y cada regla lógica consta servicio. Los componentes tes no.
irección de origen, la dirección ucho mayor de lo que puede glas lógicas:
= 125 reglas lógicas
ca. Las reglas utilizan el mismo edicha que produce 125 reglas
nentes
lógicas generadas por la e componentes en diferentes ada regla lógica tuviera una
s establecidas en el sistema
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DEFINICIÓN DE DIRECTIVASUn cortafuegos representa el límite de una red con un solo punto de entrada y de sapasar a través de este punto, puede supervisarlo y dirigirlo implementando listas dedirectivas interzonales, directivas intrazonales y directivas globales).
Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje deo ICMP al host de origen), encriptar y desencriptar, autenticar, priorizar, programar, intente pasar de una zona de seguridad a otra. Usted decide qué usuarios y qué dacomo cuándo y a dónde pueden ir.
Directivas y reglasUna sola directiva definida por el usuario produce internamente una o más reglas lógde un conjunto de componentes: la dirección de origen, la dirección de destino y el consumen recursos de memoria. Las reglas lógicas que se refieren a los componen
Dependiendo de si en una directiva se utilizan múltiples entradas o grupos para la dde destino y los componentes del servicio, el número de reglas lógicas puede ser mparecer al crear la directiva única. Por ejemplo, la directiva siguiente produce 125 re
1 directiva: 5 direcciones de origen x 5 direcciones de destino x 5 servicios
Sin embargo, el dispositivo NetScreen no duplica componentes para cada regla lógiconjunto de componentes en diferentes combinaciones. Por ejemplo, la directiva antlógicas solamente contiene 15 componentes:
5 direcciones de origen + 5 direcciones de destino + 5 servicios = 15 compo
Estos 15 componentes se combinan de varias maneras para producir las 125 reglasdirectiva única. Permitiendo que múltiples reglas lógicas utilicen el mismo conjunto dcombinaciones, el dispositivo NetScreen consume muchos menos recursos que si crelación “uno a uno” con sus componentes.
Nota: Para los dispositivos NetScreen que admiten sistemas virtuales, las directivaraíz no afectan a las directivas establecidas en sistemas virtuales.
Capítulo 6 Directivas Definición de directivas
313
de componentes que el rápida cuantos menos parta un pequeño conjunto de rmite crear más reglas), que lo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Dado que el tiempo de instalación de una nueva directiva es proporcional al númerodispositivo NetScreen agrega, elimina o modifica, la instalación de directivas es máscomponentes haya. Asimismo, al permitir que un gran número de reglas lógicas comcomponentes, NetScreen permite crear más directivas (y el dispositivo NetScreen peque sería posible si cada regla requiriese componentes dedicados.
Capítulo 6 Directivas Definición de directivas
314
ediante CLI)
)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Anatomía de una directivaUna directiva debe contener los elementos siguientes:
• ID (generada automáticamente, aunque puede ser definida por el usuario m• Zonas (de origen y de destino)• Direcciones (de origen y de destino)• Servicios• Acción (permit (permitir), deny (denegar), reject (rechazar), tunnel (tunelizar
Una directiva también puede contener los elementos siguientes:
• Aplicación
• Nombre• Tunelización VPN• Tunelización L2TP• Deep Inspection• Colocación al principio de la lista de directivas• Traducción de direcciones de origen• Traducción de direcciones de destino• Autenticación de usuarios• Copia de seguridad de la sesión HA• Filtrado de URL• Registro• Recuento• Umbral de alarma de tráfico• Tareas programadas• Análisis antivirus• Asignación de tráfico
El resto de esta sección examina cada uno de los elementos antedichos.
Capítulo 6 Directivas Definición de directivas
315
si el dispositivo NetScreen lo ara una directiva ejecutando el de identificación, puede entrar (Para obtener más información en la pàgina 348).
seguridad (zona de seguridad), una entidad física o lógica que fluya entre dos zonas de irectiva intrazonal). (Para ” en la pàgina 308 y “Directivas
des por su ubicación en e especifican utilizando la os. Las redes se especifican una directiva para direcciones n la libreta de direcciones.
tras entradas en la libreta de ga presente que, debido a que isponible de reglas lógicas
mente de lo esperado. Esto ra el origen como para el
312).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
IDCada directiva tiene un número de identificación, tanto si el usuario define uno comoasigna automáticamente. Solamente se puede definir un número de identificación pcomando “set policy” de CLI: set policy id number … Una vez conocido el número en el contexto de la directiva para ejecutar otros comandos con el fin de modificarla.sobre contextos de directivas, consulte “Introducción del contexto de una directiva”
ZonasUna zona puede ser un segmento del espacio de red al que se aplican medidas de un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel), orealiza una función específica (zona de función). Una directiva permite que el tráficoseguridad (directiva interzonal) o entre dos interfaces asociadas a la misma zona (dobtener más información, consulte “Zonas” en la pàgina 31, “Directivas interzonalesintrazonales” en la pàgina 309).
DireccionesLas direcciones son objetos que identifican dispositivos de red tales como hosts y rerelación al cortafuegos (en una de las zonas de seguridad). Los hosts individuales smáscara 255.255.255.255, que indica que los 32 bits de la dirección son significativutilizando su máscara de subred para indicar qué bits son significativos. Para crear específicas, primero debe crear entradas para los hosts y redes correspondientes e
También puede crear grupos de direcciones y aplicarles directivas como haría con odirecciones. Cuando utilice grupos de direcciones como elementos de directivas, tenel dispositivo NetScreen aplica la directiva a cada dirección en el grupo, el número dinternas y de componentes que componen esas reglas se puede agotar más rápidasupone un peligro, especialmente cuando se utilizan grupos de direcciones tanto padestino. (Para obtener más información, consulte “Directivas y reglas” en la pàgina
Capítulo 6 Directivas Definición de directivas
316
ación de la capa 4, como los cios de aplicaciones como nidos. También se pueden
, encriptarse, autenticarse,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ServiciosLos servicios son objetos que identifican los protocolos de aplicación usando informnúmeros de puerto TCP y UDP estándar y universalmente aceptados para los serviTelnet, FTP, SMTP y HTTP. ScreenOS incluye servicios básicos de Internet predefidefinir servicios personalizados.
Puede definir directivas que especifiquen qué servicios deben permitirse, denegarseregistrarse o contabilizarse.
Capítulo 6 Directivas Definición de directivas
317
tráfico que recibe.
vo NetScreen descarta el origen para el tráfico TCP3 y un 3) para el tráfico UDP. Para los paquete sin notificar al host de
Para un túnel VPN IPSec, el L2TP debe utilizarse. Para y un túnel L2TP4.
ios presentados anteriormente:
código activado que no sea RST.
otocolo es TCP, la dirección IP al (descartado). Cuando la rección IP de origen en el l. Sin embargo, si la interfaz de origen en el mensaje ICMP es
nel L2TP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
AcciónUna acción es un objeto que describe el tratamiento que el cortafuegos debe dar al
• Deny bloquea el paquete y le impide atravesar el cortafuegos.
• Permit permite que el paquete atraviese el cortafuegos.
• Reject bloquea el paquete y le impide atravesar el cortafuegos. El dispositipaquete y envía un segmento de restablecimiento (RST) de TCP al host de mensaje de “destino inalcanzable, puerto inalcanzable” ICMP (tipo 3, códigotipos de tráfico distintos de TCP y UDP, el dispositivo NetScreen descarta elorigen, lo cual también ocurre cuando la acción es “deny”.
• Tunnel encapsula los paquetes IP salientes y desencapsula los entrantes. especifique qué túnel VPN utilizar. Para un túnel L2TP, especifique qué túnL2TP sobre IPSec (“L2TP-over-IPSec”), especifique un túnel VPN de IPSec
El dispositivo NetScreen aplica la acción especificada al tráfico que cumple los criterzonas (origen y destino), direcciones (origen y destino) y servicio.
3. El dispositivo NetScreen envía un TCP RST después de recibir (y descartar) un segmento TCP con cualquier bit de
Nota: Cuando la interfaz de entrada está operando en la capa 2 o 3 y el prde origen en el TCP RST es la dirección IP de destino en el paquete origininterfaz de entrada está operando en la capa 2 y el protocolo es UDP, la dimensaje ICMP coincide con la dirección IP de destino en el paquete originaentrada está operando en la capa 3 y el protocolo es UDP, la dirección IP dela de la interfaz de entrada.
4. Para L2TP sobre IPSec, las direcciones de origen y de destino del túnel VPN IPSec deben ser iguales que las del tú
Capítulo 6 Directivas Definición de directivas
318
io de capa 4 al que se hace n a una aplicación de capa 7. el servicio a una aplicación, de aplicación (ALG5) o Deep
s:
rotocolo de transporte y los
ción para el ALG que se desea
rsonalizado, consulte
su finalidad.
creenOS (aplicables a los onjuntos de caracteres” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
AplicaciónLa opción de la aplicación especifica la aplicación de la capa 7 que apunta al servicreferencia en una directiva. Los servicios predefinidos ya disponen de una asignacióSin embargo, para los servicios personalizados es necesario vincular explícitamenteespecialmente si se desea que la directiva aplique una puerta de enlace de la capa Inspection al servicio personalizado.
La aplicación de un ALG a un servicio personalizado implica los dos pasos siguiente
• Definir un servicio personalizado con un nombre, un tiempo de espera, un ppuertos de origen y de destino.
• Al configurar una directiva, hacer referencia a ese servicio y al tipo de aplicaaplicar.
Para obtener más información sobre cómo aplicar Deep Inspection a un servicio pe“Asignación de servicios personalizados a aplicaciones” en la pàgina 4 -179.
NombrePuede dar a una directiva un nombre descriptivo para permitir identificar fácilmente
5. NetScreen admite ALGs para numerosos servicios, a saber: DNS, FTP, H.323, HTTP, RSH, SIP, Telnet y TFTP.
Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para las directivas), consulte “Convenciones de nomenclatura y cpàgina xiv.
Capítulo 6 Directivas Definición de directivas
319
do. En WebUI, la opción “VPN odos los túneles disponibles unto a punto” en la
basada en directivas, los ctiva de tráfico saliente y otra yen un par coincidente (es n iguales, salvo que las y seleccionar la casilla de e una segunda directiva para el ión “Matching VPN Policy” está te que sea un miembro de un ualquier cambio realizado en
aya configurado. En WebUI, la rfaz CLI, puede visualizar el ver todos los túneles N con un túnel L2TP (si ambos ada uno. Esto se llama
últiples entradas para ninguno o o servicio.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Tunelización VPNPuede aplicar una sola o varias directivas a cualquier túnel VPN que tenga configuraTunnel” abre una lista desplegable de todos esos túneles. En CLI puede consultar tejecutando el comando get vpn . (Para obtener más información, consulte “VPNs ppàgina 5 -103 y “VPNs de acceso telefónico” en la pàgina 5 -233).
Cuando las configuraciones VPN de ambos extremos de un túnel VPN utilizan NATadministradores de ambos dispositivos de puerta de enlace necesitan crear una direde tráfico entrante (cuatro directivas en total). Cuando las directivas de VPN constitudecir, las configuraciones de las directivas de tráfico entrante y de tráfico saliente sodirecciones de origen y de destino están invertidas), puede configurar una directiva verificación Modify matching bidirectional VPN policy para crear automáticamentsentido opuesto. Para la configuración de una nueva directiva, la casilla de verificacdesactivada de forma predeterminada. Para la modificación de una directiva existenpar coincidente, la casilla de verificación está activada de forma predeterminada, y cuna directiva se propagará a la otra.
Tunelización L2TPPuede aplicar una sola directiva o varias a cualquier túnel del protocolo (L2TP) que hopción de L2TP proporciona una lista desplegable de todos esos túneles. En la inteestado de los túneles L2TP activos mediante el comando get l2tp tunn_str active ydisponibles mediante el comando get l2tp all . También puede combinar un túnel VPtienen el mismo punto final) para crear un túnel que combine las características de c“L2TP-over-IPSec” (L2TP sobre IPSec).
Nota: Esta opción solamente está disponible a través de WebUI. No puede haber mde los componentes de directiva siguientes: dirección de origen, dirección de destin
Nota: Un dispositivo NetScreen en modo transparente no admite L2TP.
Capítulo 6 Directivas Definición de directivas
320
rk y Transport, examinando no de aplicación6. El objetivo de que pudiera existir en el tráfico
iones: qué grupo (o grupos) de ación, consulte “Deep
la lista de conjuntos de e los métodos de reordenación vitar el paso adicional de e conjuntos de directivas,
ave top en el comando
4 y la capa “Application” es la 7. El e compone de siete capas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Deep InspectionDeep Inspection es un mecanismo para filtrar el tráfico permitido en las capas Netwosolamente estas capas, sino las características de contenido y protocolo en la capaDeep Inspection es detectar y prevenir cualquier ataque o comportamiento anómalopermitido por el cortafuegos NetScreen.
Para configurar una directiva para la protección frente a ataques, debe elegir dos opcataque utilizar y qué acción tomar si se detecta un ataque. (Para obtener más informInspection” en la pàgina 4 -135).
Colocación al principio de la lista de directivasDe forma predeterminada, NetScreen coloca las directivas recién creadas al final dedirectivas. Si necesita cambiar la posición de la directiva, puede utilizar cualquiera dde directivas explicados en “Reordenamiento de directivas” en la pàgina 357. Para ecambiar la posición de una directiva recién creada en la parte superior de una lista dpuede seleccionar la opción Position at Top de WebUI, o bien utilizar la palabra clset policy ( set policy top … ) de CLI.
6. En el modelo OSI (“Open Systems Interconnection ”), la capa “Network” es la 3 (“Layer 3”), la capa “Transport” es lamodelo OSI es un modelo estándar en el sector de redes de una arquitectura de protocolos de red. El modelo OSI s
Capítulo 6 Directivas Definición de directivas
321
Con NAT-src puede traducir la ión de origen puede proceder dmite la traducción de as las opciones de NAT-src
5.
Con NAT-dst puede traducir la n admite la asignación de -dst disponibles, consulte
origen autentique su identidad ravesar el cortafuegos o s local o un servidor RADIUS,
nterfaz, conocida como el de interfaz NAT-src, o
direcciones IP, se requerirá
un host Unix ejecutando esto de usuarios de ese host ción, al haber heredado los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Traducción de direcciones de origenPuede aplicar la traducción de direcciones de origen (NAT-src) al nivel de directivas.dirección de origen en la red entrante o saliente y en el tráfico VPN. La nueva direccde un conjunto de IPs dinámicas (DIP) o de la interfaz de salida. NAT-src también adirecciones de los puertos de origen (PAT). Para obtener más información sobre toddisponibles, consulte “Traducción de direcciones de red de origen” en la pàgina 7 -1
Traducción de direcciones de destinoPuede aplicar la traducción de direcciones de destino (NAT-dst) a nivel de directiva.dirección de origen en la red entrante o saliente y en el tráfico VPN. NAT-dst tambiépuertos de destino. Para obtener más información sobre todas las opciones de NAT“Traducción de direcciones de red de destino” en la pàgina 7 -35.
Autenticación de usuariosSeleccionar esta opción requiere que el usuario de autenticación en la dirección de proporcionando un nombre de usuario y la contraseña antes de permitir al tráfico atintroducirse en el túnel VPN. El dispositivo NetScreen puede utilizar la base de datoSecurID o LDAP externo para realizar la comprobación de la autenticación.
Nota: También puede realizar la traducción de direcciones de origen a nivel de la itraducción de direcciones de red (NAT). Para obtener más información sobre el nivsimplemente NAT, consulte “Modo NAT” en la pàgina 127.
Nota: Si una directiva que requiere autenticación puede aplicarse a una subred deautenticación para cada dirección IP de esa subred.
Si un host admite múltiples cuentas de usuarios de autenticación (como ocurre conTelnet), una vez que el dispositivo NetScreen ha autenticado al primer usuario, el rpueden enviar tráfico a través del dispositivo NetScreen sin necesidad de autenticaprivilegios del primer usuario.
Capítulo 6 Directivas Definición de directivas
322
licita al usuario de cumpla una directiva en la que
través del dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
NetScreen proporciona dos esquemas de autenticación:
• Autenticación en tiempo de ejecución, en la cual el dispositivo NetScreen soautenticación que inicie una sesión al recibir tráfico HTTP, FTP o Telnet queesté habilitada la autenticación.
• WebAuth, en la cual el usuario debe autenticarse para poder enviar tráfico aNetScreen.
Capítulo 6 Directivas Definición de directivas
323
TP o Telnet a la dirección de búfer.
etición de inicio de sesión.
ario y contraseña.
ario de autenticación.
e autenticación y la dirección
siguientes: Telnet, HTTP o autenticación. En una directiva servicios:
como mínimo uno de los tres HTTP). Por ejemplo, puede los servicios FTP, NetMeeting© io.
especificados en la directiva
del servidor de WebAuth.
etición de inicio de sesión.
o servicio.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Autenticación en tiempo de ejecución
El proceso de autenticación en tiempo de ejecución ocurre como sigue:
1. Cuando el usuario de autenticación envía una petición de conexión HTTP, Fdestino, el dispositivo NetScreen intercepta el paquete y lo almacena en un
2. El dispositivo NetScreen envía al usuario de autenticación un mensaje de p
3. El usuario de autenticación responde a esta petición con su nombre de usu
4. El dispositivo NetScreen autentica la información de inicio de sesión de usu
Si la autenticación es correcta, se establece una conexión entre el usuario dde destino.
Para la petición de conexión inicial, la directiva debe incluir uno o todos los serviciosFTP. Sólo una directiva con uno o todos estos servicios puede iniciar el proceso deque implique autenticación de usuario se puede utilizar cualquiera de los siguientes
• Any (porque “any” (cualquiera) incluye los tres servicios requeridos)
• Telnet, FTP o HTTP
• Un grupo de servicios que incluye el servicio o los servicios que desea, másservicios requeridos para iniciar el proceso de autenticación (Telnet, FTP o crear un grupo de servicios personalizado llamado “Login” que proporcione y H.323. Luego, cuando cree la directiva, especifique “Login” como el servic
Para cualquier conexión que sigue a una autenticación correcta, todos los serviciosson válidos.
Autenticación de comprobación previa a la directiva (WebAuth)
El proceso de autenticación de WebAuth es como sigue:
1. El usuario de autenticación establece una conexión HTTP a la dirección IP
2. El dispositivo NetScreen envía al usuario de autenticación un mensaje de p
Nota: Una directiva con la autenticación habilitada no admite DNS (puerto 53) com
Capítulo 6 Directivas Definición de directivas
324
ario y contraseña.
información de inicio de sesión
usuario de autenticación iniciar icación por el método de
aplicarse la directiva resión de grupo. (Para obtener la pàgina 8 -6). Si en una s (en WebUI, seleccionando la l servidor especificado.
ponibilidad (HA), puede o desee salvaguardar, aplique casilla de verificación HA set policy . De forma esiones.
suarios, consulte “Referencias
esde el que se conecta el ost situado detrás de un los usuarios de otros hosts legios.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
3. El usuario de autenticación responde a esta petición con su nombre de usu
4. El dispositivo NetScreen o un servidor de autenticación externo autentica ladel usuario de autenticación.
Si el intento de autenticación tiene éxito, el dispositivo NetScreen permite altráfico a los destinos especificados en las directivas que obligan a la autentWebAuth.
Puede restringir o ampliar el rango de los usuarios de autenticación a quienes debaseleccionando un determinado grupo de usuarios, usuario local o externo o una expmás información sobre expresiones de grupos, consulte “Expresiones de grupos” endirectiva no se hace referencia a un usuario de autenticación o a un grupo de usuarioopción Allow Any ), la directiva se aplicará a todos los usuarios de autenticación de
Copia de seguridad de la sesión HACuando dos dispositivos NetScreen se encuentran en un clúster NSRP para alta disespecificar qué sesiones salvaguardar y cuáles no. Para el tráfico cuyas sesiones nuna directiva con la opción HA session backup desactivada. En WebUI, desactive laSession Backup . En CLI, utilice el argumento no-session-backup en el comandopredeterminada, los dispositivos NetScreen de un clúster NSRP salvaguardan las s
Nota: Para obtener más información sobre estos dos métodos de autenticación de ua usuarios autenticados en directivas” en la pàgina 8 -44.
Nota: NetScreen vincula los privilegios de autenticación a la dirección IP del host dusuario de autenticación. Si el dispositivo NetScreen autentica a un usuario de un hdispositivo NAT que utilice una sola dirección IP para todas las asignaciones NAT, situados detrás de ese dispositivo NAT recibirán automáticamente los mismos privi
Capítulo 6 Directivas Definición de directivas
325
sos a Internet e impedir el tiva, debe configurar una de las
etición HTTP y determina si ado de URL asociado a la
petición HTTP de una conexión quear o permitir el acceso a
IP.
s las conexiones a las WebUI o CLI. En WebUI, r). En CLI, utilice el comando
úmero total de bytes de tráfico ial. Para visualizar los gráficos la directiva cuyo tráfico desea
URL” en la pàgina 4 -111.
sulte “Supervisión de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Filtrado de URLEl filtrado de URL, denominado también “web filtering”, permite administrar los acceacceso a contenidos no apropiados. Cuando habilite el filtrado de URL en una direcsiguientes soluciones de filtrado de URL:
• Filtrado de URL integrado, donde el dispositivo NetScreen intercepta cada ppermitir o bloquear el acceso al sitio solicitado basándose en el perfil de filtrdirectiva del cortafuegos.
• Filtrado de URL redirigido, donde el dispositivo NetScreen envía la primera TCP a un servidor Websense o a un servidor SurfControl, lo que permite blodiferentes sitios basándose en las URL, nombres de dominio y direcciones
RegistroCuando se habilita el registro en una directiva, el dispositivo NetScreen registra todaque esa directiva en particular sea aplicable. Los registros se pueden visualizar conhaga clic en Reports > Policies > (para la directiva cuyo registro desee consulta get log traffic policy id_num .
RecuentoCuando se habilita el recuento en una directiva, el dispositivo NetScreen cuenta el npara los que esa directiva es aplicable y registra la información en gráficos de historde historial de una directiva en WebUI, haga clic en Reports > Policies > (para consultar).
Nota: Para obtener más información sobre el filtrado de URL, consulte “Filtrado de
Nota: Para obtener más información sobre cómo visualizar registros y gráficos, condispositivos NetScreen” en la pàgina 3 -85.
Capítulo 6 Directivas Definición de directivas
326
la directiva exceda un número rma de tráfico requiere que el función de recuento.
ivarse esa directiva. Puede oporcionan una potente sta. Como ejemplo de esto uera de la empresa, puede spués del horario de oficina
, ejecute el comando
e configurar para filtrar tráfico descarta el paquete y envía un
e tráfico” en la pàgina 3 -105.
ar que la hora actual no está arece con un fondo blanco.
ntivirus” en la pàgina 4 -86.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Umbral de alarma de tráficoPuede establecer un umbral que dispare una alarma cuando el tráfico permitido porespecificado de bytes por segundo, bytes por minuto, o ambos. Debido a que la aladispositivo NetScreen supervise el número total de bytes, también debe habilitar la
Tareas programadasAsociando una programación a una directiva se puede determinar cuándo debe actconfigurar programaciones repetitivas y como evento único. Las programaciones prherramienta para controlar el flujo de tráfico de la red e implementar seguridad en éúltimo, si le preocupa que algunos empleados puedan transmitir datos importantes festablecer una directiva que bloquee los tipos de tráfico saliente FTP-Put y MAIL denormal.
En WebUI, defina tareas programadas en la sección Objects > Schedules . En CLIset schedule .
Análisis antivirusAlgunos dispositivos NetScreen admiten un analizador antivirus interno que se puedFTP, HTTP, IMAP, POP3 y SMTP. Si el analizador AV incorporado detecta un virus,mensaje al cliente que inició el tráfico para informarle sobre dicho virus.
Nota: Para obtener más información sobre alarmas de tráfico, consulte “Alarmas d
Nota: En WebUI, las directivas programadas aparecen con un fondo gris para indicdentro de la programación definida. Cuando una directiva programada se activa, ap
Nota: Para obtener más información sobre el análisis antivirus, consulte “Análisis a
Capítulo 6 Directivas Definición de directivas
327
tiva. Los parámetros de
segundo (kbps). El tráfico que ngún mecanismo de
de conexión en kilobits por
os ajustes garantizado y prioridad, y el tráfico de menor niveles de prioridad.
istema para etiquetar s. Puede asignar los ocho nada, la prioridad más alta 11) del campo “DiffServ” sulte la RFC 1349), en el ma de NetScreen corresponde
s a este umbral conducen al en el objetivo de la
consulte “Asignación de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Asignación de tráficoPuede establecer los parámetros de control y asignación del tráfico para cada direcasignación de tráfico son:
Guaranteed Bandwidth: Tasa de transferencia garantizada en kilobits porno alcanza este umbral pasa con la prioridad más alta sin ser sometido a niadministración o asignación del tráfico.
Maximum Bandwidth: Ancho de banda garantizado disponible para el tiposegundo (kbps). El tráfico más allá de este umbral se desvía y se descarta.
Traffic Priority: Cuando el ancho de banda del tráfico se encuentra entre lmáximo, el dispositivo NetScreen permite pasar primero el tráfico de mayorprioridad sólo cuando no hay otro tráfico de prioridad superior. Existen ocho
DiffServ Codepoint Marking: “Differentiated Services” (“DiffServ”) es un s(o “marcar”) el tráfico de una posición dentro de una jerarquía de prioridadeniveles de prioridad de NetScreen al sistema DiffServ. De forma predetermi(prioridad 0) del sistema NetScreen corresponde a los tres primeros bits (01(consulte la RFC 2474), o al campo de precedencia de IP del byte TOS (conencabezado de paquetes de IP. La prioridad más baja (prioridad 7) del sistea (0000) en el sistema TOS DiffServ.
Nota: Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferioredescarte de paquetes y a un número excesivo de reintentos que contravienadministración del tráfico.
Nota: Para averiguar más sobre la administración y asignación del tráfico, tráfico” en la pàgina 359.
Capítulo 6 Directivas Definición de directivas
328
sistema DiffServ, utilice el
er3 number4 number5
sistema TOS DiffServ),
ss selector codepoints”), es asegurar que los niveles de nte tratados por los
puede configurar desde CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para cambiar la asignación entre los niveles de prioridad de NetScreen y elsiguiente comando CLI:
set traffic-shaping ip_precedence number0 number1 number2 numbnumber6 number7
donde number0 corresponde a la prioridad 0 (la prioridad más alta delnumber1 corresponde a la prioridad 1, y así sucesivamente.
Para incluir prioridades de IPs en puntos de código selectores de clase (“cladecir, poner a cero el segundo grupo de tres bits del campo “DiffServ” para prioridad establecidos con ip_precedence se conserven y sean correctameenrutadores de bajada, utilice el comando CLI siguiente:
set traffic-shaping dscp-class-selector
Nota: El comando set traffic-shaping dscp-class-selector sólo se
Capítulo 6 Directivas Directivas aplicadas
329
icación, ordenación y
r las directivas mostradas por From y To , y haciendo clic en ber ] .
esumen gráfico de los s en la página de directivas.
el tráfico al que sea aplicable la
el tráfico al que sea aplicable la
el tráfico al que sea aplicable la un segmento de restablecimiento l tráfico TCP y un mensaje de
able” ICMP (tipo 3, código 3) para distintos de TCP y UDP, el ete sin notificar al host de origen, n es “deny”.
aducción de direcciones de la red ctivas (NAT-src o NAT-dst) sobre irectiva.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DIRECTIVAS APLICADASEsta sección describe la administración de directivas: visualización, creación, modifreordenación y eliminación de directivas.
Visualización de directivasPara visualizar directivas a través de WebUI, haga clic en Policies . Puede clasificazonas de origen y de destino, eligiendo nombres de zonas en las listas desplegables Go . En CLI, utilice el comando get policy [ all | from zone to zone | global | id num
Iconos de directivasPara visualizar una lista de directivas, WebUI utiliza iconos para proporcionarle un rcomponentes de la directiva. La tabla siguiente define los diferentes iconos utilizado
Icono Función Descripción
Permitir El dispositivo NetScreen entrega tododirectiva.
Denegar El dispositivo NetScreen bloquea tododirectiva.
Rechazo El dispositivo NetScreen bloquea tododirectiva. Descarta el paquete y envía(RST) de TCP al host de origen para e“destino inalcanzable, puerto inalcanzel tráfico UDP. Para los tipos de tráficodispositivo NetScreen descarta el paqulo cual también ocurre cuando la acció
NAT a nivel de directiva El dispositivo NetScreen realiza una trde origen o de destino basada en diretodo el tráfico al que sea aplicable la d
Capítulo 6 Directivas Directivas aplicadas
330
do el tráfico VPN saliente y ante al que sea aplicable la
ara el sentido opuesto.
una conexión.
tráfico al que sea aplicable la ) interno.
nspection (DI) a todo el tráfico al
cción antivirus y Deep Inspection directiva.
rvidor externo de filtrado de URL irectiva.
do el tráfico L2TP saliente y rante al que sea aplicable la
disposición de syslog y correo
tes) a cuánto tráfico es aplicable
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Encapsulado y desencapsulado
El dispositivo NetScreen encapsula todesencapsula todo el tráfico VPN entrdirectiva.
Directivas VPN bidireccionales
Existe una directiva VPN coincidente p
Autenticación El usuario debe autenticarse al iniciar
Antivirus El dispositivo NetScreen envía todo eldirectiva a un analizador antivirus (AV
Deep Inspection El dispositivo NetScreen aplica Deep Ique sea aplicable la directiva.
Deep Inspection y antivirus
El dispositivo NetScreen aplica la protea todo el tráfico al que sea aplicable la
Filtrado de URL El dispositivo NetScreen envía a un setodo el tráfico al que sea aplicable la d
L2TP El dispositivo NetScreen encapsula todesencapsula todo el tráfico L2TP entdirectiva.
Registro Todo el tráfico se registra y se pone aelectrónico, si están habilitados.
Recuento El dispositivo NetScreen cuenta (en byla directiva.
Icono Función Descripción
Capítulo 6 Directivas Directivas aplicadas
331
enegar, rechazar o tunelizar el ntro de la misma zona si el onal entre las direcciones de s que utilizan direcciones de
y la zona Untrust) se necesita a Trust. Dependiendo de sus diferentes, invirtiendo las
tema, ya sea raíz o virtual. Para s debe ser compartida. (Para
les, consulte el Volumen 9,
sa un umbral establecido, el rada en el registro de tráfico endo clic en el icono se accede al n de informes “Reports”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Creación de directivasPara permitir el flujo de tráfico entre dos zonas, debe crear directivas para permitir, dtráfico entre esas zonas. También puede crear directivas para controlar el tráfico dedispositivo NetScreen es el único dispositivo de red capaz de enrutar el tráfico intrazorigen y de destino referidas en la directiva. También puede crear directivas globaleorigen y de destino en la libreta de direcciones de la zona Global.
Para permitir tráfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust crear una directiva para el tráfico de Trust a Untrust y otra para el tráfico de Untrust necesidades, las directivas pueden utilizar la misma dirección IP o bien direcciones direcciones de origen y destino.
Ubicación de directivasSe pueden definir directivas entre cualesquiera zonas situadas dentro del mismo sisdefinir una directiva entre el sistema raíz y un sistema virtual (vsys), una de las zonaobtener más información sobre zonas compartidas en lo referente a sistemas virtua“Sistemas virtuales”).
Alarma Cuando la cantidad de tráfico sobrepadispositivo NetScreen efectúa una entcorrespondiente a esta directiva. Haciregistro de tráfico situado en la secció
Icono Función Descripción
Capítulo 6 Directivas Directivas aplicadas
332
trónico.
ir correo electrónico de un ios MAIL (es decir, SMTP) y ara alcanzar el servidor de
s existente entre el servidor de
de seguridad, debe diseñar el asignará direcciones IP de
trust-vr.
ción IP 10.1.1.0/24.
ión IP 1.2.2.5/32.
irección IP 2.2.2.5/32.
os dos servicios predefinidos
trust-vr que señalará al
rmitir la transmisión,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Servicio de correo de directivas interzonalesEn este ejemplo creará tres directivas para controlar el flujo de tráfico de correo elec
La primera directiva permitirá a los usuarios internos de la zona Trust enviar y recibservidor de correo local situado en la zona DMZ. Esta directiva permitirá a los servicPOP3 generados por los usuarios internos atravesar el cortafuegos de NetScreen pcorreo local.
Las directivas segunda y tercera permitirán al servicio MAIL atravesar el cortafuegocorreo local de la zona DMZ y un servidor de correo remoto de la zona Untrust.
Sin embargo, antes de crear directivas para controlar tráfico entre diferentes zonas entorno en el que aplicar esas directivas. Primero asociará interfaces a zonas y les interfaces:
• Asocie ethernet1 a la zona Trust y asígnele la dirección IP 10.1.1.1/24.
• Asocie ethernet2 a la zona DMZ y asígnele la dirección IP 1.2.2.1/24.
• Asocie ethernet3 a la zona Untrust y asígnele la dirección IP 1.1.1.1/24.
Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
En segundo lugar, creará las direcciones que se utilizarán en las directivas:
• Defina una dirección en la zona Trust llamada “corp_net” y asígnele la direc
• Defina una dirección en la zona DMZ llamada “mail_svr” y asígnele la direcc
• Defina una dirección en la zona Untrust llamada “r-mail_svr” y asígnele la d
En tercer lugar, creará un grupo de servicios llamado “MAIL-POP3” que contendrá lMAIL y POP3.
En cuarto lugar, configurará una ruta predeterminada en el dominio de enrutamientoenrutador externo en 1.1.1.250 a través de ethernet3.
Una vez completados los pasos 1 a 4, podrá crear las directivas necesarias para perecuperación y entrega de correo electrónico dentro y fuera de su red protegida.
Capítulo 6 Directivas Directivas aplicadas
333
s y haga clic en Apply :
e)
OK:
s y haga clic en OK :
e)
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: UntrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Capítulo 6 Directivas Directivas aplicadas
334
lic en OK :
lic en OK :
a los siguientes servicios y haga
over el servicio de la columna embers”.
over el servicio de la columna embers”.
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: r-mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zone: Untrust
3. Grupos de serviciosObjects > Services > Groups: Introduzca el siguiente nombre de grupo, muevclic en OK :
Group Name: MAIL-POP3
Seleccione MAIL y utilice el botón << para m“Available Members” a la columna “Group M
Seleccione POP3 y utilice el botón << para m“Available Members” a la columna “Group M
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 6 Directivas Directivas aplicadas
335
y haga clic en OK :
t
haga clic en OK :
vr
haga clic en OK :
vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
5. DirectivasPolicies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos
Source Address:
Address Book Entry: (seleccione), corp_ne
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), mail_svr
Destination Address:
Address Book Entry: (seleccione), r-mail_s
Service: MAIL
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), r-mail_s
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: MAIL
Action: Permit
Capítulo 6 Directivas Directivas aplicadas
336
gateway 1.1.1.250
permitpermitpermit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust corp_net 10.1.1.0/24set address dmz mail_svr 1.2.2.5/32set address untrust r-mail_svr 2.2.2.5/32
3. Grupos de serviciosset group service MAIL-POP3set group service MAIL-POP3 add mailset group service MAIL-POP3 add pop3
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy from trust to dmz corp_net mail_svr MAIL-POP3set policy from dmz to untrust mail_svr r-mail_svr MAIL set policy from untrust to dmz r-mail_svr mail_svr MAIL save
Capítulo 6 Directivas Directivas aplicadas
337
subredes, y ambas están en la
uarios:
AP, MAIL y POP3.
nternet, siempre que se utenticación de usuarios
).
reo electrónico en la zona DMZ.
de correo local de la zona DMZ.
finida por el usuario acceso administrativo a los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Conjunto de directivas interzonalesUna pequeña empresa de software, ABC Design, ha dividido su red interna en dos zona Trust. Estas dos subredes son:
• Engineering (con la dirección definida como “Eng”).
• Resto de la empresa (con la dirección definida como “Office”).
También tiene una zona DMZ para sus servidores de Web y correo electrónico.
El ejemplo siguiente presenta un conjunto típico de directivas para los siguientes us
• “Eng” puede utilizar todos los servicios de tráfico saliente salvo FTP-Put, IM
• Los usuarios de “Office” pueden utilizar el correo electrónico y el acceso a Iautentiquen a través de WebAuth. (Para obtener más información sobre la amediante WebAuth, consulte “Usuarios de autenticación” en la pàgina 8 -43
• Cada usuario de la zona Trust puede acceder a los servidores de web y cor
• Un servidor de correo remoto de la zona Untrust puede acceder al servidor
• También hay un grupo de administradores de sistemas (con la dirección de“sys-admins”), que disponen de permisos completos de acceso de usuario yservidores de la zona DMZ.
Enrutador externo
Enrutador interno
NetScreen
www.abc.commail.abc.com
“LAN” de “Eng”“LAN” de “Office”
Zona Trust
Zona Untrust
Zona DMZ
Internet
Capítulo 6 Directivas Directivas aplicadas
338
las interfaces, direcciones, iguración, consulte “Interfaces” 274 y el Volumen 6,
Acciónt, IMAP, MAIL, Rechazo
Permitir
-Get, HTTP, Permitir (+ WebAuth)
AcciónPermitir
TTPS) Permitir
Acciónicios: IMAP, Permitir
-Get, HTTP, Permitir
Permitir
AcciónPermitir
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Este ejemplo se centra solamente en directivas y asume que ya tiene configuradas grupos de servicios y rutas necesarias. Para obtener más información sobre su confen la pàgina 53, “Direcciones” en la pàgina 143, “Grupos de servicios” en la pàgina “Enrutamiento dinámico”.
De zona - Dir origen A la zona - Dir destino ServicioTrust - Any Untrust - Any Com (grupo de servicios: FTP-Pu
POP3)
Trust - Eng Untrust - Any Any
Trust - Office Untrust - Any Internet (grupo de servicios: FTPHTTPS)
De zona - Dir origen A la zona - Dir destino ServicioUntrust - Any DMZ - mail.abc.com MAIL
Untrust - Any DMZ - www.abc.com Web (grupo de servicios: HTTP, H
De zona - Dir origen A la zona - Dir destino ServicioTrust - Any DMZ - mail.abc.com correo electrónico (grupo de serv
MAIL, POP3)
Trust - Any DMZ - www.abc.com Internet (grupo de servicios: FTPHTTPS)
Trust - sys-admins DMZ - Any Any
De zona - Dir origen A la zona - Dir destino ServicioDMZ - mail.abc.com Untrust - Any MAIL
Nota: La directiva predeterminada es denegar todo.
Capítulo 6 Directivas Directivas aplicadas
339
haga clic en OK :
haga clic en OK :
n Return para establecer las de configuración básica:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. De Trust, a Untrust
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Eng
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Office
Destination Address:
Address Book Entry: (seleccione), Any
Service: Internet7
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Authentication: (seleccione)
WebAuth: (seleccione)
7. “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y HTTPS.
Capítulo 6 Directivas Directivas aplicadas
340
haga clic en OK :
haga clic en OK :
.com
ación predeterminada deniega
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Com8
Action: Reject
Position at Top: (seleccione)
2. De Untrust, a DMZPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc
Service: MAIL
Action: Permit
8. “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL, IMAP y POP3.
Nota: Para el tráfico de la zona Untrust a la zona Trust, la directiva de denegtodo.
Capítulo 6 Directivas Directivas aplicadas
341
haga clic en OK :
c.com
ga clic en OK :
.com
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.ab
Service: Web9
Action: Permit
3. De Trust, a DMZPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc
Service: e-mail10
Action: Permit
9. “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
10. “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y POP3.
Capítulo 6 Directivas Directivas aplicadas
342
ga clic en OK :
c.com
ga clic en OK :
ins
haga clic en OK :
.com
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.ab
Service: Internet
Action: Permit
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), sys-adm
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
4. De DMZ, a UntrustPolicies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), mail.abc
Destination Address:
Address Book Entry: (seleccione), Any
Service: MAIL
Action: Permit
Capítulo 6 Directivas Directivas aplicadas
343
mit webauth
itt
mitrmit
it
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. De Trust, a Untrustset policy from trust to untrust eng any any permitset policy from trust to untrust office any Internet11 perset policy top from trust to untrust any any Com12 reject
2. De Untrust, a DMZset policy from untrust to dmz any mail.abc.com mail permset policy from untrust to dmz any www.abc.com Web13 permi
3. De Trust, a DMZset policy from trust to dmz any mail.abc.com e-mail14 perset policy from trust to dmz any www.abc.com Internet11 peset policy from trust to dmz sys-admins any any permit
4. De DMZ, a Untrustset policy from dmz to untrust mail.abc.com any mail permsave
11. “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y HTTPS.
12. “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL, IMAP y POP3.
13. “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
14. “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y POP3.
Capítulo 6 Directivas Directivas aplicadas
344
s acceder a un servidor zona Trust y le dará la dirección n IP 10.1.5.1/24. Habilitará el ara un servidor en el que la ue contiene los hosts del zonal para permitir el acceso al
s y haga clic en Apply :
e)
OK :
s y haga clic en Apply :
e)
OK :
clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Directivas intrazonalesEn este ejemplo creará una directiva intrazonal para permitir a un grupo de contableconfidencial de la LAN corporativa en la zona Trust. Primero asociará ethernet1 a la IP 10.1.1.1/24. Después asociará ethernet2 a la zona Trust y le asignará la direccióbloqueo intrazonal en la zona Trust. A continuación, definirá dos direcciones, una pempresa almacena sus registros financieros (10.1.1.100/32) y otra para la subred qdepartamento de contabilidad (10.1.5.0/24). Seguidamente creará una directiva intraservidor desde esos hosts.
WebUI
1. Zona Trust – Interfaces y bloqueoNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.5.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
Block Intra-Zone Traffic: (seleccione)
Capítulo 6 Directivas Directivas aplicadas
345
lic en OK :
lic en OK :
haga clic en OK :
ng
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Hamilton
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.100/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: accounting
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.5.0/24
Zone: Trust
3. DirectivaPolicies > (From: Trust, To: Trust) > New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), accounti
Destination Address:
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit
Capítulo 6 Directivas Directivas aplicadas
346
ermit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Zona Trust – Interfaces y bloqueoset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone trustset interface ethernet2 ip 10.1.5.1/24set interface ethernet2 nat
set zone trust block
2. Direccionesset address trust Hamilton 10.1.1.100/32set address trust accounting 10.1.5.0/24
3. Directivaset policy from trust to trust accounting Hamilton any psave
Capítulo 6 Directivas Directivas aplicadas
347
acceder al sitio web de la do abreviado muy práctico para rará lo mismo que n directivas
lic en OK :
et
y haga clic en OK :
el dispositivo NetScreen.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Directiva globalEn este ejemplo creará una directiva global para que cada host de cada zona puedaempresa, que es www.juniper.net15. La utilización de una directiva global es un métoentornos con muchas zonas de seguridad. En este ejemplo, una directiva global loginterzonales (donde n = número de zonas).
WebUI
1. Dirección globalObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: server1
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.n
Zone: Global
2. DirectivaPolicies > (From: Global, To: Global) > New: Introduzca los siguientes datos
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP
Action: Permit
15. Para utilizar un nombre de dominio en lugar de una dirección IP, asegúrese de tener configurado el servicio DNS en
Capítulo 6 Directivas Directivas aplicadas
348
o modificar datos. Por ejemplo,
permit attack
ión de origen o de destino, otro luego ejecutar los comandos
mpre que no elimine todos. Por r1 a la vez, porque no quedaría
ss server2
ss server1
ss server2ss server1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Dirección globalset address global server1 www.juniper.net
2. Directivaset policy global any server1 http permitsave
Introducción del contexto de una directivaAl configurar una directiva mediante CLI, puede introducir su contexto para agregar suponga que primero crea la directiva siguiente:
set policy id 1 from trust to untrust host1 server1 HTTPHIGH:HTTP:SIGS action close
Si desea efectuar algunos cambios en una directiva, como la inclusión de otra direccservicio u otro grupo de ataque, puede introducirse en el contexto de la directiva 1 ypertinentes:
set policy id 1ns(policy:1)-> set src-address host2ns(policy:1)-> set dst-address server2ns(policy:1)-> set service FTPns(policy:1)-> set attack CRITICAL:HTTP:SIGS
También puede eliminar varios elementos de un componente de directiva único, sieejemplo, puede eliminar server2 de la configuración anterior, pero no server2 y serveninguna dirección de destino:
ns(policy:1)-> unset dst-addre
ns(policy:1)-> unset dst-addre
ns(policy:1)-> unset dst-addrens(policy:1)-> unset dst-addre
Puede eliminar server2,
o puede eliminar server1,
pero no puede eliminar ambos.
Capítulo 6 Directivas Directivas aplicadas
349
a directiva:
ciones de origen y destino o iembros y luego hacer e pueden utilizar grupos de ales directamente a un
de los siguientes
to al componente al que desea el botón Attack Protection . << para moverlo a la columna haya terminado, haga clic en
s “Any”, no se le podrá agregar strando un mensaje de error
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Varios elementos por componente de directivaScreenOS permite agregar múltiples elementos a los siguientes componentes de un
• Dirección de origen• Dirección de destino• Servicio• Grupo de ataque
En versiones anteriores a ScreenOS 5.0.0, la única manera de tener múltiples direcmúltiples servicios era crear un grupo de direcciones o de servicios con múltiples mreferencia al mismo en una directiva. En las directivas de ScreenOS 5.0.0 todavía sdirecciones y de servicios. Además, puede simplemente agregar elementos adicioncomponente de la directiva.
Para agregar múltiples elementos a un componente de directiva, ejecute cualquieraprocedimientos:
WebUI
Para agregar más direcciones y servicios, haga clic en el botón Multiple junagregar más elementos. Para agregar más grupos de ataque, haga clic en Seleccione un elemento en la columna “Available Members” y utilice la tecla“Active Members”. Puede repetir esta acción con otros elementos. Cuando OK para regresar a la página de configuración de directivas.
Nota: Si la primera dirección o servicio al que se hace referencia en una directiva elógicamente nada más. NetScreen impide este tipo de errores de configuración mocuando ocurren.
Capítulo 6 Directivas Directivas aplicadas
350
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosCLI
Introduzca el contexto de la directiva con el comando siguiente:
set policy id number
Ahora utilice uno de los comandos siguientes según convenga:
ns(policy: number )-> set src-address stringns(policy: number )-> set dst-address stringns(policy: number )-> set service stringns(policy: number )-> set attack string
Capítulo 6 Directivas Directivas aplicadas
351
alvo a la especificada como l acceso a Internet a todos
ón de negación de direcciones.
er clic en el botón Multiple directivas.
e origen o de destino.
s de la zona Trust acceder a e los miembros del entre sí.
aplicarlo. Primero habilitará el onsulta de directivas antes de misma zona.
IP:
la zona Trust.
aplicándose a todos los
ueda alcanzar su servidor FTP, an traspasar el cortafuegos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Negación de direccionesPuede configurar una directiva de modo que sea aplicable a todas las direcciones sorigen o destino. Por ejemplo, suponga que desea crear una directiva que permita esalvo al grupo de direcciones “P-T_contractors”. Para lograrlo, puede utilizar la opci
En WebUI, esta opción está disponible en la ventana emergente que aparece al hacjunto a “Source Address” o a “Destination Address” en la página de configuración de
En CLI, inserte un signo de exclamación ( ! ) inmediatamente antes de la dirección d
Ejemplo: Negación de la dirección de destinoEn este ejemplo creará una directiva intrazonal que permitirá a todas las direccionetodos los servidores FTP salvo a un determinado servidor FTP llamado “vulcan”, qudepartamento de ingeniería utilizan para intercambiar especificaciones funcionales
Sin embargo, antes de crear la directiva deberá diseñar el entorno en el cual deseabloqueo intrazonal para la zona Trust. El bloqueo intrazonal requiere efectuar una cque el dispositivo NetScreen pueda pasar tráfico entre dos interfaces asociadas a la
En segundo lugar, asociará dos interfaces a la zona Trust y les asignará direcciones
• Asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24.
• Asociará ethernet4 a la zona Trust y le asignará la dirección IP 10.1.2.1/24.
Tercero, creará una dirección (10.1.2.5/32) para el servidor FTP llamado “vulcan” en
Después de completar estos dos pasos, podrá crear las directivas intrazonales.
Nota: La negación de direcciones ocurre en el nivel de componentes de directivas,elementos del componente negado.
Nota: No es necesario crear una directiva para que el departamento de ingeniería pya que los ingenieros también se encuentran en la subred 10.1.2.0/24 y no necesitNetScreen para alcanzar su propio servidor.
Capítulo 6 Directivas Directivas aplicadas
352
clic en OK :
s y haga clic en Apply :
e)
OK :
servidor FTP“vulcan”10.1.2.5
t424
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Bloqueo intrazonalNetwork > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2. Interfaces de la zona TrustNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Zona TrustBloqueo intrazonal
habilitado
10.1.2.0/24(Ingeniería)
10.1.1.0/24(Resto de corporate)
etherne10.1.2.1/
ethernet110.1.1.1/24
Conmutadores internos
Capítulo 6 Directivas Directivas aplicadas
353
s y haga clic en Apply :
e)
OK :
lic en OK :
ga clic en OK :
erificación Negate Following a de configuración básica de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
3. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: vulcan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.2.5/32
Zone: Trust
4. DirectivaPolicies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y ha
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), vulcan
> Haga clic en Multiple , active la casilla de vy haga clic en OK para regresar a la págindirectivas.
Service: FTP
Action: Permit
Capítulo 6 Directivas Directivas aplicadas
354
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosCLI
1. Bloqueo intrazonalset zone trust block
2. Interfaces de la zona Trustset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet4 zone trustset interface ethernet4 ip 10.1.2.1/24set interface ethernet1 nat
3. Direcciónset address trust vulcan 10.1.2.5/32
4. Directivaset policy from trust to trust any !vulcan ftp permitsave
Capítulo 6 Directivas Directivas aplicadas
355
ar modificaciones. En WebUI, sea cambiar. En la página de K . En CLI, ejecute el comando
rma predeterminada, las
re” para la directiva que desee
“Configure” de la directiva que able (CLI).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Modificación y desactivación de directivasUna vez creada una directiva, puede volver a ella en cualquier momento para efectuhaga clic en el vínculo Edit de la columna “Configure” para elegir la directiva que deconfiguración correspondiente a esa directiva, realice sus cambios y haga clic en O set policy .
ScreenOS también proporciona un medio para habilitar e inhabilitar directivas. De fodirectivas están habilitadas. Para desactivarlas, haga lo siguiente:
WebUI
Policies: Desactive la casilla de verificación Enable de la columna “Configudesactivar.
La fila de texto de una directiva inhabilitada aparece en color gris.
CLI
set policy id id_num disablesave
Nota: Para volver a habilitar la directiva, seleccione Enable en la columnadesee habilitar (WebUI), o ejecute el comando unset policy id id_num dis
Capítulo 6 Directivas Directivas aplicadas
356
de la lista de directivas es iguiente:tyipio, deja de buscar tan pronto sitivo NetScreen nunca alcanza ión “dst-A” más específica de la ión en la zona Trust asociada a ia en la directiva 1.iendo la más específica en
yt
casos donde hay docenas o ctivas puede no resultar tan cute el comando CLI siguiente:
al. Es responsabilidad del
una combinación de directivas in embargo, las directivas 1 y 2
permit permitdeny
ectivas siempre se encuentra antes que detecta una coincidencia con el servicio, si hay otra directiva aplicable nunca alcanzará la segunda.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Verificación de directivasScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro válido. Una directiva puede eclipsar (“ocultar”) otra directiva. Considere el ejemplo s
set policy id 1 from trust to untrust any any HTTP permiset policy id 2 from trust to untrust any dst-A HTTP den
Como el dispositivo NetScreen consulta la lista de directivas comenzando por el princcomo encuentra una coincidencia de tráfico recibido. En el ejemplo antedicho, el dispola directiva 2 porque la dirección de destino “any” de la directiva 1 ya incluye la direccdirectiva 2. Cuando un paquete HTTP llega al dispositivo NetScreen desde una direccdst-A en la zona Untrust, el dispositivo NetScreen siempre encontrará una coincidencPara corregir el ejemplo antedicho, basta con invertir el orden de las directivas, ponprimer lugar:
set policy id 2 from trust to untrust any dst-A HTTP denset policy id 1 from trust to untrust any any HTTP permi
Por supuesto, este ejemplo tan simple sólo pretende ilustrar el concepto básico. Enincluso centenares de directivas, la detección de directivas eclipsadas por otras diresencilla. Para comprobar si hay alguna directiva oculta16 en su lista de directivas, eje
exec policy verifyEste comando informa sobre las directivas ocultadas y sobre la ocultación en generadministrador corregir la situación.La herramienta de verificación de directivas no puede detectar los casos en los queoculta otra directiva. En el ejemplo siguiente, ninguna directiva oculta la directiva 3; sjuntas sí la ocultan:
set group address trust grp1 add host1set group address trust grp1 add host2set policy id 1 from trust to untrust host1 server1 HTTPset policy id 2 from trust to untrust host2 server1 HTTPset policy id 3 from trust to untrust grp1 server1 HTTP
16. El concepto de “ocultación” de directivas se refiere al hecho de que una directiva situada más arriba en la lista de dirque una directiva situada más abajo. Debido a que la consulta de directivas utiliza siempre la primera directiva en laregistro de cinco elementos de las zonas de origen y de destino, con las direcciones de origen y destino y con el tipo deal mismo registro (o a un subconjunto de registros), la consulta de directivas utilizará la primera directiva de la lista y
Capítulo 6 Directivas Directivas aplicadas
357
las directivas, comenzando por ulte “Listas de conjuntos de
tScreen aplica la acción rio reordenar las directivas e la aplicación de una directiva
en la lista que una específica sí
conjuntos de directivas. ina de configuración de ue la palabra clave top al
siguientes procedimientos:
chas circulares o haciendo clic ue desee mover.
la hacia arriba en la lista, r.
over y una tabla mostrando las
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Reordenamiento de directivasEl dispositivo NetScreen compara todos los intentos de atravesar el cortafuegos conla primera que aparece en el conjunto de directivas de la lista correspondiente (consdirectivas” en la pàgina 311) y avanzando en la lista. Debido a que el dispositivo Neespecificada en la directiva a la primera directiva que coincide en la lista, es necesadesde la más específica a la más general. (Aunque una directiva específica no impidmás general situada más abajo en la lista, una directiva general situada más arriba lo impide).
De forma predeterminada, una directiva recién creada aparece al final de la lista deExiste una opción que permite colocar una directiva al principio de la lista. En la págdirectivas de WebUI, active la casilla de verificación Position at Top . En CLI, agregcomando set policy : set policy top …
Para mover una directiva a otra posición dentro de la lista, ejecute cualquiera de los
WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las fleen la flecha única de la columna “Configure” correspondiente a la directiva q
Si hace clic en las flechas circulares:
Aparecerá un cuadro de diálogo con un mensaje para el usuario.
Para mover la directiva al final de la lista, introduzca <-1>. Para moverintroduzca el número de identificación de la directiva que desea move
Haga clic en OK para ejecutar el movimiento.
Si hace clic en la flecha única:
Aparecerá la página “Policy Move” mostrando la directiva que desea motras directivas.
Capítulo 6 Directivas Directivas aplicadas
358
e Location”, contiene flechas rectiva. Haga clic en la flecha .
cación.
rla. En WebUI, haga clic en ar. Cuando el sistema le pida omando unset policy id_num .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
En la tabla que muestra las otras directivas, la primera columna, “Movseñalando hacia las diversas ubicaciones a las que puede mover la dique apunte a la ubicación en la lista a la que desea mover la directiva
La página “Policy List” reaparecerá con la directiva movida en su nueva ubi
CLI
set policy move id_num { before | after } numbersave
Eliminación de una directivaAdemás de modificar y cambiar la posición de una directiva, también puede elimina Remove en la columna “Configure” correspondiente a la directiva que desea eliminconfirmación para proceder con la eliminación, haga clic en Yes . En CLI, utilice el c
7
359
Capítulo 7
administrar el ancho de banda uarios.
360
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Asignación de tráfico
Este capítulo presenta las múltiples formas de utilizar un dispositivo NetScreen paralimitado sin comprometer la calidad y disponibilidad de la red de cara a todos los us
Los temas tratados son:
• “Aplicación de la asignación de tráfico” en la pàgina 360
– “Administración del ancho de banda a nivel de directivas” en la pàgina
• “Establecimiento de las prioridades del servicio” en la pàgina 367
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
360
e banda disponible en la red a apropiada se entiende la ality of Service” o “QoS”) s y aplicando los controles
ado, el ancho de banda z se asigna al parámetro de anda sobrante es a garantizado y comparte la ancho de banda máximo).
activa la asignación de ra otras directivas, el particular, con los
las que haya desactivado la ndo CLI set traffic-shaping g mode auto . Esto permite
la cuando no la requiera.
e destino tenga asociada de destino contiene una o
ra obtener más información sobre
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
APLICACIÓN DE LA ASIGNACIÓN DE TRÁFICOPor asignación de tráfico se entiende la asignación de la porción apropiada del ancho da cada usuario y aplicación en una determinada interfaz. Por porción de ancho de bandcombinación óptima entre capacidad de transmisión rentable y calidad de servicio (“Qugarantizada. Los dispositivos NetScreen permiten configurar el tráfico creando directivade tasa de transmisión apropiados a cada clase de tráfico que pasa por ellos.
Administración del ancho de banda a nivel de directivasPara clasificar el tráfico, cree una directiva que especifique el ancho de banda garantizmáximo y la prioridad de cada clase de tráfico. El ancho de banda físico de cada interfaancho de banda garantizado para todas las directivas. Cualquier porción de ancho de bcompartible por cualquier otro tráfico. Es decir, cada directiva obtiene su ancho de bandporción sobrante (no utilizada) basándose en la prioridad (siendo el límite su ajuste de
La función de asignación de tráfico es aplicable al tráfico de todas las directivas. Si destráfico para una directiva específica, pero mantiene activada la asignación de tráfico pasistema aplica una directiva de asignación de tráfico predeterminada a esa directiva enparámetros siguientes:
• Ancho de banda garantizado 0• Ancho de banda máximo ilimitado• Prioridad de 7 (el ajuste de prioridad más bajo)1
Si no desea que el sistema aplique esta directiva predeterminada a las directivas para asignación de tráfico, desactive el sistema de asignación de tráfico ejecutando el comamode off . Puede poner la asignación de tráfico en modo automático: set traffic-shapinal sistema activar la asignación de tráfico cuando una directiva la requiera y desactivar
Nota: Solamente se puede aplicar la asignación de tráfico a las directivas cuya zona duna única interfaz física. NetScreen no puede realizar asignación de tráfico si la zona más subinterfaces o más de una interfaz física.
1. Puede habilitar una correspondencia de los niveles de prioridad de NetScreen al sistema DiffServ Codepoint Marking. PaDS Codepoint Marking, consulte “Asignación de tráfico” en la pàgina 6-327.
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
361
s departamentos de la misma trust.
s y haga clic en OK :
s y haga clic en OK :
ble.
Internet
Untrust
Zona DMZ
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Asignar tráficoEn este ejemplo distribuirá 45 Mbps de ancho de banda de una interfaz T3 entre tresubred. La interfaz ethernet1 está asociada a la zona Trust y ethernet3 a la zona Un
WebUI
1. Ancho de banda en interfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Traffic Bandwidth: 450002
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Traffic Bandwidth: 45000
2. Si no especifica los ajustes de ancho de banda de una interfaz, NetScreen utilizará el ancho de banda físico disponi
Marketing: 10 Mbps de entrada, 10 Mbps de salida
Sales: 5 Mbps de entrada, 10 Mbps de salida
Support: 5 Mbps de entrada, 5 Mbps de salida
DMZ para servidores
Enrutador Enrutador
T3–45 Mbps
Zona Trust Zona
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
362
haga clic en OK :
g
n Return para establecer las de configuración básica:
0000
00
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. Ancho de banda en directivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Marketing Traffic Shaping
Source Address:
Address Book Entry: (seleccione), Marketin
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
VPN Tunnel: None3
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 1
Maximum Bandwidth: 150
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Sales Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
3. También puede habilitar la asignación de tráfico en directivas que hagan referencia a túneles VPN.
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
363
n Return para establecer las de configuración básica:
0
haga clic en OK :
n Return para establecer las de configuración básica:
haga clic en OK :
g
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 1000
Maximum Bandwidth: 10000
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Support Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Allow Incoming Access to Marketing
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketin
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
364
n Return para establecer las de configuración básica:
0
haga clic en OK :
n Return para establecer las de configuración básica:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 1000
Maximum Bandwidth: 10000
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Allow Incoming Access to Sales
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
365
haga clic en OK :
n Return para establecer las de configuración básica:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Allow Incoming Access to Support
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 5000
Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico
366
untrust marketing any
t to untrust sales any
ust to untrust support
m untrust to trust any w 10000trust to trust any 00untrust to trust any 000
ble.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
Para habilitar la asignación de tráfico por cada directiva, haga lo siguiente:
1. Ancho de banda en interfaces
set interface ethernet1 bandwidth 450004
set interface ethernet3 bandwidth 45000
2. Ancho de banda en directivasset policy name “Marketing Traffic Shaping” from trust to
any permit traffic gbw 10000 priority 0 mbw 15000set policy name “Sales Traffic Shaping Policy” from trus
any permit traffic gbw 10000 priority 0 mbw 10000set policy name “Support Traffic Shaping Policy” from tr
any any permit traffic gbw 5000 priority 0 mbw 10000set policy name “Allow Incoming Access to Marketing” fro
marketing any permit traffic gbw 10000 priority 0 mbset policy name “Allow Incoming Access to Sales” from un
sales any permit traffic gbw 5000 priority 0 mbw 100set policy name “Allow Incoming Access to Support” from
support any permit traffic gbw 5000 priority 0 mbw 5save
4. Si no especifica los ajustes de ancho de banda de una interfaz, NetScreen utilizará el ancho de banda físico disponi
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
367
mediante colas de prioridades a garantizado no utilizado). La usuarios y aplicaciones tener mpo que el tráfico importante ario. La gestión mediante colas ho colas son:
tizado a otras directivas se ectivas que tengan el mismo “round robin” o “ronda ctivas de alta prioridad, para sta haber procesado todas las
ble, se descarta el tráfico de
por la interfaz. El proceso de ivas. Podría llegar a perder asa el ancho de banda
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ESTABLECIMIENTO DE LAS PRIORIDADES DEL SERVICIOLa función de asignación de tráfico de los dispositivos NetScreen permite gestionar el ancho de banda no asignado al ancho de banda garantizado (o al ancho de bandgestión mediante colas de prioridades es una característica que permite a todos losacceso al ancho de banda disponible cuando lo necesiten, asegurando al mismo tiepueda transmitirse, incluso a expensas del tráfico menos importante, si fuese necespermite a NetScreen canalizar el tráfico por hasta ocho colas de prioridad. Estas oc
• High priority (alta prioridad)
• 2nd priority (2ª prioridad)
• 3rd priority (3ª prioridad)
• 4th priority (4ª prioridad)
• 5th priority (5ª prioridad)
• 6th priority (6ª prioridad)
• 7th priority (7ª prioridad)
• Low priority (baja prioridad, predeterminada)
El ajuste de prioridad de una directiva significa que el ancho de banda aún no garanintroduce en las colas dando preferencia a la alta prioridad y luego a la baja. Las dirajuste de prioridad competirán por el ancho de banda según el método denominadorecíproca”. El dispositivo NetScreen procesa primero todo el tráfico de todas las direluego procesar el tráfico del ajuste de prioridad inmediatamente inferior, etcétera, hapeticiones de tráfico. Si las peticiones de tráfico superan el ancho de banda disponimenor prioridad.
Precaución: Tenga cuidado de no asignar un ancho de banda superior al admitidoconfiguración de directivas no impide crear configuraciones incompatibles de directdatos si el ancho de banda garantizado de directivas con la misma prioridad sobrepestablecido en la interfaz.
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
368
ioridades para administrar lquier tráfico de 2ª és de haber procesado el
entos: Support, Sales y
os de NetScreen, el isitos de directivas ntrust.
net
st
DMZ
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si no asigna ningún ancho de banda garantizado, puede utilizar la gestión de colas de prtodo el tráfico de su red. Es decir, todo el tráfico de alta prioridad se envía antes que cuaprioridad, etcétera. El dispositivo NetScreen procesa el tráfico de baja prioridad sólo despuresto del tráfico.
Ejemplo: Gestionar colas de prioridadesEn este ejemplo configurará el ancho de banda garantizado y máximo para tres departamMarketing, como sigue:
Si los tres departamentos envían y reciben tráfico simultáneamente a través del cortafuegdispositivo NetScreen debe asignar 20 Mbps de ancho de banda para satisfacer los requgarantizados. La interfaz ethernet1 está asociada a la zona Trust y ethernet3 a la zona U
Tráfico saliente garantizado
Tráfico entrante garantizado
Tráfico combinado garantizado
Prioridad
Support 5*
* Megabits por segundo (Mbps)
5 10 High
Sales 2.5 3.5 6 2
Marketing 2.5 1.5 4 3
Total 10 10 20
Marketing: 2,5 Mbps de salida, 1,5 Mbps de entrada, 3ª prioridad
Sales: 2,5 Mbps de salida, 3,5 Mbps de entrada, 2ª prioridad
Support: 5 Mbps de salida, 5 Mbps de entrada, Prioridad alta
Inter
DMZ para servidores
Enrutador Enrutador
T3 (45 Mbps)
Zona TrustZona Untru
Zona
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
369
ic en OK :
ic en OK :
haga clic en OK :
n Return para establecer las de configuración básica:
(seleccione)
uía de prioridades. DS Codepoint ts de codepoint en el campo “DS” del áfico” en la pàgina 327.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. Ancho de banda en interfacesInterfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga cl
Traffic Bandwidth: 40000
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga cl
Traffic Bandwidth: 40000
2. Ancho de banda en directivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Sup-out
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority
DiffServ Codepoint Marking5:
5. “Differentiated Services” (“DS”) es un sistema para etiquetar (o “marcar”) tráfico en una posición dentro de una jerarqMarking establece una correspondencia entre el nivel de prioridad de NetScreen en la directiva y los tres primeros biencabezado de paquetes IP. Para obtener más información sobre DS Codepoint Marking, consulte “Asignación de tr
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
370
haga clic en OK :
n Return para establecer las de configuración básica:
nable
haga clic en OK :
g
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Sal-out
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority
DiffServ Codepoint Marking: E
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: Mar-out
Source Address:
Address Book Entry: (seleccione), Marketin
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
371
n Return para establecer las de configuración básica:
seleccione)
haga clic en OK :
n Return para establecer las de configuración básica:
seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority
DiffServ Codepoint Marking: (
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Sup-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority
DiffServ Codepoint Marking: (
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
372
haga clic en OK :
n Return para establecer las de configuración básica:
seleccione)
haga clic en OK :
g
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Sal-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 3500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority
DiffServ Codepoint Marking: (
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: Mar-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketin
Service: Any
Action: Permit
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
373
n Return para establecer las de configuración básica:
seleccione)
y any permit traffic
any permit traffic gbw
any any permit traffic
any permit traffic gbw
ny permit traffic gbw
ng any permit traffic
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Traffic shaping: (seleccione)
Guaranteed Bandwidth: 1500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority
DiffServ Codepoint Marking: (
CLI
1. Ancho de banda en interfacesset interface ethernet1 bandwidth 40000set interface ethernet3 bandwidth 40000
2. Ancho de banda en directivasset policy name sup-out from trust to untrust support an
gbw 5000 priority 0 mbw 40000 dscp enableset policy name sal-out from trust to untrust sales any
2500 priority 2 mbw 40000 dscp enableset policy name mar-out from trust to untrust marketing
gbw 2500 priority 3 mbw 40000 dscp enableset policy name sup-in from untrust to trust any support
5000 priority 0 mbw 40000 dscp enableset policy name sal-in from untrust to trust any sales a
3500 priority 2 mbw 40000 dscp enableset policy name mar-in from untrust to trust any marketi
gbw 1500 priority 3 mbw 40000 dscp enablesave
Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio
374
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos8
375
Capítulo 8
ros del sistema que afectan a
77
417
àgina 424
en la pàgina 434
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Parámetros del sistema
Este capítulo se centra en los conceptos relativos a la configuración de los parámetlas siguientes áreas de un dispositivo de seguridad NetScreen:
• “Compatibilidad con DNS (sistema de nombres de dominio)” en la pàgina 3
– “Consulta DNS” en la pàgina 378
– “Tabla de estado de DNS” en la pàgina 379
– “DNS dinámico” en la pàgina 382
– “División de direcciones del DNS proxy” en la pàgina 385
• “DHCP: Protocolo de configuración dinámica de hosts” en la pàgina 388
– “Servidor DHCP” en la pàgina 390
– “Agente de retransmisión de DHCP” en la pàgina 400
– “Cliente DHCP” en la pàgina 406
– “Propagación de los ajustes TCP/IP” en la pàgina 408
• “PPPoE” en la pàgina 411
– “Múltiples sesiones PPPoE a través de una sola interfaz” en la pàgina
– “PPPoE y alta disponibilidad” en la pàgina 422
• “Actualización o degradación de firmware” en la pàgina 423
– “Requisitos para actualizar o degradar firmware del dispositivo” en la p
– “Descarga de nuevo firmware” en la pàgina 426
– “Actualización de dispositivos NetScreen en una configuración NSRP”
– “Autenticar firmware y archivos DI” en la pàgina 445
Capítulo 8 Parámetros del sistema
376
o” en la pàgina 462
” en la pàgina 463
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
• “Descarga y carga de configuraciones” en la pàgina 450
– “Almacenamiento e importación de ajustes” en la pàgina 450
– “Retroactivación (“rollback”) de una configuración” en la pàgina 452
– “Bloqueo del archivo de configuración” en la pàgina 455
• “Establecer Bulk-CLI de NetScreen-Security Manager” en la pàgina 458
• “Claves de licencia” en la pàgina 459
• “Registro y activación de los servicios de suscripción” en la pàgina 461
– “Servicio temporal” en la pàgina 461
– “Paquete de AV, filtrado de URLs y DI incluido con un dispositivo nuev
– “Actualización de AV, filtrado de URLs y DI en un dispositivo existente
– “Sólo actualización de DI” en la pàgina 464
• “Reloj del sistema” en la pàgina 465
– “Fecha y hora” en la pàgina 465
– “Huso horario” en la pàgina 465
– “NTP” en la pàgina 466
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
377
main Name System” o “DNS”), las ubicaciones de una red. Un s nombres de dominio. DNS
niper.net), además de utilizar la 7.137.68. Todos los programas
, deben introducirse las en.
uración dinámica de hosts configuración dinámica de ores DNS en la página “DHCP”
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
COMPATIBILIDAD CON DNS (SISTEMA DE NOMBRES DE DOMINIO)El dispositivo NetScreen es compatible con el sistema de nombres de dominio (“Doque permite utilizar tanto nombres de dominios como direcciones IP para identificar servidor DNS mantiene una tabla de direcciones IP asociadas a los correspondientepermite referirse a una ubicación por medio de su nombre de dominio (como www.jucorrespondiente dirección IP enrutable, que en el caso de www.juniper.net es 207.1siguientes pueden realizar traducción de DNS:
• Address Book (libreta de direcciones)
• Syslog
• E-mail (correo electrónico)
• WebTrends
• Websense
• LDAP
• SecurID
• RADIUS
• NetScreen-Security Manager
Antes de poder utilizar DNS para la resolución de nombres de dominio y direccionesdirecciones de los servidores DNS (principal y secundario) en el dispositivo NetScre
Nota: Para habilitar el dispositivo NetScreen como servidor del protocolo de config(“Dynamic Host Configuration Protocol” o “DHCP”) (consulte “DHCP: Protocolo de hosts” en la pàgina 388), también deberá introducir las direcciones IP de los servidde WebUI o mediante el comando CLI set interface interfaz dhcp.
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
378
olas en un servidor DNS
l día
utomática de la tabla DNS,
nación de nombre de dominio o contiene algunos de los
s acepta todas. Los otros
ambio en la tabla de nombres botón Refresh de WebUI o
a tabla entera.
ché.
de direcciones, el dispositivo ada con éxito, pero la consulta
Name” o “FQDN”), como una resuelve al hacer clic en Apply ispositivo NetScreen intenta
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Consulta DNSEl dispositivo NetScreen actualiza todas las entradas de su tabla DNS comprobándespecificado en los momentos siguientes:
• Al producirse una conmutación por fallo de HA (alta disponibilidad)
• A una hora determinada y a intervalos regulares programados a lo largo de
• Cuando se ordena manualmente al dispositivo realizar una consulta DNS
– WebUI: Network > DNS: Haga clic en “Refresh DNS cache”.
– CLI: exec dns refresh
Además del método existente de establecer una hora para la actualización diaria y atambién puede definir un intervalo de tiempo entre 4 y 24 horas.
Cuando el dispositivo NetScreen se conecta al servidor DNS para resolver una asigdirección IP, almacena esa entrada en su tabla de estado de DNS. La lista siguientedetalles implicados en una consulta DNS:
• Cuando una consulta DNS devuelve varias entradas, la libreta de direccioneprogramas enumerados en la pàgina 377 solamente aceptan la primera.
• El dispositivo NetScreen reinstala todas las directivas si detecta cualquier cde dominios en el momento en que el usuario actualiza una consulta con elejecuta el comando CLI exec dns refresh.
• Cuando falla un servidor DNS, el dispositivo NetScreen vuelve a consultar l
• Cuando falla una consulta, el dispositivo NetScreen la elimina de la tabla ca
• Si la consulta del nombre de dominio falla al agregar direcciones a la libretaNetScreen muestra un mensaje de error indicando que la dirección fue agregdel nombre DNS falló.
Nota: Cuando se agrega un nombre de dominio completo (“Fully-Qualified Domaindirección o una puerta de enlace IKE, mediante WebUI, el dispositivo NetScreen lo o en OK. Cuando se escribe un comando CLI que hace referencia a un FQDN, el dresolverlo en el momento de introducirlo.
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
379
programar en el dispositivo
a de verificación e introduzca la
us correspondientes z cada nombre de dominio o
Lookup000 16:45:33
000 16:45:38
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El dispositivo NetScreen debe realizar una nueva consulta cada día, que se puede NetScreen para que la realice a una hora determinada:
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply :
DNS refresh every day at: Seleccione la casillhora <hh:mm>
CLI
set dns host schedule time_strsave
Tabla de estado de DNSLa tabla de estado de DNS comunica todos los nombres de dominios consultados, sdirecciones IP, si la consulta se efectuó con éxito y cuándo se resolvió por última vedirección IP. El formato del informe se parece al ejemplo siguiente:
Name IP Address Status Last www.yahoo.com www.hotbot.com
204.71.200.74 204.71.200.75 204.71.200.67 204.71.200.68 209.185.151.28 209.185.151.210 216.32.228.18
Success Success
8/13/2 8/13/2
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
380
imientos:
las direcciones IP de los méstica. El dispositivo e estado de DNS
ecundario.38cipal
nternet
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para visualizar la tabla de estado de DNS, ejecute cualquiera de los siguientes proced
WebUI
Network > DNS > Show DNS Table
CLI
get dns host report
Ejemplo: Servidor DNS y programación de actualizacionesPara implementar la funcionalidad de DNS, se introducen en el dispositivo NetScreen servidores DNS en 24.1.64.38 y 24.0.0.3, protegiendo un host único de una oficina doNetScreen se programa para actualizar los ajustes de DNS almacenados en su tabla ddiariamente a las 23:00 horas.
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply :
Primary DNS Server: 24.0.0.3
Secondary DNS Server: 24.1.64.38
DNS Refresh: (seleccione)
Every Day at: 23:00
Servidor DNS s24.1.64
Servidor DNS prin24.0.0.3
I
Zona Trust Zona Untrust
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
381
ada 4 horas, comenzando a las
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set dns host dns1 24.0.0.3set dns host dns2 24.1.64.38set dns host schedule 23:00save
Ejemplo: Establecer un intervalo de actualización de DNSEn este ejemplo configurará el dispositivo NetScreen para actualizar su tabla DNS c00:01 de cada día.
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply :
DNS Refresh: (seleccione)
Every Day at: 00:01
Interval: 4
CLI
set dns host schedule 00:01 interval 4save
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
382
icamente las direcciones IP do un ISP utiliza PPP, DHCP o dispositivo NetScreen) que l servidor web usando un mente. Este cambio es posible s cambiadas dinámicamente y información, periódicamente o
r DDNS. El servidor utiliza esta
cambiado. Cuando se produce el nombre de host ada uno de estos servidores
ervidor webw.my_host.com
Zona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DNS dinámicoDNS dinámico (DDNS) es un mecanismo que permite a los clientes actualizar dinámcorrespondientes a nombres de dominio registrados. Esta actualización es útil cuanXAuth para modificar dinámicamente la dirección IP de un enrutador CPE (como unproteja un servidor web. Así, los clientes procedentes de Internet pueden acceder enombre de dominio, aunque la dirección IP del enrutador CPE haya cambiado previagracias a un servidor DDNS como dyndns.org o ddo.jp, que contienen las direccionesus nombres de dominio asociados. El CPE actualiza los servidores DDNS con estaen respuesta a cambios de direcciones IP.
Para utilizar DDNS, cree una cuenta (nombre de usuario y contraseña) en el servidoinformación de cuenta para configurar el dispositivo cliente.
En el diagrama mostrado arriba, la dirección IP de la interfaz ethernet7 puede haberalgún cambio, el cliente todavía puede acceder al servidor web protegido indicando(www.my_host.com), a través del servidor de dyndns.org o del servidor de ddo.jp. Crequiere configuraciones algo diferentes en el dispositivo NetScreen.
Dispositivo NetScreen(enrutador CPE)
Cliente
Servidor DDNS
Sww
dyndns.org or ddo.jp
ethernet7
Internet
Nota: La zona Untrust no se muestra.
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
383
. El dispositivo utiliza el idor, especificará el host (ethernet7); por lo tanto, e a la dirección IP de la
en OK:
S. El valor predeterminado es de 10 ero el servidor DNS necesita esperar ización mínimo a un valor muy bajo, 0 minutos.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Configuración de DDNS para el servidor dyndnsEn el ejemplo siguiente configurará un dispositivo NetScreen para operar con DDNSservidor dyndns.org para resolver direcciones que se han cambiado. Para este servprotegido utilizando el ajuste Host Name, asociado explícitamente a la interfaz DNScuando el dispositivo envía una actualización al servidor de ddo.jp, asocia Host Naminterfaz.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
ID: 12
Server Settings:
Server Type: dyndns
Server Name: dyndns.org
Refresh Interval: 24
Minimum Update Interval: 151
Account Settings:
Username: swordfish
Password: ad93lvb
Bind to Interface: ethernet7
Host Name: www.my_host.com
1. Este ajuste especifica el intervalo mínimo de tiempo (expresado en minutos) entre sucesivas actualizaciones de DDNminutos y el rango admisible es 1-1440. En algunos casos, el dispositivo puede no actualizar el intervalo porque prima que el tiempo de espera de la entrada de DDNS caduque en su caché. Además, si establece el intervalo de acutalpuede que el dispositivo NetScreen le bloquee el acceso; por lo tanto, recomendamos utilizar un valor de al menos 1
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
384
fresh-interval 24
y_host.com
utiliza el servidor ddo.jp do como nombre de usuario st Name. El servicio ervidor ddo.jp traduce un inio registrado en ddo.jp
OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set dns ddnsset dns ddns enableset dns ddns id 12 server dyndns.org server-type dyndns re
minimum-update-interval 15set dns ddns id 12 src-interface ethernet7 host-name www.mset dns ddns id 12 username swordfish password ad93lvbsave
Ejemplo: Configuración de DDNS para el servidor de ddoEn el ejemplo siguiente configurará un dispositivo NetScreen para DDNS. El dispositivopara resolver direcciones. Para el servidor ddo.jp, especificará el FQDN del host protegipara la entrada de DDNS, en lugar de especificar el host protegido usando el ajuste Hodeducirá automáticamente el nombre de host del valor de Username. Por ejemplo, el snombre de usuario de my_host a my_host.ddo.jp. Cerciórese de que el nombre de domcoincida con el DNS deducido.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic en
ID: 25
Server Settings:
Server Type: ddo
Server Name: juniper.net
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings:
Username: my_host
Password: ad93lvb
Bind to Interface: ethernet7
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
385
-interval 24
los clientes dividir consultas vidores DNS específicos, neles VPN o los enlaces unas consultas DNS a una red
. Por ejemplo, las consultas de al servidor DNS corporativo, arga en el servidor corporativo. Internet.
e una interfaz de túnel, e la red interna. Por ejemplo, interfaz de túnel y utilizar -replay” (anti-reprocesamiento).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
set dns ddnsset dns ddns enableset dns ddns id 25 server ddo.jp server-type ddo refresh
minimum-update-interval 15set dns ddns id 25 src-interface ethernet7set dns ddns id 25 username my_host password ad93lvbsave
División de direcciones del DNS proxyLa característica DNS proxy proporciona un mecanismo transparente que permite aDNS. Con esta técnica, el proxy redirige selectivamente las consultas de DNS a sersiguiendo nombres de dominio parciales o completos. Esto resulta útil cuando los túvirtuales PPPoE proporcionan conectividad a múltiple redes y es necesario dirigir algy otras a otra red.
Las ventajas más importantes de un proxy de DNS son las siguientes.
• Las operaciones de búsqueda de dominios son generalmente más eficientesDNS destinadas al dominio corporativo (como acme.com) podrían dirigirse mientras que todas las demás irían al servidor DNS del ISP, reduciendo la cEsto también impediría la filtración de información del dominio corporativo a
• El proxy de DNS permite transmitir consultas DNS seleccionadas a través dimpidiendo así que usuarios malévolos puedan acceder a la configuración dlas consultas de DNS dirigidas al servidor corporativo pueden atravesar unacaracterísticas de seguridad tales como la autenticación, codificación y “anti
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
386
ente las consultas DNS a
e.com saldrá a través de la 1.
, el dispositivo dirige servidor resuelve la consulta
me_engineering.com sale a .
ng.com, el dispositivo dirige a consulta devolviendo la
idores corporativos y salen a
tivo evita automáticamente consulta obteniendo la
2.1.1.212.1.1.34
Servidores DNSde la empresa
e_eng.com => 3.1.1.5
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Dividir peticiones de DNSLos comandos siguientes crean dos entradas DNS por proxy que reenvían selectivamdiferentes servidores.
• Toda consulta de DNS con un FQDN que contenga el nombre de dominio acminterfaz de túnel tunnel.1 al servidor DNS corporativo en la dirección IP 2.1.1.2
Por ejemplo, si un host envía una consulta DNS para resolver www.acme.comautomáticamente la consulta a este servidor. (En este ejemplo, asuma que el devolviendo la dirección IP 3.1.1.2).
• Cualquier consulta DNS con un FQDN que contenga el nombre de dominio actravés de interfaz de túnel tunnel.1 al servidor DNS en la dirección IP 2.1.1.34
Por ejemplo, si un host envía una consulta DNS para resolver intranet.acme_ela consulta a este servidor. (En este ejemplo, asuma que el servidor resuelve ldirección IP 3.1.1.5).
• Todas las demás consultas DNS (marcadas con un asterisco) evitan a los servtravés de la interfaz ethernet3 al servidor DNS en la dirección IP 1.1.1.23.
Por ejemplo, si el host y el nombre de dominio son www.juniper.net, el disposilos servidores corporativos y dirige la consulta a este servidor, que resuelve ladirección IP 207.17.137.68.
tunnel.1
ethernet3
acme_eng.com
*
1.1.1.23netscreen.com => 63.126.135.170 netscreen.com
63.126.135.170
acme.com => 3.1.1.2
acm
Servidores DNS del ISP
acme.com
Internet
Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)
387
y :
n OK :
n OK :
n OK :
tunnel.1
ace tunnel.1
t3 primary-server
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI1. Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Appl
Initialize DNS Proxy: Enable
Enable DNS Proxy: Enable2. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e
Domain Name: acme.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.21
3. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e
Domain Name: acme_eng.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.34
4. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e
Domain Name: *
Outgoing Interface: ethernet3
Primary DNS Server: 1.1.1.23
CLIset dns proxyset dns proxy enableset interface ethernet3 proxy dnsset dns server-select domain acme.com outgoing-interface
primary-server 2.1.1.21set dns server-select domain acme_eng.com outgoing-interf
primary-server 2.1.1.34set dns server-select domain * outgoing-interface etherne
1.1.1.23save
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
388
n Protocol”) fue diseñado para TCP/IP a los hosts de una red. r (cuando sea necesario) todos Además, DHCP garantiza que do de utilizarse y asigna un host.
s de DHCP, recibiendo una uier zona.
mo servidores de DHCP, HCP) en cualquier interfaz
ién pueden actuar como HCP y retransmitiéndola a los
tScreen pueden actuar . Observe que en una sola
la misma interfaz no se pueden r el módulo de cliente DHCP
P, que los utilizará para ntes DHCP.
s a hosts tales como las jas para otros equipos, como
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DHCP: PROTOCOLO DE CONFIGURACIÓN DINÁMICA DE HOSTSEl protocolo de configuración dinámica de hosts (DHCP: “Dynamic Host Configuratioaliviar el trabajo de los administradores de red asignando automáticamente ajustes En lugar de obligar a los administradores a asignar, configurar, supervisar y modificalos ajustes TCP/IP de cada equipo de una red, DHCP hace todo automáticamente. no se utilicen direcciones duplicadas, vuelve a asignar las direcciones que han dejaautomáticamente direcciones IP apropiadas para la subred a la que está conectado
Diferentes dispositivos NetScreen asumen diferentes papeles DHCP:
• Cliente DHCP: Algunos dispositivos NetScreen pueden actuar como clientedirección IP asignada dinámicamente para cualquier interfaz física en cualq
• Servidor DHCP: Algunos dispositivos NetScreen también pueden actuar coasignando direcciones IP dinámicas a hosts (que actúan como clientes de Dfísica o VLAN de cualquier zona.
• Agente de retransmisión de DHCP: Algunos dispositivos NetScreen tambagentes de retransmisión de DHCP, recibiendo información de un servidor Dhosts de cualquier interfaz física o VLAN en cualquiera zona.
• Cliente/servidor/agente de retransmisión DHCP: Algunos dispositivos Nesimultáneamente como cliente, servidor y agente de retransmisión de DHCPinterfaz solamente se puede configurar un papel de DHCP. Por ejemplo, en configurar el cliente y el servidor DHCP. Opcionalmente, se puede configurapara que reenvíe los ajustes TCP/IP que recibe al módulo de servidor DHCproporcionar ajustes TCP a los hosts de la zona Trust que actúen como clie
Nota: Aunque utilice el módulo del servidor DHCP para asignar direccioneestaciones de trabajo de una zona, también puede utilizar direcciones IP fiservidores de correo y servidores WINS.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
389
uración TCP/IP específicos de reen actúa como servidor
:
eja estos ajustes como IP y la máscara de red de la
net de Windows (“Windows ado en un entorno de red
o para la distribución de datos
e datos de Apple NetInfo.
io (“DNS”) asignan un a una dirección IP.
ia de correo (“Simple Mail de correo, por ejemplo un
ersión 3 (“Post Office Protocol” abajar conjuntamente con un
isos de los grupos de noticias.
era interfaz asociada a esa zona a la
etros antedichos dispone de ión dinámica recibida del
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DHCP consta de dos componentes: un protocolo para suministrar ajustes de configcada host y un mecanismo para asignar direcciones IP. Cuando el dispositivo NetScDHCP, proporciona los siguientes ajustes TCP/IP a cada host cuando éste se inicia
• Dirección IP y máscara de red predeterminadas de la puerta de enlace. Si d0.0.0.0/0, el módulo del servidor DHCP utiliza automáticamente la direccióninterfaz predeterminada de la zona Trust2.
• Las direcciones IP de los servidores siguientes:
– Servidores WINS (2):3 Los servidores del servicio de nombres de InterInternet Naming Service” o “WINS”) asignan un nombre NetBIOS utilizWindows NT a una dirección IP utilizada en una red basada en IP.
– Servidores NetInfo (2): NetInfo es un servicio de red de Apple utilizadadministrativos dentro de una LAN.
– Etiqueta de NetInfo (1): La etiqueta identificativa utilizada por la base d
– Servidores DNS (3): Los servidores del sistema de nombres de dominlocalizador de recurso uniforme (“Uniform Resource Locator” o “URL”)
– Servidor SMTP (1): Los servidores del protocolo simple de transferencTransfer Protocol” o “SMTP”) entregan mensajes SMTP a un servidor servidor POP3, que almacena el correo entrante.
– Servidor POP3 (1): Los servidores del protocolo de oficina de correo, vo “POP3”) almacenan el correo entrante. Cada servidor POP3 debe trservidor SMTP.
– Servidor News (1): Los servidores de noticias reciben y almacenan av
2. En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la interfaz predeterminada es la primque se haya asignado una dirección IP.
3. El número en paréntesis indica el número de servidores admitidos.
Nota: Si un cliente DHCP al que el dispositivo NetScreen entrega los parámuna dirección IP especificada, ésta tiene preferencia sobre toda la informacservidor DHCP.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
390
nterfaz física o VLAN de a direcciones IP y máscaras de
CP, asigna (o “arrienda”) a un es. La dirección IP se arrienda ir un periodo de arrendamiento
ada de un conjunto de tablece una conexión.
ntos de direcciones IP.
iones de trabajo con La interfaz ethernet1 está do NAT. El nombre del dominio
reen puede tomar direcciones DHCP
e DHCP en su memoria flash. es de direcciones.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Servidor DHCPUn dispositivo NetScreen puede admitir hasta ocho servidores DHCP en cualquier icualquier zona. Cuando actúa como servidor DHCP, el dispositivo NetScreen asignsubred de dos modos:
• En el modo dinámico, el dispositivo NetScreen, actuando como servidor DHcliente DHCP del host una dirección IP tomada de un conjunto4 de direccionpor un tiempo determinado o hasta que el cliente renuncia a ella. (Para definilimitado, introduzca 0).
• En el modo reservado, el dispositivo NetScreen asigna una dirección IP tomdirecciones exclusivamente para un cliente específico cada vez que éste es
Ejemplo: Dispositivo NetScreen como servidor DHCPUtilizando DHCP, se seccionará la red 172.16.10.0/24 de la zona Trust en tres conju
• 172.16.10.10 a 172.16.10.19
• 172.16.10.120 a 172.16.10.129
• 172.16.10.210 a 172.16.10.219
El servidor DHCP asigna todas las direcciones IP dinámicamente, salvo a dos estacdirecciones IP reservadas y a cuatro servidores que tienen direcciones IP estáticas.asociada a la zona Trust, tiene la dirección IP 172.16.10.1/24 y se encuentra en moes dynamic.com.
4. Un conjunto de direcciones es un rango de direcciones IP definido en la misma subred de la que el dispositivo NetScpara asignar. Puede agrupar hasta 255 direcciones IP.
Nota: El dispositivo NetScreen guarda cada dirección IP asignada mediantPor lo tanto, el reinicio del dispositivo NetScreen no afecta a las asignacion
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
391
lic en OK:
2
res SMTP y POP3cciones IP fijas0.25 y 172.16.10.10
ervidores DNSrecciones IP fijas172.16.10.240172.16.10.241
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: DNS#1
Comment: Primary DNS Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.240/3
Zone: Trust
Zona Trust
Conjunto de direcciones172-16.10.10 – 172.16.10.19
Conjunto de direcciones172-16.10.210 – 172.16.10.219
Conjunto de direcciones
172-16.10.120 – 172.16.10.129
172.16.10.0/24LAN
IP reservada172.16.10.11
MAC: 12:34:ab:cd:56:78
IP reservada172.16.10.112
MAC: ab:cd:12:34:ef:gh
ServidoDire
172.16.1
SDi
ethernet1172.16.10.1/24 (NAT)
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
392
lic en OK :
2
lic en OK :
lic en OK :
2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: DNS#2
Comment: Secondary DNS server
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.241/3
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: SMTP
Comment: SMTP Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.25/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: POP3
Comment: POP3 server
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.110/3
Zone: Trust
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
393
ntes datos y haga clic en
clic en Return para a la página de configuración
atos y haga clic en OK :
red establecida para ethernet1 a e reenvíe ajustes de TCP/IP al ente 172.16.10.1 y 255.255.255.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. Servidor DHCPNetwork > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie Apply:5
Lease: Unlimited (seleccione)
WINS#1: 0.0.0.0
DNS#1: 172.16.10.240
> Advanced Options: Escriba lo siguiente y hagaestablecer las opciones avanzadas y regresarbásica:
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vacío)
Domain Name: dynamic.com
> Addresses > New: Introduzca los siguientes d
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19
5. Si deja los campos “Gateway” y “Netmask” como 0.0.0.0, el módulo de servidor DHCP envía la dirección IP y máscara desus clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el módulo de cliente DHCP para qumódulo del servidor DHCP (consulte “Propagación de los ajustes TCP/IP” en la pàgina 408), deberá introducir manualmen los campos “Gateway” y “Netmask”.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
394
datos y haga clic en OK :
datos y haga clic en OK :
datos y haga clic en OK :
78
datos y haga clic en OK :
gh
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
> Addresses > New: Introduzca los siguientes
Dynamic: (seleccione)
IP Address Start: 172.16.10.120
IP Address End: 172.16.10.129
> Addresses > New: Introduzca los siguientes
Dynamic: (seleccione)
IP Address Start: 172.16.10.210
IP Address End: 172.16.10.219
> Addresses > New: Introduzca los siguientes
Reserved: (seleccione)
Dirección IP: 172.16.10.11
Ethernet Address: 1234 abcd 56
> Addresses > New: Introduzca los siguientes
Reserved: (seleccione)
Dirección IP: 172.16.10.112
Ethernet Address: abcd 1234 ef
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
395
ver”erver”
namic.com6
0.2400.2410.250.11072.16.10.19172.16.10.129172.16.10.2191234abcd5678 abcd1234efgh
sus clientes la dirección IP y máscara HCP para reenviar ajustes TCP/IP al lmente estas opciones: set interface 55.255.0 .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Direccionesset address trust dns1 172.16.10.240/32 “primary dns serset address trust dns2 172.16.10.241/32 “secondary dns sset address trust snmp 172.16.10.25/32 “snmp server”set address trust pop3 172.16.10.110/32 “pop3 server”
2. Servidor DHCP
set interface ethernet1 dhcp server option domainname dyset interface ethernet1 dhcp server option lease 0set interface ethernet1 dhcp server option dns1 172.16.1set interface ethernet1 dhcp server option dns2 172.16.1set interface ethernet1 dhcp server option smtp 172.16.1set interface ethernet1 dhcp server option pop3 172.16.1set interface ethernet1 dhcp server ip 172.16.10.10 to 1set interface ethernet1 dhcp server ip 172.16.10.120 to set interface ethernet1 dhcp server ip 172.16.10.210 to set interface ethernet1 dhcp server ip 172.16.10.11 mac set interface ethernet1 dhcp server ip 172.16.10.112 macset interface ethernet1 dhcp server servicesave
6. Si no establece una dirección IP para la puerta de enlace o una máscara de red, el módulo del servidor DHCP envía ade red para ethernet1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el módulo de cliente Dmódulo del servidor DHCP (consulte “Propagación de los ajustes TCP/IP” en la pàgina 408), deberá establecer manuaethernet1 dhcp server option gateway 172.16.10.1 y set interface ethernet1 dhcp server option netmask 255.2
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
396
s opciones que identifiquen a especificar la dirección IP de (“lease time”) de la dirección
DHCP Options and BOOTP
uede definir opciones de voz sobre IP), es necesario predefinidas del servidor. En
de opción1
3
6
15
44
51
69
70
71
12
13
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Opciones del servidor DHCPAl especificar servidores DHCP para una interfaz, puede necesitar especificar ciertalos servidores o proporcionen la información utilizada por éstos. Por ejemplo, puedelos servidores DNS primario y secundario, o bien establecer el tiempo de asignaciónIP.
Los siguientes son servicios DHCP predefinidos, según se describe en RFC 2132, “Vendor Extensions”.
En situaciones en la que las opciones predefinidas del servidor no son suficientes, pservidor DHCP personalizadas. Por ejemplo, para ciertas configuraciones de VoIP (enviar información adicional de configuración que no es reconocida por las opcionestales casos, debe definir opciones personalizadas apropiadas.
Terminología Terminología de CLI de NetScreen CódigoSubnet Mask netmask
Router Option gateway
Domain Name Server dns1, dns2, dns3
Domain Name domainname
NetBIOS over TCP/IP Name Server Option
wins1, wins2
IP Address Lease Time lease
SMTP Server Option smtp
POP3 Server Option pop3
NNTP Server Option news
(N/D) nis1, nis2 1
(N/D) nistag 1
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
397
actúan como clientes DHCP.
ver”erver”
namic.com
0.2400.241ring “Server 4”1.1.1.1teger 200472.16.10.19
CP, todos los miembros del . En caso de una conmutación
embargo, la finalización de la s entre miembros del clúster. de DHCP mediante el siguiente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Opciones de servidor DHCP personalizadasEn el ejemplo siguiente creará definiciones de servidor DHCP para teléfonos IP queLos teléfonos utilizan las opciones personalizadas siguientes:
• Código de opción 444, conteniendo la cadena “Server 4”
• Código de opción 66, conteniendo la dirección IP 1.1.1.1
• Código de opción 160, conteniendo el número entero 2004
CLI
1. Direccionesset address trust dns1 172.16.10.240/32 “primary dns serset address trust dns2 172.16.10.241/32 “secondary dns s
2. Servidor DHCPset interface ethernet1 dhcp server option domainname dyset interface ethernet1 dhcp server option lease 0set interface ethernet1 dhcp server option dns1 172.16.1set interface ethernet1 dhcp server option dns2 172.16.1set interface ethernet1 dhcp server option custom 444 stset interface ethernet1 dhcp server option custom 66 ip set interface ethernet1 dhcp server option custom 160 inset interface ethernet1 dhcp server ip 172.16.10.10 to 1
Servidor DHCP en un clúster de NSRPCuando la unidad maestra de un clúster NSRP redundante actúa como servidor DHclúster mantienen todas las configuraciones DHCP y asignaciones de direcciones IPpor error, la nueva unidad maestra mantiene todas las asignaciones de DHCP. Sin comunicación HA interrumpe la sincronización de las asignaciones DHCP existenteUna vez restablecida la comunicación de HA, puede resincronizar las asignaciones comando CLI en ambas unidades del clúster: set nsrp rto-mirror sync .
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
398
omprobar primero si la interfaz eso del servidor DHCP local si CP, el dispositivo envía e ninguna respuesta a sus
genera un mensaje indicando iado porque hay otro servidor r DHCP existente.
o de los tres modos de sitivo NetScreen comprueba si itivo para que no intente
del servidor DHCP de positivo no comprueba si hay e apagado.
T. En otros dispositivos NetScreen
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Detección del servidor DHCPCuando se inicia un servidor DHCP de un dispositivo NetScreen, el sistema puede cya tiene un servidor DHCP. ScreenOS impide automáticamente que se inicie el procdetecta la presencia de otro servidor DHCP en la red. Para detectar otro servidor DHpeticiones de arranque DHCP en intervalos de 2 segundos. Si el dispositivo no recibpeticiones de arranque, inicia su proceso local de servidor DHCP.
Si el dispositivo NetScreen recibe una respuesta de otro servidor DHCP, el sistemaque el servicio DHCP está habilitado en el dispositivo NetScreen, pero no se ha inicDHCP presente en la red. El mensaje del registro incluye la dirección IP del servido
Para detectar la presencia de un servidor DHCP en una interfaz, puede utilizarse unfuncionamiento siguientes: “Auto”, “Enable” o “Disable”7. En el modo “Auto”, el dispohay algún servidor DHCP presente siempre que arranca. Puede configurar el disposdetectar otro servidor DHCP en una interfaz activando el modo “Enable” o “Disable”NetScreen. En el modo “Enable”, el servidor DHCP está siempre encendido y el disalgún servidor DHCP en la red. En el modo “Disable”, el servidor DHCP está siempr
7. “Auto” es el modo predeterminado de detección de servidores DHCP en dispositivos NetScreen-5XP y NetScreen-5Xque admitan el servidor DHCP, el modo “Enable” es el modo predeterminado de detección de servidores DHCP.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
399
de iniciarse, compruebe si
ntes datos y haga clic en
sin comprobar si hay algún
ntes datos y haga clic en
terface dhcp server uto”, el servidor DHCP del ed. Con el comando unset vo NetScreen y también se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Activar la detección de servidores DHCPEn este ejemplo configurará el servidor DHCP de la interfaz ethernet1 para que, antes hay algún servidor DHCP en la interfaz.
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie OK :
Server Mode: Auto (seleccione)
CLI
set interface ethernet1 dhcp server autosave
Ejemplo: Desactivar la detección de servidores DHCPEn este ejemplo configurará el servidor DHCP de la interfaz ethernet1 para que se inicieservidor DHCP existente en la red.
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie OK :
Server Mode: Enable (seleccione)
CLI
set interface ethernet1 dhcp server enablesave
Nota: El servidor DHCP se puede activar ejecutando el comando CLI set interface inservice . Si el modo de detección del servidor DHCP establecido para la interfaz es “Adispositivo NetScreen solamente se inicia si no encuentra un servidor existente en la rinterface interface dhcp server service se inhabilita el servidor DHCP en el dispositielimina cualquier configuración DHCP.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
400
nvía peticiones y asignaciones DHCP entre el dispositivo l VPN.
cas o VLAN de un dispositivo ciones de servidor o cliente de retransmisión de DHCP, t”). Para las interfaces en el
finido DHCP-Relay. Para las t, mientras que el servidor
transparente no se requiere
n de DHCP. El agente de os los servidores DHCP ibida de un servidor.
ivo NetScreen como agente de HCP atraviesan un túnel VPN a
CP, no genera informes todas las asignaciones de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Agente de retransmisión de DHCPCuando actúa como agente de retransmisión de DHCP, el dispositivo NetScreen reeDHCP entre los hosts de una zona y el servidor DHCP de otra zona. Los mensajes NetScreen y el servidor DHCP se pueden transmitir en abierto o a través de un túne
Puede configurar un agente de retransmisión de DHCP en una o más interfaces físiNetScreen, aunque no puede configurar un agente de retransmisión de DHCP y funDHCP en la misma interfaz. Cuando el dispositivo NetScreen funciona como agentesus interfaces deben estar en el modo de ruta (“Route”) o transparente (“Transparenmodo de ruta es necesario configurar una directiva interzonal para el servicio predeinterfaces en el modo transparente, el cliente DHCP debe residir en la zona V1-TrusDHCP puede residir en la zona V1-Untrust o V1-DMZ. Para las interfaces en modo ninguna directiva.
Se pueden configurar hasta tres servidores DHCP para cada agente de retransmisióretransmisión envía una petición de dirección procedente de un cliente DHCP a todconfigurados. El agente de retransmisión reenvía al cliente la primera respuesta rec
La siguiente ilustración simplificada presenta el proceso de utilización de un dispositretransmisión de DHCP. Observe que, para garantizar la seguridad, los mensajes Dsu paso por la red no fiable.
Nota: Cuando un dispositivo NetScreen actúa como agente de retransmisión de DHsobre el estado de asignación de DHCP porque el servidor DHCP remoto controla direcciones IP.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
401
n de DHCPor DHCP en 194.2.9.10 y la
junto de direcciones IP definido ensajes DHCP pasan a través
ás de un dispositivo NetScreen ethernet1 está asociada a la ethernet3 está asociada a la uentran en el dominio de
dorP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Dispositivo NetScreen como agente de retransmisióEn este ejemplo, un dispositivo NetScreen recibe su información DHCP de un servidretransmite a los hosts en la zona Trust. Los hosts reciben direcciones IP de un conen el servidor DHCP. El rango de direcciones es 180.10.10.2—180.10.10.254. Los mde un túnel VPN entre el dispositivo NetScreen local y el servidor DHCP, situado detrremoto cuya dirección IP en la interfaz de la zona Untrust es 2.2.2.2/24. La interfaz zona Trust, tiene la dirección IP 180.10.10.1/24 y está en modo de ruta. La interfaz zona Untrust y tiene la dirección IP 1.1.1.1/24. Todas las zonas de seguridad se encenrutamiento trust-vr.
Host Agente deretransmisión
ServiDHC
Petición Petición
Asignación Asignación
Liberación Liberación
ZonaTrust
1
2
3
Túnel VPN en la zona Untrust
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
402
ic en Apply :
e)
OK:
ic en OK :
e)
DHCPServidor
194.2.9.10
Conjunto de direcciones IP180.10.10.2 – 180.10.10.254
Dispositivo NetScreen remoto
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
1. InterfacesInterfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga cl
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 180.10.10.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: Route
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga cl
Zone: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Internet
Túnel VPN
Enrutador1.1.1.250
ethernet1180.10.10.1/24
ethernet31.1.1.1/24
Zona Trust Zona Untrust
Dispositivo NetScreen local
Agente de retransmisión de DHCP
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
403
lic en OK :
tos y haga clic en OK :
2.2.2.2
n Return para establecer las de configuración básica:
leccione)g2-3des-shation)
OK :
n Return para establecer las de configuración básica:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: DHCP Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 194.2.9.10/32
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: dhcp server
Security Level: Custom
Remote Gateway Type:
Static IP: (seleccione), Address/Hostname:
Outgoing Interface: ethernet3
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Security Level: User Defined: Custom (se
Phase1 Proposal: rsa-Mode (Initiator): Main (ID Protec
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: to_dhcp
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), to_dhcp
> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página
Bind to: None
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
404
os siguientes datos y haga clic
.2.9.10
N: (seleccione)
es datos y haga clic en OK :
haga clic en OK :
erver
ione)
tráfico VPN saliente como para el de lo largo de su ruta al dispositivo enrutador.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Agente de retransmisión de DHCPNetwork > DHCP > Edit (para ethernet1) > DHCP Relay Agent: Introduzca len Apply :
Relay Agent Server IP or Domain Name: 194
Use Trust Zone Interface as Source IP for VP
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.2508
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DHCP S
Service: DHCP-Relay
Action: Tunnel
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (selecc
8. Establecer una ruta al enrutador externo designado como puerta de enlace predeterminada es esencial tanto para elred. En este ejemplo, el dispositivo NetScreen envía tráfico VPN encapsulado a este enrutador como primer salto a NetScreen remoto. En la ilustración de este ejemplo, el concepto aparece representando como túnel atravesando el
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
405
nterface ethernet3
es-sha
0
gateway 1.1.1.250
lay tunnel vpn to_dhcplay tunnel vpn to_dhcp
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 180.10.10.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address untrust dhcp_server 194.2.9.10/32
3. VPNset ike gateway “dhcp server” ip 2.2.2.2 main outgoing-i
proposal rsa-g2-3des-shaset vpn to_dhcp gateway “dhcp server” proposal g2-esp-3d
4. Agente de retransmisión de DHCPset interface ethernet1 dhcp relay server-name 194.2.9.1set interface ethernet1 dhcp relay vpn
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivasset policy from trust to untrust any dhcp_server dhcp-reset policy from untrust to trust dhcp_server any dhcp-resave
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
406
ámicamente de un servidor faces asociadas a una sola ninguna de ellas esté s conectadas al mismo el cliente DHCP recibe una
dinámicamente. Cuando el cibe su dirección IP, la a dirección arrendada. La
gente de retransmisión urar más de un papel
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Cliente DHCPCuando actúa como cliente DHCP, el dispositivo NetScreen recibe una dirección IP dinDHCP para cualquier interfaz física en cualquier zona de seguridad. Si hay varias interzona de seguridad, puede configurar un cliente DHCP para cada interfaz, siempre queconectada al mismo segmento de red. Si configura un cliente DHCP para dos interfacesegmento de red, se utilizará la primera dirección asignada por un servidor DHCP. (Si actualización de dirección para la misma dirección IP, IKE no se reencripta).
Ejemplo: Dispositivo NetScreen como cliente DHCPEn este ejemplo, la interfaz asociada a la zona Untrust tiene una dirección IP asignadadispositivo NetScreen solicita una dirección IP al proveedor de servicios de Internet, remáscara de subred, la dirección IP de la puerta de enlace y el periodo de vigencia de ldirección IP del servidor DHCP es 2.2.2.5.
Nota: Aunque algunos dispositivos NetScreen pueden actuar como servidor DHCP, ade DHCP o cliente DHCP al mismo tiempo, en una misma interfaz no se puede configde DHCP.
Zona Trust
1. Dirección IP solicitada para ethernet3 (zona Untrust)
2. Dirección IP asignadaISP
(servidor DHCP)
InternetZona Untrust
LAN interna
2.2.2.5
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
407
HCP9 y haga clic en OK .
os siguientes medios:
ediante comandos CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using D
CLI
set interface ethernet3 dhcp clientset interface ethernet3 dhcp settings server 2.2.2.5save
Nota: Antes de poder configurar un sitio para el servicio DHCP, debe disponer de l
• Línea de abonado digital (DSL) y el módem correspondiente
• Cuenta con un ISP
9. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
408
inámico de hosts (“Dynamic s TCP/IP y dirección IP para en pueden actuar como alquier zona. Cuando un CP, puede transferir a su de cliente DHCP10. Los áscara de subred, así como
predeterminado del dispositivo do reside en la interfaz de la zona modo de puerto “Trust-Untrust”, en
ork” y “Combined”. Para otros
ervidor DHCP
na Untrust: Cliente DHCP
lientes de DHCP
na Trust: Servidor DHCPones IP dinámicamente del ISP.
.1.1/0go de DHCP:.1.50 - 10.1.1.200
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Propagación de los ajustes TCP/IPAlgunos dispositivos NetScreen pueden actuar como cliente del protocolo de control dHost Control Protocol” o “DHCP”), recibiendo de un servidor DHCP externo sus ajustecualquier interfaz física en cualquier zona de seguridad. Algunos dispositivos NetScreservidores DHCP, proporcionando ajustes TCP/IP y direcciones IP a los clientes en cudispositivo NetScreen actúa simultáneamente como cliente DHCP y como servidor DHmódulo predeterminado de servidor DHCP los ajustes TCP/IP obtenidos de su móduloajustes TCP/IP incluyen la dirección IP de la puerta de enlace predeterminada y una mlas direcciones IP para cualquiera o todos los servidores siguientes:
10. Si bien es posible configurar hasta ocho servidores DHCP en cualquier interfaz física o interfaz VLAN, el servidor DHCPreside en una interfaz específica en cada plataforma. En el dispositivo NetScreen-5XP, el servidor DHCP predeterminaTrust. En el dispositivo NetScreen-5XT, el servidor DHCP predeterminado reside en la interfaz de la zona Trust para el la interfaz ethernet1 para el modo de puerto “Dual-Untrust” y en la interfaz ethernet2 para los modos de puerto “Home-Wdispositivos, el servidor DHCP predeterminado reside en la interfaz ethernet1.
• DNS (3) • SMTP (1)
• WINS (2) • POP3 (1)
• NetInfo (2) • News (1)
S
Interfaz de la zo
Zona Trust
Zona Untrust
Ajustes TCP/IP y dirección IP de la interfaz de la zona Untrust
Ajustes TCP/IP
C
Interfaz de la zo
El dispositivo NetScreen es a la vez un cliente del servidor DHCP en la zona Untrust y un servidor DHCP para los clientes de la zona Trust.
Toma los ajustes TCP/IP que recibe como cliente DHCP y los reenvía como servidor DHCP a los clientes en la zona Trust.
ISP
Recibe direcci
10.1Ran10.1
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
409
ede configurar el módulo del update-dhcpserver . También
nte DHCP en la interfaz erminado se encuentra en la
z ethernet3 y sus ajustes o de cliente DHCP en el P que reciba.
ajustes TCP/IP que reciba del
ara de red y los servidores
tes ajustes TCP/IP que no
es IP del siguiente conjunto de 50 – 10.1.1.200.
s IP (lo cual es el comportamiento a máscara de red debe eliminarse el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para propagar todos los ajustes TCP/IP que reciba del módulo de cliente DHCP, puservidor DHCP ejecutando el comando set interface interface dhcp-client settingspuede dar preferencia a cualquier ajuste sobre otro.
Ejemplo: Reenviar ajustes TCP/IPEn este ejemplo configurará el dispositivo NetScreen para actuar a la vez como clieethernet3 y como servidor DHCP en la interfaz ethernet1. (El servidor DHCP predetinterfaz ethernet1).
Como cliente DHCP, el dispositivo NetScreen recibe una dirección IP para la interfaTCP/IP de un servidor DHCP externo con la dirección 211.3.1.6. Habilitará el móduldispositivo NetScreen para transferir al módulo de servidor DHCP los ajustes TCP/I
Configurará el módulo de servidor DHCP NetScreen para hacer lo siguiente con losmódulo de cliente DHCP:
• Reenviar las direcciones IP de DNS a sus clientes DHCP en la zona Trust.
• Ignorar las direcciones IP de la puerta de enlace predeterminada11, la máscSMTP y POP3, dando preferencia a las siguientes:
– 10.1.1.1 (dirección IP de la interfaz ethernet1)
– 255.255.255.0 (máscara de red para la interfaz ethernet1)
– SMTP: 211.1.8.150
– POP3: 211.1.8.172
También configurará el módulo de servidor DHCP para que proporcione los siguienrecibe del módulo de cliente DHCP:
• Servidor WINS principal: 10.1.2.42
• Servidor WINS secundario: 10.1.5.90
Finalmente, configurará el módulo de servidor DHCP de modo que asigne direcciondirecciones IP a los hosts que actúen como clientes DHCP en la zona Trust: 10.1.1.
11. Si el servidor DHCP ya está habilitado en la interfaz de la zona Trust y dispone de un conjunto definido de direccionepredeterminado en algunos dispositivos NetScreen), antes de poder cambiar la puerta de enlace predeterminada y lconjunto de direcciones IP.
Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts
410
3.1.6server
1.155.255.04290172150.1.200
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
WebUI
CLI
1. Cliente DHCPset interface ethernet3 dhcp-client settings server 211.set interface ethernet3 dhcp-client settings update-dhcpset interface ethernet3 dhcp-client settings autoconfigset interface ethernet3 dhcp-client enable
2. Servidor DHCPset interface ethernet1 dhcp server option gateway 10.1.set interface ethernet1 dhcp server option netmask 255.2set interface ethernet1 dhcp server option wins1 10.1.2.set interface ethernet1 dhcp server option wins2 10.1.5.set interface ethernet1 dhcp server option pop3 211.1.8.set interface ethernet1 dhcp server option smtp 211.1.8.set interface ethernet1 dhcp server ip 10.1.1.50 to 10.1set interface ethernet1 dhcp server servicesave
Nota: Esta característica solamente se puede establecer mediante CLI.
Capítulo 8 Parámetros del sistema PPPoE
411
protocolo punto a punto so telefónico, con el protocolo las instalaciones del cliente. ccesos, la facturación y el tipo
s NetScreen admiten un cliente des de cable gestionadas por
PoE en cualquier interfaz o en una contraseña, así como con e Ethernet (una principal y una
ara PPPoE. Por ejemplo, en el ra DHCP y la interfaz de
erfaz principal como para la de
een para conexiones PPPoE, y
inámicamente para su interfaz icamente direcciones IP para cliente PPPoE y como servidor plo se encuentra en modo NAT.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
PPPOEEl protocolo PPP a través de Ethernet (“PPP-over-Ethernet” o “PPPoE”) combina el(“Point-to-Point Protocol” o “PPP”), utilizado generalmente para conexiones de acceEthernet, que permite conectar varios usuarios de un sitio a los mismos equipos de Aunque muchos usuarios pueden compartir la misma conexión física, el control de ade servicio se gestionan independientemente para cada usuario. Algunos dispositivoPPPoE, permitiéndoles funcionar de modo compatible con DSL, Ethernet Direct y reISPs, que utilizan el protocolo PPPoE para el acceso a Internet de sus clientes.
En dispositivos que admiten PPPoE se puede configurar una instancia de cliente PPtodas ellas. Configurará una instancia PPPoE específica con un nombre de usuario yotros parámetros, y asociará la instancia a una interfaz. Cuando hay dos interfaces dde respaldo) asociadas a la zona Untrust, puede configurar una de ellas o ambas pmodo de puerto “Dual Untrust”12, puede configurar la interfaz principal (ethernet3) parespaldo (ethernet2) para PPPoE. O bien, puede configurar PPPoE tanto para la intrespaldo.
Ejemplo: Configurar PPPoEEl ejemplo siguiente ilustra cómo definir la interfaz no fiable de un dispositivo NetScrcómo iniciar el servicio PPPoE.
En este ejemplo, el dispositivo NetScreen recibe del ISP una dirección IP asignada dde la zona Untrust (ethernet3), al tiempo que el dispositivo NetScreen asigna dinámlos tres hosts de su zona Trust. En este caso, el dispositivo NetScreen actúa como DHCP. La interfaz de la zona Trust debe estar en modo NAT o Route. En este ejem
12. Algunos dispositivos NetScreen, como el NetScreen-5XT, admiten los modos de puerto.
Capítulo 8 Parámetros del sistema PPPoE
412
e los siguientes medios:
s y haga clic en OK :
e)
Internet
Zona Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer d
• Línea de abonado digital (DSL) y el módem correspondiente
• Cuenta con un ISP
• Nombre de usuario y contraseña (obtenida del ISP)
WebUI
1. Interfaces y PPPoENetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 172.16.30.10/24
DispositivoNetScreen
Módem DSL
ISP
Línea DSL
Concentrador (hub)
DSLAMCA
Servidor DNS principal
Servidor DNS secundarioZona TrustRango de DHCP:
172.16.30.2 - 172.16.30.5
Untrust (ethernet3): modo DHCP Interfaz de Trust: 172.16.30.10/24
Capítulo 8 Parámetros del sistema PPPoE
413
s y haga clic en OK:
a>
oE, haga clic en Connect .
rver y haga clic en Apply .
tes datos y haga clic en Apply :
y haga clic en Return:
)
Internet (ISP) proporciona direcciones IP para los dispositivo NetScreen recibe ben de forma predeterminada n los ajustes locales, puede este comportamiento. obtener las direcciones IP de n y en los hosts de la zona
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: <nombre>/<contraseñ
Network > Interfaces > Edit (para ethernet3): Para verificar su conexión PPP
2. Servidor DHCPNetwork > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP Se
Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los siguien
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0
> Advanced: Introduzca los siguientes datos
DNS#2: 0.0.0.0
Domain Name: (dejar en blanco
Nota: Cuando se inicia una conexión PPPoE, el proveedor de servicios deautomáticamente las direcciones IP para la interfaz de la zona Untrust y lasservidores del servicio DNS (“Domain Name Service” o “DNS”). Cuando el direcciones DNS a través de PPPoE, los nuevos ajustes de DNS sobrescrilos ajustes locales. Si no desea que los nuevos ajustes de DNS reemplaceutilizar el comando CLI unset pppoe dhcp-updateserver para desactivarSi utiliza una dirección IP estática para la interfaz de la zona Untrust, debelos servidores DNS e introducirlos manualmente en el dispositivo NetScreeTrust.
Capítulo 8 Parámetros del sistema PPPoE
414
os siguientes datos y haga clic
bajo.
ndrá de éste las direcciones IP
a los servidores DNS. conexión TCP/IP.
Untrust pasa automáticamente
a zona Trust, el dispositivo NS que recibe del ISP a los
DHCP, deberá introducir
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca len OK :
Dynamic: (seleccione)
IP Address Start: 172.16.30.2
IP Address End: 172.16.30.5
3. Activación de PPPoE en el dispositivo NetScreenApague el módem DSL, el dispositivo NetScreen y las tres estaciones de tra
Encienda el módem DSL.
Encienda el dispositivo NetScreen.
El dispositivo NetScreen establecerá una conexión PPPoE con el ISP y obtepara los servidores DNS.
4. Activación de DHCP en la red internaEncienda las estaciones de trabajo.
Las estaciones de trabajo recibirán automáticamente las direcciones IP parObtendrán una dirección IP para sí mismas cuando intenten establecer una
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zonapor el proceso de encapsulado PPPoE.
Nota: Cuando se utiliza DHCP para asignar direcciones IP a los hosts de lNetScreen reenvía automáticamente las direcciones IP de los servidores Dhosts.
Si las direcciones IP para los hosts no se asignan dinámicamente mediantemanualmente las direcciones IP de los servidores DNS en cada host.
Capítulo 8 Parámetros del sistema PPPoE
415
2.16.30.5
bajo.
a los servidores DNS. conexión TCP/IP.
Untrust pasa automáticamente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfaces y PPPoEset interface ethernet1 zone trustset interface ethernet1 ip 172.16.30.10/24set interface ethernet3 zone untrustset pppoe interface ethernet3set pppoe username name_str password pswd_str
Para comprobar su conexión PPPoE:
exec pppoe connectget pppoe
2. Servidor DHCPset interface ethernet1 dhcp server serviceset interface ethernet1 dhcp server ip 172.16.30.2 to 17set interface ethernet1 dhcp server option lease 60save
3. Activación de PPPoE en el dispositivo NetScreenApague el módem DSL, el dispositivo NetScreen y las tres estaciones de tra
Encienda el módem DSL.
Encienda el dispositivo NetScreen.
4. Activación de DHCP en la red internaEncienda las estaciones de trabajo.
Las estaciones de trabajo recibirán automáticamente las direcciones IP parObtendrán una dirección IP para sí mismas cuando intenten establecer una
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zonapor el proceso de encapsulado PPPoE.
Capítulo 8 Parámetros del sistema PPPoE
416
paldo de la
st”. En el ejemplo siguiente ) hacia la zona Untrust.
:
:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Configurar PPPoE en las interfaces principal y de reszona UntrustEn este ejemplo, el dispositivo NetScreen-5XT se encuentra en el modo “Dual Untruconfigurará PPPoE para las interfaces principal (ethernet3) y de respaldo (ethernet2
WebUI
Configuración de PPPoE para la interfaz ethernet3
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK
PPPoE instance: eth3-pppoe
Bound to interface: ethernet3 (seleccione)
Username: user1
Password: 123456
Authentication: Any (seleccione)
Access Concentrator: ac-11
Configuración de PPPoE para la interfaz ethernet2
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK
PPPoE instance: eth2-pppoe
Bound to interface: ethernet2 (seleccione)
Username: user2
Password: 654321
Authentication: Any (seleccione)
Access Concentrator: ac-22
Capítulo 8 Parámetros del sistema PPPoE
417
oE (cada una con la misma de red privada con un ISP y establecer estas conexiones te a otros ISPs.
do solamente por el número de e interfaces físicas que pueden e-timeout, auto-connect y otros
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Configuración de PPPoE para la interfaz ethernet3set pppoe name eth3-pppoe username user1 password 123456set pppoe name eth3-pppoe ac ac-11set pppoe name eth3-pppoe authentication anyset pppoe name eth3-pppoe interface ethernet3
2. Configuración de PPPoE para la interfaz ethernet2set pppoe name eth2-pppoe username user2 password 654321set pppoe name eth2-pppoe ac ac-22set pppoe name eth2-pppoe authentication anyset pppoe name eth2-pppoe interface ethernet2save
Múltiples sesiones PPPoE a través de una sola interfazAlgunos dispositivos NetScreen admiten la creación de múltiples subinterfaces PPPdirección MAC) para una interfaz física dada. Esto permite establecer una conexiónconectarse a Internet a través de otro ISP utilizando la misma interfaz física. Puedeusando otro nombre de usuario o nombres de dominio o conectarse simultáneamen
El número máximo de sesiones PPPoE simultáneas en una interfaz física está limitasubinterfaces permitidas por el dispositivo. No hay restricción en cuanto al número dadmitir múltiples sesiones. Puede especificar los parámetros username, static-ip, idlpor separado para cada instancia o sesión PPPoE.
Capítulo 8 Parámetros del sistema PPPoE
418
z no etiquetada no utiliza una En lugar de ello, utiliza una PoE. De este modo, al instancias PPPoE. Puede cado (CA), permitiendo que una sola interfaz. Para obtener virtuales”.
res de accesos
ica (p. ej. ethernet7)
isp_1ac
isp_2ac
isp_3ac
Tres sesiones PPPoE
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Interfaces no etiquetadasPara admitir una sesión PPPoE, la subinterfaz no debe estar etiquetada. Una interfaetiqueta de LAN virtual para identificar la VLAN correspondiente a una subinterfaz. característica denominada “encap”, que asocia la subinterfaz a la encapsulación PPhospedar múltiples subinterfaces, una sola interfaz física puede hospedar múltiples configurar cada instancia de modo que acceda al concentrador de accesos especifientidades independientes tales como ISPs administren sesiones PPPoE a través demás información sobre VLANs y etiquetas VLAN, consulte el Volumen 9, “Sistemas
Múltiples subinterfaces
Concentrado
Interfaz física ún
isp_2acisp_1ac
isp_2isp_3
isp_1
isp_3ac
Zona Trust Zona Untrust
ethernet7
Tres instancias PPPoEe7
e7.1e7.2
Capítulo 8 Parámetros del sistema PPPoE
419
r de accesos (CA) para cada
h”, asociada a la interfaz
asociada a la subinterfaz
sociada a la subinterfaz
atos y haga clic en OK:
aga clic en OK:
aga clic en OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Múltiples instancias PPPoEEn el ejemplo siguiente definirá tres instancias PPPoE, especificará un concentradouna y luego iniciará cada instancia.
• Instancia isp_1, nombre de usuario “user1@domain1”, contraseña “swordfisethernet7. El CA se llama “isp_1ac”.
• Instancia isp_2, nombre de usuario “user2@domain2”, contraseña “marlin”,ethernet7.1. El CA se llama “isp_2ac”.
• Instancia isp_3, nombre de usuario “user3@domain3”, contraseña “trout”, aethernet7.2. El CA se llama “isp_3ac”.
WebUI
Interfaz y subinterfaces
1. Network > Interfaces > Edit (para ethernet7): Introduzca los siguientes d
Zone Name: Untrust
2. Network > Interfaces > New (Sub-IF): Introduzca los siguientes datos y h
Interface Name: ethernet7.1
Zone Name: Untrust
3. Network > Interfaces > New (Sub-IF): Introduzca los siguientes datos y h
Interface Name: ethernet7.2
Zone Name: Untrust
Capítulo 8 Parámetros del sistema PPPoE
420
OK:
OK:
OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Instancias PPPoE y CA
4. Network > PPPoE > New: Introduzca los siguientes datos y haga clic en
PPPoE Instance: isp_1
Enable: Enable
Bound to Interface: ethernet7
Username: user1@domain1
Access Concentrator: isp_1ac
5. Network > PPPoE > New: Introduzca los siguientes datos y haga clic en
PPPoE Instance: isp_2
Enable: Enable
Bound to Interface: ethernet7.1
Username: user2@domain2
Access Concentrator: isp_2ac
6. Network > PPPoE > New: Introduzca los siguientes datos y haga clic en
PPPoE Instance: isp_3
Enable: Enable
Bound to Interface: ethernet7.2
Username: user3@domain3
Access Concentrator: isp_3ac
Iniciación del protocolo PPPoE
7. Network > PPPoE > Connect (para isp_1)
8. Network > PPPoE > Connect (para isp_2)
9. Network > PPPoE > Connect (para isp_3)
Capítulo 8 Parámetros del sistema PPPoE
421
rdfish
lin
ut
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Interfaz y subinterfacesset interface ethernet7 zone untrustset interface ethernet7.1 encap pppoe zone untrustset interface ethernet7.2 encap pppoe zone untrust
2. Instancias PPPoE y CAsset pppoe name isp_1 username user1@domain1 password swoset pppoe name isp_1 interface ethernet7set pppoe name isp_1 ac isp_1acset pppoe name isp_2 username user2@domain2 password marset pppoe name isp_2 interface ethernet7.1set pppoe name isp_2 ac isp_2acset pppoe name isp_3 username user3@domain3 password troset pppoe name isp_3 interface ethernet7.2set pppoe name isp_3 ac isp_3acsave
3. Iniciación del protocolo PPPoEexec pppoe name isp_1 connectexec pppoe name isp_2 connectexec pppoe name isp_3 connect
Capítulo 8 Parámetros del sistema PPPoE
422
mir el fallo de una conexión stado PPPoE con el dispositivo ositivo maestro, no tiene que ede mantener la comunicación ando la interfaz PPPoE está después del fallo. Para obtener 0, “Alta disponibilidad”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
PPPoE y alta disponibilidadDos dispositivos NetScreen que admitan PPPoE en modo activo/pasivo pueden asuPPPoE. En el momento de iniciar la conexión, el dispositivo maestro sincroniza su ede respaldo. Dado que el dispositivo pasivo utiliza la misma dirección IP que el dispestablecer una nueva conexión PPPoE al convertirse en el maestro. Por lo tanto, pucon el concentrador de accesos después del fallo del maestro. Esto es necesario cusoportando conexiones de VPN que deben mantenerse con la misma IP de interfaz más información sobre configuraciones de alta disponibilidad, consulte el Volumen 1
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
423
olo dispositivo o en dispositivos
424425
na 431 pàgina 434a” en la pàgina 434 pàgina 439
DI” en la pàgina 448
zar a la 5.0.0 antes de poder
arde el archivo de configuración ita restablecerlo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ACTUALIZACIÓN O DEGRADACIÓN DE FIRMWAREEsta sección describe tres métodos para actualizar un dispositivo NetScreen:
• Interfaz de usuario basada en web (WebUI)
• Interfaz de línea de comandos (CLI )
• Cargador de arranque o cargador de ScreenOS
Los procedimientos varían dependiendo de si está descargando el firmware en un sconfigurados para alta disponibilidad.
La sección contiene los siguientes apartados:
• “Requisitos para actualizar o degradar firmware del dispositivo” en la pàgina– “Conexión del servidor de NetScreen-Security Manager” en la pàgina
• “Descarga de nuevo firmware” en la pàgina 426– “Carga de nuevo firmware” en la pàgina 429– “Mediante el cargador de arranque o del sistema operativo” en la pàgi
• “Actualización de dispositivos NetScreen en una configuración NSRP” en la– “Actualización de dispositivos en una configuración NSRP activa/pasiv– “Actualizar dispositivos en una configuración NSRP activa/activa” en la
• “Autenticar firmware y archivos DI” en la pàgina 445– “Obtención del certificado de autenticación” en la pàgina 445– “Carga del certificado de autenticación” en la pàgina 447– “Autenticación de firmware de ScreenOS” en la pàgina 448– “Autenticación de un archivo de base de datos de objetos de ataques
Nota: Si tiene una versión anterior a la 5.0.0 (por ejemplo, la 4.0.X), deberá actualiactualizar su NetScreen con el firmware de ScreenOS 5.1.0.
Importante: Antes de comenzar el proceso de actualizar un dispositivo NetScreen, guexistente y cerciórese de que dispone de un firmware 5.0.0 de ScreenOS por si neces
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
424
tivotivo NetScreen o restablecer n dispositivo NetScreen o el cargador de arranque o
tworks y guardado
u equipo
tworks y guardado en el
e, pero Juniper Networks mismo dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Requisitos para actualizar o degradar firmware del disposiEsta sección detalla los requisitos para realizar la actualización del firmware del disposiuna versión antigua. Puede utilizar uno de los tres siguientes métodos para actualizar udegradarlo de la versión ScreenOS 5.1.0 a la ScreenOS 5.0.0: WebUI, CLI o a través ddel cargador de ScreenOS.
Para utilizar WebUI, debe disponer de:
• Privilegios raíz (root) o de lectura-escritura en el dispositivo NetScreen
• Acceso por red al dispositivo NetScreen desde su equipo
• Un navegador de Internet instalado en su equipo
• El nuevo firmware de ScreenOS (descargado desde el sitio web de Juniper Nelocalmente en su equipo)
Para utilizar la interfaz de línea de comandos (CLI), debe disponer de:
• Privilegios raíz (root) o de lectura-escritura en el dispositivo NetScreen
• Una conexión de consola o un acceso Telnet al dispositivo NetScreen desde s
• Un servidor TFTP instalado en su equipo
• El nuevo firmware de ScreenOS (descargado desde el sitio web de Juniper Nedirectorio del servidor TFTP en su equipo)
Nota: Puede actualizar o degradar un dispositivo NetScreen localmente o remotamentrecomienda realizar la actualización o el restablecimiento de una versión anterior en elNetScreen.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
425
sferir datos desde el servidor
dministrar el dispositivo
en su equipo
so a paso en las secciones positivos NetScreen en una
reen-Security Manager 2004,
ctarse al servidor de te de ScreenOS.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para actualizar o degradar a través del cargador de arranque, debe disponer de:
• Privilegios raíz (root) o de lectura-escritura en el dispositivo NetScreen
• Un servidor TFTP instalado en su equipo o en su red local
• Una conexión Ethernet desde su equipo al dispositivo NetScreen (para tranTFTP en su equipo)
• Una conexión de consola desde su equipo al dispositivo NetScreen (para aNetScreen)
• El nuevo firmware de ScreenOS guardado en el directorio del servidor TFTP
Para actualizar o degradar un dispositivo NetScreen, consulte los procedimientos pasiguientes: “Carga de nuevo firmware” en la pàgina 429 o bien “Actualización de disconfiguración NSRP” en la pàgina 434.
Conexión del servidor de NetScreen-Security ManagerSi el dispositivo NetScreen que desea degradar está conectado a un servidor NetScantes de degradar el dispositivo deberá ejecutar los siguientes comandos CLI:
unset nsm enableunset nsm init otpunset nsm init idunset nsm server primarydelete nsm keyssave
Si no ejecuta estos comandos antes de degradar el dispositivo, éste no podrá coneNetScreen-Security Manager la próxima vez que lo actualice a la versión más recien
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
426
ware más reciente de acceder a descargas de . Si todavía no ha registrado su en el sitio web de Juniper
eenOS 5.1.0 que haya cargado lizar a ScreenOS 5.1.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Descarga de nuevo firmwareAntes de comenzar la actualización de los dispositivos NetScreen, debe tener el firmScreenOS. Puede obtener el firmware desde el sitio web de Juniper Networks. Parafirmware, debe ser un cliente registrado con una ID de usuario y contraseña activasproducto NetScreen, deberá hacerlo antes de proceder. Puede registrar su productoNetworks.
Nota: Si degrada a la versión ScreenOS 5.0.0, se perderán todas las claves de Scren el dispositivo. Sin embargo, las claves cargadas en el dispositivo antes de actuapermanecerán intactas.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
427
niper.net/support. Haga clic en
ic en LOGIN.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para obtener el firmware de ScreenOS más reciente, visite el sitio web http://www.ju“Support > Customer Support Center” y siga estos pasos:
1. Inicie una sesión introduciendo su ID de usuario y contraseña y haciendo cl
2. Bajo “My Technical Assistance Center”, haga clic en Download Software.
Juniper mantiene una lista de las descargas disponibles.
3. Haga clic en Continue.
Aparecerá la página “File Download”.
Página “File Download”
Vínculos de productos
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
428
a descargar.
de firmware comprimido en
lización.
irmware en cualquier directorio.
irmware en el directorio raíz del o en su equipo, puede ible, debe utilizar WebUI para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. Haga clic en el vínculo del producto cuyo firmware desea descargar.
Aparecerá la página “Upgrades”.
5. Haga clic en el vínculo correspondiente a la versión de ScreenOS que dese
Aparecerá la página “Upgrades”.
6. Haga clic en el vínculo “Upgrade”.
Aparecerá el cuadro de diálogo de descarga de archivos “Download File”.
7. Haga clic en Save y navegue a la ubicación donde desee guardar el archivoformato ZIP.
Debe guardar el firmware en el equipo desde el que desee realizar la actua
– Si desea actualizar el dispositivo NetScreen usando WebUI, guarde el f
– Si desea actualizar los dispositivos NetScreen usando CLI, guarde el fservidor TFTP en el equipo. Si no tiene ningún servidor TFTP instaladdescargar uno desde Internet. Si no hay ningún servidor TFTP disponcargar el nuevo firmware en el dispositivo NetScreen.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
429
creen y para degradar un es del modo de
ormación sobre la obtención
a la dirección IP de íz (“root admin”) o como
(cfg.txt) y haga clic en Save.
nOS o escriba la ruta donde
ción.
radación estará completa
ware de ScreenOS del rmation” de la página
terior a ScreenOS 5.0.0, Asegúrese de guardar la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Carga de nuevo firmwareA continuación se incluyen los procedimientos para actualizar un solo dispositivo NetSsistema de ScreenOS 5.1.0 a ScreenOS 5.0.0. Estos procedimientos son independientfuncionamiento del dispositivo NetScreen.
Mediante WebUIRealice los pasos siguientes para cargar firmware con WebUI:
1. Cerciórese de que dispone del nuevo firmware de ScreenOS. Para obtener infdel nuevo firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo NetScreen con el explorador web e introduzcadministración en el campo “Address”. Inicie una sesión como administrador raadministrador con privilegios de lectura-escritura.
3. Guarde la configuración existente:a. Elija Configuration > Update > Config File y haga clic en Save to File. b. En el cuadro de diálogo “File Download”, haga clic en Save.c. Navegue a la ubicación donde desea guardar el archivo de configuración
4. Configuration > Update > ScreenOS/Keys > Select Firmware Update.5. Haga clic en Browse para navegar a la ubicación del nuevo firmware de Scree
se encuentra en el campo “Load File”.6. Haga clic en Apply.
Aparecerá un cuadro de mensaje con información sobre el tiempo de actualiza7. Haga clic en OK para continuar.
El dispositivo NetScreen se reiniciará automáticamente. La actualización o degcuando el dispositivo muestre la página de inicio de sesión en el explorador.
8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión de firmdispositivo NetScreen en la sección de información del dispositivo “Device Infoprincipal de WebUI.
Nota: Si está actualizando un dispositivo NetScreen desde una versión de firmware andebe actualizar el firmware a ScreenOS 5.0.0 antes de actualizarlo a ScreenOS 5.1.0. configuración existente para evitar la pérdida de datos al actualizar.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
430
información sobre la obtención 6.
elnet, Secure Shell (SSH) o ola. Inicie una sesión como
ctura-escritura.
flash | slot1 | tftp }.
el servidor TFTP.
e to flash, donde la dirección S.
ecer el dispositivo NetScreen. ispositivo.
en.
enOS del dispositivo
o
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Mediante CLI
Realice los pasos siguientes para cargar firmware con CLI:
1. Cerciórese de que dispone del nuevo firmware de ScreenOS. Para obtenerdel nuevo firmware, consulte “Descarga de nuevo firmware” en la pàgina 42
2. Inicie una sesión en el dispositivo NetScreen usando una aplicación como THyperterminal si está conectado directamente a través del puerto de la consadministrador raíz (“root admin”) o como administrador con privilegios de le
3. Guarde la configuración existente ejecutando el comando save config to {
4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación d
5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filenamIP es la de su equipo y el nombre de archivo es el del firmware de ScreenO
6. Cuando la actualización o degradación se haya completado, deberá restablEjecute el comando reset y teclee y cuando se le pida para restablecer el d
7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetScre
8. Utilice el comando get system para verificar la versión de firmware de ScreNetScreen.
9. Cargue el archivo de configuración que guardó en el paso 3 con el comandsave config to { flash | slot1 | tftp }.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
431
raciones de hardware básicas, NetScreen.
e/SO:
nsola del dispositivo NetScreen. inistrar el dispositivo NetScreen.
puerto 1 o al puerto de ansferencia de datos entre el
directorio del servidor TFTP de onsulte “Descarga de nuevo
el servidor TFTP. Puede
al, como HyperTerminal. Inicie n privilegios de
o load new firmware” en la ir el proceso de arranque.
are de ScreenOS 5.1.0 en la la memoria flash.
irmware guardado en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Mediante el cargador de arranque o del sistema operativoEl cargador de arranque/SO pone en marcha el sistema de hardware, realiza configuy a veces vitales, y carga el software del sistema utilizado para operar un dispositivo
Realice los pasos siguientes para cargar firmware mediante el cargador de arranqu
1. Conecte su equipo al dispositivo NetScreen:
a. Con un cable serie, conecte el puerto serie de su equipo al puerto de coEsta conexión, conjuntamente con una aplicación terminal, permite adm
b. Mediante un cable Ethernet, conecte el puerto de red de su equipo al administración del dispositivo NetScreen13. Esta conexión permite la trequipo, el servidor TFTP y el dispositivo NetScreen.
2. Asegúrese de que dispone del nuevo firmware de ScreenOS guardado en el su equipo. Para obtener información sobre la obtención del nuevo firmware, cfirmware” en la pàgina 426.
3. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación dminimizar su ventana, pero debe permanecer activa en segundo plano.
4. Inicie una sesión en el dispositivo NetScreen usando un emulador de terminuna sesión como administrador raíz (“root admin”) o como administrador colectura-escritura.
5. Reinicie el dispositivo NetScreen.
6. Cuando aparezcan los mensajes “Hit any key to run loader” o “Hit any key tpantalla de la consola, presione cualquier tecla en su equipo para interrump
Nota: En el NetScreen-500, este proceso no se puede utilizar para guardar el firmwmemoria flash. Utilice WebUI o CLI para guardar el firmware de ScreenOS 5.1.0 en
13. El puerto utilizado para la conexión depende del modelo de dispositivo NetScreen.
Nota: Si no interrumpe el dispositivo NetScreen a tiempo, éste cargará el fmemoria flash.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
432
de ScreenOS que desea
á el archivo especificado de la nombre de archivo, el archivo arjetas Compact Flash, mbre de archivo.
misma subred que la del
l servidor TFTP.
ualización de una serie de bolos moviéndose en la pletado, un mensaje le
e arranque
uiente:
n se ejecuta automáticamente
ionar un nombre de archivo
; de lo contrario, el cargador de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
7. En el mensaje “Boot File Name”, escriba el nombre del archivo del firmwarecargar. Si escribe slot1: antes del nombre de archivo especificado, el cargador leerCompact Flash o tarjeta de memoria externa. Si no escribe slot1: antes delserá descargado del servidor TFTP. Si el dispositivo NetScreen no admite taparecerá un mensaje de error y la consola le pedirá escribir de nuevo el no
8. En el mensaje “Self IP Address”, escriba una dirección IP perteneciente a laservidor TFTP.
9. Cuando aparezca el mensaje “TFTP IP Address”, escriba la dirección IP de
Una indicación de que el firmware se está cargando correctamente es la vis“rtatatatatatata…” en la pantalla del emulador de terminal y una serie de símventana del servidor TFTP. Cuando la instalación del firmware se haya cominformará de la instalación correcta.
Guardar múltiples imágenes del firmware con el cargador d
Una vez descargado correctamente el firmware, la consola visualiza la pregunta sig
Save to on-board flash disk? (y/[n]/m)
Responda y (sí) para guardar el archivo como firmware predeterminado. Esta imagesi usted no interrumpe el proceso de arranque.
Responda m (múltiple) para guardar el archivo como firmware múltiple. Debe selecccuando aparezca el aviso siguiente:
Please input multiple firmware file name [BIMINITE.D]: test.d
Nota: Las direcciones “Self IP” y “TFTP IP” deben estar en la misma subredTFTP rechaza la dirección “Self IP” y pide que se vuelva a introducir.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
433
a partir del nombre introducido do.
8.3. La longitud máxima del aracteres. Sólo las series
En el NetScreen-5GT, puede NetScreen-ISG2000 y h integrado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
El nombre entre corchetes es el nombre recomendado, generado automáticamenteen el servidor TFTP. Si no introduce ningún nombre, se utiliza el nombre recomenda
Nota: Debe introducir un nombre compatible con la nomenclatura de archivos DOSnombre del archivo de arranque utilizado por el cargador no puede exceder de 63 cNetScreen-5GT, NetScreen-ISG200 y NetScreen-5000 admiten firmware múltiple. asignar un máximo de tres archivos de firmware al disco flash integrado. Las seriesNetScreen-5000 no tienen límite para guardar archivos de firmware en el disco flas
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
434
ación NSRPtScreen (“NetScreen Esta sección describe dos : NSRP activa/pasiva y NSRP
va/pasivaispositivo A es el maestro y el
ara actualizar o degradar ware de ScreenOS al que está
creenOS 5.0.0, debe actualizar dimientos de esta sección nOS 5.1.0.
evo firmware. Hacerlo podría
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Actualización de dispositivos NetScreen en una configurPara dispositivos NetScreen en una configuración del protocolo de redundancia NeRedundancy Protocol” o “NSRP”), debe actualizar cada dispositivo individualmente.procedimientos distintos de actualización para dos configuraciones NSRP diferentesactiva/activa.
Actualización de dispositivos en una configuración NSRP actiEl ejemplo siguiente ilustra una configuración NSRP básica activa/pasiva en la que el ddispositivo B es el respaldo.
Antes de comenzar, lea los requisitos para realizar una actualización (“Requisitos pfirmware del dispositivo” en la pàgina 424). Asegúrese también de descargar el firmactualizando cada dispositivo.
Nota: Si está actualizando un dispositivo NetScreen desde una versión anterior a Sel dispositivo a ScreenOS 5.0.0 antes de actualizarlo a ScreenOS 5.1.0. Los procedescriben cómo actualizar un dispositivo NetScreen desde ScreenOS 5.0.0 a Scree
Aviso: No apague su dispositivo NetScreen mientras se está actualizando con el nudañar permanentemente el dispositivo.
NSRP Activa/Pasiva
Dispositivo A (maestro) Dispositivo B (respaldo)
Vínculo HA
Grupo VSD 0
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
435
pasos (tenga en cuenta que s CLI):
formación sobre la obtención
ternet Explorer o Netscape) e una sesión como lectura-escritura.
.
ción (cfg.txt) y haga clic en
pdate.
5.1.0 o escriba la ruta donde
ualización.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Procedimiento de actualización
Para actualizar dos dispositivos en una configuración NSRP activa/pasiva, siga estosalgunos de estos pasos sólo se pueden ejecutar con la interfaz de línea de comando
A. Actualizar el dispositivo B a ScreenOS 5.1.0
B. Conmutar el dispositivo A al dispositivo B (sólo CLI)
C. Actualizar dispositivo A a ScreenOS 5.1.0
D. Sincronizar el dispositivo A (sólo CLI)
E. Conmutar el dispositivo B al dispositivo A (sólo CLI)
A. Actualizar el dispositivo B a ScreenOS 5.1.0
WebUI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más indel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo B con el explorador web (por ejemplo, Inintroduzca la dirección IP de administración en el campo “Address”. Inicieadministrador raíz (“root admin”) o como administrador con privilegios de
3. Guarde la configuración existente:
a. Elija Configuration > Update > Config File y haga clic en Save to File
b. En el cuadro de diálogo “File Download”, haga clic en Save.
c. Navegue a la ubicación donde desea guardar el archivo de configuraSave.
4. Elija Configuration > Update > ScreenOS/Keys y seleccione Firmware U
5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOSse encuentra en el campo “Load File”.
6. Haga clic en Apply.
Aparecerá un cuadro de mensaje con información sobre el tiempo de act
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
436
estará completa cuando el
de firmware de ScreenOS del ce Information” de la página
nformación sobre la obtención
, Secure Shell (SSH) o onsola. Inicie una sesión como lectura-escritura.
o { flash | slot1 | tftp }.
ón del servidor TFTP.
ame to flash. Donde la de ScreenOS 5.1.0.
ositivo NetScreen. Ejecute el ivo.
creen.
creenOS del dispositivo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
7. Haga clic en OK para continuar.
El dispositivo NetScreen se reiniciará automáticamente. La actualizacióndispositivo muestre la página de inicio de sesión en el explorador.
8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión dispositivo NetScreen en la sección de información del dispositivo “Deviprincipal de WebUI.
CLI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo B usando una aplicación como TelnetHyperterminal si está conectado directamente a través del puerto de la cadministrador raíz (“root admin”) o como administrador con privilegios de
3. Guarde la configuración existente ejecutando el comando save config t
4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicaci
5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filendirección IP es la de su equipo y el nombre de archivo es el del firmware
6. Cuando la actualización se haya completado, deberá restablecer el dispcomando reset y teclee y cuando se le pida para restablecer el disposit
7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS
8. Utilice el comando get system para verificar la versión de firmware de SNetScreen.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
437
jecutar depende de si la opción
up 0 mode ineligible
0 mode backup
l dispositivo de respaldo a
nformación sobre la obtención
e.
ación (cfg.txt) y haga clic en
pdate.
S 5.1.0 o escriba la ruta donde
tualización.
olumen 8 de NetScreen conceptos y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
B. Conmutar el dispositivo A al dispositivo B (sólo CLI)
Conmute manualmente el dispositivo maestro al dispositivo de respaldo.
1. Inicie una sesión en el dispositivo maestro.
2. Ejecute uno de los comandos siguientes de CLI. El comando que debe e“preempt”14 está activada en el dispositivo maestro.
– Si la característica “preempt” está activada: exec nsrp vsd-gro
– Si la opción “preempt no” está activada: exec nsrp vsd-group
Cualquiera de ambos comandos fuerza al dispositivo maestro a retirarse y aasumir inmediatamente su función.
C. Actualizar dispositivo A a ScreenOS 5.1.0
WebUI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo NetScreen A.
3. Guarde la configuración existente:
a. Elija Configuration > Update > Config File y haga clic en Save to Fil
b. En el cuadro de diálogo “File Download”, haga clic en Save.
c. Navegue a la ubicación donde desea guardar el archivo de configurSave.
4. Elija Configuration > Update > ScreenOS/Keys y seleccione Firmware U
5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOse encuentra en el campo “Load File”.
6. Haga clic en Apply.
Aparecerá un cuadro de mensaje con información sobre el tiempo de ac
14. Para obtener más información sobre la opción de asignación de prioridad “preempt” y NSRP en general, consulte el Vejemplos: manual de referencia de ScreenOS..
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
438
estará completa cuando el
de firmware de ScreenOS del ce Information” de la página
nformación sobre la obtención
o { flash | slot1 | tftp }.plicación del servidor TFTP.ame to flash. Donde la de ScreenOS 5.1.0.ositivo NetScreen. Ejecute el ivo.creen.creen con el comando get
incronice manualmente ambos nsrp sync rto all from peer
o maestro al dispositivo de positivo B (sólo CLI)” en la al dispositivo B en lugar de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
7. Haga clic en OK para continuar.
El dispositivo NetScreen se reiniciará automáticamente. La actualizacióndispositivo muestre la página de inicio de sesión en el explorador.
8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión dispositivo NetScreen en la sección de información del dispositivo “Deviprincipal de WebUI.
CLI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie sesión en el dispositivo A de NetScreen.3. Guarde la configuración existente ejecutando el comando save config t4. Ejecute el servidor TFTP en su computadora haciendo doble clic en la a5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filen
dirección IP es la de su equipo y el nombre de archivo es el del firmware6. Cuando la actualización se haya completado, deberá restablecer el disp
comando reset y teclee y cuando se le pida para restablecer el disposit7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetS
system.
D. Sincronizar el dispositivo A (sólo CLI)
Después de completar la actualización del dispositivo A a ScreenOS 5.1.0, sdispositivos. En el dispositivo A (de respaldo), ejecute el comando CLI execpara sincronizar los RTOs desde el dispositivo B (maestro).
E. Conmutar el dispositivo B al dispositivo A (sólo CLI)
Después de sincronizar los dispositivos, conmute manualmente el dispositivrespaldo. Siga los mismos pasos que en “B. Conmutar el dispositivo A al dispàgina 437 salvo que iniciando una sesión en el dispositivo B y conmutandohacerlo al dispositivo A.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
439
vamparejaron dos dispositivos
evices” o VSD), siendo cada actualizar, primero tiene que aestro de ambos grupos VSD.
en segundo lugar.
spositivo A es maestro del VSD 0.
ara actualizar o degradar ware de ScreenOS 5.1.0.
evo firmware. Hacerlo podría
nculo HA
ivo A
ivo B
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Actualizar dispositivos en una configuración NSRP activa/actiEsta sección de actualización es aplicable a una configuración NSRP en la que se eNetScreen en dos grupos de dispositivos de seguridad virtuales (“Virtual Security Ddispositivo físico el maestro en un grupo y el dispositivo de respaldo en el otro. Paraconmutar uno de los dispositivos de modo que solamente un dispositivo físico sea mA continuación, actualice el dispositivo de respaldo primero y el dispositivo maestro
A continuación se ilustra una configuración NSRP activa/activa típica, en la que el di0 y respaldo del VSD 1, y el dispositivo B es maestro del VSD 1 y respaldo del VSD
Antes de comenzar, lea los requisitos para realizar una actualización (“Requisitos pfirmware del dispositivo” en la pàgina 424). Asegúrese también de descargar el firm
Aviso: No apague su dispositivo NetScreen mientras se está actualizando con el nudañar permanentemente el dispositivo.
Ví
NSRP activo/activo
Disposit
Disposit
Grupo VSD: 0 Grupo VSD: 1
(respaldo)
(respaldo)
(maestro)
(maestro)
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
440
s pasos (tenga en cuenta que os CLI):
tivo de respaldo A del grupo
, Secure Shell (SSH) o onsola. Inicie una sesión como lectura-escritura.
jecutar depende de si la opción
up 1 mode ineligible
1 mode backup
sitivo A a asumir ositivo A es maestro de VSD 0
Volumen 8 de NetScreen Conceptos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Procedimiento de actualización
Para actualizar dos dispositivos en una configuración NSRP activa/activa, siga estoalgunos de estos pasos sólo se pueden ejecutar con la interfaz de línea de comand
A. Conmutar el dispositivo B en VSD 1 al dispositivo A en VSD 1 (sólo CLI)
B. Actualizar el dispositivo B a ScreenOS 5.1.0
C. Conmutar el dispositivo A al dispositivo B (sólo CLI)
D. Actualizar dispositivo A a ScreenOS 5.1.0
E. Sincronizar el dispositivo A (sólo CLI)
F. Conmutar el dispositivo B en VSD 0 al dispositivo A en VSD 0 (sólo CLI)
A. Conmutar el dispositivo B en VSD 1 al dispositivo A en VSD 1 (sólo CLI)
Conmute manualmente el dispositivo maestro B del grupo VSD 1 al disposiVSD 1.
1. Inicie una sesión en el dispositivo B usando una aplicación como TelnetHyperterminal si está conectado directamente a través del puerto de la cadministrador raíz (“root admin”) o como administrador con privilegios de
2. Ejecute uno de los comandos siguientes de CLI. El comando que debe e“preempt”15 está activada en el dispositivo maestro.
– Si la característica “preempt” está activada: exec nsrp vsd-gro
– Si la opción “preempt” no está activada: exec nsrp vsd-group
Cualquiera de ambos comandos fuerza al dispositivo B a retirarse y al dispoinmediatamente la función de maestro del VSD 1. En este momento, el dispy 1 y el dispositivo B es respaldo de VSD 0 y 1.
15. Para obtener más información sobre la opción de asignación de prioridad “preempt” y NSRP en general, consulte ely ejemplos: manual de referencia de ScreenOS..
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
441
nformación sobre la obtención
or ejemplo, Internet Explorer o dress”. Inicie una sesión como lectura-escritura.
e.
ación (cfg.txt) y haga clic en
pdate.
S 5.1.0 o escriba la ruta donde
tualización.
estará completa cuando el
de firmware de ScreenOS del ce Information” de la página
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
B. Actualizar el dispositivo B a ScreenOS 5.1.0
WebUI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo B NetScreen con el explorador web (pNetscape) e introduzca la dirección IP de administración en el campo “Adadministrador raíz (“root admin”) o como administrador con privilegios de
3. Guarde la configuración existente:
a. Elija Configuration > Update > Config File y haga clic en Save to Fil
b. En el cuadro de diálogo “File Download”, haga clic en Save.
c. Navegue a la ubicación donde desea guardar el archivo de configurSave.
4. Elija Configuration > Update > ScreenOS/Keys y seleccione Firmware U
5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOse encuentra en el campo “Load File”.
6. Haga clic en Apply.
Aparecerá un cuadro de mensaje con información sobre el tiempo de ac
7. Haga clic en OK para continuar.
El dispositivo NetScreen se reiniciará automáticamente. La actualizacióndispositivo muestre la página de inicio de sesión en el explorador.
8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión dispositivo NetScreen en la sección de información del dispositivo “Deviprincipal de WebUI.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
442
ormación sobre la obtención
{ flash | slot1 | tftp }. del servidor TFTP.
me to flash. Donde la e ScreenOS 5.0.0.
sitivo NetScreen. Ejecute el o.
reen.
reen con el comando get
en el VSD 0 ejecutando uno de si la opción preempt está
0 mode ineligibleode backup en el VSD 1 ejecutando uno
de si la opción preempt está
1 mode ineligibleode backup
itivo A es respaldo de ambos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más infdel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo B.
3. Guarde la configuración existente ejecutando el comando save config to4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación
5. En el dispositivo NetScreen, introduzca save soft from tftp ip _addr filenadirección IP es la de su equipo y el nombre de archivo es el del firmware d
6. Cuando la actualización se haya completado, deberá restablecer el dispocomando reset y teclee y cuando se le pida para restablecer el dispositiv
7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetSc
8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetScsystem.
C. Conmutar el dispositivo A al dispositivo B (sólo CLI)
Conmute manual y totalmente el dispositivo A al dispositivo B.
1. Inicie una sesión en el dispositivo A.
2. Conmute el dispositivo maestro A en el VSD 0 al dispositivo de respaldo Bde los siguientes comandos CLI. El comando que debe ejecutar dependeactivada en el dispositivo maestro.
– Si la característica preempt está activada: exec nsrp vsd-group– Si la opción preempt no está activada: exec nsrp vsd-group 0 m
3. Conmute el dispositivo maestro A en el VSD 1 al dispositivo de respaldo Bde los siguientes comandos CLI. El comando que debe ejecutar dependeactivada en el dispositivo maestro.
– Si la característica preempt está activada: exec nsrp vsd-group– Si la opción preempt no está activada: exec nsrp vsd-group 1 m
En este momento, el dispositivo B es maestro de ambos VSD 0 y 1 y el disposVSD 0 y 1.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
443
nformación sobre la obtención
e.
ación (cfg.txt) y haga clic en
pdate.
S 5.1.0 o escriba la ruta donde
tualización.
estará completa cuando el
de firmware de ScreenOS del ce Information” de la página
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
D. Actualizar dispositivo A a ScreenOS 5.1.0
WebUI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo NetScreen A.
3. Guarde la configuración existente:
a. Elija Configuration > Update > Config File y haga clic en Save to Fil
b. En el cuadro de diálogo “File Download”, haga clic en Save.
c. Navegue a la ubicación donde desea guardar el archivo de configurSave.
4. Elija Configuration > Update > ScreenOS/Keys y seleccione Firmware U
5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOse encuentra en el campo “Load File”.
6. Haga clic en Apply.
Aparecerá un cuadro de mensaje con información sobre el tiempo de ac
7. Haga clic en OK para continuar.
El dispositivo NetScreen se reiniciará automáticamente. La actualizacióndispositivo muestre la página de inicio de sesión en el explorador.
8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión dispositivo NetScreen en la sección de información del dispositivo “Deviprincipal de WebUI.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
444
nformación sobre la obtención
o { flash | slot1 | tftp }.ón del servidor TFTP.
name to flash. Donde la de ScreenOS 5.1.0.
ositivo NetScreen. Ejecute el ivo.
creen.
creen con el comando get
ncronice manualmente ambos all from peer para sincronizar
en en una configuración NSRP
A en el VSD 0 ejecutando uno e de si la opción preempt está
p 1 mode ineligible mode backup 1, y el dispositivo B es maestro
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.
2. Inicie una sesión en el dispositivo A.
3. Guarde la configuración existente ejecutando el comando save config t4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicaci
5. En el dispositivo NetScreen, introduzca save soft from tftp ip _addr filedirección IP es la de su equipo y el nombre de archivo es el del firmware
6. Cuando la actualización se haya completado, deberá restablecer el dispcomando reset y teclee y cuando se le pida para restablecer el disposit
7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS
8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetSsystem.
E. Sincronizar el dispositivo A (sólo CLI)
Después de completar la actualización del dispositivo A a ScreenOS 5.1.0, sidispositivos. En el dispositivo A, ejecute el comando CLI exec nsrp sync rtolos RTOs desde el dispositivo B.
F. Conmutar el dispositivo B en VSD 0 al dispositivo A en VSD 0 (sólo CLI)
Como paso final, vuelva a generar instancias de ambos dispositivos NetScreactiva/activa.
1. Inicie una sesión en el dispositivo A.
2. Conmute el dispositivo maestro B en el VSD 0 al dispositivo de respaldode los siguientes comandos CLI. El comando que debe ejecutar dependactivada en el dispositivo maestro.
– Si la característica preempt está activada: exec nsrp vsd-grou– Si la opción preempt no está activada: exec nsrp vsd-group 1
En este momento, el dispositivo A es maestro del VSD 0 y respaldo del VSDdel VSD 1 y respaldo del VSD 0.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
445
e imágenes en cada n un dispositivo NetScreen ntentar guardarlo en el Inspection (DI) al intentar
guridad y estabilidad. Si intenta tivo la rechaza antes de
iguientes:
arios de PC que no tengan n index.htm para ejecutar el
ción “Address”:
contraseña y haga clic en
e crearla en línea visitando .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Autenticar firmware y archivos DIDesde la versión ScreenOS 2.6.1r1, se ha incorporado una firma de autenticación dcompilación de ScreenOS. Si carga el certificado de autenticación (imagekey.cer) ecortafuegos/VPN de Juniper Networks, puede autenticar firmware de ScreenOS al idispositivo o autenticar archivos de la base de datos de objetos de ataques de Deepdescargarlos al dispositivo.
Autenticar una imagen y una base de datos de objeto de ataques DI proporciona seguardar una imagen o base de datos de ScreenOS modificada o dañada, el disposiguardarla en la memoria flash.
Obtención del certificado de autenticaciónPuede conseguir el archivo ZIP del certificado de autenticación en las dos fuentes s
• El CD de documentación suministrado con su dispositivo NetScreen:
1. Inserte el CD de documentación en la unidad de CD.
Debe ejecutarse automáticamente. (Para usuarios de Macintosh y usuactivada la opción de autoarranque en sus sistemas, haga doble clic eCD.)
2. Haga clic en Explore CD-ROM Contents .
3. Abra la carpeta extra .
El archivo image_key.zip se encuentra en esta carpeta.
• El área “Customer Support” del sitio web de Juniper Networks16:
1. Abra su explorador web y escriba la siguiente URL en el campo de direchttp://www.juniper.net/support/.
2. En la sección “Login to Support Center”, introduzca su ID de cliente y su LOGIN .
3. En la sección “Download Software”, haga clic en ScreenOS Software .
16. Debe ser un cliente registrado para acceder al área de soporte al cliente. Si aún no tiene una cuenta de cliente, puedhttp://www.juniper.net/support/, haciendo clic en Login Assistance y siguiendo las instrucciones de registro en línea
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
446
tication. Haga clic con el botón e Target As , y guarde el
los dos archivos siguientes de
ndiendo de si desea cargarlo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
4. En el parte superior de la página hay una sección titulada Image Authenderecho en Download the Authentication Certificate , seleccione Savarchivo image_key.zip en un directorio local.
Una vez que haya obtenido el archivo ZIP del certificado, haga lo siguiente:
1. Utilice un programa de compresión de datos, como WinZip, para extraer image_key.zip : imagekey.cer y image_key_readme.pdf 17.
2. Guarde imagekey.cer en cualquiera de las siguientes ubicaciones, depeen el dispositivo NetScreen usando WebUI o CLI:
– WebUI: guárdelo en un directorio local
– CLI: guárdelo en el directorio raíz de un servidor TFTP
17. El archivo “readme” contiene esencialmente la misma información que esta sección.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
447
onfirmar su integridad parándola con el siguiente
om. Bajo UNIX/Linux, puede
cado de autenticación antes de se carga en el dispositivo
certificado en el dispositivo
.
haga clic en Apply :
ione)
er o haga clic en Browse para imagekey.cer y haga clic en
e inicie una sesión.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Carga del certificado de autenticaciónAntes de cargar el certificado de autenticación en el dispositivo NetScreen, puede ccalculando una suma de comprobación criptográfica, o resumen del mensaje, y comresumen del mensaje MD5:
AC359646EDD723F541AA0E52E015E8F0
Una utilidad MD5 gratuita para Windows es FastSum, disponible en www.fastsum.cutilizar un programa como md5sum para calcular el resumen del mensaje.
Cuando se carga el certificado de autenticación, el firmware se verifica con el certifiejecutarlo o guardarlo. Si el firmware no supera la autenticación, es rechazado y noNetScreen.
Cuando tenga certeza sobre la integridad del certificado de autenticación, cargue elNetScreen mediante cualquiera de estos métodos:
WebUI1. Establezca una conexión HTTP al dispositivo NetScreen e inicie una sesión
2. Configuration > Update > ScreenOS/Keys: Introduzca los siguientes datos y
Image Key Update (See Online Help): (selecc
Load File: Indique la ubicación de imagekey.cnavegar a la ubicación del archivo, seleccione Open .
CLI
1. Si fuese necesario, inicie el servidor TFTP.
2. Establezca una conexión de consola, Telnet o SSH al dispositivo NetScreen
3. Ejecute el siguiente comando CLI:
save image-key tftp ip_addr imagekey.cer
donde ip_addr es la dirección del servidor TFTP.
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
448
mprobar la firma de ScreenOS tes:
el cargador de arranque/SO
rechaza y o bien le pide cargar
ataques DIa Deep Inspection (DI), el a incrustada en el archivo. El
ataques descargada y efectúa
to flash.
en el registro de eventos:
.
n no intenta autenticar un minar el certificado, ejecute el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Autenticación de firmware de ScreenOSLa descarga del dispositivo NetScreen utiliza el certificado de autenticación para coincrustada en el archivo. En la consola aparecerá uno de los dos resultados siguien
• El dispositivo NetScreen puede autenticar con éxito el firmware, por lo que muestra el mensaje siguiente:
Loaded Successfully! . . .
Image authenticated!
• Si el dispositivo NetScreen no puede autenticar el firmware de ScreenOS, lootro firmware, o se reinicia automáticamente:
********Invalid DSA signature
*******Bogus Image - not authenticated.
Autenticación de un archivo de base de datos de objetos deLa próxima vez que intente descargar una base de datos de objetos de ataques pardispositivo NetScreen utilizará el certificado de autenticación para comprobar la firmproceso de autenticación produce uno de los dos resultados siguientes:
• El dispositivo NetScreen autentica con éxito la base de datos de objetos dela siguiente entrada en el registro de eventos:
Attack database version <number> has been authenticated and saved
• La autenticación falla y el dispositivo NetScreen efectúa la entrada siguiente
Attack database was rejected because the authentication check failed
Nota: Si el certificado de autenticación no se carga, el dispositivo NetScreefirmware de ScreenOS ni base de datos de objetos de ataques DI. Para elicomando delete crypto auth-key .
Capítulo 8 Parámetros del sistema Actualización o degradación de firmware
449
ebUI y la autenticación falla,
able to verify its integrity.
n no intenta autenticar una inar el certificado, ejecute el
el manual NetScreen Message
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Además, si intenta descargar la base de datos manualmente a través de Waparecerá el siguiente mensaje emergente:
Rejected DI attack database because the authentication check was un
Nota: Si el certificado de autenticación no se carga, el dispositivo NetScreeimagen de ScreenOS ni base de datos de objetos de ataques DI. Para elimcomando delete crypto auth-key .
Para obtener información sobre mensajes del registro de eventos, consulteLog Reference Guide.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
450
ad de los ajustes. WebUI espaldo. Con algunos jeta flash o servidor TFTP. Si spositivo NetScreen.
ina 453
456
para la distribución masiva de
ipo.
haga clic en Save .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
DESCARGA Y CARGA DE CONFIGURACIONESCada vez que se modifique la configuración, conviene realizar una copia de seguridpermite descargar la configuración a cualquier directorio local como precaución de rdispositivos NetScreen, puede utilizar CLI para descargar la configuración a una tarnecesita restablecer la configuración de respaldo guardada, puede cargarla en el di
La sección contiene los siguientes apartados:
• “Almacenamiento e importación de ajustes” en la pàgina 450
• “Retroactivación (“rollback”) de una configuración” en la pàgina 452
– “Última configuración correcta conocida” en la pàgina 452
– “Retroactivación automática y manual de una configuración” en la pàg
– “Carga de un nuevo archivo de configuración” en la pàgina 454
• “Bloqueo del archivo de configuración” en la pàgina 455
– “Inclusión de comentarios en un archivo de configuración” en la pàgina
Almacenamiento e importación de ajustesLa capacidad de guardar e importar ajustes de configuración proporciona los mediosplantillas de configuración.
Para guardar una configuración:
WebUI
1. Configuration > Update > Config File: Haga clic en Save to File .
Un mensaje del sistema le pedirá que abra el archivo o lo guarde en su equ
2. Haga clic en Save .
3. Navegue a la ubicación donde desea guardar el archivo de configuración y
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
451
e [ from interface ]
clic en Apply :
ion si desea combinar las Replace Current iguración sobrescriba la
rchivo de configuración o haga ivo, seleccione el archivo y
sh [ merge [ from
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
save config from flash to { tftp dir_ip | slot } filenam
Para importar una configuración:
WebUI
Configuration > Update > Config File: Introduzca los siguientes datos y haga
Seleccione Merge to Current Configuratconfiguraciones nuevas con las actuales, oConfiguration si desea que la nueva confconfiguración actual.
> New Configuration File: Introduzca la ubicación del aclic en Browse para navegar a la ubicación del archhaga clic en Open .
CLI
save config from { tftp ip_addr | slot } filename to flainterface ] ]
Nota: En algunos dispositivos NetScreen, debe especificar slot1 o slot2.
Nota: En algunos dispositivos NetScreen, debe especificar slot1 o slot2.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
452
fallos del dispositivo NetScreen r una retroactivación de la onfiguración correcta conocida,
chivo de configuración de LKG er en caso de error. Para do get config rollback . El nifica que no existe y que debe
ción correcta conocida (LKG):
recta.
CLI save config to ente en la memoria flash con el
ciones. Para consultar si su te a su plataforma.
hivo de configuración LKG es ner una copia actualizada de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Retroactivación (“rollback”) de una configuraciónEn caso de haber cargado un archivo de configuración que cause problemas, como o denegación de las funciones de administración a usuarios remotos, puede realizaconfiguración para recuperar el archivo con la última (“Last-Known-Good” o “LKG”) cguardada en la memoria flash.
Última configuración correcta conocidaAntes de retroactivar (“rollback”) una configuración, asegúrese de disponer de un arguardado en la memoria flash, para que el dispositivo NetScreen lo pueda restableccomprobar la existencia del archivo LKG, abra CLI de NetScreen y escriba el comannombre de archivo de una configuración LKG es $lkg$.cfg. Si no ve este archivo, sigcrearlo.
Para guardar un archivo de configuración en la memoria flash como última configura
1. Asegúrese de que la configuración actual del dispositivo NetScreen sea cor
2. Guarde la configuración actual en la memoria flash ejecutando el comando last-known-good . Este comando sobrescribe la configuración de LKG existarchivo de configuración actual.
Nota: No todos los dispositivos NetScreen permiten la retroactivación de configuradispositivo NetScreen admite esta función, consulte la hoja de datos correspondien
Nota: Guardar periódicamente la configuración del dispositivo NetScreen como arcuna buena manera de salvaguardar los cambios más recientes realizados y manteconfiguración.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
453
onfiguración correcta conocida ón automática de la so de producirse algún
. Incluso se desactiva después o. Para habilitar la ack enable . Para desactivar la
c config rollback .
comando cambia para indicar
e comandos simplemente
habilitada, utilice el comando get config rollback es:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Retroactivación automática y manual de una configuraciónPuede habilitar que el dispositivo NetScreen restablezca automáticamente la última c(LKG), o bien puede realizar una retroactivación manual. La función de retroactivaciconfiguración permite al dispositivo NetScreen recuperar la configuración LKG en caproblema con una configuración recién cargada.
La función de retroactivación automática está desactivada de forma predeterminadade cada arranque, sin importar si estaba habilitada o no antes de iniciar el dispositivretroactivación automática de la configuración, utilice el comando exec config rollbfunción, utilice el comando exec config rollback disable .
Para realizar una retroactivación manual de la configuración, utilice el comando exe
Una vez habilitada la función de retroactivación de la configuración, el mensaje del este estado:
ns-> exec config rollback enable
ns(rollback enabled)->
Al desactivar la función de retroactivación de la configuración, el mensaje de línea ddevuelve el nombre de host del dispositivo:
ns(rollback enabled)-> exec config rollback disable
ns->
Para comprobar si la función de retroactivación automática de la configuración está get config rollback . Si está habilitada, la primera línea de mensajes del comando
config rollback is enabled
De lo contrario, la primera línea de la salida es:
config rollback is disabled
Nota: WebUI no admite la función de retroactivación de la configuración.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
454
get config rollback es:
flash.
ajes es:
t.
r la operación de
función de retroactivación y
G (última correcta conocida)
een ejecutando el comando eamente el archivo LKG ir una retroactivación en
más información, consulte
den producirse varias
nzar y administrar el enderlo, el dispositivo n de retroactivación de creen a cargar
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Si existe un archivo de configuración LKG, la segunda línea de mensaje del comando
Last-known-good config file flash:/$lkg$.cfg exists in the
Si no existe ningún archivo de configuración LKG, la segunda (y última) línea de mens
Last-known-good config file flash:/$lkg$.cfg does not exis
Si la función de retroactivación de la configuración está habilitada, puede desencadenaretroactivación mediante cualquiera de las acciones siguientes:
• Reiniciar el dispositivo NetScreen (apagándolo y encendiéndolo de nuevo)
• Restablecer el dispositivo NetScreen (ejecutando el comando reset )
• Ejecutar el comando exec config rollback
Carga de un nuevo archivo de configuraciónA continuación se describe cómo cargar un nuevo archivo de configuración, habilitar laqué hacer si el nuevo archivo de configuración causa problemas.
1. Utilizando la interfaz CLI, guarde la configuración actual como configuración LKejecutando el comando save config to last-known-good.
2. Habilite la retroactivación automática de configuración en el dispositivo NetScrCLI exec config rollback enable. Al habilitar esta función se bloquea simultánpara evitar que otros usuarios lo puedan sobrescribir y de este modo interrumpcurso.
3. Cargue el nuevo archivo de configuración usando WebUI o CLI. Para obtener “Actualización o degradación de firmware” en la pàgina 423.
4. Pruebe el nuevo archivo de configuración ejecutando algunos comandos. Puesituaciones diferentes:
– La nueva configuración funciona correctamente.
– La nueva configuración es defectuosa y, consecuentemente, impide alcadispositivo NetScreen. En este caso, deberá apagar el dispositivo. Al encNetScreen lee el archivo de la memoria flash, lo cual indica que la funcióconfiguración está habilitada. Esa información induce al dispositivo NetSautomáticamente el archivo LKG.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
455
figuración. En este caso es CLI reset. Cuando el que la función de e al dispositivo NetScreen a
creen funcione correctamente. uando el dispositivo se reinicia, oactivación de configuración ar automáticamente el archivo
sobrescrito por otros ento de bloquear el archivo de ecibe un comando CLI en un nfiguración que fue bloqueada de iniciar la importación de un indefinido si se produce algún
r conectado al dispositivo (por esbloquear la configuración y
a/activa, si la carga de un en a la configuración LKG. En nfiguración, sólo la unidad la unidad de respaldo después
interfaz de línea de comandos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
– Surgen problemas o errores relacionados con el nuevo archivo de connecesario restablecer el dispositivo NetScreen ejecutando el comandodispositivo se reinicia, lee el archivo de la memoria flash, lo cual indicaretroactivación de configuración está habilitada. Esa información induccargar automáticamente el archivo LKG.
– La nueva configuración es defectuosa e impide que el dispositivo NetSEn este caso, el dispositivo NetScreen se reinicia automáticamente. Clee el archivo de la memoria flash, lo cual indica que la función de retrestá habilitada. Esa información induce al dispositivo NetScreen a cargLKG.
Bloqueo del archivo de configuraciónPuede bloquear un archivo de configuración en la memoria flash para evitar que seaadministradores, o antes de importar un nuevo archivo de configuración. En el momconfiguración, el dispositivo inicia un temporizador de bloqueo. Si el dispositivo no rplazo previamente especificado, se reinicia automáticamente y vuelve a utilizar la coen la memoria flash. Conviene bloquear la configuración actual del dispositivo antesarchivo de configuración. Esta acción evita que el dispositivo se “congele” por tiempofallo en el proceso de importación.
Una vez bloqueado el archivo de configuración, ni usted ni ningún otro administradoejemplo, a través de Telnet o de WebUI) podrán guardar el archivo. Antes deberá dguardar los nuevos comandos de configuración con el comando save .
Nota: NetScreen Redundancy Protocol (NSRP): En una configuración activnuevo archivo de configuración falla, ambos dispositivos NetScreen reviertuna configuración activa/pasiva, si falla la carga de un nuevo archivo de comaestra revierte a la configuración LKG. La unidad maestra sólo sincronizade que la configuración se haya guardado en un archivo.
Nota: El archivo de configuración sólo se puede bloquear y desbloquear mediante la(“CLI”). Esta característica no está disponible en WebUI.
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
456
nfiguración previamente
pueden ocupar su propia línea # (almohadilla) seguido de un luirse un espacio delante de la ea combinando la nueva nte por la nueva), el dispositivo hadilla y elimina todos los
almohadilla en la memoria ntiene las líneas siguientes:
s
n no lo trata como marcador ispositivo NetScreen no elimina rece entrecomillado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLI
Para bloquear el archivo de configuración:
exec config lock start
Para desbloquear el archivo:
exec config lock end
Para cancelar el bloqueo y reiniciar inmediatamente el dispositivo con la cobloqueada en la memoria flash:
exec config lock abort
Para cambiar el tiempo de bloqueo predeterminado (5 minutos):
set config lock timeout <number>
Inclusión de comentarios en un archivo de configuraciónPuede agregar comentarios a un archivo de configuración externo. Los comentariosde texto o incluirse al final de una línea. El comentario debe comenzar con el signo espacio. Cuando el comentario se encuentra al final de una línea, también debe incalmohadilla. En el momento de guardar el archivo en un dispositivo NetScreen (ya sconfiguración con la existente o reemplazando íntegramente la configuración existeanaliza la configuración buscando las líneas que comiencen con el símbolo de almocomentarios.
El dispositivo NetScreen no guarda ningún comentario introducido con el símbolo deRAM ni en la memoria flash. Por ejemplo, si un archivo de configuración externo co
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24 # change IP addres
Nota: Si el símbolo de almohadilla aparece entrecomillado, el dispositivo NetScreeespecial, sino como parte de un nombre de objeto y no lo elimina. Por ejemplo, el d“#5 server” en el comando set address trust “#5 server” 10.1.1.5/32 porque apa
Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones
457
ask 255.255.255.255ask 255.255.255.255ask 255.255.255.255dominio de rutas
entarios habrán
ask 255.255.255.255ask 255.255.255.255ask 255.255.255.255
n de consola o de Telnet, el n los comandos.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
# agregar direcciones IPset interface ethernet3 mip 1.1.1.10 host 10.1.1.10 netmset interface ethernet3 mip 1.1.1.11 host 10.1.1.11 netmset interface ethernet3 mip 1.1.1.12 host 10.1.1.12 netm# la opción predeterminada es que todas las MIP usen el
trust-vr
Al visualizar la configuración después de cargar el archivo, verá lo siguiente (los comdesaparecido):
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 mip 1.1.1.10 host 10.1.1.10 netmset interface ethernet3 mip 1.1.1.11 host 10.1.1.11 netmset interface ethernet3 mip 1.1.1.12 host 10.1.1.12 netm
Asimismo, si pega un bloque de comandos que contenga comentarios en una sesiódispositivo NetScreen descartará todos los comentarios tan pronto como se ejecute
Capítulo 8 Parámetros del sistema Establecer Bulk-CLI de NetScreen-Security Manager
458
tivación cuando la conexión de ando esto sucede, el agente
a averiguar si puede establecer ntes de reiniciar el dispositivo
reinicio es de 60 a 86400 gundos.
o dos condiciones:
llo al NetScreen-Security
Manager.
un informe del error al s posibilidades para las
dos CLI y reinicia.
ndos CLI.
cificado para el reinicio, el ctivado o desactivado.
ontinúa ejecutando los
uiente:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ESTABLECER BULK-CLI DE NETSCREEN-SECURITY MANAGEREstableciendo bulk-CLI se determina cómo y cuándo el dispositivo realiza la retroacNetScreen-Security Manager se interrumpe durante una sesión de actualización. Curecorre una vez todos los servidores NetScreen-Security Manager configurados parotra conexión. En caso negativo, el agente espera durante el período especificado apara retroactivar la configuración. El rango de valores del tiempo de espera para el segundos. El valor predeterminado del tiempo de espera para el reinicio es de 60 se
El agente comprueba el estado de la conexión del NetScreen-Security Manager baj
• Que todos los comandos CLI se ejecuten y envíen un mensaje de éxito o faManager.
• Que se produzca un error, que debe ser comunicado al NetScreen-Security
Si se produce un error durante la ejecución de CLI, el agente envía un mensaje conNetScreen-Security Manager y permanece a la espera de instrucciones. Existen treinstrucciones de error:
• Si se ordena al agente detenerse, éste deja de ejecutar los restantes coman
• Si se ordena al agente que continúe, seguirá ejecutando los restantes coma
• Si el agente no recibe ninguna instrucción dentro del tiempo de espera espeagente comprueba si el tiempo de espera para el reinicio de bulk-CLI está a
– Si está activado, se produce inmediatamente un reinicio.
– Si está desactivado, el agente no reinicia el dispositivo. El dispositivo crestantes comandos CLI.
Para establecer el valor del tiempo de espera para el reinicio, utilice el comando sig
set nsmgmt bulkcli reboot_timeout numberdonde el valor unitario de number son los segundos.
Para desactivar el tiempo de espera para el reinicio, utilice el comando siguiente:
set nsmgmt bulkcli reboot_timeout disable
Capítulo 8 Parámetros del sistema Claves de licencia
459
tivo NetScreen sin tener que sbloquee las características
s habilitadas y puede admitir la Para obtener más información ntación comercial más reciente
ió el dispositivo NetScreen o
ué característica desea.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
CLAVES DE LICENCIALa característica de la clave de licencia permite ampliar las prestaciones del disposiactualizar a otro dispositivo o imagen del sistema. Puede comprar una clave que deespecificadas ya cargadas en el firmware, como:
• Capacidad de usuarios
• Sistemas virtuales, zonas y enrutadores virtuales
• HA
Cada dispositivo NetScreen se suministra con un conjunto estándar de característicaactivación de características opcionales o aumentar la capacidad de las existentes. sobre qué características pueden actualizarse en este momento, consulte la documede Juniper Networks.
El procedimiento para obtener y aplicar una clave de licencia es el siguiente:
1. Póngase en contacto con el distribuidor de valor añadido (VAR) que le venddirectamente con Juniper Networks.
2. Proporcione el número de serie de su dispositivo e indique qué opción de q
Se generará su clave de licencia, que recibirá por correo electrónico.
3. Introduzca la clave con WebUI o CLI. (Consulte el ejemplo siguiente).
Capítulo 8 Parámetros del sistema Claves de licencia
460
ra 10 usuarios ha crecido hasta Screen amplía las capacidades ios. El número de la clave de 10002.txt”, guardado en
Apply :
screen\keys, seleccione
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ejemplo: Ampliar la capacidad de usuariosUna pequeña empresa que sólo utiliza un dispositivo NetScreen con una licencia pael punto de necesitar una licencia sin limitación de usuarios. El administrador de Netdel dispositivo obteniendo una clave de firmware para un número ilimitado de usuarlicencia es 6a48e726ca050192 y se encuentra en un archivo de texto llamado “A20“C:\netscreen\keys”.
WebUI
Configuration > Update > ScreenOS/Keys: Haga lo siguiente y luego clic en
License Key Update: (seleccione)
Load File: C:\netscreen\keys\A2010002.txt
o bien
Haga clic en Browse y navegue hasta C:\netA2010002.txt y haga clic en Open .
CLI
exec license-key capacity 6a48e726ca050192reset
Capítulo 8 Parámetros del sistema Registro y activación de los servicios de suscripción
461
gular de suscripción para una suscripción al servicio, a suscripción, sus servicios se rma u otra dependiendo de los
periodo de gracia temporal.
el servicio DI temporalmente, ow en la página Configuration
lida para un solo día.
la compra, tendrá preinstalado
Esta característica no tiene un
ible después de adquirir su
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
REGISTRO Y ACTIVACIÓN DE LOS SERVICIOS DE SUSCRIPCIÓNPara que su dispositivo NetScreen de Juniper Networks pueda recibir un servicio repatrones AV (antivirus), firmas DI (Deep Inspection) o filtros de URLs, debe adquirirregistrarse en él y descargar la clave de suscripción. En el momento de descargar lactivan en el dispositivo. El proceso de activación de servicios se comporta de una foservicios adquiridos y del método de compra.
Servicio temporalPara darle tiempo a probar los servicios AV o DI, el dispositivo NetScreen otorga unDurante este tiempo, el dispositivo puede obtener servicios temporalmente.
• Ningún dispositivo NetScreen se suministra con DI habilitado. Para obtenerdebe iniciar una sesión de WebUI y hacer clic en Retrieve Subscriptions N> Update > ScreenOS/Keys. De este modo obtendrá una clave DI única, vá
• Si su dispositivo se suministra con el servicio AV incluido en el momento deun servicio temporal. Este servicio temporal dura hasta 60 días.
• Ningún dispositivo NetScreen se suministra con el filtrado de URL activado.servicio temporal.
Aviso! Para evitar la interrupción del servicio, debe registrarse lo antes possuscripción. El registro asegura la continuidad de la suscripción.
Capítulo 8 Parámetros del sistema Registro y activación de los servicios de suscripción
462
ositivo nuevoLs y DI ya incorporados, realice
r instrucciones, consulte la guía .
ión temporal preinstalada, lo suscripción completa debe
aneras:
la página Configuration >
nte:
e firma de forma automática o en para estos servicios, y “Deep Inspection” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Paquete de AV, filtrado de URLs y DI incluido con un dispSi ha comprado un nuevo dispositivo NetScreen con los servicios AV, filtrado de URlos pasos siguientes para activarlos.
1. Configure el dispositivo para que pueda conectarse a Internet. (Para obteneGetting Started Guide y el manual de usuario de su dispositivo NetScreen)
2. Registre el dispositivo en el sitio siguiente:
www.juniper.net/support
Los dispositivos con servicios AV incluidos se suministran con una suscripcque permite utilizar el servicio inmediatamente. Sin embargo, para recibir suregistrar el dispositivo.
3. Descargue la clave de suscripción en el dispositivo. Puede hacerlo de dos m
– En WebUI, haga clic en el botón Retrieve Subscriptions Now desdeUpdate > ScreenOS/Keys.
– Con la interfaz de línea de comandos (CLI), ejecute el comando siguie
exec license-key update4. Debe restablecer (“reset”) el dispositivo después de cargar la clave.
Ahora puede configurar el dispositivo para que realice la descarga de los servicios dmanual. Para obtener instrucciones sobre la configuración de su dispositivo NetScreconsulte “Análisis antivirus” en la pàgina 4 -86, “Filtrado de URL” en la pàgina 4 -111pàgina 4 -135.
Capítulo 8 Parámetros del sistema Registro y activación de los servicios de suscripción
463
o existentesu dispositivo NetScreen,
eo electrónico, directamente de te certificado es un documento o.
vaya al sitio siguiente:
ado de URLs, prosiga con el
sta cuatro horas para que el
eras:
la página Configuration >
nte:
e firma de forma automática o en para estos servicios, y “Deep Inspection” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Actualización de AV, filtrado de URLs y DI en un dispositivSi adquiere los servicios AV, filtrado de URLs y DI por separado para instalarlos en realice los pasos siguientes para activarlos.
1. Después de solicitar los servicios, recibirá un certificado de soporte por corrJuniper Networks o de uno de sus distribuidores NetScreen autorizados. Eslegible que contiene la información que necesita para registrar su dispositiv
2. Cerciórese de que el dispositivo esté registrado. Si aún no está registrado,
www.juniper.net/support
3. Registre el certificado de soporte para el dispositivo.
4. Si solamente se está suscribiendo y registrando para el servicio DI o de filtrpaso 5.
Si se está suscribiendo y registrando para el servicio AV, deberá esperar hasistema procese su registro antes de proseguir con el paso 5.
5. Confirme que su dispositivo puede conectarse a Internet.
6. Descargue la clave de suscripción al dispositivo. Puede hacerlo de dos man
– En WebUI, haga clic en el botón Retrieve Subscriptions Now desdeUpdate > ScreenOS/Keys.
– Con la interfaz de línea de comandos (CLI), ejecute el comando siguie
exec license-key update7. Debe restablecer (“reset”) el dispositivo después de cargar la clave.
Ahora puede configurar el dispositivo para que realice la descarga de los servicios dmanual. Para obtener instrucciones sobre la configuración de su dispositivo NetScreconsulte “Análisis antivirus” en la pàgina 4 -86, “Filtrado de URL” en la pàgina 4 -111pàgina 4 -135.
Capítulo 8 Parámetros del sistema Registro y activación de los servicios de suscripción
464
de este servicio, realice los
electrónico, directamente de te certificado es un documento o.
vaya al sitio siguiente:
aneras:
la página Configuration >
nte:
e firma DI de forma automática reen para este servicio,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Sólo actualización de DISi solamente adquirió servicios DI y compró su dispositivo NetScreen por separadopasos siguientes para activar el servicio.
1. Después de solicitar el servicio, recibirá un certificado de soporte por correoJuniper Networks o de uno de sus distribuidores NetScreen autorizados. Eslegible que contiene la información que necesita para registrar su dispositiv
2. Cerciórese de que el dispositivo esté registrado. Si aún no está registrado,
www.juniper.net/support
3. Registre el certificado de soporte para el dispositivo.
4. Confirme que su dispositivo puede conectarse a Internet.
5. Descargue la clave de suscripción en el dispositivo. Puede hacerlo de dos m
– En WebUI, haga clic en el botón Retrieve Subscriptions Now desdeUpdate > ScreenOS/Keys.
– Con la interfaz de línea de comandos (CLI), ejecute el comando siguie
exec license-key update6. Debe restablecer (“reset”) el dispositivo después de cargar la clave.
Ahora puede configurar el dispositivo para que realice la descarga de los servicios do manual. Para obtener instrucciones sobre la configuración de su dispositivo NetScconsulte “Deep Inspection” en la pàgina 4 -135.
Capítulo 8 Parámetros del sistema Reloj del sistema
465
as cosas, la hora de su ción de programaciones. Hay ra. Primero, debe poner el reloj (“daylight saving time”) y itivo NetScreen utilizará para
. A través de WebUI, esta ra:
o de verano en el reloj de su
orario de verano o invierno, o
nte el comando “set clock
raso de la hora local del Greenwich). Por ejemplo, si el
ic Standard Time” o “PST”), j en -8.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
RELOJ DEL SISTEMAEs importante que su dispositivo NetScreen siempre tenga la hora exacta. Entre otrdispositivo NetScreen afecta a la configuración de los túneles VPN y a la sincronizamuchas maneras de asegurarse de que el dispositivo NetScreen siempre esté en hodel sistema en hora. A continuación, puede habilitar la opción del horario de veranoconfigurar hasta tres servidores NTP (uno principal y dos de respaldo) que el disposactualizar periódicamente su reloj del sistema.
Fecha y horaPara poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLIoperación se efectúa sincronizando el reloj del sistema con el reloj de su computado
1. Configuration > Date/Time: Haga clic en el botón Sync Clock with Client .
Aparecerá un mensaje preguntándole si tiene habilitada la opción del horaricomputadora.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo según el hbien en No para sincronizarlo sin el ajuste de horario de verano.
Con CLI, el reloj se pone en hora manualmente introduciendo la fecha y hora mediamm/dd/yyyy hh:mm:ss”.
Huso horarioEl huso horario se establece especificando el número de horas de adelanto o de retdispositivo NetScreen con respecto a GMT (“Greenwich Mean Time”, hora media dehuso horario local del dispositivo NetScreen es la hora estándar del Pacífico (“Paciftendrá un retraso de 8 horas con respecto a GMT. Por lo tanto, deberá poner el relo
Para establecer el huso horario mediante WebUI:
Configuration > Date/Time > Set Time Zone_hours_minutes from GMT
Capítulo 8 Parámetros del sistema Reloj del sistema
466
ede utilizar el protocolo de hora de un servidor NTP a través de que realice esta sincronización
r principal y dos servidores de sistema de forma automática, as otro. El dispositivo siempre spositivo consulta a válida de alguno de los lización y registrar el fallo, el
CLI, pudiendo especificarse un etScreen solamente consultará ultará, uno por uno, a cada r NTP utilizando su dirección IP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Para establecer el huso horario mediante CLI:
ns -> set clock timezone number (número entre -12 y 12)
o bien
ns -> set ntp timezone number (número entre -12 y 12)
NTPPara asegurarse de que el dispositivo NetScreen siempre tenga la hora correcta, pude red (“Network Time Protocol” o “NTP”) para sincronizar el reloj del sistema con el Internet. Puede hacer esto manualmente o configurar el dispositivo NetScreen paraautomáticamente a intervalos determinados.
Múltiples servidores NTPPuede configurar hasta tres servidores NTP en un dispositivo NetScreen: un servidorespaldo. Cuando se configura el dispositivo NetScreen para sincronizar el reloj del efectúa una consulta en cada servidor NTP configurado, consultando los tres uno trconsulta primero al servidor NTP principal. Si la consulta no obtiene respuesta, el diseguidamente al primer servidor NTP de respaldo, etc., hasta obtener una respuestservidores NTP configurados en el dispositivo NetScreen. Antes de finalizar la actuadispositivo realiza cuatro intentos en cada servidor NTP.
La sincronización manual del reloj del sistema solamente se puede hacer mediante servidor NTP determinado o ninguno. Si especifica un servidor NTP, el dispositivo Na ese servidor. Si no especifica ningún servidor NTP, el dispositivo NetScreen consservidor NTP configurado en el dispositivo NetScreen. Puede especificar un servidoo su nombre de dominio.
Capítulo 8 Parámetros del sistema Reloj del sistema
467
(en segundos). El valor ma del dispositivo NetScreen y loj con la hora del servidor NTP desfase establecido. Por del sistema del dispositivo son bos es aceptable y el establecido, el dispositivo P de respaldo configurado en
ida después de intentar el registro de eventos. El valor dos es de 0 (sin límite) a 3600
nte CLI, el dispositivo respuesta válida, el dispositivo fase horario existente con él y
cancele la actualización del
ento de tiempo de espera. Este alcanzar a todos los servidores
ndo Ctrl-C en el teclado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Desfase temporal máximoPara la sincronización automática se puede especificar un valor máximo de desfasemáximo de desfase es la máxima diferencia horaria admisible entre el reloj del sistela hora recibida de un servidor NTP. El dispositivo NetScreen solamente ajusta su resi la diferencia horaria entre su reloj y el servidor NTP es inferior al valor máximo deejemplo, si el valor máximo de desfase horario es de 3 segundos, la hora en el relojlas 4:00:00 y el servidor NTP envía 4:00:02 como hora actual, la diferencia entre amdispositivo NetScreen puede actualizar su reloj. Si el desfase es superior al máximoNetScreen no sincroniza su reloj y procede a intentar consultar al primer servidor NTel dispositivo NetScreen. Si el dispositivo NetScreen no recibe una contestación válconsultar a todos los servidores NTP configurados, genera un mensaje de error en predeterminado de esta característica son 3 segundos y el rango de valores permiti(una hora).
Al sincronizar manualmente el reloj del sistema, lo cual solamente es posible mediaNetScreen no comprueba el desfase horario máximo. En lugar de ello, si recibe unaNetScreen muestra un mensaje informando sobre el servidor NTP alcanzado, el desel método de autenticación utilizado. El mensaje también pide que se confirme o sereloj del sistema.
Si el dispositivo NetScreen no recibe una respuesta, genera un mensaje de vencimimensaje aparece solamente después de que el dispositivo haya intentado sin éxito NTP configurados en el dispositivo NetScreen.
Nota: Al enviar consultas mediante CLI, puede cancelar la petición actual presiona
Capítulo 8 Parámetros del sistema Reloj del sistema
468
RP”) contiene un mecanismo unidad de resolución de
que diferentes miembros de un o al retraso ocasionado por el e NSRP cuando NTP esté el sistema desde un servidor
ente comando:
rio máximo a intervalos de cinco minutos bién establecerá un valor
pply :
e Server (NTP): (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Protocolos NTP y NSRPEl protocolo de redundancia de NetScreen (“NetScreen Redundancy Protocol” o “NSpara sincronizar el reloj del sistema de los miembros de un clúster NSRP. Aunque lasincronización es el segundo, NTP ofrece una resolución inferior al segundo. Dado clúster pueden tener horas distintas con variaciones de unos pocos segundos debidprocesamiento, Juniper Networks recomienda desactivar la sincronización horaria dhabilitado en dos miembros del clúster, para que ambos puedan actualizar su reloj dNTP. Para desactivar la función de sincronización horaria NSRP, introduzca el sigui
set ntp no-ha-sync
Ejemplo: Configurar servidores NTP y un valor de desfase horaEn el ejemplo siguiente configurará el dispositivo NetScreen para actualizar su relojconsultando los servidores NTP de las direcciones IP 1.1.1.1, 1.1.1.2 y 1.1.1.3. Tammáximo de desfase horario de 2 segundos.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en A
Automatically synchronize with an Internet Tim
Update system clock every minutes: 5
Maximum time adjustment seconds: 2
Primary Server IP/Name: 1.1.1.1
Backup Server1 IP/Name: 1.1.1.2
Backup Server2 IP/Name: 1.1.1.3
CLI
set clock ntpset ntp server 1.1.1.1
Capítulo 8 Parámetros del sistema Reloj del sistema
469
para autenticar los paquetes tegridad del tráfico NTP. No ueda manipularlos.
ve y una clave previamente La identificación de clave y la la que el dispositivo NetScreen
erida (“required” y “preferred”).
debe incluir la información de quete que envía a un servidor TP. Para poder establecer la tradores del dispositivo de clave y una clave
que disponen de varios
debe funcionar como si Si todos los intentos de hubiese seleccionado ninguna clave ni suma de ticación, si ésta falla el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
set ntp server backup1 1.1.1.2set ntp server backup2 1.1.1.3set ntp interval 5set ntp max-adjustment 2save
Servidores NTP segurosPuede asegurar el tráfico NTP aplicando la suma de comprobación basada en MD5NTP. No es necesario crear un túnel IPSec. Este tipo de autenticación asegura la inimpide a los interlocutores externos ver los datos, pero evita que cualquier usuario p
Para habilitar la autenticación del tráfico NTP, debe asignar una identificación de clacompartida únicas a cada servidor NTP que configure en un dispositivo NetScreen. clave previamente compartida sirven para generar una suma de comprobación con y el servidor NTP pueden autenticar los datos.
Tipos de autenticación
Existen dos tipos de autenticación para el tráfico NTP: la requerida y la pref
Cuando se selecciona la autenticación Required , el dispositivo NetScreen autenticación (identificación de clave y suma de comprobación) en cada paNTP y debe autenticar todos los paquetes NTP que recibe de un servidor Nautenticación entre un dispositivo NetScreen y un servidor NTP, los adminisNetScreen y del servidor NTP deben intercambiar primero una identificaciónpreviamente compartida. Tienen que intercambiarlas manualmente, para lométodos, por ejemplo, correo electrónico o teléfono.
Al seleccionar la autenticación Preferred , el dispositivo NetScreen primeroestuviese en el modo “Required”, intentando autenticar todo el tráfico NTP. autenticación fallan, el dispositivo NetScreen pasa a funcionar como si no seautenticación. Envía paquetes a un servidor NTP sin incluir identificación decomprobación. Esencialmente, aunque existe cierta preferencia por la autendispositivo NetScreen sigue permitiendo el tráfico NTP.
Capítulo 8 Parámetros del sistema Reloj del sistema
470
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: FundamentosÍndice
IX-I
s 3732, 138, 411te de retransmisión 388t 388397idor 388io 463, 464327e DS Codepoint Marking, 278–282untos 321os 297–300ificar un conjunto de DIP 281 279to fijo 280esición 315irectivas 315das en la libreta de direcciones 144das 69icas 68es IPir por cada puerto 144tificación de la red 68tificación del host 68das 67icas 67os de direcciones privadas 69ndarias 75imiento en interfaces 84s de seguridad L3 67–69es IP secundarias 75es privadas 69es públicas 68es, negación 351 3nes 317
inistración 329inistrar ancho de banda 360as 326
ación 318
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
ÍndiceAalarmas
umbrales 326ALG 206
MS RPC 163para servicios personalizados 318RTSP 169SIP 200SIP NAT 215Sun RPC 160
alta disponibilidadvéase HA
ancho de banda 327administrar 360colas de prioridades 367especificación máxima 360garantizado 327, 360, 368máximo 327, 368máximo ilimitado 360niveles de prioridad 368prioridad predeterminada 367
aplicación en directivas 318ARP 112
dirección IP de entrada 115asignación de tráfico 359–373
automática 360prioridades del servicio 367requisito de la interfaz 360
autenticaciónAllow Any 324directivas 321usuarios 321
autenticación en tiempo de ejecución 323AV, servicio 463
Bbulk-CLI 458
Ccertificado de autenticación 445–449
resumen del mensaje MD5 447certificado de soporte 463, 464claves de licencia 459–460CLI
convenciones xdelete crypto auth-key 449set arp always-on-dest 99, 104
configuraciónbloquear 455carga 454descargar y cargar 450guardar 450guardar e importar 450inclusión de comentarios 456LKG 452retroactivación 452–454, 455salvaguardar 450
configuración LKG 452conjuntos de caracteres compatibles con
ScreenOS xivConjuntos de direcciones IP
véase Conjuntos de DIPConjuntos de direcciones IP dinámicas
véase Conjuntos de DIPconvenciones
CLI xilustración xiiinombres xivWebUI xi
creargrupos de direcciones 148grupos de servicios 275zonas 37
DDeep Inspection
autenticación de descargas 445–449
definiciónzona
DHCP 1agenclienHA serv
DI, servicDiffServ
véasDIP 136
conjgrupmodPATpuer
direcciondefinen dentraprivapúbl
direcciondefinidenidenprivapúblrangsecuseguzona
direcciondirecciondirecciondirecciondirectivas
accioadmadmalarmaplic
Índice
IX-II
er (equipos selectores) 181e colas de prioridades 367e historial 325
e direcciones 146, 315r 148r 149
inar entradas 150ones 147e servicios 274–277r 275inar 277ificar 276
P 397faz de HA virtual 58e también NSRPgráficos 325ario 465
ición 329tiva 329nenciones xiii
sas físicamente 81as lógicamente 81gadas 56iar a zonas 66bios de estado 81–106sociar de una zona 70278ción IP secundaria 75cionamiento 67s 3
57irtual 58
tivas físicamente 81tivas lógicamente 81back 77
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
asignación de tráfico 327autenticación 321cambiar 355colocar al principio 320, 357contexto de una directiva 348copia de seguridad de la sesión HA 324Deep Inspection 320denegar 317desactivar 355direcciones 315direcciones en 315elementos requeridos 307eliminar 358funciones de 305global 310, 331, 347grupos de DIP 298grupos de direcciones 315grupos de servicios 274grupos de usuarios de acceso telefónico a
VPN 315habilitar 355iconos 329ID 315interzonales 308, 331, 332, 337intrazonales 309, 331, 344L2TP 319libro de servicios 151límite máximo 147listas de conjuntos de directivas 311múltiples elementos por componente 349NAT-dst 321NAT-src 321negación de direcciones 351nombre 318ocultación 356orden 357permit 317rechazo 317recuento 325registro de tráfico 325reglas internas 312reordenar 357secuencia de consulta 311servicios 316servicios en 151, 316sistema raíz 312
sistemas virtuales 312tareas programadas 326tipos 308–310túnel 317túneles L2TP 319ubicación 331verificación de directivas 356VPNs 319VPNs bidireccionales 319, 330zonas de seguridad 315
directivas de accesovéase directivas
directivas ocultadas 356DNS 377
consulta 378consultas de dominios 385división de direcciones 386división de direcciones DNS del proxy 385DNS dinámico 382encapsulamiento a servidores 385servidor 413tabla de estado 379
DS Codepoint Marking 360, 369, 370DSL 407, 412dyndns.org y ddo.jp 382
Eeditar
directivas 355grupos de direcciones 149zonas 38
enrutadores virtualesvéase VRs
enrutamientoentre direcciones IP secundarias 75
Ffiltrado de URL 325firmware
autenticación 445–448flujo de paquetes 12–15
Ggatekeepgestión dgráficos dgrupos d
creaeditaelimopci
grupos dcreaelimmod
HHA
DHCintervéas
historial, huso hor
Iiconos
defindirec
ilustracióconv
interfaceactivactivagreasoccamdesaDIP direcdirecfísicaHA HA vinacinacloop
Índice
IX-III
56–469iguración del servidor 468ase horario máximo 467iples servidores 466idores 466idores seguros 469onización NSRP 468 de autenticación 469
guja 208 “unicast” desconocidas 112–118 115–118dación 113–114-route 115, 118
11–422disponibilidad 422iguración 411, 416iples instancias 419iples sesiones por interfaz 417
idad del servicio) 360
325o de banda 360
325erivadas de directivas 312istema 465–469
a y hora 465 horario 465onización con cliente 465ación 458ación, configuración 452–454
, “Type of Service in the Internet Protocol Suite” 327
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
MGT 57modificar 71predeterminadas 69redundantes 56Seguimiento de IP (Véase seguimiento de IP)supervisión de la conexión 83túnel 35, 58, 58–63visualizar tabla de interfaces 64VSI 56zonas de seguridad L3 67
interfaces agregadas 56interfaces de túnel 58
definición 58NAT basada en directivas 58
interfaces de zonas de función 57interfaz de administración 57interfaz de HA 57
interfaces loopback 77interfaces no etiquetadas 418interfaz de administración
véase interfaz MGTinterfaz HA virtual 58ISP - proveedor de servicios de Internet 385
LL2TP
directivas 319libreta de direcciones
agregar direcciones 144editar entradas de grupos 149eliminar direcciones 150entradas 144grupos 146modificar direcciones 145véase también direcciones
libro de serviciosagregar servicio 154eliminar entradas (CLI) 155grupos de servicios (WebUI) 274modificar entradas (CLI) 155modificar entradas (WebUI) 276servicio personalizado 151servicio personalizado (CLI) 154servicios preconfigurados 151
LKG (última correcta conocida) 452
Mmáscaras de red 315
aplicaciones 68MGT, interfaz 57MIP 14
a una zona con NAT basada en interfaces 129modo de ruta 135–140
ajustes de interfaz 136modo NAT 127–134
ajustes de interfaz 130tráfico a la zona Untrust 107, 129
modo transparente 108–126ARP/trace-route 113bloquear tráfico que no es ARP 110bloquear tráfico que no es IP 110inundación 113opciones unicast 113rutas 111tráfico broadcast 110
modos de puertos 41–52MS RPC ALG
definición 163grupos de servicios 167servicios 164
NNAT basada en directivas
interfaces de túnel 58NAT-src
modo de rutaNAT-src 135
negación de direcciones 351NetInfo 389nombres
convenciones xivNSM
bulk-CLI 458tiempo de espera para el reinicio 458
NSRPcopia de seguridad de la sesión HA 324DHCP 397grupos de DIP 297–300interfaces redundantes 56retroactivación de la configuración 455sincronización NTP 468
VSIsNTP 466
confdesfmúltservservsincrtipos
Oojos de aopciones
ARPinuntrace
PPAT 279PPPoE 4
alta confmúltmúlt
QQoS (cal
Rrecuentored, anchregistro reglas, dreloj del s
fechhusosincr
retroactivretroactivRFCs
1349
Índice
IX-IV
nes multimedia 200po de espera por inactividad de la sesión 211po de espera por inactividad de medios 211, 213po de espera por inactividad de señalización 211, 213 de métodos de petición 201
VPN de malla completa 263iguración de llamadas 215, 223ición 215nte, con MIP 232, 236
y en DMZ 247y en zona privada 239y en zona pública 243 intrazonal 259st intrazonal 253
ar DIP de interfaz 228ar DIP entrante 226ar un conjunto de DIP 232de nombres de dominioe DNSirtual 11parámetros 375–469reloj 465–469e también reloj del sistema
alizar 423aces 4r (sistema raíz) 73inar 74 ALGición 160
icios 161estos de llamadas 160ón de interfaceses 92faces 91–98s de seguridad 98
onesación del servicio 463, 464arga de claves 463tro y activación 461–464icio temporal 461icios incluidos 462
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
1918, “Address Allocation for Private Internets” 69
2132, “DHCP Options and BOOTP Vendor Extensions” 396
2326, “Real Time Streaming Protocol (RTSP)” 169, 174
2474, “Definition of the “Differentiated Services” Field (DS Field) in the IPv4 and IPv6 Headers” 327
792, “Internet Control Message Protocol” 158RSH ALG 160RTSP ALG
códigos de estado 173definición 169métodos de petición 171servidor en dominio privado 175servidor en dominio público 178
SSCREEN
zona MGT 34ScreenOS
actualizar 423directivas 3flujo de paquetes 12–15interfaces de la zona de seguridad 3interfaces físicas 3modos de puertos 41sistemas virtuales 11subinterfaces 4vista general 1–30zona de seguridad global 2zona global 34zona Home-Work 49zonas 31–40zonas de función 40zonas de seguridad 2, 34zonas de seguridad predefinidas 2zonas de túnel 35
SDP 206–208seguimiento de IP
fallo en la interfaz de entrada 103–106fallo en la interfaz de salida 100–102
interfaces compartidas 85interfaces compatibles 85opción “dynamic” 86peso 86redireccionamiento de tráfico 84–106umbral de fallos de la IP supervisada 86umbral de fallos del objeto 86vsys 85
Servicio AV 462Servicio de DI 462servicios 151
ALGs personalizados 318definición 316direcciones 146en directivas 316ICMP 158lista desplegable 151modificar el tiempo de espera 157personalizado en vsys 153personalizados 153–155servicios 274umbral del tiempo de espera 156
servicios ICMP 158código de mensaje 158tipo de mensaje 158
servicios personalizados 153–155en root y vsys 153
Servidor de filtrado de URLs 462sesiones multimedia, SIP 200SIP 200–213
ALG 206, 211anuncios de medios 208caducidad por inactividad 211códigos de respuesta 204definición 200información de la conexión 207mensajes 200Métodos de petición 201ojos de aguja 206respuestas 204RTCP 208RTP 208SDP 206–208señalización 206
sesiotiem
tiem
tiem
tiposSIP NAT
con confdefinentraproxproxproxtrustuntruutilizutilizutiliz
Sistema véas
sistema vsistema, sistema,
véassoftware
actusubinterf
creaelim
Sun RPCdefinservsupu
supervisibuclinterzona
suscripciactivdescregisservserv
Índice
IX-V
enciones xi
e 49N 109
rk 49–40
ión 40al 34r 2 109ridad 34l 35N 40, 109 seguridad 2rminación de la zona de destino 14rminación de la zona de origen 13al 2faces 3, 55faces físicas 55efinidas 2nterfaces 55
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos
Ttareas programadas 301, 326tiempo 458trace-route 115, 118traducción de direcciones de puertos
véase PATtráfico
asignación 360prioridad 327recuento 325registro 325
Uúltima configuración correcta conocida
véase configuración LKGURL, servicio de filtrado 463usuarios de autenticación
autenticación en tiempo de ejecución 323autenticación previa a la directiva 323proceso de autenticación en tiempo de
ejecución 323WebAuth 323
Vvalor del tiempo de espera para el reinicio 458VIP 14
a una zona con NAT basada en interfaces 129VLAN1
Interfaz 109, 119Zonas 109
VLANsetiquetas 4
voz sobre IPadministración del ancho de banda 271definición 181
VPNsa una zona con NAT basada en interfaces 129directivas 319zonas de túnel 35
VRsintroducción 5reenviar tráfico entre dos 5
WWebAuth
proceso de autenticación previo a directivas 323
WebUIconv
Zzona Homzona VLAzona Wozonas 31
funcglobLayesegutúneVLA
zonas dedetedeteglobinterinterpredsubi
Índice
IX-VI
Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos